翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon WorkSpaces Secure Browser の保管時の暗号化
保管時の暗号化はデフォルトで設定され、WorkSpaces Secure Browser で使用されるすべての顧客データ (ブラウザポリシーステートメント、ユーザー名、ログ記録、IP アドレスなど) は を使用して暗号化されます AWS KMS。デフォルトでは、WorkSpaces Secure Browser は AWS所有キーによる暗号化を有効にします。リソースの作成時にカスタマーマネージドキー (CMK) を指定することで、CMK を使用することもできます。CMK は現在 CLI を通じてのみサポートされています。
CMK を渡すことを選択した場合、提供されるキーは対称暗号化 AWS KMS キーである必要があり、管理者には次のアクセス許可が必要です。
kms:DescribeKey kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
CMK を使用する場合は、キーにアクセスできるように、WorkSpaces Secure Browser 外部サービスプリンシパルを許可リストに追加する必要があります。 詳細については、「aws:SourceAccount を使用したスコープ付き CMK キーポリシーの例」を参照してください。
可能な場合、WorkSpaces Secure Browser は Forward Access Sessions (FAS) 認証情報を使用してキーにアクセスします。FAS の詳細については、「Forward Access Sessions」を参照してください。 WorkSpaces Secure Browser がキーに非同期にアクセスする必要がある場合があります。お客様のキーポリシーで WorkSpaces Secure Browser 外部サービスプリンシパルを許可リストに追加することで、WorkSpaces Secure Browser は許可リストに含まれる暗号化オペレーションをお客様のキーで実行できるようになります。
リソースの作成後は、キーを削除したり変更したりすることはできません。CMK を使用した場合、リソースにアクセスする管理者として、以下のアクセス許可が必要です。
kms:GenerateDataKey kms:GenerateDataKeyWithoutPlaintext kms:Decrypt kms:ReEncryptTo kms:ReEncryptFrom
コンソール使用時にアクセス拒否エラーが表示される場合、コンソールにアクセスしているユーザーに、使用中のキーで CMK を使用するためのアクセス許可がない可能性があります。
WorkSpaces Secure Browser のキーポリシーとスコープの例
CMK には、以下のキーポリシーが必要です。
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", } ] }
WorkSpaces Secure Browser には、以下のアクセス許可が必要です。
-
kms:DescribeKey— 指定された AWS KMS キーが正しく設定されていることを確認します。 -
kms:GenerateDataKeyWithoutPlaintextおよびkms:GenerateDataKey— オブジェクトの暗号化に使用されるデータキーを作成する AWS KMS キーをリクエストします。 -
kms:Decrypt— 暗号化されたデータ AWS KMS キーを復号するキーをリクエストします。これらのデータキーはデータの暗号化に使用されます。 -
kms:ReEncryptToおよびkms:ReEncryptFrom— KMS AWS KMS キーとの間での再暗号化を許可するキーをリクエストします。
AWS KMS キーに対する WorkSpaces Secure Browser アクセス許可のスコープ
キーポリシーステートメントのプリンシパルが AWS のサービスプリンシパルである場合は、暗号化コンテキストに加えて、aws:SourceArn または aws:SourceAccount グローバル条件キーを使用することを強くお勧めします。
リソースに使用される暗号化コンテキストには、常に aws:workspaces-web:RESOURCE_TYPE:id 形式のエントリと対応するリソース ID が含まれます。
ソース ARN とソースアカウントの値は、リクエストが別の AWS サービス AWS KMS から送信された場合にのみ認可コンテキストに含まれます。この条件の組み合わせにより、最小特権のアクセス許可が実装され、可能性のある「混乱した代理」シナリオが回避されます。詳細については、「キーポリシーにおける AWS のサービスのアクセス許可」を参照してください。
"Condition": { "StringEquals": { "aws:SourceAccount": "AccountId", "kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId" ] }, }
注記
リソースの作成前は、完全なリソース ARN がまだ存在しないため、キーポリシーでは aws:SourceAccount Condition のみを使用する必要があります。リソースの作成後、キーポリシーを更新して aws:SourceArn および kms:EncryptionContext Condition を含めることができます。
aws:SourceAccount を使用したスコープ付き CMK キーポリシーの例
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>" } } } ] }
aws:SourceArn とリソースワイルドカードを使用したスコープ付き CMK キーポリシーの例
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:workspaces-web:<Region>:<AccountId>:*/*" } } } ] }
aws:SourceArn を使用したスコープ付き CMK キーポリシーの例
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "ArnLike": { "aws:SourceArn": [ "arn:aws:workspaces-web:<Region>:<AccountId>:portal/*", "arn:aws:workspaces-web:<Region>:<AccountId>:browserSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:userSettings/*", "arn:aws:workspaces-web:<Region>:<AccountId>:ipAccessSettings/*" ] } } ] }
注記
リソースを作成した後、その SourceArn のワイルドカードを更新できます。WorkSpaces Secure Browser を使用して、CMK アクセスが必要な新しいリソースを作成する場合は、それに応じてキーポリシーを更新してください。
aws:SourceArn とリソース固有の EncryptionContext を使用したスコープ付き CMK キーポリシーの例
{ "Version": "2012-10-17", "Statement": [ ..., { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:portal:id": "<portalId>>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:userSetttings:id": "<userSetttingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:browserSettings:id": "<browserSettingsId>" } } }, { "Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings", "Effect": "Allow", "Principal": { "Service": "workspaces-web.amazonaws.com" }, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:GenerateDataKeyWithoutPlaintext", "kms:Decrypt", "kms:ReEncryptTo", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "<AccountId>", "kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": "<ipAccessSettingsId>" } } }, ] }
注記
同じキーポリシーにリソース固有の EncryptionContext を含める場合は、個別のステートメントを作成してください。詳細については、kms:EncryptionContext:context-key で「複数の暗号化コンテキストペアの使用」セクションを参照してください。
