Verschlüsselt WorkSpaces in WorkSpaces Personal - Amazon WorkSpaces

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselt WorkSpaces in WorkSpaces Personal

WorkSpaces ist in die integriert AWS Key Management Service (AWS KMS). Auf diese Weise können Sie Speichervolumen verschlüsseln von WorkSpaces AWS KMS Schlüssel. Wenn Sie a starten WorkSpace, können Sie das Stammvolume (für Microsoft Windows das Laufwerk C; für Linux,/) und das Benutzervolume (für Windows das Laufwerk D; für Linux /home) verschlüsseln. Auf diese Weise wird sichergestellt, dass Daten im Ruhezustand, Festplatten-Ein-/Ausgaben und Snapshots von Volumes verschlüsselt werden.

Anmerkung

Voraussetzungen

Sie benötigen eine AWS KMS Schlüssel, bevor Sie mit dem Verschlüsselungsprozess beginnen können. Dieser KMS Schlüssel kann entweder AWSverwalteter KMS Schlüssel für Amazon WorkSpaces (aws/workspaces) oder ein symmetrischer, vom Kunden verwalteter Schlüssel. KMS

  • AWS verwaltete KMS Schlüssel — Wenn Sie in einer Region zum ersten Mal eine unverschlüsselte Version WorkSpace von der WorkSpaces Konsole aus starten, erstellt Amazon WorkSpaces automatisch eine AWS verwalteter KMS Schlüssel (aws/workspaces) in Ihrem Konto. Sie können dies auswählen AWS verwalteter KMS Schlüssel zur Verschlüsselung der Benutzer- und Root-Volumes Ihres WorkSpace. Details hierzu finden Sie unter Überblick über die WorkSpaces Verschlüsselung mit AWS KMS.

    Das kannst du dir ansehen AWS verwaltet den KMS Schlüssel, einschließlich seiner Richtlinien und Zuschüsse, und kann seine Verwendung nachverfolgen in AWS CloudTrail Logs, aber Sie können diesen KMS Schlüssel nicht verwenden oder verwalten. Amazon WorkSpaces erstellt und verwaltet diesen KMS Schlüssel. Nur Amazon WorkSpaces kann diesen KMS Schlüssel verwenden und WorkSpaces kann ihn nur zum Verschlüsseln von WorkSpaces Ressourcen in Ihrem Konto verwenden.

    AWS verwaltete KMS Schlüssel, einschließlich des, den Amazon WorkSpaces unterstützt, werden alle drei Jahre rotiert. Einzelheiten finden Sie unter Rotieren AWS KMS Geben Sie die ein AWS Key Management Service Leitfaden für Entwickler.

  • Vom Kunden verwalteter KMS Schlüssel — Alternativ können Sie einen symmetrischen, vom Kunden verwalteten KMS Schlüssel auswählen, den Sie mit AWS KMS. Sie können diesen KMS Schlüssel anzeigen, verwenden und verwalten, einschließlich der Festlegung seiner Richtlinien. Weitere Informationen zum Erstellen von KMS Schlüsseln finden Sie unter Schlüssel erstellen im AWS Key Management Service Leitfaden für Entwickler. Weitere Informationen zum Erstellen von KMS Schlüsseln mit dem AWS KMS API, siehe Arbeiten mit Schlüsseln im AWS Key Management Service Leitfaden für Entwickler.

    Vom Kunden verwaltete KMS Schlüssel werden nicht automatisch rotiert, es sei denn, Sie entscheiden sich dafür, die automatische Schlüsselrotation zu aktivieren. Einzelheiten finden Sie unter Rotieren AWS KMS Schlüssel in der AWS Key Management Service Leitfaden für Entwickler.

