As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Identity and Access Management para WorkSpaces aplicativos da Amazon
<a name="controlling-access"></a>

Suas credenciais de segurança identificam você para os serviços AWS e concedem a você o uso ilimitado de seus AWS recursos, como os recursos de seus WorkSpaces Aplicativos. Você pode usar os recursos de WorkSpaces Aplicativos e AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus recursos de WorkSpaces Aplicativos sem compartilhar suas credenciais de segurança. 

Você pode usar o IAM para controlar como outros usuários usam recursos em sua conta da Amazon Web Services e você pode usar grupos de segurança para controlar o acesso às suas instâncias de streaming de WorkSpaces aplicativos. Você pode permitir o uso total ou limitado dos recursos de seus WorkSpaces aplicativos. 

**Topics**
+ [Acesso de rede à instância de streaming](network-access-to-streaming-instances.md)
+ [Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos](controlling-administrator-access-with-policies-roles.md)
+ [Usar políticas do IAM para gerenciar o acesso de administrador ao Application Auto Scaling](autoscaling-iam-policy.md)
+ [Usar políticas do IAM para gerenciar o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações](s3-iam-policy.md)
+ [Usando uma função do IAM para conceder permissões a aplicativos e scripts executados em instâncias de streaming de WorkSpaces aplicativos](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [SELinux no Red Hat Enterprise Linux e no Rocky Linux](selinux.md)
+ [Autenticação baseada em cookies nos aplicativos da Amazon WorkSpaces](cookie-auth.md)

# Acesso de rede à instância de streaming
<a name="network-access-to-streaming-instances"></a>

Um grupo de segurança atua como um firewall com estado que controla o tráfego permitido para alcançar suas instâncias de streaming. Ao iniciar uma instância de streaming de WorkSpaces aplicativos, atribua-a a um ou mais grupos de segurança. Depois, adicione regras a cada grupo de segurança que controlam o tráfego da instância. Você pode modificar as regras de um grupo de segurança a qualquer momento. As novas regras são aplicadas automaticamente a todas as instâncias às quais o grupo de segurança é atribuído. 

Para obter mais informações, consulte [Grupos de segurança em WorkSpaces aplicativos da Amazon](managing-network-security-groups.md).

# Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos
<a name="controlling-administrator-access-with-policies-roles"></a>

Por padrão, os usuários do IAM não têm as permissões necessárias para criar ou modificar recursos de WorkSpaces aplicativos ou realizar tarefas usando a API de WorkSpaces aplicativos. Isso significa que esses usuários não podem realizar essas ações no console de WorkSpaces aplicativos ou usando os comandos da AWS CLI dos WorkSpaces aplicativos. Para permitir que os usuários do IAM criem ou modifiquem recursos e executem tarefas, anexe uma política do IAM aos usuários ou grupos do IAM que exigem essas permissões. 

Quando você anexa uma política a um usuário, um grupo de usuários ou um perfil do IAM, ela concede ou nega aos usuários permissão para realizar as tarefas especificadas nos recursos especificados. 

**Topics**
+ [AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md)
+ [Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md)
+ [Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço](controlling-access-checking-for-iam-service-access.md)
+ [Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas](controlling-access-checking-for-iam-autoscaling.md)
+ [Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [Verificando a função e as políticas do AmazonAppStream PCAAccess serviço](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos
<a name="managed-policies-required-to-access-appstream-resources"></a>

Para fornecer acesso administrativo completo ou somente para leitura aos WorkSpaces aplicativos, você deve anexar uma das seguintes políticas AWS gerenciadas aos usuários ou grupos do IAM que exigem essas permissões. Uma *política gerenciada pela AWS * é uma política independente que é criada e administrada pela AWS. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

