本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon WorkSpaces 安全瀏覽器中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon WorkSpaces 安全瀏覽器中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 WorkSpaces 安全瀏覽器或使用主控台 AWS CLI、API 或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
**Topics**
+ [Amazon WorkSpaces 安全瀏覽器中的資料加密](data-encryption.md)
+ [Amazon WorkSpaces 安全瀏覽器中的網路流量隱私權](inter-network-traffic-privacy.md)
+ [Amazon WorkSpaces 安全瀏覽器中的使用者存取記錄](data-protection-logging.md)
# Amazon WorkSpaces 安全瀏覽器中的資料加密
Amazon WorkSpaces 安全瀏覽器會收集入口網站自訂資料,例如瀏覽器設定、使用者設定、網路設定、身分提供者資訊、信任存放區資料和信任存放區憑證資料。WorkSpaces 安全瀏覽器也會收集瀏覽器政策資料、使用者偏好設定 (適用於瀏覽器設定) 和工作階段日誌。收集到的資料存放在 Amazon DynamoDB 和 Amazon S3 中。WorkSpaces 安全瀏覽器使用 AWS Key Management Service 進行加密。
若要保護您的內容,請遵循下列指示:
+ 實作最低權限存取,並建立要用於 WorkSpaces 安全瀏覽器動作的特定角色。使用 IAM 範本建立完整存取角色或唯讀角色。如需詳細資訊,請參閱[AWS WorkSpaces 安全瀏覽器的 受管政策](security-iam-awsmanpol.md)。
+ 提供客戶受管金鑰來保護端對端資料,因此 WorkSpaces 安全瀏覽器可以使用您提供的金鑰加密靜態資料。
+ 請謹慎共享入口網域和使用者憑證:
+ 管理員必須登入 Amazon WorkSpaces 主控台,而使用者必須登入 WorkSpaces 安全瀏覽器入口網站。
+ 網際網路上的任何人都可以存取 Web 入口網站,但除非擁有入口網站的有效使用者憑證,否則他們無法啟動工作階段。
+ 使用者可以選擇**結束工作階段**,明確結束工作階段。這會捨棄託管瀏覽器工作階段的執行個體,造成瀏覽器隔離。
WorkSpaces 安全瀏覽器預設會使用 加密所有敏感資料,以保護內容和中繼資料 AWS KMS。它會收集瀏覽器政策和使用者偏好設定,以在 WorkSpaces 安全瀏覽器工作階段期間強制執行政策和設定。如果在套用現有設定時發生錯誤,使用者將無法存取新的工作階段,也無法存取公司的內部網站和 SaaS 應用程式。
# Amazon WorkSpaces 安全瀏覽器的靜態加密
根據預設*,靜態加密*是設定,而 WorkSpaces 安全瀏覽器中使用的所有客戶資料 (例如瀏覽器政策陳述式、使用者名稱、記錄或 IP 地址) 都會使用 加密 AWS KMS。根據預設,WorkSpaces 安全瀏覽器會使用 AWS擁有的金鑰啟用加密。您也可以在資源建立時指定 CMK,以使用客戶受管金鑰 (CMK)。這目前僅透過 CLI 支援。
如果您選擇傳遞 CMK,提供的金鑰必須是對稱加密 AWS KMS 金鑰,而且身為管理員的您必須具有下列許可:
```
kms:DescribeKey
kms:GenerateDataKey
kms:GenerateDataKeyWithoutPlaintext
kms:Decrypt
kms:ReEncryptTo
kms:ReEncryptFrom
```
如果您使用 CMK,則需要允許列出 WorkSpaces 安全瀏覽器外部服務主體以存取金鑰。
如需詳細資訊,請參閱 [aws:SourceAccount 的 CMK 金鑰政策範圍範例]()
WorkSpaces 安全瀏覽器會盡可能使用轉送存取工作階段 (FAS) 登入資料來存取您的金鑰。如需 FAS 的詳細資訊,請參閱[轉送存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
在某些情況下,WorkSpaces 安全瀏覽器可能需要以非同步方式存取您的金鑰。透過在金鑰政策中允許列出 WorkSpaces 安全瀏覽器外部服務主體,WorkSpaces 安全瀏覽器將能夠使用金鑰執行允許列出的一組密碼編譯操作。
建立資源之後,就無法再移除或變更金鑰。如果您使用 CMK,身為存取資源的管理員,您必須擁有下列許可:
```
kms:GenerateDataKey
kms:GenerateDataKeyWithoutPlaintext
kms:Decrypt
kms:ReEncryptTo
kms:ReEncryptFrom
```
如果您在使用主控台時看到**存取遭拒**錯誤,則存取主控台的使用者可能沒有在正在使用的金鑰上使用 CMK 所需的許可。
## WorkSpaces 安全瀏覽器的金鑰政策和範圍範例
CMKs需要下列金鑰政策:
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
}
]
}
```
WorkSpaces 安全瀏覽器需要下列許可:
+ `kms:DescribeKey` — 驗證提供的 AWS KMS 金鑰已正確設定。
+ `kms:GenerateDataKeyWithoutPlaintext` 和 `kms:GenerateDataKey` — 請求 AWS KMS 金鑰建立用於加密物件的資料金鑰。
+ `kms:Decrypt` — 請求 AWS KMS 金鑰以解密加密的資料金鑰。這些資料金鑰用於加密您的資料。
+ `kms:ReEncryptTo` 和 `kms:ReEncryptFrom` — 請求 AWS KMS 金鑰允許從 KMS 金鑰重新加密或重新加密至 KMS 金鑰。
### 在 AWS KMS 金鑰上擴展 WorkSpaces 安全瀏覽器許可
當金鑰政策陳述式中的委託人是[AWS 服務委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)時,我們強烈建議您在加密內容之外,使用 [ aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 或 [ aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全域條件金鑰。
用於資源的加密內容一律會包含 格式的項目,`aws:workspaces-web:RESOURCE_TYPE:id`以及對應的資源 ID。
只有在 AWS KMS 請求來自其他服務時,來源 ARN 和來源帳戶值才會包含在授權內容中 AWS 。這個條件組合會實作最低權限許可,並避免潛在的[混淆代理人案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)。如需詳細資訊,請參閱[金鑰政策中 AWS 服務的許可](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-services.html.html)。
