Comment WorkSpaces utilise AWS KMS - AWS Key Management Service
Vue d'ensemble du WorkSpaces chiffrement à l'aide de AWS KMSWorkSpaces contexte de chiffrement WorkSpaces Autorisation d'utiliser une clé KMS en votre nom

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment WorkSpaces utilise AWS KMS

Vous pouvez l'utiliser WorkSpacespour fournir un poste de travail basé sur le cloud (a WorkSpace) pour chacun de vos utilisateurs finaux. Lorsque vous en lancez un nouveau WorkSpace, vous pouvez choisir de chiffrer ses volumes et décider lequel utiliser AWS KMS keypour le chiffrement. Vous pouvez choisir la clé Clé gérée par AWSfor WorkSpaces (aws/espaces de travail) ou une clé symétrique gérée par le client.

Important

WorkSpaces prend uniquement en charge les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser de clé KMS asymétrique pour chiffrer les volumes d'un. WorkSpaces Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, consultez Identification des clés KMS asymétriques.

Pour plus d'informations sur la création à l' WorkSpaces aide de volumes chiffrés, consultez la section Encrypt a WorkSpace du guide d' WorkSpaces administration Amazon.

Vue d'ensemble du WorkSpaces chiffrement à l'aide de AWS KMS

Lorsque vous créez WorkSpaces avec des volumes chiffrés, WorkSpaces utilisez Amazon Elastic Block Store (Amazon EBS) pour créer et gérer ces volumes. Les deux services utilisent votre AWS KMS key pour travailler avec les volumes chiffrés. Pour plus d'information sur le chiffrement des volumes EBS, consultez la documentation suivante :

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le end-to-end processus fonctionne comme suit :

  1. Vous spécifiez la clé KMS à utiliser pour le chiffrement ainsi que WorkSpace l'utilisateur et le répertoire. Cette action crée une autorisation qui permet d'utiliser votre clé KMS uniquement WorkSpaces à cette fin, c' WorkSpaceest-à-dire uniquement pour l'utilisateur et le répertoire WorkSpace associés à l'utilisateur et au répertoire spécifiés.

  2. WorkSpaces crée un volume EBS chiffré pour le WorkSpace et spécifie la clé KMS à utiliser ainsi que l'utilisateur et le répertoire du volume (les mêmes informations que celles que vous avez spécifiées àÉtape 1). Cette action crée une autorisation qui permet à Amazon EBS d'utiliser votre clé KMS uniquement pour ce volume, c'est-à-dire uniquement pour l'utilisateur WorkSpace et le répertoire WorkSpace associés à l'utilisateur et au répertoire spécifiés, et uniquement pour le volume spécifié.

  3. Amazon EBS demande une clé de données de volume chiffrée sous votre clé KMS et spécifie l'ID de WorkSpace l'utilisateur Sid et du répertoire ainsi que l'ID du volume comme contexte de chiffrement.

  4. AWS KMS crée une nouvelle clé de données, la chiffre sous votre clé KMS, puis envoie la clé de données chiffrée à Amazon EBS.

  5. WorkSpaces utilise Amazon EBS pour associer le volume chiffré à votre WorkSpace. Amazon EBS envoie la clé de données chiffrée AWS KMS à une Decryptdemande et spécifie celle de l' WorkSpace utilisateurSid, son ID de répertoire et l'ID de volume, qui est utilisé comme contexte de chiffrement.

  6. AWS KMS utilise votre clé KMS pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à Amazon EBS.

  7. Amazon EBS se sert de la clé de données en texte brut pour chiffrer toutes les données en direction et en provenance du volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire tant que le volume est attaché au. WorkSpace

  8. Amazon EBS stocke la clé de données cryptée (reçue àÉtape 4) avec les métadonnées du volume pour une utilisation future au cas où vous redémarreriez ou reconstruisez le WorkSpace.

  9. Lorsque vous utilisez le AWS Management Console pour supprimer un WorkSpace (ou que vous utilisez l'TerminateWorkspacesaction dans l' WorkSpaces API) WorkSpaces et qu'Amazon EBS retire les autorisations qui lui permettaient d'utiliser votre clé KMS à cette WorkSpace fin.

