As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Proteção de dados no Amazon AppStream 2.0
<a name="data-protection"></a>

O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon AppStream 2.0. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as [Perguntas Frequentes sobre Privacidade de Dados.](https://aws.amazon.com/compliance/data-privacy-faq). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Modelo de Responsabilidade Compartilhada e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *AWSBlog de segurança da *.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure usuários individuais com o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2.
+ Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.
+ Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre endpoints do FIPS, consulte [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo **Name** (Nome). Isso inclui quando você trabalha com o AppStream 2.0 ou outros serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em marcações ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

**Topics**
+ [Criptografia em repouso](encryption-rest.md)
+ [Criptografia em trânsito](encryption-transit.md)
+ [Controles do administrador](administrator-controls.md)
+ [Acesso ao aplicativo](application-access.md)

# Criptografia em repouso
<a name="encryption-rest"></a>

As instâncias de frota do AppStream 2.0 são de natureza efêmera. Após a conclusão da sessão de streaming de um usuário, a instância subjacente e o volume do Amazon Elastic Block Store (Amazon EBS) associado são encerrados. Além disso, o AppStream 2.0 recicla periodicamente as instâncias não utilizadas.

Quando você habilita a [persistência das configurações de aplicações](how-it-works-app-settings-persistence.md), as [pastas base](home-folders-admin.md), os [scripts de sessão](enable-S3-bucket-storage-session-script-logs.md) ou os [relatórios de uso](enable-usage-reports.md) para os usuários, os dados gerados pelos usuários e armazenados em buckets do Amazon Simple Storage Service são criptografados em repouso. O AWS Key Management Service é um serviço que combina hardware e software seguros e altamente disponíveis para fornecer um sistema de gerenciamento de chaves com escala ajustada para a nuvem. O Amazon S3 usa [CMKs gerenciadas pela AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) para criptografar os dados dos seus objetos do Amazon S3.

# Criptografia em trânsito
<a name="encryption-transit"></a>

A tabela a seguir fornece informações sobre como os dados são criptografados em trânsito. Sempre que aplicável, também são listados outros métodos de proteção de dados para o AppStream 2.0.


| Dados | Caminho de rede | Como é protegido | 
| --- | --- | --- | 
|  Ativos da Web Esse tráfego inclui ativos como imagens e arquivos JavaScript.  |  Entre usuários do AppStream 2.0 e o AppStream 2.0  | Criptografado usando TLS 1.2 | 
| Tráfego de pixel e streaming relacionado | Entre usuários do AppStream 2.0 e o AppStream 2.0 |  Criptografado usando o Padrão de Criptografia Avançada de 256 bits (AES-256) Transportado usando TLS 1.2  | 
| Tráfego de API | Entre usuários do AppStream 2.0 e o AppStream 2.0 |  Criptografado usando TLS 1.2 As solicitações para criar uma conexão são assinadas usando SigV4  | 
| Configurações do aplicativo e dados da pasta inicial gerados pelos usuários Aplicável quando as pastas iniciais e a persistência das configurações do aplicativo estão habilitadas.  | Entre usuários do AppStream 2.0 e o Amazon S3 | Criptografados usando endpoints SSL do Amazon S3 | 
| Tráfego gerenciado pelo AppStream 2.0 |  Entre instâncias de streaming do AppStream 2.0 e: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/encryption-transit.html)  | Criptografado usando TLS 1.2 As solicitações para criar uma conexão são assinadas usando SigV4, quando aplicável | 

# Controles do administrador
<a name="administrator-controls"></a>

O AppStream 2.0 fornece controles administrativos que podem ser usados para limitar as maneiras pelas quais os usuários podem transferir dados entre o computador local e uma instância de frota do AppStream 2.0. É possível limitar ou desabilitar o seguinte ao [criar ou atualizar uma pilha do AppStream 2.0](set-up-stacks-fleets-install.md):
+ Área de transferência/ações de copiar e colar
+ Upload e download de arquivos, incluindo redirecionamento de pastas e unidades
+ Impressão

Quando uma imagem do AppStream 2.0 é criada, é possível especificar quais dispositivos USB estão disponíveis para redirecionar para instâncias de frota do cliente do AppStream 2.0 para Windows. Os dispositivos USB especificados estarão disponíveis para uso durante as sessões de streaming do AppStream 2.0 dos usuários. Para obter mais informações, consulte [Qualifique dispositivos USB para uso com aplicativos de streaming](qualify-usb-devices.md).

# Acesso ao aplicativo
<a name="application-access"></a>

Por padrão, o AppStream 2.0 permite que as aplicações especificadas na imagem inicializem outras aplicações e arquivos executáveis no construtor de imagens e na instância de frota. Isso garante que aplicativos com dependências de outros aplicativos (por exemplo, um aplicativo que inicia o navegador para navegar até um site do produto) funcionem conforme esperado. Certifique-se de configurar seus controles administrativos, grupos de segurança e outros softwares de segurança para conceder aos usuários as permissões mínimas necessárias para acessar recursos e transferir dados entre os computadores locais e as instâncias de frota.

É possível usar o software de controle de aplicativos, como o [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), e políticas para controlar quais aplicativos e arquivos os usuários podem executar. O software e as políticas de controle de aplicações ajudam você a controlar arquivos executáveis, scripts, arquivos do instalador do Windows, bibliotecas de vínculo dinâmico e pacotes de aplicações que os usuários podem executar em construtores de imagens e instâncias de frota do AppStream 2.0.

**nota**  
O software do agente do AppStream 2.0 depende do prompt de comando do Windows e do Windows Powershell para provisionar instâncias de streaming. Se você optar por impedir que os usuários iniciem o prompt de comando do Windows ou o Windows Powershell, as políticas não deverão ser aplicadas ao Windows NT AUTHORITY\$1SYSTEM ou aos usuários do grupo Administradores.


| Tipo de regra | Ação | Usuário ou grupo do Windows | Nome/caminho | Condição | Descrição | 
| --- | --- | --- | --- | --- | --- | 
| Executável | Permitir | NT AUTHORITY\$1System | \$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | BUILTIN\$1Administrators | \$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1nodejs\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1NICE\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1Amazon\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1<default-browser>\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 quando são utilizadas soluções de armazenamento persistente, como o Google Drive ou o Microsoft OneDrive for Business. Esta exceção não é necessária quando são utilizadas pastas base do AppStream 2.0. |