WorkSpaces 개인 WorkSpaces 용으로 암호화됨 - Amazon WorkSpaces
사전 조건Limits를 사용한 WorkSpaces 암호화 개요 AWS KMSWorkSpaces 암호화 컨텍스트사용자를 대신하여 KMS 키를 사용할 수 있는 WorkSpaces 권한 부여암호화 WorkSpace암호화된 보기 WorkSpaces

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

WorkSpaces 개인 WorkSpaces 용으로 암호화됨

WorkSpaces 는 AWS Key Management Service ()와 통합됩니다AWS KMS. 이렇게 하면 AWS KMS 키를 WorkSpaces 사용하여의 스토리지 볼륨을 암호화할 수 있습니다. 를 시작할 때 루트 볼륨(Microsoft Windows의 경우 C 드라이브, Linux의 WorkSpace경우 /)과 사용자 볼륨(Windows의 경우 D 드라이브, Linux의 경우 /home)을 암호화할 수 있습니다. 이렇게 하면 유휴 상태인 저장 데이터, 볼륨에 대한 디스크 I/O 및 볼륨에서 생성된 스냅샷이 모두 암호화됩니다.

참고

사전 조건

암호화 프로세스를 시작하려면 AWS KMS 키가 필요합니다. 이 KMS 키는 Amazon WorkSpaces (aws/workspaces)의 AWS 관리KMS형 키 또는 대칭 고객 관리형 KMS 키일 수 있습니다.

  • AWS 관리형 KMS 키 - 리전의 WorkSpaces 콘솔 WorkSpace 에서 암호화되지 않은를 처음 시작할 때 Amazon은 계정에 AWS 관리형 KMS 키(aws/workspaces)를 WorkSpaces 자동으로 생성합니다. 이 AWS 관리형 KMS 키를 선택하여의 사용자 및 루트 볼륨을 암호화할 수 있습니다 WorkSpace. 세부 정보는 를 사용한 WorkSpaces 암호화 개요 AWS KMS을 참조하세요.

    정책 및 권한 부여를 포함하여이 AWS 관리형 KMS 키를 볼 수 있으며 AWS CloudTrail 로그에서 해당 키의 사용을 추적할 수 있지만이 KMS 키를 사용하거나 관리할 수는 없습니다. Amazon은이 KMS 키를 WorkSpaces 생성하고 관리합니다. Amazon만이 KMS 키를 사용할 WorkSpaces 수 있으며 계정의 WorkSpaces 리소스를 암호화하는 데만 사용할 WorkSpaces 수 있습니다.

    AWS Amazon이 WorkSpaces 지원하는 키를 포함한 관리형 KMS 키는 매년 교체됩니다. 자세한 내용은 AWS Key Management Service 개발자 안내서AWS KMS 의 키 교체를 참조하세요.

  • 고객 관리KMS형 키 - 또는를 사용하여 생성한 대칭 고객 관리형 KMS 키를 선택할 수 있습니다 AWS KMS. 정책 설정을 포함하여이 KMS 키를 보고 사용하고 관리할 수 있습니다. KMS 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서키 생성을 참조하세요. 를 사용하여 KMS 키를 생성하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 작업을 AWS KMS API참조하세요. https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html

    자동 KMS 키 교체를 활성화하기로 결정하지 않는 한 고객 관리형 키는 자동으로 교체되지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서키 교체를 참조 AWS KMS하세요.

중요

KMS 키를 수동으로 교체하는 경우가 원래 KMS 키가 암호화 WorkSpaces 한를 해독할 AWS KMS 수 있도록 원래 KMS 키와 새 KMS 키를 모두 활성화된 상태로 유지해야 합니다. 원래 KMS 키를 활성화 상태로 유지하지 않으려면를 다시 생성하고 WorkSpaces 새 KMS 키를 사용하여 암호화해야 합니다.

AWS KMS 키를 사용하여를 암호화하려면 다음 요구 사항을 충족해야 합니다. WorkSpaces

Limits

  • 기존는 암호화할 수 없습니다 WorkSpace. 시작할 WorkSpace 때를 암호화해야 합니다.

  • 암호화된에서 사용자 지정 이미지 생성 WorkSpace 은 지원되지 않습니다.

  • 암호화된에 대한 암호화 비활성화 WorkSpace 는 현재 지원되지 않습니다.

