本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
保护持久性数据
WorkSpaces 应用程序的部署可能要求用户状态以某种形式保持不变。它可能是为了保留个人用户的数据,或者是为了使用共享文件夹进行协作而保留数据。 AppStream2.0 实例存储是临时性的,没有加密选项。
WorkSpaces 应用程序通过 Amazon S3 中的主文件夹和应用程序设置提供用户状态持久性。某些使用案例需要更好地控制用户状态的持久性。对于这些使用案例, AWS 建议使用服务器消息块 (SMB) 文件共享。
用户状态和数据
由于大多数 Windows 应用程序在与用户创建的应用程序数据位于同一 AWS 区域 位置时性能最好、最安全,因此最佳做法是将这些数据与 WorkSpaces 应用程序队列保持一致。最好能加密这些数据。用户主文件夹的默认行为是使用密钥管理服务中的 Amazon S3-managed 加密密钥对静态文件和文件夹进行加密(AWS KMS)。 AWS 请务必注意,有权访问 AWS 控制台或 Amazon S3 存储桶的 AWS 管理用户将能够直接访问这些文件。
在需要使用 Windows 文件共享的服务器消息块 (SMB) 来存储用户文件和文件夹的设计中,该过程要么是自动的,要么需要配置。
表 5 — 保护用户数据的选项
|
中小型企业目标 |
Encryption-at-rest | Encryption-in-transit |
防病毒软件 (AV) |
|---|---|---|---|
| FSx for Windows File Server | 通过 AWS KMS 自动完成 | 通过 SMB 加密自动进行 |
安装在远程实例上的 AV 在映射的驱动器上执行扫描 |
|
文件网关、 AWS Storage Gateway |
默认情况下,存储在 S3 中的所有数据均 AWS Storage Gateway 在服务器端使用 Amazon S3-Managed 加密密钥 (SSE-S3) 进行加密。您可以选择配置不同的网关类型以使用 AWS Key Management Service (KMS) 加密存储的数据 | 任何类型的网关设备和 AWS 存储设备之间传输的所有数据均使用 SSL 进行加密。 |
安装在远程实例上的 AV 在映射的驱动器上执行扫描 |
| EC2-based Windows 文件服务器 | 启用 EBS 加密 |
PowerShell; Set- SmbServerConfiguration – EncryptData
$True
|
安装在服务器上的 AV 在本地驱动器上执行扫描 |