Verschlüsselt WorkSpaces

WorkSpaces ist in die AWS Key Management Service (AWS KMS) integriert. Auf diese Weise können Sie Speichervolumes WorkSpaces mithilfe von AWS KMS Key verschlüsseln. Wenn Sie a starten WorkSpace, können Sie das Stammvolume (für Microsoft Windows das Laufwerk C; für Linux,/) und das Benutzervolume (für Windows das Laufwerk D; für Linux /home) verschlüsseln. Auf diese Weise wird sichergestellt, dass Daten im Ruhezustand, Festplatten-Ein-/Ausgaben und Snapshots von Volumes verschlüsselt werden.

Anmerkung

Zusätzlich zur Verschlüsselung Ihres können Sie in bestimmten WorkSpaces Regionen der USA auch die FIPS-Endpunktverschlüsselung verwenden. AWS Weitere Informationen finden Sie unter Einrichten von Amazon WorkSpaces für die FedRAMP-Autorisierung oder DoD-SRG-Compliance.

Voraussetzungen

Sie benötigen einen AWS KMS Schlüssel, bevor Sie mit dem Verschlüsselungsprozess beginnen können. Dieser KMS-Schlüssel kann entweder der AWS verwaltete KMS-Schlüssel für Amazon WorkSpaces (aws/workspaces) oder ein symmetrischer, vom Kunden verwalteter KMS-Schlüssel sein.

• AWS verwaltete KMS-Schlüssel — Wenn Sie in einer Region zum ersten Mal eine unverschlüsselte WorkSpace Datei von der WorkSpaces Konsole aus starten, erstellt Amazon WorkSpaces automatisch einen AWS verwalteten KMS-Schlüssel (aws/workspaces) in Ihrem Konto. Sie können diesen AWS verwalteten KMS-Schlüssel auswählen, um die Benutzer- und Root-Volumes Ihres zu verschlüsseln. WorkSpace Details hierzu finden Sie unter Überblick über die WorkSpaces Verschlüsselung mit AWS KMS.

  Sie können diesen AWS verwalteten KMS-Schlüssel einschließlich seiner Richtlinien und Berechtigungen einsehen und seine Verwendung in AWS CloudTrail Protokollen verfolgen, aber Sie können diesen KMS-Schlüssel nicht verwenden oder verwalten. Amazon WorkSpaces erstellt und verwaltet diesen KMS-Schlüssel. Nur Amazon WorkSpaces kann diesen KMS-Schlüssel verwenden und WorkSpaces kann ihn nur zum Verschlüsseln von WorkSpaces Ressourcen in Ihrem Konto verwenden.

  AWS verwaltete KMS-Schlüssel, einschließlich des von Amazon WorkSpaces unterstützten, werden alle drei Jahre rotiert. Einzelheiten finden Sie unter Rotating AWS KMS Key im AWS Key Management Service Developer Guide.

• Kundenverwalteter KMS-Schlüssel — Alternativ können Sie einen symmetrischen, vom Kunden verwalteten KMS-Schlüssel auswählen, mit AWS KMS dem Sie erstellt haben. Sie können diesen KMS-Schlüssel anzeigen, verwenden und verwalten, einschließlich Festlegen seiner Richtlinien. Weitere Informationen zum Erstellen von KMS-Schlüsseln finden Sie unter Erstellen von Schlüsseln im AWS Key Management Service -Entwicklerhandbuch. Weitere Informationen zum Erstellen von KMS-Schlüsseln mithilfe der AWS KMS API finden Sie unter Arbeiten mit Schlüsseln im AWS Key Management Service Entwicklerhandbuch.

  Vom Kunden verwaltete KMS-Schlüssel werden nicht automatisch rotiert, es sei denn, Sie entscheiden sich dafür, die automatische Schlüsselrotation zu aktivieren. Einzelheiten finden Sie unter Rotierende AWS KMS Schlüssel im AWS Key Management Service Entwicklerhandbuch.

