As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Segurança nos WorkSpaces aplicativos da Amazon
<a name="security"></a>

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como a segurança da nuvem e a segurança na nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para obter informações sobre os programas de conformidade que se aplicam aos WorkSpaces aplicativos, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e os regulamentos aplicáveis 

Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar WorkSpaces aplicativos. Ele mostra como configurar WorkSpaces aplicativos para atender aos seus objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos de WorkSpaces aplicativos.

**Topics**
+ [

# Proteção de dados no Amazon AppStream 2.0
](data-protection.md)
+ [

# Identity and Access Management para WorkSpaces aplicativos da Amazon
](controlling-access.md)
+ [

# Registrar em log e monitorar no Amazon AppStream 2.0
](logging-monitoring-alerting.md)
+ [

# Validação de conformidade do Amazon AppStream 2.0
](compliance-validation.md)
+ [

# Resiliência no Amazon AppStream 2.0
](disaster-recovery-resiliency.md)
+ [

# Segurança da infraestrutura no Amazon AppStream 2.0
](infrastructure-security.md)
+ [

# Grupos de segurança em WorkSpaces aplicativos da Amazon
](managing-network-security-groups.md)
+ [

# Gerenciamento de atualizações no Amazon AppStream 2.0
](update-management.md)
+ [

# Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention
](confused-deputy.md)
+ [

# Melhores práticas de segurança nos WorkSpaces aplicativos da Amazon
](security-best-practices.md)

# Proteção de dados no Amazon AppStream 2.0
<a name="data-protection"></a>

O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) da AWS se aplica à proteção de dados no Amazon AppStream 2.0. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as [Perguntas Frequentes sobre Privacidade de Dados.](https://aws.amazon.com/compliance/data-privacy-faq). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Modelo de Responsabilidade Compartilhada e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *AWSBlog de segurança da *.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure usuários individuais com o AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2.
+ Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.
+ Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre endpoints do FIPS, consulte [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo **Name** (Nome). Isso inclui quando você trabalha com o AppStream 2.0 ou outros serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em marcações ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

**Topics**
+ [

# Criptografia em repouso
](encryption-rest.md)
+ [

# Criptografia em trânsito
](encryption-transit.md)
+ [

# Controles do administrador
](administrator-controls.md)
+ [

# Acesso ao aplicativo
](application-access.md)

# Criptografia em repouso
<a name="encryption-rest"></a>

As instâncias de frota do AppStream 2.0 são de natureza efêmera. Após a conclusão da sessão de streaming de um usuário, a instância subjacente e o volume do Amazon Elastic Block Store (Amazon EBS) associado são encerrados. Além disso, o AppStream 2.0 recicla periodicamente as instâncias não utilizadas.

Quando você habilita a [persistência das configurações de aplicações](how-it-works-app-settings-persistence.md), as [pastas base](home-folders-admin.md), os [scripts de sessão](enable-S3-bucket-storage-session-script-logs.md) ou os [relatórios de uso](enable-usage-reports.md) para os usuários, os dados gerados pelos usuários e armazenados em buckets do Amazon Simple Storage Service são criptografados em repouso. O AWS Key Management Service é um serviço que combina hardware e software seguros e altamente disponíveis para fornecer um sistema de gerenciamento de chaves com escala ajustada para a nuvem. O Amazon S3 usa [CMKs gerenciadas pela AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) para criptografar os dados dos seus objetos do Amazon S3.

# Criptografia em trânsito
<a name="encryption-transit"></a>

A tabela a seguir fornece informações sobre como os dados são criptografados em trânsito. Sempre que aplicável, também são listados outros métodos de proteção de dados para o AppStream 2.0.


| Dados | Caminho de rede | Como é protegido | 
| --- | --- | --- | 
|  Ativos da Web Esse tráfego inclui ativos como imagens e arquivos JavaScript.  |  Entre usuários do AppStream 2.0 e o AppStream 2.0  | Criptografado usando TLS 1.2 | 
| Tráfego de pixel e streaming relacionado | Entre usuários do AppStream 2.0 e o AppStream 2.0 |  Criptografado usando o Padrão de Criptografia Avançada de 256 bits (AES-256) Transportado usando TLS 1.2  | 
| Tráfego de API | Entre usuários do AppStream 2.0 e o AppStream 2.0 |  Criptografado usando TLS 1.2 As solicitações para criar uma conexão são assinadas usando SigV4  | 
| Configurações do aplicativo e dados da pasta inicial gerados pelos usuários Aplicável quando as pastas iniciais e a persistência das configurações do aplicativo estão habilitadas.  | Entre usuários do AppStream 2.0 e o Amazon S3 | Criptografados usando endpoints SSL do Amazon S3 | 
| Tráfego gerenciado pelo AppStream 2.0 |  Entre instâncias de streaming do AppStream 2.0 e: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/encryption-transit.html)  | Criptografado usando TLS 1.2 As solicitações para criar uma conexão são assinadas usando SigV4, quando aplicável | 

# Controles do administrador
<a name="administrator-controls"></a>

O AppStream 2.0 fornece controles administrativos que podem ser usados para limitar as maneiras pelas quais os usuários podem transferir dados entre o computador local e uma instância de frota do AppStream 2.0. É possível limitar ou desabilitar o seguinte ao [criar ou atualizar uma pilha do AppStream 2.0](set-up-stacks-fleets-install.md):
+ Área de transferência/ações de copiar e colar
+ Upload e download de arquivos, incluindo redirecionamento de pastas e unidades
+ Impressão

Quando uma imagem do AppStream 2.0 é criada, é possível especificar quais dispositivos USB estão disponíveis para redirecionar para instâncias de frota do cliente do AppStream 2.0 para Windows. Os dispositivos USB especificados estarão disponíveis para uso durante as sessões de streaming do AppStream 2.0 dos usuários. Para obter mais informações, consulte [Qualifique dispositivos USB para uso com aplicativos de streaming](qualify-usb-devices.md).

# Acesso ao aplicativo
<a name="application-access"></a>

Por padrão, o AppStream 2.0 permite que as aplicações especificadas na imagem inicializem outras aplicações e arquivos executáveis no construtor de imagens e na instância de frota. Isso garante que aplicativos com dependências de outros aplicativos (por exemplo, um aplicativo que inicia o navegador para navegar até um site do produto) funcionem conforme esperado. Certifique-se de configurar seus controles administrativos, grupos de segurança e outros softwares de segurança para conceder aos usuários as permissões mínimas necessárias para acessar recursos e transferir dados entre os computadores locais e as instâncias de frota.

É possível usar o software de controle de aplicativos, como o [Microsoft AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview), e políticas para controlar quais aplicativos e arquivos os usuários podem executar. O software e as políticas de controle de aplicações ajudam você a controlar arquivos executáveis, scripts, arquivos do instalador do Windows, bibliotecas de vínculo dinâmico e pacotes de aplicações que os usuários podem executar em construtores de imagens e instâncias de frota do AppStream 2.0.

**nota**  
O software do agente do AppStream 2.0 depende do prompt de comando do Windows e do Windows Powershell para provisionar instâncias de streaming. Se você optar por impedir que os usuários iniciem o prompt de comando do Windows ou o Windows Powershell, as políticas não deverão ser aplicadas ao Windows NT AUTHORITY\$1SYSTEM ou aos usuários do grupo Administradores.


| Tipo de regra | Ação | Usuário ou grupo do Windows | Nome/caminho | Condição | Descrição | 
| --- | --- | --- | --- | --- | --- | 
| Executável | Permitir | NT AUTHORITY\$1System | \$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | BUILTIN\$1Administrators | \$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1nodejs\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1NICE\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1Amazon\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 | 
| Executável | Permitir | Todos | %PROGRAMFILES%\$1<default-browser>\$1\$1 | Caminho | Necessária para o software do agente do AppStream 2.0 quando são utilizadas soluções de armazenamento persistente, como o Google Drive ou o Microsoft OneDrive for Business. Esta exceção não é necessária quando são utilizadas pastas base do AppStream 2.0. | 

# Identity and Access Management para WorkSpaces aplicativos da Amazon
<a name="controlling-access"></a>

Suas credenciais de segurança identificam você para os serviços AWS e concedem a você o uso ilimitado de seus AWS recursos, como os recursos de seus WorkSpaces Aplicativos. Você pode usar os recursos de WorkSpaces Aplicativos e AWS Identity and Access Management (IAM) para permitir que outros usuários, serviços e aplicativos usem seus recursos de WorkSpaces Aplicativos sem compartilhar suas credenciais de segurança. 

Você pode usar o IAM para controlar como outros usuários usam recursos em sua conta da Amazon Web Services e você pode usar grupos de segurança para controlar o acesso às suas instâncias de streaming de WorkSpaces aplicativos. Você pode permitir o uso total ou limitado dos recursos de seus WorkSpaces aplicativos. 

**Topics**
+ [

# Acesso de rede à instância de streaming
](network-access-to-streaming-instances.md)
+ [

# Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos
](controlling-administrator-access-with-policies-roles.md)
+ [

# Usar políticas do IAM para gerenciar o acesso de administrador ao Application Auto Scaling
](autoscaling-iam-policy.md)
+ [

# Usar políticas do IAM para gerenciar o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
](s3-iam-policy.md)
+ [

# Usando uma função do IAM para conceder permissões a aplicativos e scripts executados em instâncias de streaming de WorkSpaces aplicativos
](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [

# SELinux no Red Hat Enterprise Linux e no Rocky Linux
](selinux.md)
+ [

# Autenticação baseada em cookies nos aplicativos da Amazon WorkSpaces
](cookie-auth.md)

# Acesso de rede à instância de streaming
<a name="network-access-to-streaming-instances"></a>

Um grupo de segurança atua como um firewall com estado que controla o tráfego permitido para alcançar suas instâncias de streaming. Ao iniciar uma instância de streaming de WorkSpaces aplicativos, atribua-a a um ou mais grupos de segurança. Depois, adicione regras a cada grupo de segurança que controlam o tráfego da instância. Você pode modificar as regras de um grupo de segurança a qualquer momento. As novas regras são aplicadas automaticamente a todas as instâncias às quais o grupo de segurança é atribuído. 

Para obter mais informações, consulte [Grupos de segurança em WorkSpaces aplicativos da Amazon](managing-network-security-groups.md).

# Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos
<a name="controlling-administrator-access-with-policies-roles"></a>

Por padrão, os usuários do IAM não têm as permissões necessárias para criar ou modificar recursos de WorkSpaces aplicativos ou realizar tarefas usando a API de WorkSpaces aplicativos. Isso significa que esses usuários não podem realizar essas ações no console de WorkSpaces aplicativos ou usando os comandos da AWS CLI dos WorkSpaces aplicativos. Para permitir que os usuários do IAM criem ou modifiquem recursos e executem tarefas, anexe uma política do IAM aos usuários ou grupos do IAM que exigem essas permissões. 

Quando você anexa uma política a um usuário, um grupo de usuários ou um perfil do IAM, ela concede ou nega aos usuários permissão para realizar as tarefas especificadas nos recursos especificados. 

**Topics**
+ [

# AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos
](managed-policies-required-to-access-appstream-resources.md)
+ [

# Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
](roles-required-for-appstream.md)
+ [

# Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço
](controlling-access-checking-for-iam-service-access.md)
+ [

# Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas
](controlling-access-checking-for-iam-autoscaling.md)
+ [

# Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas
](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md)
+ [

# Verificando a função e as políticas do AmazonAppStream PCAAccess serviço
](controlling-access-checking-for-AppStreamPCAAccess.md)

# AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos
<a name="managed-policies-required-to-access-appstream-resources"></a>

Para fornecer acesso administrativo completo ou somente para leitura aos WorkSpaces aplicativos, você deve anexar uma das seguintes políticas AWS gerenciadas aos usuários ou grupos do IAM que exigem essas permissões. Uma *política gerenciada pela AWS * é uma política independente que é criada e administrada pela AWS. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

**nota**  
Em AWS, os papéis do IAM são usados para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas anexadas à função determinam quais AWS recursos o serviço pode acessar e o que ele pode fazer com esses recursos. Para WorkSpaces aplicativos, além de ter as permissões definidas na **AmazonAppStreamFullAccess**política, você também deve ter as funções necessárias em sua AWS conta. Para obter mais informações, consulte [Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA](roles-required-for-appstream.md).

**AmazonAppStreamFullAccess**  
Essa política gerenciada fornece acesso administrativo total aos recursos dos WorkSpaces aplicativos. Para gerenciar recursos de WorkSpaces aplicativos e realizar ações de API por meio da interface de linha de AWS comando (AWS CLI), AWS SDK ou console AWS de gerenciamento, você deve ter as permissões definidas nesta política.  
Se você entrar no console de WorkSpaces aplicativos como usuário do IAM, deverá anexar essa política ao seu Conta da AWS. Se fizer login por meio da federação do console, você deverá anexar essa política ao perfil do IAM que foi usado para federação.  
Para ver as permissões dessa política, consulte [AmazonAppStreamFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamFullAccess.html).

**AmazonAppStreamReadOnlyAccess**  
Essa política baseada em identidade concede aos usuários permissões somente de leitura para visualizar e monitorar recursos de WorkSpaces aplicativos e configurações de serviços relacionados. Os usuários podem acessar o console de WorkSpaces aplicativos para visualizar aplicativos de streaming, status da frota, relatórios de uso e recursos associados, mas não podem fazer nenhuma alteração. A política também inclui as permissões de leitura necessárias para oferecer suporte a serviços como IAM, Application Auto Scaling e CloudWatch para permitir recursos abrangentes de monitoramento e geração de relatórios.  
Para ver as permissões dessa política, consulte [AmazonAppStreamReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamReadOnlyAccess.html).

