WorkSpaces criptografados no WorkSpaces Personal - Amazon WorkSpaces
Pré-requisitosLimitesVisão geral da criptografia do WorkSpaces usando o AWS KMSContexto de criptografia do WorkSpacesConceder permissão ao WorkSpaces para usar uma chave do KMS em seu nomeCriptografia de um WorkSpaceVisualizar WorkSpaces criptografados

WorkSpaces criptografados no WorkSpaces Personal

O WorkSpaces é integrado ao AWS Key Management Service (AWS KMS). Isso permite que você criptografe volumes de armazenamento de WorkSpaces usando a chave do AWS KMS. Quando você executa um WorkSpace, é possível criptografar o volume raiz (para Microsoft Windows, a unidade C: e, para Linux, /) e o volume do usuário (para Windows, a unidade D: e, para Linux, /home). Isso garante que os dados armazenados em repouso, E/S do disco para o volume e snapshots criados a partir dos volumes sejam todos criptografados.

nota

Pré-requisitos

Você precisa de uma chave do AWS KMS antes de iniciar o processo de criptografia. Essa chave do KMS pode ser a chave do KMS gerenciada pela AWS para Amazon WorkSpaces (aws/workspaces) ou uma chave do KMS simétrica gerenciada pelo cliente.

  • Chaves do KMS gerenciadas pela AWS: na primeira vez que você executa um WorkSpace não criptografado no console do WorkSpaces em uma região, o Amazon WorkSpaces cria automaticamente uma chave do KMS gerenciada pela AWS (aws/workspaces) na conta. Você pode selecionar essa chave do KMS gerenciada pela AWS para criptografar o usuário e os volumes raiz do seu WorkSpace. Para obter detalhes, consulte Visão geral da criptografia do WorkSpaces usando o AWS KMS.

    É possível visualizar essa chave do KMS gerenciada pela AWS, incluindo as políticas e concessões, e rastrear o uso em logs do AWS CloudTrail, mas não é possível usar nem gerenciar essa chave do KMS. O Amazon WorkSpaces cria e gerencia essa chave do KMS. Somente o Amazon WorkSpaces pode usar essa chave do KMS, e ele pode usá-la somente para criptografar recursos do WorkSpaces em sua conta.

    As chaves do KMS gerenciadas pela AWS, incluindo as compatíveis com o Amazon WorkSpaces, são alternadas a cada ano. Para obter mais detalhes, consulte Alternar AWS KMS key no Guia do desenvolvedor do AWS Key Management Service.

  • Chave do KMS gerenciada pelo cliente: como alternativa, você pode selecionar uma chave do KMS simétrica gerenciada pelo cliente que você criou usando o AWS KMS. É possível visualizar, usar e gerenciar essa chave do KMS, além de definir suas políticas. Para obter mais informações sobre como criar chaves do KMS, consulte Criar chaves no Guia do desenvolvedor do AWS Key Management Service. Para obter mais informações sobre a criação de chaves do KMS usando a API do AWS KMS, consulte Working with Keys no Guia do desenvolvedor do AWS Key Management Service.

    As chaves do KMS gerenciadas pelo cliente não são alternadas automaticamente, a menos que você decida habilitar a alternância automática de chaves. Para obter mais detalhes, consulte Rotating AWS KMS Keys no Guia do desenvolvedor do AWS Key Management Service.

Importante

Ao alternar manualmente as chaves do KMS, você deve manter a chave original do KMS e a nova chave do KMS habilitadas para que o AWS KMS KMS possa descriptografar os WorkSpaces criptografados pela chave original do KMS. Se você não quiser manter a chave original do KMS habilitada, você deve recriar os WorkSpaces e criptografá-los usando a nova chave do KMS.

Você deve atender aos seguintes requisitos para usar uma chave do AWS KMS para criptografar os WorkSpaces:

Limites

  • Não é possível criptografar um WorkSpace existente. Você deve criptografar um WorkSpace ao iniciá-lo.

  • Não há suporte para a criação de uma imagem personalizada de um WorkSpace criptografado.

  • Não há suporte para desabilitar a criptografia de um WorkSpace criptografado atualmente.

  • WorkSpaces iniciados com criptografia de volume raiz habilitada podem levar até uma hora para provisionar.

  • Para reiniciar ou recompilar um WorkSpace criptografado, primeiro verifique se a chave do AWS KMS está habilitada. Caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma chave do KMS está habilitada, consulte Displaying KMS Key Details no Guia do desenvolvedor do AWS Key Management Service.

Visão geral da criptografia do WorkSpaces usando o AWS KMS

Quando você cria WorkSpaces com volumes criptografados, o WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O Amazon EBS criptografa os volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. Tanto o Amazon EBS quanto o Amazon WorkSpaces usam a chave do KMS para trabalhar com os volumes criptografados. Para obter mais informações sobre a criptografia de volumes do EBS, consulte Amazon EBS Encryption no Guia do usuário do Amazon EC2.