**nota**  
Em AWS, os papéis do IAM são usados para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas anexadas à função determinam quais AWS recursos o serviço pode acessar e o que ele pode fazer com esses recursos. Para WorkSpaces aplicativos, além de ter as permissões definidas na **AmazonAppStreamFullAccess**política, você também deve ter as funções necessárias em sua AWS conta. Para obter mais informações, consulte [Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Essa política gerenciada fornece acesso administrativo total aos recursos dos WorkSpaces aplicativos. Para gerenciar recursos de WorkSpaces aplicativos e realizar ações de API por meio da interface de linha de AWS comando (AWS CLI), AWS SDK ou console AWS de gerenciamento, você deve ter as permissões definidas nesta política.  
Se você entrar no console de WorkSpaces aplicativos como usuário do IAM, deverá anexar essa política ao seu Conta da AWS. Se fizer login por meio da federação do console, você deverá anexar essa política ao perfil do IAM que foi usado para federação.  
Para ver as permissões dessa política, consulte [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Essa política baseada em identidade concede aos usuários permissões somente de leitura para visualizar e monitorar recursos de WorkSpaces aplicativos e configurações de serviços relacionados. Os usuários podem acessar o console de WorkSpaces aplicativos para visualizar aplicativos de streaming, status da frota, relatórios de uso e recursos associados, mas não podem fazer nenhuma alteração. A política também inclui as permissões de leitura necessárias para oferecer suporte a serviços como IAM, Application Auto Scaling e CloudWatch para permitir recursos abrangentes de monitoramento e geração de relatórios.  
Para ver as permissões dessa política, consulte [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

O console de WorkSpaces aplicativos usa uma ação adicional que fornece funcionalidade que não está disponível por meio da AWS CLI ou AWS do SDK. As **AmazonAppStreamReadOnlyAccess**políticas **AmazonAppStreamFullAccess**e fornecem permissões para a ação a seguir.


| Ação | Description | Nível de acesso | 
| --- | --- | --- | 
| DescribeImageBuilders | Concede permissão para recuperar uma lista que descreve um ou mais image builders especificados, se os nomes de image builders são fornecidos. Caso contrário, todos os construtores de imagens na conta são descritos. | Ler | 

**AmazonAppStreamPCAAccess**  
Essa política gerenciada fornece acesso administrativo total aos recursos de CA privada do AWS Certificate Manager em sua AWS conta para autenticação baseada em certificados.  
Para ver as permissões dessa política, consulte [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).

**AmazonAppStreamServiceAccess**  
Essa política gerenciada é a política padrão para a função de serviço de WorkSpaces Aplicativos.   
Essa política de permissões de função permite que os WorkSpaces aplicativos concluam as seguintes ações:  
+ Ao usar sub-redes em sua conta para suas frotas de WorkSpaces WorkSpaces aplicativos, o Applications é capaz de descrever sub-redes e zonas de disponibilidade VPCs, bem como criar e gerenciar o ciclo de vida de todas as interfaces de rede elástica associadas às instâncias da frota nessas sub-redes. Isso também inclui a capacidade de anexar grupos de segurança e endereços IP dessas sub-redes a essas interfaces de rede elástica.
+ Ao usar recursos como UPP e HomeFolders, o WorkSpaces Applications é capaz de criar e gerenciar buckets, objetos do Amazon S3 e seus ciclos de vida, políticas e configuração de criptografia na conta. Esses buckets incluem os seguintes prefixos de nomenclatura:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Para ver as permissões dessa política, consulte [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Essa política gerenciada permite o escalonamento automático de WorkSpaces aplicativos.  
Para ver as permissões dessa política, consulte [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Essa política gerenciada concede permissões para que o Application Auto Scaling acesse WorkSpaces aplicativos e. CloudWatch   
Para ver as permissões dessa política, consulte [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Atualizações de aplicativos para políticas AWS gerenciadas
<a name="security-iam-awsmanpol-updates"></a>



Veja detalhes sobre as atualizações das políticas AWS gerenciadas para WorkSpaces aplicativos desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos para WorkSpaces aplicativos da Amazon](doc-history.md).




| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Mudança  |   Foram adicionadas permissões de permissão `"ec2:DescribeImages"` para o documento de política JSON  | 17 de novembro de 2025 | 
|  AmazonAppStreamReadOnlyAccess — Mudança  |   Removido `"appstream:Get*",` do documento da política JSON  | 22 de outubro de 2025 | 
|  WorkSpaces Os aplicativos começaram a rastrear as alterações  |  WorkSpaces Os aplicativos começaram a rastrear as mudanças em suas políticas AWS gerenciadas  | 31 de outubro de 2022 | 

# Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

Em AWS, os papéis do IAM são usados para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas anexadas à função determinam quais AWS recursos o serviço pode acessar e o que ele pode fazer com esses recursos. Para WorkSpaces aplicativos, além de ter as permissões definidas na **AmazonAppStreamFullAccess**política, você também deve ter as seguintes funções em sua AWS conta.

**Topics**
+ [AmazonAppStreamServiceAccess](#AmazonAppStreamServiceAccess)
+ [ApplicationAutoScalingForAmazonAppStreamAccess](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [AmazonAppStreamPCAAccess](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.

Enquanto os recursos de WorkSpaces aplicativos estão sendo criados, o serviço de WorkSpaces aplicativos faz chamadas de API para outros AWS serviços em seu nome, assumindo essa função. Para criar frotas, é necessário ter esse perfil na conta. Se essa função não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá criar frotas de WorkSpaces aplicativos.

Para obter mais informações, consulte [Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço](controlling-access-checking-for-iam-service-access.md) para verificar se a função **AmazonAppStreamServiceAccess**de serviço está presente e tem as políticas corretas anexadas. 

**nota**  
Essa função de serviço pode ter permissões diferentes das do primeiro usuário que está começando a usar os WorkSpaces aplicativos. Para obter detalhes sobre as permissões dessa função, consulte “AmazonAppStreamServiceAccess” em[AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.

O escalonamento automático é um recurso das frotas de WorkSpaces aplicativos. Para configurar políticas de escalabilidade, você deve ter essa função de serviço em sua AWS conta. Se essa função de serviço não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá escalar frotas de WorkSpaces aplicativos.

Para obter mais informações, consulte [Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Esse perfil é um perfil vinculado ao serviço que é criado automaticamente para você. Para obter mais informações, consulte [Funções vinculadas ao serviço](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) no *Guia do usuário do Application Auto Scaling*.

O Application Auto Scaling usa um perfil vinculado ao serviço para executar o ajuste de escala automático em seu nome. Uma *função vinculada ao serviço* é uma função do IAM vinculada diretamente a um AWS serviço. Essa função inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Para obter mais informações, consulte [Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.

A autenticação baseada em certificado é um recurso das frotas de WorkSpaces aplicativos unidas aos domínios do Microsoft Active Directory. Para habilitar e usar a autenticação baseada em certificado, você deve ter essa função de serviço em sua conta. AWS Se essa função de serviço não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá ativar ou usar a autenticação baseada em certificado.

Para obter mais informações, consulte [Verificando a função e as políticas do AmazonAppStream PCAAccess serviço](controlling-access-checking-for-AppStreamPCAAccess.md).

# Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço
<a name="controlling-access-checking-for-iam-service-access"></a>

Conclua as etapas desta seção para verificar se o perfil de serviço **AmazonAppStreamServiceAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Para verificar se a função de serviço AmazonAppStreamServiceAccess do IAM está presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **amazonappstreamservice** para restringir a lista de funções a serem selecionadas e, em seguida, escolha. **AmazonAppStreamServiceAccess** Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões **AmazonAppStreamServiceAccess** está anexada.

1. Retorne à página **Summary (Resumo)** da função.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **AmazonAppStreamServiceAccess** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## AmazonAppStreamServiceAccess política de relacionamento de confiança
<a name="controlling-access-service-access-trust-policy"></a>

A política de relacionamento de **AmazonAppStreamServiceAccess**confiança deve incluir o serviço de WorkSpaces aplicativos como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define WorkSpaces os aplicativos como uma entidade confiável.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Conclua as etapas desta seção para verificar se o perfil de serviço **ApplicationAutoScalingForAmazonAppStreamAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Como verificar se o perfil de serviço do IAM ApplicationAutoScalingForAmazonAppStreamAccessestá presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **applicationautoscaling** para restringir a lista de perfis, depois selecione **ApplicationAutoScalingForAmazonAppStreamAccess**. Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões **ApplicationAutoScalingForAmazonAppStreamAccess** está anexada. 

