Aislamiento de red Aislamiento en hosts físicos Autorización de usuarios corporativos Realizar solicitudes a la API de Amazon WorkSpaces a través de un punto de conexión de interfaz de VPC.Creación de una política de punto de conexión de VPC para Amazon WorkSpaces Conecte su red privada a su VPC

Seguridad de la infraestructura en Amazon WorkSpaces

Como se trata de un servicio administrado, Amazon WorkSpaces está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWS protege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Para acceder a los WorkSpaces a través de la red se utilizan las llamadas a la API publicadas en AWS. Los clientes deben admitir lo siguiente:

Seguridad de la capa de transporte (TLS). Nosotros exigimos TLS 1.2 y recomendamos TLS 1.3.
Conjuntos de cifrado con confidencialidad directa total (PFS) tales como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Aislamiento de red

Una Virtual Private Cloud (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Puede implementar sus escritorios de WorkSpaces en una subred privada de la VPC. Para obtener más información, consulte Configurar una VPC para WorkSpaces.

Para permitir únicamente el tráfico de intervalos de direcciones específicos (por ejemplo, de la red corporativa), actualice el grupo de seguridad de la VPC o utilice un grupo de control de acceso IP.

Puede restringir el acceso a escritorios de WorkSpaces a dispositivos de confianza con certificados válidos. Para obtener más información, consulte Restrinja el WorkSpaces acceso a dispositivos de confianza.

Aislamiento en hosts físicos

Los diferentes escritorios de WorkSpaces que se encuentran en el mismo host físico están aislados entre sí a través del hipervisor. Es como si estuvieran en hosts físicos distintos. Cuando se elimina un escritorio de WorkSpaces, el hipervisor limpia la memoria asignada (la establece en cero) antes de asignarla a un nuevo escritorio de WorkSpaces.

Autorización de usuarios corporativos

Con WorkSpaces, los directorios se administran a través de AWS Directory Service. Puede crear un directorio administrado independiente para los usuarios. O bien, puede realizar la integración con el entorno de Active Directory existente para que los usuarios puedan usar sus credenciales actuales para obtener acceso fácilmente a los recursos corporativos. Para obtener más información, consulte Administrar directorios para WorkSpaces.

Para controlar aún más el acceso a sus escritorios de WorkSpaces, utilice la autenticación multifactor. Para obtener más información, consulte Cómo habilitar la autenticación multifactor para los servicios de AWS.

Realizar solicitudes a la API de Amazon WorkSpaces a través de un punto de conexión de interfaz de VPC.

Puede conectarse directamente a los puntos de conexión de la API de Amazon WorkSpaces a través de un punto de conexión de interfaz en su nube privada virtual (VPC) en lugar de conectarse a través de Internet. Cuando utiliza un punto de conexión de interfaz de VPC, la comunicación entre su VPC y el punto de conexión de la API de Amazon WorkSpaces se realiza de forma completa y segura dentro de la red de AWS.

nota

Esta función solo se puede utilizar para conectarse a los puntos de enlace de la API de WorkSpaces. Para conectarse a WorkSpaces mediante los clientes de WorkSpaces, se requiere conectividad a Internet, tal como se describe en Requisitos de dirección IP y puerto para WorkSpaces.

Los puntos de conexión de la API de Amazon WorkSpaces son compatibles con los puntos de conexión de la interfaz de Amazon Virtual Private Cloud (Amazon VPC) que funcionan con AWS PrivateLink. Cada punto de enlace de la VPC se representa mediante una o varias interfaces de red (que también se conocen como «interfaces de red elástica» o «ENI») con direcciones IP privadas de las subredes de la VPC.

El punto de conexión de la interfaz de la VPC conecta su VPC directamente con el punto de conexión de la API de Amazon WorkSpaces sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con el punto de conexión de la API de Amazon WorkSpaces.

