Amazon WorkSpaces 的跨区域重定向 - Amazon WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WorkSpaces 的跨区域重定向

借助 Amazon WorkSpaces 中的跨区域重定向功能,您可以使用完全限定域名 (FQDN) 作为您的 WorkSpaces 的注册代码。跨区域重定向与域名系统 (DNS) 路由策略一起使用,以便在主 WorkSpaces 用户不可用时将 WorkSpaces 用户重定向到备用 WorkSpaces。例如,通过使用 DNS 故障切换路由策略,您可以将用户连接到指定故障转移中的 WorkSpacesAmazon用户无法访问主要区域中的 WorkSpaces 时的区域。

您可以将跨区域重定向与 DNS 故障切换路由策略一起使用,以实现区域恢复能力和高可用性。您还可以将此功能用于其他目的,例如流量分配或在维护期间提供替代 WorkSpaces。如果您将 Amazon Route 53 用于 DNS 配置,您可以利用运行状况检查来监控 Amazon CloudWatch 警报。

要使用此功能,您必须为两个(或更多)Amazon 区域中的用户设置 WorkSpaces。您还必须创建特殊的基于 FQDNN 的注册代码,称为连接别名. 这些连接别名替换 WorkSpaces 用户的区域特定的注册代码。区域特定的注册代码仍然有效;但是,要使跨区域重定向工作,您的用户必须使用 FQDN 作为其注册代码。)

要创建连接别名,请指定连接字符串,这是您的 FQDN,例如www.example.com或者desktop.example.com. 要使用此域进行跨区域重定向,您必须向域注册商注册并为您的域配置 DNS 服务。

创建连接别名后,您可以将其与不同区域中的 WorkSpaces 目录相关联,以创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域中发生中断,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的 WorkSpaces。

要指定主区域和故障转移区域,请在配置 DNS 故障切换路由策略时定义区域优先级(主区域或辅助区域)。

Prerequisites

  • 您必须拥有并注册要用作连接别名中的 FQDN 的域。如果您尚未使用其他域注册商,则可使用 Amazon Route 53 注册您的域。有关更多信息,请参阅 。使用 Amazon Route 53 注册域名中的Amazon Route 53 开发人员指南.

    重要

    您必须拥有所有必要的权利才能使用与 Amazon WorkSpaces 结合使用的任何域名。您同意域名不侵犯或侵犯任何第三方的合法权利或违反适用法律。

    域名的总长度不能超过 255 个字符。有关域名的更多信息,请参阅DNS 域名格式中的Amazon Route 53 开发人员指南.

    跨区域重定向适用于私有 DNS 区域中的公有域名和域名。如果您使用专用 DNS 区域,则必须提供与包含 WorkSpaces 的虚拟专用网络 (VPC) 连接。如果您的 WorkSpaces 用户尝试从公共互联网使用专用 FQDN,WorkSpace 客户端应用程序将返回以下错误消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与 DNS 路由策略结合使用,以根据需要重定向 WorkSpaces 用户。

  • 在您希望设置跨区域重定向的每个主区域和故障转移区域中,为用户创建 WorkSpaces。请确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。要使活动目录用户数据保持同步,我们建议您使用 AD Connector 指向已为用户设置了 WorkSpaces 的每个区域中的相同活动目录。有关创建 WorkSpaces 的更多信息,请参阅。启动 WorkSpaces.

    重要

    如果您配置Amazon用于多区域复制的托管 Microsoft AD 目录,只有主区域中的目录可以注册以便与 Amazon WorkSpaces 一起使用。尝试在复制区域中注册目录以便与 Amazon WorkSpaces 一起使用将失败。多区域复制Amazon托管微软 AD 不支持与复制区域内的 Amazon WorkSpaces 一起使用。

    设置完跨区域重定向后,必须确保 WorkSpaces 用户使用的是基于 FQDNN 的注册代码,而不是基于区域的注册代码(例如WSpdx+ABC12D),用于其主要区域。若要执行此操作,您必须向他们发送一封带有 FQDN 连接字符串的电子邮件,使用第 5 步:将连接字符串发送给您的 WorkSpaces 用户.

