Chiffré WorkSpaces dans WorkSpaces Personal - Amazon WorkSpaces
PrérequisLimitesVue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMSWorkSpaces contexte de chiffrement WorkSpaces Autoriser l'utilisation d'une clé KMS en votre nomChiffrer un WorkSpaceAfficher crypté WorkSpaces

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffré WorkSpaces dans WorkSpaces Personal

WorkSpaces est intégré au AWS Key Management Service (AWS KMS). Cela vous permet de chiffrer les volumes de stockage à l' WorkSpaces aide de AWS KMS Key. Lorsque vous lancez un WorkSpace, vous pouvez chiffrer le volume racine (pour Microsoft Windows, le lecteur C ; pour Linux,/) et le volume utilisateur (pour Windows, le lecteur D ; pour Linux, /home). Vous garantissez ainsi que les données stockées au repos, les E/S de disque vers le volume et les instantanés créés à partir des volumes sont tous chiffrés.

Note

Outre le chiffrement de vos terminaux WorkSpaces, vous pouvez également utiliser le chiffrement FIPS des terminaux dans certaines régions des AWS États-Unis. Pour plus d’informations, consultez Configurer l'autorisation FedRAMP ou la conformité au DoD SRG pour Personal WorkSpaces .

Prérequis

Vous avez besoin d'une AWS KMS clé avant de pouvoir commencer le processus de chiffrement. Cette clé KMS peut être la clé KMS AWS gérée pour Amazon WorkSpaces (aws/workspaces) ou une clé KMS symétrique gérée par le client.

  • AWS clés KMS gérées — La première fois que vous lancez une clé KMS non chiffrée WorkSpace depuis la WorkSpaces console dans une région, Amazon crée WorkSpaces automatiquement une clé KMS AWS gérée (aws/workspaces) sur votre compte. Vous pouvez sélectionner cette clé KMS AWS gérée pour chiffrer les volumes utilisateur et racine de votre WorkSpace. Pour plus de détails, consultez Vue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS.

    Vous pouvez consulter cette clé KMS AWS gérée, y compris ses politiques et ses autorisations, et suivre son utilisation dans les AWS CloudTrail journaux, mais vous ne pouvez pas utiliser ni gérer cette clé KMS. Amazon WorkSpaces crée et gère cette clé KMS. Seul Amazon WorkSpaces peut utiliser cette clé KMS et ne WorkSpaces peut l'utiliser que pour chiffrer les WorkSpaces ressources de votre compte.

    AWS les clés KMS gérées, y compris celle prise WorkSpaces en charge par Amazon, sont renouvelées tous les trois ans. Pour plus de détails, voir AWS KMS Rotating Key dans le guide du AWS Key Management Service développeur.

  • Clé KMS gérée par le client — Vous pouvez également sélectionner une clé KMS symétrique gérée par le client que vous avez créée à l'aide AWS KMS de cette clé. Vous pouvez afficher, utiliser et gérer cette clé KMS, y compris définir ses stratégies. Pour plus d'informations sur la création d'une clé KMS, consultez Création de clés dans le Guide du développeur AWS Key Management Service . Pour plus d'informations sur la création de clés KMS à l'aide de l' AWS KMS API, consultez la section Utilisation des clés dans le guide du AWS Key Management Service développeur.

    Les clés KMS gérées par le client ne font l'objet d'aucune rotation automatique, sauf si vous décidez d'activer la rotation automatique des clés. Pour plus de détails, voir AWS KMS Rotating Keys dans le guide du AWS Key Management Service développeur.

Important

Lorsque vous faites pivoter manuellement les clés KMS, vous devez conserver la clé KMS d'origine et la nouvelle clé KMS activées afin de AWS KMS pouvoir déchiffrer celles chiffrées par la clé KMS d'origine. WorkSpaces Si vous ne souhaitez pas que la clé KMS d'origine reste activée, vous devez la recréer WorkSpaces et la chiffrer à l'aide de la nouvelle clé KMS.

