Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan infrastruktur di Amazon WorkSpaces
Sebagai layanan terkelola, Amazon WorkSpaces dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat Keamanan AWS Cloud
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses WorkSpaces melalui jaringan. Klien harus mendukung hal-hal berikut:
-
Keamanan Lapisan Transportasi (TLS). Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Cipher suite dengan perfect forward secrecy (PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan sistem yang lebih baru mendukung mode ini.
Selain itu, permintaan harus ditandatangani menggunakan access key ID dan secret access key yang terkait dengan principal IAM. Atau, Anda bisa menggunakan AWS Security Token Service (AWS STS) untuk membuat kredensial keamanan sementara untuk menandatangani permintaan.
Isolasi jaringan
Cloud Privat Virtual (VPC) adalah jaringan virtual dalam area Anda yang diisolasi secara logis dalam AWS Cloud. Anda dapat menerapkan subnet pribadi WorkSpaces di VPC Anda. Untuk informasi selengkapnya, lihat Konfigurasikan VPC untuk WorkSpaces.
Untuk mengizinkan lalu lintas hanya dari rentang alamat tertentu (misalnya, dari jaringan perusahaan Anda), perbarui grup keamanan untuk VPC Anda atau gunakan Grup kontrol akses IP.
Anda dapat membatasi WorkSpace akses ke perangkat tepercaya dengan sertifikat yang valid. Untuk informasi selengkapnya, lihat Batasi WorkSpaces akses ke perangkat tepercaya.
Isolasi pada host fisik
Berbeda WorkSpaces pada inang fisik yang sama diisolasi satu sama lain melalui hypervisor. Seolah-olah WorkSpaces berada di host fisik yang terpisah. Ketika a WorkSpace dihapus, memori yang dialokasikan untuk itu digosok (diatur ke nol) oleh hypervisor sebelum dialokasikan ke yang baru. WorkSpace
Otorisasi pengguna perusahaan
Dengan WorkSpaces, direktori dikelola melalui. AWS Directory Service Anda dapat membuat direktori, yang dikelola secara mandiri untuk pengguna. Atau Anda dapat berintegrasi dengan lingkungan Direktori Aktif yang tersedia sehingga pengguna Anda dapat menggunakan kredensialnya saat ini untuk mendapatkan akses tanpa batas ke sumber daya perusahaan. Untuk informasi selengkapnya, lihat Kelola direktori untuk WorkSpaces.
Untuk lebih mengontrol akses ke Anda WorkSpaces, gunakan otentikasi multi-faktor. Untuk informasi selengkapnya, lihat Cara Mengaktifkan Autentikasi Multi-Faktor untuk Layanan AWS
Membuat permintaan Amazon WorkSpaces API melalui titik akhir antarmuka VPC
Anda dapat terhubung langsung ke titik akhir Amazon WorkSpaces API melalui titik akhir antarmuka di cloud pribadi virtual (VPC) Anda alih-alih terhubung melalui internet. Saat Anda menggunakan titik akhir antarmuka VPC, komunikasi antara VPC dan titik akhir Amazon WorkSpaces API dilakukan sepenuhnya dan aman di dalam jaringan. AWS
catatan
Fitur ini hanya dapat digunakan untuk menghubungkan ke titik akhir WorkSpaces API. Untuk terhubung WorkSpaces menggunakan WorkSpaces klien, konektivitas internet diperlukan, seperti yang dijelaskan dalamAlamat IP dan persyaratan port untuk WorkSpaces.
Titik akhir Amazon WorkSpaces API mendukung titik akhir antarmuka Amazon Virtual Private Cloud (Amazon VPC) yang didukung oleh. AWS PrivateLink
Titik akhir antarmuka VPC menghubungkan VPC Anda langsung ke titik akhir Amazon WorkSpaces API tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan titik akhir WorkSpaces Amazon API.
Anda dapat membuat titik akhir antarmuka untuk terhubung ke Amazon WorkSpaces dengan perintah AWS Management Console or AWS Command Line Interface (AWS CLI). Untuk instruksi, lihat Membuat Titik Akhir Antarmuka.
Setelah Anda membuat titik akhir VPC, Anda dapat menggunakan contoh perintah CLI berikut yang menggunakan endpoint-url
parameter untuk menentukan titik akhir antarmuka ke titik akhir Amazon API: WorkSpaces
aws workspaces copy-workspace-image --endpoint-url
VPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api
.workspaces.Region
.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
Jika Anda mengaktifkan nama host DNS privat untuk VPC endpoint, Anda tidak perlu menentukan titik akhir URL. Nama host DNS Amazon WorkSpaces API yang digunakan CLI dan Amazon WorkSpaces SDK secara default (https://api.workspaces. Region
.amazonaws.com) menyelesaikan ke titik akhir VPC Anda.
Titik akhir Amazon WorkSpaces API mendukung titik akhir VPC di AWS semua Wilayah di mana Amazon VPC dan Amazon tersedia. WorkSpaces
Untuk mempelajari selengkapnya tentang AWS PrivateLink, lihat AWS PrivateLink dokumentasi. Untuk harga VPC endpoints, lihat Harga VPC
Untuk melihat daftar titik akhir Amazon WorkSpaces API menurut Wilayah, lihat Titik Akhir WorkSpaces API.
catatan
Titik akhir Amazon WorkSpaces API dengan tidak AWS PrivateLink didukung untuk titik akhir Amazon WorkSpaces API Federal Information Processing Standard (FIPS).
Membuat kebijakan titik akhir VPC untuk Amazon WorkSpaces
Anda dapat membuat kebijakan untuk titik akhir Amazon VPC untuk Amazon WorkSpaces untuk menentukan hal berikut:
-
Principal yang dapat melakukan tindakan.
-
Tindakan yang dapat dilakukan.
-
Sumber daya yang dapat digunakan untuk mengambil tindakan.
Untuk informasi selengkapnya, lihat Mengontrol Akses ke Layanan dengan VPC Endpoint dalam Panduan Pengguna Amazon VPC.
catatan
Kebijakan titik akhir VPC tidak didukung untuk titik akhir Amazon Federal Information Processing Standard (FIPS). WorkSpaces
Contoh kebijakan titik akhir VPC berikut menetapkan bahwa semua pengguna yang memiliki akses ke titik akhir antarmuka VPC diizinkan untuk memanggil titik akhir yang dihosting Amazon bernama. WorkSpaces ws-f9abcdefg
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
Dalam contoh ini, tindakan berikut ditolak:
-
Memanggil titik akhir yang WorkSpaces dihosting Amazon selain.
ws-f9abcdefg
-
Melakukan tindakan pada sumber daya apa pun selain yang ditentukan (WorkSpace ID:
ws-f9abcdefg
).
catatan
Dalam contoh ini, pengguna masih dapat mengambil tindakan Amazon WorkSpaces API lainnya dari luar VPC. Untuk membatasi panggilan API ke panggilan dari dalam VPC, Identitas dan manajemen akses untuk WorkSpaces lihat informasi tentang penggunaan kebijakan berbasis identitas untuk mengontrol akses ke titik akhir Amazon API. WorkSpaces
Hubungkan jaringan pribadi Anda ke VPC
Untuk memanggil Amazon WorkSpaces API melalui VPC Anda, Anda harus terhubung dari instance yang ada di dalam VPC, atau menghubungkan jaringan pribadi Anda ke VPC Anda dengan menggunakan () atau. AWS Virtual Private Network AWS VPN AWS Direct Connect Untuk informasi selengkapnya, lihat Koneksi VPN di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang AWS Direct Connect, lihat Membuat hubungan di Panduan Pengguna AWS Direct Connect.