AmazonWorkSpaces管理指南AmazonWorkSpaces管理指南AmazonWorkSpaces:管理指南AmazonWorkSpaces管理指南TableofContents什么是AmazonWorkSpaces1Features1Architecture1访问您的WorkSpace2Pricing3怎样开始使用3入门:快速设置4开始前的准备工作4步骤1:启动WorkSpace4步骤2:连接到WorkSpace6步骤3:清除(可选)7后续步骤7网络和访问8的协议AmazonWorkSpaces8VPC要求8配置具有私有子网和NAT网关的VPC9通过公有子网配置VPC12工作区的可用性区域14IP地址和端口要求15用于客户端应用程序的端口15要添加到允许列表的域和IP地址161617运行状况检查服务器17PCoIP网关服务器17WSPbeta网关服务器18网络接口18网络要求19受信任设备21步骤1:创建证书21步骤2:将客户端证书部署到受信任设备22步骤3:配置限制22Internet访问22安全组23IP访问控制组24创建IP访问控制组24将IP访问控制组与目录关联25复制IP访问控制组25删除IP访问控制组25PCoIP零客户端25启用SSH连接26到AmazonLinuxWorkSpaces的SSH连接的先决条件26启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接27启用与特定AmazonLinuxWorkSpace的SSH连接28使用Linux或AmazonLinux连接到WorkSpacePuTTY28必需配置29必需路由表配置29必需服务组件29目录31注册目录31更新目录详细信息32选择组织单位32配置自动IP地址33控制设备访问33iiiAmazonWorkSpaces管理指南管理本地管理员权限34更新ADConnector账户(ADConnector)34多重验证(ADConnector)34更新工作区的DNS服务器35最佳实践35第1步:更新工作区中的DNS服务器设置36第2步:更新活动目录的DNS服务器设置37第3步:测试更新的DNS服务器设置37删除目录39为MicrosoftActiveDirectory启用AmazonWorkDocs40设置目录管理40启动WorkSpace43启动使用AWS托管的MicrosoftAD的项43开始前的准备工作44步骤1:创建AWS托管的MicrosoftAD目录44步骤2:创建WorkSpace45步骤3:连接到WorkSpace45后续步骤46使用SimpleAD启动46开始前的准备工作46步骤1:创建SimpleAD目录46步骤2:创建WorkSpace47步骤3:连接到WorkSpace48后续步骤48使用ADConnector启动49开始前的准备工作49步骤1:创建ADConnector49步骤2:创建WorkSpace50步骤3:连接到WorkSpace51后续步骤51使用受信任域启动51开始前的准备工作52步骤1:建立信任关系52步骤2:创建WorkSpace52步骤3:连接到WorkSpace53后续步骤53管理WorkSpace用户54管理WorkSpaces用户54编辑用户信息54添加或删除用户54发送邀请电子邮件55创建多个WorkSpaces用户55自定义用户登录方式WorkSpaces55启用自助服务WorkSpace用户的管理能力57管理您的WorkSpaces59管理您的WindowsWorkSpaces59安装的组策略管理模板PCoIP60安装的组策略管理模板文件WSPbeta63设置Kerberos票证的最长使用期限67管理您的AmazonLinuxWorkSpaces68控制PCoIPAmazonLinux上的WorkSpaces代理行为68为AmazonLinuxWorkSpaces启用或禁用剪贴板重定向68向AmazonLinuxWorkSpaces管理员授予SSH访问权限69覆盖AmazonLinuxWorkSpaces的默认Shell69保护自定义资料库免遭未授权访问69使用AmazonLinuxExtras库存储库70使用智能卡进行身份验证70ivAmazonWorkSpaces管理指南管理运行模式73修改运行模式74停止和启动AutoStopWorkSpace74修改WorkSpace75更改卷大小75更改捆绑包类型76为WorkSpaces资源加标签76WorkSpace维护77AlwaysOnWorkSpaces的维护时段78AutoStopWorkSpaces的维护时段78手动维护78加密WorkSpaces79Prerequisites79Limits80加密WorkSpaces80查看加密的WorkSpaces80IAM权限和加密的角色80重启WorkSpace82重建WorkSpace82还原WorkSpace83升级Windows10BYOLWorkSpaces84Prerequisites84重要注意事项84已知限制条件85注册表项设置摘要85执行就地升级的步骤86Troubleshooting88使用WorkSpace脚本更新PowerShell注册表88迁移WorkSpace89迁移限制89可用的迁移方案90迁移过程中会发生什么90最佳实践91Troubleshooting91账单如何受到影响91迁移WorkSpace92删除WorkSpace92服务包和映像94创建自定义映像和服务包94创建Windows自定义映像的要求95创建AmazonLinux自定义映像的要求95最佳实践95步骤1:运行映像检查程序96步骤2:创建自定义映像和自定义服务包102WindowsWorkSpaces自定义映像中包含的内容103AmazonLinux自定义映像中包含的内容WorkSpace103更新自定义服务包104复制自定义映像105共享或取消共享自定义映像106删除自定义捆绑包或映像107自带Windows桌面许可证108Requirements108支持BYOL的Windows版本109将MicrosoftOffice添加到您的BYOL图像109第1步:使用为您的帐户启用BYOLAmazonWorkSpaces控制台112第2步:在WindowsVM上运行BYOLCheckerPowerShell脚本113第3步:从虚拟化环境中导出VM114vAmazonWorkSpaces管理指南第4步:将VM作为图像导入AmazonEC2114第5步:使用创建一个BYOL图像AmazonWorkSpaces控制台114第6步:从BYOL图像创建自定义捆绑组合115第7步:注册专用工作区目录115第8步:启动您的BYOL工作区116监控您的WorkSpaces117使用CloudWatch指标监控117AmazonWorkSpaces指标117AmazonWorkSpaces指标的维度118监控示例119使用CloudWatchEvents监控120WorkSpaces事件120创建规则以处理WorkSpaces事件121业务连续性123跨区域重定向123Prerequisites124Limitations124步骤1:创建连接别名125(可选)步骤2:与其他账户共享连接别名125步骤3:将您的连接别名与每个区域中的目录关联126步骤4:配置DNS服务并设置DNS路由策略126步骤5:将连接字符串发送给您的WorkSpaces用户129跨区域重定向期间发生的事件129取消连接别名与目录的关联130取消共享连接别名130删除连接别名130停止使用跨区域重定向时的安全注意事项131安全性132数据保护132静态加密133传输中加密133IdentityandAccessManagement133创建workspaces_DefaultRole角色135在IAM策略中指定AmazonWorkSpaces资源136合规性验证138弹性139基础设施安全性139网络隔离139物理主机上的隔离140企业用户授权140通过VPC接口终端节点发出AmazonWorkSpacesAPI请求140为AmazonWorkSpaces创建VPC终端节点策略141将您的专用网络连接到VPC141更新管理142AmazonWAM142问题排查143启用高级日志记录143排查特定问题144我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符145我更改了AmazonLinuxWorkSpace的shell,现在我无法预配置PCoIP会话145我的AmazonLinuxWorkSpaces不会启动146在我连接的目录中启动WorkSpaces通常会失败146启动WorkSpaces失败,出现内部错误147我的用户无法连接到具有交互式登录横幅的WindowsWorkSpace147我的用户无法连接到WindowsWorkSpace147AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
148viAmazonWorkSpaces管理指南我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
148我的用户收到消息"ThisdeviceisnotauthorizedtoaccesstheWorkSpace.
请联系您的管理员寻求帮助.
148我的用户收到消息"Nonetwork.
网络连接丢失.
请检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace149客户端会向我的用户提供网络错误,但他们可以在其设备上使用其他启用网络的应用程序WorkSpaces149我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
150我的PCoIP零客户端用户收到错误"提供的证书由于时间戳而无效"150我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示151我的用户没有收到邀请电子邮件或密码重置电子邮件151我的用户在客户端登录屏幕上看不到"忘记密码"选项151当我尝试在WindowsWorkSpace上安装应用程序时,收到消息"系统管理员已设置策略以阻止此安装"151我的目录中的任何WorkSpaces都无法连接到Internet152我的WorkSpace已失去Internet访问权限152当我尝试连接我的本地目录时收到一条"DNSunavailable"错误152在尝试连接到我的本地目录时,我收到一条"Connectivityissuesdetected"错误152在尝试连接到我的本地目录时,我收到一条"SRVrecord"错误152我的WindowsWorkSpace在空闲时进入睡眠状态153我的WorkSpaces之一的状态为UNHEALTHY153我的WorkSpace意外崩溃或重启154同一用户名有多个WorkSpace,但用户只能登录到WorkSpaces中的一个155我在将Docker与AmazonWorkSpaces结合使用时遇到问题156我的一些API调用收到了ThrottlingException错误156配额157文档历史记录158早期更新159clxiiviiAmazonWorkSpaces管理指南Features什么是AmazonWorkSpacesAmazonWorkSpacesStreamingProtocol(WSP)WorkSpacesareavailableasabetaserviceandaresubjecttochange.
WSPbetaWorkSpacesshouldnotbeusedforproductionworkloads.
FormoreinformationabouttheWSPbeta,seeAmazonWorkSpacesStreamingProtocol(beta).
借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟MicrosoftWindows或AmazonLinux桌面(称为WorkSpace).
AmazonWorkSpaces使您无需购买和部署硬件或安装复杂的软件.
您可以根据需求的变更,快速添加或删除用户.
用户可以从多个设备或Web浏览器访问自己的虚拟桌面.
有关更多信息,请参阅AmazonWorkSpaces.
Features选择您的操作系统(Windows或AmazonLinux),然后在一系列硬件配置、软件配置和AWS区域中选择.
有关更多信息,请参阅亚马逊WorkSpaces捆绑包.
选择您的方案:PCoIP或WorkSpacesStreamingProtocol(WSP)beta.
有关更多信息,请参阅的协议AmazonWorkSpaces(p.
8).
连接到您的WorkSpace然后从您离开的右侧开始.
AmazonWorkSpaces提供持久的桌面体验.
AmazonWorkSpaces提供每月或每小时结算的灵活性WorkSpaces.
有关更多信息,请参阅AmazonWorkSpaces定价.
为您的Windows部署和管理应用程序WorkSpaces通过使用AmazonWorkSpacesApplicationManager(人AmazonWAM).
对于Windows桌面,您可以自带许可证和应用程序,或从适用于桌面应用程序的AWSMarketplace中购买应用程序.
为您的用户创建一个独立的托管目录,或连接您的WorkSpaces到您的本地目录,以便您的用户可以使用其现有凭证来获得对公司资源的无缝访问.
使用相同的工具来管理WorkSpaces用于管理本地桌面的.
使用多重身份验证(MFA),以增强安全性.
使用AWSKeyManagementService(AWSKMS)来加密静态数据、磁盘I/O和卷快照.
控制允许用户访问其的IP地址WorkSpaces.
Architecture对于Windows和AmazonLinuxWorkSpaces,每个WorkSpace与虚拟私有云(VPC)和用于存储和管理您WorkSpaces和用户.
目录通过AWSDirectoryService,提供以下选项:简单的AD、AD连接器或AWS用于MicrosoftActiveDirectory的Directory服务,也称为AWS托管MicrosoftAD.
有关更多信息,请参阅AWSDirectoryServiceAdministrationGuide.
AmazonWorkSpaces使用目录(AWSDirectoryService或AWS托管的MicrosoftAD)来验证用户身份.
用户访问其WorkSpaces通过使用客户端应用程序(从受支持的设备或Windows)WorkSpaces、Web浏览器,并且他们使用其目录凭证登录.
登录信息将发送到身份验证网关,身份验证网关将流量转发到WorkSpace.
用户经过身份验证后,通过流网关启动流流量.
1AmazonWorkSpaces管理指南访问您的WorkSpace客户端应用程序使用HTTPS通过端口443处理所有身份验证及与会话相关的信息,客户端应用程序使用端口4172(PCoIP)和端口4195(WSPbeta)用于像素流到WorkSpace和端口4172和4195进行网络健康检查.
有关更多信息,请参阅用于客户端应用程序的端口(p.
15).
每WorkSpace有两个与其关联的弹性网络接口:一个用于管理和流式传输的网络接口(eth0)和一个主要网络接口(eth1).
主网络接口的IP地址由VPC(其子网与目录所用的子网相同)提供.
这可确保来自您的WorkSpace可以轻松访问目录.
对VPC中资源的访问权限由分配给主网络接口的安全组控制.
有关更多信息,请参阅网络接口(p.
18).
下图演示了AmazonWorkSpaces的架构.
有关其他架构图,请参阅部署AmazonWorkSpaces的最佳实践白皮书.
访问您的WorkSpace您可以连接到您的WorkSpaces通过使用客户端应用程序,支持的设备或WindowsWorkSpaces在支持的操作系统上使用支持的Web浏览器.
Note您不能使用Web浏览器连接到AmazonLinuxWorkSpaces.
客户端应用程序可用于以下设备:Windows计算机macOS计算机UbuntuLinux18.
04计算机iPadAndroid设备Fire平板电脑零客户端设备(Teradici零客户端设备仅支持PCoIP.
)2AmazonWorkSpaces管理指南Pricing有关更多信息,请参阅AmazonWorkSpaces中的AmazonWorkSpaces用户指南客户端.
Pricing注册AWS后,您便可通过AmazonWorkSpaces免费套餐优惠开始免费使用AmazonWorkSpaces;.
有关更多信息,请参阅AmazonWorkSpaces定价.
使用AmazonWorkSpaces,您只需按实际用量付费.
您将根据捆绑包和WorkSpaces启动.
AmazonWorkSpaces的定价包含SimpleAD和ADConnector的使用,但不包含AWS托管的MicrosoftAD的使用.
AmazonWorkSpaces提供每月或每小时WorkSpaces.
每个月开单,不限使用,按固定收费,最好是使用WorkSpaces全职.
通过每小时计费,您每月支付少量固定费用WorkSpace,加上每小时的低小时费率,WorkSpace正在运行.
有关更多信息,请参阅AmazonWorkSpaces定价.
怎样开始使用要创建WorkSpace,请尝试以下教程之一:使用AmazonWorkSpaces快速设置来入门(p.
4)启动使用WorkSpace托管的MicrosoftAD的AWS(p.
43)使用SimpleAD启动WorkSpace(p.
46)使用ADConnector启动WorkSpace(p.
49)使用受信任域启动WorkSpace(p.
51)3AmazonWorkSpaces管理指南开始前的准备工作使用AmazonWorkSpaces快速设置来入门在本教程中,您将了解如何使用AmazonLinux和预置基于云的虚拟MicrosoftWindows或WorkSpace桌面(也称为AmazonWorkSpaces).
AWSDirectoryService本教程使用快速设置选项启动您的WorkSpace.
此选项仅在您从未启动过WorkSpace时可用.
或者,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
Note只在以下AWS区域中支持快速设置:美国东部(弗吉尼亚北部)美国西部(俄勒冈)欧洲(爱尔兰)亚太区域(新加坡)亚太区域(悉尼)亚太区域(东京)要更改您的区域,请参阅选择区域.
任务开始前的准备工作(p.
4)步骤1:启动WorkSpace(p.
4)步骤2:连接到WorkSpace(p.
6)步骤3:清除(可选)(p.
7)后续步骤(p.
7)开始前的准备工作您必须拥有AWS账户才能创建或管理WorkSpace.
用户连接和使用其WorkSpaces无需AWS账户.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
有关更多信息,请参阅AmazonWorkSpaces服务包.
当您启动WorkSpace时,必须选择要用于捆绑的协议(PCoIP或WorkSpaces流式处理协议[WSP]).
有关更多信息,请参阅的协议AmazonWorkSpaces(p.
8).
启动WorkSpace时,您必须为用户指定配置文件信息,包括用户名和电子邮件地址.
用户通过指定密码完成其配置文件.
有关WorkSpaces和用户的信息存储在目录中.
AmazonWorkSpaces并非在所有区域均可用.
验证支持的区域,并为您的选择区域.
WorkSpaces有关支持的区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
步骤1:启动WorkSpace使用快速设置,您可以在几分钟内启动您的第一个WorkSpace.
4AmazonWorkSpaces管理指南步骤1:启动WorkSpace启动WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
选择GetStartedNow.
如果您未看到此按钮,则表示您已在此区域中启动WorkSpace,或者您未使用某个支持快速设置的区域(p.
4).
在这种情况下,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
3.
在GetStartedwithAmazonWorkSpaces(开始使用AmazonWorkSpaces)页面的QuickSetup(快速设置)旁边,选择Launch(启动).
4.
对于Bundles,请使用适当的协议(PCoIP或WSP)为用户选择捆绑(硬件和软件).
有关可用于AmazonWorkSpaces的各种公有服务包的更多信息,请参阅AmazonWorkSpaces服务包.
5.
对于EnterUserDetails,填写Username、FirstName、LastName和Email.
6.
选择启动WorkSpaces.
7.
在确认页面上,选择查看WorkSpaces控制台.
启动WorkSpace大约需要20分钟.
要监控进度,请转到左侧导航窗格并选择Directories.
您将看到创建一个目录,其初始状态为REQUESTED,然后是CREATING.
5AmazonWorkSpaces管理指南步骤2:连接到WorkSpace在创建目录并且目录状态为ACTIVE后,您可以在左侧导航窗格中选择WorkSpacesWorkSpace以监控启动过程的进度.
的初始状态为WorkSpace.
PENDING启动完成后,状态会变为AVAILABLE,然后系统会向您为用户指定的电子邮件地址发送邀请.
快速设置快速设置将代表您完成以下任务:创建一个IAM角色以允许AmazonWorkSpaces服务创建弹性网络接口并列出您的AmazonWorkSpaces目录.
此角色的名称为workspaces_DefaultRole.
创建VirtualPrivateCloud(VPC).
在VPC中设置用于存储用户和WorkSpace信息的SimpleAD目录.
该目录有一个管理员账户并为AmazonWorkDocs启用.
创建指定用户账户并将其添加到目录.
创建WorkSpace实例.
每个WorkSpace接收一个公有IP地址以提供Internet访问.
运行模式为AlwaysOn.
有关更多信息,请参阅管理WorkSpace运行模式(p.
73).
向指定的用户发送邀请电子邮件.
Note快速设置创建的第一个用户账户是您的管理员用户账户.
您无法从AmazonWorkSpaces控制台更新此用户账户.
请勿与任何其他人分享此管理员账户的信息.
如果您希望邀请其他用户使用此WorkSpace,请为他们创建新的用户账户.
步骤2:连接到WorkSpace收到邀请电子邮件后,您可以使用所选的客户端连接到WorkSpace.
登录后,客户端会显示WorkSpace桌面.
连接到WorkSpace1.
如果您尚未为用户设置凭证,则打开邀请电子邮件中的链接,按照指示操作.
请记住您指定的密码,因为您需要它来连接到您的WorkSpace.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
密码必须混合使用以下四类字符:小写字母(a-z)、大写字母(A-Z)、数字(0-9)以及集合2.
查看AmazonWorkSpaces中的AmazonWorkSpaces用户指南客户端,了解有关每个客户端的要求的更多信息,然后执行以下操作之一:根据系统提示,下载一个客户端应用程序或启动WebAccess.
如果您未看到提示且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载客户端应用程序之一或启动WebAccess.
Note您无法使用Web浏览器(Web访问)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户名和密码,然后选择登录.
6AmazonWorkSpaces管理指南步骤3:清除(可选)5.
(可选)当系统提示您保存凭证时,选择Yes.
有关使用客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅AmazonWorkSpaces中的客户端和外围设备支持.
AmazonWorkSpaces用户指南步骤3:清除(可选)如果您使用完为本教程创建的WorkSpace,则可将其删除.
删除WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择您的WorkSpace,然后选择Actions(操作)、RemoveWorkSpaces(删除环境).
4.
当系统提示您确认时,选择RemoveWorkSpaces(删除环境).
5.
(可选)如果您不打算将目录用于另一个应用程序(如AmazonWorkDocs、AmazonWorkMail或AmazonChime),可将其删除,步骤如下:a.
在导航窗格中,选择Directories.
b.
选择目录,然后选择Actions和Deregister.
c.
再次选择目录,然后选择Actions和Delete.
d.
当系统提示进行确认时,选择Delete(删除).
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后从WorkSpace中创建自定义服务包.
您还可以为WorkSpaces和WorkSpaces目录执行各种管理任务.
有关更多信息,请参阅以下文档.
创建自定义WorkSpaces映像和服务包(p.
94)管理您的WorkSpaces(p.
59)管理AmazonWorkSpaces目录(p.
31)要创建其他WorkSpaces,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个监视器或使用外围设备,请参阅中的AmazonWorkSpaces客户端和PeripheralDeviceSupport.
AmazonWorkSpaces用户指南7AmazonWorkSpaces管理指南的协议AmazonWorkSpacesAmazonWorkSpaces的网络和访问作为WorkSpace管理员,您必须了解以下有关AmazonWorkSpaces网络和访问的内容.
内容的协议AmazonWorkSpaces(p.
8)为AmazonWorkSpaces配置VPC(p.
8)可用性区域AmazonWorkSpaces(p.
14)AmazonWorkSpaces的IP地址和端口要求(p.
15)AmazonWorkSpaces客户端网络要求(p.
19)限制对受信任设备的WorkSpaces访问(p.
21)从您的WorkSpace提供Internet访问(p.
22)WorkSpace的安全组(p.
23)适用于您的WorkSpace的IP访问控制组(p.
24)为PCoIP设置WorkSpaces零客户端(p.
25)为Linux启用SSH连接WorkSpaces(p.
26)所需的配置和服务组件WorkSpaces(p.
29)的协议AmazonWorkSpacesAmazonWorkSpacesStreamingProtocol(WSP)WorkSpacesareavailableasabetaserviceandaresubjecttochange.
WSPbetaWorkSpacesshouldnotbeusedforproductionworkloads.
FormoreinformationabouttheWSPbeta,seeAmazonWorkSpacesStreamingProtocol(beta).
AmazonWorkSpaces支持两种协议:PCoIP和WorkSpacesStreamingProtocol(WSP)beta.
您选择的协议取决于多种因素,例如,您的用户将从中访问其WorkSpaces的设备的类型、哪个操作系统位于您的WorkSpaces上、您的用户将面对哪些网络条件以及您的用户是否需要双向视频支持.
这两个协议提供以下功能:PCoIP支持Teradici零客户端设备.
支持Windows7、10和LinuxWorkSpaces.
WSPbeta使用户能够在全球距离和不确定的网络条件下保持成效.
支持双向视频和网络摄像机.
支持Windows10WorkSpaces.
为AmazonWorkSpaces配置VPCAmazonWorkSpaces在VirtualPrivateCloud(VPC)中启动您的WorkSpaces.
您的WorkSpaces必须有权访问Internet,以便您能够将更新安装到操作系统并使用AmazonWorkSpacesApplicationManager(AmazonWAM)部署应用程序.
8AmazonWorkSpaces管理指南配置具有私有子网和NAT网关的VPC您可以为WorkSpaces创建具有两个私有子网的VPC,并在公有子网中创建一个NAT网关.
或者,您可以为WorkSpaces创建具有两个公有子网的VPC,并将弹性IP地址与每个WorkSpace关联.
VPC要求您的VPC的子网必须位于您正在其中启动WorkSpaces的区域中的不同可用区中.
可用区是被设计为可以隔离其他可用区的故障的不同位置.
通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响.
每个子网都必须完全位于一个可用区之内,不能跨越多个可用区.
NoteAmazonWorkSpaces在每个受支持的区域中的可用区的子集中可用.
要确定可用于用于WorkSpaces的VPC子网的可用区,请参阅可用性区域AmazonWorkSpaces(p.
14).
选项配置具有私有子网和NAT网关的VPC(p.
9)通过公有子网配置VPC(p.
12)配置具有私有子网和NAT网关的VPC如果您使用AWSDirectoryService来创建AWS托管的MicrosoftAD或SimpleAD,我们建议您使用一个公有子网和两个私有子网来配置VPC.
配置您的目录以在私有子网中启动您的WorkSpaces.
要提供对私有子网中WorkSpaces的Internet访问,请在公有子网中配置NAT网关.
Prerequisites9AmazonWorkSpaces管理指南配置具有私有子网和NAT网关的VPC如果您还不熟悉如何使用VPCs和子网,建议您在执行以下任务之前阅读IPv4中的VPC和子网大小调整AmazonVPC用户指南.
任务步骤1:分配弹性IP地址(p.
10)步骤2:创建VPC(p.
10)步骤3:再添加一个私有子网(p.
11)步骤4:验证和命名路由表(p.
11)步骤1:分配弹性IP地址按照如下所示为您的NAT网关分配弹性IP地址.
请注意,如果您使用其他方法来提供Internet访问,则可以跳过此步骤.
分配弹性IP地址1.
打开AmazonVPC控制台https://console.
amazonaws.
cn/vpc/.
2.
在导航窗格中,选择ElasticIPs(弹性).
3.
选择Allocatenewaddress.
4.
在Allocatenewaddress页面上,对于iPv4addresspool,选择Amazonpool或Ownedbyme,然后选择Allocate.
5.
记下弹性IP地址,然后选择关闭.
步骤2:创建VPC按照如下所示创建具有一个公有子网和两个私有子网的VPC.
创建VPC1.
打开AmazonVPC控制台https://console.
amazonaws.
cn/vpc/.
2.
在导航窗格中,选择左上角的VPCDashboard(VPC控制面板).
3.
选择LaunchVPCWizard(启动VPC向导).
4.
选择VPCwithPublicandPrivateSubnets,然后选择Select.
5.
按下面所示配置VPC:a.
对于IPv4CIDRblock(AWS数据块),输入VPC的CIDR块.
我们建议您使用私有(非公共可路由)IP地址范围(RFC1918中所指定)内的CIDR块.
例如,10.
0.
0.
0/16.
有关更多信息,请参阅中的IPv4的VPC和子网大小调整.
AmazonVPC用户指南b.
对于IPv6CIDR块,保留无IPv6CIDR块.
c.
在VPC名称中,输入VPC的名称.
6.
按照如下所示配置公有子网:a.
对于IPv4CIDR块,输入子网的CIDR块.
有关更多信息,请参阅中的IPv4的VPC和子网大小调整.
AmazonVPC用户指南b.
对于可用区,保留无首选项.
c.
对于公有子网名称,输入子网的名称(例如,WorkSpacesPublicSubnet).
7.
按照如下所示配置第一个私有子网:a.
对于Privatesubnet'sIPv4CIDR(私有子网的CIDR),输入子网的CIDR块.
b.
要为AvailabilityZone(可用区)进行适当的选择,请参阅可用性区域AmazonWorkSpaces(p.
14).
10AmazonWorkSpaces管理指南配置具有私有子网和NAT网关的VPCc.
对于私有子网名称,输入子网的名称(例如,WorkSpacesPrivateSubnet1).
8.
对于ElasticIPAllocationID,选择您创建的弹性IP地址.
请注意,如果您使用其他方法来提供Internet访问,则可以跳过此步骤.
9.
对于服务终端节点,不执行任何操作.
10.
对于启用DNS主机名,保留是.
11.
对于硬件租赁,请保留默认值.
12.
选择CreateVPC(创建VPC).
请注意,设置您的VPC可能需要几分钟.
创建了VPC后,选择OK.
Note您可以将IPv6CIDR块与您的VPC和子网关联.
但是,如果您将子网配置为自动将IPv6地址分配给在子网中启动的实例,则无法使用Graphics服务包.
(不过,您可以使用GraphicsPro服务包.
)此限制来自不支持IPv6的上一代实例类型的硬件限制.
要解决该问题,您可以在启动Graphics捆绑包之前,在子网上临时禁用IPv6自动分配地址WorkSpaces设置,然后在启动Graphics捆绑包之后重新启用此设置(如果需要),以便任何其他捆绑包接收所需的IP地址.
默认情况下,自动分配IPv6地址设置处于禁用状态.
要从AmazonVPC控制台检查此设置,请在导航窗格中选择子网.
选择子网,然后依次选择操作、修改自动分配公有IP.
有关使用IPv6地址的更多信息,请参阅中的您的VPC中的IP地址.
AmazonVPC用户指南步骤3:再添加一个私有子网在上一步中,您创建了具有一个公有子网和一个私有子网的VPC.
使用以下过程添加第二个私有子网.
添加私有子网1.
在导航窗格中,选择Subnets.
2.
选择CreateSubnet.
3.
对于名称标签,输入私有子网的名称(例如,WorkSpacesPrivateSubnet2).
4.
对于VPC,选择您创建的VPC.
5.
要为AvailabilityZone(可用区)进行适当的选择,请参阅可用性区域AmazonWorkSpaces(p.
14).
请确保选择与您之前为Step7(p.
10)选择的可用区不同的可用区.
6.
对于IPv4CIDR块,输入子网的CIDR块.
7.
选择创建.
步骤4:验证和命名路由表您可以验证并命名各个子网的路由表.
验证并命名路由表1.
在导航窗格中,选择子网,然后选择您创建的公有子网.
a.
在RouteTable选项卡上,选择路由表的ID(例如,rtb-12345678).
b.
选择路由表.
在Name(名称)中,选择编辑图标(铅笔),输入一个名称(例如workspaces-public-routetable),然后选择复选标记以保存该名称.
c.
在路由选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向VPC的Internet网关发送所有其他流量.
2.
在导航窗格中,选择Subnets(子网),然后选择您创建的第一个私有子网(例如WorkSpacesPrivateSubnet1).
11AmazonWorkSpaces管理指南通过公有子网配置VPCa.
在路由表选项卡上,选择路由表的ID.
b.
选择路由表.
在Name(名称)中,选择编辑图标(铅笔),输入一个名称(例如workspaces-private-routetable),然后选择复选标记以保存该名称.
c.
在Routes选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向NAT网关发送所有其他流量.
3.
在导航窗格中,选择Subnets(子网),然后选择您创建的第二个私有子网(例如WorkSpacesPrivateSubnet2).
在RouteTable(路由表)选项卡上,验证路由表是否为私有路由表(例如,workspaces-private-routetable).
如果路由表不同,请选择编辑,然后选择此路由表.
通过公有子网配置VPC如果您愿意,您可以创建具有两个公有子网的VPC.
要为公有子网中的WorkSpaces提供Internet访问,请将目录配置为自动或手动向每个WorkSpace分配弹性IP地址.
Prerequisites如果您还不熟悉使用VPCs和子网,建议您在执行以下任务之前阅读IPv4中的VPC和子网大小调整AmazonVPC用户指南.
任务步骤1:创建VPC(p.
12)步骤2:添加第二个公有子网(p.
13)步骤3:分配弹性IP地址(p.
13)步骤1:创建VPC如下所示创建具有一个公有子网的VPC.
创建VPC1.
打开AmazonVPC控制台https://console.
amazonaws.
cn/vpc/.
2.
在导航窗格中,选择左上角的VPCDashboard(VPC控制面板).
3.
选择LaunchVPCWizard(启动VPC向导).
4.
选择带单个公有子网的VPC,然后选择选择.
5.
对于IPv4CIDRblock(AWS数据块),输入VPC的CIDR块.
我们建议您使用私有(非公共可路由)IP地址范围(RFC1918中所指定)内的CIDR块.
例如,10.
0.
0.
0/16.
有关更多信息,请参阅中的IPv4的VPC和子网大小调整.
AmazonVPC用户指南6.
对于IPv6CIDR块,保留无IPv6CIDR块.
7.
在VPC名称中,输入VPC的名称.
8.
对于Publicsubnet'sIPv4CIDR(公有子网的CIDR),输入子网的CIDR块.
有关更多信息,请参阅中的IPv4的VPC和子网大小调整.
AmazonVPC用户指南9.
要为AvailabilityZone(可用区)进行适当的选择,请参阅可用性区域AmazonWorkSpaces(p.
14).
10.
(可选)对于子网名称,输入子网的名称.
11.
对于服务终端节点,不执行任何操作.
12.
对于启用DNS主机名,保留是.
13.
对于硬件租赁,请保留默认值.
14.
选择CreateVPC(创建VPC).
创建了VPC后,选择OK.
12AmazonWorkSpaces管理指南通过公有子网配置VPCNote您可以将IPv6CIDR块与您的VPC和子网关联.
但是,如果您将子网配置为自动将IPv6地址分配给在子网中启动的实例,则无法使用Graphics服务包.
(不过,您可以使用GraphicsPro服务包.
)此限制来自不支持IPv6的上一代实例类型的硬件限制.
要解决该问题,您可以在启动Graphics捆绑包之前,在子网上临时禁用IPv6自动分配地址WorkSpaces设置,然后在启动Graphics捆绑包之后重新启用此设置(如果需要),以便任何其他捆绑包接收所需的IP地址.
