亚马逊的跨区域重定向 WorkSpaces - 亚马逊 WorkSpaces
先决条件限制第 1 步:创建连接别名(可选)步骤 2:与其他账户共享连接别名步骤 3:将连接别名与每个区域中的目录相关联步骤 4:配置您的 DNS 服务并设置 DNS 路由策略步骤 5:将连接字符串发送给您的WorkSpaces用户跨区域重定向期间会发生什么取消连接别名与目录的关联将连接别名取消共享删除连接别名关联和取消关联连接别名的 IAM 权限停止使用跨区域重定向时的安全注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊的跨区域重定向 WorkSpaces

借助亚马逊的跨区域重定向功能WorkSpaces,您可以使用完全限定域名 (FQDN) 作为您的注册码。WorkSpaces跨区域重定向与域名系统 (DNS) 路由策略配合使用,可在主域名系统 (DNS) 路由策略WorkSpaces不可用WorkSpaces时将WorkSpaces用户重定向到备选方案。例如,通过使用 DNS 故障转移路由策略,当您的用户无法访问主Amazon区域WorkSpaces中的用户时,您可以将他们连接到指定的故障转移区域。WorkSpaces

您可以将跨区域重定向与 DNS 故障转移路由策略一起使用来实现区域弹性和高可用性。您也可以将此功能用于其他目的,例如流量分配或WorkSpaces在维护期间提供替代方案。如果您使用 Amazon Route 53 进行您的 DNS 配置,则可以利用运行状况检查来监控亚马逊CloudWatch警报。

要使用此功能,您必须WorkSpaces为两个(或更多)Amazon区域中的用户设置设置。您还必须创建称为连接别名的基于 FQDN 的特殊注册代码。这些连接别名替换了您的用户的区域特定的注册代码。WorkSpaces(特定区域的注册码仍然有效;但是,要使跨区域重定向生效,您的用户必须改用 FQDN 作为注册码。)

要创建连接别名,请指定一个连接字符串(即 FQDN),如www.example.comdesktop.example.com。要使用此域进行跨区域重定向,必须将其注册到域注册商并为您的域配置 DNS 服务。

创建连接别名后,您可以将其与不同区域中的WorkSpaces目录相关联,以创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域中发生中断,则 DNS 故障转移路由策略会将WorkSpaces用户重定向到您在故障转移区域中为他们设置的策略。WorkSpaces

要指定主区域和故障转移区域,请在配置 DNS 故障转移路由策略时定义区域优先级(主要或次要优先级)。

先决条件

  • 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域名注册商,则可以使用 Amazon Route 53 来注册您的域名。有关更多信息,请参阅 Amazon Route 53 开发人员指南中的使用 Amazon Route 53 注册域名

    重要

    您必须拥有使用与亚马逊一起使用的任何域名的所有必要权限WorkSpaces。您同意该域名不违反或侵犯任何第三方的合法权利或以其他方式违反适用法律。

    您的域名的总长度不能超过 255 个字符。有关域名的更多信息,请参阅 Amazon Route 53 开发者指南中的 DNS 域名格式

    跨区域重定向适用于公有域名和私有 DNS 区域中的域名。如果您使用的是私有 DNS 区域,则必须向包含您的虚拟私有私有云 (VPC) 提供连接WorkSpaces。如果您的WorkSpaces用户尝试使用来自公共互联网的私有 FQDN,则WorkSpaces客户端应用程序会返回以下错误消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必须设置您的 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与您的 DNS 路由策略配合使用,可根据需要重定向您的WorkSpaces用户。

  • 在您要设置跨区域重定向的每个主区域和故障转移区域中,WorkSpaces为用户创建。确保在每个区域的每个WorkSpaces目录中使用相同的用户名。为了保持您的 Active Directory 用户数据同步,我们建议使用 AD Connector 指向您WorkSpaces为用户设置的每个区域中的同一 Active Directory。有关创建的更多信息WorkSpaces,请参阅 Launch WorkSpaces

