As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografado WorkSpaces em WorkSpaces Pessoal
Encriptado WorkSpaces
WorkSpaces está integrado com o AWS Key Management Service (AWS KMS). Isso permite criptografar volumes de armazenamento WorkSpaces usando AWS KMS Key. Ao iniciar um WorkSpace, você pode criptografar o volume raiz (para Microsoft Windows, a unidade C; para Linux,/) e o volume do usuário (para Windows, a unidade D; para Linux, /home). Isso garante que os dados armazenados em repouso, o disco I/O no volume e os instantâneos criados a partir dos volumes sejam todos criptografados.
**nota**
Além de criptografar seu WorkSpaces, você também pode usar a criptografia de endpoint FIPS em determinadas AWS regiões dos EUA. Para obter mais informações, consulte [Configure a autorização do FedRAMP ou a conformidade com o SRG do DoD para pessoal WorkSpaces](fips-encryption.md).
A BitLocker criptografia do Windows não é compatível com a Amazon WorkSpaces. A Amazon WorkSpaces tentará descriptografar todos os volumes detectados durante a inicialização em todos os sistemas operacionais Windows, quando aplicável. Os volumes podem deixar de responder durante o processo de inicialização se qualquer combinação de senhas, pinos ou chaves de inicialização estiver habilitada para qualquer volume. WorkSpace Ele pode ficar insalubre e incapaz de inicializar adequadamente.
**Topics**
+ [
## Pré-requisitos
](#encryption_prerequisites)
+ [
## Limites
](#encryption_limits)
+ [
## Visão geral da WorkSpaces criptografia usando AWS KMS
](#kms-workspaces-overview)
+ [
## WorkSpaces contexto de criptografia
](#kms-workspaces-encryption-context)
+ [
## Conceda WorkSpaces permissão para usar uma chave KMS em seu nome
](#kms-workspaces-permissions)
+ [
## Criptografar um WorkSpace
](#encrypt_workspace)
+ [
## Visualização criptografada WorkSpaces
](#maintain_encryption)
## Pré-requisitos
Você precisa de uma AWS KMS chave antes de começar o processo de criptografia. [Essa chave KMS pode ser a chave [KMS AWS gerenciada pela Amazon WorkSpaces (**aws/workspaces**) ou uma chave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) KMS simétrica gerenciada pelo cliente.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)
+ **AWS Chaves KMS gerenciadas** — Na primeira vez que você inicia uma chave não criptografada WorkSpace do WorkSpaces console em uma região, a Amazon cria WorkSpaces automaticamente uma chave KMS AWS gerenciada (**aws/workspaces**) em sua conta. Você pode selecionar essa chave KMS AWS gerenciada para criptografar os volumes raiz e de usuário do seu. WorkSpace Para obter detalhes, consulte [Visão geral da WorkSpaces criptografia usando AWS KMS](#kms-workspaces-overview).
Você pode visualizar essa chave KMS AWS gerenciada, incluindo suas políticas e concessões, e pode rastrear seu uso em AWS CloudTrail registros, mas não pode usar ou gerenciar essa chave KMS. WorkSpaces A Amazon cria e gerencia essa chave KMS. Somente a Amazon WorkSpaces pode usar essa chave KMS e WorkSpaces pode usá-la somente para criptografar WorkSpaces recursos em sua conta.
AWS As chaves KMS gerenciadas, incluindo a que a Amazon WorkSpaces oferece suporte, são alternadas todos os anos. Para obter detalhes, consulte [AWS KMS Chave rotativa](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
+ **Chave KMS gerenciada pelo cliente** — Como alternativa, você pode selecionar uma chave KMS simétrica gerenciada pelo cliente que você criou usando. AWS KMSÉ possível visualizar, usar e gerenciar essa chave do KMS, além de definir suas políticas. Para obter mais informações sobre como criar chaves do KMS, consulte [Criar chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *. Para obter mais informações sobre a criação de chaves KMS usando a AWS KMS API, consulte Como [trabalhar com chaves](https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
As chaves do KMS gerenciadas pelo cliente não são alternadas automaticamente, a menos que você decida habilitar a alternância automática de chaves. Para obter detalhes, consulte [AWS KMS Chaves rotativas](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) no *Guia do AWS Key Management Service desenvolvedor*.
