WorkSpaces Personal WorkSpaces で暗号化 - Amazon WorkSpaces
前提条件制限を使用した WorkSpaces 暗号化の概要 AWS KMSWorkSpaces 暗号化コンテキストユーザーに代わって KMS キーを使用する WorkSpaces アクセス許可を付与するを暗号化する WorkSpace暗号化された を表示する WorkSpaces

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces Personal WorkSpaces で暗号化

WorkSpaces は AWS Key Management Service () と統合されていますAWS KMS。これにより、 AWS KMS キー WorkSpaces を使用して のストレージボリュームを暗号化できます。を起動すると WorkSpace、ルートボリューム (Microsoft Windows の場合は C ドライブ、Linux の場合は /) とユーザーボリューム (Windows の場合は D ドライブ、Linux の場合は /home) を暗号化できます。これにより、保管時のデータ、ボリュームへのディスク I/O、ボリュームから作成されたスナップショットを暗号化することができます。

注記

の暗号化に加えて WorkSpaces、特定の AWS 米国リージョンで FIPS エンドポイント暗号化を使用することもできます。詳細については、「 WorkSpaces Personal の FedRAMP 認証または DoD SRG コンプライアンスを設定する」を参照してください。

前提条件

暗号化プロセスを開始する前に、 AWS KMS キーが必要です。この KMS キーは、Amazon 用の AWS マネージド KMS キー WorkSpaces (aws/workspaces ) または対称カスタマーマネージド KMS キー のいずれかです。

  • AWS マネージド KMS キー – リージョンで WorkSpaces コンソール WorkSpace から暗号化されていない を初めて起動すると、Amazon はアカウントに AWS マネージド KMS キー (aws/workspaces) WorkSpaces を自動的に作成します。この AWS マネージド KMS キーを選択して、 のユーザーボリュームとルートボリュームを暗号化できます WorkSpace。詳細については、「を使用した WorkSpaces 暗号化の概要 AWS KMS」を参照してください。

    この AWS マネージド KMS キーは、ポリシーや権限を含めて表示でき、 AWS CloudTrail ログでの使用を追跡できますが、この KMS キーを使用または管理することはできません。Amazon はこの KMS キー WorkSpaces を作成および管理します。この KMS キー WorkSpaces を使用できるの WorkSpaces は Amazon のみで、アカウント内の WorkSpaces リソースの暗号化にのみ使用できます。

    AWS Amazon が WorkSpaces サポートする マネージド KMS キーは、3 年ごとにローテーションされます。詳細については、「 AWS Key Management Service デベロッパーガイド」の「ローテーション AWS KMS キー」を参照してください。

  • カスタマーマネージド KMS キー – または、 を使用して作成した対称カスタマーマネージド KMS キーを選択できます AWS KMS。ポリシーの設定を含め、この KMS キーを表示、使用、管理できます。KMS キーの作成の詳細については、 AWS Key Management Service デベロッパーガイドキーの作成 を参照してください。 AWS KMS API を使用した KMS キーの作成の詳細については、「 AWS Key Management Service デベロッパーガイド」の「キーの使用」を参照してください。

    自動キー更新を有効にしない限り、カスタマー管理の KMS キー は自動的に更新されません。詳細については、「 AWS Key Management Service デベロッパーガイド」の AWS KMS 「キーのローテーション」を参照してください。

重要

KMS キーを手動でローテーションするときは、元の KMS キーと新しい KMS キーの両方を有効にしたままにして、 が元の KMS キー WorkSpaces が暗号化した を復号 AWS KMS できるようにする必要があります。元の KMS キーを有効にしたくない場合は、 を再作成 WorkSpacesし、新しい KMS キーを使用して暗号化する必要があります。

AWS KMS キーを使用して を暗号化するには、次の要件を満たす必要があります WorkSpaces。

制限

  • 既存の を暗号化することはできません WorkSpace。を起動 WorkSpace するときに を暗号化する必要があります。

  • 暗号化された からのカスタムイメージの作成 WorkSpace はサポートされていません。

  • 暗号化された の暗号化の無効化 WorkSpace は現在サポートされていません。

  • WorkSpaces ルートボリューム暗号化を有効にして起動すると、プロビジョニングに最大 1 時間かかる場合があります。

  • 暗号化された を再起動または再構築するには WorkSpace、まず キーが有効になっていることを確認します AWS KMS 。有効でない場合、 WorkSpace は使用できなくなります。KMS キーが有効になっているかどうかを確認する方法については、「AWS Key Management Service デベロッパーガイド」の 「コンソールで KMS キーを表示する」を参照してください。

を使用した WorkSpaces 暗号化の概要 AWS KMS

暗号化されたボリューム WorkSpaces で を作成すると、 WorkSpaces は Amazon Elastic Block Store (Amazon EBS) を使用してそれらのボリュームを作成および管理します。Amazon EBS は、業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。Amazon EBS と Amazon はどちらも KMS キーを使用して暗号化されたボリュームを操作し WorkSpaces ます。EBS ボリュームの暗号化の詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EBS 暗号化」を参照してください。 Amazon EC2