    重要

    如果您将 Microsoft AD Amazon 托管目录配置为多区域复制,则只能注册主区域中的目录以供在亚马逊WorkSpaces使用。尝试在复制区域中注册该目录以供亚马逊使用,WorkSpaces将失败。在复制区域WorkSpaces内,亚马逊不支持使用Amazon托管 Microsoft AD 进行多区域复制。

    完成跨区域重定向设置后,必须确保您的WorkSpaces用户使用的是基于 FQDN 的注册码,而不是其主要区域的基于区域的注册码(例如,WSpdx+ABC12D)。为此,必须使用中的步骤向他们发送一封包含 FQDN 连接字符串的电子邮件。步骤 5:将连接字符串发送给您的WorkSpaces用户

    注意

    如果您在WorkSpaces控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新WorkSpace用户时,都会WorkSpaces自动向您的用户发送带有基于区域的注册码的邀请电子邮件。这意味着,当您在故障转移区域中WorkSpaces为用户进行设置时,您的用户也将自动收到有关这些故障转移的电子邮件WorkSpaces。你需要指示你的用户忽略带有基于区域的注册码的电子邮件。

限制

  • 跨区域重定向不会自动检查与主区域的连接是否失败,然后切WorkSpaces换到另一个区域。换句话说,不发生自动故障转移。

    要实现自动故障转移方案,必须将其他机制与跨区域重定向结合使用。例如,您可以将 Amazon Route 53 故障转移 DNS 路由策略与 Route 53 运行状况检查配对,以监控主区域的CloudWatch警报。如果主区域中的CloudWatch警报被触发,则 DNS 故障转移路由策略会将WorkSpaces用户重定向到您在故障转移区域中为他们设置的策略。WorkSpaces

  • 当您使用跨区域重定向时,用户数据不会WorkSpaces在不同区域之间保存。为确保用户可以从不同的区域访问他们的文件,我们建议您WorkDocs为您的WorkSpaces用户设置亚马逊,前提WorkDocs是您的主区域和故障转移区域支持亚马逊。有关亚马逊的更多信息WorkDocs,请参阅《亚马逊WorkDocs管理指南》中的 Amazon WorkDocs Driv e。有关为您的WorkSpace用户启用亚马逊WorkDocs的更多信息,请参阅向... 注册一个目录 WorkSpaces启用亚马逊 WorkDocs Amazon管理微软广告。有关WorkSpaces用户如何在其WorkDocsWorkSpaces上设置亚马逊的信息,请参阅《亚马逊WorkSpaces用户指南》WorkDocs中的 “整合”。

  • 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows 客户端应用程序支持跨区域重定向。WorkSpaces

  • 除 Amazon GovCloud (US) Region s 区域重定向和中国(宁夏)Amazon区域之外的所有区域均已推出 Amazon WorkSpaces 重定向。

第 1 步:创建连接别名

使用相同的Amazon账户,在您要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

创建连接别名

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择您的主Amazon区域。WorkSpaces

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向下,选择创建连接别名

  5. 对于连接字符串,输入 FQDN,例如www.example.comdesktop.example.com。连接字符串最大长度为 255 个字符。它只能包含字母(A-Z 和 a-z)、数字(0-9)和以下字符: .-

    重要

    创建连接字符串后,它将始终与您的Amazon帐户相关联。您无法使用不同的账户重新创建相同的连接字符串,即使您从原始账户中删除了所有实例也是如此。连接字符串是为您的账户全局保留的。

  6. (可选)在 “标签” 下,指定要与连接别名关联的任何标签。

  7. 选择创建连接别名

  8. 重复这些步骤,但在中步骤 2,请务必为您的故障转移区域选择故障转移区域WorkSpaces。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必使用相同的Amazon账户在每个故障转移区域中创建连接别名。

(可选)步骤 2:与其他账户共享连接别名

您可以与同一 Amazon 区域中的另一个 Amazon 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除该别名。