O console de WorkSpaces aplicativos usa uma ação adicional que fornece funcionalidade que não está disponível por meio da AWS CLI ou AWS do SDK. As **AmazonAppStreamReadOnlyAccess**políticas **AmazonAppStreamFullAccess**e fornecem permissões para a ação a seguir.


| Ação | Description | Nível de acesso | 
| --- | --- | --- | 
| DescribeImageBuilders | Concede permissão para recuperar uma lista que descreve um ou mais image builders especificados, se os nomes de image builders são fornecidos. Caso contrário, todos os construtores de imagens na conta são descritos. | Ler | 

**AmazonAppStreamPCAAccess**  
Essa política gerenciada fornece acesso administrativo total aos recursos de CA privada do AWS Certificate Manager em sua AWS conta para autenticação baseada em certificados.  
Para ver as permissões dessa política, consulte [AmazonAppStreamPCAAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamPCAAccess.html).

**AmazonAppStreamServiceAccess**  
Essa política gerenciada é a política padrão para a função de serviço de WorkSpaces Aplicativos.   
Essa política de permissões de função permite que os WorkSpaces aplicativos concluam as seguintes ações:  
+ Ao usar sub-redes em sua conta para suas frotas de WorkSpaces WorkSpaces aplicativos, o Applications é capaz de descrever sub-redes e zonas de disponibilidade VPCs, bem como criar e gerenciar o ciclo de vida de todas as interfaces de rede elástica associadas às instâncias da frota nessas sub-redes. Isso também inclui a capacidade de anexar grupos de segurança e endereços IP dessas sub-redes a essas interfaces de rede elástica.
+ Ao usar recursos como UPP e HomeFolders, o WorkSpaces Applications é capaz de criar e gerenciar buckets, objetos do Amazon S3 e seus ciclos de vida, políticas e configuração de criptografia na conta. Esses buckets incluem os seguintes prefixos de nomenclatura:
  + `"arn:aws:s3:::appstream2-36fb080bb8-",`
  + `"arn:aws:s3:::appstream-app-settings-",`
  + `"arn:aws:s3:::appstream-logs-"`
Para ver as permissões dessa política, consulte [AmazonAppStreamServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAppStreamServiceAccess.html).

**ApplicationAutoScalingForAmazonAppStreamAccess**  
Essa política gerenciada permite o escalonamento automático de WorkSpaces aplicativos.  
Para ver as permissões dessa política, consulte [ApplicationAutoScalingForAmazonAppStreamAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ApplicationAutoScalingForAmazonAppStreamAccess.html).

**AWSApplicationAutoscalingAppStreamFleetPolicy**  
Essa política gerenciada concede permissões para que o Application Auto Scaling acesse WorkSpaces aplicativos e. CloudWatch   
Para ver as permissões dessa política, consulte [AWSApplicationAutoscalingAppStreamFleetPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSApplicationAutoscalingAppStreamFleetPolicy.html).

## WorkSpaces Atualizações de aplicativos para políticas AWS gerenciadas
<a name="security-iam-awsmanpol-updates"></a>



Veja detalhes sobre as atualizações das políticas AWS gerenciadas para WorkSpaces aplicativos desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico de documentos para WorkSpaces aplicativos da Amazon](doc-history.md).




| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  AmazonAppStreamServiceAccess — Mudança  |   Foram adicionadas permissões de permissão `"ec2:DescribeImages"` para o documento de política JSON  | 17 de novembro de 2025 | 
|  AmazonAppStreamReadOnlyAccess — Mudança  |   Removido `"appstream:Get*",` do documento da política JSON  | 22 de outubro de 2025 | 
|  WorkSpaces Os aplicativos começaram a rastrear as alterações  |  WorkSpaces Os aplicativos começaram a rastrear as mudanças em suas políticas AWS gerenciadas  | 31 de outubro de 2022 | 

# Funções necessárias para WorkSpaces Applications, Application Auto Scaling e AWS Certificate Manager Private CA
<a name="roles-required-for-appstream"></a>

Em AWS, os papéis do IAM são usados para conceder permissões a um AWS serviço para que ele possa acessar AWS recursos. As políticas anexadas à função determinam quais AWS recursos o serviço pode acessar e o que ele pode fazer com esses recursos. Para WorkSpaces aplicativos, além de ter as permissões definidas na **AmazonAppStreamFullAccess**política, você também deve ter as seguintes funções em sua AWS conta.

**Topics**
+ [

## AmazonAppStreamServiceAccess
](#AmazonAppStreamServiceAccess)
+ [

## ApplicationAutoScalingForAmazonAppStreamAccess
](#ApplicationAutoScalingForAmazonAppStreamAccess)
+ [

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
](#AWSServiceRoleForApplicationAutoScaling_AppStreamFleet)
+ [

## AmazonAppStreamPCAAccess
](#AppStreamPCAAccess)

## AmazonAppStreamServiceAccess
<a name="AmazonAppStreamServiceAccess"></a>

Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.

Enquanto os recursos de WorkSpaces aplicativos estão sendo criados, o serviço de WorkSpaces aplicativos faz chamadas de API para outros AWS serviços em seu nome, assumindo essa função. Para criar frotas, é necessário ter esse perfil na conta. Se essa função não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá criar frotas de WorkSpaces aplicativos.

Para obter mais informações, consulte [Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço](controlling-access-checking-for-iam-service-access.md) para verificar se a função **AmazonAppStreamServiceAccess**de serviço está presente e tem as políticas corretas anexadas. 

**nota**  
Essa função de serviço pode ter permissões diferentes das do primeiro usuário que está começando a usar os WorkSpaces aplicativos. Para obter detalhes sobre as permissões dessa função, consulte “AmazonAppStreamServiceAccess” em[AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md).

## ApplicationAutoScalingForAmazonAppStreamAccess
<a name="ApplicationAutoScalingForAmazonAppStreamAccess"></a>

Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.

O escalonamento automático é um recurso das frotas de WorkSpaces aplicativos. Para configurar políticas de escalabilidade, você deve ter essa função de serviço em sua AWS conta. Se essa função de serviço não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá escalar frotas de WorkSpaces aplicativos.

Para obter mais informações, consulte [Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas](controlling-access-checking-for-iam-autoscaling.md).

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet
<a name="AWSServiceRoleForApplicationAutoScaling_AppStreamFleet"></a>

Esse perfil é um perfil vinculado ao serviço que é criado automaticamente para você. Para obter mais informações, consulte [Funções vinculadas ao serviço](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-service-linked-roles.html) no *Guia do usuário do Application Auto Scaling*.

O Application Auto Scaling usa um perfil vinculado ao serviço para executar o ajuste de escala automático em seu nome. Uma *função vinculada ao serviço* é uma função do IAM vinculada diretamente a um AWS serviço. Essa função inclui todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Para obter mais informações, consulte [Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas](controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet.md).

## AmazonAppStreamPCAAccess
<a name="AppStreamPCAAccess"></a>

Essa função é uma função de serviço criada automaticamente para você quando você começa a usar WorkSpaces aplicativos em uma AWS região. Para obter mais informações sobre funções de serviços, consulte [Criação de uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.

A autenticação baseada em certificado é um recurso das frotas de WorkSpaces aplicativos unidas aos domínios do Microsoft Active Directory. Para habilitar e usar a autenticação baseada em certificado, você deve ter essa função de serviço em sua conta. AWS Se essa função de serviço não estiver em sua AWS conta e as permissões necessárias do IAM e as políticas de relacionamento de confiança não estiverem anexadas, você não poderá ativar ou usar a autenticação baseada em certificado.

Para obter mais informações, consulte [Verificando a função e as políticas do AmazonAppStream PCAAccess serviço](controlling-access-checking-for-AppStreamPCAAccess.md).

# Verificando a função e as políticas do AmazonAppStreamServiceAccess serviço
<a name="controlling-access-checking-for-iam-service-access"></a>

Conclua as etapas desta seção para verificar se o perfil de serviço **AmazonAppStreamServiceAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Para verificar se a função de serviço AmazonAppStreamServiceAccess do IAM está presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **amazonappstreamservice** para restringir a lista de funções a serem selecionadas e, em seguida, escolha. **AmazonAppStreamServiceAccess** Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões **AmazonAppStreamServiceAccess** está anexada.

1. Retorne à página **Summary (Resumo)** da função.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **AmazonAppStreamServiceAccess** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## AmazonAppStreamServiceAccess política de relacionamento de confiança
<a name="controlling-access-service-access-trust-policy"></a>

A política de relacionamento de **AmazonAppStreamServiceAccess**confiança deve incluir o serviço de WorkSpaces aplicativos como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define WorkSpaces os aplicativos como uma entidade confiável.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "Service": "appstream.amazonaws.com"
    },
    "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Verificar a presença do perfil de serviço ApplicationAutoScalingForAmazonAppStreamAccess e das políticas
<a name="controlling-access-checking-for-iam-autoscaling"></a>

Conclua as etapas desta seção para verificar se o perfil de serviço **ApplicationAutoScalingForAmazonAppStreamAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Como verificar se o perfil de serviço do IAM ApplicationAutoScalingForAmazonAppStreamAccessestá presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **applicationautoscaling** para restringir a lista de perfis, depois selecione **ApplicationAutoScalingForAmazonAppStreamAccess**. Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões **ApplicationAutoScalingForAmazonAppStreamAccess** está anexada. 

1. Retorne à página **Summary (Resumo)** da função.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **ApplicationAutoScalingForAmazonAppStreamAccess** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## Política de relação de confiança ApplicationAutoScalingForAmazonAppStreamAccess
<a name="controlling-access-autoscaling-trust-policy"></a>

A política de relação de confiança **ApplicationAutoScalingForAmazonAppStreamAccess** deve incluir o serviço Application Auto Scaling como entidade principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define o Application Auto Scaling como entidade confiável.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Verificar a presença do perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` e das políticas
<a name="controlling-access-checking-for-iam-service-linked-role-application-autoscaling-appstream-fleet"></a>

Conclua as etapas desta seção para verificar se o perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Como verificar se o perfil vinculado ao serviço `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` do IAM está presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **applicationautoscaling** para restringir a lista de perfis, depois selecione `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet`. Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões `AWSApplicationAutoscalingAppStreamFleetPolicy` está anexada.

1. Retorne à página de resumo **Role (Função)**.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## AWSServiceRoleForApplicationAutoScaling\$1AppStreamFleet política de relacionamento de confiança
<a name="controlling-access-application-autoscaling-appstream-fleet-trust-policy"></a>

A política de relação de confiança `AWSServiceRoleForApplicationAutoScaling_AppStreamFleet` deve incluir **appstream.application-autoscaling.amazonaws.com** como entidade principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define **appstream.application-autoscaling.amazonaws.com** como uma entidade confiável.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "appstream.application-autoscaling.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

# Verificando a função e as políticas do AmazonAppStream PCAAccess serviço
<a name="controlling-access-checking-for-AppStreamPCAAccess"></a>

Conclua as etapas desta seção para verificar se o perfil de serviço **AmazonAppStreamPCAAccess** está presente e se tem as políticas corretas anexadas. Se essa função não estiver em sua conta e precisar ser criada, você ou um administrador com as permissões necessárias deverá executar as etapas para começar a usar os WorkSpaces aplicativos em sua conta da Amazon Web Services.

**Para verificar se a função de serviço AmazonAppStream PCAAccess do IAM está presente**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na caixa de pesquisa, digite **appstreampca** para restringir a lista de funções a serem selecionadas e, em seguida, escolha. **AmazonAppStreamPCAAccess** Se essa função estiver listada, selecione-a para visualizar a página **Summary (Resumo)** da função. 

1. Na guia **Permissões**, confirme se a política de permissões **AmazonAppStreamPCAAccess ** está anexada.

1. Retorne à página de resumo **Role (Função)**.

1. Na guia **Relações de confiança**, selecione **Exibir documento de política** e confirme se a política de relação de confiança **AmazonAppStreamPCAAccess ** está anexada e segue o formato correto. Se esse for o caso, a relação de confiança estará configurada corretamente. Selecione **Cancelar** e feche o console do IAM. 

## AmazonAppStreamPCAAccess política de relacionamento de confiança
<a name="controlling-access-amazonappstreampcaaccess-trust-policy"></a>

A política de relacionamento de **AmazonAppStreamPCAAccess**confiança deve incluir prod.euc.ecm.amazonaws.com como principal. Essa política também deve incluir a ação `sts:AssumeRole`. A configuração de política a seguir define o ECM como entidade confiável.

**Para criar a política de relacionamento de AmazonAppStream PCAAccess confiança usando a AWS CLI**

1. Crie um arquivo JSON denominado `AmazonAppStreamPCAAccess.json` com o texto a seguir.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "prod.euc.ecm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Ajuste o `AmazonAppStreamPCAAccess.json` caminho conforme necessário e execute os seguintes comandos da AWS CLI para criar a política de relacionamento de confiança e anexar a política AmazonAppStream PCAAccess gerenciada. Para saber mais sobre a política gerenciada , consulte [AWS Políticas gerenciadas necessárias para acessar os recursos de WorkSpaces aplicativos](managed-policies-required-to-access-appstream-resources.md).

