的跨区域重定向Amazon WorkSpaces - Amazon WorkSpaces
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

的跨区域重定向Amazon WorkSpaces

利用 Amazon WorkSpaces 中的跨区域重定向功能,您可以使用完全限定域名 (FQDN) 作为 WorkSpaces 的注册代码。 跨区域重定向与您的域名系统 (DNS) 路由策略配合使用,以便在您的 WorkSpaces 用户主 WorkSpaces 不可用时将其重定向到备用 WorkSpaces。例如,通过使用 DNS 故障转移路由策略,您可以在用户无法访问主区域中的 WorkSpaces 时将其连接到指定故障转移 AWS 区域中的 WorkSpaces。

您可以使用跨区域重定向以及 DNS 故障转移路由策略来实现区域弹性和高可用性。您还可以将此功能用于其他用途,例如流量分配或在维护期内提供替代 WorkSpaces。如果您对 DNS 配置使用 Amazon Route 53,则可以利用监控 Amazon CloudWatch 警报的运行状况检查。

要使用此功能,您必须在两个(或更多)WorkSpaces 区域中为您的用户设置 AWS。您还必须创建称为连接别名 的基于 FQDN 的特殊注册代码。这些连接别名将替换您的 WorkSpaces 用户的区域特定的注册代码。(特定于区域的注册代码仍然有效;但是,要使跨区域重定向正常工作,您的用户必须改用 FQDN 作为其注册代码。)

要创建连接别名,请指定一个连接字符串,它是您的 FQDN,例如 www.example.comdesktop.example.com。 要使用此域进行跨区域重定向,您必须向域注册商注册它,并为您的域配置 DNS 服务。

创建连接别名后,您可以将它们与您的不同区域中的 WorkSpaces 目录关联,以创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域中发生中断,您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为其设置的 WorkSpaces。

要指定您的主区域和故障转移区域,您可以在配置 DNS 故障转移路由策略时定义区域优先级(主要或辅助)。

Prerequisites

  • 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域注册商,则可以使用 Amazon Route 53 注册您的域。有关更多信息,请参阅 中的Amazon Route 53使用 注册域名。Amazon Route 53 开发人员指南

    重要

    您必须拥有与 Amazon WorkSpaces 结合使用的任何域名的所有必要权限。您同意该域名不会侵犯或侵犯任何第三方的合法权利,也不会违反适用法律。

    您的域名的总长度不能超过 255 个字符。有关域名的更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/DomainNameFormat.html 中的 DNS 域名格式Amazon Route 53 开发人员指南。

    跨区域重定向可同时在私有 DNS 区域中使用公有域名和域名。如果您使用的是私有 DNS 区域,则必须向包含您的 WorkSpaces 的 Virtual Private Cloud (VPC) 提供虚拟专用网络 (VPN) 连接。 如果您的 WorkSpaces 用户尝试使用来自公共 Internet 的私有 FQDN,则 WorkSpaces 客户端应用程序将返回以下错误消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与 DNS 路由策略结合使用,以根据需要重定向 WorkSpaces 用户。

  • 在要设置跨区域重定向的每个主区域和故障转移区域中,为您的用户创建 WorkSpaces。确保您在每个区域的每个 WorkSpaces 目录中使用相同的用户名。要使 Active Directory 用户数据保持同步,建议您使用 AD Connector 指向您已为用户设置 WorkSpaces 的每个区域中的同一 Active Directory。有关创建 WorkSpaces 的更多信息,请参阅启动 WorkSpaces

    当您完成设置跨区域重定向时,必须确保您的 WorkSpaces 用户在其主要区域中使用的是基于 FQDN 的注册代码,而不是基于区域的注册代码(例如 WSpdx+ABC12D)。为此,您必须使用步骤 5:将连接字符串发送给您的 WorkSpaces 用户中的过程向其发送一封带有 FQDN 连接字符串的电子邮件。

