암호화됨 WorkSpaces - 아마존 WorkSpaces

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

암호화됨 WorkSpaces

WorkSpaces AWS Key Management Service (AWS KMS) 와 통합되어 있습니다. 이를 통해 AWS KMS 키를 WorkSpaces 사용하는 스토리지 볼륨을 암호화할 수 있습니다. 를 실행하면 루트 볼륨 (Microsoft Windows의 경우 C 드라이브, Linux의 경우/) 및 사용자 볼륨 (Windows의 경우 D 드라이브, Linux의 경우 /home) 을 암호화할 수 있습니다. WorkSpace 이렇게 하면 유휴 상태인 저장 데이터, 볼륨에 대한 디스크 I/O 및 볼륨에서 생성된 스냅샷이 모두 암호화됩니다.

참고

를 암호화하는 것 외에도 특정 미국 WorkSpaces 지역에서는 FIPS 엔드포인트 암호화를 사용할 수 있습니다. AWS 자세한 내용은 FedRAMP 승인 또는 DoD SRG 준수를 위해 Amazon WorkSpaces 설정 단원을 참조하십시오.

사전 조건 

암호화 프로세스를 시작하려면 먼저 AWS KMS 키가 필요합니다. 이 KMS 키는 Amazon용 AWS 관리형 KMS 키 WorkSpaces (AWS/워크스페이스) 이거나 고객이 관리하는 대칭형 KMS 키일 수 있습니다.

  • AWS 관리형 KMS 키 — 특정 지역의 WorkSpace WorkSpaces 콘솔에서 암호화되지 않은 KMS 키를 처음 실행하면 Amazon은 사용자 계정에 AWS 관리형 KMS 키 (AWS/workspaces) 를 WorkSpaces 자동으로 생성합니다. 이 AWS 관리형 KMS 키를 선택하여 사용자 및 루트 볼륨을 암호화할 수 있습니다. WorkSpace 자세한 내용은 암호화 사용 개요 WorkSpaces AWS KMS단원을 참조하세요.

    정책 및 권한 부여를 포함하여 이 AWS 관리형 KMS 키를 보고 AWS CloudTrail 로그에서 사용을 추적할 수 있지만 이 KMS 키를 사용하거나 관리할 수는 없습니다. WorkSpaces Amazon은 이 KMS 키를 생성하고 관리합니다. WorkSpaces Amazon만이 이 KMS 키를 사용할 WorkSpaces 수 있으며 계정의 WorkSpaces 리소스를 암호화하는 데만 사용할 수 있습니다.

    AWS Amazon에서 WorkSpaces 지원하는 키를 포함한 관리형 KMS 키는 3년마다 교체됩니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 순환 AWS KMS 키를 참조하십시오.

  • 고객 관리형 KMS 키 - 또는 사용하여 생성한 대칭형 고객 관리형 KMS 키를 선택할 수도 있습니다. AWS KMS정책 설정을 포함하여 이 KMS 키를 확인, 사용 및 관리할 수 있습니다. KMS 키 생성에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 생성을 참조하세요. AWS KMS API를 사용하여 KMS 키를 생성하는 방법에 대한 자세한 내용은 개발자 안내서의 사용을 참조하십시오.AWS Key Management Service

    자동 키 교체를 활성화하지 않는 한 고객 관리형 KMS 키는 자동으로 교체되지 않습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 AWS KMS 키 회전을 참조하십시오.

중요

KMS 키를 수동으로 교체할 때는 원래 KMS 키가 암호화한 것을 AWS KMS 해독할 수 있도록 원래 KMS 키와 새 KMS 키를 모두 활성화된 상태로 유지해야 합니다. WorkSpaces 원래 KMS 키를 계속 사용하도록 설정하지 않으려면 새 KMS 키를 사용하여 키를 다시 WorkSpaces 만들고 암호화해야 합니다.

AWS KMS 키를 사용하여 암호화하려면 다음 요구 사항을 충족해야 합니다. WorkSpaces

Limits

  • 기존 파일은 암호화할 수 없습니다. WorkSpace 실행할 WorkSpace 때 암호화해야 합니다.

  • 암호화된 이미지에서 사용자 지정 이미지를 생성하는 WorkSpace 것은 지원되지 않습니다.

  • 암호화된 이미지에 대한 암호화를 비활성화하는 WorkSpace 것은 현재 지원되지 않습니다.

