本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WorkSpaces 中的数据保护
这些区域有:Amazon 责任共担模式
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭据并设置单个用户帐户Amazon Identity and Access Management(IAM). 这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:
-
对每个账户使用 Multi-Factor Authentication (MFA)。
-
使用 SSL/TLS 与Amazon资源进行通信。建议使用 TLS 1.2 或更高版本。
-
使用 Amazon CloudTrail 设置 API 和用户活动日志记录。
-
使用Amazon加密解决方案以及Amazon服务中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的个人数据。
-
如果在通过命令行界面或 API 访问Amazon时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 终端节点。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版
。
我们强烈建议您切勿将机密信息或敏感信息(例如您客户的电子邮件地址)放入标签或自由格式字段(例如名称字段)。这包括使用 WorkSpace 或其他Amazon服务使用控制台、API、Amazon CLI,或者Amazon软件开发工具包。您在用于名称的标签或自由格式字段中输入的任何数据都可能会用于计费或诊断日志。当您向外部服务器提供 URL 时,强烈建议您不要在 URL 中包含凭证信息来验证您对该服务器的请求。
静态加密
您可以从 Amazon Key Management Service 使用客户主密钥 (CMK) 来加密 WorkSpaces 的存储卷。有关更多信息,请参阅加密的 WorkSpace。
当您创建使用加密卷的 WorkSpaces kSpace 时,WorkSpace 将使用 Amazon Elastic Block Store (Amazon EBS) 创建和管理这些卷。EBS 通过行业标准的 AES-256 算法,利用数据密钥加密您的卷。有关更多信息,请参阅 。Amazon EBS 加密中的适用于 Windows 实例的 Amazon EC2 用户指南.
传输中加密
对于 PCoIP,传输中的数据使用 TLS 1.2 加密和 SigV4 请求签名进行加密。PCoIP 协议使用带有 AES 加密的加密 UDP 流量来传输像素。使用端口
4172(TCP 和 UDP)的流连接使用 AES-128 和 AES-256 密码进行加密,但加密默认为 128 位。您可以将此默认值更改为 256 位,方法是使用配置 PCoIP 安全设置组策略 WorkSpaces,或通过修改PCoIP 安全设置中的pcoip-agent.conf文 WorkSpaces。
要了解有关 Amazon WorkSpaces 的组策略管理的更多信息,请参阅配置 PCoIP 安全设置在管理 Windows WorkSpaces. 要了解有关修改pcoip-agent.conf文件,请参阅控制亚马逊 Linux WorkSpaces 上的 PCoIP 代理行为和PCoIP 安全设置
对于 WorkSpaces 流式处理协议 (WSP),传输过程中的流和控制数据使用 DTLS 1.2 加密对 UDP 流量进行加密,对 TCP 流量使用 TLS 1.2 加密(使用 AES-256 密码)进行加密。