WorkSpaces Cifrado en WorkSpaces modo personal - Amazon WorkSpaces
Requisitos previosLímitesDescripción general del WorkSpaces cifrado mediante AWS KMSWorkSpaces contexto de cifradoConceda WorkSpaces permiso para usar una clave KMS en su nombreCifra un WorkSpaceVer cifrado WorkSpaces

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

WorkSpaces Cifrado en WorkSpaces modo personal

WorkSpaces está integrado con AWS Key Management Service (AWS KMS). Esto le permite cifrar los volúmenes de almacenamiento WorkSpaces mediante AWS KMS Key. Al lanzar un WorkSpace, puede cifrar el volumen raíz (para Microsoft Windows, la unidad C; para Linux,/) y el volumen de usuario (para Windows, la unidad D; para Linux, /home). De este modo, se garantiza el cifrado de los datos almacenados en reposo, la E/S de disco en el volumen y las instantáneas creadas a partir de los volúmenes.

nota

Además de cifrar su dispositivo WorkSpaces, también puede utilizar el cifrado FIPS para terminales en determinadas regiones de EE. UU. AWS Para obtener más información, consulte Configure la autorización de FedRAMP o el cumplimiento de las normas SRG del DoD para personal WorkSpaces .

Requisitos previos

Necesita una AWS KMS clave antes de poder iniciar el proceso de cifrado. Esta clave de KMS puede ser la clave de KMS AWS administrada para Amazon WorkSpaces (aws/workspaces) o una clave de KMS simétrica administrada por el cliente.

  • AWS Claves de KMS gestionadas: la primera vez que lanzas una clave de KMS no cifrada WorkSpace desde la WorkSpaces consola de una región, Amazon crea WorkSpaces automáticamente una clave de KMS AWS gestionada (aws/workspaces) en tu cuenta. Puede seleccionar esta clave de KMS AWS administrada para cifrar sus volúmenes de usuario y raíz. WorkSpace Para obtener más detalles, consulte Descripción general del WorkSpaces cifrado mediante AWS KMS.

    Puede ver esta clave de KMS AWS administrada, incluidas sus políticas y concesiones, y puede realizar un seguimiento de su uso en AWS CloudTrail los registros, pero no puede usar ni administrar esta clave de KMS. Amazon WorkSpaces crea y administra esta clave de KMS. Solo Amazon WorkSpaces puede usar esta clave de KMS y solo WorkSpaces puede usarla para cifrar WorkSpaces los recursos de su cuenta.

    AWS Las claves KMS gestionadas, incluida la que WorkSpaces admite Amazon, se rotan cada tres años. Para obtener más información, consulte la AWS KMS clave giratoria en la guía para AWS Key Management Service desarrolladores.

  • Clave de KMS gestionada por el cliente: también puede seleccionar una clave de KMS simétrica gestionada por el cliente que haya creado con AWS KMS ella. Puede consultar, usar y administrar esta clave de KMS, incluida la configuración de sus políticas. Para obtener más información sobre la creación de claves KMS, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service . Para obtener más información sobre la creación de claves de KMS mediante la AWS KMS API, consulte Cómo trabajar con claves en la Guía para AWS Key Management Service desarrolladores.

    Las claves KMS administradas por el cliente no se rotan automáticamente a menos que decida habilitar la rotación automática de claves. Para obtener más información, consulte Rotación de AWS KMS claves en la guía para AWS Key Management Service desarrolladores.

importante

Al rotar manualmente las claves KMS, debe mantener habilitadas tanto la clave KMS original como la nueva clave KMS para AWS KMS poder descifrar la WorkSpaces clave KMS original cifrada. Si no quiere mantener habilitada la clave KMS original, debe volver a crearla WorkSpaces y cifrarla con la nueva clave KMS.

Debe cumplir los siguientes requisitos para poder utilizar una AWS KMS clave para cifrar la suya: WorkSpaces

  • La clave debe ser simétrica. Amazon WorkSpaces no admite claves KMS asimétricas. Para obtener información sobre cómo distinguir entre CMK simétricas y asimétricas, consulte Identificar clave KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service .

