Endpoints da VPC - Melhores práticas para implantar o Amazon 2.0 AppStream

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Endpoints da VPC

Endpoint da VPC para o Amazon S3

Muitas implantações do Amazon AppStream 2.0 exigem a persistência do estado do usuário por meio de pastas iniciais e configurações do aplicativo. Habilite a comunicação privada com esses locais do Amazon Simple Storage Service (Amazon S3), pois isso evita o uso da Internet pública. Você pode conseguir isso por meio de um gateway de endpoint da VPC. Um gateway de endpoint da VPC é preferível ao AWS PrivateLink para Amazon S3 porque:

  • É otimizado em termos de custos para os requisitos de acesso à rede do AppStream 2.0

  • O acesso ao bucket do Amazon S3 não é necessário a partir de recursos locais

  • Um documento de política personalizado pode ser usado para restringir o acesso somente das instâncias do AppStream 2.0

Depois de criar o gateway de endpoint da VPC, é uma prática recomendada proteger a conexão privatizada criando uma política personalizada. A política personalizada começa com o nome do recurso da Amazon (ARN) da função de gerenciamento de identidade e acesso do serviço AppStream 2.0. Especifique explicitamente as ações do S3 necessárias para a persistência do estado do usuário.

nota

O exemplo a seguir na seção Resources especifica primeiro o caminho da pasta inicial do estado e depois o caminho das configurações do aplicativo.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow-AppStream-to-access-home-folder-and- application-settings", "Effect": "Allow", "Principal": { "AWS": "arn:aws:sts::account-id-without-hyphens:assumed- role/AmazonAppStreamServiceAccess/AppStream2.0" }, "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:GetObjectVersion", "s3:DeleteObjectVersion" ], "Resource": [ "arn:aws:s3:::appstream2-36fb080bb8-*", "arn:aws:s3:::appstream-app-settings-*" ] } ] }

Endpoint da VPC para interface de API do Amazon AppStream 2.0

Em cenários de design em que os comandos de API e CLI para o Amazon AppStream 2.0 se originam na sua VPC, privatize essas chamadas programáticas por meio de uma interface de endpoint da VPC.

Endpoint da VPC para interface de streaming do Amazon AppStream 2.0

Embora seja possível rotear o tráfego de streaming do Amazon AppStream 2.0 por meio de um endpoint da VPC para interface, use essa configuração com cuidado. O comportamento padrão de streaming pela Internet pública é o método de entrega mais eficiente e eficiente para o tráfego de streaming do Amazon AppStream 2.0.

Diagrama mostrando como o tráfego se move entre os gateways de streaming da Amazon AppStream 2.0 pela Internet.

Endpoint da VPC para interface de streaming do Amazon AppStream 2.0

Conforme mostrado na figura anterior, a Internet pública é o caminho mais eficiente para os gateways de streaming do Amazon AppStream 2.0. O roteamento por meio da VPC e da rede gerenciadas pelo cliente aumenta a complexidade e a latência. Ele também adiciona taxas de transferência de dados da AWS Direct Connect.

nota

Somente o streaming é compatível com o endpoint da VPC, e a autenticação ainda deve ocorrer na Internet pública. O pré-requisito de acesso, como o provedor de identidades (IdP) para autenticação única (SSO) de SAML, continua sendo um requisito acessível somente pela Internet pública.