Restrict WorkSpaces 访问受信任的设备 - 亚马逊 WorkSpaces
第 1 步:创建证书第 2 步:将客户端证书部署到可信设备第 3 步:配置限制
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Restrict WorkSpaces 访问受信任的设备

默认情况下,用户可以访问 WorkSpaces 从任何连接到 Internet 的受支持设备进行。如果您的公司将公司数据访问限定于受信任设备 (也称托管设备),则可以将公司数据访问限 WorkSpaces 访问带有效证书的受信任设备。

启用此功能后, WorkSpaces 使用基于证书的身份验证来确定设备是否可信。如果 WorkSpaces 客户端应用程序无法验证设备是否可信,会阻止从此设备进行登录或重新连接的尝试。

对于每个目录,您最多可以导入 2 个根证书。如果导入两个根证书, WorkSpaces 将这 2 个证书都显示给客户端,然后客户端查找一直串联到其中一个根证书的第一个有效匹配的证书。

支持的客户

  • 在安卓系统或 Android 兼容的 Chrome 操作系统上运行的安卓系统

  • macOS

  • Windows

重要

以下客户端不支持此功能:

  • 适用于 Linux 或 iPad 的 WorkSpaces 客户端应用

  • WorkSpaces Web Access

  • 第三方客户端,包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。

第 1 步:创建证书

此功能需要两种类型的证书:内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。

要求

  • 根证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。

  • 根证书必须满足以下正则表达式模式,这意味着在最后一行之外的每个编码行必须为 64 个字符长:-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).

  • 证书必须包含公用名。

  • 设备证书必须包括以下扩展名:Key Usage: Digital Signature, 和Enhanced Key Usage: Client Authentication.

  • 从设备证书到受信任的根证书颁发机构链中的所有证书都必须安装在客户端设备上。

  • 证书链支持的最大长度为 4。

  • WorkSpaces 当前不支持客户端证书的设备撤销机制,例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。

  • 使用强加密算法。我们建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA384 或带 ECDSA 的 SHA512。

  • 对于 macOS,如果设备证书位于系统钥匙串中,建议您授权 WorkSpaces 客户端应用程序访问这些证书。否则,用户必须在登录或重新连接时,输入密钥链凭证。

第 2 步:将客户端证书部署到可信设备

在用户的受信任设备上,必须安装一个证书捆绑包,其中包括从设备证书到受信任的根证书颁发机构链中的所有证书。您可以使用首选解决方案将证书安装到一批客户端设备;例如,System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意,SCCM 和 MDM 可以选择执行安全状况评估,以确定设备是否符合访问 WorkSpace 的公司政策规定。

这些区域有: WorkSpaces 客户端应用程序搜索证书如下:

  • Android-在 Android 上,在钥匙串中搜索客户端证书。在兼容 Android 的 Chrome 操作系统上,在钥匙串中搜索用户证书。

  • macOS-在钥匙串中搜索客户端证书。

  • Windows-在用户端证书存储区和根证书存储区中搜索客户端证书

第 3 步:配置限制

在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限。这需要 WorkSpaces 验证设备上的证书,然后再允许用户登录到 WorkSpace。

配置限制

  1. 打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在导航窗格中,选择 Directories

  3. 选择目录,然后选择 ActionsUpdate Details

  4. 展开 Access Control Options

  5. 在下选择设备类型对于每种设备类型,指定哪些设备可以访问 WorkSpaces.

  6. 最多导入 2 个根证书。对于每个根证书,请执行以下操作:

    1. 选择 Import (导入)

    2. 将证书文本复制到表单中。

    3. 选择 Import (导入)

  7. (可选)指定其他类型的设备是否可以访问 WorkSpace。

    1. 向下滚动到 Other Platforms (其他平台) 部分。默认情况下, WorkSpaces Web 访问和 Linux 客户端处于禁用状态,用户可以访问他们的 WorkSpaces 来自他们的 iOS 设备、安卓设备和 PCoIP 零客户端设备。

    2. 选择要启用的设备类型并清除要禁用的设备类型。

    3. 要阻止来自所有选定设备类型的访问,请选择 Block

  8. 选择 Update and Exit