Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Terenkripsi WorkSpaces
WorkSpaces terintegrasi dengan AWS Key Management Service (AWS KMS). Ini memungkinkan Anda untuk mengenkripsi volume penyimpanan WorkSpaces menggunakan AWS KMS Key. Ketika Anda meluncurkan WorkSpace, Anda dapat mengenkripsi volume root (untuk Microsoft Windows, drive C; untuk Linux,/) dan volume pengguna (untuk Windows, drive D; untuk Linux, /home). Melakukannya memastikan bahwa data yang disimpan saat istirahat, disk I/O ke volume, dan snapshot yang dibuat dari volume semuanya dienkripsi.
catatan
Selain mengenkripsi Anda WorkSpaces, Anda juga dapat menggunakan enkripsi endpoint FIPS di Wilayah AS tertentu. AWS Untuk informasi selengkapnya, lihat Siapkan Amazon WorkSpaces untuk otorisasi FedRAMP atau kepatuhan DoD SRG.
Daftar Isi
Prasyarat
Anda memerlukan AWS KMS kunci sebelum Anda dapat memulai proses enkripsi. Kunci KMS ini dapat berupa Kunci KMS AWS terkelola untuk Amazon WorkSpaces (aws/ruang kerja) atau Kunci KMS yang dikelola pelanggan simetris.
-
AWS Kunci KMS terkelola - Pertama kali Anda meluncurkan yang tidak terenkripsi WorkSpace dari WorkSpaces konsol di Wilayah, Amazon WorkSpaces secara otomatis membuat Kunci KMS AWS terkelola (aws/ruang kerja) di akun Anda. Anda dapat memilih Kunci KMS AWS terkelola ini untuk mengenkripsi volume pengguna dan root Anda. WorkSpace Lihat perinciannya di Ikhtisar WorkSpaces enkripsi menggunakan AWS KMS.
Anda dapat melihat Kunci KMS AWS terkelola ini, termasuk kebijakan dan hibah, dan dapat melacak penggunaannya di AWS CloudTrail log, tetapi Anda tidak dapat menggunakan atau mengelola Kunci KMS ini. Amazon WorkSpaces membuat dan mengelola Kunci KMS ini. Hanya Amazon yang WorkSpaces dapat menggunakan Kunci KMS ini, dan WorkSpaces dapat menggunakannya hanya untuk mengenkripsi WorkSpaces sumber daya di akun Anda.
AWS KMS Key yang dikelola, termasuk yang WorkSpaces didukung Amazon, diputar setiap tiga tahun. Untuk detailnya, lihat AWS KMS Kunci Berputar di Panduan AWS Key Management Service Pengembang.
-
Kunci KMS yang dikelola pelanggan - Atau, Anda dapat memilih KMS Key yang dikelola pelanggan simetris yang Anda buat menggunakan. AWS KMS Anda dapat melihat, menggunakan, dan mengelola Kunci KMS ini, termasuk menyetel kebijakannya. Untuk informasi selengkapnya tentang membuat Kunci KMS, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang. Untuk informasi selengkapnya tentang membuat Kunci KMS menggunakan AWS KMS API, lihat Bekerja dengan Kunci di Panduan AWS Key Management Service Pengembang.
Kunci KMS yang dikelola pelanggan tidak diputar secara otomatis kecuali Anda memutuskan untuk mengaktifkan rotasi kunci otomatis. Untuk detailnya, lihat Rotating AWS KMS Keys di Panduan AWS Key Management Service Pengembang.
penting
Ketika Anda memutar KMS Keys secara manual, Anda harus menjaga KMS Key asli dan KMS Key baru diaktifkan sehingga AWS KMS dapat mendekripsi bahwa KMS Key asli WorkSpaces dienkripsi. Jika Anda tidak ingin mengaktifkan Kunci KMS asli, Anda harus membuat ulang WorkSpaces dan mengenkripsi mereka menggunakan Kunci KMS baru.
Anda harus memenuhi persyaratan berikut untuk menggunakan AWS KMS Kunci untuk mengenkripsi: WorkSpaces
-
Kunci KMS harus simetris. Amazon WorkSpaces tidak mendukung KMS Keys asimetris. Untuk informasi tentang membedakan antara Kunci KMS simetris dan asimetris, lihat Mengidentifikasi Kunci KMS Simetris dan Asimetris di Panduan Pengembang.AWS Key Management Service
-
Kunci KMS harus diaktifkan. Untuk menentukan apakah Kunci KMS diaktifkan, lihat Menampilkan Rincian Kunci KMS di Panduan Pengembang AWS Key Management Service .
