永続データの保護
AppStream 2.0 のデプロイでは、ユーザーの状態を何らかの形で保持しなければならない場合があります。個々のユーザーのデータを永続化する場合や、共有フォルダを使用してコラボレーション用にデータを保持する場合などです。AppStream 2.0 インスタンスストレージは一時的であり、暗号化オプションはありません。
AppStream 2.0 では、Amazon S3 のホームフォルダとアプリケーション設定を通じてユーザーの状態を永続化します。一部のユースケースでは、ユーザーの状態の永続化をより細かく制御する必要があります。このようなユースケースについては、AWS は、サーバーメッセージブロック (SMB) ファイル共有の使用を推奨しています。
ユーザーの状態とデータ
ほとんどの Windows アプリケーションは、ユーザーが作成したアプリケーションデータと同じ場所に配置すると最適かつ最も安全に動作するため、このデータを AppStream 2.0 フリートと同じ AWS リージョン に保持することがベストプラクティスです。このデータを暗号化することがベストプラクティスです。ユーザーのホームフォルダはデフォルトで、AWS キー管理サービス (AWS KMS) の Amazon S3 マネージド暗号化キーを使用して保存中のファイルとフォルダを暗号化します。AWS コンソールまたは Amazon S3 バケットにアクセスできる AWS 管理ユーザーは、それらのファイルに直接アクセスできることに注意してください。
ユーザーファイルやフォルダを保存するために Windows ファイル共有のサーバーメッセージブロック (SMB) ターゲットを必要とする設計では、この処理は自動で行われるか、または設定が必要です。
表 5 — ユーザーデータを保護するためのオプション
|
SMB ターゲット |
保管時の暗号化 | 転送時の暗号化 |
ウイルス対策 (AV) |
|---|---|---|---|
| FSx for Windows File Server | AWS KMS によって自動 | SMB 暗号化によって自動 |
リモートインスタンスにインストールされた AV は、マップされたドライブでスキャンを実行します。 |
|
ファイルゲートウェイ、AWS Storage Gateway |
デフォルトでは、S3 の AWS Storage Gateway に保存されたすべてのデータは、Amazon S3 マネージド暗号化キー (SSE-S3) によるサーバー側の暗号化を使用して暗号化されます。オプションで、保存されたデータを AWS Key Management Service (KMS) で暗号化するさまざまなゲートウェイタイプを設定できます。 | あらゆるタイプのゲートウェイアプライアンスと AWS ストレージ間で転送されるデータはすべて SSL を使用して暗号化されます。 |
リモートインスタンスにインストールされた AV は、マップされたドライブでスキャンを実行します。 |
| EC2 ベースの Windows File Server | EBS 暗号化を有効にする | PowerShell、Set- SmbServerConfiguration – EncryptData
$True |
サーバーにインストールされた AV は、ローカルドライブでスキャンを実行します。 |