Wichtig

Wenn Sie KMS Schlüssel manuell rotieren, müssen Sie sowohl den ursprünglichen KMS als auch den neuen KMS Schlüssel aktiviert lassen, sodass AWS KMS kann das entschlüsseln WorkSpaces , was der ursprüngliche KMS Schlüssel verschlüsselt hat. Wenn Sie den ursprünglichen KMS Schlüssel nicht aktiviert lassen möchten, müssen Sie Ihren Schlüssel neu erstellen WorkSpaces und ihn mit dem neuen Schlüssel verschlüsseln. KMS

Sie müssen die folgenden Voraussetzungen erfüllen, um einen verwenden zu können AWS KMS Schlüssel zur Verschlüsselung Ihres WorkSpaces:

Einschränkungen

  • Sie können ein WorkSpace vorhandenes nicht verschlüsseln. Sie müssen eine verschlüsseln, WorkSpace wenn Sie sie starten.

  • Das Erstellen eines benutzerdefinierten Images aus einem verschlüsselten Bild WorkSpace wird nicht unterstützt.

  • Das Deaktivieren der Verschlüsselung für ein verschlüsseltes Objekt WorkSpace wird derzeit nicht unterstützt.

  • WorkSpaces Bei einem Start mit aktivierter Root-Volume-Verschlüsselung kann die Bereitstellung bis zu einer Stunde dauern.

  • Um eine verschlüsselte Datei neu zu starten oder neu zu erstellen WorkSpace, stellen Sie zunächst sicher, dass AWS KMS Der Schlüssel ist aktiviert; andernfalls wird WorkSpace er unbrauchbar. Informationen darüber, ob ein KMS Schlüssel aktiviert ist, finden Sie unter KMS Schlüsseldetails anzeigen im AWS Key Management Service Entwicklerhandbuch.

Überblick über die WorkSpaces Verschlüsselung mit AWS KMS

Wenn Sie WorkSpaces mit verschlüsselten Volumes erstellen, WorkSpaces verwendet Amazon Elastic Block Store (AmazonEBS), um diese Volumes zu erstellen und zu verwalten. Amazon EBS verschlüsselt Ihre Volumes mit einem Datenschlüssel unter Verwendung des Industriestandard-Algorithmus AES -256. EBSSowohl Amazon als auch Amazon WorkSpaces verwenden Ihren KMS Schlüssel, um mit den verschlüsselten Volumes zu arbeiten. Weitere Informationen zur EBS Volumenverschlüsselung finden Sie unter Amazon EBS Encryption im EC2Amazon-Benutzerhandbuch.

Wenn Sie WorkSpaces mit verschlüsselten Volumes starten, funktioniert der end-to-end Vorgang wie folgt:

  1. Sie geben den KMS Schlüssel an, der für die Verschlüsselung verwendet werden soll, sowie den Benutzer und das Verzeichnis für WorkSpace. Durch diese Aktion wird ein Zugriff gewährt, der es Ihnen ermöglicht, Ihren KMS Schlüssel nur für diesen Zweck WorkSpaces zu verwenden, WorkSpace d. h. nur für den mit dem angegebenen Benutzer und dem angegebenen Verzeichnis WorkSpace verknüpften Daten.

  2. WorkSpaces erstellt ein verschlüsseltes EBS Volume für den WorkSpace und gibt den zu verwendenden KMS Schlüssel sowie den Benutzer und das Verzeichnis des Volumes an. Durch diese Aktion wird ein Zuschuss gewährt, der es Amazon ermöglicht, Ihren KMS Schlüssel nur für dieses WorkSpace Volumen EBS zu verwenden, d. h. nur für den mit dem angegebenen Benutzer und Verzeichnis WorkSpace verknüpften Daten und nur für das angegebene Volume.

  3. Amazon EBS fordert einen Volumendatenschlüssel an, der unter Ihrem KMS Schlüssel verschlüsselt ist und die Active Directory-Sicherheitskennung des WorkSpace Benutzers angibt (SID) und AWS Directory Service Verzeichnis-ID sowie die EBS Amazon-Volume-ID als Verschlüsselungskontext.

