Chiffré WorkSpaces dans WorkSpaces Personal - Amazon WorkSpaces
PrérequisLimitesVue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMSWorkSpaces contexte de chiffrement WorkSpaces Autoriser l'utilisation d'une KMS clé en votre nomChiffrer un WorkSpaceAfficher crypté WorkSpaces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffré WorkSpaces dans WorkSpaces Personal

WorkSpaces est intégré au AWS Key Management Service (AWS KMS). Cela vous permet de chiffrer les volumes de stockage à l' WorkSpaces aide de AWS KMS Key. Lorsque vous lancez un WorkSpace, vous pouvez chiffrer le volume racine (pour Microsoft Windows, le lecteur C ; pour Linux,/) et le volume utilisateur (pour Windows, le lecteur D ; pour Linux, /home). Vous garantissez ainsi que les données stockées au repos, les E/S de disque vers le volume et les instantanés créés à partir des volumes sont tous chiffrés.

Note

Prérequis

Vous avez besoin d'une AWS KMS clé avant de pouvoir commencer le processus de chiffrement. Cette KMS clé peut être la KMScléAWS gérée pour Amazon WorkSpaces (aws/workspaces) ou une clé symétrique gérée par le client. KMS

  • AWS KMSClés gérées — La première fois que vous lancez une clé non chiffrée WorkSpace depuis la WorkSpaces console dans une région, Amazon crée WorkSpaces automatiquement une KMS clé AWS gérée (aws/workspaces) dans votre compte. Vous pouvez sélectionner cette KMS clé AWS gérée pour chiffrer les volumes utilisateur et root de votre WorkSpace. Pour plus de détails, consultez Vue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS.

    Vous pouvez consulter cette KMS clé AWS gérée, y compris ses politiques et ses autorisations, et suivre son utilisation dans AWS CloudTrail les journaux, mais vous ne pouvez ni utiliser ni gérer cette KMS clé. Amazon WorkSpaces crée et gère cette KMS clé. Seul Amazon WorkSpaces peut utiliser cette KMS clé, et WorkSpaces uniquement pour chiffrer les WorkSpaces ressources de votre compte.

    AWS KMSLes clés gérées, y compris celle prise WorkSpaces en charge par Amazon, font l'objet d'une rotation annuelle. Pour plus de détails, voir AWS KMS Rotating Key dans le guide du AWS Key Management Service développeur.

  • KMSClé gérée par le client — Vous pouvez également sélectionner une clé symétrique gérée par le client que vous avez créée à l'aide AWS KMS de cette KMS clé. Vous pouvez consulter, utiliser et gérer cette KMS clé, notamment définir ses politiques. Pour plus d'informations sur la création de KMS clés, consultez la section Création de clés dans le guide du AWS Key Management Service développeur. Pour plus d'informations sur la création de KMS clés à l'aide de AWS KMS API, consultez la section Utilisation des clés dans le manuel du AWS Key Management Service développeur.

    Les KMS clés gérées par le client ne sont pas automatiquement pivotées, sauf si vous décidez d'activer la rotation automatique des clés. Pour plus de détails, voir AWS KMS Rotating Keys dans le guide du AWS Key Management Service développeur.

Important

Lorsque vous faites pivoter KMS les clés manuellement, vous devez conserver la KMS clé d'origine et la nouvelle KMS clé activées afin de AWS KMS pouvoir déchiffrer celles chiffrées par la KMS clé d'origine. WorkSpaces Si vous ne souhaitez pas que la KMS clé d'origine reste activée, vous devez la recréer WorkSpaces et la chiffrer à l'aide de la nouvelle KMS clé.

Vous devez remplir les conditions suivantes pour utiliser une AWS KMS clé afin de chiffrer votre WorkSpaces :

Limites

  • Vous ne pouvez pas chiffrer un fichier existant WorkSpace. Vous devez chiffrer un WorkSpace lorsque vous le lancez.