1. Retorne à página **Summary (Resumo)** da função.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **ApplicationAutoScalingForAmazonAppStreamAccess** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## Política de relação de confiança ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-autoscaling-trust-policy"></a>

A política de relação de confiança **ApplicationAutoScalingForAmazonAppStreamAccess** deve incluir o serviço Application Auto Scaling como entidade principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define o Application Auto Scaling como entidade confiável.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Conclua as etapas desta seção para verificar se o perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Como verificar se o perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` do IAM está presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **applicationautoscaling** para restringir a lista de perfis, depois selecione `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões `AWSApplicationAutoscalingAppStreamFleetPolicy` está anexada.

1. Retorne à página de resumo **Role (Função)**.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet política de relacionamento de confiança
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

A política de relação de confiança `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` deve incluir **appstream.application-autoscaling.amazonaws.com** como entidade principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define **appstream.application-autoscaling.amazonaws.com** como uma entidade confiável.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Verificando a função e as políticas do AmazonAppStream PCAAccess serviço
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Conclua as etapas desta seção para verificar se o perfil de serviço **AmazonAppStreamPCAAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Para verificar se a função de serviço AmazonAppStream PCAAccess do IAM está presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **appstreampca** para restringir a lista de funções a serem selecionadas e, em seguida, escolha. **AmazonAppStreamPCAAccess** Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões **AmazonAppStreamPCAAccess ** está anexada.

1. Retorne à página de resumo **Role (Função)**.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **AmazonAppStreamPCAAccess ** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## AmazonAppStreamPCAAccess política de relacionamento de confiança
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

A política de relacionamento de **AmazonAppStreamPCAAccess**confiança deve incluir prod.euc.ecm.amazonaws.com como principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define o ECM como entidade confiável.

**Para criar a política de relacionamento de AmazonAppStream PCAAccess confiança usando a AWS CLI**

1. Crie um arquivo JSON denominado `AmazonAppStreamPCAAccess.json` com o texto a seguir.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Ajuste o `AmazonAppStreamPCAAccess.json` caminho conforme necessário e execute os seguintes comandos da AWS CLI para criar a política de relacionamento de confiança e anexar a política AmazonAppStream PCAAccess gerenciada. Para saber mais sobre a política gerenciada , consulte [AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Usar políticas do IAM para gerenciar o acesso de administrador ao Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

O escalonamento automático para frotas é possível graças a uma combinação de WorkSpaces Applications CloudWatch, Amazon e Application Auto Scaling. APIs WorkSpaces As frotas de aplicativos são criadas com WorkSpaces Applications, os alarmes são criados com CloudWatch e as políticas de escalabilidade são criadas com o Application Auto Scaling.

Além de ter as permissões definidas na [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)política, o usuário do IAM que acessa as configurações de escalabilidade da frota deve ter as permissões necessárias para os serviços que oferecem suporte à escalabilidade dinâmica. Os usuários do IAM precisam ter as permissões para usar as ações mostradas na política de exemplo a seguir. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Também é possível criar políticas do IAM próprias para definir permissões mais específicas para chamadas à API do Application Auto Scaling. Para obter mais informações, consulte [Controle de acesso e autenticação](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) no *Manual do usuário do Application Auto Scaling*.

# Usar políticas do IAM para gerenciar o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy"></a>

Os exemplos a seguir mostram como você pode usar políticas do IAM para gerenciar o acesso ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações.

**Topics**
+ [Excluir o bucket do Amazon S3 para pastas base e persistência das configurações de aplicações](s3-iam-policy-delete.md)
+ [Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações](s3-iam-policy-restricted-access.md)

# Excluir o bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy-delete"></a>

WorkSpaces Os aplicativos adicionam uma política de bucket do Amazon S3 aos buckets criados para evitar que sejam excluídos acidentalmente. Para excluir um bucket S3, primeiro você deve excluir a política do bucket S3. Veja a seguir as políticas de buket que você precisa excluir para pastas base e persistência de configurações de aplicação.

**Política de pastas base**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Política de persistência de confgurações de aplicação.**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Para obter mais informações, consulte [Excluir ou esvaziar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) no *Guia do usuário do Amazon Simple Storage Service*.

# Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy-restricted-access"></a>

Por padrão, os administradores que podem acessar os buckets do Amazon S3 criados WorkSpaces pelos aplicativos podem visualizar e modificar o conteúdo que faz parte das pastas iniciais dos usuários e das configurações persistentes do aplicativo. Para restringir o acesso do administrador ao bucket do S3 que contém arquivos de usuários, recomendamos aplicar a política de acesso ao bucket do S3 com base no modelo a seguir: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Essa política permite acesso ao bucket do S3 somente aos usuários especificados e ao serviço de WorkSpaces aplicativos. Para cada usuário do IAM que precise ter acesso, replique a seguinte linha:

```
"arn:aws:iam::account:user/IAM-user-name"
```

No exemplo a seguir, a política restringe o acesso ao bucket do S3 da pasta base para todos, exceto os usuários do IAM marymajor e johnstiles. Também permite o acesso ao serviço de WorkSpaces Aplicativos, na AWS Região Oeste dos EUA (Oregon), com o ID da conta 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Usando uma função do IAM para conceder permissões a aplicativos e scripts executados em instâncias de streaming de WorkSpaces aplicativos
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Aplicativos e scripts executados em instâncias de streaming de WorkSpaces aplicativos devem incluir AWS credenciais em suas solicitações de AWS API. Você pode criar um perfil do IAM para gerenciar essas credenciais. Uma função do IAM especifica um conjunto de permissões que você pode usar para acessar AWS recursos. No entanto, essa função não está associada exclusivamente a uma pessoa. Em vez disso, ela pode ser assumida por qualquer pessoa que precise dela.

Você pode aplicar uma função do IAM a uma instância de streaming de WorkSpaces aplicativos. Quando a instância de streaming alterna para (assume) a função, a função fornece credenciais de segurança temporárias. Seu aplicativo ou scripts usam essas credenciais para realizar ações de API e tarefas de gerenciamento na instância de streaming. WorkSpaces O Applications gerencia a troca temporária de credenciais para você.

**Topics**
+ [Melhores práticas para usar funções do IAM com instâncias de streaming de WorkSpaces aplicativos](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [Configurando uma função do IAM existente para usar com instâncias de streaming de WorkSpaces aplicativos](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [Como criar uma função do IAM para usar com instâncias de streaming de WorkSpaces aplicativos](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [Como usar a função do IAM com instâncias de streaming de WorkSpaces aplicativos](how-to-use-iam-role-with-streaming-instances.md)

# Melhores práticas para usar funções do IAM com instâncias de streaming de WorkSpaces aplicativos
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Ao usar funções do IAM com instâncias de streaming de WorkSpaces aplicativos, recomendamos que você siga estas práticas:
+ Limite as permissões que você concede às ações e recursos AWS da API.

  Siga os princípios de menor privilégio ao criar e anexar políticas do IAM às funções do IAM associadas às instâncias de streaming de WorkSpaces aplicativos. Ao usar um aplicativo ou script que exija acesso às ações ou recursos da AWS API, determine as ações e os recursos específicos necessários. Crie políticas que permitam que o aplicativo ou o script execute somente essas ações. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*.
+ Crie uma função do IAM para cada recurso de WorkSpaces aplicativos.

  Criar uma função exclusiva do IAM para cada recurso do WorkSpaces Applications é uma prática que segue os princípios de privilégios mínimos. Isso também permite que você modifique as permissões para um recurso sem afetar outros recursos.
+ Limite onde as credenciais podem ser usadas.