Vous devez remplir les conditions suivantes pour utiliser une AWS KMS clé afin de chiffrer votre WorkSpaces :

Limites

  • Vous ne pouvez pas chiffrer un fichier existant WorkSpace. Vous devez chiffrer un WorkSpace lorsque vous le lancez.

  • La création d'une image personnalisée à partir d'une image chiffrée n' WorkSpace est pas prise en charge.

  • La désactivation du chiffrement pour un chiffrement n' WorkSpace est actuellement pas prise en charge.

  • WorkSpaces lancé avec le chiffrement du volume racine activé, le provisionnement peut prendre jusqu'à une heure.

  • Pour redémarrer ou reconstruire une clé chiffrée WorkSpace, assurez-vous d'abord que la AWS KMS clé est activée ; sinon, WorkSpace elle devient inutilisable. Pour déterminer si une clé KMS est activée, consultez Affichage de clés KMS dans la console dans le Guide du développeur AWS Key Management Service .

Vue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS

Lorsque vous créez WorkSpaces avec des volumes chiffrés, WorkSpaces utilisez Amazon Elastic Block Store (Amazon EBS) pour créer et gérer ces volumes. Amazon EBS chiffre les volumes avec une clé de données utilisant l'algorithme AES-256 standard. Amazon EBS et Amazon WorkSpaces utilisent tous deux votre clé KMS pour travailler avec les volumes chiffrés. Pour plus d'informations sur le chiffrement des volumes EBS, consultez Amazon EBS Encryption dans le guide de l'utilisateur Amazon EC2.

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le end-to-end processus fonctionne comme suit :

  1. Vous spécifiez la clé KMS à utiliser pour le chiffrement ainsi que l'utilisateur et le répertoire du WorkSpace. Cette action crée une autorisation qui permet d'utiliser votre clé KMS uniquement WorkSpaces à cette fin, c' WorkSpaceest-à-dire uniquement pour l'utilisateur et le répertoire WorkSpace associés à l'utilisateur et au répertoire spécifiés.

  2. WorkSpaces crée un volume EBS chiffré pour le WorkSpace et spécifie la clé KMS à utiliser ainsi que l'utilisateur et le répertoire du volume. Cette action crée une autorisation qui permet à Amazon EBS d'utiliser votre clé KMS uniquement pour ce volume, c'est-à-dire uniquement pour l'utilisateur WorkSpace et le répertoire WorkSpace associés à l'utilisateur et au répertoire spécifiés, et uniquement pour le volume spécifié.

  3. Amazon EBS demande une clé de données de volume chiffrée sous votre clé KMS et spécifie l'identifiant de sécurité Active Directory (SID) et l'ID de AWS Directory Service répertoire de l' WorkSpace utilisateur ainsi que l'ID de volume Amazon EBS comme contexte de chiffrement.

  4. AWS KMS crée une nouvelle clé de données, la chiffre sous votre clé KMS, puis envoie la clé de données chiffrée à Amazon EBS.

  5. WorkSpaces utilise Amazon EBS pour associer le volume chiffré à votre WorkSpace. Amazon EBS envoie la clé de données cryptée AWS KMS avec une Decryptdemande et spécifie le SID de WorkSpace l'utilisateur, l'ID du répertoire et l'ID du volume, qui sont utilisés comme contexte de chiffrement.

  6. AWS KMS utilise votre clé KMS pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à Amazon EBS.

  7. Amazon EBS se sert de la clé de données en texte brut pour chiffrer toutes les données en direction et en provenance du volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire tant que le volume est attaché au WorkSpace.

  8. Amazon EBS stocke la clé de données cryptée (reçue àÉtape 4) avec les métadonnées du volume pour une utilisation future au cas où vous redémarreriez ou reconstruisez le WorkSpace.

  9. Lorsque vous utilisez le AWS Management Console pour supprimer une WorkSpace (ou que vous utilisez l'TerminateWorkspacesaction dans l' WorkSpaces API) WorkSpaces et qu'Amazon EBS retire les autorisations qui lui permettaient d'utiliser votre clé KMS à cette WorkSpace fin.