  • La clave debe estar habilitada. Para determinar si una clave KMS está habilitada, consulte Mostrar detalles de clave KMS en la Guía para desarrolladores de AWS Key Management Service .

  • Debe contar con los permisos y políticas correctos asociados a la clave. Para obtener más información, consulte Parte 2: Conceder a WorkSpaces los administradores permisos adicionales mediante una política de IAM.

Límites

  • No puedes cifrar una existente. WorkSpace Debe cifrar un WorkSpace cuando lo inicie.

  • No se admite la creación de una imagen personalizada a partir de una imagen WorkSpace cifrada.

  • Actualmente, no se admite la desactivación del cifrado para un cifrado WorkSpace .

  • WorkSpaces si se ejecuta con el cifrado del volumen raíz activado, el aprovisionamiento puede tardar hasta una hora.

  • Para reiniciar o reconstruir una clave cifrada WorkSpace, primero asegúrese de que la AWS KMS clave esté habilitada; de lo contrario, WorkSpace quedará inutilizable. Para determinar si una clave KMS está habilitada, consulte Mostrar detalles de clave KMS en la Guía para desarrolladores de AWS Key Management Service .

Descripción general del WorkSpaces cifrado mediante AWS KMS

Cuando crea WorkSpaces con volúmenes cifrados, WorkSpaces utiliza Amazon Elastic Block Store (Amazon EBS) para crear y gestionar esos volúmenes. Amazon EBS cifra el volumen con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. Tanto Amazon EBS como Amazon WorkSpaces utilizan su clave de KMS para trabajar con los volúmenes cifrados. Para obtener más información sobre el cifrado de volúmenes de EBS, consulte Amazon EBS Encryption en la Guía del usuario de Amazon EC2.

Cuando se lanza WorkSpaces con volúmenes cifrados, el end-to-end proceso funciona de la siguiente manera:

  1. Debe especificar la clave de KMS que se va a utilizar para el cifrado, así como el usuario y el directorio del WorkSpace. Esta acción crea una concesión que permite WorkSpaces utilizar la clave KMS únicamente para este fin, es WorkSpace decir, únicamente para la WorkSpace asociada al usuario y al directorio especificados.

  2. WorkSpaces crea un volumen de EBS cifrado para el volumen WorkSpace y especifica la clave de KMS que se va a utilizar, así como el usuario y el directorio del volumen. Esta acción crea una concesión que permite a Amazon EBS usar su clave de KMS solo para este WorkSpace volumen, es decir, solo para los WorkSpace asociados al usuario y directorio especificados y solo para el volumen especificado.

  3. Amazon EBS solicita una clave de datos de volumen cifrada en su clave de KMS y especifica el identificador de seguridad (SID) y el ID de directorio de AWS Directory Service Active Directory del WorkSpace usuario, así como el ID de volumen de Amazon EBS como contexto de cifrado.

  4. AWS KMS crea una clave de datos nueva, la cifra con su clave de KMS y, a continuación, envía la clave de datos cifrada a Amazon EBS.

  5. WorkSpaces utiliza Amazon EBS para adjuntar el volumen cifrado a su WorkSpace. Amazon EBS envía la clave de datos cifrados a AWS KMS con una Decryptsolicitud y especifica el SID del WorkSpace usuario, el ID del directorio y el ID del volumen, que se utilizan como contexto de cifrado.

  6. AWS KMS utiliza su clave de KMS para descifrar la clave de datos y, a continuación, envía la clave de datos de texto sin formato a Amazon EBS.

  7. Amazon EBS utiliza la clave de datos en texto no cifrado para cifrar todos los datos que se envían a los volúmenes cifrados y se reciben de ellos. Amazon EBS mantiene la clave de datos de texto sin formato en la memoria mientras el volumen esté conectado al WorkSpace.

