限制 WorkSpaces 對受信任設備的訪問 - Amazon WorkSpaces

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

限制 WorkSpaces 對受信任設備的訪問

默認情況下,用户可以從連接到互聯網的任何受支持的設備訪問其 WorkSpaces。如果您的公司限制對受信任設備(也稱為託管設備)的公司數據訪問權限,則可以限制 WorkSpaces 對具有有效證書的受信任設備的訪問。

啟用此功能時,WorkSpaces 將使用基於證書的身份驗證來確定設備是否受信任。如果 WorkSpaces 客户端應用程序無法驗證設備是否受信任,它會阻止嘗試登錄或從設備重新連接。

對於每個目錄,最多可以導入兩個根證書。如果導入兩個根證書,WorkSpaces 將它們同時提供給客户端,並且客户端會找到連接到任一根證書的第一個有效匹配證書。

支援的用户端

  • 安卓系統,在安卓或安卓兼容的 Chrome 操作系統上運行

  • macOS

  • Windows

重要

以下客户端不支持此功能:

  • 適用於 Linux 或 iPad 的 WorkSpaces 客户端應用

  • WorkSpaces Web Access

  • 第三方客户端,包括但不限於 Terradici PCoIP、RDP 客户端和遠程桌面應用程序。

步驟 1:建立憑證

此功能需要兩種類型的證書:由內部證書頒發機構 (CA) 生成的根證書和鏈接到根證書的客户端證書。

要求

  • 證書必須是 CRT、證書或 PEM 格式的 Base64 編碼的證書文件。

  • 證書必須包含公用名稱。

  • 支持的證書鏈的最大長度為 4。

  • WorkSpaces 目前不支持用於用於客户端憑證的憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP)) 等設備撤銷機制。

  • 使用高強度加密算法。我們推薦使用 SHA256 使用 RSA、SHA256 使用歐洲發展中心、SHA384 使用歐洲發展中心、或者 SHA512 使用歐洲化學品分析系統。

  • 確保「密鑰用法:數字簽名」存在於客户端證書的公鑰上,或者設備身份驗證將失敗,即使計算機和 WorkSpaces 控制台中存在公鑰和私鑰。

  • 對於 macOS,如果設備證書位於系統鑰匙串中,我們建議您授權 WorkSpaces 客户端應用程序訪問這些證書。否則,用户在登錄或重新連接時必須輸入鑰匙串憑據。

步驟 2:將客户端證書部署到受信任的設備

您必須在受信任的設備上為用户安裝客户端證書。您可以使用首選解決方案將證書安裝到客户端設備隊列中,例如,系統中心配置管理器 (SCCM) 或移動設備管理 (MDM)。請注意,SCCM 和 MDM 可以選擇執行安全狀態評估,以確定設備是否符合您的公司策略以訪問 WorkSpaces。

WorkSpaces 客户端應用程序按如下方式搜索證書:

  • 安卓-在安卓系統上,在鑰匙串中搜索客户端證書。在與 Android 兼容的 Chrome 操作系統上,在鑰匙串中搜索用户證書。

  • macOS-在鑰匙串中搜索客户端證書。

  • Windows-在用户和根證書存儲庫中搜索客户端證書。

步驟 3:設定限制

在受信任的設備上部署客户端證書後,可以在目錄級別啟用受限訪問。這要求 WorkSpaces 客户端應用程序在允許用户登錄到 WorkSpace 之前驗證設備上的證書。

配置限制

  1. 開啟位於的 WorkSpaces 控台https://console.aws.amazon.com/workspaces/

  2. 在導覽窗格中,選擇 Directories (目錄)。

  3. 選擇目錄,然後選擇動作更新詳細信息

  4. Expand存取控制選項

  5. 選擇設備類型對於每種設備類型,指定哪些設備可以訪問 WorkSpaces

  6. 最多導入兩個根證書。針對每個根憑證執行下列作業:

    1. 選擇 Import (匯入)

    2. 將證書的正文複製到表單中。

    3. 選擇 Import (匯入)

  7. (可選)指定其他類型的設備是否有權訪問 WorkSpaces。

    1. 向下捲動至其他平台區段。默認情況下,WorkSpaces Web Access 和 Linux 客户端處於禁用狀態,用户可以從其 iOS 設備、安卓設備、鉻書,和 PCoIP 零客户端設備。

    2. 選擇要啟用並清除要禁用的設備類型的設備類型。

    3. 要阻止所有選定設備類型的訪問,請選擇區塊

  8. 選擇更新和結束