  • WorkSpaces 루트 볼륨 암호화가 활성화된 상태에서 실행하면 프로비저닝하는 데 최대 1시간이 걸릴 수 있습니다.

  • 암호화된 WorkSpace 키를 재부팅하거나 재빌드하려면 먼저 키가 활성화되어 있는지 확인하십시오. 그렇지 않으면 AWS KMS 키를 사용할 수 WorkSpace 없게 됩니다. KMS 키의 활성화 여부를 확인하려면 AWS Key Management Service 개발자 안내서의 KMS 키 세부 정보 표시를 참조하세요.

암호화 사용 개요 WorkSpaces AWS KMS

암호화된 WorkSpaces 볼륨으로 생성하는 경우 Amazon Elastic Block Store (Amazon EBS) 를 WorkSpaces 사용하여 해당 볼륨을 생성하고 관리합니다. Amazon EBS는 산업 표준 AES-256 알고리즘을 사용하여 데이터 키로 볼륨을 암호화합니다. Amazon EBS와 Amazon 모두 사용자의 KMS 키를 WorkSpaces 사용하여 암호화된 볼륨을 처리합니다. EBS 볼륨 암호화에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EBS 암호화를 참조하십시오.

암호화된 WorkSpaces 볼륨으로 시작하는 경우 end-to-end 프로세스는 다음과 같이 작동합니다.

  1. 암호화에 사용할 KMS 키와 사용자 및 디렉터리를 WorkSpace 지정합니다. 이 작업을 수행하면 KMS 키를 이 용도로만 사용할 수 있는 권한 부여가 생성됩니다. WorkSpace 즉, 지정된 사용자 및 디렉터리와 WorkSpace 연결된 키에만 KMS 키를 사용할 수 있습니다. WorkSpaces

  2. WorkSpaces 에 대해 암호화된 EBS 볼륨을 생성하고 사용할 KMS 키와 볼륨의 사용자 WorkSpace 및 디렉터리를 지정합니다. 이 작업을 수행하면 Amazon EBS가 KMS 키를 이 볼륨 및 볼륨, 즉 지정된 사용자 WorkSpace 및 디렉터리와 WorkSpace 연결된 볼륨 및 지정된 볼륨에만 사용할 수 있는 권한이 생성됩니다.

  3. Amazon EBS는 KMS 키로 암호화된 볼륨 데이터 키를 요청하고 WorkSpace 사용자의 Active Directory 보안 식별자 (SID) 및 AWS Directory Service 디렉터리 ID와 Amazon EBS 볼륨 ID를 암호화 컨텍스트로 지정합니다.

  4. AWS KMS 새 데이터 키를 생성하고 KMS 키로 암호화한 다음 암호화된 데이터 키를 Amazon EBS로 보냅니다.

  5. WorkSpaces Amazon EBS를 사용하여 암호화된 볼륨을 사용자의 WorkSpace 볼륨에 연결합니다. Amazon EBS는 Decrypt요청과 AWS KMS 함께 암호화된 데이터 키를 에 보내고 WorkSpace 사용자의 SID, 디렉터리 ID, 암호화 컨텍스트로 사용되는 볼륨 ID를 지정합니다.

  6. AWS KMS KMS 키를 사용하여 데이터 키를 해독한 다음 일반 텍스트 데이터 키를 Amazon EBS로 보냅니다.

  7. Amazon EBS에서는 일반 텍스트 데이터 키를 이용해 암호화된 볼륨으로 들어오거나 나가는 모든 데이터를 암호화합니다. Amazon EBS는 볼륨이 에 연결되어 있는 한 일반 텍스트 데이터 키를 메모리에 보관합니다 WorkSpace.

  8. Amazon EBS는 암호화된 데이터 키 (수신단계 4) 를 볼륨 메타데이터와 함께 저장하여 나중에 재부팅하거나 재구축할 경우 사용할 수 있도록 합니다. WorkSpace

  9. 를 AWS Management Console 사용하여 제거하거나 WorkSpaces API의 TerminateWorkspaces작업을 사용하는 경우 Amazon EBS에서 KMS 키를 사용할 수 있도록 허용한 권한 부여를 폐기합니다. WorkSpace WorkSpaces WorkSpace

WorkSpaces 암호화 컨텍스트

WorkSpaces KMS 키를 암호화 작업 (예: Encrypt, Decrypt등) 에 직접 사용하지 WorkSpaces 않습니다. 즉, 암호화 컨텍스트가 포함된 요청을 AWS KMS 보내지 않습니다. GenerateDataKey 하지만 Amazon EBS가 WorkSpaces (단계 3암호화 사용 개요 WorkSpaces AWS KMS) 의 암호화된 볼륨에 대해 암호화된 데이터 키를 요청하고 해당 데이터 키 (단계 5) 의 일반 텍스트 사본을 요청하면 요청에 암호화 컨텍스트가 포함됩니다.

