기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
WorkSpaces 개인용 암호화 WorkSpaces
WorkSpaces 와 통합되어 있습니다. AWS Key Management Service (AWS KMS). 이를 통해 사용 중인 스토리지 볼륨을 암호화할 수 있습니다 WorkSpaces . AWS KMS 키. 를 실행하면 루트 볼륨 (Microsoft Windows의 경우 C 드라이브, Linux의 경우/) 및 사용자 볼륨 (Windows의 경우 D 드라이브, Linux의 경우 /home) 을 암호화할 수 있습니다. WorkSpace 이렇게 하면 유휴 상태인 저장 데이터, 볼륨에 대한 디스크 I/O 및 볼륨에서 생성된 스냅샷이 모두 암호화됩니다.
참고
를 암호화하는 것 외에도 특정 WorkSpaces 경우에는 FIPS 엔드포인트 암호화를 사용할 수 있습니다. AWS 미국 지역. 자세한 내용은 WorkSpaces 개인에 대한 FedRAMP 권한 부여 또는 DoD SRG 규정 준수 구성 단원을 참조하십시오.
BitLocker Amazon에서는 암호화가 지원되지 않습니다 WorkSpaces.
내용
사전 조건
필요한 것은 AWS KMS 암호화 프로세스를 시작하기 전에 키를 누르십시오. 이 KMS 키는 다음 중 하나일 수 있습니다. AWSAmazon용 관리형 KMS 키 WorkSpaces (AWS/워크스페이스) 또는 대칭형 고객 관리 키. KMS
-
AWS 관리형 KMS 키 — 특정 지역의 WorkSpace WorkSpaces 콘솔에서 암호화되지 않은 키를 처음 실행하면 Amazon에서 WorkSpaces 자동으로 키를 생성합니다. AWS 계정의 관리형 KMS 키 (AWS/워크스페이스). 이 옵션을 선택할 수 있습니다. AWS 사용자 및 루트 볼륨을 암호화하는 관리 KMS 키. WorkSpace 세부 정보는 WorkSpaces 암호화 사용 개요 AWS KMS을 참조하세요.
이 내용을 볼 수 있습니다. AWS 관리형 KMS 키 (정책 및 권한 포함) 및 사용 내역 추적 가능 AWS CloudTrail 로그는 기록되지만 이 KMS 키는 사용하거나 관리할 수 없습니다. WorkSpaces Amazon은 이 KMS 키를 생성하고 관리합니다. Amazon만이 이 KMS 키를 사용할 WorkSpaces WorkSpaces 수 있으며 계정의 WorkSpaces 리소스를 암호화하는 데만 이 키를 사용할 수 있습니다.
AWS Amazon에서 WorkSpaces 지원하는 KMS 키를 포함한 관리형 키는 3년마다 교체됩니다. 자세한 내용은 회전을 참조하십시오. AWS KMS 키 입력 AWS Key Management Service 개발자 가이드.
-
고객 관리 KMS 키 — 또는 사용하여 만든 대칭 고객 관리 KMS 키를 선택할 수도 있습니다. AWS KMS. 정책 설정을 포함하여 이 KMS 키를 보고, 사용하고, 관리할 수 있습니다. KMS키 생성에 대한 자세한 내용은 키 생성을 참조하십시오. AWS Key Management Service 개발자 가이드. 를 사용하여 KMS 키를 만드는 방법에 대한 자세한 내용은 AWS KMS API키에 대한 작업을 참조하십시오. AWS Key Management Service 개발자 가이드.
자동 KMS 키 교체를 활성화하기로 결정하지 않는 한 고객 관리 키는 자동으로 교체되지 않습니다. 자세한 내용은 회전을 참조하십시오. AWS KMS내부 키 AWS Key Management Service 개발자 가이드.
중요
KMS키를 수동으로 교체할 때는 원래 KMS 키와 새 KMS 키를 모두 활성화한 상태로 유지해야 합니다. AWS KMS 원본 KMS 키가 암호화한 WorkSpaces 것을 해독할 수 있습니다. 원래 KMS 키를 활성화한 상태로 유지하지 않으려면 키를 다시 만들고 새 키를 사용하여 암호화해야 합니다. WorkSpaces KMS
사용하려면 다음 요구 사항을 충족해야 합니다. AWS KMS WorkSpaces암호화하기 위한 키:
-
KMS키는 대칭이어야 합니다. WorkSpaces Amazon은 비대칭 키를 KMS 지원하지 않습니다. 대칭 키와 비대칭 키를 구분하는 방법에 대한 자세한 내용은 의 대칭 KMS 키와 비대칭 키 식별을 참조하십시오. KMS AWS Key Management Service 개발자 안내서.
