Restringir o acesso a WorkSpaces Personal para dispositivos confiáveis
Por padrão, os usuários podem acessar seu WorkSpaces de qualquer dispositivo compatível que esteja conectado à Internet. Se sua empresa limita o acesso a dados corporativos a dispositivos confiáveis (também conhecidos como dispositivos gerenciados), você pode restringir o acesso dos WorkSpaces a dispositivos confiáveis com certificados válidos.
nota
Atualmente, esse recurso está disponível somente quando seus diretórios do WorkSpaces Personal são gerenciados por meio dos diretórios Simple AD, AD Connector e AWS Managed Microsoft AD.
Quando você habilitar esse recurso, o WorkSpaces usará autenticação baseada em certificado para determinar se um dispositivo é confiável. Se o aplicativo cliente dos WorkSpaces não conseguir verificar se um dispositivo é confiável, ele bloqueará as tentativas de fazer login ou restabelecer conexão do dispositivo.
Para cada diretório, você pode importar até dois certificados raiz. Se você importar dois certificados raiz, o WorkSpaces os apresentará para o cliente, e o cliente localizará o primeiro certificado correspondente válido que se associa a um dos dois certificados raiz.
Clientes compatíveis
-
Android, em execução em sistemas Android ou em sistemas Android compatíveis com Chrome OS
-
macOS
-
Windows
Importante
Este recurso não é compatível com os seguintes clientes:
-
Aplicações cliente do WorkSpaces para Linux ou iPad
-
Clientes de terceiros, incluindo, mas não se limitando a, Teradici PCoIP, clientes RDP e aplicações de área de trabalho remota.
nota
Ao habilitar o acesso para clientes específicos, certifique-se de bloquear o acesso para outros tipos de dispositivos que você não precisa. Para obter mais informações sobre como fazer isso, consulte a etapa 3.7 abaixo.
Etapa 1: Criar os certificados
Este recurso exige dois tipos de certificados: certificados raiz gerados por uma autoridade de certificação (CA) interna e certificados de cliente que se associam a um certificado raiz.
Requisitos
Os certificados raiz devem ser arquivos codificados por Base64 no formato CRT, CERT ou PEM.
Os certificados raiz devem atender ao seguinte padrão de expressão regular, o que significa que cada linha codificada, exceto a última, deve ter exatamente 64 caracteres:
-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A).Os certificados de dispositivo devem incluir um nome comum.
Os certificados de dispositivo devem incluir as seguintes extensões:
Key Usage: Digital SignatureeEnhanced Key Usage: Client Authentication.Todos os certificados na cadeia, desde o certificado de dispositivo até a Autoridade certificadora raiz confiável, devem ser instalados no dispositivo cliente.
O tamanho máximo da cadeia de certificados compatível é 4.
O WorkSpaces não oferece suporte a mecanismos de revogação de dispositivos, como listas de revogação de certificados (CRL) ou protocolo OCSP, para certificados de cliente.
Use um algoritmo de criptografia forte. Recomendamos SHA256 com RSA, SHA256 com ECDSA, SHA384 com ECDSA ou SHA512 com ECDSA.
Para macOS, se o certificado do dispositivo estiver na cadeia de chaves do sistema, recomendamos que você autorize o aplicativo cliente dos WorkSpaces a acessar os certificados. Caso contrário, os usuários devem inserir credenciais de cadeia de chaves quando fazem login ou se reconectam.
Etapa 2: Implantar certificados de cliente nos dispositivos confiáveis
Nos dispositivos confiáveis para usuários, você deve instalar um pacote de certificados que inclua todos os certificados na cadeia, desde o certificado do dispositivo até a Autoridade de Certificação raiz confiável. Você pode usar a melhor solução para instalar os certificados na sua frota de dispositivos clientes; por exemplo, o System Center Configuration Manager (SCCM) ou o gerenciamento de dispositivos móveis (MDM). Observe que o SCCM e o MDM podem executar uma avaliação de postura de segurança para determinar se os dispositivos atendem às suas políticas corporativas para acessar os WorkSpaces.
As aplicações cliente do WorkSpaces pesquisam certificados da seguinte forma:
-
Android: vá para Configurações, selecione Segurança e localização, Credenciais e selecione Instalar do cartão SD.
-
Sistemas Chrome OS compatíveis com Android: abra as configurações do Android e selecione Segurança e localização, Credenciais e escolha Instalar do cartão SD.
-
macOS: pesquisa certificados de cliente no conjunto de chaves.
-
Windows: pesquisa nos repositórios de certificados raiz e de usuário em busca de certificados de cliente.
Etapa 3: Configurar a restrição
Depois que você tiver implementado os certificados do cliente nos dispositivos confiáveis, poderá habilitar o acesso restrito no nível de diretório. Isso requer que o aplicativo cliente dos WorkSpaces valide o certificado em um dispositivo antes de permitir que um usuário faça login em um WorkSpace.
Para configurar a restrição
-
Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/v2/home
. -
No painel de navegação, selecionar Diretórios.
-
Selecione o diretório e escolha Ações, Atualizar detalhes.
-
Expanda Opções de controle de acesso.
-
Em Para cada tipo de dispositivo, especifique quais dispositivos podem acessar o WorkSpaces, selecione Dispositivos confiáveis.
-
Importe até dois certificados raiz. Para cada certificado raiz, faça o seguinte:
Escolha Importar.
Copie o corpo do certificado no formulário.
Escolha Importar.
-
Especifique se outros tipos de dispositivo têm acesso ao WorkSpaces.
-
Role para baixo até a seção Other Platforms (Outras plataformas). Por padrão, o WorkSpaces Web Access e os clientes Linux são desabilitados e os usuários podem acessar os WorkSpaces em dispositivos iOS, Android, Chromebooks e dispositivos PCoIP cliente zero.
-
Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a serem desativados.
-
Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha Bloquear.
-
-
Escolha Atualizar e sair.
