암호화된 WorkSpaces - Amazon WorkSpaces

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

암호화된 WorkSpaces

Amazon WorkSpaces은(는) AWS Key Management Service (AWS KMS)와(과) 통합됩니다. 고객 마스터 키(CMK)를 사용하여 WorkSpaces의 스토리지 볼륨을 암호화할 수 있습니다. WorkSpace를 시작할 때 루트 볼륨(Microsoft Windows의 경우 C 드라이브, Linux의 경우 /)과 사용자 볼륨(Windows의 경우 D 드라이브, Linux의 경우 /home)을 암호화할 수 있습니다. 이렇게 하면 유휴 상태인 저장 데이터, 볼륨에 대한 디스크 I/O 및 볼륨에서 생성된 스냅샷이 모두 암호화됩니다.

Prerequisites

암호화 프로세스를 시작하려면 AWS KMS CMK가 필요합니다.

리전의 Amazon WorkSpaces 콘솔에서 암호화되지 않은 WorkSpace를 처음 시작할 때 Amazon WorkSpaces는 계정에 AWS 관리형 CMK(aws/workspaces)를 자동으로 생성합니다. 이 AWS 관리형 CMK를 선택하여 WorkSpace의 사용자 및 루트 볼륨을 암호화할 수 있습니다. 자세한 내용은 다음을 참조하십시오. Amazon WorkSpaces가 AWS KMS를 사용하는 방법 에서 AWS Key Management Service Developer Guide.

정책 및 권한 부여를 포함하여 AWS 관리형 CMK를 확인하고 AWS CloudTrail 로그에서 사용을 추적할 수 있지만 이 CMK를 사용하거나 관리할 수는 없습니다. Amazon WorkSpaces에서 이 CMK를 생성하고 관리합니다. Amazon WorkSpaces만 이 CMK를 사용할 수 있으며 계정의 WorkSpaces 리소스를 암호화하는 데만 사용할 수 있습니다. Amazon WorkSpaces가 지원하는 CMK를 포함한 AWS 관리형 CMK는 3년마다 교체됩니다. 자세한 내용은 다음을 참조하십시오. 회전 키 에서 AWS Key Management Service Developer Guide.

또는 AWS KMS를 사용하여 생성한 대칭 고객 관리형 CMK를 선택할 수 있습니다. 정책 설정을 포함하여 이 CMK를 확인, 사용 및 관리할 수 있습니다. CMK 생성에 대한 자세한 내용은 을 참조하십시오. 키 만들기 에서 AWS Key Management Service Developer Guide. 를 사용하여 CMK를 만드는 방법에 대한 자세한 내용은 AWS KMS API, 참조 키 사용 에서 AWS Key Management Service Developer Guide.

AWS KMS CMK를 사용하여 WorkSpaces를 암호화하려면 다음 요구 사항을 충족해야 합니다.

  • CMK는 대칭이어야 합니다. Amazon WorkSpaces에서는 비대칭 CMK가 지원되지 않습니다. 대칭 CMK와 비대칭 CMK를 구분하는 방법에 대한 자세한 내용은 을 참조하십시오. 대칭 및 비대칭 CMK 식별 에서 AWS Key Management Service Developer Guide.

  • CMK를 활성화해야 합니다. CMK의 활성화 여부를 확인하려면 를 참조하십시오. CMK 세부 정보 표시 에서 AWS Key Management Service Developer Guide.

  • 올바른 권한과 정책이 키에 연결되어 있어야 합니다. 자세한 정보는 암호화에 대한 IAM 권한 및 역할 단원을 참조하십시오.

중요

CMK당 500개 WorkSpace로 제한됩니다. 이 제한은 AWS KMS에서의 피부여자 보안 주체당 권한 부여 할당량 때문입니다. 이 할당량에 대한 자세한 내용은 을 참조하십시오. 수혜인 원금당 보조금 에서 AWS Key Management Service Developer Guide.

WorkSpaces를 암호화하는 경우 500개 WorkSpace마다 CMK가 생성됩니다. 예를 들어 850개 WorkSpace를 암호화하는 경우 두 개의 CMK가 생성됩니다.

암호화된 WorkSpaces를 시작하려고 시도할 때 “지정한 키를 사용할 수 없습니다. 암호화에 유효한 키를 입력하십시오.”라는 오류 메시지가 표시되면 기존 CMK에 대한 피부여자 보안 주체당 권한 부여 할당량에 도달한 것입니다.

Limits

  • 기존 WorkSpace는 암호화할 수 없습니다. WorkSpace를 시작할 때 암호화해야 합니다.

