Cómo WorkSpaces usa AWS KMS - AWS Key Management Service
Descripción general del WorkSpaces cifrado mediante AWS KMSWorkSpaces contexto de cifrado WorkSpaces Otorgar permiso para usar una clave KMS en su nombre

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo WorkSpaces usa AWS KMS

Puede utilizarlo WorkSpacespara aprovisionar un escritorio basado en la nube para cada uno de sus usuarios finales. WorkSpace Al lanzar una nueva WorkSpace, puede optar por cifrar sus volúmenes y decidir cuál usar AWS KMS keypara el cifrado. Puede elegir la clave Clave administrada de AWSpara WorkSpaces (aws/workspaces) o una clave simétrica gestionada por el cliente.

importante

WorkSpaces solo admite claves KMS de cifrado simétrico. No puede utilizar una clave KMS asimétrica para cifrar los volúmenes de un. WorkSpaces Para obtener ayuda para determinar si una clave KMS es simétrica o asimétrica, consulte Identificación de claves KMS asimétricas.

Para obtener más información sobre la creación WorkSpaces con volúmenes cifrados, consulta Encrypt a WorkSpace en la Guía de WorkSpaces administración de Amazon.

Descripción general del WorkSpaces cifrado mediante AWS KMS

Cuando crea WorkSpaces con volúmenes cifrados, WorkSpaces utiliza Amazon Elastic Block Store (Amazon EBS) para crear y gestionar esos volúmenes. Ambos servicios lo utilizan AWS KMS key para trabajar con los volúmenes cifrados. Para obtener más información sobre el cifrado de volúmenes de EBS, consulte la siguiente documentación:

Cuando se inicia WorkSpaces con volúmenes cifrados, el end-to-end proceso funciona de la siguiente manera:

  1. Debe especificar la clave de KMS que se utilizará para el cifrado, así como el WorkSpace usuario y el directorio correspondientes. Esta acción crea una concesión que permite WorkSpaces usar la clave KMS solo para este fin, es WorkSpace decir, solo para la WorkSpace asociada al usuario y al directorio especificados.

  2. WorkSpaces crea un volumen de EBS cifrado para el volumen WorkSpace y especifica la clave de KMS que se va a utilizar, así como el usuario y el directorio del volumen (la misma información que especificó enPaso 1). Esta acción crea una concesión que permite a Amazon EBS usar su clave de KMS solo para este WorkSpace volumen, es decir, solo para los WorkSpace asociados al usuario y directorio especificados y solo para el volumen especificado.

  3. Amazon EBS solicita una clave de datos de volumen cifrada con su clave de KMS y especifica el ID del WorkSpace usuario Sid y del directorio, así como el ID del volumen, como contexto de cifrado.

  4. AWS KMS crea una clave de datos nueva, la cifra con la clave de KMS y, a continuación, envía la clave de datos cifrada a Amazon EBS.

  5. WorkSpaces utiliza Amazon EBS para adjuntar el volumen cifrado a su WorkSpace. Amazon EBS envía la clave de datos cifrados a AWS KMS con una Decryptsolicitud y especifica el WorkSpace nombre del usuarioSid, su ID de directorio y el ID de volumen, que se utiliza como contexto de cifrado.

  6. AWS KMS utiliza la clave de KMS para descifrar la clave de datos y, a continuación, envía la clave de datos de texto sin formato a Amazon EBS.

  7. Amazon EBS utiliza la clave de datos en texto no cifrado para cifrar todos los datos que se envían a los volúmenes cifrados y se reciben de ellos. Amazon EBS mantiene la clave de datos de texto sin formato en la memoria mientras el volumen esté conectado al. WorkSpace

  8. Amazon EBS almacena la clave de datos cifrada (recibida enPaso 4) junto con los metadatos del volumen para utilizarla en el futuro en caso de que reinicie o reconstruya el WorkSpace.

  9. Cuando utilizas la AWS Management Console para eliminar una WorkSpace (o utilizas la TerminateWorkspacesacción de la WorkSpaces API) WorkSpaces y Amazon EBS retira las concesiones que le permitían usar tu clave de KMS para ello WorkSpace.

