신뢰할 수 있는 WorkSpaces 개인용 디바이스에 대한 액세스 제한 - Amazon WorkSpaces
1단계: 인증서 생성2단계: 신뢰할 수 있는 디바이스에 클라이언트 인증서 배포3단계: 제한 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

신뢰할 수 있는 WorkSpaces 개인용 디바이스에 대한 액세스 제한

기본적으로 사용자는 인터넷에 연결된 지원되는 모든 디바이스 WorkSpaces 에서에 액세스할 수 있습니다. 회사가 기업 데이터 액세스를 신뢰할 수 있는 디바이스(관리형 디바이스라고도 함)로 제한하는 경우 유효한 인증서가 있는 신뢰할 수 있는 디바이스에 대한 WorkSpaces 액세스를 제한할 수 있습니다.

참고

이 기능은 현재 Simple AD, AD Connector 및 AWS Managed Microsoft AD 디렉터리를 AWS Directory Service 포함하여 WorkSpaces Personal Directory가를 통해 관리되는 경우에만 사용할 수 있습니다.

이 기능을 활성화하면는 인증서 기반 인증을 WorkSpaces 사용하여 디바이스가 신뢰할 수 있는지 확인합니다. WorkSpaces 클라이언트 애플리케이션이 디바이스가 신뢰할 수 있는지 확인할 수 없는 경우 디바이스에 로그인하거나 디바이스에서 다시 연결하려는 시도를 차단합니다.

각 디렉터리에 대해 최대 2개의 루트 인증서를 가져올 수 있습니다. 두 루트 인증서를 가져오는 경우는 클라이언트에 루트 인증서를 모두 WorkSpaces 제공하고 클라이언트는 루트 인증서 중 하나까지 연결된 유효한 첫 번째 일치 인증서를 찾습니다.

지원 클라이언트

  • Android 또는 Android 호환 Chrome OS 시스템에서 실행되는 Android

  • macOS

  • Windows

중요

이 기능은 다음 클라이언트에서 지원되지 않습니다.

  • WorkSpaces Linux 또는 용 클라이언트 애플리케이션 iPad

  • Teradici , 클라이언트 및 원격 데스크톱 애플리케이션을 포함하되 이에 국한되지 않는 타사 PCoIP RDP 클라이언트.

참고

특정 클라이언트에 대한 액세스를 활성화할 때는 필요하지 않은 다른 디바이스 유형에 대한 액세스를 차단해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 아래의 3.7단계를 참조하세요.

1단계: 인증서 생성

이 기능은 두 가지 유형의 인증서를 요구합니다. 내부 인증 기관(CA)에 의해 생성된 루트 인증서와 루트 인증서로 이어지는 클라이언트 인증서

요구 사항

  • 루트 인증서는 CRT, CERT또는 PEM 형식의 Base64-encoded 인증서 파일이어야 합니다.

  • 루트 인증서는 다음과 같은 정규 표현식 패턴을 충족해야 합니다. 즉, 마지막 줄을 제외한 모든 인코딩된 줄의 길이는 정확히 64자여야 합니다. -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • 디바이스 인증서는 일반 이름을 포함해야 합니다.

  • 디바이스 인증서에는 다음과 같은 확장자가 포함되어야 합니다. Key Usage: Digital Signature, Enhanced Key Usage: Client Authentication

  • 디바이스 인증서에서 신뢰할 수 있는 루트 인증 기관으로 연결되는 체인의 모든 인증서를 클라이언트 디바이스에 설치해야 합니다.

  • 지원되는 인증서 체인 최대 길이는 4입니다.

  • WorkSpaces 는 현재 클라이언트 인증서에 대한 인증서 해지 목록(CRL) 또는 온라인 인증서 상태 프로토콜(OCSP)과 같은 디바이스 해지 메커니즘을 지원하지 않습니다.

  • 강력한 암호화 알고리즘을 사용하십시오. SHA256 , RSA, SHA256 또는 ECDSASHA384를 ECDSA SHA512 사용하는 것이 좋습니다ECDSA.

  • macOS의 경우 디바이스 인증서가 시스템 키체인에 있는 경우 WorkSpaces 클라이언트 애플리케이션이 해당 인증서에 액세스할 수 있도록 권한을 부여하는 것이 좋습니다. 그렇지 않을 경우 사용자가 로그인 또는 재연결할 때 키 체인 자격 증명을 입력해야 합니다.

2단계: 신뢰할 수 있는 디바이스에 클라이언트 인증서 배포

사용자를 위한 신뢰할 수 있는 디바이스에는 디바이스 인증서에서 신뢰할 수 있는 루트 인증 기관까지 체인에 있는 모든 인증서가 포함된 인증서 번들을 설치해야 합니다. 선호하는 솔루션을 사용하여 System Center Configuration Manager(SCCM) 또는 모바일 디바이스 관리()와 같은 클라이언트 디바이스 플릿에 인증서를 설치할 수 있습니다MDM. 및 SCCM MDM는 보안 태세 평가를 선택적으로 수행하여 디바이스가 액세스할 회사 정책을 충족하는지 확인할 수 있습니다 WorkSpaces.

WorkSpaces 클라이언트 애플리케이션은 다음과 같이 인증서를 검색합니다.

  • Android - Settings으로 이동하여 Security & location, Credentials를 선택하고 Install from SD card를 선택합니다.

  • Android 호환 Chrome OS 시스템 - Android 설정을 열고 Security & location, Credentials를 선택하고 Install from SD card를 선택합니다.

  • macOS - 키체인에서 클라이언트 인증서를 검색합니다.

  • Windows - 사용자 및 루트 인증서 저장소에서 클라이언트 인증서를 검색합니다.

3단계: 제한 구성

신뢰할 수 있는 디바이스에 클라이언트 인증서를 배포한 후 디렉터리 수준에서 제한된 액세스를 활성화할 수 있습니다. 이렇게 하려면 사용자가에 로그인하도록 허용하기 전에 WorkSpaces 클라이언트 애플리케이션이 디바이스에서 인증서를 검증해야 합니다 WorkSpace.

제한을 구성하려면

  1. 에서 WorkSpaces 콘솔을 엽니다https://console.aws.amazon.com/workspaces/.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 디렉터리를 선택하고 [Actions], [Update Details]를 선택합니다.

  4. [Access Control Options]를 확장합니다.

  5. 각 디바이스 유형에 대해에 액세스할 수 있는 디바이스를 지정 WorkSpaces하고 신뢰할 수 있는 디바이스를 선택합니다.

  6. 최대 2개의 루트 인증서를 가져옵니다. 각 루트 인증서에 대해 다음을 수행합니다.

    1. 가져오기를 선택합니다.

    2. 인증서의 본문을 양식에 복사합니다.

    3. 가져오기를 선택합니다.

  7. 다른 유형의 디바이스에 액세스할 수 있는지 여부를 지정합니다 WorkSpaces.

    1. 아래로 스크롤하여 Other Platforms(기타 플랫폼) 섹션으로 이동합니다. 기본적으로 WorkSpaces Linux 클라이언트는 비활성화되어 있으며 사용자는 iOS 디바이스, Android 디바이스, 웹 액세스, Chromebook 및 PCoIP제로 클라이언트 디바이스 WorkSpaces 에서에 액세스할 수 있습니다.

    2. 활성화할 디바이스 유형을 선택하고, 비활성화할 디바이스 유형을 선택 취소합니다.

    3. 선택한 모든 디바이스 유형으로부터 액세스를 차단하려면 [Block]을 선택합니다.

  8. [Update and Exit]를 선택합니다.