신뢰할 수 있는 장치에 WorkSpaces 대한 액세스 제한 - 아마존 WorkSpaces
1단계: 인증서 생성2단계: 신뢰할 수 있는 디바이스에 클라이언트 인증서 배포3단계: 제한 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

신뢰할 수 있는 장치에 WorkSpaces 대한 액세스 제한

기본적으로 사용자는 인터넷에 연결된 지원되는 모든 WorkSpaces 장치에서 액세스할 수 있습니다. 회사에서 신뢰할 수 있는 장치 (관리 대상 장치라고도 함) 에 대한 회사 데이터 액세스를 제한하는 경우 유효한 인증서를 사용하여 신뢰할 수 있는 장치에 WorkSpaces 대한 액세스를 제한할 수 있습니다.

이 기능을 사용하도록 설정하면 인증서 기반 인증을 WorkSpaces 사용하여 장치가 신뢰할 수 있는지 여부를 결정합니다. WorkSpaces 클라이언트 애플리케이션이 디바이스를 신뢰할 수 있는지 확인할 수 없는 경우 디바이스에서 로그인하거나 다시 연결하려는 시도를 차단합니다.

각 디렉터리에 대해 최대 2개의 루트 인증서를 가져올 수 있습니다. 두 개의 루트 인증서를 가져오는 경우 이 두 인증서를 모두 클라이언트에 WorkSpaces 제공하고 클라이언트는 루트 인증서 중 하나에 연결된 유효한 일치하는 첫 번째 인증서를 찾습니다.

지원 클라이언트

  • Android 또는 Android 호환 Chrome OS 시스템에서 실행되는 Android

  • macOS

  • Windows

중요

이 기능은 다음 클라이언트에서 지원되지 않습니다.

  • WorkSpaces Linux 또는 iPad용 클라이언트 애플리케이션

  • 서드 파트 클라이언트(Teradici PCoIP, RDP 클라이언트 및 원격 데스크톱 애플리케이션을 포함하나 이에 국한되지 않음)

1단계: 인증서 생성

이 기능은 두 가지 유형의 인증서를 요구합니다. 내부 인증 기관(CA)에 의해 생성된 루트 인증서와 루트 인증서로 이어지는 클라이언트 인증서

요구 사항

  • 루트 인증서는 CRT, CERT 또는 PEM 형식의 Base64 인코딩된 인증서 파일이어야 합니다.

  • 루트 인증서는 다음과 같은 정규 표현식 패턴을 충족해야 합니다. 즉, 마지막 줄을 제외한 모든 인코딩된 줄의 길이는 정확히 64자여야 합니다. -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • 디바이스 인증서는 일반 이름을 포함해야 합니다.

  • 디바이스 인증서에는 다음과 같은 확장자가 포함되어야 합니다. Key Usage: Digital Signature, Enhanced Key Usage: Client Authentication

  • 디바이스 인증서에서 신뢰할 수 있는 루트 인증 기관으로 연결되는 체인의 모든 인증서를 클라이언트 디바이스에 설치해야 합니다.

  • 지원되는 인증서 체인 최대 길이는 4입니다.

  • WorkSpaces 클라이언트 인증서에 대한 CRL (인증서 취소 목록) 또는 OCSP (온라인 인증서 상태 프로토콜) 와 같은 장치 취소 메커니즘은 현재 지원하지 않습니다.

  • 강력한 암호화 알고리즘을 사용하십시오. SHA256 with RSA, SHA256 with ECDSA, SHA384 with ECDSA, 또는 SHA512 with ECDSA를 권장합니다.

  • macOS의 경우 장치 인증서가 시스템 키체인에 있는 경우 WorkSpaces 클라이언트 애플리케이션이 해당 인증서에 액세스할 수 있도록 승인하는 것이 좋습니다. 그렇지 않을 경우 사용자가 로그인 또는 재연결할 때 키 체인 자격 증명을 입력해야 합니다.

2단계: 신뢰할 수 있는 디바이스에 클라이언트 인증서 배포

사용자를 위한 신뢰할 수 있는 디바이스에는 디바이스 인증서에서 신뢰할 수 있는 루트 인증 기관까지 체인에 있는 모든 인증서가 포함된 인증서 번들을 설치해야 합니다. 선호하는 솔루션(System Center Configuration Manager(SCCM) 또는 모바일 디바이스 관리(MDM))을 사용하여 클라이언트 디바이스 집합에 인증서를 시할 수 있습니다. SCCM 및 MDM은 선택적으로 보안 상태 평가를 수행하여 장치가 액세스에 대한 회사 정책을 충족하는지 여부를 결정할 수 있습니다. WorkSpaces

WorkSpaces 클라이언트 애플리케이션은 다음과 같이 인증서를 검색합니다.

  • Android - Settings으로 이동하여 Security & location, Credentials를 선택하고 Install from SD card를 선택합니다.

  • Android 호환 Chrome OS 시스템 - Android 설정을 열고 Security & location, Credentials를 선택하고 Install from SD card를 선택합니다.

  • macOS - 키체인에서 클라이언트 인증서를 검색합니다.

  • Windows - 사용자 및 루트 인증서 저장소에서 클라이언트 인증서를 검색합니다.

3단계: 제한 구성

신뢰할 수 있는 디바이스에 클라이언트 인증서를 배포한 후 디렉터리 수준에서 제한된 액세스를 활성화할 수 있습니다. 이를 위해서는 WorkSpaces 클라이언트 애플리케이션이 디바이스의 인증서를 검증해야 사용자가 로그인할 수 있도록 허용할 수 WorkSpace 있습니다.

제한을 구성하려면

  1. https://console.aws.amazon.com/workspaces/ 에서 WorkSpaces 콘솔을 엽니다.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 디렉터리를 선택하고 [Actions], [Update Details]를 선택합니다.

  4. [Access Control Options]를 확장합니다.

  5. 각 장치 유형에서 장치 유형을 선택하고 액세스할 수 있는 장치를 지정합니다 WorkSpaces.

  6. 최대 2개의 루트 인증서를 가져옵니다. 각 루트 인증서에 대해 다음을 수행합니다.

    1. 가져오기를 선택합니다.

    2. 인증서의 본문을 양식에 복사합니다.

    3. 가져오기를 선택합니다.

  7. (선택 사항) 다른 유형의 장치가 액세스할 수 있는지 여부를 지정합니다 WorkSpaces.

    1. 아래로 스크롤하여 Other Platforms(기타 플랫폼) 섹션으로 이동합니다. 기본적으로 WorkSpaces Linux 클라이언트는 비활성화되며 사용자는 iOS 디바이스, Android 디바이스, 웹 액세스, 크롬북 및 PCoIP 제로 클라이언트 WorkSpaces 디바이스에서 액세스할 수 있습니다.

    2. 활성화할 디바이스 유형을 선택하고, 비활성화할 디바이스 유형을 선택 취소합니다.

    3. 선택한 모든 디바이스 유형으로부터 액세스를 차단하려면 [Block]을 선택합니다.

  8. [Update and Exit]를 선택합니다.