-
KMS키가 활성화되어 있어야 합니다. 키 활성화 여부를 확인하려면 의 KMS KMS키 세부 정보 표시를 참조하십시오. AWS Key Management Service 개발자 가이드.
-
KMS키와 관련된 올바른 권한 및 정책이 있어야 합니다. 자세한 내용은 2부: IAM 정책을 사용하여 WorkSpaces 관리자에게 추가 권한 부여 단원을 참조하십시오.
Limits
-
기존 WorkSpace 파일은 암호화할 수 없습니다. 실행할 WorkSpace 때 암호화해야 합니다.
-
암호화된 이미지에서 사용자 지정 이미지를 생성하는 WorkSpace 것은 지원되지 않습니다.
-
암호화된 이미지에 대한 암호화를 비활성화하는 WorkSpace 것은 현재 지원되지 않습니다.
-
WorkSpaces 루트 볼륨 암호화가 활성화된 상태에서 실행하면 프로비저닝하는 데 최대 1시간이 걸릴 수 있습니다.
-
암호화된 파일을 재부팅하거나 다시 WorkSpace 빌드하려면 먼저 다음을 확인하십시오. AWS KMS 키가 활성화되어 있고 그렇지 않으면 사용할 수 WorkSpace 없게 됩니다. 키가 활성화되었는지 여부를 확인하려면 의 KMS KMS키 세부 정보 표시를 참조하십시오. AWS Key Management Service 개발자 가이드.
WorkSpaces 암호화 사용 개요 AWS KMS
암호화된 WorkSpaces 볼륨으로 생성하는 경우 Amazon Elastic Block Store (AmazonEBS) 를 WorkSpaces 사용하여 해당 볼륨을 생성하고 관리합니다. Amazon은 업계 표준 AES -256 알고리즘을 사용하여 데이터 키로 볼륨을 EBS 암호화합니다. EBSAmazon과 Amazon 모두 사용자의 KMS 키를 WorkSpaces 사용하여 암호화된 볼륨을 처리합니다. EBS볼륨 암호화에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EBS 암호화를 참조하십시오.
암호화된 WorkSpaces 볼륨으로 시작하는 경우 end-to-end 프로세스는 다음과 같이 작동합니다.
-
암호화에 사용할 KMS 키와 사용자 및 디렉터리를 지정합니다 WorkSpace. 이렇게 하면 KMS 키를 해당 용도로만 사용할 수 WorkSpaces 있는 권한 부여가 생성됩니다. WorkSpace 즉, 지정된 사용자 및 디렉터리와 WorkSpace 관련된 키에만 키를 사용할 수 있습니다.
-
WorkSpaces 에 대해 암호화된 EBS 볼륨을 생성하고 사용할 KMS 키와 볼륨의 사용자 및 디렉터리를 지정합니다. WorkSpace 이 작업을 통해 EBS Amazon은 해당 볼륨 및 볼륨, 즉 지정된 사용자 WorkSpace 및 디렉터리와 WorkSpace 연결된 항목 및 지정된 볼륨에 대해서만 KMS 키를 사용할 수 있는 권한을 생성합니다.
-
Amazon은 사용자 키로 암호화된 볼륨 데이터 KMS 키를 EBS 요청하고 WorkSpace 사용자의 Active Directory 보안 식별자 (SID) 를 지정합니다. AWS Directory Service 디렉토리 ID와 암호화 컨텍스트로서의 Amazon EBS 볼륨 ID.
-
AWS KMS 새 데이터 키를 생성하고 키로 암호화한 다음 암호화된 데이터 KMS 키를 EBS Amazon으로 보냅니다.
-
WorkSpaces EBSAmazon을 사용하여 암호화된 볼륨을 사용자의 볼륨에 연결합니다 WorkSpace. Amazon은 암호화된 데이터 키를 다음 주소로 EBS 보냅니다. AWS KMS
Decrypt요청과 함께 WorkSpace 사용자SID, 디렉터리 ID 및 암호화 컨텍스트로 사용되는 볼륨 ID를 지정합니다. -
AWS KMS KMS키를 사용하여 데이터 키를 해독한 다음 일반 텍스트 데이터 키를 Amazon으로 보냅니다. EBS
-
EBSAmazon은 일반 텍스트 데이터 키를 사용하여 암호화된 볼륨으로 들어오고 나가는 모든 데이터를 암호화합니다. Amazon은 볼륨이 에 연결되어 있는 한 일반 텍스트 데이터 키를 메모리에 EBS WorkSpace 보관합니다.
-
Amazon은 암호화된 데이터 키 (수신단계 4) 를 볼륨 메타데이터와 함께 EBS 저장하여 나중에 재부팅하거나 재구축할 경우에 대비합니다 WorkSpace.
