使用 FIPS 端点保护传输中的数据

默认情况下，当您与 AppStream 2.0 服务进行通信时，无论您是作为使用 AppStream 2.0 控制台、AWS 命令行界面 (AWS CLI) 或 AWS SDK 的管理员，还是作为从映像生成器或实例集实例流式传输数据的用户，传输中的所有数据都会使用 TLS 1.2 进行加密。

如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块，请使用 FIPS 端点。AppStream 2.0 在所有提供 AppStream 2.0 的美国 AWS 区域提供 FIPS 端点。当您使用 FIPS 端点时，传输中的所有数据都会使用符合联邦信息处理标准 (FIPS) 140-2 的加密标准进行加密。有关 FIPS 端点的信息（包括 AppStream 2.0 端点列表），请参阅联邦信息处理标准 (FIPS) 140-2。

用于管理的 FIPS 端点

要在为 AppStream 2.0 运行 AWS CLI 命令时指定 FIPS 端点，请使用 endpoint-url 参数。以下示例使用美国西部（俄勒冈）区域的 AppStream 2.0 FIPS 端点来检索该区域中所有堆栈的列表：

aws appstream describe-stacks --endpoint-url https://appstream2-fips.us-west-2.amazonaws.com

要为 AppStream 2.0 API 操作指定 FIPS 端点，请使用 AWS SDK 中的过程指定自定义端点。

用户流式传输会话的 FIPS 端点

如果使用 SAML 2.0 或流式传输 URL 对用户进行身份验证，则可以为用户流式传输会话配置符合 FIPS 标准的连接。

要对使用 SAML 2.0 进行身份验证的用户使用符合 FIPS 标准的连接，请在配置联合身份验证的中继状态时指定 AppStream 2.0 FIPS 端点。有关使用 SAML 2.0 为身份联合验证构建中继状态 URL 的更多信息，请参阅 设置 SAML。

要为通过流式传输 URL 进行身份验证的用户配置符合 FIPS 标准的连接，请在从 AWS CLI 或 AWS 开工发具包调用 CreateStreamingURL 或 CreateImageBuilderStreamingURL 操作时指定 AppStream 2.0 FIPS 端点。使用生成的 URL 连接到流实例的用户将通过符合 FIPS 标准的连接进行连接。以下示例使用美国东部（弗吉尼亚）区域的 AppStream 2.0 FIPS 端点生成符合 FIPS 标准的流式传输 URL：

aws appstream create-streaming-url --stack-name stack-name --fleet-name fleet-name --user-id user-id --endpoint-url https://appstream2-fips.us-east-1.amazonaws.com

异常

以下情况中不支持符合 FIPS 标准的连接：

• 通过 AppStream 2.0 控制台管理 AppStream 2.0

• 使用 AppStream 2.0 用户池特征进行身份验证的用户的流式传输会话

• 使用接口 VPC 端点进行流式传输。

• 通过 AppStream 2.0 控制台生成符合 FIPS 标准的流式传输 URL

• 存储提供商未提供 FIPS 端点的 Google Drive 或 OneDrive 存储账户的连接