As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia de dados em repouso para Amazon WorkSpaces Thin Client
O Amazon WorkSpaces Thin Client fornece criptografia por padrão para proteger dados confidenciais de clientes em repouso usando chaves de criptografia AWS próprias.
AWS chaves próprias — O Amazon WorkSpaces Thin Client usa essas chaves por padrão para criptografar automaticamente dados de identificação pessoal. Você não pode visualizar, gerenciar ou usar chaves AWS próprias nem auditar seu uso. No entanto, não é necessário realizar nenhuma ação nem alterar qualquer programa para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte Chaves de propriedade da AWS no Guia do desenvolvedor do AWS Key Management Service.
A criptografia de dados em repouso por padrão ajuda a reduzir a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, ela permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.
Embora você não possa desativar essa camada de criptografia nem selecionar um tipo de criptografia alternativo, você pode adicionar uma segunda camada de criptografia sobre as chaves de criptografia existentes de propriedade da AWS, escolhendo uma chave gerenciada pelo cliente ao criar seu ambiente do Thin Client:
Chaves gerenciadas pelo cliente — O Amazon WorkSpaces Thin Client oferece suporte ao uso de uma chave simétrica gerenciada pelo cliente que você cria, possui e gerencia para adicionar uma segunda camada de criptografia à criptografia existente AWS . Como você tem controle total dessa camada de criptografia, você pode realizar tarefas como as seguintes:
Estabelecer e manter as políticas de chave
Estabelecer e manter políticas do IAM
Ativar e desativar políticas de chaves
Alternar os materiais de criptografia de chave
Adicionar etiquetas
Criar réplicas de chaves
Chaves de agendamento para exclusão
Para obter mais informações, consulte chave gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service.
A tabela a seguir resume como o Amazon WorkSpaces Thin Client criptografa dados de identificação pessoal.
| Tipo de dados | Criptografia de chave própria da AWS | Criptografia de chave gerenciada pelo cliente (opcional) |
|---|---|---|
|
Nome do ambiente WorkSpaces Nome do ambiente Thin Client |
Habilitada |
Habilitado |
|
Nome do dispositivo WorkSpaces Nome do dispositivo Thin Client |
Habilitada |
Habilitado |
|
Atividade do usuário WorkSpaces Atividade do usuário do Thin Client |
Habilitada |
Habilitado |
|
Configurações do dispositivo WorkSpaces Configurações do dispositivo Thin Client |
Habilitada |
Habilitado |
|
Tags de criação de dispositivos WorkSpaces Tags de criação de dispositivos Thin Client Environment |
Habilitada |
Habilitado |
nota
O Amazon WorkSpaces Thin Client habilita automaticamente a criptografia em repouso usando chaves AWS próprias para proteger dados de identificação pessoal sem nenhum custo.
No entanto, as cobranças do AWS KMS se aplicam ao uso de uma chave gerenciada pelo cliente. Para obter informações sobre a definição de preço, consulte Definição de preço do serviço de gerenciamento de chaves da AWS
Como o Amazon WorkSpaces Thin Client usa o AWS KMS
O Amazon WorkSpaces Thin Client exige uma política de chaves para você usar sua chave gerenciada pelo cliente.
O Amazon WorkSpaces Thin Client exige que a política de chaves use sua chave gerenciada pelo cliente para as seguintes operações internas:
Envie
GenerateDataKeysolicitações ao AWS KMS para criptografar os dados.Envie
Decryptsolicitações ao AWS KMS para descriptografar os dados criptografados.
Você pode remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o Amazon WorkSpaces Thin Client não poderá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você tentar obter detalhes do ambiente que o WorkSpaces Thin Client não pode acessar, a operação retornará um AccessDeniedException erro. Além disso, o dispositivo WorkSpaces Thin Client não poderá usar um ambiente WorkSpaces Thin Client.
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou as operações de API do AWS KMS.
Para criar uma chave simétrica gerenciada pelo cliente
Siga as etapas em Criar chaves do KMS de criptografia simétrica no Guia do desenvolvedor do AWS Key Management Service.
Política de chave
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, é possível especificar uma política de chave. Para obter mais informações, consulte Controlar o acesso a chaves gerenciadas pelo cliente no Guia do desenvolvedor do AWS Key Management Service.
Para usar sua chave gerenciada pelo cliente com seus recursos do Amazon WorkSpaces Thin Client, as seguintes operações de API devem ser permitidas na política de chaves:
kms:DescribeKey— Fornece detalhes da chave gerenciada pelo cliente para que o Amazon WorkSpaces Thin Client possa validar a chave.kms:GenerateDataKey: permite usar a chave gerenciada pelo cliente para criptografar os dados.kms:Decrypt: permite usar a chave gerenciada pelo cliente para descriptografar os dados.