   ```
   aws iam create-role --path /service-role/ --role-name AmazonAppStreamPCAAccess --assume-role-policy-document file://AmazonAppStreamPCAAccess.json
   ```

   ```
   aws iam attach-role-policy —role-name AmazonAppStreamPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonAppStreamPCAAccess
   ```

# Usar políticas do IAM para gerenciar o acesso de administrador ao Application Auto Scaling
<a name="autoscaling-iam-policy"></a>

O escalonamento automático para frotas é possível graças a uma combinação de WorkSpaces Applications CloudWatch, Amazon e Application Auto Scaling. APIs WorkSpaces As frotas de aplicativos são criadas com WorkSpaces Applications, os alarmes são criados com CloudWatch e as políticas de escalabilidade são criadas com o Application Auto Scaling.

Além de ter as permissões definidas na [AmazonAppStreamFullAccess](managed-policies-required-to-access-appstream-resources.md)política, o usuário do IAM que acessa as configurações de escalabilidade da frota deve ter as permissões necessárias para os serviços que oferecem suporte à escalabilidade dinâmica. Os usuários do IAM precisam ter as permissões para usar as ações mostradas na política de exemplo a seguir. 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "appstream:*",
          "application-autoscaling:*",
          "cloudwatch:DeleteAlarms",
          "cloudwatch:DescribeAlarmsForMetric",
          "cloudwatch:DisableAlarmActions",
          "cloudwatch:DescribeAlarms",
          "cloudwatch:EnableAlarmActions",
          "cloudwatch:ListMetrics",
          "cloudwatch:PutMetricAlarm",
          "iam:ListRoles"
      ],
      "Resource": "*"
    },
    {
      "Sid": "iamPassRole",
      "Effect": "Allow",
      "Action": [
          "iam:PassRole"
      ],
      "Resource": "*",
      "Condition": {
         "StringEquals": {
             "iam:PassedToService": "application-autoscaling.amazonaws.com"
          }
      }
    }
  ]
}
```

------

Também é possível criar políticas do IAM próprias para definir permissões mais específicas para chamadas à API do Application Auto Scaling. Para obter mais informações, consulte [Controle de acesso e autenticação](https://docs.aws.amazon.com/autoscaling/application/userguide/auth-and-access-control.html) no *Manual do usuário do Application Auto Scaling*.

# Usar políticas do IAM para gerenciar o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy"></a>

Os exemplos a seguir mostram como você pode usar políticas do IAM para gerenciar o acesso ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações.

**Topics**
+ [

# Excluir o bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
](s3-iam-policy-delete.md)
+ [

# Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
](s3-iam-policy-restricted-access.md)

# Excluir o bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy-delete"></a>

WorkSpaces Os aplicativos adicionam uma política de bucket do Amazon S3 aos buckets criados para evitar que sejam excluídos acidentalmente. Para excluir um bucket S3, primeiro você deve excluir a política do bucket S3. Veja a seguir as políticas de buket que você precisa excluir para pastas base e persistência de configurações de aplicação.

**Política de pastas base**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-123456789012-without-hyphens"
    }
  ]
}
```

------

**Política de persistência de confgurações de aplicação.**

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-123456789012-without-hyphens-unique-identifier"
     }
   ]
}
```

------

 Para obter mais informações, consulte [Excluir ou esvaziar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-or-empty-bucket.html) no *Guia do usuário do Amazon Simple Storage Service*.

# Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações
<a name="s3-iam-policy-restricted-access"></a>

Por padrão, os administradores que podem acessar os buckets do Amazon S3 criados WorkSpaces pelos aplicativos podem visualizar e modificar o conteúdo que faz parte das pastas iniciais dos usuários e das configurações persistentes do aplicativo. Para restringir o acesso do administrador ao bucket do S3 que contém arquivos de usuários, recomendamos aplicar a política de acesso ao bucket do S3 com base no modelo a seguir: 

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}
```

Essa política permite acesso ao bucket do S3 somente aos usuários especificados e ao serviço de WorkSpaces aplicativos. Para cada usuário do IAM que precise ter acesso, replique a seguinte linha:

```
"arn:aws:iam::account:user/IAM-user-name"
```

No exemplo a seguir, a política restringe o acesso ao bucket do S3 da pasta base para todos, exceto os usuários do IAM marymajor e johnstiles. Também permite o acesso ao serviço de WorkSpaces Aplicativos, na AWS Região Oeste dos EUA (Oregon), com o ID da conta 123456789012.

```
{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}
```

# Usando uma função do IAM para conceder permissões a aplicativos e scripts executados em instâncias de streaming de WorkSpaces aplicativos
<a name="using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances"></a>

Aplicativos e scripts executados em instâncias de streaming de WorkSpaces aplicativos devem incluir AWS credenciais em suas solicitações de AWS API. Você pode criar um perfil do IAM para gerenciar essas credenciais. Uma função do IAM especifica um conjunto de permissões que você pode usar para acessar AWS recursos. No entanto, essa função não está associada exclusivamente a uma pessoa. Em vez disso, ela pode ser assumida por qualquer pessoa que precise dela.

Você pode aplicar uma função do IAM a uma instância de streaming de WorkSpaces aplicativos. Quando a instância de streaming alterna para (assume) a função, a função fornece credenciais de segurança temporárias. Seu aplicativo ou scripts usam essas credenciais para realizar ações de API e tarefas de gerenciamento na instância de streaming. WorkSpaces O Applications gerencia a troca temporária de credenciais para você.

**Topics**
+ [

# Melhores práticas para usar funções do IAM com instâncias de streaming de WorkSpaces aplicativos
](best-practices-for-using-iam-role-with-streaming-instances.md)
+ [

# Configurando uma função do IAM existente para usar com instâncias de streaming de WorkSpaces aplicativos
](configuring-existing-iam-role-to-use-with-streaming-instances.md)
+ [

# Como criar uma função do IAM para usar com instâncias de streaming de WorkSpaces aplicativos
](how-to-create-iam-role-to-use-with-streaming-instances.md)
+ [

# Como usar a função do IAM com instâncias de streaming de WorkSpaces aplicativos
](how-to-use-iam-role-with-streaming-instances.md)

# Melhores práticas para usar funções do IAM com instâncias de streaming de WorkSpaces aplicativos
<a name="best-practices-for-using-iam-role-with-streaming-instances"></a>

Ao usar funções do IAM com instâncias de streaming de WorkSpaces aplicativos, recomendamos que você siga estas práticas:
+ Limite as permissões que você concede às ações e recursos AWS da API.

  Siga os princípios de menor privilégio ao criar e anexar políticas do IAM às funções do IAM associadas às instâncias de streaming de WorkSpaces aplicativos. Ao usar um aplicativo ou script que exija acesso às ações ou recursos da AWS API, determine as ações e os recursos específicos necessários. Crie políticas que permitam que o aplicativo ou o script execute somente essas ações. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) no *Guia do usuário do IAM*.
+ Crie uma função do IAM para cada recurso de WorkSpaces aplicativos.

  Criar uma função exclusiva do IAM para cada recurso do WorkSpaces Applications é uma prática que segue os princípios de privilégios mínimos. Isso também permite que você modifique as permissões para um recurso sem afetar outros recursos.
+ Limite onde as credenciais podem ser usadas.

  As políticas do IAM permitem que você defina as condições sob as quais seu perfil do IAM pode ser usado para acessar um recurso. Por exemplo, é possível incluir condições para especificar um intervalo de endereços IP dos quais as solicitações podem vir. Isso impede que as credenciais sejam usadas fora do seu ambiente. Para obter mais informações, consulte [Usar condições nas políticas para mais segurança](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) no *Guia do usuário do IAM*.

# Configurando uma função do IAM existente para usar com instâncias de streaming de WorkSpaces aplicativos
<a name="configuring-existing-iam-role-to-use-with-streaming-instances"></a>

Este tópico descreve como configurar um perfil do IAM existente para que você possa usá-lo com construtores de imagens e instâncias de streaming de frota.

**Pré-requisitos**

A função do IAM que você deseja usar com um construtor de imagens de WorkSpaces aplicativos ou uma instância de streaming de frota deve atender aos seguintes pré-requisitos:
+ A função do IAM deve estar na mesma conta da Amazon Web Services que a instância de streaming de WorkSpaces aplicativos.
+ O perfil do IAM não pode ser um perfil de serviço.
+ A política de relacionamento de confiança anexada à função do IAM deve incluir o serviço de WorkSpaces aplicativos como principal. Um *diretor* é uma entidade AWS que pode realizar ações e acessar recursos. A política também deve incluir a ação `sts:AssumeRole`. Essa configuração de política define WorkSpaces os aplicativos como uma entidade confiável.

  
+ Se você estiver aplicando a função do IAM a um criador de imagens, o criador de imagens deverá executar uma versão do agente de WorkSpaces aplicativos lançada em ou após 3 de setembro de 2019. Se você estiver aplicando o perfil do IAM a uma frota, ela deverá usar uma imagem que use uma versão do agente liberada na mesma data ou depois dela. Para obter mais informações, consulte [WorkSpaces Notas de versão do Agente de Aplicativos](agent-software-versions.md). 

**Para permitir que o diretor do serviço de WorkSpaces aplicativos assuma uma função existente do IAM**

Para executar as etapas a seguir, você deverá fazer login na conta como um usuário do IAM que tenha as permissões necessárias para listar e atualizar perfis do IAM. Se você não tiver as permissões necessárias, peça ao administrador da sua conta da Amazon Web Services para executar essas etapas na sua conta ou conceder as permissões necessárias.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**. 

1. Na lista de funções em sua conta, escolha o nome da função que deseja modificar.

1. Escolha a guia **Relacionamentos de confiança** e, em seguida, selecione **Editar relacionamento de confiança**.

1. Em **Policy Document (Documento da política)**, verifique se a política de relacionamento de confiança inclui a ação `sts:AssumeRole` para o principal do serviço `appstream.amazonaws.com`:

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": [
             "appstream.amazonaws.com"
           ]
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. Ao concluir a edição da política de confiança, escolha **Atualizar política de confiança** para salvar as alterações. 

1. A função do IAM que você selecionou será exibida no console de WorkSpaces aplicativos. Essa função concede permissões a aplicativos e scripts para executar ações de API e tarefas de gerenciamento nas instâncias de streaming.

# Como criar uma função do IAM para usar com instâncias de streaming de WorkSpaces aplicativos
<a name="how-to-create-iam-role-to-use-with-streaming-instances"></a>

Este tópico descreve como criar um perfil do IAM para que você possa usá-lo com construtores de imagens e instâncias de streaming de frota.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Funções** e **Criar função**.

1. Em **Selecionar tipo de entidade confiável**, selecione **AWS serviço **.

1. Na lista de AWS serviços, escolha **WorkSpaces Aplicativos**.

1. Em **Selecione seu caso de uso**, **WorkSpaces Aplicativos — Permite que instâncias de WorkSpaces aplicativos chamem AWS serviços em seu nome** já está selecionado. Escolha **Próximo: Permissões**.

1. Se possível, selecione a política a ser usada para a política de permissões ou escolha **Create policy (Criar política)** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte a etapa 4 no procedimento [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*.

   Depois de criar a política, feche essa guia e retorne à guia original. Marque a caixa de seleção ao lado das políticas de permissões que você deseja que os WorkSpaces aplicativos tenham.

1. (Opcional) Defina um limite de permissões. Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

1. Escolha **Próximo: tags**. Opcionalmente, você pode anexar tags como pares de chave/valor. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Escolha **Próximo: revisar**.

1. Em **Nome do perfil**, digite um nome de perfil exclusivo em sua conta da Amazon Web Services. Como outros AWS recursos podem fazer referência à função, você não pode editar o nome da função após sua criação.

1. Em **Role description (Descrição da função)**, mantenha a descrição da função padrão ou digite uma nova.

1. Reveja a função e escolha **Criar função**.

# Como usar a função do IAM com instâncias de streaming de WorkSpaces aplicativos
<a name="how-to-use-iam-role-with-streaming-instances"></a>

Depois de criar um perfil do IAM, você poderá aplicá-lo a um construtor de imagens ou a uma instância de streaming de frota ao iniciar o construtor de imagens ou ao criar uma frota. Também é possível aplicar um perfil do IAM a frotas existentes. Para obter informações sobre como aplicar o perfil do IAM ao iniciar um construtor de imagens, consulte [Inicie um criador de imagens para instalar e configurar aplicativos de streaming](tutorial-image-builder-create.md). Para obter informações sobre como aplicar um perfil do IAM ao criar uma frota, consulte [Crie uma frota nos WorkSpaces aplicativos da Amazon](set-up-stacks-fleets-create.md).

Quando você aplica uma função do IAM ao seu criador de imagens ou instância de streaming de frota, os WorkSpaces aplicativos recuperam credenciais temporárias e criam o perfil de credencial **appstream\$1machine\$1role** na instância. As credenciais temporárias são válidas por 1 hora, e novas credenciais são recuperadas a cada hora. As credenciais anteriores não expiram, portanto, você poderá usá-las pelo tempo que forem válidas. Você pode usar o perfil de credencial para chamar AWS serviços de forma programática usando a Interface de Linha de AWS Comando (AWS CLI), o AWS Tools for PowerShell ou o AWS SDK com o idioma de sua escolha.

Ao fazer chamadas de API, especifique **appstream\$1machine\$1role** como o perfil de credencial. Caso contrário, haverá falha na operação devido a permissões insuficientes.

