As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança da infraestrutura no Amazon AppStream 2.0
Como um serviço gerenciado, o Amazon AppStream 2.0 é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Estrutura bem arquitetada*.
Use chamadas de API publicadas pela AWS para acessar o AppStream 2.0 por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Os tópicos a seguir fornecem informações adicionais sobre a segurança da infraestrutura do AppStream 2.0.
**Topics**
+ [Isolamento de rede](network-isolation.md)
+ [Isolamento em hosts físicos](physical-isolation.md)
+ [Controlar o tráfego de rede](control-network-traffic.md)
+ [WorkSpaces Interface de aplicativos: VPC Endpoints](interface-vpc-endpoints.md)
+ [Como proteger dados em trânsito com endpoints do FIPS](protecting-data-in-transit-FIPS-endpoints.md)
# Isolamento de rede
Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Use VPCs separadas para isolar a infraestrutura por workload ou entidade organizacional.
Uma sub-rede é um intervalo de endereços IP em uma VPC. Quando executa uma instância, você a executa em uma sub-rede em sua VPC. Use sub-redes para isolar as camadas de sua aplicação (por exemplo, Web, aplicação e banco de dados) em uma única VPC. Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet.
Você pode fazer streaming usando instâncias de streaming do AppStream 2.0 em sua VPC sem passar pela internet pública. Para fazer isso, use um VPC endpoint de interface (endpoint de interface). Para obter mais informações, consulte [Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md).
Você também pode chamar operações de API do AppStream 2.0 de sua VPC sem enviar tráfego pela internet pública usando um endpoint de interface. Para mais informações, consulte [Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md).
# Isolamento em hosts físicos
Diferentes instâncias de streaming no mesmo host físico são isoladas umas das outras como se estivessem em hosts físicos separados. O hipervisor isola a CPU e a memória, e as instâncias recebem discos virtualizados em vez de acesso aos dispositivos de disco bruto.
Quando você interrompe ou encerra uma instância de streaming, a memória alocada para ela é apagada (ou seja, definida como zero) pelo hipervisor antes que ela seja alocada para uma nova instância, e cada bloco de armazenamento é redefinido. Isso garante que seus dados não sejam expostos a outra instância.
# Controlar o tráfego de rede
Para ajudar a controlar o tráfego de rede para as instâncias de streaming do AppStream 2.0, considere estas opções:
+ Ao inicializar uma instância de streaming do Amazon AppStream, você a inicializa em uma sub-rede na VPC. Você poderá implantar instâncias de streaming em uma sub-rede privada se elas não precisarem estar acessíveis na Internet.
+ Para fornecer acesso à Internet às instâncias de streaming em uma sub-rede privada, use um gateway NAT. Para obter mais informações, consulte [Configurar uma VPC com sub-redes privadas e um gateway NAT](managing-network-internet-NAT-gateway.md).
+ Os grupos de segurança que pertencem à VPC permitem que você controle o tráfego de rede entre instâncias de streaming do AppStream 2.0 e recursos da VPC, como servidores de licenças, servidores de arquivos e servidores de banco de dados. Os grupos de segurança também isolam o tráfego entre as instâncias de streaming e os serviços de gerenciamento do AppStream 2.0.
Use grupos de segurança para restringir o acesso às instâncias de streaming. Por exemplo, é possível permitir tráfego apenas de intervalos de endereços de sua rede corporativa. Para obter mais informações, consulte [Grupos de segurança em WorkSpaces aplicativos da Amazon](managing-network-security-groups.md).
+ Você pode fazer streaming usando instâncias de streaming do AppStream 2.0 em sua VPC sem passar pela internet pública. Para fazer isso, use um VPC endpoint de interface (endpoint de interface). Para obter mais informações, consulte [Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md).
Você também pode chamar operações de API do AppStream 2.0 de sua VPC sem enviar tráfego pela internet pública usando um endpoint de interface. Para obter mais informações, consulte [Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md).
+ Use políticas e perfis do IAM para gerenciar o acesso de administrador ao AppStream 2.0, ao Application Auto Scaling e aos buckets do Amazon S3. Para obter mais informações, consulte os tópicos a seguir.
+ [Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos](controlling-administrator-access-with-policies-roles.md)
+ [Usar políticas do IAM para gerenciar o acesso de administrador ao Application Auto Scaling](autoscaling-iam-policy.md)
+ [Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações](s3-iam-policy-restricted-access.md)
+ Você pode usar o SAML 2.0 para federar a autenticação no AppStream 2.0. Para obter mais informações, consulte [Quotas do Amazon WorkSpaces Applications Service](limits.md).
