Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati a riposo per Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando chiavi AWS di crittografia proprietarie.
AWS chiavi di proprietà: Amazon WorkSpaces Thin Client utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non è possibile visualizzare, gestire o utilizzare chiavi AWS di proprietà o controllarne l'utilizzo. Tuttavia, non è necessario effettuare alcuna operazione o modificare programmi per proteggere le chiavi che eseguono la crittografia dei dati. Per ulteriori informazioni, consulta Chiavi di proprietà di AWS nella Guida per gli sviluppatori di AWS Key Management Service.
La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.
Sebbene non sia possibile disabilitare questo livello di crittografia o selezionare un tipo di crittografia alternativo, puoi aggiungere un secondo livello di crittografia alle chiavi di crittografia esistenti di proprietà di AWS scegliendo una chiave gestita dal cliente quando crei il tuo ambiente Thin Client:
Chiavi gestite dal cliente: Amazon WorkSpaces Thin Client supporta l'uso di una chiave simmetrica gestita dal cliente che puoi creare, possedere e gestire per aggiungere un secondo livello di crittografia alla crittografia di AWS proprietà esistente. Poiché hai il pieno controllo di questo livello di crittografia, puoi eseguire attività come le seguenti:
Stabilire e mantenere le policy delle chiavi
Stabilire e mantenere le politiche IAM
Abilitare e disabilitare le policy delle chiavi
Ruotare i materiali crittografici delle chiavi
Aggiungere tag
Creare alias delle chiavi
Pianificare l'eliminazione delle chiavi
Per ulteriori informazioni, consulta Chiave gestita dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.
La tabella seguente riassume il modo in cui Amazon WorkSpaces Thin Client crittografa i dati di identificazione personale.
| Tipo di dati | Crittografia con chiavi di proprietà di AWS | Crittografia con chiavi gestite dal cliente (opzionale) |
|---|---|---|
|
Nome ambiente WorkSpaces Nome dell'ambiente Thin Client |
Abilitato |
Abilitato |
|
Nome dispositivo WorkSpaces Nome del dispositivo Thin Client |
Abilitato |
Abilitato |
|
Attività dell'utente WorkSpaces Attività degli utenti Thin Client |
Abilitato |
Abilitato |
|
Impostazioni del dispositivo WorkSpaces Impostazioni del dispositivo Thin Client |
Abilitato |
Abilitato |
|
Tag di creazione del dispositivo WorkSpaces Tag di creazione dei dispositivi Thin Client Environment |
Abilitato |
Abilitato |
Nota
Amazon WorkSpaces Thin Client abilita automaticamente la crittografia a riposo utilizzando chiavi AWS proprietarie per proteggere gratuitamente i dati di identificazione personale.
Tuttavia, si applicano le tariffe AWS KMS per l'utilizzo di una chiave gestita dal cliente. Per informazioni sui prezzi, consulta Prezzi di AWS Key Management Service
In che modo Amazon WorkSpaces Thin Client utilizza AWS KMS
Amazon WorkSpaces Thin Client richiede una policy chiave per poter utilizzare la chiave gestita dal cliente.
Amazon WorkSpaces Thin Client richiede la policy chiave per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:
Invia
GenerateDataKeyrichieste a AWS KMS per crittografare i dati.Invia
Decryptrichieste a AWS KMS per decrittografare i dati crittografati.
Puoi rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon WorkSpaces Thin Client non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influisce sulle operazioni che dipendono da tali dati. Ad esempio, se si tenta di ottenere dettagli ambientali a cui WorkSpaces Thin Client non può accedere, l'operazione restituisce un AccessDeniedException errore. Inoltre, il dispositivo WorkSpaces Thin Client non sarà in grado di utilizzare un ambiente WorkSpaces Thin Client.
Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando la Console di gestione AWS o le operazioni dell'API AWS KMS.
Per creare una chiave simmetrica gestita dal cliente
Segui la procedura riportata in Creazione di una chiave simmetrica gestita dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.
Policy della chiave
Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service.
Per utilizzare la chiave gestita dal cliente con le tue risorse Amazon WorkSpaces Thin Client, nella policy chiave devono essere consentite le seguenti operazioni API:
kms:DescribeKey— Fornisce i dettagli chiave gestiti dal cliente in modo che Amazon WorkSpaces Thin Client possa convalidare la chiave.kms:GenerateDataKey: consente di utilizzare la chiave gestita dal cliente per crittografare i dati.kms:Decrypt: consente di utilizzare la chiave gestita dal cliente per decrittografare i dati.
Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon WorkSpaces Thin Client:
{ "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon WorkSpaces Thin Client", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "thinclient.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow Amazon WorkSpaces Thin Client service to encrypt and decrypt data", "Effect": "Allow", "Principal": {"Service": "thinclient.amazonaws.com"}, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:thinclient:region:111122223333:*", "kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] }
Per ulteriori informazioni sulla specifica delle autorizzazioni in una policy, consulta la Guida per gli sviluppatori di AWS Key Management Service.
Per ulteriori informazioni sulla risoluzione dei problemi di accesso alle chiavi, consulta la Guida per gli sviluppatori di AWS Key Management Service.
Specificazione di una chiave gestita dal cliente per WorkSpaces Thin Client
È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:
-
WorkSpaces Ambiente Thin Client
Quando crei un ambiente, puoi specificare la chiave dati fornendo unkmsKeyArn, che Amazon WorkSpaces Thin Client utilizza per crittografare i dati personali identificabili.
kmsKeyArn— Un identificatore chiave per una chiave AWS KMS gestita dal cliente. Fornire un ARN della chiave.
Quando un nuovo dispositivo WorkSpaces Thin Client viene aggiunto all'ambiente WorkSpaces Thin Client crittografato con una chiave gestita dal cliente, il dispositivo WorkSpaces Thin Client eredita l'impostazione della chiave gestita dal cliente dall'ambiente WorkSpaces Thin Client.
Un contesto di crittografia è un insieme opzionale di coppie chiave-valore che contiene informazioni contestuali aggiuntive sui dati.
AWS KMS utilizza il contesto di crittografia come dati autenticati aggiuntivi per supportare la crittografia autenticata. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, includi lo stesso contesto di crittografia nella richiesta.
Contesto di crittografia Amazon WorkSpaces Thin Client
Amazon WorkSpaces Thin Client utilizza lo stesso contesto di crittografia in tutte le operazioni crittografiche AWS KMS, in cui la chiave è aws:thinclient:arn e il valore è Amazon Resource Name (ARN).
Di seguito è riportato il contesto di crittografia Environment:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID" }
Di seguito è riportato il contesto di crittografia del dispositivo:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:device/device_ID" }
Utilizzo del contesto di crittografia per il monitoraggio
Quando si utilizza una chiave simmetrica gestita dal cliente per crittografare i dati dell'ambiente WorkSpaces Thin Client e del dispositivo, è inoltre possibile utilizzare il contesto di crittografia nei record e nei registri di controllo per identificare come viene utilizzata la chiave gestita dal cliente. Il contesto di crittografia appare anche nei log generati da AWS CloudTrail o Amazon CloudWatch Logs.
Utilizzo del contesto di crittografia per controllare l'accesso alla chiave gestita dal cliente
È possibile utilizzare il contesto di crittografia nelle policy delle chiavi e nelle policy IAM come condizioni per controllare l'accesso alla chiave simmetrica gestita dal cliente.
Di seguito sono riportati alcuni esempi di istruzioni delle policy delle chiavi per concedere l'accesso a una chiave gestita dal cliente per un contesto di crittografia specifico. La condizione di questa istruzione della policy richiede che la chiamata kms:Decrypt abbia un vincolo di contesto di crittografia che specifica il contesto di crittografia.
{ "Sid": "Enable Decrypt to access Thin Client Environment", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"}, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": {"kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID"} } }
Monitoraggio delle chiavi di crittografia per Amazon WorkSpaces Thin Client
Quando utilizzi una chiave gestita dal cliente AWS KMS con le tue risorse Amazon WorkSpaces Thin Client, puoi utilizzare AWS CloudTrail Amazon CloudWatch Logs per tenere traccia delle richieste che Amazon WorkSpaces Thin Client invia a AWS KMS.
I seguenti esempi sono AWS CloudTrail eventi perDescribeKey, GenerateDataKeyDecrypt, monitorare le operazioni KMS chiamate da Amazon WorkSpaces Thin Client per accedere ai dati crittografati dalla chiave gestita dal cliente:
Nei seguenti esempi, puoi vedere encryptionContext per l'ambiente WorkSpaces Thin Client. CloudTrail Eventi simili vengono registrati per il dispositivo WorkSpaces Thin Client.
Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati inattivi:
Per ulteriori informazioni, consulta Concetti di base su AWS Key Management Service nella Guida per gli sviluppatori di AWS Key Management Service.
Per ulteriori informazioni, consulta Best practice di sicurezza per AWS Key Management Service nella Guida per gli sviluppatori di AWS Key Management Service.