WorkSpaces Os aplicativos assumem a função especificada enquanto a instância de streaming é provisionada. Como o WorkSpaces Applications usa a interface de rede elástica que está conectada à sua VPC para chamadas de AWS API, seu aplicativo ou script deve esperar que a interface de rede elástica fique disponível antes de fazer chamadas de AWS API. Se as chamadas de API forem feitas antes que a interface de rede elástica esteja disponível, haverá falha nas chamadas.

Os exemplos a seguir mostram como é possível usar o perfil de credencial **appstream\$1machine\$1role** para descrever as instâncias de streaming (instâncias do EC2) e criar o cliente Boto. Boto é o Amazon Web Services (AWS) SDK para Python. 

**Descreva as instâncias de streaming (instâncias do EC2) usando a CLI AWS **

```
aws ec2 describe-instances --region us-east-1 --profile appstream_machine_role
```

**Descreva as instâncias de streaming (instâncias do EC2) usando AWS ferramentas para PowerShell**

Você deve usar o AWS Tools para a PowerShell versão 3.3.563.1 ou posterior, com o SDK da Amazon Web Services para .NET versão 3.3.103.22 ou posterior. Você pode baixar o instalador do AWS Tools for Windows, que inclui o AWS Tools for PowerShell e o Amazon Web Services SDK for .NET, [AWS no site Tools PowerShell](https://aws.amazon.com/powershell/) for.

```
Get-EC2Instance -Region us-east-1 -ProfileName appstream_machine_role
```

**Criando o cliente Boto usando o AWS SDK para Python**

```
session = boto3.Session(profile_name='appstream_machine_role')
```

# SELinux no Red Hat Enterprise Linux e no Rocky Linux
<a name="selinux"></a>

Por padrão, o Security Enhanced Linux (SELinux) está `enabled` configurado para o `enforcing` modo para WorkSpaces aplicativos, construtores de imagens e instâncias de streaming com tecnologia Red Hat Enterprise Linux e Rocky Linux. No `enforcing` modo, as negações de permissão são aplicadas. SELinux é uma coleção de recursos e utilitários do kernel para fornecer uma arquitetura de controle de acesso (MAC) forte, flexível e obrigatória aos principais subsistemas do kernel.

SELinux fornece um mecanismo aprimorado para impor a separação de informações com base nos requisitos de confidencialidade e integridade. Essa separação de informações reduz as ameaças de adulteração e desvio dos mecanismos de segurança do aplicativo. Também limita os danos que podem ser causados por aplicativos maliciosos ou defeituosos.

SELinux inclui um conjunto de exemplos de arquivos de configuração de políticas de segurança projetados para atender às metas diárias de segurança. Para obter mais informações sobre SELinux recursos e funcionalidades, consulte [O que é SELinux](https://www.redhat.com/en/topics/linux/what-is-selinux)?

# Autenticação baseada em cookies nos aplicativos da Amazon WorkSpaces
<a name="cookie-auth"></a>

WorkSpaces Os aplicativos usam cookies do navegador para autenticar sessões de streaming e permitir que os usuários se reconectem a uma sessão ativa sem precisar inserir novamente suas credenciais de login todas as vezes. Os tokens de autenticação são armazenados nos cookies do navegador para cada cenário de autenticação. Embora os cookies sejam necessários para muitos serviços on-line, eles podem ser vulneráveis a ataques de roubo de cookies. É altamente recomendável que você tome medidas proativas para evitar o roubo de cookies, como implementar soluções robustas de proteção de endpoints para os dispositivos dos usuários. Além disso, para mitigar o impacto potencial no caso de roubo de cookies, recomendamos que você considere as seguintes ações:
+ **Imponha o limite de sessão única**: para as imagens do Windows de seus WorkSpaces aplicativos, crie uma chave de registro abaixo `HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management` com o nome **max-concurrent-clients**definido como 1 para permitir apenas uma conexão por vez. Isso limita o número de sessões simultâneas a uma e bloqueia o espelhamento de sessões ativas. Para obter mais informações, consulte [session-management Parameters](https://docs.aws.amazon.com/dcv/latest/adminguide/config-param-ref.html#session_management).
+ **Impor a expiração e a reautenticação da sessão**
  + Reduza o SessionDuration valor para que o token de autenticação expire depois que o usuário iniciar com êxito a sessão de streaming. A reutilização de cookies de autenticação após a expiração da SessionDuration exige que os usuários se autentiquem novamente. SessionDuration especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão são 60 minutos. Para obter mais informações, consulte [Etapa 5: criar declarações para a resposta de autenticação de SAML](external-identity-providers-setting-up-saml.md#external-identity-providers-create-assertions).
  + Para ajudar a maximizar a segurança, os usuários devem encerrar as sessões adequadamente com a barra de ferramentas (encerrar sessão), em vez de fechar a janela de streaming. Encerrar a sessão por meio da barra de ferramentas encerra tanto a sessão do usuário quanto a instância de streaming. Isso requer nova autenticação para acesso futuro, evitando o uso indevido de cookies. Se um usuário fechar a janela de streaming sem encerrar a sessão, a sessão e a instância permanecerão ativas por um tempo limite de desconexão configurável (em minutos). O tempo limite de desconexão deve ser um número entre 1 e 5.760, com um valor padrão de 15 minutos. Para evitar o uso indevido de sessões inativas, recomendamos definir um tempo limite de desconexão curto. Para obter mais informações, consulte [Crie uma frota nos WorkSpaces aplicativos da Amazon](set-up-stacks-fleets-create.md).
+ **Limite o acesso para transmitir WorkSpaces aplicativos de aplicativos aos seus intervalos de IP**: recomendamos que você implemente políticas de IAM baseadas em IP. Isso garante que as sessões de WorkSpaces aplicativos só possam ser acessadas por clientes cujo endereço IP pertença a um intervalo de IP autorizado. Todas as tentativas de conexão iniciadas por um usuário cujo endereço IP do cliente esteja fora de um intervalo autorizado serão negadas, mesmo que ele esteja apresentando um cookie de autenticação válido (possivelmente roubado de um usuário). Para obter mais informações, consulte [Limitar o acesso para transmitir aplicativos da Amazon AppStream 2.0 aos seus intervalos de IP](https://aws.amazon.com/blogs/desktop-and-application-streaming/limit-access-to-stream-amazon-appstream-2-0-applications-to-your-ip-ranges/).
+ **Adicione autenticação adicional**: para iniciar instâncias de streaming associadas ao domínio, você pode unir suas frotas e criadores de imagens do WorkSpaces Applications Always-On e On-Demand Windows aos domínios no Microsoft Active Directory e usar seus domínios existentes do Active Directory, baseados na nuvem ou no local. Após a autenticação inicial baseada em SAML, os usuários serão solicitados a fornecer suas credenciais de domínio para autenticação adicional no domínio da organização. Para obter mais informações, consulte [Usando o Active Directory com WorkSpaces aplicativos](active-directory.md).

 Se você tiver alguma dúvida ou precisar de ajuda, entre em contato com a [Central do AWS Support](https://console.aws.amazon.com/support/home#/). 

# Registrar em log e monitorar no Amazon AppStream 2.0
<a name="logging-monitoring-alerting"></a>

O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e a performance do Amazon AppStream 2.0. Este tópico descreve os serviços e as ferramentas que a AWS fornece para monitorar os recursos do AppStream 2.0 e responder a possíveis incidentes.

**Alarmes do Amazon CloudWatch**  
Os alarmes do Amazon CloudWatch permitem que você observe uma única métrica durante um período especificado. Se a métrica exceder determinado limite, uma notificação será enviada para um tópico do Amazon Simple Notification Service ou para uma política do AWS Auto Scaling. Os alarmes do CloudWatch não invocam ações que estão em determinado estado. Em vez disso, o estado deve ter sido alterado e mantido por uma quantidade especificada de períodos. Para obter mais informações, consulte [Monitorando recursos de WorkSpaces aplicativos da Amazon](monitoring.md).  
O AppStream 2.0 ainda não pode ser configurado como um destino para o CloudWatch Events. Para obter uma lista de serviços que você pode configurar como destinos para o CloudWatch Events, consulte [What Is Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html).

**AWS CloudTrail**  
O AWS CloudTrail fornece um registro das ações executadas por um usuário, perfil ou serviço da AWS no AppStream 2.0. Esse registro permite determinar a solicitação que foi feita ao AppStream 2.0, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e outros detalhes. Para obter mais informações, consulte [Registrar chamadas de API do AppStream 2.0 em log com o AWS CloudTrail](logging-using-cloudtrail.md). 

**AWS Trusted Advisor**  
O AWS Trusted Advisor inspeciona o ambiente da AWS e recomenda maneiras de economizar dinheiro, melhorar a disponibilidade e a performance do sistema ou ajudar a eliminar lacunas de segurança. O Trusted Advisor usa práticas recomendadas coletadas de uma grande variedade de clientes da AWS. Todos os clientes da AWS têm acesso a cinco verificações do Trusted Advisor. Se você tiver um plano de suporte Business ou Enterprise, poderá exibir todas as verificações do Trusted Advisor.  
Quando você habilita a [persistência das configurações de aplicações](how-it-works-app-settings-persistence.md) ou as [pastas base](home-folders-admin.md) para os usuários, os dados gerados pelos usuários são armazenados em buckets do Amazon S3. O Trusted Advisor contém as seguintes verificações relacionadas ao Amazon S3:  
+ Configuração de registro em log de buckets do Amazon S3.
+ Verificações de segurança para buckets do Amazon S3 que têm permissões de acesso livre.
+ Verificações de tolerância a falhas para buckets do Amazon S3 que não têm versionamento habilitado ou têm versionamento suspenso. 
Consulte mais informações em [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) no *Guia de Usuário AWS Support*.

**Logs de acesso do Amazon S3**  
Se os usuários tiverem dados de configurações de aplicação ou dados de pastas base armazenados em buckets do Amazon S3, considere visualizar os logs de acesso ao servidor do Amazon S3 para monitorar o acesso. Esses logs fornecem registros detalhados das solicitações feitas a um bucket. Os logs de acesso ao servidor são úteis para muitos aplicativos. Por exemplo, as informações do log de acesso podem ser úteis em auditorias de segurança e acesso. Para obter mais informações, consulte [Registrar em log as solicitações com registro em log de acesso ao servidor](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) no *Guia do usuário do Amazon Simple Storage Service*.

**Relatórios de uso do AppStream 2.0**  
Você pode assinar os relatórios de uso do AppStream 2.0 para receber relatórios detalhados sobre como os usuários estão usando o serviço. Os relatórios incluem quanto tempo os usuários transmitem e quais aplicativos eles iniciam. Para obter mais informações, consulte [WorkSpaces Relatórios de uso de aplicativos](configure-usage-reports.md). 

# Validação de conformidade do Amazon AppStream 2.0
<a name="compliance-validation"></a>

Os auditores externos avaliam a segurança e a conformidade do Amazon AppStream 2.0 como parte de vários programas de conformidade da AWS. Esses incluem os seguintes: [SOC](https://aws.amazon.com/compliance/soc-faqs/), [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs), [ISO](https://aws.amazon.com/compliance/iso-certified/), [FedRAMP](https://aws.amazon.com/compliance/fedramp/), [HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/), [MTCS](https://aws.amazon.com/compliance/aws-multitiered-cloud-security-standard-certification/), [ENS High](https://aws.amazon.com/compliance/esquema-nacional-de-seguridad/), [HITRUST CSF](https://aws.amazon.com/compliance/hitrust/), [VPAT](https://aws.amazon.com/compliance/vpat/) e outros.

**nota**  
O AppStream 2.0 é compatível com o [FIPS 140-2](https://aws.amazon.com/compliance/fips/). Para obter informações sobre como usar endpoints FIPS do AppStream 2.0 para uso administrativo ou streaming, consulte [Como proteger dados em trânsito com endpoints do FIPS](protecting-data-in-transit-FIPS-endpoints.md).  
O AppStream 2.0 também está passando pela avaliação do [Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG)](https://aws.amazon.com/compliance/dod/).

Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).

É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Sua responsabilidade com relação à conformidade ao usar o AppStream 2.0 é determinada pela confidencialidade dos dados, pelos objetivos de conformidade da empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): estes guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em compatibilidade e segurança na AWS.
+ [Whitepaper Architecting for HIPAA Security and Compliance](https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf): este whitepaper descreve como as empresas podem usar a AWS para criar aplicações em conformidade com a HIPAA.
+ [Recursos de conformidade da AWS](https://aws.amazon.com/compliance/resources/): essa coleção de manuais e guias pode ser aplicada a seu setor e local.
+ [Avaliar recursos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no * Guia do desenvolvedor da AWS Config*: o serviço AWS Config avalia como as configurações de recursos estão em conformidade com práticas internas, diretrizes do setor e regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): esse serviço da AWS fornece uma visão abrangente do estado de sua segurança na AWS que ajuda você a verificar sua conformidade com padrões e práticas recomendadas de segurança do setor.

# Resiliência no Amazon AppStream 2.0
<a name="disaster-recovery-resiliency"></a>

A infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).

# Segurança da infraestrutura no Amazon AppStream 2.0
<a name="infrastructure-security"></a>

Como um serviço gerenciado, o Amazon AppStream 2.0 é protegido pela segurança da rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Estrutura bem arquitetada*.

Use chamadas de API publicadas pela AWS para acessar o AppStream 2.0 por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Os tópicos a seguir fornecem informações adicionais sobre a segurança da infraestrutura do AppStream 2.0.