  As políticas do IAM permitem que você defina as condições sob as quais seu perfil do IAM pode ser usado para acessar um recurso. Por exemplo, é possível incluir condições para especificar um intervalo de endereços IP dos quais as solicitações podem vir. Isso impede que as credenciais sejam usadas fora do seu ambiente. Para obter mais informações, consulte [Usar condições nas políticas para mais segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) no *Guia do usuário do IAM*.

# Configurando uma função do IAM existente para usar com instâncias de streaming de WorkSpaces aplicativos
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Este tópico descreve como configurar um perfil do IAM existente para que você possa usá-lo com construtores de imagens e instâncias de streaming de frota.

**Pré-requisitos**

A função do IAM que você deseja usar com um construtor de imagens de WorkSpaces aplicativos ou uma instância de streaming de frota deve atender aos seguintes pré-requisitos:
+ A função do IAM deve estar na mesma conta da Amazon Web Services que a instância de streaming de WorkSpaces aplicativos.
+ O perfil do IAM não pode ser um perfil de serviço.
+ A política de relacionamento de confiança anexada à função do IAM deve incluir o serviço de WorkSpaces aplicativos como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. A política também deve incluir a ação `sts:AssumeRole`. Essa configuração de política define WorkSpaces os aplicativos como uma entidade confiável.

  
+ Se você estiver aplicando a função do IAM a um criador de imagens, o criador de imagens deverá executar uma versão do agente de WorkSpaces aplicativos lançada em ou após 3 de setembro de 2019. Se você estiver aplicando o perfil do IAM a uma frota, ela deverá usar uma imagem que use uma versão do agente liberada na mesma data ou depois dela. Para obter mais informações, consulte [WorkSpaces Notas de versão do Agente de Aplicativos](agent-software-versions.md). 

**Para permitir que o diretor do serviço de WorkSpaces aplicativos assuma uma função existente do IAM**

Para executar as etapas a seguir, você deverá fazer login na conta como um usuário do IAM que tenha as permissões necessárias para listar e atualizar perfis do IAM. Se você não tiver as permissões necessárias, peça ao administrador da sua conta da Amazon Web Services para executar essas etapas na sua conta ou conceder as permissões necessárias.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.

1. Escolha a guia **Relacionamentos de confiança** e, em seguida, selecione **Editar relacionamento de confiança**.

1. Em **Policy Document (Documento da política)**, verifique se a política de relacionamento de confiança inclui a ação `sts:AssumeRole` para o principal do serviço `appstream.amazonaws.com`:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Ao concluir a edição da política de confiança, escolha **Atualizar política de confiança** para salvar as alterações. 

1. A função do IAM que você selecionou será exibida no console de WorkSpaces aplicativos. Essa função concede permissões a aplicativos e scripts para executar ações de API e tarefas de gerenciamento nas instâncias de streaming.

# Como criar uma função do IAM para usar com instâncias de streaming de WorkSpaces aplicativos
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Este tópico descreve como criar um perfil do IAM para que você possa usá-lo com construtores de imagens e instâncias de streaming de frota.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Funções** e **Criar função**.

1. Em **Selecionar tipo de entidade confiável**, selecione **AWS serviço **.

1. Na lista de AWS serviços, escolha **WorkSpaces Aplicativos**.

1. Em **Selecione seu caso de uso**, **WorkSpaces Aplicativos — Permite que instâncias de WorkSpaces aplicativos chamem AWS serviços em seu nome** já está selecionado. Escolha **Próximo: Permissões**.

1. Se possível, selecione a política a ser usada para a política de permissões ou escolha **Create policy (Criar política)** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte a etapa 4 no procedimento [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*.

   Depois de criar a política, feche essa guia e retorne à guia original. Marque a caixa de seleção ao lado das políticas de permissões que você deseja que os WorkSpaces aplicativos tenham.

1. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

1. Escolha **Próximo: tags**. Opcionalmente, você pode anexar tags como pares de chave/valor. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Escolha **Próximo: revisar**.

1. Em **Nome do perfil**, digite um nome de perfil exclusivo em sua conta da Amazon Web Services. Como outros AWS recursos podem fazer referência à função, você não pode editar o nome da função após sua criação.

