前提条件制限を使用した WorkSpaces 暗号化の概要 AWS KMS WorkSpaces 暗号化コンテキストユーザーに代わってKMSキーを使用する WorkSpaces アクセス許可を付与するの暗号化 WorkSpace 暗号化されたを表示する WorkSpaces

WorkSpaces Personal WorkSpaces で暗号化

WorkSpaces はと統合されています。 AWS Key Management Service (AWS KMS）。これにより、 WorkSpaces を使用してのストレージボリュームを暗号化できます。 AWS KMS キー。を起動すると WorkSpace、ルートボリューム (Microsoft Windows の場合は C ドライブ、Linux の場合は /) とユーザーボリューム (Windows の場合は D ドライブ、Linux の場合は /home) を暗号化できます。これにより、保管時のデータ、ボリュームへのディスク I/O、ボリュームから作成されたスナップショットを暗号化することができます。

注記

の暗号化に加えて WorkSpaces、特定のでFIPSエンドポイント暗号化を使用することもできます。 AWS 米国リージョン。詳細については、「 WorkSpaces Personal の FedRAMP 認証または DoD SRG コンプライアンスを設定する」を参照してください。
BitLocker 暗号化は Amazon ではサポートされていません WorkSpaces。

内容

前提条件
制限
を使用した WorkSpaces 暗号化の概要 AWS KMS
WorkSpaces 暗号化コンテキスト
ユーザーに代わってKMSキーを使用する WorkSpaces アクセス許可を付与する
の暗号化 WorkSpace
暗号化されたを表示する WorkSpaces

前提条件

が必要です AWS KMS 暗号化プロセスを開始する前にキーを入力します。このKMSキーは、 AWS Amazon のマネージドKMSキー WorkSpaces （aws/workspaces ) または対称カスタマーマネージドKMSキー。

AWS マネージドKMSキー – リージョンで WorkSpaces コンソール WorkSpace から暗号化されていないを初めて起動すると、Amazon WorkSpaces は自動的にを作成します。 AWS アカウントのマネージドKMSキー (aws/workspaces）。これを選択できます。 AWS のユーザーボリュームとルートボリュームを暗号化するためのマネージドKMSキー WorkSpace。詳細については、「を使用した WorkSpaces 暗号化の概要 AWS KMS」を参照してください。

これを表示できます。 AWS ポリシーと許可を含むマネージドKMSキー。ではその使用を追跡できます。 AWS CloudTrail はログに記録しますが、このKMSキーを使用または管理することはできません。Amazon はこのKMSキー WorkSpaces を作成および管理します。Amazon のみがこのKMSキー WorkSpaces を使用 WorkSpaces でき、アカウント内の WorkSpaces リソースの暗号化にのみ使用できます。

AWS Amazon が WorkSpaces サポートするマネージドKMSキーを含むマネージドキーは、3 年ごとにローテーションされます。詳細については、「ローテーション」を参照してください。 AWS KMS のキー AWS Key Management Service デベロッパーガイド 。
カスタマーマネージドKMSキー – または、を使用して作成した対称カスタマーマネージドKMSキーを選択することもできます。 AWS KMS。ポリシーの設定を含め、このKMSキーを表示、使用、管理できます。KMS キーの作成の詳細については、「」の「キーの作成」を参照してください。 AWS Key Management Service デベロッパーガイド 。を使用したKMSキーの作成の詳細については、「」を参照してください。 AWS KMS API、「」の「キーの使用」を参照してください。 AWS Key Management Service デベロッパーガイド 。

自動KMSキーローテーションを有効にしない限り、カスタマーマネージドキーは自動的にローテーションされません。詳細については、「ローテーション」を参照してください。 AWS KMS のキー AWS Key Management Service デベロッパーガイド 。

重要

KMS キーを手動でローテーションするときは、元のKMSキーと新しいKMSキーの両方を有効にしたままにして、 AWS KMS は、元のKMSキーが暗号化 WorkSpaces したを復号できます。元のKMSキーを有効にしたくない場合は、を再作成 WorkSpacesし、新しいKMSキーを使用して暗号化する必要があります。

