WorkSpaces の使用方法 AWS KMS

を使用してWorkSpaces、エンドユーザーごとにクラウドベースのデスクトップ (WorkSpace) をプロビジョニングできます。新しい を起動するときに WorkSpace、そのボリュームを暗号化し、暗号化AWS KMS keyに使用する を決定できます。(aws/workspaces ) AWS マネージドキーの WorkSpaces または対称カスタマーマネージドキー を選択できます。

重要

WorkSpaces は、対称暗号化 KMS キーのみをサポートします。非対称 KMS キーを使用して 内のボリュームを暗号化することはできません WorkSpaces。KMS キーが対称か非対称かを判断する方法については、「非対称 KMS キーの識別」を参照してください。

暗号化されたボリューム WorkSpaces で を作成する方法の詳細については、「Amazon WorkSpaces 管理ガイド」の「 の暗号化 WorkSpace」を参照してください。

を使用した WorkSpaces 暗号化の概要 AWS KMS

暗号化されたボリューム WorkSpaces で を作成すると、 WorkSpaces は Amazon Elastic Block Store (Amazon EBS) を使用してそれらのボリュームを作成および管理します。どちらのサービスも AWS KMS key を使用して暗号化されたボリュームを操作します。EBS ボリュームの暗号化の詳細については、以下のドキュメントを参照してください。

• このガイドの「Amazon Elastic Block Store (Amazon EBS) が を使用する方法 AWS KMS」

• 「Amazon EC2 ユーザーガイド」の「Amazon EBS 暗号化Amazon EC2」

暗号化されたボリューム WorkSpaces で を起動すると、 end-to-end プロセスは次のように動作します。

1. 暗号化に使用する KMS キーと、 WorkSpaceのユーザーとディレクトリを指定します。このアクションは、 が KMS キーをこの目的のみ、 WorkSpaceつまり指定されたユーザーとディレクトリ WorkSpace に関連付けられた に対してのみ使用 WorkSpaces できるようにする許可を作成します。

2. WorkSpaces は、 の暗号化された EBS ボリュームを作成し、使用する KMS キーと、ボリュームのユーザーとディレクトリ ( で指定した情報と同じ情報) WorkSpace を指定しますステップ 1。このアクションは、Amazon EBS がこの WorkSpace とボリュームにのみ、つまり、指定されたユーザーとディレクトリ WorkSpace に関連付けられた と、指定されたボリュームにのみ KMS キーを使用できるようにする許可を作成します。

3. Amazon EBS は、KMS キーで暗号化されたボリュームデータキーをリクエストし、暗号化コンテキストとして WorkSpace ユーザーの Sidとディレクトリ ID とボリューム ID を指定します。

4. AWS KMS は新しいデータキーを作成し、KMS キーで暗号化してから、暗号化されたデータキーを Amazon EBS に送信します。

5. WorkSpaces は Amazon EBS を使用して、暗号化されたボリュームを にアタッチします WorkSpace。Amazon EBS は、暗号化されたデータキーを Decrypt リクエスト AWS KMS とともに に送信し、 WorkSpace ユーザーの Sid、ディレクトリ ID、および暗号化コンテキスト として使用されるボリューム ID を指定します。

6. AWS KMS は KMS キーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon EBS に送信します。

7. Amazon EBS は、プレーンテキストデータキーを使用して、暗号化されたボリュームを出入りするすべてのデータを暗号化します。Amazon EBS は、ボリュームが にアタッチされている限り、プレーンテキストのデータキーをメモリに保持します WorkSpace。

8. Amazon EBS は、暗号化されたデータキー ( で受信ステップ 4) をボリュームメタデータとともに保存し、 を再起動または再構築する場合に将来使用します WorkSpace。

9. を使用して AWS Management Console を削除する WorkSpace （または WorkSpaces API で TerminateWorkspacesアクションを使用する) WorkSpaces と、Amazon EBS はその の KMS キーの使用を許可した許可を廃止します WorkSpace。

