Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Enkripsi saat istirahat untuk Amazon WorkSpaces Secure Browser
Enkripsi saat istirahat dikonfigurasi secara default dan semua data pelanggan (misalnya, pernyataan kebijakan browser, nama pengguna, logging, atau alamat IP) yang digunakan di Browser WorkSpaces Aman dienkripsi menggunakan. AWS KMS Secara default, WorkSpaces Secure Browser memungkinkan enkripsi dengan kunci yang AWS dimiliki. Anda juga dapat menggunakan Customer Managed Key (CMK) dengan menentukan CMK Anda pada pembuatan sumber daya. Ini saat ini hanya didukung melalui CLI.
Jika Anda memilih untuk meneruskan CMK, kunci yang diberikan harus berupa AWS KMS kunci enkripsi simetris dan Anda, sebagai administrator, harus memiliki izin berikut:
kms:DescribeKey kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Jika Anda menggunakan CMK, Anda harus mengizinkan prinsipal layanan eksternal Browser WorkSpaces Aman untuk mengakses kunci tersebut. Untuk informasi selengkapnya, lihat Contoh Kebijakan Kunci CMK Tercakup dengan aws: SourceAccount
Jika memungkinkan, WorkSpaces Secure Browser akan menggunakan kredensyal Forward Access Sessions (FAS) untuk mengakses kunci Anda. Untuk informasi selengkapnya tentang FAS, lihat Teruskan sesi akses. Ada kasus di mana Browser WorkSpaces Aman mungkin perlu mengakses kunci Anda secara asinkron. Dengan mengizinkan prinsipal layanan eksternal WorkSpaces Secure Browser dalam kebijakan kunci Anda, WorkSpaces Secure Browser akan dapat melakukan serangkaian operasi kriptografi yang diizinkan dengan kunci Anda.
Setelah sumber daya dibuat, kunci tidak dapat lagi dihapus atau diubah. Jika Anda menggunakan CMK, Anda, sebagai administrator yang mengakses sumber daya, harus memiliki izin berikut:
kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Jika Anda melihat kesalahan Akses Ditolak saat menggunakan konsol, kemungkinan pengguna yang mengakses konsol tidak memiliki izin yang diperlukan untuk menggunakan CMK pada kunci yang sedang digunakan.
Contoh kebijakan dan pelingkupan utama untuk WorkSpaces Browser Aman
CMKs memerlukan kebijakan kunci berikut:
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", } ] }
Izin berikut diperlukan oleh Browser WorkSpaces Aman:
-
kms:DescribeKey— Memvalidasi bahwa AWS KMS kunci yang disediakan dikonfigurasi dengan benar. -
kms:GenerateDataKeyWithoutPlaintextdankms:GenerateDataKey— Permintaan AWS KMS kunci untuk membuat kunci data yang digunakan untuk mengenkripsi objek. -
kms:Decrypt— Meminta AWS KMS kunci untuk mendekripsi kunci data terenkripsi. Kunci data ini digunakan untuk mengenkripsi data Anda. -
kms:ReEncryptTodankms:ReEncryptFrom— Meminta AWS KMS kunci untuk mengizinkan enkripsi ulang dari atau ke kunci KMS.
Mencakup izin Browser WorkSpaces Aman pada kunci Anda AWS KMS
Ketika prinsipal dalam pernyataan kebijakan kunci adalah prinsip AWS layanan, kami sangat menyarankan Anda menggunakan kunci kondisi SourceAccount global aws: SourceArn atau aws:, selain Konteks Enkripsi.
Konteks Enkripsi yang digunakan untuk sumber daya akan selalu berisi entri dalam format aws:workspaces-web:RESOURCE_TYPE:id dan ID sumber daya yang sesuai.
Sumber ARN dan nilai akun sumber disertakan dalam konteks otorisasi hanya ketika permintaan datang AWS KMS dari layanan lain. AWS Kombinasi kondisi ini mengimplementasikan izin yang paling tidak memiliki hak istimewa dan menghindari skenario wakil yang berpotensi membingungkan. Untuk informasi selengkapnya, lihat Izin untuk layanan AWS dalam kebijakan utama.
"Condition": { "StringEquals": { "aws:SourceAccount": "AccountId", "kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId" ] }, }
catatan
Sebelum pembuatan sumber daya, kebijakan kunci sebaiknya hanya menggunakan aws:SourceAccount Condition, karena arn sumber daya lengkap belum ada. Setelah pembuatan sumber daya, kebijakan utama dapat diperbarui untuk menyertakan aws:SourceArn dan kms:EncryptionContext Ketentuan.
Contoh kebijakan kunci CMK Cakupan dengan aws:SourceAccount
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>" } } } ] }
Contoh kebijakan kunci CMK cakupan dengan aws:SourceArn dan wildcard sumber daya
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:workspaces-web:<Region>:<AccountId>:*/*" } } } ] }
Contoh kebijakan kunci CMK tercakup dengan aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:workspaces-web:<Region>:<AccountId>:portal/*", "arn:aws:workspaces-web:<Region>:<AccountId>:browserSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:userSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:ipAccessSettings/*" ] } } ] }
catatan
Setelah Anda membuat sumber daya, Anda dapat memperbarui wildcard SourceArn untuk itu. Jika Anda menggunakan Browser WorkSpaces Aman untuk membuat sumber daya baru yang memerlukan akses CMK, pastikan Anda memperbarui kebijakan utamanya.
Contoh kebijakan kunci CMK tercakup dengan dan spesifik sumber daya aws:SourceArnEncryptionContext
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:portal:id": "<portalId>>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:userSetttings:id": "<userSetttingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:browserSettings:id": "<browserSettingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": "<ipAccessSettingsId>" } } }, ] }
catatan
Pastikan Anda membuat pernyataan terpisah saat menyertakan sumber daya spesifik EncryptionContext pada kebijakan kunci yang sama. Untuk informasi selengkapnya, lihat bagian Menggunakan beberapa pasangan konteks enkripsi di bawah kms:EncryptionContext: context-key.
