Amazon WorkSpaces
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

加密的 WorkSpace

Amazon WorkSpaces 与 AWS Key Management Service (AWS KMS) 集成。这使您能够使用客户主密钥 (CMK) 来加密 WorkSpace 的存储卷。在您启动 WorkSpace 时,可以加密根卷(对于 Microsoft Windows,为 C: 驱动器;对于 Linux,为 /)和用户卷(对于 Windows,为 D: 驱动器;对于 Linux,为 /home)。这样做可确保静态存储的数据、卷的磁盘 I/O 及从加密卷创建的快照都会被加密。

先决条件

在开始加密过程之前,您需要一个 AWS KMS CMK。

您首次在某个区域中从 Amazon WorkSpaces 控制台启动一个 WorkSpace 时,系统会为您自动创建一个默认 CMK。您可以选择该密钥来加密您的 WorkSpace 的用户卷和根卷。

或者您可以选择使用 AWS KMS 创建 CMK。有关创建密钥的更多信息,请参阅 AWS Key Management Service Developer Guide 中的创建密钥。有关使用 AWS KMS API 创建密钥的更多信息,请参阅 AWS Key Management Service Developer Guide 中的使用密钥

您必须满足以下要求才能使用 AWS KMS CMK 加密您的 WorkSpace:

  • 密钥必须已启用。

  • 您必须拥有与密钥相关联的正确权限和策略。有关更多信息,请参阅 IAM 权限和加密的角色

限制

  • 不支持从加密的 WorkSpace 中创建自定义映像。

  • 目前不支持禁用已加密 WorkSpace 的加密。

  • 对于在启动时启用了根卷加密的 WorkSpace,可能需要多达一个小时的时间才能完成配置。

  • 要重启或重建已加密的 WorkSpace,请先确保 AWS KMS CMK 已启用;否则 WorkSpace 将变得不可用。

加密 WorkSpace

加密 WorkSpace

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 选择 Launch WorkSpaces 并完成前三步。

  3. 对于 WorkSpaces Configuration 步骤,执行以下操作:

    1. 选择要加密的卷:根卷用户卷或这两种卷。

    2. 对于 Encryption Key (加密密钥),选择您的 AWS KMS CMK。

    3. 选择 Next Step

  4. 选择 Launch WorkSpaces

查看加密的 WorkSpace

要从 Amazon WorkSpaces 控制台上查看哪些 WorkSpace 和卷已加密,请在左侧导航栏中选择 WorkSpaceVolume Encryption 列显示每个 WorkSpace 的加密是启用还是禁用。要查看哪些特定卷已加密,请展开 WorkSpace 条目以查看 Encrypted Volumes 字段。

IAM 权限和加密的角色

Amazon WorkSpaces 加密权限要求启动已加密 WorkSpace 的 IAM 用户对给定密钥拥有有限的 AWS KMS 访问权限。以下是可用密钥策略的一个示例。该策略使您能够将可管理 AWS KMS CMK 的委托人与可使用它的委托人相分离。必须修改账户 ID 和 IAM 用户名,使其与您的账户匹配。

第一个语句与默认 AWS KMS 密钥策略匹配。第二个和第三个语句分别定义哪些 AWS 委托人可以管理和使用密钥。第四个语句允许与 AWS KMS 集成的 AWS 服务代表指定委托人使用密钥。该语句允许 AWS Services 创建和管理授权。该条件使用一个上下文密钥,此密钥仅针对由 AWS Services 代表客户发出的 AWS KMS 调用设置。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws-cn:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws-cn:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws-cn:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws-cn:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

有关加密 WorkSpace 的用户或角色的 IAM 策略,应包含有关 CMK 的使用权限以及对 WorkSpace 的访问权限。以下是可关联到 IAM 用户以向其授予 WorkSpace 权限的策略示例。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "wam:CreateWorkspaces", "wam:DescribeWorkspaceBundles", "wam:DescribeWorkspaceDirectories", "wam:DescribeWorkspaces", "wam:RebootWorkspaces", "wam:RebuildWorkspaces" ], "Resource": "*" } ] }

以下是用户使用 AWS KMS 所需的 IAM 策略。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }