本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊的基础设施安全 WorkSpaces
作为一项托管服务,亚马逊 WorkSpaces 受到Amazon全球网络安全的保护。有关 Amazon 安全服务以及 Amazon 如何保护基础架构的信息,请参阅 Amazon 云安全
您可以使用Amazon已发布的 API 调用 WorkSpaces 通过网络进行访问。客户端必须支持以下内容:
-
传输层安全性协议(TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密 (PFS) 的密码套件,例如 DHE(Ephemeral Diffie-Hellman)或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service (Amazon STS) 生成临时安全凭证来对请求进行签名。
网络隔离
Virtual Private Cloud (VPC) 是 Amazon 云内您自己的逻辑隔离区域中的虚拟网络。您可以 WorkSpaces 在 VPC 的私有子网中部署。有关更多信息,请参阅为以下项配置 VPC WorkSpaces:
要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新 VPC 的安全组或使用 IP 访问控制组。
您可以使用有效证书限制对受信任设备的 WorkSpace 访问。有关更多信息,请参阅限制对可信设备的 WorkSpaces 访问:
物理主机上的隔离
同一台物理主机 WorkSpaces 上的不同通过虚拟机管理程序相互隔离。这就好像它们位于单独的物理主机上。删除 a WorkSpace 后,虚拟机管理程序会清理分配给它的内存(设置为零),然后再将其分配给新的虚拟机管理程序。 WorkSpace
企业用户的授权
使用 WorkSpaces,目录是通过管理的Amazon Directory Service。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅管理目录 WorkSpaces:
要进一步控制对您的访问权限 WorkSpaces,请使用多因素身份验证。有关更多信息,请参阅如何为Amazon服务启用多因素身份验证。
通过 VPC WorkSpaces 接口终端节点发出亚马逊 API 请求
您可以通过虚拟私有云 (VPC) 中的接口终端节点直接连接到 Amazon WorkSpaces API 终端节点,而不必通过互联网进行连接。当您使用 VPC 接口终端节点时,您的 VPC 和 Amazon WorkSpaces API 终端节点之间的通信将在Amazon网络内完全安全地进行。
注意
此功能只能用于连接 WorkSpaces API 端点。要 WorkSpaces 使用 WorkSpaces 客户端进行连接,需要互联网连接,如中所述的 IP 地址和端口要求 WorkSpaces。
亚马逊 WorkSpaces API 终端节点支持由提供支持的亚马逊虚拟私有云(亚马逊 VPC)接口终端节点Amazon PrivateLink
VPC 接口终端节点将您的 VPC 直接连接到 Amazon WorkSpaces API 终端节点,无需互联网网关、NAT 设备、VPN Amazon Direct Connect 连接或连接。您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon WorkSpaces API 终端节点通信。
您可以使用Amazon Web Services Management Console或 Amazon Command Line Interface (Amazon CLI) 命令创建用于连接亚马逊 WorkSpaces 的接口终端节点。有关说明,请参阅创建接口终端节点。
创建 VPC 终端节点后,您可以使用以下示例 CLI 命令,这些命令使用endpoint-url
参数指定 Amazon WorkSpaces API 终端节点的接口终端节点:
aws workspaces copy-workspace-image --endpoint-url
VPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api
.workspaces.Region
.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
如果为 VPC 终端节点启用专用 DNS 主机名,您不需要指定终端节点 URL。CLI 和亚马逊 SD WorkSpaces K 默认使用的亚马逊 WorkSpaces API DNS 主机名 (https://api.workspaces。 区域
.amazonaws.com) 解析到您的 VPC 终端节点。
亚马逊 WorkSpaces API 终端节点支持所有同时提供亚马逊 VPC 和亚马
要了解更多信息Amazon PrivateLink,请参阅Amazon PrivateLink文档。有关 VPC 终端节点的价格,请参阅 VPC 定价
要查看按地区划分的亚马逊 WorkSpaces API 终端节点列表,请参阅 WorkSpaces API 终端节点。
注意
联邦信息处理标准 (FIPS) 亚马逊 WorkSpaces API 终端节点不支持带Amazon PrivateLink的亚马逊 WorkSpaces API 终端节点。
为亚马逊创建 VPC 终端节点策略 WorkSpaces
您可以为亚马逊的 Amazon VPC 终端节点创建策略 WorkSpaces ,以指定以下内容:
-
可执行操作的委托人。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问。
注意
联邦信息处理标准 (FIPS) 亚马逊终端节点不支持 VPC WorkSpaces 终端节点策略。
以下示例 VPC 终端节点策略指定允许有权访问 VPC 接口终端节点的所有用户调用名为的 Amazon WorkSpaces 托管终端节点ws-f9abcdefg
。
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
在本例中,拒绝以下操作:
-
调用除之外的
ws-f9abcdefg
亚马逊 WorkSpaces 托管的终端节点。 -
对除指定资源之外的任何资源执行操作 (WorkSpace ID:
ws-f9abcdefg
)。
注意
在此示例中,用户仍然可以从 VPC 外部执行其他 Amazon WorkSpaces API 操作。要限制从 VPC 内部调用 API,请参阅,了解有关使用基于身份的身份和访问管理 WorkSpaces的策略来控制 Amazon WorkSpaces API 终端节点访问权限的信息。
将您的私有网络连接到您的 VPC
要通过您的 VPC 调用 Amazon WorkSpaces API,您必须从 VPC 内的实例进行连接,或者使用 Amazon Virtual Private Network (Amazon VPN) 或将您的私有网络连接到 VPC Amazon Direct Connect。有关信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 VPN 连接。有关 Amazon Direct Connect 的信息,请参阅《Amazon Direct Connect 用户指南》中的创建连接。