WorkSpaces 暗号化コンテキスト

WorkSpaces は、暗号化オペレーション (Encrypt、、 など) に AWS KMS key を直接使用しません。つまりGenerateDataKey、 WorkSpaces は、暗号化コンテキスト AWS KMS を含む Decryptにリクエストを送信しません。ただし、Amazon EBS が WorkSpaces （ステップ 3 の を使用した WorkSpaces 暗号化の概要 AWS KMS) の暗号化されたボリュームの暗号化されたデータキーをリクエストし、そのデータキーのプレーンテキストコピー (ステップ 5) をリクエストすると、リクエストに暗号化コンテキストが含まれます。暗号化コンテキストは、データの整合性を確保するために が使用する追加の認証データ (AAD) を提供します。 AWS KMS 暗号化コンテキストは AWS CloudTrail ログファイルにも書き込まれるため、特定の AWS KMS key が使用された理由を理解するのに役立ちます。Amazon EBS では、暗号化コンテキストとして次のものが使用されます。

• に関連付けられているsid AWS Directory Service ユーザーの 。 WorkSpace

• に関連付けられているディレクトリの AWS Directory Service ディレクトリ ID WorkSpace

• 暗号化されたボリュームの ボリューム ID

次の例は、Amazon EBS が使用する暗号化コンテキストの JSON 表現を示しています。

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

ユーザーに代わって KMS キーを使用する WorkSpaces アクセス許可を付与する

（aws/workspaces ) またはカスタマーマネージドキー AWS マネージドキー で WorkSpacesワークスペースデータを保護できます。カスタマーマネージドキーを使用する場合は、アカウントの管理者に代わって WorkSpaces KMS キーを使用する WorkSpaces アクセス許可を付与する必要があります。 AWS マネージドキー の WorkSpaces には、デフォルトで必要なアクセス許可があります。

で使用するためにカスタマーマネージドキーを準備するには WorkSpaces、次の手順を使用します。

1. KMS キーのキーポリシーのキーユーザーのリストに WorkSpaces 管理者を追加する

2. WorkSpaces 管理者に IAM ポリシーで追加のアクセス許可を付与する

WorkSpaces 管理者には、 を使用するためのアクセス許可も必要です WorkSpaces。これらのアクセス許可の詳細については、「Amazon WorkSpaces 管理ガイド」の「リソースへのアクセス WorkSpacesの制御」を参照してください。

パート 1: KMS キーのキーユーザーに WorkSpaces 管理者を追加する

WorkSpaces 管理者に必要なアクセス許可を付与するには、 AWS Management Console または AWS KMS API を使用できます。

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (コンソール）

1. にサインイン AWS Management Console し、https://console.aws.amazon.com/kms で AWS Key Management Service （AWS KMS) コンソールを開きます。

2. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクタを使用します。

3. ナビゲーションペインで、[カスタマーマネージドキー] を選択します。

4. 任意のカスタマーマネージドキーのキー ID またはエイリアスを選択する

5. [キーポリシー] タブを選択します。[Key users] (キーユーザー) で [Add] (追加) を選択します。

6. IAM ユーザーとロールのリストで、 WorkSpaces 管理者に対応するユーザーとロールを選択し、アタッチ を選択します。

KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (AWS KMS API)

1. GetKeyPolicy オペレーションを使用して既存のキーポリシーを取得し、ポリシードキュメントを ファイルに保存します。

2. 任意のテキストエディタでポリシードキュメントを開きます。 WorkSpaces 管理者に対応する IAM ユーザーとロールを、キーユーザー にアクセス許可を付与するポリシーステートメントに追加します。その後、ファイルを保存します。

3. PutKeyPolicy オペレーションを使用して、キーポリシーを KMS キーに適用します。

パート 2: WorkSpaces 管理者に追加のアクセス許可を付与する

カスタマーマネージドキーを使用して WorkSpaces データを保護する場合、デフォルトのキーポリシー のキーユーザー セクションのアクセス許可に加えて、 WorkSpaces 管理者は KMS キーに権限を作成するためのアクセス許可が必要です。また、暗号化されたボリューム WorkSpaces で を作成AWS Management Consoleするために を使用する場合、 WorkSpaces 管理者はエイリアスとキーを一覧表示するためのアクセス許可が必要です。IAM ユーザーポリシーの作成と編集については、IAM ユーザーガイドのマネージドポリシーとインラインポリシーを参照してください。

これらのアクセス許可を WorkSpaces 管理者に付与するには、IAM ポリシーを使用します。各 WorkSpaces管理者の IAM ポリシーに、次の例のようなポリシーステートメントを追加します。サンプルKMS キー ARN (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) を有効なものに置き換えます。 WorkSpaces 管理者が (コンソールではなく) WorkSpaces API のみを使用している場合は、 "kms:ListAliases"および アクセス"kms:ListKeys"許可を持つ 2 番目のポリシーステートメントを省略できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}