Amazon 的跨区域重定向 WorkSpaces - Amazon WorkSpaces
先决条件限制步骤 1:创建连接别名(可选)步骤 2:与其他账户共享连接别名步骤 3:将连接别名与每个区域的目录相关联步骤 4:配置您的 DNS 服务并设置 DNS 路由策略步骤 5:向您的 WorkSpaces 用户发送连接字符串跨区域重定向架构图启动跨区域重定向跨区域重定向期间会发生什么取消连接别名与目录的关联取消共享连接别名删除连接别名用于关联和取消关联连接别名的 IAM 权限停止使用跨区域重定向后的安全注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的跨区域重定向 WorkSpaces

借助 Amazon 的跨区域重定向功能 WorkSpaces,您可以使用完全限定的域名 (FQDN) 作为您的注册码。 WorkSpaces跨区域重定向与您的域名系统 (DNS) 路由策略配合使用,可在主域名系统 (DNS) 路由策略 WorkSpaces 不可用 WorkSpaces 时将您的 WorkSpaces 用户重定向到替代方案。例如,通过使用 DNS 故障转移路由策略,当用户无法访问主Amazon区域 WorkSpaces 中的用户时,您可以将他们连接到您指定的故障转移区域。 WorkSpaces

您可以使用跨区域重定向和 DNS 故障转移路由策略,实现区域灾难恢复能力和高可用性。您也可以将此功能用于其他目的,例如流量分配或 WorkSpaces 在维护期间提供替代方案。如果您使用 Amazon Route 53 进行 DNS 配置,则可以利用监控亚马逊 CloudWatch 警报的运行状况检查。

要使用此功能,您必须 WorkSpaces 为两个(或更多)Amazon区域的用户进行设置。您还必须创建称为连接别名 的基于 FQDN 的特殊注册码。这些连接别名会替换您的用户特定于区域的注册码。 WorkSpaces (特定于区域的注册码仍然有效;但是,要使跨区域重定向运行,您的用户必须改用 FQDN 作为注册码。)

要创建连接别名,您需指定一个连接字符串,该字符串是您的 FQDN,如 www.example.comdesktop.example.com。要使用此域进行跨区域重定向,您必须向域注册商注册它并为您的域配置 DNS 服务。

创建连接别名后,将其与不同区域的 WorkSpaces 目录关联以创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域发生中断,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的路由策略。 WorkSpaces

要指定您的主区域和故障转移区域,您需在配置 DNS 故障转移路由策略时,定义区域优先级(主区域或辅助区域)。

先决条件

  • 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域注册商,则可以使用 Amazon Route 53 注册您的域。有关更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用 Amazon Route 53 注册域名

    重要

    您必须拥有所有必要的权限才能使用与Amazon一起使用的任何域名 WorkSpaces。您同意,该域名不会违反或侵犯任何第三方的合法权利,也不会以其他方式违反适用法律。

    域名总长度不能超过 255 个字符。有关域名的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 DNS 域名格式

    跨区域重定向既适用于公有域名,也适用于私有 DNS 区域中的域名。如果您使用的是私有 DNS 区域,则必须提供虚拟专用网络 (VPN) 与包含您的虚拟私有云 (VPC) 的连接 WorkSpaces。如果您的 WorkSpaces 用户尝试使用来自公共互联网的私有 FQDN,则 WorkSpaces 客户端应用程序会返回以下错误消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与您的 DNS 路由策略配合使用,可根据需要重定向您的 WorkSpaces 用户。

  • 在要设置跨区域重定向的每个主区域和故障转移区域中, WorkSpaces 为用户创建。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。为了保持您的 Active Directory 用户数据同步,我们建议您使用 AD Connector 指向您 WorkSpaces 为用户设置的每个区域中的同一个活动目录。有关创建的更多信息 WorkSpaces,请参阅启动 WorkSpaces

    重要

    如果您将Amazon托管 Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以供亚马逊 WorkSpaces使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。在复制的区域 WorkSpaces 内,亚马逊不支持使用Amazon托管 Microsoft AD 进行多区域复制。

    完成跨区域重定向的设置后,必须确保您的 WorkSpaces 用户使用的是基于 FQDN 的注册码,而不是其主区域的基于区域的注册码(例如)。WSpdx+ABC12D为此,您必须按照步骤 5:向您的 WorkSpaces 用户发送连接字符串中的步骤操作,向他们发送一封包含 FQDN 连接字符串的电子邮件。

