Chiffré WorkSpaces dans WorkSpaces Personal

WorkSpaces est intégré au AWS Key Management Service (AWS KMS). Cela vous permet de chiffrer les volumes de stockage en utilisant WorkSpaces AWS KMS Clé. Lorsque vous lancez un WorkSpace, vous pouvez chiffrer le volume racine (pour Microsoft Windows, le lecteur C ; pour Linux,/) et le volume utilisateur (pour Windows, le lecteur D ; pour Linux, /home). Vous garantissez ainsi que les données stockées au repos, les E/S de disque vers le volume et les instantanés créés à partir des volumes sont tous chiffrés.

Note

• En plus de chiffrer votre WorkSpaces, vous pouvez également utiliser le chiffrement des FIPS terminaux dans certains AWS Régions des États-Unis. Pour de plus amples informations, veuillez consulter Configurer RAMP l'autorisation de la Fed ou la SRG conformité au DoD pour Personal WorkSpaces .

• BitLocker le chiffrement n'est pas pris en charge pour Amazon WorkSpaces.

Prérequis

Vous avez besoin d'un AWS KMS Clé avant de commencer le processus de chiffrement. Cette KMS clé peut être soit AWS KMSclé gérée pour Amazon WorkSpaces (aws/espaces de travail) ou clé symétrique gérée par le client. KMS

• AWS KMSclés gérées — La première fois que vous lancez un fichier non chiffré WorkSpace depuis la WorkSpaces console dans une région, Amazon crée WorkSpaces automatiquement un AWS KMSclé gérée (aws/espaces de travail) dans votre compte. Vous pouvez sélectionner ceci AWS KMSclé gérée pour chiffrer les volumes utilisateur et racine de votre WorkSpace. Pour plus de détails, consultez Vue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS.

  Vous pouvez consulter ceci AWS KMSclé gérée, y compris ses politiques et ses subventions, et peut suivre son utilisation dans AWS CloudTrail enregistre, mais vous ne pouvez ni utiliser ni gérer cette KMS clé. Amazon WorkSpaces crée et gère cette KMS clé. Seul Amazon WorkSpaces peut utiliser cette KMS clé, et WorkSpaces uniquement pour chiffrer les WorkSpaces ressources de votre compte.

  AWS les KMS clés gérées, y compris celle prise WorkSpaces en charge par Amazon, sont renouvelées tous les trois ans. Pour plus de détails, voir Rotation AWS KMS Entrez la clé dans le AWS Key Management Service Guide du développeur.

• KMSClé gérée par le client — Vous pouvez également sélectionner une clé symétrique gérée par KMS le client que vous avez créée à l'aide de AWS KMS. Vous pouvez consulter, utiliser et gérer cette KMS clé, notamment définir ses politiques. Pour plus d'informations sur la création de KMS clés, voir Création de clés dans AWS Key Management Service Guide du développeur. Pour plus d'informations sur la création de KMS clés à l'aide du AWS KMS API, voir Utilisation des touches dans le AWS Key Management Service Guide du développeur.

  Les KMS clés gérées par le client ne sont pas automatiquement pivotées, sauf si vous décidez d'activer la rotation automatique des clés. Pour plus de détails, voir Rotation AWS KMS Clés dans le AWS Key Management Service Guide du développeur.

Important

Lorsque vous faites pivoter KMS les clés manuellement, vous devez conserver la KMS clé d'origine et la nouvelle KMS clé activées afin que AWS KMS peut déchiffrer WorkSpaces ce que la KMS clé d'origine a chiffrée. Si vous ne souhaitez pas que la KMS clé d'origine reste activée, vous devez la recréer WorkSpaces et la chiffrer à l'aide de la nouvelle KMS clé.

Vous devez remplir les conditions suivantes pour utiliser un AWS KMS Clé pour chiffrer votre WorkSpaces :

• La KMS clé doit être symétrique. Amazon WorkSpaces ne prend pas en charge les KMS clés asymétriques. Pour plus d'informations sur la distinction entre les clés symétriques et asymétriques, voir Identification KMS des clés symétriques et asymétriques dans le KMS AWS Key Management Service Guide du développeur.

