Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia a riposo per Amazon WorkSpaces Secure Browser
La crittografia a riposo è configurata per impostazione predefinita e tutti i dati dei clienti (ad esempio, dichiarazioni sulle politiche del browser, nomi utente, registrazione o indirizzi IP) utilizzati in WorkSpaces Secure Browser vengono crittografati utilizzando. AWS KMS Per impostazione predefinita, WorkSpaces Secure Browser abilita la crittografia con una chiave AWS di proprietà. È inoltre possibile utilizzare una chiave gestita dal cliente (CMK) specificando la propria CMK durante la creazione delle risorse. Al momento questa funzionalità è supportata solo tramite la CLI.
Se scegli di passare una CMK, la chiave fornita deve essere una chiave di crittografia AWS KMS simmetrica e tu, in qualità di amministratore, devi disporre delle seguenti autorizzazioni:
kms:DescribeKey kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Se si utilizza una CMK, è necessario consentire al responsabile del servizio esterno WorkSpaces Secure Browser di accedere alla chiave. Per ulteriori informazioni, consulta Esempio di policy sulle chiavi CMK con ambito con aws: SourceAccount
Quando possibile, WorkSpaces Secure Browser utilizzerà le credenziali FAS (Forward Access Sessions) per accedere alla tua chiave. Per ulteriori informazioni su FAS, consulta Forward access sessions. In alcuni casi WorkSpaces Secure Browser potrebbe dover accedere alla chiave in modo asincrono. Inserendo il principale servizio esterno WorkSpaces Secure Browser nella policy chiave dell'utente, WorkSpaces Secure Browser sarà in grado di eseguire l'insieme di operazioni crittografiche consentito con la chiave utilizzata.
Dopo aver creato una risorsa, la chiave non può più essere rimossa o modificata. Se hai utilizzato una CMK, tu, in qualità di amministratore che accede alla risorsa, devi disporre delle seguenti autorizzazioni:
kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
Se viene visualizzato un errore di accesso negato quando si utilizza la console, è probabile che l'utente che accede alla console non disponga delle autorizzazioni necessarie per utilizzare la CMK sulla chiave utilizzata.
Principali esempi di policy e ambito di applicazione per Secure Browser WorkSpaces
CMKs richiedono la seguente politica chiave:
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", } ] }
WorkSpaces Secure Browser richiede le seguenti autorizzazioni:
-
kms:DescribeKey— Verifica che la AWS KMS chiave fornita sia configurata correttamente. -
kms:GenerateDataKeyWithoutPlaintextekms:GenerateDataKey— Richiesta della AWS KMS chiave per creare le chiavi dati utilizzate per crittografare gli oggetti. -
kms:Decrypt— Richiede la AWS KMS chiave per decrittografare le chiavi dati crittografate. Queste chiavi dati vengono utilizzate per crittografare i dati. -
kms:ReEncryptToekms:ReEncryptFrom— Richiesta della AWS KMS chiave per consentire la ricrittografia da o verso una chiave KMS.
Ambito delle autorizzazioni di WorkSpaces Secure Browser sulla tua chiave AWS KMS
Se il principale di una dichiarazione politica chiave è un responsabile del AWS servizio, consigliamo vivamente di utilizzare le chiavi di condizione SourceAccount globali aws: SourceArn o aws:, oltre a Encryption Context.
Il contesto di crittografia utilizzato per una risorsa conterrà sempre una voce nel formato aws:workspaces-web:RESOURCE_TYPE:id e l'ID della risorsa corrispondente.
L'ARN di origine e i valori dell'account di origine sono inclusi nel contesto di autorizzazione solo quando arriva una richiesta AWS KMS da un altro AWS servizio. Questa combinazione di condizioni implementa autorizzazioni meno privilegiate ed evita un potenziale scenario "confused deputy". Per ulteriori informazioni, consulta Autorizzazioni per i servizi AWS nelle politiche chiave.
"Condition": { "StringEquals": { "aws:SourceAccount": "AccountId", "kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId" ] }, }
Nota
Prima della creazione delle risorse, la policy chiave dovrebbe utilizzare solo la aws:SourceAccount Condizione, poiché la risorsa arn completa non esisterà ancora. Dopo la creazione della risorsa, la politica chiave può essere aggiornata per includere le kms:EncryptionContext condizioni aws:SourceArn e.
Esempio di policy chiave Scoped CMK con aws:SourceAccount
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>" } } } ] }
Esempio di policy chiave CMK mirata con un carattere jolly di risorse aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:workspaces-web:<Region>:<AccountId>:*/*" } } } ] }
Esempio di politica delle chiavi CMK con ambito con aws:SourceArn
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:workspaces-web:<Region>:<AccountId>:portal/*", "arn:aws:workspaces-web:<Region>:<AccountId>:browserSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:userSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:ipAccessSettings/*" ] } } ] }
Nota
Dopo aver creato la risorsa, puoi aggiornare il relativo carattere jolly. SourceArn Se utilizzi WorkSpaces Secure Browser per creare una nuova risorsa che richiede l'accesso a CMK, assicurati di aggiornare di conseguenza la politica chiave.
Esempio di policy chiave CMK con ambito e specifica per ogni risorsa aws:SourceArnEncryptionContext
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:portal:id": "<portalId>>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:userSetttings:id": "<userSetttingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:browserSettings:id": "<browserSettingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": "<ipAccessSettingsId>" } } }, ] }
Nota
Assicurati di creare istruzioni separate quando includi una risorsa specifica EncryptionContext nella stessa politica chiave. Per ulteriori informazioni, consulta la sezione Utilizzo di più coppie di contesto di crittografia in kms:EncryptionContext: chiave contestuale.
