本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 WorkSpaces 个人版访问限定于受信任设备
<a name="trusted-devices"></a>

默认情况下，用户可以从任何连接到互联网的受支持设备访问自己的 WorkSpace。如果您的公司仅限受信任设备（也称为托管设备）访问公司数据，则您可以通过有效的证书将 WorkSpace 访问限定为受信任设备。

**注意**  
目前，只有通过 Directory Service（包括 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目录）来管理 WorkSpaces 个人版目录时，此功能才可用。

启用此功能后，WorkSpaces 会使用基于证书的身份验证来确定设备是否可信。如果 WorkSpace 客户端应用程序无法验证设备是否可信，则会阻止从此设备进行登录或重新连接的尝试。

对于每个目录，您最多可以导入 2 个根证书。如果您导入 2 个根证书，则 WorkSpaces 会将这 2 个证书都显示给客户端，然后客户端会查找一直串联到其中一个根证书的第一个有效匹配的证书。

**支持的客户端**
+ Android，在 Android 或与 Android 兼容的 Chrome 操作系统上运行
+ macOS
+ Windows

**重要**  
以下客户端不支持此功能：  
适用于 Linux 或 iPad 的 WorkSpaces 客户端应用程序
第三方客户端，包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。

**注意**  
在为特定客户端启用访问权限时，请确保阻止其他不需要的设备类型的访问权限。有关此操作的详细信息，请参阅下文的步骤 3.7。

## 第 1 步：创建证书
<a name="create-certificate"></a>

此功能需要两种类型的证书：内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。

**要求**
+ 根证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。
+ 根证书必须满足以下正则表达式模式，这意味着除最后一行外，每行编码的长度必须正好为 64 个字符：`-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`。
+ 设备证书必须包含公用名。
+ 设备证书必须包含以下扩展：`Key Usage: Digital Signature` 和 `Enhanced Key Usage: Client Authentication`。
+ 从设备证书到受信任根证书颁发机构的证书链中的所有证书都必须安装在客户端设备上。
+ 证书链支持的最大长度为 4。
+ WorkSpaces 当前不支持客户端证书的设备撤销机制，例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。
+ 使用强加密算法。建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA381 或带 ECDSA 的 SHA512。
+ 对于 macOS，如果设备证书位于系统密钥链中，建议您授权 WorkSpaces 客户端应用程序访问此类证书。否则，用户必须在登录或重新连接时，输入密钥链凭证。

## 第 2 步：为受信任设备部署客户端证书
<a name="deploy-certificate"></a>

在用户可信设备上，您必须安装证书捆绑包，其中包含从设备证书到可信根证书颁发机构的证书链中的所有证书。您可以使用首选解决方案将证书安装到一批客户端设备；例如，System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意，SCCM 和 MDM 可以选择执行安全状况评估，以确定设备是否符合访问 WorkSpaces 的公司政策规定。

WorkSpaces 客户端应用程序按如下方式搜索证书：
+ Android - 转至**设置**，选择**安全和位置**、**凭证**，然后选择**从 SD 卡安装**。
+ 与 Android 兼容的 Chrome 操作系统 - 打开 Android 设置并选择**安全和位置**、**凭证**，然后选择**从 SD 卡安装**。
+ macOS - 在密钥链中搜索客户端证书。
+ Windows - 在用户和根证书存储中搜索客户端证书。

## 第 3 步：配置限制
<a name="configure-restriction"></a>

在受信任设备上部署客户端证书后，您可以在目录级别启用受限访问权限。这需要 WorkSpaces 客户端应用程序验证设备上的证书，然后再允许用户登录到 WorkSpace。

**配置限制**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Access Control Options**。

1. 在**针对每种设备类型，指定哪些设备可以访问 WorkSpaces** 下，选择**可信设备**。

1. 最多导入 2 个根证书。对于每个根证书，请执行以下操作：

   1. 选择 **Import（导入）**。

   1. 将证书文本复制到表单中。

   1. 选择 **Import（导入）**。

1. 指定其他类型的设备是否可以访问 WorkSpaces。

   1. 向下滚动到 **Other Platforms (其他平台)** 部分。默认情况下，禁用 WorkSpaces Linux 客户端，用户可以从其 iOS 设备、Android 设备、Web Access、Chromebook 和 PCoIP 零客户端设备访问其 WorkSpaces。

   1. 选择要启用的设备类型并清除要禁用的设备类型。

   1. 要阻止来自所有选定设备类型的访问，请选择 **Block**。

1. 选择**更新并退出**。