View a markdown version of this page

Como escolher a exibição da área de trabalho ou do aplicativo - Melhores práticas para implantar aplicativos da Amazon WorkSpaces

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como escolher a exibição da área de trabalho ou do aplicativo

A determinação de escolher uma exibição de aplicativo ou de desktop não tem impacto no desempenho ou no custo. Somente uma visualização está acessível a qualquer momento por frota de WorkSpaces aplicativos. Você pode alterar a opção de Exibição do stream. Planeje essa mudança fora do horário comercial de pico, pois a mudança da exibição do stream exige a reinicialização da frota.

Não há uma única prática recomendada para a exibição de streams. O impacto das opções de exibição do stream é resumido da seguinte forma:

  • Relatórios detalhados sobre o uso do aplicativo por meio do atributo Relatórios de uso para administradores

  • Experiência geral e fluxo de trabalho para usuários finais (por exemplo, um desktop completo atende às necessidades do caso de uso ou somente a visualização dos aplicativos é suficiente?).

Exibição da área de trabalho

Para casos de uso em que todo o fluxo de trabalho do usuário é executado em sessão, a Exibição da área de trabalho simplifica a experiência do usuário, mantendo todos os aplicativos focados em um único ambiente. A Exibição da área de trabalho pode oferecer uma experiência de usuário mais consistente para implantações de mais de três a cinco aplicativos que exigem integração com o sistema operacional (SO). Ela é eficaz ao manter dois ambientes separados e distintos. Por exemplo, um usuário pode ter acesso simultâneo a um ambiente de área de trabalho de produção e pré-produção para validar alterações no layout, na configuração e no acesso ao aplicativo.

WorkSpaces Os Relatórios de Uso de Aplicativos criam um relatório diário de aplicativos para o Desktop View. A saída resultante para o aplicativo é simplesmente “desktop”, mapeada diretamente para a sessão de WorkSpaces aplicativos. Para obter mais informações, consulte a seção Monitoramento do uso pelo usuário deste documento.

Exibição somente de aplicativos

A visualização Somente aplicativos também é eficaz quando a pilha de WorkSpaces aplicativos se destina a fornecer alguns aplicativos que são necessários de forma intermitente. Em ambientes de quiosque, uma entrega segura de aplicativos é fornecida por meio da Exibição de aplicativos. Com o Application View, os WorkSpaces aplicativos substituem o shell padrão do Windows por um shell personalizado. Esse shell personalizado apresenta apenas aplicativos em execução, minimizando a superfície de ataque do sistema operacional.

Para casos de uso em que os WorkSpaces aplicativos são usados para aumentar o ambiente de desktop de uma organização existente, a visualização Somente aplicativos é preferida. Implante os WorkSpaces aplicativos Windows Client no modo de aplicativo nativo para minimizar a confusão do usuário, permitindo o uso total dos atalhos do teclado.

O Amazon WorkSpaces Applications Usage Reports cria um relatório diário do aplicativo para visualização do aplicativo. Para obter relatórios mais detalhados sobre o uso de aplicativos e execuções, considere uma solução de terceiros para gerar relatórios no nível do sistema operacional. Você pode usar a Microsoft AppLocker no modo de relatório ou considerar soluções que estão disponíveis no AWS Marketplace, como o Stratusphere UX da Liquidware.

AWS Identity and Access Management configuração de função

Se uma carga de trabalho exigir que os usuários finais dos WorkSpaces aplicativos acessem outros AWS serviços de dentro da sessão, é uma prática recomendada delegar o acesso por meio do uso de funções AWS Identity and Access Management (IAM). Os perfis do IAM podem ser vinculados diretamente à sessão do seu usuário final por meio da atribuição no nível da frota. Para obter mais práticas recomendadas ao usar funções do IAM com WorkSpaces aplicativos, consulte esta seção do guia do administrador.

Uso de credenciais estáticas

Algumas cargas de trabalho podem exigir entradas estáticas para as chaves de acesso do IAM, em vez de herdá-las da função anexada. Há dois métodos para receber essas credenciais. O primeiro método envolve armazenar as chaves de acesso em um AWS serviço e, em seguida, dar aos usuários finais acesso explícito ao IAM para extrair esse valor específico do serviço. Dois exemplos de mecanismos de armazenamento de chaves de acesso estão usando o AWS Secrets Manager ou a AWS SSM Parameter Store. O segundo método é usar o provedor de credenciais de WorkSpaces aplicativos para acessar as chaves de acesso da função anexada. Isso pode ser feito invocando o provedor de credenciais e analisando a saída da chave de acesso e da chave secreta. Veja a PowerShell seguir um exemplo de como realizar essa ação.

$CMD = 'C:\Program Files\Amazon\Photon\PhotonRoleCredentialProvider\PhotonRoleCredentialProvider.exe' $role = 'Machine' $output = & $CMD --role=$role $parsed = $output | ConvertFrom-Json $access_key = $parsed.AccessKeyId $secret_key = $parsed.SecretAccessKey $session_token = $parsed.SessionToken

Protegendo seu WorkSpaces bucket S3 de aplicativos

Se a carga de trabalho de seus WorkSpaces aplicativos estiver configurada com a Home Folder and/or Application Persistence, é uma prática recomendada proteger o bucket do Amazon S3 no qual os dados persistentes estão sendo armazenados contra acesso não autorizado ou exclusão acidental. A primeira camada de proteção é adicionar uma política de bucket do Amazon S3 para evitar a exclusão acidental do bucket. A segunda camada de proteção é adicionar uma política de bucket que se alinhe ao princípio privilégio mínimo. O alinhamento ao princípio pode ser feito permitindo que apenas partes necessárias acessem o bucket.