本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
已加密 WorkSpaces
WorkSpaces 与AWS Key Management Service (AWS KMS) 集成在一起。这使您能够 WorkSpaces 使用AWS KMS Key 加密存储量。当你启动 a 时 WorkSpace,你可以加密根卷(对于 Microsoft Windows,为 C 驱动器;对于 Linux,为/)和用户卷(对于 Windows,为 D 驱动器;对于 Linux,为 /home)。这样做可确保静态存储的数据、卷的磁盘 I/O 及从加密卷创建的快照都会被加密。
除了加密您的 WorkSpaces,您还可以在某些AWS美国地区使用 FIPS 端点加密。有关更多信息,请参阅 设置亚马逊 WorkSpaces 以获得 FedRAMP 授权或 DoD SRG 合规。
目录
先决条件
在开始加密过程之前,您需要密AWS KMS钥。此 KMS 密钥可以是亚马逊的AWS托管 KMS 密钥 WorkSpaces (aws/workspaces),也可以是对称的客户管理的 KMS 密钥。
-
AWS托管 KMS 密钥 — 首次 WorkSpace 从某个区域的 WorkSpaces 控制台启动未加密的 KMS 密钥时,亚马逊 WorkSpaces 会自动在您的账户中创建AWS托管 KMS 密钥(aws/workspaces)。您可以选择此AWS托管 KMS 密钥来加密您的用户和根卷 WorkSpace。有关详细信息,请参阅使用 WorkSpaces 加密的概述AWS KMS。
您可以查看此AWS托管 KMS 密钥,包括其策略和授权,并可以在AWS CloudTrail日志中跟踪其使用情况,但不能使用或管理此 KMS 密钥。亚马逊 WorkSpaces 创建并管理此 KMS 密钥。只有亚马逊 WorkSpaces 可以使用此 KMS 密钥,并且 WorkSpaces 只能将其用于加密您账户中的 WorkSpaces 资源。
AWS托管 KMS 密钥,包括亚马逊 WorkSpaces 支持的密钥,每三年轮换一次。有关详细信息,请参阅AWS Key Management Service开发者指南中的旋转AWS KMS密钥。
-
客户托管 KMS 密钥 — 或者,您可以选择使用创建的对称客户托管 KMS 密钥AWS KMS。您可以查看、使用和管理此 KMS 密钥,包括设置其策略。有关创建 KMS 密钥的更多信息,请参阅《AWS Key Management Service开发人员指南》中的创建密钥。有关使用AWS KMS API 创建 KMS 密钥的更多信息,请参阅AWS Key Management Service开发者指南中的使用密钥。
除非您决定启用自动密钥轮换,否则客户管理的 KMS 密钥不会自动轮换。有关详细信息,请参阅AWS Key Management Service开发者指南中的旋转AWS KMS密钥。
手动轮换 KMS 密钥时,必须同时启用原始 KMS 密钥和新 KMS 密钥,这样AWS KMS才能解密原始 KMS 密钥加密的内容。 WorkSpaces 如果您不想保持原始 KMS 密钥的启用状态,则必须重新创建 WorkSpaces并使用新的 KMS 密钥对其进行加密。
您必须满足以下要求才能使用密AWS KMS钥加密您的 WorkSpaces:
-
KMS 密钥必须是对称的。Amazon WorkSpaces 不支持非对称 KMS 密钥。有关区分对称和非对称 KMS 密钥的信息,请参阅AWS Key Management Service开发人员指南中的识别对称和非对称 KMS 密钥。
-
必须启用 KMS 密钥。要确定是否启用 KMS 密钥,请参阅AWS Key Management Service开发人员指南中的显示 KMS 密钥详细信息。
-
您必须拥有与 KMS 密钥关联的正确权限和策略。有关更多信息,请参阅第 2 部分:使用 IAM 策略向 WorkSpaces 管理员授予额外权限:
Limits
-
您无法加密现有 WorkSpace的。启动 WorkSpace 时必须对其进行加密。
-
不支持从加密 WorkSpace 的镜像创建自定义镜像。
-
目前不支持对加密 WorkSpace 对象禁用加密。
-
WorkSpaces 在启用根卷加密的情况下启动可能需要长达一个小时才能进行配置。
-
要重新启动或重建加密密钥 WorkSpace,请先确保AWS KMS密钥已启用;否则,密钥 WorkSpace 将不可用。要确定是否启用 KMS 密钥,请参阅AWS Key Management Service开发人员指南中的显示 KMS 密钥详细信息。
使用 WorkSpaces 加密的概述AWS KMS
使用加密卷创建 WorkSpaces 时, WorkSpaces 使用 Amazon Elastic Block Store (Amazon EBS) 创建和管理这些卷。Amazon EBS 通过数据密钥使用行业标准的 AES-256 算法,加密您的卷。Amazon EBS 和Amazon 都 WorkSpaces 使用 KMS 密钥处理加密卷。有关 EBS 卷加密的更多信息,请参阅 Amazon EC2 用户指南(适用于 Windows 实例)中的 Amazon EBS 加密。
当您 WorkSpaces 使用加密卷启动时, end-to-end 过程如下所示:
-
您指定用于加密的 KMS 密钥,以及的用户和目录 WorkSpace。该操作创建一个授权, WorkSpaces 允许您的 KMS 密钥仅用于此 WorkSpace,即仅用于与指定用户和目录 WorkSpace相关联的。
-
WorkSpaces 为创建加密的 EBS 卷, WorkSpace 并指定要使用的 KMS 密钥,以及该卷的用户和目录。该操作创建一个授权,允许 Amazon EBS 将您的 KMS 密钥仅用于该卷 WorkSpace 和卷,即仅用于与指定用户和目录 WorkSpace 相关联的,以及指定的卷。
-
Amazon EBS 请求使用您的 KMS 密钥加密的卷数据密钥,并将 WorkSpace 用户的 Active Directory 安全标识符 (SID) 和AWS Directory Service目录 ID 以及 Amazon EBS 卷 ID 指定为加密上下文。
-
AWS KMS创建新的数据密钥,使用您的 KMS 密钥对其进行加密,然后将加密的数据密钥发送到 Amazon EBS。
-
WorkSpaces 使用 Amazon EBS 将加密卷附加到您的 WorkSpace。Amazon EBS 将加密的数据密钥发送到AWS KMS
Decrypt请求的,并指定 WorkSpace 用户的 SID、目录 ID 和卷 ID(它们用作加密上下文)。 -
AWS KMS使用 KMS 密钥解密数据密钥,然后将纯文本数据密钥发送到 Amazon EBS。
-
Amazon EBS 使用纯文本数据密钥加密所有传入和传出加密卷的数据。只要卷附加在,Amazon EBS 就会将纯文本数据密钥保存在内存中 WorkSpace。
-
Amazon EBS 将加密的数据密钥(在中收到步骤 4)与卷元数据存储在一起,以供future 重启或重建 WorkSpace。
-
当您使用AWS Management Console移除 WorkSpace (或使用 WorkSpaces API 中的
TerminateWorkspaces操作)时,Amazon EBS 会取消允许他们使用您的 KMS 密钥进行此操作的授权 WorkSpace。 WorkSpaces
WorkSpaces 加密上下文
WorkSpaces 不直接使用您的 KMS 密钥进行加密操作(例如EncryptDecrypt、GenerateDataKey、等),这意味着 WorkSpaces 不向包含加密上下文的请求发送到AWS KMS该操作。但是,当 Amazon EBS 为 WorkSpaces (步骤 3中的使用 WorkSpaces 加密的概述AWS KMS)的加密卷请求加密的数据密钥,以及请求该数据密钥的纯文本副本 (步骤 5) 时,将在请求中提供加密上下文。
加密上下文提供 AWS KMS 用于确保数据完整性而使用的额外的身份验证数据 (AAD)。加密上下文也将写入您的AWS CloudTrail日志文件,这有助于您了解为什么使用给定的 KMS 密钥。Amazon EBS 会对加密上下文使用以下内容:
-
与 Active Directory 用户关联的安全标识符 (SID) WorkSpace
-
与之关联的AWS Directory Service目录的目录 ID WorkSpace
-
加密卷的 Amazon EBS 卷ID
以下示例显示了 Amazon EBS 使用的加密上下文的 JSON 表示形式:
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}授 WorkSpaces 予代表您使用 KMS 密钥的权限
您可以在 WorkSpaces(aws/workspaces)的AWS托管 KMS 密钥或客户管理的 KMS 密钥下保护您的 WorkSpace 数据。如果您使用客户管理的 KMS 密钥,则需要代表账户中的 WorkSpaces 管理员授予使用 KMS 密钥的 WorkSpaces 权限。默认情况下,的AWS托管 KMS 密钥 WorkSpaces具有必需权限。
要准备您的客户托管的 KMS 密钥以供使用 WorkSpaces,请使用以下过程。
WorkSpaces 管理员还需拥有使用权限 WorkSpaces。有关这些权限的更多信息,请访问适用于的 Identity and A WorkSpaces。
第 1 部分:将 WorkSpaces 管理员添加为密钥用户
要向 WorkSpaces 管理员提供其所需的权限,您可以使用AWS Management Console或AWS KMS API。
添加 WorkSpaces 管理员作为 KMS 密钥的密钥用户(控制台)
-
