本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的基础设施安全 WorkSpaces
作为一项托管服务,Amazon WorkSpaces 受到 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅AWS 云安全
您可以使用 AWS 已发布的 API 调用 WorkSpaces 通过网络进行访问。客户端必须支持以下内容:
-
传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 AWS Security Token Service(AWS STS)生成临时安全凭证来对请求进行签名。
网络隔离
虚拟私有云 (VPC) 是位于 AWS 云中您自己的逻辑隔离区域中的虚拟网络。您可以 WorkSpaces 在 VPC 的私有子网中部署。有关更多信息,请参阅 为 WorkSpaces 个人配置 VPC。
要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新 VPC 的安全组或使用 IP 访问控制组。
您可以使用有效证书限制对受信任设备的 WorkSpace 访问。有关更多信息,请参阅 限制 WorkSpaces 个人用户访问可信设备。
物理主机上的隔离
同一台物理主机 WorkSpaces 上的不同通过虚拟机管理程序相互隔离。这就好像它们位于单独的物理主机上。删除 a WorkSpace 后,虚拟机管理程序会清理分配给它的内存(设置为零),然后再将其分配给新的虚拟机管理程序。 WorkSpace
企业用户授权
使用 WorkSpaces,目录是通过管理的 AWS Directory Service。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅 管理 WorkSpaces 个人版的目录。
要进一步控制对您的访问权限 WorkSpaces,请使用多因素身份验证。有关更多信息,请参阅如何为 AWS 服务启用多因素身份验证。
通过 VPC WorkSpaces 接口终端节点发出亚马逊 API 请求
您可以通过虚拟私有云 (VPC) 中的接口终端节点直接连接到 Amazon WorkSpaces API 终端节点,而不必通过互联网进行连接。当您使用 VPC 接口终端节点时,您的 VPC 和 Amazon WorkSpaces API 终端节点之间的通信将在 AWS 网络内完全安全地进行。
注意
此功能只能用于连接 WorkSpaces API 端点。要 WorkSpaces 使用 WorkSpaces 客户端进行连接,需要互联网连接,如中所述 WorkSpaces 个人的 IP 地址和端口要求。
亚马逊 WorkSpaces API 终端节点支持由提供支持的亚马逊虚拟私有云(亚马逊 VPC)接口终端节点AWS PrivateLink
VPC 接口终端节点将您的 VPC 直接连接到 Amazon WorkSpaces API 终端节点,无需互联网网关、NAT 设备、VPN AWS Direct Connect 连接或连接。您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon WorkSpaces API 终端节点通信。
您可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 命令创建连接到 Amazon WorkSpaces 的接口终端节点。有关说明,请参阅创建接口端点。
创建 VPC 终端节点后,您可以使用以下示例 CLI 命令,这些命令使用endpoint-url参数指定 Amazon WorkSpaces API 终端节点的接口终端节点:
aws workspaces copy-workspace-image --endpoint-urlVPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
如果为 VPC 端点启用专用 DNS 主机名,您不需要指定端点 URL。CLI 和亚马逊 SD WorkSpaces K 默认使用的亚马逊 WorkSpaces API DNS 主机名 (https://api.workspaces。 Region.amazonaws.com) 解析到您的 VPC 终端节点。
Amazon WorkSpaces API 终端节点在同时提供亚马逊 VP C 和亚马逊 WorkSpaces
要了解更多信息 AWS PrivateLink,请参阅AWS PrivateLink 文档。有关 VPC 端点的价格,请参阅 VPC 定价
要查看按地区划分 WorkSpaces 的 Amazon API 终端节点列表,请参阅 WorkSpaces API 终端节点。
注意
联邦信息处理标准 (FIPS) 亚马逊 WorkSpaces API 终端节点不支持带 AWS PrivateLink 的亚马逊 WorkSpaces API 终端节点。
为亚马逊创建 VPC 终端节点策略 WorkSpaces
您可以为亚马逊的 Amazon VPC 终端节点创建策略 WorkSpaces ,以指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问权限。
注意
联邦信息处理标准 (FIPS) 的亚马逊终端节点不支持 VPC WorkSpaces 终端节点策略。
以下示例 VPC 终端节点策略指定允许有权访问 VPC 接口终端节点的所有用户调用名为的 Amazon WorkSpaces 托管终端节点ws-f9abcdefg。
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
在本例中,拒绝以下操作:
-
调用除之外的
ws-f9abcdefg亚马逊 WorkSpaces 托管的终端节点。 -
对除指定资源之外的任何资源执行操作 (WorkSpace ID:
ws-f9abcdefg)。
注意
在此示例中,用户仍然可以从 VPC 外部执行其他 Amazon WorkSpaces API 操作。要限制从 VPC 内部调用 API,请参阅,了解有关使用基于身份的身份和访问管理 WorkSpaces的策略来控制 Amazon WorkSpaces API 终端节点访问权限的信息。
将您的专用网络连接到 VPC
要通过您的 VPC 调用 Amazon WorkSpaces API,您必须从 VPC 内的实例进行连接,或者使用 AWS Virtual Private Network (AWS VPN) 或将您的私有网络连接到 VPC AWS Direct Connect。相关信息,请参阅《Amazon虚拟私有云用户指南》中的 VPN 连接。有关信息 AWS Direct Connect,请参阅《AWS Direct Connect 用户指南》中的创建连接。
