Instances WorkSpace chiffrées

WorkSpaces est intégré à AWS Key Management Service (AWS KMS). Cela vous permet de chiffrer les volumes de stockage des instances WorkSpaces à l'aide de clés AWS KMS. Lorsque vous lancez une instance WorkSpace, vous pouvez chiffrer le volume racine (pour Microsoft Windows, le lecteur C, pour Linux, /) et le volume utilisateur (pour Windows, le lecteur D, pour Linux, /home). Vous garantissez ainsi que les données stockées au repos, les E/S de disque vers le volume et les instantanés créés à partir des volumes sont tous chiffrés.

Note

Outre le chiffrement de vos instances WorkSpaces, vous pouvez également utiliser le chiffrement des points de terminaison FIPS dans certaines régions AWS des États-Unis. Pour plus d'informations, consultez Configuration d'Amazon WorkSpaces pour l'autorisation FedRAMP ou la conformité SRG pour le Département de la Défense (DoD) des États-Unis.

Prérequis

Vous avez besoin d'une clé AWS KMS avant de commencer le processus de chiffrement. Cette clé KMS peut être soit une clé KMS gérée par AWS pour Amazon WorkSpaces (aws/workspaces), soit une clé KMS symétrique gérée par le client.

• Clés KMS gérées par AWS : la première fois que vous lancez une instance WorkSpace non chiffrée à partir de la console WorkSpaces dans une région, Amazon WorkSpaces crée automatiquement une clé KMS gérée par AWS (aws/workspaces) dans votre compte. Vous pouvez sélectionner la clé KMS gérée par AWS pour chiffrer les volumes racine et utilisateur de votre instance WorkSpace. Pour plus de détails, veuillez consulter Présentation du chiffrement WorkSpaces avec AWS KMS.

  Vous pouvez voir la clé KMS gérée par AWS, y compris ses stratégies et attributions, et suivre son utilisation dans les journaux AWS CloudTrail, mais vous ne pouvez pas l'utiliser ni la gérer. Amazon WorkSpaces crée et gère cette clé KMS. Seul Amazon WorkSpaces peut utiliser cette clé KMS, et uniquement pour chiffrer les ressources WorkSpaces dans votre compte.

  Les clés gérées par AWS, y compris celle prise en charge par Amazon WorkSpaces, font l'objet d'une rotation tous les trois ans. Pour plus d'informations, consultez Rotation des clés AWS KMS dans le Guide du développeur AWS Key Management Service.

• Clé KMS gérée par le client : vous pouvez aussi sélectionner une clé KMS symétrique gérée par le client, que vous créez à l'aide de AWS KMS. Vous pouvez afficher, utiliser et gérer cette clé KMS, y compris définir ses stratégies. Pour plus d'informations sur la création d'une clé KMS, consultez Création de clés dans le Guide du développeur AWS Key Management Service. Pour plus d'informations sur la création d'une clé KMS à l'aide de l'API AWS KMS, consultez Utilisation de clés dans le Guide du développeur AWS Key Management Service.

  Les clés KMS gérées par le client ne font l'objet d'aucune rotation automatique, sauf si vous décidez d'activer la rotation automatique des clés. Pour plus d'informations, consultez Rotation des clés AWS KMS dans le Guide du développeur AWS Key Management Service.

Important

Lorsque vous effectuez manuellement une rotation des clés KMS, vous devez conserver la clé d'origine et la nouvelle clé KMS activées afin que AWS KMS puisse déchiffrer les instances WorkSpaces chiffrées avec la clé KMS d'origine. Si vous ne souhaitez pas que la clé KMS d'origine reste activée, vous devez recréer les instances WorkSpaces et les chiffrer à l'aide de la nouvelle clé KMS.

Vous devez respecter les exigences suivantes pour utiliser une clé AWS KMS afin de chiffrer vos instances WorkSpaces :

• La clé doit être symétrique. Amazon WorkSpaces ne prend pas en charge les clés KMS asymétriques. Pour plus d'informations sur la distinction entre clés KMS symétriques et asymétriques, consultez Identification des clés KMS symétriques et asymétriques dans le Guide du développeur AWS Key Management Service.

• La clé KMS doit être activée. Pour déterminer si une clé KMS est activée, consultez Affichage de clés KMS dans la console dans le Guide du développeur AWS Key Management Service.