    注意

    如果您在 WorkSpaces 控制台中创建用户,而不是在 Active Directory 中创建用户,则每当您启动新的 WorkSpaces 都会自动向用户发送一封带有基于 WorkSpace 域的注册代码的邀请电子邮件。这意味着,当您在故障转移区域中为用户设置 WorkSpaces 时,用户还将自动接收有关这些故障转移 WorkSpace 的电子邮件。您需要指示用户忽略使用基于区域的注册代码的电子邮件。

Limitations

  • 跨区域重定向不会自动检查到主区域的连接是否失败,然后将 WorkSpaces 转移到另一个区域。换句话说,不会发生自动故障切换。

    要实现自动故障切换方案,必须将其他一些机制与跨区域重定向结合使用。例如,您可以使用 Amazon Route 53 故障转移 DNS 路由策略与 Route 53 运行状况检查配对,以监控主区域中的 CloudWatch 警报。如果主区域中的 CloudWatch 警报被触发,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的 WorkSpaces。

  • 使用跨区域重定向时,用户数据不会在不同区域的 WorkSpaces 之间保留。为确保用户可以从不同区域访问其文件,如果您的主区域和故障转移区域支持 Amazon WorkDocs,我们建议您为 WorkSpaces 用户设置 Amazon WorkDocs。有关 Amazon WorkDocs 的更多信息,请参阅Amazon WorkDocs Drive中的Amazon WorkDocs 管理指南. 有关为您的 WorkSpaces 用户启用 Amazon WorkDocs 的更多信息,请参阅向 WorkSpaces 注册目录启用 Amazon WorkDocsAmazon托管 Microsoft AD. 有关 WorkSpace 用户如何在其工作空间上设置 Amazon WorkDocs 的信息,请参阅与 WorkDocs 集成中的Amazon WorkSpaces 用户指南.

  • 只有 3.0.9 版或更高版本的 Linux、macOS 和 Windows WorkSpaces 客户端应用程序支持跨区域重定向。

  • 跨区域重定向在所有 Amazon提供 Amazon WorkSpaces 的区域,除了AmazonGovCloud (美国西部) 区域和中国 (宁夏) 区域。

第 1 步:创建连接别名

使用相同的Amazon帐户中,请在您要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

创建连接别名

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择主要的Amazon您的 WorkSpace 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向中,选择创建连接别名.

  5. 适用于连接字符串中,输入一个 FQDN,例如www.example.com或者desktop.example.com. 连接字符串最多可以是 255 个字符。它只能包含字母(A-Z 和 a-z)、数字 (0-9) 和以下字符: .-

    重要

    创建连接字符串后,它始终与Amazonaccount. 您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了它的所有实例也是如此。连接字符串全局为您的帐户保留。

  6. (可选)在标签中,指定您希望与连接别名关联的任何标签。

  7. 选择创建连接别名.

  8. 重复这些步骤,但在步骤 2,请确保为您的 WorkSpace 选择故障切换区域。如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤。确保使用相同的Amazon帐户在每个故障转移区域中创建连接别名。

(可选)步骤 2:与其他帐户共享连接别名

您可以与同一 Amazon 区域中的另一个 Amazon 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的帐户才能删除别名。

注意

对于每个 Amazon 区域,只能将一个目录与连接别名关联。如果您与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

要与另一个连接别名共享连接别名Amazon账户

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择控制台上的Amazon您想要与其他用户共享连接别名的区域Amazonaccount.

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向关联,选择连接字符串,然后依次选择 Connect。操作共享/取消共享连接别名.

    您还可以在连接别名的详细信息页面中共享别名。为此,请在共享账户中,选择共享连接别名.

  5. 在存储库的共享/取消共享连接别名页面,在与帐户共享,输入Amazon您想要与之共享连接别名的账户 IDAmazon区域。

  6. 选择 Share

第 3 步:将连接别名与每个区域中的目录关联

将相同的连接别名与两个或更多区域中的 WorkSpaces 目录关联会在目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如,如果您的主区域是美国西部(俄勒冈)区域,则可以将美国西部(俄勒冈)区域中的 WorkSpaces 目录与美国东部(弗吉尼亚北部)区域中的 WorkSpaces 目录配对。如果主要区域发生中断,跨区域重定向将与您的 DNS 故障切换路由策略和您在美国西部(俄勒冈)地区实施的任何运行状况检查结合使用,以便将用户重定向到您在美国东部(弗吉尼亚北部)地区为他们设置的 WorkSpaces。有关跨区域重定向体验的更多信息,请参阅。跨区域重定向过程中会发生什么.

注意

如果您的 WorkSpaces 用户与故障转移区域相距很远(例如,距离数千英里),则他们的 WorkSpace 体验可能比平常的响应程度低。要检查往返时间(RTT)到各种Amazon区域,请使用Amazon WorkSpaces 连接运行 Health 检查.

将连接别名与目录关联

对于每个 Amazon 区域,只能将连接别名与一个目录关联。如果您已与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择主要的Amazon您的 WorkSpace 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向关联,选择连接字符串,然后依次选择 Connect。操作关联/取消关联.