    注意

    如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新的 WorkSpaces 时,WorkSpace 都会自动向用户发送一封包含基于区域的注册代码的邀请电子邮件。 这意味着,当您在故障转移区域中为用户设置 WorkSpaces 时,您的用户也会自动收到这些故障转移 WorkSpaces 的电子邮件。 您需要指示您的用户忽略包含基于区域的注册代码的电子邮件。

Limitations

  • 跨区域重定向不会自动检查与主区域的连接是否已失败,然后使您的 WorkSpaces 故障转移到另一个区域。换句话说,不会进行自动故障转移。

    要实现自动故障转移方案,您必须将某种其他机制与跨区域重定向结合使用。例如,您可以使用 Amazon Route 53 故障转移 DNS 路由策略,该策略与监控主区域中的 Route 53 警报的 CloudWatch 运行状况检查配对。如果触发了主区域中的 CloudWatch 警报,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为其设置的 WorkSpaces。

  • 在使用跨区域重定向时,不会在不同区域的 WorkSpaces 之间保留用户数据。为确保用户可以访问不同区域中的文件,我们建议您为 Amazon WorkDocs 用户设置 WorkSpaces Drive。

  • 仅 Linux、macOS 和 Windows WorkSpaces 客户端应用程序的版本 3.0.9 或更高版本支持跨区域重定向。

  • 跨区域重定向适用于所有提供 的 Amazon WorkSpaces AWS 区域,但AWS GovCloud(美国西部) 区域和中国 (宁夏) 区域除外。

步骤 1:创建连接别名

使用相同的 AWS 账户,在要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

创建连接别名

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,为您的 AWS 选择主 WorkSpaces 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection (跨区域重定向) 下,选择 Create connection alias (创建连接别名)

  5. 对于 Connection string (连接字符串),请输入 FQDN,例如 www.example.comdesktop.example.com。 连接字符串最多可包含 255 个字符。它只能包含字母(A-Z 和 a-z)、数字 (0-9) 和以下字符:.-

    重要

    在创建连接字符串后,它始终与您的 AWS 账户关联。您无法使用其他账户重新创建同一连接字符串,即使您从原始账户中删除了该字符串的所有实例。连接字符串是为您的账户全局预留的。

  6. (可选)在 Tags (标签) 下,指定要与连接别名关联的任何标签。

  7. 选择 Create connection alias (创建连接别名)

  8. 重复这些步骤,但在 步骤 2 中,请确保为您的 WorkSpaces 选择故障转移区域。 如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤。请确保使用相同的 AWS 账户在每个故障转移区域中创建连接别名。

(可选)步骤 2:与其他账户共享连接别名

您可以与同一 AWS 区域中的另一个 AWS 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除别名。

注意

对于每个 AWS 区域,只能将一个目录与连接别名关联。如果您与其他 AWS 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

与其他 AWS 账户共享连接别名

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,选择要与其他 AWS 账户共享连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection associations (跨区域重定向关联) 下,选择连接字符串,然后选择 Actions (操作)Share/unshare connection alias (共享/取消共享连接别名)

    您还可以从连接别名的详细信息页面中共享别名。为此,请在 Shared account (共享账户) 下,选择 Share connection alias (共享连接别名)

  5. Share/unshare connection alias (共享/取消共享连接别名) 页面上的 Share with an account (与账户共享) 下,输入要在此 AWS 区域中与之共享连接别名的 AWS 账户 ID。

  6. 选择 Share

步骤 3:将您的连接别名与每个区域中的目录关联

将相同连接别名与两个或更多区域中的 WorkSpaces 目录关联,会在这些目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如,如果您的主要区域是 美国西部(俄勒冈)区域,则可以将 WorkSpaces 中的 美国西部(俄勒冈)区域 目录与 WorkSpaces 中的 美国东部(弗吉尼亚北部)地区 目录配对。如果主区域中发生中断,则跨区域重定向将与您的 DNS 故障转移路由策略以及在 美国西部(俄勒冈)区域 上实施的任何运行状况检查结合使用,以将您的用户重定向到您在 WorkSpaces 中为他们设置的 美国东部(弗吉尼亚北部)地区。有关跨区域重定向体验的更多信息,请参阅跨区域重定向期间发生的事件