• Vous devez disposer des autorisations appropriées et des stratégies associées à la clé KMS. Pour plus d'informations, consultez 2e partie : Octroyer aux administrateurs d'instances WorkSpaces des autorisations supplémentaires à l'aide d'une politique IAM.

Limites

• Vous ne pouvez pas chiffrer une instance WorkSpace existante. Vous devez chiffrer une instance WorkSpace lorsque vous la lancez.

• La création d'une image personnalisée à partir d'un espace de travail chiffré n'est pas prise en charge.

• La désactivation du chiffrement pour un espace de travail chiffré n'est pas actuellement prise en charge.

• Les espaces de travail lancés avec le chiffrement de volume racine activé peuvent prendre jusqu'à une heure pour être provisionnés.

• Pour redémarrer ou reconstruire une instance WorkSpace chiffrée, vérifiez d'abord que la clé AWS KMS est activée, sinon l'instance WorkSpace devient inutilisable. Pour déterminer si une clé KMS est activée, consultez Affichage de clés KMS dans la console dans le Guide du développeur AWS Key Management Service.

Présentation du chiffrement WorkSpaces avec AWS KMS

Lorsque vous créez des instances WorkSpaces avec des volumes chiffrés, WorkSpaces utilise Amazon Elastic Block Store (Amazon EBS) pour créer et gérer ces volumes. Amazon EBS chiffre les volumes avec une clé de données utilisant l'algorithme AES-256 standard. Amazon EBS et Amazon WorkSpaces utilisent la clé KMS pour travailler avec les volumes chiffrés. Pour plus d'informations sur le chiffrement ESB des volumes, consultez Chiffrement Amazon EBS dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le processus de bout en bout fonctionne comme suit :

1. Vous spécifiez la clé KMS à utiliser pour le chiffrement, ainsi que l'utilisateur et l'annuaire de l'instance WorkSpace. Cette action crée un octroi qui autorise WorkSpaces à utiliser la clé KMS uniquement pour cette instance WorkSpace, c'est-à-dire uniquement pour l'instance WorkSpace associée à l'utilisateur et à l'annuaire spécifiés.

2. WorkSpaces crée un volume EBS chiffré pour l'instance WorkSpace, et spécifie la clé KMS à utiliser ainsi que l'utilisateur et l'annuaire du volume. Cette action crée un octroi qui autorise Amazon EBS à utiliser la clé KMS uniquement pour cette instance WorkSpace et ce volume, c'est-à-dire uniquement pour l'instance WorkSpace associée à l'utilisateur et à l'annuaire spécifiés, et uniquement pour le volume spécifié.

3. Amazon EBS demande une clé de données de volume qui est chiffrée sous la clé KMS, et spécifie l'identifiant de sécurité (SID) Active Directory de l'utilisateur de l'instance WorkSpace et l'ID d'annuaire AWS Directory Service, ainsi que l'ID de volume Amazon EBS comme contexte de chiffrement.

4. AWS KMS crée une nouvelle clé de données, la chiffre sous la clé KMS, puis envoie la clé de données chiffrée à Amazon EBS.

5. WorkSpaces utilise Amazon EBS pour attacher le volume chiffré à votre instance WorkSpace. Amazon EBS envoie la clé de données chiffrée à AWS KMS avec une demande Decrypt, et spécifie le SID de l'utilisateur de l'instance WorkSpace, l'ID d'annuaire, ainsi que l'ID de volume, qui sont utilisés comme contexte de chiffrement.

6. AWS KMS utilise la clé KMS pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à Amazon EBS.

7. Amazon EBS se sert de la clé de données en texte brut pour chiffrer toutes les données en direction et en provenance du volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire tant que le volume est associé à l'instance WorkSpace.

8. Amazon EBS stocke la clé de données chiffrée (reçue à l'Étape 4) avec les métadonnées du volume pour pouvoir les utiliser ultérieurement si vous redémarrez ou reconstruisez l'instance WorkSpace.

9. Lorsque vous utilisez AWS Management Console pour supprimer une instance WorkSpace (ou l'action TerminateWorkspaces dans l'API WorkSpaces), WorkSpaces et Amazon EBS abandonnent les octrois qui leur ont permis d'utiliser la clé KMS pour cette instance WorkSpace.