1. Em **Role description (Descrição da função)**, mantenha a descrição da função padrão ou digite uma nova.

1. Reveja a função e escolha **Criar função**.

# Como usar a função do IAM com instâncias de streaming de WorkSpaces aplicativos
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Depois de criar um perfil do IAM, você poderá aplicá-lo a um construtor de imagens ou a uma instância de streaming de frota ao iniciar o construtor de imagens ou ao criar uma frota. Também é possível aplicar um perfil do IAM a frotas existentes. Para obter informações sobre como aplicar o perfil do IAM ao iniciar um construtor de imagens, consulte [Inicie um criador de imagens para instalar e configurar aplicativos de streaming](tutorial-image-builder-create.md). Para obter informações sobre como aplicar um perfil do IAM ao criar uma frota, consulte [Crie uma frota nos WorkSpaces aplicativos da Amazon](set-up-stacks-fleets-create.md).

Quando você aplica uma função do IAM ao seu criador de imagens ou instância de streaming de frota, os WorkSpaces aplicativos recuperam credenciais temporárias e criam o perfil de credencial **appstream\$1machine\$1role** na instância. As credenciais temporárias são válidas por 1 hora, e novas credenciais são recuperadas a cada hora. As credenciais anteriores não expiram, portanto, você poderá usá-las pelo tempo que forem válidas. Você pode usar o perfil de credencial para chamar AWS serviços de forma programática usando a Interface de Linha de AWS Comando (AWS CLI), o AWS Tools for PowerShell ou o AWS SDK com o idioma de sua escolha.

Ao fazer chamadas de API, especifique **appstream\$1machine\$1role** como o perfil de credencial. Caso contrário, haverá falha na operação devido a permissões insuficientes.

WorkSpaces Os aplicativos assumem a função especificada enquanto a instância de streaming é provisionada. Como o WorkSpaces Applications usa a interface de rede elástica que está conectada à sua VPC para chamadas de AWS API, seu aplicativo ou script deve esperar que a interface de rede elástica fique disponível antes de fazer chamadas de AWS API. Se as chamadas de API forem feitas antes que a interface de rede elástica esteja disponível, haverá falha nas chamadas.

Os exemplos a seguir mostram como é possível usar o perfil de credencial **appstream\$1machine\$1role** para descrever as instâncias de streaming (instâncias do EC2) e criar o cliente Boto. Boto é o Amazon Web Services (AWS) SDK para Python. 

**Descreva as instâncias de streaming (instâncias do EC2) usando a CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Descreva as instâncias de streaming (instâncias do EC2) usando AWS ferramentas para PowerShell**

Você deve usar o AWS Tools para a PowerShell versão 3.3.563.1 ou posterior, com o SDK da Amazon Web Services para .NET versão 3.3.103.22 ou posterior. Você pode baixar o instalador do AWS Tools for Windows, que inclui o AWS Tools for PowerShell e o Amazon Web Services SDK for .NET, [AWS no site Tools PowerShell](https://aws.amazon.com/powershell/) for.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Criando o cliente Boto usando o AWS SDK para Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux no Red Hat Enterprise Linux e no Rocky Linux
<a name="selinux"></a>

Por padrão, o Security Enhanced Linux (SELinux) está `enabled` configurado para o `enforcing` modo para WorkSpaces aplicativos, construtores de imagens e instâncias de streaming com tecnologia Red Hat Enterprise Linux e Rocky Linux. No `enforcing` modo, as negações de permissão são aplicadas. SELinux é uma coleção de recursos e utilitários do kernel para fornecer uma arquitetura de controle de acesso (MAC) forte, flexível e obrigatória aos principais subsistemas do kernel.

SELinux fornece um mecanismo aprimorado para impor a separação de informações com base nos requisitos de confidencialidade e integridade. Essa separação de informações reduz as ameaças de adulteração e desvio dos mecanismos de segurança do aplicativo. Também limita os danos que podem ser causados por aplicativos maliciosos ou defeituosos.

