本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
WorkSpaces 在 WorkSpaces 個人中加密
WorkSpaces 與整合 AWS Key Management Service (AWS KMS). 這可讓您加密 WorkSpaces 使用的儲存磁碟區 AWS KMS 鑰匙。當您啟動時 WorkSpace,您可以加密根磁碟區(適用於 Microsoft 視窗,C 磁碟機;對於 Linux,/)和使用者磁碟區(適用於視窗,D 磁碟機;對於 Linux,/home)。這麼做可確保靜態儲存的資料、磁碟區的磁碟 I/O,以及從磁碟區建立的快照全都加密。
注意
除了加密您的 WorkSpaces,您還可以在某些情況下使用FIPS端點加密 AWS 美國地區。如需詳細資訊,請參閱設定 WorkSpaces 個人的 FedRAMP 授權或 DoD SRG合規。
BitLocker Amazon 不支持加密 WorkSpaces。
目錄
必要條件
你需要一個 AWS KMS 在您可以開始加密程序之前,先設定金鑰。此KMS密鑰可以是 AWS適用於 Amazon 的受管KMS金鑰 WorkSpaces (aws/Workspace) 或對稱的客戶受管金鑰。KMS
-
AWS 受管KMS金鑰 — 當您第一次 WorkSpace 從區域的 WorkSpaces 主控台啟動未加密的金鑰時,Amazon WorkSpaces 會自動建立 AWS 您帳戶中的託管KMS密鑰(aw/ 工作區)。你可以選擇這個 AWS 託管密KMS鑰,用於加密您的 WorkSpace. 如需詳細資訊,請參閱 使用的 WorkSpaces 加密概述 AWS KMS。
你可以查看這個 AWS 受管理的KMS金鑰,包括其政策和授權,並且可以追蹤其在中的使用情況 AWS CloudTrail 記錄,但您無法使用或管理此KMS金鑰。Amazon WorkSpaces 創建和管理這個KMS密鑰。只有 Amazon WorkSpaces 可以使用此KMS金鑰,而且只 WorkSpaces 能用來加密您帳戶中的 WorkSpaces 資源。
AWS 受管KMS金鑰 (包括 Amazon WorkSpaces 支援的金鑰) 每三年輪換一次。詳情請參閱旋轉 AWS KMS 鍵入「」AWS Key Management Service 開發人員指南。
-
客戶管理的KMS金鑰 — 或者,您可以選取您使用建立的對稱客戶管理KMS金鑰 AWS KMS。 您可以檢視、使用和管理此KMS金鑰,包括設定其原則。若要取得有關建立KMS金鑰的詳細資訊,請參閱在 AWS Key Management Service 開發人員指南。如需有關使用建立KMS金鑰的詳細資訊 AWS KMS API,請參閱使用中的按鍵 AWS Key Management Service 開發人員指南。
除非您決定啟用自動KMS金鑰輪換,否則客戶管理的金鑰不會自動輪替。詳情請參閱旋轉 AWS KMS 按鍵中的 AWS Key Management Service 開發人員指南。
重要
當您手動旋轉KMS按鍵時,您必須同時啟用原始金KMS鑰和新的金KMS鑰,以便 AWS KMS 可以解密原始密KMS鑰加密的。 WorkSpaces 如果您不想保持原始密KMS鑰保持啟用狀態,則必須重新創建 WorkSpaces並使用新密KMS鑰對其進行加密。
您必須符合以下要求才能使用 AWS KMS 加密您的密鑰 WorkSpaces:
-
KMS金鑰必須是對稱的。Amazon WorkSpaces 不支持非對稱KMS密鑰。如需區分對稱與非對稱KMS金鑰的相關資訊,請參閱識別對稱和非對稱金鑰 KMS AWS Key Management Service 開發人員指南。
-
必須啟用KMS金鑰。若要判斷KMS金鑰是否已啟用,請參閱中顯示KMS金鑰詳細資料 AWS Key Management Service 開發人員指南。
-
您必須擁有與KMS金鑰相關聯的正確權限和政策。如需詳細資訊,請參閱第 2 部分:使用IAM策略授予 WorkSpaces 管理員其他權限。
限制
-
您無法加密現有的 WorkSpace. 您必須在啟動 WorkSpace 時加密它。
-
不支援從加密 WorkSpace 建立自訂映像檔。
-
目前不支援停用加密 WorkSpace 的加密功能。
-
WorkSpaces 在啟用根磁碟區加密的情況下啟動可能需要長達一小時的時間來佈建。
-
若要重新開機或重建加密 WorkSpace,請先確定 AWS KMS 金鑰已啟用;否則 WorkSpace 會變成無法使用。若要判斷KMS金鑰是否已啟用,請參閱中顯示KMS金鑰詳細資料 AWS Key Management Service 開發人員指南。
使用的 WorkSpaces 加密概述 AWS KMS