暗号化されたボリューム WorkSpaces で を起動すると、 end-to-end プロセスは次のように動作します。

  1. 暗号化に使用する KMS キーと、 のユーザーとディレクトリを指定します WorkSpace。このアクションは、 が KMS キーをこの目的のみ、 WorkSpaceつまり指定されたユーザーとディレクトリに関連付けられた に対して WorkSpaceのみ使用 WorkSpaces できるようにする許可を作成します。

  2. WorkSpaces は、 の暗号化された EBS ボリューム WorkSpace を作成し、使用する KMS キーと、ボリュームのユーザーとディレクトリを指定します。このアクションは、Amazon EBS がこの WorkSpace とボリュームにのみ、つまり、指定されたユーザーとディレクトリ WorkSpace に関連付けられた と、指定されたボリュームにのみ KMS キーを使用できるようにする許可を作成します。

  3. Amazon EBS は、KMS キーで暗号化されたボリュームデータキーをリクエストし、 WorkSpace ユーザーの Active Directory セキュリティ識別子 (SID) と AWS Directory Service ディレクトリ ID、および暗号化コンテキスト として Amazon EBS ボリューム ID を指定します。

  4. AWS KMS は新しいデータキーを作成し、KMS キーで暗号化してから、暗号化されたデータキーを Amazon EBS に送信します。

  5. WorkSpaces は Amazon EBS を使用して、暗号化されたボリュームを にアタッチします WorkSpace。Amazon EBS は、暗号化されたデータキーを Decrypt リクエスト AWS KMS とともに に送信し、 WorkSpace ユーザーの SID、ディレクトリ ID、ボリューム ID を指定します。これは暗号化コンテキストとして使用されます。

  6. AWS KMS は KMS キーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon EBS に送信します。

  7. Amazon EBS は、プレーンテキストデータキーを使用して、暗号化されたボリュームを出入りするすべてのデータを暗号化します。Amazon EBS は、ボリュームが にアタッチされている限り、プレーンテキストのデータキーをメモリに保持します WorkSpace。

  8. Amazon EBS は、 を再起動または再構築する場合に備えて、暗号化されたデータキー ( で受信ステップ 4) をボリュームメタデータとともに保存します WorkSpace。

  9. を使用して AWS Management Console を削除する WorkSpace (または WorkSpaces API で TerminateWorkspacesアクションを使用する) WorkSpaces と、Amazon EBS はその の KMS キーの使用を許可した許可を廃止します WorkSpace。

WorkSpaces 暗号化コンテキスト

WorkSpaces は、暗号化オペレーション (、Encrypt、 など) に KMS キーを直接使用しません。つまりGenerateDataKey、 WorkSpaces は暗号化コンテキスト AWS KMS を含む Decryptにリクエストを送信しません。ただし、Amazon EBS が WorkSpaces (ステップ 3を使用した WorkSpaces 暗号化の概要 AWS KMS) の暗号化されたボリュームの暗号化されたデータキーをリクエストし、そのデータキーのプレーンテキストコピー (ステップ 5) をリクエストすると、リクエストに暗号化コンテキストが含まれます。

暗号化コンテキストは、データの整合性を確保するために が使用する追加の認証データ (AAD) を提供します。 AWS KMS 暗号化コンテキストは AWS CloudTrail ログファイルにも書き込まれるため、特定の KMS キーが使用された理由を理解するのに役立ちます。Amazon EBS では、暗号化コンテキストとして次のものが使用されます。

  • に関連付けられている Active Directory ユーザーのセキュリティ識別子 (SID) WorkSpace

  • に関連付けられているディレクトリの AWS Directory Service ディレクトリ ID WorkSpace

  • 暗号化されたボリュームの Amazon EBS ボリューム ID

次の例は、Amazon EBS が使用する暗号化コンテキストの JSON 表現を示しています。

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

ユーザーに代わって KMS キーを使用する WorkSpaces アクセス許可を付与する

aws/workspaces ) の AWS マネージド KMS キー WorkSpacesまたはカスタマーマネージド KMS キーで WorkSpace データを保護できます。カスタマーマネージド KMS キーを使用する場合は、アカウントの WorkSpaces 管理者に代わって KMS キーを使用する WorkSpaces アクセス許可を付与する必要があります。の WorkSpaces AWS マネージド KMS キーには、デフォルトで必要なアクセス許可があります。

カスタマーマネージド KMS キーを で使用する準備をするには WorkSpaces、次の手順を使用します。

  1. KMS キーのキーポリシーのキーユーザーのリストに WorkSpaces 管理者を追加する

  2. IAM ポリシーを使用して WorkSpaces 管理者に追加のアクセス許可を付与する

WorkSpaces 管理者には、 を使用するためのアクセス許可も必要です WorkSpaces。これらのアクセス許可の詳細については、の Identity and Access Management WorkSpaces にアクセスしてください。

パート 1: WorkSpaces 管理者をキーユーザーとして に追加する

WorkSpaces 管理者に必要なアクセス許可を付与するには、 AWS Management Console または AWS KMS API を使用できます。

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (コンソール)