**Topics**
+ [

# Isolamento de rede
](network-isolation.md)
+ [

# Isolamento em hosts físicos
](physical-isolation.md)
+ [

# Controlar o tráfego de rede
](control-network-traffic.md)
+ [

# WorkSpaces Interface de aplicativos: VPC Endpoints
](interface-vpc-endpoints.md)
+ [

# Como proteger dados em trânsito com endpoints do FIPS
](protecting-data-in-transit-FIPS-endpoints.md)

# Isolamento de rede
<a name="network-isolation"></a>

Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Use VPCs separadas para isolar a infraestrutura por workload ou entidade organizacional.

Uma sub-rede é um intervalo de endereços IP em uma VPC. Quando executa uma instância, você a executa em uma sub-rede em sua VPC. Use sub-redes para isolar as camadas de sua aplicação (por exemplo, Web, aplicação e banco de dados) em uma única VPC. Use sub-redes privadas para as instâncias que não devem ser acessadas diretamente pela Internet.

Você pode fazer streaming usando instâncias de streaming do AppStream 2.0 em sua VPC sem passar pela internet pública. Para fazer isso, use um VPC endpoint de interface (endpoint de interface). Para obter mais informações, consulte [Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md).

Você também pode chamar operações de API do AppStream 2.0 de sua VPC sem enviar tráfego pela internet pública usando um endpoint de interface. Para mais informações, consulte [Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md).

# Isolamento em hosts físicos
<a name="physical-isolation"></a>

Diferentes instâncias de streaming no mesmo host físico são isoladas umas das outras como se estivessem em hosts físicos separados. O hipervisor isola a CPU e a memória, e as instâncias recebem discos virtualizados em vez de acesso aos dispositivos de disco bruto.

Quando você interrompe ou encerra uma instância de streaming, a memória alocada para ela é apagada (ou seja, definida como zero) pelo hipervisor antes que ela seja alocada para uma nova instância, e cada bloco de armazenamento é redefinido. Isso garante que seus dados não sejam expostos a outra instância. 

# Controlar o tráfego de rede
<a name="control-network-traffic"></a>

Para ajudar a controlar o tráfego de rede para as instâncias de streaming do AppStream 2.0, considere estas opções:
+ Ao inicializar uma instância de streaming do Amazon AppStream, você a inicializa em uma sub-rede na VPC. Você poderá implantar instâncias de streaming em uma sub-rede privada se elas não precisarem estar acessíveis na Internet.
+ Para fornecer acesso à Internet às instâncias de streaming em uma sub-rede privada, use um gateway NAT. Para obter mais informações, consulte [Configurar uma VPC com sub-redes privadas e um gateway NAT](managing-network-internet-NAT-gateway.md).
+ Os grupos de segurança que pertencem à VPC permitem que você controle o tráfego de rede entre instâncias de streaming do AppStream 2.0 e recursos da VPC, como servidores de licenças, servidores de arquivos e servidores de banco de dados. Os grupos de segurança também isolam o tráfego entre as instâncias de streaming e os serviços de gerenciamento do AppStream 2.0. 

  Use grupos de segurança para restringir o acesso às instâncias de streaming. Por exemplo, é possível permitir tráfego apenas de intervalos de endereços de sua rede corporativa. Para obter mais informações, consulte [Grupos de segurança em WorkSpaces aplicativos da Amazon](managing-network-security-groups.md). 
+ Você pode fazer streaming usando instâncias de streaming do AppStream 2.0 em sua VPC sem passar pela internet pública. Para fazer isso, use um VPC endpoint de interface (endpoint de interface). Para obter mais informações, consulte [Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md).

  Você também pode chamar operações de API do AppStream 2.0 de sua VPC sem enviar tráfego pela internet pública usando um endpoint de interface. Para obter mais informações, consulte [Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint](access-api-cli-through-interface-vpc-endpoint.md).
+ Use políticas e perfis do IAM para gerenciar o acesso de administrador ao AppStream 2.0, ao Application Auto Scaling e aos buckets do Amazon S3. Para obter mais informações, consulte os tópicos a seguir.
  + [Usando políticas AWS gerenciadas e funções vinculadas para gerenciar o acesso do administrador aos recursos de WorkSpaces aplicativos](controlling-administrator-access-with-policies-roles.md)
  + [Usar políticas do IAM para gerenciar o acesso de administrador ao Application Auto Scaling](autoscaling-iam-policy.md)
  + [Restringir o acesso de administrador ao bucket do Amazon S3 para pastas base e persistência das configurações de aplicações](s3-iam-policy-restricted-access.md)
+ Você pode usar o SAML 2.0 para federar a autenticação no AppStream 2.0. Para obter mais informações, consulte [Quotas do Amazon WorkSpaces Applications Service](limits.md).
**nota**  
Para implantações menores do AppStream 2.0, você pode usar grupos de usuários do AppStream 2.0. Por padrão, os grupos de usuários oferecem suporte a, no máximo, 50 usuários. Para obter mais informações sobre as cotas do AppStream 2.0 (também conhecidas como limites), consulte [Quotas do Amazon WorkSpaces Applications Service](limits.md). Para implantações que precisem oferecer suporte a 100 usuários do AppStream 2.0 ou mais, recomendamos usar o SAML 2.0.

# WorkSpaces Interface de aplicativos: VPC Endpoints
<a name="interface-vpc-endpoints"></a>

Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e WorkSpaces seus aplicativos. Você pode usar essa conexão para permitir que os WorkSpaces aplicativos se comuniquem com seus recursos em sua VPC sem passar pela Internet pública.

Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um AWS Virtual Private Network túnel Direct Connect ou, você pode manter o tráfego de streaming na sua rede. 

Os tópicos a seguir fornecem informações sobre os endpoints da interface de WorkSpaces aplicativos.

**Topics**
+ [

# Tutorial: criação e streaming a partir de endpoints da VPC de interface
](creating-streaming-from-interface-vpc-endpoints.md)
+ [

# Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint
](access-api-cli-through-interface-vpc-endpoint.md)

# Tutorial: criação e streaming a partir de endpoints da VPC de interface
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

Você pode usar uma interface VPC endpoint em sua conta da Amazon Web Services para restringir todo o tráfego de rede entre sua Amazon VPC e aplicativos WorkSpaces para a rede Amazon. Depois de criar esse endpoint, você configura sua pilha de WorkSpaces aplicativos ou construtor de imagens para usá-lo. 

**Pré-requisitos**

Antes de configurar a interface VPC endpoints para WorkSpaces aplicativos, esteja ciente dos seguintes pré-requisitos:
+ A conectividade com a Internet é necessária para autenticar os usuários e fornecer os ativos da web que os WorkSpaces Aplicativos exigem para funcionar. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para permitir esse tráfego, você deve inserir os domínios listados em [Domínios permitidos](allowed-domains.md). Depois de criar o VPC endpoint, você deve permitir os domínios de autenticação de usuários dos WorkSpaces aplicativos. No entanto, para os gateways de streaming, você pode restringir o acesso a apenas < vpc-endpoint-id >.streaming.appstream. <aws-region>.vpce.amazonaws.com. Não é necessário permitir a listagem em \$1.amazonappstream.com. O nome de domínio totalmente qualificado do endpoint da VPC substitui essa dependência.
+ A rede à qual os dispositivos dos usuários estão conectados deve ser capaz de rotear o tráfego para o endpoint de interface.
+ Os grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta 443 (TCP) e às portas 1400-1499 (TCP) do intervalo de endereços IP do qual os usuários se conectam.
+ A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras 1024-65535 (TCP) para o intervalo de endereços IP do qual os usuários se conectam.
+ Você deve ter uma política de permissões do IAM Conta da AWS que forneça permissões para realizar a ação da `ec2:DescribeVpcEndpoints` API. Por padrão, essa permissão é definida na política do IAM anexada à AmazonAppStreamServiceAccess função. Se você tiver as permissões necessárias, essa função de serviço será criada automaticamente pelos WorkSpaces aplicativos, com as políticas do IAM necessárias anexadas, quando você começa a usar o serviço de WorkSpaces aplicativos em uma AWS região. Para obter mais informações, consulte [Identity and Access Management para WorkSpaces aplicativos da Amazon](controlling-access.md).

**Para criar um endpoint de interface**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints**, **Create Endpoint** (Criar endpoint).

1. Escolha **Criar endpoint**.

1. Em **Categoria de serviço**, certifique-se de que **AWSos serviços** estejam selecionados. 

1. Em **Nome do serviço**, escolha **com.amazonaws.***<Região da AWS>***.appstream.streaming**.

1. Especifique as informações a seguir. Quando terminar, escolha **Create endpoint (Criar endpoint)**. 
   + Em **VPC**, escolha uma VPC na qual criar o endpoint de interface. Você pode escolher uma VPC diferente da VPC com recursos de aplicativos. WorkSpaces 
   + Em **Subnets (Sub-redes)**, selecione as sub-redes (zonas de disponibilidade) nas quais você deseja criar as interfaces de rede do endpoint. Recomendamos que você escolha sub-redes em pelo menos duas zonas de disponibilidade.
   + Para **o tipo de endereço IP**, escolha IPV6 ou IPV4.
   + Verifique se a caixa de seleção **Enable Private DNS Name (Habilitar nome DNS privado)** está marcada. 
**nota**  
Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do endpoint da VPC deve ser permitido por meio do proxy.
   + Em **Security group (Grupo de segurança)**, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint. 
**nota**  
Os grupos de segurança devem fornecer acesso de entrada às portas do intervalo de endereços IP do qual os usuários se conectam.

Enquanto o endpoint de interface está sendo criado, o status do endpoint no console aparece como **Pending (Pendente)**. Depois que o endpoint for criado, o status mudará para **Available (Disponível)**. 

 Para atualizar uma pilha para usar o endpoint de interface que você criou para sessões de streaming, execute as etapas a seguir.

**Para atualizar uma pilha para usar um novo endpoint de interface**

1. Abra o console de WorkSpaces aplicativos em [https://console.aws.amazon.com/appstream2/casa](https://console.aws.amazon.com/appstream2/home).

   Certifique-se de abrir o console na mesma AWS região do endpoint da interface que você deseja usar.

1. No painel de navegação, selecione **Stacks (Pilhas)** e escolha a pilha desejada.

1. Escolha a guia **Endpoints da VPC**, depois selecione **Editar**.

1. Na caixa de diálogo **Editar endpoint da VPC**, em **Endpoint de streaming**, escolha o endpoint pelo qual você deseja fazer streaming do tráfego.

1. Selecione **Atualizar**.

O tráfego para novas sessões de streaming será roteado por meio desse endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.

**nota**  
Os usuários não podem fazer streaming usando o endpoint da Internet quando um endpoint da interface é especificado.

# Acesse WorkSpaces aplicativos, operações de API e comandos de CLI por meio de uma interface VPC Endpoint
<a name="access-api-cli-through-interface-vpc-endpoint"></a>

Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode se conectar diretamente às operações da API de WorkSpaces aplicativos ou aos comandos da interface de linha de comando (CLI) por meio de um endpoint [VPC de interface (endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) de interface) em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Quando você usa um endpoint de interface, a comunicação entre sua VPC WorkSpaces e os aplicativos é conduzida de forma completa e segura dentro da rede. AWS

**nota**  
Este tópico descreve como acessar as operações da API de WorkSpaces aplicativos e os comandos da CLI por meio de um endpoint de interface. Para obter informações sobre como criar e transmitir a partir dos endpoints da interface de WorkSpaces aplicativos, consulte[Tutorial: criação e streaming a partir de endpoints da VPC de interface](creating-streaming-from-interface-vpc-endpoints.md).

**Pré-requisitos**

Para usar endpoints de interface, você deve atender aos seguintes pré-requisitos:
+ Os grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta 443 (TCP) do intervalo de endereços IP do qual os usuários se conectam.
+ A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras 1024-65535 (TCP) para o intervalo de endereços IP do qual os usuários se conectam.

**Topics**
+ [

# Crie um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI
](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [

# Use um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI
](how-to-access-api-cli-through-interface-vpc-endpoint.md)

# Crie um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI
<a name="access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint"></a>

Execute as etapas a seguir para criar um endpoint de interface.

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. No painel de navegação, escolha **Endpoints**, **Create Endpoint** (Criar endpoint).

1. Escolha **Criar endpoint**.

1. Em **Categoria de serviço**, certifique-se de que **AWSos serviços** estejam selecionados. 

1. Em **Nome do serviço**, escolha **com.amazonaws.***<Região da AWS>***.appstream.api**.

1. Especifique as informações a seguir. Quando terminar, escolha **Create endpoint (Criar endpoint)**. 
   + Em **VPC**, selecione a VPC na qual deseja criar o endpoint. 
   + Para **Subnets** (Sub-redes), selecione as sub-redes (zonas de disponibilidade) nas quais deseja criar interfaces de rede do endpoint. Recomendamos que você escolha sub-redes em pelo menos duas zonas de disponibilidade.
   + Opcionalmente, você pode marcar a caixa de seleção **Enable Private DNS Name (Habilitar nome DNS privado)**.
**nota**  
Se você selecionar essa opção, certifique-se de configurar a VPC e o DNS, conforme necessário, para oferecer suporte a DNS privado. Para obter mais informações, consulte [DNS privado](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) no *Guia do usuário do Amazon VPC*.
   + Para **Security group** (Grupo de segurança), selecione os grupos de segurança para associar às interfaces de rede do endpoint. 
**nota**  
Os grupos de segurança devem fornecer acesso de entrada às portas do intervalo de endereços IP do qual os usuários se conectam.

Enquanto o endpoint de interface está sendo criado, o status do endpoint no console aparece como **Pending (Pendente)**. Depois que o endpoint for criado, o status mudará para **Available (Disponível)**.

# Use um endpoint de interface para acessar WorkSpaces aplicativos, operações de API e comandos de CLI
<a name="how-to-access-api-cli-through-interface-vpc-endpoint"></a>

Depois que o status da interface VPC endpoint criada for alterado para **Disponível**, você poderá usar o endpoint para acessar as operações da API de WorkSpaces aplicativos e os comandos da CLI. Para fazer isso, especifique o parâmetro `endpoint-url` com o nome DNS do endpoint de interface ao usar essas operações e esses comandos. O nome DNS pode ser resolvido publicamente, mas apenas roteia o tráfego em sua VPC com êxito. 

O exemplo a seguir mostra como especificar o nome DNS do endpoint de interface ao usar o comando **describe-fleets** da CLI:

```
aws appstream describe-fleets --endpoint-url <vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com
```

O exemplo a seguir mostra como especificar o nome DNS do endpoint da interface ao instanciar o cliente Python do Applications WorkSpaces Boto3:

```
appstream2client = boto3.client('appstream',region_name='<aws-region>',endpoint_url='<vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com'
```

Os comandos subsequentes que usam o objeto `appstream2client` usam automaticamente o endpoint de interface que você especificou.

Se você tiver habilitado os nomes de host DNS privado no endpoint de interface, não será necessário especificar o URL do endpoint. O nome do host DNS da API de WorkSpaces aplicativos que a API e a CLI usam por padrão é resolvido em sua VPC. Para obter mais informações sobre nomes de host de DNS privado, consulte [DNS privado](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns) no *Guia do usuário do Amazon VPC*.

# Como proteger dados em trânsito com endpoints do FIPS
<a name="protecting-data-in-transit-FIPS-endpoints"></a>

Por padrão, quando você se comunica com o serviço AppStream 2.0, seja como administrador usando o console do AppStream 2.0, a AWS Command Line Interface (AWS CLI) ou um AWS SDK, ou como um usuário que faz streaming de uma instância de frota ou um construtor de imagens, todos os dados em trânsito são criptografados usando TLS 1.2.

Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar AWS por meio de uma interface de linha de comando ou uma API, use um endpoint FIPS. O AppStream 2.0 oferece endpoints FIPS em todas as regiões da AWS nos Estados Unidos onde o AppStream 2.0 está disponível. Quando você usa um endpoint do FIPS, todos os dados em trânsito são criptografados usando padrões criptográficos que estão em conformidade com o Federal Information Processing Standard (FIPS) 140-2. Para obter informações sobre os endpoints FIPS, incluindo uma lista de endpoints do AppStream 2.0, consulte [Federal Information Processing Standard (FIPS – Norma federal de processamento de informações) 140-2](https://aws.amazon.com/compliance/fips).

**Topics**
+ [

# Endpoints do FIPS para uso administrativo
](FIPS-for-administrative-use.md)
+ [

# Endpoints do FIPS para sessões de streaming do usuário
](FIPS-for-user-streaming-sessions.md)
+ [

# Exceções
](FIPS-exceptions.md)

# Endpoints do FIPS para uso administrativo
<a name="FIPS-for-administrative-use"></a>

Para especificar um endpoint FIPS ao executar um comando da AWS CLI para o AppStream 2.0, use o parâmetro `endpoint-url`. O seguinte exemplo usa o endpoint FIPS do AppStream 2.0 na região Oeste dos EUA (Oregon) para recuperar uma lista de todas as pilhas na região:

```
aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com
```

Para especificar um endpoint FIPS para operações de API do AppStream 2.0, use o procedimento no AWS SDK para especificar um endpoint personalizado.

# Endpoints do FIPS para sessões de streaming do usuário
<a name="FIPS-for-user-streaming-sessions"></a>

Se usar o SAML 2.0 ou um URL de streaming para autenticar usuários, você poderá configurar conexões compatíveis com o FIPS para as sessões de streaming dos usuários.

Para usar uma conexão compatível com o FIPS para usuários que se autenticam usando SAML 2.0, especifique um endpoint FIPS do AppStream 2.0 ao configurar o estado de retransmissão da federação. Para obter mais informações sobre como criar um URL de estado de retransmissão para a federação de identidades usando o SAML 2.0, consulte [Configuração do SAML](external-identity-providers-setting-up-saml.md).

Para configurar uma conexão compatível com o FIPS para usuários que se autenticam por meio de um URL de streaming, especifique um endpoint FIPS do AppStream 2.0 ao chamar a operação [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) ou [CreateImageBuilderStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateImageBuilderStreamingURL.html) da AWS CLI ou de um AWS SDK. Um usuário que se conecte a uma instância de streaming usando o URL resultante é conectado por meio de uma conexão compatível com o FIPS. O seguinte exemplo usa o endpoint FIPS do AppStream 2.0 na região Leste dos EUA (Virgínia) para gerar um URL de streaming compatível com o FIPS:

```
aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com
```

# Exceções
<a name="FIPS-exceptions"></a>

Conexões compatíveis com o FIPS não têm suporte nos seguintes cenários:
+ Administração do AppStream 2.0 pelo console do AppStream 2.0
+ Sessões de streaming para usuários que se autenticam usando o recurso de grupo de usuários do AppStream 2.0
+ Streaming usando um VPC endpoint de interface
+ Gerar URLs de streaming compatíveis com o FIPS pelo console do AppStream 2.0
+ Conexões com suas contas de armazenamento do Google Drive ou OneDrive em que o provedor de armazenamento não fornece um endpoint do FIPS

# Grupos de segurança em WorkSpaces aplicativos da Amazon
<a name="managing-network-security-groups"></a>

Você pode fornecer controle de acesso adicional à sua VPC a partir de instâncias de streaming em uma frota ou em um construtor de imagens na Amazon WorkSpaces Applications associando-as aos grupos de segurança da VPC. Os grupos de segurança que pertencem à sua VPC permitem que você controle o tráfego de rede entre as instâncias de streaming de WorkSpaces aplicativos e os recursos da VPC, como servidores de licenças, servidores de arquivos e servidores de banco de dados. Para obter mais informações, consulte [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário do Amazon VPC*.

As regras que você define para seu security group da VPC são aplicadas ao security group associado a um construtor de imagem ou frota. As regras do security group determinam o tráfego de rede que é permitido em suas instâncias de streaming. Para obter mais informações, consulte [Regras de grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) no *Guia do usuário do Amazon VPC*.

Você pode associar até cinco security groups ao ativar um novo construtor de imagem ou ao criar uma nova frota. Você também pode associar grupos de segurança a uma frota existente ou alterar os grupos de segurança de uma frota (para alterar grupos de segurança de uma frota, primeiro você deve parar a frota). Para obter mais informações, consulte [Trabalhar com grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) no *Guia do usuário da Amazon VPC*.

Se você não selecionar um security group, seu construtor de imagem ou frota será associado ao security group padrão de sua VPC. Para obter mais informações, consulte [Grupo de segurança padrão para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup) no *Guia do usuário do Amazon VPC*.

Use essas considerações adicionais ao usar grupos de segurança com WorkSpaces aplicativos.
+ Todos os dados de usuário final, como o tráfego da Internet, os dados da pasta base ou a comunicação do aplicativo com os recursos da VPC são afetados pelos grupos de segurança associados à instância de streaming.
+ Os dados de pixel de streaming não são afetados por security groups.
+ Se você habilitou o Acesso à Internet padrão para seu criador de imagens ou sua frota, as regras dos security groups associados devem permitir acesso à Internet.

Você pode criar ou editar regras para seus grupos de segurança ou criar grupos de segurança usando o console do Amazon VPC. 
+ **Para associar security groups a um construtor de imagem** — Siga as instruções em [Inicie um criador de imagens para instalar e configurar aplicativos de streaming](tutorial-image-builder-create.md).
+ **Para associar security groups a uma frota**
  + *Ao criar a frota* — siga as instruções em [Crie uma frota nos WorkSpaces aplicativos da Amazon](set-up-stacks-fleets-create.md).
  + *Para uma frota existente* — Edite as configurações da frota usando o Console de gerenciamento da AWS.

Você também pode associar grupos de segurança às suas frotas usando o AWS CLI e. SDKs
+ **AWS CLI**: use os comandos [create-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-fleet.html) e [update-fleet](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-fleet.html).
+ **AWS SDKs**— Use as operações [CreateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateFleet.html)e [UpdateFleet](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_UpdateFleet.html)da API.

Para obter mais informações, consulte o [Guia do usuário da AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/) e [Ferramentas para a Amazon Web Services](https://aws.amazon.com/tools/).

# Gerenciamento de atualizações no Amazon AppStream 2.0
<a name="update-management"></a>

O AppStream 2.0 fornece uma forma automatizada para atualizar seu construtor de imagens com o software do AppStream 2.0 mais recente. Quando as imagens são configuradas para sempre usarem a versão mais recente do agente do AppStream 2.0, as instâncias de streaming são atualizadas automaticamente com os recursos, as melhorias de performance e as atualizações de segurança mais recentes que estão disponíveis na AWS. Para obter informações sobre como gerenciar as versões do agente do AppStream 2.0, consulte [Gerenciar versões do WorkSpaces Applications Agent](base-images-agent.md). 

Você é responsável por instalar e manter as atualizações para o sistema operacional Windows, seus aplicativos e suas dependências. Para obter mais informações, consulte [Mantenha a imagem de seus WorkSpaces aplicativos da Amazon Up-to-Date](keep-image-updated.md).

Você pode manter sua imagem do AppStream 2.0 atualizada usando atualizações de imagens gerenciadas do AppStream 2.0. Esse método de atualização oferece as atualizações do sistema operacional Windows e as atualizações de drivers mais recentes, além do software de agente do AppStream 2.0 mais recente. Para obter mais informações, consulte [Atualizar uma imagem usando atualizações de imagem de WorkSpaces aplicativos gerenciados](keep-image-updated-managed-image-updates.md).

Para gerenciar atualizações de aplicativos em suas instâncias de streaming, você pode usar todos os serviços de atualização automática fornecidos. Você também pode seguir as recomendações para instalar atualizações fornecidas pelo fornecedor do aplicativo. 

# Amazon WorkSpaces Applications Cross-Service Confused Deputy Prevention
<a name="confused-deputy"></a>

O problema de “confused deputy” é um problema de segurança em que uma entidade que não tem permissão para executar uma ação coage outra entidade mais privilegiada a executar a ação. Na AWS, a personificação entre serviços pode deixar os recursos da conta vulneráveis ao problema de “confused deputy”. A personificação entre serviços ocorre quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode manipular o serviço chamado para que ele use as respectivas permissões com o objetivo de acessar os recursos do cliente de uma forma na qual o serviço de chamada não tem permissão para atuar sozinho. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que têm acesso aos recursos em sua conta.

Recomendamos o uso das chaves globais de contexto de condição `aws:SourceArn` e `aws:SourceAccount` em políticas de recursos para limitar as permissões ao acessar esses recursos. As diretrizes a seguir detalham as recomendações e os requisitos ao usar essas chaves para proteger recursos:
+ Use `aws:SourceArn` se quiser apenas um recurso associado ao acesso entre serviços.
+ Use `aws:SourceAccount` se quiser permitir que todos os recursos na conta especificada sejam associados ao uso entre serviços.
+ Se a chave `aws:SourceArn` não contiver um ID de conta, você deverá usar ambas as chaves globais de contexto de condição (`aws:SourceArn` e `aws:SourceAccount`) para limitar as permissões.
+ Se você utilizar ambas as chaves globais de contexto de condição e o valor `aws:SourceArn` contiver um ID de conta, a chave `aws:SourceAccount` deverá usar o mesmo ID de conta quando usada na mesma instrução de política.

A maneira mais eficaz de se proteger contra o problema de “confused deputy” é usar o nome do recurso da Amazon (ARN) exato do recurso que deseja permitir. Se você não souber o ARN completo do recurso, use a chave global de contexto de condição `aws:SourceArn` com curingas (como \$1) para as partes desconhecidas do ARN. Também é possível usar um curinga no ARN se quiser especificar vários recursos. Por exemplo, você pode formatar o ARN como `arn:aws:servicename::region-name::your Conta da AWS ID:*`.

**Topics**
+ [

# Exemplo: WorkSpaces aplicativos, função de serviço entre serviços, prevenção delegada confusa
](example-confused-deputy.md)
+ [

# Exemplo: Frota de WorkSpaces aplicativos, função de máquina, serviços cruzados, prevenção delegada confusa
](example-fleet-machine.md)
+ [

# Exemplo: WorkSpaces aplicativos: script de sessão de frotas elásticas, política de bucket do Amazon S3, serviços cruzados, prevenção delegada confusa
](example-elastic-fleets.md)
+ [

# Exemplo: WorkSpaces aplicativos, aplicativo, política de bucket do Amazon S3, serviços cruzados, prevenção delegada confusa
](example-s3-bucket.md)

# Exemplo: WorkSpaces aplicativos, função de serviço entre serviços, prevenção delegada confusa
<a name="example-confused-deputy"></a>

WorkSpaces Os aplicativos assumem uma função de serviço usando uma variedade de recursos ARNs, o que leva a uma declaração condicional complicada. Recomendamos usar um tipo de recurso curinga para evitar falhas inesperadas nos recursos dos WorkSpaces aplicativos.