  • WorkSpaces 루트 볼륨 암호화가 활성화된 상태에서가 시작되면 프로비저닝하는 데 최대 1시간이 걸릴 수 있습니다.

  • 암호화된를 재부팅하거나 다시 빌드하려면 WorkSpace먼저 키가 활성화되어 있는지 AWS KMS 확인합니다. 그렇지 않으면를 사용할 수 없게 WorkSpace 됩니다. KMS 키 활성화 여부를 확인하려면 AWS Key Management Service 개발자 안내서 KMS 키 세부 정보 표시를 참조하세요.

를 사용한 WorkSpaces 암호화 개요 AWS KMS

암호화된 볼륨 WorkSpaces 으로를 생성할 때는 Amazon Elastic Block Store(AmazonEBS)를 WorkSpaces 사용하여 해당 볼륨을 생성하고 관리합니다. Amazon은 업계 표준 EBS AES-256 알고리즘을 사용하여 데이터 키로 볼륨을 암호화합니다. AmazonEBS과 Amazon 모두 KMS 키를 WorkSpaces 사용하여 암호화된 볼륨으로 작업합니다. EBS 볼륨 암호화에 대한 자세한 내용은 Amazon 사용 설명서의 Amazon EBS Encryption을 참조하세요. EC2

암호화된 볼륨 WorkSpaces 으로를 end-to-end 시작하면 프로세스가 다음과 같이 작동합니다.

  1. 암호화에 사용할 KMS 키와의 사용자 및 디렉터리를 지정합니다 WorkSpace. 이 작업은가 이를 위해서만, WorkSpace즉 지정된 사용자 및 디렉터리와 연결된 WorkSpace에 대해서만 KMS 키를 WorkSpaces 사용하도록 허용하는 권한을 생성합니다.

  2. WorkSpaces 는에 대해 암호화된 EBS 볼륨을 생성하고 사용할 KMS 키와 볼륨의 사용자 및 디렉터리를 WorkSpace 지정합니다. 이 작업은 Amazon이이 WorkSpace 및 볼륨에 대해서만, 즉 지정된 사용자 및 디렉터리와 WorkSpace 연결된에 대해서만, 그리고 지정된 볼륨에 대해서만 KMS 키를 EBS 사용할 수 있도록 허용하는 권한을 생성합니다.

  3. Amazon은 키로 암호화된 볼륨 데이터 KMS 키를 EBS 요청하고 WorkSpace 사용자의 Active Directory 보안 식별자(SID) 및 AWS Directory Service 디렉터리 ID와 Amazon EBS 볼륨 ID를 암호화 컨텍스트로 지정합니다.

  4. AWS KMS 는 새 데이터 키를 생성하고 키 아래에 암호화한 KMS 다음 암호화된 데이터 키를 Amazon에 전송합니다EBS.

  5. WorkSpaces 는 AmazonEBS을 사용하여 암호화된 볼륨을에 연결합니다 WorkSpace. Amazon은 Decrypt 요청과 AWS KMS 함께 암호화된 데이터 키를에 EBS 전송하고 암호화 컨텍스트로 사용되는 WorkSpace 사용자의 , SID디렉터리 ID 및 볼륨 ID를 지정합니다.

  6. AWS KMS 는 KMS 키를 사용하여 데이터 키를 복호화한 다음 일반 텍스트 데이터 키를 Amazon에 전송합니다EBS.

  7. AmazonEBS은 일반 텍스트 데이터 키를 사용하여 암호화된 볼륨으로 송수신되는 모든 데이터를 암호화합니다. Amazon은 볼륨이에 연결되어 있는 한 일반 텍스트 데이터 키를 메모리에 EBS 유지합니다 WorkSpace.

  8. Amazon은를 재부팅하거나 다시 빌드하는 경우 나중에 사용할 수 있도록 암호화된 데이터 키(에서 수신됨단계 4)를 볼륨 메타데이터와 함께 EBS 저장합니다 WorkSpace.

  9. AWS Management Console 를 사용하여를 제거하고 WorkSpace (또는의 TerminateWorkspaces 작업을 사용 WorkSpaces API WorkSpaces ), Amazon이 해당에 KMS 키를 사용하도록 허용한 권한 부여를 EBS 사용 중지하는 경우 WorkSpace.