-
Anda harus memiliki izin dan kebijakan yang benar terkait dengan Kunci KMS. Untuk informasi selengkapnya, lihat Bagian 2: Berikan izin tambahan WorkSpaces kepada administrator menggunakan kebijakan IAM.
Batas
-
Anda tidak dapat mengenkripsi yang sudah ada WorkSpace. Anda harus mengenkripsi WorkSpace ketika Anda meluncurkannya.
-
Membuat gambar kustom dari terenkripsi tidak WorkSpace didukung.
-
Menonaktifkan enkripsi untuk terenkripsi saat WorkSpace ini tidak didukung.
-
WorkSpaces diluncurkan dengan enkripsi volume root diaktifkan mungkin memakan waktu hingga satu jam untuk penyediaan.
-
Untuk me-reboot atau membangun kembali terenkripsi WorkSpace, pertama-tama pastikan bahwa AWS KMS Kunci diaktifkan; jika tidak, menjadi tidak dapat digunakan. WorkSpace Untuk menentukan apakah Kunci KMS diaktifkan, lihat Menampilkan Rincian Kunci KMS di Panduan Pengembang AWS Key Management Service .
Ikhtisar WorkSpaces enkripsi menggunakan AWS KMS
Saat Anda membuat WorkSpaces dengan volume terenkripsi, gunakan WorkSpaces Amazon Elastic Block Store (Amazon EBS) untuk membuat dan mengelola volume tersebut. Amazon EBS mengenkripsi volume Anda dengan kunci data menggunakan algoritme AES-256 standar industri. Baik Amazon EBS dan Amazon WorkSpaces menggunakan Kunci KMS Anda untuk bekerja dengan volume terenkripsi. Untuk informasi selengkapnya tentang enkripsi volume EBS, lihat Enkripsi Amazon EBS di Panduan Pengguna Amazon EC2.
Saat Anda meluncurkan WorkSpaces dengan volume terenkripsi, end-to-end prosesnya bekerja seperti ini:
-
Anda menentukan Kunci KMS yang akan digunakan untuk enkripsi serta pengguna dan direktori untuk. WorkSpace Tindakan ini membuat hibah yang memungkinkan WorkSpaces untuk menggunakan Kunci KMS Anda hanya untuk ini WorkSpace —yaitu, hanya untuk yang WorkSpace terkait dengan pengguna dan direktori yang ditentukan.
-
WorkSpaces membuat volume EBS terenkripsi untuk WorkSpace dan menentukan Kunci KMS untuk digunakan serta pengguna dan direktori volume. Tindakan ini membuat hibah yang memungkinkan Amazon EBS menggunakan Kunci KMS Anda hanya untuk ini WorkSpace dan volume—yaitu, hanya untuk yang WorkSpace terkait dengan pengguna dan direktori yang ditentukan, dan hanya untuk volume yang ditentukan.
-
AWS KMS membuat kunci data baru, mengenkripsinya di bawah Kunci KMS Anda, dan kemudian mengirimkan kunci data terenkripsi ke Amazon EBS.
-
WorkSpaces menggunakan Amazon EBS untuk melampirkan volume terenkripsi ke Anda. WorkSpace Amazon EBS mengirimkan kunci data terenkripsi AWS KMS dengan
Decryptpermintaan dan menentukan SID WorkSpace pengguna, ID direktori, dan ID volume, yang digunakan sebagai konteks enkripsi. -
AWS KMS menggunakan Kunci KMS Anda untuk mendekripsi kunci data, dan kemudian mengirimkan kunci data teks biasa ke Amazon EBS.
