翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# WorkSpaces Personal の暗号化された WorkSpaces
<a name="encrypt-workspaces"></a>

WorkSpaces は AWS Key Management Service () と統合されていますAWS KMS。これにより、 AWS KMS キーを使用して WorkSpaces のストレージボリュームを暗号化できます。WorkSpace を起動する際に、ルートボリューム (Microsoft Windows の場合は C ドライブ、Linux の場合は /) およびユーザーボリューム (Windows の場合は D ドライブ、Linux の場合は /home) を暗号化できます。これにより、保管時のデータ、ボリュームへのディスク I/O、ボリュームから作成されたスナップショットを暗号化することができます。

**注記**  
WorkSpaces の暗号化に加えて、特定の AWS 米国リージョンで FIPS エンドポイント暗号化を使用することもできます。詳細については、「[WorkSpaces Personal で FedRAMP 認証または DoD SRG コンプライアンスを設定する](fips-encryption.md)」を参照してください。
Windows BitLocker 暗号化は Amazon WorkSpaces ではサポートされていません。  Amazon WorkSpaces は、該当する場合、すべての Windows オペレーティングシステムで起動中に検出されたボリュームの復号を試みます。  WorkSpace 上の任意のボリュームでパスワード、ピン、または起動キーの組み合わせが有効になっていると、起動プロセス中にボリュームが応答しなくなり、異常が発生して正しく起動できなくなる可能性があります。

**Topics**
+ [前提条件](#encryption_prerequisites)
+ [制限](#encryption_limits)
+ [を使用した WorkSpaces 暗号化の概要 AWS KMS](#kms-workspaces-overview)
+ [WorkSpaces 暗号化コンテキスト](#kms-workspaces-encryption-context)
+ [ユーザーに代わって KMS キーを使用する許可を WorkSpaces に付与する](#kms-workspaces-permissions)
+ [WorkSpace を暗号化します。](#encrypt_workspace)
+ [暗号化された WorkSpaces を表示する](#maintain_encryption)

## 前提条件
<a name="encryption_prerequisites"></a>

暗号化プロセスを開始する前に、 AWS KMS キーが必要です。この KMS キーは、AmazonWorkSpaces の [AWS 管理 KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)（**aws/workspaces**）または対称[カスタマー管理の KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)のいずれかになります。
+ **AWS マネージド KMS キー** – リージョンの WorkSpace sコンソールから暗号化されていない WorkSpaces を初めて起動すると、Amazon WorkSpaces はアカウントに AWS マネージド KMS キー (**aws/workspaces**) を自動的に作成します。この AWS マネージド KMS キーを選択して、WorkSpace のユーザーボリュームとルートボリュームを暗号化できます。詳細については、「[を使用した WorkSpaces 暗号化の概要 AWS KMS](#kms-workspaces-overview)」を参照してください。

  この AWS マネージド KMS キーは、ポリシーと許可を含めて表示でき、 AWS CloudTrail ログでの使用を追跡できますが、この KMS キーを使用または管理することはできません。Amazon WorkSpaces は、この KMS キーを作成および管理します。Amazon WorkSpaces だけがこの KMS を使用でき、WorkSpaces はアカウント内の WorkSpaces リソースの暗号化だけに使用できます。

  AWS Amazon WorkSpaces がサポートする マネージド KMS キーは、毎年ローテーションされます。詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[「ローテーション AWS KMS キー](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。
+ **カスタマーマネージド KMS キー** – または、 を使用して作成した対称カスタマーマネージド KMS キーを選択できます AWS KMS。ポリシーの設定を含め、この KMS キーを表示、使用、管理できます。KMS キーの作成の詳細については、 *AWS Key Management Service デベロッパーガイド*の [キーの作成](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) を参照してください。 AWS KMS API を使用して KMS キーを作成する方法の詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[「キーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html)」を参照してください。

  自動キー更新を有効にしない限り、カスタマー管理の KMS キー は自動的に更新されません。詳細については、「 *AWS Key Management Service デベロッパーガイド*」の[AWS KMS 「キーのローテーション](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)」を参照してください。

**重要**  
KMS キーを手動でローテーションする場合は、元の KMS キーと新しい KMS キーの両方を有効にして、 AWS KMS が元の KMS キーが暗号化した WorkSpaces を復号できるようにする必要があります。元の KMS キーを有効にしたくない場合は、WorkSpaces を再作成し、新しい KMS キーを使用して暗号化する必要があります。