**Importante**
Ao girar manualmente as chaves KMS, você deve manter a chave KMS original e a nova chave KMS ativadas para que AWS KMS possa descriptografar a chave KMS original criptografada WorkSpaces . Se você não quiser manter a chave KMS original ativada, você deve recriá-la WorkSpaces e criptografá-la usando a nova chave KMS.
Você deve atender aos seguintes requisitos para usar uma AWS KMS chave para criptografar seu WorkSpaces:
+ **A chave do KMS deve ser simétrica.** A Amazon WorkSpaces não oferece suporte a chaves KMS assimétricas. Para obter informações sobre a distinção entre chaves do KMS simétricas e assimétricas, consulte [Identifying Symmetric and Asymmetric KMS Keys](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html) no *Guia do desenvolvedor do AWS Key Management Service *.
+ **A chave do KMS deve estar habilitada.** Para determinar se uma chave do KMS está habilitada, consulte [Displaying KMS Key Details](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details) no *Guia do desenvolvedor do AWS Key Management Service *.
+ **Você deve ter as permissões e políticas corretas associadas à chave do KMS.** Para obter mais informações, consulte [Parte 2: Conceda permissões adicionais WorkSpaces aos administradores usando uma política do IAM](#kms-permissions-iam-policy).
## Limites
+ Você não pode criptografar um existente WorkSpace. Você deve criptografar um WorkSpace ao iniciá-lo.
+ Não WorkSpace há suporte para criar uma imagem personalizada a partir de uma imagem criptografada.
+ A desativação da criptografia para um criptografado não WorkSpace é suportada atualmente.
+ WorkSpaces lançado com a criptografia de volume raiz ativada, pode levar até uma hora para ser provisionado.
+ Para reinicializar ou reconstruir um criptografado WorkSpace, primeiro verifique se a AWS KMS chave está ativada; caso contrário, WorkSpace ela se tornará inutilizável. Para determinar se uma chave do KMS está habilitada, consulte [Displaying KMS Key Details](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details) no *Guia do desenvolvedor do AWS Key Management Service *.
## Visão geral da WorkSpaces criptografia usando AWS KMS
Quando você cria WorkSpaces com volumes criptografados, WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O Amazon EBS criptografa os volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. Tanto o Amazon EBS quanto a Amazon WorkSpaces usam sua chave KMS para trabalhar com os volumes criptografados. Para obter mais informações sobre a criptografia de volumes do EBS, consulte [Amazon EBS Encryption](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) no *Guia do usuário do Amazon EC2*.
Quando você inicia WorkSpaces com volumes criptografados, o end-to-end processo funciona assim:
1. Você especifica a chave KMS a ser usada para criptografia, bem como o usuário e o diretório do WorkSpace. Essa ação cria uma [concessão](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) que permite WorkSpaces usar sua chave KMS somente para isso, ou WorkSpace seja, somente para a WorkSpace associada ao usuário e diretório especificados.
1. WorkSpaces cria um volume do EBS criptografado para o WorkSpace e especifica a chave KMS a ser usada, bem como o usuário e o diretório do volume. Essa ação cria uma concessão que permite que o Amazon EBS use sua chave KMS somente para esse WorkSpace volume, ou seja, somente para o WorkSpace associado ao usuário e diretório especificados e somente para o volume especificado.
1. [O Amazon EBS solicita uma chave de dados de volume que é criptografada sob sua chave KMS e especifica o identificador de segurança do Active Directory (SID) e o ID do AWS Directory Service diretório do WorkSpace usuário, bem como o ID do volume do Amazon EBS como contexto de criptografia.](#kms-workspaces-encryption-context)
1. AWS KMS cria uma nova chave de dados, a criptografa sob sua chave KMS e, em seguida, envia a chave de dados criptografada para o Amazon EBS.
1. WorkSpaces usa o Amazon EBS para anexar o volume criptografado ao seu WorkSpace. O Amazon EBS envia a chave de dados criptografada para AWS KMS com uma [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)solicitação e especifica o SID do WorkSpace usuário, o ID do diretório e o ID do volume, que é usado como contexto de criptografia.
1. AWS KMS usa sua chave KMS para descriptografar a chave de dados e, em seguida, envia a chave de dados em texto simples para o Amazon EBS.
1. O Amazon EBS usa a chave de dados em texto simples para criptografar todos os dados enviados e recebidos do volume criptografado. O Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume estiver conectado ao WorkSpace.
