Criptografado WorkSpaces em WorkSpaces Pessoal

WorkSpaces está integrado com o AWS Key Management Service (AWS KMS). Isso permite que você criptografe os volumes de armazenamento do uso WorkSpaces AWS KMS Chave. Ao iniciar um WorkSpace, você pode criptografar o volume raiz (para Microsoft Windows, a unidade C; para Linux,/) e o volume do usuário (para Windows, a unidade D; para Linux, /home). Isso garante que os dados armazenados em repouso, E/S do disco para o volume e snapshots criados a partir dos volumes sejam todos criptografados.

nota

• Além de criptografar seu WorkSpaces, você também pode usar a criptografia de FIPS endpoint em determinadas AWS Regiões dos EUA. Para obter mais informações, consulte Configure a RAMP autorização do Fed ou a SRG conformidade com o DoD para Pessoal WorkSpaces .

• BitLocker a criptografia não é compatível com a Amazon WorkSpaces.

Pré-requisitos

Você precisa de um AWS KMS Digite antes de iniciar o processo de criptografia. Essa KMS chave pode ser a AWS KMSChave gerenciada para a Amazon WorkSpaces (aws/workspaces) ou uma chave simétrica gerenciada pelo cliente. KMS

• AWS KMSChaves gerenciadas — Na primeira vez que você inicia uma versão não criptografada WorkSpace do WorkSpaces console em uma região, a Amazon cria WorkSpaces automaticamente uma AWS KMSChave gerenciada (aws/workspaces) em sua conta. Você pode selecionar isso AWS KMSChave gerenciada para criptografar os volumes de usuário e raiz do seu WorkSpace. Para obter detalhes, consulte Visão geral da WorkSpaces criptografia usando AWS KMS.

  Você pode ver isso AWS gerenciou a KMS chave, incluindo suas políticas e concessões, e pode rastrear seu uso em AWS CloudTrail registra, mas você não pode usar ou gerenciar essa KMS chave. WorkSpaces A Amazon cria e gerencia essa KMS chave. Somente a Amazon WorkSpaces pode usar essa KMS chave e WorkSpaces pode usá-la somente para criptografar WorkSpaces recursos em sua conta.

  AWS As KMS chaves gerenciadas, incluindo a que a Amazon WorkSpaces oferece suporte, são trocadas a cada três anos. Para obter detalhes, consulte Rotação AWS KMS Chave no AWS Key Management Service Guia do desenvolvedor.

• KMSChave gerenciada pelo cliente — Como alternativa, você pode selecionar uma KMS chave simétrica gerenciada pelo cliente que você criou usando AWS KMS. Você pode visualizar, usar e gerenciar essa KMS chave, incluindo a definição de suas políticas. Para obter mais informações sobre a criação de KMS chaves, consulte Criando chaves no AWS Key Management Service Guia do desenvolvedor. Para obter mais informações sobre a criação de KMS chaves usando o AWS KMS API, consulte Trabalhando com chaves na AWS Key Management Service Guia do desenvolvedor.

  KMSAs chaves gerenciadas pelo cliente não são alternadas automaticamente, a menos que você decida ativar a rotação automática de chaves. Para obter detalhes, consulte Rotação AWS KMS Chaves no AWS Key Management Service Guia do desenvolvedor.

Importante

Ao girar manualmente KMS as teclas, você deve manter a KMS chave original e a nova KMS chave ativadas para que AWS KMS pode decifrar o WorkSpaces que a chave original KMS criptografou. Se você não quiser manter a KMS chave original ativada, você deve recriá-la WorkSpaces e criptografá-la usando a nova KMS chave.

Você deve atender aos seguintes requisitos para usar um AWS KMS Chave para criptografar seu WorkSpaces:

• A KMS chave deve ser simétrica. A Amazon WorkSpaces não oferece suporte a chaves assimétricasKMS. Para obter informações sobre a distinção entre chaves simétricas e assimétricas, consulte Identificação de KMS chaves simétricas e assimétricas na KMS AWS Key Management Service Guia do desenvolvedor.