默认情况下,自动分配IPv6地址设置处于禁用状态.
要从AmazonVPC控制台检查此设置,请在导航窗格中选择子网.
选择子网,然后依次选择操作、修改自动分配公有IP.
有关使用IPv6地址的更多信息,请参阅中的您的VPC中的IP寻址.
AmazonVPC用户指南步骤2:添加第二个公有子网在上一步中,您创建了具有一个公有子网的VPC.
使用以下过程可添加第二个公有子网,并将其与第一个公有子网的路由表关联,而第一个公有子网具有指向VPC的Internet网关的路由.
添加公有子网1.
在导航窗格中,选择Subnets.
2.
选择CreateSubnet.
3.
对于名称标签,输入子网的名称.
4.
对于VPC,选择您创建的VPC.
5.
要为AvailabilityZone(可用区)进行适当的选择,请参阅可用性区域AmazonWorkSpaces(p.
14).
请确保选择与您之前为Step9(p.
12)选择的可用区不同的可用区.
6.
对于IPv4CIDR块,输入子网的CIDR块.
7.
选择创建.
创建子网后,选择关闭.
8.
将新的公有子网与为第一个子网创建的路由表关联:a.
在导航窗格中,选择Subnets.
b.
选择第一个子网.
c.
在路由表选项卡上,选择路由表的ID.
d.
在子网关联选项卡上,选择编辑子网关联.
e.
选中第二个子网(您刚创建的公有子网)的复选框,然后选择Save(保存).
步骤3:分配弹性IP地址您可以自动或手动将弹性IP地址(静态公有IP地址)分配给您的WorkSpaces.
要使用自动分配,请参阅配置自动IP地址(p.
33).
要手动分配弹性IP地址,请使用以下过程.
Warning我们建议您不要在WorkSpace启动后修改其弹性网络接口.
如果您在目录级别启用了弹性IP地址的自动分配,弹性IP地址(来自Amazon提供的池)将在启动时分配给您的WorkSpace.
但是,如果您将您拥有的弹性IP地址与WorkSpace关联,并在以后将该弹性IP地址与WorkSpace取消关联,则WorkSpace会失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的地址.
要将Amazon提供的池中的新公有IP地址与WorkSpace关联,您必须重新生成WorkSpace.
(p.
82)如果您不想重建WorkSpace,则必须将您拥有的另一个弹性IP地址与WorkSpace关联.
手动为WorkSpace分配弹性IP地址1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
13AmazonWorkSpaces管理指南工作区的可用性区域3.
展开WorkSpace的行(选择箭头图标),并记下WorkSpaceIP的值.
这是WorkSpace的主要私有IP地址.
4.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
5.
在导航窗格中,选择ElasticIPs(弹性).
如果您没有可用的弹性IP地址,请选择Allocatenewaddress,选择Amazonpool或Ownedbyme,然后选择Allocate.
记下新的IP地址.
6.
在导航窗格中,选择NetworkInterfaces.
7.
为您的WorkSpace选择网络接口.
要查找WorkSpace的网络接口,请在搜索框中输入WorkSpaceIPStep3(p.
14)值(您之前在中记下的),然后按Enter.
IPWorkSpace值与网络接口的PrimaryprivateIPIPv4列中的值匹配.
请注意,网络接口的VPCID值与您的WorkSpacesVPC的ID匹配.
8.
依次选择Actions、ManageIPAddresses.
选择分配新IP,然后选择是,更新.
记下新的IP地址.
9.
依次选择Actions、AssociateAddress.
10.
在关联弹性IP地址页面上,从地址中选择一个弹性IP地址.
对于关联到私有IP地址,请指定新的私有IP地址,然后选择关联地址.
可用性区域AmazonWorkSpaces当您创建虚拟私有云(VPC)以供使用时,AmazonWorkSpaces,VPC的子网必须位于您启动WorkSpaces的区域的不同可用区中.
可用区是被设计为可以隔离其他可用区的故障的不同位置.
通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响.
每个子网都必须完全位于一个可用区之内,不能跨越多个可用区.
可用区由地区代码表示,后跟字母标识符;例如,us-east-1a.
为了确保资源分布在某个区域的可用区域,我们会独立将可用区域映射到每个AWS帐户的名称.
例如,您的AWS账户的可用区us-east-1a可能与另一AWS账户的us-east-1a不在同一位置.
要跨账户协调可用区,您必须使用AZID(可用区的唯一、一致的标识符).
例如,use1-az2是us-east-1区域的AZID,它在每个AWS账户中的位置均相同.
通过查看AZID,您可以确定一个账户中的资源相对于另一个账户中的资源所在的位置.
例如,如果您在可用性区域中使用AZID共享一个子网use1-az2此子网可用于可用区中的该帐户,其AZID也为use1-az2.
每个VPC和子网的AZID显示在AmazonVPC控制台.
AmazonWorkSpaces可用于每个支持区域的可用性区域的子集.
下表列出了可用于每个区域的AZID.
要查看帐户中AZID到可用区域的映射,请参阅资源的AZID在AWSRAM用户指南.
区域名称区域代码支持的AZID美国东部(弗吉尼亚北部)us-east-1use1-az2,use1-az4,use1-az6美国西部(俄勒冈)us-west-2usw2-az1,usw2-az2,usw2-az3亚太区域(首尔)ap-northeast-2apne2-az1,apne2-az3亚太区域(新加坡)ap-southeast-1apse1-az1,apse1-az2亚太区域(悉尼)ap-southeast-2apse2-az1,apse2-az3亚太区域(东京)ap-northeast-1apne1-az1,apne1-az4加拿大(中部)ca-central-1cac1-az1,cac1-az2欧洲(法兰克福)eu-central-1euc1-az2,euc1-az314AmazonWorkSpaces管理指南IP地址和端口要求区域名称区域代码支持的AZID欧洲(爱尔兰)eu-west-1euw1-az1,euw1-az2,euw1-az3欧洲(伦敦)eu-west-2euw2-az2,euw2-az3南美洲(圣保罗)sa-east-1sae1-az1,sae1-az3有关可用区域和AZ标识的更多信息,请参阅区域、可用区域和本地区域在AmazonEC2用户指南(适用于Linux实例).
AmazonWorkSpaces的IP地址和端口要求AmazonWorkSpacesStreamingProtocol(WSP)WorkSpacesareavailableasabetaserviceandaresubjecttochange.
WSPbetaWorkSpacesshouldnotbeusedforproductionworkloads.
FormoreinformationabouttheWSPbeta,seeAmazonWorkSpacesStreamingProtocol(beta).
要连接到您的WorkSpaces,您的AmazonWorkSpaces客户端连接的网络必须对各种AWS服务(分为不同子集)的IP地址范围开放某些端口.
这些地址范围因AWS区域而异.
这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态.
有关不同区域的AWSIP地址范围的更多信息,请参阅https://docs.
amazonaws.
cn/general/latest/gr/aws-ip-ranges.
html中的AWSIP地址范围AmazonWebServices一般参考.
有关架构图,请参阅WorkSpaces架构.
有关其他架构图,请参阅部署AmazonWorkSpaces的最佳实践白皮书.
用于客户端应用程序的端口AmazonWorkSpaces客户端应用程序需要以下端口上的出站访问:端口443(TCP)此端口用于客户端应用程序更新、注册和身份验证.
桌面客户端应用程序支持使用代理服务器处理端口443(HTTPS)流量.
要允许使用代理服务器,请打开客户端应用程序,依次选择AdvancedSettings和UseProxyServer,指定代理服务器的地址和端口,然后选择Save.
此端口必须对以下IP地址范围开放:GLOBAL区域中的AMAZON子集.
所在区域中的AMAZON子集.
WorkSpaceus-east-1区域中的AMAZON子集.
us-west-2区域中的AMAZON子集.
us-west-2区域中的S3子集.
端口4172和495(UDP和TCP)这些端口用于流式处理WorkSpace桌面和运行状况检查.
桌面客户端应用程序不支持使用代理服务器处理端口4172和495流量;它们需要直接连接到端口4172和495.
这些端口必须对PCoIP所在的区域中的WorkSpacesStreamingProtocol(WSP)beta网关和WorkSpace网关IP地址范围和运行状况检查服务器开放.
有关更多信息,请参阅运行状况检查服务器(p.
17)、PCoIP网关服务器(p.
17)和WSPbeta网关服务器(p.
18).
15AmazonWorkSpaces管理指南要添加到允许列表的域和IP地址Note如果防火墙使用有状态筛选,则会自动打开临时(也称为动态)端口,以便允许返回通信.
如果您的防火墙使用无状态筛选,则需要明确打开临时端口,以便允许返回通信.
根据您的配置,需要打开的临时端口范围有所不同.
要添加到允许列表的域和IP地址要使AmazonWorkSpaces客户端应用程序能够访问AmazonWorkSpaces服务,您必须将以下域和IP地址添加到客户端尝试从中访问服务的网络上的允许列表中.
要添加到允许列表中的域和IP地址类别域或IP地址CAPTCHAhttps://opfcaptcha-prod.
s3.
cn-north-1.
amazonaws.
com.
cn客户端自动更新在中国(宁夏)区域中:https://workspaces-client-updates.
s3.
cn-northwest-1.
amazonaws.
com.
cn连接检查https://connectivity.
amazonworkspaces.
awsapps.
cn客户端指标(适用于3.
0+WorkSpaces客户端应用程序)在中国(宁夏)区域中:https://skylight-client-ds.
cn-northwest-1.
amazonaws.
com.
cn目录设置在中国(宁夏)区域中:客户目录设置:https://workspaces-clients-properties.
s3.
cn-northwest-1.
amazonaws.
com.
cn客户目录级别联合品牌的登录页面图形:https://workspaces-client-assets.
s3.
cn-northwest-1.
amazonaws.
com.
cn用于设计登录页面的CSS文件:https://workspaces-clients-css.
s3.
cn-northwest-1.
amazonaws.
com.
cn/workspaces_v3.
css运行状况检查(DRP)服务器运行状况检查服务器(p.
17)用户登录页面https://warpspeed.
cn-northwest-1.
amazonaws.
com.
cnWS代理中国(宁夏)区域(https://ws-broker-service.
cn-northwest-1.
amazonaws.
com.
cn)WorkSpacesAPI终端节点中国(宁夏)区域(https://workspaces.
cn-northwest-1.
amazonaws.
com.
cn)16AmazonWorkSpaces管理指南运行状况检查服务器要添加到允许列表的PCoIP的域和IP地址类别域或IP地址PCoIP会话网关(PSG)PCoIP网关服务器(p.
17)会话代理(PCM)中国(宁夏)区域(https://skylight-cm.
cn-northwest-1.
amazonaws.
com.
cn)要添加到允许列表的WorkSpacesStreamingProtocol(WSP)beta的域和IP地址类别域或IP地址WSPbeta会话网关(WSG)WSPbeta网关服务器(p.
18)运行状况检查服务器客户端应用程序通过端口4172和495执行运行状况检查.
AmazonWorkSpaces这些检查验证TCP或UDP流量是否从AmazonWorkSpaces服务器流式传输到客户端应用程序.
要成功完成这些检查,您的防火墙策略必须允许流向以下区域运行状况检查服务器的IP地址的出站流量.
Region运行状况检查主机名IP地址中国(宁夏)drp-zhy.
amazonworkspaces.
com52.
82.
90.
18652.
83.
43.
3252.
83.
110.
15852.
83.
248.
61PCoIP网关服务器AmazonWorkSpaces使用PCoIP通过端口4172将桌面会话流式传输到客户端.
对于其PCoIP网关服务器,AmazonWorkSpaces使用较小范围的AmazonEC2公有IPv4地址.
这样,您可以为用于访问AmazonWorkSpaces的设备设置更为精细的防火墙策略.
请注意,AmazonWorkSpaces客户端目前不支持IPv6地址作为连接选项.
Note我们定期更新AWSIP地址范围ip-ranges.
json文件中的IP地址范围.
要获取AmazonWorkSpaces的最新IP地址范围,请在ip-ranges.
json文件中查找符合service:"WORKSPACES_GATEWAYS"的条目.
Region公有IP地址范围中国(宁夏)52.
83.
58.
0-52.
83.
58.
25517AmazonWorkSpaces管理指南WSPbeta网关服务器WSPbeta网关服务器Important从2020年6月开始,AmazonWorkSpaces通过端口495而不是端口4172将WSPbetaWorkSpaces的桌面会话流式传输到客户端.
如果要使用WSPbetaWorkSpaces,请确保端口495对流量开放.
AmazonWorkSpaces为其AmazonEC2网关服务器使用较小范围的IPv4公有WSPbeta地址.
这样,您可以为用于访问AmazonWorkSpaces的设备设置更为精细的防火墙策略.
请注意,AmazonWorkSpaces客户端目前不支持IPv6地址作为连接选项.
Region公有IP地址范围中国(宁夏)不支持此区域.
WSPbeta网络接口每个WorkSpace都具有以下网络接口:主网络接口(eth1)提供与您的VPC内以及Internet上的资源的连接,并用于将WorkSpace加入目录.
管理网络接口(eth0)已连接到安全的AmazonWorkSpaces管理网络.
它用于以交互方式将WorkSpace桌面流式传输到AmazonWorkSpaces客户端,并允许AmazonWorkSpaces管理WorkSpace.
AmazonWorkSpaces从各种地址范围中选择管理网络接口的IP地址,具体取决于创建WorkSpaces的区域.
目录注册后,AmazonWorkSpaces会测试VPCCIDR和您的VPC中的路由表,以确定这些地址范围是否会发生冲突.
如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册.
如果您在目录注册后更改了VPC中的路由表,则可能会导致冲突.
Warning请勿修改或删除附加到WorkSpace的任何网络接口.
这样做可能会导致WorkSpace无法访问或无法访问Internet.
例如,如果您在目录级别启用了弹性IP地址自动分配(p.
33),则会在启动时为其分配弹性IP地址(来自Amazon提供的池).
WorkSpace但是,如果您将您拥有的弹性IP地址与WorkSpace关联,并在以后将该弹性IP地址与WorkSpace取消关联,则WorkSpace会失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的地址.
要将Amazon提供的池中的新公有IP地址与WorkSpace关联,您必须重新生成WorkSpace.
(p.
82)如果您不想重建WorkSpace,则必须将您拥有的另一个弹性IP地址与WorkSpace关联.
管理接口IP范围下表列出了用于管理网络接口的IP地址范围.
RegionIP地址范围中国(宁夏)198.
19.
0.
0/16管理接口端口以下端口在所有WorkSpaces的管理网络接口上都必须处于打开状态:18AmazonWorkSpaces管理指南网络要求端口4172上的入站TCP.
这用于在PCoIP协议上建立流连接.
端口4172上的入站UDP.
这用于对PCoIP协议上的用户输入进行流式处理.
端口4489上的入站TCP.
这用于通过Web客户端访问.
(WSPbeta不支持WebAccess客户端.
)端口8200上的入站TCP.
这用于在WorkSpace协议上管理和配置PCoIP.
端口8201-8250上的入站TCP.
这些端口用于建立流式连接和在WSPbeta协议上流式处理用户输入.
出站TCP端口8443和9997.
这用于通过Web客户端访问.
(WSPbeta不支持WebAccess客户端.
)端口3478、4172和495上的出站UDP.
这用于通过Web客户端访问.
(WSPbeta不支持WebAccess客户端.
)端口50002和55002上的出站UDP.
这用于流式处理.
如果您的防火墙使用有状态筛选,则临时端口50002和55002会自动打开以允许返回通信.
如果您的防火墙使用无状态筛选,则需要打开临时端口49152至65535,以便允许返回通信.
使用端口80通过出站TCP发送到IP地址169.
254.
169.
254,用于访问EC2元数据服务.
分配给您的WorkSpaces的任何HTTP代理还必须排除169.
254.
169.
254.
使用端口1688通过出站TCP发送到IP地址169.
254.
169.
250和169.
254.
169.
251,以允许访问MicrosoftKMS来激活Windows和Office.
正常情况下,AmazonWorkSpaces服务会为您的WorkSpaces配置这些端口.
如果WorkSpace上安装了任何拦截这些端口的安全或防火墙软件,则WorkSpace可能无法正常工作,或者可能无法访问.
主接口端口无论您具有哪种类型的目录,以下端口在所有WorkSpaces的主网络接口上都必须处于打开状态:对于Internet连接,以下端口必须从WorkSpacesVPC到所有目的地和入站都处于打开状态.
如果您希望它们能够访问Internet,则需要手动将这些接口添加到WorkSpaces的安全组.
TCP80(HTTP)TCP443(HTTPS)要与目录控制器通信,WorkSpacesVPC和目录控制器之间必须打开以下端口.
在SimpleAD目录中,通过AWSDirectoryService创建的安全组会将这些端口配置正确.
对于ADConnector目录,您可能需要调整VPC的默认安全组才能打开这些端口.
TCP/UDP53-DNSTCP/UDP88-KerberosauthenticationUDP123-NTPTCP135-RPCUDP137-138-NetlogonTCP139-NetlogonTCP/UDP389-LDAPTCP/UDP445-SMBTCP1024-65535-DynamicportsforRPC如果WorkSpace上安装了任何拦截这些端口的安全或防火墙软件,则WorkSpace可能无法正常工作,或者可能无法访问.
AmazonWorkSpaces客户端网络要求AmazonWorkSpacesStreamingProtocol(WSP)WorkSpacesareavailableasabetaserviceandaresubjecttochange.
WSPbetaWorkSpacesshouldnotbeusedforproductionworkloads.
FormoreinformationabouttheWSPbeta,seeAmazonWorkSpacesStreamingProtocol(beta).
19AmazonWorkSpaces管理指南网络要求您的AmazonWorkSpaces用户可以连接到他们的WorkSpaces通过使用客户端应用程序获取支持的设备.
或者,他们可以使用Web浏览器连接到WorkSpaces支持此形式的访问.
有关WorkSpaces支持Web浏览器访问,请参阅"WhichAmazonWorkSpaces捆绑包支持Web访问"英寸客户端访问、Web访问和用户体验.
NoteWeb浏览器无法用于连接到AmazonLinuxWorkSpaces.
Important自2020年10月1日起,客户将不再能够使用AmazonWorkSpacesWebAccess客户端可连接到Windows7自定义WorkSpaces或Windows7自带许可证(BYOL)WorkSpaces.
为您的用户提供良好的体验,WorkSpaces,验证其客户端设备是否满足以下网络要求:客户端设备必须具有宽带Internet连接.
我们建议计划为每个同时观看480p视频窗口的用户至少提供1Mbps网速.
根据您对视频分辨率的用户质量要求,可能需要更多带宽.
对于客户端设备连接到的网络及客户端设备上的任何防火墙,其某些端口必须对各种AWS服务的IP地址范围开放.
有关更多信息,请参阅AmazonWorkSpaces的IP地址和端口要求(p.
15).
为实现最佳性能PCoIP,从客户端网络到以下区域的往返时间(RTT):WorkSpaces应小于100ms.
如果RTT在100ms到200ms之间,用户可访问WorkSpace,但性能受到影响.
如果RTT在200ms到375ms之间,性能降低.
如果RTT超过375ms,WorkSpaces客户端连接已终止.
对于WorkSpacesStreamingProtocol(WSP)beta,从客户端网络到以下区域的往返时间(RTT):WorkSpaces应小于250ms.
如果RTT在250ms到400ms之间,用户可访问WorkSpace,但性能下降.
要检查RTT到各种AWS您所在地区的区域,请使用AmazonWorkSpaces连接健康检查.
如果用户将访问他们的WorkSpaces通过虚拟专用网络(VPN),连接必须支持至少1200字节的最大传输单元(MTU).
Note无法访问WorkSpaces通过连接到虚拟私有云(VPC)的VPN.
访问WorkSpaces使用VPN时,需要连接互联网(通过VPN的公共IP地址),如AmazonWorkSpaces的IP地址和端口要求(p.
15).
客户端需要通过HTTPS访问由此服务和AmazonSimpleStorageService(AmazonS3)托管的AmazonWorkSpaces资源.
客户端不支持应用程序级别的代理重定向.
需要HTTPS访问,以便用户能够成功完成注册并访问其WorkSpaces.
如何允许访问PCoIP零客户端设备,您必须启动并配置EC2实例PCoIP的连接管理器AmazonWorkSpaces并且您必须使用PCoIP协议捆绑包WorkSpaces.
有关更多信息,请参阅部署PCoIP亚马逊连接管理器WorkSpaces在PCoIPConnectionManagerUserGuide.
您还必须在Teradici中启用网络时间协议(NTP).
有关更多信息,请参阅为PCoIP设置WorkSpaces零客户端(p.
25).
对于3.
0+客户端,如果您使用单点登录(SSO)AmazonWorkDocs,您必须遵循单点登录在AWSDirectoryServiceAdministrationGuide.
您可以按照以下说明验证客户端设备是否符合网络要求.
验证3.
0+客户端的网络要求1.
打开AmazonWorkSpaces客户端.
如果这是您首次打开客户端,则系统会提示您输入邀请电子邮件中提供的注册代码.
2.
根据您使用的客户端,请执行以下操作之一.
如果您使用的是.
.
.
请执行该操作Windows或Linux客户端在客户端应用程序的右上角,选择网络图标.
20AmazonWorkSpaces管理指南受信任设备如果您使用的是.
.
.
请执行该操作macOS客户端选择Connections(连接)和Network(网络).
客户端应用程序将会测试网络连接、端口以及往返时间,并报告这些测试的结果.
3.
关闭Network(网络)对话框以返回到登录页面.
验证1.
0+和2.
0+客户端的网络要求1.
打开AmazonWorkSpaces客户端.
如果这是您首次打开客户端,则系统会提示您输入邀请电子邮件中提供的注册代码.
2.
在客户端应用程序右下角,选择Network(网络).
客户端应用程序将会测试网络连接、端口以及往返时间,并报告这些测试的结果.
3.
选择Dismiss(关闭),以返回登录页面.
限制对受信任设备的WorkSpaces访问默认情况下,用户可以从连接到Internet的任何受支持的设备访问其WorkSpaces.
如果您的公司仅允许受信任设备(也称为托管设备)访问公司数据,则可以使用有效的证书将WorkSpaces访问限制为受信任设备.
启用此功能后,AmazonWorkSpaces会使用基于证书的身份验证来确定设备是否可信.
如果WorkSpaces客户端应用程序无法验证设备是否可信,则会阻止从设备登录或重新连接的尝试.
对于每个目录,您最多可以导入2个根证书.
如果您导入2个根证书,则AmazonWorkSpaces会将这2个证书都显示给客户端,然后客户端查找一直串联到其中一个根证书的第一个有效匹配的证书.
Important此功能仅适用于AmazonWorkSpacesWindows和macOS客户端.
此功能不适用于AmazonWorkSpacesWebAccess客户端或任何第三方客户端,包括但不限于TeradiciPCoIP软件和移动客户端、TeradiciPCoIP零客户端、RDP客户端和远程桌面应用程序.
步骤1:创建证书此功能需要两种类型的证书:内部证书颁发机构(CA)生成的根证书和一直串联到根证书的客户端证书.
Requirements证书必须是Base64编码的证书文件(采用CRT、CERT或PEM格式).
证书必须包含公用名.
证书链支持的最大长度为4.
AmazonWorkSpaces当前不支持客户端证书的设备撤销机制,例如证书吊销列表(CRL)或在线证书状态协议(OCSP).
使用强加密算法.
我们建议使用带RSA的SHA256、带ECDSA的SHA256、带ECDSA的SHA384或带ECDSA的SHA512.
确保"密钥用法:公有密钥上存在数字签名"数字签名",否则,即使计算机和WorkSpaces控制台上存在公有密钥和私有密钥,设备身份验证也将失败.
对于macOS,如果设备证书位于系统密钥链中,我们建议您授权WorkSpaces客户端应用程序访问这些证书.
否则,用户必须在登录或重新连接时,输入密钥链凭证.
21AmazonWorkSpaces管理指南步骤2:将客户端证书部署到受信任设备步骤2:将客户端证书部署到受信任设备您必须在受信任设备上为用户安装客户端证书.
您可以使用首选解决方案将证书安装到一批客户端设备;例如,SystemCenterConfigurationManager(SCCM)或移动设备管理(MDM).
请注意,SCCM和MDM可以选择执行安全状况评估,以确定设备是否符合访问WorkSpaces的公司策略.
在Windows上,WorkSpaces客户端应用程序在用户和根证书存储区中搜索客户端证书.
在macOS上,WorkSpaces客户端应用程序在整个密钥链中搜索客户端证书.
步骤3:配置限制在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限.
这需要WorkSpaces客户端应用程序在允许用户登录到WorkSpace之前验证设备上的证书.
配置限制1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开AccessControlOptions.
5.
[Windows]选择仅允许受信任的Windows设备访问WorkSpaces.
6.
[macOS]选择仅允许受信任的macOS设备访问WorkSpaces.
7.
最多导入2个根证书.
对于每个根证书,请执行以下操作:a.
选择Import.
b.
将证书文本复制到表单中.
c.
选择Import.
8.
(可选)指定其他类型的设备是否有权访问WorkSpaces.
a.
向下滚动到OtherPlatforms(其他平台)部分.
默认情况下,WorkSpacesWebAccess和Linux客户端处于禁用状态,用户可以从其iOS设备、Android设备、WorkSpacesChromebook零客户端设备访问其PCoIP.
b.
选择要启用的设备类型并清除要禁用的设备类型.
c.
要阻止来自所有选定设备类型的访问,请选择Block.
9.
选择UpdateandExit.
从您的WorkSpace提供Internet访问您的WorkSpaces必须有权访问Internet,以便您能够将更新安装到操作系统以及部署应用程序.
您可以使用以下选项之一来允许VirtualPrivateCloud(VPC)中的WorkSpaces访问Internet.
Options在私有子网中启动WorkSpaces并在VPC的公有子网中配置NAT网关.
在公有子网中启动WorkSpaces,并自动或手动将公有IP地址分配给WorkSpaces.
有关这些选项的更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8)中的相应章节.
通过这些选项中的任一选项,您必须确保WorkSpaces的安全组允许端口80(HTTP)和443(HTTPS)上的出站流量流向所有目标(0.
0.
0.
0/0).
22AmazonWorkSpaces管理指南安全组AmazonWAM如果您使用AmazonWorkSpacesApplicationManager(AmazonWAM)将应用程序部署到WorkSpaces,则您的WorkSpaces必须有权访问Internet.
AmazonLinuxExtras库如果您使用的是AmazonLinux存储库,则AmazonLinuxWorkSpaces必须能够访问Internet,否则您必须配置指向此存储库和主AmazonLinux存储库的VPC终端节点.
有关更多信息,请参阅示例:.
在AmazonLinuxAmazonS3的终端节点中启用对AMI存储库的访问部分.
每个区域中的AmazonLinuxAMI存储库都是AmazonS3存储桶.
如果您希望VPC中的实例通过终端节点访问该存储库,请创建终端节点策略以允许对这些存储桶进行访问.
以下策略授予对AmazonLinux存储库的访问权限.
{"Statement":[{"Sid":"AmazonLinux2AMIRepositoryAccess","Principal":"*","Action":["s3:GetObject"],"Effect":"Allow","Resource":["arn:aws-cn:s3:::amazonlinux.
*.
amazonaws.
com/*"]}]}WorkSpace的安全组在向AmazonWorkSpaces注册目录时,它会创建两个安全组,一个用于目录控制器,另一个用于目录中的WorkSpace.
目录控制器的安全组的名称为目录标识符后跟_controllers(例如,d-12345678e1_controllers).
WorkSpaces安全组的名称为目录标识符后跟_workspacesMembers(例如,d-123456fc11_workspacesMembers).
Warning请勿删除_workspacesMembers安全组.
如果您删除此安全组,则您的WorkSpaces将无法正常运行,并且您将无法重新创建和重新添加该组.
您可以将默认的WorkSpaces安全组添加到目录中.
将新安全组与WorkSpaces目录关联后,您启动的新WorkSpaces或重建的现有WorkSpaces将具有新的安全组.
您也可以将此新的默认安全组添加到现有WorkSpaces,而无需重建(p.
24),如本主题后面所述.
当您将多个安全组与一个WorkSpaces目录相关联时,将有效汇总每个安全组的规则,以创建一组规则.
我们建议尽可能精简您的安全组规则.
有关安全组的更多信息,请参阅您的VPC的安全组在AmazonVPC用户指南.
将安全组添加到WorkSpaces目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开SecurityGroup并选择一个安全组.
5.
选择UpdateandExit.
23AmazonWorkSpaces管理指南IP访问控制组要将安全组添加到现有工作区而不重建工作区,请将新安全组分配给工作区的弹性网络接口(ENI).
将安全组添加到现有工作区1.
查找需要更新的各个工作区的IP地址.
a.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
b.
展开各个工作区并记录其工作区IP地址.
2.
查找各个工作区的ENI并更新其安全组分配.
a.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
b.
在网络与安全下,选择网络接口.
c.
搜索您在步骤1中记录的第一个IP地址.
d.
选择与该IP地址关联的ENI,选择操作,然后选择更改安全组.
e.
选择新安全组,然后选择保存.
f.
根据需要对任何其他WorkSpaces重复此过程.
适用于您的WorkSpace的IP访问控制组IP访问控制组充当虚拟防火墙,该虚拟防火墙用于控制允许用户从中访问其WorkSpace的IP地址.
您可以将每个IP访问控制组与一个或多个目录关联.
每个AWS帐户每个区域最多可创建100个IP访问控制组.
不过,您只能将最多25个IP访问控制组与单个目录关联.
有一个与每个目录都关联的默认IP访问控制组.
默认组允许所有流量.
如果您将IP访问控制组与目录关联,则默认的IP访问控制组将断开连接.
要为您的受信任网络指定公有IP地址和IP地址范围,请向IP访问控制组添加规则.
如果您的用户通过NAT网关或VPN访问其WorkSpace,您必须创建允许从NAT网关或VPN的公有IP地址发出的流量的规则.
NoteIP访问控制组不允许为NAT使用动态IP地址.
如果您使用NAT,请将其配置为使用静态IP地址而不是动态IP地址.
确保NAT在WorkSpace会话期间通过同一静态IP地址路由所有UDP流量.
您可以将此功能与WebAccess和适用于macOS、iPad、Windows、和Android的客户端应用程序结合使用.
要将此功能与PCoIP零客户端结合使用,您无法使用PCoIP连接管理器.
创建IP访问控制组可以按以下所述创建IP访问控制组.
每个IP访问控制组可以包含最多10个规则.
创建IP访问控制组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择IPAccessControls.
3.
选择CreateIPGroup.
4.
在CreateIPGroup(创建IP组)对话框中,输入组的名称和描述,然后选择Create(创建).
5.
选择所需组,然后选择Edit.
6.
对于每个IP地址,选择AddRule.
对于Source(来源),输入IP地址或IP地址范围.
对于Description(说明),输入说明.
添加完规则后,选择Save.
24AmazonWorkSpaces管理指南将IP访问控制组与目录关联将IP访问控制组与目录关联您可以将IP访问控制组与目录关联,以确保仅从受信任的网络访问WorkSpace.
如果将没有规则的IP访问控制组与目录关联,则会阻止对所有WorkSpace的所有访问.
将IP访问控制组与目录关联1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开IPAccessControlGroups,并选择一个或多个IP访问控制组.
5.
选择UpdateandExit.
复制IP访问控制组您可以使用现有的IP访问控制组作为创建新IP访问控制组的基础.
从现有的IP访问控制组创建一个IP访问控制组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择IPAccessControls.
3.
选择所需组,然后选择Actions、CopytoNew.
4.
在CopyIPGroup(复制IP组)对话框中,输入新组的名称和描述,然后选择CopyGroup(复制组).
5.
(可选)要修改从原始组中复制的规则,请选择新组,然后选择Edit.
根据需要添加、更新或删除规则.
选择Save(保存).
删除IP访问控制组您可以随时从IP访问控制组中删除规则.
如果删除一个用于允许连接到某WorkSpace的规则,则用户将与该WorkSpace断开连接.
在可以删除IP访问控制组之前,必须将其与任何目录解除关联.
删除IP访问控制组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
对于每个与IP访问控制组关联的目录,请选择该目录,然后选择Actions、UpdateDetails.
展开IPAccessControlGroups(IP访问控制组),清除IP访问控制组的复选框,然后选择UpdateandExit(更新并退出).
4.
在导航窗格中,选择IPAccessControls.
5.
选择所需组,然后选择Actions、DeleteIPGroup.