  • La création d'une image personnalisée à partir d'une image chiffrée n' WorkSpace est pas prise en charge.

  • La désactivation du chiffrement pour un chiffrement n' WorkSpace est actuellement pas prise en charge.

  • WorkSpaces lancé avec le chiffrement du volume racine activé, le provisionnement peut prendre jusqu'à une heure.

  • Pour redémarrer ou reconstruire une clé chiffrée WorkSpace, assurez-vous d'abord que la AWS KMS clé est activée ; sinon, WorkSpace elle devient inutilisable. Pour déterminer si une KMS clé est activée, consultez la section Affichage des détails de la KMS clé dans le guide du AWS Key Management Service développeur.

Vue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS

Lorsque vous créez WorkSpaces avec des volumes chiffrés WorkSpaces , utilisez Amazon Elastic Block Store (AmazonEBS) pour créer et gérer ces volumes. Amazon EBS chiffre vos volumes à l'aide d'une clé de données à l'aide de l'algorithme standard AES -256. Amazon EBS et Amazon WorkSpaces utilisent tous deux votre KMS clé pour travailler avec les volumes chiffrés. Pour plus d'informations sur EBS le chiffrement des volumes, consultez Amazon EBS Encryption dans le guide de EC2 l'utilisateur Amazon.

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le end-to-end processus fonctionne comme suit :

  1. Vous spécifiez la KMS clé à utiliser pour le chiffrement ainsi que l'utilisateur et le répertoire du WorkSpace. Cette action crée une autorisation qui permet d'utiliser votre KMS clé uniquement WorkSpaces à cette fin, c' WorkSpaceest-à-dire uniquement pour l'utilisateur et le répertoire WorkSpace associés à l'utilisateur et au répertoire spécifiés.

  2. WorkSpaces crée un EBS volume chiffré pour le WorkSpace et spécifie la KMS clé à utiliser ainsi que l'utilisateur et le répertoire du volume. Cette action crée une autorisation qui permet EBS à Amazon d'utiliser votre KMS clé uniquement pour ce volume WorkSpace et pour ce volume, c'est-à-dire uniquement pour l'utilisateur et le répertoire WorkSpace associés, et uniquement pour le volume spécifié.

  3. Amazon EBS demande une clé de données de volume chiffrée sous votre KMS clé et spécifie l'identifiant de sécurité Active Directory (SID) et l'ID de AWS Directory Service répertoire de l' WorkSpace utilisateur, ainsi que l'ID EBS du volume Amazon comme contexte de chiffrement.

  4. AWS KMS crée une nouvelle clé de données, la chiffre sous votre KMS clé, puis envoie la clé de données chiffrée à AmazonEBS.

  5. WorkSpaces utilise Amazon EBS pour associer le volume chiffré à votre WorkSpace. Amazon EBS envoie la clé de données cryptée AWS KMS avec une Decryptdemande et spécifie celle de l' WorkSpace utilisateurSID, l'ID du répertoire et l'ID du volume, qui sont utilisés comme contexte de chiffrement.

  6. AWS KMS utilise votre KMS clé pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à AmazonEBS.

  7. Amazon EBS utilise la clé de données en texte brut pour chiffrer toutes les données en provenance et à destination du volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire tant que le volume est attaché au WorkSpace.

  8. Amazon EBS stocke la clé de données cryptée (reçue àÉtape 4) avec les métadonnées du volume pour une utilisation future au cas où vous redémarreriez ou reconstruisez le WorkSpace.

  9. Lorsque vous utilisez le AWS Management Console pour supprimer une WorkSpace (ou que vous utilisez l'TerminateWorkspacesaction contenue dans WorkSpaces API), WorkSpaces et qu'Amazon EBS retire les autorisations qui lui permettaient d'utiliser votre KMS clé à cette fin WorkSpace.