• A KMS chave deve estar ativada. Para determinar se uma KMS chave está ativada, consulte Exibindo detalhes da KMS chave no AWS Key Management Service Guia do desenvolvedor.

• Você deve ter as permissões e políticas corretas associadas à KMS Chave. Para obter mais informações, consulte Parte 2: Conceder permissões adicionais WorkSpaces aos administradores usando uma política IAM.

Limites

• Você não pode criptografar um existente WorkSpace. Você deve criptografar um WorkSpace ao iniciá-lo.

• Não WorkSpace há suporte para criar uma imagem personalizada a partir de uma imagem criptografada.

• A desativação da criptografia para um criptografado não WorkSpace é suportada atualmente.

• WorkSpaces lançado com a criptografia de volume raiz ativada, pode levar até uma hora para ser provisionado.

• Para reinicializar ou reconstruir um criptografado WorkSpace, primeiro certifique-se de que o AWS KMS A chave está ativada; caso contrário, WorkSpace ela se torna inutilizável. Para determinar se uma KMS chave está ativada, consulte Exibindo detalhes da KMS chave no AWS Key Management Service Guia do desenvolvedor.

Visão geral da WorkSpaces criptografia usando AWS KMS

Quando você cria WorkSpaces com volumes criptografados, WorkSpaces usa o Amazon Elastic Block Store (AmazonEBS) para criar e gerenciar esses volumes. A Amazon EBS criptografa seus volumes com uma chave de dados usando o algoritmo -256 padrão do setorAES. Tanto a Amazon EBS quanto a Amazon WorkSpaces usam sua KMS chave para trabalhar com os volumes criptografados. Para obter mais informações sobre criptografia de EBS volume, consulte Amazon EBS Encryption no Amazon EC2 User Guide.

Quando você inicia WorkSpaces com volumes criptografados, o end-to-end processo funciona assim:

1. Você especifica a KMS chave a ser usada para criptografia, bem como o usuário e o diretório para WorkSpace o. Essa ação cria uma concessão que permite WorkSpaces usar sua KMS chave somente para isso, ou WorkSpace seja, somente para a WorkSpace associada ao usuário e diretório especificados.

2. WorkSpaces cria um EBS volume criptografado para o WorkSpace e especifica a KMS chave a ser usada, bem como o usuário e o diretório do volume. Essa ação cria uma concessão que permite que EBS a Amazon use sua KMS chave somente para esse WorkSpace volume, ou seja, somente para o WorkSpace associado ao usuário e diretório especificados e somente para o volume especificado.

3. A Amazon EBS solicita uma chave de dados de volume que é criptografada sob sua KMS chave e especifica o identificador de segurança do Active Directory do WorkSpace usuário (SID) e AWS Directory Service ID do diretório, bem como o ID do EBS volume da Amazon como contexto de criptografia.

4. AWS KMS cria uma nova chave de dados, a criptografa sob sua KMS chave e, em seguida, envia a chave de dados criptografada para a AmazonEBS.

5. WorkSpaces usa EBS a Amazon para anexar o volume criptografado ao seu WorkSpace. A Amazon EBS envia a chave de dados criptografada para AWS KMS com uma Decryptsolicitação e especifica a WorkSpace do usuárioSID, a ID do diretório e a ID do volume, que é usada como contexto de criptografia.

6. AWS KMS usa sua KMS chave para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para a Amazon. EBS

7. A Amazon EBS usa a chave de dados de texto simples para criptografar todos os dados que entram e saem do volume criptografado. A Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume estiver conectado ao WorkSpace.