**nota**
Para implantações menores do AppStream 2.0, você pode usar grupos de usuários do AppStream 2.0. Por padrão, os grupos de usuários oferecem suporte a, no máximo, 50 usuários. Para obter mais informações sobre as cotas do AppStream 2.0 (também conhecidas como limites), consulte [Quotas do Amazon WorkSpaces Applications Service](limits.md). Para implantações que precisem oferecer suporte a 100 usuários do AppStream 2.0 ou mais, recomendamos usar o SAML 2.0.
# WorkSpaces Interface de aplicativos: VPC Endpoints
Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e WorkSpaces seus aplicativos. Você pode usar essa conexão para permitir que os WorkSpaces aplicativos se comuniquem com seus recursos em sua VPC sem passar pela Internet pública.
Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um AWS Virtual Private Network túnel Direct Connect ou, você pode manter o tráfego de streaming na sua rede.
Os tópicos a seguir fornecem informações sobre os endpoints da interface de WorkSpaces aplicativos.
**Topics**
+ [Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md)
+ [Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md)
# Tutorial: criação e streaming a partir de endpoints da VPC de interface
Você pode usar uma interface VPC endpoint em sua conta da Amazon Web Services para restringir todo o tráfego de rede entre sua Amazon VPC e aplicativos WorkSpaces para a rede Amazon. Depois de criar esse endpoint, você configura sua pilha de WorkSpaces aplicativos ou construtor de imagens para usá-lo.
**Pré-requisitos**
Antes de configurar a interface VPC endpoints para WorkSpaces aplicativos, esteja ciente dos seguintes pré-requisitos:
+ A conectividade com a Internet é necessária para autenticar os usuários e fornecer os ativos da web que os WorkSpaces Aplicativos exigem para funcionar. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para permitir esse tráfego, você deve inserir os domínios listados em [Domínios permitidos](allowed-domains.md). Depois de criar o VPC endpoint, você deve permitir os domínios de autenticação de usuários dos WorkSpaces aplicativos. No entanto, para os gateways de streaming, você pode restringir o acesso a apenas < vpc-endpoint-id >.streaming.appstream. .vpce.amazonaws.com. Não é necessário permitir a listagem em \$1.amazonappstream.com. O nome de domínio totalmente qualificado do endpoint da VPC substitui essa dependência.
+ A rede à qual os dispositivos dos usuários estão conectados deve ser capaz de rotear o tráfego para o endpoint de interface.
+ Os grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta 443 (TCP) e às portas 1400-1499 (TCP) do intervalo de endereços IP do qual os usuários se conectam.
+ A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras 1024-65535 (TCP) para o intervalo de endereços IP do qual os usuários se conectam.
+ Você deve ter uma política de permissões do IAM Conta da AWS que forneça permissões para realizar a ação da `ec2:DescribeVpcEndpoints` API. Por padrão, essa permissão é definida na política do IAM anexada à AmazonAppStreamServiceAccess função. Se você tiver as permissões necessárias, essa função de serviço será criada automaticamente pelos WorkSpaces aplicativos, com as políticas do IAM necessárias anexadas, quando você começa a usar o serviço de WorkSpaces aplicativos em uma AWS região. Para obter mais informações, consulte [Identity and Access Management para WorkSpaces aplicativos da Amazon](controlling-access.md).
**Para criar um endpoint de interface**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints**, **Create Endpoint** (Criar endpoint).
1. Escolha **Criar endpoint**.
1. Em **Categoria de serviço**, certifique-se de que **AWSos serviços** estejam selecionados.
1. Em **Nome do serviço**, escolha **com.amazonaws.******.appstream.streaming**.
1. Especifique as informações a seguir. Quando terminar, escolha **Create endpoint (Criar endpoint)**.
+ Em **VPC**, escolha uma VPC na qual criar o endpoint de interface. Você pode escolher uma VPC diferente da VPC com recursos de aplicativos. WorkSpaces
+ Em **Subnets (Sub-redes)**, selecione as sub-redes (zonas de disponibilidade) nas quais você deseja criar as interfaces de rede do endpoint. Recomendamos que você escolha sub-redes em pelo menos duas zonas de disponibilidade.
+ Para **o tipo de endereço IP**, escolha IPV6 ou IPV4.
+ Verifique se a caixa de seleção **Enable Private DNS Name (Habilitar nome DNS privado)** está marcada.
**nota**
Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do endpoint da VPC deve ser permitido por meio do proxy.
+ Em **Security group (Grupo de segurança)**, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint.