 AWS KMS キーを使用して WorkSpaces を暗号化するには、次の要件を満たす必要があります。
+ **KMS キーは対称である必要があります。**Amazon WorkSpaces では、非対称 KMS キーがサポートされていません。対称 KMS キーと非対称 KMS キーの区別については、「*AWS Key Management Service デベロッパーガイド*」の「[対称および非対称 KMS キーを識別する](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)」を参照してください。
+ **KMS キーを有効にする必要があります。**KMS キーが有効になっているかどうかを確認する方法については、「*AWS Key Management Service デベロッパーガイド*」の 「[コンソールで KMS キーを表示する](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)」を参照してください。
+ **KMS キーに正しいアクセス権限とポリシーを関連付ける必要があります。**詳細については、「[パート 2: IAM ポリシーを使用して WorkSpaces 管理者に追加の許可を付与する](#kms-permissions-iam-policy)」を参照してください。

## 制限
<a name="encryption_limits"></a>
+ 既存の WorkSpace は暗号化できません。WorkSpace を起動するときは、暗号化する必要があります。
+ 暗号化された WorkSpace からのカスタムイメージの作成は、サポートされていません。
+ 暗号化された WorkSpace の暗号化を無効にすることは、現在サポートされていません。
+ ルートボリュームの暗号化を有効にした状態で起動された WorkSpaces では、プロビジョニングに最大 1 時間かかる場合があります。
+ 暗号化された WorkSpace を再起動または再構築するには、 AWS KMS キーが有効であることを最初に確認します。有効ではない場合、WorkSpace は使用できません。KMS キーが有効になっているかどうかを確認する方法については、「*AWS Key Management Service デベロッパーガイド*」の 「[コンソールで KMS キーを表示する](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)」を参照してください。

## を使用した WorkSpaces 暗号化の概要 AWS KMS
<a name="kms-workspaces-overview"></a>

暗号化されたボリュームで WorkSpaces を作成すると、WorkSpaces は Amazon Elastic Block Store (Amazon EBS) を使用してこれらのボリュームを作成および管理します。Amazon EBS は､業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。Amazon EBS と Amazon WorkSpaces の両方が KMS キーを使用して暗号化されたボリュームを操作します。EBS ボリューム暗号化の詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EBS 暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」を参照してください。

暗号化されたボリュームを使用するWorkSpaces を起動すると、エンドツーエンドの処理が次のように行われます。

1. 暗号化に使用する KMS キーと、WorkSpace のユーザーとディレクトリを指定します。このアクションにより、この WorkSpaces (指定されたユーザーとディレクトリに関連付けられた WorkSpace )にのみ KMS キーの使用を許可する[権限](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)が作成されます。

1. WorkSpaces は、WorkSpace の暗号化された EBS ボリュームを作成し、使用する KMS キーとボリュームのユーザーおよびディレクトリを指定します。このアクションにより、Amazon EBS が WorkSpace とボリューム (指定されたユーザーとディレクトリに関連付けられた WorkSpace および指定されたボリューム) にのみ KMS キーを使用できるようにする権限が作成されます。

1. <a name="WSP-EBS-requests-encrypted-volume-data-key"></a>Amazon EBS は、KMS キーによって暗号化されたボリュームデータキーをリクエストし、WorkSpace ユーザーの Active Directory セキュリティ識別子 (SID) および AWS Directory Service ディレクトリ ID、ならびに[暗号化コンテキスト](#kms-workspaces-encryption-context)としての Amazon EBS ボリューム ID を指定します。

1. <a name="WSP-KMS-creates-data-key"></a>AWS KMS は新しいデータキーを作成し、KMS キーで暗号化してから、暗号化されたデータキーを Amazon EBS に送信します。

1. <a name="WSP-uses-EBS-to-attach-encrypted-volume"></a>WorkSpaces は、Amazon EBS を使用して、暗号化されたボリュームを WorkSpace にアタッチします。Amazon EBS は、暗号化されたデータキーを [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) リクエスト AWS KMS とともに に送信し、暗号化コンテキストとして使用される WorkSpace ユーザーの SID、ディレクトリ ID、ボリューム ID を指定します。

1. AWS KMS は KMS キーを使用してデータキーを復号し、プレーンテキストのデータキーを Amazon EBS に送信します。

1. Amazon EBS は、プレーンテキストデータキーを使用して、暗号化されたボリュームを出入りするすべてのデータを暗号化します。Amazon EBS は、ボリュームが WorkSpace にアタッチされている限り、プレーンテキストデータキーをメモリ内に保持します。

