加密 WorkSpaces - Amazon WorkSpaces
必要條件限制使用的 WorkSpaces 加密概述 AWS KMSWorkSpaces 加密上下文 WorkSpaces 授與代表您使用 KMS 金鑰的權限加密一個 WorkSpace檢視已加密 WorkSpaces

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

加密 WorkSpaces

WorkSpaces 與 AWS Key Management Service (AWS KMS)集成。這可讓您 WorkSpaces 使用 AWS KMS Key 加密的儲存磁碟區。當您啟動時 WorkSpace,您可以加密根磁碟區(適用於 Microsoft 視窗,C 磁碟機;對於 Linux,/)和使用者磁碟區(適用於視窗,D 磁碟機;對於 Linux,/home)。這麼做可確保靜態儲存的資料、磁碟區的磁碟 I/O,以及從磁碟區建立的快照全都加密。

注意

除了對您的進行加密之外 WorkSpaces,您還可以在某些 AWS 美國地區使用 FIPS 端點加密。如需詳細資訊,請參閱 針對 FedRAMP 授權或 DoD SRG 合規設定 Amazon WorkSpaces

必要條件

在開始加密過程之前,您需要一個密 AWS KMS 鑰。此 KMS 金鑰可以是 Amazon 的AWS 受管 KMS 金鑰 WorkSpaces (aw/ 工作區),也可以是對稱的客戶受管 KMS 金鑰。

  • AWS 受管 KMS 金鑰 — 當您第一次 WorkSpace 從區域中的 WorkSpaces 主控台啟動未加密的金鑰時,Amazon WorkSpaces 會在您的帳戶中自動建立 AWS 受管 KMS 金鑰 (aw/ 工作區)。您可以選取此 AWS 受管 KMS 金鑰來加密您的使用者和根磁碟區 WorkSpace。如需詳細資訊,請參閱 使用的 WorkSpaces 加密概述 AWS KMS

    您可以檢視此 AWS 受管理的 KMS 金鑰 (包括其原則和授權),並可追蹤其在 AWS CloudTrail 記錄中的使用情況,但無法使用或管理此 KMS 金鑰。Amazon WorkSpaces 創建和管理這個 KMS 密鑰。只有 Amazon WorkSpaces 可以使用此 KMS 金鑰,而且只 WorkSpaces 能用來加密您帳戶中的 WorkSpaces 資源。

    AWS 受管 KMS 金鑰 (包括 Amazon WorkSpaces 支援的金鑰) 每三年輪換一次。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的旋轉 AWS KMS 金鑰

  • 客戶受管 KMS 金鑰 — 或者,您也可以選取您使用 AWS KMS建立的對稱客戶受管 KMS 金鑰。您可以檢視、使用和管理此 KMS 金鑰,包括設定其政策。如需有關建立 KMS 金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的建立金鑰。如需使用 AWS KMS API 建立 KMS 金鑰的詳細資訊,請參閱開AWS Key Management Service 發人員指南中的使用金鑰

    除非您決定啟用自動金鑰輪換,否則不會自動輪換客戶受管 KMS 金鑰。如需詳細資訊,請參閱AWS Key Management Service 開發人員指南中的旋轉 AWS KMS 按鍵

重要

手動輪換 KMS 金鑰時,您必須同時保持啟用原始 KMS 金鑰和新 KMS 金鑰,才 AWS KMS 能將 WorkSpaces 原始 KMS 金鑰加密的解密。如果您不想讓原始 KMS 金鑰保持啟用狀態,則必須使用新的 KMS 金鑰重新建立 WorkSpaces並加密它們。

您必須符合以下要求才能使用 AWS KMS 金鑰來加密您的 WorkSpaces:

限制

  • 您無法加密現有的 WorkSpace. 您必須在啟動 WorkSpace 時加密它。

  • 不支援從加密 WorkSpace 建立自訂映像檔。

  • 目前不支援停用加密 WorkSpace 的加密功能。

  • WorkSpaces 在啟用根磁碟區加密的情況下啟動可能需要長達一小時的時間來佈建。

  • 若要重新開機或重建加密 WorkSpace,請先確定 AWS KMS 金鑰已啟用;否則,將 WorkSpace 無法使用。若要判斷 KMS 金鑰是否已啟用,請參閱《AWS Key Management Service 開發人員指南》中的顯示 KMS 金鑰詳細資訊

使用的 WorkSpaces 加密概述 AWS KMS

使 WorkSpaces 用加密磁碟區建立時,請 WorkSpaces 使用 Amazon Elastic Block Store (Amazon EBS) 來建立和管理這些磁碟區。Amazon EBS 會使用業界標準的 AES-256 演算法資料金鑰加密您的磁碟區。Amazon EBS 和 Amazon 都 WorkSpaces 使用您的 KMS 金鑰來處理加密的磁碟區。如需有關 EBS 磁碟區加密的詳細資訊,請參閱 Amazon EC2 使用者指南中的亞馬遜 EBS 加密

