翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon WorkSpaces Secure Browser の保管時の暗号化
*保管時の暗号化*はデフォルトで設定され、WorkSpaces Secure Browser で使用されるすべての顧客データ (ブラウザポリシーステートメント、ユーザー名、ログ記録、IP アドレスなど) は を使用して暗号化されます AWS KMS。デフォルトでは、WorkSpaces Secure Browser は AWS所有キーによる暗号化を有効にします。リソースの作成時にカスタマーマネージドキー (CMK) を指定することで、CMK を使用することもできます。CMK は現在 CLI を通じてのみサポートされています。
CMK を渡すことを選択した場合、提供されるキーは対称暗号化 AWS KMS キーでなければならず、管理者には次のアクセス許可が必要です。
```
kms:DescribeKey
kms:GenerateDataKey
kms:GenerateDataKeyWithoutPlaintext
kms:Decrypt
kms:ReEncryptTo
kms:ReEncryptFrom
```
CMK を使用する場合は、キーにアクセスできるように、WorkSpaces Secure Browser 外部サービスプリンシパルを許可リストに追加する必要があります。
詳細については、「[aws:SourceAccount を使用したスコープ付き CMK キーポリシーの例]()」を参照してください。
可能な場合、WorkSpaces Secure Browser は Forward Access Sessions (FAS) 認証情報を使用してキーにアクセスします。FAS の詳細については、「[Forward Access Sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
WorkSpaces Secure Browser がキーに非同期にアクセスする必要がある場合があります。お客様のキーポリシーで WorkSpaces Secure Browser 外部サービスプリンシパルを許可リストに追加することで、WorkSpaces Secure Browser は許可リストに含まれる暗号化オペレーションをお客様のキーで実行できるようになります。
リソースの作成後は、キーを削除したり変更したりすることはできません。CMK を使用した場合、リソースにアクセスする管理者として、以下のアクセス許可が必要です。
```
kms:GenerateDataKey
kms:GenerateDataKeyWithoutPlaintext
kms:Decrypt
kms:ReEncryptTo
kms:ReEncryptFrom
```
コンソール使用時に**アクセス拒否**エラーが表示される場合、コンソールにアクセスしているユーザーに、使用中のキーで CMK を使用するためのアクセス許可がない可能性があります。
## WorkSpaces Secure Browser のキーポリシーとスコープの例
CMK には、以下のキーポリシーが必要です。
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
}
]
}
```
WorkSpaces Secure Browser には、以下のアクセス許可が必要です。
+ `kms:DescribeKey` — 指定された AWS KMS キーが正しく設定されていることを確認します。
+ `kms:GenerateDataKeyWithoutPlaintext` および `kms:GenerateDataKey` — オブジェクトの暗号化に使用されるデータキーを作成する AWS KMS キーをリクエストします。
+ `kms:Decrypt` — 暗号化されたデータ AWS KMS キーを復号するキーをリクエストします。これらのデータキーはデータの暗号化に使用されます。
+ `kms:ReEncryptTo` および `kms:ReEncryptFrom` — KMS AWS KMS キーとの間での再暗号化を許可するキーをリクエストします。
### AWS KMS キーに対する WorkSpaces Secure Browser アクセス許可のスコープ
キーポリシーステートメントのプリンシパルが [AWS のサービスプリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)である場合は、暗号化コンテキストに加えて、[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) または [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件キーを使用することを強くお勧めします。
リソースに使用される暗号化コンテキストには、常に `aws:workspaces-web:RESOURCE_TYPE:id` 形式のエントリと対応するリソース ID が含まれます。
ソース ARN とソースアカウントの値は、リクエストが別の AWS サービス AWS KMS から送信された場合にのみ認可コンテキストに含まれます。この条件の組み合わせにより、最小特権のアクセス許可が実装され、可能性のある[「混乱した代理」シナリオ](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)が回避されます。詳細については、「[キーポリシーにおける AWS のサービスのアクセス許可](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-services.html.html)」を参照してください。
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "AccountId",
"kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId"
]
},
}
```
**注記**
リソースの作成前は、完全なリソース ARN がまだ存在しないため、キーポリシーでは `aws:SourceAccount` Condition のみを使用する必要があります。リソースの作成後、キーポリシーを更新して `aws:SourceArn` および `kms:EncryptionContext` Condition を含めることができます。
### `aws:SourceAccount` を使用したスコープ付き CMK キーポリシーの例
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
}
}
}
]
}
```
### `aws:SourceArn` とリソースワイルドカードを使用したスコープ付き CMK キーポリシーの例
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:workspaces-web:::*/*"
}
}
}
]
}
```
### `aws:SourceArn` を使用したスコープ付き CMK キーポリシーの例
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:workspaces-web:::portal/*",
"arn:aws:workspaces-web:::browserSettings/*",
"arn:aws:workspaces-web:::userSettings/*",
"arn:aws:workspaces-web:::ipAccessSettings/*"
]
}
}
]
}
```
**注記**
リソースを作成した後、その `SourceArn` のワイルドカードを更新できます。WorkSpaces Secure Browser を使用して、CMK アクセスが必要な新しいリソースを作成する場合は、それに応じてキーポリシーを更新してください。
### `aws:SourceArn` とリソース固有の `EncryptionContext` を使用したスコープ付き CMK キーポリシーの例
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:portal:id": ">"
}
}
},
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:userSetttings:id": ""
}
}
},
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:browserSettings:id": ""
}
}
},
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": ""
}
}
},
]
}
```
**注記**
同じキーポリシーにリソース固有の `EncryptionContext` を含める場合は、個別のステートメントを作成してください。詳細については、[kms:EncryptionContext:*context-key*](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-encryption-context) で「複数の暗号化コンテキストペアの使用」セクションを参照してください。