Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado de datos en reposo para Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client proporciona cifrado de forma predeterminada para proteger los datos confidenciales de los clientes en reposo mediante claves de cifrado AWS propias.
AWS claves propias: Amazon WorkSpaces Thin Client utiliza estas claves de forma predeterminada para cifrar automáticamente los datos de identificación personal. No puede ver, administrar ni usar claves AWS propias ni auditar su uso. Sin embargo, no tiene que realizar ninguna acción ni cambiar ningún programa para proteger las claves que cifran sus datos. Para obtener más información, consulte Claves propiedad de AWS en la Guía para desarrolladores de AWS Key Management Service.
El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, le permite crear aplicaciones seguras que cumplen con los estrictos requisitos normativos y de conformidad con el cifrado.
Si bien no puede deshabilitar esta capa de cifrado ni seleccionar un tipo de cifrado alternativo, puede agregar una segunda capa de cifrado sobre las claves de cifrado existentes propiedad de AWS si elige una clave administrada por el cliente al crear su entorno del cliente ligero:
Claves administradas por el cliente: Amazon WorkSpaces Thin Client admite el uso de una clave simétrica administrada por el cliente que usted crea, posee y administra para añadir una segunda capa de cifrado al cifrado que ya AWS posee. Como usted tiene el control total de esta capa de cifrado, puede realizar tareas como las siguientes:
Establecer y mantener políticas de claves
Establecer y mantener concesiones y políticas de IAM
Habilitar y deshabilitar políticas de claves
Rotar el material criptográfico
Agregar etiquetas.
Crear alias de clave
Programar la eliminación de claves
Para obtener más información, consulte Clave administrada por el cliente en la Guía para desarrolladores de AWS Key Management Service.
En la siguiente tabla se resume cómo Amazon WorkSpaces Thin Client cifra los datos de identificación personal.
| Tipo de datos: | Cifrado de claves propiedad de AWS | Cifrado de claves administradas por el cliente (opcional) |
|---|---|---|
|
Nombre del entorno WorkSpaces Nombre del entorno de Thin Client |
Habilitado |
Habilitado |
|
Nombre del dispositivo WorkSpaces Nombre del dispositivo Thin Client |
Habilitado |
Habilitado |
|
Actividad de los usuarios WorkSpaces Actividad de los usuarios de Thin Client |
Habilitado |
Habilitado |
|
Configuración del dispositivo WorkSpaces Configuración del dispositivo Thin Client |
Habilitado |
Habilitado |
|
Etiquetas de creación de dispositivos WorkSpaces Etiquetas de creación de dispositivos en Thin Client Environment |
Habilitado |
Habilitado |
nota
Amazon WorkSpaces Thin Client habilita automáticamente el cifrado en reposo mediante el uso de claves AWS propias para proteger los datos de identificación personal sin coste alguno.
Sin embargo, se aplican cargos de AWS KMS por el uso de una clave administrada por el cliente. Para obtener más información sobre precios, consulte los precios de AWS Key Management Service
Cómo utiliza Amazon WorkSpaces Thin Client AWS KMS
Amazon WorkSpaces Thin Client requiere una política de claves para poder utilizar la clave gestionada por el cliente.
Amazon WorkSpaces Thin Client requiere que la política de claves utilice la clave gestionada por el cliente para las siguientes operaciones internas:
Envíe
GenerateDataKeysolicitudes a AWS KMS para cifrar los datos.Envíe
Decryptsolicitudes a AWS KMS para descifrar los datos cifrados.
Puede eliminar el acceso del servicio a la clave gestionada por el cliente en cualquier momento. Si lo hace, Amazon WorkSpaces Thin Client no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intenta obtener detalles del entorno a los que WorkSpaces Thin Client no puede acceder, la operación devolverá un AccessDeniedException error. Además, el dispositivo WorkSpaces Thin Client no podrá utilizar un entorno WorkSpaces Thin Client.
Creación de una clave administrada por el cliente
Puede crear una clave simétrica administrada por el cliente mediante la consola de administración de AWS o las operaciones de la API de AWS KMS.
Para crear una clave simétrica administrada por el cliente
Siga los pasos de Creación de claves de KMS de cifrado simétricas en la Guía para desarrolladores de AWS Key Management Service.
Política de claves
Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves administradas por el cliente en la Guía para desarrolladores de AWS Key Management Service.