Puede crear un punto de conexión de interfaz para conectarse a Amazon WorkSpaces con los comandos de la AWS Management Console o de la AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Creación de un punto de enlace de interfaz.

Una vez que haya creado un punto de conexión VPC, puede utilizar los siguientes comandos CLI de ejemplo que utilizan el parámetro endpoint-url para especificar puntos de conexión de interfaz al punto de conexión API de Amazon WorkSpaces:


aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

Si habilita los nombres de host DNS privados para el punto de enlace de la VPC, no necesita especificar la URL del punto de enlace. El nombre de host DNS de la API de Amazon WorkSpaces que la CLI y el SDK de Amazon WorkSpaces utilizan de forma predeterminada (https://api.workspaces.Region.amazonaws.com) soluciona el punto de conexión de la VPC.

El punto de conexión de la API de Amazon WorkSpaces admite puntos de conexión de VPC en todas las regiones de AWS en las que estén disponibles Amazon VPC y Amazon WorkSpaces. Amazon WorkSpaces permite realizar llamadas a todas sus API públicas desde su VPC.

Para obtener más información sobre AWS PrivateLink, consulte la documentación de AWS PrivateLink. Para obtener información sobre el precio de los puntos de enlace de la VPC, consulte Precios de VPC. Para obtener más información sobre la VPC y los puntos de enlace, visite Amazon VPC.

Para ver una lista de los puntos de conexión de la API de Amazon WorkSpaces de cada región, consulte Puntos de conexión de la API de WorkSpaces.

nota

Los puntos de conexión de la API de Amazon WorkSpaces con AWS PrivateLink no son compatibles con los puntos de conexión de la API de Amazon WorkSpaces del Estándar Federal de Procesamiento de Información (FIPS).

Creación de una política de punto de conexión de VPC para Amazon WorkSpaces

Puede crear una política de puntos de conexión de VPC de Amazon para Amazon WorkSpaces para especificar lo siguiente:

La entidad de seguridad que puede realizar acciones.
Las acciones que se pueden realizar.
Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de conexión de VPC en la Guía del usuario de Amazon VPC.

nota

LaLas políticas de punto de conexión de VPC no son compatibles con los puntos de conexión de Amazon WorkSpaces del Estándar Federal de Procesamiento de Información (FIPS).s políticas de punto de enlace de la VPC no son compatibles con los puntos de enlace de de Federal Information Processing Standard (FIPS).

El siguiente ejemplo de política de punto de conexión de la VPC especifica que todos los usuarios que tienen acceso al punto de conexión de la interfaz de la VPC tienen permiso para invocar el punto de conexión alojado en Amazon WorkSpaces denominado ws-f9abcdefg.


{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

En este ejemplo, se deniegan las siguientes acciones:

Invocar puntos de conexión alojados en Amazon WorkSpaces que sean distintos de ws-f9abcdefg.
Realizar acciones en un recurso que no sea el especificado (ID de WorkSpace: ws-f9abcdefg).

nota

En este ejemplo, los usuarios pueden realizar otras acciones de la API de Amazon WorkSpaces desde fuera de la VPC. Para restringir las llamadas a la API únicamente a las realizadas desde dentro de la VPC, consulte Gestión de identidades y accesos para WorkSpaces para obtener información sobre el uso de políticas basadas en identidades para controlar el acceso a los puntos de conexión de la API de Amazon WorkSpaces.

Conecte su red privada a su VPC

Para llamar a la API de Amazon WorkSpaces a través de su VPC, tiene que conectarse desde una instancia que esté dentro de la VPC o conectar su red privada a su VPC mediante AWS Virtual Private Network (AWS VPN) o AWS Direct Connect. Para más información, consulte Conexiones VPN en la Guía del usuario de Amazon Virtual Private Cloud (Amazon VPC). Para obtener información acerca de AWS Direct Connect, consulte Creación de una conexión en la Guía del usuario de AWS Direct Connect.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Resiliencia

Administración de actualizaciones