Amazon WorkSpaces 的跨区域重定向 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WorkSpaces 的跨区域重定向

借助 Amazon WorkSpaces 中的跨区域重定向功能,您可以使用完全限定域名 (FQDN) 作为 WorkSpaces 的注册代码。在主 WorkSpaces 不可用时,跨区域重定向与域名系统 (DNS) 路由策略配合使用,以便在 WorkSpaces 用户重定向到备用 WorkSpaces。例如,通过使用 DNS 故障转移路由策略,您可以在指定的故障转移中将用户连接到 WorkSpacesAmazon当他们无法访问主区域中的 WorkSpaces 时的区域。

您可以使用跨区域重定向以及 DNS 故障转移路由策略来实现区域恢复能力和高可用性。您还可以将此功能用于其他目的,例如流量分配或在维护期间提供替代 WorkSpaces。如果您使用 Amazon Route 53 进行 DNS 配置,则可以利用监控 Amazon CloudWatch 警报的运行状况检查。

要使用此功能,您必须为两个(或更多)Amazon 区域中的用户设置 WorkSpaces。您还必须创建特殊的基于 FQDN 的注册代码,名为连接别名. 这些连接别名替换 WorkSpaces 用户的区域特定的注册代码。(特定于区域的注册代码仍然有效;但是,为了使跨区域重定向工作,用户必须使用 FQDN 代替注册代码。)

要创建连接别名,请指定连接字符串,这是你的 FQDN,例如www.example.com要么desktop.example.com. 要使用此域进行跨区域重定向,您必须向域注册商注册并为域名配置 DNS 服务。

创建连接别名后,您可以将其与不同区域中的 WorkSpaces 目录相关联,以创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域中发生中断,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的 WorkSpaces。

要指定主区域和故障转移区域,请在配置 DNS 故障转移路由策略时定义区域优先级(主要或辅助区域)。

先决条件

  • 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域名注册商,则可以使用 Amazon Route 53 注册您的域名。有关更多信息,请参阅 。使用 Amazon Route 53 注册域名中的Amazon Route 53 开发者指南.

    重要

    您必须拥有所有必要的权利才能使用与 Amazon WorkSpaces 结合使用的任何域名。您同意域名不侵犯或侵犯任何第三方的合法权利或以其他方式违反适用法律。

    域名的总长度不能超过 255 个字符。有关域名的更多信息,请参阅DNS 域名格式中的Amazon Route 53 开发者指南.

    跨区域重定向适用于私有 DNS 区域中的公有域名和域名。如果您使用私有 DNS 区域,则必须向包含 WorkSpaces 的虚拟专用云 (VPC) 提供虚拟专用网络 (VPN) 连接。如果 WorkSpaces 用户尝试使用公共互联网上的私有 FQDN,WorkSpaces 客户端应用程序将返回以下错误消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与 DNS 路由策略结合使用,以根据需要重定向 WorkSpaces 用户。

  • 在您要设置跨区域重定向的每个主区域和故障转移区域中,请为用户创建 WorkSpaces。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。为了保持 Active Directory 用户数据的同步,我们建议使用 AD Connector 指向您为用户设置 WorkSpaces 的每个区域中的相同 Active Directory。有关创建 WorkSpaces 的更多信息,请参阅启动 WorkSpaces.

    重要

    如果你配置了Amazon用于多区域复制的托管 Microsoft AD 目录,只有主区域中的目录才能注册以便与 Amazon WorkSpaces 一起使用。尝试在复制区域中注册目录以便与 Amazon WorkSpaces 一起使用将失败。使用多区域复制Amazon不支持在复制区域内与 Amazon WorkSpaces 一起使用托管微软 AD。

    设置完跨区域重定向后,必须确保 WorkSpaces 用户使用的是基于 FQDN 的注册代码而不是基于地区的注册代码(例如,WSpdx+ABC12D) 对于他们的主要区域。为此,您必须使用中的过程向他们发送带有 FQDN 连接字符串的电子邮件第 5 步:将连接字符串发送给 WorkSpaces 用户.

