Criptografado WorkSpaces em WorkSpaces Pessoal - Amazon WorkSpaces
Pré-requisitosLimitesVisão geral da WorkSpaces criptografia usando AWS KMSWorkSpaces contexto de criptografiaConceda WorkSpaces permissão para usar uma chave KMS em seu nomeCriptografar um WorkSpaceVisualização criptografada WorkSpaces

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografado WorkSpaces em WorkSpaces Pessoal

WorkSpaces está integrado com o AWS Key Management Service (AWS KMS). Isso permite criptografar volumes de armazenamento WorkSpaces usando AWS KMS Key. Ao iniciar um WorkSpace, você pode criptografar o volume raiz (para Microsoft Windows, a unidade C; para Linux,/) e o volume do usuário (para Windows, a unidade D; para Linux, /home). Isso garante que os dados armazenados em repouso, E/S do disco para o volume e snapshots criados a partir dos volumes sejam todos criptografados.

nota

Além de criptografar seu WorkSpaces, você também pode usar a criptografia de endpoint FIPS em determinadas AWS regiões dos EUA. Para ter mais informações, consulte Configure a autorização do FedRAMP ou a conformidade com o SRG do DoD para pessoal WorkSpaces .

Pré-requisitos

Você precisa de uma AWS KMS chave antes de começar o processo de criptografia. Essa chave KMS pode ser a chave KMS AWS gerenciada pela Amazon WorkSpaces (aws/workspaces) ou uma chave KMS simétrica gerenciada pelo cliente.

  • AWS Chaves KMS gerenciadas — Na primeira vez que você executa uma chave não criptografada a WorkSpace partir do WorkSpaces console em uma região, a Amazon cria WorkSpaces automaticamente uma chave KMS AWS gerenciada (aws/workspaces) em sua conta. Você pode selecionar essa chave KMS AWS gerenciada para criptografar os volumes raiz e de usuário do seu. WorkSpace Para obter detalhes, consulte Visão geral da WorkSpaces criptografia usando AWS KMS.

    Você pode visualizar essa chave KMS AWS gerenciada, incluindo suas políticas e concessões, e pode rastrear seu uso em AWS CloudTrail registros, mas não pode usar ou gerenciar essa chave KMS. WorkSpaces A Amazon cria e gerencia essa chave KMS. Somente a Amazon WorkSpaces pode usar essa chave KMS e WorkSpaces pode usá-la somente para criptografar WorkSpaces recursos em sua conta.

    AWS As chaves KMS gerenciadas, incluindo a que a Amazon WorkSpaces suporta, são trocadas a cada três anos. Para obter detalhes, consulte AWS KMS Chave rotativa no Guia do AWS Key Management Service desenvolvedor.

  • Chave KMS gerenciada pelo cliente — Como alternativa, você pode selecionar uma chave KMS simétrica gerenciada pelo cliente que você criou usando. AWS KMSÉ possível visualizar, usar e gerenciar essa chave do KMS, além de definir suas políticas. Para obter mais informações sobre como criar chaves do KMS, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service . Para obter mais informações sobre a criação de chaves KMS usando a AWS KMS API, consulte Como trabalhar com chaves no Guia do AWS Key Management Service desenvolvedor.

    As chaves do KMS gerenciadas pelo cliente não são alternadas automaticamente, a menos que você decida habilitar a alternância automática de chaves. Para obter detalhes, consulte AWS KMS Chaves rotativas no Guia do AWS Key Management Service desenvolvedor.

Importante

Ao girar manualmente as chaves KMS, você deve manter a chave KMS original e a nova chave KMS ativadas para que AWS KMS possa descriptografar a chave KMS original criptografada WorkSpaces . Se você não quiser manter a chave KMS original ativada, você deve recriá-la WorkSpaces e criptografá-la usando a nova chave KMS.

Você deve atender aos seguintes requisitos para usar uma AWS KMS chave para criptografar seu WorkSpaces:

Limites

  • Você não pode criptografar um existente WorkSpace. Você deve criptografar um WorkSpace ao iniciá-lo.

  • Não WorkSpace há suporte para criar uma imagem personalizada a partir de uma imagem criptografada.

  • A desativação da criptografia para um criptografado não WorkSpace é suportada atualmente.

  • WorkSpaces lançado com a criptografia de volume raiz ativada, pode levar até uma hora para ser provisionado.

  • Para reinicializar ou reconstruir um criptografado WorkSpace, primeiro verifique se a AWS KMS chave está ativada; caso contrário, WorkSpace ela se tornará inutilizável. Para determinar se uma chave do KMS está habilitada, consulte Displaying KMS Key Details no Guia do desenvolvedor do AWS Key Management Service .

Visão geral da WorkSpaces criptografia usando AWS KMS

Quando você cria WorkSpaces com volumes criptografados, WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O Amazon EBS criptografa os volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. Tanto o Amazon EBS quanto a Amazon WorkSpaces usam sua chave KMS para trabalhar com os volumes criptografados. Para obter mais informações sobre a criptografia de volume do EBS, consulte Amazon EBS Encryption no Guia do usuário do Amazon EC2.