WorkSpaces contexte de chiffrement

WorkSpaces ne vous utilise pas AWS KMS key directement pour des opérations cryptographiques (telles que Encrypt,, DecryptGenerateDataKey, etc.), ce qui signifie AWS KMS qu' WorkSpaces il n'envoie pas de demandes incluant un contexte de chiffrement. Toutefois, lorsqu'Amazon EBS demande une clé de données chiffrée pour les volumes chiffrés de votre WorkSpaces (Étape 3dans leVue d'ensemble du WorkSpaces chiffrement à l'aide de AWS KMS) et lorsqu'il demande une copie en texte clair de cette clé de données (Étape 5), il inclut le contexte de chiffrement dans la demande. Le contexte de chiffrement fournit des données authentifiées supplémentaires (AAD) qu'AWS KMS utilise pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans les fichiers journaux AWS CloudTrail qui vous aident à comprendre pourquoi une AWS KMS key donnée a été utilisée. Amazon EBS utilise les éléments suivants comme contexte de chiffrement :

  • Le nom sid de AWS Directory Service l'utilisateur associé au WorkSpace

  • L'ID du AWS Directory Service répertoire associé au WorkSpace

  • L'ID de volume du volume chiffré

L'exemple suivant montre une représentation JSON du contexte de chiffrement qu'Amazon EBS utilise :

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

WorkSpaces Autorisation d'utiliser une clé KMS en votre nom

Vous pouvez protéger les données de votre espace de travail en utilisant le Clé gérée par AWS for WorkSpaces (aws/workspaces) ou une clé gérée par le client. Si vous utilisez une clé gérée par le client, vous devez WorkSpaces autoriser l'utilisation de la clé KMS au nom des WorkSpaces administrateurs de votre compte. Le Clé gérée par AWS formulaire WorkSpaces dispose des autorisations requises par défaut.

Pour préparer votre clé gérée par le client à utiliser avec WorkSpaces, suivez la procédure suivante.

  1. Ajoutez les WorkSpaces administrateurs à la liste des utilisateurs clés dans la politique clé de la clé KMS

  2. Donnez aux WorkSpaces administrateurs des autorisations supplémentaires grâce à une politique IAM

WorkSpaces les administrateurs ont également besoin d'une autorisation d'utilisation WorkSpaces. Pour plus d'informations sur ces autorisations, consultez la section Contrôle de l'accès aux WorkSpaces ressources dans le guide d' WorkSpaces administration Amazon.

Partie 1 : Ajouter WorkSpaces des administrateurs aux utilisateurs principaux d'une clé KMS

Pour donner WorkSpaces aux administrateurs les autorisations dont ils ont besoin, vous pouvez utiliser l'API AWS Management Console ou l'AWS KMSAPI.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés pour une clé KMS (console)

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Choisissez l'ID de clé ou l'alias de votre clé gérée par le client préférée.

  5. Choisissez l'onglet Stratégie de clé. Sous Utilisateurs de clé, choisissez Ajouter.

  6. Dans la liste des utilisateurs et des rôles IAM, sélectionnez les utilisateurs et les rôles correspondant à vos WorkSpaces administrateurs, puis choisissez Joindre.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés pour une clé KMS (AWS KMSAPI)

  1. Utilisez cette GetKeyPolicyopération pour obtenir la politique clé existante, puis enregistrez le document de stratégie dans un fichier.

  2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Ajoutez les utilisateurs et les rôles IAM correspondant à vos WorkSpaces administrateurs aux déclarations de politique qui accordent des autorisations aux utilisateurs clés. Ensuite, enregistrez le fichier.

  3. Utilisez l'PutKeyPolicyopération pour appliquer la politique de clé à la clé KMS.

Partie 2 : Accorder des autorisations supplémentaires WorkSpaces aux administrateurs

Si vous utilisez une clé gérée par le client pour protéger vos WorkSpaces données, outre les autorisations définies dans la section des utilisateurs clés de la politique de clé par défaut, WorkSpaces les administrateurs doivent être autorisés à créer des autorisations sur la clé KMS. De plus, s'ils utilisent le AWS Management Consolepour créer WorkSpaces avec des volumes chiffrés, WorkSpaces les administrateurs doivent être autorisés à répertorier les alias et les clés de liste. Pour de plus amples informations sur la création et la modification de politiques d'utilisateurs IAM, veuillez consulter Politiques gérées et politiques en ligne dans le Guide de l'utilisateur IAM.

Pour accorder ces autorisations à vos WorkSpaces administrateurs, utilisez une politique IAM. Ajoutez une déclaration de politique similaire à l'exemple suivant à la stratégie IAM de chaque WorkSpaces administrateur. Remplacez l'exemple d'ARN de clé KMS (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) par un ARN valide. Si vos WorkSpaces administrateurs utilisent uniquement l' WorkSpaces API (et non la console), vous pouvez omettre la deuxième déclaration de politique avec les "kms:ListKeys" autorisations "kms:ListAliases" et.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}