WorkSpaces contexte de chiffrement

WorkSpaces n'utilise pas votre KMS clé directement pour des opérations cryptographiques (telles que Encrypt,, DecryptGenerateDataKey, etc.), ce qui signifie AWS KMS qu' WorkSpaces il n'envoie pas de demandes incluant un contexte de chiffrement. Toutefois, lorsqu'Amazon EBS demande une clé de données chiffrée pour les volumes chiffrés de votre WorkSpaces (Étape 3dans leVue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS) et lorsqu'il demande une copie en texte brut de cette clé de données (Étape 5), le contexte de chiffrement est inclus dans la demande.

Le contexte de chiffrement fournit des données authentifiées supplémentaires (AAD) qui sont AWS KMS utilisées pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans vos fichiers AWS CloudTrail journaux, ce qui peut vous aider à comprendre pourquoi une KMS clé donnée a été utilisée. Amazon EBS utilise les éléments suivants pour le contexte de chiffrement :

  • L'identifiant de sécurité (SID) de l'utilisateur Active Directory associé au WorkSpace

  • L'ID de AWS Directory Service répertoire du répertoire associé au WorkSpace

  • L'ID de EBS volume Amazon du volume chiffré

L'exemple suivant montre une JSON représentation du contexte de chiffrement EBS utilisé par Amazon :

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

WorkSpaces Autoriser l'utilisation d'une KMS clé en votre nom

Vous pouvez protéger vos WorkSpace données à l'aide de la KMS clé AWS gérée pour WorkSpaces (aws/espaces de travail) ou d'une clé gérée par le client. KMS Si vous utilisez une KMS clé gérée par le client, vous devez WorkSpaces autoriser l'utilisation de la KMS clé au nom des WorkSpaces administrateurs de votre compte. La KMS clé AWS gérée pour WorkSpaces dispose des autorisations requises par défaut.

Pour préparer votre KMS clé gérée par le client à utiliser WorkSpaces, suivez la procédure suivante.

  1. Ajoutez vos WorkSpaces administrateurs à la liste des utilisateurs clés dans la politique KMS clé de The Key

  2. Donnez à vos WorkSpaces administrateurs des autorisations supplémentaires grâce à une IAM politique

Vos WorkSpaces administrateurs ont également besoin d'une autorisation pour l'utiliser WorkSpaces. Pour plus d'informations sur ces autorisations, consultez Gestion des identités et des accès pour WorkSpaces.

Partie 1 : Ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés

Pour accorder WorkSpaces aux administrateurs les autorisations dont ils ont besoin, vous pouvez utiliser le AWS Management Console ou le AWS KMS API.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés d'une KMS clé (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez l'ID de clé ou l'alias de votre KMS clé préférée gérée par le client.

  5. Choisissez l'onglet Stratégie de clé. Sous Utilisateurs de clé, choisissez Ajouter.

  6. Dans la liste des IAM utilisateurs et des rôles, sélectionnez les utilisateurs et les rôles correspondant à vos WorkSpaces administrateurs, puis choisissez Ajouter.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés d'une KMS clé (API)

  1. Utilisez cette GetKeyPolicyopération pour obtenir la politique clé existante, puis enregistrez le document de stratégie dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Ajoutez les IAM utilisateurs et les rôles correspondant à vos WorkSpaces administrateurs aux déclarations de politique qui accordent des autorisations aux utilisateurs clés. Ensuite, enregistrez le fichier.

  3. Utilisez l'PutKeyPolicyopération pour appliquer la politique de clé à la KMS clé.

Partie 2 : Accorder WorkSpaces aux administrateurs des autorisations supplémentaires à l'aide d'une IAM politique

Si vous sélectionnez une KMS clé gérée par le client à utiliser pour le chiffrement, vous devez établir des IAM politiques permettant WorkSpaces à Amazon d'utiliser la KMS clé au nom d'un IAM utilisateur de votre compte qui lance le chiffrement WorkSpaces. Cet utilisateur doit également être autorisé à utiliser Amazon WorkSpaces. Pour plus d'informations sur la création et la modification des politiques IAM utilisateur, voir Gestion des IAM politiques dans le Guide de IAM l'utilisateur etGestion des identités et des accès pour WorkSpaces.