Quando você inicia WorkSpaces com volumes criptografados, o end-to-end processo funciona assim:

  1. Você especifica a chave KMS a ser usada para criptografia, bem como o usuário e o diretório do WorkSpace. Essa ação cria uma concessão que permite WorkSpaces usar sua chave KMS somente para isso, ou WorkSpace seja, somente para a WorkSpace associada ao usuário e diretório especificados.

  2. WorkSpaces cria um volume do EBS criptografado para o WorkSpace e especifica a chave KMS a ser usada, bem como o usuário e o diretório do volume. Essa ação cria uma concessão que permite que o Amazon EBS use sua chave KMS somente para esse WorkSpace volume, ou seja, somente para o WorkSpace associado ao usuário e diretório especificados e somente para o volume especificado.

  3. O Amazon EBS solicita uma chave de dados de volume que é criptografada sob sua chave KMS e especifica o identificador de segurança do Active Directory (SID) e o ID do AWS Directory Service diretório do WorkSpace usuário, bem como o ID do volume do Amazon EBS como contexto de criptografia.

  4. AWS KMS cria uma nova chave de dados, a criptografa sob sua chave KMS e, em seguida, envia a chave de dados criptografada para o Amazon EBS.

  5. WorkSpaces usa o Amazon EBS para anexar o volume criptografado ao seu WorkSpace. O Amazon EBS envia a chave de dados criptografada para AWS KMS com uma Decryptsolicitação e especifica o SID do WorkSpace usuário, o ID do diretório e o ID do volume, que é usado como contexto de criptografia.

  6. AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para o Amazon EBS.

  7. O Amazon EBS usa a chave de dados em texto simples para criptografar todos os dados enviados e recebidos do volume criptografado. O Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume estiver conectado ao WorkSpace.

  8. O Amazon EBS armazena a chave de dados criptografada (recebida emPasso 4) com os metadados do volume para uso futuro, caso você reinicie ou reconstrua o. WorkSpace

  9. Quando você usa o AWS Management Console para remover uma WorkSpace (ou usa a TerminateWorkspacesação na WorkSpaces API), WorkSpaces o Amazon EBS retira as concessões que permitiram que eles usassem sua chave KMS para isso. WorkSpace

WorkSpaces contexto de criptografia

WorkSpaces não usa sua chave KMS diretamente para operações criptográficas (como Encrypt,,, etc.) DecryptGenerateDataKey, o que significa que WorkSpaces não envia solicitações AWS KMS que incluam um contexto de criptografia. No entanto, quando o Amazon EBS solicita uma chave de dados criptografada para os seus volumes criptografados WorkSpaces (Passo 3noVisão geral da WorkSpaces criptografia usando AWS KMS) e quando solicita uma cópia em texto simples dessa chave de dados (Passo 5), ele inclui o contexto de criptografia na solicitação.

O contexto de criptografia fornece dados autenticados adicionais (AAD) que são AWS KMS usados para garantir a integridade dos dados. O contexto de criptografia também é gravado em seus arquivos de AWS CloudTrail log, o que pode ajudá-lo a entender por que uma determinada chave KMS foi usada. O Amazon EBS usa o seguinte como contexto de criptografia:

  • O identificador de segurança (SID) do usuário do Active Directory associado ao WorkSpace

  • O ID do AWS Directory Service diretório associado ao WorkSpace

  • O ID do volume do Amazon EBS do volume criptografado

O exemplo a seguir mostra uma representação JSON do contexto de criptografia usado pelo Amazon EBS:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Conceda WorkSpaces permissão para usar uma chave KMS em seu nome

Você pode proteger seus WorkSpace dados com a chave KMS AWS gerenciada para WorkSpaces (aws/workspaces) ou com uma chave KMS gerenciada pelo cliente. Se você usa uma chave KMS gerenciada pelo cliente, precisa conceder WorkSpaces permissão para usar a chave KMS em nome dos WorkSpaces administradores da sua conta. A chave KMS AWS gerenciada para WorkSpaces tem as permissões necessárias por padrão.

Para preparar sua chave KMS gerenciada pelo cliente para uso com WorkSpaces, use o procedimento a seguir.

  1. Adicione seus WorkSpaces administradores à lista de usuários-chave na política de chaves do KMS

  2. Dê aos seus WorkSpaces administradores permissões adicionais com uma política do IAM

Seus WorkSpaces administradores também precisam de permissão para usar WorkSpaces. Para obter mais informações sobre essas permissões, acesse Gerenciamento de identidade e acesso para WorkSpaces.

Parte 1: Adicionar WorkSpaces administradores como usuários-chave

Para dar aos WorkSpaces administradores as permissões de que eles precisam, você pode usar a AWS Management Console ou a AWS KMS API.

