Utilizzo dei servizi AWS - WorkSpaces Applicazioni Amazon
AWS Identity and Access ManagementEndpoint VPCConfigurazione dell'Instance Metadata Service (IMDS) sulle istanze

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei servizi AWS

AWS Identity and Access Management

L'utilizzo di un ruolo IAM per accedere ai AWS servizi e la specificità della policy IAM ad esso associata è una best practice che consente l'accesso solo agli utenti WorkSpaces delle sessioni delle Applicazioni senza dover gestire credenziali aggiuntive. Segui le best practice per l'utilizzo di IAM Roles with WorkSpaces Applications.

Crea policy IAM per proteggere i bucket Amazon S3 creati per rendere persistenti i dati utente sia nelle cartelle home che nella persistenza delle impostazioni delle applicazioni. Ciò impedisce l'accesso ai non amministratori WorkSpaces delle applicazioni.

Endpoint VPC

Un endpoint VPC consente connessioni private tra il tuo VPC e i servizi supportati AWS e i servizi endpoint VPC forniti da. AWS PrivateLink AWS PrivateLink è una tecnologia che consente di accedere in modo privato ai servizi utilizzando indirizzi IP privati. Il traffico tra il VPC e gli altri servizi rimane all’interno della rete Amazon. Se l'accesso pubblico a Internet è richiesto solo per AWS i servizi, gli endpoint VPC eliminano completamente il requisito dei gateway NAT e dei gateway Internet.

Negli ambienti in cui le routine di automazione o gli sviluppatori richiedono di effettuare chiamate API per WorkSpaces le applicazioni, crea un endpoint VPC di interfaccia WorkSpaces per le operazioni API delle applicazioni. Ad esempio, se sono presenti istanze EC2 in sottoreti private senza accesso pubblico a Internet, è possibile utilizzare un'API VPC endpoint for WorkSpaces Applications per AppStream richiamare operazioni API 2.0 come l'URL. CreateStreaming Il diagramma seguente mostra un esempio di configurazione in cui l'API WorkSpaces delle applicazioni e gli endpoint VPC di streaming vengono utilizzati dalle funzioni Lambda e dalle istanze EC2.

Un diagramma dell'architettura di riferimento per l'endpoint VPC

Endpoint VPC

L'endpoint VPC di streaming consente di trasmettere sessioni tramite un endpoint VPC. L'endpoint dell'interfaccia di streaming gestisce il traffico di streaming all'interno del VPC. Il traffico in streaming include pixel, USB, input utente, audio, appunti, caricamento e download di file e traffico di stampanti. Per utilizzare l'endpoint VPC, l'impostazione dell'endpoint VPC deve essere abilitata nello stack Applicazioni. WorkSpaces Ciò rappresenta un'alternativa allo streaming di sessioni utente sulla rete Internet pubblica da postazioni con accesso limitato a Internet e che trarrebbero vantaggio dall'accesso tramite un'istanza Direct Connect. Lo streaming delle sessioni utente tramite un endpoint VPC richiede quanto segue:

  • I gruppi di sicurezza associati all'endpoint di interfaccia devono consentire l'accesso in entrata alla porta 443 (TCP) e alle porte 1400–1499 (TCP) dall'intervallo di indirizzi IP da cui gli utenti si connettono.

  • L'elenco di controllo dell'accesso alla rete per le sottoreti deve consentire il traffico in uscita dalle porte di rete temporanee 1024-65535 (TCP) all'intervallo di indirizzi IP da cui gli utenti si connettono.

  • La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie alle applicazioni per funzionare. WorkSpaces

Per ulteriori informazioni sulla limitazione del traffico ai AWS servizi con WorkSpaces Applicazioni, consulta la guida amministrativa per la creazione e lo streaming da endpoint VPC.

Quando è richiesto l'accesso pubblico completo a Internet, è consigliabile disattivare Internet Explorer Enhanced Security Configuration (ESC) su Image Builder. Per ulteriori informazioni, consulta la guida all'amministrazione delle WorkSpaces applicazioni per disabilitare la configurazione di sicurezza avanzata di Internet Explorer.

Configurazione dell'Instance Metadata Service (IMDS) sulle istanze

Questo argomento descrive l'Instance Metadata Service (IMDS).

I metadati dell'istanza sono dati relativi all'istanza Amazon Elastic Compute Cloud (Amazon EC2) che le applicazioni possono utilizzare per configurare o gestire un'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Per ulteriori informazioni, consulta Metadati e dati dell'utente delle istanze nella Guida per l'utente di Amazon EC2.

Il codice può accedere ai metadati dell'istanza da un'istanza in esecuzione utilizzando uno dei due metodi seguenti: Instance Metadata Service Version 1 (IMDSv1) o Instance Metadata Service Version 2 (). IMDSv2 IMDSv2 utilizza richieste orientate alla sessione e mitiga diversi tipi di vulnerabilità che potrebbero essere utilizzate per tentare di accedere all'IMDS. Per informazioni su questi due metodi, consulta Configurazione del servizio di metadati dell'istanza nella Amazon EC2 User Guide.

Supporto di risorse per IMDS

Le flotte Always-On, On-Demand, a sessione singola e multisessione e tutti gli Image Builder supportano sia IMDSv1 le immagini WorkSpaces delle applicazioni che IMDSv2 durante l'esecuzione delle immagini con la versione agente o l'aggiornamento dell'immagine gestita rilasciato a partire dal 16 gennaio 2024.

Le istanze Elastic Fleets and Builders supportano anche entrambi e. AppBlock IMDSv1 IMDSv2

Esempio di impostazioni degli attributi IMDS

Di seguito sono riportati due esempi di scelta del metodo IMDS:

Esempio di Java v2 SDK

Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando gli attributi disableIMDSV1


CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();

Imposta disable IMDSV1 su true per disabilitare IMDSv1 e applicare IMDSv2.

Imposta disable IMDSV1 su false per abilitare entrambi IMDSv1 e IMDSv2.

Esempio di CLI

Di seguito l'esempio di richiesta di disabilitazione IMDSv1 utilizzando --disable-imdsv1 gli attributi


aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1

Imposta --disable-imdsv1 su true per disabilitare IMDSv1 e applicare IMDSv2.

Imposta --no-disable-imdsv1 su false per abilitare entrambi IMDSv1 e IMDSv2.