为PCoIP设置WorkSpaces零客户端PCoIP零客户端仅与使用WorkSpaces协议的PCoIP捆绑包兼容.
如果您的零客户端设备固件为6.
0.
0或更高版本,则您的用户可以直接连接到其WorkSpaces.
否则,如果固件版本介于4.
6.
0和6.
0.
0之间,您必须为PCoIP设置TeradiciAmazonWorkSpaces连接管理器,并为您的用户提供服务器URIs以通过WorkSpaces的TeradiciPCoIP连接管理器连接到其AmazonWorkSpaces.
25AmazonWorkSpaces管理指南启用SSH连接要在EC2实例上为PCoIP设置AmazonWorkSpaces连接管理器,请转到AWSMarketplace并查找可用于通过PCoIP连接管理器启动实例的Amazon系统映像(AMI).
有关更多信息,请参阅中的PCoIP为AmazonWorkSpaces部署连接管理器.
PCoIPConnectionManagerUserGuideNote在TeradiciPCoIP管理Web界面(AWI)或TeradiciPCoIP管理控制台(MC)中,请确保启用网络时间协议(NTP).
对于NTP主机DNS名称,请使用pool.
ntp.
org,并将NTP主机端口设置为123.
如果未启用NTP,则PCoIP零客户端用户可能会收到证书失败错误,例如"提供的证书由于时间戳而无效".
有关设置和连接PCoIP零客户端设备的信息,请参阅中的PCoIP零客户端.
AmazonWorkSpaces用户指南有关批准的PCoIP零客户端设备的列表,请参阅Teradici网站上的零客户端PCoIP.
不支持将其他客户端用于AmazonWorkSpaces.
为Linux启用SSH连接WorkSpaces如果您或您的用户希望使用命令行连接到AmazonLinuxWorkSpaces,则可以启用SSH连接.
您可以启用与目录中的所有WorkSpaces或目录中的单个WorkSpaces的SSH连接.
要启用SSH连接,您可以创建新的安全组或更新现有安全组,然后添加规则以允许入站流量用于此目的.
安全组用作相关实例的防火墙,可在实例级别控制入站和出站的数据流.
创建或更新您的安全组后,您的用户和其他人可以使用PuTTY或其他终端从其设备连接到您的AmazonLinuxWorkSpaces.
有关视频教程,请参阅AWS知识中心中的如何使用SSH连接到我的LinuxAmazonWorkSpaces.
内容到AmazonLinuxWorkSpaces的SSH连接的先决条件(p.
26)启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接(p.
27)启用与特定AmazonLinuxWorkSpace的SSH连接(p.
28)使用Linux或AmazonLinux连接到WorkSpacePuTTY(p.
28)到AmazonLinuxWorkSpaces的SSH连接的先决条件启用到WorkSpace的入站SSH流量—要添加规则以允许到一个或多个AmazonLinuxWorkSpaces的入站SSH流量,请确保您拥有需要与WorkSpaces进行SSH连接的设备的公有或私有IP地址.
例如,您可以指定VirtualPrivateCloud(VPC)之外的设备的公有IP地址或与您的WorkSpace位于同一VPC中的其他EC2实例的私有IP地址.
如果您计划从本地设备连接到WorkSpace,则可以在Internet浏览器中使用搜索短语"whatismyIPaddress",或使用以下服务:检查IP.
连接到WorkSpace—需要以下信息才能启动从设备到AmazonLinuxWorkSpace的SSH连接.
您连接到的ActiveDirectory域的NetBIOS名称.
您的WorkSpace用户名.
要连接到的WorkSpace的公有或私有IP地址.
私有:如果您的VPC已连接到企业网络并且您有权访问该网络,则可以指定WorkSpace的私有IP地址.
公有:如果您的WorkSpace具有公有IP地址,则可以使用WorkSpaces控制台查找公有IP地址,如以下过程中所述.
26AmazonWorkSpaces管理指南启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接查找要连接到的AmazonLinuxWorkSpace的IP地址和您的用户名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
在WorkSpaces列表中,选择要启用SSH连接的WorkSpace.
4.
在Runningmode(运行模式)列中,确认WorkSpace状态为Available(可用).
5.
单击WorkSpace名称左侧的箭头以显示内联摘要,并记下以下信息:IPWorkSpace.
这是WorkSpace的私有IP地址.
私有IP地址是获取与WorkSpace关联的弹性网络接口所必需的.
需要网络接口才能检索与WorkSpace关联的安全组或公有IP地址等信息.
WorkSpaceUsername(用户名).
这是您指定用于连接到WorkSpace的用户名.
6.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
7.
在导航窗格中,选择NetworkInterfaces.
8.
在搜索框中,键入您在步骤5中记下的WorkSpaceIP.
9.
选择与WorkSpaceIP关联的网络接口.
10.
如果您的WorkSpace具有公有IP地址,它将显示在IPv4PublicIP(AWS公有IP)列中.
记下该地址(如果适用).
查找您连接到的ActiveDirectory域的NetBIOS名称1.
通过以下网址打开AWSDirectoryService控制台:https://console.
amazonaws.
cn/directoryservicev2/.
2.
在目录列表中,单击的目录的DirectoryID(目录ID)WorkSpace链接.
3.
在Directorydetails部分中,记下DirectoryNetBIOSname.
启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接要启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接,请执行以下操作.
创建具有规则的安全组以允许到目录中所有AmazonLinuxWorkSpaces的入站SSH流量1.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
2.
在导航窗格中,选择SecurityGroups(安全组).
3.
选择CreateSecurityGroup.
4.
键入安全组的名称(可选)和描述.
5.
对于VPC,选择包含要为其启用SSH连接的WorkSpaces的VPC.
6.
在Inbound(入站)选项卡上,选择AddRule(添加规则),然后执行以下操作:对于Type,选择SSH.
对于Protocol(协议),在您选择SSH时会自动指定TCP.
对于PortRange(端口范围),在您选择SSH时会自动指定22.
对于Source(源),选择MyIP(我的IP)或Custom(自定义),然后用CIDR表示法指定单个IP地址或IP地址范围.
例如,如果您的IPv4地址为203.
0.
113.
25,请指定203.
0.
113.
25/32以使用CIDR表示法列出此单个IPv4地址.
如果您的公司要分配同一范围内的地址,请指定整个范围,例如203.
0.
113.
0/24.
对于Description(描述)(可选),键入规则的描述.
27AmazonWorkSpaces管理指南启用与特定AmazonLinuxWorkSpace的SSH连接7.
选择创建.
启用与特定AmazonLinuxWorkSpace的SSH连接要启用与特定AmazonLinuxWorkSpace的SSH连接,请执行以下操作.
向现有安全组添加规则以允许到特定AmazonLinuxWorkSpace的入站SSH流量1.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
2.
在导航窗格中,在Network&Security(网络与安全性)下,选择NetworkInterfaces(网络接口).
3.
在搜索栏中,键入要启用SSH连接的WorkSpace的私有IP地址.
4.
在Securitygroups(安全组)列中,单击安全组的链接.
5.
在Inbound选项卡上,选择Edit.
6.
选择AddRule(添加规则),然后执行以下操作:对于Type,选择SSH.
对于Protocol(协议),在您选择SSH时会自动指定TCP.
对于PortRange(端口范围),在您选择SSH时会自动指定22.
对于Source(源),选择MyIP(我的IP)或Custom(自定义),然后用CIDR表示法指定单个IP地址或IP地址范围.
例如,如果您的IPv4地址为203.
0.
113.
25,请指定203.
0.
113.
25/32以使用CIDR表示法列出此单个IPv4地址.
如果您的公司要分配同一范围内的地址,请指定整个范围,例如203.
0.
113.
0/24.
对于Description(描述)(可选),键入规则的描述.
7.
选择Save(保存).
使用Linux或AmazonLinux连接到WorkSpacePuTTY在创建或更新安全组并添加所需的规则后,您的用户和其他人可以使用Linux或PuTTY从其设备连接到您的WorkSpaces.
Note在完成以下任一过程之前,请确保您具有:您连接到的ActiveDirectory域的NetBIOS名称.
用于连接到WorkSpace的用户名.
要连接到的WorkSpace的公有或私有IP地址.
有关如何获取此信息的说明,请参阅本主题前面的"与AmazonLinuxWorkSpaces的SSH连接的先决条件".
使用Linux连接到AmazonLinuxWorkSpace1.
以管理员身份打开命令提示符并输入以下命令.
对于NetBIOSname,Username,和WorkSpaceIP,输入适用的值.
ssh"NetBIOS_NAME\Username"@WorkSpaceIP以下是SSH命令的示例,其中:这些区域有:NetBIOS_NAME为anycompany28AmazonWorkSpaces管理指南必需配置这些区域有:Username是janedoe这些区域有:WorkSpaceIP为203.
0.
113.
25ssh"anycompany\janedoe"@203.
0.
113.
252.
在系统提示时,输入在使用WorkSpaces客户端进行身份验证时使用的相同密码(您的ActiveDirectory密码).
使用AmazonLinux连接到WorkSpacePuTTY1.
打开PuTTY.
2.
在PuTTYConfiguration(AWSStorageGateway配置)对话框中,执行以下操作:对于HostName(orIPaddress)(主机名(或IP地址)),输入以下命令.
将值替换为您连接到的ActiveDirectory域的NetBIOS名称、用于连接到WorkSpace的用户名以及要连接到的WorkSpace的IP地址.
NetBIOS_NAME\Username@WorkSpaceIP对于Port(端口),请输入22.
对于Connectiontype(连接类型),选择SSH.
有关SSH命令的示例,请参阅上一过程中的步骤1.
3.
选择Open.
4.
在系统提示时,输入在使用WorkSpaces客户端进行身份验证时使用的相同密码(您的ActiveDirectory密码).
所需的配置和服务组件WorkSpaces作为WorkSpace管理员,您必须了解以下有关所需配置和服务组件的内容.
必需路由表配置我们建议您不要修改WorkSpace的操作系统级别的路由表.
服务需要此表中的预配置路由来监控系统状态和更新系统组件.
WorkSpaces如果您的组织需要更改路由表,请在应用任何更改之前联系AWSSupport或AWS客户团队.
必需服务组件在WindowsWorkSpaces上,服务组件安装在以下位置.
不要删除、更改、阻止或隔离这些对象.
如果这样做,WorkSpace将无法正常工作.
Note如果在WorkSpace上安装了防病毒软件,请排除以下位置.
C:\ProgramFiles\AmazonC:\ProgramFiles(x86)\TeradiciC:\ProgramData\AmazonC:\ProgramData\Teradici29AmazonWorkSpaces管理指南必需服务组件在AmazonLinuxWorkSpaces上,服务组件安装在以下位置.
不要删除、更改、阻止或隔离这些对象.
如果这样做,WorkSpace将无法正常工作.
/etc/dhcp/dhclient.
conf/etc/os-release/etc/pam.
d/pcoip/etc/pam.
d/pcoip-session/etc/profile.
d/system-restart-check.
sh/etc/X11/default-display-manager/etc/yum/pluginconf.
d/halt_os_update_check.
conf/usr/lib/pcoip-agent/usr/lib/skylight/usr/lib/systemd/system/pcoip.
service/usr/lib/systemd/system/pcoip.
service.
d//usr/lib/systemd/system/skylight-agent.
service/usr/lib/yum-plugins/halt_os_update_check.
py/var/lib/pcoip-agent/var/lib/skylight/var/log/pcoip-agent/var/log/skylight30AmazonWorkSpaces管理指南注册目录管理AmazonWorkSpaces目录AmazonWorkSpaces使用目录来存储和管理WorkSpaces和用户的信息.
可以使用以下选项之一:ADConnector—使用现有本地部署MicrosoftActiveDirectory.
用户可以使用其本地凭证登录WorkSpaces并从其WorkSpaces访问本地资源.
MicrosoftAD—创建在AWS上托管的MicrosoftActiveDirectory.
SimpleAD—创建与MicrosoftActiveDirectory兼容的目录,该目录由Samba4提供支持,并在AWS上托管.
Crosstrust—在您的MicrosoftAD目录与本地部署域之间创建信任关系.
有关演示如何设置这些目录和启动WorkSpaces的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
创建目录后,您将使用工具(如ActiveDirectory管理工具)执行大部分目录管理任务.
您可以使用AmazonWorkSpaces控制台执行一些目录管理任务,使用策略组执行其他任务.
有关管理用户和组的更多信息,请参阅管理WorkSpaces用户(p.
54)和为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
Note目前不支持共享目录.
WorkSpaces内容向AmazonWorkSpaces注册目录(p.
31)更新您的WorkSpaces的目录详细信息(p.
32)更新DNS服务器AmazonWorkSpaces(p.
35)删除WorkSpaces的目录(p.
39)为MicrosoftActiveDirectory启用AmazonWorkDocs(p.
40)为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40)向AmazonWorkSpaces注册目录要允许AmazonWorkSpaces使用现有AWSDirectoryService目录,必须向AmazonWorkSpaces注册该目录.
注册目录后,您可以在该目录中启动WorkSpaces.
NoteSimpleAD和ADConnector可供您免费用于WorkSpaces.
如果WorkSpaces或SimpleAD目录在连续30天内没有使用ADConnector,则系统将自动取消注册此目录以与AmazonWorkSpaces一起使用,并且将按照AWSDirectoryService定价条款向您收取此目录的费用.
要删除空目录,请参阅删除WorkSpaces的目录(p.
39).
如果您删除SimpleAD或ADConnector目录,则始终可以在希望重新开始使用WorkSpaces时创建新的目录.
注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录.
31AmazonWorkSpaces管理指南更新目录详细信息4.
选择Actions、Register.
5.
选择来自不同可用区的两个子网.
6.
对于EnableSelfServicePermissions(启用自助服务权限),选择Yes(是)以使用户能够重建其WorkSpaces、更改卷大小、计算类型和运行模式.
启用可能会影响您为AmazonWorkSpaces支付的费用.
否则,请选择No(否).
7.
对于EnableAmazonWorkDocs(启用AmazonWorkDocs),要注册目录以便用于AmazonWorkDocs,请选择Yes(是),否则,请选择No(否).
Note仅当区域中有AmazonWorkDocs可用且您不使用MicrosoftActiveDirectory(AD)时,才显示此选项.
如果您使用的是MicrosoftAD,请完成注册目录,然后查看为MicrosoftActiveDirectory启用AmazonWorkDocs(p.
40).
8.
选择Register.
Registered的最初值为.
REGISTERING注册完成后,该值为Yes.
当不再将目录用于AmazonWorkSpaces时,可以取消注册该目录.
请注意,必须先取消注册目录,然后才能删除它.
如果要取消注册并删除目录,则必须首先查找并删除注册到该目录的所有应用程序和服务.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_delete.
html中的删除目录AWSDirectoryServiceAdministrationGuide.
取消注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录.
4.
选择Actions、Deregister.
5.
当系统提示您确认时,选择Deregister(取消注册).
取消注册完成后,Registered的值为No.
更新您的WorkSpaces的目录详细信息您可以使用AmazonWorkSpaces控制台完成以下目录管理任务.
任务选择组织单位(p.
32)配置自动IP地址(p.
33)控制设备访问(p.
33)管理本地管理员权限(p.
34)更新ADConnector账户(ADConnector)(p.
34)多重验证(ADConnector)(p.
34)选择组织单位WorkSpace计算机账户放置在WorkSpaces目录的默认组织单位(OU)中.
最初,计算机账户放在您的目录的"计算机"OU中,或ADConnector连接的目录中.
您可以从您的目录或所连接的目录中选择一个不同的OU,或在单独的目标域中指定一个OU.
请注意,在每个目录中只能选择一个OU.
选择新OU后,创建或重建的所有WorkSpaces的计算机账户都将放置在新选定的OU中.
要选择组织单位1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
32AmazonWorkSpaces管理指南配置自动IP地址2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开TargetDomainandOrganizationalUnit.
5.
要查找一个OU,可以键入该OU的全部或部分名称并选择SearchOU.
或者,您可以选择ListallOU(列出所有OU)以列出所有OUs.
6.
选择OU并选择UpdateandExit.
7.
(可选)重建现有WorkSpaces以更新OU.
有关更多信息,请参阅重建WorkSpace(p.
82).
要指定目标域和组织单位1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开TargetDomainandOrganizationalUnit.
5.
对于SelectedOU,键入目标域和OU的完整LDAP可分辨名称,然后选择UpdateandExit.
例如:OU=WorkSpaces_machines,DC=machines,DC=example,DC=com.
6.
(可选)重建现有WorkSpaces以更新OU.
有关更多信息,请参阅重建WorkSpace(p.
82).
配置自动IP地址在启用弹性IP地址的自动分配后,会从Amazon提供的弹性IP地址池中为您启动的每个WorkSpace分配一个弹性IP地址(静态公有IP地址).
这些弹性IP地址允许公有子网中的WorkSpaces访问Internet.
在启用自动分配之前已存在的WorkSpaces在您重建弹性IP地址之前不会收到这些地址.
请注意,如果您的WorkSpaces位于私有子网中并且您为VirtualPrivateCloud(VPC)配置了NAT网关,或者如果您的WorkSpaces位于公有子网中并且您手动分配了弹性IP地址,则无需启用弹性IP地址的自动分配功能.
有关更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8).
Warning如果您将您拥有的弹性IP地址与WorkSpace关联,并在以后将该弹性IP地址与WorkSpace取消关联,则WorkSpace将失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的IP地址.
要将Amazon提供的池中的新公有IP地址与WorkSpace关联,您必须重新生成WorkSpace.
(p.
82)如果您不想重建WorkSpace,则必须将您拥有的另一个弹性IP地址与WorkSpace关联.
配置弹性IP地址1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
为您的WorkSpaces选择目录.
4.
选择Actions、UpdateDetails.
5.
展开AccesstoInternet,选择Enable或Disable.
6.
选择Update(更新).
控制设备访问您可以指定有权访问WorkSpaces的设备类型.
此外,您可以将对WorkSpaces的访问限制为受信任设备(也称为托管设备).
33AmazonWorkSpaces管理指南管理本地管理员权限控制设备对WorkSpaces的访问1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开AccessControlOptions,找到OtherPlatforms部分.
默认情况下,WorkSpacesWebAccess和Linux客户端处于禁用状态,用户可以从其iOS设备、Android设备、WorkSpacesChromebook零客户端设备访问其PCoIP.
5.
选择要启用的设备类型并清除要禁用的设备类型.
要阻止来自所有选定设备类型的访问,请选择Block.
6.
(可选)还可以将访问仅限定于受信任的设备.
有关更多信息,请参阅限制对受信任设备的WorkSpaces访问(p.
21).
7.
选择UpdateandExit.
管理本地管理员权限您可以指定用户在其WorkSpaces上是否为本地管理员,这将使他们能够在其WorkSpaces上安装应用程序并修改设置.
默认情况下,用户是本地管理员.
如果您修改此设置,则更改将应用于您创建的所有新WorkSpaces以及重建的任何WorkSpaces.
修改本地管理员权限1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开LocalAdministratorSetting.
5.
要确保用户为本地管理员,请选择Enable.
否则,请选择Disable.
6.
选择UpdateandExit.
更新ADConnector账户(ADConnector)您可以更新用于读取用户和组以及将AmazonWorkSpaces计算机账户加入到您的ADConnector目录的ADConnector账户.
更新ADConnector账户1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开UpdateADConnectorAccount.
5.
键入新账户的用户名和密码.
6.
选择UpdateandExit.
多重验证(ADConnector)您可以为ADConnector目录启用多重验证(MFA).
Note您的RADIUS服务器可由AWS托管,也可在本地托管.
34AmazonWorkSpaces管理指南更新工作区的DNS服务器ActiveDirectory和RADIUS服务器之间的用户名必须匹配.
启用多重验证1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开Multi-FactorAuthentication,然后选择EnableMulti-FactorAuthentication.
5.
对于RADIUSserverIPaddress(es),键入您的RADIUS服务器终端节点的IP地址,以逗号隔开,或键入您的RADIUS服务器负载均衡器的IP地址.
6.
对于Port,键入RADIUS服务器用来通信的端口.
您的本地网络必须允许通过默认的RADIUS服务器端口(1812)从ADConnector传入入站流量.
7.
对于Sharedsecretcode和Confirmsharedsecretcode,键入您的RADIUS服务器的共享密码.
8.
对于Protocol,为您的RADIUS服务器选择协议.
9.
对于Servertimeout,键入等待RADIUS服务器作出响应的时间(以秒为单位).
该值必须在1到20之间.
10.
对于Maxretries,键入尝试与RADIUS服务器通信的最多次数.
该值必须在0到10之间.
11.
选择UpdateandExit.
当RADIUSStatus为Enabled时,多重验证可用.
在设置多重验证时,用户无法登录其WorkSpaces.
更新DNS服务器AmazonWorkSpaces如果在启动WorkSpaces后需要更新ActiveDirectory的DNS服务器IP地址,则还必须使用新的DNS服务器设置来更新WorkSpaces.
您可以使用以下方法之一使用新DNS设置更新工作区:更新工作区中的DNS设置之前会更新ActiveDirectory的DNS设置.
重建工作区之后会更新ActiveDirectory的DNS设置.
我们建议在更新ActiveDirectory中的DNS设置之前,先更新WorkSpaces上的DNS设置(请参阅步骤1(p.
36)步骤).
如果要重新生成工作区,请更新ActiveDirectory中的其中一个DNS服务器IP地址(步骤2(p.
37)),然后按照重建WorkSpace(p.
82)以重建您的WorkSpaces.
重建工作区后,请按照步骤3(p.
37)以测试您的DNS服务器更新.
完成此步骤后,在ActiveDirectory中更新第二个DNS服务器的IP地址,然后再次重建您的WorkSpaces.
请务必遵循步骤3(p.
37)测试您的第二次DNS服务器更新.
如最佳实践(p.
35)一节,我们建议您一次更新一个DNS服务器IP地址.
最佳实践在更新DNS服务器设置时,我们建议您使用以下最佳实践:为了避免域资源的连接中断和无法访问,我们强烈建议在非高峰时段或计划的维护期间执行DNS服务器更新.
在更改DNS服务器设置之前15分钟和之后15分钟内,不要启动任何新的WorkSpaces.
更新DNS服务器设置时,请一次更改一个DNS服务器IP地址.
在更新第二IP地址之前,请验证第一更新是否正确.
我们建议执行以下程序(步骤1(p.
36),步骤2(p.
37),和步骤3(p.
37))两次,一次更新一个IP地址.
35AmazonWorkSpaces管理指南第1步:更新工作区中的DNS服务器设置第1步:更新工作区中的DNS服务器设置在以下步骤中,当前和新的DNS服务器IP地址值称为:当前DNSIP地址:OldIP1,OldIP2新的DNSIP地址:NewIP1,NewIP2Note如果这是您第二次执行此过程,请更换OldIP1配OldIP2和NewIP1配NewIP2.
更新WindowsWorkSpaces的DNS服务器设置如果您有多个WorkSpaces,您可以通过在ActiveDirectoryOU上为您的WorkSpaces应用GroupPolicyObject(GPO),将以下注册表更新部署到WorkSpaces.
有关使用GPO的更多信息,请参阅管理您的WindowsWorkSpaces(p.
59).
您可以使用注册表编辑器或使用WindowsPowerShell进行这些更新.
本节中描述了这两种程序.
使用注册表编辑器更新DNS注册表设置1.
在Windows工作空间中,打开Windows搜索框,然后输入registryeditor来打开注册表编辑器(regedit.
exe).
2.
当询问"你要允许此应用对你的设备进行更改吗"时,选择是.
3.
在注册表编辑器中,导航到以下注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\天光4.
打开域加入Dns注册表项.
更新OldIP1配NewIP1,然后选择好的.
5.
关闭注册表编辑器.
6.
重新启动工作区,或重新启动服务SkyLightWorkspaceConfigService.
7.
继续步骤2(p.
37),并在ActiveDirectory中更新您的DNS服务器设置以替换OldIP1配NewIP1.
使用PowerShell更新DNS注册表设置以下步骤使用PowerShell命令更新您的注册表并重新启动服务SkyLightWorkspaceConfigService.
1.
在Windows工作空间中,打开Windows搜索框,然后输入powershell.
选择以管理员身份运行.
2.
当询问"你要允许此应用对你的设备进行更改吗"时,选择是.
3.
在PowerShell窗口中,运行以下命令以检索当前的DNS服务器IP地址.
Get-ItemProperty-PathHKLM:\SOFTWARE\Amazon\SkyLight-NameDomainJoinDNS您应该收到以下输出.
DomainJoinDns:OldIP1,OldIP2PSPath:Microsoft.
PowerShell.
Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLightPSParentPath:Microsoft.
PowerShell.
Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\AmazonPSChildName:SkyLightPSDrive:HKLMPSProvider:Microsoft.
PowerShell.
Core\Registry4.
在PowerShell窗口中,运行以下命令以更改OldIP1至NewIP1.
确保离开OldIP2和现在一样.
36AmazonWorkSpaces管理指南第2步:更新活动目录的DNS服务器设置Set-ItemProperty-PathHKLM:\SOFTWARE\Amazon\SkyLight-NameDomainJoinDNS-Value"NewIP1,OldIP2"5.
运行以下命令以重新启动服务SkyLightWorkspaceConfigService.
restart-service-NameSkyLightWorkspaceConfigService6.
继续步骤2(p.
37),并在ActiveDirectory中更新您的DNS服务器设置以替换OldIP1配NewIP1.
更新LinuxWorkSpaces的DNS服务器设置IfyouhavemorethanoneLinuxWorkSpace,werecommendthatyouuseaconfigurationmanagementsolutiontodistributeandenfo例如,您可以使用AWSOpsworksforChef自动化,AWSOpsWorks为PuppetEnterprise提供,或难闻.
在Linux工作区中更新DNS服务器设置1.
在LinuxWorkSpace中,打开终端窗口(应用>的系统工具>的MATE终端).
2.
使用以下Linux命令编辑/etc/dhcp/dhclient.
conf文件.
您必须具有根用户权限才能编辑此文件.
通过使用sudo-i命令,或执行所有命令sudo如所示.
sudovi/etc/dhcp/dhclient.
conf在/etc/dhcp/dhclient.
conf文件,您将看到以下prepend命令,其中OldIP1和OldIP2是DNS服务器的IP地址.
prependdomain-name-serversOldIP1,OldIP2;#skylight3.
更换OldIP1配NewIP1、和离开OldIP2和现在一样.
4.
将更改保存到/etc/dhcp/dhclient.
conf.
5.
重新启动WorkSpace.
6.
继续步骤2(p.
37),并在ActiveDirectory中更新您的DNS服务器设置以替换OldIP1配NewIP1.
第2步:更新活动目录的DNS服务器设置在此步骤中,您可以更新ActiveDirectory的DNS服务器设置.
如最佳实践(p.
35)一节,我们建议您一次更新一个DNS服务器IP地址.
要更新ActiveDirectory的DNS服务器设置,请参阅AWSDirectoryServiceAdministrationGuide:AD连接器:更新您的AD连接器的DNS地址AWS托管MicrosoftAD:为本地域配置DNS条件转发器简单AD:配置DNS更新您的DNS服务器设置后,继续步骤3(p.
37).
第3步:测试更新的DNS服务器设置完成步骤1(p.
36)和步骤2(p.
37),请使用以下过程验证更新的DNS服务器设置是否按预期工作.
在以下步骤中,当前和新的DNS服务器IP地址值称为:当前DNSIP地址:OldIP1,OldIP237AmazonWorkSpaces管理指南第3步:测试更新的DNS服务器设置新的DNSIP地址:NewIP1,NewIP2Note如果这是您第二次执行此过程,请更换OldIP1配OldIP2和NewIP1配NewIP2.
测试WindowsWorkSpaces的更新DNS服务器设置1.
关闭OldIP1DNS服务器.
2.
登录到WindowsWorkSpace.
3.
在Windows开始菜单上,选择Windows系统,然后选择命令提示符.
4.
运行以下命令,其中AD_Name是您的活动目录的名称(例如,corp.
example.
com).
nslookupAD_Name的nslookup命令应返回以下输出.
(如果这是您第二次执行此过程,您应该看到NewIP2取代OldIP2.
)Server:Full_AD_NameAddress:NewIP1Name:AD_NameAddresses:OldIP2NewIP15.
如果输出不是您预期的,或者您收到任何错误,请重复步骤1(p.
36).
6.
等待一小时,并确认没有报告用户问题.
验证NewIP1正在获取DNS查询并回复答案.
7.
确认第一个DNS服务器工作正常后,重复步骤1(p.
36)更新第二个DNS服务器,这次替换OldIP2配NewIP2.
然后重复步骤2和步骤3.
测试LinuxWorkSpaces的更新DNS服务器设置1.
关闭OldIP1DNS服务器.
2.
登录到LinuxWorkSpace.
3.
在LinuxWorkSpace中,打开终端窗口(应用>的系统工具>的MATE终端).
4.
DHCP响应中返回的DNS服务器IP地址写入本地/etc/resolv.
conf文件.
运行以下命令以查看/etc/resolv.
conf文件.
cat/etc/resolv.
conf您应当看到如下输出.
(如果这是您第二次执行此过程,您应该看到NewIP2取代OldIP2.
);ThisfileisgeneratedbyAmazonWorkSpaces;ModifyingitcanmakeyourWorkSpaceinaccessibleuntilrebootoptionstimeout:2attempts:5;generatedby/usr/sbin/dhclient-scriptsearchregion.
compute.
internalnameserverNewIP1nameserverOldIP2nameserverWorkSpaceIPNote如果手动修改/etc/resolv.
conf文件,这些更改将在重新启动WorkSpace时丢失.
38AmazonWorkSpaces管理指南删除目录5.
如果输出不是您预期的,或者您收到任何错误,请重复步骤1(p.
36).
6.
实际的DNS服务器IP地址存储在/etc/dhcp/dhclient.
conf文件.
要查看此文件的内容,请运行以下命令.
sudocat/etc/dhcp/dhclient.
conf您应当看到如下输出.
(如果这是您第二次执行此过程,您应该看到NewIP2取代OldIP2.
)#ThisfileisgeneratedbyAmazonWorkSpaces#ModifyingitcanmakeyourWorkSpaceinaccessibleuntilrebuildprependdomain-name-serversNewIP1,OldIP2;#skylight7.
等待一小时,并确认没有报告用户问题.
验证NewIP1正在获取DNS查询并回复答案.
8.
确认第一个DNS服务器工作正常后,重复步骤1(p.
36)更新第二个DNS服务器,这次替换OldIP2配NewIP2.
然后重复步骤2和步骤3.
删除WorkSpaces的目录如果您的WorkSpaces目录不再被其他WorkSpaces或其他应用程序(如AmazonWorkDocs、AmazonWorkMail或AmazonChime)使用,您可以删除该目录.
请注意,必须先取消注册目录,然后才能删除它.
NoteSimpleAD和ADConnector可供您免费用于WorkSpaces.
如果WorkSpaces或SimpleAD目录在连续30天内没有使用ADConnector,则系统将自动取消注册此目录以便与AmazonWorkSpaces一起使用,并且将按照AWSDirectoryService定价条款向您收取此目录的费用.
如果您删除SimpleAD或ADConnector目录,则始终可以在希望重新开始使用WorkSpaces时创建新的目录.
删除目录时会发生什么删除SimpleAD或AWSDirectoryServiceforMicrosoftActiveDirectory(企业版)目录时,所有目录数据和快照都会删除,并且无法恢复.
删除目录后,加入到该目录的任何AmazonEC2实例都将保持不变.
但是,不能使用目录凭证登录这些实例.
需要使用实例的本地用户账户登录这些实例.
删除ADConnector目录时,本地目录保持不变.
加入到目录的所有AmazonEC2实例也保持不变,并保持加入本地目录.
仍可以使用目录凭证登录这些实例.
要删除目录1.
删除目录中的所有WorkSpaces.
有关更多信息,请参阅删除WorkSpace(p.
92).
2.
查找并删除注册到目录的所有应用程序和服务.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_delete.
html中的删除目录AWSDirectoryServiceAdministrationGuide.
3.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
4.
在导航窗格中,选择Directories.
5.
选择目录,然后选择Actions、Deregister.
6.
当系统提示您确认时,选择Deregister(取消注册).
7.
再次选择目录,然后选择Actions和Delete.
8.
当系统提示进行确认时,选择Delete(删除).
Note删除应用程序分配有时可能需要超出预期的时间.
如果您收到以下错误消息,请确保已删除所有应用程序分配,等待30到60分钟,然后再次尝试删除该目录:39AmazonWorkSpaces管理指南为MicrosoftActiveDirectory启用AmazonWorkDocsAnErrorHasOccurredCannotdeletethedirectorybecauseitstillhasauthorizedapplications.