注意

如果您的 WorkSpaces 用户距故障转移区域有很大的距离(例如,数千毫秒),则其 WorkSpaces 体验的响应速度可能低于平常。要检查从您所在位置到各个 AWS 区域的往返时间 (RTT),请使用 Amazon WorkSpaces 连接运行状况检查

将连接别名与目录关联

对于每个 AWS 区域,只能将连接别名与一个目录关联。如果您已与其他 AWS 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,为您的 AWS 选择主 WorkSpaces 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection associations (跨区域重定向关联) 下,选择连接字符串,然后选择 Actions (操作)Associate/disassociate (关联/取消关联)

    您还可以从连接别名的详细信息页面中将连接别名与目录关联。为此,请在 Associated directory (关联目录) 下,选择 Associate directory (关联目录)

  5. Associate/disassociate (关联/取消关联) 页面上的 Associate to a directory (关联到目录) 下,选择您希望在此 AWS 区域中将您的连接别名与之关联的目录。

  6. 选择 Associate

  7. 重复这些步骤,但在 步骤 2 中,请确保为您的 WorkSpaces 选择故障转移区域。 如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤。请确保将相同的连接别名与每个故障转移区域中的某个目录关联。

步骤 4:配置 DNS 服务并设置 DNS 路由策略

创建连接别名和连接别名关联对之后,您可以为连接字符串中使用的域配置 DNS 服务。您可以使用任何 DNS 服务提供商来实现此目的。如果您还没有首选 DNS 服务提供商,则可以使用 Amazon Route 53。有关更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/dns-configuring.html 中的将 Amazon Route 53 配置为 DNS 服务Amazon Route 53 开发人员指南。

为域配置 DNS 服务后,必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查确定您的用户是否可以连接到特定区域中的 WorkSpaces。如果您的用户无法连接,您可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/routing-policy.html 中的选择路由策略Amazon Route 53 开发人员指南。有关 Amazon Route 53 运行状况检查的更多信息,请参阅 中的 Amazon Route 53 如何检查您的资源的运行状况Amazon Route 53 开发人员指南

在设置 DNS 路由策略时,您需要连接别名与主区域中的 目录之间的关联的连接标识符WorkSpaces。您还需要故障转移区域中的一个或多个连接别名与 WorkSpaces 目录之间关联的连接标识符。

注意

连接标识符与连接别名 ID 不同。连接别名 ID 以 wsca- 开头。

查找连接别名关联的连接标识符

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,为您的 WorkSpaces 选择主 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection associations (跨区域重定向关联) 下,选择连接字符串文本(FQDN)以查看连接别名详细信息页面。

  5. 在连接别名的详细信息页面上的 Associated directory (关联目录) 下,记下 Connection identifier (连接标识符) 所显示的值。

  6. 重复这些步骤,但在 步骤 2 中,请确保为您的 WorkSpaces 选择故障转移区域。 如果您有多个故障转移区域,请重复这些步骤以查找每个故障转移区域的连接标识符。

示例:使用 Route 53 设置 DNS 故障转移路由策略

以下示例为您的域设置一个公有托管区域。但是,您可以设置公有或私有托管区域。有关设置托管区域的更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/hosted-zones-working-with.html 中的使用托管区域Amazon Route 53 开发人员指南。

此示例还使用故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/routing-policy.html 中的选择路由策略Amazon Route 53 开发人员指南。

在 Route 53 中设置故障转移路由策略时,需要主区域的运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅 中的创建 Amazon Route 53 运行状况检查并配置 DNS 故障转移创建、更新和删除运行状况检查。Amazon Route 53 开发人员指南

