기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon AppStream 2.0의 인프라 보안
관리형 서비스인 Amazon AppStream 2.0은 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스와 AWS의 인프라 보호 방법에 대한 자세한 내용은 [AWS Cloud Security](https://aws.amazon.com/security/)을 참조하세요. 인프라 보안에 대한 모범 사례를 사용하여 AWS 환경을 설계하려면 보안 원칙 AWS Well‐Architected Framework**의 [인프라 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)를 참조하세요.
AWS 에서 게시한 API 호출을 사용하여 네트워크를 통해 AppStream 2.0에 액세스합니다. 고객은 다음을 지원해야 합니다.
+ Transport Layer Security(TLS) TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군 Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
다음 항목에서는 AppStream 2.0 인프라 보안에 대한 추가 정보를 제공합니다.
**Topics**
+ [네트워크 격리](network-isolation.md)
+ [물리적 호스트에서 격리](physical-isolation.md)
+ [네트워크 트래픽 제어](control-network-traffic.md)
+ [WorkSpaces 애플리케이션 인터페이스 VPC 엔드포인트](interface-vpc-endpoints.md)
+ [FIPS 엔드포인트로 전송 중인 데이터 보호](protecting-data-in-transit-FIPS-endpoints.md)
# 네트워크 격리
Virtual Private Cloud(VPC)는 Amazon Web Services 클라우드에서 논리적으로 격리된 자체 영역에 있는 가상 네트워크입니다. 별도의 VPC를 사용하여 워크로드별 또는 조직체별로 인프라를 격리합니다.
서브넷은 VPC의 IP 주소 범위입니다. 인스턴스를 시작할 때 VPC의 서브넷에서 인스턴스를 시작합니다. 서브넷을 사용하여 단일 VPC 내의 애플리케이션 티어(예: 웹, 애플리케이션 및 데이터베이스)를 격리합니다. 인터넷에서 직접 액세스하면 안 되는 경우 프라이빗 서브넷을 인스턴스에 사용합니다.
퍼블릭 인터넷을 통하지 않고도 VPC의 AppStream 2.0 스트리밍 인스턴스에서 스트리밍할 수 있습니다. 이렇게 하려면 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)를 사용합니다. 자세한 내용은 [자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](creating-streaming-from-interface-vpc-endpoints.md) 섹션을 참조하세요.
인터페이스 엔드포인트를 사용하여 퍼블릭 인터넷을 통해 트래픽을 전송하지 않고 VPC에서 AppStream 2.0 API 작업을 호출할 수도 있습니다. 자세한 내용은 [인터페이스 VPC 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](access-api-cli-through-interface-vpc-endpoint.md) 섹션을 참조하세요.
# 물리적 호스트에서 격리
동일한 물리적 호스트에 있는 다른 스트리밍 인스턴스는 개별 물리적 호스트에 있는 것처럼 서로 격리됩니다. 하이퍼바이저는 CPU와 메모리를 격리하며, 인스턴스에는 원시 디스크 디바이스에 대한 액세스 대신 가상화된 디스크가 제공됩니다.
스트리밍 인스턴스를 중지하거나 종료하면 인스턴스에 할당된 메모리는 새 인스턴스에 할당되기 전에 하이퍼바이저에서 스크러빙(즉 0으로 설정)되며 스토리지의 모든 블록은 재설정됩니다. 이렇게 하면 데이터가 다른 인스턴스에 노출되지 않습니다.
# 네트워크 트래픽 제어
AppStream 2.0 스트리밍 인스턴스에 대한 네트워크 트래픽을 제어하려면 다음 옵션을 고려하세요.
+ AppStream 2.0 스트리밍 인스턴스를 시작할 때 VPC의 서브넷에서 인스턴스를 시작합니다. 인터넷에서 스트리밍 인스턴스에 액세스하면 안 되는 스트리밍 인스턴스는 프라이빗 서브넷에 배포할 수 있습니다.