    注意

    如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,WorkSpaces 会在启动新 WorkSpace 时自动向用户发送邀请电子邮件,其中包含基于区域的注册代码。这意味着,当您在故障转移区域中为用户设置 WorkSpaces 时,您的用户还将自动收到这些故障转移 WorkSpaces 的电子邮件。您需要指示用户忽略具有基于地区的注册代码的电子邮件。

限制

  • 跨区域重定向不会自动检查与主区域的连接是否失败,然后将 WorkSpaces 转移到另一个区域。换句话说,不会发生自动故障转移。

    要实施自动故障转移方案,必须将其他机制与跨区域重定向结合使用。例如,您可以使用 Amazon Route 53 故障转移 DNS 路由策略与监控主区域中的 CloudWatch 警报的 Route 53 运行状况检查结合使用。如果主区域中触发了 CloudWatch 警报,则 DNS 故障转移路由策略然后会将 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的 WorkSpaces。

  • 当您使用跨区域重定向时,不同区域的 WorkSpaces 之间不会保留用户数据。为确保用户可以从不同区域访问他们的文件,如果您的主区域和故障转移区域支持 Amazon WorkDocs,我们建议您为 WorkSpaces 用户设置 Amazon WorkDocs。有关 Amazon WorkDocs 的更多信息,请参阅Amazon WorkDocs Drive中的Amazon WorkDocs 管理指南. 有关为 WorkDocs 用户启用 Amazon WorkDocs 的更多信息,请参阅向 WorkSpaces 注册目录启用 Amazon WorkDocsAmazon托管 Microsoft AD. 有关 WorkSpaces 用户如何在 WorkSpaces 上设置 Amazon WorkDocs 的信息,请参阅与 WorkDocs 集成中的Amazon WorkSpaces 用户指南.

  • 仅在 Linux、macOS 和 Windows WorkSpaces 客户端应用程序 3.0.9 或更高版本上支持跨区域重定向。

  • 全部可用跨区域重定向AmazonAmazon WorkSpaces 可用的地区,除了AmazonGovCloud(美国西部)区域和中国(宁夏)区域。

第 1 步:创建连接别名

使用相同的Amazon账户中,请在您要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

创建连接别名

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择主Amazon为您的 WorkSpaces 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向,选择创建连接别名.

  5. 适用于连接字符串,输入 FQDN,例如www.example.com要么desktop.example.com. 连接字符串最多可包含 255 个字符。它只能包含字母(A-Z 和 a-z)、数字 (0-9) 和以下字符: .-

    重要

    创建连接字符串后,它始终与Amazonaccount. 您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了该字符串的所有实例也是如此。连接字符串在全局范围内为您的账户保留。

  6. (可选)下标签,指定要与连接别名关联的任何标签。

  7. 选择创建连接别名.

  8. 重复这些步骤,但是步骤 2,请确保为您的 WorkSpaces 选择故障转移区域。如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤。确保使用相同的Amazon帐户以在每个故障转移区域中创建连接别名。

(可选)步骤 2:与另一个账户共享连接别名

您可以与同一 Amazon 区域中的另一个 Amazon 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除该别名。

注意

对于每个 Amazon 区域,只能将一个目录与连接别名关联。如果您与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

要与另一个共享连接别名Amazon帐户

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择Amazon您希望与另一个共享连接别名的区域Amazonaccount.

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向关联,选择连接字符串,然后依次选择操作共享/取消共享连接别名.

    您还可以在详细信息页面中共享连接别名的别名。为此,请在共享账户,选择共享连接别名.

  5. 在存储库的共享/取消共享连接别名页面,下与账户分享中,输入Amazon在此您希望与之共享连接别名的账户 IDAmazon区域。

  6. 选择 Share

第 3 步:将连接别名与每个区域中的目录关联

如果将相同的连接别名与两个或更多区域中的 WorkSpaces 目录相关联,则会在这些目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如,如果您的主区域是美国西部(俄勒冈)区域,则可以将美国西部(俄勒冈)区域中的 WorkSpaces 目录与美国东部(弗吉尼亚北部)区域中的 WorkSpaces 目录配对。如果主区域发生中断,则跨区域重定向与 DNS 故障转移路由策略和您在美国西部(俄勒冈)区域实施的任何运行状况检查结合使用,以将用户重定向到您在美国东部(弗吉尼亚北部)区域为他们设置的 WorkSpaces。有关跨区域重定向体验的更多信息,请参阅跨区域重定向期间会发生什么.

注意

如果 WorkSpaces 用户距故障转移区域有很长的距离(例如,数千英里以外),他们的 WorkSpaces 体验可能会比平常低。查看往返时间(RTT)到各个Amazon来自您所在位置的地区,请使用Amazon WorkSpaces 连接 Health 检.

将连接别名与目录关联

对于每个 Amazon 区域,只能将连接别名与一个目录关联。如果您已与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择主Amazon为您的 WorkSpaces 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向关联,选择连接字符串,然后依次选择操作关联/取消关联.

