Como WorkSpaces usa AWS KMS - AWS Key Management Service
Visão geral da WorkSpaces criptografia usando AWS KMSWorkSpaces contexto de criptografiaDar WorkSpaces permissão para usar uma chave KMS em seu nome

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como WorkSpaces usa AWS KMS

Você pode usar WorkSpacespara provisionar um desktop (a WorkSpace) baseado em nuvem para cada um dos seus usuários finais. Ao iniciar um novo WorkSpace, você pode optar por criptografar seus volumes e decidir quais usar AWS KMS keypara a criptografia. Você pode escolher o Chave gerenciada pela AWSformulário WorkSpaces (aws/workspaces) ou uma chave simétrica gerenciada pelo cliente.

Importante

WorkSpaces suporta somente chaves KMS de criptografia simétrica. Você não pode usar uma chave KMS assimétrica para criptografar os volumes em um. WorkSpaces Para obter ajuda para determinar se uma chave do KMS é simétrica ou assimétrica, consulte Identificar chaves do KMS assimétricas.

Para obter mais informações sobre a criação WorkSpaces com volumes criptografados, acesse Encrypt a WorkSpace no Amazon WorkSpaces Administration Guide.

Visão geral da WorkSpaces criptografia usando AWS KMS

Quando você cria WorkSpaces com volumes criptografados, WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. Ambos os serviços usam o seu AWS KMS key para trabalhar com os volumes criptografados. Para obter mais informações sobre criptografia de volume do EBS, consulte a documentação a seguir:

Quando você inicia WorkSpaces com volumes criptografados, o end-to-end processo funciona assim:

  1. Você especifica a chave KMS a ser usada para criptografia, bem como o usuário e o diretório WorkSpace do KMS. Essa ação cria uma concessão que permite WorkSpaces usar sua chave KMS somente para isso, ou WorkSpace seja, somente para a WorkSpace associada ao usuário e diretório especificados.

  2. WorkSpaces cria um volume do EBS criptografado para o WorkSpace e especifica a chave KMS a ser usada, bem como o usuário e o diretório do volume (as mesmas informações que você especificou em). Passo 1 Essa ação cria uma concessão que permite que o Amazon EBS use sua chave KMS somente para essa chave WorkSpace e para o volume, ou seja, somente para o WorkSpace associado ao usuário e diretório especificados e somente para o volume especificado.

  3. O Amazon EBS solicita uma chave de dados de volume que é criptografada sob sua chave KMS e especifica o ID WorkSpace do usuário Sid e do diretório, bem como o ID do volume como contexto de criptografia.

  4. AWS KMS cria uma nova chave de dados, a criptografa sob sua chave KMS e, em seguida, envia a chave de dados criptografada para o Amazon EBS.

  5. WorkSpaces usa o Amazon EBS para anexar o volume criptografado ao seu WorkSpace. O Amazon EBS envia a chave de dados criptografada para AWS KMS com uma Decryptsolicitação e especifica a WorkSpace do usuárioSid, seu ID de diretório e o ID do volume, que é usado como contexto de criptografia.

  6. AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para o Amazon EBS.

  7. O Amazon EBS usa a chave de dados em texto simples para criptografar todos os dados enviados e recebidos do volume criptografado. O Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume estiver conectado ao. WorkSpace

  8. O Amazon EBS armazena a chave de dados criptografada (recebida emPasso 4) com os metadados do volume para uso futuro, caso você reinicie ou reconstrua o. WorkSpace

  9. Quando você usa o AWS Management Console para remover uma WorkSpace (ou usa a TerminateWorkspacesação na WorkSpaces API), WorkSpaces o Amazon EBS retira as concessões que permitiram que eles usassem sua chave KMS para isso. WorkSpace