注意

对于每个 Amazon 区域,只能将一个目录与连接别名关联。如果您与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

与其他Amazon账户共享连接别名

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择要与另一个Amazon账户共享连接别名的Amazon区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作共享/取消共享连接别名。

    您也可以从连接别名的详细信息页面共享别名。为此,请在 “共享帐户” 下选择 “共享连接别名”。

  5. 在 “共享/取消共享连接别名” 页面的 “与账户共享” 下,输入您要在此区域共享连接别名的Amazon账户 ID。Amazon

  6. 选择 Share

步骤 3:将连接别名与每个区域中的目录相关联

将相同的连接别名与两个或更多区域中的WorkSpaces目录相关联,会在目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如,如果您的主要区域是美国西部(俄勒冈州)区域,您可以将美国西部(俄勒冈州)区域中的WorkSpacesWorkSpaces目录与美国东部(弗吉尼亚州北部)区域中的目录配对。如果主区域出现故障,则跨区域重定向与您的 DNS 故障转移路由策略以及您在美国西部(俄勒冈)区域进行的任何运行状况检查配合使用,将您的用户重定向到WorkSpaces您在美国东部(弗吉尼亚北部)地区为他们设置的用户。有关跨区域重定向体验的更多信息,请参阅。跨区域重定向期间会发生什么

注意

如果您的WorkSpaces用户距离故障转移区域很远(例如,数千英里之外),则他们的WorkSpaces体验响应速度可能比平时差。要查看从您所在位置到各个Amazon地区的往返时间 (RTT),请使用 Amazon Connec WorkSpacestion Health 检查

将连接别名与目录相关联

对于每个 Amazon 区域,只能将连接别名与一个目录关联。如果您已与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择您的主Amazon区域。WorkSpaces

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作,关联/取消关联。

    您也可以将连接别名与连接别名的详细信息页面上的目录相关联。为此,请在 “关联目录” 下选择 “关联目录”。

  5. 在 “关联/取消关联” 页面上,在 “与目录关联” 下,选择要将您的连接别名与该区域关联的目录。Amazon

    注意

    如果您将 Microsoft AD Amazon 托管目录配置为多区域复制,则只有主区域中的目录可以用于 Amazon WorkSpaces。尝试在 Amazon 的复制区域中使用该目录WorkSpaces将失败。在复制区域WorkSpaces内,亚马逊不支持使用Amazon托管 Microsoft AD 进行多区域复制。

  6. 选择 Associate

  7. 重复这些步骤,但在中步骤 2,请务必为您的故障转移区域选择故障转移区域WorkSpaces。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。确保将相同的连接别名与每个故障转移区域中的目录相关联。

步骤 4:配置您的 DNS 服务并设置 DNS 路由策略

创建连接别名和连接别名关联对后,您可以为连接字符串中使用的域配置 DNS 服务。为此,您可以使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商,则您可以使用 Amazon Route 53。有关更多信息,请参阅 Amazon Route 53 开发人员指南中的将 Amazon Route 53 配置为您的 DNS 服务

为您的域配置 DNS 服务后,必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查来确定您的用户是否可以在特定区域连接到他们WorkSpaces。如果您的用户无法连接,您可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息,请参阅 Amazon Route 53 开发者指南中的选择路由策略。有关亚马逊 Route 53 运行状况检查的更多信息,请参阅亚马逊 Route 53 开发者指南中的亚马逊 Route 53 如何检查您的资源运行状况

设置 DNS 路由策略时,需要连接标识符来关联连接别名和主区域中的WorkSpaces目录。您还需要连接标识符来关联连接别名与故障转移区域或区域中的WorkSpaces目录之间的关联。