Wichtig

Wenn Sie KMS-Schlüssel manuell rotieren, müssen Sie sowohl den ursprünglichen KMS-Schlüssel als auch den neuen KMS-Schlüssel aktiviert AWS KMS lassen, WorkSpaces damit der vom ursprünglichen KMS-Schlüssel verschlüsselte Schlüssel entschlüsselt werden kann. Wenn Sie den ursprünglichen KMS-Schlüssel nicht aktiviert lassen möchten, müssen Sie Ihren neu erstellen WorkSpaces und ihn mit dem neuen KMS-Schlüssel verschlüsseln.

Sie müssen die folgenden Anforderungen erfüllen, um einen AWS KMS Schlüssel zur Verschlüsselung Ihres zu verwenden: WorkSpaces

• Der KMS-Schlüssel muss symmetrisch sein. Amazon unterstützt WorkSpaces keine asymmetrischen KMS-Schlüssel. Informationen zum Unterscheiden zwischen symmetrischen und asymmetrischen KMS-Schlüsseln finden Sie unter Identifizieren symmetrischer und asymmetrischer KMS-Schlüssel im AWS Key Management Service -Entwicklerhandbuch.

• Der KMS-Schlüssel muss aktiviert sein. Informationen darüber, ob ein KMS-Schlüssel aktiviert ist, finden Sie unter Anzeigen von KMS-Schlüsseldetails im AWS Key Management Service -Entwicklerhandbuch.

• Dem KMS-Schlüssel müssen die richtigen Berechtigungen und Richtlinien zugeordnet sein. Weitere Informationen finden Sie unter Teil 2: Gewähren Sie WorkSpaces Administratoren mithilfe einer IAM-Richtlinie zusätzliche Berechtigungen.

Einschränkungen

• Sie können ein vorhandenes nicht verschlüsseln. WorkSpace Sie müssen eine verschlüsseln, WorkSpace wenn Sie sie starten.

• Das Erstellen eines benutzerdefinierten Images aus einem verschlüsselten Bild WorkSpace wird nicht unterstützt.

• Das Deaktivieren der Verschlüsselung für ein verschlüsseltes Objekt WorkSpace wird derzeit nicht unterstützt.

• WorkSpaces Bei einem Start mit aktivierter Root-Volume-Verschlüsselung kann die Bereitstellung bis zu einer Stunde dauern.

• Um einen verschlüsselten Computer neu zu starten oder neu zu erstellen WorkSpace, stellen Sie zunächst sicher, dass der AWS KMS Schlüssel aktiviert ist. Andernfalls kann WorkSpace er nicht mehr verwendet werden. Informationen darüber, ob ein KMS-Schlüssel aktiviert ist, finden Sie unter Anzeigen von KMS-Schlüsseldetails im AWS Key Management Service -Entwicklerhandbuch.

Überblick über die WorkSpaces Verschlüsselung mit AWS KMS

Wenn Sie WorkSpaces mit verschlüsselten Volumes erstellen, WorkSpaces verwendet Amazon Elastic Block Store (Amazon EBS), um diese Volumes zu erstellen und zu verwalten. Amazon EBS verschlüsselt Ihr Volume mit einem Datenschlüssel mithilfe des branchenüblichen AES-256-Algorithmus. Sowohl Amazon EBS als auch Amazon WorkSpaces verwenden Ihren KMS-Schlüssel, um mit den verschlüsselten Volumes zu arbeiten. Weitere Informationen zur EBS-Volumenverschlüsselung finden Sie unter Amazon EBS Encryption im Amazon EC2 EC2-Benutzerhandbuch.

Wenn Sie WorkSpaces mit verschlüsselten Volumes starten, funktioniert der end-to-end Vorgang wie folgt:

1. Sie geben den KMS-Schlüssel an, der für die Verschlüsselung verwendet werden soll, sowie den Benutzer und das Verzeichnis für WorkSpace. Durch diese Aktion wird ein Zugriff gewährt, der es Ihnen ermöglicht, Ihren KMS-Schlüssel nur für diesen Zweck WorkSpaces zu verwenden, WorkSpace d. h. nur für den mit dem angegebenen Benutzer und dem angegebenen Verzeichnis WorkSpace verknüpften Daten.

