Restrict WorkSpaces Access to Trusted Devices - Amazon WorkSpaces

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Restrict WorkSpaces Access to Trusted Devices

기본적으로 사용자는 인터넷에 연결된 지원되는 디바이스에서 WorkSpaces에 액세스할 수 있습니다. 회사가 회사 데이터 액세스를 신뢰할 수 있는(또한 관리형 디바이스로 알려져 있는) 디바이스로 제한하는 경우 WorkSpaces 액세스를 유효한 인증서가 있는 신뢰할 수 있는 디바이스로 제한할 수 있습니다.

이 기능을 활성화하면 Amazon WorkSpaces은(는) 인증서 기반 인증을 사용하여 디바이스를 신뢰할 수 있는 여부를 결정합니다. WorkSpaces 클라이언트 애플리케이션은 디바이스를 신뢰할 수 있는지 여부를 확인할 수 없을 경우 디바이스로부터의 로그인 또는 재연결 시도를 차단합니다.

각 디렉터리에 대해 최대 2개의 루트 인증서를 가져올 수 있습니다. 루트 인증서를 2개 가져오는 경우 Amazon WorkSpaces은(는) 클라이언트에 두 인증서를 모두 제공하고 클라이언트는 루트 인증서 중 하나로 이어지는 첫 번째 유효한 일치 인증서를 찾습니다.

중요

This feature applies only to the Amazon WorkSpaces Windows and macOS clients. 이 기능은 Amazon WorkSpaces Teradici pcoip 소프트웨어 및 모바일 클라이언트, Teradici pcoip Zero 클라이언트, RDP 클라이언트 및 원격 데스크톱 애플리케이션을 포함하되 이에 국한되지 않는 웹 액세스 클라이언트 또는 타사 클라이언트.

Step 1: Create the Certificates

이 기능은 두 가지 유형의 인증서를 요구합니다. 내부 인증 기관(CA)에 의해 생성된 루트 인증서와 루트 인증서로 이어지는 클라이언트 인증서

Requirements

  • Certificates must be Base64-encoded certificate files in CRT, CERT, or PEM format.

  • Certificates must include a Common Name.

  • The maximum length of certificate chain supported is 4.

  • Amazon WorkSpaces does not currently support device revocation mechanisms, such as certificate revocation lists (CRL) or Online Certificate Status Protocol (OCSP), for client certificates.

  • Use a strong encryption algorithm. We recommend SHA256 with RSA, SHA256 with ECDSA, SHA381 with ECDSA, or SHA512 with ECDSA.

  • Make sure "key usage: Digital signature" is present on the public key, or device authentication will fail even if the public and private keys are present on the machine and in the WorkSpaces console.

  • For macOS, if the device certificate is in the system keychain, we recommend that you authorize the WorkSpaces client application to access those certificates. Otherwise, users must enter keychain credentials when they log in or reconnect.

Step 2: Deploy Client Certificates to the Trusted Devices

사용자를 위해 신뢰할 수 있는 디바이스에 클라이언트 인증서를 설치해야 합니다. 선호하는 솔루션(System Center Configuration Manager(SCCM) 또는 모바일 디바이스 관리(MDM))을 사용하여 클라이언트 디바이스 집합에 인증서를 시할 수 있습니다. SCCM 및 MDM은 선택적으로 보안 태세 평가를 수행하여 디바이스가 WorkSpaces 액세스에 대한 회사 정책을 충족하는지 여부를 결정합니다.

Windows에서 WorkSpaces 클라이언트 애플리케이션은 사용자 인증서 스토어와 루트 인증서 스토어 모두에서 클라이언트 인증서를 검색합니다. macOS에서 WorkSpaces 클라이언트 애플리케이션은 전체 키 체인에서 클라이언트 인증서를 검색합니다.

Step 3: Configure the Restriction

신뢰할 수 있는 디바이스에 클라이언트 인증서를 배포한 후 디렉터리 수준에서 제한된 액세스를 활성화할 수 있습니다. 이를 위해 WorkSpaces 클라이언트 애플리케이션은 사용자가 WorkSpaces에 로그인하도록 허용하기 전에 디바이스에서 인증서를 확인해야 합니다.

제한을 구성하려면

  1. https://console.aws.amazon.com/workspaces/에서 Amazon WorkSpaces 콘솔을 엽니다.

  2. 탐색 창에서 [Directories]를 선택합니다.

  3. 디렉터리를 선택하고 [Actions], [Update Details]를 선택합니다.

  4. [Access Control Options]를 확장합니다.

  5. [Windows] [Only Allow Trusted Windows Devices to Access WorkSpaces]를 선택합니다.

  6. [macOS] [Only Allow Trusted macOS Devices to Access WorkSpaces]를 선택합니다.

  7. 최대 2개의 루트 인증서를 가져옵니다. 각 루트 인증서에 대해 다음을 수행합니다.

    1. [Import]를 선택합니다.

    2. 인증서의 본문을 양식에 복사합니다.

    3. [Import]를 선택합니다.

  8. (선택 사항) 다른 유형의 디바이스가 WorkSpaces에 액세스할 수 있는지 여부를 지정합니다.

    1. 아래로 스크롤하여 Other Platforms(기타 플랫폼) 섹션으로 이동합니다. 기본적으로 WorkSpaces Web Access 및 Linux 클라이언트가 비활성화되어 있으며, 사용자는 iOS 디바이스, Android 디바이스, Chromebooks, 및 PCoIP 제로 클라이언트 디바이스에서 WorkSpaces에 액세스할 수 있습니다.

    2. 활성화할 디바이스 유형을 선택하고, 비활성화할 디바이스 유형을 선택 취소합니다.

    3. 선택한 모든 디바이스 유형으로부터 액세스를 차단하려면 [Block]을 선택합니다.

  9. Update and Exit(업데이트 및 종료)를 선택합니다.