Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand für Amazon WorkSpaces Secure Browser
Die Verschlüsselung im Ruhezustand ist standardmäßig konfiguriert und alle im WorkSpaces Secure Browser verwendeten Kundendaten (z. B. Browserrichtlinien, Benutzernamen, Protokollierung oder IP-Adressen) werden mit AWS KMS verschlüsselt. Standardmäßig aktiviert WorkSpaces Secure Browser die Verschlüsselung mit einem AWS eigenen Schlüssel. Sie können auch einen vom Kunden verwalteten Schlüssel (CMK) verwenden, indem Sie Ihren CMK bei der Ressourcenerstellung angeben. Dies wird derzeit nur über die CLI unterstützt.
Wenn Sie sich dafür entscheiden, einen CMK zu übergeben, muss es sich bei dem bereitgestellten Schlüssel um einen symmetrischen AWS KMS Verschlüsselungsschlüssel handeln, und Sie als Administrator müssen über die folgenden Berechtigungen verfügen:
kms:DescribeKey kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Wenn Sie einen CMK verwenden, müssen Sie den externen Dienstprinzipal von WorkSpaces Secure Browser für den Zugriff auf den Schlüssel zulassen. Weitere Informationen finden Sie unter Beispiel für eine CMK-Schlüsselrichtlinie mit Geltungsbereich mit aws: SourceAccount
Wann immer möglich, verwendet WorkSpaces Secure Browser die Anmeldeinformationen für Forward Access Sessions (FAS), um auf Ihren Schlüssel zuzugreifen. Weitere Informationen zu FAS finden Sie unter Forward Access Sessions. Es gibt Fälle, in denen WorkSpaces Secure Browser möglicherweise asynchron auf Ihren Schlüssel zugreifen muss. Wenn Sie den externen Dienstprinzipal von WorkSpaces Secure Browser in Ihrer Schlüsselrichtlinie zulassen, kann WorkSpaces Secure Browser die auf der Zulassungsliste aufgeführten kryptografischen Operationen mit Ihrem Schlüssel ausführen.
Nachdem eine Ressource erstellt wurde, kann der Schlüssel nicht mehr entfernt oder geändert werden. Wenn Sie ein CMK verwendet haben, müssen Sie als Administrator, der auf die Ressource zugreift, über die folgenden Berechtigungen verfügen:
kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Wenn bei der Verwendung der Konsole der Fehler Zugriff verweigert angezeigt wird, verfügt der Benutzer, der auf die Konsole zugreift, wahrscheinlich nicht über die erforderlichen Berechtigungen, um den CMK für den verwendeten Schlüssel zu verwenden.
Beispiele für wichtige Richtlinien und Geltungsbereiche für Secure Browser WorkSpaces
CMKs erfordern die folgende wichtige Richtlinie:
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", } ] }
Die folgenden Berechtigungen sind für WorkSpaces Secure Browser erforderlich:
-
kms:DescribeKey— Überprüft, ob der angegebene AWS KMS Schlüssel korrekt konfiguriert ist. -
kms:GenerateDataKeyWithoutPlaintextundkms:GenerateDataKey— Anforderung des AWS KMS Schlüssels zur Erstellung von Datenschlüsseln, die zur Verschlüsselung von Objekten verwendet werden. -
kms:Decrypt— Fordert den AWS KMS Schlüssel zur Entschlüsselung der verschlüsselten Datenschlüssel an. Diese Datenschlüssel werden verwendet, um Ihre Daten zu verschlüsseln. -
kms:ReEncryptToundkms:ReEncryptFrom— Anforderung des AWS KMS Schlüssels, um eine erneute Verschlüsselung von oder zu einem KMS-Schlüssel zu ermöglichen.
Festlegung des Gültigkeitsbereichs der WorkSpaces Secure Browser-Berechtigungen für Ihren Schlüssel AWS KMS
Wenn es sich bei dem Prinzipal in einer wichtigen Richtlinienerklärung um einen AWS Dienstprinzipal handelt, empfehlen wir dringend, zusätzlich zum Verschlüsselungskontext die SourceAccount globalen Bedingungsschlüssel aws: SourceArn oder aws: zu verwenden.
Der für eine Ressource verwendete Verschlüsselungskontext enthält immer einen Eintrag im Format aws:workspaces-web:RESOURCE_TYPE:id und die entsprechende Ressourcen-ID.
Die Werte des Quell-ARN und des Quellkontos sind nur dann im Autorisierungskontext enthalten, wenn eine Anfrage AWS KMS von einem anderen AWS Dienst eingeht. Diese Kombination von Bedingungen implementiert die geringsten Berechtigungen und verhindert ein potenzielles Szenario des verwirrten Stellvertreters. Weitere Informationen finden Sie unter Berechtigungen für AWS-Services in den wichtigsten Richtlinien.
"Condition": { "StringEquals": { "aws:SourceAccount": "AccountId", "kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId" ] }, }
Anmerkung
Vor der Erstellung der Ressource sollte die Schlüsselrichtlinie nur die aws:SourceAccount Bedingung verwenden, da der vollständige Ressourcen-ARN noch nicht vorhanden sein wird. Nach der Erstellung der Ressource kann die Schlüsselrichtlinie so aktualisiert werden, dass sie die kms:EncryptionContext Bedingungen aws:SourceArn und enthält.
Beispiel für eine CMK-Schlüsselrichtlinie mit Geltungsbereich aws:SourceAccount
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>" } } } ] }
Beispiel für eine CMK-Schlüsselrichtlinie mit Gültigkeitsbereich und Ressourcen-Platzhalter aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:workspaces-web:<Region>:<AccountId>:*/*" } } } ] }
Beispiel für eine CMK-Schlüsselrichtlinie mit Geltungsbereich aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:workspaces-web:<Region>:<AccountId>:portal/*", "arn:aws:workspaces-web:<Region>:<AccountId>:browserSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:userSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:ipAccessSettings/*" ] } } ] }
Anmerkung
Nachdem Sie die Ressource erstellt haben, können Sie den Platzhalter dafür aktualisieren. SourceArn Wenn Sie WorkSpaces Secure Browser verwenden, um eine neue Ressource zu erstellen, für die CMK-Zugriff erforderlich ist, stellen Sie sicher, dass Sie die zugehörige Schlüsselrichtlinie entsprechend aktualisieren.
Beispiel für eine bereichsbezogene CMK-Schlüsselrichtlinie mit und ressourcenspezifischer aws:SourceArnEncryptionContext
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:portal:id": "<portalId>>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:userSetttings:id": "<userSetttingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:browserSettings:id": "<browserSettingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": "<ipAccessSettingsId>" } } }, ] }
Anmerkung
Stellen Sie sicher, dass Sie separate Anweisungen erstellen, wenn Sie eine Ressource angeben, die sich EncryptionContext auf dieselbe Schlüsselrichtlinie bezieht. Weitere Informationen finden Sie im Abschnitt Verwenden mehrerer Verschlüsselungskontextpaare unter kms:EncryptionContext: Kontextschlüssel.