使 WorkSpaces 用加密磁碟區建立時,請 WorkSpaces 使用 Amazon 彈性區塊存放區 (AmazonEBS) 建立和管理這些磁碟區。Amazon 使用業界標準的 AES -256 演算法使用資料金鑰EBS加密您的磁碟區。Amazon EBS 和 Amazon 都 WorkSpaces 使用您的密KMS鑰與加密卷一起工作。如需有關EBS磁碟區加密的詳細資訊,請參閱 Amazon EC2使用者指南中的 Amazon EBS 加密。
當您 WorkSpaces 使用加密磁碟區啟動時, end-to-end 程序的運作方式如下:
-
您可以指定用於加密的KMS金鑰,以及的使用者和目錄 WorkSpace。此動作會建立僅允許使用您 WorkSpaces 的KMS金鑰的授權,也就是 WorkSpace說,僅適用於與指定的使用者和目錄 WorkSpace相關聯的金鑰。
-
WorkSpaces 會建立加密的EBS磁碟區, WorkSpace 並指定要使用的KMS金鑰以及磁碟區的使用者和目錄。此動作會建立授權,讓 Amazon EBS 僅針對此 WorkSpace 和磁碟區使用您的KMS金鑰 — 也就是說,僅用於與指定的使用者和目錄 WorkSpace 相關聯的金鑰,而且僅用於指定的磁碟區。
-
Amazon EBS 請求在您的金鑰下加密的磁碟區資料KMS金鑰,並指定 WorkSpace 使用者的 Active Directory 安全識別碼 (SID) 和 AWS Directory Service 目錄識別碼以及 Amazon EBS 磁碟區 ID 做為加密內容。
-
AWS KMS 建立新的資料金鑰,在您的金鑰下加密該KMS金鑰,然後將加密的資料金鑰傳送給 Amazon EBS。
-
WorkSpaces 使用 Amazon EBS 將加密卷附加到您的 WorkSpace. Amazon EBS 將加密的數據密鑰發送到 AWS KMS 與
Decrypt請求SID,並指定用 WorkSpace 戶的目錄 ID 和卷 ID,這是用來作為加密上下文。 -
AWS KMS 使用您的密KMS鑰解密數據密鑰,然後將純文本數據密鑰發送到 Amazon EBS。
-
Amazon EBS 使用純文字資料金鑰來加密進出加密磁碟區的所有資料。只要磁碟區連接到,Amazon 就會將純文字資料金鑰EBS保留在記憶體中 WorkSpace。
-
Amazon 會將加密的資料金鑰 (接收於步驟 4) 與磁碟區中繼資料一起EBS儲存,以備 future 在重新啟動或重建時使用 WorkSpace.
-
當您使用 AWS Management Console 刪除 WorkSpace (或使用中的
TerminateWorkspaces操作 WorkSpaces API), WorkSpaces Amazon EBS 淘汰允許他們為此使用您的KMS密鑰的 WorkSpace授權。
WorkSpaces 加密上下文
WorkSpaces 不會直接使用您的密KMS鑰進行加密操作(例如 EncryptDecrypt,等)GenerateDataKey,這意味著 WorkSpaces 不會將請求發送到 AWS KMS 包括加密上下文。但是,當 Amazon 為 WorkSpaces (步驟 3在中使用的 WorkSpaces 加密概述 AWS KMS) 的加密磁碟區EBS請求加密的資料金鑰時,當它要求該資料金鑰的純文字副本 (步驟 5) 時,它會在請求中包含加密內容。
加密上下文提供了額外的已驗證數據(AAD) AWS KMS 用於確保數據的完整性。加密上下文也寫入您的 AWS CloudTrail 記錄檔,可協助您瞭解使用指定KMS金鑰的原因。Amazon 在加密上下文中EBS使用以下內容:
-
使用中目錄使用者的安全性識別碼 (SID),與 WorkSpace
-
的目錄識別碼 AWS Directory Service 與相關聯的目錄 WorkSpace
-
加密EBS磁碟區的 Amazon 磁碟區識別碼
下列範例顯示 Amazon EBS 使用之加密內容的JSON表示方式:
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}授 WorkSpaces 予代表您使用KMS金鑰的權限
您可以保護您的 WorkSpace 數據 AWS WorkSpaces(aw/ 工作區) 或客戶管理的KMS金鑰的受管理KMS金鑰。如果您使用客戶管理的KMS金鑰,您必須授與 WorkSpaces 權限,才能代表您帳戶中的管理 WorkSpaces 員使用KMS金鑰。所以此 AWS 受管理的KMS密鑰默認 WorkSpaces具有所需的權限。
若要準備客戶管理的KMS金鑰以搭配使用 WorkSpaces,請遵循下列步驟。
您的 WorkSpaces 管理員也需要使用權限 WorkSpaces。如需這些許可的詳細資訊,請前往 的身分識別與存取管理 WorkSpaces。
第 1 部分:將 WorkSpaces 管理員新增為金鑰使用者
若要授予 WorkSpaces 系統管理員所需的權限,您可以使用 AWS Management Console 或 AWS KMS API.
將 WorkSpaces 管理員新增為金鑰的金KMS鑰使用者 (主控台)
-
登入 AWS Management Console 並打開 AWS Key Management Service (AWS KMS)控制台在 https://console.aws.amazon.com/公里
。 -
若要變更 AWS 區域,使用頁面右上角的「地區」選取器。
-
在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。
-
選擇您偏好的客戶管理金鑰的KMS金鑰 ID 或別名。
-
選擇 Key policy (金鑰政策) 標籤。在 Key users (金鑰使用者) 中,選擇 Add (新增)。
-
在IAM使用者和角色清單中,選取對應至您的 WorkSpaces 管理員的使用者和角色,然後選擇 [新增]。
若要將 WorkSpaces 管理員新增為金鑰的KMS金鑰使用者 (API)
-
使用此GetKeyPolicy作業取得現有金鑰原則,然後將原則文件儲存至檔案。
-
在您偏好的文字編輯器中開啟政策文件。將與您的 WorkSpaces 管理員對應的IAM使用者和角色新增至授予主要使用者權限的原則陳述式。接著儲存檔案。
-
使用此PutKeyPolicy作業將金鑰原則套用至KMS金鑰。
第 2 部分:使用IAM策略授予 WorkSpaces 管理員其他權限
如果您選擇要用於加密的客戶受管KMS金鑰,則必須建立IAM政策, WorkSpaces 以允許 Amazon 代表您帳戶中啟動加密的使用IAM者使用該KMS金鑰 WorkSpaces。該用戶還需要使用 Amazon 的許可 WorkSpaces。如需有關建立和編輯IAM使用者策略的詳細資訊,請參閱《IAM使用指南》中的〈管理IAM策略〉和的身分識別與存取管理 WorkSpaces。
WorkSpaces 加密需要有限的KMS金鑰存取權。下列是您可以使用的範例金鑰政策。此原則會分隔可管理 AWS KMS 那些可以使用它的人的鑰匙。在您使用此範例金鑰策略之前,請先將範例帳戶 ID 和使用IAM者名稱取代為帳戶中的實際值。
第一個語句匹配默認 AWS KMS 金鑰政策。它允許您的帳戶使用IAM策略來控制KMS密鑰的訪問權限。第二個和第三個語句定義了哪些 AWS 主參與者可以分別管理和使用金鑰。第四個陳述式啟用 AWS 與之整合的服務 AWS KMS 代表指定的主體使用金鑰。此聲明啟用 AWS 創建和管理贈款的服務。陳述式使用一個條件元素,限制對於由下列項目所建立的 KMS Key 授與 AWS 代表您帳戶中的使用者提供服務。
注意
如果您的 WorkSpaces 管理員使用 AWS Management Console 若要 WorkSpaces 使用加密磁碟區建立,系統管理員需要列出別名和金鑰 ("kms:ListAliases"和"kms:ListKeys"權限) 的權限。如果您的 WorkSpaces 管理員僅使用 Amazon WorkSpaces API (而非主控台),則可以省略"kms:ListAliases"和"kms:ListKeys"許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }
正在加密的使用者或角色的IAM原則 WorkSpace 必須包含客戶管理KMS金鑰的使用權限,以及存取 WorkSpaces。若要授與IAM使用者或角色 WorkSpaces 權限,您可以將下列範例原則附加至IAM使用者或角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }
用戶需要以下IAM策略才能使用 AWS KMS。 它為用戶提供了對KMS密鑰的只讀訪問以及創建授權的能力。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }
如果您想要在原則中指定KMS金鑰,請使用類似下列內容的IAM原則。將範例 KMS Key 取代為ARN有效的金鑰。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
加密一個 WorkSpace
若要加密 WorkSpace
在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/
。 -
選擇啟動 WorkSpaces並完成前三個步驟。
-
對於「WorkSpaces 組態」步驟,請執行下列操作:
-
選取要加密的磁碟區:根磁碟區、使用者磁碟區或兩個磁碟區。
-
對於加密金鑰,請選取一個 AWS KMS 鍵,要么 AWS 由 Amazon 建立的受KMS管KMS金鑰 WorkSpaces 或您建立的金鑰。您選取的KMS金鑰必須是對稱的。Amazon WorkSpaces 不支持非對稱KMS密鑰。
-
選擇 Next Step (後續步驟)。
-
-
選擇 [啟動] WorkSpaces。
檢視已加密 WorkSpaces
若要查看已從 WorkSpaces 主控台加密的磁碟區 WorkSpaces 和磁碟區,請WorkSpaces從左側的導覽列中選擇。[磁碟區加密] 欄會顯示每個加密是否 WorkSpace 已啟用或停用。若要查看已加密的特定磁碟區,請展開 WorkSpace 項目以查看 [加密磁碟區] 欄位。
