が WorkSpaces を使用する方法 AWS KMS

を使用してWorkSpaces、エンドユーザーごとにクラウドベースのデスクトップ (WorkSpace) をプロビジョニングできます。新しい を起動するときに WorkSpace、そのボリュームを暗号化することを選択しAWS KMS key、暗号化に使用する を決定できます。（aws/workspaces) AWS マネージドキーの WorkSpaces または対称カスタマーマネージドキー を選択できます。

重要

WorkSpaces は、対称暗号化 KMS キーのみをサポートします。非対称 KMS キーを使用して のボリュームを暗号化することはできません WorkSpaces。KMS キーが対称か非対称かを判断する方法については、「非対称 KMS キーの識別」を参照してください。

暗号化されたボリューム WorkSpaces を使用した の作成の詳細については、「Amazon WorkSpaces 管理ガイド」の「 の暗号化 WorkSpace」を参照してください。

を使用した WorkSpaces 暗号化の概要 AWS KMS

暗号化されたボリューム WorkSpaces で を作成すると、 は Amazon Elastic Block Store (Amazon EBS) WorkSpaces を使用してそれらのボリュームを作成および管理します。どちらのサービスも、AWS KMS key を使用して暗号化されたボリュームを操作します。EBS ボリュームの暗号化の詳細については、以下のドキュメントを参照してください。

• このガイドの「Amazon Elastic Block Store (Amazon EBS) が AWS KMS を使用する方法」

• Windows インスタンス用 Amazon EC2 ユーザーガイドの Amazon EBS 暗号化

暗号化されたボリューム WorkSpaces で を起動すると、 end-to-end プロセスは次のように動作します。

1. 暗号化に使用する KMS キーと、 WorkSpaceのユーザーとディレクトリを指定します。このアクションは、 が KMS キーをこの場合にのみ使用 WorkSpaces できるようにする許可を作成します。 WorkSpaceつまり、指定されたユーザーとディレクトリ WorkSpace に関連付けられた に対してのみ使用します。

2. WorkSpaces は、 の暗号化された EBS ボリュームを作成し、使用する KMS キーとボリュームのユーザーおよびディレクトリ ( で指定した情報と同じ情報) WorkSpace を指定しますステップ 1。このアクションにより、Amazon EBS がこの WorkSpace とボリュームにのみ KMS キーを使用できるようにする許可が作成されます。つまり、指定されたユーザーとディレクトリ WorkSpace に関連付けられた のみ、および指定されたボリュームにのみ使用できます。

3. Amazon EBS は、KMS キーで暗号化されたボリュームデータキーをリクエストし、暗号化コンテキストとして WorkSpace ユーザーの Sidとディレクトリ ID、ボリューム ID を指定します。

4. AWS KMS は、新しいデータキーを作成し、KMS キーによって暗号化して、暗号化されたデータキーを Amazon EBS に送信します。

5. WorkSpaces は Amazon EBS を使用して、暗号化されたボリュームを にアタッチします WorkSpace。Amazon EBS は、暗号化されたデータキーを DecryptリクエストAWS KMSとともに に送信し、 WorkSpace ユーザーの Sid、ディレクトリ ID、および暗号化コンテキスト として使用されるボリューム ID を指定します。

6. AWS KMS は、KMS キーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon EBS に送信します。

7. Amazon EBS は、プレーンテキストデータキーを使用して、暗号化されたボリュームを出入りするすべてのデータを暗号化します。Amazon EBS は、ボリュームが にアタッチされている限り、プレーンテキストのデータキーをメモリに保持します WorkSpace。

8. Amazon EBS は、暗号化されたデータキー ( で受け取ったデータキーステップ 4) をボリュームメタデータとともに保存し、 を再起動または再構築した場合に今後使用します WorkSpace。

9. を使用して AWS Management Consoleを削除する WorkSpace （または WorkSpaces API で TerminateWorkspacesアクションを使用する) WorkSpaces と、Amazon EBS はその の KMS キーの使用を許可した許可を廃止にします WorkSpace。

