Wie WorkSpaces verwendet AWS KMS

Sie können verwendenWorkSpaces, um einen cloudbasierten Desktop (ein WorkSpace) für jeden Ihrer Endbenutzer bereitzustellen. Wenn Sie ein neues starten WorkSpace, können Sie die Volumes verschlüsseln und entscheiden, welche für die Verschlüsselung verwendet werden AWS KMS key soll. Sie können den Von AWS verwalteter Schlüssel für WorkSpaces (aws/workspaces ) oder einen symmetrischen, vom Kunden verwalteten Schlüssel auswählen.

Wichtig

WorkSpaces unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um die Volumes in einem zu verschlüsseln WorkSpaces. Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.

Weitere Informationen zum Erstellen von WorkSpaces mit verschlüsselten Volumes finden Sie unter Verschlüsseln eines WorkSpace im Amazon- WorkSpaces Administratorhandbuch.

Übersicht über die WorkSpaces Verschlüsselung mit AWS KMS

Wenn Sie WorkSpaces mit verschlüsselten Volumes erstellen, WorkSpaces verwendet Amazon Elastic Block Store (Amazon EBS), um diese Volumes zu erstellen und zu verwalten. Beide Services verwenden Ihre AWS KMS key, um mit den verschlüsselten Volumes zu arbeiten. Weitere Informationen zur EBS-Volume-Verschlüsselung finden Sie in der folgenden Dokumentation:

• Wie Amazon Elastic Block Store (Amazon EBS) AWS KMS nutzt. in dieser Anleitung

• Amazon-EBS-Verschlüsselung im Amazon-EC2-Benutzerhandbuch für Windows-Instances

Wenn Sie WorkSpaces mit verschlüsselten Volumes starten, funktioniert der end-to-end Prozess wie folgt:

1. Sie geben den KMS-Schlüssel an, der für die Verschlüsselung verwendet werden soll, sowie den Benutzer und das Verzeichnis WorkSpacedes . Diese Aktion erstellt eine Erteilung, die es ermöglicht, Ihren KMS WorkSpace-Schlüssel nur dafür WorkSpaces zu verwenden, d. h. nur für das , das dem angegebenen Benutzer und Verzeichnis WorkSpace zugeordnet ist.

2. WorkSpaces erstellt ein verschlüsseltes EBS-Volume für das WorkSpace und gibt den zu verwendenden KMS-Schlüssel sowie den Benutzer und das Verzeichnis des Volumes an (die gleichen Informationen, die Sie unter angegeben habenSchritt 1). Diese Aktion erstellt eine Erteilung, die es Amazon EBS ermöglicht, Ihren KMS-Schlüssel nur für dieses WorkSpace und Volume zu verwenden, d. h. nur für das , das dem angegebenen Benutzer und Verzeichnis WorkSpace zugeordnet ist, und nur für das angegebene Volume.

3. Amazon EBS fordert einen Volume-Datenschlüssel an, der unter Ihrem KMS-Schlüssel verschlüsselt ist, und gibt die - Sid und Verzeichnis-ID des WorkSpace Benutzers sowie die Volume-ID als Verschlüsselungskontext an.

4. AWS KMS erstellt einen neuen Datenschlüssel, verschlüsselt diesen mit Ihrem KMS-Schlüssel und sendet den verschlüsselten Datenschlüssel an Amazon EBS.

5. WorkSpaces verwendet Amazon EBS, um das verschlüsselte Volume an Ihr anzuhängen WorkSpace. Amazon EBS sendet den verschlüsselten Datenschlüssel AWS KMS mit einer -DecryptAnforderung an und gibt die Sid, seine Verzeichnis-ID und die Volume-ID des WorkSpace Benutzers an, die als Verschlüsselungskontext verwendet wird.

6. AWS KMS verwendet Ihren KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln, und sendet den Klartext-Datenschlüssel an Amazon EBS.

7. Amazon EBS verwendet den Klartext-Datenschlüssel, um alle eingehenden und ausgehenden Daten vom verschlüsselten Volume zu verschlüsseln. Amazon EBS speichert den Klartext-Datenschlüssel so lange im Speicher, wie das Volume an die angefügt ist WorkSpace.

8. Amazon EBS speichert den verschlüsselten Datenschlüssel (eingegangen unter Schritt 4) mit den Volume-Metadaten für die zukünftige Verwendung, falls Sie den neu starten oder neu erstellen WorkSpace.

9. Wenn Sie die verwendenAWS Management Console, um eine zu entfernen WorkSpace (oder die WorkSpaces -TerminateWorkspacesAktion in der API zu verwenden), WorkSpaces und Amazon EBS die Erteilungen aufheben, die es ihnen ermöglicht haben, Ihren KMS-Schlüssel für diese zu verwenden WorkSpace.

