As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança da infraestrutura na Amazon WorkSpaces
Como um serviço gerenciado, a Amazon WorkSpaces é protegida pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte AWS Cloud Security
Você usa chamadas de API AWS publicadas para acessar WorkSpaces pela rede. Os clientes devem oferecer compatibilidade com:
-
Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Isolamento de rede
Uma nuvem privada virtual (VPC) é uma rede virtual em sua própria área logicamente isolada na nuvem. AWS Você pode implantar seu WorkSpaces em uma sub-rede privada em sua VPC. Para obter mais informações, consulte Configurar uma VPC para uso pessoal WorkSpaces .
Para permitir o tráfego somente em intervalos de endereços específicos (por exemplo, da rede corporativa), atualize o grupo de segurança para a VPC ou use um grupo de controle de acesso IP.
Você pode restringir o WorkSpace acesso a dispositivos confiáveis com certificados válidos. Para obter mais informações, consulte Restrinja o acesso a dispositivos confiáveis para o WorkSpaces Personal.
Isolamento em hosts físicos
Diferentes WorkSpaces no mesmo host físico são isolados uns dos outros por meio do hipervisor. É como se estivessem em hosts físicos separados. Quando a WorkSpace é excluída, a memória alocada a ela é limpa (definida como zero) pelo hipervisor antes de ser alocada para uma nova. WorkSpace
Autorização de usuários corporativos
Com WorkSpaces, os diretórios são gerenciados por meio do AWS Directory Service. É possível criar um diretório gerenciado autônomo para os usuários. Ou é possível integrar com seu ambiente do Active Directory existente para que os usuários possam usar suas credenciais atuais para obter acesso contínuo aos recursos corporativos. Para obter mais informações, consulte Gerenciar diretórios para WorkSpaces Personal.
Para controlar ainda mais o acesso ao seu WorkSpaces, use a autenticação multifatorial. Para obter mais informações, consulte Como habilitar a autenticação multifator para AWS serviços
Faça solicitações de WorkSpaces API da Amazon por meio de um endpoint de interface VPC
Você pode se conectar diretamente aos endpoints de WorkSpaces API da Amazon por meio de um endpoint de interface em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Quando você usa um endpoint de interface VPC, a comunicação entre sua VPC e o endpoint de API da WorkSpaces Amazon é conduzida de forma completa e segura dentro da rede. AWS
nota
Esse recurso só pode ser usado para conexão com endpoints de WorkSpaces API. Para se conectar WorkSpaces usando os WorkSpaces clientes, é necessária conectividade com a Internet, conforme descrito emRequisitos de endereço IP e porta para o WorkSpaces Personal.
Os endpoints de WorkSpaces API da Amazon oferecem suporte a endpoints de interface da Amazon Virtual Private Cloud (Amazon VPC) que são alimentados por. AWS PrivateLink
O endpoint da interface VPC conecta sua VPC diretamente ao endpoint da WorkSpaces API da Amazon sem um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias em sua VPC não precisam de endereços IP públicos para se comunicar com o endpoint de WorkSpaces API da Amazon.
Você pode criar um endpoint de interface para se conectar à Amazon WorkSpaces com os comandos AWS Management Console ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Criar um endpoint de interface.
Depois de criar um VPC endpoint, você pode usar os seguintes exemplos de comandos de CLI que usam o endpoint-url parâmetro para especificar endpoints de interface para o endpoint de API da Amazon: WorkSpaces
aws workspaces copy-workspace-image --endpoint-urlVPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint-urlVPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint-urlVPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-nameEndpoint_Name\ --body "Endpoint_Body" \ --content-type "Content_Type" \Output_File
Se você habilitar nomes de hosts DNS privados para seu VPC endpoint, não precisará especificar a URL do endpoint. O nome de host DNS WorkSpaces da API da Amazon que a CLI e o WorkSpaces Amazon SDK usam por padrão (https://api.workspaces). Region.amazonaws.com) resolve para seu VPC endpoint.
O endpoint de WorkSpaces API da Amazon oferece suporte a endpoints de VPC em AWS todas as regiões em que a Amazon VPC e a Amazon estão disponíveis. WorkSpaces
Para saber mais sobre isso AWS PrivateLink, consulte a AWS PrivateLink documentação. Para obter o preço dos VPC endpoints, consulte a Definição de preço da VPC
Para ver uma lista de endpoints de WorkSpaces API da Amazon por região, consulte Endpoints de WorkSpaces API.
nota
Os endpoints de WorkSpaces API da Amazon não AWS PrivateLink são compatíveis com os endpoints de WorkSpaces API da Amazon do Federal Information Processing Standard (FIPS).
Crie uma política de VPC endpoint para a Amazon WorkSpaces
Você pode criar uma política para endpoints Amazon VPC para Amazon WorkSpaces para especificar o seguinte:
-
A entidade principal que pode realizar ações.
-
As ações que podem ser realizadas.
-
Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações, consulte Controlar o acesso a serviços com endpoint da VPCs no Manual do usuário da Amazon VPC.
nota
As políticas de endpoint VPC não são compatíveis com endpoints Amazon do Federal Information Processing Standard (FIPS). WorkSpaces
O exemplo de política de endpoint VPC a seguir especifica que todos os usuários que têm acesso ao endpoint da interface VPC têm permissão para invocar o endpoint hospedado na Amazon chamado. WorkSpaces ws-f9abcdefg
{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ] }
Neste exemplo, as seguintes ações são negadas:
-
Invocando endpoints WorkSpaces hospedados pela Amazon que não sejam.
ws-f9abcdefg -
Executando uma ação em qualquer recurso além do especificado (WorkSpace ID:
ws-f9abcdefg).
nota
Neste exemplo, os usuários ainda podem realizar outras ações de WorkSpaces API da Amazon de fora da VPC. Para restringir as chamadas de API para aquelas de dentro da VPC, consulte Gerenciamento de identidade e acesso para WorkSpaces para obter informações sobre o uso de políticas baseadas em identidade para controlar o acesso aos endpoints de API da Amazon. WorkSpaces
Conectar uma rede privada a uma VPC
Para chamar a WorkSpaces API da Amazon por meio de sua VPC, você precisa se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando () ou. AWS Virtual Private Network AWS VPN AWS Direct Connect Para obter mais informações, consulte Conexões VPN no Guia do usuário do Amazon Virtual Private Cloud. Para obter informações sobre AWS Direct Connect, consulte Criação de uma conexão no Guia AWS Direct Connect do usuário.
