Restrinja el WorkSpaces acceso a dispositivos de confianza

De forma predeterminada, los usuarios pueden acceder a ellos WorkSpaces desde cualquier dispositivo compatible que esté conectado a Internet. Si su empresa limita el acceso a los datos corporativos a los dispositivos de confianza (también conocidos como dispositivos gestionados), puede restringir el WorkSpaces acceso a los dispositivos de confianza con certificados válidos.

Al habilitar esta función, WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Si la aplicación WorkSpaces cliente no puede comprobar que un dispositivo es de confianza, bloquea los intentos de iniciar sesión o volver a conectarse desde el dispositivo.

Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, se los WorkSpaces presenta al cliente y el cliente encuentra el primer certificado coincidente válido que se conecta a cualquiera de los certificados raíz.

Clientes compatibles

• Android, que se ejecuta en sistemas Android o Chrome OS compatibles con Android

• macOS

• Windows

importante

Esta función no es compatible con los siguientes clientes:

• WorkSpaces aplicaciones cliente para Linux o iPad

• WorkSpaces Acceso a la web

• Clientes de terceros, incluidos, entre otros, Teradici PCoIP, clientes RDP y aplicaciones de escritorio remoto.

Paso 1: Crear los certificados

Esta característica requiere dos tipos de certificados: certificados raíz generados por una entidad de certificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.

Requisitos

• Los certificados raíz deben ser archivos de certificados codificados en Base64 en formato CRT, CERT o PEM.

• Los certificados raíz deben cumplir con el siguiente patrón de expresiones regulares, lo que significa que cada línea codificada, excepto la última, debe tener exactamente 64 caracteres:-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).

• Los certificados de dispositivo deben incluir un nombre común.

• Los certificados de dispositivo deben incluir las siguientes extensiones:Key Usage: Digital Signature, yEnhanced Key Usage: Client Authentication.

• Todos los certificados de la cadena, desde el certificado del dispositivo hasta la autoridad de certificación raíz de confianza, deben estar instalados en el dispositivo cliente.

• La longitud máxima admitida de la cadena de certificados es 4.

• WorkSpaces actualmente no admite los mecanismos de revocación de dispositivos, como las listas de revocación de certificados (CRL) o el Protocolo de estado de certificados en línea (OCSP), para los certificados de cliente.

• Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA384 con ECDSA o SHA512 con ECDSA.

• Para macOS, si el certificado del dispositivo está en el llavero del sistema, le recomendamos que autorice a la aplicación WorkSpaces cliente a acceder a esos certificados. De lo contrario, los usuarios tendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.

Paso 2: Implementar certificados de cliente en los dispositivos de confianza

En los dispositivos de confianza para sus usuarios, debe instalar un paquete de certificados que incluya todos los certificados de la cadena, desde el certificado del dispositivo hasta la autoridad de certificación raíz de confianza. Puede utilizar la solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, System Center Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que SCCM y MDM pueden realizar opcionalmente una evaluación de la situación de seguridad para determinar si los dispositivos cumplen con las políticas de acceso de su empresa WorkSpaces.

Las aplicaciones WorkSpaces cliente buscan certificados de la siguiente manera:

• Android: ve a Configuración, selecciona Seguridad y ubicación, Credenciales y, a continuación, elige Instalar desde la tarjeta SD.

• Sistemas Chrome OS compatibles con Android: abre la configuración de Android y selecciona Seguridad y ubicación, Credenciales y, a continuación, selecciona Instalar desde una tarjeta SD.

• macOS: busca certificados de cliente en el llavero.

• Windows: busca certificados de cliente en los almacenes de certificados de usuario y raíz.

Paso 3: Configurar la restricción

Una vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir el acceso restringido en el nivel de directorio. Esto requiere que la aplicación WorkSpaces cliente valide el certificado en un dispositivo antes de permitir que el usuario inicie sesión en un WorkSpace.

Para configurar la restricción

1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

2. En el panel de navegación, elija Directories (Directorios).

3. Seleccione el directorio y después elija Actions, Update Details.

4. Amplíe Access Control Options.

5. Seleccione el tipo de dispositivo en Para cada tipo de dispositivo, especifique a qué dispositivos pueden acceder WorkSpaces.

6. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:

   1. Elija Importar.

   2. Copie el cuerpo del certificado en el formulario.

   3. Elija Importar.

7. (Opcional) Especifique si otros tipos de dispositivos tienen acceso a WorkSpaces.

   1. Desplácese hacia abajo hasta la sección Other platforms (Otras plataformas). De forma predeterminada, los clientes WorkSpaces Web Access y Linux están deshabilitados y los usuarios pueden acceder a ellos WorkSpaces desde sus dispositivos iOS, Android, Chromebooks y dispositivos PCoIP zero client.

   2. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar.

   3. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija Block.

8. Elija Update and Exit.