  4. AWS KMS erstellt einen neuen Datenschlüssel, verschlüsselt ihn unter Ihrem KMS Schlüssel und sendet den verschlüsselten Datenschlüssel dann an AmazonEBS.

  5. WorkSpaces verwendet AmazonEBS, um das verschlüsselte Volume an Ihr anzuhängen WorkSpace. Amazon EBS sendet den verschlüsselten Datenschlüssel an AWS KMS mit einer DecryptAnfrage und gibt die des WorkSpace BenutzersSID, die Verzeichnis-ID und die Volume-ID an, die als Verschlüsselungskontext verwendet wird.

  6. AWS KMS verwendet Ihren KMS Schlüssel, um den Datenschlüssel zu entschlüsseln, und sendet dann den Klartext-Datenschlüssel an AmazonEBS.

  7. Amazon EBS verwendet den Klartext-Datenschlüssel, um alle Daten zu verschlüsseln, die zum und vom verschlüsselten Volume übertragen werden. Amazon EBS behält den Klartext-Datenschlüssel so lange im Speicher, wie das Volume an den angehängt ist WorkSpace.

  8. Amazon EBS speichert den verschlüsselten Datenschlüssel (empfangen amSchritt 4) mit den Volume-Metadaten für die future Verwendung, falls Sie den neu starten oder neu erstellen WorkSpace.

  9. Wenn Sie das verwenden AWS Management Console um einen zu entfernen WorkSpace (oder die TerminateWorkspacesAktion in der zu verwenden WorkSpaces API), WorkSpaces und Amazon EBS zieht die Zuschüsse zurück, die es ihnen ermöglicht haben, Ihren KMS Schlüssel dafür WorkSpace zu verwenden.

WorkSpaces Verschlüsselungskontext

WorkSpaces verwendet Ihren KMS Schlüssel nicht direkt für kryptografische Operationen (wie EncryptDecrypt, GenerateDataKey, usw.), sendet also WorkSpaces keine Anfragen an AWS KMS die einen Verschlüsselungskontext beinhalten. Wenn Amazon EBS jedoch einen verschlüsselten Datenschlüssel für die verschlüsselten Volumes Ihres WorkSpaces (Schritt 3imÜberblick über die WorkSpaces Verschlüsselung mit AWS KMS) anfordert und wenn es eine Klartextkopie dieses Datenschlüssels (Schritt 5) anfordert, wird der Verschlüsselungskontext in die Anfrage aufgenommen.

Der Verschlüsselungskontext stellt zusätzliche authentifizierte Daten (AAD) bereit, die AWS KMS verwendet, um die Datenintegrität sicherzustellen. Der Verschlüsselungskontext wird auch in Ihren geschrieben AWS CloudTrail Protokolldateien, anhand derer Sie nachvollziehen können, warum ein bestimmter KMS Schlüssel verwendet wurde. Amazon EBS verwendet Folgendes für den Verschlüsselungskontext:

  • Die Sicherheits-ID (SID) des Active Directory-Benutzers, der dem zugeordnet ist WorkSpace

  • Die Verzeichnis-ID des AWS Directory Service Verzeichnis, das dem zugeordnet ist WorkSpace

  • Die EBS Amazon-Volume-ID des verschlüsselten Volumes

Das folgende Beispiel zeigt eine JSON Darstellung des Verschlüsselungskontextes, den Amazon EBS verwendet:

{ "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]", "aws:ebs:id": "vol-1234abcd" }

Erteilen Sie die WorkSpaces Erlaubnis, einen KMS Schlüssel in Ihrem Namen zu verwenden

Sie können Ihre WorkSpace Daten schützen unter AWS verwalteter KMS Schlüssel für WorkSpaces (aws/workspaces) oder ein vom Kunden verwalteter Schlüssel. KMS Wenn Sie einen vom Kunden verwalteten KMS Schlüssel verwenden, müssen Sie den WorkSpaces Administratoren in Ihrem Konto die WorkSpaces Erlaubnis zur Verwendung des KMS Schlüssels erteilen. Das Tool AWS Der verwaltete KMS Schlüssel für WorkSpaces verfügt standardmäßig über die erforderlichen Berechtigungen.

