WorkSpacesのディスク暗号化について

2017.12.22

ご機嫌いかがでしょうか、豊崎です。

WorkSpacesのディスク暗号化について調べてみましたので書いてみようと思います。

はじめに

WorkSpacesでは、システム領域のCドライブとユーザボリュームのDドライブについてKey Management Service(以降KMS)キーを使用して暗号化をすることができます。Volumeの暗号化では、以下が暗号化されます。

  • 保管時のデータ
  • VolumeへのディスクI/O
  • 暗号化されたVolumeから作られたスナップショット

どういう時に暗号化すべき?

暗号化を検討するケースとしては以下などがあると思われます。

  • WorkSpaces上にセキュアに取り扱うべき情報(個人情報や機密情報)がある場合
  • 社内ポリシーとして暗号化要件がある場合
  • PCIDSSなど第3者機関の認定の要件で必要な場合

注意点

Volumeを暗号化する上で、以下のような制約が発生する点には注意が必要です。

  • 同じKMSキーで暗号化できるのは最大で30のAmazon WorkSpacesボリューム
  • KMSキーのライフサイクル管理したいのであればKMS Customer Master Key(以降CMK)を使用する
  • ルートボリュームとユーザボリュームの暗号化にはそれぞれの単一のKMSキーが使用されます
  • 一度、暗号化を有効にしたら暗号化を無効にはできません。
  • IOPSに最小限の影響がでる
  • 暗号化されたWorkSpacesからはカスタムイメージを作成できない
  • 暗号化されたWorkSpacesを再起動、再構築するにはKMS CMKが有効である必要がある

やってみた

まず、本記事では主にWorkSpacesのVolume暗号化について記載をするため、WorkSpacesの作成自体の手順については別記事をご参照ください。

【新機能】Amazon WorkSpacesでWindows 10 desktop experience環境が利用できるようになりました #reinvent

さて、それでは以下のAWSドキュメントを参考にやってみたいと思います。 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/encrypt-workspaces.html

まず前提条件として以下のような記載があります。

暗号化プロセスを開始する前に、AWS KMS CMKが必要となります。

今回はKMSを使用して作成したCMKキーを使用してみます。
※:今回KMSとWorkSpacesの操作権限を付与したIAMユーザを事前に用意しています。また、管理ユーザと利用ユーザは同じIAMユーザを利用しています。

さっそくKMSでCMKを作成して行きます。

以下からキーの作成をクリックします。
リージョンがWorkSpacesを作成するリージョンであることを確認します。
今回は東京リージョンを選択しています。

キーのエイリアスと説明を入力します。

タグは任意です。

事前に用意しておいたIAMユーザを管理者として選択します。

同様に事前に用意しておいたIAMユーザを利用者として選択します。

そしてCMKキーが作成されたことを確認します。

次にWorkSpacesを起動(作成)して行きます。

ウィザードにしたがって、Volumeの暗号化の画面に進みます。 CドライブとDドライブの暗号化にチェックを入れて、先ほど作成したKMS CMKを選択します。 そのまま、ウィザードにしたがって、WorkSpacesを作成します。

ドキュメントでは暗号化されたWorkSpacesのプロビジョニングには1時間程度かかると書いてあったのですが、 実際には30分程度で作成が完了しました。
「暗号化されたボリューム」にCドライブとDドライブが表示されていることを確認します。また、「暗号化キー」に先ほど作成したKMS CMKが表示されていることも合わせて確認をしましょう。

その後、届いたメールからパスワードの設定をして、WrokSpacesにログインしてみます。 WorkSpacesClientをMacにインストールしています。

無事ログインできました。

さいごに

WorkSpacesのVolume暗号化は非常に簡単に設定することができました。要件に合わせて適切に暗号化を選択していただければと思います。この記事が誰かのお役に立てば幸いです。