2. WorkSpaces erstellt ein verschlüsseltes EBS-Volume für den WorkSpace und gibt den zu verwendenden KMS-Schlüssel sowie den Benutzer und das Verzeichnis des Volumes an. Durch diese Aktion wird ein Zuschuss gewährt, der es Amazon EBS ermöglicht, Ihren KMS-Schlüssel nur für dieses WorkSpace Volumen zu verwenden, d. h. nur für den WorkSpace angegebenen Benutzer und das angegebene Verzeichnis und nur für das angegebene Volume.

3. Amazon EBS fordert einen Volumendatenschlüssel an, der unter Ihrem KMS-Schlüssel verschlüsselt ist, und gibt die Active Directory-Sicherheitskennung (SID) und die AWS Directory Service Verzeichnis-ID des WorkSpace Benutzers sowie die Amazon EBS-Volume-ID als Verschlüsselungskontext an.

4. AWS KMS erstellt einen neuen Datenschlüssel, verschlüsselt ihn unter Ihrem KMS-Schlüssel und sendet dann den verschlüsselten Datenschlüssel an Amazon EBS.

5. WorkSpaces verwendet Amazon EBS, um das verschlüsselte Volume an Ihr WorkSpace anzuhängen. Amazon EBS sendet den verschlüsselten Datenschlüssel AWS KMS mit einer DecryptAnfrage an und gibt die SID des WorkSpace Benutzers, die Verzeichnis-ID und die Volume-ID an, die als Verschlüsselungskontext verwendet wird.

6. AWS KMS verwendet Ihren KMS-Schlüssel, um den Datenschlüssel zu entschlüsseln, und sendet dann den Klartext-Datenschlüssel an Amazon EBS.

7. Amazon EBS verwendet den Klartext-Datenschlüssel, um alle eingehenden und ausgehenden Daten vom verschlüsselten Volume zu verschlüsseln. Amazon EBS behält den Klartext-Datenschlüssel so lange im Speicher, wie das Volume an den angehängt ist. WorkSpace

8. Amazon EBS speichert den verschlüsselten Datenschlüssel (empfangen amSchritt 4) mit den Volume-Metadaten für die future Verwendung, falls Sie den WorkSpace neu starten oder neu erstellen.

9. Wenn Sie die verwenden AWS Management Console , um eine zu entfernen WorkSpace (oder die TerminateWorkspacesAktion in der WorkSpaces API zu verwenden), WorkSpaces und Amazon EBS die Zuschüsse zurückziehen, die es ihnen ermöglicht haben, Ihren KMS-Schlüssel dafür zu verwenden. WorkSpace

WorkSpaces Verschlüsselungskontext

WorkSpaces verwendet Ihren KMS-Schlüssel nicht direkt für kryptografische Operationen (wie Encrypt,, usw.) DecryptGenerateDataKey, was bedeutet, AWS KMS dass WorkSpaces keine Anfragen an diese gesendet werden, die einen Verschlüsselungskontext enthalten. Wenn Amazon EBS jedoch einen verschlüsselten Datenschlüssel für die verschlüsselten Volumes Ihres WorkSpaces (Schritt 3imÜberblick über die WorkSpaces Verschlüsselung mit AWS KMS) anfordert und wenn es eine Klartextkopie dieses Datenschlüssels (Schritt 5) anfordert, schließt es den Verschlüsselungskontext in die Anfrage ein.

Der Verschlüsselungskontext stellt zusätzliche authentifizierte Daten (AAD) bereit, die zur Sicherstellung der AWS KMS Datenintegrität verwendet werden. Der Verschlüsselungskontext wird auch in Ihre AWS CloudTrail Protokolldateien geschrieben, sodass Sie leichter nachvollziehen können, warum ein bestimmter KMS-Schlüssel verwendet wurde. Amazon EBS verwendet Folgendes für den Verschlüsselungskontext:

• Die Sicherheits-ID (SID) des Active Directory-Benutzers, der dem zugeordnet ist WorkSpace

• Die Verzeichnis-ID des AWS Directory Service Verzeichnisses, das dem zugeordnet ist WorkSpace

• Die Amazon-EBS-Volume-ID des verschlüsselten Volumes.

Das folgende Beispiel zeigt eine JSON-Darstellung des von Amazon EBS verwendeten Verschlüsselungskontextes:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Erteilen Sie die WorkSpaces Erlaubnis, einen KMS-Schlüssel in Ihrem Namen zu verwenden

Sie können Ihre WorkSpace Daten mit dem AWS verwalteten KMS-Schlüssel für WorkSpaces (aws/workspaces) oder einem vom Kunden verwalteten KMS-Schlüssel schützen. Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel verwenden, müssen Sie den WorkSpaces Administratoren Ihres Kontos die WorkSpaces Erlaubnis zur Verwendung des KMS-Schlüssels erteilen. Der AWS verwaltete KMS-Schlüssel für WorkSpaces verfügt standardmäßig über die erforderlichen Berechtigungen.

Gehen Sie wie folgt vor, um Ihren vom Kunden verwalteten KMS-Schlüssel für die Verwendung mit WorkSpaces vorzubereiten.

1. Fügen Sie Ihre WorkSpaces Administratoren zur Liste der Hauptbenutzer in der Schlüsselrichtlinie des KMS-Schlüssels hinzu

2. Erteilen Sie Ihren WorkSpaces Administratoren mit einer IAM-Richtlinie zusätzliche Berechtigungen

Ihre WorkSpaces Administratoren benötigen außerdem eine WorkSpaces Nutzungsberechtigung. Weitere Informationen zu diesen Berechtigungen finden Sie unter Identitäts- und Zugriffsverwaltung für WorkSpaces.

Teil 1: WorkSpaces Administratoren als Hauptbenutzer hinzufügen

Um WorkSpaces Administratoren die erforderlichen Berechtigungen zu erteilen, können Sie die AWS Management Console oder die AWS KMS API verwenden.

Um WorkSpaces Administratoren als Hauptbenutzer für einen KMS-Schlüssel hinzuzufügen (Konsole)

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

4. Wählen Sie die Schlüssel-ID oder den Alias Ihres bevorzugten kundenverwalteten KMS-Schlüssels aus.

5. Wählen Sie die Registerkarte Key policy (Schlüsselrichtlinie). Unter Key users (Schlüsselbenutzer), wählen Sie Add (Hinzufügen) aus.

6. Wählen Sie in der Liste der IAM-Benutzer und -Rollen die Benutzer und Rollen aus, die Ihren WorkSpaces Administratoren entsprechen, und klicken Sie dann auf Hinzufügen.

Um WorkSpaces Administratoren als Hauptbenutzer für einen KMS-Schlüssel (API) hinzuzufügen

1. Verwenden Sie den GetKeyRichtlinienvorgang, um die vorhandene Schlüsselrichtlinie abzurufen, und speichern Sie das Richtliniendokument anschließend in einer Datei.

2. Öffnen Sie die Richtlinien in Ihrem bevorzugten Texteditor. Fügen Sie die IAM-Benutzer und -Rollen, die Ihren WorkSpaces Administratoren entsprechen, zu den Richtlinienerklärungen hinzu, die Schlüsselbenutzern Berechtigungen erteilen. Speichern Sie dann die Datei.

3. Verwenden Sie den Vorgang PutKeyPolicy, um die Schlüsselrichtlinie auf den KMS-Schlüssel anzuwenden.

Teil 2: Gewähren Sie WorkSpaces Administratoren mithilfe einer IAM-Richtlinie zusätzliche Berechtigungen

Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung auswählen, müssen Sie IAM-Richtlinien einrichten, die es Amazon ermöglichen, den KMS-Schlüssel im Namen eines IAM-Benutzers in Ihrem Konto WorkSpaces zu verwenden, der verschlüsselt startet. WorkSpaces Dieser Benutzer benötigt auch die Erlaubnis, Amazon zu verwenden WorkSpaces. Weitere Informationen zum Erstellen von IAM-Benutzerrichtlinien finden Sie unter Verwalten von IAM-Richtlinien im IAM-Benutzerhandbuch und unter Identitäts- und Zugriffsverwaltung für WorkSpaces.

WorkSpaces Die Verschlüsselung erfordert eingeschränkten Zugriff auf den KMS-Schlüssel. Nachfolgend finden Sie eine Schlüsselmusterrichtlinie, die Sie verwenden können. Diese Richtlinie trennt die Prinzipale, die den AWS KMS -Schlüssel verwalten können, von denjenigen, die ihn verwenden können. Bevor Sie diese Beispiel-Schlüsselrichtlinie verwenden, ersetzen Sie die Beispiel-Konto-ID und den IAM-Benutzernamen durch tatsächliche Werte aus Ihrem Konto.