-
다음을 사용하는 경우 AWS Management Console 를 제거하거나 해당
TerminateWorkspaces조치를 사용하면 Amazon은 WorkSpaces API 해당 용도로 귀하의 KMS 키를 사용할 수 있도록 허용한 보조금을 EBS 폐기합니다. WorkSpace WorkSpaces WorkSpace
WorkSpaces 암호화 컨텍스트
WorkSpaces KMS키를 암호화 작업 (예: Encrypt,, Decrypt등) 에 직접 사용하지 않습니다. 즉, 요청을 보내지 WorkSpaces 않습니다. GenerateDataKey AWS KMS 여기에는 암호화 컨텍스트가 포함됩니다. 하지만 EBS Amazon이 WorkSpaces (단계 3내 WorkSpaces 암호화 사용 개요 AWS KMS) 의 암호화된 볼륨에 대해 암호화된 데이터 키를 요청하고 해당 데이터 키 (단계 5) 의 일반 텍스트 사본을 요청하면 요청에 암호화 컨텍스트가 포함됩니다.
암호화 컨텍스트는 다음과 같은 인증된 추가 데이터 (AAD) 를 제공합니다. AWS KMS 데이터 무결성을 보장하는 데 사용합니다. 암호화 컨텍스트는 다음 사용자에게도 기록됩니다. AWS CloudTrail 로그 파일은 지정된 KMS 키가 사용된 이유를 이해하는 데 도움이 될 수 있습니다. EBSAmazon은 암호화 컨텍스트에 다음을 사용합니다.
-
다음과 관련된 Active Directory 사용자의 보안 식별자 (SID) WorkSpace
-
의 디렉터리 ID AWS Directory Service 와 연결된 디렉터리 WorkSpace
-
암호화된 EBS 볼륨의 Amazon 볼륨 ID
다음 예는 JSON Amazon에서 EBS 사용하는 암호화 컨텍스트를 보여줍니다.
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}사용자를 대신하여 KMS 키를 사용할 수 있는 WorkSpaces 권한을 부여하십시오.
다음에 따라 WorkSpace 데이터를 보호할 수 있습니다. AWS WorkSpaces(AWS/workspaces) 용 관리형 KMS 키 또는 고객 관리형 키. KMS 고객 관리형 KMS 키를 사용하는 경우 계정의 WorkSpaces 관리자를 대신하여 KMS 키 사용 WorkSpaces 권한을 부여해야 합니다. The AWS 의 관리 KMS WorkSpaces 키에는 기본적으로 필요한 권한이 있습니다.
에서 사용할 고객 관리 KMS 키를 준비하려면 다음 절차를 사용하십시오. WorkSpaces
WorkSpaces 관리자에게도 사용 권한이 필요합니다 WorkSpaces. 이러한 권한에 대한 자세한 내용은 ID 및 액세스 관리 대상 WorkSpaces 섹션을 참조하세요.
1부: WorkSpaces 관리자를 주요 사용자로 추가
WorkSpaces 관리자에게 필요한 권한을 부여하려면 다음을 사용할 수 있습니다. AWS Management Console 또는 AWS KMS API.
WorkSpaces 관리자를 키의 주요 사용자로 KMS 추가하려면 (콘솔)
-
에 로그인하십시오. AWS Management Console 그리고 여세요 AWS Key Management Service (AWS KMS) 콘솔을 https://console.aws.amazon.com/kms에서 실행하십시오
. -
변경하려면 AWS 리전페이지 오른쪽 상단의 지역 선택기를 사용하세요.
-
탐색 창에서 고객 관리형 키를 선택합니다.
-
선호하는 고객 관리 키의 키 ID 또는 별칭을 선택합니다. KMS
-
키 정책(Key policy) 탭을 선택합니다. 키 사용자에서 추가(Add)를 선택합니다.
-
IAM사용자 및 역할 목록에서 WorkSpaces 관리자에 해당하는 사용자 및 역할을 선택한 다음 추가를 선택합니다.
WorkSpaces 관리자를 키의 주요 사용자로 KMS 추가하려면 (API)
-
GetKeyPolicy작업을 사용하여 기존 키 정책을 가져온 다음 정책 문서를 파일에 저장합니다.
-
원하는 텍스트 편집기에서 정책 문서를 엽니다. 주요 IAM 사용자에게 권한을 부여하는 정책 설명에 WorkSpaces 관리자에 해당하는 사용자와 역할을 추가하십시오. 그런 다음 파일을 저장합니다.
-
PutKeyPolicy작업을 사용하여 키 정책을 키에 KMS 적용합니다.