注意

连接标识符与连接别名 ID 不同。连接别名 ID 以开头wsca-

查找连接别名关联的连接标识符

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择您的主Amazon区域。WorkSpaces

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串文本(FQDN)以查看连接别名详细信息页面。

  5. 在连接别名的详细信息页面的关联目录下,记下显示的连接标识符值。

  6. 重复这些步骤,但在中步骤 2,请务必为您的故障转移区域选择故障转移区域WorkSpaces。如果您有多个故障转移区域,请重复这些步骤以查找每个故障转移区域的连接标识符。

示例:使用 Route 53 设置 DNS 故障转移路由策略

以下示例为您的域设置一个公有托管区域。但是,您可以设置公有或私有托管区域。有关设置托管区域的更多信息,请参阅 Amazon Route 53 开发人员指南中的使用托管区域

此示例还使用了故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅 Amazon Route 53 开发者指南中的选择路由策略

在 Route 53 中设置故障转移路由策略时,需要对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅 Amazon Route 53 开发人员指南中的创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移以及创建、更新和删除运行状况检查

如果您想在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报,则还需要设置CloudWatch警报以监控主区域中的资源。有关的更多信息CloudWatch,请参阅什么是亚马逊CloudWatch?亚马逊CloudWatch用户指南中。有关 Route 53 如何在运行状况检查中使用CloudWatch警报的更多信息,请参阅 Amazon Route 53 开发者指南中的 Route 53 如何确定用于监控CloudWatch警报的运行状况检查和监控警CloudWatch报。

要在 Route 53 中设置 DNS 故障转移路由策略,首先需要为您的域创建托管区域。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosteste d zones zones(托管区域),然后选择创建托管区域

  3. 在 “已创建托管区域” 页面上,在 “域名” 下输入您的域名(例如example.com)。

  4. 在 “类型” 下,选择公共托管区域

  5. 选择 Create Hosted Zone(创建托管区域)。

然后为您的主要区域创建运行状况检查。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择运行He alth 检查,然后选择创建运行状况检查

  3. 配置运行状况检查页面上,输入运行状况检查的名称。

  4. 对于要监控的内容,选择端点其他运行状况检查的状态(计算出的运行状况检查)CloudWatch警报状态

  5. 根据您在上一步中选择的内容,配置您的运行状况检查,然后选择下一步。

  6. 在 “运行状况检查失败时获得通知” 页面上,为 “创建警报” 选择 “是” 或 “否”。

  7. 选择创建运行状况检查

创建运行状况检查后,您可以创建 DNS 故障转移记录。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域)

  3. 托管区域页面上,选择您的域名。

  4. 在您的域名的详细信息页面上,选择创建记录

  5. “选择路由策略” 页面上,选择 “故障转移”,然后选择 “下一步”。

  6. 配置记录页面的基本配置下,在记录名称下输入您的子域名。例如,如果您的 FQDN 是desktop.example.com,请输入desktop

    注意

    如果要使用根域,请将记录名称留空。但是,我们建议使用子域名,例如desktopworkspaces,除非您已将该域名设置为仅供您WorkSpaces使用。

  7. 对于 “记录类型”,选择 TXT — 用于验证电子邮件发件人和应用程序特定值

  8. TTL 秒设置保留为默认值。

  9. 要添加到您的_domain_nam e的故障转移记录下,选择定义故障转移记录。

现在,您需要为主区域和故障转移区域设置故障转移记录。

示例:为您的主区域设置故障转移记录

  1. 在 “定义故障转移记录” 对话框中,对于 Valuepending dress or or typendin g type adress or type t ype

  2. 将打开一个框供您输入示例文本条目。输入您的主要区域的连接别名关联的连接标识符。

  3. 对于 “故障转移记录类型”,选择 “主要”。

  4. 要进行 H ealth 检查,请选择您为主要区域创建的运行状况检查。

  5. 在 “记录 ID” 中,输入描述以标识此记录。

  6. 选择 “定义故障转移记录”。您的新故障转移记录显示在 “故障转移记录” 下方,以添加到您的_domain_name

示例:为您的故障转移区域设置故障转移记录

  1. 要添加到您的_domain_nam e的故障转移记录下,选择定义故障转移记录。

  2. 在 “定义故障转移记录” 对话框中,对于 Valuepending dress or or typendin g type adress or type t ype

