Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrement au repos pour Amazon WorkSpaces Secure Browser
Le chiffrement au repos est configuré par défaut et toutes les données client (par exemple, les déclarations de politique du navigateur, les noms d'utilisateur, les journaux ou les adresses IP) utilisées dans WorkSpaces Secure Browser sont cryptées à l'aide AWS KMS de. Par défaut, WorkSpaces Secure Browser active le chiffrement à l'aide d'une clé AWS appartenant à l'utilisateur. Vous pouvez également utiliser une clé gérée par le client (CMK) en spécifiant votre clé CMK lors de la création de la ressource. Ceci n'est actuellement pris en charge que via la CLI.
Si vous choisissez de transmettre une clé CMK, la clé fournie doit être une AWS KMS clé de chiffrement symétrique et vous, en tant qu'administrateur, devez disposer des autorisations suivantes :
kms:DescribeKey kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Si vous utilisez une clé CMK, vous devez autoriser le principal de service externe de WorkSpaces Secure Browser à accéder à la clé. Pour plus d'informations, consultez Exemple de politique clé CMK étendue avec aws : SourceAccount
Dans la mesure du possible, WorkSpaces Secure Browser utilisera les informations d'identification FAS (Forward Access Sessions) pour accéder à votre clé. Pour plus d'informations sur le FAS, voir Sessions d'accès transmises. Dans certains cas, WorkSpaces Secure Browser peut avoir besoin d'accéder à votre clé de manière asynchrone. En autorisant le principal service externe de WorkSpaces Secure Browser dans votre politique de clés, WorkSpaces Secure Browser sera en mesure d'effectuer l'ensemble des opérations cryptographiques autorisées avec votre clé.
Après la création d'une ressource, la clé ne peut plus être supprimée ou modifiée. Si vous avez utilisé une clé CMK, en tant qu'administrateur accédant à la ressource, vous devez disposer des autorisations suivantes :
kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Si le message d'erreur Accès refusé s'affiche lorsque vous utilisez la console, il est probable que l'utilisateur qui accède à la console ne dispose pas des autorisations requises pour utiliser la clé CMK sur la clé utilisée.
Exemples de politiques clés et de cadrage pour WorkSpaces Secure Browser
CMKs nécessitent la politique clé suivante :
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", } ] }
Les autorisations suivantes sont requises par WorkSpaces Secure Browser :
-
kms:DescribeKey— Vérifie que la AWS KMS clé fournie est correctement configurée. -
kms:GenerateDataKeyWithoutPlaintextetkms:GenerateDataKey— Demande la AWS KMS clé pour créer les clés de données utilisées pour chiffrer des objets. -
kms:Decrypt— Demande la AWS KMS clé pour déchiffrer les clés de données chiffrées. Ces clés de données sont utilisées pour chiffrer vos données. -
kms:ReEncryptToetkms:ReEncryptFrom— Demande la AWS KMS clé pour permettre le rechiffrement depuis ou vers une clé KMS.
Définition des autorisations de WorkSpaces Secure Browser sur votre clé AWS KMS
Lorsque le principal d'une déclaration de politique clé est un principal de AWS service, nous vous recommandons vivement d'utiliser les clés de condition SourceAccount globales aws : SourceArn ou aws :, en plus du contexte de chiffrement.
Le contexte de chiffrement utilisé pour une ressource contiendra toujours une entrée au format aws:workspaces-web:RESOURCE_TYPE:id et l'ID de ressource correspondant.
L'ARN source et les valeurs du compte source sont incluses dans le contexte d'autorisation uniquement lorsqu'une demande AWS KMS provient d'un autre AWS service. Cette combinaison de conditions implémente des autorisations de moindre privilège et évite l'éventualité pour un programme d'être manipulé par un autre pour obtenir un accès. Pour plus d'informations, consultez la section Autorisations pour les services AWS dans les politiques clés.
"Condition": { "StringEquals": { "aws:SourceAccount": "AccountId", "kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId" ] }, }
Note
Avant la création de ressources, la politique clé ne doit utiliser que la aws:SourceAccount condition, car l'ARN complet de la ressource n'existera pas encore. Après la création de la ressource, la politique clé peut être mise à jour pour inclure les kms:EncryptionContext conditions aws:SourceArn et.
Exemple de politique clé CMK étendue avec aws:SourceAccount
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>" } } } ] }
Exemple de politique clé CMK étendue avec un caractère générique de aws:SourceArn ressource
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:workspaces-web:<Region>:<AccountId>:*/*" } } } ] }
Exemple de politique clé CMK étendue avec aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:workspaces-web:<Region>:<AccountId>:portal/*", "arn:aws:workspaces-web:<Region>:<AccountId>:browserSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:userSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:ipAccessSettings/*" ] } } ] }
Note
Après avoir créé la ressource, vous pouvez mettre à jour le caractère générique SourceArn correspondant. Si vous utilisez WorkSpaces Secure Browser pour créer une nouvelle ressource nécessitant un accès CMK, veillez à mettre à jour sa politique clé en conséquence.
Exemple de politique clé CMK étendue avec et spécifique aux ressources aws:SourceArnEncryptionContext
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:portal:id": "<portalId>>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:userSetttings:id": "<userSetttingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:browserSettings:id": "<browserSettingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": "<ipAccessSettingsId>" } } }, ] }
Note
Assurez-vous de créer des déclarations distinctes lorsque vous incluez une ressource spécifique EncryptionContext à la même politique clé. Pour plus d'informations, consultez la section Utilisation de plusieurs paires de contextes de chiffrement sous kms:EncryptionContext: clé de contexte.
