将 WorkSpace 访问限定于受信任设备
默认情况下,用户可以从任何连接到 Internet 的受支持设备访问自己的 WorkSpace。如果您的公司仅限受信任设备 (也称为托管设备) 访问公司数据,则您可以通过有效的证书将 WorkSpace 访问限定为受信任设备。
启用此功能后,Amazon WorkSpaces 会使用基于证书的身份验证来确定设备是否可信。如果 WorkSpace 客户端应用程序无法验证设备是否可信,则会阻止从此设备进行登录或重新连接的尝试。
对于每个目录,您最多可以导入 2 个根证书。如果您导入 2 个根证书,则 Amazon WorkSpaces 会将这 2 个证书都显示给客户端,然后客户端查找一直串联到其中一个根证书的第一个有效匹配的证书。
重要
Windows 计算机和 macOS 计算机支持此功能。
第 1 步:创建证书
此功能需要两种类型的证书:内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。
要求
-
证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。
-
证书必须包含公用名。
-
证书链支持的最大长度为 4。
-
Amazon WorkSpaces 当前不支持客户端证书的设备撤销机制,例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。
-
使用强加密算法。我们建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA381 或带 ECDSA 的 SHA512。
-
确保公有密钥上具有“密钥使用:数字签名”,否则即使计算机和 WorkSpace 控制台上存在公有密钥和私有密钥,设备身份验证仍将失败。
-
对于 macOS,如果设备证书位于系统密钥链中,建议您授权 WorkSpace 客户端应用程序访问此类证书。否则,用户必须在登录或重新连接时,输入密钥链凭证。
第 2 步:为受信任设备部署客户端证书
您必须在受信任设备上为用户安装客户端证书。您可以使用首选解决方案将证书安装到一批客户端设备;例如,System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意,SCCM 和 MDM 可以选择执行安全状况评估,以确定设备是否符合访问 WorkSpace 的公司政策规定。
在 Windows 中,WorkSpaces 客户端应用程序会在用户和根证书存储区中搜索客户端证书。在 macOS 中,WorkSpaces 客户端应用程序会在整个密钥链中搜索客户端证书。
第 3 步:配置限制
在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限。这需要 WorkSpace 客户端应用程序验证设备上的证书,然后再允许用户登录到 WorkSpace。
配置限制
-
通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/。
-
在导航窗格中,选择 Directories。
-
选择目录,然后选择 Actions、Update Details。
-
展开 Access Control Options。
-
[Windows] 选择 Only Allow Trusted Windows Devices to Access WorkSpaces。
-
[macOS] 选择 Only Allow Trusted macOS Devices to Access WorkSpaces。
-
最多导入 2 个根证书。对于每个根证书,请执行以下操作:
-
选择 Import。
-
将证书文本复制到表单中。
-
选择 Import。
-
-
选择 Update and Exit。