Segurança da infraestrutura na Amazon WorkSpaces - Amazon WorkSpaces
Isolamento de redeIsolamento em hosts físicosAutorização de usuários corporativosFaça WorkSpaces API solicitações da Amazon por meio de um endpoint de VPC interfaceCrie uma política de VPC endpoint para a Amazon WorkSpacesConecte sua rede privada à sua VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança da infraestrutura na Amazon WorkSpaces

Como um serviço gerenciado, a Amazon WorkSpaces é protegida pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security. Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte Proteção de infraestrutura no Security Pillar AWS Well‐Architected Framework.

Você usa API chamadas AWS publicadas para acessar WorkSpaces pela rede. Os clientes devem oferecer suporte para:

  • Segurança da camada de transporte (TLS). Exigimos TLS 1,2 e recomendamos TLS 1,3.

  • Suítes de criptografia com sigilo direto perfeito (), como (Ephemeral PFS Diffie-Hellman) ou DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas usando uma ID de chave de acesso e uma chave de acesso secreta associada a um IAM principal. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Isolamento de rede

Uma nuvem privada virtual (VPC) é uma rede virtual em sua própria área logicamente isolada na AWS nuvem. Você pode implantar o seu WorkSpaces em uma sub-rede privada no seuVPC. Para obter mais informações, consulte Configurar uma VPC para uso pessoal WorkSpaces .

Para permitir tráfego somente de intervalos de endereços específicos (por exemplo, da sua rede corporativa), atualize o grupo de segurança para você VPC ou use um grupo de controle de acesso IP.

Você pode restringir o WorkSpace acesso a dispositivos confiáveis com certificados válidos. Para obter mais informações, consulte Restrinja o acesso a dispositivos confiáveis para o WorkSpaces Personal.

Isolamento em hosts físicos

Diferentes WorkSpaces no mesmo host físico são isolados uns dos outros por meio do hipervisor. É como se estivessem em hosts físicos separados. Quando a WorkSpace é excluída, a memória alocada a ela é limpa (definida como zero) pelo hipervisor antes de ser alocada para uma nova. WorkSpace

Autorização de usuários corporativos

Com WorkSpaces, os diretórios são gerenciados por meio do AWS Directory Service. É possível criar um diretório gerenciado autônomo para os usuários. Ou é possível integrar com seu ambiente do Active Directory existente para que os usuários possam usar suas credenciais atuais para obter acesso contínuo aos recursos corporativos. Para obter mais informações, consulte Gerenciar diretórios para WorkSpaces Personal.

Para controlar ainda mais o acesso ao seu WorkSpaces, use a autenticação multifatorial. Para obter mais informações, consulte Como habilitar a autenticação multifator para AWS serviços.

Faça WorkSpaces API solicitações da Amazon por meio de um endpoint de VPC interface

Você pode se conectar diretamente aos WorkSpaces API endpoints da Amazon por meio de um endpoint de interface em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Quando você usa um endpoint de VPC interface, a comunicação entre você VPC e o WorkSpaces API endpoint da Amazon é conduzida de forma completa e segura dentro da rede. AWS

nota

Esse recurso só pode ser usado para conexão com WorkSpaces API endpoints. Para se conectar WorkSpaces usando os WorkSpaces clientes, é necessária conectividade com a Internet, conforme descrito emRequisitos de endereço IP e porta para o WorkSpaces Personal.

Os WorkSpaces API endpoints da Amazon oferecem suporte a endpoints de interface da Amazon Virtual Private Cloud (AmazonVPC) que são alimentados por. AWS PrivateLink Cada VPC endpoint é representado por uma ou mais interfaces de rede (também conhecidas como interfaces de rede elástica ouENIs) com endereços IP privados em suas VPC sub-redes.

O endpoint da VPC interface conecta você VPC diretamente ao WorkSpaces API endpoint da Amazon sem um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias em seu VPC não precisam de endereços IP públicos para se comunicar com o WorkSpaces API endpoint da Amazon.

Você pode criar um endpoint de interface para se conectar à Amazon WorkSpaces com os comandos AWS Management Console ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Criar um endpoint de interface.

Depois de criar um VPC endpoint, você pode usar os seguintes exemplos de CLI comandos que usam o endpoint-url parâmetro para especificar endpoints de interface para o endpoint da Amazon WorkSpaces API:

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

Se você habilitar DNS nomes de host privados para seu VPC endpoint, não precisará especificar o endpoint. URL O WorkSpaces API DNS nome de host da Amazon que a CLI e a Amazon WorkSpaces SDK usam por padrão (https://api.workspaces.Region.amazonaws.com) resolve para seu endpoint. VPC

O WorkSpaces API endpoint da Amazon oferece suporte a VPC endpoints em todas as AWS regiões em que a Amazon e a VPC Amazon WorkSpaces estão disponíveis. A Amazon WorkSpaces oferece suporte para fazer chamadas para todo o público APIs dentro do seuVPC.

Para saber mais sobre isso AWS PrivateLink, consulte a AWS PrivateLink documentação. Para saber o preço dos VPC endpoints, consulte VPCPreços. Para saber mais sobre endpoints VPC e endpoints, consulte Amazon VPC.

Para ver uma lista de WorkSpaces API endpoints da Amazon por região, consulte WorkSpaces APIEndpoints.

nota

Os WorkSpaces API endpoints da Amazon com não AWS PrivateLink são compatíveis com os WorkSpaces API endpoints da Amazon do Federal Information Processing Standard (FIPS).

Você pode criar uma política para VPC endpoints da Amazon para WorkSpaces a Amazon para especificar o seguinte:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlando o acesso a serviços com VPC endpoints no Guia do VPC usuário da Amazon.

nota

VPCas políticas de endpoint não são compatíveis com WorkSpaces endpoints da Amazon do Federal Information Processing Standard (FIPS).

O exemplo de política de VPC endpoint a seguir especifica que todos os usuários que têm acesso ao endpoint da VPC interface podem invocar o endpoint hospedado pela WorkSpaces Amazon chamado. ws-f9abcdefg

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

Neste exemplo, as seguintes ações são negadas:

  • Invocando endpoints WorkSpaces hospedados pela Amazon que não sejam. ws-f9abcdefg

  • Executando uma ação em qualquer recurso além do especificado (WorkSpace ID:ws-f9abcdefg).

nota

Neste exemplo, os usuários ainda podem realizar outras WorkSpaces API ações da Amazon de fora doVPC. Para restringir API chamadas para pessoas de dentro doVPC, consulte Gerenciamento de identidade e acesso para WorkSpaces para obter informações sobre o uso de políticas baseadas em identidade para controlar o acesso aos endpoints da Amazon WorkSpaces API.

Para ligar para a Amazon WorkSpaces API por meio do seuVPC, você precisa se conectar a partir de uma instância que esteja dentro daVPC, ou conectar sua rede privada à sua VPC usando AWS Virtual Private Network (AWS VPN) ou AWS Direct Connect. Para obter informações, consulte VPNConexões no Guia do usuário da Amazon Virtual Private Cloud. Para obter informações sobre AWS Direct Connect, consulte Criação de uma conexão no Guia AWS Direct Connect do usuário.