Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Escritorios de WorkSpaces cifrados
WorkSpaces está integrado con AWS Key Management Service (AWS KMS). Esto le permite cifrar volúmenes de almacenamiento de WorkSpaces mediante una clave AWS KMS. Cuando se lanza un WorkSpace, se puede cifrar el volumen raíz (en Microsoft Windows, la unidad C, en Linux, /) y el volumen de usuario (en Windows, la unidad D, en Linux, /home). De este modo, se garantiza el cifrado de los datos almacenados en reposo, la E/S de disco en el volumen y las instantáneas creadas a partir de los volúmenes.
nota
Además de cifrar sus WorkSpaces, también puede utilizar el cifrado de puntos de conexión FIPS en determinadas regiones AWS de EE. UU. Para obtener más información, consulte Configurar Amazon WorkSpaces para obtener la autorización FedRAMP o la conformidad DoD SRG..
Contenido
Requisitos previos
Necesita una clave de AWS KMS para poder comenzar el proceso de cifrado. Esta clave de KMS puede ser la clave de KMS administrada por AWS para Amazon WorkSpaces (aws/workspaces) o una clave de KMS simétrica administrada por el cliente.
-
Claves de KMS administradas por AWS: La primera vez que lanza un escritorio de WorkSpaces sin cifrar desde la consola de WorkSpaces en una región, Amazon WorkSpaces crea automáticamente una clave de KMS administrada por AWS (aws/workspaces) en su cuenta. Puede seleccionar esta clave de KMS administrada por AWS para cifrar los volúmenes raíz y de usuario de su espacio de trabajo. Para obtener más información, consulte Información general del cifrado de WorkSpaces conAWS KMS.
Puede consultar esta clave de KMS administrada por AWS, incluidas sus políticas y concesiones, y realizar un seguimiento de su uso en los registros de AWS CloudTrail, pero no puede utilizar ni administrar esta clave de KMS. Amazon WorkSpaces crea y administra esta clave de KMS. Solo Amazon WorkSpaces puede usar esta clave de KMS y solo puede usarla para cifrar los recursos de WorkSpaces de su cuenta.
Las claves de KMS administradas por AWS, incluida la que Amazon WorkSpaces admite, se rotan cada tres años. Para obtener más información, consulte Rotación de la clave de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.
-
Clave de KMS administrada por el cliente: también puede seleccionar una clave de KMS simétrica administrada por el cliente que haya creado con AWS KMS. Puede consultar, usar y administrar esta clave de KMS, incluida la configuración de sus políticas. Para obtener más información sobre la creación de claves KMS, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service. Para obtener más información sobre la creación de claves mediante la API de AWS KMS, consulte Uso de claves en la Guía para desarrolladores de AWS Key Management Service.
Las claves KMS administradas por el cliente no se rotan automáticamente a menos que decida habilitar la rotación automática de claves. Para obtener más información, consulte Rotación de claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.
importante
Al rotar manualmente las claves KMS, debe mantener habilitadas tanto la clave KMS original como la nueva clave KMS para que AWS KMS pueda descifrar los WorkSpaces cifrados por la clave KMS original. Si no quiere mantener habilitada la clave KMS original, debe volver a crear sus WorkSpaces y cifrarlos con la nueva clave KMS.
Debe cumplir los requisitos siguientes para utilizar una clave de AWS KMS para cifrar los WorkSpaces:
-
La clave debe ser simétrica. Amazon WorkSpaces no admite claves KMS asimétricas. Para obtener información sobre cómo distinguir entre CMK simétricas y asimétricas, consulte Identificar clave KMS simétricas y asimétricas en la Guía para desarrolladores de AWS Key Management Service.
-
La clave debe estar habilitada. Para determinar si una clave KMS está habilitada, consulte Mostrar detalles de clave KMS en la Guía para desarrolladores de AWS Key Management Service.
