Amazon AppStream 2.0 中的数据保护 - 亚马逊 AppStream 2.0
静态加密传输中加密管理员控制应用程序访问

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon AppStream 2.0 中的数据保护

AWS 责任共担模式适用于 Amazon AppStream 2.0 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS Cloud 的全球基础设施。您负责维护对托管在此基础设施上的内容的控制。此内容包括您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题有关欧洲数据保护的信息,请参阅 AWS 安全性博客 上的 AWS 责任共担模式和 GDPR 博客文章。

出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS Identity and Access Management (IAM) 设置单个用户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:

  • 对每个账户使用 multi-factor authentication(MFA)。

  • 使用 SSL/TLS 与 AWS 资源进行通信。我们建议使用 TLS 1.2。

  • 使用 AWS CloudTrail 设置 API 和用户活动日志记录。

  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Simple Storage Service(Amazon S3)中的个人数据。

  • 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准 (FIPS) 第 140-2 版》

我们强烈建议您切勿将机密信息或敏感信息(例如您客户的电子邮件地址)放入标签或自由格式字段(例如名称字段)。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 AppStream 2.0 或其他 AWS 服务时。您在用于名称的标签或自由格式字段中输入的任何数据都可能会用于计费或诊断日志。当您向外部服务器提供 URL 时,强烈建议您不要在 URL 中包含凭证信息来验证您对该服务器的请求。

静态加密

AppStream 2.0 实例集实例本质上是短暂的。用户的流式传输会话完成后,将终止基础实例及其关联的 Amazon Elastic Block Store (Amazon EBS) 卷。此外,AppStream 2.0 定期回收未使用的实例来保持新鲜度。

当您为用户启用应用程序设置持久性主文件夹时,由用户生成并存储在 Amazon Simple Storage Service 存储桶中的数据会静态加密。AWS Key Management Service 是一项将安全、高度可用的硬件和软件结合在一起的服务,提供针对云扩展的密钥管理系统。Amazon S3 使用 AWS 托管 CMK 来加密您的 Amazon S3 对象数据。

传输中加密

下表提供了有关如何加密传输中数据的信息。若适用,还列出了其他适用于 AppStream 2.0 的数据保护方法。

数据 网络路径 保护方法

Web 资产

此流量包括图像和 JavaScript 文件等资产。

在 AppStream 2.0 用户与 AppStream 2.0 之间

 使用 TLS 1.2 加密
像素和相关的流式传输流量 在 AppStream 2.0 用户与 AppStream 2.0 之间

使用 256 位高级加密标准 (AES-256) 加密

使用 TLS 1.2 传输
API 流量 在 AppStream 2.0 用户与 AppStream 2.0 之间

使用 TLS 1.2 加密

创建连接的请求使用 SigV4 签名

用户生成的应用程序设置和主文件夹数据

在启用了应用程序设置持久性和主文件夹时适用。

 在 AppStream 2.0 用户与 Amazon S3 之间 使用 Amazon S3 SSL 端点加密
AppStream 2.0 托管流量

在 AppStream 2.0 流实例与下列对象之间:

  • AppStream 2.0 管理服务

  • 您的 Amazon Web Services 账户中的 AWS 服务和资源

  • 非 AWS 服务和资源(如 Google Drive 和 Microsoft OneDrive)

使用 TLS 1.2 加密

创建连接的请求使用 SigV4 签名(在适用时)

管理员控制

AppStream 2.0 提供了管理控制,您可以使用这些控制措施来限制用户在其本地计算机和 AppStream 2.0 实例集实例之间传输数据的方式。您可以在创建或更新 AppStream 2.0 堆栈时限制或禁用以下内容:

  • 剪贴板/复制和粘贴操作

  • 文件上传和下载,包括文件夹和驱动器重定向

  • 打印

创建 AppStream 2.0 映像时,您可以指定哪些 USB 设备可用于从适用于 Windows 的 AppStream 2.0 客户端重定向到 AppStream 2.0 实例集实例。您指定的 USB 设备将在用户的 AppStream 2.0 流式传输会话期间使用。有关更多信息,请参阅限定 USB 设备以用于流应用程序

应用程序访问

默认情况下,AppStream 2.0 使得您在映像中指定的应用程序能够在映像构建器和实例集实例上启动其他应用程序和可执行文件。这可确保依赖于其他应用程序的应用程序(例如,启动浏览器以导航到产品网站的应用程序)正常运行。请确保配置管理控制、安全组和其他安全软件,以向用户授予访问资源以及在其本地计算机与实例集实例之间传输数据所需的最低权限。

您可以使用应用程序控制软件(如 Microsoft AppLocker)和策略来控制用户可以运行的应用程序和文件。应用程序控制软件和策略可帮助您控制用户可以在 AppStream 2.0 映像构建器和实例集实例上运行的可执行文件、脚本、Windows 安装程序文件、动态链接库和应用程序包。

注意

AppStream 2.0 代理软件依赖于 Windows 命令提示符和 Windows Powershell 来预置流实例。如果您选择阻止用户启动 Windows 命令提示符或 Windows Powershell,则策略不得应用于 Windows NT AUTHORITY\SYSTEM 或 Administrators 组中的用户。

Rule type 操作 Windows 用户或组 名称/路径 条件 描述
可执行文件 Allow(允许) NT AUTHORITY\System * 路径 AppStream 2.0 代理软件所必需
可执行文件 Allow(允许) BUILTIN\Administrators * 路径 AppStream 2.0 代理软件所必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\nodejs\* 路径 AppStream 2.0 代理软件所必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\NICE\* 路径 AppStream 2.0 代理软件所必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\Amazon\* 路径 AppStream 2.0 代理软件所必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\<default-browser>\* 路径 使用持久性存储解决方案(如 Google Drive 或 Microsoft OneDrive for Business)时,对于 AppStream 2.0 代理软件是必需的。例外情况是使用 AppStream 2.0 主文件夹时不需要。