2부: IAM 정책을 사용하여 WorkSpaces 관리자에게 추가 권한 부여
암호화에 사용할 고객 관리 KMS 키를 선택하는 경우 암호화를 시작한 계정의 IAM 사용자를 WorkSpaces 대신하여 Amazon이 KMS 키를 사용할 수 있도록 하는 IAM 정책을 설정해야 WorkSpaces 합니다. 또한 해당 사용자는 Amazon을 사용할 권한이 필요합니다 WorkSpaces. IAM사용자 정책 생성 및 편집에 대한 자세한 내용은 사용 설명서 및 의 IAMIAM정책 관리를 참조하십시오ID 및 액세스 관리 대상 WorkSpaces.
WorkSpaces 암호화에는 KMS 키에 대한 제한된 액세스가 필요합니다. 다음은 사용 가능한 샘플 키 정책입니다. 이 정책은 데이터를 관리할 수 있는 주체를 구분합니다. AWS KMS 키를 사용할 수 있는 사람과 키. 이 샘플 키 정책을 사용하기 전에 예제 계정 ID와 IAM 사용자 이름을 계정의 실제 값으로 바꾸십시오.
첫 번째 명령문은 기본값과 일치합니다. AWS KMS 키 정책. IAM정책을 사용하여 KMS 키에 대한 액세스를 제어할 수 있는 권한을 계정에 부여합니다. 두 번째 및 세 번째 명령문은 다음을 정의합니다. AWS 주체는 각각 키를 관리하고 사용할 수 있습니다. 네 번째 문장은 다음을 가능하게 합니다. AWS 다음과 통합된 서비스 AWS KMS 지정된 주체를 대신하여 키를 사용할 수 있습니다. 이 명령문을 사용하면 AWS 보조금 생성 및 관리 서비스. 이 명령문은 KMS 키에 대한 권한 부여를 다음과 같이 제한하는 조건 요소를 사용합니다. AWS 계정 내 사용자를 대신하는 서비스.
참고
WorkSpaces 관리자가 다음을 사용하는 경우 AWS Management Console 암호화된 WorkSpaces 볼륨으로 생성하려면 관리자에게 별칭과 목록 키를 나열할 수 있는 권한 ("kms:ListAliases"및 "kms:ListKeys" 권한) 이 필요합니다. WorkSpaces 관리자가 콘솔이 아닌 WorkSpaces API Amazon만 사용하는 경우 "kms:ListAliases" 및 "kms:ListKeys" 권한을 생략할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }
암호화하는 사용자 또는 역할에 대한 IAM 정책에는 고객 관리 KMS 키에 대한 사용 권한과 액세스 권한이 WorkSpace 포함되어야 합니다. WorkSpaces IAM사용자 또는 역할에 WorkSpaces 권한을 부여하려면 다음 샘플 정책을 IAM 사용자 또는 역할에 연결할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }
사용자가 사용하려면 다음 IAM 정책이 필요합니다. AWS KMS. 사용자에게 KMS 키에 대한 읽기 전용 액세스 권한과 권한 부여 생성 기능을 제공합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }
정책에 KMS 키를 지정하려면 다음과 유사한 IAM 정책을 사용하십시오. 예제 KMS 키를 유효한 ARN 키로 교체하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
암호화하세요. WorkSpace
a를 암호화하려면 WorkSpace
에서 WorkSpaces https://console.aws.amazon.com/workspaces/
콘솔을 엽니다. -
WorkSpacesLaunch를 선택하고 처음 세 단계를 완료합니다.
-
WorkSpaces 구성 단계에서 다음을 수행하십시오.
-
암호화할 볼륨을 선택합니다. [Root Volume], [User Volume] 또는 두 볼륨 모두.
-
암호화 키에서 다음을 선택합니다. AWS KMS 키, 다음 중 하나 AWS Amazon에서 생성한 관리 KMS KMS 키 WorkSpaces 또는 사용자가 생성한 키. 선택한 KMS 키는 대칭이어야 합니다. WorkSpaces Amazon은 비대칭 키를 KMS 지원하지 않습니다.
-
다음 단계를 선택합니다.
-
-
[실행] 을 선택합니다. WorkSpaces
암호화된 상태로 보기 WorkSpaces
WorkSpaces 콘솔에서 어떤 WorkSpaces 및 볼륨이 암호화되었는지 확인하려면 왼쪽의 탐색 막대에서 선택하십시오 WorkSpaces. 볼륨 암호화 WorkSpace 열에는 각 항목에 암호화가 활성화되었는지 또는 비활성화되었는지가 표시됩니다. 어떤 특정 볼륨이 암호화되었는지 확인하려면 WorkSpace 항목을 확장하여 암호화된 볼륨 필드를 확인하십시오.