を使用するには、次の要件を満たしている必要があります。 AWS KMS を暗号化するためのキー WorkSpaces：

KMSキーは対称である必要があります。Amazon WorkSpaces は非対称KMSキーをサポートしていません。対称キーと非対称KMSキーの区別については、「」の「対称キーと非対称KMSキーの識別」を参照してください。 AWS Key Management Service デベロッパーガイド 。
KMSキーを有効にする必要があります。KMS キーが有効になっているかどうかを確認するには、「」のKMS「キーの詳細の表示」を参照してください。 AWS Key Management Service デベロッパーガイド 。
KMSキーに関連付けられた正しいアクセス許可とポリシーが必要です。詳細については、「パート 2: IAMポリシーを使用して WorkSpaces 管理者に追加のアクセス許可を付与する」を参照してください。

制限

既存のを暗号化することはできません WorkSpace。の起動 WorkSpace 時にを暗号化する必要があります。
暗号化されたからのカスタムイメージの作成 WorkSpace はサポートされていません。
暗号化されたの暗号化の無効化 WorkSpace は現在サポートされていません。
WorkSpaces ルートボリューム暗号化を有効にして起動すると、プロビジョニングに最大 1 時間かかる場合があります。
暗号化されたを再起動または再構築するには WorkSpace、まず AWS KMS キーは有効になっています。有効でない場合、 WorkSpace は使用できなくなります。KMS キーが有効になっているかどうかを確認するには、「」のKMS「キーの詳細の表示」を参照してください。 AWS Key Management Service デベロッパーガイド 。

を使用した WorkSpaces 暗号化の概要 AWS KMS

暗号化されたボリューム WorkSpaces でを作成すると、は Amazon Elastic Block Store (Amazon EBS) WorkSpaces を使用してそれらのボリュームを作成および管理します。Amazon EBS は、業界標準の AES-256 アルゴリズムを使用して、データキーでボリュームを暗号化します。Amazon EBSと Amazon はどちらもKMSキーを使用して暗号化されたボリュームを操作し WorkSpaces ます。EBS ボリューム暗号化の詳細については、「Amazon EBS ユーザーガイド」の「Amazon EC2暗号化」を参照してください。

暗号化されたボリューム WorkSpaces でを起動すると、 end-to-end プロセスは次のように動作します。

暗号化に使用するKMSキーと、のユーザーとディレクトリを指定します WorkSpace。このアクションは、がKMSキーをこの目的のみ、 WorkSpaceつまり指定されたユーザーとディレクトリに関連付けられたに対して WorkSpaceのみ使用 WorkSpaces できるようにする許可を作成します。
WorkSpaces はの暗号化されたEBSボリュームを作成し、使用するKMSキーとボリュームのユーザーとディレクトリ WorkSpace を指定します。このアクションは、この WorkSpace とボリュームにのみ、つまり指定されたユーザーとディレクトリ WorkSpace に関連付けられたと指定されたボリュームにのみ、Amazon がKMSキーEBSを使用できるようにする許可を作成します。
Amazon は、キーで暗号化されたボリュームデータKMSキーをEBSリクエストし、 WorkSpace ユーザーの Active Directory セキュリティ識別子 (SID) と AWS Directory Service ディレクトリ ID と暗号化コンテキストとしての Amazon EBSボリューム ID。
AWS KMS は新しいデータキーを作成し、KMSそれをキーで暗号化してから、暗号化されたデータキーを Amazon に送信しますEBS。
WorkSpaces は Amazon EBSを使用して、暗号化されたボリュームをにアタッチします WorkSpace。Amazon は暗号化されたデータキーを EBSに送信します。 AWS KMS Decrypt リクエストとを使用して、 WorkSpace ユーザーの SID、ディレクトリ ID、および暗号化コンテキストとして使用されるボリューム ID を指定します。
AWS KMS はKMSキーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon に送信しますEBS。
Amazon EBSは、プレーンテキストのデータキーを使用して、暗号化されたボリュームとの間で送受信されるすべてのデータを暗号化します。Amazon は、ボリュームがにアタッチされている限り、プレーンテキストのデータキーをメモリにEBS保持します WorkSpace。
Amazon は、を再起動または再構築する場合に備えて、暗号化されたデータキー ( で受信ステップ 4) をボリュームメタデータとともにEBS保存します WorkSpace。
を使用する場合 AWS Management Console を削除 WorkSpace （またはで TerminateWorkspacesアクションを使用 WorkSpaces API) WorkSpaces すると、Amazon EBS はそのにKMSキーの使用を許可した許可を廃止します WorkSpace。

