加密的 WorkSpace - Amazon WorkSpaces
先决条件Limits使用 Amazon KMS 的 WorkSpaces 加密概述WorkSpaces 加密上下文为 WorkSpaces 授予代表您使用 KMS 密钥的权限加密 WorkSpace查看加密的 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

加密的 WorkSpace

WorkSpaces 与 Amazon Key Management Service (Amazon KMS) 集成。这样,您可以使用 Amazon KMS 密钥来加密 WorkSpaces 的存储卷。在您启动 WorkSpace 时,可以加密根卷(对于 Microsoft Windows,为 C 驱动器;对于 Linux,为 /)和用户卷(对于 Windows,为 D 驱动器;对于 Linux,为 /home)。这样做可确保静态存储的数据、卷的磁盘 I/O 及从加密卷创建的快照都会被加密。

先决条件

在开始加密过程之前,您需要一个 Amazon KMS 密钥。此 KMS 密钥可以是用于 Amazon WorkSpaces 的 Amazon 托管 KMS 密钥 (aws/workspaces),也可以是对称的客户托管 KMS 密钥

  • Amazon 托管 KMS 密钥 - 首次从某个区域的 WorkSpaces 控制台启动未加密的 WorkSpace 时,Amazon WorkSpaces 会自动在您的账户中创建 Amazon 托管 KMS 密钥 (aws/workspaces)。您可以选择该 Amazon 托管 KMS 密钥来加密您 WorkSpace 的用户卷和根卷。有关详细信息,请参阅 使用 Amazon KMS 的 WorkSpaces 加密概述

    您可以查看此 Amazon 托管 KMS 密钥(包括其策略和授权),并可以在 Amazon CloudTrail 日志中跟踪其使用情况,但您无法使用或管理此 KMS 密钥。Amazon WorkSpaces 创建并管理此 KMS 密钥。只有 Amazon WorkSpaces 才可以使用此 KMS 密钥,WorkSpaces 只能使用它来加密您账户中的 WorkSpaces 资源。

    Amazon 托管 KMS 密钥(包括 Amazon WorkSpaces 支持的密钥)每三年轮换一次。有关详细信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 Amazon KMS 密钥

  • 客户托管 KMS 密钥 - 或者,您可以选择使用 Amazon KMS 创建的对称客户托管 KMS 密钥。您可以查看、使用和管理此 KMS 密钥,包括设置其策略。有关创建 KMS 密钥的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的创建密钥。有关使用 Amazon KMS API 创建 KMS 密钥的更多信息,请参阅《Amazon Key Management Service 开发人员指南》中的使用密钥

    除非您决定启用自动密钥轮换,否则客户托管 KMS 密钥不会自动轮换。有关详细信息,请参阅《Amazon Key Management Service 开发人员指南》中的轮换 Amazon KMS 密钥

重要

手动轮换 KMS 密钥时,您必须同时启用原始 KMS 密钥和新的 KMS 密钥,这样 Amazon KMS 才能解密原始 KMS 密钥加密的 WorkSpaces。如果您不想启用原始 KMS 密钥,则必须重新创建 WorkSpaces 并使用新的 KMS 密钥对其进行加密。

您必须满足以下要求才能使用 Amazon KMS 密钥来加密您的 WorkSpace:

Limits

  • 您无法加密现有的 WorkSpace。您必须在启动 WorkSpace 时对其加密。

  • 不支持从加密的 WorkSpace 中创建自定义映像。

  • 目前不支持禁用已加密 WorkSpace 的加密。

  • 对于在启动时启用了根卷加密的 WorkSpace,可能需要多达一个小时的时间才能完成配置。

  • 要重启或重建已加密的 WorkSpace,请先确保 Amazon KMS 密钥已启用;否则 WorkSpace 将变得不可用。要确定是否启用 KMS 密钥,请参阅《Amazon Key Management Service 开发人员指南》中的显示 KMS 密钥详细信息

使用 Amazon KMS 的 WorkSpaces 加密概述

当您创建使用加密卷的 WorkSpaces 时,WorkSpaces 将使用 Amazon Elastic Block Store (Amazon EBS) 创建和管理这些卷。Amazon EBS 通过行业标准的 AES-256 算法,利用数据密钥加密您的卷。Amazon EBS 和 Amazon WorkSpaces 都使用 KMS 密钥来处理加密卷。有关 EBS 卷加密的更多信息,请参阅《适用于 Windows 实例的 Amazon EC2 用户指南》中的 Amazon EBS 加密

当您启动使用加密卷的 WorkSpace 时,端到端过程的工作方式如下所示:

  1. 您指定用于加密的 KMS 密钥,以及 WorkSpace 的用户和目录。该操作创建一个授权,允许 WorkSpaces 将您的 KMS 密钥仅用于此 WorkSpace,即仅用于与指定用户和目录相关联的 WorkSpace。

  2. WorkSpaces 为 WorkSpace 创建加密的 EBS 卷,并指定要使用的 KMS 密钥,以及该卷的用户和目录。该操作创建一个授权,允许 Amazon EBS 将您的 KMS 密钥仅用于此 WorkSpace 和卷,即仅用于与指定用户和目录相关联的 WorkSpace,以及指定的卷。

  3. Amazon EBS 请求使用您的 KMS 密钥加密的卷数据密钥,并指定 WorkSpace 用户的 Active Directory 安全标识符 (SID) 和 Amazon Directory Service 目录 ID 以及 Amazon EBS 卷 ID 作为加密上下文

  4. Amazon KMS 创建新的数据密钥,使用您的 KMS 密钥对其进行加密,然后将加密的数据密钥发送到 Amazon EBS。

  5. WorkSpaces 使用 Amazon EBS 将加密卷附加到您的 WorkSpace。Amazon EBS 将加密的数据密钥发送到具有 Decrypt 请求的 Amazon KMS,并指定 WorkSpace 用户的 SID、目录 ID 和卷 ID(它们用作加密上下文)。

  6. Amazon KMS 使用您的 KMS 密钥解密数据密钥,然后将纯文本数据密钥发送到 Amazon EBS。

  7. Amazon EBS 使用纯文本数据密钥加密所有传入和传出加密卷的数据。只要卷附加在 WorkSpace 上,Amazon EBS 就会将纯文本数据密钥保存在内存中。

  8. Amazon EBS 将加密的数据密钥(在 步骤 4 中收到)与卷元数据存储在一起,以供将来重启或重建 WorkSpace 时使用。

  9. 当您使用 Amazon Web Services Management Console删除 WorkSpace(或使用 WorkSpaces API 中的 TerminateWorkspaces 操作)时,WorkSpaces 和 Amazon EBS 将停用允许它们针对该 WorkSpace 使用 KMS 密钥的授权。

WorkSpaces 加密上下文

WorkSpaces 不会直接使用您的 KMS 密钥进行加密操作(例如 EncryptDecryptGenerateDataKey 等),这意味着 WorkSpaces 不会向 Amazon KMS 发送包含加密上下文的请求。但是,当 Amazon EBS 为 WorkSpaces 的加密卷请求加密的数据密钥(使用 Amazon KMS 的 WorkSpaces 加密概述中的步骤 3),以及请求该数据密钥的纯文本副本(步骤 5)时,将在请求中提供加密上下文。

加密上下文提供 Amazon KMS 用于确保数据完整性而使用的额外的身份验证数据 (AAD)。加密上下文也将写入您的 Amazon CloudTrail 日志文件,这有助于您了解为什么使用给定的 KMS 密钥。Amazon EBS 会对加密上下文使用以下内容:

  • 与 WorkSpace 关联的 Active Directory 用户的安全标识符 (SID)

  • 与 WorkSpace 关联的 Amazon Directory Service 目录的目录 ID

  • Amazon EBS 加密卷的卷 ID

以下示例显示了 Amazon EBS 使用的加密上下文的 JSON 表示形式:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

为 WorkSpaces 授予代表您使用 KMS 密钥的权限

您可以在适用于 WorkSpaces 的 Amazon 托管 KMS 密钥 (aws/workspaces) 或客户托管 KMS 密钥下,保护您的 WorkSpace 数据。如果您使用客户托管 KMS 密钥,则需要为 WorkSpaces 授予代表您账户中的 WorkSpaces 管理员使用 KMS 密钥的权限。默认情况下,适用于 WorkSpaces 的 Amazon 托管 KMS 密钥具有必需权限。

要准备您的客户托管 KMS 密钥以便与 WorkSpaces 结合使用,请使用以下过程。

  1. 将 WorkSpaces 管理员添加到 KMS 密钥的密钥策略中的密钥用户列表

  2. 使用 IAM 策略为 WorkSpaces 管理员提供额外权限

WorkSpaces 管理员还需拥有使用 WorkSpaces 的权限。有关这些权限的更多信息,请参阅 对 WorkSpaces 进行身份和访问管理

第 1 部分:将 WorkSpaces 管理员添加为密钥用户

要为 WorkSpaces 管理员提供其所需的权限,您可以使用 Amazon Web Services Management Console 或 Amazon KMS API。

添加 WorkSpaces 管理员作为 KMS 密钥的密钥用户(控制台)

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择客户托管密钥

  4. 选择首选客户托管 KMS 密钥的密钥 ID 或别名。

  5. 选择 Key policy (密钥策略) 选项卡。在 Key users(密钥用户)下,选择 Add(添加)。

  6. 在 IAM 用户和角色列表中,选择与您的 WorkSpaces 管理员对应的用户和角色,然后选择添加

添加 WorkSpaces 管理员作为 KMS 密钥的密钥用户 (API)

  1. 使用 GetKeyPolicy 操作获取现有密钥策略,然后将策略文档保存到文件中。

  2. 在您的首选文本编辑器中打开策略文档。将与您的 WorkSpaces 管理员对应的 IAM 用户和角色添加到向密钥用户授予权限的策略语句中。然后保存文件。

  3. 使用 PutKeyPolicy 操作将密钥策略应用于 KMS 密钥。

第 2 部分:使用 IAM 策略为 WorkSpaces 管理员授予额外权限

如果您选择用于加密的客户托管 KMS 密钥,则必须建立允许 Amazon WorkSpaces 代表您账户中启动加密 WorkSpace 的 IAM 用户使用此 KMS 密钥的 IAM 策略。该用户还需要使用 Amazon WorkSpaces 的权限。有关创建和编辑 IAM 用户策略的更多信息,请参阅《IAM 用户指南》中的管理 IAM 策略对 WorkSpaces 进行身份和访问管理

WorkSpaces 加密需要对 KMS 密钥拥有有限访问权限。以下是您可以使用的一个示例密钥策略。此策略将可以管理 Amazon KMS 密钥的主体与可以使用此密钥的主体分开。在使用此示例密钥策略之前,请将示例账户 ID 和 IAM 用户名替换为您账户中的实际值。

第一个语句与默认 Amazon KMS 密钥策略匹配。它授予您的账户使用 IAM 策略控制对 KMS 密钥的访问的权限。第二个和第三个语句分别定义哪些 Amazon 主体可以管理和使用密钥。第四个语句允许与 Amazon KMS 集成的 Amazon 服务代表指定主体使用密钥。该语句允许 Amazon 服务创建和管理授权。该语句使用一个条件元素,该元素将对 KMS 密钥的授权限制为 Amazon 服务代表您账户中的用户进行的授权。

注意

如果 WorkSpaces 管理员使用 Amazon Web Services Management Console通过加密的卷来创建 WorkSpaces,则管理员需要具有列出别名和列出密钥的权限("kms:ListAliases""kms:ListKeys" 权限)。如果您的 WorkSpaces 管理员仅使用 Amazon WorkSpaces API(而不是控制台),则可以省略 "kms:ListAliases""kms:ListKeys" 权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

用于加密 WorkSpace 的用户或角色的 IAM 策略必须包含对于客户托管 KMS 密钥的使用权限以及对 WorkSpace 的访问权限。要授予 IAM 用户或角色对 WorkSpaces 的权限,您可以将以下示例策略附加到 IAM 用户或角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

用户需要以下 IAM 策略才能使用 Amazon KMS。它为用户提供了对 KMS 密钥的只读访问权限以及创建授权的能力。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

如果您想在策略中指定 KMS 密钥,请使用类似于以下内容的 IAM 策略。将示例 KMS 密钥 ARN 替换为有效值。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

加密 WorkSpace

加密 WorkSpace

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 选择 Launch WorkSpaces 并完成前三步。

  3. 对于 WorkSpaces Configuration 步骤,执行以下操作:

    1. 选择要加密的卷:根卷用户卷或这两种卷。

    2. 对于加密密钥,选择一个 Amazon KMS 密钥,即由 Amazon WorkSpaces 创建的 Amazon 托管 KMS 密钥或您创建的 KMS 密钥。您选择的 KMS 密钥必须是对称的。Amazon WorkSpaces 不支持非对称 KMS 密钥。

    3. 选择 Next Step

  4. 选择 Launch WorkSpaces

查看加密的 WorkSpaces

要从 WorkSpaces 控制台上查看哪些 WorkSpaces 和卷已加密,请在左侧导航栏中选择 WorkSpacesVolume Encryption 列显示每个 WorkSpace 的加密是启用还是禁用。要查看哪些特定卷已加密,请展开 WorkSpace 条目以查看 Encrypted Volumes 字段。