    您还可以将连接别名与连接别名的详细信息页面中的目录相关联。为此,请在关联的目录中,选择关联目录.

  5. 在存储库的关联/取消关联页面,在关联到目录中,选择要将连接别名关联到此Amazon区域。

    注意

    如果您配置Amazon用于多区域复制的托管 Microsoft AD 目录,只有主区域中的目录可以与 Amazon WorkSpaces 一起使用。尝试通过 Amazon WorkSpaces 使用复制区域中的目录将失败。多区域复制Amazon托管微软 AD 不支持与复制区域内的 Amazon WorkSpaces 一起使用。

  6. 选择 Associate

  7. 重复这些步骤,但在步骤 2,请确保为您的 WorkSpace 选择故障切换区域。如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤。确保将相同的连接别名与每个故障转移区域中的目录相关联。

第 4 步:配置 DNS 服务并设置 DNS 路由策略

创建连接别名和连接别名关联对后,可以为连接字符串中使用的域配置 DNS 服务。您可以为此目的使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商,则可使用 Amazon Route 53。有关更多信息,请参阅 。将 Amazon Route 53 配置为 DNS 服务中的Amazon Route 53 开发人员指南.

为域配置 DNS 服务后,必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查来确定您的用户是否可以连接到特定区域中的 WorkSpaces。如果用户无法连接,则可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息,请参阅选择路由策略中的Amazon Route 53 开发人员指南. 有关 Amazon Route 53 运行状况检查的更多信息,请参阅Amazon Route 53 如何检查您的资源的运行状况中的Amazon Route 53 开发人员指南.

在设置 DNS 路由策略时,您需要连接标识符,了解连接别名和主区域中 WorkSpaces 目录之间的关联。您还需要连接标识符,用于连接别名和故障转移区域中 WorkSpaces 目录之间的关联。

注意

连接标识符为与连接别名 ID 相同。连接别名 ID 以开头wsca-.

查找连接别名关联的连接标识符

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择主要的Amazon您的 WorkSpace 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向关联中,选择连接字符串文本(FQDN)以查看连接别名详细信息页面。

  5. 在连接别名的详细信息页面上,关联的目录,请记下显示的值连接标识符.

  6. 重复这些步骤,但在步骤 2,请确保为您的 WorkSpace 选择故障切换区域。如果您有多个故障转移区域,请重复这些步骤以查找每个故障转移区域的连接标识符。

例如:使用 Route 53 设置 DNS 故障切换路由策略

以下示例为域设置公有托管区域。但是,您可以设置公有或私有托管区域。有关设置托管区域的更多信息,请参阅使用托管区域中的Amazon Route 53 开发人员指南.

此示例还使用故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅选择路由策略中的Amazon Route 53 开发人员指南.

在 Route 53 中设置故障转移路由策略时,需要对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅创建 Amazon Route 53 运行状况检查并配置 DNS 故障转移创建、更新和删除运行状况检查中的Amazon Route 53 开发人员指南.

如果您希望在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报,还需要设置 CloudWatch 警报来监控主要区域中的资源。有关 CloudWatch 的更多信息,请参阅什么是 Amazon CloudWatch?中的Amazon CloudWatch 用户指南. 有关 Route 53 如何在运行状况检查中使用 CloudWatch 警报的更多信息,请参阅Route 53 如何确定监控 CloudWatch 警报的运行状况检查的状态监控 CloudWatch 警报警报中的Amazon Route 53 开发人员指南.

要在 Route 53 中设置 DNS 故障转移路由策略,首先需要为域创建托管区域。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择托管区域,然后选择创建托管区域.

  3. 在存储库的已创建托管区域页面上,输入您的域名(如example.com) UNTER域名.

  4. UNTER类型中,选择公有托管区域.

  5. 选择创建托管区域.

然后为您的主要区域创建运行状况检查。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择运行状况检查,然后选择创建运行状况检查.

  3. 在存储库的配置运行状况检查页面上,输入运行状况检查的名称。

  4. 适用于What to monitor中,选择终端节点其他运行状况检查的状况(已计算的运行状况检查,或者CloudWatch 警报状态.

  5. 根据您在上一步中选择的内容,配置运行状况检查,然后选择下一步.

  6. 在存储库的在运行状况检查失败时收到通知页面,用于创建警报中,选择或者.

  7. 选择创建运行状况检查.

创建运行状况检查后,您可以创建 DNS 故障转移记录。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones

  3. 在存储库的托管区域页面上,选择您的域名。

  4. 在域名的详细信息页面上,选择域名。创建记录.

  5. 在存储库的选择路由策略页面上,选择故障转移,然后选择下一步.

