Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement des données au repos pour Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client fournit un chiffrement par défaut pour protéger les données sensibles des clients au repos en utilisant des clés de chiffrement AWS détenues par nos soins.
AWS clés détenues : Amazon WorkSpaces Thin Client utilise ces clés par défaut pour chiffrer automatiquement les données personnelles identifiables. Vous ne pouvez pas consulter, gérer ou utiliser les clés que vous AWS possédez, ni auditer leur utilisation. Toutefois, vous n'avez pas besoin de prendre de mesure ou de modifier les programmes pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez Clés détenues par AWS dans le Guide du développeur AWS Key Management Service.
Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, il vous permet de créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.
Bien que vous ne puissiez pas désactiver cette couche de chiffrement ou sélectionner un autre type de chiffrement, vous pouvez ajouter une deuxième couche de chiffrement aux clés de chiffrement existantes détenues par AWS en choisissant une clé gérée par le client lors de la création de l'environnement de votre client léger :
Clés gérées par le client : Amazon WorkSpaces Thin Client prend en charge l'utilisation d'une clé symétrique gérée par le client que vous créez, détenez et gérez afin d'ajouter une deuxième couche de chiffrement au chiffrement AWS détenu existant. Comme vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
Établissement et gestion des stratégies de clé
Établissement et mise à jour de politiques IAM
Activation et désactivation des stratégies de clé
Rotation des matériaux de chiffrement de clé
Ajout de balises
Création d'alias de clé
Planification des clés pour la suppression
Pour plus d'informations, consultez Clés gérées par le client dans le Guide du développeur AWS Key Management Service.
Le tableau suivant résume la manière dont Amazon WorkSpaces Thin Client chiffre les données personnelles identifiables.
| Type de données | Chiffrement par clé détenue par AWS | Chiffrement par clé gérée par le client (facultatif) |
|---|---|---|
|
Nom de l'environnement WorkSpaces Nom de l'environnement Thin Client |
Activées |
Activées |
|
Nom d’appareil WorkSpaces Nom du périphérique client léger |
Activées |
Activées |
|
Activité de l'utilisateur WorkSpaces Activité des utilisateurs de Thin Client |
Activées |
Activées |
|
Paramètres de l'appareil WorkSpaces Paramètres du périphérique client léger |
Activées |
Activées |
|
Balises de création d'appareils WorkSpaces Balises de création de périphériques Thin Client Environment |
Activées |
Activées |
Note
Amazon WorkSpaces Thin Client active automatiquement le chiffrement au repos en utilisant des clés AWS détenues pour protéger gratuitement les données personnelles identifiables.
Toutefois, des frais AWS KMS s'appliquent pour l'utilisation d'une clé gérée par le client. Pour plus d'informations sur la tarification, consultez Tarification d'AWS Key Management Service
Comment Amazon WorkSpaces Thin Client utilise AWS KMS
Amazon WorkSpaces Thin Client a besoin d'une politique clé pour que vous puissiez utiliser votre clé gérée par le client.
Amazon WorkSpaces Thin Client a besoin de la politique relative aux clés pour utiliser votre clé gérée par le client pour les opérations internes suivantes :
Envoyez
GenerateDataKeydes demandes à AWS KMS pour chiffrer les données.Envoyez
Decryptdes demandes à AWS KMS pour déchiffrer les données chiffrées.
Vous pouvez supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, Amazon WorkSpaces Thin Client ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous essayez d'obtenir des détails d'environnement auxquels WorkSpaces Thin Client ne peut pas accéder, l'opération renvoie une AccessDeniedException erreur. En outre, le périphérique WorkSpaces Thin Client ne pourra pas utiliser un environnement WorkSpaces Thin Client.
Création d’une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client à l'aide de l'AWS Management Console ou des opérations de l'API AWS KMS.
Pour créer une clé symétrique gérée par le client
Suivez les étapes de la rubrique Création d'une clé symétrique gérée par le client dans le Guide du développeur AWS Key Management Service.
Stratégie de clé
Les stratégies de clé contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez Gestion de l'accès aux clés gérées par le client dans le Guide du développeur AWS AWS Key Management Service.
Pour utiliser votre clé gérée par le client avec vos ressources Amazon WorkSpaces Thin Client, les opérations d'API suivantes doivent être autorisées dans la politique relative aux clés :
kms:DescribeKey— Fournit les informations clés gérées par le client afin qu'Amazon WorkSpaces Thin Client puisse valider la clé.kms:GenerateDataKey: autorise l'utilisation de la clé gérée par le client pour chiffrer les données.kms:Decrypt: autorise l'utilisation de la clé gérée par le client pour déchiffrer les données.