WorkSpaces contexte de chiffrement

WorkSpaces n'utilise pas votre clé KMS directement pour des opérations cryptographiques (telles que Encrypt, Decrypt, GenerateDataKey, etc.), ce qui signifie AWS KMS qu' WorkSpaces il n'envoie pas de demandes incluant un contexte de chiffrement. Toutefois, lorsqu'Amazon EBS demande une clé de données chiffrée pour les volumes chiffrés de votre WorkSpaces (Étape 3dans leVue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS) et lorsqu'il demande une copie en texte brut de cette clé de données (Étape 5), il inclut le contexte de chiffrement dans la demande.

Le contexte de chiffrement fournit des données authentifiées supplémentaires (AAD) qui sont AWS KMS utilisées pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans vos fichiers AWS CloudTrail journaux, ce qui peut vous aider à comprendre pourquoi une clé KMS donnée a été utilisée. Amazon EBS utilise les éléments suivants comme contexte de chiffrement :

  • L'identifiant de sécurité (SID) de l'utilisateur Active Directory associé au WorkSpace

  • L'ID de AWS Directory Service répertoire du répertoire associé au WorkSpace

  • L'ID de volume Amazon EBS du volume chiffré

L'exemple suivant montre une représentation JSON du contexte de chiffrement qu'Amazon EBS utilise :

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

WorkSpaces Autoriser l'utilisation d'une clé KMS en votre nom

Vous pouvez protéger vos WorkSpace données à l'aide de la clé KMS AWS gérée pour WorkSpaces (aws/espaces de travail) ou d'une clé KMS gérée par le client. Si vous utilisez une clé KMS gérée par le client, vous devez WorkSpaces autoriser l'utilisation de la clé KMS au nom des WorkSpaces administrateurs de votre compte. La clé KMS AWS gérée pour WorkSpaces dispose des autorisations requises par défaut.

Pour préparer votre clé KMS gérée par le client à utiliser avec WorkSpaces, suivez la procédure suivante.

  1. Ajoutez vos WorkSpaces administrateurs à la liste des utilisateurs clés dans la politique clé de KMS

  2. Donnez à vos WorkSpaces administrateurs des autorisations supplémentaires grâce à une politique IAM

Vos WorkSpaces administrateurs ont également besoin d'une autorisation pour l'utiliser WorkSpaces. Pour plus d'informations sur ces autorisations, consultez Gestion des identités et des accès pour WorkSpaces.

Partie 1 : Ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés

Pour donner WorkSpaces aux administrateurs les autorisations dont ils ont besoin, vous pouvez utiliser l'API AWS Management Console ou l' AWS KMS API.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés pour une clé KMS (console)

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

  4. Choisissez l'ID de clé ou l'alias de votre clé gérée par le client préférée.

  5. Choisissez l'onglet Stratégie de clé. Sous Utilisateurs de clé, choisissez Ajouter.

  6. Dans la liste des utilisateurs et des rôles IAM, sélectionnez les utilisateurs et les rôles correspondant à vos WorkSpaces administrateurs, puis choisissez Ajouter.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés pour une clé KMS (API)

  1. Utilisez cette GetKeyPolicyopération pour obtenir la politique clé existante, puis enregistrez le document de stratégie dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Ajoutez les utilisateurs et les rôles IAM correspondant à vos WorkSpaces administrateurs aux déclarations de politique qui accordent des autorisations aux utilisateurs clés. Ensuite, enregistrez le fichier.

  3. Utilisez l'PutKeyPolicyopération pour appliquer la politique de clé à la clé KMS.

Partie 2 : Accorder WorkSpaces aux administrateurs des autorisations supplémentaires à l'aide d'une politique IAM

Si vous sélectionnez une clé KMS gérée par le client à utiliser pour le chiffrement, vous devez établir des politiques IAM qui autorisent Amazon WorkSpaces à utiliser la clé KMS au nom d'un utilisateur IAM de votre compte qui lance le chiffrement. WorkSpaces Cet utilisateur doit également être autorisé à utiliser Amazon WorkSpaces. Pour plus d'informations sur la création et la modification de politiques utilisateur IAM, consultez Gestion des politiques IAM dans le Guide de l'utilisateur IAM, et Gestion des identités et des accès pour WorkSpaces.

