信頼できるデバイス WorkSpaces へのアクセスを制限する - Amazon WorkSpaces
ステップ 1: 証明書を作成するステップ 2: クライアント証明書を信頼されたデバイスにデプロイするステップ 3: 制限を設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

信頼できるデバイス WorkSpaces へのアクセスを制限する

デフォルトでは、ユーザーはインターネットに接続されているサポートされている WorkSpaces デバイスから にアクセスできます。会社が企業データへのアクセスを信頼できるデバイス (マネージドデバイスとも呼ばれます) に制限している場合、有効な証明書を使用して、信頼できるデバイス WorkSpaces へのアクセスを制限できます。

この機能を有効にすると、 は証明書ベースの認証 WorkSpaces を使用して、デバイスが信頼されているかどうかを判断します。 WorkSpaces クライアントアプリケーションは、デバイスが信頼されていることを確認できない場合、デバイスからのログインまたは再接続をブロックします。

各ディレクトリにで、最大 2 つのルート証明書をインポートできます。2 つのルート証明書をインポートすると、 は両方をクライアントに WorkSpaces 提示し、クライアントはいずれかのルート証明書にチェーンする最初の有効な一致証明書を見つけます。

Supported Clients (サポートされるクライアント)

  • Android、Android または Android 対応の Chrome OS システム

  • macOS

  • Windows

重要

この機能は次のクライアントではサポートされていません。

  • WorkSpaces Linux または iPad 用の クライアントアプリケーション

  • サードパーティークライアント (Teradici PCoIP、RDP クライアント、リモートデスクトップアプリケーションを含みますが、これらに限定されません)。

ステップ 1: 証明書を作成する

この機能には、内部認証局(CA)によって生成されるルート証明書と、ルート証明書に連鎖するクライアント証明書の 2 種類の証明書が必要です。

要件

  • ルート証明書は、Base64 でエンコードされた CRT、CERT、または PEM 形式の証明書ファイルである必要があります。

  • ルート証明書は、次の正規表現パターンを満たす必要があります。つまり、最後の行の横にあるすべてのエンコードされた行は、正確に 64 文字でなければなりません: -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • デバイス証明書には共通名が含まれている必要があります。

  • デバイス証明書には、Key Usage: Digital Signature およびEnhanced Key Usage: Client Authentication の拡張機能が含まれている必要があります。

  • デバイス証明書から信頼されたルート認証局へのチェーン内の、すべての証明書をクライアントデバイスにインストールする必要があります。

  • 証明書チェーンでサポートされている最大長は 4 です。

  • WorkSpaces は現在、クライアント証明書の証明書失効リスト (CRL) やオンライン証明書ステータスプロトコル (OCSP) などのデバイス失効メカニズムをサポートしていません。

  • 強力な暗号化アルゴリズムを使用します。SHA256 (RSA)、SHA256 (ECDSA)、SHA384 (ECDSA)、SHA512 (ECDSA) をお勧めします。

  • macOS の場合、デバイス証明書がシステムキーチェーンにある場合は、 WorkSpaces クライアントアプリケーションがそれらの証明書にアクセスすることを許可することをお勧めします。それ以外の場合は、ユーザーがログインまたは再接続するときに、キーチェーンの資格情報を入力する必要があります。

ステップ 2: クライアント証明書を信頼されたデバイスにデプロイする

ユーザーの信頼されたデバイスで、デバイス証明書から信頼されたルート証明書認証へのチェーン内の、すべての証明書を含む証明書バンドルをインストールする必要があります。任意のソリューションを使用して、一連のクライアントデバイスに証明書をインストールすることができます。たとえば、SCCM(System Center Configuration Manager)や MDM(Mobile Device Management)などです。SCCM と MDM は、オプションでセキュリティ体制評価を実行して、デバイスが にアクセスするための企業ポリシーを満たしているかどうかを判断できることに注意してください WorkSpaces。

WorkSpaces クライアントアプリケーションは、次のように証明書を検索します。

  • Android - [設定] に移動し、[セキュリティと位置情報][認証情報][SD カードからインストール] の順に選択します。

  • Android 対応 Chrome OS システム - Android の [設定] を開き、[セキュリティと位置情報][認証情報][SD カードからインストール] の順に選択します。

  • macOS - キーチェーンでクライアント証明書を検索します。

  • Windows - ユーザーストアとルート証明書ストアでクライアント証明書を探します。

ステップ 3: 制限を設定する

信頼されたデバイスにクライアント証明書をデプロイした後で、ディレクトリレベルでの制限付きアクセスを有効にすることができます。これには、ユーザーが にログインできるようにする前に、 WorkSpaces クライアントアプリケーションがデバイス上の証明書を検証する必要があります WorkSpace。

制限を設定するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [Directories] を選択します。

  3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。

  4. [Access Control Options] を展開します。

  5. 「デバイスタイプ」でデバイスタイプを選択します。デバイスタイプごとに、 にアクセスできるデバイスを指定します WorkSpaces

  6. 最大 2 つのルート証明書をインポートします。各ルート証明書について、次の操作を行います。

    1. Import (インポート) を選択します。

    2. 証明書の本文をフォームにコピーします。

    3. Import (インポート) を選択します。

  7. (オプション) 他のタイプのデバイスが にアクセスできるかどうかを指定します WorkSpaces。

    1. [Other Platforms] セクションまで下にスクロールします。デフォルトでは、 WorkSpaces Linux クライアントは無効になっており、ユーザーは WorkSpaces iOS デバイス、Android デバイス、ウェブアクセス、Chromebook、PCoIP ゼロクライアントデバイスから にアクセスできます。

    2. 有効にするデバイスタイプを選択し、無効にするデバイスタイプをクリアします。

    3. 選択したすべてのデバイスタイプからのアクセスをブロックするには、[Block] を選択します。

  8. [Update and Exit] を選択します。