    您还可以在连接别名的详细信息页面中将连接别名与目录相关联。为此,请在关联的目录,选择关联目录.

  5. 在存储库的关联/取消关联页面,下关联到目录中,在此选择要与连接别名关联的目录Amazon区域。

    注意

    如果你配置了Amazon用于多区域复制的托管 Microsoft AD 目录,只有主区域中的目录可以与 Amazon WorkSpaces 一起使用。尝试在 Amazon WorkSpaces 中使用复制区域中的目录将失败。使用多区域复制Amazon不支持在复制区域内与 Amazon WorkSpaces 一起使用托管微软 AD。

  6. 选择 Associate

  7. 重复这些步骤,但是步骤 2,请确保为您的 WorkSpaces 选择故障转移区域。如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤。请务必将相同的连接别名与每个故障切换区域中的目录关联。

第 4 步:配置 DNS 服务并设置 DNS 路由策略

创建连接别名和连接别名关联对后,您可以为连接字符串中使用的域配置 DNS 服务。为此,您可以使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商,则可以使用 Amazon Route 53。有关更多信息,请参阅 。将 Amazon Route 53 配置为 DNS 服务中的Amazon Route 53 开发者指南.

为域配置 DNS 服务后,必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查来确定用户是否可以连接到特定区域中的 WorkSpaces。如果用户无法连接,则可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息,请参阅选择路由策略中的Amazon Route 53 开发者指南. 有关 Amazon Route 53 运行状况检查的更多信息,请参阅Amazon Route 53 如何检查您的资源的运行状况中的Amazon Route 53 开发者指南.

当你设置 DNS 路由策略时,你将需要连接标识符用于连接别名与主区域中 WorkSpaces 目录之间的关联。您还需要连接标识符,以便在故障转移区域或区域中连接别名与 WorkSpaces 目录之间的关联。

注意

连接标识符是与连接别名 ID 相同。连接别名 ID 以开头wsca-.

查找连接别名关联的连接标识符

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择主Amazon为您的 WorkSpaces 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向关联中,选择连接字符串文本(FQDN)以查看连接别名详细信息页面。

  5. 在连接别名的详细信息页面上,在关联的目录,记下显示的值连接标识符.

  6. 重复这些步骤,但是步骤 2,请确保为您的 WorkSpaces 选择故障转移区域。如果您有多个故障切换区域,请重复这些步骤以查找每个故障切换区域的连接标识符。

例如:使用 Route 53 设置 DNS 故障转移路由策略

以下示例为您所在域设置一个公有托管区域。但是,您可以设置公有或私有托管区域。有关设置托管区域的更多信息,请参阅使用托管区域中的Amazon Route 53 开发者指南.

此示例还使用故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅选择路由策略中的Amazon Route 53 开发者指南.

在 Route 53 中设置故障转移路由策略时,需要对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅创建 Amazon Route 53 运行状况检查并配置 DNS 故障转移创建、更新和删除运行状况检查中的Amazon Route 53 开发者指南.

如果您想在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报,则还需要设置 CloudWatch 警报来监控主区域中的资源。有关 CloudWatch 的更多信息,请参阅什么是 Amazon CloudWatch?中的Amazon CloudWatch 用户指南. 有关 Route 53 如何在运行状况检查中使用 CloudWatch 警报的详细信息,请参阅Route 53 如何确定监控 CloudWatch 警报的运行状况检查的状态监控 CloudWatch 告警中的Amazon Route 53 开发者指南.

要在 Route 53 中设置 DNS 故障转移路由策略,首先需要为域创建托管区域。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择和。托管区域,然后选择创建托管区域.

  3. 在存储库的创建托管区域页面上,输入您的域名(例如example.com) UNDER域名.

  4. UNDER类型,选择公有托管区域.

  5. 选择 Create Hosted Zone(创建托管区域)。

然后为您所在区域创建运行状况检查。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择和。运行状况检查,然后选择创建运行状况检查.

  3. 在存储库的配置运行状况检查页面上,输入健康检查的名称。

  4. 适用于What to monitor,选择任一端点其他运行状况检查的状态(已计算的运行状况,或者CloudWatch 状态警报.

  5. 根据您在上一步中选择的内容,配置运行状况检查,然后选择下一步.

  6. 在存储库的运行状况检查失败时收到通知页面,为创建警报,选择要么.

  7. 选择创建运行状况检查.

创建运行状况检查之后,您可以创建 DNS 故障转移记录。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域)

  3. 在存储库的托管区域页面上,选择您的域名。

  4. 在域名的详细信息页面上,选择创建记录.