Para adicionar WorkSpaces administradores como usuários-chave de uma chave KMS (console)

  1. Faça login AWS Management Console e abra o console AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha o ID de chave ou alias da sua chave do KMS gerenciada pelo cliente preferida

  5. Selecione a guia Key policy (Política de chaves). Em Key users (Usuários de chaves), escolhaAdd (Adicionar).

  6. Na lista de usuários e funções do IAM, selecione os usuários e funções que correspondem aos seus WorkSpaces administradores e, em seguida, escolha Adicionar.

Para adicionar WorkSpaces administradores como usuários-chave de uma chave KMS (API)

  1. Use a GetKeyPolicyoperação para obter a política de chaves existente e, em seguida, salve o documento de política em um arquivo.

  2. Abra o documento de política no editor de texto de sua preferência. Adicione os usuários e funções do IAM que correspondem aos seus WorkSpaces administradores às declarações de política que dão permissão aos principais usuários. Salve o arquivo.

  3. Use a PutKeyPolicyoperação para aplicar a política de chaves à chave KMS.

Parte 2: Conceda permissões adicionais WorkSpaces aos administradores usando uma política do IAM

Se você selecionar uma chave KMS gerenciada pelo cliente para usar para criptografia, deverá estabelecer políticas do IAM que permitam WorkSpaces à Amazon usar a chave KMS em nome de um usuário do IAM em sua conta que inicia a criptografia. WorkSpaces Esse usuário também precisa de permissão para usar a Amazon WorkSpaces. Para obter mais informações sobre como criar e editar políticas de usuários do IAM, consulte Gerenciamento de políticas do IAM no Guia do usuário do IAM e em Gerenciamento de identidade e acesso para WorkSpaces.

WorkSpaces a criptografia requer acesso limitado à chave KMS. Veja a seguir um exemplo de política de chaves que pode ser usada. Essa política separa as entidades principais que podem gerenciar a chave do AWS KMS daquelas que podem usá-la. Antes de usar esse exemplo de política de chaves, substitua o exemplo de ID da conta e o nome de usuário do IAM pelos valores reais da sua conta.

A primeira declaração corresponde à política de AWS KMS chaves padrão. Isso concede à sua conta permissão para usar políticas do IAM para controlar o acesso à chave do KMS. A segunda e a terceira declarações definem quais AWS diretores podem gerenciar e usar a chave, respectivamente. A quarta declaração permite que os AWS serviços integrados AWS KMS usem a chave em nome do principal especificado. Essa declaração permite que os serviços da AWS criem e gerenciem concessões. A declaração usa um elemento condicional que limita as concessões da chave KMS às concedidas por AWS serviços em nome dos usuários em sua conta.

nota

Se seus WorkSpaces administradores usarem o AWS Management Console para criar WorkSpaces com volumes criptografados, eles precisarão de permissão para listar aliases e chaves de lista (as permissões "kms:ListAliases" e"kms:ListKeys"). Se seus WorkSpaces administradores usarem somente a WorkSpaces API da Amazon (não o console), você poderá omitir as permissões "kms:ListAliases" e. "kms:ListKeys"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

A política do IAM para um usuário ou função que está criptografando um WorkSpace deve incluir permissões de uso na chave KMS gerenciada pelo cliente, bem como acesso a. WorkSpaces Para conceder WorkSpaces permissões a um usuário ou função do IAM, você pode anexar o exemplo de política a seguir ao usuário ou função do IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

A política do IAM a seguir é exigida pelo usuário para usar o AWS KMS. Ela concede ao usuário acesso somente leitura à chave do KMS juntamente com a capacidade de criar concessões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Se você quiser especificar a chave do KMS em sua política, use uma política do IAM semelhante ao exemplo a seguir. Substitua o ARN da chave do KMS de exemplo por um válido.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Criptografar um WorkSpace

Para criptografar um WorkSpace

  1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

  2. Escolha Iniciar WorkSpaces e conclua as três primeiras etapas.

  3. Para a etapa WorkSpaces de configuração, faça o seguinte:

    1. Selecione os volumes a serem criptografados: Volume raiz, Volume de usuário ou os dois volumes.

    2. Para Chave de criptografia, selecione uma AWS KMS chave, seja a chave KMS AWS gerenciada criada pela Amazon WorkSpaces ou uma chave KMS que você criou. A chave do KMS que você seleciona deve ser simétrica. A Amazon WorkSpaces não oferece suporte a chaves KMS assimétricas.

    3. Escolha Next Step.

  4. Escolha Iniciar WorkSpaces.

Visualização criptografada WorkSpaces

Para ver quais volumes WorkSpaces e volumes foram criptografados no WorkSpaces console, escolha na barra WorkSpacesde navegação à esquerda. A coluna Criptografia de volume mostra se cada uma WorkSpace tem a criptografia ativada ou desativada. Para ver quais volumes específicos foram criptografados, expanda a WorkSpace entrada para ver o campo Volumes criptografados.