Protection des données en transit avec les points de terminaison FIPS

Par défaut, lorsque vous communiquez avec le service AppStream 2.0, que ce soit en tant qu'administrateur à l'aide de la console AppStream 2.0, de l'interface de ligne de commande AWS (AWS CLI) ou d'un kit AWS SDK, ou en tant qu'utilisateur en streaming à partir d'une instance Image Builder ou d'une instance de flotte, toutes les données en transit sont chiffrées à l'aide de TLS 1.2.

Si vous avez besoin de modules cryptographiques validés FIPS (Federal Information Processing Standard) 140-2 lorsque vous accédez à AWS via une CLI (Interface de ligne de commande) ou une API (Interface de programmation), utilisez un point de terminaison FIPS (Federal Information Processing Standard). AppStream 2.0 propose des points de terminaison FIPS dans toutes les régions AWS des États-Unis où AppStream 2.0 est disponible. Lorsque vous utilisez un point de terminaison FIPS, toutes les données en transit sont chiffrées à l'aide de normes de chiffrement conformes à la norme FIPS (Federal Information Processing Standard) 140-2. Pour de plus amples informations sur les points de terminaison FIPS, y compris la liste des points de terminaison AppStream 2.0, veuillez consulter Federal Information Processing Standard (FIPS) 140-2.

Points de terminaison FIPS à usage administratif

Pour spécifier un point de terminaison FIPS lorsque vous exécutez une commande de l'interface de ligne de commande AWS CLI pour AppStream 2.0, utilisez le paramètre endpoint-url. L'exemple suivant utilise le point de terminaison AppStream 2.0 FIPS dans la région USA Ouest (Oregon) pour extraire une liste de toutes les piles de la région :

aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com

Pour spécifier un point de terminaison FIPS pour les opérations d'API AppStream 2.0, utilisez la procédure de votre kit AWS SDK pour spécifier un point de terminaison personnalisé.

Points de terminaison FIPS pour les sessions de streaming utilisateur

Si vous utilisez SAML 2.0 ou une URL de streaming pour authentifier les utilisateurs, vous pouvez configurer des connexions conformes à FIPS pour les sessions de streaming de vos utilisateurs.

Pour utiliser une connexion compatible FIPS pour les utilisateurs qui s'authentifient à l'aide de SAML 2.0, spécifiez un point de terminaison AppStream 2.0 FIPS lorsque vous configurez le RelayState de votre fédération. Pour de plus amples informations sur la construction d'une URL d'état de relais pour la fédération d'identité à l'aide de SAML 2.0, veuillez consulter Configuration de SAML.

Pour configurer une connexion compatible FIPS pour les utilisateurs qui s'authentifient via une URL de streaming, spécifiez un point de terminaison FIPS AppStream 2.0 lorsque vous appelez l'opération CreateStreamingURL ou CreateImageBuilderStreamingURL à partir de l'interface de ligne de commande AWS ou d'un kit AWS SDK. Un utilisateur qui se connecte à une instance de streaming à l'aide de l'URL résultante est connecté via une connexion conforme à FIPS. L'exemple suivant utilise le point de terminaison FIPS AppStream 2.0 dans la région USA Est (Virginie) pour générer une URL de streaming conforme à FIPS :

aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com

Exceptions

Les connexions conformes à FIPS ne sont pas prises en charge dans les scénarios suivants :

• Administration d'AppStream 2.0 par le biais de la console AppStream 2.0

• Sessions de streaming pour les utilisateurs qui s'authentifient à l'aide de la fonctionnalité de groupe d'utilisateurs AppStream 2.0

• Streaming à l'aide d'un point de terminaison de VPC d'interface

• Génération d'URL de streaming compatibles FIPS via la console AppStream 2.0

• Connexions à vos comptes de stockage Google Drive ou OneDrive lorsque votre fournisseur de stockage ne fournit pas de point de terminaison FIPS