Gehen Sie wie folgt vor WorkSpaces, um Ihren vom Kunden verwalteten KMS Schlüssel für die Verwendung mit vorzubereiten.

Ihre WorkSpaces Administratoren benötigen außerdem eine Nutzungsberechtigung WorkSpaces. Weitere Informationen zu diesen Berechtigungen finden Sie unter Identitäts- und Zugriffsmanagement für WorkSpaces.

Teil 1: WorkSpaces Administratoren als Hauptbenutzer hinzufügen

Um WorkSpaces Administratoren die erforderlichen Berechtigungen zu erteilen, können Sie die AWS Management Console oder das AWS KMS API.

Um WorkSpaces Administratoren als Hauptbenutzer für einen KMS Schlüssel hinzuzufügen (Konsole)

  1. Melden Sie sich an bei AWS Management Console und öffne das AWS Key Management Service (AWS KMS) Konsole bei https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Wählen Sie die Schlüssel-ID oder den Alias Ihres bevorzugten, vom Kunden verwalteten Schlüssels. KMS

  5. Wählen Sie die Registerkarte Key policy (Schlüsselrichtlinie). Unter Key users (Schlüsselbenutzer), wählen Sie Add (Hinzufügen) aus.

  6. Wählen Sie in der Liste der IAM Benutzer und Rollen die Benutzer und Rollen aus, die Ihren WorkSpaces Administratoren entsprechen, und klicken Sie dann auf Hinzufügen.

Um WorkSpaces Administratoren als Hauptbenutzer für einen KMS Schlüssel hinzuzufügen (API)

  1. Verwenden Sie den GetKeyPolicyVorgang, um die vorhandene Schlüsselrichtlinie abzurufen, und speichern Sie dann das Richtliniendokument in einer Datei.

  2. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie die IAM Benutzer und Rollen, die Ihren WorkSpaces Administratoren entsprechen, zu den Richtlinienerklärungen hinzu, die Schlüsselbenutzern Berechtigungen erteilen. Speichern Sie dann die Datei.

  3. Verwenden Sie den PutKeyPolicyVorgang, um die Schlüsselrichtlinie auf den KMS Schlüssel anzuwenden.

Teil 2: Gewähren Sie WorkSpaces Administratoren mithilfe einer IAM Richtlinie zusätzliche Berechtigungen

Wenn Sie einen vom Kunden verwalteten KMS Schlüssel für die Verschlüsselung auswählen, müssen Sie IAM Richtlinien festlegen, die es Amazon WorkSpaces ermöglichen, den KMS Schlüssel im Namen eines IAM Benutzers in Ihrem Konto zu verwenden, der verschlüsselt startet WorkSpaces. Dieser Benutzer benötigt auch die Erlaubnis, Amazon zu verwenden WorkSpaces. Weitere Informationen zum Erstellen und Bearbeiten von IAM Benutzerrichtlinien finden Sie unter IAMRichtlinien verwalten im IAMBenutzerhandbuch undIdentitäts- und Zugriffsmanagement für WorkSpaces.

WorkSpaces Die Verschlüsselung erfordert eingeschränkten Zugriff auf den KMS Schlüssel. Nachfolgend finden Sie eine Schlüsselmusterrichtlinie, die Sie verwenden können. Diese Richtlinie trennt die Prinzipale, die das verwalten können AWS KMS Schlüssel von denen, die ihn verwenden können. Bevor Sie diese Beispielschlüsselrichtlinie verwenden, ersetzen Sie die Beispielkonto-ID und den IAM Benutzernamen durch tatsächliche Werte aus Ihrem Konto.

