Criptografado WorkSpaces em WorkSpaces Pessoal - Amazon WorkSpaces
Pré-requisitosLimitesVisão geral da WorkSpaces criptografia usando AWS KMSWorkSpaces contexto de criptografiaConceda WorkSpaces permissão para usar uma KMS chave em seu nomeCriptografar um WorkSpaceVisualização criptografada WorkSpaces

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografado WorkSpaces em WorkSpaces Pessoal

WorkSpaces está integrado com o AWS Key Management Service (AWS KMS). Isso permite que você criptografe volumes de armazenamento WorkSpaces usando o AWS KMS Key. Ao iniciar um WorkSpace, você pode criptografar o volume raiz (para Microsoft Windows, a unidade C; para Linux,/) e o volume do usuário (para Windows, a unidade D; para Linux, /home). Isso garante que os dados armazenados em repouso, E/S do disco para o volume e snapshots criados a partir dos volumes sejam todos criptografados.

nota

Pré-requisitos

Você precisa de uma AWS KMS chave antes de começar o processo de criptografia. Essa KMS chave pode ser a KMSchave AWS gerenciada pela Amazon WorkSpaces (aws/workspaces) ou uma chave simétrica gerenciada pelo cliente. KMS

  • AWS KMSChaves gerenciadas — Na primeira vez que você inicia uma chave não criptografada a WorkSpace partir do WorkSpaces console em uma região, a Amazon cria WorkSpaces automaticamente uma KMS chave AWS gerenciada (aws/workspaces) em sua conta. Você pode selecionar essa KMS chave AWS gerenciada para criptografar os volumes de usuário e raiz do seu WorkSpace. Para obter detalhes, consulte Visão geral da WorkSpaces criptografia usando AWS KMS.

    Você pode ver essa KMS chave AWS gerenciada, incluindo suas políticas e concessões, e pode rastrear seu uso em AWS CloudTrail registros, mas não pode usar ou gerenciar essa KMS chave. WorkSpaces A Amazon cria e gerencia essa KMS chave. Somente a Amazon WorkSpaces pode usar essa KMS chave e WorkSpaces pode usá-la somente para criptografar WorkSpaces recursos em sua conta.

    AWS As KMS chaves gerenciadas, incluindo a que a Amazon WorkSpaces oferece suporte, são alternadas todos os anos. Para obter detalhes, consulte AWS KMS Chave rotativa no Guia do AWS Key Management Service desenvolvedor.

  • KMSChave gerenciada pelo cliente — Como alternativa, você pode selecionar uma KMS chave simétrica gerenciada pelo cliente que você criou usando AWS KMS. Você pode visualizar, usar e gerenciar essa KMS chave, inclusive definir suas políticas. Para obter mais informações sobre a criação de KMS chaves, consulte Criação de chaves no Guia do AWS Key Management Service desenvolvedor. Para obter mais informações sobre como criar KMS chaves usando o AWS KMS API, consulte Como trabalhar com chaves no Guia do AWS Key Management Service desenvolvedor.

    KMSAs chaves gerenciadas pelo cliente não são alternadas automaticamente, a menos que você decida ativar a rotação automática de chaves. Para obter detalhes, consulte AWS KMS Chaves rotativas no Guia do AWS Key Management Service desenvolvedor.

Importante

Ao girar manualmente KMS as chaves, você deve manter a KMS chave original e a nova KMS chave ativadas para que AWS KMS possa descriptografar a WorkSpaces chave original criptografada. KMS Se você não quiser manter a KMS chave original ativada, você deve recriá-la WorkSpaces e criptografá-la usando a nova KMS chave.

Você deve atender aos seguintes requisitos para usar uma AWS KMS chave para criptografar seu WorkSpaces:

Limites

  • Você não pode criptografar um existente WorkSpace. Você deve criptografar um WorkSpace ao iniciá-lo.

  • Não WorkSpace há suporte para criar uma imagem personalizada a partir de uma imagem criptografada.

  • A desativação da criptografia para um criptografado não WorkSpace é suportada atualmente.

  • WorkSpaces lançado com a criptografia de volume raiz ativada, pode levar até uma hora para ser provisionado.

  • Para reinicializar ou reconstruir um criptografado WorkSpace, primeiro verifique se a AWS KMS chave está ativada; caso contrário, WorkSpace ela se tornará inutilizável. Para determinar se uma KMS chave está ativada, consulte Exibindo detalhes da KMS chave no Guia do AWS Key Management Service desenvolvedor.

Visão geral da WorkSpaces criptografia usando AWS KMS

Quando você cria WorkSpaces com volumes criptografados, WorkSpaces usa o Amazon Elastic Block Store (AmazonEBS) para criar e gerenciar esses volumes. A Amazon EBS criptografa seus volumes com uma chave de dados usando o algoritmo -256 padrão do setorAES. Tanto a Amazon EBS quanto a Amazon WorkSpaces usam sua KMS chave para trabalhar com os volumes criptografados. Para obter mais informações sobre criptografia de EBS volume, consulte Amazon EBS Encryption no Amazon EC2 User Guide.

