Protección de datos en tránsito con puntos de conexión FIPS

De forma predeterminada, cuando se comunica con el servicio de AppStream 2.0, ya sea como administrador que utiliza la consola de AppStream 2.0, la interfaz de línea de comandos de AWS (AWS CLI) o un AWS SDK, o como usuario que transmite en streaming desde un generador de imágenes o una instancia de flota, todos los datos en tránsito se cifran mediante TLS 1.2.

Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. AppStream 2.0 ofrece puntos de conexión FIPS en todas las regiones de AWS de los Estados Unidos en las que está disponible AppStream 2.0. Cuando se utiliza un punto de conexión FIPS, todos los datos en tránsito se cifran mediante estándares criptográficos que cumplen con el Estándar de procesamiento de la información federal (FIPS) 140-2. Para obtener información acerca de los puntos de conexión FIPS, incluida una lista de puntos de conexión de AppStream 2.0, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Puntos de conexión FIPS para uso administrativo

Para especificar un punto de conexión FIPS cuando ejecute un comando de AWS CLI para AppStream 2.0, utilice el parámetro endpoint-url. En el ejemplo siguiente, se utiliza el punto de conexión FIPS de AppStream 2.0 de la región Oeste de EE. UU. (Oregón) para recuperar una lista de todas las pilas de la región:

aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com

Para especificar un punto de conexión FIPS para las operaciones de la API de AppStream 2.0, utilice el procedimiento del AWS SDK para especificar un punto de conexión personalizado.

Puntos de conexión FIPS para sesiones de streaming de usuarios

Si utiliza SAML 2.0 o una URL de streaming para autenticar a los usuarios, puede configurar conexiones compatibles con FIPS para las sesiones de streaming de los usuarios.

Para utilizar una conexión compatible con FIPS para los usuarios que se autentican mediante SAML 2.0, especifique un punto de conexión FIPS de AppStream 2.0 al configurar el estado de retransmisión de la federación. Para obtener más información acerca de cómo crear una URL de estado de retransmisión para identidades federadas mediante SAML 2.0, consulte Configuración de SAML.

Para configurar una conexión compatible con FIPS para los usuarios que se autentican a través de una URL de streaming, especifique un punto de conexión FIPS de AppStream 2.0 al llamar a la operación CreateStreamingURL o CreateImageBuilderStreamingURL desde la AWS CLI o un AWS SDK. Un usuario que se conecta a una instancia de streaming mediante la URL resultante se conecta a través de una conexión compatible con FIPS. En el ejemplo siguiente, se utiliza el punto de conexión FIPS de AppStream 2.0 de la región Este de EE. UU. (Virginia) para generar una URL de streaming compatible con FIPS:

aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com

Excepciones

Las conexiones compatibles con FIPS no se admiten en los siguientes escenarios:

• Administración de AppStream 2.0 a través de la consola de AppStream 2.0.

• Sesiones de streaming para usuarios que se autentican mediante la función de grupo de usuarios de AppStream 2.0

• Streaming mediante un punto de conexión de VPC de tipo interfaz

• Generación de URL de streaming compatibles con FIPS a través de la consola de AppStream 2.0

• Conexiones a sus cuentas de almacenamiento de Google Drive o OneDrive para las que el proveedor de almacenamiento no proporciona un punto de conexión FIPS