Contexte de chiffrement WorkSpaces

WorkSpaces n'utilise pas directement la clé KMS pour les opérations cryptographiques (comme Encrypt, Decrypt, GenerateDataKey, etc.), ce qui signifie que WorkSpaces n'envoie pas de demandes à AWS KMS incluant un contexte de chiffrement. Toutefois, quand Amazon EBS demande une clé de données chiffrée pour les volumes chiffrés de vos instances WorkSpaces (Étape 3 de la section Présentation du chiffrement WorkSpaces avec AWS KMS) et une copie en texte brut de cette clé de données (Étape 5), il inclut le contexte de chiffrement dans la demande.

Le contexte de chiffrement fournit des données authentifiées supplémentaires (AAD) qu'AWS KMS utilise pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans les fichiers journaux AWS CloudTrail, ce qui peut vous aider à comprendre pourquoi une clé KMS donnée a été utilisée. Amazon EBS utilise les éléments suivants comme contexte de chiffrement :

• Identifiant de sécurité (SID) de l'utilisateur Active Directory associé à l'instance WorkSpace

• L'ID de l'annuaire AWS Directory Service associé à l'instance WorkSpace

• L'ID de volume Amazon EBS du volume chiffré

L'exemple suivant montre une représentation JSON du contexte de chiffrement qu'Amazon EBS utilise :

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Octroi à WorkSpaces de l'autorisation d'utiliser une clé KMS en votre nom

Vous pouvez protéger les données de votre instance WorkSpace sous la clé KMS gérée par AWS pour WorkSpaces (aws/workspaces) ou sous une clé KMS gérée par le client. Si vous utilisez une clé KMS gérée par le client, vous devez octroyer à WorkSpaces l'autorisation d'utiliser la clé KMS au nom des administrateurs WorkSpaces de votre compte. Par défaut, la clé KMS gérée par AWS pour WorkSpaces dispose des autorisations requises.

Pour préparer la clé KMS gérée par le client pour une utilisation avec WorkSpaces, utilisez la procédure suivante.

1. Ajouter des administrateurs d'instances WorkSpaces à la liste des utilisateurs de clé figurant dans la stratégie de clé de la clé KMS

2. Octroyer à des administrateurs d'instances WorkSpaces des autorisations supplémentaires à l'aide d'une politique IAM

Les administrateurs d'instances WorkSpaces ont également besoin de l'autorisation d'utiliser WorkSpaces. Pour plus d'informations sur ces autorisations, consultez Gestion des identités et des accès pour WorkSpaces.

1re partie : Ajouter des administrateurs WorkSpaces en tant qu'utilisateurs de clé

Pour fournir aux administrateurs WorkSpaces les autorisations dont ils ont besoin, vous pouvez utiliser AWS Management Console ou l'API AWS KMS.

Pour ajouter les administrateurs WorkSpaces en tant qu'utilisateurs de clé pour une clé KMS (console)

1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

3. Dans le volet de navigation, choisissez Clés gérées par le client.

4. Choisissez l'ID de clé ou l'alias de votre clé gérée par le client préférée.

5. Choisissez l'onglet Stratégie de clé. Sous Utilisateurs de clé, choisissez Ajouter.

6. Dans la liste des utilisateurs et des rôles IAM, sélectionnez les utilisateurs et les rôles qui correspondent aux administrateurs de vos instances WorkSpace, puis choisissez Attacher.

Pour ajouter des administrateurs WorkSpace comme utilisateurs de clé pour une clé KMS (API)

1. Utilisez l'opération GetKeyPolicy pour récupérer la stratégie de clé existante, puis enregistrez le document de stratégie dans un fichier.

2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Ajoutez les utilisateurs et les rôles IAM qui correspondent aux administrateurs de vos instances WorkSpaces dans les instructions de stratégie qui accordent une autorisation à des utilisateurs de clé. Ensuite, enregistrez le fichier.

