Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenverschlüsselung im Ruhezustand für Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client bietet standardmäßig Verschlüsselung, um vertrauliche Kundendaten mithilfe AWS eigener Verschlüsselungsschlüssel zu schützen.
AWS eigene Schlüssel — Amazon WorkSpaces Thin Client verwendet diese Schlüssel standardmäßig, um persönlich identifizierbare Daten automatisch zu verschlüsseln. Sie können AWS eigene Schlüssel nicht einsehen, verwalten oder verwenden oder deren Verwendung überprüfen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme zum Schutz der Schlüssel ändern, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter AWS -eigene Schlüssel im Entwicklerhandbuch zum AWS -Schlüsselverwaltungsdienst.
Die standardmäßige Verschlüsselung von Daten im Ruhezustand trägt dazu bei, den betrieblichen Aufwand und die Komplexität zu reduzieren, die mit dem Schutz vertraulicher Daten verbunden sind. Gleichzeitig können Sie damit sichere Anwendungen erstellen, die strenge Verschlüsselungsvorschriften und gesetzliche Auflagen erfüllen.
Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen alternativen Verschlüsselungstyp auswählen, aber Sie können eine zweite Verschlüsselungsebene über den vorhandenen AWS-eigenen Verschlüsselungsschlüsseln hinzufügen, indem Sie bei der Erstellung Ihrer Thin Client-Umgebung einen vom Kunden verwalteten Schlüssel auswählen:
Vom Kunden verwaltete Schlüssel — Amazon WorkSpaces Thin Client unterstützt die Verwendung eines symmetrischen, vom Kunden verwalteten Schlüssels, den Sie erstellen, besitzen und verwalten, um der vorhandenen AWS Verschlüsselung eine zweite Verschlüsselungsebene hinzuzufügen. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie Aufgaben wie die folgenden ausführen:
Festlegung und Pflege wichtiger Richtlinien
Einrichtung und Pflege von IAM-Richtlinien
Aktivieren und Deaktivieren wichtiger Richtlinien
Kryptographisches Material mit rotierendem Schlüssel
Hinzufügen von Tags
Erstellen von Schlüsselaliasen
Planen von Schlüsseln für das Löschen
Weitere Informationen finden Sie unter Vom Kunden verwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service.
Die folgende Tabelle fasst zusammen, wie Amazon WorkSpaces Thin Client personenbezogene Daten verschlüsselt.
| Datentyp | AWS-eigene Schlüsselverschlüsselung | Vom Kunden verwaltete Schlüsselverschlüsselung (optional) |
|---|---|---|
|
Environment name WorkSpaces Name der Thin Client-Umgebung |
Aktiviert |
Aktiviert |
|
Gerätename WorkSpaces Name des Thin Client-Geräts |
Aktiviert |
Aktiviert |
|
Benutzeraktivität WorkSpaces Thin Client-Benutzeraktivität |
Aktiviert |
Aktiviert |
|
Einstellungen des Geräts WorkSpaces Einstellungen für Thin Client-Geräte |
Aktiviert |
Aktiviert |
|
Tags zur Geräteerstellung WorkSpaces Tags zur Geräteerstellung in der Thin-Client-Umgebung |
Aktiviert |
Aktiviert |
Anmerkung
Amazon WorkSpaces Thin Client aktiviert automatisch die Verschlüsselung im Ruhezustand, indem AWS eigene Schlüssel verwendet werden, um personenbezogene Daten kostenlos zu schützen.
Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS-Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service – Preise
So verwendet Amazon WorkSpaces Thin Client AWS KMS
Amazon WorkSpaces Thin Client erfordert eine Schlüsselrichtlinie, damit Sie Ihren vom Kunden verwalteten Schlüssel verwenden können.
Amazon WorkSpaces Thin Client erfordert die Schlüsselrichtlinie, um Ihren vom Kunden verwalteten Schlüssel für die folgenden internen Vorgänge zu verwenden:
Senden Sie
GenerateDataKeyAnfragen an AWS KMS, um die Daten zu verschlüsseln.Senden Sie
DecryptAnfragen an AWS KMS, um die verschlüsselten Daten zu entschlüsseln.
Sie können den Zugriff des Dienstes auf den vom Kunden verwalteten Schlüssel jederzeit entfernen. Wenn Sie dies tun, kann Amazon WorkSpaces Thin Client auf keine der mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf Vorgänge auswirkt, die von diesen Daten abhängig sind. Wenn Sie beispielsweise versuchen, Umgebungsdetails abzurufen, auf die WorkSpaces Thin Client nicht zugreifen kann, gibt der Vorgang einen AccessDeniedException Fehler zurück. Darüber hinaus kann das WorkSpaces Thin Client-Gerät keine WorkSpaces Thin Client-Umgebung verwenden.
Einen kundenverwalteten Schlüssel erstellen
Sie können einen symmetrischen, vom Kunden verwalteten Schlüssel mithilfe der AWS-Managementkonsole oder der AWS KMS-API-Operationen erstellen.
So erstellen Sie einen symmetrischen kundenverwalteten Schlüssel
Folgen Sie den Schritten zur Erstellen eines symmetrischen kundenverwalteten Schlüssels im Entwicklerhandbuch zum AWS Key Management Service.
Schlüsselrichtlinie
Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren vom Kunden verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service.
Um Ihren vom Kunden verwalteten Schlüssel mit Ihren Amazon WorkSpaces Thin Client-Ressourcen zu verwenden, müssen die folgenden API-Operationen in der Schlüsselrichtlinie zugelassen sein:
kms:DescribeKey— Stellt dem Kunden verwaltete Schlüsseldetails zur Verfügung, sodass Amazon WorkSpaces Thin Client den Schlüssel validieren kann.kms:GenerateDataKey– Ermöglicht die Verwendung des vom Kunden verwalteten Schlüssels zur Verschlüsselung der Daten.kms:Decrypt– Ermöglicht die Verwendung des vom Kunden verwalteten Schlüssels zur Entschlüsselung der Daten.