**Example Condicional `aws:SourceAccount`:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Conta da AWS ID"
                }
            }
        }
    ]
}
```

**Example Condicional `aws:SourceArn`:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {                   
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:*"
                }
            }
        }
    ]
}
```

# Exemplo: Frota de WorkSpaces aplicativos, função de máquina, serviços cruzados, prevenção delegada confusa
<a name="example-fleet-machine"></a>

**Example Condicional `aws:SourceAccount`:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Conta da AWS ID"
                }
            }
        }
    ]
}
```

**Example Condicional `aws:SourceArn`:**  
Se você quiser usar uma função do IAM para várias frotas, recomendamos usar a chave de condição de contexto `aws:SourceArn` global com curingas (\$1) para corresponder a vários recursos da frota de WorkSpaces aplicativos.  
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/your-fleet-name"
                }
            }
        }
    ]
}
```

# Exemplo: WorkSpaces aplicativos: script de sessão de frotas elásticas, política de bucket do Amazon S3, serviços cruzados, prevenção delegada confusa
<a name="example-elastic-fleets"></a>

**Example Condicional `aws:SourceAccount`:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::your-bucket-name/your-session-script-path",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Conta da AWS ID"
                } 
            }
        }
    ]
}
```

**Example Condicional `aws:SourceArn`:**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "appstream.amazonaws.com"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::bucket/AppStream2/*",
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:fleet/yourFleetName"
                }
            }
        }
    ]
}
```

# Exemplo: WorkSpaces aplicativos, aplicativo, política de bucket do Amazon S3, serviços cruzados, prevenção delegada confusa
<a name="example-s3-bucket"></a>

Quando você armazena dados em um bucket do Amazon S3, o bucket pode ser exposto a problemas de “confused deputy”. Isso pode deixar dados, como frotas elásticas, blocos de aplicações, scripts de configuração, ícones de aplicações e scripts de sessão, vulneráveis a agentes mal-intencionados.

Para evitar problemas de “confused deputy”, você pode especificar a condição `aws:SourceAccount` ou a condição `aws:SourceArn` na política de bucket do Amazon S3 para `ELASTIC-FLEET-EXAMPLE-BUCKET`.

As políticas de recursos a seguir mostram como evitar o problema de “confused deputy” com uma das seguintes opções:
+ O `aws:SourceAccount` com o ID AWS da sua conta
+ A chave global de contexto de condição `aws:SourceArn`

WorkSpaces Atualmente, os aplicativos não oferecem suporte à prevenção delegada confusa para ícones de aplicativos. O serviço só oferece suporte a arquivos VHD e scripts de configuração. Se você tentar incluir condições adicionais para os ícones de aplicação, os ícones não serão exibidos para os usuários finais.

No exemplo a seguir, a política de bucket só permite o acesso aos recursos da frota WorkSpaces Applications Elastic na conta do proprietário`ELASTIC_FLEET_EXAMPLE_BUCKET`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "your Conta da AWS ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Você também pode usar a condição `aws:SourceArn` para limitar o acesso a recursos específicos. 

**nota**  
Se você não souber o ARN completo do recurso ou se quiser especificar vários recursos, use a chave global de contexto de condição `aws:SourceArn` com curingas (\$1) para as partes desconhecidas do ARN.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

Você também pode usar as condições `aws:SourceArn` e `aws:SourceAccount` para limitar o acesso a contas e recursos específicos. 

**nota**  
Se você não souber o ARN completo dos recursos ou se quiser especificar vários recursos, use a chave global de contexto de condição `aws:SourceArn` com curingas (\$1) para as partes desconhecidas do ARN.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/vhd-folder/*",
                "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/scripts/*"
            ],
            "Condition": {
                "ArnLike": {
                "aws:SourceArn": "arn:aws:appstream:us-east-1:111122223333:app-block/*"
                },
                "StringEquals": {
                    "aws:SourceAccount": "your AWS account ID"
                }
            }
        },
        {
            "Sid": "AllowRetrievalPermissionsToS3AppIconsForAppStream",
            "Effect": "Allow",
            "Principal": {
                "Service": "appstream.amazonaws.com"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::ELASTIC-FLEET-EXAMPLE-BUCKET/app-icons/*"
        }
    ]
}
```

------

# Melhores práticas de segurança nos WorkSpaces aplicativos da Amazon
<a name="security-best-practices"></a>

 A segurança da nuvem na Amazon Web Services (AWS) é a nossa maior prioridade. Segurança e conformidade são responsabilidades compartilhadas entre o cliente AWS e o cliente. Para obter mais informações, consulte o [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/). Como cliente da AWS Land WorkSpaces Applications, é importante implementar medidas de segurança em diferentes camadas, como pilha, frota, imagem e rede. 

 Devido à sua natureza efêmera, os WorkSpaces aplicativos geralmente são preferidos como uma solução segura para a entrega de aplicativos e desktops. Considere se as soluções antivírus comuns nas implantações do Windows são relevantes em seus casos de uso para um ambiente predefinido e eliminado no final de uma sessão de usuário. O antivírus adiciona sobrecarga às instâncias virtualizadas. Dessa forma, a prática recomendada é reduzir atividades desnecessárias. Por exemplo, escanear o volume do sistema (que é efêmero) na inicialização, por exemplo, não aumenta a segurança geral dos aplicativos. WorkSpaces 

 As duas questões-chave para WorkSpaces aplicativos de segurança estão centradas em: 
+  A persistência do estado do usuário além da sessão é um requisito? 
+  Quanto acesso um usuário deve ter em uma sessão? 

**Topics**
+ [

# Como proteger dados persistentes
](securing-persistent-data.md)
+ [

# Segurança de endpoints e antivírus
](endpoint-security-antivirus.md)
+ [

# Exclusões de rede
](network-exclusions.md)
+ [

# Protegendo uma sessão de WorkSpaces aplicativos
](securing-session.md)
+ [

# Firewalls e roteamento
](firewalls-routing.md)
+ [

# Prevenção de perda de dados
](data-loss-prevention.md)
+ [

# Controlar o tráfego de saída
](controlling-egress-traffic.md)
+ [

# Usando AWS serviços
](using-services.md)

# Como proteger dados persistentes
<a name="securing-persistent-data"></a>

 As implantações de WorkSpaces aplicativos podem exigir que o estado do usuário persista de alguma forma. Pode ser para manter os dados de usuários individuais ou para manter os dados para colaboração usando uma pasta compartilhada. AppStreamO armazenamento de instâncias 2.0 é efêmero e não tem opção de criptografia. 

 WorkSpaces Os aplicativos fornecem persistência do estado do usuário por meio de pastas iniciais e configurações do aplicativo no Amazon S3. Alguns casos de uso exigem maior controle sobre a persistência do estado do usuário. Para esses casos de uso, a AWS recomenda usar um compartilhamento de arquivos do protocolo de Server Message Block (SMB). 

## Estado e dados do usuário
<a name="user-state-and-data"></a>

Como a maioria dos aplicativos do Windows tem um desempenho melhor e mais seguro quando colocados em conjunto com os dados do aplicativo criados pelo usuário, é uma prática recomendada manter esses dados da mesma forma Região da AWS que as frotas de aplicativos. WorkSpaces A prática recomendada é criptografar os dados. O comportamento padrão da pasta inicial do usuário é criptografar arquivos e pastas em repouso usando chaves de criptografia gerenciadas pelo Amazon S3 dos AWS serviços de gerenciamento de chaves ().AWS KMSÉ importante observar que os usuários AWS administrativos com acesso ao AWS console ou ao bucket do Amazon S3 poderão acessar esses arquivos diretamente.

Em designs que exigem um destino de SMB (Server Message Block) de um compartilhamento de arquivos do Windows para armazenar arquivos e pastas do usuário, o processo é automático ou requer configuração.

 *Tabela 5: opções para proteger os dados do usuário* 


|   **Meta do SMB**   |  **Encryption-at-rest**  |  **Encryption-in-transit**  |   **Antivírus (AV)**   | 
| --- | --- | --- | --- | 
|  FSx para Windows File Server  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html)  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)  |   O AV instalado em uma instância remota executa a varredura na unidade mapeada   | 
|   **Gateway de arquivos, AWS Storage Gateway**   |  Por padrão, todos os dados armazenados AWS Storage Gateway no S3 são criptografados no lado do servidor com as chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3). Opcionalmente, você pode configurar diferentes tipos de gateway para criptografar dados armazenados com AWS Key Management Service (KMS)  |  Todos os dados transferidos entre qualquer tipo de dispositivo de gateway e AWS armazenamento são criptografados usando SSL.  |   O AV instalado em uma instância remota executa a varredura na unidade mapeada   | 
|  Servidores de arquivos do Windows com base no EC2  |  [Habilitar criptografia do EBS](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)  |  PowerShell; Set- SmbServerConfiguration – EncryptData \$1True  |   O AV instalado no servidor executa a varredura em unidades locais   | 

# Segurança de endpoints e antivírus
<a name="endpoint-security-antivirus"></a>

A breve natureza efêmera das instâncias de WorkSpaces aplicativos e a falta de persistência dos dados significam que é necessária uma abordagem diferente para garantir que a experiência e o desempenho do usuário não sejam comprometidos por atividades que seriam necessárias em um desktop persistente. Os agentes do Endpoint Security são instalados em imagens de WorkSpaces aplicativos quando há uma política organizacional ou quando usados com entrada de dados externos, por exemplo, e-mail, entrada de arquivos, navegação externa na web.

## Como remover identificadores exclusivos
<a name="removing-unique-iidentifiers"></a>

Os agentes de segurança do endpoint podem ter um identificador global exclusivo (GUID) que deve ser redefinido durante o processo de criação da instância da frota. Os fornecedores têm instruções sobre como instalar seus produtos em imagens, garantindo que um novo GUID seja gerado para cada instância gerada a partir de uma imagem.

Para garantir que o GUID não seja gerado, instale o agente do Endpoint Security como última ação antes de executar o Assistente de WorkSpaces Aplicativos para gerar a imagem.

## Otimização do desempenho
<a name="performance-optimization"></a>

Os fornecedores de segurança de terminais fornecem switches e configurações que otimizam o desempenho dos WorkSpaces aplicativos. As configurações variam entre os fornecedores e podem ser encontradas em sua documentação, normalmente em uma seção sobre VDI. Algumas configurações comuns incluem:
+ Desativar as verificações de inicialização para garantir que os tempos de criação, inicialização e login da instância sejam minimizados
+ Desativar as varreduras agendadas para evitar varreduras desnecessárias
+ Desativar os caches de assinatura para evitar a enumeração de arquivos
+ Ativar configurações de E/S otimizadas para VDI
+ Exclusões exigidas pelos aplicativos para garantir o desempenho

Os fornecedores de segurança de endepoints fornecem instruções para uso com ambientes de área de trabalho virtual que otimizam o desempenho.
+ [Suporte do Trend Micro Office Scan para infraestrutura de desktop virtual - Apex One/ OfficeScan (](https://success.trendmicro.com/solution/1055260-best-practice-for-setting-up-virtual-desktop-infrastructure-vdi-in-officescan)trendmicro.com)
+ CrowdStrike e [como instalar o CrowdStrike Falcon no data center](https://www.crowdstrike.com/blog/tech-center/install-falcon-datacenter/)
+ Sophos e [Sophos Central Endpoint: como instalar em uma imagem gold para evitar identidades duplicadas](https://support.sophos.com/support/s/article/KB-000035040?language=en_US) e [Sophos Central: práticas recomendadas ao instalar endpoints do Windows em ambientes de área de trabalho virtual](https://support.sophos.com/support/s/article/KB-000039009?language=en_US)
+ McAfee e [provisionamento e implantação de McAfee agentes em sistemas de infraestrutura de desktop virtual](https://kc.mcafee.com/corporate/index?page=content&id=KB87654)
+ Microsoft Endpoint Security e [Configuração do Microsoft Defender Antivirus para máquinas VDI não persistentes: Microsoft Tech Community](https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/configuring-microsoft-defender-antivirus-for-non-persistent-vdi/ba-p/1489633)

## Exclusões de verificação
<a name="scanning-exclusions"></a>

 Se o software de segurança estiver instalado em instâncias de WorkSpaces Aplicativos, o software de segurança não deverá interferir nos processos a seguir. 

 *Tabela 6 — O software de segurança de processos de WorkSpaces aplicativos não deve interferir nos processos a seguir.* 


|  **Serviço**  |  **Processos**  | 
| --- | --- | 
|  AmazonCloudWatchAgent  |  “C:\$1Program Files\$1 Amazon\$1AmazonCloudWatchAgent\$1 start-amazon- cloudwatch-agent.exe”  | 
|  AmazonSSMAgent  |  “C:\$1Program Files\$1 Amazon\$1 SSM\$1 amazon-ssm-agent .exe”  | 
|  NICE DCV  |  "C:\$1Program Files\$1NICE\$1DCV\$1Server\$1bin\$1dcvserver.exe" "C:\$1Program Files\$1NICE\$1DCV\$1Server\$1bin\$1dcvagent.exe"  | 
|  WorkSpaces Aplicativos  |   “C:\$1Program Files\$1 Amazon\$1 AppStream 2\$1StorageConnector\$1 StorageConnector .exe”   Na pasta "C:\$1Program Files\$1Amazon\$1Photon\$1"   “. \$1 Agente\$1 PhotonAgent .exe”  ".\$1Agent\$1s5cmd.exe"  “. \$1WebServer\$1 PhotonAgentWebServer .exe”  “. \$1CustomShell\$1 PhotonWindowsAppSwitcher .exe”  “. \$1CustomShell\$1 PhotonWindowsCustomShell .exe”  “. \$1CustomShell\$1 PhotonWindowsCustomShellBackground .exe”   | 

## Pastas
<a name="folders"></a>

 Se o software de segurança estiver instalado em instâncias de WorkSpaces Aplicativos, o software não deverá interferir nas seguintes pastas: 

**Example**  

```
    C:\Program Files\Amazon\* 
    C:\ProgramData\Amazon\* 
    C:\Program Files (x86)\AWS Tools\* 
    C:\Program Files (x86)\AWS SDK for .NET\* 
    C:\Program Files\NICE\* 
    C:\ProgramData\NICE\* 
    C:\AppStream\*
```

## Limpeza do console de segurança de endpoints
<a name="endpoint-security-console-hygiene"></a>

WorkSpaces Os aplicativos criarão novas instâncias exclusivas sempre que um usuário se conectar além dos tempos limite de inatividade e desconexão. As instâncias terão um nome exclusivo e se acumularão em consoles de gerenciamento de segurança de endpoints. Configurar máquinas antigas não utilizadas com mais de 4 dias (ou menos, dependendo do tempo limite da sessão de WorkSpaces aplicativos) para serem excluídas minimizará o número de instâncias expiradas no console.

# Exclusões de rede
<a name="network-exclusions"></a>

 O intervalo da rede de gerenciamento de WorkSpaces aplicativos (`198.19.0.0/16`) e as seguintes portas e endereços não devem ser bloqueados por nenhuma solução de segurança/firewall ou antivírus nas instâncias de WorkSpaces aplicativos. 

 *Tabela 7 — Portas em WorkSpaces aplicativos, instâncias de streaming, software de segurança não deve interferir com* 


|  **Porta**  |   **Uso**   | 
| --- | --- | 
|  8300  |   Usado para estabelecer a conexão de streaming   | 
|  3128  |  Isso é usado para gerenciar a instância de streaming por WorkSpaces aplicativos  | 
|  8000  |   Isso é usado para gerenciar a instância de streaming por WorkSpaces aplicativos   | 
|  8443  |   Isso é usado para gerenciar a instância de streaming por WorkSpaces aplicativos   | 
|  53  |   DNS   | 

 *Tabela 8 — O software de segurança de endereços de serviços gerenciados de WorkSpaces aplicativos não deve interferir com* 


|  **Porta**  |  **Uso**  | 
| --- | --- | 
|  169.254.169.123  |  NTP  | 
|  169.254.169.249  |  Serviço de licença NVIDIA GRID  | 
|  169.254.169.250  |  KMS  | 
|  169.254.169.251  |  KMS  | 
|  169.254.169.253  |  DNS  | 
|  169.254.169.254  |  Metadados  | 

# Protegendo uma sessão de WorkSpaces aplicativos
<a name="securing-session"></a>

## Como limitar os controles de aplicativos e sistemas operacionais
<a name="limiting-application-and-operating-system-controls"></a>

 WorkSpaces Os aplicativos permitem que o administrador especifique exatamente quais aplicativos podem ser iniciados a partir da página da Web no modo de streaming de aplicativos. No entanto, isso não garante que somente os aplicativos especificados possam ser executados. 

 Os utilitários e aplicativos do Windows podem ser iniciados por meio do sistema operacional por meios adicionais. AWS recomenda usar AppLocker a [https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-microsoft-applocker-to-manage-application-experience-on-amazon-appstream-2-0/) para garantir que somente os aplicativos que sua organização exige possam ser executados. É necessário modificar as regras padrão, pois concedem a todos acesso por caminhos aos diretórios essenciais do sistema. 

**nota**  
 O Windows Server 2016 e 2019 exigem que o serviço Windows Application Identity esteja em execução para impor AppLocker as regras. O acesso a WorkSpaces aplicativos a partir de aplicativos usando AppLocker a Microsoft está detalhado no [Guia do AppStream administrador.](https://docs.aws.amazon.com/appstream2/latest/developerguide/data-protection.html#application-access) 

 Para instâncias de frota unidas a um domínio do Active Directory, use Objetos de Política de Grupo (GPOs) para fornecer configurações de usuário e sistema para proteger o acesso dos usuários aos aplicativos e recursos. 

# Firewalls e roteamento
<a name="firewalls-routing"></a>

 Ao criar uma frota de WorkSpaces aplicativos, sub-redes e um grupo de segurança devem ser atribuídos. As sub-redes têm atribuições existentes de listas de controle de acesso à rede (NACLs) e tabelas de rotas. Você pode associar [até cinco grupos de segurança](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html) ao iniciar um novo criador de imagens ou ao criar uma nova frota. Os grupos de segurança podem ter até [cinco atribuições dos grupos de segurança existentes](https://docs.aws.amazon.com/appstream2/latest/developerguide/managing-network-security-groups.html). Para cada grupo de segurança, adicione regras que controlam o tráfego de saída e entrada da rede de e para instâncias

A NACL é uma camada de segurança opcional para a VPC que atua como um firewall sem estado para controlar o tráfego de entrada e saída em sub-redes. Você pode configurar uma rede ACLs com regras semelhantes aos seus grupos de segurança para adicionar uma camada adicional de segurança à sua VPC. Para obter mais informações sobre as diferenças entre grupos de segurança e rede ACLs, consulte [a NACLs página comparar grupos de segurança e](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html#VPC_Security_Comparison).

Ao projetar e aplicar as regras do grupo de segurança e da NACL, considere as práticas recomendadas do AWS Well-Architected para obter o privilégio mínimo. O *privilégio mínimo* é o princípio de conceder somente as permissões necessárias para concluir uma tarefa.

Para clientes que têm uma rede privada de alta velocidade conectando seu ambiente local à AWS (por meio de um AWS Direct Connect), você pode considerar usar os VPC Endpoints para AppStream, o que significa que o tráfego de streaming será roteado por meio de sua conectividade de rede privada em vez de passar pela Internet pública. Para obter mais informações sobre esse tópico, consulte a seção VPC endpoint da interface de streaming de WorkSpaces aplicativos deste documento.

# Prevenção de perda de dados
<a name="data-loss-prevention"></a>

Vamos analisar dois tipos de prevenção de perda de dados.

## Controles de transferência de dados de cliente para instância AppStream 2.0
<a name="client-to-AppStream-instance-data-transfer-controls"></a>

 *Tabela 9: orientação para controlar a entrada e saída de dados* 


|  **Configuração**  |  **Opções**  |  **Orientação**  | 
| --- | --- | --- | 
|  Área de transferência  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/data-loss-prevention.html)  |  Desabilitar essa configuração não desabilita copiar e colar na sessão. Se for necessário copiar dados para a sessão, escolha Colar somente na sessão remota para minimizar o potencial do vazamento de dados.  | 
|  Transferência de arquivos  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/data-loss-prevention.html)  |  Evite ativar essa configuração para impedir o vazamento de dados.  | 
|  Imprimir no dispositivo local  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/data-loss-prevention.html)  |  Se a impressão for necessária, use impressoras mapeadas em rede que sejam controladas e monitoradas pela organização.  | 

 Considere as vantagens da solução de transferência de dados organizacional existente em relação às configurações da pilha. Essas configurações não foram projetadas para substituir uma solução abrangente de transferência segura de dados. 

# Controlar o tráfego de saída
<a name="controlling-egress-traffic"></a>

Quando a perda de dados é uma preocupação, é importante cobrir o que um usuário pode acessar quando estiver dentro da instância do WorkSpaces Applications. Qual é a aparência do caminho de saída (ou regressão) da rede? É um requisito comum ter acesso público à Internet disponível para o usuário final em sua instância de WorkSpaces aplicativos, portanto, é necessário considerar a colocação de uma solução de filtragem de conteúdo WebProxy ou uma solução de filtragem de conteúdo no caminho da rede. Outras considerações incluem um aplicativo antivírus local e outras medidas de segurança de endpoint dentro da AppStream instância (consulte a seção “Segurança e antivírus de endpoints” para obter mais informações).

# Usando AWS serviços
<a name="using-services"></a>

## AWS Identity and Access Management
<a name="aws-identity-and-access-management"></a>

 Usar uma função do IAM para acessar AWS serviços e ser específico na política do IAM anexada a ela é uma prática recomendada que permite que somente os usuários nas sessões de WorkSpaces aplicativos tenham acesso sem gerenciar credenciais adicionais. Siga as [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances). 

 Crie [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) que são criados para manter os dados do usuário nas pastas iniciais e na persistência das configurações do aplicativo. Isso [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access). 

## Endpoints da VPC
<a name="vpc-endpoints-1"></a>

 Um VPC endpoint permite conexões privadas entre sua VPC e os serviços compatíveis AWS e os serviços de VPC endpoint desenvolvidos por. AWS PrivateLink AWS PrivateLink é uma tecnologia que permite acessar serviços de forma privada usando endereços IP privados. O tráfego entre a sua VPC e os outros serviços não deixa a rede da Amazon. Se o acesso público à Internet for necessário somente para AWS serviços, os VPC endpoints eliminarão completamente a exigência de gateways NAT e gateways de Internet. 

 Em ambientes em que as rotinas de automação ou os desenvolvedores exijam chamadas de API para WorkSpaces aplicativos, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) operações de API de aplicativos. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) O diagrama a seguir mostra um exemplo de configuração em que a API de WorkSpaces aplicativos e os endpoints de VPC de streaming são consumidos pelas funções Lambda e pelas instâncias do EC2. 

![\[Um diagrama de arquitetura de referência para o endpoint da VPC\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Endpoint da VPC* 

 O endpoint da VPC de streaming permite que você transmita sessões por meio de um endpoint da VPC. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para usar o VPC endpoint, a configuração do VPC endpoint deve estar habilitada na pilha de aplicativos. WorkSpaces Isso serve como uma alternativa ao streaming de sessões de usuários pela Internet pública a partir de locais com acesso limitado à Internet e que se beneficiariam do acesso por meio de uma instância do Direct Connect. O streaming de sessões de usuário por meio de um endpoint da VPC exige o seguinte: 
+  Os Grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta `443` (TCP) e às portas `1400–1499` (TCP) do intervalo de endereços IP do qual os usuários se conectam. 
+  A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras `1024-65535` (TCP) para o intervalo de endereços IP do qual os usuários se conectam. 
+  A conectividade com a Internet é necessária para autenticar os usuários e fornecer os ativos da web que os WorkSpaces Aplicativos precisam para funcionar. 

 Para saber mais sobre como restringir o tráfego para AWS serviços com WorkSpaces aplicativos, consulte o guia de administração para [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html) endpoints. 

 Quando o acesso público total à Internet é necessário, a prática recomendada é desativar a Configuração de Segurança Reforçada (ESC) do Internet Explorer no Image Builder. Para obter mais informações, consulte o guia de administração de WorkSpaces aplicativos para [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Configurando o Instance Metadata Service (IMDS) em suas instâncias
<a name="configuring-imds"></a>

Este tópico descreve o Serviço de Metadados de Instância (IMDS).

*Metadados de instância* são dados relacionados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) que as aplicações podem usar para configurar ou gerenciar a instância em execução. O serviço de metadados da instância (IMDS) é um componente na instância que o código na instância usa para acessar metadados da instância com segurança. Para obter mais informações, consulte [Metadados da instância e dados do usuário](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) no *Manual do usuário do Amazon EC2*.

O código pode acessar os metadados da instância de uma instância em execução usando um dos dois métodos: Instance Metadata Service Version 1 (IMDSv1) ou Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 usa solicitações orientadas à sessão e mitiga vários tipos de vulnerabilidades que poderiam ser usadas para tentar acessar o IMDS. Para obter informações sobre esses dois métodos, consulte [Configuração do serviço de metadados da instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) no *Guia do Usuário do Amazon EC2*.

### Suporte de recursos para IMDS
<a name="imds-resource-support"></a>

Frotas sempre ativas, sob demanda, de sessão única e multissessão, e todos os criadores de imagens oferecem suporte tanto IMDSv1 na execução quanto na execução de imagens de WorkSpaces aplicativos com a versão do agente ou a atualização de imagem gerenciada lançada em ou após 16 de janeiro de 2024. IMDSv2 

As instâncias do Elastic Fleets e AppBlock Builders também oferecem suporte para e. IMDSv1 IMDSv2

### Exemplo de configurações de atributos do IMDS
<a name="imds-examples"></a>

Abaixo estão dois exemplos de como escolher o método IMDS:

#### Exemplo de SDK para Java v2
<a name="java-sdk-example"></a>

Abaixo, exemplo de solicitação de desativação IMDSv1 usando `disableIMDSV1` atributos

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

IMDSV1Defina **desabilitar** como verdadeiro para desativar IMDSv1 e aplicar IMDSv2.

IMDSV1Defina **desabilitar** como falso para ativar IMDSv1 tanto IMDSv2 e.

#### Exemplo da CLI
<a name="cli-example"></a>

Abaixo, exemplo de solicitação de desativação IMDSv1 usando `--disable-imdsv1` atributos

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

`--disable-imdsv1`Defina como verdadeiro para desativar IMDSv1 e aplicar IMDSv2.

`--no-disable-imdsv1`Defina como false para ativar IMDSv1 tanto IMDSv2 e.