本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制對 WorkSpaces 受信任設備的訪問
默認情況下,用戶可以 WorkSpaces 從連接到互聯網的任何支持設備訪問他們的。如果貴公司限制對信任裝置 (也稱為受管理裝置) 的公司資料存取,您可以使用有效的憑證來限制對受信任裝置的 WorkSpaces 存取。
啟用此功能時, WorkSpaces 會使用憑證型驗證來判斷裝置是否受信任。如果用 WorkSpaces 戶端應用程式無法驗證裝置是否受信任,則會封鎖嘗試登入或從裝置重新連線。
對於每個目錄,您最多可以匯入兩個根憑證。如果您匯入兩個根憑證,則會將它們同時 WorkSpaces 提供給用戶端,而用戶端會找到第一個鏈結到其中一個根憑證的有效相符憑證。
支援的用戶端
-
Android,在 Android 或與 Android 系統相容的 Chrome 作業系統上執行
-
macOS
-
Windows
重要
下列用戶端不支援此功能:
-
WorkSpaces 用戶端應用程 iPad
-
第三方用戶端,包括但不限於 Terdici PCoIP、RDP 用戶端和遠端桌面應用程式。
步驟 1:建立憑證
此功能需要兩種類型的憑證:由內部憑證授權機構 (CA) 產生的根憑證,以及鏈結至根憑證的用戶端憑證。
要求
根憑證必須是 CRT、CERT 或 PEM 格式的 Base64 編碼憑證檔案。
根憑證必須符合下列規則運算式模式,也就是說,除了最後一行以外,每一個編碼行的長度都必須剛好是 64 個字元:
-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)
。裝置憑證必須包含通用名稱。
裝置憑證必須包含下列副檔名:
Key Usage: Digital Signature
和Enhanced Key Usage: Client Authentication
。從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證都必須安裝在用戶端裝置上。
憑證鏈結支援的長度上限為 4。
WorkSpaces 目前不支援用戶端憑證的裝置撤銷機制,例如憑證撤銷清單 (CRL) 或線上憑證狀態通訊協定 (OCSP)。
使用強大的加密演算法。我們建議使用 SHA256 結合 RSA、SHA256 結合 ECDSA、SHA384 結合 ECDSA 或 SHA512 結合 ECDSA。
對於 macOS,如果裝置憑證位於系統鑰匙圈中,建議您授權用 WorkSpaces 戶端應用程式存取這些憑證。否則,使用者必須在登入或重新連線時輸入鑰匙圈憑證。
步驟 2:將用戶端憑證部署到信任的裝置
在使用者的信任裝置上,您必須安裝憑證套件,其中包含從裝置憑證到信任的根憑證授權機構的鏈結中的所有憑證。您可以使用偏好的解決方案將憑證安裝到用戶端裝置機群;例如,系統中心組態管理員 (SCCM) 或行動裝置管理 (MDM)。請注意,SCCM 和 MDM 可以選擇性地執行安全狀態評估,以判斷裝置是否符合貴公司的存取政策。 WorkSpaces
用 WorkSpaces 戶端應用程式會搜尋憑證,如下所示:
-
Android - 移至設定,選擇安全性和位置、憑證,然後選擇從 SD 卡安裝。
-
Android 相容的 Chrome 作業系統 - 開啟 Android 設定,選擇安全性和位置、憑證,然後選擇從 SD 卡安裝。
-
macOS - 在鑰匙圈中搜尋用戶端憑證。
-
Windows - 在使用者和根憑證存放區中搜尋用戶端憑證。
步驟 3:設定限制
在信任的裝置上部署用戶端憑證之後,您可以在目錄層級啟用限制存取。這需要用 WorkSpaces 戶端應用程式先驗證裝置上的憑證,然後再允許使用者登入 WorkSpace.
若要設定限制
-
請在以下位置開啟 WorkSpaces 主控台。
https://console.aws.amazon.com/workspaces/ -
在導覽窗格中,選擇目錄。
-
選取目錄,然後依序選擇動作、更新詳細資訊。
-
展開存取控制選項。
-
在「針對每個裝置類型」下選取裝置類型,指定可以存取的裝置 WorkSpaces。
-
匯入最多兩個根憑證。針對每個根憑證,執行下列操作:
選擇匯入。
將憑證主體複製到表單。
選擇匯入。
-
(選擇性) 指定其他類型的裝置是否具有存取權限 WorkSpaces。
-
向下捲動至其他平台區段。根據預設, WorkSpaces 系統會停用 Linux 用戶端,使用者可以 WorkSpaces 從他們的 iOS 裝置、安卓裝置、網頁存取、Chromebook 和 PCoIP 零用戶端裝置存取這些用戶端。
-
選取要啟用的裝置類型,並清除要停用的裝置類型。
-
若要封鎖來自所有所選裝置類型的存取,請選擇封鎖。
-
-
選擇更新並結束。