Quando você inicia WorkSpaces com volumes criptografados, o end-to-end processo funciona assim:

  1. Você especifica a KMS chave a ser usada para criptografia, bem como o usuário e o diretório para WorkSpace o. Essa ação cria uma concessão que permite WorkSpaces usar sua KMS chave somente para isso, ou WorkSpace seja, somente para a WorkSpace associada ao usuário e diretório especificados.

  2. WorkSpaces cria um EBS volume criptografado para o WorkSpace e especifica a KMS chave a ser usada, bem como o usuário e o diretório do volume. Essa ação cria uma concessão que permite que EBS a Amazon use sua KMS chave somente para esse WorkSpace volume, ou seja, somente para o WorkSpace associado ao usuário e diretório especificados e somente para o volume especificado.

  3. A Amazon EBS solicita uma chave de dados de volume que é criptografada sob sua KMS chave e especifica o identificador de segurança do Active Directory (SID) e o ID do AWS Directory Service diretório do WorkSpace usuário, bem como o ID do EBS volume da Amazon como contexto de criptografia.

  4. AWS KMS cria uma nova chave de dados, a criptografa sob sua KMS chave e, em seguida, envia a chave de dados criptografada para a AmazonEBS.

  5. WorkSpaces usa EBS a Amazon para anexar o volume criptografado ao seu WorkSpace. A Amazon EBS envia a chave de dados criptografada para AWS KMS com uma Decryptsolicitação e especifica a do WorkSpace usuárioSID, a ID do diretório e a ID do volume, que é usada como contexto de criptografia.

  6. AWS KMS usa sua KMS chave para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para a Amazon. EBS

  7. A Amazon EBS usa a chave de dados de texto simples para criptografar todos os dados que entram e saem do volume criptografado. A Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume estiver conectado ao WorkSpace.

  8. A Amazon EBS armazena a chave de dados criptografada (recebida emPasso 4) com os metadados do volume para uso futuro, caso você reinicie ou reconstrua o. WorkSpace

  9. Quando você usa o AWS Management Console para remover um WorkSpace (ou usa a TerminateWorkspacesação no WorkSpaces API), WorkSpaces e a Amazon EBS retira as concessões que permitiram que eles usassem sua KMS chave para isso WorkSpace.

WorkSpaces contexto de criptografia

WorkSpaces não usa sua KMS chave diretamente para operações criptográficas (como Encrypt,, Decrypt, etc.) GenerateDataKey, o que significa que WorkSpaces não envia solicitações AWS KMS que incluam um contexto de criptografia. No entanto, quando a Amazon EBS solicita uma chave de dados criptografada para os seus volumes criptografados WorkSpaces (Passo 3noVisão geral da WorkSpaces criptografia usando AWS KMS) e quando solicita uma cópia em texto simples dessa chave de dados (Passo 5), ela inclui o contexto de criptografia na solicitação.

O contexto de criptografia fornece dados autenticados adicionais (AAD) que são AWS KMS usados para garantir a integridade dos dados. O contexto de criptografia também é gravado em seus arquivos de AWS CloudTrail log, o que pode ajudar você a entender por que uma determinada KMS chave foi usada. A Amazon EBS usa o seguinte para o contexto de criptografia:

  • O identificador de segurança (SID) do usuário do Active Directory associado ao WorkSpace

  • O ID do AWS Directory Service diretório associado ao WorkSpace

  • O ID EBS do volume criptografado da Amazon

O exemplo a seguir mostra uma JSON representação do contexto de criptografia que a Amazon EBS usa:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Conceda WorkSpaces permissão para usar uma KMS chave em seu nome

Você pode proteger seus WorkSpace dados com a KMS chave AWS gerenciada para WorkSpaces (aws/workspaces) ou com uma chave gerenciada pelo cliente. KMS Se você usa uma KMS chave gerenciada pelo cliente, precisa conceder WorkSpaces permissão para usar a KMS chave em nome dos WorkSpaces administradores da sua conta. A KMS chave AWS gerenciada para WorkSpaces tem as permissões necessárias por padrão.

Para preparar sua KMS chave gerenciada pelo cliente para uso com WorkSpaces, use o procedimento a seguir.

  1. Adicione seus WorkSpaces administradores à lista de usuários-chave na política de KMS chaves da chave

  2. Dê aos seus WorkSpaces administradores permissões adicionais com uma política IAM

Seus WorkSpaces administradores também precisam de permissão para usar WorkSpaces. Para obter mais informações sobre essas permissões, acesse Gerenciamento de identidade e acesso para WorkSpaces.

Parte 1: Adicionar WorkSpaces administradores como usuários-chave

Para dar aos WorkSpaces administradores as permissões de que eles precisam, você pode usar o. AWS Management Console ou o. AWS KMS API

Para adicionar WorkSpaces administradores como usuários-chave de uma KMS chave (console)

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha o ID da chave ou o alias da KMS chave gerenciada pelo cliente de sua preferência.

  5. Selecione a guia Key policy (Política de chaves). Em Key users (Usuários de chaves), escolhaAdd (Adicionar).

  6. Na lista de IAM usuários e funções, selecione os usuários e funções que correspondem aos seus WorkSpaces administradores e, em seguida, escolha Adicionar.

Para adicionar WorkSpaces administradores como usuários-chave de uma KMS Key () API

  1. Use a GetKeyPolicyoperação para obter a política de chaves existente e, em seguida, salve o documento de política em um arquivo.

  2. Abra o documento de política no editor de texto de sua preferência. Adicione os IAM usuários e as funções que correspondem aos seus WorkSpaces administradores às declarações de política que dão permissão aos principais usuários. Salve o arquivo.

  3. Use a PutKeyPolicyoperação para aplicar a política de chaves à KMS chave.

Parte 2: Conceder permissões adicionais WorkSpaces aos administradores usando uma política IAM

Se você selecionar uma KMS chave gerenciada pelo cliente para usar na criptografia, deverá estabelecer IAM políticas que permitam que WorkSpaces a Amazon use a KMS chave em nome de um IAM usuário em sua conta que inicia a criptografia WorkSpaces. Esse usuário também precisa de permissão para usar a Amazon WorkSpaces. Para obter mais informações sobre como criar e editar políticas de IAM usuário, consulte Gerenciamento de IAM políticas no Guia IAM do usuário Gerenciamento de identidade e acesso para WorkSpaces e.

WorkSpaces a criptografia requer acesso limitado à KMS chave. Veja a seguir um exemplo de política de chaves que pode ser usada. Essa política separa as entidades principais que podem gerenciar a chave do AWS KMS daquelas que podem usá-la. Antes de usar esse exemplo de política de chaves, substitua o exemplo de ID da conta e o nome de usuário do IAM pelos valores reais da sua conta.

A primeira declaração corresponde à política de AWS KMS chaves padrão. Ele dá permissão à sua conta para usar IAM políticas para controlar o acesso à KMS chave. A segunda e a terceira declarações definem quais AWS diretores podem gerenciar e usar a chave, respectivamente. A quarta declaração permite que os AWS serviços integrados AWS KMS usem a chave em nome do principal especificado. Essa declaração permite que os serviços da AWS criem e gerenciem concessões. A declaração usa um elemento condicional que limita as concessões da KMS Chave àquelas feitas por AWS serviços em nome dos usuários em sua conta.

nota

Se seus WorkSpaces administradores usarem o AWS Management Console para criar WorkSpaces com volumes criptografados, eles precisarão de permissão para listar aliases e chaves de lista (as permissões "kms:ListAliases" e"kms:ListKeys"). Se seus WorkSpaces administradores usam somente a Amazon WorkSpaces API (não o console), você pode omitir as permissões "kms:ListAliases" e. "kms:ListKeys"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

A IAM política de um usuário ou função que está criptografando um WorkSpace deve incluir permissões de uso na KMS chave gerenciada pelo cliente, bem como acesso a. WorkSpaces Para conceder WorkSpaces permissões a um IAM usuário ou função, você pode anexar o exemplo de política a seguir ao IAM usuário ou função.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

A política do IAM a seguir é exigida pelo usuário para usar o AWS KMS. Ele dá ao usuário acesso somente de leitura à KMS chave, além da capacidade de criar concessões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Se você quiser especificar a KMS chave em sua política, use uma IAM política semelhante à seguinte. Substitua a KMS chave ARN de exemplo por uma válida.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Criptografar um WorkSpace

Para criptografar um WorkSpace

  1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

  2. Escolha Iniciar WorkSpaces e conclua as três primeiras etapas.

  3. Para a etapa WorkSpaces de configuração, faça o seguinte:

    1. Selecione os volumes a serem criptografados: Volume raiz, Volume de usuário ou os dois volumes.

    2. Para Chave de criptografia, selecione uma AWS KMS chave, seja a KMS chave AWS gerenciada criada pela Amazon WorkSpaces ou uma KMS chave que você criou. A KMS chave selecionada deve ser simétrica. A Amazon WorkSpaces não oferece suporte a chaves assimétricasKMS.

    3. Escolha Próxima etapa.

  4. Escolha Executar WorkSpaces.

Visualização criptografada WorkSpaces

Para ver quais volumes WorkSpaces e volumes foram criptografados no WorkSpaces console, escolha na barra WorkSpacesde navegação à esquerda. A coluna Criptografia de volume mostra se cada uma WorkSpace tem a criptografia ativada ou desativada. Para ver quais volumes específicos foram criptografados, expanda a WorkSpace entrada para ver o campo Volumes criptografados.