    注意

    如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新用户时,都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码的邀请电子邮件。 WorkSpace这意味着,当您在故障转移区域中 WorkSpaces 为用户进行设置时,您的用户还将自动收到有关这些故障转移的电子邮件 WorkSpaces。您需要指示您的用户忽略含有基于区域的注册码的电子邮件。

限制

  • 跨区域重定向不会自动检查与主区域的连接是否失败,然后会使您无法转移 WorkSpaces 到另一个区域。换句话说,自动故障转移不会发生。

    要实施自动故障转移场景,您必须将其他机制与跨区域重定向结合使用。例如,您可以将 Amazon Route 53 故障转移 DNS 路由策略与监控主要区域 CloudWatch 警报的 Route 53 运行状况检查配对。如果触发了主区域的 CloudWatch 警报,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的策略。 WorkSpaces

  • 当您使用跨区域重定向时,用户数据不会 WorkSpaces 在不同区域之间保存。为了确保用户可以从不同的区域访问他们的文件,如果您的主区域和故障转移区域支持亚马逊 WorkDocs ,我们建议您 WorkDocs 为 WorkSpaces 用户设置亚马逊。有关亚马逊的更多信息 WorkDocs,请参阅《亚马逊 WorkDocs 管理指南》中的 Amazon WorkDocs Driv e。有关为 WorkSpace 用户启用 Amazon WorkDocs 的更多信息,请参阅向 WorkSpaces 注册目录为 Amazon Managed Microsoft AD 启用 Amazon WorkDocs。有关 WorkSpaces 用户如何在其 WorkDocs 上设置亚马逊的信息 WorkSpaces,请参阅《亚马逊 WorkSpaces 用户指南》 WorkDocs中的与集成

  • 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows 客户端应用程序支持跨区域重定向。 WorkSpaces 您也可以将跨区域重定向与 Web Access 配合使用。

  • 跨区域重定向在所有可用 Amazon 的Amazon区域中 WorkSpaces 都可用,但除了 Amazon GovCloud (US) Region s 和中国(宁夏)区域。

步骤 1:创建连接别名

使用相同的 Amazon 账户,在您要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

创建连接别名

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,为您的选择主要Amazon区域。 WorkSpaces

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向下,选择创建连接别名

  5. 对于连接字符串,输入 FQDN,例如 www.example.comdesktop.example.com。连接字符串最大长度为 255 个字符。它只能包含字母(A-Z 和 a-z)、数字(0-9)和以下字符:.-

    重要

    创建连接字符串后,它始终与您的 Amazon 账户关联。您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。

  6. (可选)在标签下,指定要与连接别名关联的任意标签。

  7. 选择创建连接别名

  8. 重复这些步骤,但是在中步骤 2,请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必使用相同的 Amazon 账户,在每个故障转移区域中创建连接别名。

(可选)步骤 2:与其他账户共享连接别名

您可以与同一 Amazon 区域中的另一个 Amazon 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除该别名。

注意

对于每个 Amazon 区域,只能将一个目录与连接别名关联。如果您与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

与其他 Amazon 账户共享连接别名

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择要与其他 Amazon 账户共享连接别名的 Amazon 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作共享/取消共享连接别名

    您也可以从详细信息页面共享连接别名的别名。为此,请在共享账户下,选择共享连接别名

  5. 共享/取消共享连接别名页面的与账户共享下,输入您要在此 Amazon 区域中与之共享连接别名的 Amazon 账户 ID。

  6. 选择共享

步骤 3:将连接别名与每个区域的目录相关联

将相同的连接别名与两个或更多区域中的 WorkSpaces 目录相关联可在目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如,如果您的主要区域是美国西部(俄勒冈)区域,则可以将美国西部(俄勒冈)地区的 WorkSpaces 目录与美国东部(弗吉尼亚北部)地区的目录配对。 WorkSpaces 如果主区域发生中断,则跨区域重定向将与您的 DNS 故障转移路由策略以及您在美国西部(俄勒冈)区域实施的任何运行状况检查结合使用,以将您的用户重定向到 WorkSpaces 您在美国东部(弗吉尼亚北部)区域为他们设置的区域。有关跨区域重定向体验的更多信息,请参阅跨区域重定向期间会发生什么

注意

如果您的 WorkSpaces 用户距离故障转移区域很远(例如,数千英里之外),则他们的 WorkSpaces 体验可能比平时响应不佳。要查看从您所在地前往各个Amazon地区的往返时间 (RTT),请使用 A mazon Connection Healt WorkSpaces h Check。

