Batasi WorkSpaces akses ke perangkat tepercaya - Amazon WorkSpaces
Langkah 1: Buat sertifikatLangkah 2: Deploy sertifikat klien ke perangkat tepercayaLangkah 3: Konfigurasikan batasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Batasi WorkSpaces akses ke perangkat tepercaya

Secara default, pengguna dapat mengaksesnya WorkSpaces dari perangkat apa pun yang didukung yang terhubung ke internet. Jika perusahaan membatasi akses data perusahaan ke perangkat tepercaya (juga dikenal sebagai perangkat terkelola), Anda dapat membatasi WorkSpaces akses ke perangkat tepercaya dengan sertifikat yang valid.

Saat Anda mengaktifkan fitur ini, WorkSpaces gunakan otentikasi berbasis sertifikat untuk menentukan apakah perangkat dipercaya. Jika aplikasi WorkSpaces klien tidak dapat memverifikasi bahwa perangkat dipercaya, ia memblokir upaya untuk masuk atau menyambung kembali dari perangkat.

Untuk setiap direktori, Anda dapat mengimpor hingga dua sertifikat root. Jika Anda mengimpor dua root WorkSpaces certificate, berikan keduanya ke klien dan klien menemukan sertifikat pencocokan valid pertama yang menghubungkan ke salah satu root certificate.

Klien yang didukung

  • Android, berjalan di Android atau sistem Chrome OS yang kompatibel dengan Android

  • macOS

  • Windows

penting

Fitur ini tidak didukung oleh klien berikut:

  • WorkSpaces aplikasi klien untuk Linux atau iPad

  • Klien pihak ketiga, termasuk namun tidak terbatas pada, Teradici PCoIP, klien RDP, dan aplikasi desktop jarak jauh.

Langkah 1: Buat sertifikat

Fitur ini memerlukan dua tipe sertifikat: sertifikat root yang dihasilkan oleh Otoritas Sertifikasi (CA) internal dan sertifikat klien yang dirangkai hingga sertifikat root.

Persyaratan

  • Sertifikat root harus berupa file sertifikat yang disandikan Base64 dalam format CRT, CERT, atau PEM.

  • Sertifikat root harus memenuhi pola ekspresi reguler berikut, yang berarti bahwa setiap baris yang dikodekan, di samping yang terakhir, harus persis 64 karakter:. -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • Sertifikat perangkat harus menyertakan Nama Umum.

  • Sertifikat perangkat harus menyertakan ekstensi berikut:Key Usage: Digital Signature, danEnhanced Key Usage: Client Authentication.

  • Semua sertifikat dalam rantai dari sertifikat perangkat ke Otoritas Sertifikat root tepercaya harus diinstal pada perangkat klien.

  • Panjang maksimum rantai sertifikat yang didukung adalah 4.

  • WorkSpaces Saat ini tidak mendukung mekanisme pencabutan perangkat, seperti daftar pencabutan sertifikat (CRL) atau Protokol Status Sertifikat Online (OCSP), untuk sertifikat klien.

  • Gunakan algoritme enkripsi yang kuat. Kami merekomendasikan SHA256 dengan RSA, SHA256 dengan ECDSA, SHA384 dengan ECDSA, atau SHA512 dengan ECDSA.

  • Untuk macOS, jika sertifikat perangkat ada di gantungan kunci sistem, kami sarankan Anda mengotorisasi aplikasi WorkSpaces klien untuk mengakses sertifikat tersebut. Jika tidak, pengguna harus memasukkan kredensial rantai kunci saat mereka masuk atau menghubungkan kembali.

Langkah 2: Deploy sertifikat klien ke perangkat tepercaya

Pada perangkat tepercaya untuk pengguna Anda, Anda harus menginstal bundel sertifikat yang mencakup semua sertifikat dalam rantai dari sertifikat perangkat ke Otoritas Sertifikat root tepercaya. Anda dapat menggunakan solusi pilihan Anda untuk menginstal sertifikat ke armada perangkat klien Anda; misalnya, Manajer Konfigurasi Pusat Sistem (SCCM) atau manajemen perangkat seluler (MDM). Perhatikan bahwa SCCM dan MDM secara opsional dapat melakukan penilaian postur keamanan untuk menentukan apakah perangkat memenuhi kebijakan perusahaan Anda untuk mengakses. WorkSpaces

Aplikasi WorkSpaces klien mencari sertifikat sebagai berikut:

  • Android - Buka Pengaturan, pilih Keamanan & lokasi, Kredensial, lalu pilih Instal dari kartu SD.

  • Sistem Chrome OS yang kompatibel dengan Android - Buka pengaturan Android dan pilih Keamanan & lokasi, Kredensial, lalu pilih Instal dari kartu SD.

  • macOS - Mencari rantai kunci untuk sertifikat klien.

  • Windows - Mencari pengguna dan penyimpanan sertifikat root untuk sertifikat klien.

Langkah 3: Konfigurasikan batasan

Setelah Anda men-deploy sertifikat klien pada perangkat tepercaya, Anda dapat mengaktifkan akses terbatas di tingkat direktori. Ini mengharuskan aplikasi WorkSpaces klien untuk memvalidasi sertifikat pada perangkat sebelum mengizinkan pengguna untuk masuk ke file. WorkSpace

Untuk mengonfigurasi pembatasan

  1. Buka WorkSpaces konsol di https://console.aws.amazon.com/workspaces/.

  2. Di panel navigasi, pilih Direktori.

  3. Pilih direktori, lalu pilih Tindakan , Perbarui Detail.

  4. Perluas Opsi Kontrol Akses .

  5. Pilih jenis perangkat di bawah Untuk setiap jenis perangkat, tentukan perangkat mana yang dapat diakses WorkSpaces.

  6. Impor hingga dua sertifikat root. Untuk setiap sertifikat root, lakukan hal berikut:

    1. Pilih Impor.

    2. Salin isi sertifikat ke formulir.

    3. Pilih Impor.

  7. (Opsional) Tentukan apakah jenis perangkat lain memiliki akses ke WorkSpaces.

    1. Gulir ke bawah ke bagian Platform Lain. Secara default, klien WorkSpaces Linux dinonaktifkan, dan pengguna dapat mengaksesnya WorkSpaces dari perangkat iOS, perangkat Android, Akses Web, Chromebook, dan perangkat klien nol PCoIP.

    2. Pilih tipe perangkat untuk mengaktifkan dan menghapus tipe perangkat yang akan dinonaktifkan.

    3. Untuk memblokir akses dari semua tipe perangkat yang dipilih, pilih Blok .

  8. Pilih Perbarui dan Keluar.