WorkSpaces le chiffrement nécessite un accès limité à la KMS clé. Voici un modèle de stratégie de clé que vous pouvez utiliser. Cette stratégie sépare les mandataires qui peuvent gérer la clé AWS KMS de ceux qui peuvent l'utiliser. Avant d'utiliser cet exemple de stratégie de clé, remplacez l'exemple d'ID de compte et le nom d'utilisateur IAM par des valeurs réelles de votre compte.

La première instruction correspond à la politique AWS KMS clé par défaut. Cela donne à votre compte l'autorisation d'utiliser IAM des politiques pour contrôler l'accès à la KMS clé. Les deuxième et troisième instructions définissent les AWS principaux autorisés à gérer et à utiliser la clé, respectivement. La quatrième instruction permet aux AWS services intégrés AWS KMS d'utiliser la clé pour le compte du principal spécifié. Cette instruction permet aux services AWS de créer et gérer les octrois. La déclaration utilise un élément de condition qui limite les autorisations relatives à la KMS clé à celles accordées par les AWS services au nom des utilisateurs de votre compte.

Note

Si vos WorkSpaces administrateurs utilisent le AWS Management Console pour créer WorkSpaces avec des volumes chiffrés, ils doivent être autorisés à répertorier les alias et les clés de liste (les "kms:ListKeys" autorisations "kms:ListAliases" et). Si vos WorkSpaces administrateurs utilisent uniquement Amazon WorkSpaces API (et non la console), vous pouvez omettre les "kms:ListKeys" autorisations "kms:ListAliases" et.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

La IAM politique d'un utilisateur ou d'un rôle qui chiffre une clé WorkSpace doit inclure les autorisations d'utilisation sur la KMS clé gérée par le client, ainsi que l'accès à WorkSpaces. Pour accorder des WorkSpaces autorisations à un IAM utilisateur ou à un rôle, vous pouvez associer l'exemple de politique suivant à l'IAMutilisateur ou au rôle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

La stratégie IAM suivante est requise par l'utilisateur pour l'utilisation de AWS KMS. Il donne à l'utilisateur un accès en lecture seule à la KMS clé ainsi que la possibilité de créer des subventions.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Si vous souhaitez spécifier la KMS clé dans votre politique, utilisez une IAM stratégie similaire à la suivante. Remplacez l'exemple de KMS clé ARN par une clé valide.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Chiffrer un WorkSpace

Pour chiffrer un WorkSpace

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Choisissez Lancer WorkSpaces et effectuez les trois premières étapes.

  3. Pour l'étape WorkSpaces de configuration, procédez comme suit :

    1. Sélectionnez les volumes à chiffrer : Volume racine, Volume utilisateur ou les deux volumes.

    2. Pour la clé de chiffrement, sélectionnez une AWS KMS clé, soit la KMS clé AWS gérée créée par Amazon, WorkSpaces soit une KMS clé que vous avez créée. La KMS clé que vous sélectionnez doit être symétrique. Amazon WorkSpaces ne prend pas en charge les KMS clés asymétriques.

    3. Choisissez Étape suivante.

  4. Choisissez Lancer WorkSpaces.

Afficher crypté WorkSpaces

Pour voir quels volumes WorkSpaces et quels volumes ont été chiffrés depuis la WorkSpaces console, choisissez dans la barre WorkSpacesde navigation de gauche. La colonne Volume Encryption indique si le chiffrement WorkSpace est activé ou désactivé pour chacun d'entre eux. Pour voir quels volumes spécifiques ont été chiffrés, développez l' WorkSpace entrée pour voir le champ Volumes chiffrés.