Como escolher a exibição da área de trabalho ou do aplicativo - Melhores práticas para implantar o Amazon 2.0 AppStream
Exibição da área de trabalhoExibição somente de aplicativosConfiguração da função do AWS Identity and Access Management

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como escolher a exibição da área de trabalho ou do aplicativo

A determinação de escolher uma exibição de aplicativo ou de desktop não tem impacto no desempenho ou no custo. Apenas uma exibição pode ser acessada por vez por frota do AppStream 2.0. Você pode alterar a opção de Exibição do stream. Planeje essa mudança fora do horário comercial de pico, pois a mudança da exibição do stream exige a reinicialização da frota.

Não há uma única prática recomendada para a exibição de streams. O impacto das opções de exibição do stream é resumido da seguinte forma:

  • Relatórios detalhados sobre o uso do aplicativo por meio do atributo Relatórios de uso para administradores

  • Experiência geral e fluxo de trabalho para usuários finais (por exemplo, um desktop completo atende às necessidades do caso de uso ou somente a visualização dos aplicativos é suficiente?).

Exibição da área de trabalho

Para casos de uso em que todo o fluxo de trabalho do usuário é executado em sessão, a Exibição da área de trabalho simplifica a experiência do usuário, mantendo todos os aplicativos focados em um único ambiente. A Exibição da área de trabalho pode oferecer uma experiência de usuário mais consistente para implantações de mais de três a cinco aplicativos que exigem integração com o sistema operacional (SO). Ela é eficaz ao manter dois ambientes separados e distintos. Por exemplo, um usuário pode ter acesso simultâneo a um ambiente de área de trabalho de produção e pré-produção para validar alterações no layout, na configuração e no acesso ao aplicativo.

Os relatórios de uso do AppStream 2.0 criam um relatório diário de aplicativos para a Exibição da área de trabalho. A saída resultante para o aplicativo é simplesmente “área de trabalho”, mapeada diretamente para a sessão do AppStream 2.0. Para obter mais informações, consulte a seção Monitoramento do uso pelo usuário deste documento.

Exibição somente de aplicativos

A exibição Somente de aplicativos também é eficaz quando a pilha do AppStream 2.0 deve fornecer alguns aplicativos que são necessários de forma intermitente. Em ambientes de quiosque, uma entrega segura de aplicativos é fornecida por meio da Exibição de aplicativos. Com a Exibição de aplicativos, o AppStream 2.0 substitui o shell padrão do Windows por um personalizado. Esse shell personalizado apresenta apenas aplicativos em execução, minimizando a superfície de ataque do sistema operacional.

Para casos de uso em que o AppStream 2.0 é usado para ampliar o ambiente de desktop de uma organização existente, a visualização Somente aplicativos é preferida. Implante o Cliente Windows do AppStream 2.0 no modo de aplicativo nativo para minimizar a confusão do usuário, permitindo o uso total dos atalhos do teclado.

Os relatórios de uso do Amazon 2.0 criam um relatório diário do aplicativo para visualização. Para obter relatórios mais detalhados sobre o uso de aplicativos e execuções, considere uma solução de terceiros para gerar relatórios no nível do sistema operacional. Você pode usar o Microsoft AppLocker no modo de relatório ou considerar soluções que estão disponíveis no AWS Marketplace, como o Stratusphere UX da Liquidware.

Configuração da função do AWS Identity and Access Management

Se uma workload exigir que os usuários finais do AppStream 2.0 acessem outros serviços da AWS na sessão, é uma prática recomendada delegar o acesso por meio do uso de perfis do AWS Identity and Access Management (IAM). Os perfis do IAM podem ser vinculados diretamente à sessão do seu usuário final por meio da atribuição no nível da frota. Para ver outras práticas recomendadas ao usar perfis do IAM com o AppStream 2.0, consulte esta seção do guia do administrador.

Uso de credenciais estáticas

Algumas cargas de trabalho podem exigir entradas estáticas para as chaves de acesso do IAM, em vez de herdá-las da função anexada. Há dois métodos para receber essas credenciais. O primeiro método envolve armazenar as chaves de acesso em um serviço AWS e, em seguida, dar aos usuários finais acesso explícito ao IAM para extrair esse valor específico do serviço. Dois exemplos de mecanismos de armazenamento de chaves de acesso estão usando o AWS Secrets Manager ou a AWS SSM Parameter Store. O segundo método é usar o provedor de credenciais do AppStream 2.0 para acessar as chaves de acesso da função associada. Isso pode ser feito invocando o provedor de credenciais e analisando a saída da chave de acesso e da chave secreta. Confira um exemplo de como realizar essa ação no PowerShell.

$CMD = 'C:\Program Files\Amazon\Photon\PhotonRoleCredentialProvider\PhotonRoleCredentialProvider.exe'
$role = 'Machine'

$output = & $CMD --role=$role
$parsed = $output | ConvertFrom-Json

$access_key = $parsed.AccessKeyId
$secret_key = $parsed.SecretAccessKey
$session_token = $parsed.SessionToken

Como proteger o bucket do S3 para AppStream 2.0

Caso a workload do AppStream 2.0 esteja configurada com pasta inicial e/ou persistência de aplicativos, é uma prática recomendada proteger o bucket do Amazon S3 no qual os dados persistentes são armazenados contra acesso não autorizado ou exclusão acidental. A primeira camada de proteção é adicionar uma política de bucket do Amazon S3 para evitar a exclusão acidental do bucket. A segunda camada de proteção é adicionar uma política de bucket que se alinhe ao princípio privilégio mínimo. O alinhamento ao princípio pode ser feito permitindo que apenas partes necessárias acessem o bucket.