WorkSpaces 암호화 컨텍스트

WorkSpaces 는 암호화 작업(예: Encrypt, Decrypt, 등)에 KMS 키를 직접 사용하지 않습니다. 즉GenerateDataKey, WorkSpaces 는 암호화 컨텍스트 AWS KMS 가 포함된 요청을에 보내지 않습니다. 그러나 Amazon이의 암호화된 볼륨에 대해 암호화된 데이터 키 WorkSpaces (단계 3를 사용한 WorkSpaces 암호화 개요 AWS KMS)를 EBS 요청하고 해당 데이터 키의 일반 텍스트 복사본(단계 5)을 요청할 때는 요청에 암호화 컨텍스트가 포함됩니다.

암호화 컨텍스트는가 데이터 무결성을 보장하기 위해 AWS KMS 사용하는 추가 인증된 데이터(AAD)를 제공합니다. 암호화 컨텍스트는 AWS CloudTrail 로그 파일에도 작성되므로 주어진 KMS 키가 사용된 이유를 이해하는 데 도움이 될 수 있습니다. Amazon은 암호화 컨텍스트에 다음을 EBS 사용합니다.

  • 와 연결된 Active Directory 사용자의 보안 식별자(SID) WorkSpace

  • 와 연결된 디렉터리의 AWS Directory Service 디렉터리 ID WorkSpace

  • 암호화된 EBS 볼륨의 Amazon 볼륨 ID

다음 예제에서는 Amazon이 EBS 사용하는 암호화 컨텍스트를 JSON 보여줍니다.

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

사용자를 대신하여 KMS 키를 사용할 수 있는 WorkSpaces 권한 부여

(aws/workspaces)의 AWS 관리형 KMS 키 WorkSpaces 또는 고객 관리형 KMS 키에서 WorkSpace 데이터를 보호할 수 있습니다. 고객 관리형 KMS 키를 사용하는 경우 계정의 WorkSpaces 관리자를 대신하여 KMS 키를 사용할 수 있는 WorkSpaces 권한을 부여해야 합니다. 의 AWS WorkSpaces 관리형 KMS 키에는 기본적으로 필요한 권한이 있습니다.

에서 사용할 고객 관리형 KMS 키를 준비하려면 다음 절차를 WorkSpaces사용합니다.

  1. 키의 키 정책에서 KMS 키 사용자 목록에 WorkSpaces 관리자 추가

  2. IAM 정책을 사용하여 WorkSpaces 관리자에게 추가 권한 부여

또한 WorkSpaces 관리자는를 사용할 수 있는 권한이 필요합니다 WorkSpaces. 이러한 권한에 대한 자세한 내용은 에 대한 자격 증명 및 액세스 관리 WorkSpaces 섹션을 참조하세요.

1부:에 WorkSpaces 관리자를 키 사용자로 추가

WorkSpaces 관리자에게 필요한 권한을 부여하려면 AWS Management Console 또는를 사용할 수 있습니다 AWS KMS API.

WorkSpaces 관리자를 KMS 키의 키 사용자로 추가하려면(콘솔)

  1. 에 로그인 AWS Management Console 하고 /kms에서 AWS Key Management Service (AWS KMS) 콘솔을 엽니다. https://console.aws.amazon.com

  2. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 원하는 고객 관리형 키의 KMS 키 ID 또는 별칭을 선택합니다.

  5. 키 정책(Key policy) 탭을 선택합니다. 키 사용자에서 추가(Add)를 선택합니다.

  6. IAM 사용자 및 역할 목록에서 WorkSpaces 관리자에 해당하는 사용자 및 역할을 선택한 다음 추가를 선택합니다.

WorkSpaces 관리자를 KMS 키의 키 사용자로 추가하려면(API)

  1. GetKeyPolicy 작업을 사용하여 기존 키 정책을 가져온 다음 정책 문서를 파일에 저장합니다.

  2. 원하는 텍스트 편집기에서 정책 문서를 엽니다. 주요 IAM 사용자에게 권한을 부여하는 정책 설명에 WorkSpaces 관리자에 해당하는 사용자 및 역할을 추가합니다. https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users 그런 다음 파일을 저장합니다.

  3. PutKeyPolicy 작업을 사용하여 키에 KMS 키 정책을 적용합니다.

2부: IAM 정책을 사용하여 WorkSpaces 관리자에게 추가 권한 부여

암호화에 사용할 고객 관리형 KMS 키를 선택하는 경우 Amazon이 암호화된 키를 시작하는 계정의 IAM 사용자를 대신하여 KMS 키를 WorkSpaces 사용하도록 허용하는 IAM 정책을 설정해야 합니다 WorkSpaces. 또한 해당 사용자는 Amazon을 사용할 수 있는 권한이 필요합니다 WorkSpaces. IAM 사용자 정책 생성 및 편집에 대한 자세한 내용은 IAM 사용 설명서 및의 IAM 정책 관리를 참조하세요에 대한 자격 증명 및 액세스 관리 WorkSpaces.