암호화 컨텍스트는 데이터 무결성을 보장하는 데 AWS KMS 사용되는 추가 인증 데이터 (AAD) 를 제공합니다. 암호화 컨텍스트는 AWS CloudTrail 로그 파일에도 기록되므로 특정 KMS 키가 사용된 이유를 이해하는 데 도움이 됩니다. Amazon EBS는 암호화 컨텍스트에 대해 다음을 사용합니다.

  • 다음과 관련된 액티브 디렉터리 사용자의 SID (보안 식별자) WorkSpace

  • 와 연결된 AWS Directory Service 디렉터리의 디렉터리 ID WorkSpace

  • 암호화된 볼륨의 Amazon EBS 볼륨 ID

다음 예는 Amazon EBS가 사용하는 암호화 컨텍스트의 JSON 표시를 보여줍니다.

{ "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]", "aws:ebs:id": "vol-1234abcd" }

사용자 대신 KMS 키를 사용할 WorkSpaces 권한을 부여하십시오.

WorkSpaces(AWS/workspaces) 용 AWS 관리형 KMS 키 또는 고객 관리형 KMS 키로 WorkSpace 데이터를 보호할 수 있습니다. 고객 관리형 KMS 키를 사용하는 경우 계정의 관리자를 대신하여 KMS 키를 사용할 WorkSpaces 권한을 부여해야 합니다. WorkSpaces 의 AWS 관리형 KMS WorkSpaces 키에는 기본적으로 필요한 권한이 있습니다.

고객 관리형 KMS 키를 에서 사용할 수 있도록 준비하려면 다음 절차를 사용하십시오. WorkSpaces

WorkSpaces 관리자에게도 사용 WorkSpaces 권한이 필요합니다. 이러한 권한에 대한 자세한 내용은 WorkSpaces의 Identity and Access Management 섹션을 참조하세요.

1부: WorkSpaces 관리자를 주요 사용자로 추가

WorkSpaces 관리자에게 필요한 권한을 부여하려면 AWS Management Console 또는 AWS KMS API를 사용할 수 있습니다.

WorkSpaces 관리자를 KMS 키의 주요 사용자로 추가하는 방법 (콘솔)

  1. https://console.aws.amazon.com/kms 에서 AWS Management Console 로그인하고 AWS Key Management Service (AWS KMS) 콘솔을 엽니다.

  2. 를 변경하려면 페이지 오른쪽 상단의 지역 선택기를 사용하십시오. AWS 리전

  3. 탐색 창에서 고객 관리형 키를 선택합니다.

  4. 선호하는 고객 관리형 KMS 키의 키 ID 또는 별칭을 선택합니다.

  5. 키 정책(Key policy) 탭을 선택합니다. 키 사용자에서 추가(Add)를 선택합니다.

  6. IAM 사용자 및 역할 목록에서 WorkSpaces 관리자에 해당하는 사용자와 역할을 선택한 다음 추가를 선택합니다.

WorkSpaces 관리자를 KMS 키 (API) 의 주요 사용자로 추가하는 방법

  1. GetKey정책 작업을 사용하여 기존 키 정책을 가져온 다음 정책 문서를 파일에 저장합니다.

  2. 원하는 텍스트 편집기에서 정책 문서를 엽니다. WorkSpaces 관리자에 해당하는 IAM 사용자 및 역할을 주요 사용자에게 권한을 부여하는 정책 설명에 추가하십시오. 그런 다음 파일을 저장합니다.

  3. PutKey정책 작업을 사용하여 KMS 키에 키 정책을 적용할 수 있습니다.

2부: IAM 정책을 사용하여 WorkSpaces 관리자에게 추가 권한 부여

암호화에 사용할 고객 관리형 KMS 키를 선택하는 경우 암호화를 시작한 계정의 IAM 사용자를 대신하여 Amazon이 KMS 키를 사용할 수 WorkSpaces 있도록 허용하는 IAM 정책을 설정해야 합니다. WorkSpaces 또한 해당 사용자는 Amazon을 사용할 권한이 필요합니다 WorkSpaces. IAM 사용자 정책 생성 및 편집에 대한 자세한 내용은 IAM 사용 설명서의 IAM 정책 관리WorkSpaces의 Identity and Access Management 섹션을 참조하세요.