WorkSpaces Verschlüsselungskontext

WorkSpaces verwendet Ihr nicht AWS KMS key direkt für kryptografische Operationen (wie Encrypt, Decrypt, usw.), was bedeutetGenerateDataKey, dass WorkSpaces keine Anfragen an sendetAWS KMS, die einen Verschlüsselungskontext enthalten. Wenn Amazon EBS jedoch einen verschlüsselten Datenschlüssel für die verschlüsselten Volumes Ihres WorkSpaces (Schritt 3 in der Übersicht über die WorkSpaces Verschlüsselung mit AWS KMS) anfordert und eine Klartextkopie dieses Datenschlüssels (Schritt 5) anfordert, enthält es Verschlüsselungskontext in der Anforderung. Der Verschlüsselungskontext enthält zusätzliche authentifizierte Daten (AAD), anhand derer AWS KMS die Datenintegrität sicherstellt. Der Verschlüsselungskontext wird zudem in Ihre AWS CloudTrail-Protokolldateien geschrieben, sodass Sie jederzeit nachvollziehen können, warum ein bestimmter AWS KMS key verwendet wurde. Amazon EBS verwendet Folgendes für den Verschlüsselungskontext:

• Die sid des AWS Directory Service Benutzers, der dem zugeordnet ist WorkSpace

• Die Verzeichnis-ID des AWS Directory Service Verzeichnisses, das dem zugeordnet ist WorkSpace

• Die Volume-ID des verschlüsselten Volume.

Das folgende Beispiel zeigt eine JSON-Darstellung des von Amazon EBS verwendeten Verschlüsselungskontextes:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Erteilen der WorkSpaces Berechtigung zur Verwendung eines KMS-Schlüssels in Ihrem Namen

Sie können Ihre Workspace-Daten unter dem Von AWS verwalteter Schlüssel für WorkSpaces (aws/workspaces ) oder für einen vom Kunden verwalteten Schlüssel schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie die WorkSpaces Berechtigung zur Verwendung des KMS-Schlüssels im Namen der WorkSpaces Administratoren in Ihrem Konto erteilen. Der Von AWS verwalteter Schlüssel für WorkSpaces verfügt standardmäßig über die erforderlichen Berechtigungen.

Gehen Sie wie folgt vor WorkSpaces, um Ihren vom Kunden verwalteten Schlüssel für die Verwendung mit vorzubereiten.

1. Hinzufügen der WorkSpaces Administratoren zur Liste der Schlüsselbenutzer in der Schlüsselrichtlinie des KMS-Schlüssels

2. Erteilen zusätzlicher Berechtigungen für die WorkSpaces Administratoren mit einer IAM-Richtlinie

WorkSpaces -Administratoren benötigen auch die Berechtigung, zu verwenden WorkSpaces. Weitere Informationen zu diesen Berechtigungen finden Sie unter Steuern des Zugriffs auf - WorkSpacesRessourcen im Amazon- WorkSpaces Administratorhandbuch.

Teil 1: Hinzufügen von WorkSpaces Administratoren zu den Schlüsselbenutzern eines KMS-Schlüssels

Um WorkSpaces Administratoren die erforderlichen Berechtigungen zu erteilen, können Sie die AWS Management Console oder die AWS KMS-API verwenden.

So fügen Sie WorkSpaces Administratoren als Schlüsselbenutzer für einen KMS-Schlüssel hinzu (Konsole)

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

4. Wählen Sie die Schlüssel-ID oder den Alias Ihres bevorzugten kundenverwalteten Schlüssels aus.

5. Wählen Sie die Registerkarte Key policy (Schlüsselrichtlinie). Unter Key users (Schlüsselbenutzer), wählen Sie Add (Hinzufügen) aus.

6. Wählen Sie in der Liste der IAM-Benutzer und -Rollen die Benutzer und Rollen aus, die Ihren WorkSpaces Administratoren entsprechen, und wählen Sie dann Anfügen aus.

So fügen Sie WorkSpaces Administratoren als Schlüsselbenutzer für einen KMS-Schlüssel hinzu (AWS KMS-API)

1. Verwenden Sie die -GetKeyPolicyOperation, um die vorhandene Schlüsselrichtlinie abzurufen, und speichern Sie dann das Richtliniendokument in einer -Datei.

2. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie die IAM-Benutzer und -Rollen, die Ihren WorkSpaces Administratoren entsprechen, zu den Richtlinienanweisungen hinzu, die Schlüsselbenutzern die Berechtigung erteilen. Speichern Sie dann die Datei.

3. Verwenden Sie die -PutKeyPolicyOperation, um die Schlüsselrichtlinie auf den KMS-Schlüssel anzuwenden.

Teil 2: Erteilen zusätzlicher Berechtigungen für WorkSpaces Administratoren

Wenn Sie einen vom Kunden verwalteten Schlüssel zum Schutz Ihrer WorkSpaces Daten verwenden, benötigen WorkSpaces Administratoren zusätzlich zu den Berechtigungen im Abschnitt Schlüsselbenutzer der Standardschlüsselrichtlinie die Berechtigung, Erteilungen für den KMS-Schlüssel zu erstellen. Wenn sie die verwenden, AWS Management Console um WorkSpaces mit verschlüsselten Volumes zu erstellen, benötigen WorkSpaces Administratoren außerdem die Berechtigung, Aliase und Listenschlüssel aufzulisten. Weitere Informationen zum Erstellen von IAM-Benutzer-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAM-Benutzerhandbuch.

Um Ihren WorkSpaces Administratoren diese Berechtigungen zu erteilen, verwenden Sie eine IAM-Richtlinie. Fügen Sie der IAM-Richtlinie für jeden WorkSpaces Administrator eine -Richtlinienanweisung ähnlich dem folgenden Beispiel hinzu. Ersetzen Sie den Beispiel-KMS-Schlüssel-ARN (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) durch einen gültigen. Wenn Ihre WorkSpaces Administratoren nur die WorkSpaces -API (nicht die Konsole) verwenden, können Sie die zweite Richtlinienanweisung mit den "kms:ListKeys" Berechtigungen "kms:ListAliases" und weglassen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}