Wie WorkSpaces verwendet AWS KMS

Sie können WorkSpacesdamit für jeden Ihrer Endbenutzer einen cloudbasierten Desktop (a WorkSpace) bereitstellen. Wenn Sie ein neues System starten WorkSpace, können Sie die zugehörigen Volumes verschlüsseln und entscheiden, welches für die Verschlüsselung verwendet werden AWS KMS keysoll. Sie können den Von AWS verwalteter Schlüsselfür WorkSpaces (aws/workspaces) oder einen symmetrischen, vom Kunden verwalteten Schlüssel wählen.

Wichtig

WorkSpaces unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keinen asymmetrischen KMS-Schlüssel verwenden, um die Volumes in einem zu verschlüsseln. WorkSpaces Informationen zur Feststellung, ob ein KMS-Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter Erkennen asymmetrischer KMS-Schlüssel.

Weitere Informationen zum Erstellen WorkSpaces mit verschlüsselten Volumes finden Sie unter Encrypt a WorkSpace im WorkSpaces Amazon-Administratorhandbuch.

Überblick über die WorkSpaces Verschlüsselung mit AWS KMS

Wenn Sie WorkSpaces mit verschlüsselten Volumes erstellen, WorkSpaces verwendet Amazon Elastic Block Store (Amazon EBS), um diese Volumes zu erstellen und zu verwalten. Beide Dienste verwenden Ihre AWS KMS key , um mit den verschlüsselten Volumes zu arbeiten. Weitere Informationen zur EBS-Volume-Verschlüsselung finden Sie in der folgenden Dokumentation:

• So verwendet Amazon Elastic Block Store (Amazon EBS) AWS KMS in dieser Anleitung

• Amazon EBS-Verschlüsselung im Amazon EC2 EC2-Benutzerhandbuch

Wenn Sie WorkSpaces mit verschlüsselten Volumes starten, funktioniert der end-to-end Vorgang wie folgt:

1. Sie geben den KMS-Schlüssel, der für die Verschlüsselung verwendet werden soll, sowie den Benutzer und WorkSpace das Verzeichnis an. Durch diese Aktion wird ein Zugriff gewährt, der es Ihnen ermöglicht, Ihren KMS-Schlüssel nur für diesen Zweck WorkSpaces zu verwenden, WorkSpace d. h. nur für den mit dem angegebenen Benutzer und dem angegebenen Verzeichnis WorkSpace verknüpften Daten.

2. WorkSpaces erstellt ein verschlüsseltes EBS-Volume für den WorkSpace und gibt den zu verwendenden KMS-Schlüssel sowie den Benutzer und das Verzeichnis des Volumes an (dieselben Informationen, die Sie unter Schritt 1 angegeben haben). Durch diese Aktion wird ein Zuschuss gewährt, der es Amazon EBS ermöglicht, Ihren KMS-Schlüssel nur für dieses WorkSpace Volumen zu verwenden, d. h. nur für den WorkSpace angegebenen Benutzer und das angegebene Verzeichnis und nur für das angegebene Volume.

3. Amazon EBS fordert einen Volume-Datenschlüssel an, der unter Ihrem KMS-Schlüssel verschlüsselt ist, und gibt die WorkSpace Benutzer Sid - und Verzeichnis-ID sowie die Volume-ID als Verschlüsselungskontext an.

4. AWS KMS erstellt einen neuen Datenschlüssel, verschlüsselt ihn unter Ihrem KMS-Schlüssel und sendet dann den verschlüsselten Datenschlüssel an Amazon EBS.

5. WorkSpaces verwendet Amazon EBS, um das verschlüsselte Volume an Ihr WorkSpace anzuhängen. Amazon EBS sendet den verschlüsselten Datenschlüssel AWS KMS mit einer DecryptAnfrage an und gibt die des WorkSpace BenutzersSid, seine Verzeichnis-ID und die Volume-ID an, die als Verschlüsselungskontext verwendet wird.

6. AWS KMS verwendet Ihren KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln, und sendet dann den Klartext-Datenschlüssel an Amazon EBS.

7. Amazon EBS verwendet den Klartext-Datenschlüssel, um alle eingehenden und ausgehenden Daten vom verschlüsselten Volume zu verschlüsseln. Amazon EBS behält den Klartext-Datenschlüssel so lange im Speicher, wie das Volume an den angehängt ist. WorkSpace

8. Amazon EBS speichert den verschlüsselten Datenschlüssel (empfangen amSchritt 4) mit den Volume-Metadaten für die future Verwendung, falls Sie den WorkSpace neu starten oder neu erstellen.

9. Wenn Sie die verwenden AWS Management Console , um eine zu entfernen WorkSpace (oder die TerminateWorkspacesAktion in der WorkSpaces API zu verwenden), WorkSpaces und Amazon EBS die Zuweisungen zurückziehen, die es ihnen ermöglicht haben, Ihren KMS-Schlüssel dafür zu verwenden. WorkSpace

