本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的基础设施安全 WorkSpaces
作为一项托管服务,Amazon WorkSpaces 受到 Amazon 全球网络安全的保护。有关 Amazon 安全服务以及如何 Amazon 保护基础设施的信息,请参阅Amazon 云安全
您可以使用 Amazon 已发布的API呼叫 WorkSpaces 通过网络进行访问。客户端必须支持以下内容:
-
传输层安全 (TLS)。我们需要 TLS 1.2,建议使用 TLS 1.3。
-
具有完美前向保密性的密码套件 (),例如(Ephemeral Diffie-HellmanPFS)或(Elliptic C DHE urve Ephemeral Diffie-Hellman)。ECDHE大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service(Amazon STS)生成临时安全凭证来对请求进行签名。
网络隔离
虚拟私有云 (VPC) 是位于 Amazon 云中您自己的逻辑隔离区域中的虚拟网络。您可以将您的部署到您的 WorkSpaces 私有子网中VPC。有关更多信息,请参阅 VPC为 WorkSpaces 个人配置。
要仅允许来自特定地址范围(例如,来自公司网络)的流量,请更新您的安全组VPC或使用 IP 访问控制组。
您可以使用有效证书限制对受信任设备的 WorkSpace 访问。有关更多信息,请参阅 限制 WorkSpaces 个人用户访问可信设备。
物理主机上的隔离
同一台物理主机 WorkSpaces 上的不同通过虚拟机管理程序相互隔离。这就好像它们位于单独的物理主机上。删除 a WorkSpace 后,虚拟机管理程序会清理分配给它的内存(设置为零),然后再将其分配给新的虚拟机管理程序。 WorkSpace
企业用户授权
使用 WorkSpaces,目录是通过管理的 Amazon Directory Service。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅 管理 WorkSpaces 个人版的目录。
要进一步控制对您的访问权限 WorkSpaces,请使用多因素身份验证。有关更多信息,请参阅如何为 Amazon 服务启用多因素身份验证。
通过VPC接口终端节点发出 Amazon WorkSpaces API 请求
您可以通过虚拟私有云 (VPC) 中的接口 WorkSpaces API终端节点直接连接到 Amazon 终端节点,而不必通过互联网进行连接。当您使用VPC接口终端节点时,您VPC和 Amazon WorkSpaces API 终端节点之间的通信完全安全地在 Amazon 网络内进行。
注意
此功能只能用于连接 WorkSpaces API端点。要 WorkSpaces 使用 WorkSpaces 客户端进行连接,需要互联网连接,如中所述 WorkSpaces 个人的 IP 地址和端口要求。
亚马逊 WorkSpaces API终端节点支持由提供支持的亚马逊虚拟私有云 (AmazonVPC) 接口终端节点Amazon PrivateLink
VPC接口终端节点将您VPC直接连接到 Amazon WorkSpaces API 终端节点,无需互联网网关、NATVPN设备、 Amazon Direct Connect 连接或连接。您的中的实例VPC不需要公有 IP 地址即可与 Amazon WorkSpaces API 终端节点通信。
您可以使用 Amazon Web Services Management Console 或 Amazon Command Line Interface (Amazon CLI) 命令创建连接到 Amazon WorkSpaces 的接口终端节点。有关说明,请参阅创建接口端点。
创建VPC终端节点后,您可以使用以下示例CLI命令,这些命令使用endpoint-url
参数指定 Amazon 终端节点的接口终 WorkSpaces API端节点:
aws workspaces copy-workspace-image --endpoint-url
VPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api
.workspaces.Region
.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID
.workspaces.Region
.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name
\ --body "Endpoint_Body
" \ --content-type "Content_Type
" \Output_File
如果您为VPC终端节点启用私有DNS主机名,则无需指定终端节点URL。CLI和亚马逊默认 WorkSpaces SDK使用的亚马逊 WorkSpaces APIDNS主机名 (https://api.workspaces。 Region
.amazonaws.com) 解析到您的终端节点。VPC
亚马逊终 WorkSpaces API端节点支持同时提供亚马逊VPC和亚马逊 WorkSpaces
要了解更多信息 Amazon PrivateLink,请参阅Amazon PrivateLink 文档。有关VPC终端节点的价格,请参阅VPC定价
要查看按地区划分的 Amazon WorkSpaces API 终端节点列表,请参阅WorkSpaces API终端节点。
注意
联邦信息处理标准 (FIPS) 亚马逊 WorkSpaces API终端节点不支持带 Amazon PrivateLink 的亚马逊 WorkSpaces API终端节点。
为亚马逊创建VPC终端节点策略 WorkSpaces
您可以为亚马逊VPC终端节点创建策略 WorkSpaces ,以指定以下内容:
-
可执行操作的主体。
-
可执行的操作。
-
可对其执行操作的资源。
有关更多信息,请参阅 Amazon VPC 用户指南中的使用VPC终端节点控制对服务的访问。
注意
VPC联邦信息处理标准 (FIPS) Amazon WorkSpaces 终端节点不支持终端节点策略。
以下示例VPC终端节点策略指定允许所有有权访问VPC接口终端节点的用户调用名为的 Amazon WorkSpaces 托管终端节点ws-f9abcdefg
。
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
在本例中,拒绝以下操作:
-
调用除之外的
ws-f9abcdefg
亚马逊 WorkSpaces 托管的终端节点。 -
对除指定资源之外的任何资源执行操作 (WorkSpace ID:
ws-f9abcdefg
)。
注意
在此示例中,用户仍然可以从外部执行其他 Amazon WorkSpaces API 操作VPC。要限制从内部API调用人员VPC,请参阅,了解有关使用基于身份的身份和访问管理 WorkSpaces的策略来控制对 Ama WorkSpaces API zon 终端节点的访问的信息。
将您的专用网络连接到您的 VPC
要 WorkSpaces API通过您的调用 AmazonVPC,您必须从内部的实例进行连接VPC,或者使用 Amazon Virtual Private Network (Amazon VPN) 或将您的私有网络连接到您的VPC私有网络 Amazon Direct Connect。有关信息,请参阅 Amazon Virtual Private Cloud 用户指南中的VPN连接。有关信息 Amazon Direct Connect,请参阅《Amazon Direct Connect 用户指南》中的创建连接。