AdditionaldirectorydetailscanbeviewedattheDirectoryServiceconsole.
9.
(可选)删除VirtualPrivateCloud(VPC)中用于您的目录的所有资源后,可以删除VPC并释放用于NAT网关的弹性IP地址.
有关更多信息,请参阅中的删除VPC和使用弹性IP地址.
AmazonVPC用户指南10.
(可选)要删除您不再使用的任何自定义捆绑包和映像,请参阅删除自定义WorkSpaces服务包或映像(p.
107).
为MicrosoftActiveDirectory启用AmazonWorkDocs如果您将MicrosoftActiveDirectory(AD)与AmazonWorkSpaces配合使用,则可以通过AmazonWorkDocs控制台或AWSDirectoryService控制台为您的目录启用AmazonWorkDocs.
通过WorkDocs控制台启用AmazonWorkDocs1.
从https://console.
amazonaws.
cn/zocalo/打开AmazonWorkDocs控制台.
2.
选择CreateaNewWorkDocsSite(创建新的AWS站点).
3.
在StandardSetup(标准设置)中,选择Launch(启动).
4.
选择目录并创建您的站点名称.
5.
指定将管理WorkDocs站点的用户.
您可以使用管理员或在目录中创建的任何用户.
有关更多信息,请参阅https://docs.
amazonaws.
cn/workdocs/latest/adminguide/connect_directory_microsoft.
html中的AWS托管的MicrosoftAD入门AmazonWorkDocs管理指南.
通过WorkDocs控制台启用AWSDirectoryService1.
通过以下网址打开AWSDirectoryService控制台:https://console.
amazonaws.
cn/directoryservicev2/.
2.
在导航窗格中,选择Directories.
3.
在Directories(目录)页面上,选择您的目录.
4.
在Directorydetails(目录详细信息)页面上,选择Applicationmanagement(应用程序管理)选项卡.
5.
在ApplicationaccessURL(应用程序访问URL)部分中,如果尚未向目录分配访问URL,则会显示Create(创建)按钮.
输入目录别名,然后选择Create(创建).
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_create_access_url.
html中的创建访问URLAWSDirectoryServiceAdministrationGuide.
6.
在ApplicationaccessURL(应用程序访问URL)部分中,选择Enable(启用)为AmazonWorkDocs启用单点登录.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_single_sign_on.
html中的单点登录AWSDirectoryServiceAdministrationGuide.
为AmazonWorkSpaces设置ActiveDirectory管理工具您将使用目录管理工具(如ActiveDirectory管理工具)执行WorkSpaces目录的大多数管理任务.
不过,您将使用AmazonWorkSpaces控制台来执行一些与目录相关的任务.
有关更多信息,请参阅管理AmazonWorkSpaces目录(p.
31).
40AmazonWorkSpaces管理指南设置目录管理如果您使用包含五个或更多个WorkSpaces的MicrosoftAD或SimpleAD创建目录,我们建议您在AmazonEC2实例上进行集中管理.
虽然您可以在WorkSpace上安装目录管理工具,但使用AmazonEC2实例是一种更可靠的解决方案.
设置ActiveDirectory管理工具1.
启动Windows实例并将其加入您的WorkSpaces目录.
在启动实例时,可以将AmazonEC2Windows实例加入到您的目录域.
有关更多信息,请参阅AWSDirectoryService中的将Windows实例加入AmazonEC2用户指南(适用于Windows实例)域.
或者,您可以手动将实例加入到目录中.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/join_windows_instance.
html中的AWSDirectoryServiceAdministrationGuide手动添加Windows实例(SimpleAD和MicrosoftAD).
2.
在实例上安装ActiveDirectory管理工具.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/install_ad_tools.
html中的AWSDirectoryServiceAdministrationGuide安装ActiveDirectory管理工具.
3.
按照如下步骤以目录管理员身份运行工具:a.
打开AdministrativeTools.
b.
按住Shift键,右键单击工具快捷方式,选择Runasdifferentuser.
c.
键入管理员的用户名和密码.
对于SimpleAD,用户名为Administrator,对于MicrosoftAD,管理员为Admin.
现在,您可以使用熟悉的ActiveDirectory工具执行目录管理任务.
例如,您可以使用ActiveDirectory用户和计算机工具添加用户、删除用户、将用户提升为目录管理员或重置用户密码.
请注意,您必须以有权管理目录中用户的用户身份登录您的Windows实例.
将用户提升为目录管理员Note此过程仅适用于使用SimpleAD创建的目录,而不适用于AWSManagedAD.
有关使用AWS托管AD创建的目录,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.
html中的管理AWS托管MicrosoftAD中的用户和组AWSDirectoryServiceAdministrationGuide.
1.
打开"ActiveDirectory用户和计算机"工具.
2.
导航到您的域下的用户文件夹并选择要提升的用户.
3.
选择操作、属性.
4.
在用户属性对话框中,选择隶属于.
5.
将用户添加到下列组并选择确定.
AdministratorsDomainAdminsEnterpriseAdminsGroupPolicyCreatorOwnersSchemaAdmins添加或删除用户您只能在启动AmazonWorkSpaces的过程中从WorkSpace控制台创建新用户,并且无法通过AmazonWorkSpaces控制台删除用户.
大多数用户管理任务(包括管理用户组)都必须通过您的目录执行.
41AmazonWorkSpaces管理指南设置目录管理Important您必须先删除分配给某个用户的WorkSpace,然后才能删除该用户.
有关更多信息,请参阅删除WorkSpace(p.
92).
用于管理用户和组的过程取决于您使用的目录类型.
如果您使用的是AWS托管的MicrosoftAD,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.
html中的管理AWS托管的MicrosoftAD中的用户和组AWSDirectoryServiceAdministrationGuide.
如果您使用的是SimpleAD,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.
html中的在SimpleAD中管理用户和组AWSDirectoryServiceAdministrationGuide.
如果通过ADConnector或信任关系使用MicrosoftActiveDirectory,则可以使用ActiveDirectory来管理用户和组.
重置用户密码在为现有用户重置密码时,不要设置Usermustchangepasswordatnextlogon.
否则,用户无法连接到其WorkSpaces.
相反,为每个用户分配一个安全的临时密码,然后要求他们在下次登录时从WorkSpace中手动更改其密码.
Note如果您使用的是ADConnector或用户位于AWSGovCloud(美国西部)区域,则您的用户将无法重置自己的密码.
(客户端应用程序登录屏幕上的Forgotpassword(忘记密码)WorkSpaces选项将不可用.
)42AmazonWorkSpaces管理指南启动使用AWS托管的MicrosoftAD的项使用AmazonWorkSpaces启动虚拟桌面借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟MicrosoftWindows或AmazonLinux桌面(称为WorkSpace).
Note的计算机名称为AmazonWorkSpaces控制台因您启动的WorkSpace类型(Linux或Windows)而异.
工作区的计算机名称可以采用以下格式之一:Linux(Linux):甲-1xxxxxxxxxxxx窗户:IP-C(IP-C)xxxxxx或WSAMZN-xxxxxxx或EC2AAZ-xxxxxxx对于WindowsWorkSpaces,计算机名称格式由捆绑包类型决定,如果是从公共捆绑包或基于公共图像的自定义捆绑包创建WorkSpaces,则由创建公共图像时确定.
从2020年6月22日起,从公共捆绑包启动的WindowsWorkSpaces具有WSAMLZN-xxxxxxx其计算机名称的格式,而非IP-Cxxxxxx格式的日期和时间.
基于公共图像的自定义捆绑包,如果公共图像是在2020年6月22日之前创建的,则计算机名称位于EC2AMAZ-xxxxxxx格式的日期和时间.
如果公共图像创建于2020年6月22日或之后,则计算机名称位于WSAMLZN-xxxxxxx格式的日期和时间.
对于自带许可证(BYOL)捆绑包,EC2AAZ-xxxxxxx格式默认用于计算机名称.
如果您已为自定义或BYOL捆绑包中的计算机名称指定了自定义格式,则自定义格式将覆盖这些默认值.
AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
您可以执行以下任意操作:创建SimpleAD目录.
创建AWSDirectoryServiceforMicrosoftActiveDirectory,也称为AWS托管的MicrosoftAD.
使用ActiveDirectoryConnector连接到现有MicrosoftActiveDirectory.
在AWS托管的MicrosoftAD目录与本地域之间创建信任关系.
以下教程将为您介绍如何使用受支持的目录服务选项启动WorkSpace.
教程启动使用WorkSpace托管的MicrosoftAD的AWS(p.
43)使用SimpleAD启动WorkSpace(p.
46)使用ADConnector启动WorkSpace(p.
49)使用受信任域启动WorkSpace(p.
51)启动使用WorkSpace托管的MicrosoftAD的AWSAmazonWorkSpaces可让您为用户预配置基于云的虚拟Windows桌面(称为WorkSpaces).
AmazonWorkSpaces使用目录来存储和管理WorkSpaces和用户的信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
43AmazonWorkSpaces管理指南开始前的准备工作在本教程中,我们将启动使用WorkSpace托管的MicrosoftAD的AWS.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
任务开始前的准备工作(p.
44)步骤1:创建AWS托管的MicrosoftAD目录(p.
44)步骤2:创建WorkSpace(p.
45)步骤3:连接到WorkSpace(p.
45)后续步骤(p.
46)开始前的准备工作AmazonWorkSpaces并非在所有区域均可用.
验证支持的区域并为您的WorkSpaces选择一个区域.
有关支持的区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是操作系统、存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
使用AWSDirectoryService创建目录或启动WorkSpace时,您必须创建或选择配置有公有子网和两个私有子网的VirtualPrivateCloud.
有关更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8).
步骤1:创建AWS托管的MicrosoftAD目录首先,创建一个AWS托管的MicrosoftAD目录.
AWSDirectoryService会创建2个目录服务器,您的VPC的每个私有子网中各有一个.
请注意,目录最初没有任何用户.
您将在下一步中启动WorkSpace时添加用户.
创建AWS托管的MicrosoftAD目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择SetupDirectory、CreateMicrosoftAD.
4.
按以下说明配置目录:a.
对于组织名称,为您的目录输入一个具有唯一性的组织名称(例如,my-demo-directory).
此名称的字符数不得少于4个,仅包含字母数字字符和连字符(-),并以连字符以外的其他字符开头或结尾.
b.
对于目录DNS,为目录输入一个完全限定名称(例如,workspaces.
demo.
com).
Important如果您在启动WorkSpaces后需要更新DNS服务器,请按照更新DNS服务器AmazonWorkSpaces(p.
35)中的过程操作以确保您的WorkSpaces正确更新.
c.
对于NetBIOSname(AmazonS3名称),输入目录的短名称(例如,workspaces).
d.
对于Admin密码和确认密码,输入目录管理员账户的密码.
有关密码要求的更多信息,请参阅AWS中的创建您的AWSDirectoryServiceAdministrationGuide托管的MicrosoftAD目录.
e.
(可选)对于描述,输入目录的描述.
f.
对于VPC,选择您创建的VPC.
g.
对于Subnets,选择两个私有子网(具有CIDR块10.
0.
1.
0/24和10.
0.
2.
0/24).
h.
选择NextStep.
5.
选择CreateMicrosoftAD.
6.
选择Done(完成).
目录的初始状态为Creating.
目录创建完成后,状态为Active.
44AmazonWorkSpaces管理指南步骤2:创建WorkSpace步骤2:创建WorkSpace现在,您已经创建了一个AWS托管的MicrosoftAD目录,接下来可以创建WorkSpace.
创建WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择启动WorkSpaces.
4.
在SelectaDirectory(选择目录)页面上,选择您创建的目录,然后选择NextStep(下一步).
AmazonWorkSpaces将注册您的目录.
5.
在IdentifyUsers页面上,按照以下步骤向目录添加新用户:a.
填写Username、FirstName、LastName和Email.
使用您有权访问的电子邮件地址.
b.
选择CreateUsers.
c.
选择NextStep.
6.
在SelectBundle页面上,选择服务包,然后选择NextStep.
7.
在WorkSpacesConfiguration(AWSStorageGateway配置)页面上,选择运行模式,然后选择NextStep(下一步).
8.
在Review&LaunchWorkSpaces页面上,选择Launch.
WorkSpaces的初始状态为WorkSpace.
PENDING启动完成后,状态会变为AVAILABLE,然后系统会向您为用户指定的电子邮件地址发送邀请.
步骤3:连接到WorkSpace收到邀请电子邮件后,您可以使用所选的客户端连接到您的WorkSpace.
登录后,客户端会显示WorkSpace桌面.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
根据系统提示,指定密码并激活用户.
请记住此密码,因为您将需要它来登录您的WorkSpace.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
密码必须混合使用以下四类字符:小写字母(a-z)、大写字母(A-Z)、数字(0-9)以及2.
查看AmazonWorkSpaces中的AmazonWorkSpaces用户指南客户端,了解有关每个客户端的要求的更多信息,然后执行以下操作之一:根据系统提示,下载一个客户端应用程序或启动WebAccess.
如果您未看到提示且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载其中一个客户端应用程序或启动WebAccess.
Note您无法使用Web浏览器(Web访问)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
45AmazonWorkSpaces管理指南后续步骤后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后从WorkSpace中创建自定义服务包.
您还可以为WorkSpaces和WorkSpaces目录执行各种管理任务.
如果您不再使用WorkSpace,可将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpaces映像和服务包(p.
94)管理您的WorkSpaces(p.
59)管理AmazonWorkSpaces目录(p.
31)删除WorkSpace(p.
92)有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅中的AmazonWorkSpaces客户端和PeripheralDeviceSupport.
AmazonWorkSpaces用户指南使用SimpleAD启动WorkSpaceAmazonWorkSpaces可让您为用户预配置基于云的虚拟MicrosoftWindows桌面(称为WorkSpaces).
AmazonWorkSpaces使用目录来存储和管理WorkSpaces和用户的信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用SimpleAD的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
任务开始前的准备工作(p.
46)步骤1:创建SimpleAD目录(p.
46)步骤2:创建WorkSpace(p.
47)步骤3:连接到WorkSpace(p.
48)后续步骤(p.
48)开始前的准备工作SimpleAD并非在所有区域均可用.
验证支持的区域,并为您的目录选择一个区域SimpleAD.
有关SimpleAD支持的区域的更多信息,请参阅AWSDirectoryService的区域可用性.
AmazonWorkSpaces并非在所有区域均可用.
验证支持的区域并为WorkSpaces选择一个区域.
有关支持的区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是操作系统、存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
使用AWSDirectoryService创建目录或启动WorkSpace时,您必须创建或选择配置有公有子网和两个私有子网的VirtualPrivateCloud.
有关更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8).
步骤1:创建SimpleAD目录创建一个SimpleAD目录.
AWSDirectoryService会创建2个目录服务器,您的VPC的每个私有子网中各有一个.
请注意,目录最初没有任何用户.
在下一步中创建WorkSpace时,您将添加用户.
46AmazonWorkSpaces管理指南步骤2:创建WorkSpace创建SimpleAD目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
依次选择SetupDirectory和CreateSimpleAD.
4.
按以下说明配置目录:a.
对于组织名称,为您的目录输入一个具有唯一性的组织名称(例如,my-example-directory).
此名称的字符数不得少于4个,仅包含字母数字字符和连字符(-),并以连字符以外的其他字符开头或结尾.
b.
对于目录DNS,输入目录的完全限定名称(例如,example.
com).
Important如果您在启动WorkSpaces后需要更新DNS服务器,请按照更新DNS服务器AmazonWorkSpaces(p.
35)中的过程操作以确保您的WorkSpaces正确更新.
c.
对于NetBIOSname(AmazonS3名称),输入目录的短名称(例如,example).
d.
对于Admin密码和确认密码,输入目录管理员账户的密码.
有关密码要求的更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/create_managed_ad.
html中的AWSDirectoryServiceAdministrationGuide如何创建MicrosoftAD目录.
e.
(可选)对于描述,输入目录的描述.
f.
将Directorysize保留为Small.
g.
对于VPC,选择您创建的VPC.
h.
对于Subnets,选择两个私有子网(具有CIDR块10.
0.
1.
0/24和10.
0.
2.
0/24).
i.
选择NextStep.
5.
选择CreateSimpleAD.
6.
选择Done(完成).
目录的初始状态为Requested,然后是Creating.
目录创建完成后,状态为Active.
目录创建AmazonWorkSpaces将代表您完成以下任务:创建一个IAM角色以允许AmazonWorkSpaces服务创建弹性网络接口并列出您的AmazonWorkSpaces目录.
此角色的名称为workspaces_DefaultRole.
在VPC中设置用于存储用户和WorkSpace信息的SimpleAD目录.
此目录的管理员账户具有用户名Administrator和指定的密码.
创建两个安全组,一个用于目录控制器,另一个用于目录中的WorkSpaces.
步骤2:创建WorkSpace现在您已准备就绪,可以启动WorkSpace了.
为用户创建WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择启动WorkSpaces.
4.
在SelectaDirectory页面上,执行以下操作:a.
对于Directory,选择您创建的目录.
b.
对于启用AmazonWorkDocs,选择是.
47AmazonWorkSpaces管理指南步骤3:连接到WorkSpaceNote仅当在所选区域提供AmazonWorkDocs时,此选项才可用.
c.
选择Next(下一步).
AmazonWorkSpaces将注册您的SimpleAD目录.
5.
在IdentifyUsers页面上,按照以下步骤向目录添加新用户:a.
填写Username、FirstName、LastName和Email.
使用您有权访问的电子邮件地址.
b.
选择CreateUsers.
c.
选择NextStep.
6.
在SelectBundle页面上,选择服务包,然后选择NextStep.
7.
在WorkSpacesConfiguration(AWSStorageGateway配置)页面上,选择运行模式,然后选择NextStep(下一步).
8.
在Review&LaunchWorkSpaces页面上,选择Launch.
WorkSpaces的初始状态为WorkSpace.
PENDING启动完成后,状态会变为AVAILABLE,然后系统会向您为用户指定的电子邮件地址发送邀请.
步骤3:连接到WorkSpace收到邀请电子邮件后,您可以使用所选的客户端连接到您的WorkSpace.
登录后,客户端会显示WorkSpace桌面.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
根据系统提示,输入密码并激活用户.
请记住此密码,因为您会在登录WorkSpace时用到它.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
密码必须混合使用以下四类字符:小写字母(a-z)、大写字母(A-Z)、数字(0-9)以及2.
查看AmazonWorkSpaces中的客户端AmazonWorkSpaces用户指南以了解有关每个客户端的要求的更多信息,然后执行以下操作之一:根据系统提示,下载一个客户端应用程序或启动WebAccess.
如果您未看到提示且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载其中一个客户端应用程序或启动WebAccess.
Note您无法使用Web浏览器(Web访问)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后从WorkSpace中创建自定义服务包.
您还可以为WorkSpaces和WorkSpaces目录执行各种管理任务.
如果您不再使用WorkSpace,可将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpaces映像和服务包(p.
94)48AmazonWorkSpaces管理指南使用ADConnector启动管理您的WorkSpaces(p.
59)管理AmazonWorkSpaces目录(p.
31)删除WorkSpace(p.
92)有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅中的AmazonWorkSpaces客户端和PeripheralDeviceSupport.
AmazonWorkSpaces用户指南使用ADConnector启动WorkSpaceAmazonWorkSpaces可让您为用户预配置基于云的虚拟MicrosoftWindows桌面(称为WorkSpaces).
AmazonWorkSpaces使用目录来存储和管理WorkSpaces和用户的信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用ADConnector的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
任务开始前的准备工作(p.
49)步骤1:创建ADConnector(p.
49)步骤2:创建WorkSpace(p.
50)步骤3:连接到WorkSpace(p.
51)后续步骤(p.
51)开始前的准备工作AmazonWorkSpaces并非在所有区域均可用.
验证支持的区域并为您的WorkSpaces选择一个区域.
有关支持的区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是操作系统、存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
创建具有至少两个私有子网的VirtualPrivateCloud.
有关更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8).
必须通过虚拟专用网络(VPN)连接或AWSDirectConnect将VPC连接到您的本地网络.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/prereq_connector.
html中的AWSDirectoryServiceAdministrationGuideADConnector先决条件.
从WorkSpace提供对Internet的访问.
有关更多信息,请参阅从您的WorkSpace提供Internet访问(p.
22).
步骤1:创建ADConnector创建ADConnector1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择SetupDirectory、CreateADConnector.
4.
对于组织名称,为您的目录输入一个具有唯一性的组织名称(例如,my-example-directory).
此名称的字符数不得少于4个,仅包含字母数字字符和连字符(-),并以连字符以外的其他字符开头或结尾.
49AmazonWorkSpaces管理指南步骤2:创建WorkSpace5.
对于已连接的目录DNS,输入您的本地目录的完全限定名称(例如example.
com).
6.
对于ConnecteddirectoryNetBIOSname(已连接目录AmazonS3名称),输入您的本地目录的短名称(例如,example).
7.
对于Connector账户用户名,输入您的本地目录中的一个用户的用户名.
该用户必须有权读取用户和组、创建计算机对象并将其加入到域中.
8.
对于Connector账户密码和确认密码,输入本地用户账户的密码.
9.
对于DNS地址,输入您的本地目录中至少一个DNS服务器的IP地址.
Important如果需要在启动WorkSpaces后更新您的DNS服务器IP地址,请按照更新DNS服务器AmazonWorkSpaces(p.
35)中的过程操作以确保您的WorkSpaces正确更新.
10.
(可选)对于描述,输入目录的描述.
11.
保持Size为Small.
12.
对于VPC,选择您的VPC.
13.
对于Subnets,选择您的子网.
所指定的DNS服务器必须能够从每个子网访问.
14.
选择NextStep.
15.
选择CreateADConnector.
连接目录需要几分钟时间.
目录的初始状态为Requested,然后是Creating.
目录创建完成后,状态为Active.
步骤2:创建WorkSpace现在,您已准备就绪,可为本地目录中的一个或多个用户启动WorkSpaces.
为现有用户启动WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择启动WorkSpaces.
4.
对于Directory,选择您创建的目录.
5.
(可选)如果这是您首次在该目录中启动WorkSpace,并且在区域中支持AmazonWorkDocs,则您可以为目录中的所有用户启用或禁用AmazonWorkDocs.
有关更多信息,请参阅AmazonWorkDocs中的AmazonWorkDocs管理指南同步客户端帮助.
6.
选择Next(下一步).
AmazonWorkSpaces将注册您的ADConnector.
7.
从您的本地目录选择一个或多个现有用户.
不要通过AmazonWorkSpaces控制台向本地目录添加新用户.
要查找所要选择的用户,可以输入用户的完整或部分名称,然后选择搜索或显示所有用户.
请注意,不能选择没有电子邮件地址的用户.
选择了用户后,选择AddSelected,然后选择NextStep.
8.
在SelectBundle(选择服务包)下,选择要用于WorkSpace的默认WorkSpaces服务包.
在AssignWorkSpaceBundles(分配AmazonS3服务包)下,您可以根据需要为单个WorkSpace选择不同的服务包.
完成后,选择NextStep.
9.
为您的WorkSpaces选择运行模式,然后选择NextStep(下一步).
有关更多信息,请参阅管理WorkSpace运行模式(p.
73).
10.
选择LaunchWorkSpaces(启动AWSLambda).
的初始状态为WorkSpace.
PENDING启动完成后,状态为AVAILABLE.
11.
向每个用户的电子邮件地址发送邀请.
(如果您使用的是ADConnector,则不会自动发送这些邀请.
)有关更多信息,请参阅发送邀请电子邮件(p.
55).
50AmazonWorkSpaces管理指南步骤3:连接到WorkSpace步骤3:连接到WorkSpace您可以使用所选的客户端连接到您的WorkSpace.
登录后,客户端会显示WorkSpace桌面.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
2.
查看AmazonWorkSpaces中的AmazonWorkSpaces用户指南客户端,了解有关每个客户端的要求的更多信息,然后执行以下操作之一:根据系统提示,下载一个客户端应用程序或启动WebAccess.
如果您未看到提示且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载客户端应用程序之一或启动WebAccess.
Note您无法使用Web浏览器(Web访问)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
Note由于您使用的是ADConnector,您的用户将无法重置自己的密码.
(客户端应用程序登录屏幕上的Forgotpassword(忘记密码)WorkSpaces选项将不可用.
)有关如何重置用户密码的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后从WorkSpace中创建自定义服务包.
您还可以为WorkSpaces和WorkSpaces目录执行各种管理任务.
如果您不再使用WorkSpace,可将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpaces映像和服务包(p.
94)管理您的WorkSpaces(p.
59)管理AmazonWorkSpaces目录(p.
31)删除WorkSpace(p.
92)有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅中的AmazonWorkSpaces客户端和外围设备支持.
AmazonWorkSpaces用户指南使用受信任域启动WorkSpaceAmazonWorkSpaces可让您为用户预配置基于云的虚拟MicrosoftWindows桌面(称为WorkSpaces).
AmazonWorkSpaces使用目录来存储和管理WorkSpaces和用户的信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用信任关系的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
51AmazonWorkSpaces管理指南开始前的准备工作任务开始前的准备工作(p.
52)步骤1:建立信任关系(p.
52)步骤2:创建WorkSpace(p.
52)步骤3:连接到WorkSpace(p.
53)后续步骤(p.
53)开始前的准备工作当WorkSpaces托管MicrosoftAD配置为与本地目录具有信任关系时,使用独立受信任域中的用户账户启动AWS可与AD配合使用.
但是,使用SimpleAD或ADConnector的WorkSpaces无法为来自受信任域的用户启动WorkSpaces.
AmazonWorkSpaces并非在所有区域均可用.
验证支持的区域并为WorkSpaces选择一个区域.
有关支持的区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
使用AWSDirectoryService创建目录或启动WorkSpace时,您必须创建或选择配置有公有子网和两个私有子网的VirtualPrivateCloud.
有关更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8).
步骤1:建立信任关系设置信任关系1.
在您的VirtualPrivateCloud(VPC)中设置AWS托管的MicrosoftAD.
有关更多信息,请参阅AWS中的创建AWSDirectoryServiceAdministrationGuide托管的MicrosoftAD目录.
2.
在AWS托管的MicrosoftAD与本地域之间创建信任关系.
确保该信任关系配置为双向信任.
有关更多信息,请参阅教程:.
中的AWS在托管的MicrosoftAD与本地域之间创建信任关系.
AWSDirectoryServiceAdministrationGuide需要双向信任,以便可以使用本地凭证来管理WorkSpaces和对其进行身份验证,并且可以为本地用户和组预置WorkSpaces.
步骤2:创建WorkSpace在AWS托管的MicrosoftAD与本地MicrosoftActiveDirectory域之间建立信任关系后,您可以为本地域中的用户配置WorkSpaces.
注意,您必须确保跨域复制GPO设置,然后才能将其应用到AmazonWorkSpaces.
为本地受信任域中的用户启动WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择启动WorkSpaces.
4.
在SelectaDirectory页面上,选择您刚注册的目录,然后选择NextStep.
5.
在IdentifyUsers页面上,执行以下操作:a.
对于Selecttrustfromforest,选择您创建的信任关系.
b.
从本地部署域中选择用户,然后选择AddSelected.
c.
选择NextStep.
52AmazonWorkSpaces管理指南步骤3:连接到WorkSpace6.
选择要用于WorkSpaces的捆绑包,然后选择NextStep(下一步).
7.
选择运行模式,选择加密设置,并配置任何标签.
完成后,选择NextStep.
8.
选择LaunchWorkSpaces(启动AWSLambda).
请注意,WorkSpaces最长可能需要20分钟才能变为可用;如果启用了加密,最多可能需要40分钟.
的初始状态为WorkSpace.
PENDING启动完成后,状态为AVAILABLE.
9.
向每个用户的电子邮件地址发送邀请.
有关更多信息,请参阅发送邀请电子邮件(p.
55).
步骤3:连接到WorkSpace收到邀请电子邮件后,您可以连接到您的WorkSpace.
用户可以输入其用户名作为username、corp\\username或corp.
example.
com\\username.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
根据系统提示,输入密码并激活用户.
请记住此密码,因为您将需要它来登录您的WorkSpace.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
密码必须混合使用以下四类字符:小写字母(a-z)、大写字母(A-Z)、数字(0-9)以及2.
查看AmazonWorkSpaces中的AmazonWorkSpaces用户指南客户端以了解有关每个客户端的要求的更多信息,然后执行以下操作之一:根据系统提示,下载一个客户端应用程序或启动WebAccess.
如果您未看到提示且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载其中一个客户端应用程序或启动WebAccess.
Note您无法使用Web浏览器(Web访问)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后从WorkSpace中创建自定义服务包.
您还可以为WorkSpaces和WorkSpaces目录执行各种管理任务.
如果您不再使用WorkSpace,可将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpaces映像和服务包(p.
94)管理您的WorkSpaces(p.
59)管理AmazonWorkSpaces目录(p.
31)删除WorkSpace(p.
92)有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅中的AmazonWorkSpaces客户端和外围设备支持.
AmazonWorkSpaces用户指南53AmazonWorkSpaces管理指南管理WorkSpaces用户管理WorkSpace用户每WorkSpace已分配给单个用户,无法由多个用户共享.
默认情况下,只有一个WorkSpace每个用户每个目录允许.
内容管理WorkSpaces用户(p.
54)创建多个WorkSpaces用户(p.
55)自定义用户登录方式WorkSpaces(p.
55)启用自助服务WorkSpace用户的管理能力(p.
57)管理WorkSpaces用户作为的管理员AmazonWorkSpaces,您可以执行以下要管理的任务WorkSpaces用户.
编辑用户信息您可以使用AmazonWorkSpaces控制台编辑用户信息WorkSpace.
Note仅当您使用AWS托管的MicrosoftAD或SimpleAD时该功能才可用.
如果通过ADConnector或信任关系使用MicrosoftActiveDirectory,则可以使用ActiveDirectory来管理用户和组.
要编辑用户信息1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择一个用户,然后选择Actions、EditUser.
4.
根据需要,更新FirstName、LastName和Email.
5.
选择Update(更新).
添加或删除用户您可以从创建新用户AmazonWorkSpaces控制台,仅在启动WorkSpace,您不能通过删除用户AmazonWorkSpaces控制台.
大多数用户管理任务(包括管理用户组)都必须通过您的目录执行.
添加或删除用户和组要添加、删除或管理用户和组,您必须通过目录进行此操作.
您将执行大多数管理任务WorkSpaces目录,例如ActiveDirectory管理工具.
有关更多信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
Important在删除用户之前,必须删除WorkSpace分配给该用户.
有关更多信息,请参阅删除WorkSpace(p.
92).
用于管理用户和组的过程取决于您使用的目录类型.
如果您正在使用AWSManagedMicrosoftAD,请参阅在AWSManagedMicrosoftAD中管理用户和组在AWSDirectoryServiceAdministrationGuide.
54AmazonWorkSpaces管理指南发送邀请电子邮件如果您正在使用SimpleAD,请参阅在简单AD中管理用户和组在AWSDirectoryServiceAdministrationGuide.
如果通过ADConnector或信任关系使用MicrosoftActiveDirectory,则可以使用ActiveDirectory来管理用户和组.
发送邀请电子邮件您可以根据需要向用户手动发送邀请电子邮件.
Note如果使用的是ADConnector,则欢迎电子邮件不会自动发送给您的用户,因此您必须手动发送.
要重新发送邀请电子邮件1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
在工作空间使用搜索框搜索您要向其发送邀请的用户,然后选择相应的WorkSpace搜索结果.
您只能选择一个WorkSpace一次.
4.
依次选择Actions(操作)和InviteUser(邀请用户).
5.
使用您自己的电子邮件应用程序,复制电子邮件正文并将其粘贴到要发送给用户的电子邮件中.
如果需要,您可以修改正文.
当邀请电子邮件准备就绪之后,将其发送给用户.
创建多个WorkSpaces用户默认情况下,您只能创建一个WorkSpace每个用户每个目录.
但是,如果需要,您可以创建多个WorkSpace,具体取决于您的目录设置.
如果只有一个目录用于WorkSpaces,为用户创建多个用户名.
例如,名为MaryMajor的用户可以使用mmajor1、mmajor2等作为用户名.
每个用户名将与不同的WorkSpace在同一目录中,但WorkSpaces将使用相同的注册代码.
这样您就可以轻松地找到所有WorkSpaces您为用户创建的,您可能希望对每个用户名使用相同的电子邮件地址.
如果有多个目录,WorkSpaces,创建WorkSpaces用于单独目录中的用户.
您可以在目录中使用相同的用户名,也可以在目录中使用不同的用户名.