當您 WorkSpaces 使用加密磁碟區啟動時, end-to-end 程序的運作方式如下:

  1. 您可以指定用於加密的 KMS 金鑰,以及的使用者和目錄 WorkSpace。此動作會建立僅允許針對此使 WorkSpaces 用 KMS 金鑰的授權,也就是 WorkSpace說,僅適用於與指定的使用者和目錄 WorkSpace相關聯的 KMS 金鑰。

  2. WorkSpaces 會建立加密的 EBS 磁碟區, WorkSpace 並指定要使用的 KMS 金鑰以及磁碟區的使用者和目錄。此動作會建立授權,讓 Amazon EBS 僅針對此 WorkSpace 和磁碟區使用您的 KMS 金鑰 — 也就是說,僅針對與指定的使用者和目錄 WorkSpace 相關聯的使用者和目錄,而且僅針對指定的磁碟區使用您的 KMS 金鑰。

  3. Amazon EBS 請求根據您的 KMS 金鑰加密的磁碟區資料金鑰,並指定 WorkSpace 使用者的作用中目錄安全識別碼 (SID) 和 AWS Directory Service 目錄識別碼,以及 Amazon EBS 磁碟區識別碼做為加密內容。

  4. AWS KMS 建立新的資料金鑰,在您的 KMS 金鑰下加密該金鑰,然後將加密的資料金鑰傳送到 Amazon EBS。

  5. WorkSpaces 使用 Amazon EBS 將加密磁碟區附加到您的 WorkSpace. Amazon EBS 會將加密的資料金鑰 AWS KMS 與Decrypt請求一起傳送給,並指定使用 WorkSpace 者的 SID、目錄 ID 和磁碟區 ID (用作加密內容)。

  6. AWS KMS 使用您的 KMS 金鑰解密資料金鑰,然後將純文字資料金鑰傳送至 Amazon EBS。

  7. Amazon EBS 使用純文字資料金鑰來加密進出已加密磁碟區的所有資料。Amazon EBS 會將純文字資料金鑰保留在記憶體中,只要磁碟區已連接到 WorkSpace.

  8. Amazon EBS 會將加密的資料金鑰 (接收於步驟 4) 與磁碟區中繼資料一起儲存,以備 future 在重新啟動或重建時使用。 WorkSpace

  9. 當您使用移 AWS Management Console 除 WorkSpace (或使用 WorkSpaces API 中的TerminateWorkspaces動作) 時, WorkSpaces Amazon EBS 會淘汰允許他們為此使用您的 KMS 金鑰的授權。 WorkSpace

WorkSpaces 加密上下文

WorkSpaces 不會直接將 KMS 金鑰用於密碼編譯作業 (例如EncryptDecrypt、等) GenerateDataKey,這表示 WorkSpaces 不會將要求傳送至包 AWS KMS 含加密內容的要求。但是,當 Amazon EBS 為 WorkSpaces (步驟 3在中使用的 WorkSpaces 加密概述 AWS KMS) 的加密磁碟區請求加密的資料金鑰時,當它要求該資料金鑰的純文字複本 (步驟 5) 時,它會在請求中包含加密內容。

加密內容提供額外的驗證資料 (AAD),可 AWS KMS 用來確保資料完整性。加密內容也會寫入您的 AWS CloudTrail 記錄檔,以協助您瞭解使用指定 KMS 金鑰的原因。Amazon EBS 將以下項目用於加密內容:

  • 與 WorkSpace

  • AWS Directory Service 與 WorkSpace

  • 已加密磁碟區的 Amazon EBS 磁碟區 ID

以下範例顯示 Amazon EBS 所用加密內容的 JSON 顯示方式:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

WorkSpaces 授與代表您使用 KMS 金鑰的權限

您可以使用 AWS 受管理的 KMS 金鑰 WorkSpaces (aw/ 工作區) 或客戶管理的 KMS 金鑰來保護您的 WorkSpace 資料。如果您使用客戶管理的 KMS 金鑰,則需要授與 WorkSpaces 權限,才能代表帳戶中的管理 WorkSpaces 員使用 KMS 金鑰。根據預設,的 AWS 受管理 KMS 金鑰 WorkSpaces具有必要的權限。

若要準備客戶受管 KMS 金鑰以供搭配使用 WorkSpaces,請遵循下列程序。

  1. 將您的 WorkSpaces 管理員新增至 KMS 金鑰金鑰原則中的金鑰使用者清單

  2. 使用 IAM 政策為您的 WorkSpaces 管理員提供其他許可

您的 WorkSpaces 管理員也需要使用權限 WorkSpaces。如需這些許可的詳細資訊,請前往 適用於 WorkSpaces 的身分和存取管理

第 1 部分:將 WorkSpaces 管理員新增為金鑰使用者

若要提供 WorkSpaces 管理員所需的權限,您可以使用 AWS Management Console 或 AWS KMS API。

將 WorkSpaces 管理員新增為 KMS 金鑰 (主控台) 的金鑰使用者

  1. 登入 AWS Management Console 並開啟 AWS Key Management Service (AWS KMS) 主控台,網址為 https://console.aws.amazon.com/kms

  2. 若要變更 AWS 區域,請使用頁面右上角的「地區」選取器。

  3. 在導覽窗格中,選擇 Customer managed keys (客戶受管金鑰)。

  4. 選擇您偏好的客戶受管 KMS 金鑰的金鑰 ID 或別名。

  5. 選擇 Key policy (金鑰政策) 標籤。在 Key users (金鑰使用者) 中,選擇 Add (新增)。

  6. 在 IAM 使用者和角色清單中,選取對應至 WorkSpaces 管理員的使用者和角色,然後選擇 [新增]。

將 WorkSpaces 管理員新增為 KMS 金鑰 (API) 的金鑰使用者

  1. 使用 [GetKey原則] 作業取得現有的金鑰原則,然後將原則文件儲存至檔案。

  2. 在您偏好的文字編輯器中開啟政策文件。將與您的 WorkSpaces 管理員對應的 IAM 使用者和角色新增至授予關鍵使用者權限的政策陳述式。接著儲存檔案。

  3. 使用PutKey原則作業將金鑰原則套用至 KMS 金鑰。

第 2 部分:使用 IAM 政策授予 WorkSpaces 管理員其他許可

如果您選取用於加密的客戶受管 KMS 金鑰,則必須建立 IAM 政策, WorkSpaces 以允許 Amazon 代表您帳戶中啟動加密的 IAM 使用者使用 KMS 金鑰 WorkSpaces。該用戶還需要使用 Amazon 的許可 WorkSpaces。如需建立和編輯 IAM 使用者政策的詳細資訊,請參閱《IAM 使用者指南》中的受管 IAM 政策適用於 WorkSpaces 的身分和存取管理

WorkSpaces 加密需要有限的 KMS 金鑰存取權。下列是您可以使用的範例金鑰政策。此政策會將可管理 AWS KMS 金鑰的主體與可使用該金鑰的主體分開。在您使用本範例金鑰政策之前,請將範例帳戶 ID 和 IAM 使用者名稱取代為您帳戶的實際值。

第一個陳述式符合預設 AWS KMS 金鑰原則。它提供您的帳戶使用 IAM 政策來控制 KMS 金鑰存取的許可。第二個和第三個陳述式會分別定義哪些 AWS 主參與者可以管理和使用索引鍵。第四個陳述式可讓與整合 AWS KMS 的 AWS 服務代表指定的主體使用金鑰。此陳述式使 AWS 服務能夠建立和管理授與。陳述式會使用條件元素,將 KMS 金鑰授與限制為 AWS 服務代表您帳戶中的使用者所做的授與。

注意

如果您的 WorkSpaces 管理員使 WorkSpaces 用建立加密磁碟區,管理員需要列出別名和金鑰 ("kms:ListAliases""kms:ListKeys"權限) 的權限。 AWS Management Console 如果您的 WorkSpaces 管理員僅使用 Amazon WorkSpaces API (而非主控台),則可以省略"kms:ListAliases""kms:ListKeys"許可。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

正在加密的使用者或角色的 IAM 政策 WorkSpace 必須包含客戶受管 KMS 金鑰的使用許可,以及對的存取 WorkSpaces。若要授與 IAM 使用者或角色 WorkSpaces 許可,您可以將下列範例政策附加至 IAM 使用者或角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

使用者需要下列 IAM 政策才能使用 AWS KMS。其將對 KMS 金鑰的唯讀存取權以及建立授與的能力提供給使用者。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

如果您想要在政策中指定 KMS 金鑰,請使用類似以下的 IAM 政策。以有效的 KMS 金鑰 ARN 取代範例 KMS 金鑰 ARN。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

加密一個 WorkSpace

若要加密 WorkSpace

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 選擇啟動 WorkSpaces並完成前三個步驟。

  3. 對於「WorkSpaces 組態」步驟,請執行下列操作:

    1. 選取要加密的磁碟區:根磁碟區使用者磁碟區或兩個磁碟區。

    2. 對於加密金鑰,請選取金 AWS KMS 鑰 (Amazon 建立的 AWS 受管 KMS 金鑰 WorkSpaces 或您建立的 KMS 金鑰)。您選取的 KMS 金鑰必須是對稱金鑰。Amazon WorkSpaces 不支持非對稱的 KMS 密鑰。

    3. 選擇 Next Step (後續步驟)

  4. 選擇 [啟動] WorkSpaces。

檢視已加密 WorkSpaces

若要查看已從 WorkSpaces 主控台加密的磁碟區 WorkSpaces 和磁碟區,請WorkSpaces從左側的導覽列中選擇。[磁碟區加密] 欄會顯示每個加密是否 WorkSpace 已啟用或停用。若要查看已加密的特定磁碟區,請展開 WorkSpace 項目以查看 [加密磁碟區] 欄位。