本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
已加密 WorkSpaces
WorkSpaces 已与 Amazon Key Management Service (Amazon KMS) 集成。这使您能够 WorkSpaces 使用密 Amazon KMS 钥对存储卷进行加密。当你启动 a 时 WorkSpace,你可以加密根卷(对于微软 Windows,是 C 盘;Linux,/)和用户卷(对于 Windows,是 D 盘;对于 Linux,/home)。这样做可确保静态存储的数据、卷的磁盘 I/O 及从加密卷创建的快照都会被加密。
内容
先决条件
在开始加密过程之前,您需要一个密 Amazon KMS 钥。此 KMS 密钥可以是适用于亚马逊的Amazon 托管 KMS 密钥 WorkSpaces (aws/workspaces),也可以是对称的客户托管 KMS 密钥。
-
Amazon 托管 KMS 密钥 — 在您首次 WorkSpace 从 WorkSpaces 控制台启动某个地区的未加密密钥时,Amazon WorkSpaces 会自动在您的账户中创建 Amazon 托管 KMS 密钥(aws/workspaces)。您可以选择此 Amazon 托管 KMS 密钥来加密您的用户和根卷 WorkSpace。有关更多信息,请参阅 使用 WorkSpaces 加密概述 Amazon KMS。
您可以查看此 Amazon 托管 KMS 密钥,包括其策略和授权,并可以在 Amazon CloudTrail 日志中跟踪其使用情况,但您无法使用或管理此 KMS 密钥。亚马逊 WorkSpaces 创建并管理此 KMS 密钥。只有 Amazon WorkSpaces 可以使用此 KMS 密钥,并且 WorkSpaces 只能使用它来加密您账户中的 WorkSpaces 资源。
Amazon 托管 KMS 密钥(包括 Amazon WorkSpaces 支持的密钥)每三年轮换一次。有关详细信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 Amazon KMS 密钥。
-
客户托管 KMS 密钥 — 或者,您可以选择使用 Amazon KMS创建的对称客户托管 KMS 密钥。您可以查看、使用和管理此 KMS 密钥,包括设置其策略。有关创建 KMS 密钥的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的创建密钥。有关使用 Amazon KMS API 创建 KMS 密钥的更多信息,请参阅Amazon Key Management Service 开发人员指南中的使用密钥。
除非您决定启用自动密钥轮换,否则客户托管 KMS 密钥不会自动轮换。有关详细信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 Amazon KMS 密钥。
重要
手动轮换 KMS 密钥时,必须同时启用原始 KMS 密钥和新的 KMS 密钥,这样 Amazon KMS 才能解密原始 KMS 密钥加密后的密钥。 WorkSpaces 如果您不想保持原始 KMS 密钥处于启用状态,则必须重新创建 WorkSpaces并使用新的 KMS 密钥对其进行加密。
您必须满足以下要求才能使用密 Amazon KMS 钥加密您的 WorkSpaces:
-
KMS 密钥必须是对称的。Amazon WorkSpaces 不支持非对称 KMS 密钥。有关区分对称和非对称 KMS 密钥的信息,请参阅《Amazon Key Management Service 开发人员指南》中的识别对称和非对称 KMS 密钥。
-
KMS 密钥必须已启用。要确定是否启用 KMS 密钥,请参阅《Amazon Key Management Service 开发人员指南》中的显示 KMS 密钥详细信息。
-
您必须拥有与 KMS 密钥相关联的正确权限和策略。有关更多信息,请参阅 第 2 部分:使用 IAM 策略向 WorkSpaces 管理员授予额外权限。
限制
-
您无法加密现有的 WorkSpace。启动 WorkSpace 时必须对其进行加密。
-
不支持使用加密 WorkSpace 镜像创建自定义镜像。
-
目前不支持对加密文件 WorkSpace 禁用加密。
-
WorkSpaces 在启用根卷加密的情况下启动可能需要长达一个小时才能进行配置。
-
要重新启动或重建加密的 WorkSpace,请先确保 Amazon KMS 密钥已启用;否则,密钥 WorkSpace 将无法使用。要确定是否启用 KMS 密钥,请参阅《Amazon Key Management Service 开发人员指南》中的显示 KMS 密钥详细信息。
使用 WorkSpaces 加密概述 Amazon KMS