WorkSpaces le chiffrement nécessite un accès limité à la clé KMS. Voici un modèle de stratégie de clé que vous pouvez utiliser. Cette stratégie sépare les mandataires qui peuvent gérer la clé AWS KMS de ceux qui peuvent l'utiliser. Avant d'utiliser cet exemple de stratégie de clé, remplacez l'exemple d'ID de compte et le nom d'utilisateur IAM par des valeurs réelles de votre compte.

La première instruction correspond à la politique AWS KMS clé par défaut. Elle donne à votre compte l'autorisation d'utiliser des politique IAM pour contrôler l'accès à la clé KMS. Les deuxième et troisième instructions définissent les AWS principaux autorisés à gérer et à utiliser la clé, respectivement. La quatrième instruction permet aux AWS services intégrés AWS KMS d'utiliser la clé pour le compte du principal spécifié. Cette instruction permet aux services AWS de créer et gérer les octrois. La déclaration utilise un élément de condition qui limite les autorisations relatives à la clé KMS à celles accordées par les AWS services au nom des utilisateurs de votre compte.

Note

Si vos WorkSpaces administrateurs utilisent le AWS Management Console pour créer WorkSpaces avec des volumes chiffrés, ils doivent être autorisés à répertorier les alias et les clés de liste (les "kms:ListKeys" autorisations "kms:ListAliases" et). Si vos WorkSpaces administrateurs utilisent uniquement l' WorkSpaces API Amazon (et non la console), vous pouvez omettre les "kms:ListKeys" autorisations "kms:ListAliases" et.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

La politique IAM pour un utilisateur ou un rôle qui chiffre un WorkSpace doit inclure les autorisations d'utilisation sur la clé KMS gérée par le client, ainsi que l'accès à. WorkSpaces Pour accorder des WorkSpaces autorisations à un utilisateur ou à un rôle IAM, vous pouvez associer l'exemple de politique suivant à l'utilisateur ou au rôle IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

La politique IAM suivante est requise par l'utilisateur pour l'utilisation de AWS KMS. Elle donne à l'utilisateur un accès en lecture seule à la clé KMS ainsi que la possibilité de créer des octrois.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Si vous souhaitez spécifier la clé KMS dans votre politique, utilisez une politique IAM similaire à celle qui suit. Remplacez l'exemple d'ARN de clé KMS par un ARN valide.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Chiffrer un WorkSpace

Pour chiffrer un WorkSpace

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Choisissez Lancer WorkSpaces et effectuez les trois premières étapes.

  3. Pour l'étape WorkSpaces de configuration, procédez comme suit :

    1. Sélectionnez les volumes à chiffrer : Volume racine, Volume utilisateur ou les deux volumes.

    2. Pour la clé de chiffrement, sélectionnez une AWS KMS clé, soit la clé KMS AWS gérée créée par Amazon, WorkSpaces soit une clé KMS que vous avez créée. La clé que vous utilisez doit être symétrique. Amazon WorkSpaces ne prend pas en charge les clés KMS asymétriques.

    3. Choisissez Étape suivante.

  4. Choisissez Launch WorkSpaces.

Afficher crypté WorkSpaces

Pour voir quels volumes WorkSpaces et quels volumes ont été chiffrés depuis la WorkSpaces console, choisissez dans la barre WorkSpacesde navigation de gauche. La colonne Volume Encryption indique si le chiffrement WorkSpace est activé ou désactivé pour chacun d'entre eux. Pour voir quels volumes spécifiques ont été chiffrés, développez l' WorkSpace entrée pour voir le champ Volumes chiffrés.