Comment WorkSpaces utilise AWS KMS - AWS Key Management Service
Présentation du chiffrement WorkSpaces avec AWS KMSContexte de chiffrement WorkSpacesAccorder à WorkSpaces l'autorisation d'utiliser une clé KMS en votre nom

Comment WorkSpaces utilise AWS KMS

Vous pouvez utiliser WorkSpaces pour mettre en service un bureau basé sur le cloud (une instance WorkSpace) pour chacun de vos utilisateurs finaux. Lorsque vous lancez une nouvelle instance WorkSpace, vous pouvez décider de chiffrer ses volumes et choisir quelle AWS KMS key utiliser pour le chiffrement. Vous pouvez choisir la Clé gérée par AWS pour WorkSpaces (aws/workspaces) ou une clé gérée par le client symétrique.

Important

WorkSpaces prend uniquement en charge les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser une clé KMS asymétrique pour chiffrer les volumes d'une instance WorkSpace. Pour obtenir de l'aide sur la détermination de la symétrie ou de l'asymétrie d'une clé KMS, veuillez consulter Identification des clés KMS asymétriques.

Pour plus d'informations sur la création d'instances WorkSpace avec des volumes chiffrés, veuillez consulter Chiffrement d'une instance WorkSpace dans le guide d'administration Amazon WorkSpaces.

Présentation du chiffrement WorkSpaces avec AWS KMS

Lorsque vous créez des instances WorkSpace avec des volumes chiffrés, WorkSpaces utilise Amazon Elastic Block Store (Amazon EBS) pour créer et gérer ces volumes. Les deux services utilisent votre AWS KMS key pour travailler avec les volumes chiffrés. Pour plus d'information sur le chiffrement des volumes EBS, consultez la documentation suivante :

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le processus de bout en bout fonctionne comme suit :

  1. Vous spécifiez la clé KMS à utiliser pour le chiffrement, ainsi que l'utilisateur et le répertoire de l'instance WorkSpace. Cette action crée un octroi qui autorise WorkSpaces à utiliser votre clé KMS uniquement pour cette instance WorkSpace, c'est-à-dire uniquement pour l'instance WorkSpace associée à l'utilisateur et au répertoire spécifiés.

  2. WorkSpaces crée un volume EBS chiffré pour l'instance WorkSpace et spécifie la clé KMS à utiliser ainsi que l'utilisateur et le répertoire du volume (les mêmes informations que vous avez spécifiées dans Étape 1). Cette action crée un octroi qui autorise Amazon EBS à utiliser votre clé KMS uniquement pour cette instance WorkSpace et ce volume, c'est-à-dire uniquement pour l'instance WorkSpace associée à l'utilisateur et au répertoire spécifiés, et uniquement pour le volume spécifié.

  3. Amazon EBS demande une clé de données de volume qui est chiffrée sous votre clé KMS et spécifie l'ID de répertoire et le Sid de l'utilisateur de l'instance WorkSpace, ainsi que l'ID de volume comme contexte de chiffrement.

  4. AWS KMS crée une nouvelle clé de données, la chiffre sous votre clé KMS, puis envoie la clé de données chiffrée à Amazon EBS.

  5. WorkSpaces utilise Amazon EBS pour attacher le volume chiffré à votre instance WorkSpace. Amazon EBS envoie la clé de données chiffrée à AWS KMS avec une demande Decrypt et spécifie le Sid de l'utilisateur de l'instance WorkSpace, son ID de répertoire, ainsi que l'ID de volume, qui sont utilisés comme contexte de chiffrement.

  6. AWS KMS utilise votre clé KMS pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à Amazon EBS.

  7. Amazon EBS se sert de la clé de données en texte brut pour chiffrer toutes les données en direction et en provenance du volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire tant que le volume est attaché à l'instance WorkSpace.

  8. Amazon EBS stocke la clé de données chiffrée (reçue dans Étape 4) avec les métadonnées de volume pour pouvoir les utiliser à l'avenir si vous redémarrez ou reconstruisez l'instance WorkSpace.

  9. Lorsque vous utilisez la AWS Management Console pour supprimer une instance WorkSpace (ou utilisez l'action TerminateWorkspaces dans l'API WorkSpaces), WorkSpaces et Amazon EBS abandonnent les octrois qui leur ont permis d'utiliser votre clé KMS pour cette instance WorkSpace.