Voici des exemples de déclarations de politique que vous pouvez ajouter pour Amazon WorkSpaces Thin Client :
{ "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon WorkSpaces Thin Client", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "thinclient.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow Amazon WorkSpaces Thin Client service to encrypt and decrypt data", "Effect": "Allow", "Principal": {"Service": "thinclient.amazonaws.com"}, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:thinclient:region:111122223333:*", "kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] }
Pour plus d'informations sur la spécification d'autorisations dans une stratégie, consultez le Guide du développeur AWS Key Management Service.
Pour plus d'informations sur la résolution des problèmes de clé d'accès, consultez le Guide du développeur AWS Key Management Service.
Spécification d'une clé gérée par le client pour WorkSpaces Thin Client
Vous pouvez spécifier une clé gérée par le client en tant que seconde couche de chiffrement pour les ressources suivantes :
-
WorkSpaces Environnement client léger
Lorsque vous créez un environnement, vous pouvez spécifier la clé de données en fournissant unkmsKeyArn, qu'Amazon WorkSpaces Thin Client utilise pour chiffrer les données personnelles identifiables.
kmsKeyArn— Identifiant de clé pour une clé gérée par le client AWS KMS. Fournit un ARN de clé.
Lorsqu'un nouveau périphérique client WorkSpaces léger est ajouté à l'environnement client WorkSpaces léger chiffré avec une clé gérée par le client, le périphérique client WorkSpaces léger hérite du paramètre de clé gérée par le client de l'environnement client WorkSpaces léger.
Un contexte de chiffrement est un ensemble facultatif de paires clé-valeur qui contient des informations contextuelles supplémentaires sur les données.
AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires pour prendre en charge le chiffrement authentifié. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, incluez le même contexte de chiffrement dans la demande.
Contexte de chiffrement Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client utilise le même contexte de chiffrement dans toutes les opérations cryptographiques AWS KMS, où la clé aws:thinclient:arn et la valeur sont le nom de ressource Amazon (ARN).
Le contexte de chiffrement de l'environnement est le suivant :
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID" }
Le contexte de chiffrement de l'appareil est le suivant :
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:device/device_ID" }
Utilisation du contexte de chiffrement pour la surveillance
Lorsque vous utilisez une clé symétrique gérée par le client pour chiffrer les données de votre environnement client WorkSpaces léger et de votre appareil, vous pouvez également utiliser le contexte de chiffrement dans les enregistrements et les journaux d'audit pour identifier la manière dont la clé gérée par le client est utilisée. Le contexte de chiffrement apparaît également dans les journaux générés par AWS CloudTrail ou Amazon CloudWatch Logs.
Utilisation du contexte de chiffrement pour contrôler l'accès à votre clé gérée par le client
Vous pouvez utiliser le contexte de chiffrement dans les stratégies de clé et les politiques IAM en tant que conditions pour contrôler l'accès à votre clé symétrique gérée par le client.
Vous trouverez ci-dessous des exemples de déclarations de stratégie de clé permettant d'accorder l'accès à une clé gérée par le client dans un contexte de chiffrement spécifique. La condition énoncée dans cette déclaration de stratégie exige que l'appel kms:Decrypt comporte une contrainte de contexte de chiffrement qui spécifie le contexte de chiffrement.
{ "Sid": "Enable Decrypt to access Thin Client Environment", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"}, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": {"kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID"} } }
Surveillance de vos clés de chiffrement pour Amazon WorkSpaces Thin Client
Lorsque vous utilisez une clé gérée par le client AWS KMS avec vos ressources Amazon WorkSpaces Thin Client, vous pouvez utiliser AWS CloudTrail Amazon CloudWatch Logs pour suivre les demandes qu'Amazon WorkSpaces Thin Client envoie à AWS KMS.
Les exemples suivants sont AWS CloudTrail des événements permettant àDescribeKey, GenerateDataKeyDecrypt, de surveiller les opérations KMS appelées par Amazon WorkSpaces Thin Client pour accéder aux données chiffrées par votre clé gérée par le client :
Dans les exemples suivants, vous pouvez voir encryptionContext l'environnement du client WorkSpaces léger. Des CloudTrail événements similaires sont enregistrés pour le dispositif client WorkSpaces léger.
En savoir plus
Les ressources suivantes fournissent des informations supplémentaires sur le chiffrement des données au repos :
Pour plus d'informations sur les concepts de base d'AWS Key Management Service, consultez le Guide du développeur AWS Key Management Service.
Pour plus d'informations sur les bonnes pratiques de sécurité pour AWS Key Management Service, consultez le Guide du développeur AWS Key Management Service.
