亚马逊的基础设施安全 WorkSpaces - 亚马逊 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊的基础设施安全 WorkSpaces

作为一项托管服务,亚马逊 WorkSpaces 受到Amazon全球网络安全的保护。有关 Amazon 安全服务以及 Amazon 如何保护基础架构的信息,请参阅 Amazon 云安全。要按照基础设施安全最佳实践设计您的 Amazon 环境,请参阅《安全性支柱 Amazon Well‐Architected Framework》中的 基础设施保护

您可以使用Amazon已发布的 API 调用 WorkSpaces 通过网络进行访问。客户端必须支持以下内容:

  • 传输层安全性协议(TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 具有完全向前保密 (PFS) 的密码套件,例如 DHE(Ephemeral Diffie-Hellman)或 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service (Amazon STS) 生成临时安全凭证来对请求进行签名。

网络隔离

Virtual Private Cloud (VPC) 是 Amazon 云内您自己的逻辑隔离区域中的虚拟网络。您可以 WorkSpaces 在 VPC 的私有子网中部署。有关更多信息,请参阅为以下项配置 VPC WorkSpaces

要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新 VPC 的安全组或使用 IP 访问控制组

您可以使用有效证书限制对受信任设备的 WorkSpace 访问。有关更多信息,请参阅限制对可信设备的 WorkSpaces 访问

物理主机上的隔离

同一台物理主机 WorkSpaces 上的不同通过虚拟机管理程序相互隔离。这就好像它们位于单独的物理主机上。删除 a WorkSpace 后,虚拟机管理程序会清理分配给它的内存(设置为零),然后再将其分配给新的虚拟机管理程序。 WorkSpace

企业用户的授权

使用 WorkSpaces,目录是通过管理的Amazon Directory Service。您可以为用户创建独立的托管目录。或者与现有 Active Directory 环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源。有关更多信息,请参阅管理目录 WorkSpaces

要进一步控制对您的访问权限 WorkSpaces,请使用多因素身份验证。有关更多信息,请参阅如何为Amazon服务启用多因素身份验证。

通过 VPC WorkSpaces 接口终端节点发出亚马逊 API 请求

您可以通过虚拟私有云 (VPC) 中的接口终端节点直接连接到 Amazon WorkSpaces API 终端节点,而不必通过互联网进行连接。当您使用 VPC 接口终端节点时,您的 VPC 和 Amazon WorkSpaces API 终端节点之间的通信将在Amazon网络内完全安全地进行。

注意

此功能只能用于连接 WorkSpaces API 端点。要 WorkSpaces 使用 WorkSpaces 客户端进行连接,需要互联网连接,如中所述的 IP 地址和端口要求 WorkSpaces

亚马逊 WorkSpaces API 终端节点支持由提供支持的亚马逊虚拟私有云(亚马逊 VPC)接口终端节点Amazon PrivateLink。每个 VPC 终端节点都由一个或多个在 VPC 子网中具有私有 IP 地址的网络接口 (也称为弹性网络接口或 ENI)表示。

VPC 接口终端节点将您的 VPC 直接连接到 Amazon WorkSpaces API 终端节点,无需互联网网关、NAT 设备、VPN Amazon Direct Connect 连接或连接。您的 VPC 中的实例不需要公有 IP 地址即可与 Amazon WorkSpaces API 终端节点通信。

您可以使用Amazon Web Services Management Console或 Amazon Command Line Interface (Amazon CLI) 命令创建用于连接亚马逊 WorkSpaces 的接口终端节点。有关说明,请参阅创建接口终端节点

创建 VPC 终端节点后,您可以使用以下示例 CLI 命令,这些命令使用endpoint-url参数指定 Amazon WorkSpaces API 终端节点的接口终端节点:

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

如果为 VPC 终端节点启用专用 DNS 主机名,您不需要指定终端节点 URL。CLI 和亚马逊 SD WorkSpaces K 默认使用的亚马逊 WorkSpaces API DNS 主机名 (https://api.workspaces。 区域 .amazonaws.com) 解析到您的 VPC 终端节点。

亚马逊 WorkSpaces API 终端节点支持所有同时提供亚马逊 VPC 和亚马逊 VPC 的Amazon区域 WorkSpaces的 VPC 终端节点。亚马逊 WorkSpaces 支持在您的 VPC 内对其所有公共 API 进行调用。

要了解更多信息Amazon PrivateLink,请参阅Amazon PrivateLink文档。有关 VPC 终端节点的价格,请参阅 VPC 定价。要了解有关 VPC 和终端节点的更多信息,请参阅 Amazon VPC

要查看按地区划分的亚马逊 WorkSpaces API 终端节点列表,请参阅 WorkSpaces API 终端节点

注意

联邦信息处理标准 (FIPS) 亚马逊 WorkSpaces API 终端节点不支持带Amazon PrivateLink的亚马逊 WorkSpaces API 终端节点。

您可以为亚马逊的 Amazon VPC 终端节点创建策略 WorkSpaces ,以指定以下内容:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon VPC 用户指南》中的使用 VPC 终端节点控制对服务的访问

注意

联邦信息处理标准 (FIPS) 亚马逊终端节点不支持 VPC WorkSpaces 终端节点策略。

以下示例 VPC 终端节点策略指定允许有权访问 VPC 接口终端节点的所有用户调用名为的 Amazon WorkSpaces 托管终端节点ws-f9abcdefg

{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }

在本例中,拒绝以下操作:

  • 调用除之外的ws-f9abcdefg亚马逊 WorkSpaces 托管的终端节点。

  • 对除指定资源之外的任何资源执行操作 (WorkSpace ID:ws-f9abcdefg)。

注意

在此示例中,用户仍然可以从 VPC 外部执行其他 Amazon WorkSpaces API 操作。要限制从 VPC 内部调用 API,请参阅,了解有关使用基于身份的身份和访问管理 WorkSpaces的策略来控制 Amazon WorkSpaces API 终端节点访问权限的信息。

要通过您的 VPC 调用 Amazon WorkSpaces API,您必须从 VPC 内的实例进行连接,或者使用 Amazon Virtual Private Network (Amazon VPN) 或将您的私有网络连接到 VPC Amazon Direct Connect。有关信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 VPN 连接。有关 Amazon Direct Connect 的信息,请参阅《Amazon Direct Connect 用户指南》中的创建连接