将连接别名与目录关联

对于每个 Amazon 区域,只能将连接别名与一个目录关联。如果您已与其他 Amazon 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,为您的选择主要Amazon区域。 WorkSpaces

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作关联/取消关联

    您也可以将连接别名与连接别名详细信息页面上的目录相关联。为此,请在关联的目录下,选择关联目录

  5. 关联/取消关联页面的关联到目录下,选择要在该 Amazon 区域中关联连接别名的目录。

    注意

    如果您将Amazon托管 Microsoft AD 目录配置为多区域复制,则只有主区域中的目录可以与 Amazon WorkSpaces 一起使用。尝试在 Amazon 的复制区域中使用该目录 WorkSpaces 将失败。在复制的区域 WorkSpaces 内,亚马逊不支持使用Amazon托管 Microsoft AD 进行多区域复制。

  6. 选择关联

  7. 重复这些步骤,但是在中步骤 2,请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必将相同的连接别名与每个故障转移区域中的目录相关联。

步骤 4:配置您的 DNS 服务并设置 DNS 路由策略

创建连接别名和连接别名关联对后,您可以为连接字符串中使用的域配置 DNS 服务。为此,您可以使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商,则可使用 Amazon Route 53。有关更多信息,请参阅《Amazon Route 53 开发人员指南》中的将 Amazon Route 53 配置为 DNS 服务

为域配置 DNS 服务后,您必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查来确定您的用户是否可以在特定区域连接到他们 WorkSpaces 。如果您的用户无法连接,则您可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息,请参阅《Amazon Route 53 开发人员指南》中的选择路由策略。有关 Amazon Route 53 运行状况检查的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 Amazon Route 53 如何检查资源的运行状况

在设置 DNS 路由策略时,您需要连接别名与主区域中的 WorkSpaces 目录之间的关联的连接标识符。您还需要一个或多个故障转移区域中连接别名和 WorkSpaces 目录之间关联的连接标识符。

注意

连接标识符与连接别名 ID 不同。连接别名 ID 以 wsca- 开头。

查找连接别名关联的连接标识符

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,为您的选择主要Amazon区域。 WorkSpaces

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串文本 (FQDN),以查看连接别名详细信息页面。

  5. 在连接别名详细信息页面的关联的目录下,记下为连接标识符显示的值。

  6. 重复这些步骤,但是在中步骤 2,请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域,请重复这些步骤,查找每个故障转移区域的连接标识符。

示例:使用 Route 53 设置 DNS 故障转移路由策略

以下示例为您所在域设置了公有托管区。但是,您可以设置公有或私有托管区。有关设置托管区的更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用托管区

此示例还使用了故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅《Amazon Route 53 开发人员指南》中的选择路由策略

在 Route 53 中设置故障转移路由策略时,需要针对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅《Amazon Route 53 开发人员指南》中的创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移以及创建、更新和删除运行状况检查

如果您想在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报,则还需要设置 CloudWatch 警报来监控主区域中的资源。有关的更多信息 CloudWatch,请参阅 Amazon 是什么 CloudWatch? 在《亚马逊 CloudWatch 用户指南》中。有关 Route 53 如何在其运行状况检查中使用 CloudWatch 警报的更多信息,请参阅Amazon Route 53 开发者指南》中的 Route 53 如何确定监控 CloudWatch 警报的运行状况检查的状态和监控警 CloudWatch 报。

要在 Route 53 中设置 DNS 故障转移路由策略,您首先需要为您的域创建一个托管区。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择托管区,然后选择创建托管区

  3. 已创建的托管区页面上,在域名下输入您的域名(例如 example.com)。

  4. 类型下,选择公有托管区

  5. 选择创建托管区域

然后为您的主区域创建运行状况检查。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择运行状况检查,然后选择创建运行状况检查

  3. 配置运行状况检查页面上,输入运行状况检查的名称。

  4. 在 “要监控的内容” 中,选择 “终端节点”、“其他运行状况检查的状态(计算的运行状况检查)” 或 “ CloudWatch 警报状态”。

  5. 根据您在上一步中选择的内容,配置您的运行状况检查,然后选择下一步

  6. 在运行状况检查失败时收到通知页面上,对于创建警报,选择

  7. 选择创建运行状况检查

在创建运行状况检查后,您可以创建 DNS 故障转移记录。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域)