如果您要将 Amazon CloudWatch 警报用于 Route 53 运行状况检查,则还需要设置 CloudWatch 警报以监控您的主区域中的资源。有关 CloudWatch 的更多信息,请参阅 中的CloudWatch什么是 Amazon ?。Amazon CloudWatch 用户指南有关 Route 53 如何在其运行状况检查中使用 CloudWatch 警报的更多信息,请参阅 中的 CloudWatchRoute 53 如何确定监控 警报的运行状况检查的状态和CloudWatch监控 警报。Amazon Route 53 开发人员指南

要在 Route 53 中设置 DNS 故障转移路由策略,您首先需要为您的域创建一个托管区域。

  1. 通过以下网址打开 Route 53 控制台:https://console.amazonaws.cn/route53/

  2. 在导航窗格中,选择 Hosted zones (托管区域),然后选择 Create hosted zone (创建托管区域)

  3. Created hosted zone (创建托管区域) 页面上,在 example.comDomain name (域名) 下输入您的域名(例如 )。

  4. Type (类型) 下,选择 Public hosted zone (公有托管区域)

  5. 选择 Create hosted zone (创建托管区域)

然后,为您的主区域创建运行状况检查。

  1. 通过以下网址打开 Route 53 控制台:https://console.amazonaws.cn/route53/

  2. 在导航窗格中,选择 Health checks,然后选择 Create health check

  3. Configure health check (配置运行状况检查) 页面上,输入运行状况检查的名称。

  4. 对于 What to monitor,选择 EndpointStatus of other health checks (calculated health check)State of CloudWatch alarm

  5. 根据您在上一步中选择的内容,配置您的运行状况检查,然后选择 Next (下一步)

  6. Get notification when health check fails 页面上,对于 Create alarm,选择 YesNo

  7. 选择 Create health check (创建运行状况检查)

创建运行状况检查后,您可以创建 DNS 故障转移记录。

  1. 通过以下网址打开 Route 53 控制台:https://console.amazonaws.cn/route53/

  2. 在导航窗格中,选择 Hosted zones

  3. Hosted zones (托管区域) 页面上,选择您的域名。

  4. 在域名的详细信息页面上,选择 Create record (创建记录)

  5. Choose routing policy 页面上,选择 Failover,然后选择 Next

  6. Configure records (配置记录) 页面上的 Basic configuration (基本配置) 下,对于 Record name (记录名称),输入您的子域名。例如,如果您的 FQDN 是 desktop.example.com,请输入 desktop

    注意

    如果要使用根域,请将 Record name (记录名称) 留空。但是,我们建议您使用子域(如 desktopworkspaces),除非您已将该域设置为只用于 WorkSpaces。

  7. 对于 Record type (记录类型),选择 TXT – 用于验证电子邮件发件人和用于应用程序特定的值

  8. TTL seconds (TTL 秒) 设置保留为默认值。

  9. Failover records to add to (要添加到 的故障转移记录) 下 your_domain_name 下,选择 Define failover record (定义故障转移记录)

现在,您需要设置主区域和故障转移区域的故障转移记录。

示例:为您的主区域设置故障转移记录

  1. Define failover record (定义故障转移记录) 对话框中,对于 Value/route traffic to (值/流量路由到),选择 IP address or another value pending depending the record type (IP 地址或其他值,具体取决于记录类型)

  2. 将打开框,以便您输入示例文本条目。输入主区域的连接别名关联的连接标识符。

  3. 对于 Failover record type (故障转移记录类型),选择 Primary (主节点)

  4. 对于 Health check (运行状况检查),选择您已为主区域创建的运行状况检查。

  5. 对于 Record ID (记录 ID),输入用于标识此记录的描述。

  6. 选择 Define failover record (定义故障转移记录)。您的新故障转移记录将显示在 Failover records to add (要添加到 S3 中的故障转移记录) 下 your_domain_name.

