限制個人對受信任裝置的 WorkSpaces 存取 - Amazon WorkSpaces
步驟 1:建立憑證步驟 2:將用戶端憑證部署到信任的裝置步驟 3:設定限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

限制個人對受信任裝置的 WorkSpaces 存取

默認情況下,用戶可以 WorkSpaces 從連接到互聯網的任何支持設備訪問他們的。如果貴公司限制對信任裝置 (也稱為受管理裝置) 的公司資料存取,您可以使用有效的憑證限制對受信任裝置的 WorkSpaces 存取。

注意

此功能目前僅在透過以下方式管理您的 WorkSpaces 個人目錄時才可用。 AWS Directory Service 包括 Simple AD、AD Connector 和 AWS 管理 Microsoft AD 目錄。

啟用此功能時, WorkSpaces 會使用憑證型驗證來判斷裝置是否受信任。如果用 WorkSpaces 戶端應用程式無法驗證裝置是否受信任,則會封鎖嘗試登入或從裝置重新連線。

對於每個目錄,您最多可以匯入兩個根憑證。如果您匯入兩個根憑證,則會將它們同時 WorkSpaces 提供給用戶端,而用戶端會找到第一個鏈結到其中一個根憑證的有效相符憑證。

支援的用戶端

  • Android,在 Android 或與 Android 系統相容的 Chrome 作業系統上執行

  • macOS

  • Windows

重要

下列用戶端不支援此功能:

  • WorkSpaces Linux 或用戶端應用程式 iPad

  • 協力廠商用戶端, 包括但不限於, 電腦, 用RDP戶端PCoIP, 和遠端桌面應用程式.

注意

當您為特定用戶端啟用存取時,請務必封鎖其他不需要裝置類型的存取。有關如何執行此操作的詳細資訊,請參閱下面的步驟 3.7。

步驟 1:建立憑證

此功能需要兩種類型的憑證:由內部憑證授權機構 (CA) 產生的根憑證,以及鏈結至根憑證的用戶端憑證。

要求

  • 根憑證必須是CRT、CERT或PEM格式的 Base64 編碼憑證檔案。

  • 根憑證必須符合下列規則運算式模式,也就是說,除了最後一行以外,每一個編碼行的長度都必須剛好是 64 個字元:-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • 裝置憑證必須包含通用名稱。

  • 裝置憑證必須包含下列副檔名:Key Usage: Digital SignatureEnhanced Key Usage: Client Authentication

  • 從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證都必須安裝在用戶端裝置上。

  • 憑證鏈結支援的長度上限為 4。

  • WorkSpaces 目前不支援用戶端憑證的裝置撤銷機制,例如憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP)。

  • 使用強大的加密演算法。我們建議SHA256使用RSA、SHA256搭SHA384配ECDSAECDSA、搭配或SHA512搭配ECDSA。

  • 對於 macOS,如果裝置憑證位於系統鑰匙圈中,建議您授權用 WorkSpaces 戶端應用程式存取這些憑證。否則,使用者必須在登入或重新連線時輸入鑰匙圈憑證。

步驟 2:將用戶端憑證部署到信任的裝置

在使用者的信任裝置上,您必須安裝憑證套件,其中包含從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證。您可以使用偏好的解決方案,將憑證安裝到您的用戶端裝置叢集;例如,系統中心組態管理員 (SCCM) 或行動裝置管理 (MDM)。請注意,SCCM並且MDM可以選擇性地執行安全狀況評估,以判斷裝置是否符合您的公司原則來存取 WorkSpaces。

用 WorkSpaces 戶端應用程式會搜尋憑證,如下所示:

  • Android - 移至設定,選擇安全性和位置憑證,然後選擇從 SD 卡安裝

  • Android 相容的 Chrome 作業系統 - 開啟 Android 設定,選擇安全性和位置憑證,然後選擇從 SD 卡安裝

  • macOS - 在鑰匙圈中搜尋用戶端憑證。

  • Windows - 在使用者和根憑證存放區中搜尋用戶端憑證。

步驟 3:設定限制

在信任的裝置上部署用戶端憑證之後,您可以在目錄層級啟用限制存取。這需要用 WorkSpaces 戶端應用程式先驗證裝置上的憑證,然後再允許使用者登入 WorkSpace.

若要設定限制

  1. 在開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇目錄

  3. 選取目錄,然後依序選擇動作更新詳細資訊

  4. 展開存取控制選項

  5. 在 [針對每個裝置類型] 下,指定可存取的裝置 WorkSpaces,選擇 [信任的裝置]。

  6. 匯入最多兩個根憑證。針對每個根憑證,執行下列操作:

    1. 選擇匯入

    2. 將憑證主體複製到表單。

    3. 選擇匯入

  7. 指定其他類型的裝置是否可以存取 WorkSpaces。

    1. 向下捲動至其他平台區段。根據預設, WorkSpaces 系統會停用 Linux 用戶端,使用者可以 WorkSpaces 從他們的 iOS 裝置、Android 裝置、網頁存取、Chromebook 和PCoIP零用戶端裝置存取這些用戶端。

    2. 選取要啟用的裝置類型,並清除要停用的裝置類型。

    3. 若要封鎖來自所有所選裝置類型的存取,請選擇封鎖

  8. 選擇更新並結束