-
Debe contar con los permisos y políticas correctos asociados a la clave. Para obtener más información, consulte Parte 2: conceder a los administradores de WorkSpaces permisos adicionales con una política de IAM.
Límites
-
No se puede cifrar un escritorio de WorkSpaces existente. Debe cifrar un escritorio de WorkSpaces al lanzarlo.
-
No se permite la creación de una imagen personalizada desde un espacio de trabajo cifrado.
-
No está permitido deshabilitar el cifrado de un espacio de trabajo cifrado.
-
El aprovisionamiento de los espacios de trabajo que tengan habilitado el cifrado de volumen raíz en el momento de iniciarse puede tardar hasta una hora.
-
Para reiniciar o volver a compilar un WorkSpace cifrado, primero asegúrese de que la clave KMS de AWS KMS está habilitada; de lo contrario, el WorkSpace no se podría utilizar. Para determinar si una clave KMS está habilitada, consulte Mostrar detalles de clave KMS en la Guía para desarrolladores de AWS Key Management Service.
Información general del cifrado de WorkSpaces conAWS KMS
Al crear escritorios de WorkSpaces con volúmenes cifrados, WorkSpaces utiliza Amazon Elastic Block Store (Amazon EBS) para crear y administrar los volúmenes. Amazon EBS cifra el volumen con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. Tanto Amazon EBS como Amazon WorkSpaces utilizan su clave KMS para trabajar con los volúmenes cifrados. Para obtener más información sobre el cifrado de instancias, consulte Cifrado de Amazon EBS en la Guía del usuario de Amazon EC2 para instancias de Windows.
Al lanzar WorkSpaces con volúmenes cifrados, el proceso completo funciona de este modo:
-
Especifique la clave KMS que se utilizará para el cifrado, así como el usuario y el directorio del escritorio de WorkSpaces. Esta acción crea una concesión que permite a WorkSpaces usar su clave KMS solo para este escritorio de WorkSpaces; es decir, únicamente para el escritorio de WorkSpaces asociado con el usuario y el directorio especificados.
-
WorkSpaces crea un volumen de EBS cifrado para el escritorio de WorkSpaces y especifica la clave KMS que se usará, así como el usuario y el directorio del volumen. Esta acción crea una concesión que permite a Amazon EBS usar su clave KMS solo para este escritorio de WorkSpaces y volumen; es decir, únicamente para el escritorio de WorkSpaces asociado con el usuario y el directorio especificados, y solo para el volumen especificado.
-
Amazon EBS solicita una clave de datos de volumen que está cifrada con su clave KMS y especifica el identificador de seguridad de Active Directory (SID) del usuario de WorkSpaces, así como el ID de directorio de AWS Directory Service y el ID de volumen de Amazon EBS como contexto de cifrado.
-
AWS KMS crea una clave de datos, la cifra con su clave KMS y, a continuación, envía la clave de datos cifrada a Amazon EBS.
-
WorkSpaces utiliza Amazon EBS para adjuntar el volumen cifrado a su WorkSpace. Amazon EBS envía la clave de datos cifrada a AWS KMS con una solicitud
Decrypty especifica el SID del usuario, el ID de directorio y el ID de volumen del escritorio de WorkSpace, que se utiliza como contexto de cifrado. -
AWS KMS utiliza su clave KMS para descifrar la clave de datos y, a continuación, envía la clave de datos en texto no cifrado a Amazon EBS.
-
Amazon EBS utiliza la clave de datos en texto no cifrado para cifrar todos los datos que se envían a los volúmenes cifrados y se reciben de ellos. Amazon EBS mantiene la clave de datos en texto no cifrado en la memoria mientras el volumen está adjuntado al escritorio de WorkSpaces.
-
Amazon EBS almacena la clave de datos cifrada (recibida en Paso 4) con los metadatos de volumen para usarla en el futuro si reinicia o reconstruye el escritorio de WorkSpaces.
-
Cuando se utiliza la AWS Management Console para eliminar un escritorio de WorkSpaces (o se utiliza la acción
TerminateWorkspacesde la API de WorkSpaces), WorkSpaces y Amazon EBS retiran las concesiones que les permitían utilizar la clave KMS para ese escritorio de WorkSpaces.
Contexto de cifrado de escritorios de WorkSpaces
WorkSpaces no utiliza directamente para operaciones criptográficas (por ejemplo, Encrypt, Decrypt, GenerateDataKey, etc.), lo que significa que WorkSpaces no envía solicitudes a AWS KMS que incluyan el contexto de cifrado. Sin embargo, cuando Amazon EBS solicita una clave de datos cifrada para los volúmenes cifrados de los escritorios de WorkSpaces (Paso 3 en la Información general del cifrado de WorkSpaces conAWS KMS) y cuando solicita una copia en texto sin cifrar de dicha clave de datos (Paso 5), incluye el contexto de cifrado en la solicitud.
El contexto de cifrado proporciona la información autenticada adicional (AAD) que AWS KMS usa para garantizar la integridad de los datos. El contexto de cifrado también se escribe en los archivos de registro de AWS CloudTrail, lo que puede ayudarle a entender por qué se ha usado una clave KMS determinada. Amazon EBS usa lo siguiente para el contexto de cifrado:
-
El identificador de seguridad (SID) del usuario de Active Directory asociado al WorkSpace
-
El ID del directorio de AWS Directory Service que está asociado al escritorio de WorkSpaces
-
El ID de volumen de Amazon EBS del volumen cifrado
El siguiente ejemplo muestra una representación JSON del contexto de cifrado que usa Amazon EBS:
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}Conceder permiso a WorkSpaces para usar una clave KMS en su nombre
Puede proteger los datos del espacio de trabajo de la clave KMS administrada por AWS para WorkSpaces (aws/workspaces) o de una clave KMS administrada por el cliente. Si utiliza una clave KMS administrada por el cliente, deberá darle permiso a para utilizar la clave KMS en nombre de los administradores de WorkSpaces de su cuenta. La clave KMS administrada por AWS para WorkSpaces dispone de los permisos necesarios de forma predeterminada.
Para preparar una clave KMS administrada por el cliente para utilizarla con WorkSpaces, siga el siguiente procedimiento.
Los administradores de WorkSpaces también necesitan permiso para utilizar WorkSpaces. Para obtener más información acerca de estos permisos, consulte Gestión de identidades y accesos para WorkSpaces.
Parte 1: Agregar administradores de WorkSpaces como usuarios de claves
Para otorgar a los administradores de WorkSpaces los permisos que necesitan, utilice la AWS Management Console o la API de AWS KMS.
Para agregar administradores de WorkSpaces como usuarios de claves para una clave KMS (consola)
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Elija el alias o el ID de clave de la clave KMS administrada por el cliente que prefiera.
-
Seleccione la pestaña Key policy (Política de claves). En Key Users (Usuarios de claves), elija Add (Agregar).
-
En la lista de usuarios y funciones de IAM, seleccione a los usuarios y los roles que corresponden a los administradores de WorkSpaces y, a continuación, elija Añadir.
Para agregar administradores de WorkSpaces como usuarios de claves para una clave KMS (API)
-
Utilice la operación GetKeyPolicy para obtener la política de claves existente y, a continuación, guarde el documento de políticas en un archivo.
-
Abra el documento de políticas en el editor de textos que prefiera. Agregue los usuarios y los roles de IAM que correspondan a los administradores de WorkSpaces a las declaraciones de política que conceden permiso a los usuarios de claves. A continuación, guarde el archivo.
-
Utilice la operación PutKeyPolicy para aplicar la política de claves a la clave KMS.
