本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

選擇桌面檢視或應用程式檢視

選擇應用程式檢視或桌面檢視的決定不會影響效能或成本。每個 AppStream 2.0 叢集在任何指定時間都只能存取一個檢視。您可以更改流視圖選項。在離峰工作時間規劃此變更，因為變更串流檢視需要重新啟動叢集。

串流檢視沒有單一的最佳做法。串流檢視選項的影響摘要如下：

桌面視圖

對於在工作階段中執行所有使用者工作流程的使用案例，Desktop View 會將所有應用程式集中在一個環境中，以簡化使用者體驗。對於需要與作業系統 (OS) 整合的 3-5 個以上應用程式的部署，桌面檢視可提供更一致的使用者體驗。當維護兩個獨立且不同的環境時，桌面檢視是有效的。例如，使用者可同時存取生產環境與生產前桌面環境，以驗證版面配置、組態及應用程式存取權的變更。

AppStream 2.0 使用情況報告會建立桌面檢視的每日應用程式報告。應用程序的結果輸出只是「桌面」，直接映射到 AppStream 2.0 會話。如需詳細資訊，請參閱本文件的「監控使用者使用情況」一節。

僅應用程式檢視

當 AppStream 2.0 堆疊旨在提供一些間歇性需要的應用程式時，「僅限應用程式」檢視也會有效。在 Kiosk 環境中，可透過應用程式檢視提供安全鎖定的應用程式交付。在「應用程式檢視」中， AppStream 2.0 會以自訂的殼層取代預設的 Windows 殼層。這個自訂殼層只會顯示執行中的應用程式，將作業系統的攻擊面降到最低。

對於使用 AppStream 2.0 來擴充現有組織桌面環境的使用案例，則偏好使用「僅限應用程式」檢視。在原生應用程式模式中部署 AppStream 2.0 Windows 用戶端，藉由允許完整使用鍵盤快速鍵，將使用者混淆降到最低。

Amazon 2.0 用量報告會為應用程式檢視建立每日應用程式報告。如需更精細的應用程式報告和執行使用情況，請考慮在作業系統層級報告的協力廠商解決方案。您可以 AppLocker 在報告模式下使用 Microsoft，或考慮可用的解決方案AWS Marketplace，例如液體軟件的使用者體驗。

AWS Identity and Access Management 角色組態

如果工作負載要求 AppStream 2.0 使用者從工作階段中存取其他AWS服務，最佳做法是透過使用 AWS Identity and Access Management(IAM) 角色委派存取權。IAM 角色可以透過叢集層級的指派直接附加到最終使用者的工作階段。如需將 IAM 角色與 AppStream 2.0 搭配使用時的其他最佳做法，請參閱管理員指南的這一節。

使用靜態認證

某些工作負載可能需要 IAM 存取金鑰的靜態輸入，而不是從附加的角色繼承它們。有兩種方法可以接收這些認證。第一種方法涉及將存取金鑰儲存在AWS服務中，然後為最終使用者提供明確的 IAM 存取權，以便從服務中提取該特定值。存取金鑰儲存機制的兩個範例是使用AWS Secrets Manager或 AWSSSM 參數存放區。第二種方法是使用 AppStream 2.0 認證提供者來存取連結角色的存取金鑰。這可以通過調用憑據提供程序並解析訪問密鑰和密鑰的輸出來完成。以 PowerShell 下是如何在中執行此動作的範例。

$CMD = 'C:\Program Files\Amazon\Photon\PhotonRoleCredentialProvider\PhotonRoleCredentialProvider.exe'
$role = 'Machine'

$output = & $CMD --role=$role
$parsed = $output | ConvertFrom-Json

$access_key = $parsed.AccessKeyId
$secret_key = $parsed.SecretAccessKey
$session_token = $parsed.SessionToken

保護您的 AppStream 2.0 S3 儲存貯體

如果您的 AppStream 2.0 工作負載設定了主資料夾和/或應用程式持續性，則最佳做法是保護存放持續性資料的 Amazon S3 儲存貯體，防止未經授權的存取或意外刪除。第一層保護是新增 Amazon S3 儲存貯體政策，以防止意外刪除儲存貯體。第二層保護是新增符合最低權限原則的儲存貯體政策。對齊原則可以通過僅允許存儲桶訪問必要的各方來完成。