Bagaimana WorkSpaces menggunakan AWS KMS - AWS Key Management Service
Ikhtisar WorkSpaces enkripsi menggunakan AWS KMSWorkSpaces konteks enkripsiMemberikan WorkSpaces izin untuk menggunakan kunci KMS atas nama Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana WorkSpaces menggunakan AWS KMS

Anda dapat menggunakan WorkSpacesuntuk menyediakan desktop berbasis cloud (a WorkSpace) untuk setiap pengguna akhir Anda. Ketika Anda meluncurkan yang baru WorkSpace, Anda dapat memilih untuk mengenkripsi volumenya dan memutuskan mana yang AWS KMS keyakan digunakan untuk enkripsi. Anda dapat memilih Kunci yang dikelola AWSfor WorkSpaces (aws/workspaces) atau kunci yang dikelola pelanggan simetris.

penting

WorkSpaces hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat menggunakan kunci KMS asimetris untuk mengenkripsi volume dalam file. WorkSpaces Untuk bantuan menentukan apakah kunci KMS simetris atau asimetris, lihat. Mengidentifikasi kunci KMS asimetris

Untuk informasi selengkapnya tentang membuat WorkSpaces dengan volume terenkripsi, buka Enkripsi WorkSpace di Panduan Administrasi Amazon WorkSpaces .

Ikhtisar WorkSpaces enkripsi menggunakan AWS KMS

Saat Anda membuat WorkSpaces dengan volume terenkripsi, gunakan WorkSpaces Amazon Elastic Block Store (Amazon EBS) untuk membuat dan mengelola volume tersebut. Kedua layanan menggunakan Anda AWS KMS key untuk bekerja dengan volume terenkripsi. Untuk informasi selengkapnya tentang enkripsi volume EBS, lihat dokumentasi berikut:

Saat Anda meluncurkan WorkSpaces dengan volume terenkripsi, end-to-end prosesnya bekerja seperti ini:

  1. Anda menentukan kunci KMS yang akan digunakan untuk enkripsi serta WorkSpace pengguna dan direktori. Tindakan ini membuat hibah yang memungkinkan WorkSpaces untuk menggunakan kunci KMS Anda hanya untuk ini WorkSpace —yaitu, hanya untuk yang WorkSpace terkait dengan pengguna dan direktori yang ditentukan.

  2. WorkSpaces membuat volume EBS terenkripsi untuk WorkSpace dan menentukan kunci KMS untuk digunakan serta pengguna dan direktori volume (informasi yang sama yang Anda tentukan di). Tahap 1 Tindakan ini membuat hibah yang memungkinkan Amazon EBS menggunakan kunci KMS Anda hanya untuk ini WorkSpace dan volume—yaitu, hanya untuk yang WorkSpace terkait dengan pengguna dan direktori yang ditentukan, dan hanya untuk volume yang ditentukan.

  3. Amazon EBS meminta kunci data volume yang dienkripsi di bawah kunci KMS Anda dan menentukan ID WorkSpace pengguna Sid dan direktori serta ID volume sebagai konteks enkripsi.

  4. AWS KMS membuat kunci data baru, mengenkripsinya di bawah kunci KMS Anda, dan kemudian mengirimkan kunci data terenkripsi ke Amazon EBS.

  5. WorkSpaces menggunakan Amazon EBS untuk melampirkan volume terenkripsi ke Anda. WorkSpace Amazon EBS mengirimkan kunci data terenkripsi AWS KMS dengan Decryptpermintaan dan menentukan WorkSpace pengguna, ID direktorinyaSid, dan ID volume, yang digunakan sebagai konteks enkripsi.

  6. AWS KMS menggunakan kunci KMS Anda untuk mendekripsi kunci data, dan kemudian mengirimkan kunci data plaintext ke Amazon EBS.

  7. Amazon EBS menggunakan kunci data plaintext untuk mengenkripsi semua data pergi ke dan dari volume terenkripsi. Amazon EBS menyimpan kunci data plaintext di memori selama volume dilampirkan ke file. WorkSpace

  8. Amazon EBS menyimpan kunci data terenkripsi (diterima diTahap 4) dengan metadata volume untuk penggunaan di masa mendatang jika Anda me-reboot atau membangun kembali. WorkSpace

  9. Saat Anda menggunakan file AWS Management Console untuk menghapus WorkSpace (atau menggunakan TerminateWorkspacestindakan di WorkSpaces API), WorkSpaces dan Amazon EBS menghentikan hibah yang memungkinkan mereka menggunakan kunci KMS Anda untuk itu. WorkSpace