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service (AWS KMS) コンソールを開きます。

  2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys] (カスタマー管理型のキー) を選択します。

  4. 任意のカスタマーマネージドキーの KMS キーのキー ID またはエイリアスを選択する

  5. [キーポリシー] タブを選択します。[Key users] (キーユーザー) で [Add] (追加) を選択します。

  6. IAM ユーザーとロールのリストで、 WorkSpaces 管理者に対応するユーザーとロールを選択し、 の追加を選択します

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (API)

  1. GetKeyPolicy オペレーションを使用して既存のキーポリシーを取得し、ポリシードキュメントを ファイルに保存します。

  2. 任意のテキストエディタでポリシードキュメントを開きます。 WorkSpaces 管理者に対応する IAM ユーザーとロールを、キーユーザー にアクセス許可を付与するポリシーステートメントに追加します。その後、ファイルを保存します。

  3. PutKeyPolicy オペレーションを使用して、キーポリシーを KMS キーに適用します。

パート 2: IAM ポリシーを使用して WorkSpaces 管理者に追加のアクセス許可を付与する

暗号化に使用するカスタマー管理の KMS キーを選択する場合は、暗号化された を起動するアカウントの IAM ユーザーに代わって Amazon が KMS キー WorkSpaces を使用できるようにする IAM ポリシーを確立する必要があります WorkSpaces。そのユーザーには、Amazon を使用するためのアクセス許可も必要です WorkSpaces。IAM ユーザーポリシーの作成と編集の詳細については、IAM ユーザーガイドIAM ポリシーを管理するおよび の Identity and Access Management WorkSpaces を参照してください。

WorkSpaces 暗号化には、KMS キーへの制限付きアクセスが必要です。以下は、使用できるサンプルキーのポリシーです。このポリシーにより、 AWS KMS キーを管理できるプリンシパルと、このキーを使用できるプリンシパルが分離されます。このサンプルキーポリシーを使用する前に、サンプルアカウント ID と IAM ユーザー名を、アカウントの実際の値に置き換えてください。

最初のステートメントは、デフォルトの AWS KMS キーポリシーと一致します。これにより、IAM ポリシーを使用して KMS キーへのアクセスを制御するためのアクセス許可がアカウントに付与されます。2 番目のステートメントと 3 番目のステートメントは、キーを管理および使用できる AWS プリンシパルをそれぞれ定義します。4 番目のステートメントでは、 と統合された AWS サービスが、指定されたプリンシパルに代わって キー AWS KMS を使用できるようにします。このステートメントは、 AWS のサービスが許可を作成、管理できるようにします。ステートメントは、KMS キーに対する許可を、アカウントのユーザーに代わって AWS のサービスによって行われた許可に制限する条件要素を使用します。

注記

WorkSpaces 管理者が を使用して暗号化されたボリューム WorkSpaces で AWS Management Console を作成する場合、管理者にはエイリアスとリストキー ( "kms:ListAliases"および のアクセス許可) の"kms:ListKeys"アクセス許可が必要です。 WorkSpaces 管理者が (コンソールではなく) Amazon WorkSpaces API のみを使用している場合は、 "kms:ListAliases"および アクセス"kms:ListKeys"許可を省略できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

を暗号化するユーザーまたはロールの IAM ポリシーには、カスタマー管理の KMS キーの使用許可と、 へのアクセス許可が含まれている WorkSpace 必要があります WorkSpaces。IAM ユーザーまたはロールにアクセス WorkSpaces 許可を付与するには、次のサンプルポリシーを IAM ユーザーまたはロールにアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

ユーザーが を使用するには、次の IAM ポリシーが必要です AWS KMSこれにより、KMS キーへの読み取り専用アクセスと、許可を作成する能力がユーザーに付与されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

ポリシーで KMS キーを指定する場合は、次のような IAM ポリシーを使用します。サンプルKMS キー ARN を有効なものに置き換えます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

を暗号化する WorkSpace

を暗号化するには WorkSpace

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. 起動 WorkSpacesを選択し、最初の 3 つのステップを完了します。

  3. WorkSpaces 設定ステップでは、次の操作を行います。

    1. 暗号化するボリュームを選択します。[Root Volume]、[User Volume]、または両方のボリュームとなります。

    2. 暗号化キー で、Amazon によって作成された AWS マネージド KMS キー WorkSpaces または作成した KMS キー AWS KMS のいずれかのキーを選択します。選択する KMS キーは対称である必要があります。Amazon WorkSpaces は非対称 KMS キーをサポートしていません。

    3. [Next Step (次のステップ)] をクリックします。

  4. 起動 を選択します WorkSpaces

暗号化された を表示する WorkSpaces

WorkSpaces コンソールから暗号化された ボリューム WorkSpaces と ボリュームを確認するには、左側のナビゲーションバーWorkSpacesから を選択します。Volume Encryption 列には、各 WorkSpace で暗号化が有効か無効かが表示されます。暗号化されている特定のボリュームを確認するには、 WorkSpace エントリを展開して Encrypted Volumes フィールドを表示します。