Amazon WorkSpaces で AWS KMS を使用する方法 - AWS Key Management Service

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon WorkSpaces で AWS KMS を使用する方法

を使用して、エンドユーザーごとにクラウドベースのデスクトップ (aAmazon WorkSpaces) をプロビジョニングできます。WorkSpace新しい を起動するときに、そのボリュームの暗号化を選択し、暗号化に使用する WorkSpace AWS KMS カスタマーマスターキー () を決定することができます。CMKAWSマネージドCMK型 Amazon WorkSpaces (aws/workspaces) またはカスタマー管理の対称 CMK を選択できます。

重要

Amazon WorkSpacesは対称 のみをサポートしますCMKs。非対称を使用して のボリュームCMKを暗号化することはできませんAmazon WorkSpaces。CMK が対称か非対称かを判断する方法については、「対称と非対称の識別CMKs」を参照してください。

暗号化された ボリュームWorkSpacesを使用して を作成する方法の詳細については、の「 WorkSpaceの暗号化」を参照してくださいAmazon WorkSpaces Administration Guide

Amazon WorkSpaces を使用した AWS KMS 暗号化の概要

暗号化されたボリュームWorkSpacesを使用して を作成すると、 Amazon WorkSpacesは Amazon Elastic Block Store (Amazon EBS) を使用してこれらのボリュームを作成および管理します。どちらのサービスも、KMS カスタマーマスターキー (CMK) を使用して暗号化されたボリュームを操作します。EBS ボリュームの暗号化の詳細については、以下のドキュメントを参照してください。

暗号化されたボリュームWorkSpacesで起動する場合、エンドツーエンドの処理は次のようになります。

  1. 暗号化に使用する と、 CMK のユーザーおよびディレクトリを指定します。WorkSpaceこのアクションにより、 が に対してのみ (指定されたユーザーおよびディレクトリに関連付けられた に対してのみAmazon WorkSpacesCMK) を使用する許可が作成されます。WorkSpace—WorkSpace

  2. Amazon WorkSpacesは の暗号化された EBS ボリュームを作成しWorkSpace、使用する とボリュームのユーザーおよびディレクトリを指定します ( で指定したのと同じ情報CMK)。ステップ 1このアクションにより、 がこのボリュームにのみ、つまり指定されたユーザーとディレクトリに関連付けられた にのみ、指定されたボリュームにのみ、 を使用できるようにする許可が作成されます。Amazon EBSCMKWorkSpace—WorkSpace

  3. は、 で暗号化されたボリュームデータキーをリクエストAmazon EBSし、CMKユーザーの WorkSpaceおよびディレクトリ ID とボリューム ID を暗号化コンテキストとして指定します。Sid

  4. AWS KMSは新しいデータキーを作成し、 で暗号化してから、暗号化されたデータキーを CMK に送信しますAmazon EBS。

  5. Amazon WorkSpacesAmazon EBSは WorkSpace を使用して暗号化されたボリュームを にアタッチAmazon EBSします。 AWS KMSはDecryptリクエストWorkSpaceにより暗号化されたデータキーを に送信し、Sidユーザーの 、ディレクトリ ID、ボリューム ID を指定します。これは暗号化コンテキストとして使用されます。

  6. AWS KMSは CMKを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon EBS に送信します。

  7. Amazon EBSは、プレーンテキストデータキーを使用して、暗号化されたボリュームに入出力されるすべてのデータを暗号化します。 は、ボリュームが にアタッチされている限り、プレーンテキストデータキーをメモリにAmazon EBS保持WorkSpaceします。

  8. Amazon EBSは、 を再起動または再構築した場合、暗号化されたデータキー ( ステップ 4 で受け取ったデータキー) と後で使用できるようにボリュームメタデータを保存しますWorkSpace。

  9. を使用して を削除 AWS マネジメントコンソール (または WorkSpace API TerminateWorkspaces の アクション) Amazon WorkSpacesし、その Amazon WorkSpacesに対して の使用を許可した許可Amazon EBSを無効にすると、CMKWorkSpace