Im Folgenden finden Sie Beispiele für Richtlinienerklärungen, die Sie für Amazon WorkSpaces Thin Client hinzufügen können:
{ "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon WorkSpaces Thin Client", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "thinclient.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow Amazon WorkSpaces Thin Client service to encrypt and decrypt data", "Effect": "Allow", "Principal": {"Service": "thinclient.amazonaws.com"}, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:thinclient:region:111122223333:*", "kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] }
Weitere Informationen zum Festlegen von Berechtigungen in einer Richtlinie finden Sie im Entwicklerhandbuch zum AWS Key Management Service.
Weitere Informationen zur Fehlerbehebung beim Schlüsselzugriff finden Sie im Entwicklerhandbuch zum AWS Key Management Service.
Angabe eines vom Kunden verwalteten Schlüssels für WorkSpaces Thin Client
Sie können einen vom Kunden verwalteten Schlüssel als zweite Verschlüsselungsebene für die folgenden Ressourcen festlegen:
-
WorkSpaces Thin-Client-Umgebung
Wenn Sie eine Umgebung erstellen, können Sie den Datenschlüssel angeben, indem Sie einen angebenkmsKeyArn, den Amazon WorkSpaces Thin Client zur Verschlüsselung der identifizierbaren personenbezogenen Daten verwendet.
kmsKeyArn— Eine Schlüssel-ID für einen AWS vom Kunden verwalteten KMS-Schlüssel. Geben Sie einen Schlüssel-ARN an.
Wenn der WorkSpaces Thin Client-Umgebung ein neues Thin Client-Gerät hinzugefügt wird, das WorkSpaces mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist, erbt das WorkSpaces Thin Client-Gerät die Einstellung für den vom Kunden verwalteten Schlüssel aus der WorkSpaces Thin Client-Umgebung.
Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, der zusätzliche kontextbezogene Informationen zu den Daten enthält.
AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Datenverschlüsselung aufnehmen, bindet AWS KMS den Verschlüsselungskontext an die verschlüsselten Daten. Um Daten zu entschlüsseln, müssen Sie denselben Verschlüsselungskontext in die Anfrage aufnehmen.
Amazon WorkSpaces Thin Client-Verschlüsselungskontext
Amazon WorkSpaces Thin Client verwendet bei allen kryptografischen AWS KMS-Vorgängen denselben Verschlüsselungskontext, wobei der Schlüssel aws:thinclient:arn und der Wert der Amazon-Ressourcenname (ARN) ist.
Im Folgenden ist der Environment-Verschlüsselungskontext dargestellt:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID" }
Der folgende Kontext ist der Geräteverschlüsselungskontext:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:device/device_ID" }
Verwenden des Verschlüsselungskontexts für die Überwachung
Wenn Sie einen symmetrischen, vom Kunden verwalteten Schlüssel verwenden, um Ihre WorkSpaces Thin Client-Umgebung und Gerätedaten zu verschlüsseln, können Sie den Verschlüsselungskontext auch in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint auch in Protokollen, die von AWS CloudTrail oder Amazon CloudWatch Logs generiert wurden.
Verwendung des Verschlüsselungskontextes zur Steuerung des Zugriffs auf den vom Kunden verwalteten Schlüssel
Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien als Bedingungen verwenden, um den Zugriff auf Ihren symmetrischen, vom Kunden verwalteten Schlüssel zu kontrollieren.
Im Folgenden finden Sie Beispiele für Schlüsselrichtlinienanweisungen zur Gewährung des Zugriffs auf einen vom Kunden verwalteten Schlüssel für einen bestimmten Verschlüsselungskontext. Die Bedingung in dieser Richtlinienanweisung setzt voraus, dass der kms:Decrypt-Aufruf eine Einschränkung des Verschlüsselungskontextes hat, die den Verschlüsselungskontext spezifiziert.
{ "Sid": "Enable Decrypt to access Thin Client Environment", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"}, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": {"kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID"} } }
Überwachung Ihrer Verschlüsselungsschlüssel für Amazon WorkSpaces Thin Client
Wenn Sie einen AWS vom Kunden verwalteten KMS-Schlüssel mit Ihren Amazon WorkSpaces Thin Client-Ressourcen verwenden, können Sie AWS CloudTrail oder Amazon CloudWatch Logs verwenden, um Anfragen zu verfolgen, die Amazon WorkSpaces Thin Client an AWS KMS sendet.
Die folgenden Beispiele sind AWS CloudTrail Ereignisse fürDescribeKey,,GenerateDataKey, zur Überwachung von KMS-VorgängenDecrypt, die von Amazon WorkSpaces Thin Client aufgerufen werden, um auf Daten zuzugreifen, die mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt wurden:
In den folgenden Beispielen sehen Sie sich encryptionContext die WorkSpaces Thin Client-Umgebung an. Ähnliche CloudTrail Ereignisse werden für das WorkSpaces Thin Client-Gerät aufgezeichnet.
Weitere Informationen
Die folgenden Ressourcen bieten weitere Informationen zur Datenverschlüsselung im Ruhezustand:
Weitere Informationen finden Sie unter Grundlegende Konzepte von AWS Key Management Service im Entwicklerhandbuch für AWS Key Management Service.
Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden von AWS Key Management Service im Entwicklerhandbuch für AWS Key Management Service.