1. O Amazon EBS armazena a chave de dados criptografada (recebida em[Step 4](#WSP-KMS-creates-data-key)) com os metadados do volume para uso futuro, caso você reinicie ou reconstrua o. WorkSpace
1. Quando você usa o Console de gerenciamento da AWS para remover uma WorkSpace (ou usa a [https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html](https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html)ação na WorkSpaces API), WorkSpaces o Amazon EBS retira as concessões que permitiram que eles usassem sua chave KMS para isso. WorkSpace
## WorkSpaces contexto de criptografia
WorkSpaces não usa sua chave KMS diretamente para operações criptográficas (como [https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html),,, etc.) [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), o que significa que WorkSpaces não envia solicitações AWS KMS que incluam um contexto de [criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context). No entanto, quando o Amazon EBS solicita uma chave de dados criptografada para os seus volumes criptografados WorkSpaces ([Step 3](#WSP-EBS-requests-encrypted-volume-data-key)no[Visão geral da WorkSpaces criptografia usando AWS KMS](#kms-workspaces-overview)) e quando solicita uma cópia em texto simples dessa chave de dados ([Step 5](#WSP-uses-EBS-to-attach-encrypted-volume)), ele inclui o contexto de criptografia na solicitação.
O contexto de criptografia fornece [dados autenticados adicionais](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD) que são AWS KMS usados para garantir a integridade dos dados. O contexto de criptografia também é gravado em seus arquivos de AWS CloudTrail log, o que pode ajudá-lo a entender por que uma determinada chave KMS foi usada. O Amazon EBS usa o seguinte como contexto de criptografia:
+ O identificador de segurança (SID) do usuário do Active Directory associado ao WorkSpace
+ O ID do AWS Directory Service diretório associado ao WorkSpace
+ O ID do volume do Amazon EBS do volume criptografado
O exemplo a seguir mostra uma representação JSON do contexto de criptografia usado pelo Amazon EBS:
```
{
"aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
"aws:ebs:id": "vol-1234abcd"
}
```
## Conceda WorkSpaces permissão para usar uma chave KMS em seu nome
Você pode proteger seus WorkSpace dados com a chave KMS AWS gerenciada para WorkSpaces (**aws/workspaces**) ou com uma chave KMS gerenciada pelo cliente. Se você usa uma chave KMS gerenciada pelo cliente, precisa conceder WorkSpaces permissão para usar a chave KMS em nome dos WorkSpaces administradores da sua conta. A chave KMS AWS gerenciada para WorkSpaces tem as permissões necessárias por padrão.
Para preparar sua chave KMS gerenciada pelo cliente para uso com WorkSpaces, use o procedimento a seguir.
1. [Adicione seus WorkSpaces administradores à lista de usuários-chave na política de chaves do KMS](#kms-permissions-key-users)
1. [Dê aos seus WorkSpaces administradores permissões adicionais com uma política do IAM](#kms-permissions-iam-policy)
Seus WorkSpaces administradores também precisam de permissão para usar WorkSpaces. Para obter mais informações sobre essas permissões, acesse [Gerenciamento de identidade e acesso para WorkSpaces](workspaces-access-control.md).
### Parte 1: Adicionar WorkSpaces administradores como usuários-chave
Para dar aos WorkSpaces administradores as permissões de que eles precisam, você pode usar a Console de gerenciamento da AWS ou a AWS KMS API.
#### Para adicionar WorkSpaces administradores como usuários-chave de uma chave KMS (console)
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
1. Escolha o ID de chave ou alias da sua chave do KMS gerenciada pelo cliente preferida
1. Selecione a guia **Key policy (Política de chaves)**. Em **Key users** (Usuários de chaves), escolha**Add** (Adicionar).
1. Na lista de usuários e funções do IAM, selecione os usuários e funções que correspondem aos seus WorkSpaces administradores e, em seguida, escolha **Adicionar**.
#### Para adicionar WorkSpaces administradores como usuários-chave de uma chave KMS (API)
1. Use a [GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)operação para obter a política de chaves existente e, em seguida, salve o documento de política em um arquivo.
1. Abra o documento de política no editor de texto de sua preferência. Adicione os usuários e funções do IAM que correspondem aos seus WorkSpaces administradores às declarações de política que [dão permissão aos principais usuários](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users). Salve o arquivo.
