本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 WorkSpaces 访问限定于受信任设
默认情况下,用户可以从任何连接到 Internet 的受支持设备访问自己的 WorkSpace。如果您的公司仅限受信任设备 (也称为托管设备) 访问公司数据,则您可以通过有效的证书将 WorkSpace 访问限定为受信任设备。
启用此功能后,WorkSpaces 会使用基于证书的身份验证来确定设备是否可信。如果 WorkSpace 客户端应用程序无法验证设备是否可信,则会阻止从此设备进行登录或重新连接的尝试。
对于每个目录,您最多可以导入 2 个根证书。如果您导入 2 个根证书,则 WorkSpaces 会将这 2 个证书都显示给客户端,然后客户端查找一直串联到其中一个根证书的第一个有效匹配的证书。
支持的客户
-
在安卓系统或 Android 兼容的 Chrome 操作系统上运行的安卓系统
-
macOS
-
Windows
以下客户端不支持此功能:
-
适用于 Linux 或 iPad 的 WorkSpaces 客户端应用
-
WorkSpaces Web Access
-
第三方客户端,包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。
第 1 步:创建证书
此功能需要两种类型的证书:内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。
要求
证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。
证书必须包含公用名。
证书链支持的最大长度为 4。
当前,WorkSpaces 不支持客户端证书的设备撤销机制,例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。
使用强加密算法。我们建议您使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA384,或带 ECDSA 的 SHA512。
确保 “密钥用法:客户端证书的公有密钥上存在数字签名,否则即使计算机和 WorkSpaces 控制台中存在公有密钥和私有密钥,设备身份验证也会失败。
对于 macOS,如果设备证书位于系统密钥链中,建议您授权 WorkSpace 客户端应用程序访问此类证书。否则,用户必须在登录或重新连接时,输入密钥链凭证。
第 2 步:将客户端证书部署到可信设备
您必须在受信任设备上为用户安装客户端证书。您可以使用首选解决方案将证书安装到一批客户端设备;例如,System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意,SCCM 和 MDM 可以选择执行安全状况评估,以确定设备是否符合访问 WorkSpace 的公司政策规定。
WorkSpaces 客户端应用程序按如下方式搜索证书:
-
Android-在 Android 上,在钥匙串中搜索客户端证书。在兼容 Android 的 Chrome 操作系统上,在钥匙串中搜索用户证书。
-
macOS-在钥匙串中搜索客户端证书。
-
Windows-在用户和根证书存储区中搜索客户端证书。
第 3 步:配置限制
在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限。这需要 WorkSpace 客户端应用程序验证设备上的证书,然后再允许用户登录到 WorkSpace。
配置限制
-
打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/
. -
在导航窗格中,选择 Directories。
-
选择目录,然后选择 Actions、Update Details。
-
展开 Access Control Options。
-
在下选择设备类型对于每种设备类型,指定哪些设备可以访问 WorkSpaces.
-
最多导入 2 个根证书。对于每个根证书,请执行以下操作:
选择 Import (导入)。
将证书文本复制到表单中。
选择 Import (导入)。
-
(可选)指定其他类型的设备是否可以访问 WorkSpace。
-
向下滚动到 Other Platforms (其他平台) 部分。默认情况下,禁用 WorkSpaces Web Access 和 Linux 客户端,用户可以从其 iOS 设备、Android 设备、 和 PCoIP 零客户端设备访问其 WorkSpace。
-
选择要启用的设备类型并清除要禁用的设备类型。
-
要阻止来自所有选定设备类型的访问,请选择 Block。
-
-
选择 Update and Exit。