WorkSpaces Verschlüsselungskontext

WorkSpaces verwendet Ihren nicht AWS KMS key direkt für kryptografische Operationen (wie Encrypt,, usw.) DecryptGenerateDataKey, was bedeutet, AWS KMS dass WorkSpaces keine Anfragen an diese gesendet werden, die einen Verschlüsselungskontext enthalten. Wenn Amazon EBS jedoch einen verschlüsselten Datenschlüssel für die verschlüsselten Volumes Ihres WorkSpaces (Schritt 3imÜberblick über die WorkSpaces Verschlüsselung mit AWS KMS) anfordert und wenn es eine Klartextkopie dieses Datenschlüssels (Schritt 5) anfordert, schließt es den Verschlüsselungskontext in die Anfrage ein. Der Verschlüsselungskontext stellt zusätzliche authentifizierte Daten (AAD) bereit, die zur Sicherstellung der Datenintegrität AWS KMS verwendet werden. Der Verschlüsselungskontext wird auch in Ihre AWS CloudTrail Protokolldateien geschrieben, sodass Sie leichter nachvollziehen können, warum ein bestimmter Kontext verwendet AWS KMS key wurde. Amazon EBS verwendet Folgendes für den Verschlüsselungskontext:

• Der sid des AWS Directory Service Benutzers, der dem zugeordnet ist WorkSpace

• Die Verzeichnis-ID des AWS Directory Service Verzeichnisses, das dem zugeordnet ist WorkSpace

• Die Volume-ID des verschlüsselten Volume.

Das folgende Beispiel zeigt eine JSON-Darstellung des von Amazon EBS verwendeten Verschlüsselungskontextes:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Erteilen Sie die WorkSpaces Erlaubnis, einen KMS-Schlüssel in Ihrem Namen zu verwenden

Sie können Ihre Workspace-Daten mit dem Von AWS verwalteter Schlüssel for WorkSpaces (aws/workspaces) oder einem vom Kunden verwalteten Schlüssel schützen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie den WorkSpaces Administratoren in Ihrem Konto die WorkSpaces Erlaubnis zur Verwendung des KMS-Schlüssels erteilen. Das Von AWS verwalteter Schlüssel für WorkSpaces verfügt standardmäßig über die erforderlichen Berechtigungen.

Gehen Sie wie folgt vor WorkSpaces, um Ihren vom Kunden verwalteten Schlüssel für die Verwendung mit vorzubereiten.

1. Fügen Sie die WorkSpaces Administratoren zur Liste der Schlüsselbenutzer in der Schlüsselrichtlinie des KMS-Schlüssels hinzu

2. Erteilen Sie den WorkSpaces Administratoren mit einer IAM-Richtlinie zusätzliche Berechtigungen

WorkSpaces Administratoren benötigen außerdem eine WorkSpaces Nutzungsberechtigung. Weitere Informationen zu diesen Berechtigungen finden Sie unter Controlling Access to WorkSpaces Resources im WorkSpaces Amazon-Administratorhandbuch.

Teil 1: Hinzufügen von WorkSpaces Administratoren zu den Hauptbenutzern eines KMS-Schlüssels

Um WorkSpaces Administratoren die erforderlichen Berechtigungen zu erteilen, können Sie die AWS Management Console oder die AWS KMS API verwenden.

Um WorkSpaces Administratoren als Hauptbenutzer für einen KMS-Schlüssel hinzuzufügen (Konsole)

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

4. Wählen Sie die Schlüssel-ID oder den Alias Ihres bevorzugten kundenverwalteten Schlüssels aus.

5. Wählen Sie die Registerkarte Key policy (Schlüsselrichtlinie). Unter Key users (Schlüsselbenutzer), wählen Sie Add (Hinzufügen) aus.

6. Wählen Sie in der Liste der IAM-Benutzer und -Rollen die Benutzer und Rollen aus, die Ihren WorkSpaces Administratoren entsprechen, und klicken Sie dann auf Anhängen.

Um WorkSpaces Administratoren als Hauptbenutzer für einen KMS-Schlüssel (AWS KMS API) hinzuzufügen

1. Verwenden Sie den GetKeyPolicyVorgang, um die vorhandene Schlüsselrichtlinie abzurufen, und speichern Sie das Richtliniendokument anschließend in einer Datei.

2. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie die IAM-Benutzer und -Rollen, die Ihren WorkSpaces Administratoren entsprechen, zu den Richtlinienerklärungen hinzu, die Schlüsselbenutzern Berechtigungen erteilen. Speichern Sie dann die Datei.

3. Verwenden Sie den PutKeyPolicyVorgang, um die Schlüsselrichtlinie auf den KMS-Schlüssel anzuwenden.

Teil 2: Erteilen zusätzlicher Berechtigungen für WorkSpaces Administratoren

Wenn Sie zum Schutz Ihrer WorkSpaces Daten einen vom Kunden verwalteten Schlüssel verwenden, benötigen WorkSpaces Administratoren zusätzlich zu den Berechtigungen im Abschnitt „Schlüsselbenutzer“ der Standardschlüsselrichtlinie die Berechtigung, Berechtigungen für den KMS-Schlüssel zu erstellen. WorkSpaces Administratoren benötigen außerdem die AWS Management ConsoleErlaubnis, Aliase und Schlüssel aufzulisten, wenn sie die zum Erstellen WorkSpaces mit verschlüsselten Volumes verwenden. Weitere Informationen zum Erstellen von IAM-Benutzer-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAM-Benutzerhandbuch.

Verwenden Sie eine IAM-Richtlinie, um Ihren WorkSpaces Administratoren diese Berechtigungen zu erteilen. Fügen Sie der IAM-Richtlinie für jeden WorkSpaces Administrator eine Richtlinienanweisung hinzu, die dem folgenden Beispiel ähnelt. Ersetzen Sie den Beispiel-KMS-Schlüssel-ARN (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) durch einen gültigen. Wenn Ihre WorkSpaces Administratoren nur die WorkSpaces API (nicht die Konsole) verwenden, können Sie die zweite Richtlinienanweisung mit den Berechtigungen "kms:ListAliases" und "kms:ListKeys" weglassen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}