WorkSpaces contexto de cifrado

WorkSpaces no lo usa AWS KMS key directamente para operaciones criptográficas (como Encrypt,, Decrypt, etc.) GenerateDataKey, lo que significa que WorkSpaces no envía solicitudes AWS KMS que incluyan un contexto de cifrado. Sin embargo, cuando Amazon EBS solicita una clave de datos cifrada para los volúmenes cifrados de su WorkSpaces (Paso 3en elDescripción general del WorkSpaces cifrado mediante AWS KMS) y cuando solicita una copia en texto sin formato de esa clave de datos (Paso 5), incluye el contexto de cifrado en la solicitud. El contexto de cifrado proporciona datos autenticados (AAD) adicionales que se AWS KMS utilizan para garantizar la integridad de los datos. El contexto de cifrado también se escribe en los archivos de AWS CloudTrail registro, lo que puede ayudarle a entender por qué se utilizó un determinado AWS KMS key contexto. Amazon EBS usa lo siguiente para el contexto de cifrado:

  • El sid del AWS Directory Service usuario que está asociado al WorkSpace

  • El ID de AWS Directory Service directorio del directorio que está asociado al WorkSpace

  • El ID del volumen cifrado

El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa Amazon EBS:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

WorkSpaces Otorgar permiso para usar una clave KMS en su nombre

Puede proteger los datos de su espacio de trabajo con la clave Clave administrada de AWS for WorkSpaces (aws/workspaces) o con una clave administrada por el cliente. Si utiliza una clave administrada por el cliente, debe dar WorkSpaces permiso para usar la clave KMS en nombre de los WorkSpaces administradores de su cuenta. El Clave administrada de AWS for WorkSpaces tiene los permisos necesarios de forma predeterminada.

Para preparar la clave gestionada por el cliente para utilizarla con WorkSpaces ella, utilice el siguiente procedimiento.

  1. Agregue a los WorkSpaces administradores a la lista de usuarios clave de la política clave de la clave KMS

  2. Otorgue a los WorkSpaces administradores permisos adicionales con una política de IAM

WorkSpaces los administradores también necesitan permiso para usarla WorkSpaces. Para obtener más información sobre estos permisos, consulte Control del acceso a WorkSpaces los recursos en la Guía de WorkSpaces administración de Amazon.

Parte 1: Añadir WorkSpaces administradores a los usuarios clave de una clave KMS

Para conceder a WorkSpaces los administradores los permisos que necesitan, puede utilizar la API AWS Management Console o la AWS KMS API.

Para añadir WorkSpaces administradores como usuarios clave de una clave de KMS (consola)

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija el alias o el ID de clave de la clave administrada por el cliente que prefiera.

  5. Seleccione la pestaña Key policy (Política de claves). En Key Users (Usuarios de claves), elija Add (Agregar).

  6. En la lista de usuarios y funciones de IAM, seleccione los usuarios y funciones que correspondan a sus WorkSpaces administradores y, a continuación, seleccione Adjuntar.

Para añadir WorkSpaces administradores como usuarios clave de una clave de KMS (AWS KMS API)

  1. Utilice la GetKeyPolicyoperación para obtener la política de claves existente y, a continuación, guarde el documento de política en un archivo.

  2. Abra el documento de políticas en el editor de textos que prefiera. Agregue los usuarios y funciones de IAM que correspondan a sus WorkSpaces administradores a las declaraciones de política que otorgan permisos a los usuarios clave. A continuación, guarde el archivo.

  3. Utilice la PutKeyPolicyoperación para aplicar la política clave a la clave de KMS.

Parte 2: Otorgar permisos adicionales a los WorkSpaces administradores

Si utiliza una clave administrada por el cliente para proteger sus WorkSpaces datos, además de los permisos de la sección de usuarios clave de la política de claves predeterminada, WorkSpaces los administradores necesitan permiso para crear concesiones en la clave de KMS. Además, si la utilizan AWS Management Consolepara crear WorkSpaces con volúmenes cifrados, WorkSpaces los administradores necesitan permiso para enumerar los alias y las claves. Para obtener más información sobre la creación y edición de políticas de usuario de IAM, consulte Políticas administradas y políticas insertadas en la Guía del usuario de IAM.

Para conceder estos permisos a sus WorkSpaces administradores, utilice una política de IAM. Añada una declaración de política similar a la del siguiente ejemplo a la política de IAM de cada WorkSpaces administrador. Reemplace el ARN de la clave KMS de ejemplo (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) por uno válido. Si sus WorkSpaces administradores utilizan únicamente la WorkSpaces API (no la consola), puede omitir la segunda declaración de política con los permisos "kms:ListAliases" y"kms:ListKeys".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}