WorkSpaces 암호화에는 KMS 키에 대한 제한된 액세스가 필요합니다. 다음은 사용 가능한 샘플 키 정책입니다. 이 정책은 AWS KMS KMS 키를 관리할 수 있는 보안 주체와 이 키를 사용할 수 있는 보안 주체를 구분합니다. 이 샘플 키 정책을 사용하기 전에 예시 계정 ID와 IAM 사용자 이름을 계정의 실제 값으로 바꿉니다.

첫 번째 명령문은 기본 AWS KMS 키 정책과 일치합니다. 이는 KMS 키에 대한 액세스를 제어할 수 있도록 IAM 정책을 사용할 수 있는 계정 권한을 부여합니다. 두 번째 명령문과 세 번째 명령문은 AWS 각각 키를 관리하고 사용할 수 있는 보안 주체를 정의합니다. 네 번째 명령문을 사용하면 AWS KMS 통합된 AWS 서비스가 지정된 주체를 대신하여 키를 사용할 수 있습니다. 이 문을 사용하여 AWS 서비스에서 권한을 생성 및 관리할 수 있습니다. 이 설명서에서는 KMS 키에 대한 권한 부여를 계정 내 사용자를 대신하여 AWS 서비스가 제공하는 것으로 제한하는 조건 요소를 사용합니다.

참고

WorkSpaces 관리자가 를 사용하여 암호화된 볼륨을 생성하는 경우 관리자는 WorkSpaces 별칭과 목록 키를 나열할 수 있는 권한 ("kms:ListAliases""kms:ListKeys" 권한) 이 필요합니다. AWS Management Console WorkSpaces 관리자가 콘솔이 아닌 Amazon WorkSpaces API만 사용하는 경우 "kms:ListAliases""kms:ListKeys" 권한을 생략할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

암호화하는 사용자 또는 역할에 대한 IAM 정책에는 고객 관리형 KMS 키에 대한 사용 권한과 액세스 권한이 WorkSpace 포함되어야 합니다. WorkSpaces IAM 사용자 또는 역할 WorkSpaces 권한을 부여하려면 다음 샘플 정책을 IAM 사용자 또는 역할에 연결할 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }

다음 IAM 정책은 사용자가 AWS KMS를 사용하기 위해 필요합니다. 이 정책은 권한 부여 생성 가능과 더불어 KMS 키에 대한 읽기 전용 액세스 권한을 사용자에게 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }

정책에 KMS 키를 지정하려면 다음과 유사한 IAM 정책을 사용하세요. 예시에서 KMS 키 ARN을 유효한 ARN으로 바꿉니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

암호화하십시오. WorkSpace

a를 암호화하려면 WorkSpace
  1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

  2. [Launch WorkSpaces] 를 선택하고 처음 세 단계를 완료합니다.

  3. WorkSpaces 구성 단계에서 다음을 수행하십시오.

    1. 암호화할 볼륨을 선택합니다. [Root Volume], [User Volume] 또는 두 볼륨 모두.

    2. 암호화 키에서 Amazon에서 생성한 AWS 관리형 KMS 키 WorkSpaces 또는 사용자가 만든 KMS 키 중 하나를 선택합니다. AWS KMS 선택하는 KMS 키는 대칭이어야 합니다. WorkSpaces Amazon은 비대칭 KMS 키를 지원하지 않습니다.

    3. 다음 단계를 선택합니다.

  4. [실행] 을 선택합니다. WorkSpaces

암호화된 상태로 보기 WorkSpaces

WorkSpaces 콘솔에서 어떤 WorkSpaces 및 볼륨이 암호화되었는지 확인하려면 왼쪽의 탐색 WorkSpaces표시줄에서 선택하십시오. 볼륨 암호화 WorkSpace 열에는 각 항목에 암호화가 활성화되었는지 비활성화되었는지가 표시됩니다. 어떤 특정 볼륨이 암호화되었는지 확인하려면 WorkSpace 항목을 확장하여 암호화된 볼륨 필드를 확인하십시오.