Amazon 基礎設施安全 WorkSpaces - Amazon WorkSpaces
網路隔離實體主機上的隔離公司使用者驗證透過VPC界面端點提出 Amazon WorkSpaces API 請求為 Amazon 創建VPC端點政策 WorkSpaces將您的私人網絡 Connect 到您的 VPC

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 基礎設施安全 WorkSpaces

作為受管服務,Amazon WorkSpaces 受到 AWS 全球網路安全的保護。有關 AWS 安全服務以及如何 AWS 保護基礎結構的詳細資訊,請參閱AWS 雲端安全 若要使用基礎架構安全性的最佳做法來設計您的 AWS 環境,請參閱安全性支柱架構良 AWS 好的架構中的基礎結構保

您可以使用 AWS 已發佈的API呼叫透 WorkSpaces 過網路存取。使用者端必須支援下列專案:

  • 傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。

  • 具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者,您可以使用 AWS Security Token Service (AWS STS) 來產生暫時安全登入資料來簽署請求。

網路隔離

虛擬私有雲(VPC)是您自己在 AWS 雲中邏輯隔離區域中的虛擬網絡。您可以 WorkSpaces 在VPC. 如需詳細資訊,請參閱為 WorkSpaces 個人設定 VPC

若要僅允許來自特定位址範圍的流量 (例如,來自您的公司網路),請更新您的安全性群組,VPC或使用 IP 存取控制群組

您可以 WorkSpace 使用有效的憑證限制對受信任裝置的存取。如需詳細資訊,請參閱限制個人對受信任裝置的 WorkSpaces 存取

實體主機上的隔離

相同實體主機 WorkSpaces 上的不同會透過虛擬機器管理程序彼此隔離。就好像它們位於不同的實體主機上一樣。刪除 a WorkSpace 時,會先由 Hypervisor 清除配置給它的記憶體 (設定為零),然後再將其分配給新記憶體。 WorkSpace

公司使用者驗證

使用 WorkSpaces,目錄可透過 AWS Directory Service. 您可以為使用者建立獨立的受管理目錄。或者,您也可與現有的 Active Directory 環境整合,讓使用者可以使用其目前的認證來取得企業資源的無縫存取權。如需詳細資訊,請參閱管理 WorkSpaces 個人的目錄

若要進一步控制對您的存取 WorkSpaces,請使用多因素驗證。如需詳細資訊,請參閱如何為 AWS 服務啟用多因素驗證

透過VPC界面端點提出 Amazon WorkSpaces API 請求

您可以透過虛擬私有雲 (VPC) 中的界面端點直接連接到 Amazon WorkSpaces API 端點,而不是透過網際網路連線。使用VPC界面端點時,您VPC和 Amazon WorkSpaces API 端點之間的通訊會在 AWS 網路中完全安全地進行。

注意

此功能僅可用於連接至 WorkSpaces API端點。若要連線到 WorkSpaces 使用用 WorkSpaces 戶端,需要網際網路連線,如中所述個人的 IP 位址和連接埠需 WorkSpaces 求

Amazon WorkSpaces API 端點支持由支持的 Amazon Virtual Private Cloud(AmazonVPC)界面端點AWS PrivateLink。每個VPC端點都由一或多個網路介面 (也稱為彈性網路介面或ENIs) 在VPC子網路中具有私有 IP 位址的網路介面來表示。

VPC界面端點可VPC直接將您的 Amazon 端點連接到 Amazon WorkSpaces API 端點,而無需網際網路閘道、NAT裝置、VPN連 AWS Direct Connect 線或連線。您中的執行個體VPC不需要公有 IP 地址即可與 Amazon WorkSpaces API 端點通訊。

您可以建立介面端點,以 WorkSpaces 使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 命令連接到 Amazon。如需指示,請參閱建立介面端點

建立VPC端點後,您可以使用下列範例CLI命令,這些命令會使用endpoint-url參數指定與 Amazon 端點的介面 WorkSpaces API端點:

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

如果您為VPC端點啟用私人DNS主機名稱,則不需要指定端點URL。Amazon CLI 和 Amazon 默認 WorkSpaces SDK使用的 WorkSpaces APIDNS主機名(https://api.workspaces.Region. 亞馬遜) 解析為您的端點。VPC

Amazon WorkSpaces API 端點在所有 Amazon VPC 和 Amazon WorkSpaces 都可以使用的 AWS 區域中支持VPC端點。Amazon WorkSpaces 支持撥打電話給您APIs內部的所有公眾VPC。

若要進一步了解 AWS PrivateLink,請參閱AWS PrivateLink 文件。有關VPC端點的價格,請參閱VPC定價。要進一步了解VPC和端點,請參閱 Amazon VPC

若要查看各區域的 Amazon WorkSpaces API 端點清單,請參閱WorkSpaces API端點

注意

聯邦資訊處理標準 (FIPS) Amazon WorkSpaces API 端點不支援具 AWS PrivateLink 有的 Amazon WorkSpaces API 端點。

您可以為 Amazon 的 Amazon VPC 端點建立政策, WorkSpaces 以指定以下內容:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱 Amazon VPC 使用者指南的使用VPC端點控制對服務的存取。

注意

VPC聯邦資訊處理標準 (FIPS) Amazon WorkSpaces 端點不支援端點政策。

下列範例VPC端點政策指定允許所有具有VPC介面端點存取權的使用者叫用名為的 Amazon WorkSpaces 託管端點ws-f9abcdefg

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

在這個範例中,下列動作會遭到拒絕:

  • 調用 Amazon WorkSpaces 託管端點以外ws-f9abcdefg的.

  • 對指定資源以外的任何資源執行動作 (WorkSpace ID:ws-f9abcdefg)。

注意

在此範例中,使用者仍然可以從VPC. WorkSpaces API 若要限制來自內部的API呼叫VPC,請參閱的身分識別與存取管理 WorkSpaces以取得有關使用身分型政策控制對 Amazon WorkSpaces API 端點存取的資訊。

要 WorkSpaces API通過您的 Amazon 調用VPC,您必須從內部的實例連接VPC,或者使用 AWS Virtual Private Network (AWS VPN)或將您的私有網絡連接到您VPC的私有網絡 AWS Direct Connect。如需詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的VPN連線。若要取得有關資訊 AWS Direct Connect,請參閱《使用指南》中的AWS Direct Connect 〈建立連接