的WorkSpaces将有不同的注册代码.
这样您就可以轻松地找到所有WorkSpaces您为用户创建的,您可能希望对每个用户名使用相同的电子邮件地址.
Important如果要设置多个WorkSpaces要用于跨区域重定向,您必须设置WorkSpaces在不同的AWS区域的不同目录中,并且必须在每个目录中使用相同的用户名.
有关跨区域重定向的更多信息,请参阅的跨区域重定向AmazonWorkSpaces(p.
123).
要在WorkSpaces,用户使用与特定Workspace关联的用户名和注册代码登录.
如果用户正在使用3.
0+版本的WorkSpacesWindows客户端应用程序,macOS、或Linux,用户可以为WorkSpaces进入设置,管理登录信息在客户端应用程序中.
自定义用户登录方式WorkSpaces自定义用户访问WorkSpaces通过使用统一资源标识符(URI)来提供简化的登录体验,与组织中的现有工作流集成.
例如,您可以自动生成登录URIs来注册用户WorkSpaces注册代码.
因此:55AmazonWorkSpaces管理指南自定义用户登录方式WorkSpaces用户可以跳过手动注册过程.
他们的用户名会自动输入在他们的WorkSpaces客户端登录页面.
如果在您的组织中使用了多重验证(MFA),用户的用户名和MFA代码将自动在其客户端登录页上输入.
URI访问与两个基于区域的注册代码(例如,WSpdx+ABC12D)和基于完全限定域名(FQDN)的注册码(例如,desktop.
example.
com).
有关创建和使用基于FQDN的注册代码的更多信息,请参阅的跨区域重定向AmazonWorkSpaces(p.
123).
您可以配置URI访问WorkSpaces适用于以下受支持设备的客户端应用程序:Windows计算机macOS计算机UbuntuLinux18.
04计算机iPadAndroid设备使用URIs以访问其WorkSpaces,用户必须首先通过打开https://clients.
amazonworkspaces.
awsapps.
cn/并遵循指示.
在Windows和上的Firefox和Chrome浏览器中支持URI访问macOS计算机、UbuntuLinux18.
04计算机上的Firefox浏览器、Windows计算机上的InternetExplorer和MicrosoftEdge浏览器.
有关WorkSpaces客户,请参阅AmazonWorkSpaces客户在AmazonWorkSpaces用户指南.
Note在安卓设备上,URI访问仅适用于Firefox浏览器,而不适用于GoogleChrome浏览器.
配置URI访问权限WorkSpaces,请使用下表中所述的任何URI格式.
Note如果您的URI的数据组件包含以下任一预留字符,我们建议您在数据组件中使用百分号编码以避免歧义:例如,如果您有包含任一这些字符的用户名,则应该对URI中的这些用户名进行百分号编码.
有关更多信息,请参阅统一资源标识符(URI):通用语法.
支持的语法Descriptionworkspaces://打开WorkSpaces客户端应用程序.
(注意:Linux客户端应用程序目前不支持使用workspaces://本身.
)workspaces://@registrationcode通过使用用户注册用户WorkSpaces注册代码.
此外,显示客户端登录页.
workspaces://username@registrationcode通过使用用户注册用户WorkSpaces注册代码.
此外,在客户端登录页上的username(用户名)字段中自动输入用户名.
workspaces://username@registrationcodeMFACode=mfa通过使用用户注册用户WorkSpaces注册代码.
此外,在客户端登录页上的username(用户名)字段中自动输入用户名,在同一页面上的MFAcode(MFA代码)字段中自动输入多重验证(MFA)代码.
workspaces://@registrationcodeMFACode=mfa通过使用用户注册用户WorkSpaces注册代码.
此外,在客户端登录页上的MFAcode(MFA代码)字段中自动输入多重验证(MFA)代码.
56AmazonWorkSpaces管理指南启用自助服务WorkSpace用户的管理能力Note如果用户在已连接到WorkSpace从Windows客户端,WorkSpaces会话打开,其原始WorkSpaces会话保持打开状态.
如果用户在连接到WorkSpace从macOS,iPad、或Android客户端,没有打开新的会话;仅打开其原始会话WorkSpaces会话保持打开状态.
启用自助服务WorkSpace用户的管理能力英寸AmazonWorkSpaces,您可以启用自助服务WorkSpace管理功能,以便用户更好地掌控自己的体验.
这也可以减少IT支持人员的AmazonWorkSpaces工作负载.
当您启用自助服务功能时,您可以允许用户直接从他们的Windows执行以下一项或多项任务,macOS、或Linux客户端AmazonWorkSpaces:将其凭证缓存在其客户端上.
这使他们能够重新连接到他们的WorkSpace而不重新输入其凭证.
重启(重新启动)他们的WorkSpace.
增加根和用户卷的大小WorkSpace.
更改他们的计算类型(捆绑组合)WorkSpace.
切换他们的运行模式WorkSpace.
重建他们的WorkSpace.
要为您的用户启用这些功能中的一项或多项功能,请执行以下步骤.
为您的用户启用自助服务管理功能1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开UserSelf-ServicePermissions(用户自助服务权限).
根据需要启用或禁用以下选项,以确定WorkSpace用户可从其客户端执行的管理任务:Rememberme(记住我)—用户可以通过选择登录屏幕上的Rememberme(记住我)或Keepmeloggedin(保持登录状态)复选框来选择是否在其客户端上缓存其凭证.
这些凭证仅缓存到RAM中.
当用户选择缓存凭证时,他们可以重新连接到其WorkSpaces而不重新输入其凭证.
要控制用户可以缓存其凭证的时长,请参阅设置Kerberos票证的最长使用期限(p.
67).
重启WorkSpace从客户—用户可以重新启动(重新启动)他们的WorkSpace.
重新启动会断开用户与他们的WorkSpace,将其关闭,然后重新启动.
用户数据、操作系统和系统设置不受影响.
增大音量—用户可以在其WorkSpace到指定大小,无需联系IT支持.
用户可以将根卷的大小(Windows,C:盘;Linux,/)增加到175GB,将用户卷的大小(Windows,D:盘;Linux,/home)增加到100GB.
WorkSpace根卷和用户卷位于无法更改的已设置组中.
可用组包括:[根(GB),用户(GB)]:[80,10]、[80,50]、[80,100]、[175至2000,100至2000].
有关更多信息,请参阅修改WorkSpace(p.
75).
对于新创建的WorkSpace,用户必须等待6小时才能增加这些驱动器的大小.
之后,他们在6小时内只能执行此操作一次.
当卷大小正在增加时,用户可以对其WorkSpace.
他们无法执行的任务是:更改他们的WorkSpace计算类型,切换其WorkSpace运行模式,重新启动其WorkSpace或重建他们的WorkSpace.
当该过程结束时,WorkSpace必须重新启动才能使更改生效.
此过程可能需要一个小时.
Note如果用户增加其WorkSpace,这将提高他们的账单费率,WorkSpace.
更改计算类型—用户可以切换WorkSpace计算类型(捆绑包)之间.
对于新创建的WorkSpace,用户必须等待6小时才能切换到其他捆绑销售.
之后,他们在6小时内只能切换到较大的服务包一次,或在30天内只能切换到较小的服务包一次.
当WorkSpace正在进行计算类型更改,用户已断开其57AmazonWorkSpaces管理指南启用自助服务WorkSpace用户的管理能力WorkSpace,他们无法使用或更改WorkSpace.
的WorkSpace在计算类型更改过程中自动重新启动.
此过程可能需要一个小时.
Note如果用户更改了WorkSpace计算类型,这将更改其WorkSpace.
切换运行模式—用户可以切换WorkSpace在始终开启和自动停止运行模式.
有关更多信息,请参阅管理WorkSpace运行模式(p.
73).
Note如果用户切换其WorkSpace,这将改变他们的账单费率,WorkSpace.
重建WorkSpace从客户—用户可以重建WorkSpace原状态.
当WorkSpace重新构建,用户卷(D:盘)将从最新的备份重新创建.
由于备份每12小时完成一次,因此,用户数据可能已存在多达12小时.
对于新创建的WorkSpace,用户必须等待12小时才能重建WorkSpace.
当WorkSpace重建正在进行中,用户已从他们的WorkSpace,并且他们无法使用或更改其WorkSpace.
此过程可能需要一个小时.
5.
选择Update(更新)或UpdateandExit(更新并退出).
58AmazonWorkSpaces管理指南管理您的WindowsWorkSpaces管理您的WorkSpaces您可以使用WorkSpaces控制台管理AmazonWorkSpaces.
要执行目录管理任务,请参阅thesectioncalled"设置目录管理"(p.
40).
内容管理您的WindowsWorkSpaces(p.
59)管理您的AmazonLinuxWorkSpaces(p.
68)管理WorkSpace运行模式(p.
73)修改WorkSpace(p.
75)为WorkSpaces资源加标签(p.
76)WorkSpace维护(p.
77)加密WorkSpaces(p.
79)重启WorkSpace(p.
82)重建WorkSpace(p.
82)还原WorkSpace(p.
83)升级Windows10BYOLWorkSpaces(p.
84)迁移WorkSpace(p.
89)删除WorkSpace(p.
92)管理您的WindowsWorkSpacesAmazonWorkSpacesStreamingProtocol(WSP)WorkSpacesareavailableasabetaserviceandaresubjecttochange.
WSPbetaWorkSpacesshouldnotbeusedforproductionworkloads.
FormoreinformationabouttheWSPbeta,seeAmazonWorkSpacesStreamingProtocol(beta).
您可以使用组策略对象(GPO)应用设置来管理WindowsWorkSpaces或属于您Windows一部分的用户WorkSpaces目录.
NoteLinux实例不遵循组策略.
有关管理AmazonLinuxWorkSpaces,请参阅管理您的AmazonLinuxWorkSpaces(p.
68).
我们建议您为WorkSpaces计算机对象和您WorkSpaces用户对象.
使用特定于的组策略设置AmazonWorkSpaces时,您必须为正在使用的协议安装组策略管理模板,PCoIP或WorkSpacesStreamingProtocol(WSP)beta.
Warning群组策略设置会影响的体验WorkSpace用户如下:实施交互式登录消息以显示登录横幅将阻止用户访问其WorkSpaces.
当前不支持交互登录消息组策略设置AmazonWorkSpaces.
通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器D的临时用户配置文件.
通过组策略设置从远程桌面用户本地组删除用户将阻止这些用户进行身份验证通过WorkSpaces客户端应用程序.
59AmazonWorkSpaces管理指南安装的组策略管理模板PCoIP组策略设置可用于限制驱动器访问.
如果配置组策略设置以限制对驱动器C或驱动器D的访问,则用户无法访问其WorkSpaces.
要防止此问题发生,请确保您的用户可以访问驱动器C和驱动器D.
某些组策略设置会在用户从会话断开连接时迫使其注销.
用户在其系统上打开的任何应用程序WorkSpaces已关闭.
有关使用ActiveDirectory管理工具以GPOs,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
内容安装的组策略管理模板PCoIP(p.
60)配置打印机支持PCoIP(p.
60)启用或禁用剪贴板重定向PCoIP(p.
62)设置的会话恢复超时PCoIP(p.
62)禁用时区重定向PCoIP(p.
63)安装的组策略管理模板文件WorkSpacesStreamingProtocol(WSP)beta(p.
63)配置打印机支持WSPbeta(p.
64)启用或禁用剪贴板重定向WSPbeta(p.
65)启用或禁用视频重定向WSPbeta(p.
66)启用或禁用音频重定向WSPbeta(p.
66)禁用时区重定向WSPbeta(p.
67)设置Kerberos票证的最长使用期限(p.
67)安装的组策略管理模板PCoIP使用特定于的组策略设置AmazonWorkSpaces当使用PCoIP协议,您必须安装组策略管理模板PCoIP.
在目录管理中执行以下过程WorkSpace或AmazonEC2已加入目录的实例.
要安装的组策略管理模板PCoIP1.
从正在运行的WindowsWorkSpace,制作一份pcoip.
adm文件C:\ProgramFiles(x86)\Teradici\PCoIPAgent\configuration目录.
2.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc)并导航至您域中包含您WorkSpaces机器帐户.
3.
打开计算机账户组织单位对应的上下文(右键单击)菜单,然后选择在这个域中创建GPO并在此处链接.
.
.
.
4.
在NewGPO(新建GPO)对话框中,为GPO输入一个描述性名称(如WorkSpacesMachinePolicies),并将SourceStarterGPO(源StarterGPO)保留为(无).
选择OK(确定).
5.
打开新GPO的上下文(右键单击)菜单,然后选择Edit(编辑).
6.
在组策略管理编辑器中,依次选择计算机配置、策略和管理模板.
从主菜单中依次选择操作和添加/删除模板.
7.
在添加/删除模板对话框中,单击添加,选择之前复制的pcoip.
adm文件,然后依次选择打开和关闭.
8.
关闭组策略管理编辑器.
现在,您可以使用该GPO来修改特定于AmazonWorkSpaces的组策略设置.
配置打印机支持PCoIP默认情况下,AmazonWorkSpaces启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印.
60AmazonWorkSpaces管理指南安装的组策略管理模板PCoIPWindows客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序.
远程打印实施为虚拟通道.
如果虚拟通道被禁用,远程打印无法正常工作.
对于WindowsWorkSpaces,您可以使用组策略设置根据需要配置打印机支持.
配置打印机支持1.
确保最近的AmazonWorkSpaces的组策略管理模板PCoIP(p.
60)已安装在您的域中.
2.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc),然后导航到并选择WorkSpaces您的GPOWorkSpaces机器帐户.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
打开配置远程打印设置.
5.
在Configureremoteprinting(配置远程打印)对话框中,执行下列操作之一:要启用高级远程打印,请选择已启用,然后在选项、Configureremoteprinting(配置远程打印)下,选择BasicandAdvancedprintingforWindowsclients(适用于Windows客户端的基本和高级打印).
要自动使用客户端计算机的当前默认打印机,选择Automaticallysetdefaultprinter(自动设置默认打印机).
要禁用打印,请选择Enabled(已启用),然后在Options(选项)、Configureremoteprinting(配置远程打印)下选择Printingdisabled(已禁用打印).
6.
选择OK(确定).
7.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
默认情况下,本地打印机自动重定向被禁用.
您可以使用组策略设置来启用此功能,以便每次连接到时,您的本地打印机都设置为默认打印机WorkSpace.
Note本地打印机重定向不可用AmazonLinuxWorkSpaces.
启用本地打印机自动重定向1.
确保最近的AmazonWorkSpaces的组策略管理模板PCoIP(p.
60)已安装在您的域中.
2.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc),然后导航到并选择WorkSpaces您的GPOWorkSpaces机器帐户.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
打开配置远程打印设置.
5.
选择Enabled(已启用),然后在Options(选项)、Configureremoteprinting(配置远程打印)下,选择BasicandAdvancedprintingforWindowsclients(适用于Windows客户端的基本和高级打印)或选择Basicprinting(基本打印),选择Automaticallysetdefaultprinter(自动设置默认打印机),然后选择OK(确定).
6.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:61AmazonWorkSpaces管理指南安装的组策略管理模板PCoIP重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
启用或禁用剪贴板重定向PCoIP默认情况下,AmazonWorkSpaces支持剪贴板重定向.
如果需要用于WindowsWorkSpaces,您可以使用组策略设置禁用此功能.
要启用或禁用剪贴板重定向1.
确保最近的AmazonWorkSpaces的组策略管理模板PCoIP(p.
60)已安装在您的域中.
2.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc),然后导航到并选择WorkSpaces您的GPOWorkSpaces机器帐户.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
打开Configureclipboardredirection设置.
5.
在配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向.
完成后,选择确定.
双向禁用仅从代理到客户端单向启用(WorkSpace到本地计算机)已启用仅代理客户端(本地计算机到WorkSpace)双向启用6.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
已知限制在上启用剪贴板重定向WorkSpace,如果从MicrosoftOffice应用程序复制大于890KB的内容,应用程序可能会变得缓慢或无响应长达5秒.
设置的会话恢复超时PCoIP在使用AmazonWorkSpaces客户端应用程序时,网络连接中断会导致活动会话断开连接.
这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失.
的AmazonWorkSpaces适用于Windows和的客户端应用程序macOS如果在一定时间内重新建立网络连接,则会尝试自动重新连接会话.
默认会话恢复超时为20分钟,但您可以修改该值WorkSpaces由您的域的组策略设置控制的.
要设置自动会话恢复超时值1.
确保最近的AmazonWorkSpaces的组策略管理模板PCoIP(p.
60)已安装在您的域中.
2.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc),然后导航到并选择WorkSpaces您的GPOWorkSpaces机器帐户.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板和PCoIPSessionVariables.
62AmazonWorkSpaces管理指南安装的组策略管理模板文件WSPbeta要允许用户覆盖您的设置,请选择OverridableAdministratorDefaults(可覆盖的管理员默认值);否则,请选择NotOverridableAdministratorDefaults(不可覆盖的管理员默认值).
4.
打开ConfigureSessionAutomaticReconnectionPolicy设置.
5.
在ConfigureSessionAutomaticReconnectionPolicy对话框中,选择Enabled,将ConfigureSessionAutomaticReconnectionPolicy选项设置为所需的超时(以分钟为单位),然后选择OK.
6.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
禁用时区重定向PCoIP默认情况下,工作区中的时间设置为反映用于连接到WorkSpace.
此行为是通过时区重定向控制的.
您可能需要关闭时区定向的原因有多种:您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区).
您在WorkSpace旨在在特定时区的某个时间运行.
您的很多旅行用户都希望WorkSpaces一个时区,以实现一致性和个人偏好.
如果需要用于WindowsWorkSpaces,您可以使用组策略设置禁用此功能.
禁用时区重定向1.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc)并在您用于您的的目录的域或域控制器级别导航并选择GPOWorkSpaces.
(如果您有AmazonWorkSpaces组策略管理模板(p.
60),您可以使用WorkSpaces您的GPOWorkSpaces机器帐户.
)2.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、Windows组件、远程桌面服务、远程桌面会话主机以及设备和资源重定向.
4.
打开Allowtimezoneredirection(允许时区重定向)设置.
5.
在zoneredirection(允许时区重定向)对话框中,选择禁用,然后选择确定.
6.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
7.
为设定时区WorkSpaces到所需时区.
的时区WorkSpaces现在是静态的,不再镜像客户端计算机的时区.
安装的组策略管理模板文件WorkSpacesStreamingProtocol(WSP)beta使用特定于的组策略设置AmazonWorkSpaces当使用WorkSpacesStreamingProtocol(WSP)beta,您必须添加组策略管理模板wsp.
admx和wsp.
adml文件WSPbeta到域控制器的CentralStore,WorkSpaces目63AmazonWorkSpaces管理指南安装的组策略管理模板文件WSPbeta录.
有关.
admx和.
adml文件,请参阅如何在Windows中创建和管理GroupPolicyAdministrativeTemplates的CentralStore.
以下操作流程描述了如何创建CentralStore并添加管理模板文件.
在目录管理中执行以下过程WorkSpace或AmazonEC2已加入您的WorkSpaces目录.
要安装的组策略管理模板文件WSPbeta1.
从正在运行的WindowsWorkSpace,制作一份wsp.
adm和wsp.
adml文件C:\ProgramFiles\Amazon\WSP目录.
2.
在目录管理上WorkSpace或AmazonEC2已加入您的WorkSpaces目录,导航到域的共享网络文件夹.
此文件夹将包含组织的完全限定域名(FQDN),例如\\example.
com.
在Windows文件资源管理器中,转到网络>的FQDN.
3.
打开SYSVOL文件夹.
4.
打开文件夹,使用FQDN名称.
5.
打开Policies文件夹.
您现在应该\\FQDN\SYSVOL\FQDN\Policies.
6.
如果它不存在,请创建一个名为PolicyDefinitions.
7.
打开PolicyDefinitions文件夹.
8.
复制wsp.
admx归档到\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions文件夹.
9.
创建名为的文件夹en-US在PolicyDefinitions文件夹.
10.
打开en-US文件夹.
11.
复制wsp.
adml归档到\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-US文件夹.
如何验证管理模板文件是否正确安装1.
在您的目录管理中WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc).
2.
展开森林(森林:FQDN).
3.
展开域.
4.
展开您的FQDN(例如,example.
com).
5.
展开组策略对象.
6.
选择默认域策略,打开上下文菜单(右键单击),然后选择编辑.
7.
在组策略管理编辑器中,选择计算机配置,政策,管理模板,亚马逊,和WSP服务.
8.
您现在可以使用此WSP组策略对象修改特定于AmazonWorkSpaces使用WSPbeta.
配置打印机支持WSPbeta默认情况下,AmazonWorkSpaces启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印.
高级远程打印(不适用于WSPbeta)forWindows客户端允许您使用打印机的特定功能,例如双面打印,但需要安装主机端的匹配打印机驱动程序.
远程打印实施为虚拟通道.
如果虚拟通道被禁用,远程打印无法正常工作.
对于WindowsWorkSpaces,您可以使用组策略设置根据需要配置打印机支持.
配置打印机支持1.
确保最近的AmazonWorkSpaces的组策略管理模板WSPbeta(p.
63)安装在域控制器的CentralStore中,用于您的WorkSpaces目录.
64AmazonWorkSpaces管理指南安装的组策略管理模板文件WSPbeta2.
在您的目录管理中WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc).
3.
展开森林(森林:FQDN).
4.
展开域.
5.
展开您的FQDN(例如,example.
com).
6.
展开组策略对象.
7.
选择默认域策略,打开上下文菜单(右键单击),然后选择编辑.
8.
在组策略管理编辑器中,选择计算机配置,政策,管理模板,亚马逊,和WSP服务.
9.
打开配置远程打印设置.
10.
在Configureremoteprinting(配置远程打印)对话框中,执行下列操作之一:要启用本地打印机重定向,请选择已启用,然后用于打印选项,选择基础.
要自动使用客户端计算机的当前默认打印机,请选择将本地默认打印机映射到远程主机.
要禁用打印,请选择已禁用.
11.
选择OK(确定).
12.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
启用或禁用剪贴板重定向WSPbeta依默认,AmazonWorkSpaces支持双向(复制/粘贴)剪贴板重定向.
如果需要用于WindowsWorkSpaces,您可以使用组策略设置禁用此功能.
如何启用或禁用Windows的剪贴板重定向WorkSpaces1.
确保最近的AmazonWorkSpaces的组策略管理模板WSPbeta(p.
63)安装在域控制器的CentralStore中,用于您的WorkSpaces目录.
2.
在您的目录管理中WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc).
3.
展开森林(森林:FQDN).
4.
展开域.
5.
展开您的FQDN(例如,example.
com).
6.
展开组策略对象.
7.
选择默认域策略,打开上下文菜单(右键单击),然后选择编辑.
8.
在组策略管理编辑器中,选择计算机配置,政策,管理模板,亚马逊,和WSP服务.
9.
打开启用/禁用剪贴板重定向设置.
10.
在启用/禁用剪贴板重定向对话框中,选择已启用或已禁用.
11.
选择OK(确定).
12.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
已知限制65AmazonWorkSpaces管理指南安装的组策略管理模板文件WSPbeta在上启用剪贴板重定向WorkSpace,如果从MicrosoftOffice应用程序复制大于890KB的内容,应用程序可能会变得缓慢或无响应长达5秒.
启用或禁用视频重定向WSPbeta依默认,AmazonWorkSpaces支持从本地摄像头重定向数据.
如果需要用于WindowsWorkSpaces,您可以使用组策略设置禁用此功能.
如何启用或禁用Windows的视频输入重定向WorkSpaces1.
确保最近的AmazonWorkSpaces的组策略管理模板WSPbeta(p.
63)安装在域控制器的CentralStore中,用于您的WorkSpaces目录.
2.
在您的目录管理中WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc).
3.
展开森林(森林:FQDN).
4.
展开域.
5.
展开您的FQDN(例如,example.
com).
6.
展开组策略对象.
7.
选择默认域策略,打开上下文菜单(右键单击),然后选择编辑.
8.
在组策略管理编辑器中,选择计算机配置,政策,管理模板,亚马逊,和WSP服务.
9.
打开启用/禁用视频重定向设置.
10.
在启用/禁用视频重定向对话框中,选择已启用或已禁用.
11.
选择OK(确定).
12.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
启用或禁用音频重定向WSPbeta依默认,AmazonWorkSpaces支持从本地麦克风重定向数据.
如果需要用于WindowsWorkSpaces,您可以使用组策略设置禁用此功能.
启用或禁用Windows音频重定向WorkSpaces1.
确保最近的AmazonWorkSpaces的组策略管理模板WSPbeta(p.
63)安装在域控制器的CentralStore中,用于您的WorkSpaces目录.
2.
在您的目录管理中WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc).
3.
展开森林(森林:FQDN).
4.
展开域.
5.
展开您的FQDN(例如,example.
com).
6.
展开组策略对象.
7.
选择默认域策略,打开上下文菜单(右键单击),然后选择编辑.
8.
在组策略管理编辑器中,选择计算机配置,政策,管理模板,亚马逊,和WSP服务.
9.
打开启用/禁用音频重定向设置.
10.
在启用/禁用音频重定向对话框中,选择已启用或已禁用.
11.
选择OK(确定).
66AmazonWorkSpaces管理指南设置Kerberos票证的最长使用期限12.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
禁用时区重定向WSPbeta默认情况下,工作区中的时间设置为反映用于连接到WorkSpace.
此行为是通过时区重定向控制的.
您可能需要关闭时区定向的原因有多种:您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区).
您在WorkSpace旨在在特定时区的某个时间运行.
您的很多旅行用户都希望WorkSpaces一个时区,以实现一致性和个人偏好.
如果需要用于WindowsWorkSpaces,您可以使用组策略设置禁用此功能.
如何禁用Windows的时区重定向WorkSpaces1.
确保最近的AmazonWorkSpaces的组策略管理模板WSPbeta(p.
63)安装在域控制器的CentralStore中,用于您的WorkSpaces目录.
2.
在您的目录管理中WorkSpace或AmazonEC2已加入您的WorkSpaces目录中,打开GroupPolicyManagementTool(gpmc.
msc).
3.
展开森林(森林:FQDN).
4.
展开域.
5.
展开您的FQDN(例如,example.
com).
6.
展开组策略对象.
7.
选择默认域策略,打开上下文菜单(右键单击),然后选择编辑.
8.
在组策略管理编辑器中,选择计算机配置,政策,管理模板,亚马逊,和WSP服务.
9.
打开启用/禁用时区重定向设置.
10.
在启用/禁用时区重定向对话框中,选择已禁用.
11.
选择OK(确定).
12.
"组策略"设置更改在的下一次"组策略"更新后生效WorkSpace以及WorkSpace会话已重新启动.
要应用组策略更改,请执行下列操作之一:重新启动WorkSpace(在AmazonWorkSpaces控制台,选择WorkSpace,然后选择操作,重新启动WorkSpaces).
从管理命令提示符下,键入gpupdate/force.
13.
为设定时区WorkSpaces到所需时区.
的时区WorkSpaces现在是静态的,不再镜像客户端计算机的时区.
设置Kerberos票证的最长使用期限如果您尚未禁用记住我Windows功能WorkSpaces,您的WorkSpace用户可以使用记住我复选框WorkSpaces客户端应用程序以保存其凭证.
此功能允许用户轻松连接到他们的WorkSpaces而客户端应用程序仍在运行.
他们的凭证安全地缓存到Kerberos票证中,时间可达其最长使用期限.
如果您的WorkSpace使用ADConnector目录,您可以为WorkSpaces用户通过"组策略"执行以下步骤用户请求单的最长寿命在MicrosoftWindows文档中.
67AmazonWorkSpaces管理指南管理您的AmazonLinuxWorkSpaces要启用或禁用RememberMe功能,请参阅启用自助服务WorkSpace用户的管理能力(p.
57).
管理您的AmazonLinuxWorkSpacesAmazonWorkSpacesStreamingProtocol(WSP)WorkSpacesareavailableasabetaserviceandaresubjecttochange.
WSPbetaWorkSpacesshouldnotbeusedforproductionworkloads.
FormoreinformationabouttheWSPbeta,seeAmazonWorkSpacesStreamingProtocol(beta).
与在WindowsWorkSpaces中一样,AmazonLinuxWorkSpaces是加入域的,因此您可以使用ActiveDirectory用户和组来:管理您的AmazonLinuxWorkSpaces为用户提供对这些WorkSpaces的访问权限由于Linux实例不遵循组策略,因此我们建议您使用配置管理解决方案进行分发和实施策略.
例如,您可以使用AWSOpsworksforChefAutomate、AWSOpsWorksforPuppetEnterprise或Ansible.
Note捆绑包上的LinuxWorkSpaces目前仅在WorkSpacesStreamingProtocol(WSP)beta中可用.
AWSGovCloud(美国西部)区域控制PCoIPAmazonLinux上的WorkSpaces代理行为代理的行为由位于PCoIP目录中的pcoip-agent.
conf文件中的配置设置控制.
/etc/pcoip-agent/要部署和实施对策略的更改,请使用支持AmazonLinux的配置管理解决方案.
任何更改将在代理启动后生效.
重新启动代理会结束所有打开的连接并重新启动窗口管理器.
有关可用设置的完整列表,请在任何manpcoip-agent.
confAmazonLinux上从终端运行WorkSpace.
为AmazonLinuxWorkSpaces启用或禁用剪贴板重定向默认情况下,AmazonWorkSpaces支持剪贴板重定向.
如果需要,请使用PCoIP代理conf禁用此功能.
为AmazonLinuxWorkSpaces启用或禁用剪贴板重定向1.
通过以下命令,使用提升的权限在编辑器中打开pcoip-agent.
conf文件.
[domain\username@workspace-id~]$sudovi/etc/pcoip-agent/pcoip-agent.
conf2.
将以下行添加到文件的末尾.
pcoip.
server_clipboard_state=X的可能值所在的位置X为:0—双向禁用1—双向启用2—仅从客户端到代理单向启用68AmazonWorkSpaces管理指南向AmazonLinuxWorkSpaces管理员授予SSH访问权限3—仅从代理到客户端单向启用向AmazonLinuxWorkSpaces管理员授予SSH访问权限默认情况下,只有指定的用户和域管理员组中的账户可以使用SSH连接到AmazonLinuxWorkSpaces.
我们建议您在ActiveDirectory中为AmazonLinuxWorkSpaces管理员创建专用的管理员组.
为Linux_WorkSpace_AdminsActiveDirectory组的成员启用sudo访问权限1.
使用visudo编辑sudoers文件,如下例所示.
[example\username@workspace-id~]$sudovisudo2.
添加以下行.
%example.
com\\Linux_WorkSpaces_AdminsALL=(ALL)ALL在您创建专用管理员组之后,请按照以下步骤为组的成员启用登录.
为Linux_WorkSpace_AdminsActiveDirectory组的成员启用登录1.
使用提升的权限编辑/etc/security/access.
conf.
[example\username@workspace-id~]$sudovi/etc/security/access.
conf2.
添加以下行.
+:(example\Linux_WorkSpaces_Admins):ALL有关启用SSH连接的更多信息,请参阅为Linux启用SSH连接WorkSpaces(p.
26).
覆盖AmazonLinuxWorkSpaces的默认Shell要覆盖LinuxWorkSpaces的默认Shell,我们建议您编辑用户的~/.
bashrc文件.
例如,要使用Zshell而不是Bashshell,请将以下行添加到/home/username/.
bashrc.
exportSHELL=$(whichzsh)[-n"$SSH_TTY"]&&exec$SHELL保护自定义资料库免遭未授权访问要控制对自定义存储库的访问,我们建议使用AmazonVirtualPrivateCloud(AmazonVPC)中内置的安全功能,而不使用密码.
例如,使用网络访问控制列表(ACL)和安全组.
有关这些功能的更多信息,请参阅https://docs.
amazonaws.
cn/vpc/latest/userguide/VPC_Security.
html中的安全性AmazonVPC用户指南.
如果必须使用密码来保护存储库,请确保创建您的yum存储库定义文件,如Fedora文档中的存储库定义文件所示.
69AmazonWorkSpaces管理指南使用AmazonLinuxExtras库存储库使用AmazonLinuxExtras库存储库利用AmazonLinux,您可以使用Extras库来在您的实例上安装应用程序和软件更新.
有关使用Extras库的信息,请参阅AmazonLinux用户指南(适用于Linux实例)中的Extras库(AmazonEC2).
Note如果您使用的是AmazonLinux存储库,则您的AmazonLinuxWorkSpaces必须能够访问Internet,否则您必须配置指向此存储库和主AmazonLinux存储库的VirtualPrivateCloud(VPC)终端节点.
有关更多信息,请参阅从您的WorkSpace提供Internet访问(p.
22).
使用智能卡进行身份验证捆绑包上的LinuxWorkSpaces允许使用WorkSpacesStreamingProtocol(WSP)beta通用访问卡(CAC)和个人身份验证(PIV)智能卡进行身份验证.
默认情况下,LinuxWorkSpaces配置为使用智能卡进行会话中身份验证,这意味着用户只能在登录到其WorkSpaces后使用智能卡.
用户可将智能卡用于Web浏览器和应用程序的会话中身份验证.
他们还可以使用智能卡运行sudo和sudo-i命令(如果用户对WorkSpace具有管理权限).
Note目前只能在AWSGovCloud(美国西部)区域中使用智能卡.
使用智能卡进行预会话(登录)身份验证目前不可用.
要将智能卡用于LinuxWorkSpace,用户必须使用AmazonWorkSpacesWindows客户端.
有关在Windows客户端上使用智能卡的更多信息,请参阅WorkSpaces中的客户端外围设备支持.
AmazonWorkSpaces用户指南在Linux上启用智能卡WorkSpaces要支持使用智能卡,您需要一个采用PEM格式的根CA证书文件,该文件包含在WorkSpace映像中.
您的根CA证书必须满足以下要求:证书必须是PEM格式的Base64编码证书文件.
证书必须包含公用名.
使用强加密算法.
我们建议使用带RSA的SHA256、带ECDSA的SHA256、带ECDSA的SHA384或带ECDSA的SHA512.
您的智能卡证书必须满足以下要求:证书必须包含公用名.
证书链支持的最大长度为4.
AmazonWorkSpaces当前不支持吊销智能卡证书的证书吊销列表(CRL).
但是,支持在线证书状态协议(OCSP).
使用强加密算法.
我们建议使用带RSA的SHA256、带ECDSA的SHA256、带ECDSA的SHA384或带ECDSA的SHA512.
确保已为数字签名密钥用法(digitalSignature)和MSSmartCardLogin扩展密钥用法(msScLogin)颁发证书.
我们建议为用户的默认用户委托人名称(UPN)颁发智能卡证书.
如果您的智能卡证书是使用备用UPN后缀颁发的,请参阅将根CA证书添加到LinuxWorkSpaces(p.
71)以了解有关如何使用这些后缀的信息.
获取根CA证书70AmazonWorkSpaces管理指南使用智能卡进行身份验证您可以通过多种方式获取根CA证书:您可以使用由第三方证书颁发机构颁发的根CA证书.
您可以使用Web注册站点(http://ip_address/certsrv或http://fqdn/certsrv)导出您的根CA证书,其中ip_address和fqdn是根证书CA服务器的IP地址和完全限定域名(FQDN).
有关使用Web注册网站的更多信息,请参阅Microsoft文档中的如何导出根证书颁发机构证书.
您可以使用以下过程从安装了ActiveDirectory证书服务(ADCS)角色的WorkSpaces目录的域控制器(DC)中导出根CA证书.
有关安装ADCS角色的信息,请参阅Microsoft文档中的安装证书颁发机构.
1.
使用管理员账户登录根CA服务器.
2.
从Windows开始菜单中,打开命令提示符窗口(开始>Windows系统>命令提示符).
3.
使用以下命令将根CA证书导出到新文件,其中rootca.
cer是新文件的名称:certutil-ca.
certrootca.
cer有关运行certutil的更多信息,请参阅Microsoft文档中的certutil.
4.
使用以下OpenSSL命令将导出的根CA证书从DER格式转换为PEM格式,其中rootca是证书的名称.
有关OpenSSL的更多信息,请参阅www.
openssl.
org.
opensslx509-informder-inrootca.
cer-out/tmp/rootca.
pem将根CA证书添加到LinuxWorkSpaces为了帮助您启用智能卡,我们已将enable_smartcard脚本添加到我们的AmazonLinuxWSPbeta服务包.
此脚本将执行以下操作:将您的根CA证书导入网络安全服务(NSS)数据库.
为可插拔身份验证模块(PAM)身份验证安装pam_pkcs11模块.
执行默认配置,包括在pkinit预置期间启用WorkSpace.
以下过程介绍如何使用enable_smartcard脚本将根CA证书添加到LinuxWorkSpaces并为LinuxWorkSpaces启用智能卡.
1.
在启用WorkSpace协议的情况下创建新的LinuxWSPbeta.
在WorkSpace控制台中启动AmazonWorkSpaces时,在SelectBundles(选择服务包)页面上,确保为协议选择WSP-Beta,然后选择一个AmazonLinux2公有服务包.
2.
在新的WorkSpace上,以根用户身份运行以下命令,其中pem-path是PEM格式的根CA证书文件的路径.
/usr/lib/skylight/enable_smartcard--ca-certpem-pathNoteLinuxWorkSpaces假定针对用户的默认用户委托人名称(UPN)(如sAMAccountName@domain)颁发智能卡上的证书,其中domain是完全限定域名(FQDN).
要使用备用UPN后缀,请指定run/usr/lib/skylight/enable_smartcard--help以了解更多信息.
3.
默认情况下,所有服务均支持在LinuxWorkSpaces上使用智能卡身份验证.
要将智能卡身份验证限制为仅特定服务,您必须编辑/etc/pam.
d/system-auth.
取消注释auth的pam_succeed_if.
so行并根据需要编辑服务列表.
取消注释auth行后,要允许服务使用智能卡身份验证,您必须将其添加到列表中.
要使服务仅使用密码身份验证,您必须将其从列表中删除.
71AmazonWorkSpaces管理指南使用智能卡进行身份验证4.
对WorkSpace执行任何其他自定义操作.
例如,您可能希望添加系统范围的策略,以使用户能够在Firefox中使用智能卡(p.
72).
(Chrome用户必须在其客户端上启用智能卡.
有关更多信息,请参阅WorkSpaces中的客户端外围设备支持.
AmazonWorkSpaces用户指南5.
从WorkSpace创建自定义(p.
94)映像和服务包WorkSpace.
6.
使用新的自定义捆绑包为您的用户启动WorkSpaces.
使用户能够在Firefox中使用智能卡您可以通过将SecurityDevices策略添加到您的LinuxWorkSpace映像,让用户在Firefox中使用智能卡.
有关向Firefox添加系统级策略的更多信息,请参阅上的Mozilla策略模板GitHub.
1.
在用于创建WorkSpace映像的WorkSpace上,在policies.
json中创建一个名为/usr/lib64/firefox/distribution/的新文件.
2.
在JSON文件中,添加以下SecurityDevices策略,其中NAME_OF_DEVICE是要用于标识pkcs模块的任何值.
例如,您可能希望使用"OpenSC"等值:{"policies":{"SecurityDevices":{"NAME_OF_DEVICE":"/usr/lib64/opensc-pkcs11.
so"}}}Troubleshooting对于故障排除,我们建议添加pkcs11-tools实用程序.
此实用程序允许您执行以下操作:列出每个智能卡.
列出每个智能卡上的槽.
列出每个智能卡上的证书.
可导致问题的一些常见问题:槽与证书的映射不正确.
在智能卡上具有多个可与用户匹配的证书.
使用以下标准匹配证书:证书的根CA.
证书的和字段.
证书主题中的UPN.
有多个证书的密钥用法中包含msScLogin.
一般而言,最好只提供一个映射到智能卡中第一个槽的智能卡身份验证证书.
用于管理智能卡上的证书和密钥的工具(例如,删除或重新映射证书和密钥)可能是制造商特定的.
可以用于使用智能卡的其他工具包括:opensc-exploreropensc-toolpkcs11_inspectpkcs11_listcertspkcs15-tool72AmazonWorkSpaces管理指南管理运行模式启用调试日志记录要对pam_pkcs11和pam-krb5配置进行故障排除,您可以启用调试日志记录.
1.
在/etc/pam.
d/system-auth-ac文件中,编辑auth操作并将nodebug的pam_pksc11.
so参数更改为debug.
2.
在/etc/pam_pkcs11/pam_pkcs11.
conf文件中,将debug=false;更改为debug=true;.
选项分别适用于每个映射器模块,因此您可能需要直接在debug部分下和相应的映射器部分下进行更改(默认情况下,此位置为pam_pkcs11).
mappergeneric3.
在/etc/pam.
d/system-auth-ac文件中,编辑auth操作并将debug或debug_sensitive参数添加到pam_krb5.
so.
在启用调试日志记录后,系统会直接在活动终端中输出pam_pkcs11调试消息.
来自pam_krb5的消息将记录在/var/log/secure中.
要检查智能卡证书映射到哪个用户名,请使用以下pklogin_finder命令:sudopklogin_finderdebugconfig_file=/etc/pam_pkcs11/pam_pkcs11.
conf在系统提示时,输入智能卡PIN.
pklogin_finder在stdout上输出智能卡证书的用户名,格式为NETBIOS\username.
此用户名应与WorkSpace用户名匹配.
在ActiveDirectory域服务(ADDS)中,NetBIOS域名是Windows2000之前的域名.
通常(但不总是)NetBIOS域名是域名系统(DNS)域名的子域.
例如,如果DNS域名为example.
com,则NetBIOS域名通常为EXAMPLE.
如果DNS域名为corp.
example.
com,则NetBIOS域名通常为CORP.
例如,对于域mmajor中的用户corp.
example.
com,来自pklogin_finder的输出为CORP\mmajor.
Note如果您收到消息"ERROR:pam_pkcs11.
c:504:verify_certificate()failed",此消息表示pam_pkcs11已在智能卡上找到一个与用户名条件匹配但无法串联到机器可识别的根CA证书的证书.
出现这种情况时,pam_pkcs11将输出上述消息,然后尝试下一个证书.
它仅在找到与用户名匹配且一直串联到已识别根CA证书的证书时,才允许身份验证.
要对pam_krb5配置进行故障排除,您可以使用以下命令手动调用kinit:kinit-XX509_user_identity=PKCS11:/usr/lib64/pkcs11/opensc-pkcs11.
so-V此命令应成功获取Kerberos票证授予票证(TGT).
如果失败,请尝试向命令显式添加正确的Kerberos委托人名称.
例如,对于域mmajor中的用户corp.
example.
com,请使用以下命令:kinit-XX509_user_identity=PKCS11:/usr/lib64/pkcs11/opensc-pkcs11.
so-Vmmajor@CORP.
EXAMPLE.
COM如果此命令成功,则在从WorkSpace用户名映射到Kerberos委托人名称时最可能会出现此问题.
检查[appdefaults]/pam/mappings文件中的/etc/krb5.
conf部分.
如果此命令不成功,但基于密码的kinit命令成功,请检查pkinit_文件中与/etc/krb5.
conf相关的配置.
例如,如果智能卡包含多个证书,您可能需要对pkinit_cert_match进行更改.
管理WorkSpace运行模式的运行模式决定了其即时可用性和付费方式.
WorkSpace在创建WorkSpace时,您可以在以下运行模式之间进行选择:73AmazonWorkSpaces管理指南修改运行模式AlwaysOn—在支付固定月费用以无限次使用您的WorkSpaces时使用.
此模式最适合将WorkSpace作为其主桌面的用户.
AutoStop—按小时支付WorkSpaces费用时使用.
在此模式下,您的WorkSpaces在指定断开连接时间后停止,应用程序和数据的状态将保存.
要设置自动停止时间,请使用AutoStopTime(hours)(时间(小时)).
如果可能,桌面的状态将保存到WorkSpace的根卷.
在用户登录时恢复,并且所有打开的文档和正在运行的程序均返回到其已保存的状态.
WorkSpace有关更多信息,请参阅AmazonWorkSpaces定价.
修改运行模式您可以随时切换运行模式.
修改WorkSpace的运行模式1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要修改的WorkSpace,然后选择操作、修改运行模式属性.
4.
选择新的运行模式,即AlwaysOn或AutoStop,然后选择Modify(修改).
停止和启动AutoStopWorkSpace当您的AutoStopWorkSpaces断开连接后,它们将在指定的断开连接时间段后自动停止,并且按小时计费功能将暂停.
要进一步优化成本,您可以暂停与AutoStopWorkSpaces关联的每小时费用.
将停止WorkSpace,所有应用程序和数据将保存,以供用户下次登录到WorkSpace时使用.
NoteAmazonWorkSpaces仅当用户使用AmazonWorkSpaces客户端时才能检测断开连接.
如果用户使用的是第三方客户端,AmazonWorkSpaces可能无法检测断开连接,因此WorkSpace可能无法自动停止,计量也可能不会被暂停.
当用户重新连接到已停止的WorkSpace时,它会从上次停止的位置继续执行,通常在90秒内.
您可以重启(重新启动)AutoStopWorkSpaces(可用或处于错误状态).
停止AutoStopWorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要停止的WorkSpace,然后依次选择Actions(操作)和StopWorkSpaces(停止环境).
4.
当系统提示您确认时,选择Stop.
启动AutoStopWorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要启动的WorkSpaces,然后依次选择Actions(操作)和StartWorkSpaces(启动环境).
4.
当系统提示您确认时,选择Start.
要删除与AutoStopWorkSpaces关联的固定的基础设施成本,请从您的账户中删除WorkSpace.
有关更多信息,请参阅删除WorkSpace(p.
92).
74AmazonWorkSpaces管理指南修改WorkSpace修改WorkSpace启动WorkSpace后,您可以通过两种方式修改其配置:您可以更改其根卷的大小(对于Windows,为驱动器C;对于Linux,为/)及其用户卷(对于Windows,为驱动器D;对于Linux,为/home).
您可以更改其计算类型以选择新的捆绑包.
的当前修改状态显示在WorkSpace控制台的State(状态)设置中.
AmazonWorkSpaces状态的可能值为正在修改计算、正在修改存储和无.
如果要修改WorkSpace,则它必须具有AVAILABLE或STOPPED状态.
当您修改卷大小时,您无法同时更改计算类型,反之亦然.
更改WorkSpace的卷大小或计算类型将更改WorkSpace的账单费率.
要允许您的用户自行修改卷和计算类型,请参阅启用自助服务WorkSpace用户的管理能力(p.
57).
更改卷大小您可以增加WorkSpace的根卷和用户卷的大小,每个卷最大为2000GB.
WorkSpace根卷和用户卷位于无法更改的集合组中.
可用的组包括:[根(GB)、用户(GB)][80,10][80,50][80,100][175至2000、100至2000]无论是已加密还是未加密,您都可以扩展根卷和用户卷,并且可以在6小时内扩展这两个卷一次.
但是,您无法同时增加根卷和用户卷的大小.
有关更多信息,请参阅有关增加卷的限制(p.
75).
Note在扩展WorkSpace的卷时,AmazonWorkSpaces会在Windows或Linux中自动扩展卷的分区.
该过程完成后,您必须重新启动WorkSpace,更改才能生效.
为确保保留您的数据,启动WorkSpace后,无法减小根卷或用户卷的大小.
相反,请确保在启动WorkSpace时为这些卷指定最小大小.
您可以启动Value、Standard、Performance、Power或PowerProWorkSpace,根卷的最小值为80GB,用户卷的最小值为10GB.
您可以启动最低根卷容量为100GB、最低用户卷容量为100GB的Graphics或GraphicsProWorkSpace.
在增加WorkSpace磁盘大小的过程中,用户可以在其WorkSpace上执行大多数任务.
但是,他们无法更改其WorkSpace计算类型、切换WorkSpace运行模式、重建其WorkSpace或重启(重新启动)其WorkSpace.
磁盘大小增加过程最多需要一个小时.
有关增加卷的限制您只能调整SSD卷的大小.
启动WorkSpace时,您必须等待6小时,然后才能修改其卷的大小.
75AmazonWorkSpaces管理指南更改捆绑包类型您无法同时增加根卷和用户卷的大小.
要增加根卷,您必须先将用户卷更改为100GB.
进行此更改后,您可以将根卷更新为175和2000GB之间的任何值.
在将根卷更改为175和2000GB之间的任何值后,您可以进一步更新用户卷,以更新为100和2000GB之间的任何值.
Note如果要增加这两个卷,则必须等待20-30分钟让第一个操作完成,然后才能开始第二个操作.
除非WorkSpace是Graphics或GraphicsProWorkSpace,否则,当用户卷为100GB时,根卷不能小于175GB.
Graphics和GraphicsProWorkSpaces可以将根卷和用户卷都设置为100GB最低大小.
如果用户卷是50GB,则无法将根卷更新为80GB以外的任何大小.
如果根卷是80GB,则用户卷只能是10、50或100GB.
更改WorkSpace的卷大小1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择WorkSpace,然后选择Actions(操作)、ModifyWorkSpace(修改环境).
4.
要增加根卷或用户卷的大小,请选择ModifyVolumeSizes(修改卷大小),然后输入新值.
5.
选择修改.
6.
完成增加磁盘大小后,您必须重启WorkSpace(p.
82)才能使更改生效.
要避免数据丢失,请确保用户在重启WorkSpace之前保存所有打开的文件.
更改捆绑包类型您可以在Value、Standard、Performance、Power和WorkSpace捆绑包之间切换PowerPro.
当您请求更改捆绑时,AmazonWorkSpaces将使用新捆绑包重新启动WorkSpace.
AmazonWorkSpaces保留WorkSpace的操作系统、应用程序、数据和存储设置.
请求较大服务包的申请每1小时可以提一次,而请求较小服务包的申请每30天可以提一次.
对于新启动的WorkSpace,您必须等待1小时才能请求更大的捆绑包.
在更改WorkSpace计算类型时,用户将与其WorkSpace断开连接,他们无法使用或更改WorkSpace.
在计算类型更改过程中将自动重启.
WorkSpaceImportant为避免数据丢失,请确保用户先保存任何打开的文档和其他应用程序文件,然后再更改WorkSpace计算类型.
计算类型更改过程可能需要一个小时的时间.
更改WorkSpace的捆绑包类型1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择WorkSpace,然后依次选择Actions(操作)和ModifyWorkSpace(修改环境).
4.
要更改捆绑包,请选择ChangeComputeType,然后选择新的捆绑包类型.
5.
选择修改.
为WorkSpaces资源加标签您可以采用WorkSpaces标签的形式为每个资源分配您自己的元数据,以便组织和管理的资源.
可为每个标签指定键和值.
键可以是具有特定关联值的一般类别,例如"project"、"owner"或"environment".
使用标签是管理AWS资源和整理数据(包括账单数据)的一种简单却强有力的方式.
76AmazonWorkSpaces管理指南WorkSpace维护当您向现有资源添加标签时,这些标签不会出现在您的成本分配报告中,直到下一个月的第一天.
例如,如果您在7月15日向现有WorkSpace添加标签,则在8月1日之前,标签不会显示在您的成本分配报告中.
有关更多信息,请参阅https://docs.
amazonaws.
cn/awsaccountbilling/latest/aboutv2/cost-alloc-tags.
html中的AWSBillingandCostManagement用户指南使用成本分配标签.
Note要在CostExplorer中查看WorkSpaces资源标签,您必须按照WorkSpaces中的激活用户定义的成本分配标签中的说明激活应用于AWSBillingandCostManagement用户指南资源的标签.
虽然标签在激活后24小时显示,但与这些标签关联的值可能需要3-5天才能在CostExplorer中显示.
此外,要在CostExplorer中显示并提供成本数据,已标记的WorkSpaces资源必须在此期间产生费用.
成本管理器仅显示从激活标签时开始以及之后的成本数据.
此时,没有历史数据可用.
您可以添加标签的资源您可以在创建以下资源时向其添加标签—、导入的映像和IP访问控制组.
WorkSpaces您可以向以下类型的现有资源添加标签—、注册的目录、自定义捆绑包、图像和IP访问控制组.
WorkSpaces标签限制每个资源的最大标签数—50最大密钥长度—127个Unicode字符最大值长度—255个Unicode字符标签键和值区分大小写.
允许使用的字符包括可用UTF-8格式表示的字母、空格和数字,以及以下特殊字符:请不要使用前导空格或尾随空格.
请勿使用"aws:"或"aws:workspaces:"标签名称或值中的前缀,因为它们专为AWS使用预留.
您无法编辑或删除带这些前缀的标签名称或值.
使用控制台更新现有资源的标签1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择以下资源类型之一:目录、WorkSpaces、捆绑、映像或IP访问控制.
3.
选择资源,然后选择Actions(操作)、ManageTags(管理标签).
4.
执行以下一个或多个操作:要更新标签,请编辑Key和Value的值.
要添加标签,请选择AddTag,然后编辑Key和Value的值.
要删除标签,请选择标签旁边的删除图标(X).
5.
完成更新标签后,选择Save(保存).
使用AWSCLI更新现有资源的标签使用create-tags和delete-tags命令.
WorkSpace维护我们建议您定期维护WorkSpaces.
AmazonWorkSpaces会为您的WorkSpaces安排默认维护时段.
在维护时段内,WorkSpace会从AmazonWorkSpaces安装重要更新并根据需要重新启动.
如果有,操作系统更新也会从WorkSpace配置为使用的操作系统更新服务器安装.
在维护期间,您的WorkSpaces可能不可用.
77AmazonWorkSpaces管理指南AlwaysOnWorkSpaces的维护时段Note默认情况下,您的WindowsWorkSpaces配置为从Windows更新接收更新.
要为Windows配置您自己的自动更新机制,请参阅WindowsServerUpdateServices(WSUS)和配置管理器的文档.
AlwaysOnWorkSpaces的维护时段对于AlwaysOnWorkSpaces,维护时段由操作系统设置决定.
默认值为每个星期日凌晨WorkSpace时区的四小时时段,从00:00到04:00.
默认情况下,AlwaysOnWorkSpace的时区是WorkSpace所在AWS区域的时区.
但是,如果您从另一个区域连接并且时区重定向已启用,然后断开连接,则WorkSpace的时区将更新为您连接时所在区域的时区.
您可以使用组策略禁用WindowsWorkSpaces的时区重定向(p.
63).
您不能为LinuxWorkSpaces禁用时区重定向.
对于WindowsWorkSpaces,您可以使用组策略配置维护时段;请参阅为自动更新配置组策略设置.
您无法为LinuxWorkSpaces配置维护时段.
AutoStopWorkSpaces的维护时段AutoStopWorkSpaces每月自动启动一次,以便安装重要更新.
维护时段自当月第三个星期一开始,最长为两周,每天00:00至05:00,时区为WorkSpace所在AWS区域的时区.
可在维护时段中的任意一天维护WorkSpace.
在WorkSpace进行维护的时间段内,WorkSpace的状态设置为MAINTENANCE.
尽管您无法修改用于维护AutoStopWorkSpaces的时区,但您可以按如下方式禁用AutoStopWorkSpaces的维护时段.
如果禁用维护模式,则不会重启WorkSpaces,也不会进入MAINTENANCE状态.
要禁用维护模式1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开MaintenanceMode.
5.
要启用自动更新,请选择Enabled.
如果您倾向于手动管理更新,请选择Disabled.
6.
选择UpdateandExit.
手动维护如果您愿意,您可以按照自己的计划维护WorkSpaces.
执行维护任务时,我们建议您将WorkSpace的状态更改为ADMIN_MAINTENANCE.
完成后,将WorkSpace的状态更改为AVAILABLE.
当WorkSpace处于ADMIN_MAINTENANCE模式下时,会发生以下行为:不会响应重启、停止、启动或重建的请求.
WorkSpace用户无法登录WorkSpace.
AutoStop不会休眠.
WorkSpace使用控制台更改WorkSpace的状态Note要更改WorkSpace的状态,WorkSpace必须具有AVAILABLE状态.
当的状态为时,WorkSpaceModifyState(修改状态)STOPPED设置不可用.
78AmazonWorkSpaces管理指南加密WorkSpaces1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择您的WorkSpace,然后依次选择Actions(操作)和ModifyWorkSpace(修改环境).
4.
选择ModifyState.
对于IntendedState,选择ADMIN_MAINTENANCE或AVAILABLE.
5.
选择修改.
使用WorkSpace更改AWSCLI的状态使用modify-workspace-state命令.
加密WorkSpacesAmazonWorkSpaces与AWSKeyManagementService(AWSKMS)集成.
这使您能够使用客户主密钥(CMK)加密WorkSpaces的存储卷.
当您启动WorkSpace时,可以加密根卷(对于MicrosoftWindows,为C驱动器;对于Linux,为/)和用户卷(对于Windows,为D驱动器;对于Linux,为/home).
这样做可确保静态存储的数据、卷的磁盘I/O及从加密卷创建的快照都会被加密.
Prerequisites在开始加密过程之前,您需要一个AWSKMSCMK.
首次从区域中的WorkSpace控制台启动未加密的AmazonWorkSpaces时,AmazonWorkSpaces会在您的账户中自动创建AWS托管CMK(aws/workspaces).
您可以选择此AWS托管CMK来加密WorkSpace的用户卷和根卷.
有关详细信息,请参阅WorkSpaces中的Amazon如何使用AWSKMS.
AWSKeyManagementServiceDeveloperGuide您可以查看此AWS托管CMK(包括其策略和授权),并可以在AWSCloudTrail日志中跟踪其使用情况,但您无法使用或管理此CMK.
AmazonWorkSpaces创建和管理此CMK.
只有AmazonWorkSpaces可以使用此CMK,并且它只能用于加密您的账户中的WorkSpaces资源.
AWS托管的CMKs(包括AmazonWorkSpaces支持的版本)每三年轮换一次.
有关详细信息,请参阅https://docs.
amazonaws.
cn/kms/latest/developerguide/rotate-keys.
html中的轮换密钥AWSKeyManagementServiceDeveloperGuide.
或者,您可以选择您使用AWSKMS创建的对称客户托管CMK.
您可以查看、使用和管理此CMK,包括设置其策略.
有关创建CMKs的更多信息,请参阅中的创建密钥.
AWSKeyManagementServiceDeveloperGuide有关使用CMKsAPI创建AWSKMS的更多信息,请参阅中的使用密钥.
AWSKeyManagementServiceDeveloperGuide您必须满足以下要求才能使用AWSKMSCMK加密您的WorkSpaces:CMK必须是对称的.
AmazonWorkSpaces不支持非对称CMKs.
有关区分对称和非对称CMKs的信息,请参阅中的CMKs识别对称和非对称.
AWSKeyManagementServiceDeveloperGuide必须启用CMK.
要确定是否启用了CMK,请参阅https://docs.
amazonaws.
cn/kms/latest/developerguide/viewing-keys-console.
html#viewing-console-details中的显示CMK详细信息AWSKeyManagementServiceDeveloperGuide.
您必须拥有与密钥相关联的正确权限和策略.
有关更多信息,请参阅IAM权限和加密的角色(p.
80).
Important每个CMK的限制为500个WorkSpaces.
此限制是由于AWSKMS中的每个被授权者委托人的授权数配额所致.
有关此配额的更多信息,请参阅https://docs.
amazonaws.
cn/kms/latest/developerguide/resource-limits.
html#grants-per-principal-per-key中的每个被授权者委托人的授权数AWSKeyManagementServiceDeveloperGuide.
79AmazonWorkSpaces管理指南Limits当您加密WorkSpaces时,请为每500个WorkSpaces创建一个CMK.
例如,如果您要加密850WorkSpaces,请创建两个CMKs.
如果您尝试启动加密的WorkSpaces,但收到错误消息"Thespecifiedkeyisnotavailable.
请提供有效的加密密钥",则说明已达到现有CMK的每个被授权者委托人的授权数配额.
Limits您无法加密现有WorkSpace.
您必须在启动WorkSpace时对其进行加密.
不支持从加密的WorkSpace创建自定义映像.
当前不支持对加密的WorkSpace禁用加密.
在启用根卷加密的情况下启动的WorkSpaces可能需要一个小时才能完成预配置.
要重启或重建已加密的WorkSpace,请先确保AWSKMSCMK已启用;否则,WorkSpace将变为不可用.
要确定是否启用了CMK,请参阅https://docs.
amazonaws.
cn/kms/latest/developerguide/viewing-keys-console.
html#viewing-console-details中的显示CMK详细信息AWSKeyManagementServiceDeveloperGuide.
加密WorkSpaces加密WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
选择启动WorkSpaces并完成前三个步骤.
3.
对于WorkSpacesConfiguration(AWSStorageGateway配置)步骤,执行以下操作:a.
选择要加密的卷:根卷和/或用户卷.
b.
对于EncryptionKey(加密密钥),选择一个AWSKMSCMK,即由AmazonWorkSpaces创建的AWS托管CMK或您创建的CMK.
您选择的CMK必须是对称的.
AmazonWorkSpaces不支持非对称CMKs.
c.
选择NextStep.
4.
选择启动WorkSpaces.
查看加密的WorkSpaces要从WorkSpaces控制台查看哪些AmazonWorkSpaces和卷已加密,请从左侧的导航栏中选择WorkSpaces.
VolumeEncryption(卷加密)列显示每个是启用还是禁用了加密.
WorkSpace要查看哪些特定卷已加密,请展开WorkSpace条目以查看EncryptedVolumes(加密的卷)字段.
IAM权限和加密的角色如果您选择用于加密的客户托管CMK,则必须建立允许AmazonWorkSpaces代表您账户中启动加密WorkSpaces的IAM用户使用CMK的策略.
该用户还需要使用AmazonWorkSpaces的权限.
AmazonWorkSpaces加密需要对CMK拥有有限访问权限.
以下是您可以使用的一个示例密钥策略.
此策略将可以管理AWSKMSCMK的委托人与可以使用它的委托人分开.
在使用此示例密钥策略之前,请将示例账户ID和IAM用户名替换为您账户中的实际值.
第一个语句与默认AWSKMS密钥策略匹配.
它授予您的账户使用IAM策略控制对CMK的访问的权限.
第二个和第三个语句分别定义哪些AWS委托人可以管理和使用密钥.
第四个语句允许与AWSKMS集成的AWS服务代表指定委托人使用密钥.
该语句允许AWSServices创建和管理授权.
该语句使用一个条件元素,该元素将对CMK的授权限制为AWS服务代表您账户中的用户进行的授权.
80AmazonWorkSpaces管理指南IAM权限和加密的角色{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:root"},"Action":"kms:*","Resource":"*"},{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:user/Alice"},"Action":["kms:Create*","kms:Describe*","kms:Enable*","kms:List*","kms:Put*","kms:Update*","kms:Revoke*","kms:Disable*","kms:Get*","kms:Delete*"],"Resource":"*"},{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:user/Alice"},"Action":["kms:Encrypt","kms:Decrypt","kms:ReEncrypt","kms:GenerateDataKey*","kms:DescribeKey"],"Resource":"*"},{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:user/Alice"},"Action":["kms:CreateGrant","kms:ListGrants","kms:RevokeGrant"],"Resource":"*","Condition":{"Bool":{"kms:GrantIsForAWSResource":"true"}}}]}用于加密IAM的用户或角色的WorkSpace策略必须包含对客户托管CMK的使用权限以及对WorkSpaces的访问权限.
要向IAM用户或角色授予WorkSpaces权限,您可以将以下示例策略附加到IAM用户或角色.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["ds:*","ds:DescribeDirectories","workspaces:*",81AmazonWorkSpaces管理指南重启WorkSpace"workspaces:DescribeWorkspaceBundles","workspaces:CreateWorkspaces","workspaces:DescribeWorkspaceBundles","workspaces:DescribeWorkspaceDirectories","workspaces:DescribeWorkspaces","workspaces:RebootWorkspaces","workspaces:RebuildWorkspaces"],"Resource":"*"}]}用户需要以下IAM策略才能使用AWSKMS.
它为用户提供了对CMK的只读访问权限以及创建授权的能力.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["kms:CreateGrant","kms:Describe*","kms:List*"],"Resource":"*"}]}重启WorkSpace有时,您可能需要手动重启(重新启动)WorkSpace.
重启WorkSpace会断开用户连接,然后执行WorkSpace的关闭和重启操作.
为避免数据丢失,请确保用户在重启WorkSpace之前保存所有打开的文档和其他应用程序文件.
用户数据、操作系统和系统设置不受影响.
Warning要重启加密的WorkSpace,请先确保AWSKMSCMK已启用;否则,WorkSpace将变为不可用.
要确定是否启用了CMK,请参阅https://docs.
amazonaws.
cn/kms/latest/developerguide/viewing-keys-console.
html#viewing-console-details中的显示CMK详细信息AWSKeyManagementServiceDeveloperGuide.
重启WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要重启的WorkSpaces,然后选择操作、重启WorkSpaces.
4.
当系统提示您确认时,选择RebootWorkSpaces(重启).
重建WorkSpace如果需要,您可以重建WorkSpace.
这会重新创建根卷和用户卷.