WorkSpaces 암호화를 사용하려면 KMS 키에 대한 제한된 액세스가 필요합니다. 다음은 사용 가능한 샘플 키 정책입니다. 이 정책은 AWS KMS KMS 키를 관리할 수 있는 보안 주체와 이 키를 사용할 수 있는 보안 주체를 구분합니다. 이 샘플 키 정책을 사용하기 전에 예제 계정 ID와 IAM 사용자 이름을 계정의 실제 값으로 바꿉니다.

첫 번째 문은 기본 AWS KMS 키 정책과 일치합니다. 이는 계정에 IAM 정책을 사용하여 KMS 키에 대한 액세스를 제어할 수 있는 권한을 부여합니다. 두 번째 및 세 번째 문은 각각 키를 관리하고 사용할 수 있는 AWS 보안 주체를 정의합니다. 네 번째 문을 사용하면와 통합된 AWS 서비스가 지정된 보안 주체를 대신하여 키를 AWS KMS 사용할 수 있습니다. 이 문을 사용하여 AWS 서비스에서 권한을 생성 및 관리할 수 있습니다. 이 문은 KMS 키에 대한 권한 부여를 계정의 사용자를 대신하여 AWS 서비스에서 만든 권한 부여로 제한하는 조건 요소를 사용합니다.

참고

WorkSpaces 관리자가 AWS Management Console 를 사용하여 암호화된 볼륨 WorkSpaces 으로를 생성하는 경우 관리자는 별칭 및 목록 키( "kms:ListAliases" 및 권한)를 나열할 수 있는 "kms:ListKeys" 권한이 필요합니다. WorkSpaces 관리자가 Amazon WorkSpaces API(콘솔 제외)만 사용하는 경우 "kms:ListAliases""kms:ListKeys" 권한을 생략할 수 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

를 암호화하는 사용자 또는 역할에 대한 IAM 정책에는 고객 관리형 KMS 키에 대한 사용 권한과에 대한 액세스 권한이 포함되어야 WorkSpace 합니다 WorkSpaces. IAM 사용자 또는 역할에 WorkSpaces 권한을 부여하려면 다음 샘플 정책을 IAM 사용자 또는 역할에 연결할 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

다음 IAM 정책은 사용자가 AWS KMS를 사용하기 위해 필요합니다. 권한 부여를 생성할 수 있는 기능과 함께 사용자에게 KMS 키에 대한 읽기 전용 액세스 권한을 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

정책에 KMS 키를 지정하려면 다음과 유사한 IAM 정책을 사용합니다. 예제 KMS 키를 유효한 키ARN로 바꿉니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

암호화 WorkSpace

를 암호화하려면 WorkSpace

  1. 에서 WorkSpaces 콘솔을 엽니다https://console.aws.amazon.com/workspaces/.

  2. 시작 WorkSpaces을 선택하고 처음 세 단계를 완료합니다.

  3. WorkSpaces 구성 단계에서 다음을 수행합니다.

    1. 암호화할 볼륨을 선택합니다. [Root Volume], [User Volume] 또는 두 볼륨 모두.

    2. 암호화 키에서 Amazon에서 KMS 생성한 AWS 관리 AWS KMS 형 키 또는 생성한 WorkSpaces KMS 키를 선택합니다. 선택하는 KMS 키는 대칭이어야 합니다. Amazon WorkSpaces 은 비대칭 KMS 키를 지원하지 않습니다.

    3. 다음 단계를 선택합니다.

  4. 시작 WorkSpaces을 선택합니다.

암호화된 보기 WorkSpaces

WorkSpaces 콘솔에서 암호화된 WorkSpaces 및 볼륨을 보려면 왼쪽의 탐색 모음WorkSpaces에서를 선택합니다. 볼륨 암호화 열에는 각 WorkSpace 에 암호화가 활성화되어 있는지 또는 비활성화되어 있는지가 표시됩니다. 암호화된 특정 볼륨을 확인하려면 WorkSpace 항목을 확장하여 암호화된 볼륨 필드를 확인합니다.