Die erste Anweisung entspricht der Standardeinstellung AWS KMS wichtige Richtlinie. Sie gibt Ihrem Konto die Erlaubnis, IAM Richtlinien zu verwenden, um den Zugriff auf den KMS Schlüssel zu kontrollieren. Die zweite und dritte Aussage definieren welche AWS Prinzipale können den Schlüssel jeweils verwalten und verwenden. Die vierte Anweisung ermöglicht AWS Dienste, die integriert sind AWS KMS um den Schlüssel im Namen des angegebenen Prinzipals zu verwenden. Diese Anweisung ermöglicht AWS Dienste zur Erstellung und Verwaltung von Zuschüssen. Die Erklärung verwendet ein Bedingungselement, das Zuschüsse für den KMS Schlüssel auf Zuschüsse beschränkt, die gewährt wurden von AWS Dienste im Namen von Benutzern in Ihrem Konto.

Anmerkung

Wenn Ihre WorkSpaces Administratoren das verwenden AWS Management Console Um WorkSpaces mit verschlüsselten Volumes zu erstellen, benötigen die Administratoren die Erlaubnis, Aliase und Schlüssel aufzulisten (die "kms:ListAliases" und "kms:ListKeys" -Berechtigungen). Wenn Ihre WorkSpaces Administratoren nur Amazon WorkSpaces API (nicht die Konsole) verwenden, können Sie die "kms:ListKeys" Berechtigungen "kms:ListAliases" und weglassen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

Die IAM Richtlinie für einen Benutzer oder eine Rolle, die eine verschlüsselt, WorkSpace muss Nutzungsberechtigungen für den vom Kunden verwalteten KMS Schlüssel sowie den Zugriff auf enthalten. WorkSpaces Um einem IAM Benutzer oder einer Rolle WorkSpaces Berechtigungen zu erteilen, können Sie die folgende Beispielrichtlinie an den IAM Benutzer oder die Rolle anhängen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }

Die folgende IAM Richtlinie ist für die Verwendung durch den Benutzer erforderlich AWS KMS. Es gibt dem Benutzer nur Lesezugriff auf den KMS Schlüssel sowie die Möglichkeit, Zuschüsse zu erstellen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }

Wenn Sie den KMS Schlüssel in Ihrer Richtlinie angeben möchten, verwenden Sie eine IAM Richtlinie, die der folgenden ähnelt. Ersetzen Sie den KMS Beispielschlüssel ARN durch einen gültigen Schlüssel.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

Verschlüsseln Sie eine WorkSpace

Um ein zu verschlüsseln WorkSpace
  1. Öffnen Sie die WorkSpaces Konsole unter. https://console.aws.amazon.com/workspaces/

  2. Wählen Sie Launch WorkSpaces und führen Sie die ersten drei Schritte aus.

  3. Gehen Sie für den WorkSpaces Konfigurationsschritt wie folgt vor:

    1. Wählen Sie die zu verschlüsselnden Volumes aus: Root Volume, User Volume oder beide Volumes.

    2. Wählen Sie für den Verschlüsselungsschlüssel eine AWS KMS Schlüssel, entweder AWS Ein verwalteter KMS Schlüssel, der von Amazon erstellt wurde, WorkSpaces oder ein von Ihnen erstellter KMS Schlüssel. Der KMS Schlüssel, den Sie auswählen, muss symmetrisch sein. Amazon WorkSpaces unterstützt keine asymmetrischen KMS Schlüssel.

    3. Wählen Sie Next Step (Weiter) aus.

  4. Wählen Sie Launch WorkSpaces.

Verschlüsselt ansehen WorkSpaces

Wählen WorkSpacesSie in der WorkSpaces Navigationsleiste auf der linken Seite aus WorkSpaces , um zu sehen, welche Volumes verschlüsselt wurden. In der Spalte Volume Encryption wird angezeigt, ob die Verschlüsselung jeweils WorkSpace aktiviert oder deaktiviert ist. Um zu sehen, welche spezifischen Volumes verschlüsselt wurden, erweitern Sie den WorkSpace Eintrag, sodass das Feld Verschlüsselte Volumes angezeigt wird.