Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi data saat istirahat untuk Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client menyediakan enkripsi secara default untuk melindungi data pelanggan sensitif saat istirahat dengan menggunakan kunci enkripsi yang AWS dimiliki.
AWS kunci yang dimiliki - Amazon WorkSpaces Thin Client menggunakan kunci ini secara default untuk secara otomatis mengenkripsi data yang dapat diidentifikasi secara pribadi. Anda tidak dapat melihat, mengelola, atau menggunakan kunci yang AWS dimiliki atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi selengkapnya, lihat kunci yang AWS dimiliki di Panduan Pengembang Layanan Manajemen AWS Kunci.
Enkripsi data saat istirahat secara default membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.
Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif, Anda dapat menambahkan lapisan enkripsi kedua di atas kunci enkripsi milik AWS yang ada dengan memilih kunci yang dikelola pelanggan saat Anda membuat Lingkungan Klien Tipis:
Kunci terkelola pelanggan — Amazon WorkSpaces Thin Client mendukung penggunaan kunci terkelola pelanggan simetris yang Anda buat, miliki, dan kelola untuk menambahkan enkripsi lapisan kedua pada enkripsi AWS milik yang ada. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti berikut:
Menetapkan dan memelihara kebijakan utama
Menetapkan dan memelihara kebijakan IAM
Mengaktifkan dan menonaktifkan kebijakan utama
Memutar bahan kriptografi kunci
Menambahkan tanda
Membuat alias kunci
Kunci penjadwalan untuk penghapusan
Untuk informasi selengkapnya, lihat kunci terkelola pelanggan di Panduan Pengembang AWS Key Management Service.
Tabel berikut merangkum bagaimana Amazon WorkSpaces Thin Client mengenkripsi data yang dapat diidentifikasi secara pribadi.
| Tipe data | Enkripsi kunci yang dimiliki AWS | Enkripsi kunci yang dikelola pelanggan (Opsional) |
|---|---|---|
|
Nama lingkungan WorkSpaces Nama Lingkungan Klien Tipis |
Diaktifkan |
Diaktifkan |
|
Nama perangkat WorkSpaces Nama Perangkat Klien Tipis |
Diaktifkan |
Diaktifkan |
|
Pengaturan perangkat WorkSpaces Pengaturan Perangkat Klien Tipis |
Diaktifkan |
Diaktifkan |
|
Tag pembuatan perangkat WorkSpaces Tag pembuatan perangkat Thin Client Environment |
Diaktifkan |
Diaktifkan |
catatan
Amazon WorkSpaces Thin Client secara otomatis mengaktifkan enkripsi saat istirahat dengan menggunakan kunci yang AWS dimiliki untuk melindungi data yang dapat diidentifikasi secara pribadi tanpa biaya.
Namun, biaya AWS KMS berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat harga AWS Key Management Service
Bagaimana Amazon WorkSpaces Thin Client menggunakan AWS KMS
Amazon WorkSpaces Thin Client memerlukan kebijakan utama agar Anda dapat menggunakan kunci yang dikelola pelanggan.
Amazon WorkSpaces Thin Client memerlukan kebijakan utama untuk menggunakan kunci terkelola pelanggan Anda untuk operasi internal berikut:
Kirim
GenerateDataKeypermintaan ke AWS KMS untuk mengenkripsi data.Kirim
Decryptpermintaan ke AWS KMS untuk mendekripsi data terenkripsi.
Anda dapat menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Amazon WorkSpaces Thin Client tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba mendapatkan detail lingkungan yang tidak dapat diakses oleh WorkSpaces Thin Client, maka operasi mengembalikan AccessDeniedException kesalahan. Selain itu, perangkat WorkSpaces Thin Client tidak akan dapat menggunakan WorkSpaces Thin Client Environment.
Buat kunci terkelola pelanggan
Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console atau operasi AWS KMS API.
Untuk membuat kunci terkelola pelanggan simetris
Ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan Pengembang Layanan Manajemen AWS Kunci.
Kebijakan kunci
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan Pengembang Layanan Manajemen AWS Kunci.
Untuk menggunakan kunci terkelola pelanggan Anda dengan sumber daya Amazon WorkSpaces Thin Client Anda, operasi API berikut harus diizinkan dalam kebijakan kunci:
kms:DescribeKey— Memberikan detail kunci yang dikelola pelanggan sehingga Amazon WorkSpaces Thin Client dapat memvalidasi kuncinya.kms:GenerateDataKey— Memungkinkan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data.kms:Decrypt— Memungkinkan menggunakan kunci yang dikelola pelanggan untuk mendekripsi data.
Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Amazon WorkSpaces Thin Client:
{ "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon WorkSpaces Thin Client", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "thinclient.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow Amazon WorkSpaces Thin Client service to encrypt and decrypt data", "Effect": "Allow", "Principal": {"Service": "thinclient.amazonaws.com"}, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:thinclient:region:111122223333:*", "kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] }
Untuk informasi selengkapnya tentang menentukan izin dalam kebijakan, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.
Untuk informasi selengkapnya tentang akses kunci pemecahan masalah, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.
Menentukan kunci yang dikelola pelanggan untuk WorkSpaces Thin Client
Anda dapat menentukan kunci yang dikelola pelanggan sebagai enkripsi lapisan kedua untuk sumber daya berikut:
-
WorkSpaces Lingkungan Klien Tipis
Saat membuat Lingkungan, Anda dapat menentukan kunci data dengan menyediakankmsKeyArn, yang digunakan Amazon WorkSpaces Thin Client untuk mengenkripsi data pribadi yang dapat diidentifikasi.
kmsKeyArn— Pengidentifikasi kunci untuk kunci yang dikelola pelanggan AWS KMS. Berikan ARN kunci.
Ketika perangkat WorkSpaces Thin Client baru ditambahkan ke Lingkungan Klien WorkSpaces Tipis yang dienkripsi dengan kunci yang dikelola pelanggan, Perangkat Klien WorkSpaces Tipis mewarisi pengaturan kunci yang dikelola pelanggan dari Lingkungan Klien WorkSpaces Tipis.
Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
AWS KMS menggunakan konteks enkripsi sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi. Saat Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, sertakan konteks enkripsi yang sama dalam permintaan.
Konteks enkripsi Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client menggunakan konteks enkripsi yang sama di semua operasi kriptografi AWS KMS, di mana kuncinya adalah aws:thinclient:arn dan nilainya adalah Nama Sumber Daya Amazon (ARN).
Berikut ini adalah konteks enkripsi Lingkungan:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID" }
Berikut ini adalah konteks enkripsi Perangkat:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:device/device_ID" }
Menggunakan konteks enkripsi untuk pemantauan
Bila Anda menggunakan kunci terkelola pelanggan simetris untuk mengenkripsi WorkSpaces Thin Client Environment dan data Perangkat, Anda juga dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi juga muncul di log yang dihasilkan oleh AWS CloudTrail atau Amazon CloudWatch Logs.
Menggunakan konteks enkripsi untuk mengontrol akses ke kunci terkelola pelanggan Anda
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM sebagai kondisi untuk mengontrol akses ke kunci terkelola pelanggan simetris Anda.
Berikut ini adalah contoh pernyataan kebijakan kunci untuk memberikan akses ke kunci yang dikelola pelanggan untuk konteks enkripsi tertentu. Kondisi dalam pernyataan kebijakan ini mengharuskan kms:Decrypt panggilan memiliki batasan konteks enkripsi yang menentukan konteks enkripsi.
{ "Sid": "Enable Decrypt to access Thin Client Environment", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"}, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": {"kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID"} } }
Memantau kunci enkripsi Anda untuk Amazon WorkSpaces Thin Client
Saat Anda menggunakan kunci terkelola pelanggan AWS KMS dengan sumber daya Amazon WorkSpaces Thin Client, Anda dapat menggunakan AWS CloudTrail atau Amazon CloudWatch Logs untuk melacak permintaan yang dikirimkan Amazon WorkSpaces Thin Client ke AWS KMS.
Contoh berikut adalah AWS CloudTrail peristiwa untukDescribeKey,, GenerateDataKeyDecrypt, untuk memantau operasi KMS yang dipanggil oleh Amazon WorkSpaces Thin Client untuk mengakses data yang dienkripsi oleh kunci terkelola pelanggan Anda:
Dalam contoh berikut, Anda dapat melihat encryptionContext untuk Lingkungan Klien WorkSpaces Tipis. CloudTrail Peristiwa serupa direkam untuk Perangkat Klien WorkSpaces Tipis.
Pelajari Selengkapnya
Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat:
Untuk informasi selengkapnya tentang konsep dasar AWS Key Management Service, lihat Panduan Pengembang Layanan Manajemen AWS Utama.
Untuk informasi selengkapnya tentang praktik terbaik Keamanan untuk AWS Key Management Service, lihat Panduan Pengembang Layanan Manajemen AWS Kunci.