  • 암호화된 WorkSpaces에서 사용자 정의 이미지를 생성하는 기능은 지원되지 않습니다.

  • 암호화된 WorkSpaces에 대해 암호화를 비활성화하는 기능은 현재 지원되지 않습니다.

  • 루트 볼륨 암호화를 활성화한 상태로 시작된 WorkSpaces를 프로비저닝하는 데 최대 1시간이 소요될 수 있습니다.

  • 암호화된 WorkSpace를 재부팅하거나 다시 빌드하려면 먼저 AWS KMS CMK가 활성화되어 있는지 확인합니다. 그렇지 않으면 WorkSpace를 사용할 수 없습니다. CMK의 활성화 여부를 확인하려면 를 참조하십시오. CMK 세부 정보 표시 에서 AWS Key Management Service Developer Guide.

WorkSpaces 암호화

WorkSpaces를 암호화하려면

  1. https://console.aws.amazon.com/workspaces/에서 Amazon WorkSpaces 콘솔을 엽니다.

  2. [Launch WorkSpaces]를 선택하고 처음 세 단계를 완료합니다.

  3. [WorkSpaces Configuration] 단계에서 다음을 수행합니다.

    1. 암호화할 볼륨을 선택합니다. 루트 볼륨, 사용자 볼륨또는 두 볼륨 모두.

    2. [Encryption Key]에서 AWS KMS CMK를 선택합니다(Amazon WorkSpaces에서 생성한 AWS 관리형 CMK 또는 사용자가 생성한 CMK). 선택한 CMK는 대칭이어야 합니다. Amazon WorkSpaces에서는 비대칭 CMK가 지원되지 않습니다.

    3. [Next Step]을 선택합니다.

  4. [Launch WorkSpaces]를 선택합니다.

암호화된 WorkSpaces 보기

Amazon WorkSpaces 콘솔에서 어느 WorkSpaces 및 볼륨이 암호화되었는지 확인하려면 왼쪽에 있는 탐색 모음에서 WorkSpaces를 선택합니다. [Volume Encryption] 열에는 각 WorkSpaces에서 암호화가 활성화 또는 비활성화되었는지 여부가 표시됩니다. 특정 볼륨이 암호화되었는지 확인하려면 WorkSpaces 항목을 확장하여 [Encrypted Volumes] 필드를 확인하십시오.

암호화에 대한 IAM 권한 및 역할

암호화에 사용할 고객 관리형 CMK를 선택한 경우, 암호화된 WorkSpaces를 시작하는 계정의 IAM 사용자를 대신해 Amazon WorkSpaces가 해당 CMK를 사용할 수 있도록 허용하는 정책을 설정해야 합니다. 또한 해당 사용자에게는 Amazon WorkSpaces 사용 권한이 필요합니다.

Amazon WorkSpaces 암호화는 CMK에 대한 제한된 액세스가 요구됩니다. 다음은 사용 가능한 샘플 키 정책입니다. 이 정책은 AWS KMS CMK를 관리할 수 있는 보안 주체와 이 CMK를 사용할 수 있는 보안 주체를 구분합니다. 이 샘플 키 정책을 사용하기 전에 예제 계정 ID와 IAM 사용자 이름을 계정의 실제 값으로 바꿉니다.

첫 번째 문은 기본 AWS KMS 키 정책과 일치합니다. 이는 CMK에 대한 액세스를 제어할 수 있도록 IAM 정책을 사용할 수 있는 계정 권한을 부여합니다. 두 번째 및 세 번째 문은 각각 키를 관리 및 사용할 수 있는 AWS 보안 주체를 정의합니다. 네 번째 문은 AWS KMS와(과) 통합된 AWS 서비스에서 지정된 보안 주체를 대신하여 키를 사용할 수 있도록 해 줍니다. 이 문을 사용하여 AWS 서비스에서 권한을 생성 및 관리할 수 있습니다. 이 문은 CMK에 대한 권한 부여를 계정의 사용자를 대신해 AWS 서비스가 제공하는 권한 부여로 제한하는 조건 요소를 사용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

WorkSpace를 암호화 중인 사용자 또는 역할에 대한 IAM 정책은 고객 관리형 CMK에 대한 사용 권한 및 WorkSpaces에 대한 액세스 권한을 포함해야 합니다. IAM 사용자 또는 역할에 WorkSpaces 권한을 부여하려면 다음 샘플 정책을 IAM 사용자 또는 역할에 연결합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }

다음 IAM 정책은 사용자가 AWS KMS를 사용하기 위해 필요합니다. 이 정책은 권한 부여 생성 가능과 더불어 CMK에 대한 읽기 전용 액세스 권한을 사용자에게 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }