Restrinja el WorkSpaces acceso a dispositivos de confianza

De forma predeterminada, los usuarios pueden acceder a ellos WorkSpaces desde cualquier dispositivo compatible que esté conectado a Internet. Si su empresa limita el acceso a los datos corporativos a los dispositivos de confianza (también conocidos como dispositivos gestionados), puede restringir el WorkSpaces acceso a los dispositivos de confianza con certificados válidos.

Al habilitar esta función, WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Si la aplicación WorkSpaces cliente no puede comprobar que un dispositivo es de confianza, bloquea los intentos de iniciar sesión o volver a conectarse desde el dispositivo.

Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, WorkSpaces preséntelos al cliente y este encontrará el primer certificado válido que coincida con alguno de los certificados raíz.

Clientes compatibles

• Android, que se ejecuta en sistemas Android o Chrome OS compatibles con Android

• macOS

• Windows

importante

Esta característica solo se admite en los siguientes clientes:

• WorkSpaces aplicaciones cliente para Linux o iPad

• Clientes de terceros, incluidos, entre otros, Teradici PCoIP, clientes RDP y aplicaciones de escritorio remoto.

Paso 1: Crear los certificados

Esta característica requiere dos tipos de certificados: certificados raíz generados por una entidad de certificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.

Requisitos

• Los certificados raíz deben ser archivos de certificado codificados en Base64, con formato CRT, CERT o PEM.

• Los certificados raíz deben cumplir con el siguiente patrón de expresiones regulares, lo que significa que cada línea codificada, además de la última, debe tener exactamente 64 caracteres: -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).

• Los certificados deben incluir un nombre común.

• Los certificados de dispositivo deben incluir las siguientes extensiones: Key Usage: Digital Signature y Enhanced Key Usage: Client Authentication.

• Todos los certificados de la cadena, desde el certificado del dispositivo hasta la entidad emisora de certificados raíz de confianza, deben estar instalados en el dispositivo cliente.

• La longitud máxima que se admite para una cadena de certificados es 4.

• WorkSpaces actualmente no admite los mecanismos de revocación de dispositivos, como las listas de revocación de certificados (CRL) o el Protocolo de estado de certificados en línea (OCSP), para los certificados de cliente.

• Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA384 con ECDSA o SHA512 con ECDSA.

• Para macOS, si el certificado del dispositivo está en el llavero del sistema, le recomendamos que autorice a la aplicación WorkSpaces cliente a acceder a esos certificados. De lo contrario, los usuarios tendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.

Paso 2: Implementar certificados de cliente en los dispositivos de confianza

En los dispositivos de confianza de sus usuarios, debe instalar un paquete de certificados que incluya todos los certificados de la cadena, desde el certificado del dispositivo hasta la autoridad de certificación raíz de confianza. Puede utilizar la solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, System Center Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que, si lo desea, SCCM y MDM pueden realizar una evaluación del nivel de seguridad para determinar si los dispositivos cumplen las políticas corporativas de acceso. WorkSpaces

Las aplicaciones WorkSpaces cliente buscan los certificados de la siguiente manera:

• Android: vaya a Ajustes, seleccione Seguridad y ubicación, Credenciales y, a continuación, Instalar desde una tarjeta SD.

• Sistemas Chrome OS compatibles con Android: abra los ajustes de Android y seleccione Seguridad y ubicación, Credenciales y, a continuación, Instalar desde una tarjeta SD.

• macOS: busca certificados de cliente en el llavero.

• Windows: busca certificados de cliente en los almacenes de certificados de usuario y raíz.

Paso 3: Configurar la restricción

Una vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir el acceso restringido en el nivel de directorio. Esto requiere que la aplicación WorkSpaces cliente valide el certificado en un dispositivo antes de permitir que el usuario inicie sesión en un WorkSpace.

Para configurar la restricción

1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

2. En el panel de navegación, elija Directories (Directorios).

3. Seleccione el directorio y después elija Actions, Update Details.

4. Amplíe Access Control Options.

5. Seleccione el tipo de dispositivo en Para cada tipo de dispositivo, especifique a qué dispositivos pueden acceder WorkSpaces.

6. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:

   1. Seleccione Importar.

   2. Copie el cuerpo del certificado en el formulario.

   3. Seleccione Importar.

7. (Opcional) Especifique si otros tipos de dispositivos tienen acceso a WorkSpaces.

   1. Desplácese hacia abajo hasta la sección Other platforms (Otras plataformas). De forma predeterminada, los clientes WorkSpaces Linux están deshabilitados y los usuarios pueden acceder a ellos WorkSpaces desde sus dispositivos iOS, dispositivos Android, Web Access, Chromebooks y dispositivos de cliente cero PCoIP.

   2. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar.

   3. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija Block.

8. Elija Update and Exit.