**nota**
Os grupos de segurança devem fornecer acesso de entrada às portas do intervalo de endereços IP do qual os usuários se conectam.
Enquanto o endpoint de interface está sendo criado, o status do endpoint no console aparece como **Pending (Pendente)**. Depois que o endpoint for criado, o status mudará para **Available (Disponível)**.
Para atualizar uma pilha para usar o endpoint de interface que você criou para sessões de streaming, execute as etapas a seguir.
**Para atualizar uma pilha para usar um novo endpoint de interface**
1. Abra o console de WorkSpaces aplicativos em [https://console.aws.amazon.com/appstream2/casa](https://console.aws.amazon.com/appstream2/home).
Certifique-se de abrir o console na mesma AWS região do endpoint da interface que você deseja usar.
1. No painel de navegação, selecione **Stacks (Pilhas)** e escolha a pilha desejada.
1. Escolha a guia **Endpoints da VPC**, depois selecione **Editar**.
1. Na caixa de diálogo **Editar endpoint da VPC**, em **Endpoint de streaming**, escolha o endpoint pelo qual você deseja fazer streaming do tráfego.
1. Selecione **Atualizar**.
O tráfego para novas sessões de streaming será roteado por meio desse endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.
**nota**
Os usuários não podem fazer streaming usando o endpoint da Internet quando um endpoint da interface é especificado.
# Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint
Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode se conectar diretamente às operações da API de WorkSpaces aplicativos ou aos comandos da interface de linha de comando (CLI) por meio de um endpoint [VPC de interface (endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) de interface) em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Quando você usa um endpoint de interface, a comunicação entre sua VPC WorkSpaces e os aplicativos é conduzida de forma completa e segura dentro da rede. AWS
**nota**
Este tópico descreve como acessar as operações da API de WorkSpaces aplicativos e os comandos da CLI por meio de um endpoint de interface. Para obter informações sobre como criar e transmitir a partir dos endpoints da interface de WorkSpaces aplicativos, consulte[Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md).
**Pré-requisitos**
Para usar endpoints de interface, você deve atender aos seguintes pré-requisitos:
+ Os grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta 443 (TCP) do intervalo de endereços IP do qual os usuários se conectam.
+ A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras 1024-65535 (TCP) para o intervalo de endereços IP do qual os usuários se conectam.
**Topics**
+ [Crie um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [Use um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI](how-to-access-api-cli-through-interface-vpc-endpoint.md)
# Crie um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI
Execute as etapas a seguir para criar um endpoint de interface.
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints**, **Create Endpoint** (Criar endpoint).
1. Escolha **Criar endpoint**.
1. Em **Categoria de serviço**, certifique-se de que **AWSos serviços** estejam selecionados.
1. Em **Nome do serviço**, escolha **com.amazonaws.******.appstream.api**.
1. Especifique as informações a seguir. Quando terminar, escolha **Create endpoint (Criar endpoint)**.
+ Em **VPC**, selecione a VPC na qual deseja criar o endpoint.
+ Para **Subnets** (Sub-redes), selecione as sub-redes (zonas de disponibilidade) nas quais deseja criar interfaces de rede do endpoint. Recomendamos que você escolha sub-redes em pelo menos duas zonas de disponibilidade.
+ Opcionalmente, você pode marcar a caixa de seleção **Enable Private DNS Name (Habilitar nome DNS privado)**.
**nota**
Se você selecionar essa opção, certifique-se de configurar a VPC e o DNS, conforme necessário, para oferecer suporte a DNS privado. Para obter mais informações, consulte [DNS privado](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) no *Guia do usuário do Amazon VPC*.
+ Para **Security group** (Grupo de segurança), selecione os grupos de segurança para associar às interfaces de rede do endpoint.
**nota**
Os grupos de segurança devem fornecer acesso de entrada às portas do intervalo de endereços IP do qual os usuários se conectam.
Enquanto o endpoint de interface está sendo criado, o status do endpoint no console aparece como **Pending (Pendente)**. Depois que o endpoint for criado, o status mudará para **Available (Disponível)**.
# Use um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI
Depois que o status da interface VPC endpoint criada for alterado para **Disponível**, você poderá usar o endpoint para acessar as operações da API de WorkSpaces aplicativos e os comandos da CLI. Para fazer isso, especifique o parâmetro `endpoint-url` com o nome DNS do endpoint de interface ao usar essas operações e esses comandos. O nome DNS pode ser resolvido publicamente, mas apenas roteia o tráfego em sua VPC com êxito.