  8. Amazon EBS almacena la clave de datos cifrada (recibida enPaso 4) junto con los metadatos del volumen para utilizarla en el futuro en caso de que reinicie o reconstruya el WorkSpace.

  9. Cuando utilizas la AWS Management Console para eliminar una WorkSpace (o utilizas la TerminateWorkspacesacción en la WorkSpaces API) WorkSpaces y Amazon EBS retira las concesiones que le permitían usar tu clave de KMS para ello WorkSpace.

WorkSpaces contexto de cifrado

WorkSpaces no usa su clave KMS directamente para operaciones criptográficas (como Encrypt,, DecryptGenerateDataKey, etc.), lo que significa que WorkSpaces no envía solicitudes AWS KMS que incluyan un contexto de cifrado. Sin embargo, cuando Amazon EBS solicita una clave de datos cifrada para los volúmenes cifrados de su WorkSpaces (Paso 3en elDescripción general del WorkSpaces cifrado mediante AWS KMS) y cuando solicita una copia en texto plano de esa clave de datos (Paso 5), incluye el contexto de cifrado en la solicitud.

El contexto de cifrado proporciona datos autenticados (AAD) adicionales que se AWS KMS utilizan para garantizar la integridad de los datos. El contexto de cifrado también se escribe en los archivos de AWS CloudTrail registro, lo que puede ayudarle a entender por qué se utilizó una clave KMS determinada. Amazon EBS usa lo siguiente para el contexto de cifrado:

  • El identificador de seguridad (SID) del usuario de Active Directory que está asociado al WorkSpace

  • El ID de AWS Directory Service directorio del directorio que está asociado a WorkSpace

  • El ID de volumen de Amazon EBS del volumen cifrado

El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa Amazon EBS:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Conceda WorkSpaces permiso para usar una clave KMS en su nombre

Puede proteger sus WorkSpace datos con la clave de KMS AWS administrada para WorkSpaces (aws/workspaces) o con una clave de KMS administrada por el cliente. Si usa una clave KMS administrada por el cliente, debe conceder WorkSpaces permiso para usar la clave KMS en nombre de los WorkSpaces administradores de su cuenta. La clave KMS AWS administrada WorkSpaces tiene los permisos necesarios de forma predeterminada.

Para preparar la clave KMS administrada por el cliente para usarla con WorkSpaces ella, utilice el siguiente procedimiento.

  1. Agregue a sus WorkSpaces administradores a la lista de usuarios clave de la política de claves de la clave KMS

  2. Otorgue a sus WorkSpaces administradores permisos adicionales con una política de IAM

Sus WorkSpaces administradores también necesitan permiso para WorkSpaces utilizarla. Para obtener más información acerca de estos permisos, consulte Gestión de identidad y acceso para WorkSpaces.

Parte 1: Añadir WorkSpaces administradores a usuarios clave

Para conceder a WorkSpaces los administradores los permisos que necesitan, puede utilizar la API AWS Management Console o la AWS KMS API.

Para añadir WorkSpaces administradores como usuarios clave de una clave KMS (consola)

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de la clave KMS administrada por el cliente que prefiera.

  5. Seleccione la pestaña Key policy (Política de claves). En Key Users (Usuarios de claves), elija Add (Agregar).

  6. En la lista de usuarios y roles de IAM, seleccione los usuarios y roles que corresponden a sus WorkSpaces administradores y, a continuación, elija Agregar.

Para añadir WorkSpaces administradores como usuarios clave de una clave de KMS (API)

  1. Utilice la GetKeyPolicyoperación para obtener la política de claves existente y, a continuación, guarde el documento de política en un archivo.

  2. Abra el documento de políticas en el editor de textos que prefiera. Agregue los usuarios y funciones de IAM que correspondan a sus WorkSpaces administradores a las declaraciones de política que otorgan permisos a los usuarios clave. A continuación, guarde el archivo.

