本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

选择桌面视图或应用程序视图

决定选择应用程序视图还是桌面视图对性能或成本没有影响。每个 AppStream 2.0 实例集在任何时候都只能访问一个视图。您可以更改流视图选项。请计划在非高峰工作时段进行此更改，因为更改流视图需要重启实例集。

流视图没有单独的最佳实践。流视图选项的影响概括如下：

桌面视图

对于所有用户工作流程都在会话中执行的使用案例，桌面视图可通过将所有应用程序集中在一个环境中来简化用户体验。如需部署超过 3-5 个需要与操作系统 (OS) 集成的应用程序，桌面视图可以提供更一致的用户体验。当维护两个独立且不同的环境时，桌面视图非常实用。例如，用户可以同时访问生产和预生产桌面环境，验证布局、配置和应用程序访问权限的更改。

AppStream 2.0 使用情况报告可为桌面视图创建每日应用程序报告。产生的应用程序报告只是标为“桌面”，直接映射到 AppStream 2.0 会话。有关更多信息，请参阅本文档的监控用户使用情况部分。

纯应用程序视图

当 AppStream 2.0 堆栈旨在提供一些间歇性需要的应用程序时，“仅限应用程序”视图也非常有效。在自助服务终端环境中，通过应用程序视图可提供安全锁定的应用程序交付。在“应用程序视图”中，AppStream 2.0 可使用自定义 shell 替换默认的 Windows shell。此自定义 shell 仅显示正在运行的应用程序，从而最大限度地减少了操作系统的攻击面。

对于使用 AppStream 2.0 来增强现有组织桌面环境的使用情况，首选“纯应用程序”视图。在原生应用程序模式下部署 AppStream 2.0 Windows 客户端，允许充分使用键盘快捷键，从而最大限度地减少用户的困惑。

Amazon 2.0 使用情况报告可为应用程序视图创建每日应用程序报告。要更精细地报告应用程序和运行使用情况，可以考虑使用第三方解决方案从操作系统级别报告。您可以在报告模式下使用 Microsoft AppLocker，也可以考虑 AWS Marketplace 中提供的解决方案，例如 Liquidware 的 Stratusphere UX。

AWS Identity and Access Management 角色配置

如果工作负载要求 AppStream 2.0 最终用户在其会话中访问其他 AWS 服务，则最佳实践是通过使用 AWS Identity and Access Management(IAM) 角色来委派访问权限。通过实例集级别的分配，可以将 IAM 角色直接附加到最终用户的会话。有关在 AppStream 2.0 中使用 IAM 角色的其他最佳实践，请参阅管理员指南的这一部分。

使用静态凭证

某些工作负载可能需要静态输入 IAM 访问密钥，而不是从附加的角色继承而来。获取这些凭证有两种方法。第一种方法是将访问密钥存储在 AWS 服务中，然后向您的最终用户授予明确的 IAM 访问权限，以便从服务中提取该特定值。使用 AWS Secrets Manager 或 AWS SSM 参数存储是访问密钥存储机制的两个示例。第二种方法是使用 AppStream 2.0 凭证提供程序来获取附加角色的访问密钥。这可以通过调用凭证提供程序并解析访问密钥和私有密钥的输出信息来完成。以下是如何在 PowerShell 中执行此操作的示例。

$CMD = 'C:\Program Files\Amazon\Photon\PhotonRoleCredentialProvider\PhotonRoleCredentialProvider.exe'
$role = 'Machine'

$output = & $CMD --role=$role
$parsed = $output | ConvertFrom-Json

$access_key = $parsed.AccessKeyId
$secret_key = $parsed.SecretAccessKey
$session_token = $parsed.SessionToken

保护 AppStream 2.0 S3 存储桶

如果您的 AppStream 2.0 工作负载配置了主文件夹和/或应用程序持久性，则最佳实践是保护存储永久数据的 Amazon S3 存储桶免受未经授权的访问或意外删除。第一层保护是添加 Amazon S3 存储桶策略，以避免存储桶被意外删除。第二层保护是添加符合最低权限原则的存储桶策略。要遵循这一原则，可以只允许必要的各方访问存储桶。