Quando você executa WorkSpaces com volumes criptografados, o processo completo funciona desta forma:

  1. Você especifica a chave do KMS a ser usada para criptografia, bem como o usuário e o diretório do WorkSpace. Essa ação cria uma concessão que permite ao WorkSpaces usar sua chave do KMS apenas para esse WorkSpace, ou seja, apenas para o WorkSpace associado ao usuário e ao diretório especificados.

  2. O WorkSpaces cria um volume do EBS criptografado para o WorkSpace e especifica a chave do KMS a ser usada, bem como o usuário e o diretório do volume. Essa ação cria uma concessão que permite ao Amazon EBS usar a chave do KMS apenas para esse WorkSpace e volume, ou seja, apenas para o WorkSpace associado ao usuário e ao diretório especificados e apenas para o volume especificado.

  3. O Amazon EBS solicita uma chave de dados de volume que é criptografada com sua chave do KMS e especifica o identificador de segurança (SID) do Active Directory e o ID do diretório do AWS Directory Service do usuário do WorkSpace, bem como o ID do volume do Amazon EBS como o contexto de criptografia.

  4. O AWS KMS cria uma nova chave de dados, criptografa essa chave com a chave do KMS e, em seguida, envia a chave de dados criptografada para o Amazon EBS.

  5. O WorkSpaces usa o Amazon EBS para anexar o volume criptografado ao seu WorkSpace. O Amazon EBS envia a chave de dados criptografada para o AWS KMS com uma solicitação Decrypt e especifica o SID do usuário do WorkSpace, o ID de diretório e o ID do volume, que é usado como o contexto de criptografia.

  6. O AWS KMS usa a chave do KMS para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para o Amazon EBS.

  7. O Amazon EBS usa a chave de dados em texto simples para criptografar todos os dados enviados e recebidos do volume criptografado. O Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume está conectado ao WorkSpace.

  8. O Amazon EBS armazena a chave de dados criptografada (recebida no Passo 4) com os metadados do volume para uso futuro, caso você reinicialize ou recrie o WorkSpace.

  9. Ao usar o Console de gerenciamento da AWS para remover um WorkSpace (ou usar a ação TerminateWorkspaces na API do WorkSpaces), o WorkSpaces e o Amazon EBS retiram as concessões que os permitiram usar a chave do KMS para esse WorkSpace.

Contexto de criptografia do WorkSpaces

O WorkSpaces não usa sua chave do KMS diretamente para operações de criptografia (como Encrypt, Decrypt, GenerateDataKey etc.), o que significa que ele não envia solicitações ao AWS KMS que incluem um contexto de criptografia. No entanto, quando o Amazon EBS solicita uma chave de dados criptografada para os volumes criptografados dos WorkSpaces (Passo 3 em Visão geral da criptografia do WorkSpaces usando o AWS KMS) e quando ele solicita uma cópia de texto simples dessa chave de dados (Passo 5), ele inclui o contexto de criptografia na solicitação.

O contexto de criptografia fornece dados autenticados adicionais (AAD) que o AWS KMS usa para garantir a integridade dos dados. O contexto de criptografia também é gravado em seus arquivos de log do AWS CloudTrail, o que pode ajudar você a entender por que uma determinada chave do KMS foi usada. O Amazon EBS usa o seguinte como contexto de criptografia:

  • O identificador de segurança (SID) do usuário do Active Directory que é associado ao WorkSpace

  • O ID do diretório do AWS Directory Service que é associado ao WorkSpace

  • O ID do volume do Amazon EBS do volume criptografado

O exemplo a seguir mostra uma representação JSON do contexto de criptografia usado pelo Amazon EBS:

{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}

Conceder permissão ao WorkSpaces para usar uma chave do KMS em seu nome

É possível proteger seus dados do WorkSpace na chave do KMS gerenciada pela AWS para WorkSpaces (aws/workspaces) ou em uma chave do KMS gerenciada pelo cliente. Se você usar uma chave do KMS gerenciada pelo cliente, deverá conceder permissão ao WorkSpaces para usar a chave do KMS em nome dos administradores de WorkSpaces em sua conta. A chave do KMS gerenciada pela AWS para o WorkSpaces tem as permissões necessárias por padrão.

Para preparar sua chave do KMS gerenciada pelo cliente para uso com o WorkSpaces, use o procedimento a seguir.

  1. Adicione os administradores de WorkSpaces à lista de usuários de chave na política de chaves da chave do KMS

  2. Conceda aos administradores de WorkSpaces permissões adicionais com uma política do IAM

Os administradores de WorkSpaces também precisam de permissão para usar o WorkSpaces. Para obter mais informações sobre essas permissões, acesse Gerenciamento de identidade e acesso para o WorkSpaces.

Parte 1: como adicionar administradores de WorkSpaces aos usuários de chave

Para conceder aos administradores do WorkSpace as permissões que eles exigem, você pode usar o Console de gerenciamento da AWS ou a API do AWS KMS.

Para adicionar administradores de WorkSpaces como usuários de uma chave do KMS (console)

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Chaves gerenciadas pelo cliente.