WorkSpaces contexto de criptografia

WorkSpaces não usa seu AWS KMS key diretamente para operações criptográficas (como Encrypt,, Decrypt, etc.) GenerateDataKey, o que significa que WorkSpaces não envia solicitações AWS KMS que incluam um contexto de criptografia. No entanto, quando o Amazon EBS solicita uma chave de dados criptografada para os seus volumes criptografados WorkSpaces (Passo 3noVisão geral da WorkSpaces criptografia usando AWS KMS) e quando solicita uma cópia em texto simples dessa chave de dados (Passo 5), ele inclui o contexto de criptografia na solicitação. O contexto de criptografia fornece dados autenticados adicionais (AAD) que são AWS KMS usados para garantir a integridade dos dados. O contexto de criptografia também é gravado em seus arquivos de AWS CloudTrail log, o que pode ajudar você a entender por que um determinado AWS KMS key foi usado. O Amazon EBS usa o seguinte como contexto de criptografia:

  • O sid do AWS Directory Service usuário que está associado ao WorkSpace

  • O ID do AWS Directory Service diretório associado ao WorkSpace

  • O ID do volume criptografado

O exemplo a seguir mostra uma representação JSON do contexto de criptografia usado pelo Amazon EBS:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Dar WorkSpaces permissão para usar uma chave KMS em seu nome

Você pode proteger os dados do seu espaço de trabalho sob o Chave gerenciada pela AWS WorkSpaces formulário (aws/workspaces) ou uma chave gerenciada pelo cliente. Se você usar uma chave gerenciada pelo cliente, precisará dar WorkSpaces permissão para usar a chave KMS em nome dos administradores da WorkSpaces sua conta. O Chave gerenciada pela AWS formulário WorkSpaces tem as permissões necessárias por padrão.

Para preparar sua chave gerenciada pelo cliente para uso com WorkSpaces, use o procedimento a seguir.

  1. Adicione os WorkSpaces administradores à lista de usuários-chave na política de chaves da chave KMS

  2. Conceda aos WorkSpaces administradores permissões adicionais com uma política do IAM

WorkSpaces os administradores também precisam de permissão para usar WorkSpaces. Para obter mais informações sobre essas permissões, acesse Controlando o acesso aos WorkSpaces recursos no Amazon WorkSpaces Administration Guide.

Parte 1: Adicionando WorkSpaces administradores aos principais usuários de uma chave KMS

Para dar aos WorkSpaces administradores as permissões de que eles precisam, você pode usar a AWS Management Console ou a AWS KMS API.

Para adicionar WorkSpaces administradores como usuários-chave de uma chave KMS (console)

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente).

  4. Escolha o ID de chave ou alias da sua chave gerenciada pelo cliente preferida

  5. Selecione a guia Key policy (Política de chaves). Em Key users (Usuários de chaves), escolhaAdd (Adicionar).

  6. Na lista de usuários e funções do IAM, selecione os usuários e funções que correspondem aos seus WorkSpaces administradores e, em seguida, escolha Anexar.

Para adicionar WorkSpaces administradores como usuários-chave de uma chave KMS (API)AWS KMS

  1. Use a GetKeyPolicyoperação para obter a política de chaves existente e, em seguida, salve o documento de política em um arquivo.

  2. Abra o documento de política no editor de texto de sua preferência. Adicione os usuários e funções do IAM que correspondem aos seus WorkSpaces administradores às declarações de política que dão permissão aos principais usuários. Salve o arquivo.

  3. Use a PutKeyPolicyoperação para aplicar a política de chaves à chave KMS.

Parte 2: Conceder WorkSpaces permissões extras aos administradores

Se você estiver usando uma chave gerenciada pelo cliente para proteger seus WorkSpaces dados, além das permissões na seção de usuários-chave da política de chaves padrão, WorkSpaces os administradores precisam de permissão para criar concessões na chave KMS. Além disso, se usarem o AWS Management Consolepara criar WorkSpaces com volumes criptografados, os WorkSpaces administradores precisarão de permissão para listar aliases e chaves de lista. Para obter mais informações sobre como criar e editar políticas de usuário do IAM, consulte Políticas gerenciadas e em linha, no Manual do usuário do IAM.

Para conceder essas permissões aos seus WorkSpaces administradores, use uma política do IAM. Adicione uma declaração de política semelhante ao exemplo a seguir à política do IAM para cada WorkSpaces administrador. Substitua o ARN da chave do KMS de exemplo (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) por um válido. Se seus WorkSpaces administradores usam somente a WorkSpaces API (não o console), você pode omitir a segunda declaração de política com as permissões "kms:ListAliases" e. "kms:ListKeys"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}