除非WorkSpace的状态为AVAILABLE、ERROR、UNHEALTHY、STOPPED或REBOOTING,否则您无法重建它.
82AmazonWorkSpaces管理指南还原WorkSpaceImportant要重建处于WorkSpace状态的REBOOTING,您必须使用RebuildWorkspacesAPI操作或rebuild-workspacesAWS命令行界面(CLI)命令.
2020年1月14日之后,无法再重建从公有Windows7捆绑包创建的WorkSpaces.
您可能需要考虑将Windows7WorkSpaces迁移到Windows10.
有关更多信息,请参阅迁移WorkSpace(p.
89).
重建WorkSpace将导致以下情况的出现:系统将使用从中创建WorkSpace的捆绑的最新映像来刷新系统.
在创建WorkSpace之后安装的所有应用程序或更改的系统设置都将丢失.
用户卷(对于MicrosoftWindows,为D驱动器;对于Linux,为/home)是从最新快照中重新创建的.
用户卷的当前内容将被覆盖.
每12小时安排一次在重新生成WorkSpace时使用的自动快照.
如果WorkSpace运行状况良好,则会创建用户卷的快照.
如果WorkSpace运行状况不佳,则不会创建快照.
主要弹性网络接口已重新创建.
接收新的私有IP地址.
WorkSpace重建WorkSpaceWarning要重建加密的WorkSpace,请先确保AWSKMSCMK已启用;否则,WorkSpace将变为不可用.
要确定是否启用了CMK,请参阅https://docs.
amazonaws.
cn/kms/latest/developerguide/viewing-keys-console.
html#viewing-console-details中的显示CMK详细信息AWSKeyManagementServiceDeveloperGuide.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要重建的WorkSpace,然后选择操作、重建/还原WorkSpace.
4.
当系统提示您确认时,选择RebuildWorkSpace(重建).
Note如果您在更改ActiveDirectory中用户的WorkSpacesAMAccountName用户命名属性后重建,则可能会收到以下错误消息:"ErrorCode":"InvalidUserConfiguration.
Workspace""ErrorMessage":"Theuserwaseithernotfoundorismisconfigured.
"要解决该问题,请恢复为原始用户命名属性,然后重新启动重建,或者为该用户创建新的WorkSpace.
还原WorkSpace每12小时安排一次还原WorkSpace时使用的自动快照.
如果WorkSpace运行状况良好,则将同时创建根卷和用户卷的快照.
如果WorkSpace运行状况不佳,则不会创建这些快照.
如果需要,您可以将WorkSpace还原到其上次已知的正常运行状态.
这将根据在WorkSpace运行状况良好时创建的这些卷的最新快照来重新创建根卷和用户卷.
除非WorkSpace的状态为AVAILABLE、ERROR、UNHEALTHY或STOPPED,否则无法还原它.
还原WorkSpace将导致以下情况的出现:83AmazonWorkSpaces管理指南升级Windows10BYOLWorkSpaces系统将还原到根卷的最新快照.
在创建最新快照之后安装的所有应用程序或更改的系统设置都将丢失.
用户卷(对于MicrosoftWindows,为D驱动器;对于Linux,为/home)是从最新快照中重新创建的.
用户卷的当前内容将被覆盖.
还原WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要还原的WorkSpace,然后选择操作、重建/还原WorkSpace.
4.
选择RestoreWorkSpace.
升级Windows10BYOLWorkSpaces在Windows10自带许可(BYOL)WorkSpaces上,您可以使用就地升级过程升级到Windows10的较新版本.
为此,请按照本主题中的说明操作.
就地升级过程仅适用于Windows10BYOLWorkSpaces.
Important请勿在升级的WorkSpace上运行Sysprep.
如果这样做,可能会出现阻止Sysprep完成操作的错误.
如果您计划运行Sysprep,请仅在尚未升级的WorkSpace上执行此操作.
内容Prerequisites(p.
84)重要注意事项(p.
84)已知限制条件(p.
85)注册表项设置摘要(p.
85)执行就地升级的步骤(p.
86)Troubleshooting(p.
88)使用WorkSpace脚本更新PowerShell注册表(p.
88)Prerequisites如果您已使用组策略或SystemCenterConfigurationManager(SCCM)推迟或暂停Windows10升级,请为您的Windows10WorkSpaces启用操作系统升级.
如果WorkSpace是AutoStopWorkSpace,请在就地升级过程之前将其更改为AlwaysOnWorkSpace,以便它不会在应用更新时自动停止.
有关更多信息,请参阅修改运行模式(p.
74).
如果您希望将WorkSpace设置为AutoStop,请在升级过程中将AutoStop时间更改为三小时或更长时间.
就地升级过程通过制作名为DefaultUser(C:\Users\Default)的特殊配置文件的副本来重新创建用户配置文件.
请勿使用此默认用户配置文件进行自定义.
而是建议通过组策略对象(GPO)对用户配置文件进行任何自定义.
通过GPOs进行的自定义可以很容易地进行修改或回滚,并且不太容易出错.
就地升级过程只能备份和重新创建一个用户配置文件.
如果您在驱动器D上有多个用户配置文件,请删除除所需配置文件之外的所有配置文件.
重要注意事项就地升级过程使用两个注册表脚本(enable-inplace-upgrade.
ps1和update-pvdrivers.
ps1)对您的WorkSpaces进行必要的更改,使Windows更新过程能够运行.
这些更改涉及在驱动器C而不是驱动器D84AmazonWorkSpaces管理指南已知限制条件上创建(临时)用户配置文件.
如果驱动器D上已存在用户配置文件,则该原始用户配置文件中的数据保留在驱动器D上.
默认情况下,WorkSpaces在D:\Users\%USERNAME%中创建用户配置文件.
脚本将Windows配置为在enable-inplace-upgrade.
ps1中创建新的用户配置文件并将用户Shell文件夹重定向到C:\Users\%USERNAME%.
D:\Users\%USERNAME%此新用户配置文件是在用户首次登录时创建的.
就地升级后,您可以选择将用户配置文件保留在驱动器C上,以允许用户在将来使用Windows更新进程升级其计算机.
但请注意,在重新生成或迁移在驱动器C上存储了配置文件的WorkSpaces时,除非丢失用户配置文件中的所有数据,除非您自行备份和还原这些数据.
如果您决定在驱动器C上保留配置文件,则可以使用UserShellFoldersRedirection注册表项将用户Shell文件夹重定向到驱动器D,如本主题后面所述.
为确保您可以重建或迁移WorkSpaces,并避免用户Shell文件夹重定向的任何潜在问题,我们建议您选择在就地升级后将用户配置文件还原到驱动器D.
为此,您可以使用PostUpgradeRestoreProfileOnD注册表项,如本主题后面所述.
已知限制条件在WorkSpace重建或迁移期间,不会发生用户配置文件位置从驱动器D更改为驱动器C.
如果您在Windows10BYOLWorkSpace上执行就地升级,然后重建或迁移它,则新的WorkSpace将在驱动器D上具有用户配置文件.
Warning如果在就地升级后将用户配置文件保留在驱动器C上,则在重建或迁移过程中存储在驱动器C上的用户配置文件数据将丢失,除非您在重建或迁移之前手动备份用户配置文件数据,并在运行重建或迁移过程后手动还原用户配置文件数据.
如果您的默认BYOL捆绑包包含基于Windows10早期版本的映像,则必须在重新生成或迁移WorkSpace后再次执行就地升级.
注册表项设置摘要要启用就地升级过程并指定您要在升级后放置用户配置文件的位置,您必须设置多个注册表项.
注册表路径:HKLM:\\Software\\Amazon\\WorkSpacesConfig\\enable-inplace-upgrade.
ps1注册表项TypeValuesEnabled(已启用)DWORD0–(默认值)禁用就地升级1–启用就地升级PostUpgradeRestoreProfileOnDDWORD0–(默认值)在就地升级后,不尝试还原用户配置文件路径1–在就地升级后还原用户配置文件路径(ProfileImagePath)UserShellFoldersRedirectionDWORD0–不启用用户Shell文件夹的重定向1–(默认值)在用户配置文件在C:\Users\%USERNAME%上重新生成后,启用将用户Shell文件夹重定向到D:\Users\%USERNAME%85AmazonWorkSpaces管理指南执行就地升级的步骤注册表项TypeValuesNoRebootDWORD0–(默认值)允许您控制修改用户配置文件的注册表后何时重启1不允许脚本在修改用户配置文件的注册表后重启–WorkSpace注册表路径:HKLM:\\Software\\Amazon\\WorkSpacesConfig\\update-pvdrivers.
ps1注册表项TypeValuesEnabled(已启用)DWORD0–(默认值)禁用AWSPV驱动程序更新1–启用AWSPV驱动程序更新执行就地升级的步骤要在BYOLWorkSpaces上启用就地Windows升级,您必须设置某些注册表项,如以下过程中所述.
您还必须设置某些注册表项,以指示您希望在完成就地升级后在其中放置用户配置文件的驱动器(C或D).
您可以手动进行这些注册表更改.
如果要更新多个WorkSpaces,则可以使用组策略或SCCM推送PowerShell脚本.
有关示例PowerShell脚本,请参阅使用WorkSpace脚本更新PowerShell注册表(p.
88).
执行Windows10就地升级1.
记下要更新的Windows10BYOLWorkSpaces上当前运行的Windows版本,然后重新启动它们.
2.
更新以下Windows系统注册表项,将Enabled(启用)的数值数据从0更改为1.
这些注册表更改为WorkSpace启用就地升级.
HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpaceConfig\update-pvdrivers.
ps1Note如果这些密钥不存在,请重启WorkSpace.
重新启动系统时,应添加这些键.
(可选)如果您使用诸如SCCM任务序列之类的托管工作流来执行升级,请将以下键值设置为1以防止计算机重新启动:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1\NoReboot3.
决定您希望在就地升级过程后将用户配置文件放在哪个驱动器上(有关详细信息,请参阅重要注意事项(p.
84)),并按以下方式设置注册表项:如果您希望在升级后用户配置文件位于驱动器C上,请设置:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1键名称:PostUpgradeRestoreProfileOnD键值:086AmazonWorkSpaces管理指南执行就地升级的步骤键名称:UserShellFoldersRedirection键值:1如果您希望在升级后用户配置文件位于驱动器D上,请设置:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1键名称:PostUpgradeRestoreProfileOnD键值:1键名称:UserShellFoldersRedirection键值:04.
保存对注册表所做的更改后,再次重启WorkSpace,以便应用更改.
Note重启后,登录WorkSpace会创建一个新的用户配置文件.
您可能会在开始菜单中看到占位符图标.
此问题在就地升级完成后会自动解决.
(可选)确认以下键值设置为1,这会取消阻止WorkSpace进行更新:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1\profileImagePathDeleted5.
执行就地升级.
您可以使用任何您喜欢的方法,例如SCCM、ISO或WindowsUpdate(WU).
根据您的原始Windows10版本和安装的应用程序数量,此过程可能需要40-120分钟.
6.
更新过程结束后,请确认Windows版本已更新.
Note如果就地升级失败,Windows会自动回滚以使用开始升级之前已安装的Windows10版本.
有关疑难解答的更多信息,请参阅Microsoft文档.
(可选)要确认更新脚本已成功执行,请验证以下键值是否设置为1:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1\scriptExecutionComplete7.
如果您通过将WorkSpace的运行模式设置为AlwaysOn或更改AutoStop时间段来修改其运行模式,以便就地升级过程可以不中断地运行,请将运行模式重新设置为原始设置.
有关更多信息,请参阅修改运行模式(p.
74).
如果您尚未将PostUpgradeRestoreProfileOnD注册表项设置为1,则Windows会重新生成用户配置文件,并在就地升级后将其放置到C:\Users\%USERNAME%中,这样您就不必再为以后的Windows10就地升级再次执行上述步骤.
默认情况下,enable-inplace-upgrade.
ps1脚本将以下Shell文件夹重定向到驱动器D:D:\Users\%USERNAME%\DownloadsD:\Users\%USERNAME%\DesktopD:\Users\%USERNAME%\FavoritesD:\Users\%USERNAME%\MusicD:\Users\%USERNAME%\PicturesD:\Users\%USERNAME%\VideosD:\Users\%USERNAME%\Documents87AmazonWorkSpaces管理指南TroubleshootingD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\NetworkShortcutsD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\PrinterShortcutsD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\ProgramsD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\RecentD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendToD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenuD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\StartupD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates如果您将shell文件夹重定向到WorkSpaces上的其他位置,请在就地升级后对WorkSpaces执行必要的操作.
Troubleshooting如果您在更新过程中遇到任何问题,可以查看以下各项以帮助排除故障:Windows日志,默认情况下位于以下位置:C:\ProgramFiles\Amazon\WorkSpacesConfig\Logs\C:\ProgramFiles\Amazon\WorkSpacesConfig\Logs\TRANSMITTEDWindows事件查看器Windows日志>应用程序>源:AmazonWorkSpacesTip在就地升级过程中,如果您发现桌面上的某些图标快捷方式不再有效,这是因为WorkSpaces会将位于驱动器D上的任何用户配置文件移至驱动器C以准备升级.
升级完成后,快捷方式将正常工作.
使用WorkSpace脚本更新PowerShell注册表您可以使用以下示例PowerShell脚本来更新WorkSpaces上的注册表以启用就地升级.
按照执行就地升级的步骤(p.
86),但使用此脚本更新每个WorkSpace上的注册表.
#AWSWorkSpaces1.
28.
20#EnableIn-PlaceUpdateSampleScripts#TheseregistrykeysandvalueswillenablescriptstoexecuteonthenextrebootoftheWorkSpace.
$scriptlist=("update-pvdrivers.
ps1","enable-inplace-upgrade.
ps1")$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"$Enabled=1$script:ErrorActionPreference="Stop"foreach($scriptNamein$scriptlist){$scriptRegKey="$wsConfigRegistryRoot\$scriptName"try{if(-not(Test-Path$scriptRegKey)){Write-Host"Registrykeynotfound.
Creatingregistrykey'$scriptRegKey'with'Update'enabled.
"88AmazonWorkSpaces管理指南迁移WorkSpaceNew-Item-Path$wsConfigRegistryRoot-Name$scriptName|Out-NullNew-ItemProperty-Path$scriptRegKey-NameEnabled-PropertyTypeDWord-Value$Enabled|Out-NullWrite-Host"Valuecreated.
'$scriptRegKey'Enabled='$((Get-ItemProperty-Path$scriptRegKey).
Enabled)'"}else{Write-Host"Registrykeyisalreadypresentwithvalue'$scriptRegKey'Enabled='$((Get-ItemProperty-Path$scriptRegKey).
Enabled)'"if((Get-ItemProperty-Path$scriptRegKey).
Enabled-ne$Enabled){Set-ItemProperty-Path$scriptRegKey-NameEnabled-Value$EnabledWrite-Host"Valueupdated.
'$scriptRegKey'Enabled='$((Get-ItemProperty-Path$scriptRegKey).
Enabled)'"}}}catch{write-host"Stoppingscript,thefollowingerrorwasencountered:"`r`n$_-ForegroundColorRedbreak}}迁移WorkSpace您可以将WorkSpace从一个捆绑包迁移到另一个捆绑包,同时将数据保留在用户卷上.
您可以使用此功能将WorkSpaces从Windows7桌面体验迁移到Windows10桌面体验,或者从PCoIP协议迁移到WorkSpacesStreamingProtocol(WSP)beta.
您还可以使用此功能将WorkSpaces从一个公有或自定义捆绑包迁移到另一个捆绑包.
例如,您可以从启用GPU(图形和GraphicsPro)的捆绑包迁移到不启用GPU的捆绑包,反之亦然.
有关AmazonWorkSpaces捆绑包的更多信息,请参阅WorkSpace服务包和映像(p.
94).
迁移过程通过使用目标捆绑包映像中的新根卷和原始WorkSpace的最后一个可用快照中的用户卷来重新创建WorkSpace.
迁移过程中会生成新的用户配置文件,以获得更好的兼容性.
将重命名旧用户配置文件,然后将旧用户配置文件中的某些文件移动到新用户配置文件.
(有关所移动的内容的详细信息,请参阅迁移过程中会发生什么(p.
90).
)每个WorkSpace的迁移过程最多需要一个小时.
启动迁移过程时,将创建新的WorkSpace.
如果发生错误阻止成功迁移,将恢复原始WorkSpace并返回到其原始状态,并终止新的WorkSpace.
目录迁移限制(p.
89)可用的迁移方案(p.
90)迁移过程中会发生什么(p.
90)最佳实践(p.
91)Troubleshooting(p.
91)账单如何受到影响(p.
91)迁移WorkSpace(p.
92)迁移限制您不能迁移到公有或自定义Windows7桌面体验捆绑包.
您也不能迁移到自带许可证(BYOL)Windows7捆绑包.
89AmazonWorkSpaces管理指南可用的迁移方案您只能将BYOLWorkSpaces迁移到其他BYOL捆绑包.
您无法将创建的WorkSpace从公有或自定义捆绑包迁移到BYOL捆绑包.
当前不支持迁移LinuxWorkSpaces.
在支持多种语言的AWS区域中,您可以在语言包之间迁移WorkSpaces.
源捆绑包和目标捆绑包必须不同.
(但是,在支持多种语言的区域中,只要语言不同,您就可以迁移到相同的Windows10捆绑包.
)如果要使用相同的捆绑包刷新WorkSpace,请改为重新生成WorkSpace.
(p.
82)您不能跨区域迁移WorkSpaces.
在某些情况下,如果迁移无法成功完成,您可能不会收到错误消息,并且可能显示迁移过程未启动.
如果WorkSpace包在尝试迁移后的1小时内保持不变,迁移将失败.
请联系AWSSupportCenter以获取帮助.
可用的迁移方案下表显示了哪些迁移方案可用:源操作系统目标操作系统是否可用公有或自定义捆绑包Windows7公有或自定义捆绑包Windows10是自定义捆绑包Windows7公有捆绑包Windows7否自定义捆绑包Windows7自定义捆绑包Windows7否公有捆绑包Windows7自定义捆绑包Windows7否公有或自定义捆绑包Windows10公有或自定义捆绑包Windows7否自定义捆绑包Windows10公有捆绑包Windows10否公有或自定义捆绑包Windows10自定义捆绑包Windows10是Windows7BYOL捆绑包Windows7BYOL捆绑包否Windows7BYOL捆绑包Windows10BYOL捆绑包是Windows10BYOL捆绑包Windows7BYOL捆绑包否Windows10BYOL捆绑包Windows10BYOL捆绑包是迁移过程中会发生什么在迁移过程中,用户卷(驱动器D)上的数据将保留,但根卷(驱动器C)上的所有数据都将丢失.
这意味着不会保留已安装的应用程序、设置和对注册表的更改.
旧用户配置文件文件夹将使用.
NotMigrated后缀重命名,并创建一个新的用户配置文件.
迁移过程基于原始用户卷的最后一个快照重新创建驱动器D.
在新的WorkSpace的首次启动期间,迁移过程将原始D:\Users\%USERNAME%文件夹移动到名为D:\Users\%USERNAME%MMddyyTHHmmss%.
NotMigrated的文件夹.
新的操作系统生成一个新的D:\Users\%USERNAME%\文件夹.
创建新用户配置文件后,以下用户shell文件夹中的文件将从旧.
NotMigrated配置文件移动到新配置文件:D:\Users\%USERNAME%\DesktopD:\Users\%USERNAME%\Documents90AmazonWorkSpaces管理指南最佳实践D:\Users\%USERNAME%\DownloadsD:\Users\%USERNAME%\FavoritesD:\Users\%USERNAME%\MusicD:\Users\%USERNAME%\PicturesD:\Users\%USERNAME%\VideosImportant迁移过程尝试将文件从旧用户配置文件移动到新配置文件.
迁移过程中未移动的任何文件将保留在D:\Users\%USERNAME%MMddyyTHHmmss%.
NotMigrated文件夹中.
如果迁移成功,您可以看到哪些文件被移入C:\ProgramFiles\Amazon\WorkspacesConfig\Logs\MigrationLogs.
您可以手动移动任何未自动移动的文件.
分配给原始WorkSpace的任何标签都将在迁移期间进行转移,并且WorkSpace的运行模式将保留.
但是,新的WorkSpace将获取新的WorkSpaceID、计算机名称和IP地址.
最佳实践在迁移WorkSpace之前,请执行以下操作:将驱动器C上的任何重要数据备份到另一个位置.
在迁移过程中,将擦除驱动器C上的所有数据.
确保正在迁移的WorkSpace至少已有12小时,以确保已创建用户卷的快照.
在控制台中的WorkSpacesMigrate(迁移AmazonS3)AmazonWorkSpaces页面上,您可以看到上一个快照的时间.
在迁移过程中,上一个快照之后创建的所有数据将丢失.
为避免潜在的数据丢失,请确保您的用户注销其WorkSpaces,并在迁移过程完成后才重新登录.
请注意,在WorkSpaces模式下无法迁移ADMIN_MAINTENANCE.
确保要迁移的WorkSpaces的状态为AVAILABLE、STOPPED或ERROR.
确保您有足够的IP地址用于要迁移的WorkSpaces.
在迁移期间,将为WorkSpaces分配新的IP地址.
如果您使用脚本迁移WorkSpaces,请以一次不超过25个WorkSpaces的批次迁移它们.
Troubleshooting如果用户在迁移后报告丢失文件,请检查其用户配置文件是否在迁移过程中未移动.
您可以看到哪些文件被移入C:\ProgramFiles\Amazon\WorkspacesConfig\Logs\MigrationLogs.
未移动的文件将位于D:\Users\%USERNAME%MMddyyTHHmmss%.
NotMigrated文件夹中.
您可以手动移动任何未自动移动的文件.
如果您使用API迁移WorkSpaces,但迁移未成功,则不会使用API返回的目标WorkSpaceID,并且WorkSpace仍将具有原始WorkSpaceID.
如果迁移未成功完成,请检查ActiveDirectory以查看它是否相应地被清理了.
您可能需要手动删除不再需要的WorkSpaces.
账单如何受到影响在发生迁移的月份,您需要为新的和原始WorkSpaces按比例支付相应的费用.
例如,如果您在5月10日将WorkSpaceA迁移到WorkSpaceB,则将向您收取5月1日至5月10日期间的WorkSpaceA的费用,以及5月11日至5月30日期间的WorkSpaceB费用.
Note如果您要将WorkSpace迁移到不同的捆绑包类型(例如,从性能到电源,或从值到标准),则在迁移过程中根卷(驱动器C)和用户卷(驱动器D)的大小可能会增加.
如有必要,根卷增加以匹配新捆绑包的默认91AmazonWorkSpaces管理指南迁移WorkSpace根卷大小.
但是,如果您已为用户卷指定的大小与原始捆绑包的默认大小不同(更高或更低),则在迁移过程中会保留相同的用户卷大小.
否则,迁移过程将使用源WorkSpace用户卷大小中较大的值以及新捆绑包的默认用户卷大小.
迁移WorkSpace您可以通过WorkSpaces控制台、AWS命令行界面(CLI)或AmazonWorkSpacesAPI迁移AmazonWorkSpaces.
迁移WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择您的WorkSpace,然后依次选择Actions(操作)和MigrateWorkSpaces(迁移AmazonMacie).
4.
在SelectTargetBundle下,选择要将WorkSpace迁移到的捆绑.
5.
在AssignWorkSpaceBundle(分配AmazonS3捆绑)下,为每个WorkSpace用户选择目标捆绑.
Warning对于每个WorkSpace,请记下列出的快照时间.
在所列快照时间之后对用户卷所做的任何更改都将在迁移过程中丢弃.
6.
选择MigrateWorkSpaces.
控制台中将显示一个状态为WorkSpace的新PENDING.
AmazonWorkSpaces迁移完成后,将终止原始WorkSpace,并将新WorkSpace的状态设置为AVAILABLE.
7.
(可选)要删除您不再需要的任何自定义捆绑包和映像,请参阅删除自定义WorkSpaces服务包或映像(p.
107).
要通过AWSCLI迁移WorkSpaces,请使用migrate-workspace命令.
要通过WorkSpacesAPI迁移AmazonWorkSpaces,请参阅中的MigrateWorkSpace.
AmazonWorkSpacesAPI参考删除WorkSpace在使用完WorkSpace后,您可以将其删除.
还可以删除相关资源.
Warning删除WorkSpace是一项永久性操作,无法撤消.
用户的数据不会保留,而是会销毁.
WorkSpace要获取有关备份用户数据的帮助,请联系AWSSupport.
NoteSimpleAD和ADConnector可供您免费用于WorkSpaces.
如果WorkSpaces或SimpleAD目录在连续30天内没有使用ADConnector,则系统将自动取消注册此目录以便与AmazonWorkSpaces一起使用,并且将按照AWSDirectoryService定价条款向您收取此目录的费用.
要删除空目录,请参阅删除WorkSpaces的目录(p.
39).
如果您删除SimpleAD或ADConnector目录,则始终可以在希望重新开始使用WorkSpaces时创建新的目录.
删除WorkSpace您可以删除处于WorkSpace以外的任何状态的SUSPENDED.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
92AmazonWorkSpaces管理指南删除WorkSpace3.
选择您的WorkSpace,然后选择Actions(操作)、RemoveWorkSpaces(删除环境).
4.
当系统提示您确认时,选择RemoveWorkSpaces(删除环境).
删除WorkSpace大约需要5分钟时间.
在删除期间,WorkSpace的状态设置为TERMINATING.
删除操作完成后,在TERMINATED从控制台消失前,状态将非常短地设置为WorkSpace.
5.
(可选)要删除您不再使用的任何自定义捆绑包和映像,请参阅删除自定义WorkSpaces服务包或映像(p.
107).
6.
(可选)删除目录中的所有WorkSpaces后,可以删除该目录.
有关更多信息,请参阅删除WorkSpaces的目录(p.
39).
7.
(可选)删除VirtualPrivateCloud(VPC)中用于您的目录的所有资源后,可以删除VPC并释放用于NAT网关的弹性IP地址.
有关更多信息,请参阅中的删除VPC和使用弹性IP地址.
AmazonVPC用户指南93AmazonWorkSpaces管理指南创建自定义映像和服务包WorkSpace服务包和映像服务包是操作系统、存储、计算和软件资源的组合.
WorkSpace当您启动WorkSpace时,选择满足您需求的服务包.
可用于WorkSpaces的默认捆绑包称为公有捆绑包.
有关可用于AmazonWorkSpaces的各种公有服务包的更多信息,请参阅AmazonWorkSpaces服务包.
如果您已启动Windows或AmazonLinuxWorkSpace并对其进行了自定义,则可以从该WorkSpace创建自定义映像.
自定义映像仅包含的操作系统、软件和设置.
WorkSpace自定义服务包是该自定义映像和可以从中启动的硬件的组合.
WorkSpace创建自定义映像后,您可以构建自定义服务包,该服务包将自定义WorkSpace映像与您选择的基础计算和存储配置相结合.
然后,您可以在启动新的WorkSpaces时指定此自定义服务包,以确保新的WorkSpaces具有相同的一致配置(硬件和软件).
如果您需要执行软件更新或在WorkSpaces上安装其他软件,可以更新自定义服务包并使用它来重新生成WorkSpaces.
内容创建自定义WorkSpaces映像和服务包(p.
94)更新自定义WorkSpaces服务包(p.
104)复制自定义WorkSpaces映像(p.
105)共享或取消共享自定义WorkSpaces映像(p.
106)删除自定义WorkSpaces服务包或映像(p.
107)自带Windows桌面许可证(p.
108)创建自定义WorkSpaces映像和服务包如果您已启动Windows或AmazonLinuxWorkSpace并对其进行了自定义,则可以从该WorkSpace创建自定义映像和自定义服务包.
自定义映像仅包含的操作系统、软件和设置.
WorkSpace自定义服务包是该自定义映像和可以从中启动的硬件的组合.
WorkSpace创建自定义映像后,您可以构建一个自定义服务包,该服务包将自定义映像与您选择的基础计算和存储配置相结合.
然后,您可以在启动新的WorkSpaces时指定此自定义服务包,以确保新的WorkSpaces具有相同的一致配置(硬件和软件).
通过为每个服务包选择不同的计算和存储选项,您可以使用相同的自定义映像来创建各种自定义服务包.
Important如果您计划从Windows10WorkSpace创建映像,请注意,已经从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10系统不支持映像创建.
但是,WorkSpaces映像创建过程支持Windows累积或安全更新.
2020年1月14日之后,无法从公有Windows7捆绑包创建映像.
您可能需要考虑将Windows7WorkSpaces迁移到Windows10.
有关更多信息,请参阅迁移WorkSpace(p.
89).
自定义捆绑包的成本与这些捆绑包创建自的公用捆绑包的成本相同.
有关定价的更多信息,请参阅AmazonWorkSpaces定价.
94AmazonWorkSpaces管理指南创建Windows自定义映像的要求内容创建Windows自定义映像的要求(p.
95)创建AmazonLinux自定义映像的要求(p.
95)最佳实践(p.
95)步骤1:运行映像检查程序(p.
96)步骤2:创建自定义映像和自定义服务包(p.
102)WindowsWorkSpaces自定义映像中包含的内容(p.
103)AmazonLinux自定义映像中包含的内容WorkSpace(p.
103)创建Windows自定义映像的要求的状态必须为WorkSpaceAvailable(可用),其修改状态必须为None(无).
映像上的所有应用程序和用户配置文件必须与MicrosoftSysprep兼容.
WorkSpaces所有要包括在映像中的应用程序都必须安装在C盘上.
用户配置文件必须存在且位于D:\Users\username,其总大小(文件和数据)必须小于10GB.
C驱动器必须至少有12GB的可用空间.
在WorkSpace上运行的所有应用程序服务必须使用本地系统账户而不是域用户凭证.
例如,不能有使用域用户凭证运行的MicrosoftSQLServerExpress安装.
不得加密WorkSpace.
当前不支持从加密的WorkSpace创建映像.
映像中要求具有以下组件.
如果没有这些组件,您从映像启动的WorkSpaces将无法正常运行:WindowsPowerShell3.
0或更高版本远程桌面服务AWSPV驱动程序Windows远程管理(WinRM)TeradiciPCoIP代理和驱动程序STXHD代理和驱动程序AWS和WorkSpaces证书Skylight代理创建AmazonLinux自定义映像的要求的状态必须为WorkSpaceAvailable(可用),其修改状态必须为None(无).
所有将包括在映像中的应用程序都必须安装在用户卷(/home目录)之外.
根卷(/)的使用率必须低于97%.
不得加密WorkSpace.
当前不支持从加密的WorkSpace创建映像.
映像中要求具有以下组件.
如果没有这些组件,您从映像启动的WorkSpaces将无法正常运行:Cloud-initTeradiciPCoIP代理和驱动程序Skylight代理最佳实践从WorkSpace创建映像之前,请执行以下操作:使用未连接到您的生产环境的单独VPC.
95AmazonWorkSpaces管理指南步骤1:运行映像检查程序在私有子网中部署WorkSpace,并将NAT实例用于出站流量.
使用小的SimpleAD目录.
使用源WorkSpace的最小卷大小,然后在创建自定义包时根据需要调整卷大小.
在WorkSpace上安装所有操作系统更新(Windows功能/版本更新除外)和所有应用程序更新.
有关更多信息,请参阅本主题开头的重要提示(p.
94).
从WorkSpace中删除不应该包含在捆绑包中的缓存数据(例如,浏览器历史记录、缓存文件和浏览器Cookie).
从WorkSpace中删除不应包含在捆绑中的配置设置(例如,电子邮件配置文件).
使用DHCP切换到动态IP地址设置.
确保您未超过区域中允许的WorkSpace映像配额.
默认情况下,每个区域允许您具有40个WorkSpace映像.
如果您已达到此配额,创建映像的新尝试将失败.
要请求增加配额,请使用AmazonWorkSpaces限制表单.
请确保您没有尝试从加密的WorkSpace创建映像.
当前不支持从加密的WorkSpace创建映像.
如果您在WorkSpace上运行任何防病毒软件,请在尝试创建映像时禁用该软件.
如果您在WorkSpace上启用了防火墙,请确保防火墙未阻止任何必要的端口.
有关更多信息,请参阅AmazonWorkSpaces的IP地址和端口要求(p.
15).
对于WindowsWorkSpaces,请勿在创建映像之前配置任何组策略对象(GPO).
对于WindowsWorkSpaces,请勿在创建映像之前自定义默认用户配置文件(C:\Users\Default).
我们建议通过GPOs对用户配置文件进行任何自定义,并在创建映像后应用它们.
GPOs可以很容易地进行修改或回滚,因此与对默认用户配置文件进行的自定义设置相比更不易出错.
