本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WorkSpaces 中的基础设施安全性
作为一项托管式服务,Amazon WorkSpaces 受 Amazon 全球网络安全保护。有关 Amazon 安全服务以及 Amazon 如何保护基础架构的信息,请参阅 Amazon 云安全
您可以使用 Amazon 发布的 API 调用通过网络访问 WorkSpaces。客户端必须支持以下内容:
-
传输层安全性协议(TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密 (PFS) 的密码套件,例如 DHE(Ephemeral Diffie-Hellman)或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service (Amazon STS) 生成临时安全凭证来对请求进行签名。
网络隔离
Virtual Private Cloud (VPC) 是 Amazon 云内您自己的逻辑隔离区域中的虚拟网络。您可以在 VPC 的私有子网中部署您的 WorkSpaces。有关更多信息,请参阅为以下项配置 VPC WorkSpaces。
要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新 VPC 的安全组或使用 IP 访问控制组。
您可以使用有效证书将 WorkSpace 访问限制为受信任的设备。有关更多信息,请参阅限制对可信设备的 WorkSpaces 访问。
物理主机上的隔离
同一物理主机上的不同 WorkSpace 通过管理程序彼此隔离。这就好像它们位于单独的物理主机上。删除 WorkSpace 后,管理程序会在分配给新 WorkSpace 之前清理分配给它的内存(设置为零)。
企业用户授权
借助 WorkSpaces,可通过 Amazon Directory Service 管理目录。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅管理 WorkSpaces 目录。
要进一步控制对 WorkSpaces 的访问,请使用多重身份验证。有关更多信息,请参阅如何为 Amazon 服务启用多重身份验证
通过 VPC 接口端点发出 Amazon WorkSpaces API 请求
您可以通过虚拟私有云 (VPC) 中的接口端点直接连接到 Amazon WorkSpaces API 端点,而不是通过互联网进行连接。当您使用 VPC 接口端点时,您的 VPC 与 Amazon WorkSpaces API 端点之间的通信完全在 Amazon 网络内安全进行。
注意
此功能仅可用于连接到 WorkSpaces API 端点。要使用 WorkSpaces 客户端连接到 WorkSpaces,需要互联网连接,如 的 IP 地址和端口要求 WorkSpaces中所述。
Amazon WorkSpaces API 端点支持由 Amazon PrivateLink
VPC 接口端点将您的 VPC 直接连接到 Amazon WorkSpaces API 端点,而无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例不需要公有 IP 地址便可与 Amazon WorkSpaces API 端点进行通信。
您可以创建接口端点以使用 Amazon Web Services Management Console或 Amazon Command Line Interface (Amazon CLI) 命令连接到 Amazon WorkSpaces。有关说明,请参阅创建接口端点。
在创建 VPC 端点后,您可以使用以下示例 CLI 命令,这些命令通过 endpoint-url 参数指定连接到 Amazon WorkSpaces API 端点的接口端点:
aws workspaces copy-workspace-image --endpoint-urlVPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
如果为 VPC 端点启用专用 DNS 主机名,您不需要指定端点 URL。CLI 和 Amazon WorkSpaces 开发工具包在默认情况下使用的 Amazon WorkSpaces API DNS 主机名 (https://api.workspaces.Region.amazonaws.com) 解析为您的 VPC 端点。
Amazon WorkSpaces API 端点支持同时提供 Amazon VPC 和 Amazon WorkSpaces
要详细了解 Amazon PrivateLink,请参阅 Amazon PrivateLink 文档。有关 VPC 端点的价格,请参阅 VPC 定价
要查看按区域划分的 Amazon WorkSpaces API 端点的列表,请参阅 WorkSpaces API 端点。
注意
联邦信息处理标准 (FIPS) Amazon WorkSpaces API 端点不支持带有 Amazon PrivateLink 的 Amazon WorkSpaces API 端点。
为 Amazon WorkSpaces 创建 VPC 端点策略
您可以为 Amazon WorkSpaces 的 Amazon VPC 端点创建一个策略,用于指定以下内容:
-
可执行操作的委托人。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 端点控制对服务的访问。
注意
联邦信息处理标准 (FIPS) Amazon WorkSpaces 端点不支持 VPC 端点策略。
以下示例 VPC 端点策略指定有权访问 VPC 接口端点的所有用户都可以调用名为 ws-f9abcdefg 的 Amazon WorkSpaces 托管端点。
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
在本例中,拒绝以下操作:
-
调用除
ws-f9abcdefg之外的 Amazon WorkSpaces 托管端点。 -
对指定资源以外的任何资源执行操作(WorkSpace ID:
ws-f9abcdefg)。
注意
在本例中,用户仍然可以从 VPC 外部调用其他 Amazon WorkSpaces API 操作。要将 API 调用限制为 VPC 内的资源,请参阅 对 WorkSpaces 进行身份和访问管理,以了解有关使用基于身份的策略控制对 Amazon WorkSpaces API 端点的访问的信息。
将您的专用网络连接到 VPC
要通过您的 VPC 调用 Amazon WorkSpaces API,您必须从位于 VPC 中的实例进行连接,或者使用 Amazon Virtual Private Network (Amazon VPN) 或 Amazon Direct Connect 将您的专用网络连接到 VPC。相关信息,请参阅《Amazon虚拟私有云用户指南》中的 VPN 连接。有关 Amazon Direct Connect 的信息,请参阅《Amazon Direct Connect 用户指南》中的创建连接。