+ 프라이빗 서브넷의 스트리밍 인스턴스에 대한 인터넷 액세스를 제공하려면 NAT 게이트웨이를 사용합니다. 자세한 내용은 [프라이빗 서브넷과 NAT 게이트웨이를 사용하여 VPC 구성](managing-network-internet-NAT-gateway.md) 섹션을 참조하세요.
+ VPC에 속한 보안 그룹을 사용하여 AppStream 2.0 스트리밍 인스턴스 및 라이선스 서버, 파일 서버, 데이터베이스 서버와 같은 VPC 리소스 간의 네트워크 트래픽을 제어할 수 있습니다. 또한 보안 그룹은 스트리밍 인스턴스와 AppStream 2.0 관리 서비스 사이에서 트래픽을 격리합니다.
보안 그룹을 사용하여 스트리밍 인스턴스에 대한 액세스를 제한합니다. 예를 들어, 기업 네트워크의 주소 범위에서만 트래픽을 허용할 수 있습니다. 자세한 내용은 [Amazon WorkSpaces 애플리케이션의 보안 그룹](managing-network-security-groups.md) 섹션을 참조하세요.
+ 퍼블릭 인터넷을 통하지 않고도 VPC의 AppStream 2.0 스트리밍 인스턴스에서 스트리밍할 수 있습니다. 이렇게 하려면 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)를 사용합니다. 자세한 내용은 [자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](creating-streaming-from-interface-vpc-endpoints.md) 섹션을 참조하세요.
인터페이스 엔드포인트를 사용하여 퍼블릭 인터넷을 통해 트래픽을 전송하지 않고 VPC에서 AppStream 2.0 API 작업을 호출할 수도 있습니다. 자세한 내용은 [인터페이스 VPC 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](access-api-cli-through-interface-vpc-endpoint.md) 섹션을 참조하세요.
+ IAM 역할 및 정책을 사용하여 AppStream 2.0, Application Auto Scaling 및 Amazon S3 버킷에 대한 관리자 액세스를 관리합니다. 자세한 정보는 다음의 주제를 참조하세요.
+ [AWS 관리형 정책 및 연결된 역할을 사용하여 WorkSpaces 애플리케이션 리소스에 대한 관리자 액세스 관리](controlling-administrator-access-with-policies-roles.md)
+ [IAM 정책을 사용하여 Application Auto Scaling에 대한 관리자 액세스 관리](autoscaling-iam-policy.md)
+ [Home 폴더와 애플리케이션 설정 지속성을 위한 Amazon S3 버킷에 대한 관리자 액세스 제한](s3-iam-policy-restricted-access.md)
+ SAML 2.0을 사용하여 인증을 AppStream 2.0에 페더레이션할 수 있습니다. 자세한 내용은 [Amazon WorkSpaces 애플리케이션 Service Quotas](limits.md) 섹션을 참조하세요.
**참고**
소규모 AppStream 2.0 배포의 경우 AppStream 2.0 사용자 풀을 사용할 수 있습니다. 기본적으로 사용자 풀은 최대 50명의 사용자를 지원합니다. AppStream 2.0 할당량(한도라고도 함)에 대한 자세한 내용은 [Amazon WorkSpaces 애플리케이션 Service Quotas](limits.md) 섹션을 참조하세요. 100명 이상의 AppStream 2.0 사용자를 지원해야 하는 배포의 경우 SAML 2.0을 사용하는 것이 좋습니다.
# WorkSpaces 애플리케이션 인터페이스 VPC 엔드포인트
가상 프라이빗 클라우드(VPC)는 Amazon Web Services 클라우드에서 논리적으로 격리된 자체 영역에 있는 가상 네트워크입니다. Amazon Virtual Private Cloud를 사용하여 AWS리소스를 호스팅하는 경우 VPC와 WorkSpaces 애플리케이션 간에 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 WorkSpaces 애플리케이션이 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신할 수 있습니다.
인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 지정한 VPC 내에서 스트리밍 트래픽을 유지할 수 있는 기술인AWSPrivateLink로 구동됩니다. Direct Connect또는 AWS Virtual Private Network터널과 함께 VPC를 사용하는 경우 네트워크 내에 스트리밍 트래픽을 유지할 수 있습니다.
다음 주제에서는 WorkSpaces 애플리케이션 인터페이스 엔드포인트에 대한 정보를 제공합니다.
**Topics**
+ [자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](creating-streaming-from-interface-vpc-endpoints.md)
+ [인터페이스 VPC 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](access-api-cli-through-interface-vpc-endpoint.md)
# 자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍
Amazon Web Services 계정의 인터페이스 VPC 엔드포인트를 사용하여 Amazon VPC와 WorkSpaces 애플리케이션 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한할 수 있습니다. 이 엔드포인트를 생성한 후 이를 사용하도록 WorkSpaces 애플리케이션 스택 또는 이미지 빌더를 구성합니다.
**사전 조건**
WorkSpaces 애플리케이션에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 다음 사전 조건에 유의하세요.
+ 사용자를 인증하고 WorkSpaces 애플리케이션이 작동하는 데 필요한 웹 자산을 제공하려면 인터넷 연결이 필요합니다. 스트리밍 인터페이스 엔드포인트는 스트리밍 트래픽이 VPC를 벗어나지 않도록 유지합니다. 스트리밍 트래픽으로는 픽셀, USB, 사용자 입력, 오디오, 클립보드, 파일 업로드 및 다운로드, 프린터 트래픽 등이 있습니다. 이러한 트래픽을 허용하려면 [허용된 도메인](allowed-domains.md) 섹션에 나열된 도메인을 허용해야 합니다. VPC 엔드포인트를 생성한 후에는 WorkSpaces Applications 사용자 인증 도메인을 허용해야 합니다. 그러나 스트리밍 게이트웨이의 경우 .streaming.appstream..vpce.amazonaws.com만 액세스를 제한할 수 있습니다. \$1.amazonappstream.com 등록 허용은 필요하지 않습니다. VPC 엔드포인트 정규화된 도메인 이름이 해당 종속성을 대체합니다.
+ 사용자의 디바이스가 연결되는 네트워크는 트래픽을 인터페이스 엔드포인트로 라우팅할 수 있어야 합니다.
+ 인터페이스 엔드포인트와 연결되는 보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트 443(TCP)와 포트 1400-1499(TCP)로 수신되는 인바운드 액세스를 허용해야 합니다.
+ 서브넷에 대한 네트워크 액세스 제어 목록은 휘발성 네트워크 포트 1024-65535(TCP)에서 사용자가 연결하는 IP 주소 범위로 전송되는 아웃바운드 트래픽을 허용해야 합니다.
+ `ec2:DescribeVpcEndpoints` API 작업을 수행할 수 AWS 계정있는 권한을 제공하는 IAM 권한 정책이에 있어야 합니다. 기본적으로 이 권한은 AmazonAppStreamServiceAccess 역할에 연결되는 IAM 정책에서 정의합니다. 필요한 권한이 있는 경우이 서비스 역할은 AWS리전에서 WorkSpaces 애플리케이션 서비스를 시작할 때 필요한 IAM 정책이 연결된 상태로 WorkSpaces 애플리케이션에서 자동으로 생성됩니다. 자세한 내용은 [Amazon WorkSpaces 애플리케이션의 ID 및 액세스 관리](controlling-access.md) 단원을 참조하십시오.
**인터페이스 엔드포인트를 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **엔드포인트**와 **엔드포인트 생성**을 선택합니다.
1. **엔드포인트 생성**을 선택합니다.
1. **서비스 범주**에서 **AWS서비스가** 선택되어 있는지 확인합니다.
1. **서비스 이름**에서 **com.amazonaws.******.appstream.streaming**을 선택합니다.
1. 다음과 같은 정보를 지정합니다. 완료했으면 **엔드포인트 생성**을 선택합니다.
