限制对受信任设备的 WorkSpaces 访问 - Amazon WorkSpaces
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制对受信任设备的 WorkSpaces 访问

默认情况下,用户可以从连接到 Internet 的任何受支持的设备访问其 WorkSpaces。如果您的公司仅允许受信任设备(也称为托管设备)访问公司数据,则可以使用有效的证书将 WorkSpaces 访问限制为受信任设备。

启用此功能后,Amazon WorkSpaces 会使用基于证书的身份验证来确定设备是否可信。如果 WorkSpaces 客户端应用程序无法验证设备是否可信,则会阻止从该设备登录或重新连接的尝试。

对于每个目录,您最多可以导入 2 个根证书。如果您导入 2 个根证书,则 Amazon WorkSpaces 会将这 2 个证书都显示给客户端,然后客户端查找一直串联到其中一个根证书的第一个有效匹配的证书。

重要

此功能仅适用于 Amazon WorkSpaces Windows 和 macOS 客户端。 此功能不适用于 Amazon WorkSpaces Web Access 客户端或任何第三方客户端,包括但不限于 Teradici PCoIP 软件和移动客户端、Teradici PCoIP 零客户端、RDP 客户端和远程桌面应用程序。

步骤 1:创建证书

此功能需要两种类型的证书:内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。

Requirements

  • 证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。

  • 证书必须包含公用名。

  • 证书链支持的最大长度为 4。

  • Amazon WorkSpaces 当前不支持客户端证书的设备撤销机制,例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。

  • 使用强加密算法。我们建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA384 或带 ECDSA 的 SHA512。

  • 确保“密钥用法:公有密钥上存在数字签名“数字签名”,否则,即使计算机和 WorkSpaces 控制台上存在公有密钥和私有密钥,设备身份验证也将失败。

  • 对于 macOS,如果设备证书位于系统密钥链中,我们建议您授权 WorkSpaces 客户端应用程序访问这些证书。否则,用户必须在登录或重新连接时,输入密钥链凭证。

步骤 2:将客户端证书部署到受信任设备

您必须在受信任设备上为用户安装客户端证书。您可以使用首选解决方案将证书安装到一批客户端设备;例如,System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意,SCCM 和 MDM 可以选择执行安全状况评估,以确定设备是否符合访问 WorkSpaces 的公司策略。

在 Windows 上,WorkSpaces 客户端应用程序在用户和根证书存储区中搜索客户端证书。在 macOS 上,WorkSpaces 客户端应用程序在整个密钥链中搜索客户端证书。

步骤 3:配置限制

在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限。这需要 WorkSpaces 客户端应用程序在允许用户登录到 WorkSpace之前验证设备上的证书。

配置限制

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在导航窗格中,选择 Directories

  3. 选择目录,然后选择 ActionsUpdate Details

  4. 展开 Access Control Options

  5. [Windows] 选择仅允许受信任的 Windows 设备访问 WorkSpaces。

  6. [macOS] 选择仅允许受信任的 macOS 设备访问 WorkSpaces。

  7. 最多导入 2 个根证书。对于每个根证书,请执行以下操作:

    1. 选择 Import

    2. 将证书文本复制到表单中。

    3. 选择 Import

  8. (可选)指定其他类型的设备是否有权访问 WorkSpaces。

    1. 向下滚动到 Other Platforms (其他平台) 部分。默认情况下,WorkSpaces Web Access 和 Linux 客户端处于禁用状态,用户可以从其 iOS 设备、Android 设备、WorkSpacesChromebook 零客户端设备访问其 PCoIP。

    2. 选择要启用的设备类型并清除要禁用的设备类型。

    3. 要阻止来自所有选定设备类型的访问,请选择 Block

  9. 选择 Update and Exit