  6. 在存储库的配置记录页面,在基本配置, 用于记录名称中,输入您的子域名。例如,如果您的 FQDN 是desktop.example.com,输入desktop.

    注意

    如果要使用根域,请将记录名称为空。但是,我们建议使用子域名,例如desktop或者workspaces,除非您已将域设置为仅用于 WorkSpaces。

  7. 适用于记录类型,选择TXT — 用于验证电子邮件发件人和特定于应用程序的值.

  8. 将保留TL 秒设置为默认值。

  9. UNTER要添加到的故障转移记录您的域名中,选择定义故障转移记录.

现在,您需要为主区域和故障转移区域设置故障转移记录。

例如:为主要区域设置故障转移记录

  1. 定义故障转移记录对话框,对于值/流量路由至,选择IP 地址或其他值,具体取决于记录类型.

  2. 打开一个框,您可以输入示例文本条目。输入主要区域的连接别名关联的连接标识符。

  3. 适用于故障转移记录类型中,选择Primary.

  4. 适用于运行状况检查中,选择您为主要区域创建的运行状况检查。

  5. 适用于记录 ID中,输入描述以标识此记录。

  6. 选择定义故障转移记录. 您的新故障转移记录将显示在要添加到的故障转移记录您的域名.

例如:为故障转移区域设置故障转移记录

  1. UNTER要添加到的故障转移记录您的域名中,选择定义故障转移记录.

  2. 定义故障转移记录对话框,对于值/流量路由至,选择IP 地址或其他值,具体取决于记录类型.

  3. 打开一个框,您可以输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。

  4. 适用于故障转移记录类型中,选择辅助.

  5. (可选)运行状况检查中,输入您为故障转移区域创建的运行状况检查。

  6. 适用于记录 ID中,输入描述以标识此记录。

  7. 选择定义故障转移记录. 您的新故障转移记录将显示在要添加到的故障转移记录您的域名.

如果您为主区域设置的运行状况检查失败,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到故障转移区域。Route 53 将继续监视您的主要区域的运行状况检查,当您的主区域的运行状况检查不再失败时,Route 53 会自动将您的 WorkSpaces 用户重定向回其主区域中的 WorkSpace。

有关创建 DNS 记录的更多信息,请参阅使用 Amazon Route 53 控制台创建记录中的Amazon Route 53 开发人员指南. 有关配置 DNS TXT 记录的更多信息,请参阅TXT 记录类型中的Amazon Route 53 开发人员指南.

第 5 步:将连接字符串发送给您的 WorkSpaces 用户

要确保在中断期间根据需要重定向用户的 WorkSpaces,您必须将连接字符串 (FQDN) 发送给用户。如果您已经颁发了基于区域的注册代码(例如WSpdx+ABC12D)发送给您的 WorkSpaces 用户,则这些代码仍然有效。但是,要使跨区域重定向工作,WorkSpaces 用户在 WorkSpace 客户端应用程序中注册其 WorkSpaces 时必须使用连接字符串作为其注册代码。

重要

如果您在 WorkSpaces 控制台中创建用户,而不是在 Active Directory 中创建用户,WorkSpaces 会自动向用户发送邀请电子邮件,其中包含基于区域的注册代码(例如WSpdx+ABC12D) WorkSpace 即使您已经设置了跨区域重定向,为新 WorkSpaces 自动发送的邀请电子邮件包含此基于区域的注册代码,而不是连接字符串。

要确保您的 WorkSpaces 用户使用的是连接字符串而不是基于区域的注册代码,您必须使用以下步骤向他们发送另一封带有连接字符串的电子邮件。

将连接字符串发送给您的 WorkSpaces 用户

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择主要的Amazon您的 WorkSpace 区域。

  3. 在导航窗格中,选择 WorkSpaces

  4. 在存储库的WorkSpaces页面上,使用搜索框搜索您希望向其发送邀请的用户,然后从搜索结果中选择相应的 WorkSpace Spaces。一次只能选择一个 WorkSpace。

  5. 依次选择 Actions (操作)Invite User (邀请用户)

  6. 在存储库的邀请用户加入其 WorkSpaces页面上,您将看到要发送给您的用户的电子邮件模板。

  7. (可选)如果有多个与 WorkSpaces 目录关联的连接别名,请从连接别名字符串列表。电子邮件模板将更新以显示您选择的字符串。

  8. 复制电子邮件模板文本,并使用您自己的电子邮件应用程序将其粘贴到发送给用户的电子邮件中。在您的电子邮件应用程序中,您可以根据需要修改文本。当邀请电子邮件准备就绪之后,将其发送给您的用户。