Amazon WorkSpaces の暗号化コンテキスト

Amazon WorkSpacesは、 カスタマーマスターキー (CMK) Encrypt を暗号化オペレーション ( 、 Decrypt 、 など) に直接使用することがありません。つまり、 GenerateDataKey暗号化コンテキストを含むリクエストを に送信しません。Amazon WorkSpacesAWS KMS暗号化コンテキストただし、 が Amazon EBS ( WorkSpaces) の暗号化されたボリュームに対して暗号化されたデータキーをリクエストするときと、そのデータキーのプレーンテキストコピーをリクエストするとき ( ステップ 3 ) は、リクエストに暗号化コンテキストを含めます。Amazon WorkSpaces を使用した AWS KMS 暗号化の概要ステップ 5暗号化コンテキストは、データの整合性を保証するために AWS KMS で使用される追加の認証データ (AAD) を提供します。また、暗号化コンテキストが ログファイルに書き込まれるため、特定の AWS CloudTrail (カスタマーマスターキー) が使用された理由を理解するうえで役立ちます。 CMKでは、暗号化コンテキストとして次のものが使用されます。Amazon EBS

  • に関連付けられている sid ユーザーのAWS Directory ServiceWorkSpace

  • に関連付けられているAWS Directory Serviceディレクトリのディレクトリ ID。WorkSpace

  • 暗号化されたボリュームのボリューム ID

次の例は、Amazon EBS が使用する暗号化コンテキストの JSON 表現を示しています。

{ "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]", "aws:ebs:id": "vol-1234abcd" }

ユーザーに代わって を使用するAmazon WorkSpacesアクセス許可を に付与するCMK

AWSで管理CMKされた Amazon WorkSpaces (aws/workspaces) またはカスタマー管理の でワークスペースデータを保護することができますCMK。カスタマー管理の CMK を使用する場合は、 アカウントの Amazon WorkSpaces 管理者に代わって を使用するCMKアクセス権限を付与する必要があります。Amazon WorkSpacesAWSマネージド型 CMKには、デフォルトで必要なアクセス権限があります。Amazon WorkSpaces

で使用するための顧客管理を準備するには、次の手順を実行します。CMKAmazon WorkSpaces

Amazon WorkSpaces 管理者は、Amazon WorkSpaces を使用するためのアクセス許可も必要とします。これらのアクセス許可の詳細については、の「リソースへのアクセスAmazon WorkSpacesの制御」を参照してくださいAmazon WorkSpaces Administration Guide

パート 1: のキーユーザーへのWorkSpaces管理者の追加CMK

Amazon WorkSpaces 管理者に必要なアクセス許可を付与するには、AWS マネジメントコンソール または AWS KMS API を使用できます。

WorkSpaces(CMK) のキーユーザーとしてコンソール管理者を追加するには

  1. AWS マネジメントコンソール にサインインし、AWS Key Management Service (AWS KMS) コンソール (https://console.aws.amazon.com/kms) を開きます。

  2. AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。

  3. ナビゲーションペインで、[Customer managed keys (カスタマー管理型のキー)] を選択します。

  4. カスタマー管理 のキー ID またはエイリアスを選択しますCMK。

  5. [キーポリシー] タブを選択します。[ キーユーザー, ] で、[ 追加] を選択します。

  6. IAMユーザーとロールのリストで、WorkSpaces管理者に対応するユーザーとロールを選択し、[アタッチ] を選択します

WorkSpaces(CMK) のキーユーザーとしてAWS KMS API管理者を追加するには

  1. GetKeyPolicyオペレーションを使用して既存のキーポリシーを取得し、ポリシードキュメントをファイルに保存します。

  2. 任意のテキストエディタでポリシードキュメントを開きます。IAM管理者に対応するWorkSpacesユーザーとロールを、キーユーザーにアクセス許可を付与するポリシーステートメントに追加します。その後、ファイルを保存します。

  3. PutKeyPolicyオペレーションを使用して、キーポリシーを に適用CMKします。

パート 2: WorkSpaces管理者に追加のアクセス許可を付与する

カスタマー管理CMKを使ってAmazon WorkSpacesデータを保護する場合は、デフォルトキーポリシーのキーユーザーセクションの権限に加えて、WorkSpaces管理者は で許可を作成する権限が必要です。CMKまた、 を使用して暗号化されたボリュームで作成する場合、AWS マネジメントコンソール管理者はエイリアスとキーをリストするアクセス許可が必要です。WorkSpacesWorkSpacesIAMユーザーポリシーの作成と編集については、 の「管理ポリシー」と「インラインポリシー」を参照してくださいIAM ユーザーガイド

WorkSpaces管理者にこれらのアクセス権限を付与するには、 IAM ポリシーを使用します。次の例のようなポリシーステートメントを各IAM管理者のWorkSpacesポリシーに追加します。CMK例の ARN (arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab) を有効な ARN に置き換えます。WorkSpaces管理者が Amazon WorkSpaces API のみを使用している場合は ( コンソールではなく)、 "kms:ListAliases"および "kms:ListKeys" アクセス許可を使用して 2 番目のポリシーステートメントを省略できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }