本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的基础设施安全性 WorkSpaces
作为一项托管服务,Amazon WorkSpaces 由 A mazon Web Services:安全流程概述白皮书中所述的Amazon全球网络安全程序提供
您可以使用Amazon发布的 API 调用 WorkSpaces 通过网络访问。客户端必须支持传输层安全性 (TLS) 1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Ephemeral Diffie-Hellman (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service (Amazon STS) 生成临时安全凭证来对请求进行签名。
网络隔离
Virtual Private Cloud (VPC) 是 Amazon 云内您自己的逻辑隔离区域中的虚拟网络。您可以将您的 WorkSpaces VPC 部署在私有子网中。有关更多信息,请参阅将 VPC 配置为 WorkSpaces:
要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新 VPC 的安全组或使用 IP 访问控制组。
您可以限制对具有有效证书的可信设备的 WorkSpace 访问。有关更多信息,请参阅限制对可信设备的 WorkSpaces 访问:
物理主机上的隔离
同一物理主机 WorkSpaces 上的不同通过虚拟机管理程序相互隔离。这就好像它们位于单独的物理主机上。在删除 a WorkSpace 时,管理程序将清理分配给零的内存(设置为零),然后再将内存分配给新的内存 WorkSpace。
企业用户的授权
使用 WorkSpaces,通过管理目录Amazon Directory Service。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅管理目录 WorkSpaces:
要进一步控制对您的访问权限 WorkSpaces,请使用多因素身份验证。有关更多信息,请参阅如何为Amazon服务启用多重验证
通过 VPC 接口端点发出Amazon WorkSpaces API 请求
您可以通过虚拟私有云 (VPC) 中的接口端点直接连接到 Amazon WorkSpaces API 终端节点,而不是通过 Internet 连接。当您使用 VPC 接口端点时,VPC 与 Amazon WorkSpaces API 终端节点之间的通信完全在Amazon网络内安全进行。
注意
此功能只能用于连接到 WorkSpaces API 终端节点。要 WorkSpaces 使用 WorkSpaces 客户端进行连接,需要连接互联网,如中所述的 IP 地址和端口要求 WorkSpaces。
亚马逊 WorkSpaces API 终端节点支持由 A mazon VPC 提供支持的Amazon Virtual Private Cloud (Amazon VPC) 接口终端节点Amazon PrivateLink
VPC 接口端点将您的 VPC 直接连接到 Amazon WorkSpaces API 终端节点,而无需互联网网关、NAT 设备、VPNAmazon Direct Connect 连接或连接。VPC 中的实例不需要公有 IP 地址便可与 Amazon WorkSpaces API 终端节点进行通信。
您可以使用Amazon Web Services Management Console或Amazon Command Line Interface (Amazon CLI) 命令创建接口终端节点以连接到 Amazon WorkSpaces 。有关说明,请参阅创建接口终端节点。
创建 VPC 终端节点后,您可以使用以下示例 CLI 命令,这些命令使用endpoint-url
参数指定 Amazon WorkSpaces API 终端节点的接口终端节点:
aws workspaces copy-workspace-image --endpoint-url
VPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api
.workspaces.Region
.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
如果为 VPC 终端节点启用专用 DNS 主机名,您不需要指定终端节点 URL。CLI 和亚马逊 SD WorkSpaces K 默认使用的亚马逊 WorkSpaces API DNS 主机名 (https://api.workspaces。 区域
(.amazonaws.com)将解析为您的 VPC 终端节点。
Amazon WorkSpaces API 终端节点在所有同时提供亚马逊 V PC 和亚马逊 WorkSpaces
要了解更多信息Amazon PrivateLink,请参阅Amazon PrivateLink文档。有关 VPC 终端节点的价格,请参阅 VPC 定价
要按区域查看亚马逊 WorkSpaces API 终端节点列表,请参阅 WorkSpaces API 终端节点。
注意
联邦信息处理标准 (FIPS) 亚马逊 WorkSpaces API 终端节点不支持带Amazon PrivateLink的亚马逊 WorkSpaces API 终端节点。
为 Amazon 创建 VPC 终端节点策略 WorkSpaces
您可以为 Amazon VPC 终端节点创建一个策略 WorkSpaces ,在该策略中指定以下内容:
-
可执行操作的委托人。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问。
注意
美国联邦信息处理标准 (FIPS) Amazon WorkSpaces 终端节点不支持 VPC 终端节点策略。
以下示例 VPC 终端节点策略指定允许所有有权访问 VPC 接口终端节点的用户调用名为的 Amazon WorkSpaces 托管终端节点ws-f9abcdefg
。
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
在本例中,拒绝以下操作:
-
调用 Amazon WorkSpaces 托管的终端节点除外
ws-f9abcdefg
。 -
对指定资源以外的任何资源执行操作 (WorkSpace ID:
ws-f9abcdefg
)。
注意
在此示例中,用户仍然可以从 VPC 外部执行其他 Amazon WorkSpaces API 操作。要将 API 调用限制在 VPC 内的调用,适用于的身份和访问管理 WorkSpaces请参阅,了解有关使用基于身份的策略控制 Amazon WorkSpaces API 终端节点访问权限的信息。
将您的私有网络Connect 到 VPC
要通过您的 VPC 调用 Amazon WorkSpaces API,您必须从位于 VPC 中的实例进行连接,或者使用Amazon Virtual Private Network (Amazon VPN) 或将您的专用网络连接到 VPCAmazon Direct Connect。有关信息,请参阅 Amazon Virtual Private Cloud 用户指南中的 VPN 连接。有关 Amazon Direct Connect 的信息,请参阅《Amazon Direct Connect 用户指南》中的创建连接。