跨区域重定向过程中会发生什么

如果发生中断,您的 WorkSpaces 用户将与主区域中的工作空间断开连接。当他们尝试重新连接时,他们会收到以下错误消息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然后,系统会提示您的用户重新登录。如果他们使用 FQDN 作为注册代码,则当他们再次登录时,DNS 故障转移路由策略会将它们重定向到您在故障转移区域中为他们设置的 WorkSpaces。

注意

在某些情况下,用户在再次登录时可能无法重新连接。如果发生此问题,他们必须关闭并重新启动 WorkSpaces 客户端应用程序,然后尝试再次登录。

解除连接别名与目录的关联

只有拥有目录的帐户才能解除连接别名与目录的关联。

如果您与其他账户共享了连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该帐户解除连接别名与目录的关联。

解除连接别名与目录的关联

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择控制台上的Amazon包含要取消关联的连接别名的区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向关联,选择连接字符串,然后依次选择 Connect。操作关联/取消关联.

    您还可以将连接别名与连接别名详细信息页面分离。为此,请在关联的目录中,选择取消关联.

  5. 在存储库的关联/取消关联页面上,选择取消关联.

  6. 在要求您确认解除关联的对话框中,选择取消关联.

取消共享连接别名

只有连接别名的所有者才能取消共享别名。如果与帐户取消共享连接别名,则该帐户将无法再将连接别名与目录关联。

取消共享连接别名

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择控制台上的Amazon包含要取消共享的连接别名的区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向关联,选择连接字符串,然后依次选择 Connect。操作共享/取消共享连接别名.

    还可以从连接别名详细信息页面中取消共享连接别名。为此,请在共享账户中,选择取消共享.

  5. 在存储库的共享/取消共享连接别名页面上,选择取消共享.

  6. 在要求您确认取消共享连接别名的对话框中,选择取消共享.

删除连接别名

只有当连接别名属于您的帐户并且该别名未与目录关联时,才可以删除该别名。

如果您已与其他帐户共享连接别名,并且该帐户已将连接别名与该帐户拥有的目录相关联,则该帐户必须先取消连接别名与目录的关联,然后才能删除连接别名。

重要

创建连接字符串后,它始终与Amazonaccount. 您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了它的所有实例也是如此。连接字符串全局为您的帐户保留。

警告

如果您将不再使用 FQDN 作为 WorkSpaces 用户的注册代码,则必须采取某些预防措施以防止潜在的安全问题。有关更多信息,请参阅停止使用跨区域重定向时的安全注意事项

删除连接别名

  1. 从打开 WorkSpaces 控制台https://console.aws.amazon.com/workspaces/.

  2. 在控制台的右上角,选择控制台上的Amazon包含要删除的连接别名的区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. UNTER跨区域重定向关联,选择连接字符串,然后依次选择 Connect。Delete.

    还可以从连接别名详细信息页面中删除连接别名。为此,请选择Delete在页面的右上角。

    注意

    如果Delete按钮处于禁用状态,请确保您是别名的所有者,并确保别名未与目录关联。

  5. 在要求您确认删除的对话框中,选择Delete.

用于关联和取消关联连接别名的 IAM 权限

如果您使用 IAM 用户关联或取消连接别名,则该用户必须具有workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }
重要

如果您正在创建用于关联或取消关联不拥有连接别名的账户的连接别名的 IAM 策略,则无法在 ARN 中指定账户 ID。而是必须使用*作为账户 ID,如以下策略示例所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ] }

只有当该帐户拥有要关联或取消关联的连接别名时,才能在 ARN 中指定帐户 ID。

有关使用 IAM 的更多信息,请参阅适用于 WorkSpaces 的 Identity ty of Access.

停止使用跨区域重定向时的安全注意事项

如果您将不再使用 FQDN 作为 WorkSpaces 用户的注册代码,则必须采取以下预防措施以防止潜在的安全问题:

  • 请确保向您的 WorkSpaces 用户颁发特定于区域的注册代码(例如WSpdx+ABC12D),并指示他们停止使用 FQDN 作为注册代码。

  • 如果您仍然拥有此域,请务必更新您的 DNS TXT 记录以删除此域,以便它不能在网络钓鱼攻击中被利用。如果您从 DNS TXT 记录中删除此域,并且您的 WorkSpaces 用户尝试使用 FQDN 作为注册代码,则他们的连接尝试将无害地失败。

  • 如果您不再拥有此域,您的 WorkSpaces 用户必须使用其区域特定的注册代码。如果他们继续尝试使用 FQDN 作为注册代码,他们的连接尝试可能会被重定向到恶意站点。