  4. Escolha o ID de chave ou alias da sua chave do KMS gerenciada pelo cliente preferida

  5. Selecione a guia Key policy (Política de chaves). Em Key users (Usuários de chaves), escolhaAdd (Adicionar).

  6. Na lista de usuários e perfis do IAM, selecione os usuários e os perfis que correspondem aos administradores de WorkSpaces e, em seguida, clique em Adicionar.

Como adicionar administradores de WorkSpaces como usuários de uma chave do KMS (API)

  1. Use a operação GetKeyPolicy para obter a política de chaves existente e salve o documento em um arquivo.

  2. Abra o documento de política no editor de texto de sua preferência. Adicione os usuários e os perfis do IAM que correspondem aos seus administradores de WorkSpaces às declarações de política que dão permissão para usuários de chave. Salve o arquivo.

  3. Use a operação PutKeyPolicy para aplicar a política de chave à chave do KMS.

Parte 2: Conceder aos administradores de WorkSpaces permissões adicionais usando uma política do IAM

Se você selecionar uma chave do KMS gerenciada pelo cliente a ser usada para criptografia, será necessário estabelecer políticas do IAM que permitem que o Amazon WorkSpaces use a chave do KMS em nome de um usuário do IAM em sua conta que inicie WorkSpaces criptografados. Esse usuário também precisa de permissão para usar o Amazon WorkSpaces. Para obter mais informações sobre como criar e editar políticas de usuários do IAM, consulte Gerenciamento de políticas do IAM no Guia do usuário do IAM e em Gerenciamento de identidade e acesso para o WorkSpaces.

A criptografia do WorkSpaces requer acesso limitado à chave do KMS. Veja a seguir um exemplo de política de chaves que pode ser usada. Essa política separa as entidades principais que podem gerenciar a chave do AWS KMS daquelas que podem usá-la. Antes de usar esse exemplo de política de chaves, substitua o exemplo de ID da conta e o nome de usuário do IAM pelos valores reais da sua conta.

A primeira declaração está em conformidade com a política de chaves do AWS KMS padrão. Isso concede à sua conta permissão para usar políticas do IAM para controlar o acesso à chave do KMS. A segunda e a terceira declarações definem quais entidades principais da AWS podem gerenciar e usar a chave, respectivamente. A quarta declaração permite que os serviços da AWS integrados ao AWS KMS usem a chave em nome da entidade principal especificada. Essa declaração permite que os serviços da AWS criem e gerenciem concessões. A declaração usa um elemento de condição que limita as concessões na chave do KMS àquelas feitas pelos serviços da AWS em nome dos usuários em sua conta.

nota

Se os administradores de WorkSpaces usam o Console de gerenciamento da AWS para criar WorkSpaces com volumes criptografados, eles precisam de permissão para listar aliases e chaves (as permissões "kms:ListAliases" e "kms:ListKeys"). Se os administradores de WorkSpaces usarem apenas a API do Amazon WorkSpaces (e não o console), você poderá omitir as permissões "kms:ListAliases" e "kms:ListKeys".

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}

A política do IAM para um usuário ou um perfil que está criptografando um WorkSpace deve incluir permissões de uso na chave do KMS gerenciada pelo cliente, além de acesso aos WorkSpaces. Para conceder permissões de WorkSpaces a um usuário ou um perfil do IAM, é possível anexar o exemplo de política a seguir ao usuário ou perfil do IAM.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}

A política do IAM a seguir é exigida pelo usuário para usar o AWS KMS. Ela concede ao usuário acesso somente leitura à chave do KMS juntamente com a capacidade de criar concessões.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}

Se você quiser especificar a chave do KMS em sua política, use uma política do IAM semelhante ao exemplo a seguir. Substitua o ARN da chave do KMS de exemplo por um válido.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}

Criptografia de um WorkSpace

Para criptografar um WorkSpace

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/v2/home.

  2. Escolha Iniciar WorkSpaces e conclua as três primeiras etapas.

  3. Para a etapa Configuração de WorkSpaces, faça o seguinte:

    1. Selecione os volumes a serem criptografados: Volume raiz, Volume de usuário ou os dois volumes.

    2. Em Chave de criptografia, selecione uma chave do AWS KMS, que pode ser a chave do KMS gerenciada pela AWS criada pelo Amazon WorkSpaces ou uma chave do KMS criada por você. A chave do KMS que você seleciona deve ser simétrica. O Amazon WorkSpaces não oferece suporte a chaves do KMS assimétricas.

    3. Escolha Próxima etapa.

  4. Escolha Iniciar WorkSpaces.

Visualizar WorkSpaces criptografados

Para ver quais WorkSpaces e volumes foram criptografados no console do WorkSpaces, selecione WorkSpaces na barra de navegação à esquerda. A coluna Criptografia de volume mostra se cada WorkSpace tem a criptografia habilitada ou não. Para ver quais volumes específicos foram criptografados, expanda a entrada WorkSpace e veja o campo Volumes criptografados.