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "AccountId",
"kms:EncryptionContext:aws:workspaces-web:resourceType:id": "resourceId"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:workspaces-web:Region:AccountId:resourceType/resourceId"
]
},
}
```
**注意**
在建立資源之前,金鑰政策應該僅使用 `aws:SourceAccount` 條件,因為完整的資源 ARN 尚不存在。建立資源後,可以更新金鑰政策以包含 `aws:SourceArn`和 `kms:EncryptionContext`條件。
### 使用 的範圍 CMK 金鑰政策範例 `aws:SourceAccount`
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ""
}
}
}
]
}
```
### 使用 `aws:SourceArn`和資源萬用字元的範圍 CMK 金鑰政策範例
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:workspaces-web:::*/*"
}
}
}
]
}
```
### 使用 的範圍 CMK 金鑰政策範例 `aws:SourceArn`
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:workspaces-web:::portal/*",
"arn:aws:workspaces-web:::browserSettings/*",
"arn:aws:workspaces-web:::userSettings/*",
"arn:aws:workspaces-web:::ipAccessSettings/*"
]
}
}
]
}
```
**注意**
建立資源之後,您可以在 中`SourceArn`更新資源的萬用字元。如果您使用 WorkSpaces 安全瀏覽器建立需要 CMK 存取的新資源,請務必相應地更新其金鑰政策。
### 具有 `aws:SourceArn`和資源特定的範圍 CMK 金鑰政策範例 `EncryptionContext`
```
{
"Version": "2012-10-17",
"Statement": [
...,
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt portal",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:portal:id": ">"
}
}
},
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt userSettings",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:userSetttings:id": ""
}
}
},
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt browserSettings",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:browserSettings:id": ""
}
}
},
{
"Sid": "Allow WorkSpaces Secure Browser to encrypt/decrypt ipAccessSettings",
"Effect": "Allow",
"Principal": {
"Service": "workspaces-web.amazonaws.com"
},
"Action": [
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:GenerateDataKeyWithoutPlaintext",
"kms:Decrypt",
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "",
"kms:EncryptionContext:aws:workspaces-web:ipAccessSettings:id": ""
}
}
},
]
}
```
**注意**
在相同金鑰政策`EncryptionContext`中包含特定資源時,請務必建立個別的陳述式。如需詳細資訊,請參閱 [ kms:EncryptionContext:*context-key*](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-encryption-context) 下的使用多個加密內容對一節。
# Amazon WorkSpaces 安全瀏覽器的傳輸中加密
WorkSpaces 安全瀏覽器會透過 HTTPS 和 TLS 1.2 加密傳輸中的資料。您可以使用主控台或直接 API 呼叫,將請求傳送至 WorkSpaces。傳輸的請求資料會透過 HTTPS 或 TLS 連線傳送所有資料來進行加密。請求資料可以從 AWS 主控台 AWS Command Line Interface或 AWS SDK 傳輸到 WorkSpaces 安全瀏覽器。
預設會設定對傳輸中的資料進行加密,預設會設定安全連線 (HTTPS、TLS)。
# Amazon WorkSpaces 安全瀏覽器的金鑰管理
您可以提供自己的客戶受管 AWS KMS 金鑰來加密您的客戶資訊。如果您不提供,WorkSpaces 安全瀏覽器將使用 AWS 擁有的金鑰。您可以使用 AWS SDK 設置金鑰。
# Amazon WorkSpaces 安全瀏覽器中的網路流量隱私權
為了保護 WorkSpaces 安全瀏覽器與內部部署應用程式之間的連線,您可以使用 WorkSpaces 安全瀏覽器在您自己的 VPC 內啟動瀏覽器工作階段。內部部署應用程式的連線是在您自己的 VPC 中設定,且不受 WorkSpaces 安全瀏覽器控制。
為了保護帳戶之間的連線,WorkSpaces 安全瀏覽器會使用服務連結角色安全地連線至客戶帳戶,並代表客戶執行操作。如需詳細資訊,請參閱[使用 Amazon WorkSpaces 安全瀏覽器的服務連結角色](using-service-linked-roles.md)。
# Amazon WorkSpaces 安全瀏覽器中的使用者存取記錄
管理員能夠記錄 WorkSpaces 安全瀏覽器工作階段事件,包括開始、停止和 URL 造訪。這些日誌經過加密,並且透過 Amazon Kinesis Data Stream 安全交給客戶。使用者存取記錄的瀏覽資訊不會由 儲存 AWS,也不會在未設定記錄的情況下從工作階段中取得。在無痕模式下造訪 URL,或從瀏覽器歷程記錄中刪除的 URL,不會記錄在使用者存取日誌記錄中。