• La KMS clé doit être activée. Pour déterminer si une KMS clé est activée, reportez-vous à la section Affichage des détails de la KMS clé dans AWS Key Management Service Guide du développeur.

• Vous devez disposer des autorisations et politiques appropriées associées à la KMS clé. Pour de plus amples informations, veuillez consulter Partie 2 : Accorder WorkSpaces aux administrateurs des autorisations supplémentaires à l'aide d'une IAM politique.

Limites

• Vous ne pouvez pas chiffrer un fichier existant WorkSpace. Vous devez chiffrer un WorkSpace lorsque vous le lancez.

• La création d'une image personnalisée à partir d'une image chiffrée n' WorkSpace est pas prise en charge.

• La désactivation du chiffrement pour un chiffrement n' WorkSpace est actuellement pas prise en charge.

• WorkSpaces lancé avec le chiffrement du volume racine activé, le provisionnement peut prendre jusqu'à une heure.

• Pour redémarrer ou reconstruire un système chiffré WorkSpace, assurez-vous d'abord que AWS KMS La clé est activée ; dans le cas contraire, WorkSpace elle devient inutilisable. Pour déterminer si une KMS clé est activée, reportez-vous à la section Affichage des détails de la KMS clé dans AWS Key Management Service Guide du développeur.

Vue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS

Lorsque vous créez WorkSpaces avec des volumes chiffrés WorkSpaces , utilisez Amazon Elastic Block Store (AmazonEBS) pour créer et gérer ces volumes. Amazon EBS chiffre vos volumes à l'aide d'une clé de données à l'aide de l'algorithme standard AES -256. Amazon EBS et Amazon WorkSpaces utilisent tous deux votre KMS clé pour travailler avec les volumes chiffrés. Pour plus d'informations sur EBS le chiffrement des volumes, consultez Amazon EBS Encryption dans le guide de EC2 l'utilisateur Amazon.

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le end-to-end processus fonctionne comme suit :

1. Vous spécifiez la KMS clé à utiliser pour le chiffrement ainsi que l'utilisateur et le répertoire du WorkSpace. Cette action crée une autorisation qui permet d'utiliser votre KMS clé uniquement WorkSpaces à cette fin, c' WorkSpaceest-à-dire uniquement pour l'utilisateur et le répertoire WorkSpace associés à l'utilisateur et au répertoire spécifiés.

2. WorkSpaces crée un EBS volume chiffré pour le WorkSpace et spécifie la KMS clé à utiliser ainsi que l'utilisateur et le répertoire du volume. Cette action crée une autorisation qui permet EBS à Amazon d'utiliser votre KMS clé uniquement pour ce volume WorkSpace et pour ce volume, c'est-à-dire uniquement pour l'utilisateur et le répertoire WorkSpace associés, et uniquement pour le volume spécifié.

3. Amazon EBS demande une clé de données de volume chiffrée sous votre KMS clé et spécifiant l'identifiant de sécurité Active Directory de WorkSpace l'utilisateur (SID) et AWS Directory Service ID de répertoire ainsi que l'ID EBS du volume Amazon comme contexte de chiffrement.

4. AWS KMS crée une nouvelle clé de données, la chiffre sous votre KMS clé, puis envoie la clé de données chiffrée à AmazonEBS.

5. WorkSpaces utilise Amazon EBS pour associer le volume chiffré à votre WorkSpace. Amazon EBS envoie la clé de données cryptée à AWS KMS avec une Decryptdemande et spécifie l'identifiant de WorkSpace l'utilisateurSID, l'ID du répertoire et l'ID du volume, qui est utilisé comme contexte de chiffrement.

6. AWS KMS utilise votre KMS clé pour déchiffrer la clé de données, puis envoie la clé de données en texte brut à AmazonEBS.

7. Amazon EBS utilise la clé de données en texte brut pour chiffrer toutes les données en provenance et à destination du volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire tant que le volume est attaché au WorkSpace.

8. Amazon EBS stocke la clé de données cryptée (reçue àÉtape 4) avec les métadonnées du volume pour une utilisation future au cas où vous redémarreriez ou reconstruisez le WorkSpace.