Contexte de chiffrement WorkSpaces

WorkSpaces n'utilise pas votre AWS KMS key directement pour les opérations cryptographiques (telles que Encrypt, Decrypt, GenerateDataKey, etc.), ce qui signifie que WorkSpaces n'envoie pas de demandes à AWS KMS incluant un contexte de chiffrement. Toutefois, quand Amazon EBS demande une clé de données chiffrée pour les volumes chiffrés de vos instances WorkSpace (Étape 3 dans la Présentation du chiffrement WorkSpaces avec AWS KMS) et quand il demande une copie en texte brut de cette clé de données (Étape 5), il inclut le contexte de chiffrement dans la demande. Le contexte de chiffrement fournit des informations authentifiées supplémentaires (AAD) que AWS KMS utilise pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans les fichiers journaux AWS CloudTrail qui vous aident à comprendre pourquoi une AWS KMS key donnée a été utilisée. Amazon EBS utilise les éléments suivants comme contexte de chiffrement :

  • L'identificateur sid de l'utilisateur AWS Directory Service qui est associé à l'instance WorkSpace

  • L'ID d'annuaire de l'annuaire AWS Directory Service qui est associé à l'instance WorkSpace

  • L'ID de volume du volume chiffré

L'exemple suivant montre une représentation JSON du contexte de chiffrement qu'Amazon EBS utilise :

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Accorder à WorkSpaces l'autorisation d'utiliser une clé KMS en votre nom

Vous pouvez protéger les données de votre instance WorkSpace sous la Clé gérée par AWS pour WorkSpaces (aws/workspaces) ou une clé gérée par le client. Si vous utilisez une clé gérée par le client, vous devez accorder à WorkSpaces l'autorisation d'utiliser la clé KMS au nom des administrateurs WorkSpaces de votre compte. La Clé gérée par AWS pour WorkSpaces possède les autorisations requises par défaut.

Pour préparer votre clé gérée par le client pour une utilisation avec WorkSpaces, utilisez la procédure suivante.

  1. Ajoutez les administrateurs des instances WorkSpace à la liste des utilisateurs de clé figurant dans la politique de clé de la clé KMS

  2. Accordez aux administrateurs des instances WorkSpace des autorisations supplémentaires à l'aide d'une politique IAM

Les administrateurs des instances WorkSpace ont également besoin de l'autorisation d'utiliser WorkSpaces. Pour plus d'informations sur ces autorisations, veuillez consulter Contrôle de l'accès aux ressources WorkSpaces dans le guide d'administration Amazon WorkSpaces.

1re partie : ajouter les administrateurs WorkSpaces aux utilisateurs de clé d'une clé KMS

Pour fournir aux administrateurs WorkSpaces les autorisations dont ils ont besoin, vous pouvez utiliser la AWS Management Console ou l'API AWS KMS.

Pour ajouter les administrateurs WorkSpaces en tant qu'utilisateurs de clé pour une clé KMS (console)

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le volet de navigation, choisissez Clés gérées par le client.

  4. Choisissez l'ID de clé ou l'alias de votre clé gérée par le client préférée.

  5. Choisissez l'onglet Politique de clé . Sous Key users (Utilisateurs de clé), choisissez Add (Ajouter).

  6. Dans la liste des utilisateurs et des rôles IAM, sélectionnez les utilisateurs et les rôles qui correspondent aux administrateurs de vos instances WorkSpace, puis choisissez Attach (Attacher).

Pour ajouter des administrateurs WorkSpace comme utilisateurs de clé pour une clé KMS (API AWS KMS)

  1. Utilisez l'opération GetKeyPolicy pour récupérer la politique de clé existante, puis enregistrez le document de politique dans un fichier.

  2. Ouvrez le document de politique dans votre éditeur de texte préféré. Ajoutez les utilisateurs et les rôles IAM qui correspondent aux administrateurs de vos instances WorkSpace dans les instructions de politique qui accordent une autorisation à des utilisateurs de clé. Ensuite, enregistrez le fichier.

  3. Utilisez l'opération PutKeyPolicy pour appliquer la politique de clé à la clé KMS.

2e partie : Accorder aux administrateurs WorkSpaces des autorisations supplémentaires

Si vous utilisez une clé gérée par le client pour protéger vos données WorkSpaces, en plus des autorisations de la section des utilisateurs de clé de la politique de clé par défaut, les administrateurs WorkSpaces ont besoin d'une autorisation pour créer les octrois sur la clé KMS. En outre, si elles utilisent AWS Management Console pour créer des instances WorkSpaces avec des volumes chiffrés, les administrateurs WorkSpaces ont besoin d'une autorisation pour répertorier les alias et les clés. Pour de plus amples informations sur la création et la modification de politiques d'utilisateurs IAM, veuillez consulter Politiques gérées et politiques en ligne dans le Guide de l'utilisateur IAM.

Pour accorder aux administrateurs des instances WorkSpace ces autorisations, utilisez une politique IAM. Ajoutez une instruction de politique similaire à l'exemple suivant à la politique IAM pour chaque administrateur WorkSpaces. Remplacez l'exemple d'ARN de clé KMS (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) par un ARN valide. Si vos administrateurs d'instances WorkSpace utilisent uniquement l'API WorkSpaces (pas avec la console), vous pouvez ignorer la deuxième instruction de politique avec les autorisations "kms:ListAliases" et "kms:ListKeys".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}