Uso de servicios de AWS
AWS Identity and Access Management
Usar un rol de IAM para acceder a los servicios de AWS y ser específico en la política de IAM asociada a él es una práctica recomendada que permite que solo los usuarios de las sesiones de AppStream 2.0 tengan acceso sin tener que administrar credenciales adicionales. Siga las prácticas recomendadas para usar los roles de IAM con AppStream 2.0.
Cree políticas de IAM para proteger los buckets de Amazon S3 que se crean para conservar los datos de los usuarios tanto en las carpetas de inicio como en la persistencia de la configuración de la aplicación. Esto impide el acceso a administradores ajenos a AppStream 2.0.
Puntos de conexión de VPC
Un punto de enlace de la VPC permite conexiones privadas entre la VPC y los servicios de AWS admitidos con los servicios de punto de enlace de la VPC habilitados por AWS PrivateLink. AWS PrivateLink es una tecnología que permite acceder de forma privada a los servicios de mediante direcciones IP privadas. El tráfico entre su VPC y el servicio no sale de la red de Amazon. Si el acceso público a Internet solo es necesario para los servicios AWS, los VPC endpoints eliminan por completo la necesidad de puertas de enlace NAT y puertas de enlace de Internet.
En entornos en los que las rutinas de automatización o los desarrolladores requieran realizar llamadas a la API para AppStream 2.0, cree un punto de conexión de VPC de interfaz para las operaciones de la API de AppStream 2.0. Por ejemplo, si hay instancias de EC2 en subredes privadas sin acceso público a Internet, se puede usar un punto de conexión de VPC para la API de AppStream 2.0 para llamar a las operaciones de la API de AppStream 2.0, tales como por ejemplo CreateStreamingURL. El siguiente diagrama muestra un ejemplo de configuración en el que las funciones de Lambda y las instancias EC2 consumen la API de AppStream 2.0 y los VPC endpoints de transmisión.
punto de conexión de VPC
El punto de conexión de VPC de transmisión le permite transmitir sesiones a través de un punto de conexión de VPC. El punto de enlace de interfaz de transmisión mantiene el tráfico de transmisión en la VPC. El tráfico de transmisión incluye el tráfico de píxeles, USB, entradas de usuario, audio, portapapeles, carga y descarga de archivos e impresoras. Para usar el punto de conexión de VPC, la configuración del punto de conexión de VPC debe estar habilitada en la pila de AppStream 2.0. Esto sirve como alternativa a la transmisión de las sesiones de los usuarios a través de la Internet pública desde ubicaciones que tienen acceso limitado a Internet y que se beneficiarían del acceso a través de una instancia de Direct Connect. La transmisión de sesiones de usuario a través de un punto de conexión de VPC requiere lo siguiente:
-
Los grupos de seguridad asociados con el punto de conexión de interfaz deben permitir el acceso de entrada al puerto
443(TCP) y a los puertos1400–1499(TCP) desde el rango de direcciones IP desde el que se conecten los usuarios. -
La lista de control de acceso a la red para las subredes debe permitir el tráfico de salida desde los puertos de red efímeros
1024-65535(TCP) hasta el rango de direcciones IP desde el que se conecten los usuarios. -
La conectividad a Internet es necesaria para autenticar a los usuarios y entregar los recursos web que AppStream 2.0 necesita para funcionar.
Para obtener más información sobre cómo restringir el tráfico a AWS los servicios con AppStream 2.0, consulte la guía de administración para crear y transmitir desde VPC endpoints.
Cuando se requiere acceso público completo a Internet, se recomienda deshabilitar la Configuración de seguridad mejorada (ESC) de Internet Explorer en Image Builder. Para obtener más información, consulte la guía de administración de AppStream 2.0 para deshabilitar la configuración de seguridad mejorada de Internet Explorer.
