As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados na Amazon WorkSpaces
O modelo de responsabilidade AWS compartilhada
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use a autenticação multifator (MFA) com cada conta.
-
UseSSL/TLSpara se comunicar com AWS os recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
-
Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
-
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com WorkSpaces ou Serviços da AWS usa o console,API, AWS CLI, ou AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.
Para obter mais informações sobre criptografia WorkSpaces de FIPS endpoint, consulteConfigure a RAMP autorização do Fed ou a SRG conformidade com o DoD para Pessoal WorkSpaces .
Criptografia em repouso
Você pode criptografar os volumes de armazenamento para você WorkSpaces usando o AWS KMS Key from AWS Key Management Service. Para obter mais informações, consulte Criptografado WorkSpaces em WorkSpaces Pessoal.
Quando você cria WorkSpaces com volumes criptografados, WorkSpaces usa o Amazon Elastic Block Store (AmazonEBS) para criar e gerenciar esses volumes. EBScriptografa seus volumes com uma chave de dados usando o algoritmo -256 padrão do setorAES. Para obter mais informações, consulte Amazon EBS Encryption no Guia EC2 do usuário da Amazon.
Criptografia em trânsito
PoisPCoIP, os dados em trânsito são criptografados usando criptografia TLS 1.2 e assinatura de solicitação SigV4. O PCoIP protocolo usa UDP tráfego criptografado, com AES criptografia, para streaming de pixels. A conexão de streaming, usando a porta 4172 (TCPeUDP), é criptografada usando cifras AES -128 e AES -256, mas o padrão é de 128 bits. Você pode alterar esse padrão para 256 bits usando a configuração de política de grupo Definir configurações de PCoIP segurança para Windows WorkSpaces ou modificando as configurações de PCoIP segurança no arquivo pcoip-agent.conf
para o Amazon Linux. WorkSpaces
Para saber mais sobre a administração de políticas de grupo para a Amazon WorkSpaces, consulte Definir configurações PCoIP de segurança emGerencie seu Windows WorkSpaces no WorkSpaces Personal. Para saber mais sobre a modificação do pcoip-agent.conf
arquivo, consulte Controle o comportamento do PCoIP agente no Amazon Linux WorkSpaces Configurações de PCoIP segurança na documentação
PoisDCV, os dados de streaming e controle em trânsito são criptografados usando criptografia TLS 1.3 para UDP tráfego e criptografia TLS 1.2 para TCP tráfego, com AES -256 cifras.