WorkSpaces 暗号化コンテキスト

WorkSpaces は、暗号化オペレーション (Encrypt、、など) にKMSキーを直接使用しません。つまりGenerateDataKey、 Decrypt WorkSpaces はにリクエストを送信しません。 AWS KMS 暗号化コンテキストを含む。ただし、Amazon が WorkSpaces （ステップ 3 のを使用した WorkSpaces 暗号化の概要 AWS KMS) の暗号化されたボリュームに対して暗号化されたデータキーをEBSリクエストし、そのデータキーのプレーンテキストコピー (ステップ 5) をリクエストすると、リクエストに暗号化コンテキストが含まれます。

暗号化コンテキストは、追加の認証済みデータ (AAD) を提供します。 AWS KMS は、データの整合性を確保するためにを使用します。暗号化コンテキストもに書き込まれます。 AWS CloudTrail ログファイル。特定のKMSキーが使用された理由を理解するのに役立ちます。Amazon は、暗号化コンテキストに以下EBSを使用します。

に関連付けられている Active Directory ユーザーのセキュリティ識別子 (SID） WorkSpace
のディレクトリ ID AWS Directory Service に関連付けられているディレクトリ WorkSpace
暗号化されたEBSボリュームの Amazon ボリューム ID

次の例は、Amazon がEBS使用する暗号化コンテキストのJSON表現を示しています。


{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

ユーザーに代わってKMSキーを使用する WorkSpaces アクセス許可を付与する

で WorkSpace データを保護できます。 AWS (aws/workspaces) の WorkSpaces マネージドKMSキーまたはカスタマーマネージドKMSキー。カスタマーマネージドKMSキーを使用する場合は、アカウントの WorkSpaces 管理者に代わってKMSキーを使用する WorkSpaces アクセス許可を付与する必要があります。- AWS の WorkSpaces マネージドKMSキーには、デフォルトで必要なアクセス許可があります。

で使用するためにカスタマーマネージドKMSキーを準備するには WorkSpaces、次の手順を使用します。

キーのキーポリシーのKMSキーユーザーのリストに WorkSpaces 管理者を追加する
IAMポリシーを使用して WorkSpaces 管理者に追加のアクセス許可を付与する

WorkSpaces 管理者には、を使用するためのアクセス許可も必要です WorkSpaces。これらのアクセス許可の詳細については、の Identity and Access Management WorkSpaces にアクセスしてください。

パート 1: WorkSpaces 管理者をキーユーザーとしてに追加する

WorkSpaces 管理者に必要なアクセス許可を付与するには、 AWS Management Console または AWS KMS API.

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (コンソール）

にサインインする AWS Management Console を開き、 AWS Key Management Service (AWS KMS) コンソールは https://console.aws.amazon.com/kms にあります。
を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。
ナビゲーションペインで、[カスタマーマネージドキー] を選択します。
任意のカスタマーマネージドキーのKMSキー ID またはエイリアスを選択します。
[キーポリシー] タブを選択します。[Key users] (キーユーザー) で [Add] (追加) を選択します。
IAM ユーザーとロールのリストで、 WorkSpaces 管理者に対応するユーザーとロールを選択し、 の追加を選択します。

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (API）

GetKeyPolicy オペレーションを使用して既存のキーポリシーを取得し、ポリシードキュメントをファイルに保存します。
任意のテキストエディタでポリシードキュメントを開きます。 WorkSpaces 管理者に対応するIAMユーザーとロールを、キーユーザーにアクセス許可を付与するポリシーステートメントに追加します。その後、ファイルを保存します。
PutKeyPolicy オペレーションを使用して、キーポリシーをKMSキーに適用します。