A seguir estão exemplos de declarações de política que você pode adicionar para o Amazon WorkSpaces Thin Client:
{ "Statement": [ { "Sid": "Allow access to principals authorized to use Amazon WorkSpaces Thin Client", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "thinclient.region.amazonaws.com", "kms:CallerAccount": "111122223333" } } }, { "Sid": "Allow Amazon WorkSpaces Thin Client service to encrypt and decrypt data", "Effect": "Allow", "Principal": {"Service": "thinclient.amazonaws.com"}, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:thinclient:region:111122223333:*", "kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:*" } } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": ["kms:*"], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid": "Allow read-only access to key metadata to the account", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root"}, "Action": [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource": "*" } ] }
Para obter mais informações sobre como especificar permissões em uma política, consulte o Guia do desenvolvedor do AWS Key Management Service.
Para obter mais informações sobre como solucionar problemas de acesso à chave, consulte o Guia do desenvolvedor do AWS Key Management Service.
Especificação de uma chave gerenciada pelo cliente para o WorkSpaces Thin Client
Você pode especificar uma chave gerenciada pelo cliente para fornecer uma segunda camada de criptografia para os seguintes recursos:
-
WorkSpaces Ambiente Thin Client
Ao criar um ambiente, você pode especificar a chave de dados fornecendo umakmsKeyArn, que o Amazon WorkSpaces Thin Client usa para criptografar os dados pessoais identificáveis.
kmsKeyArn— Um identificador de chave para uma chave gerenciada pelo cliente do AWS KMS. Fornece um ARN da chave.
Quando um novo dispositivo WorkSpaces Thin Client é adicionado ao Ambiente WorkSpaces Thin Client criptografado com uma chave gerenciada pelo cliente, o Dispositivo WorkSpaces Thin Client herda a configuração da chave gerenciada pelo cliente do Ambiente WorkSpaces Thin Client.
Um contexto de criptografia é um conjunto opcional de pares de valores-chave que contém informações contextuais adicionais sobre os dados.
AWS O KMS usa o contexto de criptografia como dados autenticados adicionais para oferecer suporte à criptografia autenticada. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula o contexto de criptografia aos dados criptografados. Para descriptografar dados, inclua o mesmo contexto de criptografia na solicitação.
Contexto de criptografia do Amazon WorkSpaces Thin Client
O Amazon WorkSpaces Thin Client usa o mesmo contexto de criptografia em todas as operações criptográficas do AWS KMS, onde a chave está aws:thinclient:arn e o valor é o Amazon Resource Name (ARN).
A seguir está o contexto de criptografia do ambiente:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID" }
A seguir está o contexto de criptografia do dispositivo:
"encryptionContext": { "aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:device/device_ID" }
Usar o contexto de criptografia para monitoramento
Ao usar uma chave simétrica gerenciada pelo cliente para criptografar os dados do ambiente e do dispositivo WorkSpaces Thin Client, você também pode usar o contexto de criptografia nos registros e registros de auditoria para identificar como a chave gerenciada pelo cliente está sendo usada. O contexto de criptografia também aparece nos registros gerados pela AWS CloudTrail ou Amazon CloudWatch Logs.
Usar o contexto de criptografia para controlar o acesso à chave gerenciada pelo cliente
Você pode usar o contexto de criptografia nas políticas de chave e políticas do IAM como condições para controlar o acesso à sua chave simétrica gerenciada pelo cliente.
Veja a seguir exemplos de declarações de políticas de chave para conceder acesso a uma chave gerenciada pelo cliente para um contexto de criptografia específico. A condição nessa declaração de política exige que a chamada kms:Decrypt tenha uma restrição ao contexto de criptografia que especifique o contexto da criptografia.
{ "Sid": "Enable Decrypt to access Thin Client Environment", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:role/ExampleReadOnlyRole"}, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": {"kms:EncryptionContext:aws:thinclient:arn": "arn:aws:thinclient:region:111122223333:environment/environment_ID"} } }
Monitorando suas chaves de criptografia para o Amazon WorkSpaces Thin Client
Ao usar uma chave gerenciada pelo cliente do AWS KMS com seus recursos do Amazon WorkSpaces Thin Client, você pode usar AWS CloudTrail o Amazon CloudWatch Logs para rastrear solicitações que o Amazon WorkSpaces Thin Client envia para o AWS KMS.
Os exemplos a seguir são AWS CloudTrail eventos paraDescribeKey,GenerateDataKey,Decrypt, monitorar operações KMS chamadas pelo Amazon WorkSpaces Thin Client para acessar dados criptografados pela chave gerenciada pelo cliente:
Nos exemplos a seguir, você pode ver encryptionContext o ambiente WorkSpaces Thin Client. CloudTrail Eventos semelhantes são registrados para o WorkSpaces Thin Client Device.
Saiba mais
Os recursos a seguir fornecem mais informações sobre a criptografia de dados em pausa:
Para obter mais informações sobre os conceitos básicos do AWS Key Management Service, consulte o Guia do desenvolvedor do AWS Key Management Service.
Para obter mais informações sobre práticas recomendadas de segurança do AWS Key Management Service, consulte o Guia do desenvolvedor do AWS Key Management Service.