Parte 2: conceder a los administradores de WorkSpaces permisos adicionales con una política de IAM
Si selecciona una clave KMS administrada por el cliente para utilizarla para el cifrado, debe establecer políticas que permitan a Amazon WorkSpaces utilizar la clave KMS en nombre de un usuario de IAM de su cuenta que lance escritorios de WorkSpaces cifrados. Ese usuario necesita también permiso para usar Amazon WorkSpaces. Para obtener más información sobre la creación y edición de políticas de usuario de IAM, consulte Administración de políticas de IAM en la Guía del usuario de IAM y Gestión de identidades y accesos para WorkSpaces.
El cifrado de WorkSpaces requiere un acceso limitado a la clave KMS. A continuación, se muestra una política de claves de ejemplo que puede utilizar. Esta política separa a las entidades principales que pueden administrar la clave de AWS KMS de aquellas que pueden usarla. Antes de utilizar esta política de claves de ejemplo, reemplace el ID de la cuenta de ejemplo y el nombre de usuario de IAM por valores reales de su cuenta.
La primera instrucción coincide con la política de claves predeterminada de AWS KMS. Le da permiso a su cuenta para usar políticas de IAM para controlar el acceso a la clave KMS. La segunda y la tercera instrucción definen los principales de AWS que pueden administrar y utilizar la clave, respectivamente. La cuarta instrucción permite a los servicios de AWS que están integrados con AWS KMS utilizar la clave en nombre del principal especificado. Esta instrucción permite a los servicios de AWS crear y administrar concesiones. La instrucción utiliza un elemento de condición que limita las concesiones en la clave KMS a las realizadas por los servicios de AWS en nombre de los usuarios de su cuenta.
nota
Si sus administradores de WorkSpaces usan la AWS Management Console para crear WorkSpaces con volúmenes cifrados, los administradores necesitarán permiso para elaborar listas de alias y claves (los permisos "kms:ListAliases" y "kms:ListKeys"). Si los administradores de WorkSpaces utilizan únicamente la API de Amazon WorkSpaces (no la consola), puede omitir los permisos "kms:ListAliases" y "kms:ListKeys".
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }
La política de IAM para un usuario o un rol que cifre un escritorio de WorkSpaces debe incluir los permisos de uso de la clave KMS administrada por el cliente, así como el acceso a WorkSpaces. Para otorgar permisos de WorkSpaces a un usuario o rol de IAM, puede asociar la siguiente política de ejemplo al usuario o rol de IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }
El usuario requiere la siguiente política de IAM para usar AWS KMS. Proporciona al usuario acceso de solo lectura a la clave KMS junto con la capacidad de crear concesiones.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }
Si desea especificar la clave KMS en su política, utilice una política de IAM similar a la siguiente. Reemplace el ARN de la clave KMS de ejemplo por uno válido.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
Cifrado de un espacio de trabajo
Para cifrar un escritorio WorkSpace
Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/
. -
Elija Launch WorkSpaces y complete los tres primeros pasos.
-
En el paso WorkSpaces Configuration, haga lo siguiente:
-
Seleccione los volúmenes que se van a cifrar: volumen raíz, volumen de usuarios o ambos.
-
En Clave de cifrado, seleccione una clave AWS KMS, ya sea la clave de KMS administrada por AWS creada por Amazon WorkSpaces o una clave de KMS que haya creado. La clave KMS que utilice debe ser simétrica. Amazon WorkSpaces no admite claves KMS asimétricas.
-
Elija Next Step (Paso siguiente).
-
-
Elija Launch WorkSpaces.
Visualización de WorkSpaces cifrados
Para ver los volúmenes y WorkSpaces que se han cifrado en la consola de WorkSpaces, elija WorkSpaces en la barra de navegación de la izquierda. La columna Volume Encryption muestra si cada espacio de trabajo tiene habilitado o deshabilitado el cifrado. Para ver qué volúmenes específicos se han cifrado, expanda la entrada WorkSpace para ver el campo Encrypted Volumes.