1. Amazon EBS は、暗号化されたデータキー ([Step 4](#WSP-KMS-creates-data-key) で受け取ったデータキー) とボリュームメタデータを保存し、後で WorkSpace を再起動または再構築した場合に使用できるようにします。

1. を使用して WorkSpace AWS マネジメントコンソール を削除する (または WorkSpaces API で [https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html](https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html)アクションを使用する) と、WorkSpaces と Amazon EBS は、その WorkSpace の KMS キーの使用を許可した許可を廃止します。

## WorkSpaces 暗号化コンテキスト
<a name="kms-workspaces-encryption-context"></a>

WorkSpaces は暗号化オペレーション ([https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、、 など) [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)に KMS キーを直接使用しません。つまり[https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、WorkSpaces は[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) AWS KMS を含む にリクエストを送信しません。ただし、Amazon EBS が、WorkSpaces の暗号化されたボリュームに対して暗号化されたデータキーをリクエストする場合 ([Step 3](#WSP-EBS-requests-encrypted-volume-data-key) の [を使用した WorkSpaces 暗号化の概要 AWS KMS](#kms-workspaces-overview)) と、そのデータキーのプレーンテキストコピーをリクエストする場合 ([Step 5](#WSP-uses-EBS-to-attach-encrypted-volume)) には、リクエストに暗号化コンテキストが含まれます。

 暗号化コンテキストは、データの整合性を確保するために が AWS KMS 使用する[追加の認証済みデータ](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD) を提供します。暗号化コンテキストは AWS CloudTrail ログファイルにも書き込まれるため、特定の KMS キーが使用された理由を理解するのに役立ちます。Amazon EBS では、暗号化コンテキストとして次のものが使用されます。
+ WorkSpace に関連付けられている Active Directory ユーザーのセキュリティ識別子 (SID)
+ WorkSpace に関連付けられているディレクトリの AWS Directory Service ディレクトリ ID
+ 暗号化されたボリュームの Amazon EBS ボリューム ID

次の例は、Amazon EBS が使用する暗号化コンテキストの JSON 表現を示しています。

```
{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}
```

## ユーザーに代わって KMS キーを使用する許可を WorkSpaces に付与する
<a name="kms-workspaces-permissions"></a>

WorkSpace sの AWS マネージド KMS キー (**aws/workspaces**) またはカスタマーマネージド KMS キーで WorkSpaces データを保護できます。カスタマー管理 KMS キーを使用する場合は、アカウントの WorkSpaces 管理者に代わって KMS キーを使用する WorkSpaces 許可を与える必要があります。WorkSpaces の AWS マネージド KMS キーには、デフォルトで必要なアクセス許可があります。

WorkSpaces で使用する KNS キーを準備するには、次の手順を実行します。

1. [KMS キーのキーポリシーでキーユーザーのリストに WorkSpaces 管理者を追加する](#kms-permissions-key-users)

1. [IAM ポリシーによって WorkSpaces 管理者に追加のアクセス許可を付与する](#kms-permissions-iam-policy)

WorkSpaces 管理者には、WorkSpaces を使用する許可も必要です。これらのアクセス許可の詳細については、[WorkSpaces の Identity and Access Management](workspaces-access-control.md) にアクセスしてください。

### パート 1: WorkSpaces の管理者をキーユーザーとして追加する
<a name="kms-permissions-key-users"></a>

WorkSpaces 管理者に必要なアクセス許可を付与するには、 AWS マネジメントコンソール または AWS KMS API を使用できます。

#### KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには (コンソール)
<a name="kms-permissions-users-consoleAPI"></a>

1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS Key Management Service (AWS KMS) コンソールを開きます。

1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。

1. ナビゲーションペインで、[**Customer managed keys**] (カスタマー管理型のキー) を選択します。

1. 任意のカスタマーマネージドキーの KMS キーのキー ID またはエイリアスを選択する

1. [**キーポリシー**] タブを選択します。[**Key users**] (キーユーザー) で [**Add**] (追加) を選択します。

1. IAM ユーザーとロールのリストで、WorkSpaces 管理者に対応するユーザーとロールを選択し、[**Add**] (追加) を選択します。

#### KMS キーのキーユーザーとして WorkSpaces 管理者を追加するには ( API)
<a name="kms-permissions-users-api"></a>

1. [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html) オペレーションを使用して既存のキーポリシードキュメントを取得し、キーポリシードキュメントをファイルに保存します。

1. 任意のテキストエディタでポリシードキュメントを開きます。WorkSpaces 管理者に対応する IAM ユーザーとロールを、[キーユーザーにアクセス許可を付与する](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)ポリシーステートメントに追加します。その後、ファイルを保存します。