-
Amazon EBS menggunakan kunci data teks biasa untuk mengenkripsi semua data yang masuk ke dan dari volume terenkripsi. Amazon EBS menyimpan kunci data teks biasa di memori selama volume dilampirkan ke file. WorkSpace
-
Amazon EBS menyimpan kunci data terenkripsi (diterima diTahap 4) dengan metadata volume untuk penggunaan di masa mendatang jika Anda me-reboot atau membangun kembali. WorkSpace
-
Saat Anda menggunakan file AWS Management Console untuk menghapus WorkSpace (atau menggunakan
TerminateWorkspacestindakan di WorkSpaces API), WorkSpaces dan Amazon EBS menghentikan hibah yang memungkinkan mereka menggunakan Kunci KMS Anda untuk itu. WorkSpace
WorkSpaces konteks enkripsi
WorkSpaces tidak menggunakan Kunci KMS Anda secara langsung untuk operasi kriptografi (seperti Encrypt,, DecryptGenerateDataKey, dll.), Yang WorkSpaces berarti tidak mengirim permintaan ke AWS KMS yang menyertakan konteks enkripsi. Namun, ketika Amazon EBS meminta kunci data terenkripsi untuk volume terenkripsi WorkSpaces (Tahap 3dalamIkhtisar WorkSpaces enkripsi menggunakan AWS KMS) Anda dan ketika meminta salinan teks biasa dari kunci data tersebut (Tahap 5), itu menyertakan konteks enkripsi dalam permintaan.
Konteks enkripsi menyediakan data otentikasi tambahan (AAD) yang AWS KMS digunakan untuk memastikan integritas data. Konteks enkripsi juga ditulis ke file AWS CloudTrail log Anda, yang dapat membantu Anda memahami mengapa Kunci KMS yang diberikan digunakan. Amazon EBS menggunakan hal berikut ini untuk konteks enkripsi:
-
Pengidentifikasi keamanan (SID) dari pengguna Active Directory yang terkait dengan WorkSpace
-
ID direktori AWS Directory Service direktori yang terkait dengan WorkSpace
-
ID volume Amazon EBS dari volume terenkripsi
Contoh berikut menunjukkan representasi JSON dari konteks enkripsi yang digunakan Amazon EBS:
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}Berikan WorkSpaces izin untuk menggunakan Kunci KMS atas nama Anda
Anda dapat melindungi WorkSpace data Anda di bawah Kunci KMS AWS terkelola untuk WorkSpaces (aws/ruang kerja) atau Kunci KMS yang dikelola pelanggan. Jika Anda menggunakan Kunci KMS yang dikelola pelanggan, Anda harus memberikan WorkSpaces izin untuk menggunakan Kunci KMS atas nama WorkSpaces administrator di akun Anda. Kunci KMS AWS terkelola untuk WorkSpaces memiliki izin yang diperlukan secara default.
Untuk mempersiapkan KMS Key yang dikelola pelanggan Anda untuk digunakan WorkSpaces, gunakan prosedur berikut.
WorkSpaces Administrator Anda juga memerlukan izin untuk menggunakannya WorkSpaces. Untuk informasi selengkapnya tentang izin ini, buka Identitas dan manajemen akses untuk WorkSpaces.
Bagian 1: Tambahkan WorkSpaces administrator sebagai pengguna utama
Untuk memberi WorkSpaces administrator izin yang mereka butuhkan, Anda dapat menggunakan AWS Management Console atau API. AWS KMS
Untuk menambahkan WorkSpaces administrator sebagai pengguna kunci untuk Kunci KMS (konsol)
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih ID kunci atau alias KMS Key yang dikelola pelanggan pilihan Anda.
-
Pilih tab Kebijakan kunci. Di bawah Pengguna kunci, pilih Tambahkan.
-
Dalam daftar pengguna dan peran IAM, pilih pengguna dan peran yang sesuai dengan WorkSpaces administrator Anda, lalu pilih Tambah.
Untuk menambahkan WorkSpaces administrator sebagai pengguna kunci untuk Kunci KMS (API)
-
Gunakan operasi GetKeyKebijakan untuk mendapatkan kebijakan kunci yang ada, lalu simpan dokumen kebijakan ke file.
-
Buka dokumen kebijakan di editor teks pilihan Anda. Tambahkan pengguna IAM dan peran yang sesuai dengan WorkSpaces administrator Anda ke pernyataan kebijakan yang memberikan izin kepada pengguna utama. Kemudian simpan filenya.
-
Gunakan operasi PutKeyKebijakan untuk menerapkan kebijakan kunci ke Kunci KMS.