9. Lorsque vous utilisez le AWS Management Console pour supprimer une WorkSpace (ou utiliser l'TerminateWorkspacesaction contenue dans le WorkSpaces API), WorkSpaces et Amazon EBS retire les subventions qui lui permettaient d'utiliser votre KMS clé à cette fin WorkSpace.

WorkSpaces contexte de chiffrement

WorkSpaces n'utilise pas votre KMS clé directement pour des opérations cryptographiques (telles que Encrypt,, Decrypt, etc.) GenerateDataKey, ce qui signifie qu' WorkSpaces il n'envoie pas de demandes à AWS KMS qui incluent un contexte de chiffrement. Toutefois, lorsqu'Amazon EBS demande une clé de données chiffrée pour les volumes chiffrés de votre WorkSpaces (Étape 3dans leVue d'ensemble du WorkSpaces chiffrement à l'aide AWS KMS) et lorsqu'il demande une copie en texte brut de cette clé de données (Étape 5), le contexte de chiffrement est inclus dans la demande.

Le contexte de chiffrement fournit des données authentifiées supplémentaires (AAD) qui AWS KMS utilisés pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans votre AWS CloudTrail des fichiers journaux, qui peuvent vous aider à comprendre pourquoi une KMS clé donnée a été utilisée. Amazon EBS utilise les éléments suivants pour le contexte de chiffrement :

• L'identifiant de sécurité (SID) de l'utilisateur Active Directory associé au WorkSpace

• L'ID de répertoire du AWS Directory Service répertoire associé au WorkSpace

• L'ID de EBS volume Amazon du volume chiffré

L'exemple suivant montre une JSON représentation du contexte de chiffrement EBS utilisé par Amazon :

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

WorkSpaces Autoriser l'utilisation d'une KMS clé en votre nom

Vous pouvez protéger vos WorkSpace données en vertu du AWS KMSclé gérée pour WorkSpaces (aws/espaces de travail) ou clé gérée par le client. KMS Si vous utilisez une KMS clé gérée par le client, vous devez WorkSpaces autoriser l'utilisation de la KMS clé au nom des WorkSpaces administrateurs de votre compte. Le AWS managed KMS Key for WorkSpaces dispose des autorisations requises par défaut.

Pour préparer votre KMS clé gérée par le client à utiliser WorkSpaces, suivez la procédure suivante.

1. Ajoutez vos WorkSpaces administrateurs à la liste des utilisateurs clés dans la politique KMS clé de The Key

2. Donnez à vos WorkSpaces administrateurs des autorisations supplémentaires grâce à une IAM politique

Vos WorkSpaces administrateurs ont également besoin d'une autorisation pour l'utiliser WorkSpaces. Pour plus d'informations sur ces autorisations, consultez Gestion des identités et des accès pour WorkSpaces.

Partie 1 : Ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés

Pour accorder WorkSpaces aux administrateurs les autorisations dont ils ont besoin, vous pouvez utiliser le AWS Management Console ou le AWS KMS API.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés d'une KMS clé (console)

1. Connectez-vous au AWS Management Console et ouvrez le AWS Key Management Service (AWS KMS) console à l'adresse https://console.aws.amazon.com/kms.

2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

3. Dans le volet de navigation, sélectionnez Clés gérées par le client.

4. Choisissez l'ID de clé ou l'alias de votre KMS clé préférée gérée par le client.

5. Choisissez l'onglet Stratégie de clé. Sous Utilisateurs de clé, choisissez Ajouter.

6. Dans la liste des IAM utilisateurs et des rôles, sélectionnez les utilisateurs et les rôles correspondant à vos WorkSpaces administrateurs, puis choisissez Ajouter.

Pour ajouter des WorkSpaces administrateurs en tant qu'utilisateurs clés d'une KMS clé (API)

1. Utilisez cette GetKeyPolicyopération pour obtenir la politique clé existante, puis enregistrez le document de stratégie dans un fichier.

2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Ajoutez les IAM utilisateurs et les rôles correspondant à vos WorkSpaces administrateurs aux déclarations de politique qui accordent des autorisations aux utilisateurs clés. Ensuite, enregistrez le fichier.