Die erste Anweisung entspricht der AWS KMS Standardschlüsselrichtlinie. Sie erteilt Ihrem Konto die Berechtigung, IAM-Richtlinien zu verwenden, um den Zugriff auf den KMS-Schlüssel zu steuern. Die zweite und dritte Anweisung definieren, welche AWS Principals den Schlüssel verwalten und verwenden können. Die vierte Anweisung ermöglicht es AWS Diensten, die in integriert sind, den Schlüssel im Namen des angegebenen Prinzipals AWS KMS zu verwenden. Diese Anweisung ermöglicht es AWS -Services, Zuwendungen zu erstellen und zu verwalten. Die Anweisung verwendet ein Bedingungselement, das die Gewährung von Zuschüssen für den KMS-Schlüssel auf diejenigen beschränkt, die von AWS Diensten im Namen von Benutzern in Ihrem Konto gewährt werden.

Anmerkung

Wenn Ihre WorkSpaces Administratoren das AWS Management Console zum Erstellen WorkSpaces mit verschlüsselten Volumes verwenden, benötigen die Administratoren die Erlaubnis, Aliase und Schlüssel aufzulisten (die "kms:ListKeys" Berechtigungen "kms:ListAliases" und). Wenn Ihre WorkSpaces Administratoren nur die WorkSpaces Amazon-API (nicht die Konsole) verwenden, können Sie die "kms:ListKeys" Berechtigungen "kms:ListAliases" und weglassen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

Die IAM-Richtlinie für einen Benutzer oder eine Rolle, die eine verschlüsselt, WorkSpace muss Nutzungsberechtigungen für den vom Kunden verwalteten KMS-Schlüssel sowie den Zugriff auf enthalten. WorkSpaces Um einem IAM-Benutzer oder einer IAM-Rolle WorkSpaces Berechtigungen zu erteilen, können Sie die folgende Beispielrichtlinie an den IAM-Benutzer oder die IAM-Rolle anhängen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende IAM-Richtlinie wird von Benutzern für die Verwendung von AWS KMS benötigt. Sie gibt den Benutzern schreibgeschützten Zugriff auf den KMS-Schlüssel zusammen mit der Möglichkeit, Berechtigungserteilungen zu erstellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Wenn Sie den KMS-Schlüssel in Ihrer Richtlinie angeben möchten, verwenden Sie eine IAM-Richtlinie, die der folgenden ähnelt. Ersetzen Sie den ARN des Beispiel-KMS-Schlüssels durch einen gültigen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Verschlüsseln Sie eine WorkSpace

Um ein zu verschlüsseln WorkSpace

1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

2. Wählen Sie Launch WorkSpaces und führen Sie die ersten drei Schritte aus.

3. Gehen Sie für den WorkSpaces Konfigurationsschritt wie folgt vor:

   1. Wählen Sie die zu verschlüsselnden Volumes aus: Root Volume, User Volume oder beide Volumes.

   2. Wählen Sie für den Verschlüsselungsschlüssel einen AWS KMS Schlüssel aus, entweder den von Amazon erstellten AWS verwalteten KMS-Schlüssel WorkSpaces oder einen von Ihnen erstellten KMS-Schlüssel. Der KMS-Schlüssel, den Sie auswählen, muss symmetrisch sein. Amazon unterstützt WorkSpaces keine asymmetrischen KMS-Schlüssel.

   3. Wählen Sie Next Step (Weiter) aus.

4. Wählen Sie Launch WorkSpaces.

Verschlüsselt ansehen WorkSpaces

Um in der WorkSpaces Konsole zu sehen, welche WorkSpaces Volumes verschlüsselt wurden, wählen Sie in der Navigationsleiste auf der linken Seite WorkSpacesaus. In der Spalte Volume Encryption wird angezeigt, ob die Verschlüsselung jeweils WorkSpace aktiviert oder deaktiviert ist. Um zu sehen, welche spezifischen Volumes verschlüsselt wurden, erweitern Sie den WorkSpace Eintrag, sodass das Feld Verschlüsselte Volumes angezeigt wird.