Amazon AppStream 2.0 中的数据保护 - Amazon AppStream on
静态加密传输中加密管理员控制应用程序访问

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon AppStream 2.0 中的数据保护

AWS分担责任模型共担适用于 Amazon AppStream 2.0 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS Cloud 的全球基础设施。您负责维护对托管在此基础设施上的内容的控制。此内容包括您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题有关欧洲数据保护的信息,请参阅 AWS 安全性博客 上的 AWS 责任共担模式和 GDPR 博客文章。

出于数据保护目的,我们建议您保护AWS 账户凭证并使用AWS Identity and Access Management (IAM) 设置单独的用户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:

  • 对每个账户使用 Multi-Factor Authentication (MFA)。

  • 使用 SSL/TLS 与 AWS 资源进行通信。我们建议使用 TLS 1.2。

  • 使用 AWS CloudTrail 设置 API 和用户活动日志记录。

  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Simple Storage Service(Amazon S3)中的个人数据。

  • 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准 (FIPS) 第 140-2 版》

我们强烈建议您切勿将机密信息或敏感信息(例如您客户的电子邮件地址)放入标签或自由格式字段(例如名称字段)。这包括使用控制台、API、API、SDAWS K 处理 AppStream 2.0、API、APIAWS CLI、AWS SDK 处理 2.0。您在用于名称的标签或自由格式字段中输入的任何数据都可能会用于计费或诊断日志。当您向外部服务器提供 URL 时,强烈建议您不要在 URL 中包含凭证信息来验证您对该服务器的请求。

静态加密

AppStream 2.0 舰队实例本质上是短暂的。当用户的流媒体会话结束后,基础实例及其关联的 Amazon Elastic Block Store (Amazon EBS) 卷将终止。此外, AppStream 2.0 会定期回收未使用的实例以保持新鲜度。

当您为用户启用应用程序设置持久化主文件夹时,您的用户生成并存储在 Amazon Simple Storage Service 存储桶中的数据会被静态加密。 AWS Key Management Service是一项将安全、高可用性硬件和软件结合起来,提供可针对云扩展的密钥管理系统。Amazon S3 使用AWS托管 CMK 加密您的 Amazon S3 对象数据。

传输中加密

下表提供了有关如何加密传输中数据的信息。在适用的情况下,还列出了 AppStream 2.0 的其他数据保护方法。

数据 网络路径 保护方法

Web 资产

此流量包括图像和 JavaScript 文件等资产。

介于 AppStream 2.0 用户和 AppStream 2.0 之间

 使用 TLS 1.2 加密
像素和相关的流式传输流量 介于 AppStream 2.0 用户和 AppStream 2.0 之间

使用 256 位高级加密标准 (AES-256) 加密

使用 TLS 1.2 传输
API 流量 介于 AppStream 2.0 用户和 AppStream 2.0 之间

使用 TLS 1.2 加密

创建连接的请求使用 SigV4 签名

用户生成的应用程序设置和主文件夹数据

在启用了应用程序设置持久性和主文件夹时适用。

 在 AppStream 2.0 用户和Amazon S3 之间 使用Amazon S3 SSL 终端节点加密
AppStream 2.0 管理的流量

在 AppStream 2.0 流媒体实例和:

  • AppStream 2.0 管理服务

  • AWS您的Amazon Web Services 账户中的服务和资源

  • 非AWS服务和资源(例如谷歌云端硬盘和微软 OneDrive)

使用 TLS 1.2 加密

创建连接的请求使用 SigV4 签名(在适用时)

管理员控制

AppStream 2.0 提供了管理控件,您可以使用这些控制来限制用户在本地计算机和 AppStream 2.0 队列实例之间传输数据的方式。创建或更新 AppStream 2.0 堆栈时,可以限制或禁用以下内容:

  • 剪贴板/复制和粘贴操作

  • 文件上传和下载,包括文件夹和驱动器重定向

  • 打印

创建 AppStream 2.0 映像时,可以指定哪些 USB 设备可用于从适用于 Windows 的 AppStream 2.0 客户端重定向到 AppStream 2.0 队列实例。您指定的 USB 设备将在用户的 AppStream 2.0 流媒体会话期间可用。有关更多信息,请参阅限定 USB 设备以用于流应用程序

应用程序访问

默认情况下, AppStream 2.0 允许您在映像中指定的应用程序在映像生成器和舰队实例上启动其他应用程序和可执行文件。这可确保依赖于其他应用程序的应用程序(例如,启动浏览器以导航到产品网站的应用程序)正常运行。请确保配置管理控制、安全组和其他安全软件,以向用户授予访问资源以及在其本地计算机与队列实例之间传输数据所需的最低权限。

您可以使用应用程序控制软件(例如 Microsoft AppLocker)和策略来控制您的用户可以运行哪些应用程序和文件。应用程序控制软件和策略可帮助您控制用户可以在 AppStream 2.0 映像生成器和队列实例上运行的可执行文件、脚本、Windows 安装程序文件、动态链接库和应用程序包。

注意

AppStream 2.0 代理软件依靠 Windows 命令提示符和 Windows Powershell 来配置流媒体实例。如果您选择阻止用户启动 Windows 命令提示符或 Windows Powershell,则策略不得应用于 Windows NT AUTHORITY\SYSTEM 或 Administrators 组中的用户。

Rule type 操作 Windows 用户或组 名称/路径 条件 描述
可执行文件 Allow(允许) NT AUTHORITY\System * 路径 AppStream 2.0 代理软件必需
可执行文件 Allow(允许) BUILTIN\Administrators * 路径 AppStream 2.0 代理软件必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\nodejs\* 路径 AppStream 2.0 代理软件必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\NICE\* 路径 AppStream 2.0 代理软件必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\Amazon\* 路径 AppStream 2.0 代理软件必需
可执行文件 Allow(允许) Everyone %PROGRAMFILES%\<default-browser>\* 路径 使用 Google Drive 或 Microsoft OneDrive Business 等持久存储解决方案时, AppStream 2.0 代理软件是必需的。使用 AppStream 2.0 主文件夹时,不需要此例外。