  3. 将打开一个框供您输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。

  4. 对于 “故障转移记录类型”,选择 “辅助”。

  5. (可选)要进行 H ealth 检查,请输入您为故障转移区域创建的运行状况检查。

  6. 在 “记录 ID” 中,输入描述以标识此记录。

  7. 选择 “定义故障转移记录”。您的新故障转移记录显示在 “故障转移记录” 下方,以添加到您的_domain_name

如果您为主区域设置的运行状况检查失败,则 DNS 故障转移路由策略会将WorkSpaces用户重定向到故障转移区域。Route 53 继续监控您的主要区域的运行状况检查,当您的主要区域的运行状况检查不再失败时,Route 53 会自动将您的WorkSpaces用户重定向WorkSpaces回主区域。

有关创建 DNS 记录的更多信息,请参阅 Amazon Route 53 开发人员指南中的使用 Amazon Route 53 控制台创建记录。有关配置 DNS TXT 记录的更多信息,请参阅 Amazon Route 53 开发人员指南中的 TXT 记录类型

步骤 5:将连接字符串发送给您的WorkSpaces用户

为确保在中断期间根据需要重定向您的用户,您必须WorkSpaces将连接字符串 (FQDN) 发送给您的用户。如果您已经向WorkSpaces用户发放了基于区域的注册码(例如WSpdx+ABC12D),则这些代码仍然有效。但是,要使跨区域重定向起作用,您的WorkSpaces用户在WorkSpaces客户端应用程序WorkSpaces中注册时必须使用连接字符串作为注册码。

重要

如果您在WorkSpaces控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新WorkSpace用户时,都会WorkSpaces自动向您的用户发送带有基于区域的注册码(例如WSpdx+ABC12D)的邀请电子邮件。即使你已经设置了跨区域重定向,自动发送的 new 邀请电子邮件也WorkSpaces包含这个基于区域的注册码,而不是你的连接字符串。

要确保您的WorkSpaces用户使用的是连接字符串而不是基于区域的注册码,您必须使用以下步骤向他们发送另一封包含连接字符串的电子邮件。

将连接字符串发送给您的WorkSpaces用户

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择您的主Amazon区域。WorkSpaces

  3. 在导航窗格中,选择 WorkSpaces

  4. WorkSpaces页面上,使用搜索框搜索要向其发送邀请的用户,然后WorkSpace从搜索结果中选择相应的用户。WorkSpace一次只能选择一个。

  5. 依次选择 Actions (操作)Invite User (邀请用户)

  6. 邀请用户加入他们的WorkSpaces页面上,您将看到要发送给用户的电子邮件模板。

  7. (可选)如果有多个连接别名与您的WorkSpaces目录相关联,请从连接别名字符串列表中选择您希望用户使用的连接字符串。电子邮件模板将更新以显示您选择的字符串。

  8. 使用您自己的电子邮件应用程序复制电子邮件模板文本并将其粘贴到发送给用户的电子邮件中。在您的电子邮件应用程序中,您可以根据需要修改文本。邀请电子邮件准备就绪后,将其发送给您的用户。

跨区域重定向期间会发生什么

如果发生故障,您的WorkSpaces用户将与主区域WorkSpaces的用户断开连接。当他们尝试重新连接时,他们收到以下错误消息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然后,系统会提示您的用户再次登录。如果他们使用 FQDN 作为注册代码,那么当他们再次登录时,DNS 故障转移路由策略会将其重定向到您在故障转移区域中为他们设置WorkSpaces的 DNS 故障转移路由策略。

注意

在某些情况下,用户再次登录时可能无法重新连接。如果出现这种情况,他们必须关闭并重新启动WorkSpaces客户端应用程序,然后尝试再次登录。

取消连接别名与目录的关联

只有拥有目录的账户才能取消连接别名与该目录的关联。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录相关联,则必须使用该账户将连接别名与目录取消关联。