  3. 托管区页面上,选择您的域名。

  4. 在域名的详细信息页面上,选择创建记录

  5. 选择路由策略页面上,选择故障转移,然后选择下一步

  6. 配置记录页面的基本配置下,对于记录名称,输入您的子域名。例如,如果您的 FQDN 是 desktop.example.com,请输入 desktop

    注意

    如果要使用根域,请将记录名称留空。但是,我们建议您使用子域名,例如desktopworkspaces,除非您已将该域名设置为仅用于您 WorkSpaces的。

  7. 对于记录类型,选择 TXT - 用于验证电子邮件发件人和应用程序特定的值

  8. TTL 秒设置保留为默认值。

  9. 要添加到 your_domain_name 的故障转移记录下,选择定义故障转移记录

现在,您需要为主区域和故障转移区域设置故障转移记录。

示例:为您的主区域设置故障转移记录

  1. 定义故障转移记录对话框中,对于值/流量路由至,选择 IP 地址或其他值(具体取决于记录类型)

  2. 这时,将打开一个框供您输入示例文本条目。输入您主区域的连接别名关联的连接标识符。

  3. 对于故障转移记录类型,选择

  4. 运行状况检查中,选择您为主区域创建的运行状况检查。

  5. 对于记录 ID,输入描述以识别此记录。

  6. 选择定义故障转移记录。新故障转移记录将显示在要添加到 your_domain_name 的故障转移记录下方。

示例:为您的故障转移区域设置故障转移记录

  1. 要添加到 your_domain_name 的故障转移记录下,选择定义故障转移记录

  2. 定义故障转移记录对话框中,对于值/流量路由至,选择 IP 地址或其他值(具体取决于记录类型)

  3. 这时,将打开一个框供您输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。

  4. 对于故障转移记录类型,选择辅助

  5. (可选)对于运行状况检查,输入您为故障转移区域创建的运行状况检查。

  6. 对于记录 ID,输入描述以识别此记录。

  7. 选择定义故障转移记录。新故障转移记录将显示在要添加到 your_domain_name 的故障转移记录下方。

如果您为主区域设置的运行状况检查失败,则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您的故障转移区域。Route 53 继续监控您的主要区域的运行状况检查,当您的主区域的运行状况检查不再失败时,Route 53 会自动将您的 WorkSpaces 用户重定向回主区域 WorkSpaces 中的用户。

有关创建 DNS 记录的更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用 Amazon Route 53 控制台创建记录。有关配置 DNS TXT 记录的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 TXT 记录类型

步骤 5:向您的 WorkSpaces 用户发送连接字符串

要确保在中断期间根据需要重定向用户,您必须 WorkSpaces 将连接字符串 (FQDN) 发送给您的用户。如果您已经向 WorkSpaces 用户发布了基于区域的注册码(例如WSpdx+ABC12D),则这些代码仍然有效。但是,要使跨区域重定向起作用,您的 WorkSpaces 用户在 WorkSpaces 客户端应用程序 WorkSpaces 中注册时必须使用连接字符串作为注册码。

重要

如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户,则每当您启动新用户时,都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码(例如WSpdx+ABC12D)的邀请电子邮件。 WorkSpace即使您已经设置了跨区域重定向,自动发送的新版邀请电子邮件也 WorkSpaces 包含此基于区域的注册码,而不是您的连接字符串。

要确保您的 WorkSpaces 用户使用的是连接字符串而不是基于区域的注册码,您必须按照以下步骤向他们发送另一封包含连接字符串的电子邮件。

向您的 WorkSpaces 用户发送连接字符串

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,为您的选择主要Amazon区域。 WorkSpaces

  3. 在导航窗格中,选择。WorkSpaces

  4. 在该WorkSpaces页面上,使用搜索框搜索要向其发送邀请的用户,然后 WorkSpace 从搜索结果中选择相应的用户。 WorkSpace 一次只能选择一个。

  5. 依次选择 Actions (操作)Invite User (邀请用户)

  6. 邀请用户加入他们的 WorkSpaces页面上,您将看到一个要发送给用户的电子邮件模板。

  7. (可选)如果有多个连接别名与您的 WorkSpaces 目录相关联,请从 Connection 别名字符串列表中选择您希望用户使用的连接字符串。电子邮件模板将更新以显示您选择的字符串。

  8. 使用您自己的电子邮件应用程序,复制电子邮件模板文本,并将其粘贴到要发送给用户的电子邮件中。在电子邮件应用程序中,您可以根据需要修改文本。当邀请电子邮件准备就绪之后,将其发送给用户。