Para utilizar la clave gestionada por el cliente con los recursos de Amazon WorkSpaces Thin Client, la política de claves debe permitir las siguientes operaciones de API:
kms:DescribeKey— Proporciona los detalles clave gestionados por el cliente para que Amazon WorkSpaces Thin Client pueda validar la clave.kms:GenerateDataKey: permite utilizar la clave administrada por el cliente para cifrar los datos.kms:Decrypt: permite utilizar la clave administrada por el cliente para descifrar los datos.
Los siguientes son ejemplos de declaraciones de políticas que puede añadir a Amazon WorkSpaces Thin Client:
{ "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon WorkSpaces Thin Client", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "thinclient.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow Amazon WorkSpaces Thin Client service to encrypt and decrypt data", "Effect": "Allow", "Principal": {"Service": "thinclient.amazonaws.com"}, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:thinclient:region:111122223333:*", "kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] }
Para obtener más información sobre la especificación de permisos en una política, consulte la Guía para desarrolladores de AWS Key Management Service.
Para más información sobre la solución de problemas de acceso a claves, consulte la Guía para desarrolladores de AWS Key Management Service.
Especificación de una clave gestionada por el cliente para WorkSpaces Thin Client
Puede especificar una clave administrada por el cliente como cifrado de segunda capa para los siguientes recursos:
-
WorkSpaces Entorno de Thin Client
Al crear un entorno, puede especificar la clave de datos proporcionando unakmsKeyArn, que Amazon WorkSpaces Thin Client utiliza para cifrar los datos personales identificables.
kmsKeyArn— Un identificador clave para una clave de AWS KMS administrada por el cliente. Proporcione un ARN de clave.
Cuando se añade un nuevo dispositivo de cliente WorkSpaces ligero al entorno de cliente WorkSpaces ligero cifrado con una clave gestionada por el cliente, el dispositivo de cliente WorkSpaces ligero hereda la configuración de clave gestionada por el cliente del entorno de cliente WorkSpaces ligero.
Un contexto de cifrado es un conjunto opcional de pares clave-valor que contiene información contextual adicional sobre los datos.
AWS El KMS usa el contexto de cifrado como datos autenticados adicionales para admitir el cifrado autenticado. Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, incluya el mismo contexto de cifrado en la solicitud.
Contexto de cifrado de Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client utiliza el mismo contexto de cifrado en todas las operaciones criptográficas de AWS KMS, donde la clave es aws:thinclient:arn y el valor es el nombre de recurso de Amazon (ARN).
El siguiente es el contexto de cifrado del entorno:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID" }
El siguiente es el contexto de cifrado del dispositivo:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:device/device_ID" }
Uso del contexto de cifrado para la supervisión
Si utiliza una clave simétrica gestionada por el cliente para cifrar los datos del entorno y el dispositivo de WorkSpaces Thin Client, también puede utilizar el contexto de cifrado en los registros y registros de auditoría para identificar cómo se utiliza la clave gestionada por el cliente. El contexto de cifrado también aparece en los registros generados por AWS CloudTrail o Amazon CloudWatch Logs.
Utilizar el contexto de cifrado para controlar el acceso a la clave administrada por el cliente
Puede utilizar el contexto de cifrado en políticas de claves y políticas de IAM como condiciones para controlar el acceso a su clave simétrica administrada por el cliente.
Los siguientes son ejemplos de declaraciones de política de claves para conceder acceso a una clave administrada por el cliente para un contexto de cifrado específico. La condición de esta declaración de política requiere que la llamada kms:Decrypt tenga una restricción de contexto de cifrado que especifique el contexto de cifrado.
{ "Sid": "Enable Decrypt to access Thin Client Environment", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"}, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": {"kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID"} } }
Supervisión de las claves de cifrado para Amazon WorkSpaces Thin Client
Si utiliza una clave gestionada por el cliente de AWS KMS con sus recursos de Amazon WorkSpaces Thin Client, puede utilizar AWS CloudTrail Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que Amazon WorkSpaces Thin Client envía a AWS KMS.
Los siguientes ejemplos son AWS CloudTrail eventos paraDescribeKey, GenerateDataKeyDecrypt, monitorear las operaciones de KMS solicitadas por Amazon WorkSpaces Thin Client para acceder a los datos cifrados por la clave administrada por el cliente:
En los siguientes ejemplos, puede ver el entorno encryptionContext de WorkSpaces Thin Client. Se registran CloudTrail eventos similares en el dispositivo WorkSpaces Thin Client.
Más información
Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo:
Para obtener más información sobre los conceptos básicos de AWS Key Management Service, consulte la Guía para desarrolladores de AWS Key Management Service.
Para obtener más información sobre las prácticas recomendadas de seguridad para AWS Key Management Service, consulte la Guía para desarrolladores de AWS Key Management Service.