Bagian 2: Berikan izin tambahan WorkSpaces kepada administrator menggunakan kebijakan IAM
Jika Anda memilih Kunci KMS yang dikelola pelanggan untuk digunakan untuk enkripsi, Anda harus menetapkan kebijakan IAM yang WorkSpaces memungkinkan Amazon menggunakan Kunci KMS atas nama pengguna IAM di akun Anda yang meluncurkan terenkripsi. WorkSpaces Pengguna itu juga memerlukan izin untuk menggunakan Amazon WorkSpaces. Untuk informasi selengkapnya tentang membuat dan mengedit kebijakan pengguna IAM, lihat Mengelola Kebijakan IAM dalam Panduan Pengguna IAM dan Identitas dan manajemen akses untuk WorkSpaces.
WorkSpaces enkripsi membutuhkan akses terbatas ke Kunci KMS. Berikut ini adalah contoh kebijakan kunci yang dapat Anda gunakan. Kebijakan ini memisahkan prinsipal yang dapat mengelola AWS KMS Kunci dari mereka yang dapat menggunakannya. Sebelum Anda menggunakan kebijakan kunci contoh ini, ganti contoh akun ID dan nama pengguna IAM dengan nilai aktual dari akun Anda.
Pernyataan pertama cocok dengan kebijakan AWS KMS kunci default. Ini memberikan izin akun Anda untuk menggunakan kebijakan IAM untuk mengontrol akses ke Kunci KMS. Pernyataan kedua dan ketiga menentukan AWS prinsip mana yang dapat mengelola dan menggunakan kunci, masing-masing. Pernyataan keempat memungkinkan AWS layanan yang terintegrasi dengan AWS KMS untuk menggunakan kunci atas nama kepala sekolah yang ditentukan. Pernyataan ini mengaktifkan layanan AWS untuk membuat dan mengelola pemberian. Pernyataan menggunakan elemen kondisi yang membatasi hibah pada Kunci KMS untuk yang dibuat oleh AWS layanan atas nama pengguna di akun Anda.
catatan
Jika WorkSpaces administrator Anda menggunakan AWS Management Console untuk membuat WorkSpaces dengan volume terenkripsi, administrator memerlukan izin untuk membuat daftar alias dan kunci daftar (dan izin). "kms:ListAliases" "kms:ListKeys" Jika WorkSpaces administrator hanya menggunakan Amazon WorkSpaces API (bukan konsol), Anda dapat menghilangkan izin "kms:ListAliases" dan "kms:ListKeys" izin.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }
Kebijakan IAM untuk pengguna atau peran yang mengenkripsi WorkSpace harus menyertakan izin penggunaan pada Kunci KMS yang dikelola pelanggan, serta akses ke. WorkSpaces Untuk memberikan WorkSpaces izin pengguna atau peran IAM, Anda dapat melampirkan kebijakan contoh berikut ke pengguna atau peran IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }
Kebijakan IAM berikut ini diperlukan oleh pengguna untuk menggunakan AWS KMS. Ini memberi pengguna akses hanya-baca ke Kunci KMS bersama dengan kemampuan untuk membuat hibah.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }
Jika Anda ingin menentukan Kunci KMS dalam kebijakan Anda, gunakan kebijakan IAM yang serupa dengan yang berikut ini. Ganti contoh KMS Key ARN dengan yang valid.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
Enkripsi WorkSpace
Untuk mengenkripsi WorkSpace
Buka WorkSpaces konsol di https://console.aws.amazon.com/workspaces/
. -
Pilih Luncurkan WorkSpaces dan selesaikan tiga langkah pertama.
-
Untuk langkah WorkSpaces Konfigurasi, lakukan hal berikut:
-
Pilih volume untuk mengenkripsi: Volume Root, Volume Pengguna, atau kedua volume.
-
Untuk Kunci Enkripsi, pilih AWS KMS Kunci, baik Kunci KMS AWS terkelola yang dibuat oleh Amazon WorkSpaces atau Kunci KMS yang Anda buat. Kunci KMS yang Anda pilih harus simetris. Amazon WorkSpaces tidak mendukung KMS Keys asimetris.
-
Pilih Langkah Selanjutnya.
-
-
Pilih Luncurkan WorkSpaces.
Lihat terenkripsi WorkSpaces
Untuk melihat volume WorkSpaces dan mana yang telah dienkripsi dari WorkSpaces konsol, pilih WorkSpacesdari bilah navigasi di sebelah kiri. Kolom Enkripsi Volume menunjukkan apakah masing-masing WorkSpace enkripsi diaktifkan atau dinonaktifkan. Untuk melihat volume spesifik mana yang telah dienkripsi, perluas WorkSpace entri untuk melihat bidang Volume Terenkripsi.