使用加密卷创建 WorkSpaces 时, WorkSpaces 使用亚马逊弹性区块存储 (Amazon EBS) Elastic Block Store 来创建和管理这些卷。Amazon EBS 通过行业标准的 AES-256 算法,利用数据密钥加密您的卷。Amazon EBS 和亚马逊都 WorkSpaces 使用您的 KMS 密钥来处理加密卷。有关 EBS 卷加密的更多信息,请参阅 Amazon EC2 用户指南中的亚马逊 EBS 加密。
当您 WorkSpaces 使用加密卷启动时, end-to-end 过程如下所示:
-
您可以指定用于加密的 KMS 密钥以及用于的用户和目录 WorkSpace。此操作会创建一项授权,该授权仅 WorkSpaces 允许为此使用您的 KMS 密钥 WorkSpace,也就是说,仅允许与指定用户和目录 WorkSpace关联的用户使用 KMS 密钥。
-
WorkSpaces 为创建加密的 EBS 卷 WorkSpace 并指定要使用的 KMS 密钥以及该卷的用户和目录。此操作将创建一项授权,允许 Amazon EBS 仅将您的 KMS 密钥用于该卷 WorkSpace 和卷,也就是说,仅适用于与指定用户和目录 WorkSpace 关联的,并且仅用于指定的卷。
-
Amazon EBS 请求使用您的 KMS 密钥加密的卷数据密钥,并将 WorkSpace 用户的活动目录安全标识符 (SID) 和 Amazon Directory Service 目录 ID 以及亚马逊 EBS 卷 ID 指定为加密上下文。
-
Amazon KMS 创建新的数据密钥,使用您的 KMS 密钥对其进行加密,然后将加密的数据密钥发送到 Amazon EBS。
-
WorkSpaces 使用 Amazon EBS 将加密卷附加到您的 WorkSpace。Amazon EBS Amazon KMS 通过
Decrypt请求将加密的数据密钥发送到,并指定 WorkSpace 用户的 SID、目录 ID 和卷 ID,后者用作加密上下文。 -
Amazon KMS 使用您的 KMS 密钥解密数据密钥,然后将纯文本数据密钥发送到 Amazon EBS。
-
Amazon EBS 使用纯文本数据密钥加密所有传入和传出加密卷的数据。Amazon EBS 会将纯文本数据密钥保存在内存中,直至卷连接到 WorkSpace。
-
Amazon EBS 将加密的数据密钥(接收于步骤 4)与卷元数据一起存储,以备将来重启或重建时使用。 WorkSpace
-
当您使用删除 WorkSpace (或使用 WorkSpaces API 中的
TerminateWorkspaces操作)时, WorkSpaces Amazon EBS 会停用允许他们使用您的 KMS 密钥进行此 WorkSpace操作的授权。 Amazon Web Services Management Console
WorkSpaces 加密上下文
WorkSpaces 不会将您的 KMS 密钥直接用于加密操作(例如EncryptDecryptGenerateDataKey、、等),这意味着 WorkSpaces 不向包含加密上下文的请求发送请求。 Amazon KMS 但是,当 Amazon EBS 请求您的加密卷的加密数据密钥时 WorkSpaces (步骤 3在使用 WorkSpaces 加密概述 Amazon KMS)以及请求该数据密钥的纯文本副本(步骤 5)时,它会在请求中包含加密上下文。
加密上下文提供了额外的身份验证数据 (AAD), Amazon KMS 用于确保数据完整性。加密上下文也会写入您的 Amazon CloudTrail 日志文件,这可以帮助您了解使用给定 KMS 密钥的原因。Amazon EBS 会对加密上下文使用以下内容:
-
与 Active Directory 用户关联的安全标识符 (SID) WorkSpace
-
与之关联的 Amazon Directory Service 目录的目录 ID WorkSpace
-
Amazon EBS 加密卷的卷 ID
以下示例显示了 Amazon EBS 使用的加密上下文的 JSON 表示形式:
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}授 WorkSpaces 予代表您使用 KMS 密钥的权限
您可以在 WorkSpaces(aws/workspaces)的 Amazon 托管 KMS 密钥或客户托管的 KMS 密钥下保护您的 WorkSpace 数据。如果您使用客户托管的 KMS 密钥,则需要授予代表账户 WorkSpaces 管理员使用 KMS 密钥的 WorkSpaces 权限。默认情况下,的 Amazon WorkSpaces托管 KMS 密钥具有所需的权限。
要准备您的客户托管的 KMS 密钥以供使用 WorkSpaces,请按以下步骤操作。
您的 WorkSpaces 管理员还需要获得使用权限 WorkSpaces。有关这些权限的更多信息,请参阅 对 WorkSpaces 进行身份和访问管理。
第 1 部分:将 WorkSpaces 管理员添加为关键用户
要向 WorkSpaces 管理员授予他们所需的权限,您可以使用 Amazon Web Services Management Console 或 Amazon KMS API。
将 WorkSpaces 管理员添加为 KMS 密钥的密钥用户(控制台)
-
登录 Amazon Web Services Management Console 并打开 Amazon Key Management Service (Amazon KMS) 控制台,网址为 https://console.aws.amazon.com/kms
。 -
要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择客户托管密钥。
-
选择首选客户托管 KMS 密钥的密钥 ID 或别名。
-
选择 Key policy (密钥策略) 选项卡。在 Key users(密钥用户)下,选择 Add(添加)。
-
在 IAM 用户和角色列表中,选择与您的 WorkSpaces 管理员对应的用户和角色,然后选择添加。
将 WorkSpaces 管理员添加为 KMS 密钥 (API) 的密钥用户
第 2 部分:使用 IAM 策略向 WorkSpaces 管理员授予额外权限
如果您选择客户托管的 KMS 密钥用于加密,则必须建立 IAM 策略,允许 Amazon WorkSpaces 代表您的账户中启动加密的 IAM 用户使用 KMS 密钥 WorkSpaces。该用户还需要获得使用Amazon的权限 WorkSpaces。有关创建和编辑 IAM 用户策略的更多信息,请参阅《IAM 用户指南》中的管理 IAM 策略和 对 WorkSpaces 进行身份和访问管理。
WorkSpaces 加密需要对 KMS 密钥的有限访问权限。以下是您可以使用的一个示例密钥策略。此策略将可以管理 Amazon KMS 密钥的主体与可以使用此密钥的主体分开。在使用此示例密钥策略之前,请将示例账户 ID 和 IAM 用户名替换为您账户中的实际值。
第一条语句与默认 Amazon KMS 密钥策略相匹配。它授予您的账户使用 IAM 策略控制对 KMS 密钥的访问的权限。第二和第三条语句分别定义了 Amazon 哪些委托人可以管理和使用密钥。第四条语句 Amazon KMS 允许与集成的 Amazon 服务代表指定的委托人使用密钥。该语句允许 Amazon 服务创建和管理授权。该声明使用条件元素,将对 KMS 密钥的授权限制为 Amazon 服务代表您账户中的用户进行的授权。
注意
如果您的 WorkSpaces 管理员使用创建 WorkSpaces 加密卷,则管理员需要列出别名和列出密钥的权限("kms:ListAliases"和"kms:ListKeys"权限)。 Amazon Web Services Management Console 如果您的 WorkSpaces 管理员仅使用 Amazon WorkSpaces API(不使用控制台),则可以省略"kms:ListAliases"和"kms:ListKeys"权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }
用于加密的用户或角色的 IAM 策略 WorkSpace 必须包括对客户托管的 KMS 密钥的使用权限以及对的访问 WorkSpaces权限。要向 IAM 用户或角色 WorkSpaces 授予权限,您可以将以下示例策略附加到 IAM 用户或角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }
用户需要以下 IAM 策略才能使用 Amazon KMS。它为用户提供了对 KMS 密钥的只读访问权限以及创建授权的能力。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }
如果您想在策略中指定 KMS 密钥,请使用类似于以下内容的 IAM 策略。将示例 KMS 密钥 ARN 替换为有效值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }
加密 WorkSpace
要加密 WorkSpace
打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/
。 -
选择 Launch WorkSpaces 并完成前三个步骤。
-
对于 “WorkSpaces 配置” 步骤,请执行以下操作:
-
选择要加密的卷:根卷、用户卷或这两种卷。
-
对于加密密钥,请选择一个 Amazon KMS 密钥,即 Amazon 创建的 Amazon 托管 KMS 密钥 WorkSpaces 或您创建的 KMS 密钥。您选择的 KMS 密钥必须是对称的。Amazon WorkSpaces 不支持非对称 KMS 密钥。
-
选择下一步。
-
-
选择 “启动” WorkSpaces。
查看已加密 WorkSpaces
要从 WorkSpaces 控制台查看哪些 WorkSpaces 和卷已加密,请WorkSpaces从左侧的导航栏中进行选择。“卷加密” 列显示 WorkSpace 每个卷加密是启用还是禁用。要查看哪些特定卷已加密,请展开 WorkSpace 条目以查看 “加密卷” 字段。