Amazon WorkSpaces 的基礎設施安全

Amazon WorkSpaces 是一項受管服務，受到 AWS 全球網路安全的保護。如需有關 AWS 安全服務以及 AWS 如何保護基礎設施的詳細資訊，請參閱 AWS 雲端安全。若要使用基礎設施安全性的最佳實務來設計您的 AWS 環境，請參閱安全性支柱 AWS 架構良好的框架中的基礎設施保護。

您可使用 AWS 發佈的 API 呼叫，透過網路存取 WorkSpaces。用戶端必須支援下列項目：

• Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。

• 具備完美轉送私密 (PFS) 的密碼套件，例如 DHE (Ephemeral Diffie-Hellman) 或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。

此外，請求必須使用存取索引鍵 ID 和與 IAM 主體相關聯的私密存取索引鍵來簽署。或者，您可以使用 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。

網路隔離

Virtual Private Cloud (VPC) 是 AWS 雲端中您自己的邏輯隔離區域中的虛擬網路。您可以將 WorkSpaces 部署到 VPC 的私有子網路。如需詳細資訊，請參閱 設定虛 VPC WorkSpaces。

若要只允許來自特定位址範圍的流量 (例如，來自您的公司網路)，請更新 VPC 的安全群組或使用 IP 存取控制群組。

您可使用有效的憑證來限制 WorkSpace 對受信任裝置的存取。如需詳細資訊，請參閱 限制對 WorkSpaces 受信任設備的訪問。

實體主機上的隔離

相同實體主機上的不同 WorkSpaces 已透過 Hypervisor 彼此隔離。就好像它們位於不同的實體主機上一樣。刪除 WorkSpace 時，Hypervisor 會先清除配置給它的記憶體 (設定為零)，然後再將其配置到新的 WorkSpace。

公司使用者驗證

使用 WorkSpaces 時，目錄可透過 AWS Directory Service 管理。您可以為使用者建立獨立的受管理目錄。或者，您也可與現有的 Active Directory 環境整合，讓使用者可以使用其目前的認證來取得企業資源的無縫存取權。如需詳細資訊，請參閱 管理 WorkSpaces 的目錄。

若要進一步控制對 WorkSpaces 的存取，請使用多重要素驗證。如需詳細資訊，請參閱如何啟用 AWS 服務的多重要素驗證。

透過 VPC 介面端點提出 Amazon WorkSpaces API 請求

您可以透過虛擬私有雲端 (VPC) 中的介面端點直接連線至 Amazon WorkSpaces API 端點，而不是透過網際網路進行連線。使用 VPC 介面端點時，VPC 與 Amazon WorkSpaces API 端點之間的通訊會完全在 AWS 網路內安全地進行。

注意

此功能只能用於連線到 WorkSpaces API 端點。若要使用 WorkSpaces 用戶端連線至 WorkSpaces，需要網際網路連線能力，如 的 IP 位址和連接埠需求 WorkSpaces 所述。

Amazon WorkSpaces API 端點支援由 AWS PrivateLink 提供支援的 Amazon Virtual Private Cloud (Amazon VPC) 介面端點。每個 VPC 端點都是由您的 VPC 子網路中一個或多個具私有 IP 地址的網路介面 (也稱為彈性網路介面，或 ENI) 來表示。

VPC 介面端點可直接將 VPC 連線至 Amazon WorkSpaces，不需透過網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。VPC 中的執行個體不需要公用 IP 位址，就能與 Amazon WorkSpaces API 端點進行通訊。

您可以建立介面端點，以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 命令連線到 Amazon WorkSpaces。如需說明，請參閱建立界面端點。

建立 VPC 端點之後，您可透過下列使用 endpoint-url 參數的 CLI 命令範例，將介面端點指定至 Amazon WorkSpaces API 端點：

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

如果您為 VPC 端點啟用私有 DNS 主機名稱，則不需要指定端點 URL。CLI 和 Amazon WorkSpaces SDK 根據預設使用的 Amazon WorkSpaces API DNS 主機名稱 (https://api.workspaces.Region.amazonaws.com) 會解析為您的 VPC 端點。

Amazon WorkSpaces API 端點在所有可使用 Amazon VPC 和 Amazon WorkSpaces 的 AWS 區域中支援 VPC 端點。Amazon WorkSpaces 支援在您的 VPC 內呼叫其所有的公用 API。

若要進一步了解 AWS PrivateLink，請參閱 AWS PrivateLink 文件。請參閱 VPC 定價以取得 VPC 端點的價格。若要進一步了解 VPC 與端點，請參閱 Amazon VPC。

若要查看各區域的 Amazon WorkSpaces API 端點清單，請參閱 WorkSpaces API 端點。

注意

聯邦資訊處理標準 (FIPS) Amazon WorkSpaces 區 API 端點不支援具有 AWS PrivateLink 的 Amazon WorkSpaces API 端點。

為 Amazon WorkSpaces 建立 VPC 端點政策。

您可以為 Amazon WorkSpaces 的 Amazon VPC 端點建立政策，以指定下列各項：

• 可執行動作的主體。

• 可執行的動作。

• 可供執行動作的資源。

如需詳細資訊，請參閱《Amazon VPC 使用者指南》中的使用 VPC 端點控制服務的存取。

注意

聯邦資訊處理標準 (FIPS) Amazon WorkSpaces 端點不支援 VPC 端點政策。

以下 VPC 端點政策範例指定所有可存取 VPC 介面端點的使用者都獲准調用名為 ws-f9abcdefg 的 Amazon WorkSpaces 託管端點。

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

在這個範例中，下列動作會遭到拒絕：

• 調用 ws-f9abcdefg 以外 Amazon WorkSpaces 託管的端點。

• 對指定資源 (WorkSpace ID：ws-f9abcdefg) 以外的任何資源執行動作。

注意

在這個範例中，使用者仍然可以從 VPC 外部執行其他 Amazon WorkSpaces API 動作。若要限制 VPC 內的 API 呼叫，請參閱 適用於 WorkSpaces 的身分和存取管理 以取得有關使用身分型政策來控制 Amazon WorkSpaces API 端點存取權的相關資訊。

將私有網路連線到 VPC

若要透過 VPC 來呼叫 Amazon WorkSpaces API，您必須從 VPC 內的執行個體進行連線，或使用 AWS Virtual Private Network (AWS VPN) 或 AWS Direct Connect 將私有網路連線到 VPC。如需詳細資訊，請參閱《Amazon Virtual Private Cloud 使用者指南》中的 VPN 連線。如需有關 AWS Direct Connect 的資訊，請參閱《AWS Direct Connect 使用者指南》中的建立連線。