本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon AppStream 2.0 中的 Cookie 型身分驗證
AppStream 2.0 使用瀏覽器 Cookie 來驗證串流工作階段,並允許使用者重新連線至作用中工作階段,而無需每次重新輸入其登入憑證。每個身分驗證案例的身分驗證權杖都儲存在瀏覽器 Cookie 中。雖然 Cookie 對許多線上服務而言是必要的,但它們可能容易遭受 Cookie 盜竊攻擊。我們強烈建議您採取主動措施來防止 Cookie 遭竊,例如為使用者的裝置實作強大的端點保護解決方案。此外,為了減輕 Cookie 遭竊時的潛在影響,我們建議您考慮下列動作:
-
強制執行單一工作階段限制 :針對 AppStream 2.0 Windows 映像,在 下建立名為 1 max-concurrent-clients
HKEY_USERS\S-1-5-18\Software\GSettings\com\nicesoftware\dcv\session-management的登錄機碼,一次僅允許一個連線。這將並行工作階段的數量限制為 1 個,並封鎖作用中工作階段的鏡像。如需詳細資訊,請參閱工作階段管理參數 。 -
強制執行工作階段到期並重新驗證
-
減少 SessionDuration 值,讓身分驗證權杖在使用者成功啟動串流工作階段後過期。在 sessionDuration 過期後重複使用身分驗證 Cookie 需要使用者重新驗證自己。 SessionDuration 請指定使用者聯合串流工作階段在需要重新身分驗證之前可保持作用中狀態的時間上限。預設值為 60 分鐘。如需詳細資訊,請參閱步驟 5:為SAML驗證回應建立宣告。
-
為了協助最大限度地提高安全性,使用者應該使用工具列正確結束工作階段 (終止工作階段),而不是關閉串流視窗。透過工具列結束工作階段會同時終止使用者工作階段和串流執行個體。這需要重新驗證以供未來存取,以防止 Cookie 誤用。如果使用者關閉串流視窗而不結束工作階段,工作階段和執行個體會在可設定的中斷連線逾時期間保持作用中狀態 (以分鐘為單位)。中斷連線逾時必須是介於 1 到 5760 之間的數字,預設值為 15 分鐘。為了防止誤用非作用中工作階段,建議您設定短暫中斷連線逾時。如需詳細資訊,請參閱在 Amazon AppStream 2.0 中建立機群。
-
-
將串流 AppStream 2.0 應用程式的存取權限制在您的 IP 範圍 :我們建議您實作 IP 型IAM政策。這可確保只能從 IP 地址屬於授權 IP 範圍的用戶端存取 AppStream 2.0 工作階段。用戶端 IP 地址超出授權範圍的使用者所啟動的所有連線嘗試都會遭到拒絕,即使他們呈現了其他有效的身分驗證 Cookie (可能遭竊)。如需詳細資訊,請參閱將 Amazon AppStream 2.0 應用程式存取限制在您的 IP 範圍
。 -
新增其他身分驗證 :若要啟動網域加入串流執行個體,您可以將 AppStream 2.0 Always-On 和隨需 Windows 機群和映像建置器加入 Microsoft Active Directory 中的網域,並使用現有的 Active Directory 網域,無論是雲端或內部部署。在初始 SAML型身分驗證之後,系統會提示您的使用者提供其網域憑證,以針對組織網域進行其他身分驗證。如需詳細資訊,請參閱搭配 AppStream 2.0 使用 Active Directory。
如果您有任何疑慮或需要協助,請聯絡 AWS Support 中心。
