本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制对可信设备的 WorkSpaces 访问
默认情况下,用户可以 WorkSpaces 从任何连接到 Internet 的支持设备上访问他们的。如果贵公司限制对可信设备(也称为托管设备)的公司数据 WorkSpaces 访问,则可以限制对具有有效证书的可信设备的访问。
启用此功能时, WorkSpaces 使用基于证书的身份验证来确定设备是否可信。如果 WorkSpaces 客户端应用程序无法验证设备是否可信,则会阻止尝试从该设备登录或重新连接。
对于每个目录,您最多可以导入 2 个根证书。如果您导入两个根证书, WorkSpaces 则将它们都提供给客户端,客户端会找到第一个链接到任一根根证书的有效匹配证书。
支持的客户端
-
安卓,在安卓或兼容安卓的 Chrome 操作系统上运行
-
macOS
-
Windows
重要
对于不支持此功能:
-
WorkSpaces 适用于 Linux 或 iPad 的客户端应用程序
-
WorkSpaces 网络接入
-
第三方客户端,包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。
第 1 步:创建证书
此功能需要两种类型的证书:内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。
要求
根证书必须是 CRT、CERT 或 PEM 格式的 Base64 编码的证书文件。
根证书必须满足以下正则表达式模式,这意味着除最后一行外,每行编码的长度都必须正好为 64 个字符:
-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)
。设备证书必须包含公用名。
设备证书必须包含以下扩展名:
Key Usage: Digital Signature
、和Enhanced Key Usage: Client Authentication
。链中从设备证书到可信根证书颁发机构的所有证书都必须安装在客户端设备上。
支持的最大证书链长度为 4。
WorkSpaces 当前不支持客户端证书的设备吊销机制,例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。
使用强加密算法。我们推荐使用 RSA 的 SHA256,使用 ECDSA 的 SHA256,使用 ECDSA 的 SHA384,或者使用 ECDSA 的 SHA512。
对于 macOS,如果设备证书位于系统密钥链中,我们建议您授权 WorkSpaces 客户端应用程序访问这些证书。否则,用户必须在登录或重新连接时,输入密钥链凭证。
步骤 2:将客户端证书部署到可信设备
在可供用户使用的可信设备上,您必须安装证书包,该证书包包含从设备证书到可信根证书颁发机构的证书链中的所有证书。您可以使用首选解决方案将证书安装到一批客户端设备;例如,System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意,SCCM 和 MDM 可以选择执行安全态势评估,以确定设备是否符合您的公司访问政策 WorkSpaces。
WorkSpaces 客户端应用程序按如下方式搜索证书:
-
Android-前往 “设置”,选择 “安全与位置”、“凭据”,然后选择 “从 SD 卡安装”。
-
兼容 Android 的 Chrome 操作系统——打开 Android 设置并选择 “安全和位置”、“凭据”,然后选择 “从 SD 卡安装”。
-
macOS-在密钥串中搜索客户端证书。
-
Windows-在用户和根证书存储区中搜索客户端证书。
第 3 步:配置限制
在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限。这要求 WorkSpaces 客户端应用程序先验证设备上的证书,然后才能允许用户登录到 WorkSpace。
配置限制
-
通过 https://console.aws.amazon.com/workspaces/
打开 WorkSpaces 主机。 -
在导航窗格中,选择 Directories。
-
选择目录,然后选择 Actions、Update Details。
-
展开 Access Control Options。
-
在 “对于每种设备类型” 下选择设备类型,指定可以访问的设备 WorkSpaces。
-
最多导入 2 个根证书。对于每个根证书,请执行以下操作:
选择 Import (导入)。
将证书文本复制到表单中。
选择 Import (导入)。
-
(可选)指定其他类型的设备是否可以访问 WorkSpaces。
-
向下滚动到 Other Platforms (其他平台) 部分。默认情况下, WorkSpaces Web Access 和 Linux 客户端处于禁用状态,用户可以 WorkSpaces 从 iOS 设备、安卓设备、 k 和 pCoIP 零客户端设备访问它们。
-
选择要启用的设备类型并清除要禁用的设备类型。
-
要阻止来自所有选定设备类型的访问,请选择 Block。
-
-
选择 Update and Exit。