登录到 AWS Management Console,然后通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms
。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选择首选客户托管的 KMS 密钥的密钥 ID 或别名。
-
选择 Key policy (密钥策略) 选项卡。在 Key users(密钥用户)下,选择 Add(添加)。
-
在 IAM 用户和角色列表中,选择与您的 WorkSpaces 管理员对应的用户和角色,然后选择 Add(添加)。
添加 WorkSpaces 管理员作为 KMS 密钥的密钥用户 (API)
-
使用该GetKeyPolicy操作获取现有密钥策略,然后将策略文档保存到文件中。
-
在您的首选文本编辑器中打开策略文档。将与您的 WorkSpaces 管理员对应的 IAM 用户和角色添加到向密钥用户授予权限的策略语句中。然后保存文件。
-
使用PutKeyPolicy操作将密钥策略应用于 KMS 密钥。
第 2 部分:使用 IAM 策略向 WorkSpaces 管理员授予额外权限
如果您选择使用客户管理的 KMS 密钥进行加密,则必须制定 IAM 策略, WorkSpaces 允许亚马逊代表您账户中启动加密的 IAM 用户使用 KMS 密钥 WorkSpaces。该用户还需要许可才能使用亚马逊 WorkSpaces。有关创建和编辑 IAM 用户策略的更多信息,请参阅 I AM 用户指南中的管理 IAM polic y 和适用于的 Identity and A WorkSpaces。
WorkSpaces 加密需要对 KMS 密钥的有限访问权限。以下是您可以使用的一个示例密钥策略。该政策将可以管理密钥的校长与可以使用AWS KMS密钥的负责人区分开来。在您使用此示例密钥策略之前,请将示例账户 ID 和 IAM 用户名替换为您账户中的实际值。
第一个语句与默认 AWS KMS 密钥策略匹配。它允许您的账户使用 IAM 策略控制对 KMS 密钥的访问。第二条和第三条语句分别定义了哪些AWS主体可以管理和使用密钥。第四条语句AWS KMS允许与集成的AWS服务代表指定的委托人使用密钥。此语句使AWS服务能够创建和管理授权。该语句使用条件元素,将 KMS 密钥的授权限制为AWS服务代表您账户中的用户授予的权限。
如果您的 WorkSpaces 管理员使用使用加密卷AWS Management Console WorkSpaces 进行创建,则管理员需要列出别名和列出密钥的权限("kms:ListAliases"和"kms:ListKeys"权限)。如果您的 WorkSpaces 管理员仅使用 Amazon WorkSpaces API(不使用控制台),则可以省略"kms:ListAliases"和"kms:ListKeys"权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }
对用户或角色进行加密的 IAM 策略 WorkSpace 必须包括对客户管理的 KMS 密钥的使用权限以及对的访问权限 WorkSpaces。要向 IAM 用户或角色 WorkSpaces 授予权限,您可以将以下示例策略附加到 IAM 用户或角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }
用户需要使用以下 IAM 策略AWS KMS。它为用户提供 KMS 密钥的只读访问权限以及创建授权的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }
如果您想在策略中指定 KMS 密钥,请使用与以下类似的 IAM 策略。将示例 KMS 密钥的 ARN 替换为有效的 ARN。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
加密 WorkSpace
要加密 WorkSpace
通过 https://console.aws.amazon.com/workspaces/
打开 WorkSpaces 主机。 -
选择 Launch WorkSpaces 并完成前三个步骤。
-
在 “WorkSpaces 配置” 步骤中,执行以下操作:
-
选择要加密的卷:根卷、用户卷或这两种卷。
-
对于加密密钥,选择一个AWS KMS密钥,即由 Amazon 创建的AWS托管 KMS 密钥 WorkSpaces 或您创建的 KMS 密钥。您选择的 KMS 密钥必须是对称的。Amazon WorkSpaces 不支持非对称 KMS 密钥。
-
选择 Next Step。
-
-
选择 “启动” WorkSpaces。
查看已加密 WorkSpaces
要从 WorkSpaces 控制台查看哪些 WorkSpaces 卷已加密,请WorkSpaces从左侧的导航栏中选择。“卷加密” 列显示 WorkSpace 每个加密是启用还是禁用。要查看哪些特定卷已加密,请展开 WorkSpace 条目以查看 “加密卷” 字段。