WorkSpaces konteks enkripsi

WorkSpaces tidak menggunakan Anda AWS KMS key secara langsung untuk operasi kriptografi (seperti Encrypt, Decrypt, GenerateDataKey, dll.), Yang WorkSpaces berarti tidak mengirim permintaan ke AWS KMS yang menyertakan konteks enkripsi. Namun, ketika Amazon EBS meminta kunci data terenkripsi untuk volume terenkripsi WorkSpaces (Tahap 3dalamIkhtisar WorkSpaces enkripsi menggunakan AWS KMS) Anda dan ketika meminta salinan teks biasa dari kunci data tersebut (Tahap 5), itu menyertakan konteks enkripsi dalam permintaan. Konteks enkripsi menyediakan data otentikasi tambahan (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Konteks enkripsi juga ditulis ke file AWS CloudTrail log Anda, yang dapat membantu Anda memahami mengapa yang AWS KMS key diberikan digunakan. Amazon EBS menggunakan hal berikut ini untuk konteks enkripsi:

  • AWS Directory Service Pengguna yang terkait dengan sid WorkSpace

  • ID direktori AWS Directory Service direktori yang terkait dengan WorkSpace

  • ID volume dari volume terenkripsi

Contoh berikut menunjukkan representasi JSON dari konteks enkripsi yang digunakan Amazon EBS:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Memberikan WorkSpaces izin untuk menggunakan kunci KMS atas nama Anda

Anda dapat melindungi data ruang kerja Anda di bawah Kunci yang dikelola AWS for WorkSpaces (aws/workspaces) atau kunci yang dikelola pelanggan Jika Anda menggunakan kunci yang dikelola pelanggan, Anda harus memberikan WorkSpaces izin untuk menggunakan kunci KMS atas nama administrator di akun Anda. WorkSpaces The Kunci yang dikelola AWS for WorkSpaces memiliki izin yang diperlukan secara default.

Untuk menyiapkan kunci terkelola pelanggan Anda untuk digunakan WorkSpaces, gunakan prosedur berikut.

  1. Tambahkan WorkSpaces administrator ke daftar pengguna kunci dalam kebijakan kunci kunci KMS

  2. Berikan izin tambahan WorkSpaces kepada administrator dengan kebijakan IAM

WorkSpaces administrator juga memerlukan izin untuk menggunakannya WorkSpaces. Untuk informasi selengkapnya tentang izin ini, buka Mengontrol Akses ke WorkSpaces Sumber Daya di Panduan WorkSpaces Administrasi Amazon.

Bagian 1: Menambahkan WorkSpaces administrator ke pengguna kunci kunci KMS

Untuk memberi WorkSpaces administrator izin yang mereka butuhkan, Anda dapat menggunakan AWS Management Console atau API. AWS KMS

Untuk menambahkan WorkSpaces administrator sebagai pengguna kunci untuk kunci KMS (konsol)

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Kunci yang dikelola pelanggan.

  4. Pilih ID kunci atau alias kunci terkelola pelanggan pilihan Anda

  5. Pilih tab Kebijakan kunci. Di bawah Pengguna kunci, pilih Tambahkan.

  6. Dalam daftar pengguna dan peran IAM, pilih pengguna dan peran yang sesuai dengan WorkSpaces administrator Anda, lalu pilih Lampirkan.

Untuk menambahkan WorkSpaces administrator sebagai pengguna kunci untuk kunci KMS (API)AWS KMS

  1. Gunakan GetKeyPolicyoperasi untuk mendapatkan kebijakan kunci yang ada, lalu simpan dokumen kebijakan ke file.

  2. Buka dokumen kebijakan di editor teks pilihan Anda. Tambahkan pengguna IAM dan peran yang sesuai dengan WorkSpaces administrator Anda ke pernyataan kebijakan yang memberikan izin kepada pengguna utama. Kemudian simpan filenya.

  3. Gunakan PutKeyPolicyoperasi untuk menerapkan kebijakan kunci ke kunci KMS.

Bagian 2: Memberikan WorkSpaces izin tambahan kepada administrator

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi WorkSpaces data Anda, selain izin di bagian pengguna utama dari kebijakan kunci default, WorkSpaces administrator memerlukan izin untuk membuat hibah pada kunci KMS. Juga, jika mereka menggunakan AWS Management Consoleuntuk membuat WorkSpaces dengan volume terenkripsi, WorkSpaces administrator memerlukan izin untuk membuat daftar alias dan kunci daftar. Untuk informasi tentang membuat dan mengedit kebijakan pengguna IAM, lihat Kebijakan Terkelola dan Kebijakan Selaras dalam Panduan Pengguna IAM.

Untuk memberikan izin ini kepada WorkSpaces administrator Anda, gunakan kebijakan IAM. Tambahkan pernyataan kebijakan yang mirip dengan contoh berikut ke kebijakan IAM untuk setiap WorkSpaces administrator. Ganti contoh kunci KMS ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab () dengan yang valid. Jika WorkSpaces administrator hanya menggunakan WorkSpaces API (bukan konsol), Anda dapat menghilangkan pernyataan kebijakan kedua dengan izin "kms:ListAliases" dan"kms:ListKeys".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}