O exemplo a seguir mostra como especificar o nome DNS do endpoint de interface ao usar o comando **describe-fleets** da CLI:
```
aws appstream describe-fleets --endpoint-url .api.appstream..vpce.amazonaws.com
```
O exemplo a seguir mostra como especificar o nome DNS do endpoint da interface ao instanciar o cliente Python do Applications WorkSpaces Boto3:
```
appstream2client = boto3.client('appstream',region_name='',endpoint_url='.api.appstream..vpce.amazonaws.com'
```
Os comandos subsequentes que usam o objeto `appstream2client` usam automaticamente o endpoint de interface que você especificou.
Se você tiver habilitado os nomes de host DNS privado no endpoint de interface, não será necessário especificar o URL do endpoint. O nome do host DNS da API de WorkSpaces aplicativos que a API e a CLI usam por padrão é resolvido em sua VPC. Para obter mais informações sobre nomes de host de DNS privado, consulte [DNS privado](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) no *Guia do usuário do Amazon VPC*.
# Como proteger dados em trânsito com endpoints do FIPS
Por padrão, quando você se comunica com o serviço AppStream 2.0, seja como administrador usando o console do AppStream 2.0, a AWS Command Line Interface (AWS CLI) ou um AWS SDK, ou como um usuário que faz streaming de uma instância de frota ou um construtor de imagens, todos os dados em trânsito são criptografados usando TLS 1.2.
Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou uma API, use um endpoint FIPS. O AppStream 2.0 oferece endpoints FIPS em todas as regiões da AWS nos Estados Unidos onde o AppStream 2.0 está disponível. Quando você usa um endpoint do FIPS, todos os dados em trânsito são criptografados usando padrões criptográficos que estão em conformidade com o Federal Information Processing Standard (FIPS) 140-2. Para obter informações sobre os endpoints FIPS, incluindo uma lista de endpoints do AppStream 2.0, consulte [Federal Information Processing Standard (FIPS – Norma federal de processamento de informações) 140-2](https://aws.amazon.com/compliance/fips).
**Topics**
+ [Endpoints do FIPS para uso administrativo](FIPS-for-administrative-use.md)
+ [Endpoints do FIPS para sessões de streaming do usuário](FIPS-for-user-streaming-sessions.md)
+ [Exceções](FIPS-exceptions.md)
# Endpoints do FIPS para uso administrativo
Para especificar um endpoint FIPS ao executar um comando da AWS CLI para o AppStream 2.0, use o parâmetro `endpoint-url`. O seguinte exemplo usa o endpoint FIPS do AppStream 2.0 na região Oeste dos EUA (Oregon) para recuperar uma lista de todas as pilhas na região:
```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```
Para especificar um endpoint FIPS para operações de API do AppStream 2.0, use o procedimento no AWS SDK para especificar um endpoint personalizado.
# Endpoints do FIPS para sessões de streaming do usuário
Se usar o SAML 2.0 ou um URL de streaming para autenticar usuários, você poderá configurar conexões compatíveis com o FIPS para as sessões de streaming dos usuários.
Para usar uma conexão compatível com o FIPS para usuários que se autenticam usando SAML 2.0, especifique um endpoint FIPS do AppStream 2.0 ao configurar o estado de retransmissão da federação. Para obter mais informações sobre como criar um URL de estado de retransmissão para a federação de identidades usando o SAML 2.0, consulte [Configuração do SAML](external-identity-providers-setting-up-saml.md).
Para configurar uma conexão compatível com o FIPS para usuários que se autenticam por meio de um URL de streaming, especifique um endpoint FIPS do AppStream 2.0 ao chamar a operação [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) ou [CreateImageBuilderStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) da AWS CLI ou de um AWS SDK. Um usuário que se conecte a uma instância de streaming usando o URL resultante é conectado por meio de uma conexão compatível com o FIPS. O seguinte exemplo usa o endpoint FIPS do AppStream 2.0 na região Leste dos EUA (Virgínia) para gerar um URL de streaming compatível com o FIPS:
```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```
# Exceções
Conexões compatíveis com o FIPS não têm suporte nos seguintes cenários:
+ Administração do AppStream 2.0 pelo console do AppStream 2.0
+ Sessões de streaming para usuários que se autenticam usando o recurso de grupo de usuários do AppStream 2.0
+ Streaming usando um VPC endpoint de interface
+ Gerar URLs de streaming compatíveis com o FIPS pelo console do AppStream 2.0
+ Conexões com suas contas de armazenamento do Google Drive ou OneDrive em que o provedor de armazenamento não fornece um endpoint do FIPS