3. Utilisez l'opération PutKeyPolicy pour appliquer la stratégie de clé à la clé KMS.

2e partie : Octroyer aux administrateurs d'instances WorkSpaces des autorisations supplémentaires à l'aide d'une politique IAM

Si pour le chiffrement, vous sélectionnez une clé KMS gérée par le client, vous devez établir des politiques IAM permettant à Amazon WorkSpaces d'utiliser la clé KMS au nom d'un utilisateur IAM de votre compte qui lance des instances WorkSpaces chiffrées. Cet utilisateur a également besoin d'une autorisation pour utiliser Amazon WorkSpaces. Pour plus d'informations sur la création et la modification de politiques utilisateur IAM, consultez Gestion des politiques IAM dans le Guide de l'utilisateur IAM, et Gestion des identités et des accès pour WorkSpaces.

Le chiffrement WorkSpaces nécessite un accès limité à la clé KMS. Voici un modèle de stratégie de clé que vous pouvez utiliser. Cette stratégie sépare les mandataires qui peuvent gérer la clé AWS KMS de ceux qui peuvent l'utiliser. Avant d'utiliser cet exemple de stratégie de clé, remplacez l'exemple d'ID de compte et le nom d'utilisateur IAM par des valeurs réelles de votre compte.

La première instruction correspond à la stratégie de clé AWS KMS par défaut. Elle donne à votre compte l'autorisation d'utiliser des politique IAM pour contrôler l'accès à la clé KMS. Les deuxième et troisième instructions définissent les mandataires AWS qui peuvent gérer et utiliser la clé, respectivement. La quatrième instruction permet aux services AWS intégrés à AWS KMS d'utiliser la clé au nom du mandataire spécifié. Cette instruction permet aux services AWS de créer et gérer les octrois. L'instruction utilise un élément de condition qui limite les octrois sur la clé KMS à ceux accordés par les services AWS au nom des utilisateurs de votre compte.

Note

En outre, si les administrateurs WorkSpaces utilisent AWS Management Console pour créer des instances WorkSpaces avec des volumes chiffrés, ils ont besoin d'autorisations pour répertorier les alias et les clés (les autorisations "kms:ListAliases" et "kms:ListKeys"). Si les administrateurs WorkSpaces utilisent uniquement l'API Amazon WorkSpaces (pas la console), vous pouvez ignorer les autorisations "kms:ListAliases" et "kms:ListKeys".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

La politique IAM pour un utilisateur ou un rôle qui chiffre une instance WorkSpace doit inclure des autorisations d'utilisation sur la clé KMS gérée par le client, ainsi que l'accès à WorkSpaces. Pour accorder à un utilisateur IAM ou à un rôle des autorisations WorkSpaces, vous pouvez associer l'exemple de politique suivant à l'utilisateur ou au rôle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

La politique IAM suivante est requise par l'utilisateur pour l'utilisation de AWS KMS. Elle donne à l'utilisateur un accès en lecture seule à la clé KMS ainsi que la possibilité de créer des octrois.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Si vous souhaitez spécifier la clé KMS dans votre politique, utilisez une politique IAM similaire à celle qui suit. Remplacez l'exemple d'ARN de clé KMS par un ARN valide.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Chiffrement d'une instance WorkSpace

Pour chiffrer une instance WorkSpace

1. Ouvrez la console WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.

2. Choisissez Lancer des instances WorkSpaces et exécutez les trois premières étapes.

3. Pour l'étape Configuration des instances WorkSpaces, procédez comme suit :

   1. Sélectionnez les volumes à chiffrer : Volume racine, Volume utilisateur ou les deux volumes.

   2. Pour Clé de chiffrement, sélectionnez une clé AWS KMS, soit la clé KMS gérée par AWS créée par Amazon WorkSpaces, soit une clé KMS que vous avez créée. La clé que vous utilisez doit être symétrique. Amazon WorkSpaces ne prend pas en charge les clés KMS asymétriques.

   3. Choisissez Étape suivante.

4. Choisissez Lancer des instances WorkSpaces.

Affichage des instances WorkSpaces chiffrées

Pour voir quels espaces de travail et volumes ont été chiffrés à partir de la console WorkSpaces, sélectionnez WorkSpaces dans la barre de navigation de gauche. La colonne Chiffrement de volume montre si le chiffrement est activé ou désactivé pour chaque espace de travail. Pour voir quels volumes spécifiques ont été chiffrés, développez l'entrée WorkSpace pour afficher le champ Volumes chiffrés.