Sécurité de l'infrastructure sur Amazon WorkSpaces - Amazon WorkSpaces
Isolement de réseauIsolation sur les hôtes physiquesAutorisation des utilisateurs professionnelsEffectuer des WorkSpaces API demandes Amazon via un point de terminaison VPC d'interfaceCréation d'une politique de VPC point de terminaison pour Amazon WorkSpacesConnectez votre réseau privé à votre VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure sur Amazon WorkSpaces

En tant que service géré, Amazon WorkSpaces est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez API les appels AWS publiés pour accéder WorkSpaces via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le AWS cloud. Vous pouvez le déployer WorkSpaces dans un sous-réseau privé de votreVPC. Pour de plus amples informations, veuillez consulter Configuration d'un VPC pour le personnel WorkSpaces .

Pour autoriser uniquement le trafic provenant de plages d'adresses spécifiques (par exemple, depuis le réseau de votre entreprise), mettez à jour le groupe de sécurité correspondant à votre VPC nom ou utilisez un groupe de contrôle d'accès IP.

Vous pouvez restreindre WorkSpace l'accès aux appareils fiables dotés de certificats valides. Pour de plus amples informations, veuillez consulter Restreindre l'accès aux appareils fiables pour les WorkSpaces particuliers.

Isolation sur les hôtes physiques

Les différents hôtes WorkSpaces d'un même hôte physique sont isolés les uns des autres par l'intermédiaire de l'hyperviseur. C'est comme si elles se trouvaient sur des hôtes physiques distincts. Lorsque a WorkSpace est supprimé, la mémoire qui lui est allouée est nettoyée (mise à zéro) par l'hyperviseur avant d'être allouée à un nouveau. WorkSpace

Autorisation des utilisateurs professionnels

Avec WorkSpaces, les annuaires sont gérés par le biais du AWS Directory Service. Vous pouvez créer un annuaire autonome géré pour les utilisateurs. Vous pouvez également intégrer directement votre environnement Active Directory de manière à ce que vos utilisateurs puissent utiliser leurs informations d'identification existantes pour accéder en toute transparence aux ressources de l'entreprise. Pour de plus amples informations, veuillez consulter Gérer les annuaires pour WorkSpaces Personal.

Pour mieux contrôler l'accès à votre compte WorkSpaces, utilisez l'authentification multifactorielle. Pour plus d'informations, consultez Comment activer l'authentification multifactorielle pour les AWS services.

Effectuer des WorkSpaces API demandes Amazon via un point de terminaison VPC d'interface

Vous pouvez vous connecter directement aux WorkSpaces API points de terminaison Amazon via un point de terminaison d'interface dans votre cloud privé virtuel (VPC) au lieu de vous connecter via Internet. Lorsque vous utilisez un point de terminaison d'VPCinterface, la communication entre votre point de terminaison VPC et le point de WorkSpaces API terminaison Amazon est entièrement et en toute sécurité au sein du AWS réseau.

Note

Cette fonctionnalité ne peut être utilisée que pour la connexion à des WorkSpaces API points de terminaison. Pour se connecter à WorkSpaces l'utilisation WorkSpaces des clients, une connexion Internet est requise, comme décrit dansExigences relatives à l'adresse IP et au port pour WorkSpaces Personal.

Les WorkSpaces API points de terminaison Amazon prennent en charge les points de terminaison d'interface Amazon Virtual Private Cloud (AmazonVPC) alimentés par. AWS PrivateLink Chaque VPC point de terminaison est représenté par une ou plusieurs interfaces réseau (également appelées interfaces réseau élastiques, ouENIs) avec des adresses IP privées dans vos VPC sous-réseaux.

Le point de terminaison de l'VPCinterface vous connecte VPC directement au point de WorkSpaces API terminaison Amazon sans passerelle Internet, NAT appareil, VPN connexion ou AWS Direct Connect connexion. Les instances de votre navigateur VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec le point de WorkSpaces API terminaison Amazon.

Vous pouvez créer un point de terminaison d'interface pour vous connecter WorkSpaces à Amazon à l'aide des commandes AWS Management Console or AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez Création d'un point de terminaison d'interface.

Après avoir créé un VPC point de terminaison, vous pouvez utiliser les exemples de CLI commandes suivants qui utilisent le endpoint-url paramètre pour spécifier les points de terminaison d'interface pour le point de WorkSpaces API terminaison Amazon :

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

Si vous activez les DNS noms d'hôte privés pour votre VPC point de terminaison, vous n'avez pas besoin de spécifier le point de terminaisonURL. Le WorkSpaces API DNS nom d'hôte Amazon qu'Amazon CLI et Amazon WorkSpaces SDK utilisent par défaut (https://api.workspaces.Region.amazonaws.com) se résout sur votre point de terminaison. VPC

Le point de WorkSpaces API terminaison Amazon prend en charge les VPC points de terminaison dans toutes les AWS régions où Amazon VPC et Amazon WorkSpaces sont disponibles. Amazon WorkSpaces permet de passer des appels à l'ensemble de son public au APIs sein de votreVPC.

Pour en savoir plus AWS PrivateLink, consultez la AWS PrivateLink documentation. Pour le prix des VPC terminaux, consultez la section VPCTarification. Pour en savoir plus sur VPC les terminaux, consultez Amazon VPC.

Pour consulter la liste des points de WorkSpaces API terminaison Amazon par région, consultez la section Points de WorkSpaces APIterminaison.

Note

Les WorkSpaces API points de terminaison Amazon avec ne AWS PrivateLink sont pas pris en charge par les points de WorkSpaces API terminaison Amazon Federal Information Processing Standard (FIPS).

Vous pouvez créer une politique pour les VPC points de terminaison Amazon WorkSpaces afin de spécifier les éléments suivants :

  • Le principal qui peut exécuter des actions.

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations, consultez la section Contrôle de l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur Amazon.

Note

VPCles politiques relatives aux terminaux ne sont pas prises en charge pour les WorkSpaces points de terminaison Amazon Federal Information Processing Standard (FIPS).

L'exemple de politique de point de VPC terminaison suivant indique que tous les utilisateurs ayant accès au point de terminaison d'VPCinterface sont autorisés à appeler le point de terminaison WorkSpaces hébergé par Amazon nomméws-f9abcdefg.

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

Dans cet exemple, les actions suivantes sont refusées :

  • Invoquer des points de terminaison WorkSpaces hébergés par Amazon autres que. ws-f9abcdefg

  • Exécution d'une action sur une ressource autre que celle spécifiée (WorkSpace ID :ws-f9abcdefg).

Note

Dans cet exemple, les utilisateurs peuvent toujours effectuer d'autres WorkSpaces API actions Amazon en dehors deVPC. Pour limiter les API appels aux personnes provenant de l'intérieur duVPC, consultez les informations relatives à l'utilisation de politiques basées sur l'identité Gestion des identités et des accès pour WorkSpaces pour contrôler l'accès aux points de terminaison Amazon WorkSpaces API.

Pour appeler Amazon WorkSpaces API via votreVPC, vous devez vous connecter à partir d'une instance située à l'intérieur duVPC, ou connecter votre réseau privé à votre réseau privé en VPC utilisant AWS Virtual Private Network (AWS VPN) ou AWS Direct Connect. Pour plus d'informations, consultez VPNConnections dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour plus d'informations AWS Direct Connect, voir Création d'une connexion dans le guide de AWS Direct Connect l'utilisateur.