Como usar serviços da AWS - Amazon AppStream 2.0
AWS Identity and Access ManagementEndpoints da VPC

Como usar serviços da AWS

AWS Identity and Access Management

Usar um perfil do IAM para acessar serviços da AWS e ser específico na política do IAM associada a ela é uma prática recomendada, permitindo que somente os usuários nas sessões do AppStream 2.0 tenham acesso sem gerenciar credenciais adicionais. Siga as práticas recomendadas para usar funções do IAM com o AppStream 2.0.

Crie políticas do IAM para proteger os buckets do Amazon S3 que são criados para manter os dados do usuário nas pastas iniciais e na persistência das configurações do aplicativo. Isso impede o acesso de administradores que não fazem parte do AppStream 2.0.

Endpoints da VPC

Um endpoint da VPC permite conexões privadas entre sua VPC e serviços da AWS compatíveis e serviços de endpoint da VPC desenvolvidos pelo AWS PrivateLink. O AWS PrivateLink é uma tecnologia que permite acessar serviços de maneira privada usando endereços IP privados. O tráfego entre a sua VPC e os outros serviços não deixa a rede da Amazon. Se o acesso público à Internet for necessário somente para serviços da AWS, os endpoints da VPC eliminarão completamente a exigência de gateways NAT e gateways da Internet.

Nos ambientes em que as rotinas de automação ou os desenvolvedores exigem fazer chamadas de API para o AppStream 2.0, crie uma interface de endpoint da VPC para operações de API do AppStream 2.0. Por exemplo, se houver instâncias do EC2 em sub-redes privadas sem acesso público à Internet, um endpoint da VPC para a API do AppStream 2.0 pode ser usado para chamar operações da API do AppStream 2.0, como CreateStreamingURL. O diagrama a seguir mostra um exemplo de configuração em que a API do AppStream 2.0 e os endpoints da VPC de streaming são consumidos por funções do Lambda e instâncias do EC2.

Um diagrama de arquitetura de referência para o endpoint da VPC

Endpoint da VPC

O endpoint da VPC de streaming permite que você transmita sessões por meio de um endpoint da VPC. O endpoint de interface de streaming mantém o tráfego de streaming em sua VPC. O tráfego de streaming inclui pixels, USB, entrada do usuário, áudio, área de transferência, upload e download de arquivos e tráfego de impressora. Para usar o endpoint da VPC, a configuração do endpoint da VPC deve estar habilitada na pilha do AppStream 2.0. Isso serve como uma alternativa ao streaming de sessões de usuários pela Internet pública a partir de locais com acesso limitado à Internet e que se beneficiariam do acesso por meio de uma instância do Direct Connect. O streaming de sessões de usuário por meio de um endpoint da VPC exige o seguinte:

  • Os Grupos de segurança associados ao endpoint de interface devem permitir acesso de entrada à porta 443 (TCP) e às portas 1400–1499 (TCP) do intervalo de endereços IP do qual os usuários se conectam.

  • A lista de controle de acesso à rede para as sub-redes deve permitir tráfego de saída das portas de rede efêmeras 1024-65535 (TCP) para o intervalo de endereços IP do qual os usuários se conectam.

  • A conectividade com a internet é necessária para autenticar usuários e entregar os ativos da web que o AppStream 2.0 requer para funcionar.

Para saber mais sobre como restringir o tráfego para serviços da AWS com o AppStream 2.0, consulte o guia de administração para criar e transmitir a partir de endpoints da VPC.

Quando o acesso público total à Internet é necessário, a prática recomendada é desativar a Configuração de Segurança Reforçada (ESC) do Internet Explorer no Image Builder. Para obter mais informações, consulte o guia de administração do AppStream 2.0 para desativar a configuração de segurança aprimorada do Internet Explorer.