기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
신뢰할 수 있는 장치에 WorkSpaces 대한 액세스 제한
기본적으로 사용자는 인터넷에 연결된 지원되는 모든 WorkSpaces 장치에서 액세스할 수 있습니다. 회사에서 신뢰할 수 있는 장치 (관리 대상 장치라고도 함) 에 대한 회사 데이터 액세스를 제한하는 경우 유효한 인증서를 사용하여 신뢰할 수 있는 장치에 WorkSpaces 대한 액세스를 제한할 수 있습니다.
이 기능을 사용하도록 설정하면 인증서 기반 인증을 WorkSpaces 사용하여 장치가 신뢰할 수 있는지 여부를 결정합니다. WorkSpaces 클라이언트 애플리케이션이 디바이스를 신뢰할 수 있는지 확인할 수 없는 경우 디바이스에서 로그인하거나 다시 연결하려는 시도를 차단합니다.
각 디렉터리에 대해 최대 2개의 루트 인증서를 가져올 수 있습니다. 두 개의 루트 인증서를 가져오는 경우 이 두 인증서를 모두 클라이언트에 WorkSpaces 제공하고 클라이언트는 루트 인증서 중 하나에 연결된 유효한 일치하는 첫 번째 인증서를 찾습니다.
지원 클라이언트
-
Android 또는 Android 호환 Chrome OS 시스템에서 실행되는 Android
-
macOS
-
Windows
중요
이 기능은 다음 클라이언트에서 지원되지 않습니다.
-
WorkSpaces Linux 또는 iPad용 클라이언트 애플리케이션
-
서드 파트 클라이언트(Teradici PCoIP, RDP 클라이언트 및 원격 데스크톱 애플리케이션을 포함하나 이에 국한되지 않음)
1단계: 인증서 생성
이 기능은 두 가지 유형의 인증서를 요구합니다. 내부 인증 기관(CA)에 의해 생성된 루트 인증서와 루트 인증서로 이어지는 클라이언트 인증서
요구 사항
루트 인증서는 CRT, CERT 또는 PEM 형식의 Base64 인코딩된 인증서 파일이어야 합니다.
루트 인증서는 다음과 같은 정규 표현식 패턴을 충족해야 합니다. 즉, 마지막 줄을 제외한 모든 인코딩된 줄의 길이는 정확히 64자여야 합니다.
-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)
디바이스 인증서는 일반 이름을 포함해야 합니다.
디바이스 인증서에는 다음과 같은 확장자가 포함되어야 합니다.
Key Usage: Digital Signature
,Enhanced Key Usage: Client Authentication
디바이스 인증서에서 신뢰할 수 있는 루트 인증 기관으로 연결되는 체인의 모든 인증서를 클라이언트 디바이스에 설치해야 합니다.
지원되는 인증서 체인 최대 길이는 4입니다.
WorkSpaces 클라이언트 인증서에 대한 CRL (인증서 취소 목록) 또는 OCSP (온라인 인증서 상태 프로토콜) 와 같은 장치 취소 메커니즘은 현재 지원하지 않습니다.
강력한 암호화 알고리즘을 사용하십시오. SHA256 with RSA, SHA256 with ECDSA, SHA384 with ECDSA, 또는 SHA512 with ECDSA를 권장합니다.
macOS의 경우 장치 인증서가 시스템 키체인에 있는 경우 WorkSpaces 클라이언트 애플리케이션이 해당 인증서에 액세스할 수 있도록 승인하는 것이 좋습니다. 그렇지 않을 경우 사용자가 로그인 또는 재연결할 때 키 체인 자격 증명을 입력해야 합니다.
2단계: 신뢰할 수 있는 디바이스에 클라이언트 인증서 배포
사용자를 위한 신뢰할 수 있는 디바이스에는 디바이스 인증서에서 신뢰할 수 있는 루트 인증 기관까지 체인에 있는 모든 인증서가 포함된 인증서 번들을 설치해야 합니다. 선호하는 솔루션(System Center Configuration Manager(SCCM) 또는 모바일 디바이스 관리(MDM))을 사용하여 클라이언트 디바이스 집합에 인증서를 시할 수 있습니다. SCCM 및 MDM은 선택적으로 보안 상태 평가를 수행하여 장치가 액세스에 대한 회사 정책을 충족하는지 여부를 결정할 수 있습니다. WorkSpaces
WorkSpaces 클라이언트 애플리케이션은 다음과 같이 인증서를 검색합니다.
-
Android - Settings으로 이동하여 Security & location, Credentials를 선택하고 Install from SD card를 선택합니다.
-
Android 호환 Chrome OS 시스템 - Android 설정을 열고 Security & location, Credentials를 선택하고 Install from SD card를 선택합니다.
-
macOS - 키체인에서 클라이언트 인증서를 검색합니다.
-
Windows - 사용자 및 루트 인증서 저장소에서 클라이언트 인증서를 검색합니다.
3단계: 제한 구성
신뢰할 수 있는 디바이스에 클라이언트 인증서를 배포한 후 디렉터리 수준에서 제한된 액세스를 활성화할 수 있습니다. 이를 위해서는 WorkSpaces 클라이언트 애플리케이션이 디바이스의 인증서를 검증해야 사용자가 로그인할 수 있도록 허용할 수 WorkSpace 있습니다.
제한을 구성하려면
-
https://console.aws.amazon.com/workspaces/
에서 WorkSpaces 콘솔을 엽니다. -
탐색 창에서 디렉터리를 선택합니다.
-
디렉터리를 선택하고 [Actions], [Update Details]를 선택합니다.
-
[Access Control Options]를 확장합니다.
-
각 장치 유형에서 장치 유형을 선택하고 액세스할 수 있는 장치를 지정합니다 WorkSpaces.
-
최대 2개의 루트 인증서를 가져옵니다. 각 루트 인증서에 대해 다음을 수행합니다.
가져오기를 선택합니다.
인증서의 본문을 양식에 복사합니다.
가져오기를 선택합니다.
-
(선택 사항) 다른 유형의 장치가 액세스할 수 있는지 여부를 지정합니다 WorkSpaces.
-
아래로 스크롤하여 Other Platforms(기타 플랫폼) 섹션으로 이동합니다. 기본적으로 WorkSpaces Linux 클라이언트는 비활성화되며 사용자는 iOS 디바이스, Android 디바이스, 웹 액세스, 크롬북 및 PCoIP 제로 클라이언트 WorkSpaces 디바이스에서 액세스할 수 있습니다.
-
활성화할 디바이스 유형을 선택하고, 비활성화할 디바이스 유형을 선택 취소합니다.
-
선택한 모든 디바이스 유형으로부터 액세스를 차단하려면 [Block]을 선택합니다.
-
-
[Update and Exit]를 선택합니다.