+ **VPC**에서 인터페이스 엔드포인트를 생성할 VPC를 선택합니다. WorkSpaces 애플리케이션 리소스가 있는 VPC와 다른 VPC를 선택할 수 있습니다.
+ **서브넷**에서 엔드포인트 네트워크 인터페이스를 만들 서브넷(가용 영역)을 선택합니다. 최소한 2개의 가용 영역에서 서브넷을 선택하는 것이 좋습니다.
+ **IP 주소 유형**에서 IPV6 또는 IPV4를 선택합니다.
+ **프라이빗 DNS 이름 활성화** 확인란이 선택되어 있는지 확인합니다.
**참고**
사용자가 네트워크 프록시를 사용하여 스트리밍 인스턴스에 액세스하는 경우 프라이빗 엔드포인트와 연결된 도메인 및 DNS 이름에 대한 프록시 캐싱을 비활성화합니다. VPC 엔드포인트 DNS 이름은 프록시를 통해 허용되어야 합니다.
+ **보안 그룹**에서 보안 그룹을 선택하여 엔드포인트 네트워크 인터페이스와 연결합니다.
**참고**
보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트로 수신되는 인바운드 액세스를 제공해야 합니다.
인터페이스 엔드포인트가 생성 중일 때는 콘솔의 엔드포인트 상태가 **대기 중**으로 표시됩니다. 엔드포인트가 생성되면 상태가 **사용 가능**으로 바뀝니다.
스택을 업데이트하여 스트리밍 세션에서 생성한 인터페이스 엔드포인트를 사용하려면 다음과 같이 실행합니다.
**스택을 업데이트하여 새로운 인터페이스 엔드포인트를 사용하려면**
1. [https://console.aws.amazon.com/appstream2/home](https://console.aws.amazon.com/appstream2/home) WorkSpaces 애플리케이션 콘솔을 엽니다.
사용하려는 인터페이스 엔드포인트와 동일한 AWS리전에서 콘솔을 열어야 합니다.
1. 탐색 창에서 **스택**을 선택한 후 원하는 스택을 선택합니다.
1. **VPC 엔드포인트** 탭을 선택한 후 **편집**을 선택합니다.
1. **VPC 엔드포인트 편집** 대화 상자에 있는 **스트리밍 엔드포인트**에서 트래픽을 스트리밍할 엔드포인트를 선택합니다.
1. **업데이트**를 선택합니다.
새로운 스트리밍 세션부터는 트래픽이 이 엔드포인트를 통해 라우팅됩니다. 하지만 현재 스트리밍 세션에서는 트래픽이 계속해서 이전에 지정된 엔드포인트를 통해 라우팅됩니다.
**참고**
인터페이스 엔드포인트가 지정되면 사용자는 인터넷 엔드포인트를 사용하여 스트리밍할 수 없습니다.
# 인터페이스 VPC 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스
Amazon Virtual Private Cloud를 사용하여 AWS리소스를 호스팅하는 경우 인터넷을 통해 연결하는 대신 Virtual Private Cloud(VPC)의 인터페이스 [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)(인터페이스 엔드포인트)를 통해 WorkSpaces Applications API 작업 또는 명령줄 인터페이스(CLI) 명령에 직접 연결할 수 있습니다. 인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 지정한 VPC 내에서 스트리밍 트래픽을 유지할 수 있는 기술인AWSPrivateLink로 구동됩니다. 인터페이스 엔드포인트를 사용하면 VPC와 WorkSpaces 애플리케이션 간의 통신이 AWS네트워크 내에서 완전하고 안전하게 수행됩니다.
**참고**
이 주제에서는 인터페이스 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스하는 방법을 설명합니다. WorkSpaces 애플리케이션 인터페이스 엔드포인트에서 생성 및 스트리밍하는 방법에 대한 자세한 내용은 섹션을 참조하세요[자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](creating-streaming-from-interface-vpc-endpoints.md).
**사전 조건**
인터페이스 엔드포인트를 사용하려면 다음 사전 조건을 충족해야 합니다.
+ 인터페이스 엔드포인트와 연결되는 보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트 443(TCP)으로 수신되는 인바운드 액세스를 허용해야 합니다.
+ 서브넷에 대한 네트워크 액세스 제어 목록은 휘발성 네트워크 포트 1024-65535(TCP)에서 사용자가 연결하는 IP 주소 범위로 전송되는 아웃바운드 트래픽을 허용해야 합니다.
**Topics**
+ [인터페이스 엔드포인트를 생성하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [인터페이스 엔드포인트를 사용하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# 인터페이스 엔드포인트를 생성하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스
다음 단계에 따라 인터페이스 엔드포인트를 생성합니다.
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **엔드포인트**와 **엔드포인트 생성**을 선택합니다.
1. **엔드포인트 생성**을 선택합니다.
1. **서비스 범주**에서 **AWS서비스가** 선택되어 있는지 확인합니다.
1. **서비스 이름**에서 **com.amazonaws.******.appstream.api**을 선택합니다.
1. 다음과 같은 정보를 지정합니다. 완료했으면 **엔드포인트 생성**을 선택합니다.
+ **VPC**에서 엔드포인트를 생성할 VPC를 선택합니다.
+ **서브넷**에서 엔드포인트 네트워크 인터페이스를 생성할 서브넷(가용 영역)을 선택합니다. 최소한 2개의 가용 영역에서 서브넷을 선택하는 것이 좋습니다.
+ 선택 사항으로 **프라이빗 DNS 이름 활성화** 확인란을 선택할 수 있습니다.
**참고**
이 옵션을 선택하는 경우에는 필요에 따라 프라이빗 DNS를 지원할 VPC와 DNS를 구성해야 합니다. 자세한 내용은 **Amazon VPC 사용 설명서의 [프라이빗 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)를 참조하세요.
+ **보안 그룹(Security group)**에서 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 선택합니다.
**참고**
보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트로 수신되는 인바운드 액세스를 제공해야 합니다.
인터페이스 엔드포인트가 생성 중일 때는 콘솔의 엔드포인트 상태가 **대기 중**으로 표시됩니다. 엔드포인트가 생성되면 상태가 **사용 가능**으로 바뀝니다.
# 인터페이스 엔드포인트를 사용하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스
생성한 인터페이스 VPC 엔드포인트의 상태가 **사용 가능**으로 변경된 후 엔드포인트를 사용하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스할 수 있습니다. 이를 위해서는 먼저 작업 및 명령을 사용할 때 `endpoint-url` 파라미터를 인터페이스 엔드포인트의 DNS 이름으로 지정해야 합니다. DNS 이름은 공개적으로 확인이 가능하지만 VPC에서만 트래픽을 올바르게 라우팅합니다.
다음 예제는 **describe-fleets** CLI 명령을 사용할 때 인터페이스 엔드포인트의 DNS 이름을 지정하는 방법을 나타낸 것입니다.
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
다음 예제에서는 WorkSpaces Applications Boto3 Python 클라이언트를 인스턴스화할 때 인터페이스 엔드포인트의 DNS 이름을 지정하는 방법을 보여줍니다.
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
이후부터 `appstream2client` 객체를 사용하는 명령은 지정된 인터페이스 엔드포인트를 자동으로 사용합니다.
인터페이스 엔드포인트에서 프라이빗 DNS 호스트 이름을 활성화한 경우에는 엔드포인트 URL을 지정할 필요 없습니다. API 및 CLI가 기본적으로 사용하는 WorkSpaces Applications API DNS 호스트 이름은 VPC 내에서 확인됩니다. 프라이빗 DNS 호스트 이름에 대한 자세한 내용은 **Amazon VPC 사용 설명서의 [프라이빗 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)를 참조하세요.
# FIPS 엔드포인트로 전송 중인 데이터 보호
AppStream 2.0 콘솔, AWS Command Line Interface(AWS CLI) 또는 AWS SDK를 사용하는 관리자든, 이미지 빌더나 집합 인스턴스에서 스트리밍하는 사용자든 AppStream 2.0 서비스와 통신할 때는 기본적으로 전송 중인 모든 데이터가 TLS 1.2를 사용하여 암호화됩니다.
명령행 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 검증된 암호화 모듈이 필요한 경우, FIPS 엔드포인트를 사용합니다. AppStream 2.0은 AppStream 2.0을 사용할 수 있는 미국의 모든 AWS 리전에서 FIPS 엔드포인트를 제공합니다. FIPS 엔드포인트를 사용하면 전송 중인 모든 데이터가 FIPS(미 연방 정부 정보 처리 표준) 140-2를 준수하는 암호화 표준을 사용하여 암호화됩니다. AppStream 2.0 엔드포인트 목록을 포함하여 FIPS 엔드포인트에 대한 자세한 내용은 [FIPS(Federal Information Processing Standard) 140-2](https://aws.amazon.com/compliance/fips)를 참조하세요.
**Topics**
+ [관리 용도의 FIPS 엔드포인트](FIPS-for-administrative-use.md)
+ [사용자 스트리밍 세션용 FIPS 엔드포인트](FIPS-for-user-streaming-sessions.md)
+ [예외](FIPS-exceptions.md)
# 관리 용도의 FIPS 엔드포인트
AppStream 2.0에 대한 AWS CLI 명령을 실행할 때 FIPS 엔드포인트를 지정하려면 `endpoint-url` 파라미터를 사용합니다. 다음 예시에서는 미국 서부(오레곤) 리전의 AppStream 2.0 FIPS 엔드포인트를 사용하여 리전의 모든 스택 목록을 검색합니다.
```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```
AppStream 2.0 API 작업을 위한 FIPS 엔드포인트를 지정하려면 AWS SDK에서 사용자 지정 엔드포인트를 지정하는 절차를 따릅니다.
# 사용자 스트리밍 세션용 FIPS 엔드포인트
SAML 2.0 또는 스트리밍 URL을 사용하여 사용자를 인증하는 경우 사용자의 스트리밍 세션에 대해 FIPS 준수 연결을 구성할 수 있습니다.
SAML 2.0을 사용하여 인증하는 사용자에 대해 FIPS 준수 연결을 사용하려면 연동의 릴레이 상태를 구성할 때 AppStream 2.0 FIPS 엔드포인트를 지정합니다. SAML 2.0을 사용하여 자격 증명 연동을 위한 릴레이 상태 URL을 구성하는 방법에 대한 자세한 내용은 [SAML 설정](external-identity-providers-setting-up-saml.md) 단원을 참조하십시오.
스트리밍 URL을 통해 인증하는 사용자를 위해 FIPS 호환 연결을 구성하려면 AWS CLI 또는 AWS SDK에서 [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) 또는 [CreateImageBuilderStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html)을 호출할 때 AppStream 2.0 FIPS 엔드포인트를 지정합니다. 결과로 얻은 URL을 사용하여 스트리밍 인스턴스에 연결하는 사용자는 FIPS 준수 연결을 통해 연결됩니다. 다음 예시에서는 미국 동부(버지니아) 리전의 AppStream 2.0 FIPS 엔드포인트를 사용하여 FIPS 준수 스트리밍 URL을 생성합니다.
```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```
# 예외
다음 시나리오에서는 FIPS 준수 연결이 지원되지 않습니다.
+ AppStream 2.0 콘솔을 통한 AppStream 2.0 관리
+ AppStream 2.0 사용자 풀 기능을 사용하여 인증하는 사용자를 위한 스트리밍 세션
+ 인터페이스 VPC 엔드포인트를 사용한 액세스
+ AppStream 2.0 콘솔을 통한 FIPS 준수 스트리밍 URL 생성
+ 스토리지 공급자가 FIPS 엔드포인트를 제공하지 않는 Google Drive 또는 OneDrive 스토리지 계정과의 연결