1. [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html) オペレーションを使用して、KMS キーにキーポリシーを適用します。

### パート 2: IAM ポリシーを使用して WorkSpaces 管理者に追加の許可を付与する
<a name="kms-permissions-iam-policy"></a>

カスタマー管理の KMS キーを選択して暗号化に使用する場合は、アカウントで暗号化された WorkSpaces を起動する IAM ユーザーの代わりに、Amazon WorkSpaces で KMS キーの使用を許可する IAM ポリシーを確立する必要があります。また、そのユーザーにも、Amazon WorkSpaces を使用するための許可が必要です。IAM ユーザーポリシーの作成と編集の詳細については、*IAM ユーザーガイド*の [IAM ポリシーを管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)および [WorkSpaces の Identity and Access Management](workspaces-access-control.md) を参照してください。

WorkSpaces の暗号化では、KMS キーへのアクセスを制限する必要があります。以下は、使用できるサンプルキーのポリシーです。このポリシーにより、 AWS KMS キーを管理できるプリンシパルと、このキーを使用できるプリンシパルが分離されます。このサンプルキーポリシーを使用する前に、サンプルアカウント ID と IAM ユーザー名を、アカウントの実際の値に置き換えてください。

最初のステートメントは、デフォルトの AWS KMS キーポリシーと一致します。これにより、IAM ポリシーを使用して KMS キーへのアクセスを制御するためのアクセス許可がアカウントに付与されます。2 番目と 3 番目のステートメントは、キーを管理および使用できる AWS プリンシパルをそれぞれ定義します。4 番目のステートメントでは、 と統合された AWS サービスが AWS KMS 、指定されたプリンシパルに代わって キーを使用できます。このステートメントは、 AWS のサービスが許可を作成、管理できるようにします。ステートメントは、KMS キーに対する許可を、アカウントのユーザーに代わって AWS のサービスによって行われた許可に制限する条件要素を使用します。

**注記**  
WorkSpaces 管理者が を使用して暗号化されたボリュームを持つ WorkSpaces AWS マネジメントコンソール を作成する場合、管理者はエイリアスとリストキー ( `"kms:ListAliases"` および のアクセス許可) を一覧表示するアクセス`"kms:ListKeys"`許可が必要です。WorkSpaces 管理者が (コンソールではなく) Amazon WorkSpaces API のみを使用する場合は、`"kms:ListAliases"` および `"kms:ListKeys"` のアクセス許可を省略できます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}
```

------

WorkSpace を暗号化しているロールまたはユーザーに適用する IAM ポリシーには、カスタマー管理の KMS キーを使用するためのアクセス許可と WorkSpaces へのアクセス権が必要です。IAM ユーザーまたはロールに WorkSpaces のアクセス許可を付与するには、以下のサンプルポリシーを IAM ユーザーまたはロールにアタッチします。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}
```

------

ユーザーが を使用するには、次の IAM ポリシーが必要です AWS KMSこれにより、KMS キーへの読み取り専用アクセスと、許可を作成する能力がユーザーに付与されます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

ポリシーで KMS キーを指定する場合は、次のような IAM ポリシーを使用します。サンプルKMS キー ARN を有効なものに置き換えます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## WorkSpace を暗号化します。
<a name="encrypt_workspace"></a>

**WorkSpace を暗号化するには**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。

1. [**Launch WorkSpaces**] を選択し､最初の 3 つの手順を完了します。

1. [**WorkSpaces Configuration**] のステップで､以下を行います｡

   1. 暗号化するボリュームを選択します。[**Root Volume**]、[**User Volume**]、または両方のボリュームとなります。

   1. **暗号化キー**で、Amazon WorkSpaces によって作成された AWS マネージド KMS キーまたは作成した KMS キー AWS KMS のいずれかのキーを選択します。選択する KMS キーは対称である必要があります。Amazon WorkSpaces では、非対称 KMS キーがサポートされていません。

   1. [**Next Step**] を選択します。

1. [**Launch WorkSpaces**] を選択します。

## 暗号化された WorkSpaces を表示する
<a name="maintain_encryption"></a>

どの WorkSpaces とボリュームが WorkSpaces コンソールから暗号化されたのかを表示するには、左のナビゲーションバーから [**WorkSpaces**] を選択します。[**Volume Encryption**] 列に、各 WorkSpace で暗号化が有効になっているか無効になっているかが表示されます。特定のボリュームが暗号化されているかどうかを表示するには、WorkSpace エントリを展開して [**Encrypted Volumes**] フィールドを確認します。