  3. Utilice la PutKeyPolicyoperación para aplicar la política clave a la clave KMS.

Parte 2: Conceder a WorkSpaces los administradores permisos adicionales mediante una política de IAM

Si selecciona una clave de KMS gestionada por el cliente para utilizarla en el cifrado, debe establecer políticas de IAM que permitan WorkSpaces a Amazon utilizar la clave de KMS en nombre de un usuario de IAM de su cuenta que lance la clave de KMS. WorkSpaces Ese usuario también necesita permiso para usar Amazon WorkSpaces. Para obtener más información sobre la creación y edición de políticas de usuario de IAM, consulte Administración de políticas de IAM en la Guía del usuario de IAM y Gestión de identidad y acceso para WorkSpaces.

WorkSpaces el cifrado requiere un acceso limitado a la clave KMS. A continuación, se muestra una política de claves de ejemplo que puede utilizar. Esta política separa a las entidades principales que pueden administrar la clave de AWS KMS de aquellas que pueden usarla. Antes de utilizar esta política de claves de ejemplo, reemplace el ID de la cuenta de ejemplo y el nombre de usuario de IAM por valores reales de su cuenta.

La primera declaración coincide con la política de AWS KMS claves predeterminada. Le da permiso a su cuenta para usar políticas de IAM para controlar el acceso a la clave KMS. La segunda y la tercera sentencia definen qué AWS directores pueden administrar y usar la clave, respectivamente. La cuarta afirmación permite que AWS los servicios que están integrados AWS KMS utilicen la clave en nombre del principal especificado. Esta instrucción permite a los servicios de AWS crear y administrar concesiones. La declaración utiliza un elemento de condición que limita las concesiones de la clave KMS a las concedidas por los AWS servicios en nombre de los usuarios de su cuenta.

nota

Si sus WorkSpaces administradores utilizan la AWS Management Console para crear WorkSpaces con volúmenes cifrados, necesitan permiso para enumerar los alias y las claves ("kms:ListKeys"los "kms:ListAliases" y los permisos). Si tus WorkSpaces administradores utilizan únicamente la WorkSpaces API de Amazon (no la consola), puedes omitir los "kms:ListKeys" permisos "kms:ListAliases" y.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

La política de IAM para un usuario o rol que esté cifrando WorkSpace debe incluir los permisos de uso de la clave de KMS administrada por el cliente, así como el acceso a. WorkSpaces Para conceder WorkSpaces permisos a un usuario o rol de IAM, puede adjuntar el siguiente ejemplo de política al usuario o rol de IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

El usuario requiere la siguiente política de IAM para usar AWS KMS. Proporciona al usuario acceso de solo lectura a la clave KMS junto con la capacidad de crear concesiones.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Si desea especificar la clave KMS en su política, utilice una política de IAM similar a la siguiente. Reemplace el ARN de la clave KMS de ejemplo por uno válido.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Cifra un WorkSpace

Para cifrar un WorkSpace

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. Seleccione Iniciar WorkSpaces y complete los tres primeros pasos.

  3. Para el paso WorkSpaces de configuración, haga lo siguiente:

    1. Seleccione los volúmenes que se van a cifrar: volumen raíz, volumen de usuarios o ambos.

    2. En Clave de cifrado, seleccione una AWS KMS clave, ya sea la clave de KMS AWS gestionada creada por Amazon WorkSpaces o una clave de KMS que haya creado usted. La clave KMS que utilice debe ser simétrica. Amazon WorkSpaces no admite claves KMS asimétricas.

    3. Elija Paso siguiente.

  4. Selecciona Launch WorkSpaces.

Ver cifrado WorkSpaces

Para ver qué volúmenes WorkSpaces y cuáles se han cifrado desde la WorkSpaces consola, seleccione una opción en la barra WorkSpacesde navegación de la izquierda. La columna Cifrado de volúmenes muestra si cada uno de ellos WorkSpace tiene el cifrado activado o desactivado. Para ver qué volúmenes específicos se han cifrado, expanda la WorkSpace entrada para ver el campo Volúmenes cifrados.