跨区域重定向架构图

下图描述了跨区域重定向的部署过程。

跨区域重定向
注意

跨区域重定向只能促进跨区域故障转移和回退。它不利于 WorkSpaces 在辅助区域中创建和维护,也不允许跨区域数据复制。 WorkSpaces 在主区域和次要区域中,都应分开管理。

启动跨区域重定向

发生中断时,您可以手动更新 DNS 记录,也可以使用基于运行状况检查的自动路由策略,从而确定故障转移区域。我们建议遵循使用 Amazon Route 53 创建灾难恢复机制中概述的灾难恢复机制。

跨区域重定向期间会发生什么

在区域故障转移期间,您的 WorkSpaces 用户将与主区域 WorkSpaces 的用户断开连接。当他们尝试重新连接时,会收到以下错误消息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然后,系统会提示您的用户重新登录。如果他们使用 FQDN 作为注册码,则当他们再次登录时,您的 DNS 故障转移路由策略会将他们重定向到您在故障转移区域中为他们设置的路由策略。 WorkSpaces

注意

在某些情况下,用户在再次登录时可能无法重新连接。如果出现这种情况,他们必须关闭并重新启动 WorkSpaces 客户端应用程序,然后尝试再次登录。

取消连接别名与目录的关联

只有拥有目录的账户才能取消连接别名与该目录的关联。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该账户,取消连接别名与该目录的关联。

取消连接别名与目录的关联

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择包含您要取消关联的连接别名的 Amazon 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作关联/取消关联

    您也可以取消连接别名与连接别名详细信息页面的关联。为此,请在关联的目录下,选择取消关联

  5. 关联/取消关联页面上,选择取消关联

  6. 在要求您确认取消关联的对话框中,选择取消关联

取消共享连接别名

只有连接别名的所有者才能取消共享该别名。如果您取消与某个账户共享连接别名,则该账户将无法再将该连接别名与目录相关联。

取消共享连接别名

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择包含您要取消共享的连接别名的 Amazon 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作共享/取消共享连接别名

    您也可以取消连接别名与连接别名详细信息页面的共享。为此,请在共享账户下选择取消共享

  5. 共享/取消共享连接别名页面上,选择取消共享

  6. 在要求您确认取消共享连接别名的对话框中,选择取消共享

删除连接别名

只有当连接别名归您的账户所有且未与目录关联时,您才能删除该别名。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先取消连接别名与目录的关联,然后您才能删除该别名。

重要

创建连接字符串后,它始终与您的 Amazon 账户关联。您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。

警告

如果您不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取某些预防措施来防止出现潜在的安全问题。有关更多信息,请参见 停止使用跨区域重定向后的安全注意事项

删除连接别名

  1. 打开 WorkSpaces 控制台,网址为 https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择包含您要删除的连接别名的 Amazon 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择删除

    您也可以从连接别名详细信息页面删除连接别名。为此,请在页面右上角,选择删除

    注意

    如果禁用删除按钮,请确保您是别名的所有者,并确保该别名未与目录关联。

  5. 在要求您确认删除的对话框中,选择删除

用于关联和取消关联连接别名的 IAM 权限

如果您使用 IAM 用户关联或取消关联连接别名,则该用户必须拥有 workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias 的权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
重要

如果您正在创建 IAM 策略来关联或取消关联不拥有连接别名的账户的连接别名,则无法在 ARN 中指定账户 ID。您必须改用账户 ID 的 *,如以下示例策略所示。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

只有当账户拥有要关联或取消关联的连接别名时,您才能在 ARN 中指定该账户 ID。

有关使用 IAM 的更多信息,请参阅 对 WorkSpaces 进行身份和访问管理

停止使用跨区域重定向后的安全注意事项

如果您不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取以下预防措施来防止出现潜在的安全问题:

  • 请务必向 WorkSpaces 用户发放其 WorkSpaces 目录中特定于区域的注册码(例如WSpdx+ABC12D),并指示他们停止使用 FQDN 作为注册码。

  • 如果您仍然拥有该域,请务必更新您的 DNS TXT 记录以删除该域,这样它就不会在网络钓鱼攻击中遭到利用。如果您从 DNS TXT 记录中删除此域名,而您的 WorkSpaces 用户尝试使用 FQDN 作为注册码,则他们的连接尝试将无害地失败。

  • 如果您不再拥有该域名,则您的 WorkSpaces 用户必须使用其区域特定的注册码。如果他们继续尝试使用 FQDN 作为注册码,则系统可能会将其连接尝试重定向到恶意站点。