  5. 在存储库的选择路由策略页面上,选择故障转移,然后选择下一步.

  6. 在存储库的配置记录页面,下基本配置,对于记录名称,输入你的子域名。例如,如果你的 FQDN 是desktop.example.com中,输入desktop.

    注意

    如果要使用根域,请离开记录名称空白。但是,我们建议使用子域,例如desktop要么workspaces,除非您设置了域名仅用于 WorkSpaces。

  7. 适用于记录类型,选择TXT — 用于验证电子邮件发件人和特定于应用程序的值.

  8. 离开TTL 秒默认设置。

  9. UNDER要添加到的故障转移记录你的 _domain_name,选择为故障转移记录.

现在,您需要为主区域和故障转移区域设置故障转移记录。

例如:为主要区域设置故障转移记录

  1. 为故障转移记录对话框,为值/流量路由至,选择IP 地址或其它值,具体取决于记录类型.

  2. 打开一个框供您输入样本文本条目。输入主区域的连接别名关联的连接标识符。

  3. 适用于故障转移记录类型,选择Primary.

  4. 适用于运行状况检查中,选择您为主要区域创建的运行状况检查。

  5. 适用于记录 ID,输入描述以识别此记录。

  6. 选择为故障转移记录. 新的故障转移记录显示在下面要添加到的故障转移记录你的 _domain_name.

例如:为故障转移区域设置故障转移记录

  1. UNDER要添加到的故障转移记录你的 _domain_name,选择为故障转移记录.

  2. 为故障转移记录对话框,为值/流量路由至,选择IP 地址或其它值,具体取决于记录类型.

  3. 随即打开一个框,供您输入样本文本条目。输入故障转移区域的连接别名关联的连接标识符。

  4. 适用于故障转移记录类型,选择二级.

  5. (可选)对于运行状况检查中,输入为故障转移区域创建的运行状况检查。

  6. 适用于记录 ID,输入描述以识别此记录。

  7. 选择为故障转移记录. 新的故障转移记录显示在下面要添加到的故障转移记录你的 _domain_name.

如果您为主区域设置的运行状况检查失败,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到故障转移区域。Route 53 将继续监控主区域的运行状况检查,当主区域的运行状况检查不再失败时,Route 53 会自动将 WorkSpaces 用户重定向到主区域中的 WorkSpaces。

有关创建 DNS 记录的更多信息,请参阅使用 Amazon Route 53 控制台创建记录中的Amazon Route 53 开发者指南. 有关配置 DNS TXT 记录的更多信息,请参阅TXT 记录类型中的Amazon Route 53 开发者指南.

第 5 步:将连接字符串发送给 WorkSpaces 用户

为了确保在中断期间根据需要重定向用户 WorkSpaces,您必须向用户发送连接字符串 (FQDN)。如果您已经发布了基于地区的注册代码(例如,WSpdx+ABC12D) 对于 WorkSpaces 用户来说,这些代码仍然有效。但是,为了使跨区域重定向工作,WorkSpaces 用户必须在 WorkSpaces 客户端应用程序中注册 WorkSpaces 时使用连接字符串作为注册代码。

重要

如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,WorkSpaces 会自动向用户发送邀请电子邮件,其中包含基于区域的注册代码(例如,WSpdx+ABC12D) 无论何时启动新的 WorkSpace。即使您已经设置了跨区域重定向,为新 WorkSpaces 自动发送的邀请电子邮件也包含此基于区域的注册代码,而不是连接字符串。

要确保 WorkSpaces 用户使用的是连接字符串而不是基于区域的注册代码,您必须按照以下步骤向他们发送另一封包含连接字符串的电子邮件。

向 WorkSpaces 用户发送连接字符串

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择主Amazon为您的 WorkSpaces 区域。

  3. 在导航窗格中,选择 WorkSpaces

  4. 在存储库的WorkSpaces页面中,使用搜索框来搜索您要向其发送邀请的用户,然后从搜索结果中选择相应的 WorkSpace。一次只能选择一个 WorkSpace。

  5. 依次选择 Actions (操作)Invite User (邀请用户)

  6. 在存储库的邀请用户加入他们的 WorkSpaces页面上,您将看到电子邮件模板以发送给您的用户。

  7. (可选)如果有多个与 WorkSpaces 目录关联的连接别名,请从连接别名字符串列出。电子邮件模板将更新以显示您选择的字符串。

  8. 使用您自己的电子邮件应用程序复制电子邮件模板文本并将其粘贴到电子邮件中,向用户 在电子邮件应用程序中,您可以根据需要修改文本。邀请电子邮件准备就绪后,将其发送给您的用户。