1. Use a [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)operação para aplicar a política de chaves à chave KMS.
### Parte 2: Conceda permissões adicionais WorkSpaces aos administradores usando uma política do IAM
Se você selecionar uma chave KMS gerenciada pelo cliente para usar para criptografia, deverá estabelecer políticas do IAM que permitam WorkSpaces à Amazon usar a chave KMS em nome de um usuário do IAM em sua conta que inicia a criptografia. WorkSpaces Esse usuário também precisa de permissão para usar a Amazon WorkSpaces. Para obter mais informações sobre como criar e editar políticas de usuários do IAM, consulte [Gerenciamento de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) no *Guia do usuário do IAM* e em [Gerenciamento de identidade e acesso para WorkSpaces](workspaces-access-control.md).
WorkSpaces a criptografia requer acesso limitado à chave KMS. Veja a seguir um exemplo de política de chaves que pode ser usada. Essa política separa as entidades principais que podem gerenciar a chave do AWS KMS daquelas que podem usá-la. Antes de usar esse exemplo de política de chaves, substitua o exemplo de ID da conta e o nome de usuário do IAM pelos valores reais da sua conta.
A primeira declaração corresponde à política de AWS KMS chaves padrão. Isso concede à sua conta permissão para usar políticas do IAM para controlar o acesso à chave do KMS. A segunda e a terceira declarações definem quais AWS diretores podem gerenciar e usar a chave, respectivamente. A quarta declaração permite que os AWS serviços integrados AWS KMS usem a chave em nome do principal especificado. Essa declaração permite que os serviços da AWS criem e gerenciem concessões. A declaração usa um elemento condicional que limita as concessões da chave KMS às concedidas por AWS serviços em nome dos usuários em sua conta.
**nota**
Se seus WorkSpaces administradores usam o Console de gerenciamento da AWS para criar WorkSpaces com volumes criptografados, eles precisam de permissão para listar aliases e chaves de lista (as permissões `"kms:ListAliases"` e`"kms:ListKeys"`). Se seus WorkSpaces administradores usarem somente a WorkSpaces API da Amazon (não o console), você poderá omitir as permissões `"kms:ListAliases"` e. `"kms:ListKeys"`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::123456789012:root"},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncryptFrom",
"kms:ReEncryptTo",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
}
]
}
```
------
A política do IAM para um usuário ou função que está criptografando um WorkSpace deve incluir permissões de uso na chave KMS gerenciada pelo cliente, bem como acesso a. WorkSpaces Para conceder WorkSpaces permissões a um usuário ou função do IAM, você pode anexar o exemplo de política a seguir ao usuário ou função do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"ds:DescribeDirectories",
"workspaces:*",
"workspaces:DescribeWorkspaceBundles",
"workspaces:CreateWorkspaces",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces"
],
"Resource": "*"
}
]
}
```
------
A política do IAM a seguir é exigida pelo usuário para usar o AWS KMS. Ela concede ao usuário acesso somente leitura à chave do KMS juntamente com a capacidade de criar concessões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Describe*",
"kms:List*"
],
"Resource": "*"
}
]
}
```
------
Se você quiser especificar a chave do KMS em sua política, use uma política do IAM semelhante ao exemplo a seguir. Substitua o ARN da chave do KMS de exemplo por um válido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
}
]
}
```
------
## Criptografar um WorkSpace
**Para criptografar um WorkSpace**
1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Escolha **Iniciar WorkSpaces** e conclua as três primeiras etapas.
1. Para a etapa **WorkSpaces de configuração**, faça o seguinte:
1. Selecione os volumes a serem criptografados: **Volume raiz**, **Volume de usuário** ou os dois volumes.
1. Para **Chave de criptografia**, selecione uma AWS KMS chave, seja a chave KMS AWS gerenciada criada pela Amazon WorkSpaces ou uma chave KMS que você criou. A chave do KMS que você seleciona deve ser simétrica. A Amazon WorkSpaces não oferece suporte a chaves KMS assimétricas.
1. Escolha **Próxima etapa**.
1. Escolha **Executar WorkSpaces**.
## Visualização criptografada WorkSpaces
Para ver quais volumes WorkSpaces e volumes foram criptografados no WorkSpaces console, escolha na barra **WorkSpaces**de navegação à esquerda. A coluna **Criptografia de volume** mostra se cada uma WorkSpace tem a criptografia ativada ou desativada. Para ver quais volumes específicos foram criptografados, expanda a WorkSpace entrada para ver o campo **Volumes criptografados**.