Restrinja o WorkSpaces acesso a dispositivos confiáveis

Por padrão, os usuários podem acessá-los WorkSpaces de qualquer dispositivo compatível conectado à Internet. Se sua empresa limita o acesso aos dados corporativos a dispositivos confiáveis (também conhecidos como dispositivos gerenciados), você pode restringir o WorkSpaces acesso a dispositivos confiáveis com certificados válidos.

Quando você ativa esse recurso, WorkSpaces usa a autenticação baseada em certificado para determinar se um dispositivo é confiável. Se o aplicativo WorkSpaces cliente não puder verificar se um dispositivo é confiável, ele bloqueia as tentativas de login ou reconexão a partir do dispositivo.

Para cada diretório, você pode importar até dois certificados raiz. Se você importar dois certificados raiz, WorkSpaces apresente-os ao cliente e o cliente encontrará o primeiro certificado correspondente válido que se encadeia a qualquer um dos certificados raiz.

Clientes compatíveis

• Android, em execução em sistemas Android ou em sistemas Android compatíveis com Chrome OS

• macOS

• Windows

Importante

Este recurso não é compatível com os seguintes clientes:

• WorkSpaces aplicativos cliente para Linux ou iPad

• Clientes de terceiros, incluindo, mas não se limitando a, Teradici PCoIP, clientes RDP e aplicações de área de trabalho remota.

nota

Ao habilitar o acesso para clientes específicos, certifique-se de bloquear o acesso para outros tipos de dispositivos que você não precisa. Para obter mais informações sobre como fazer isso, consulte a Etapa 3.7 abaixo.

Etapa 1: Criar os certificados

Este recurso exige dois tipos de certificados: certificados raiz gerados por uma autoridade de certificação (CA) interna e certificados de cliente que se associam a um certificado raiz.

Requisitos

• Os certificados raiz devem ser arquivos codificados por Base64 no formato CRT, CERT ou PEM.

• Os certificados raiz devem atender ao seguinte padrão de expressão regular, o que significa que cada linha codificada, exceto a última, deve ter exatamente 64 caracteres: -{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).

• Os certificados de dispositivo devem incluir um nome comum.

• Os certificados de dispositivo devem incluir as seguintes extensões: Key Usage: Digital Signature e Enhanced Key Usage: Client Authentication.

• Todos os certificados na cadeia, desde o certificado de dispositivo até a Autoridade certificadora raiz confiável, devem ser instalados no dispositivo cliente.

• O tamanho máximo da cadeia de certificados compatível é 4.

• WorkSpaces atualmente não oferece suporte a mecanismos de revogação de dispositivos, como listas de revogação de certificados (CRL) ou Protocolo de Status de Certificado Online (OCSP), para certificados de clientes.

• Use um algoritmo de criptografia forte. Recomendamos SHA256 com RSA, SHA256 com ECDSA, SHA384 com ECDSA ou SHA512 com ECDSA.

• Para macOS, se o certificado do dispositivo estiver no conjunto de chaves do sistema, recomendamos que você autorize o aplicativo WorkSpaces cliente a acessar esses certificados. Caso contrário, os usuários devem inserir credenciais de cadeia de chaves quando fazem login ou se reconectam.

Etapa 2: Implantar certificados de cliente nos dispositivos confiáveis

Nos dispositivos confiáveis para usuários, você deve instalar um pacote de certificados que inclua todos os certificados na cadeia, desde o certificado do dispositivo até a Autoridade de Certificação raiz confiável. Você pode usar a melhor solução para instalar os certificados na sua frota de dispositivos clientes; por exemplo, o System Center Configuration Manager (SCCM) ou o gerenciamento de dispositivos móveis (MDM). Observe que o SCCM e o MDM podem, opcionalmente, realizar uma avaliação da postura de segurança para determinar se os dispositivos atendem às políticas corporativas de acesso. WorkSpaces

Os aplicativos WorkSpaces cliente pesquisam certificados da seguinte forma:

• Android: vá para Configurações, selecione Segurança e localização, Credenciais e selecione Instalar do cartão SD.

• Sistemas Chrome OS compatíveis com Android: abra as configurações do Android e selecione Segurança e localização, Credenciais e escolha Instalar do cartão SD.

• macOS: pesquisa certificados de cliente no conjunto de chaves.

• Windows: pesquisa nos repositórios de certificados raiz e de usuário em busca de certificados de cliente.

Etapa 3: Configurar a restrição

Depois que você tiver implementado os certificados do cliente nos dispositivos confiáveis, poderá ativar o acesso restrito no nível de diretório. Isso exige que o aplicativo WorkSpaces cliente valide o certificado em um dispositivo antes de permitir que um usuário faça login em um WorkSpace.

Para configurar a restrição

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No painel de navegação, selecionar Diretórios.

3. Selecione o diretório e escolha Ações, Atualizar detalhes.

4. Expanda Opções de controle de acesso.

5. Em Para cada tipo de dispositivo, especifique quais dispositivos podem acessar WorkSpaces, escolha Dispositivos confiáveis.

6. Importe até dois certificados raiz. Para cada certificado raiz, faça o seguinte:

   1. Escolha Importar.

   2. Copie o corpo do certificado no formulário.

   3. Escolha Importar.

7. Especifique se outros tipos de dispositivos têm acesso WorkSpaces a.

   1. Role para baixo até a seção Other Platforms (Outras plataformas). Por padrão, os clientes WorkSpaces Linux estão desativados e os usuários podem acessá-los a WorkSpaces partir de seus dispositivos iOS, dispositivos Android, Web Access, Chromebooks e dispositivos zero client PCoIP.

   2. Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a serem desativados.

   3. Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha Bloquear.

8. Escolha Atualizar e sair.