中的基础设施安全性Amazon WorkSpaces - Amazon WorkSpaces
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的基础设施安全性Amazon WorkSpaces

作为一项托管服务,Amazon WorkSpaces 由 AWS:安全流程概述Amazon Web Services白皮书中所述的 全球网络安全程序提供保护。

您可以使用 AWS 发布的 API 调用通过网络访问 Amazon WorkSpaces 客户端必须支持传输层安全性 (TLS) 1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Ephemeral Diffie-Hellman (ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 AWS Security Token Service (AWS STS) 生成临时安全凭证来对请求签名。

网络隔离

Virtual Private Cloud (VPC) 是 AWS 云内您自己的逻辑隔离区域中的虚拟网络。您可以在 VPC 的私有子网中部署 WorkSpaces。有关更多信息,请参阅 为 配置 VPCAmazon WorkSpaces.

要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新 VPC 的安全组或使用 IP 访问控制组.

您可以使用有效的证书将 WorkSpace 访问限制为受信任的设备。有关更多信息,请参阅 限制对受信任设备的 WorkSpaces 访问.

物理主机上的隔离

同一物理主机上的不同 WorkSpaces 通过管理程序彼此隔离。这就好像它们位于单独的物理主机上。删除WorkSpace后,管理程序将清理分配给它的内存(设置为零),然后再将内存分配给新的WorkSpace。

企业用户授权

借助 Amazon WorkSpaces,通过 AWS Directory Service. 管理目录。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅 管理 目录Amazon WorkSpaces.

要进一步控制对 WorkSpaces 的访问,请使用多重验证。有关更多信息,请参阅如何为 AWS 服务启用多重身份验证.

通过 VPC 接口终端节点发出 Amazon WorkSpaces API 请求

您可以通过 Virtual Private Cloud (VPC) 中的Amazon WorkSpaces接口终端节点直接连接到 API 终端节点,而不是通过 Internet 连接。当您使用 VPC 接口终端节点时,您的 VPC 与 Amazon WorkSpaces API 终端节点之间的通信完全在 AWS 网络内安全进行。

注意

此功能只能用于连接到 WorkSpaces API 终端节点。要使用 WorkSpaces 客户端连接到 WorkSpaces,需要 Internet 连接,如 的 IP 地址和端口要求Amazon WorkSpaces中所述。

API 终端节点支持 Amazon WorkSpacesAmazon Virtual Private Cloud ( Amazon Virtual Private Cloud AWS Amazon VPC 提供支持)。PrivateLink 每个 VPC 终端节点都由您的 VPC 子网中一个或多个具有私有 IP 地址的网络接口(也称为弹性网络接口或 ENIs)表示。

VPC 接口终端节点将您的 VPC 直接连接到 Amazon WorkSpaces API 终端节点,而无需 Internet 网关、NAT 设备、VPN 连接或 AWS Direct Connect 连接。VPC 中的实例不需要公有 IP 地址便可与 Amazon WorkSpaces API 终端节点进行通信。

您可以通过 AWS 控制台或 Amazon WorkSpaces (AWS Command Line Interface) 命令创建接口终端节点来连接到 AWS CLI 有关说明,请参阅创建接口终端节点.

在创建 VPC 终端节点后,您可以使用以下示例 CLI 命令,这些命令使用 endpoint-url 参数指定连接到 Amazon WorkSpaces API 终端节点的接口终端节点:

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

如果为 VPC 终端节点启用专用 DNS 主机名,您不需要指定终端节点 URL。CLI 和 Amazon WorkSpaces 开发工具包默认使用的 Amazon WorkSpaces API DNS 主机名 (https://api.workspaces.)Region.amazonaws.com) 解析为您的 VPC 终端节点。

API 终端节点支持 Amazon WorkSpacesAmazon VPCAmazon WorkSpaces 在其中均可用的所有 AWS 区域中的 VPC 终端节点。 支持调用 VPC 内其所有Amazon WorkSpaces公有 APIs。

要了解有关 AWS PrivateLink 的更多信息,请参阅 AWS PrivateLink 文档。有关 VPC 终端节点的价格,请参阅 VPC 定价. 要了解有关 VPC 和终端节点的更多信息,请参阅 Amazon VPC.

要查看按区域列出的 Amazon WorkSpaces API 终端节点的列表,请参阅 API 终端节点WorkSpaces。

注意

联邦信息处理标准 (FIPS) Amazon WorkSpaces API 端点不支持带有 AWS PrivateLink 的 Amazon WorkSpaces API 端点。

您可以为 Amazon VPC 的 Amazon WorkSpaces 终端节点创建一个策略,在该策略中指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 用户指南 中的使用 VPC 终端节点控制对服务的访问Amazon VPC。

注意

联邦信息处理标准 (FIPS) Amazon WorkSpaces 终端节点不支持 VPC 终端节点策略。

以下示例 VPC 终端节点策略指定有权访问 VPC 接口终端节点的所有用户都可以调用名为 Amazon WorkSpaces 的 ws-f9abcdefg. 托管终端节点。

{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }

在本例中,拒绝以下操作:

  • 调用 Amazon WorkSpaces 之外的 ws-f9abcdefg. 托管终端节点。

  • 对指定资源以外的任何资源执行操作(WorkSpace ID:ws-f9abcdefg).

注意

在本例中,用户仍然可以从 VPC 外部调用其他 Amazon WorkSpaces API 操作。要将 API 调用限制为 VPC 内的资源,请参阅适用于 的 Identity and Access ManagementAmazon WorkSpaces,以了解有关使用基于身份的策略控制对 Amazon WorkSpaces API 终端节点的访问的信息。

要通过您的 VPC 调用 Amazon WorkSpaces API,您必须从位于 VPC 中的实例进行连接,或者使用 Amazon Virtual Private Network (VPN) 或 AWS Direct Connect. 将您的专用网络连接到 VPC。有关 Amazon VPN 的信息,请参阅 https://docs.amazonaws.cn/vpc/latest/userguide/vpn-connections.html 用户指南 中的 Amazon Virtual Private CloudVPN 连接。有关 AWS Direct Connect 的信息,请参阅 AWS Direct Connect 用户指南 中的创建连接