限制对可信设备的 WorkSpaces 访问 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制对可信设备的 WorkSpaces 访问

默认情况下,用户可以 WorkSpaces 从任何已连接到互联网的受支持设备进行访问。如果贵公司限制可信设备(也称为托管设备)访问企业数据,则可以限制对具有有效证书的可信设备的 WorkSpaces 访问。

启用此功能后,将 WorkSpaces 使用基于证书的身份验证来确定设备是否可信。如果 WorkSpaces 客户端应用程序无法验证设备是否可信,则会阻止尝试登录或从该设备重新连接。

对于每个目录,您最多可以导入 2 个根证书。如果您导入两个根证书, WorkSpaces 则将它们都提供给客户端,客户端会找到第一个链接到其中一个根证书的有效匹配证书。

支持的客户端
  • Android,在 Android 或与 Android 兼容的 Chrome 操作系统上运行

  • macOS

  • Windows

重要

以下客户端不支持此功能:

  • WorkSpaces 适用于 Linux 或 iPad 的客户端应用程序

  • 第三方客户端,包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。

第 1 步:创建证书

此功能需要两种类型的证书:内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。

要求
  • 根证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。

  • 根证书必须满足以下正则表达式模式,这意味着除最后一行外,每行编码的长度必须正好为 64 个字符:-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)

  • 设备证书必须包含公用名。

  • 设备证书必须包含以下扩展:Key Usage: Digital SignatureEnhanced Key Usage: Client Authentication

  • 从设备证书到受信任根证书颁发机构的证书链中的所有证书都必须安装在客户端设备上。

  • 证书链支持的最大长度为 4。

  • WorkSpaces 目前不支持客户端证书的设备吊销机制,例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。

  • 使用强加密算法。建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA381 或带 ECDSA 的 SHA512。

  • 对于 macOS,如果设备证书位于系统钥匙串中,我们建议您授权 WorkSpaces 客户端应用程序访问这些证书。否则,用户必须在登录或重新连接时,输入密钥链凭证。

第 2 步:为受信任设备部署客户端证书

在用户可信设备上,您必须安装证书捆绑包,其中包含从设备证书到可信根证书颁发机构的证书链中的所有证书。您可以使用首选解决方案将证书安装到一批客户端设备;例如,System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意,SCCM 和 MDM 可以选择执行安全态势评估,以确定设备是否符合您的公司访问政策。 WorkSpaces

WorkSpaces 客户端应用程序按如下方式搜索证书:

  • Android - 转至设置,选择安全和位置凭证,然后选择从 SD 卡安装

  • 与 Android 兼容的 Chrome 操作系统 - 打开 Android 设置并选择安全和位置凭证,然后选择从 SD 卡安装

  • macOS - 在密钥链中搜索客户端证书。

  • Windows - 在用户和根证书存储中搜索客户端证书。

第 3 步:配置限制

在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限。这要求 WorkSpaces 客户端应用程序在允许用户登录设备之前验证设备上的证书 WorkSpace。

配置限制
  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择目录,然后选择 ActionsUpdate Details

  4. 展开 Access Control Options

  5. 在 “针对每种设备类型” 下选择设备类型,指定哪些设备可以访问 WorkSpaces

  6. 最多导入 2 个根证书。对于每个根证书,请执行以下操作:

    1. 选择导入

    2. 将证书文本复制到表单中。

    3. 选择导入

  7. (可选)指定其他类型的设备是否有权访问 WorkSpaces。

    1. 向下滚动到 Other Platforms (其他平台) 部分。默认情况下, WorkSpaces Linux 客户端处于禁用状态,用户可以 WorkSpaces 从 iOS 设备、安卓设备、Web Access、 零客户端设备访问它们。

    2. 选择要启用的设备类型并清除要禁用的设备类型。

    3. 要阻止来自所有选定设备类型的访问,请选择 Block

  8. 选择更新并退出