本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 保护持久性数据
<a name="securing-persistent-data"></a>

 WorkSpaces 应用程序的部署可能要求用户状态以某种形式保持不变。它可能是为了保留个人用户的数据，或者是为了使用共享文件夹进行协作而保留数据。 AppStream2.0 实例存储是临时性的，没有加密选项。

 WorkSpaces 应用程序通过 Amazon S3 中的主文件夹和应用程序设置提供用户状态持久性。某些使用案例需要更好地控制用户状态的持久性。对于这些使用案例， AWS 建议使用服务器消息块 (SMB) 文件共享。

## 用户状态和数据
<a name="user-state-and-data"></a>

由于大多数 Windows 应用程序在与用户创建的应用程序数据位于同一 AWS 区域 位置时性能最好、最安全，因此最佳做法是将这些数据与 WorkSpaces 应用程序队列保持一致。最好能加密这些数据。用户主文件夹的默认行为是使用密钥管理服务中的 Amazon S3 托管加密密钥对静态文件和文件夹进行加密（）AWS KMS。 AWS 请务必注意，有权访问 AWS 控制台或 Amazon S3 存储桶的 AWS 管理用户将能够直接访问这些文件。

在需要使用 Windows 文件共享的服务器消息块 (SMB) 来存储用户文件和文件夹的设计中，该过程要么是自动的，要么需要配置。

 *表 5 — 保护用户数据的选项* 


|   **中小型企业目标**   |  **Encryption-at-rest**  |  **Encryption-in-transit**  |   **防病毒软件 (AV)**   | 
| --- | --- | --- | --- | 
|  FSx 适用于 Windows 文件服务器  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html)  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)  |   安装在远程实例上的 AV 在映射的驱动器上执行扫描   | 
|   **文件网关、 AWS Storage Gateway**   |  默认情况下，存储在 S3 中的所有数据均 AWS Storage Gateway 在服务器端使用 Amazon S3 托管加密密钥 (SSE-S3) 进行加密。您可以选择配置不同的网关类型以使用 AWS Key Management Service (KMS) 加密存储的数据  |  任何类型的网关设备和 AWS 存储设备之间传输的所有数据均使用 SSL 进行加密。 |   安装在远程实例上的 AV 在映射的驱动器上执行扫描   | 
|  基于 EC2 的 Windows 文件服务器  |  [启用 EBS 加密](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)  |  PowerShell; Set- SmbServerConfiguration – EncryptData \$1True  |   安装在服务器上的 AV 在本地驱动器上执行扫描   |