Endpoint VPC - Best practice per la distribuzione di Amazon 2.0 AppStream
Endpoint VPC Amazon S3Endpoint VPC con interfaccia API Amazon AppStream 2.0Endpoint VPC con interfaccia di streaming Amazon AppStream 2.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Endpoint VPC

Endpoint VPC Amazon S3

Molte distribuzioni di Amazon AppStream 2.0 richiedono la persistenza dello stato utente tramite le cartelle home e le impostazioni delle applicazioni. Abilita la comunicazione privata verso queste postazioni Amazon Simple Storage Service (Amazon S3), in modo da evitare l'uso della rete Internet pubblica. È possibile ottenere ciò tramite un gateway endpoint VPC. Un gateway endpoint VPC è preferito a quello per Amazon AWS PrivateLinkS3 perché:

  • È ottimizzato in termini di costi per i requisiti di accesso alla AppStream rete 2.0

  • L'accesso al bucket Amazon S3 non è richiesto da risorse locali

  • È possibile utilizzare un documento di policy personalizzato per limitare l'accesso solo dalle istanze 2.0 AppStream

Una volta creato il gateway endpoint VPC, è consigliabile proteggere la connessione privatizzata creando una policy personalizzata. La policy personalizzata inizia con l'Amazon Resource Name (ARN) del ruolo Identity and Access Management del servizio AppStream 2.0. Specificate in modo esplicito le azioni S3 necessarie per la persistenza dello stato utente.

Nota

L'esempio seguente nella Resources sezione specifica prima il percorso della cartella principale dello stato e poi il percorso delle impostazioni delle applicazioni. 


{ 
  "Version": "2012-10-17", 
  "Statement": [ 
    { 
      "Sid": "Allow-AppStream-to-access-home-folder-and-
application-settings", 
      "Effect": "Allow", 
      "Principal": { 
        "AWS": "arn:aws:sts::account-id-without-hyphens:assumed-
role/AmazonAppStreamServiceAccess/AppStream2.0" 
      }, 
      "Action": [ 
        "s3:ListBucket", 
        "s3:GetObject", 
        "s3:PutObject", 
        "s3:DeleteObject", 
        "s3:GetObjectVersion", 
        "s3:DeleteObjectVersion" 
      ], 
      "Resource": [ 
        "arn:aws:s3:::appstream2-36fb080bb8-*", 
        "arn:aws:s3:::appstream-app-settings-*" 
      ] 
    } 
  ] 
}

Endpoint VPC con interfaccia API Amazon AppStream 2.0

Negli scenari di progettazione in cui i comandi API e CLI di Amazon AppStream 2.0 hanno origine nel tuo VPC, privatizza queste chiamate programmatiche tramite un endpoint VPC di interfaccia.

Endpoint VPC con interfaccia di streaming Amazon AppStream 2.0

Sebbene sia possibile indirizzare il traffico di streaming di Amazon AppStream 2.0 attraverso un endpoint VPC di interfaccia, usa questa configurazione con cautela. Il comportamento di streaming predefinito attraverso la rete Internet pubblica è il metodo di distribuzione più efficiente e performante per il traffico di streaming di Amazon AppStream 2.0.

Diagramma che mostra come si sposta il traffico tra Amazon AppStream 2.0 Streaming Gateway via Internet.

Endpoint VPC con interfaccia di streaming Amazon AppStream 2.0

Come illustrato nella figura precedente, l'Internet pubblico è il percorso più efficiente verso Amazon AppStream 2.0 Streaming Gateways. Il routing tramite VPC e rete gestiti dal cliente aggiunge complessità e latenza. Inoltre, aggiunge i costi di trasferimento dei dati. AWS Direct Connect

Nota

L'endpoint VPC supporta solo lo streaming e l'autenticazione deve comunque avvenire sulla rete Internet pubblica. L'accesso preliminare come SAML Single Sign-On (SSO) Identity Provider (IdP) rimane un requisito accessibile solo tramite la rete Internet pubblica.