Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cifrado en reposo para Amazon WorkSpaces Secure Browser
El cifrado en reposo está configurado de forma predeterminada y todos los datos de los clientes (por ejemplo, las declaraciones de política del navegador, los nombres de usuario, los registros o las direcciones IP) utilizados en WorkSpaces Secure Browser se cifran mediante. AWS KMS De forma predeterminada, WorkSpaces Secure Browser permite el cifrado con una clave propia AWS. También puede utilizar una clave administrada por el cliente (CMK) y especificarla al crear el recurso. Actualmente, esto solo es posible mediante la CLI.
Si decide pasar una CMK, la clave proporcionada debe ser una AWS KMS clave de cifrado simétrica y usted, como administrador, debe tener los siguientes permisos:
kms:DescribeKey kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Si utiliza una CMK, tendrá que permitir que el director del servicio externo de WorkSpaces Secure Browser acceda a la clave. Para obtener más información, consulte un ejemplo de política de claves CMK con alcance específico con AWS: SourceAccount
Siempre que sea posible, WorkSpaces Secure Browser utilizará las credenciales de las sesiones de acceso directo (FAS) para acceder a su clave. Para obtener más información sobre FAS, consulte Sesiones de acceso directo. En algunos casos, es posible que WorkSpaces Secure Browser necesite acceder a su clave de forma asíncrona. Al permitir incluir el principal servicio externo de WorkSpaces Secure Browser en su política de claves, WorkSpaces Secure Browser podrá realizar el conjunto de operaciones criptográficas permitidas con su clave.
Una vez creado el recurso, la clave ya se puede quitar ni cambiar. Si utilizó una CMK, usted, como administrador que accede al recurso, debe disponer de los permisos siguientes:
kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Si aparece un error de acceso denegado al usar la consola, es probable que el usuario que esté accediendo a la consola no disponga de los permisos necesarios para usar la CMK en la clave que está en uso.
Ejemplos clave de políticas y alcance de Secure Browser WorkSpaces
CMKs requieren la siguiente política clave:
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", } ] }
WorkSpaces Secure Browser requiere los siguientes permisos:
-
kms:DescribeKey— Valida que la AWS KMS clave proporcionada esté configurada correctamente. -
kms:GenerateDataKeyWithoutPlaintextykms:GenerateDataKey— Solicita la AWS KMS clave para crear las claves de datos que se utilizan para cifrar objetos. -
kms:Decrypt— Solicita la AWS KMS clave para descifrar las claves de datos cifradas. Estas claves de datos se utilizan para cifrar los datos. -
kms:ReEncryptToykms:ReEncryptFrom— Solicitud de la AWS KMS clave para permitir volver a cifrar desde o hacia una clave KMS.
Definir el alcance de los permisos de WorkSpaces Secure Browser en su clave AWS KMS
Si el principio de una declaración de política clave es un principio de AWS servicio, le recomendamos encarecidamente que utilice las claves de condición global aws: SourceArn o aws: SourceAccount global condition, además del contexto de cifrado.
El contexto de cifrado utilizado para un recurso siempre contendrá una entrada con el formato aws:workspaces-web:RESOURCE_TYPE:id y el ID de recurso correspondiente.
El ARN de origen y los valores de la cuenta de origen se incluyen en el contexto de autorización solo cuando una solicitud proviene AWS KMS de otro AWS servicio. Esta combinación de condiciones implementa los permisos de privilegio mínimo y evita un potencial escenario suplente confuso. Para obtener más información, consulte Permisos para los servicios de AWS en las políticas de claves.
"Condition": { "StringEquals": { "aws:SourceAccount": "AccountId", "kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId" ] }, }
nota
Antes de crear el recurso, la política de claves solo debe usar la condición aws:SourceAccount, ya que el ARN completo del recurso no existirá todavía. Una vez creado el recurso, la política de claves se puede actualizar para incluir las condiciones aws:SourceArn y kms:EncryptionContext.
Ejemplo de política de claves CMK acotada con aws:SourceAccount
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>" } } } ] }
Ejemplo de política de claves CMK acotada con aws:SourceArn y recurso comodín
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:workspaces-web:<Region>:<AccountId>:*/*" } } } ] }
Ejemplo de política de claves CMK acotada con aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:workspaces-web:<Region>:<AccountId>:portal/*", "arn:aws:workspaces-web:<Region>:<AccountId>:browserSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:userSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:ipAccessSettings/*" ] } } ] }
nota
Una vez creado el recurso, puede actualizar el comodín en SourceArn. Si utiliza WorkSpaces Secure Browser para crear un nuevo recurso que requiera acceso a la CMK, asegúrese de actualizar su política clave en consecuencia.
Ejemplo de política de claves CMK acotada con aws:SourceArn y EncryptionContext específico de recurso
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:portal:id": "<portalId>>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:userSetttings:id": "<userSetttingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:browserSettings:id": "<browserSettingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": "<ipAccessSettingsId>" } } }, ] }
nota
Asegúrese de crear declaraciones independientes al incluir un EncryptionContext específico de recurso en la misma política de claves. Para obtener más información, consulte la sección Uso de varios pares de contextos de cifrado en kms:EncryptionContext: clave de contexto.