8. A Amazon EBS armazena a chave de dados criptografada (recebida emPasso 4) com os metadados do volume para uso futuro, caso você reinicie ou reconstrua o. WorkSpace

9. Quando você usa o AWS Management Console para remover uma WorkSpace (ou usar a TerminateWorkspacesação na WorkSpaces API) WorkSpaces e a Amazon EBS retirar as concessões que permitiram que ela usasse sua KMS Chave para isso WorkSpace.

WorkSpaces contexto de criptografia

WorkSpaces não usa sua KMS chave diretamente para operações criptográficas (como Encrypt,, Decrypt, etc.) GenerateDataKey, o que significa que WorkSpaces não envia solicitações para AWS KMS que incluem um contexto de criptografia. No entanto, quando a Amazon EBS solicita uma chave de dados criptografada para os volumes criptografados de você WorkSpaces (Passo 3noVisão geral da WorkSpaces criptografia usando AWS KMS) e quando solicita uma cópia em texto simples dessa chave de dados (Passo 5), ela inclui o contexto de criptografia na solicitação.

O contexto de criptografia fornece dados autenticados adicionais (AAD) que AWS KMS usa para garantir a integridade dos dados. O contexto de criptografia também é gravado em seu AWS CloudTrail arquivos de log, que podem ajudar você a entender por que uma determinada KMS chave foi usada. A Amazon EBS usa o seguinte para o contexto de criptografia:

• O identificador de segurança (SID) do usuário do Active Directory associado ao WorkSpace

• O ID do diretório do AWS Directory Service diretório que está associado ao WorkSpace

• O ID EBS de volume da Amazon do volume criptografado

O exemplo a seguir mostra uma JSON representação do contexto de criptografia que a Amazon EBS usa:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Conceda WorkSpaces permissão para usar uma KMS chave em seu nome

Você pode proteger seus WorkSpace dados sob o AWS KMSChave gerenciada para WorkSpaces (aws/workspaces) ou uma chave gerenciada pelo cliente. KMS Se você usa uma KMS chave gerenciada pelo cliente, precisa conceder WorkSpaces permissão para usar a KMS chave em nome dos WorkSpaces administradores da sua conta. A ferramenta AWS A KMS chave gerenciada para WorkSpaces tem as permissões necessárias por padrão.

Para preparar sua KMS chave gerenciada pelo cliente para uso com WorkSpaces, use o procedimento a seguir.

1. Adicione seus WorkSpaces administradores à lista de usuários-chave na política de KMS chaves da chave

2. Conceda aos seus WorkSpaces administradores permissões adicionais com uma política IAM

Seus WorkSpaces administradores também precisam de permissão para usar WorkSpaces. Para obter mais informações sobre essas permissões, acesse Gerenciamento de identidade e acesso para WorkSpaces.

Parte 1: Adicionar WorkSpaces administradores como usuários-chave

Para dar aos WorkSpaces administradores as permissões de que eles precisam, você pode usar o AWS Management Console ou o AWS KMS API.

Para adicionar WorkSpaces administradores como usuários-chave de uma KMS chave (console)

1. Faça login no AWS Management Console e abra o AWS Key Management Service (AWS KMS) console em https://console.aws.amazon.com/kms.

2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

4. Escolha o ID da chave ou o alias da KMS chave gerenciada pelo cliente de sua preferência.

5. Selecione a guia Key policy (Política de chaves). Em Key users (Usuários de chaves), escolhaAdd (Adicionar).

6. Na lista de IAM usuários e funções, selecione os usuários e funções que correspondem aos seus WorkSpaces administradores e, em seguida, escolha Adicionar.

Para adicionar WorkSpaces administradores como usuários-chave de uma KMS Key () API

1. Use a GetKeyPolicyoperação para obter a política de chaves existente e, em seguida, salve o documento de política em um arquivo.

2. Abra o documento de política no editor de texto de sua preferência. Adicione os IAM usuários e as funções que correspondem aos seus WorkSpaces administradores às declarações de política que dão permissão aos principais usuários. Salve o arquivo.

3. Use a PutKeyPolicyoperação para aplicar a política de chaves à KMS chave.

Parte 2: Conceder permissões adicionais WorkSpaces aos administradores usando uma política IAM

Se você selecionar uma KMS chave gerenciada pelo cliente para usar na criptografia, deverá estabelecer IAM políticas que permitam que WorkSpaces a Amazon use a KMS chave em nome de um IAM usuário em sua conta que inicia a criptografia WorkSpaces. Esse usuário também precisa de permissão para usar a Amazon WorkSpaces. Para obter mais informações sobre como criar e editar políticas de IAM usuário, consulte Gerenciamento de IAM políticas no Guia IAM do usuário Gerenciamento de identidade e acesso para WorkSpaces e.

WorkSpaces a criptografia requer acesso limitado à KMS chave. Veja a seguir um exemplo de política de chaves que pode ser usada. Essa política separa os diretores que podem gerenciar o AWS KMS Chave de quem pode usá-la. Antes de usar esse exemplo de política de chaves, substitua o exemplo de ID da conta e nome de IAM usuário pelos valores reais da sua conta.

A primeira declaração corresponde ao padrão AWS KMS política chave. Ele dá permissão à sua conta para usar IAM políticas para controlar o acesso à KMS chave. A segunda e a terceira afirmações definem quais AWS os diretores podem gerenciar e usar a chave, respectivamente. A quarta declaração permite AWS serviços que são integrados com AWS KMS para usar a chave em nome do principal especificado. Esta declaração permite AWS serviços para criar e gerenciar subsídios. A declaração usa um elemento condicional que limita as concessões da KMS Chave àquelas feitas por AWS serviços em nome dos usuários em sua conta.

nota

Se seus WorkSpaces administradores usarem o AWS Management Console para criar WorkSpaces com volumes criptografados, os administradores precisam de permissão para listar aliases e chaves de lista (as "kms:ListKeys" permissões "kms:ListAliases" e). Se seus WorkSpaces administradores usam somente a Amazon WorkSpaces API (não o console), você pode omitir as permissões "kms:ListAliases" e. "kms:ListKeys"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

A IAM política de um usuário ou função que está criptografando um WorkSpace deve incluir permissões de uso na KMS chave gerenciada pelo cliente, bem como acesso a. WorkSpaces Para conceder WorkSpaces permissões a um IAM usuário ou função, você pode anexar o exemplo de política a seguir ao IAM usuário ou função.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

A IAM política a seguir é exigida pelo usuário para usar AWS KMS. Ele dá ao usuário acesso somente de leitura à KMS chave, além da capacidade de criar concessões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Se você quiser especificar a KMS chave em sua política, use uma IAM política semelhante à seguinte. Substitua a KMS chave ARN de exemplo por uma válida.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Criptografar um WorkSpace

Para criptografar um WorkSpace

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. Escolha Iniciar WorkSpaces e conclua as três primeiras etapas.

3. Para a etapa WorkSpaces de configuração, faça o seguinte:

   1. Selecione os volumes a serem criptografados: Volume raiz, Volume de usuário ou os dois volumes.

   2. Para Chave de criptografia, selecione um AWS KMS Chave, ou a AWS KMSChave gerenciada criada pela Amazon WorkSpaces ou uma KMS chave que você criou. A KMS chave que você selecionar deve ser simétrica. A Amazon WorkSpaces não oferece suporte a chaves assimétricasKMS.

   3. Escolha Next Step.

4. Escolha Iniciar WorkSpaces.

Visualização criptografada WorkSpaces

Para ver quais volumes WorkSpaces e volumes foram criptografados no WorkSpaces console, escolha na barra WorkSpacesde navegação à esquerda. A coluna Criptografia de volume mostra se cada uma WorkSpace tem a criptografia ativada ou desativada. Para ver quais volumes específicos foram criptografados, expanda a WorkSpace entrada para ver o campo Volumes criptografados.