Amazon AppStream 2.0 中的數據保護 - Amazon AppStream 2.0
靜態加密傳輸中加密管理員控制項目應用程式存取權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon AppStream 2.0 中的數據保護

AWS 共同責任模型適用於 Amazon AppStream 2.0 中的資料保護。如此模型中所述, AWS 負責保護執行所有 AWS 雲端. 您負責維護在此基礎設施上託管內容的控制權。此內容包括您所使用 AWS 服務 的安全組態和管理任務。如需有關資料隱私權的更多相關資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

基於資料保護目的,我們建議您使用 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 登入資料並設定個別使用者。如此一來,每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源進行通訊。我們建議使用 TLS 1.2 版。

  • 使用設定 API 和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案,以及 AWS 服務中的所有預設安全性控制。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Simple Storage Service (Amazon Simple Storage Service (Amazon S3)) 的個人資料。

  • 如果您在透過命令列介面或 API 存取時需要經 AWS 過 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的欄位中,例如名稱欄位。這包括當您使用主控台、API 或 AWS SDK 使用 AppStream 2.0 或其他 AWS 服務時。 AWS CLI您在標籤或自由格式欄位中輸入的任何資料都可能用於計費或診斷記錄。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

靜態加密

AppStream 2.0 叢集執行個體本質上是短暫的。使用者的串流工作階段完成後,基礎執行個體和相關的 Amazon Elastic Block Store (Amazon EBS) 磁碟區即會終止。此外, AppStream 2.0 會定期回收未使用的執行個體,以確保新鮮度。

當您啟用應用程式設定持續性主資料夾工作階段指令碼使用情況報告使用者時,使用者產生並儲存在 Amazon Simple Storage Service 儲存貯體中的資料會在靜態時加密。 AWS Key Management Service 是一種結合安全、高可用性硬體和軟體的服務,提供專為雲端調整規模的金鑰管理系統。Amazon S3 會使用 AWS 受管 CMK 來加密您的 Amazon S3 物件資料。

傳輸中加密

下表提供資料在傳輸過程中如何加密的相關資訊。在適用的情況下,還列出了 AppStream 2.0 的其他數據保護方法。

資料 網路路徑 保護方式

Web 資產

此流量包含影像和 JavaScript 檔案等資產。

在 AppStream 2.0 個使用者和 AppStream 2.0 版之間

 使用 TLS 1.2 加密
像素和相關的串流流量 在 AppStream 2.0 個使用者和 AppStream 2.0 版之間

使用 256 位元進階加密標準 (AES-256) 進行加密

使用 TLS 1.2 進行傳輸
API 流量 在 AppStream 2.0 個使用者和 AppStream 2.0 版之間

使用 TLS 1.2 加密

系統會使用 SigV4 簽署建立連線的請求

由使用者產生的應用程式設定與主資料夾資料

當應用程式設定持久性與主資料夾啟用時適用。

 AppStream 2.0 使用者和 Amazon S3 之間 已使用 Amazon S3 SSL 端點加密
AppStream 2.0 管理流量

在 AppStream 2.0 串流執行個體和:

  • AppStream 2.0 管理服務

  • AWS Amazon Web Services 帳戶中的服務和資源

  • 非AWS 服務和資源(例如 Google 雲端硬盤和 Microsoft OneDrive)

使用 TLS 1.2 加密

系統會在適用時使用 SigV4 簽署建立連線的請求

管理員控制項目

AppStream 2.0 提供管理控制,您可以用來限制使用者在本機電腦與 AppStream 2.0 叢集執行個體之間傳輸資料的方式。您可以在建立或更新 AppStream 2.0 堆疊時限制或停用下列項目:

  • 剪貼簿/複製和貼上動作

  • 檔案上傳和下載,包括資料夾和磁碟機重新導向

  • 列印

當您建立 AppStream 2.0 映像時,您可以指定哪些 USB 裝置可從 Windows AppStream 版 2.0 用戶端重新導向至 AppStream 2.0 叢集執行個體。您指定的 USB 裝置將可在使用者的 AppStream 2.0 串流工作階段期間使用。如需詳細資訊,請參閱 限定USB裝置可搭配串流應用程式使用

應用程式存取權限

根據預設, AppStream 2.0 可讓您在映像檔中指定的應用程式啟動映像產生器和叢集執行個體上的其他應用程式和可執行檔。這可確保與其他應用程式 (例如,啟動瀏覽器以導覽至產品網站的應用程式) 相依性的應用程式如預期般運作。請務必設定管理控制項目、安全性群組和其他安全性軟體,授予使用者存取資源和在本機電腦和機群執行個體之間傳輸資料所需的最低權限。

您可以使用應用程式控制軟體 (例如 Microsoft AppLocker) 和原則來控制使用者可以執行的應用程式和檔案。應用程式控制軟體和原則可協助您控制可執行檔、指令碼、Windows 安裝程式檔案、動態連結程式庫,以及使用者可在 AppStream 2.0 映像產生器和叢集執行個體上執行的應用程式套件。

注意

AppStream 2.0 代理程式軟體依賴 Windows 命令提示字元和 Windows PowerShell 來佈建串流執行個體。如果您選擇防止使用者啟動 Windows 命令提示字元或 Windows Powershell,則政策不得套用至 Windows NT AUTHORITY\SYSTEM 或系統管理員群組中的使用者。

規則類型 動作 Windows 使用者或群組 Name/Path Condition 描述
可執行 允許 NT AUTHORITY\System * 路徑 AppStream 2.0 代理程式軟體所需
可執行 允許 BUILTIN\Administrators * 路徑 AppStream 2.0 代理程式軟體所需
可執行 允許 每個人 %PROGRAMFILES%\nodejs\* 路徑 AppStream 2.0 代理程式軟體所需
可執行 允許 每個人 %PROGRAMFILES%\NICE\* 路徑 AppStream 2.0 代理程式軟體所需
可執行 允許 每個人 %PROGRAMFILES%\Amazon\* 路徑 AppStream 2.0 代理程式軟體所需
可執行 允許 每個人 %PROGRAMFILES%\<default-browser>\* 路徑 使用持續性儲存解決方案 (例如 Google 雲端硬碟或 Microsoft OneDrive 商務用) 時, AppStream 2.0 代理程式軟體必須使用。使用 AppStream 2.0 主資料夾時,不需要此例外。