本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 限制 WorkSpaces 个人用户访问可信设备
<a name="trusted-devices"></a>

默认情况下，用户可以 WorkSpaces 从任何已连接到互联网的受支持设备进行访问。如果贵公司限制可信设备（也称为托管设备）访问企业数据，则可以限制对具有有效证书的可信设备的 WorkSpaces 访问。

**注意**  
目前，只有通过 Directory Service 包括 Simple AD、AD Connector 和托管的 Microsoft AD 目录来 AWS 管理您的 WorkSpaces 个人目录时，此功能才可用。

启用此功能后，将 WorkSpaces 使用基于证书的身份验证来确定设备是否可信。如果 WorkSpaces 客户端应用程序无法验证设备是否可信，则会阻止尝试登录或从该设备重新连接。

对于每个目录，您最多可以导入 2 个根证书。如果您导入两个根证书， WorkSpaces 则将它们都提供给客户端，客户端会找到第一个链接到其中一个根证书的有效匹配证书。

**支持的客户端**
+ 安卓，在安卓或 Android-compatible Chrome 操作系统上运行
+ macOS
+ Windows

**重要**  
以下客户端不支持此功能：  
WorkSpaces 适用于 Linux 或 iPad 的客户端应用程序
Third-party 客户端，包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。

**注意**  
在为特定客户端启用访问权限时，请确保阻止其他不需要的设备类型的访问权限。有关此操作的详细信息，请参阅下文的步骤 3.7。

## 第 1 步：创建证书
<a name="create-certificate"></a>

此功能需要两种类型的证书：内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。

**要求**
+ 根 Base64-encoded 证书必须是 CRT、CERT 或 PEM 格式的证书文件。
+ 根证书必须满足以下正则表达式模式，这意味着除最后一行外，每行编码的长度必须正好为 64 个字符：`-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`。
+ 设备证书必须包含公用名。
+ 设备证书必须包含以下扩展：`Key Usage: Digital Signature` 和 `Enhanced Key Usage: Client Authentication`。
+ 从设备证书到受信任根证书颁发机构的证书链中的所有证书都必须安装在客户端设备上。
+ 证书链支持的最大长度为 4。
+ WorkSpaces 目前不支持客户端证书的设备吊销机制，例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。
+ 使用强加密算法。建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA381 或带 ECDSA 的 SHA512。
+ 对于 macOS，如果设备证书位于系统钥匙串中，我们建议您授权 WorkSpaces 客户端应用程序访问这些证书。否则，用户必须在登录或重新连接时，输入密钥链凭证。

## 第 2 步：为受信任设备部署客户端证书
<a name="deploy-certificate"></a>

在用户可信设备上，您必须安装证书捆绑包，其中包含从设备证书到可信根证书颁发机构的证书链中的所有证书。您可以使用首选解决方案将证书安装到一批客户端设备；例如，System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意，SCCM 和 MDM 可以选择执行安全态势评估，以确定设备是否符合您的公司访问政策。 WorkSpaces

 WorkSpaces 客户端应用程序按如下方式搜索证书：
+ Android - 转至**设置**，选择**安全和位置**、**凭证**，然后选择**从 SD 卡安装**。
+ Android-compatible Chrome 操作系统——打开 Android 设置并依次选择 “**安全与位置**”、“**凭据**”，然后选择 “**从 SD 卡安装**”。
+ macOS - 在密钥链中搜索客户端证书。
+ Windows - 在用户和根证书存储中搜索客户端证书。

## 第 3 步：配置限制
<a name="configure-restriction"></a>

在受信任设备上部署客户端证书后，您可以在目录级别启用受限访问权限。这要求 WorkSpaces 客户端应用程序在允许用户登录设备之前验证设备上的证书 WorkSpace。

**配置限制**

1. 打开 WorkSpaces 控制台，网址为[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Access Control Options**。

1. 在 “**针对每种设备类型，指定哪些设备可以访问**” 下 WorkSpaces，选择 “**可信设备**”。

1. 最多导入 2 个根证书。对于每个根证书，请执行以下操作：

   1. 选择**导入**。

   1. 将证书文本复制到表单中。

   1. 选择**导入**。

1. 指定其他类型的设备是否可以访问 WorkSpaces。

   1. 向下滚动到 **Other Platforms (其他平台)** 部分。默认情况下， WorkSpaces Linux 客户端处于禁用状态，用户可以 WorkSpaces 从 iOS 设备、安卓设备、Web Access、Chromeb ook 和 PCoIP 零客户端设备访问它们。

   1. 选择要启用的设备类型并清除要禁用的设备类型。

   1. 要阻止来自所有选定设备类型的访问，请选择 **Block**。

1. 选择**更新并退出**。