SELinux inclui um conjunto de exemplos de arquivos de configuração de políticas de segurança projetados para atender às metas diárias de segurança. Para obter mais informações sobre SELinux recursos e funcionalidades, consulte [O que é SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Autenticação baseada em cookies nos aplicativos da Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Os aplicativos usam cookies do navegador para autenticar sessões de streaming e permitir que os usuários se reconectem a uma sessão ativa sem precisar inserir novamente suas credenciais de login todas as vezes. Os tokens de autenticação são armazenados nos cookies do navegador para cada cenário de autenticação. Embora os cookies sejam necessários para muitos serviços on-line, eles podem ser vulneráveis a ataques de roubo de cookies. É altamente recomendável que você tome medidas proativas para evitar o roubo de cookies, como implementar soluções robustas de proteção de endpoints para os dispositivos dos usuários. Além disso, para mitigar o impacto potencial no caso de roubo de cookies, recomendamos que você considere as seguintes ações:
+ **Imponha o limite de sessão única**: para as imagens do Windows de seus WorkSpaces aplicativos, crie uma chave de registro abaixo `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` com o nome **max-concurrent-clients**definido como 1 para permitir apenas uma conexão por vez. Isso limita o número de sessões simultâneas a uma e bloqueia o espelhamento de sessões ativas. Para obter mais informações, consulte [session-management Parameters](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Impor a expiração e a reautenticação da sessão**
  + Reduza o SessionDuration valor para que o token de autenticação expire depois que o usuário iniciar com êxito a sessão de streaming. A reutilização de cookies de autenticação após a expiração da SessionDuration exige que os usuários se autentiquem novamente. SessionDuration especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão são 60 minutos. Para obter mais informações, consulte [Etapa 5: criar declarações para a resposta de autenticação de SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Para ajudar a maximizar a segurança, os usuários devem encerrar as sessões adequadamente com a barra de ferramentas (encerrar sessão), em vez de fechar a janela de streaming. Encerrar a sessão por meio da barra de ferramentas encerra tanto a sessão do usuário quanto a instância de streaming. Isso requer nova autenticação para acesso futuro, evitando o uso indevido de cookies. Se um usuário fechar a janela de streaming sem encerrar a sessão, a sessão e a instância permanecerão ativas por um tempo limite de desconexão configurável (em minutos). O tempo limite de desconexão deve ser um número entre 1 e 5.760, com um valor padrão de 15 minutos. Para evitar o uso indevido de sessões inativas, recomendamos definir um tempo limite de desconexão curto. Para obter mais informações, consulte [Crie uma frota nos WorkSpaces aplicativos da Amazon](set-up-stacks-fleets-create.md).
+ **Limite o acesso para transmitir WorkSpaces aplicativos de aplicativos aos seus intervalos de IP**: recomendamos que você implemente políticas de IAM baseadas em IP. Isso garante que as sessões de WorkSpaces aplicativos só possam ser acessadas por clientes cujo endereço IP pertença a um intervalo de IP autorizado. Todas as tentativas de conexão iniciadas por um usuário cujo endereço IP do cliente esteja fora de um intervalo autorizado serão negadas, mesmo que ele esteja apresentando um cookie de autenticação válido (possivelmente roubado de um usuário). Para obter mais informações, consulte [Limitar o acesso para transmitir aplicativos da Amazon AppStream 2.0 aos seus intervalos de IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Adicione autenticação adicional**: para iniciar instâncias de streaming associadas ao domínio, você pode unir suas frotas e criadores de imagens do WorkSpaces Applications Always-On e On-Demand Windows aos domínios no Microsoft Active Directory e usar seus domínios existentes do Active Directory, baseados na nuvem ou no local. Após a autenticação inicial baseada em SAML, os usuários serão solicitados a fornecer suas credenciais de domínio para autenticação adicional no domínio da organização. Para obter mais informações, consulte [Usando o Active Directory com WorkSpaces aplicativos](active-directory.md).

 Se você tiver alguma dúvida ou precisar de ajuda, entre em contato com a [Central do AWS Support](https://console.aws.amazon.com/support/home#/).