パート 2: IAMポリシーを使用して WorkSpaces 管理者に追加のアクセス許可を付与する

暗号化に使用するカスタマーマネージドKMSキーを選択する場合は、暗号化されたを起動するアカウントのIAMユーザーに代わって Amazon がKMSキー WorkSpaces を使用できるようにするIAMポリシーを確立する必要があります WorkSpaces。そのユーザーには、Amazon を使用するためのアクセス許可も必要です WorkSpaces。IAM ユーザーポリシーの作成と編集の詳細については、「ユーザーガイド」のIAM「ポリシーの管理」およびIAM「」を参照してくださいの Identity and Access Management WorkSpaces。

WorkSpaces 暗号化には、 KMS キーへの制限付きアクセスが必要です。以下は、使用できるサンプルキーのポリシーです。このポリシーは、を管理できるプリンシパルを分離します。 AWS KMS 使用できるユーザーからのキー。このサンプルキーポリシーを使用する前に、サンプルアカウント ID とIAMユーザー名をアカウントの実際の値に置き換えてください。

最初のステートメントはデフォルトと一致します。 AWS KMS キーポリシー。これにより、IAMポリシーを使用してKMSキーへのアクセスを制御するアクセス許可がアカウントに付与されます。2 番目と 3 番目のステートメントは、 AWS プリンシパルは、それぞれキーを管理および使用できます。4 番目のステートメントは、を有効にします。 AWS と統合されているのサービス AWS KMS は、指定されたプリンシパルに代わってキーを使用します。このステートメントは、を有効にします。 AWS 付与を作成および管理するためのサービス。ステートメントは、KMSキーに対する許可をによって行われた許可に制限する条件要素を使用します。 AWS アカウント内のユーザーに代わってのサービス。

注記

WorkSpaces 管理者がを使用している場合 AWS Management Console を暗号化されたボリューム WorkSpaces で作成するには、エイリアスとリストキー ( "kms:ListAliases"およびのアクセス許可) に対する"kms:ListKeys"アクセス許可が必要です。 WorkSpaces 管理者が (コンソールではなく) Amazon WorkSpaces API のみを使用している場合は、 "kms:ListAliases"およびアクセス"kms:ListKeys"許可を省略できます。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

を暗号化するユーザーまたはロールのIAMポリシーには、カスタマーマネージドKMSキーの使用許可とへのアクセス許可が含まれている WorkSpace 必要があります WorkSpaces。IAM ユーザーまたはロールにアクセス WorkSpaces 許可を付与するには、次のサンプルポリシーをIAMユーザーまたはロールにアタッチします。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

を使用するためには、ユーザーが次のIAMポリシーが必要です。 AWS KMS。これにより、ユーザーに KMSキーへの読み取り専用アクセスと、許可を作成する機能が提供されます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

ポリシーでKMSキーを指定する場合は、次のようなIAMポリシーを使用します。サンプルKMSキーを有効なキーARNに置き換えます。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

の暗号化 WorkSpace

を暗号化するには WorkSpace

で WorkSpaces コンソールを開きますhttps://console.aws.amazon.com/workspaces/。
起動 WorkSpacesを選択し、最初の 3 つのステップを完了します。
WorkSpaces 設定ステップでは、次の操作を行います。
1. 暗号化するボリュームを選択します。[Root Volume]、[User Volume]、または両方のボリュームとなります。
2. 暗号化キーで、を選択します。 AWS KMS キー、のいずれか AWS Amazon によって作成されたマネージドKMSキー WorkSpaces 、または作成した KMS キー。選択するKMSキーは対称である必要があります。Amazon WorkSpaces は非対称KMSキーをサポートしていません。
3. ［Next Step］(次のステップ) をクリックします。
起動を選択します WorkSpaces。

暗号化されたを表示する WorkSpaces

WorkSpaces コンソールから暗号化されたボリューム WorkSpaces とボリュームを確認するには、左側のナビゲーションバーWorkSpacesからを選択します。Volume Encryption 列には、各 WorkSpace で暗号化が有効か無効かが表示されます。暗号化されている特定のボリュームを確認するには、 WorkSpace エントリを展開して Encrypted Volumes フィールドを表示します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

メンテナンス

を再起動する WorkSpace