3. Utilisez l'PutKeyPolicyopération pour appliquer la politique de clé à la KMS clé.

Partie 2 : Accorder WorkSpaces aux administrateurs des autorisations supplémentaires à l'aide d'une IAM politique

Si vous sélectionnez une KMS clé gérée par le client à utiliser pour le chiffrement, vous devez établir des IAM politiques permettant WorkSpaces à Amazon d'utiliser la KMS clé au nom d'un IAM utilisateur de votre compte qui lance le chiffrement WorkSpaces. Cet utilisateur doit également être autorisé à utiliser Amazon WorkSpaces. Pour plus d'informations sur la création et la modification des politiques IAM utilisateur, voir Gestion des IAM politiques dans le Guide de IAM l'utilisateur etGestion des identités et des accès pour WorkSpaces.

WorkSpaces le chiffrement nécessite un accès limité à la KMS clé. Voici un modèle de stratégie de clé que vous pouvez utiliser. Cette politique sépare les principaux responsables qui peuvent gérer AWS KMS Clé fournie par ceux qui peuvent l'utiliser. Avant d'utiliser cet exemple de politique clé, remplacez les exemples d'ID de compte et de nom IAM d'utilisateur par les valeurs réelles de votre compte.

La première instruction correspond à la valeur par défaut AWS KMS politique clé. Cela donne à votre compte l'autorisation d'utiliser IAM des politiques pour contrôler l'accès à la KMS clé. Les deuxième et troisième déclarations définissent lequel AWS les directeurs peuvent gérer et utiliser la clé, respectivement. La quatrième déclaration permet AWS services intégrés à AWS KMS pour utiliser la clé au nom du principal spécifié. Cette déclaration permet AWS services de création et de gestion de subventions. La déclaration utilise un élément de condition qui limite les autorisations sur la KMS clé à celles accordées par AWS services au nom des utilisateurs de votre compte.

Note

Si vos WorkSpaces administrateurs utilisent le AWS Management Console pour créer WorkSpaces des volumes chiffrés, les administrateurs doivent être autorisés à répertorier les alias et les clés de liste (les "kms:ListKeys" autorisations "kms:ListAliases" et). Si vos WorkSpaces administrateurs utilisent uniquement Amazon WorkSpaces API (et non la console), vous pouvez omettre les "kms:ListKeys" autorisations "kms:ListAliases" et.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

La IAM politique d'un utilisateur ou d'un rôle qui chiffre une clé WorkSpace doit inclure les autorisations d'utilisation sur la KMS clé gérée par le client, ainsi que l'accès à WorkSpaces. Pour accorder des WorkSpaces autorisations à un IAM utilisateur ou à un rôle, vous pouvez associer l'exemple de politique suivant à l'IAMutilisateur ou au rôle.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

La IAM politique suivante est requise par l'utilisateur pour utiliser AWS KMS. Il donne à l'utilisateur un accès en lecture seule à la KMS clé ainsi que la possibilité de créer des subventions.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Si vous souhaitez spécifier la KMS clé dans votre politique, utilisez une IAM stratégie similaire à la suivante. Remplacez l'exemple de KMS clé ARN par une clé valide.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Chiffrer un WorkSpace

Pour chiffrer un WorkSpace

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Choisissez Lancer WorkSpaces et effectuez les trois premières étapes.

3. Pour l'étape WorkSpaces de configuration, procédez comme suit :

   1. Sélectionnez les volumes à chiffrer : Volume racine, Volume utilisateur ou les deux volumes.

   2. Pour la clé de chiffrement, sélectionnez un AWS KMS Clé, soit le AWS KMSclé gérée créée par Amazon WorkSpaces ou KMS clé que vous avez créée. La KMS clé que vous sélectionnez doit être symétrique. Amazon WorkSpaces ne prend pas en charge les KMS clés asymétriques.

   3. Choisissez Étape suivante.

4. Choisissez Launch WorkSpaces.

Afficher crypté WorkSpaces

Pour voir quels volumes WorkSpaces et quels volumes ont été chiffrés depuis la WorkSpaces console, choisissez dans la barre WorkSpacesde navigation de gauche. La colonne Volume Encryption indique si le chiffrement WorkSpace est activé ou désactivé pour chacun d'entre eux. Pour voir quels volumes spécifiques ont été chiffrés, développez l' WorkSpace entrée pour voir le champ Volumes chiffrés.