示例:为您的故障转移区域设置故障转移记录

  1. Failover records to add to (要添加到 的故障转移记录) 下 your_domain_name 下,选择 Define failover record (定义故障转移记录)

  2. Define failover record 对话框中,对于 Value/route traffic to,选择 IP address or another value depending of the record type

  3. 将打开框,以便您输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。

  4. 对于 Failover record type (故障转移记录类型),选择 Secondary (辅助)

  5. (可选)对于 Health check (运行状况检查),输入您为故障转移区域创建的运行状况检查。

  6. 对于 Record ID (记录 ID),输入用于标识此记录的描述。

  7. 选择 Define failover record (定义故障转移记录)。您的新故障转移记录显示在 Failover records to add (要添加到 S3 中的故障转移记录) 下 your_domain_name.

如果您为主区域设置的运行状况检查失败,则 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您的故障转移区域。Route 53 将继续监控您的主区域的运行状况检查,当主区域的运行状况检查不再失败时,Route 53 会自动将 WorkSpaces 用户重定向回主区域中的 WorkSpaces。

有关创建 DNS 记录的更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/resource-record-sets-creating.html 中的使用 Amazon Route 53 控制台创建记录Amazon Route 53 开发人员指南。有关配置 DNS TXT 记录的更多信息,请参阅 https://docs.amazonaws.cn/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat 中的 TXT 记录类型Amazon Route 53 开发人员指南。

步骤 5:将连接字符串发送给您的 WorkSpaces 用户

要确保在您的用户的 WorkSpaces 中断期间根据需要进行重定向,您必须将连接字符串 (FQDN) 发送给您的用户。如果您已向您的 WSpdx+ABC12D 用户发布基于区域的注册代码(例如 WorkSpaces),则这些代码仍然有效。但是,要使跨区域重定向正常工作,您的 WorkSpaces 用户在 WorkSpaces 客户端应用程序中注册其 WorkSpaces 时,必须使用连接字符串作为其注册代码。

重要

如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新的 WorkSpaces 时,WSpdx+ABC12D 都会自动使用基于区域的注册代码(例如 WorkSpace)向用户发送邀请电子邮件。 即使您已设置跨区域重定向,自动为新的 WorkSpaces 发送的邀请电子邮件也会包含此基于区域的注册代码,而不是您的连接字符串。

要确保您的 WorkSpaces 用户使用连接字符串而不是基于区域的注册代码,您必须使用以下过程使用连接字符串向其发送另一封电子邮件。

将连接字符串发送到您的 WorkSpaces 用户

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,为您的 AWS 选择主 WorkSpaces 区域。

  3. 在导航窗格中,选择WorkSpaces

  4. WorkSpaces 页面上,使用搜索框搜索要向其发送邀请的用户,然后从搜索结果中选择相应的 WorkSpace。一次只能选择一个 WorkSpace。

  5. 依次选择 Actions (操作)Invite User (邀请用户)

  6. Invite Users to their WorkSpaces (邀请用户加入其 AWS Lambda) 页面上,您将看到一个要发送给用户的电子邮件模板。

  7. (可选)如果有多个与 WorkSpaces 目录关联的连接别名,请从 Connection alias string (连接别名字符串) 列表中选择您希望用户使用的连接字符串。电子邮件模板将更新以显示您选择的字符串。

  8. 使用您自己的电子邮件应用程序,复制电子邮件模板文本并将其粘贴到发送给用户的电子邮件中。在电子邮件应用程序中,您可以根据需要修改文本。当邀请电子邮件准备就绪后,将其发送给您的用户。

跨区域重定向期间发生的事件

发生中断时,您的 WorkSpaces 用户将与其在主区域中的 WorkSpaces 断开连接。当他们尝试重新连接时,收到以下错误消息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然后,系统会提示您重新登录。如果他们使用 FQDN 作为其注册代码,则当他们再次登录时,您的 DNS 故障转移路由策略会将他们重定向到您在故障转移区域中为其设置的 WorkSpaces。

注意

在某些情况下,用户再次登录时可能无法重新连接。如果发生此行为,它们必须关闭并重新启动 WorkSpaces 客户端应用程序,然后再次尝试登录。

取消连接别名与目录的关联

只有拥有目录的账户才能取消连接别名与目录的关联。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该账户取消连接别名与目录的关联。