跨区域重定向期间会发生什么

如果发生中断,您的 WorkSpaces 用户将与主区域中的 WorkSpaces 断开连接。尝试重新连接时,他们会收到以下错误消息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然后,系统会提示您的用户再次登录。如果他们使用 FQDN 作为注册代码,则当他们再次登录时,DNS 故障转移路由策略会将它们重定向到您在故障转移区域中为他们设置的 WorkSpaces。

注意

在某些情况下,用户在再次登录时可能无法重新连接。如果发生此行为,他们必须关闭并重新启动 WorkSpaces 客户端应用程序,然后尝试再次登录。

解除连接别名与目录的关联

只有拥有目录的账户才能解除连接别名与目录的关联。

如果您已与其他账户共享了连接别名,并且该账户已将连接别名与该账户拥有的目录相关联,则必须使用该账户来解除连接别名与目录的关联。

解除连接别名与目录的关联

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择Amazon包含要取消关联的连接别名的区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向关联,选择连接字符串,然后依次选择操作关联/取消关联.

    您还可以将连接别名与连接别名详细信息页面取消关联。为此,请在关联的目录,选择取消关联.

  5. 在存储库的关联/取消关联页面,选择取消关联.

  6. 在要求您确认断开关联的对话框中,选择取消关联.

取消共享连接别名

只有连接别名的所有者才能取消共享该别名。如果取消与账户共享连接别名,则该账户将无法再将连接别名与目录关联。

取消共享连接别名

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择Amazon包含要取消共享的连接别名的区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向关联,选择连接字符串,然后依次选择操作共享/取消共享连接别名.

    您还可以从连接别名详细信息页面取消共享连接别名。为此,请在共享账户,选择取消共享.

  5. 在存储库的共享/取消共享连接别名页面,选择取消共享.

  6. 在要求您确认取消共享连接别名的对话框中,选择取消共享.

删除连接别名

只有当连接别名归您的账户所有并且该别名与目录无关联时,才能删除该别名。

如果您与另一个账户共享了连接别名,且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先解除该连接别名与目录的关联,然后才能删除连接别名。

重要

创建连接字符串后,它始终与Amazonaccount. 您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了该字符串的所有实例也是如此。连接字符串在全局范围内为您的账户保留。

警告

如果您将不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取某些预防措施以防止潜在的安全问题。有关更多信息,请参阅停止使用跨区域重定向时的安全注意事项

删除连接别名

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 控制台在控制台的右上角,选择Amazon包含要删除的连接别名的区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNDER跨区域重定向关联,选择连接字符串,然后依次选择Delete.

    还可以从连接别名详细信息页面中删除连接别名。为此,请选择Delete在页面的右上角。

    注意

    如果Delete按钮处于禁用状态,请确保您是别名的所有者,并确保别名未与目录关联。

  5. 在要求您确认删除的对话框中,选择Delete.

IAM 关联和取消关联连接别名的权限

如果您使用 IAM 用户关联或取消关联连接别名,则该用户必须拥有workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }
重要

如果您正在创建 IAM 策略来关联或取消关联不拥有连接别名的账户的连接别名,则无法在 ARN 中指定账户 ID。而是必须使用*对于账户 ID,如以下示例策略所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ] }

只有当 ARN 拥有要关联或取消关联的连接别名时,您才能在 ARN 中指定该账户 ID。

有关使用 IAM 的更多信息,请参阅适用于 WorkSpaces 的 ID 和访问管理.

停止使用跨区域重定向时的安全注意事项

如果您将不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取以下预防措施以防止潜在的安全问题:

  • 请务必向 WorkSpaces 用户发放区域特定的注册代码(例如,WSpdx+ABC12D) 用于他们的 WorkSpaces 目录,并指示他们停止使用 FQDN 作为注册代码。

  • 如果你还拥有这个域名,请务必更新您的 DNS TXT 记录以删除此域名,这样它就不会在网络钓鱼攻击中被利用。如果您从 DNS TXT 记录中删除此域,而 WorkSpaces 用户尝试使用 FQDN 作为注册码,则他们的连接尝试将无害地失败。

  • 如果你不再拥有此域名,你的 WorkSpaces 用户必须使用特定于地区的注册码。如果他们继续尝试使用 FQDN 作为注册代码,他们的连接尝试可能会被重定向到恶意站点。