As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando AWS serviços
<a name="using-services"></a>

## AWS Identity and Access Management
<a name="aws-identity-and-access-management"></a>

 Usar uma função do IAM para acessar AWS serviços e ser específico na política do IAM anexada a ela é uma prática recomendada que permite que somente os usuários nas sessões de WorkSpaces aplicativos tenham acesso sem gerenciar credenciais adicionais. Siga as [https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances](https://docs.aws.amazon.com/appstream2/latest/developerguide/using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.html#best-practices-for-using-iam-role-with-streaming-instances). 

 Crie [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html) que são criados para manter os dados do usuário nas pastas iniciais e na persistência das configurações do aplicativo. Isso [https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access](https://docs.aws.amazon.com/appstream2/latest/developerguide/s3-iam-policy.html#s3-iam-policy-restricted-access). 

## Endpoints da VPC
<a name="vpc-endpoints-1"></a>

 Um VPC endpoint permite conexões privadas entre sua VPC e os serviços compatíveis AWS e os serviços de VPC endpoint desenvolvidos por. AWS PrivateLink AWS PrivateLink é uma tecnologia que permite acessar serviços de forma privada usando endereços IP privados. O tráfego entre a sua VPC e os outros serviços não deixa a rede da Amazon. Se o acesso público à Internet for necessário somente para AWS serviços, os VPC endpoints eliminarão completamente a exigência de gateways NAT e gateways de Internet. 

 Em ambientes em que as rotinas de automação ou os desenvolvedores exijam chamadas de API para WorkSpaces aplicativos, [https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/access-api-cli-through-interface-vpc-endpoint.html) operações de API de aplicativos. [https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) O diagrama a seguir mostra um exemplo de configuração em que a API de WorkSpaces aplicativos e os endpoints de VPC de streaming são consumidos pelas funções Lambda e pelas instâncias do EC2. 

![\[Um diagrama de arquitetura de referência para o endpoint da VPC\]](http://docs.aws.amazon.com/pt_br/appstream2/latest/developerguide/images/vpc-endpoint.jpeg)


 *Endpoint da VPC* 

 O endpoint da VPC de streaming permite que você transmita sessões por meio de um endpoint da VPC. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para usar o VPC endpoint, a configuração do VPC endpoint deve estar habilitada na pilha de aplicativos. WorkSpaces Isso serve como uma alternativa ao streaming de sessões de usuários pela Internet pública a partir de locais com acesso limitado à Internet e que se beneficiariam do acesso por meio de uma instância do Direct Connect. O streaming de sessões de usuário por meio de um endpoint da VPC exige o seguinte: 
+  Os Grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta `443` (TCP) e às portas `1400–1499` (TCP) do intervalo de endereços IP do qual os usuários se conectam. 
+  A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras `1024-65535` (TCP) para o intervalo de endereços IP do qual os usuários se conectam. 
+  A conectividade com a Internet é necessária para autenticar os usuários e fornecer os ativos da web que os WorkSpaces Aplicativos precisam para funcionar. 

 Para saber mais sobre como restringir o tráfego para AWS serviços com WorkSpaces aplicativos, consulte o guia de administração para [https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html](https://docs.aws.amazon.com/appstream2/latest/developerguide/creating-streaming-from-interface-vpc-endpoints.html) endpoints. 

 Quando o acesso público total à Internet é necessário, a prática recomendada é desativar a Configuração de Segurança Reforçada (ESC) do Internet Explorer no Image Builder. Para obter mais informações, consulte o guia de administração de WorkSpaces aplicativos para [https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc](https://docs.aws.amazon.com/appstream2/latest/developerguide/customize-fleets.html#customize-fleets-disable-ie-esc). 

## Configurando o Instance Metadata Service (IMDS) em suas instâncias
<a name="configuring-imds"></a>

Este tópico descreve o Serviço de Metadados de Instância (IMDS).

*Metadados de instância* são dados relacionados a uma instância do Amazon Elastic Compute Cloud (Amazon EC2) que as aplicações podem usar para configurar ou gerenciar a instância em execução. O serviço de metadados da instância (IMDS) é um componente na instância que o código na instância usa para acessar metadados da instância com segurança. Para obter mais informações, consulte [Metadados da instância e dados do usuário](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) no *Manual do usuário do Amazon EC2*.

O código pode acessar os metadados da instância de uma instância em execução usando um dos dois métodos: Instance Metadata Service Version 1 (IMDSv1) ou Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 usa solicitações orientadas à sessão e mitiga vários tipos de vulnerabilidades que poderiam ser usadas para tentar acessar o IMDS. Para obter informações sobre esses dois métodos, consulte [Configuração do serviço de metadados da instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html) no *Guia do Usuário do Amazon EC2*.

### Suporte de recursos para IMDS
<a name="imds-resource-support"></a>

Frotas sempre ativas, sob demanda, de sessão única e multissessão, e todos os criadores de imagens oferecem suporte tanto IMDSv1 na execução quanto na execução de imagens de WorkSpaces aplicativos com a versão do agente ou a atualização de imagem gerenciada lançada em ou após 16 de janeiro de 2024. IMDSv2 

As instâncias do Elastic Fleets e AppBlock Builders também oferecem suporte para e. IMDSv1 IMDSv2

### Exemplo de configurações de atributos do IMDS
<a name="imds-examples"></a>

Abaixo estão dois exemplos de como escolher o método IMDS:

#### Exemplo de SDK para Java v2
<a name="java-sdk-example"></a>

Abaixo, exemplo de solicitação de desativação IMDSv1 usando `disableIMDSV1` atributos

```
CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();
```

IMDSV1Defina **desabilitar** como verdadeiro para desativar IMDSv1 e aplicar IMDSv2.

IMDSV1Defina **desabilitar** como falso para ativar IMDSv1 tanto IMDSv2 e.

#### Exemplo da CLI
<a name="cli-example"></a>

Abaixo, exemplo de solicitação de desativação IMDSv1 usando `--disable-imdsv1` atributos

```
aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1
```

`--disable-imdsv1`Defina como verdadeiro para desativar IMDSv1 e aplicar IMDSv2.

`--no-disable-imdsv1`Defina como false para ativar IMDSv1 tanto IMDSv2 e.