取消连接别名与目录的关联

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,选择包含要取消关联的连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection associations (跨区域重定向关联) 下,选择连接字符串,然后选择 Actions (操作)Associate/disassociate (关联/取消关联)

    您还可以取消连接别名与连接别名详细信息页面的关联。为此,请在 Associated directory (关联目录) 下,选择 Disassociate (取消关联)

  5. Associate/disassociate (关联/取消关联) 页面上,选择 Disassociate (取消关联)

  6. 在要求您确认取消关联的对话框中,选择 Disassociate (取消关联)

取消共享连接别名

只有连接别名的所有者才能取消共享该别名。如果您取消与某个账户的连接别名共享,则该账户无法再将该连接别名与目录关联。

取消共享连接别名

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,选择包含要取消共享的连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection associations (跨区域重定向关联) 下,选择连接字符串,然后选择 Actions (操作)Share/unshare connection alias (共享/取消共享连接别名)

    您还可以从连接别名详细信息页面中取消共享连接别名。为此,请在 Shared account (共享账户) 下,选择 Unshare (取消共享)

  5. Share/unshare connection alias 页面上,选择 Unshare

  6. 在要求您确认取消共享连接别名的对话框中,选择 Unshare (取消共享)

删除连接别名

只有当连接别名由您的账户拥有并且未与目录关联时,您才能删除该连接别名。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先取消连接别名与该目录的关联,然后才能删除连接别名。

重要

在创建连接字符串后,它始终与您的 AWS 账户关联。您无法使用其他账户重新创建同一连接字符串,即使您从原始账户中删除了该字符串的所有实例。连接字符串是为您的账户全局预留的。

警告

如果您不再使用 FQDN 作为 WorkSpaces 用户的注册代码,则必须采取特定预防措施以防止潜在的安全问题。 有关更多信息,请参阅停止使用跨区域重定向时的安全注意事项

删除连接别名

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在控制台的右上角,选择包含要删除的连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. Cross-Region redirection associations (跨区域重定向关联) 下,选择连接字符串,然后选择 Delete (删除)

    您还可以从连接别名详细信息页面删除连接别名。为此,请选择页面右上角的 Delete (删除)

    注意

    如果 Delete (删除) 按钮已禁用,请确保您是别名的所有者,并且别名未与目录关联。

  5. 在要求您确认删除的对话框中,选择 Delete (删除)

用于关联和取消关联连接别名的 IAM 权限

如果您使用 IAM 用户关联或取消关联连接别名,则该用户必须具有 workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias 的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }
重要

如果要创建 IAM 策略以便为不拥有连接别名的账户关联或取消关联连接别名,则不能在 ARN 中指定账户 ID。相反,您必须将 * 用于账户 ID,如以下示例策略中所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ] }

仅当账户拥有要关联或取消关联的连接别名时,才可以在 ARN 中指定账户 ID。

有关使用 IAM 的更多信息,请参阅适用于 Amazon WorkSpaces 的 Identity and Access Management

停止使用跨区域重定向时的安全注意事项

如果您不再使用 FQDN 作为 WorkSpaces 用户的注册代码,则必须采取以下预防措施以防止潜在的安全问题:

  • 请务必为您的 WorkSpaces 用户发布其 WSpdx+ABC12D 目录的特定于区域的注册代码(例如 WorkSpaces),并指导他们停止使用 FQDN 作为其注册代码。

  • 如果您仍然拥有此域,请务必更新您的 DNS TXT 记录以删除此域,使其无法在网络钓鱼攻击中被利用。如果您从 DNS TXT 记录中删除此域,并且您的 WorkSpaces 用户尝试使用 FQDN 作为其注册代码,则其连接尝试将会无形地失败。

  • 如果您不再拥有此域,您的 WorkSpaces 用户必须使用其区域特定的注册代码。如果它们继续尝试使用 FQDN 作为其注册代码,则其连接尝试可能会重定向到恶意站点。