为 WorkSpaces Pools 目录指定 Active Directory 详细信息 - Amazon WorkSpaces
为 AD 指定组织部门和目录域名为 AD 指定服务账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

为 WorkSpaces Pools 目录指定 Active Directory 详细信息

重要

WorkSpaces Pools 功能不在北京和宁夏区域提供。

在本主题中,我们将向您展示如何在 WorkSpaces 控制台的创建 WorkSpaces Pools 目录页面中指定您的 Active Directory(AD)详细信息。在创建 WorkSpaces Pools 目录时,如果您计划在 WorkSpaces Pools 中使用 AD,则应指定 AD 详细信息。创建 WorkSpaces Pools 目录的 Active Directory 配置后,就无法对其进行编辑。以下是创建 WorkSpaces Pools 目录页面中 Active Directory 配置部分的示例。

创建 WorkSpaces Pools 目录页面的 Active Directory 配置部分
注意

配置 SAML 2.0 和创建 WorkSpaces Pools 目录主题概述了创建 WorkSpaces Pools 目录的完整过程。本页概述的过程仅代表创建 WorkSpaces Pools 目录的完整过程中的一部分步骤。

为 AD 指定组织部门和目录域名

完成以下步骤,在创建 WorkSpaces Pools 目录页面中为 AD 指定组织部门(OU)和目录域名。

  1. 对于组织部门,输入池所属的 OU。WorkSpace 计算机账户放在您为 WorkSpace 池目录指定的组织部门(OU)中。

    注意

    OU 名称中不得包含空格。如果您指定包含空格的 OU 名称,则当其尝试重新加入 Active Directory 域时,WorkSpaces 将无法正确循环计算机对象,并且无法重新加入域。

  2. 对于目录域名,输入 Active Directory 域的完全限定域名(FQDN)(例如,corp.example.com)。每个 Amazon 区域只能有一个具有特定目录名称的目录配置值。

    • 您可以将 WorkSpaces Pools 目录加入到 Microsoft Active Directory 中的域。您还可以使用现有基于云或本地的 Active Directory 域,以启动加入域的 WorkSpaces。

    • 您还可以使用 Amazon Directory Service for Microsoft Active Directory(也称为 Amazon Managed Microsoft AD)创建 Active Directory 域。然后,您可以使用该域来支持您的 WorkSpaces 资源。

    • 将 WorkSpaces 加入 Active Directory 域后,您可以:

      • 允许您的用户和应用程序从流式传输会话访问 Active Directory 资源(如打印机和文件共享)。

      • 使用组策略管理控制台 (GPMC) 中可用的组策略设置定义最终用户体验。

      • 流式传输需要用户使用 Active Directory 登录凭证进行身份验证的应用程序。

      • 将企业合规性和安全策略应用于您的 WorkSpaces 流实例。

  3. 对于服务账户,继续执行本页的下一节为 AD 指定服务账户

为 AD 指定服务账户

在目录创建过程中为 WorkSpaces Pools 配置 Active Directory(AD)时,必须指定用于管理 AD 的 AD 服务账户。这要求您提供服务账户凭证,这些凭证必须存储在 Amazon Secrets Manager 中并使用 Amazon Key Management Service(Amazon KMS)客户托管密钥进行加密。在本节中,我们将向您展示如何创建 Amazon KMS 客户托管密钥和 Secrets Manager 密钥来存储您的 AD 服务账户凭证。

步骤 1:创建 Amazon KMS 客户托管式密钥

完成以下步骤,创建 Amazon KMS 客户托管密钥

  1. https://console.aws.amazon.com/kms 打开 Amazon KMS 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 选择创建密钥,然后选择下一步

  4. 为密钥类型选择对称,为密钥使用选择加密和解密,然后选择下一步

  5. 输入密钥的别名,例如 WorkSpacesPoolDomainSecretKey,然后选择下一步

  6. 不要选择密钥管理员。选择下一步以继续。

  7. 不要定义密钥使用权限。选择下一步以继续。

  8. 在该页面的“密钥策略”部分,添加以下内容:

            {
            "Sid": "Allow access for Workspaces SP",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces.amazonaws.com"
            },
            "Action": "kms:Decrypt",
            "Resource": "*"
        }

    结果应该类似以下示例。

    Amazon KMS 密钥策略的示例。

  9. 选择完成

    您的 Amazon KMS 客户托管密钥现在可以与 Secrets Manager 一起使用了。继续执行本页的步骤 2:创建 Secrets Manager 密钥来存储 AD 服务账户凭证一节。

步骤 2:创建 Secrets Manager 密钥来存储 AD 服务账户凭证

完成以下步骤,创建 Secrets Manager 密钥来存储您的 AD 服务账户凭证。

  1. 打开位于 https://console.aws.amazon.com/secretsmanager/ 的 Amazon Secrets Manager 控制台。

  2. 选择 Create a new secret (创建新密钥)

  3. 选择其他密钥类型

  4. 对于第一个密钥/值对,为密钥输入 Service Account Name,为值输入服务账户的名称,例如 domain\username

  5. 对于第二个密钥/值对,为密钥输入 Service Account Password,为值输入服务账户的密码。

  6. 对于加密密钥,选择您之前创建的 Amazon KMS 客户托管密钥,然后选择下一步

  7. 输入密钥的名称,例如 WorkSpacesPoolDomainSecretAD

  8. 在该页面的资源权限部分,选择编辑权限

  9. 输入以下权限策略:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "workspaces.amazonaws.com"
                ]
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

  10. 选择保存以保存权限策略。

  11. 选择下一步以继续。

  12. 不要配置自动轮换。选择下一步以继续。

  13. 选择存储,以完成您密钥的存储。

您的 AD 服务账户凭证现存储在 Secrets Manager 中。继续执行本页的步骤 3:选择包含您的 AD 服务账户凭证的 Secrets Manager 密钥一节。

步骤 3:选择包含您的 AD 服务账户凭证的 Secrets Manager 密钥

完成以下过程,选择您在 Active Directory 配置中为 WorkSpaces Pools 目录创建的 Secrets Manager 密钥。

  • 对于服务账户,选择包含您的服务账户凭证的 Amazon Secrets Manager 密钥。完成以下步骤,创建密钥(如果尚未执行此操作)。密钥必须使用 Amazon Key Management Service 客户托管密钥来进行加密。

现在,您已经完成了创建 WorkSpaces Pools 目录页面中 Active Directory 配置部分内的所有字段,您可以继续完成 WorkSpaces Pools 目录的创建。转至步骤 4:创建 WorkSpace Pools 目录,并从该过程的步骤 9 开始。