WorkSpaces 暗号化コンテキスト

WorkSpaces は、 を暗号化オペレーション (Encrypt、、 など) AWS KMS keyに直接使用しません。つまりGenerateDataKey、 WorkSpaces は暗号化コンテキスト AWS KMS を含む Decryptにリクエストを送信しません。ただし、Amazon EBS が WorkSpaces （ステップ 3 の を使用した WorkSpaces 暗号化の概要 AWS KMS) の暗号化されたボリュームに対して暗号化されたデータキーをリクエストする場合、およびそのデータキーのプレーンテキストコピー (ステップ 5) をリクエストする場合、リクエストに暗号化コンテキストが含まれます。暗号化コンテキストは、データの整合性を保証するために AWS KMS で使用される追加の認証データ (AAD) を提供します。また、暗号化コンテキストは AWS CloudTrail ログファイルにも書き込まれるため、特定の AWS KMS key が使用された原因を理解するのに役立ちます。Amazon EBS では、暗号化コンテキストとして次のものが使用されます。

• に関連付けられているsidAWS Directory Serviceユーザーの WorkSpace

• に関連付けられているディレクトリのAWS Directory Serviceディレクトリ ID WorkSpace

• 暗号化されたボリュームの ボリューム ID

次の例は、Amazon EBS が使用する暗号化コンテキストの JSON 表現を示しています。

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

ユーザーに代わって KMS キーを使用するアクセス WorkSpaces 許可を付与する

（aws/workspaces) またはカスタマーマネージドキーAWS マネージドキーで WorkSpacesワークスペースデータを保護できます。カスタマーマネージドキーを使用する場合は、アカウントの管理者に代わって WorkSpaces KMS キーを使用する WorkSpaces アクセス許可を付与する必要があります。AWS マネージドキー の WorkSpaces には、デフォルトで必要なアクセス許可があります。

で使用するカスタマーマネージドキーを準備するには WorkSpaces、次の手順を使用します。

1. KMS キーのキーポリシーのキーユーザーのリストに WorkSpaces 管理者を追加する

2. IAM ポリシーを使用して WorkSpaces 管理者に追加のアクセス許可を付与する

WorkSpaces 管理者には、 を使用するアクセス許可も必要です WorkSpaces。これらのアクセス許可の詳細については、「Amazon WorkSpaces 管理ガイド」の「リソースへのアクセスの WorkSpaces制御」を参照してください。

パート 1: KMS キーのキーユーザーに WorkSpaces 管理者を追加する

WorkSpaces 管理者に必要なアクセス許可を付与するには、 AWS Management Consoleまたは AWS KMS API を使用できます。

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (コンソール）

1. AWS Management Console にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

2. AWS リージョン を変更するには、ページの右上隅にあるリージョンセレクターを使用します。

3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

4. 任意のカスタマーマネージドキーのキー ID またはエイリアスを選択する

5. [キーポリシー] タブを選択します。[Key users] (キーユーザー) で [Add] (追加) を選択します。

6. IAM ユーザーとロールのリストで、 WorkSpaces 管理者に対応するユーザーとロールを選択し、アタッチを選択します。

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (AWS KMS API)

1. GetKeyPolicy オペレーションを使用して既存のキーポリシーを取得し、ポリシードキュメントをファイルに保存します。

2. 任意のテキストエディタでポリシードキュメントを開きます。 WorkSpaces 管理者に対応する IAM ユーザーとロールを、キーユーザー にアクセス許可を付与するポリシーステートメントに追加します。その後、ファイルを保存します。

3. PutKeyPolicy オペレーションを使用して、KMS キーにキーポリシーを適用します。

パート 2: WorkSpaces 管理者に追加のアクセス許可を付与する

カスタマーマネージドキーを使用して WorkSpaces データを保護する場合、デフォルトのキーポリシー のキーユーザーセクションのアクセス許可に加えて、 WorkSpaces 管理者は KMS キーに権限を作成するアクセス許可が必要です。また、 を使用して暗号化されたボリューム WorkSpaces で AWS Management Consoleを作成する場合、 WorkSpaces 管理者はエイリアスを一覧表示し、キーを一覧表示するアクセス許可が必要です。IAM ユーザーポリシーの作成と編集については、IAM ユーザーガイドのマネージドポリシーとインラインポリシーを参照してください。

これらのアクセス許可を WorkSpaces 管理者に付与するには、IAM ポリシーを使用します。次の例のような ポリシーステートメントを各 WorkSpaces管理者の IAM ポリシーに追加します。サンプルKMS キー ARN (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) を有効なものに置き換えます。 WorkSpaces 管理者が (コンソールではなく) WorkSpaces API のみを使用する場合は、 "kms:ListAliases"および の"kms:ListKeys"アクセス許可を持つ 2 番目のポリシーステートメントを省略できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}