取消连接别名与目录的关联

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择包含要将关联的连接别名的Amazon区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作,关联/取消关联。

    您也可以将连接别名与连接别名详细信息页面分开。为此,请在 “关联目录” 下选择 “取消关联”。

  5. 在 “关联/取消关联” 页面上,选择 “取消关联”。

  6. 在要求您确认取消关联的对话框中,选择取消关联。

将连接别名取消共享

只有连接别名的所有者才能取消共享该别名。如果您取消与账户共享连接别名,则该账户无法再将连接别名与目录相关联。

取消共享连接别名

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择包含要将共享的连接别名的Amazon区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作共享/取消共享连接别名。

    您也可以从连接别名详细信息页面取消共享连接别名。为此,请在 “共享帐户” 下选择 “取消共享”。

  5. 共享/取消共享连接别名页面上,选择取消共享。

  6. 在要求您确认取消共享连接别名的对话框中,选择取消共享。

删除连接别名

只有当连接别名归您的账户所有且不与目录关联时,您才能删除该别名。

如果您与其他账户共享了连接别名,并且该账户已将该连接别名与该账户拥有的目录相关联,则该账户必须先取消连接别名与该目录的关联,然后才能删除连接别名。

重要

创建连接字符串后,它将始终与您的Amazon帐户相关联。您无法使用不同的账户重新创建相同的连接字符串,即使您从原始账户中删除了所有实例也是如此。连接字符串是为您的账户全局保留的。

警告

如果您不再使用 FQDN 作为WorkSpaces用户的注册码,则必须采取某些预防措施以防止潜在的安全问题。有关更多信息,请参阅停止使用跨区域重定向时的安全注意事项

如何删除连接别名

  1. 通过 https://console.aws.amazon.com/workspaces/ 打开WorkSpaces主机。

  2. 在控制台的右上角,选择包含要删除连接别名的Amazon区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择删除。

    您也可以从连接别名详细信息页面删除连接别名。为此,请选择页面右上角的 Delete

    注意

    如果禁用 “删除” 按钮,请确保您是别名的所有者,并确保该别名未与目录相关联。

  5. 在要求您确认删除的对话框中,选择删除

关联和取消关联连接别名的 IAM 权限

如果您使用 IAM 用户关联或取消关联连接别名,则该用户必须拥有和的workspaces:AssociateConnectionAlias权限。workspaces:DisassociateConnectionAlias

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
重要

如果您正在为不拥有连接别名的账户创建用于关联或取消关联连接别名的 IAM 策略,则无法在 ARN 中指定账户 ID。相反,您必须使用*账户 ID,如以下示例策略所示。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

只有当账户拥有要关联或取消关联的连接别名时,您才能在 ARN 中指定账户 ID。

有关使用 IAM 的更多信息,请参阅 适用于 WorkSpaces 的 Identity and Access Management

停止使用跨区域重定向时的安全注意事项

如果您不再使用 FQDN 作为WorkSpaces用户的注册码,则必须采取以下预防措施以防止潜在的安全问题:

  • 请务必向您的WorkSpaces用户颁发其WorkSpaces目录的特定区域注册码(例如WSpdx+ABC12D),并指示他们停止使用 FQDN 作为注册码。

  • 如果您仍然拥有此域,请务必更新您的 DNS TXT 记录以删除此域,这样它就不会被网络钓鱼攻击所利用。如果您从 DNS TXT 记录中删除此域,并且您的WorkSpaces用户尝试使用 FQDN 作为注册码,则他们的连接尝试将无害地失败。

  • 如果您不再拥有此域名,则您的WorkSpaces用户必须使用其特定区域的注册码。如果他们继续尝试使用 FQDN 作为注册码,他们的连接尝试可能会被重定向到恶意站点。