翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
永続データの保護
WorkSpaces アプリケーションのデプロイでは、ユーザーの状態を何らかの形で保持する必要がある場合があります。個々のユーザーのデータを永続化する場合や、共有フォルダを使用してコラボレーション用にデータを保持する場合などです。AppStream 2.0 インスタンスストレージは一時的であり、暗号化オプションはありません。
WorkSpaces アプリケーションは、Amazon S3 のホームフォルダとアプリケーション設定を通じてユーザー状態の永続性を提供します。一部のユースケースでは、ユーザーの状態の永続化をより細かく制御する必要があります。このようなユースケースについては、 AWS は、サーバーメッセージブロック (SMB) ファイル共有の使用を推奨しています。
ユーザーの状態とデータ
ほとんどの Windows アプリケーションは、ユーザーが作成したアプリケーションデータとの共存時に最適かつ最も安全に動作するため、このデータを WorkSpaces アプリケーションフリート AWS リージョン と同じ に保持することがベストプラクティスです。このデータを暗号化することがベストプラクティスです。ユーザーホームフォルダのデフォルトの動作は、 AWS キー管理サービス () から Amazon S3-managed暗号化キーを使用して保管中のファイルとフォルダを暗号化することですAWS KMS。 AWS コンソールまたは Amazon S3 バケットにアクセスできる AWS 管理ユーザーは、これらのファイルに直接アクセスできることに注意してください。
ユーザーファイルやフォルダを保存するために Windows ファイル共有のサーバーメッセージブロック (SMB) ターゲットを必要とする設計では、この処理は自動で行われるか、または設定が必要です。
表 5 — ユーザーデータを保護するためのオプション
|
SMB ターゲット |
保管時の暗号化 | 転送時の暗号化 |
ウイルス対策 (AV) |
|---|---|---|---|
| FSx for Windows File Server | KMS AWS による自動 | SMB 暗号化によって自動 |
リモートインスタンスにインストールされた AV は、マップされたドライブでスキャンを実行します。 |
|
ファイルゲートウェイ、 AWS Storage Gateway |
デフォルトでは、 が S3 AWS Storage Gateway に保存しているすべてのデータは、Amazon S3-Managed を使用してサーバー側で暗号化されます。オプションで、さまざまなゲートウェイタイプを設定して AWS Key Management Service 、 (KMS) で保存されたデータを暗号化できます。 | 任意のタイプのゲートウェイアプライアンスと AWS ストレージ間で転送されるすべてのデータは、SSL を使用して暗号化されます。 |
リモートインスタンスにインストールされた AV は、マップされたドライブでスキャンを実行します。 |
| EC2 ベースの Windows File Server | EBS 暗号化を有効にする | PowerShell、Set- SmbServerConfiguration – EncryptData
$True |
サーバーにインストールされた AV は、ローカルドライブでスキャンを実行します。 |
