本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 保護持久性資料
<a name="securing-persistent-data"></a>

 WorkSpaces 應用程式的部署可能需要以某種形式保留使用者狀態。這可能是為個別使用者保留資料，或使用共用資料夾保留資料以進行協同合作。AppStream 2.0 執行個體儲存體是暫時性的，沒有加密選項。

 WorkSpaces 應用程式透過 Amazon S3 中的主資料夾和應用程式設定提供使用者狀態持續性。有些使用案例需要更妥善地控制使用者狀態持久性。對於這些使用案例， AWS 建議使用伺服器訊息區塊 (SMB) 檔案共用。

## 使用者狀態和資料
<a name="user-state-and-data"></a>

由於大多數 Windows 應用程式在與使用者建立的應用程式資料共置時執行最佳且最安全，因此最佳實務是將此資料保留在與 WorkSpaces 應用程式機群 AWS 區域 相同的 中。加密此資料是最佳實務。使用者主資料夾的預設行為是使用來自金鑰 AWS 管理服務 () 的 Amazon S3-managed加密金鑰來加密靜態檔案和資料夾AWS KMS。請務必注意，具有 AWS 主控台或 Amazon S3 儲存貯體存取權的 AWS 管理使用者將能夠直接存取這些檔案。

在需要來自 Windows 檔案共享的伺服器訊息區塊 (SMB) 目標來存放使用者檔案和資料夾的設計中，此程序為自動或需要組態。

 *表 5 — 保護使用者資料的選項* 


|   **SMB 目標**   |  **Encryption-at-rest**  |  **Encryption-in-transit**  |   **防毒 (AV)**   | 
| --- | --- | --- | --- | 
|  FSx for Windows File Server  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-at-rest.html)  |  [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html)  |   安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描   | 
|   **檔案閘道、 AWS Storage Gateway**   |  根據預設，存放在 S3 AWS Storage Gateway 中的所有資料都會使用 Amazon S3-Managed管加密金鑰 (SSE-S3) 加密伺服器端。您可以選擇性地設定不同的閘道類型，以使用 AWS Key Management Service (KMS) 加密儲存的資料  |  在任何類型的閘道設備與 AWS 儲存體之間傳輸的所有資料都會使用 SSL 加密。 |   安裝在遠端執行個體上的 AV 會在映射的磁碟機上執行掃描   | 
|  EC2-based Windows 檔案伺服器  |  [啟用 EBS 加密](https://docs.aws.amazon.com/kms/latest/developerguide/services-ebs.html)  |  PowerShell； Set- SmbServerConfiguration – EncryptData \$1True |   安裝在伺服器上的 AV 會在本機磁碟機上執行掃描   |