对于LinuxWorkSpaces,另请参阅准备适用于Linux映像的AmazonWorkSpaces的最佳实践白皮书.
如果要在启用了WorkSpaces的情况下在LinuxWorkSpacesStreamingProtocol(WSP)beta上使用智能卡,请参阅使用智能卡进行身份验证(p.
70).
步骤1:运行映像检查程序Note映像检查程序仅适用于WindowsWorkSpaces.
如果要从LinuxWorkSpace创建映像,请跳至步骤2:创建自定义映像和自定义服务包(p.
102).
要确认您的WindowsWorkSpace满足映像创建的要求,我们建议运行映像检查程序.
映像检查程序对要用于创建映像的WorkSpace执行一系列测试,并提供有关如何解决它发现的任何问题的指导.
Important必须先通过映像检查程序运行的所有测试,然后才能将其用于创建映像.
WorkSpace在运行映像检查程序之前,请验证WorkSpace上是否安装了最新的Windows安全和累积更新.
映像检查程序不会检查Windows10WorkSpaces的用户配置文件大小.
如果您有Windows10WorkSpace,请确保用户配置文件大小小于10GB.
要获取映像检查程序,请执行以下操作之一:重启WorkSpace.
映像检查程序会在重启期间自动下载并安装在C:\ProgramFiles\Amazon\ImageChecker.
exe中.
从https://tools.
amazonworkspaces.
awsapps.
cn/BYOLChecker.
zip下载AmazonWorkSpaces映像检查程序并提取ImageChecker.
exe文件.
将此文件复制到C:\ProgramFiles\Amazon\.
运行映像检查程序1.
在Windows开始菜单上,选择Windows系统,然后选择命令提示符.
96AmazonWorkSpaces管理指南步骤1:运行映像检查程序2.
在命令提示符窗口中输入以下命令,一次输入一个命令,然后在输入每个命令后按Enter键.
c:cdC:\ProgramFiles\AmazonImageChecker.
exe3.
当询问"是否要允许此应用程序更改您的设备"时选择Yes(是).
4.
在AmazonWorkSpacesImageChecker(AmazonImageChecker)对话框中,选择Run(运行).
5.
每个测试完成后,您都可以查看测试的状态.
对于状态为FAILED(失败)的任何测试,请选择Info(信息)以显示有关如何解决导致失败的问题的信息.
有关如何解决这些问题的更多信息,请参阅解决映像检查程序检测到的问题的提示(p.
97).
如果任何测试显示了状态WARNING(警告),请选择FixAllWarnings(修复所有警告)按钮.
该工具在映像检查程序所在的同一目录中生成输出日志文件.
默认情况下,此文件位于C:\ProgramFiles\Amazon\ImageChecker_yyyyMMddhhmmss.
log中.
Tip请勿删除此日志文件.
如果出现问题,此日志文件可能有助于进行故障排除.
6.
适当时,请解决导致测试失败和警告的任何问题,然后重复运行映像检查程序的过程,直到WorkSpace通过所有测试.
在创建映像之前,必须先解决所有失败和警告.
7.
在WorkSpace通过所有测试后,您将看到ValidationSuccessful(验证成功)消息.
您现在已准备好创建自定义服务包.
解决映像检查程序检测到的问题的提示除了咨询以下提示以解决映像检查程序检测到的问题之外,请务必查看映像检查程序日志文件:C:\ProgramFiles\Amazon\ImageChecker_yyyyMMddhhmmss.
log.
必须安装PowerShell3.
0或更高版本安装最新版本的MicrosoftWindowsPowerShell.
Important必须设置PowerShell的WorkSpace执行策略以允许RemoteSigned脚本.
要检查执行策略,请运行Get-ExecutionPolicyPowerShell命令.
如果执行策略未设置为Unrestricted或RemoteSigned,请运行Set-ExecutionPolicy–ExecutionPolicyRemoteSigned命令以更改执行策略的值.
RemoteSigned设置允许在Amazon上执行脚本,这是创建映像所必需的.
WorkSpaces只可存在C和D驱动器只有C和D驱动器可以存在于用于映像的WorkSpace上.
删除所有其他驱动器,包括虚拟驱动器.
无法检测到由于Windows更新而挂起的重启在重启Windows以完成安装安全更新或累积更新之前,无法运行创建映像过程.
重启Windows以应用这些更新,并确保不需要安装任何其他挂起的Windows安全更新或累积更新.
已从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10的Windows10系统不支持映像创建.
但是,WorkSpaces映像创建过程支持Windows累积或安全更新.
Sysprep文件必须存在且不能为空如果您的Sysprep文件出现问题,请联系AWSSupportCenter以修复EC2Config或EC2Launch.
97AmazonWorkSpaces管理指南步骤1:运行映像检查程序用户配置文件大小必须小于10GB用户配置文件(D:\Users\username)的总大小必须小于10GB.
根据需要删除文件以减小用户配置文件的大小.
驱动器C必须有足够的可用空间驱动器C上必须至少有12GB的可用空间.
根据需要删除文件以释放驱动器C上的空间.
无法在域账户下运行任何服务要运行创建映像过程,WorkSpace上的任何服务都无法在域账户下运行.
所有服务必须在本地账户下运行.
在本地账户下运行服务1.
打开C:\ProgramFiles\Amazon\ImageChecker_yyyyMMddhhmmss.
log并查找在域账户下运行的服务列表.
2.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
3.
在LogOnAs(登录身份)下,查找在域账户下运行的服务.
(以本地系统、本地服务或网络服务身份运行的服务不会干扰映像创建.
)4.
选择在域账户下运行的服务,然后选择操作)、属性.
5.
打开LogOn(登录)选项卡.
在Logonas(登录身份)下,选择LocalSystemaccount(本地系统账户).
6.
选择OK(确定).
必须安装AmazonWorkSpacesApplicationManager(AmazonWAM)如果您已使用AmazonWAM将应用程序分配给用户,则必须在AmazonWAM上设置WorkSpace安装程序.
完成后,桌面上将显示AmazonWAM快捷方式.
WorkSpace必须配置为使用DHCPWorkSpace您必须将WorkSpace上的所有网络适配器配置为使用DHCP而不是静态IP地址.
将所有网络适配器设置为使用DHCP1.
在Windows搜索框中,输入controlpanel以打开控制面板.
2.
选择网络和Internet.
3.
选择网络和共享中心.
4.
选择更改适配器设置,然后选择适配器.
5.
选择更改此连接的设置.
6.
在网络选项卡上,选择Internet协议版本4(TCP/IPv4),然后选择属性.
7.
在Internet协议版本4(TCP/IPv4)属性对话框中,选择自动获取IP地址.
8.
选择OK(确定).
9.
对WorkSpace上的所有网络适配器重复此过程.
必须启用远程桌面服务创建映像过程需要启用远程桌面服务.
启用远程桌面服务1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到远程桌面服务.
3.
选择远程桌面服务,然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择手动或自动.
98AmazonWorkSpaces管理指南步骤1:运行映像检查程序5.
选择OK(确定).
用户配置文件必须存在您用于创建映像的WorkSpace必须具有用户配置文件(D:\Users\username).
如果此测试失败,请联系AWSSupportCenter寻求帮助.
必须正确配置环境变量路径本地计算机的环境变量路径缺少System32和WindowsPowerShell的条目.
这些条目是运行创建映像所必需的.
配置环境变量路径1.
在Windows搜索框中,输入environmentvariables,然后选择编辑系统环境变量.
2.
在系统属性对话框中,打开高级选项卡,然后选择环境变量.
3.
在环境变量对话框的系统变量下,选择路径条目,然后选择编辑.
4.
选择新建,然后添加以下路径:C:\Windows\System325.
再次选择新建,然后添加以下路径:C:\Windows\System32\WindowsPowerShell\v1.
0\6.
选择OK(确定).
7.
重启WorkSpace.
Tip项目在环境变量路径中显示的顺序至关重要.
要确定正确的顺序,您可能需要将WorkSpace的环境变量路径与新创建的WorkSpace或新Windows实例中的环境变量路径进行比较.
必须启用Windows模块安装程序创建映像过程要求启用Windows模块安装程序服务.
启用Windows模块安装程序服务1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到Windows模块安装程序.
3.
选择Windows模块安装程序,然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择手动或自动.
5.
选择OK(确定).
必须禁用AmazonSSM代理创建映像过程要求禁用AmazonSSM代理服务.
禁用AmazonSSM代理服务1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到AmazonSSM代理.
3.
选择AmazonSSM代理,然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择已禁用.
5.
选择OK(确定).
99AmazonWorkSpaces管理指南步骤1:运行映像检查程序必须启用SSL3和TLS1.
2版本要为Windows配置SSL/TLS,请参阅MicrosoftWindows文档中的如何启用TLS1.
2.
上只能存在一个用户配置文件WorkSpace上只能有一个用于创建映像的WorkSpaces用户配置文件(D:\Users\username).
WorkSpace删除不属于WorkSpace的目标用户的任何用户配置文件.
为了能够创建映像,您的WorkSpace上只能有三个用户配置文件:(WorkSpace)的目标用户的用户配置文件D:\Users\username默认用户配置文件(也称为默认配置文件)管理员用户配置文件如果有其他用户配置文件,则可以通过Windows控制面板中的高级系统属性将其删除.
删除用户配置文件1.
要访问高级系统属性,请执行以下操作之一:按Windows键+PauseBreak,然后在ControlPanel>SystemandSecurity>System对话框的左侧窗格中选择Advancedsystemsettings.
在Windows搜索框中,输入controlpanel.
在控制面板中,选择SystemandSecurity(系统和安全),然后选择System(系统和安全),然后在ControlPanel(控制面板)>SystemandSecurity(系统和安全)>System(系统)对话框的左侧窗格中选择Advancedsystemsettings(高级系统设置).
2.
在SystemProperties对话框的Advanced选项卡上,选择UserProfiles下的Settings.
3.
如果除了管理员配置文件、默认配置文件和目标WorkSpaces用户的配置文件以外列出了任何配置文件,请选择该额外配置文件,然后选择Delete(删除).
4.
当询问您是否要删除此配置文件时,请选择是.
5.
如有必要,请重复步骤3和4以删除不属于WorkSpace的任何其他配置文件.
6.
选择确定两次并关闭控制面板.
7.
重启WorkSpace.
所有AppX程序包都不能处于暂存状态一个或多个AppX程序包处于暂存状态.
这可能导致在映像创建过程中出现Sysprep错误.
删除所有暂存的AppX程序包1.
在Windows搜索框中,输入powershell.
选择RunasAdministrator(以管理员身份运行).
2.
当询问"你要允许此应用对你的设备进行更改吗"时,选择是.
3.
在WindowsPowerShell窗口中,输入以下命令以列出所有暂存的AppX程序包,然后在每个程序包后按Enter键.
$workSpaceUserName=$env:username$allAppxPackages=Get-AppxPackage-AllUsers$packages=$allAppxPackages|Where-Object{`(($_.
PackageUserInformation-like"*S-1-5-18*"-and!
($_.
PackageUserInformation-like"*$workSpaceUserName*"))-and`100AmazonWorkSpaces管理指南步骤1:运行映像检查程序($_.
PackageUserInformation-like"*Staged*"-or$_.
PackageUserInformation-like"*Installed*"))-or`((!
($_.
PackageUserInformation-like"*S-1-5-18*")-and$_.
PackageUserInformation-like"*$workSpaceUserName*")-and`$_.
PackageUserInformation-like"*Staged*")}4.
输入以下命令以删除所有暂存的AppX程序包,然后按Enter.
$packages|Remove-AppxPackage-ErrorActionSilentlyContinue5.
再次运行映像检查程序.
如果此测试仍失败,请输入以下命令来删除所有AppX程序包,然后在每个程序包后按Enter键.
Get-AppxProvisionedPackage-Online|Remove-AppxProvisionedPackage-Online-ErrorActionSilentlyContinueGet-AppxPackage-AllUsers|Remove-AppxPackage-ErrorActionSilentlyContinueWindows必须尚未从以前的版本升级已从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10的Windows系统不支持映像创建.
要创建映像,请使用尚未进行Windows功能/版本升级的WorkSpace.
Windows重置计数不得为0重置功能允许您延长Windows试用版的激活期.
创建映像过程要求重置计数为0以外的值.
检查Windows重置计数1.
在Windows开始菜单上,选择Windows系统,然后选择命令提示符.
2.
在命令提示符窗口中,键入以下命令,然后按Enter.
cscriptC:\Windows\System32\slmgr.
vbs/dlv要将重置计数重置为非0的值,请参阅MicrosoftWindows文档中的Sysprep(通用化)Windows安装.
其他故障排查技巧如果您的WorkSpace通过了映像检查程序运行的所有测试,但您仍无法从WorkSpace创建映像,请检查以下问题:确保未将WorkSpace分配给DomainGuests(域来宾)组中的用户.
要检查是否存在任何域账户,请运行以下PowerShell命令.
Get-WmiObject-ClassWin32_Service|Where-Object{$_.
StartName-like"*$env:USERDOMAIN*"}仅适用于Windows7WorkSpaces:如果在映像创建过程中复制用户配置文件时出现问题,请检查以下问题:长的配置文件路径可能会导致映像创建错误.
请确保用户配置文件中所有文件夹的路径少于261个字符.
确保将配置文件的文件夹的完全权限授予系统和所有应用程序包.
如果用户配置文件中的任何文件被进程锁定或在映像创建过程中正在使用,则复制配置文件时可能会失败.
101AmazonWorkSpaces管理指南步骤2:创建自定义映像和自定义服务包在Windows实例配置期间,某些组策略对象(GPO)将限制对EC2Config服务或EC2Launch脚本请求的RDP证书指纹的访问.
在尝试创建映像之前,请将WorkSpace移动到继承被阻止且未应用GPOs的新组织单位(OU).
请确保Windows远程管理(WinRM)服务配置为自动启动.
执行以下操作:1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到Windows远程管理(WS-Management).
3.
选择Windows远程管理(WS-Management),然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择自动.
5.
选择OK(确定).
步骤2:创建自定义映像和自定义服务包在验证WorkSpace映像后,您可以继续创建自定义映像和自定义服务包.
创建自定义映像和自定义服务包1.
如果您仍连接到WorkSpace,请断开连接.
2.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
3.
在导航窗格中,选择WorkSpaces.
4.
选择WorkSpace,然后选择Actions(操作)、CreateImage(创建映像).
5.
此时将显示一条消息,提示您重启(重新启动)WorkSpace,然后再继续.
重启WorkSpace会将AmazonWorkSpaces软件更新为最新版本.
关闭消息并按照WorkSpace中的步骤操作来重启重启WorkSpace(p.
82).
完成后,重复此过程的Step4(p.
102),但这次在出现重启消息时选择Next(下一步).
要创建映像,WorkSpace的状态必须为Available(可用),其修改状态必须为None(无).
6.
输入映像名称和有助于您识别映像的描述,然后选择创建映像.
在创建映像时,WorkSpace的状态为Suspended(暂停),WorkSpace不可用.
7.
在导航窗格中,选择Images.
当WorkSpace的状态更改为Available(可用)时,映像完成.
8.
选择映像,然后选择Actions、CreateBundle.
9.
输入服务包的名称和描述,然后执行以下操作:对于BundleType(捆绑类型),选择从此自定义捆绑包启动WorkSpaces时要使用的硬件.
对于RootVolumeSize(根卷大小),保留默认值或者输入等于或大于当前大小的新值.
然后,在用户卷大小中输入一个值.
根卷(对于MicrosoftWindows,为C驱动器;对于Linux,为/)和用户卷(对于Windows,为D驱动器;对于Linux,为/home)的默认可用大小如下所示:根:80GB,用户:10GB、50GB或100GB根:175GB,用户:100GB仅限对于Graphics和GraphicsProWorkSpaces:根:100GB,用户:100GB此外,您可以将根卷和用户卷分别扩展到最大2000GB.
Note为确保保留您的数据,启动WorkSpace后,无法减小根卷或用户卷的大小.
相反,请确保在启动WorkSpace时为这些卷指定最小大小.
您可以启动Value、Standard、Performance、Power或PowerProWorkSpace,根卷的最小大小为80GB,用户卷的最小大小为10GB.
您可以启动最低根卷容量为100GB、最低用户卷容量为100GB的Graphics或GraphicsProWorkSpace.
10.
选择创建服务包.
102AmazonWorkSpaces管理指南WindowsWorkSpaces自定义映像中包含的内容WindowsWorkSpaces自定义映像中包含的内容从Windows7或10WorkSpace创建映像时,将包括C驱动器的全部内容.
对于Windows10WorkSpaces,D:\Users\username中的用户配置文件未包含在自定义映像中.
对于Windows7WorkSpaces,将包含D:\Users\username中用户配置文件的全部内容,不过以下内容除外:联系人下载音乐图片已保存的游戏视频播客虚拟机虚拟机跟踪appdata\local\tempappdata\roaming\applecomputer\mobilesync\appdata\roaming\applecomputer\logs\appdata\roaming\applecomputer\itunes\iphonesoftwareupdates\appdata\roaming\macromedia\flashplayer\macromedia.
com\support\flashplayer\sys\appdata\roaming\macromedia\flashplayer\#sharedobjects\appdata\roaming\adobe\flashplayer\assetcache\appdata\roaming\microsoft\windows\recent\appdata\roaming\microsoft\office\recent\appdata\roaming\microsoftoffice\livemeetingappdata\roaming\microsoftshared\livemeetingshared\appdata\roaming\mozilla\firefox\crashreports\appdata\roaming\mcafee\commonframework\appdata\local\microsoft\feedscacheappdata\local\microsoft\windows\temporaryinternetfiles\appdata\local\microsoft\windows\history\appdata\local\microsoft\internetexplorer\domstore\appdata\local\microsoft\internetexplorer\imagestore\appdata\locallow\microsoft\internetexplorer\iconcache\appdata\locallow\microsoft\internetexplorer\domstore\appdata\locallow\microsoft\internetexplorer\imagestore\appdata\local\microsoft\internetexplorer\recovery\appdata\local\mozilla\firefox\profiles\AmazonLinux自定义映像中包含的内容WorkSpace从AmazonLinuxWorkSpace创建映像时,将删除用户卷(/home)中的整个内容.
删除内容中包括根卷(/)的内容,但以下文件夹和密钥除外:103AmazonWorkSpaces管理指南更新自定义服务包/tmp/var/spool/mail/var/tmp/var/lib/dhcp/var/lib/cloud/var/cache/var/backups/etc/sudoers.
d/etc/udev/rules.
d/70-persistent-net.
rules/etc/network/interfaces.
d/50-cloud-init.
cfg/etc/security/access.
conf/var/log/amazon/ssm/var/log/pcoip-agent/var/log/skylight/var/lock/.
skylight.
domain-join.
lock/var/lib/skylight/domain-join-status/var/lib/skylight/configuration-data/var/lib/skylight/config-data.
json/home在创建自定义映像期间将销毁以下密钥:/etc/ssh/ssh_host_*_key/etc/ssh/ssh_host_*_key.
pub/var/lib/skylight/tls.
*/var/lib/skylight/private.
key/var/lib/skylight/public.
key更新自定义WorkSpaces服务包您可以更新现有的自定义WorkSpaces服务包,方法是修改基于该服务包的WorkSpace,从WorkSpace创建映像,然后使用新映像更新该服务包.
然后,您可以使用更新后的服务包启动新的WorkSpaces.
Important当您更新现有WorkSpaces所基于的捆绑包时,不会自动更新这些捆绑包.
要更新基于您已更新的捆绑的现有WorkSpaces,您必须重建WorkSpaces或删除并重新创建它们.
更新服务包1.
连接到基于该捆绑包的WorkSpace,然后进行所需的更改.
例如,您可以应用最新的操作系统和应用程序修补程序并安装其他应用程序.
或者,您可以使用与用于创建捆绑包的映像相同的基本软件包(Plus或Standard)创建新的WorkSpace,然后进行更改.
2.
如果您仍连接到WorkSpace,请断开连接.
3.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
4.
在导航窗格中,选择WorkSpaces.
5.
选择WorkSpace,然后选择Actions(操作)、CreateImage(创建映像).
104AmazonWorkSpaces管理指南复制自定义映像6.
输入映像名称和描述,然后选择创建映像.
在创建映像时,WorkSpace不可用.
7.
在导航窗格中,选择Bundles.
8.
选择服务包,然后选择Actions、UpdateBundle.
9.
对于UpdateWorkSpaceBundle,选择您创建的映像,然后选择UpdateBundle.
10.
根据需要,通过重新生成WorkSpaces或者删除并重新创建基于捆绑包的任何现有WorkSpaces来更新它们.
有关更多信息,请参阅重建WorkSpace(p.
82).
复制自定义WorkSpaces映像您可以在WorkSpaces区域内或跨AWS区域复制自定义映像.
复制映像将导致创建完全相同的映像(具有其自己的唯一标识符).
只要另一个区域已启用自带许可(BYOL),您就可以将BYOL映像复制到目标区域.
Note在中国(宁夏)区域中,您只能在同一区域内复制映像.
在AWSGovCloud(美国西部)区域中,要将映像复制到其他AWS区域以及从中复制映像,请联系AWSSupport.
您还可以复制已由另一个AWS账户与您共享的映像.
有关共享映像的更多信息,请参阅共享或取消共享自定义WorkSpaces映像(p.
106).
在区域内或跨区域复制映像不收取额外费用.
但需遵循目标区域中的映像数量配额.
有关AmazonWorkSpaces配额的更多信息,请参阅AmazonWorkSpaces配额(p.
157).
用于复制映像的IAM权限如果您使用IAM用户复制映像,则该用户必须具有workspaces:DescribeWorkspaceImages和workspaces:CopyWorkspaceImage的权限.
以下示例策略允许用户将指定的映像复制到指定区域中的指定账户.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:DescribeWorkspaceImages","workspaces:CopyWorkspaceImage"],"Resource":["arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg"]}]}有关使用IAM的更多信息,请参阅适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
133).
复制映像您可以使用控制台逐个复制映像.
要批量复制映像,请使用CopyWorkspaceImageAPI操作或AWS命令行界面(CLI)中的copy-workspace-image命令.
有关更多信息,请参阅CopyWorkspaceImage中的或AmazonWorkSpacesAPI参考中的copy-workspace-image.
AWSCLICommandReference105AmazonWorkSpaces管理指南共享或取消共享自定义映像Important在复制共享映像之前,请确保已从正确的AWS账户共享该映像.
要确定是否已共享映像并查看拥有映像的AWS账户ID,请使用CLI中的DescribeWorkSpaceImages和DescribeWorkspaceImagePermissionsAPI操作或describe-workspace-images和describe-workspace-image-permissionsAWS命令.
使用控制台复制映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
选择映像,然后选择Actions、CopyImage.
4.
为复制的映像提供名称、描述和区域信息,然后选择CopyImage.
共享或取消共享自定义WorkSpaces映像您可以在同一WorkSpaces区域内的AWS账户之间共享自定义AWS映像.
在共享映像后,接收人账户可以根据需要将该映像复制到其他AWS区域.
有关复制映像的更多信息,请参阅复制自定义WorkSpaces映像(p.
105).
Note在中国(宁夏)区域中,您只能在同一区域内复制映像.
在AWSGovCloud(美国西部)区域中,要向其他AWS区域复制映像和从中复制映像,请联系AWSSupport.
共享映像不会产生额外费用.
但是,AWS区域中映像数量的配额适用.
在收件人复制映像之前,共享映像不计入收件人账户的配额.
有关AmazonWorkSpaces配额的更多信息,请参阅AmazonWorkSpaces配额(p.
157).
要删除共享映像,您必须先取消共享映像,然后才能将其删除.
共享自带许可映像您只能与已启用BYOL的AWS账户共享自带许可(BYOL)映像.
您希望与之共享BYOL映像的AWS账户也必须是您组织的一部分(在同一付款人账户下).
Note在AWS区域中,目前不支持跨AWSGovCloud(US-West)账户共享BYOL映像.
要跨AWSGovCloud(US-West)区域中的账户共享BYOL映像,请联系AWSSupport.
与您共享的映像如果与您共享了映像,您可以复制映像.
然后,您可以使用共享映像的副本来创建包以启动新的WorkSpaces.
Important在复制共享映像之前,请确保已从正确的AWS账户共享该映像.
要以编程方式确定是否已共享映像,请使用命令行界面(CLI)中的DescribeWorkSpaceImages和DescribeWorkspaceImagePermissionsAPI操作或describe-workspace-images和describe-workspace-image-permissions命令.
AWS与您共享的映像的创建日期是最初创建映像的日期,而不是与您共享映像的日期.
如果已与您共享映像,则您无法与其他账户进一步共享该映像.
共享映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
106AmazonWorkSpaces管理指南删除自定义捆绑包或映像2.
在导航窗格中,选择Images.
3.
选择映像,然后选择Actions、Viewdetails.
4.
在映像详细信息页面的Sharedaccounts(共享账户)部分中,选择Addaccount(添加账户).
5.
在Addaccount页面上的Addaccounttosharewith下,输入要与之共享映像的账户的账户ID.
Important在共享映像之前,请确认您共享到正确的AWS账户ID.
6.
选择Shareimage(共享映像).
停止共享映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
选择映像,然后选择Actions、Viewdetails.
4.
在映像详细信息页面的Sharedaccounts(共享账户)部分中,选择要停止与之共享的AWS账户,然后选择Unshare(取消共享).
5.
当系统提示您确认取消共享映像时,选择Unshare(取消共享).
Note如果要在取消共享映像后将其删除,则必须先从已与之共享映像的所有账户中取消共享映像.
在停止共享映像后,接收人账户无法再复制映像.
但是,已经在接收者账户中的共享映像的任何副本仍保留在该账户中,并且可以从这些副本启动新的WorkSpaces.
以编程方式共享或取消共享映像要以编程方式共享或取消共享映像,请使用UpdateWorkspaceImagePermissionAPI操作或update-workspace-image-permissionAWS命令行界面(CLI)命令.
要确定是否已共享映像,请使用DescribeWorkspaceImagePermissionsAPI操作或describe-workspace-image-permissionsCLI命令.
删除自定义WorkSpaces服务包或映像如果需要,您可以删除未使用的自定义服务包.
如果您删除正在由WorkSpace使用的某个服务包,则该服务包将被放在删除队列中,并且在基于该服务包的所有WorkSpaces都被删除后删除.
删除服务包1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Bundles.
3.
选择服务包,然后选择Actions、DeleteBundle.
4.
当系统提示您确认时,选择DeleteBundle.
在删除自定义服务包后,可以删除用于创建或更新该服务包的映像.
删除映像Note要删除映像,您必须首先删除与该映像关联的所有服务包,如果与其他账户共享该映像,则取消共享.
此外,映像不能处于PENDING或VALIDATING状态.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
107AmazonWorkSpaces管理指南自带Windows桌面许可证2.
在导航窗格中,选择Images.
3.
选择映像,然后选择Actions、DeleteImage.
4.
当系统提示您确认时,选择DeleteImage.
自带Windows桌面许可证如果您与Microsoft签订的许可协议允许使用此类映像,则可以为WorkSpace使用Windows10企业版或Windows10专业版桌面许可证.
为此,您必须自带许可(BYOL)并提供满足以下要求的Windows10许可证.
为了遵守Microsoft许可条款,AWS在AWS云中专供您使用的硬件上运行BYOLWorkSpace.
通过提供您自己的许可证,您可以为用户提供一致的体验.
有关更多信息,请参阅AmazonWorkSpaces定价.
Important已从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10的Windows10系统不支持映像创建.
但是,Windows累积更新或安全更新由WorkSpaces映像创建过程支持.
要开始使用,请打开AmazonWorkSpaces控制台,然后选择AccountSettings(账户设置)为您的账户启用BYOL.
内容Requirements(p.
108)支持BYOL的Windows版本(p.
109)将MicrosoftOffice添加到您的BYOL图像(p.
109)第1步:使用为您的帐户启用BYOLAmazonWorkSpaces控制台(p.
112)第2步:在WindowsVM上运行BYOLCheckerPowerShell脚本(p.
113)第3步:从虚拟化环境中导出VM(p.
114)第4步:将VM作为图像导入AmazonEC2(p.
114)第5步:使用创建一个BYOL图像AmazonWorkSpaces控制台(p.
114)第6步:从BYOL图像创建自定义捆绑组合(p.
115)第7步:注册专用工作区目录(p.
115)第8步:启动您的BYOL工作区(p.
116)Requirements在开始之前,请验证以下几点:您的Microsoft许可协议是否允许Windows在虚拟托管环境中运行.
如果您将使用非启用GPU的捆绑包(除了Graphics和GraphicsPro以外的捆绑包),请验证您将使用至少200AmazonWorkSpaces每个地区.
这200个WorkSpace可以是AlwaysOn和AutoStopWorkSpace的任意组合.
每个区域至少使用200个工作区是运行AmazonWorkSpaces专用硬件.
在专用硬件上运行您的AmazonWorkSpaces需要符合Microsoft许可要求.
专用硬件在AWS端预配置,因此您的VPC可以保持默认租赁状态.
如果您计划使用启用GPU(Graphics和GraphicsPro)的捆绑包,请验证您在专用硬件上每个月在一个区域中是否至少会运行4个AlwaysOn或20个AutoStop支持GPU的WorkSpace.
AmazonWorkSpaces可以在/16IP地址范围内使用管理接口.
管理接口连接到一个用于交互式流式传输的安全AmazonWorkSpaces管理网络.
这样可允许AmazonWorkSpaces管理您的WorkSpace.
有关更多信息,请参阅网络接口(p.
18).
您必须至少从以下IP地址范围之一保留/16子网掩码用于此目的:10.
0.
0.
0/8100.
64.
0.
0/10108AmazonWorkSpaces管理指南支持BYOL的Windows版本172.
16.
0.
0/12192.
168.
0.
0/16198.
18.
0.
0/15Note在采用WorkSpaces服务时,可用的管理接口IP地址范围经常会发生变化.
要确定当前可用的范围,请运行list-available-management-cidr-rangesAWSCommandLineInterface(AWSCLI)命令.
您有一台运行受支持的64位版Windows的虚拟机(VM).
有关受支持版本的列表,请参阅本主题中的下一节支持BYOL的Windows版本(p.
109).
VM还必须满足以下要求:Windows操作系统必须对密钥管理服务器激活.
Windows操作系统必须将English(UnitedStates)(英语(美国))作为主要语言.
无法在VM上安装Windows附带的软件之外的软件.
您可以在稍后创建自定义映像时添加其他软件(如防病毒解决方案).
在创建映像之前,请勿自定义默认用户配置文件(C:\Users\Default)或进行其他自定义设置.
所有自定义都应在映像创建后进行.
我们建议通过组策略对象(GPO)对用户配置文件进行任何自定义,并在创建映像后应用它们.
这是因为通过GPO进行的自定义设置可以很容易地进行修改或回滚,并且与对默认用户配置文件进行的自定义设置相比更不易出错.
在共享映像之前,您必须创建具有本地管理员访问权限的WorkSpaces_BYOL账户.
稍后可能需要此账户的密码,因此请记下它.
VM必须位于最大大小为70GB且可用空间至少为10GB的单个卷上.
如果您还计划为BYOL图像订阅MicrosoftOffice,则VM必须位于单个卷上,最大尺寸为70GB,可用空间至少为20GB.
VM必须运行WindowsPowerShell版本4或更高版本.
在本主题后面的步骤2(p.
113)中运行BYOL检查程序PowerShell脚本之前,请确保您已安装最新的MicrosoftWindows补丁.
支持BYOL的Windows版本您的VM必须运行以下Windows版本之一:Windows10版本1803(2018年4月更新)Windows10版本1809(2018年10月更新)Windows10版本1903(2019年5月更新)Windows10版本1909(2019年11月更新)Windows102004版(2020年5月更新)所有受支持的操作系统版本都支持您使用WorkSpaces时所在AWS区域中可用的所有计算类型.
不再受Microsoft支持的Windows版本不能保证正常工作,也不受AWSSupport支持.
将MicrosoftOffice添加到您的BYOL图像在BYOL图像摄取过程中,如果您使用的是Windows10,您可以选择通过AWS订阅MicrosoftOfficeProfessional2016(32位)或2019(64位).
如果您选择此选项,Office将预装在BYOL图像中,并包含在您从此图像启动的任何工作区中.
如果您选择通过AWS订阅Office,将收取额外费用.
有关更多信息,请参阅AmazonWorkSpaces定价.
Important如果MicrosoftOffice已安装在用于创建BYOL映像的VM上,如果要通过AWS订阅Office,则必须从VM卸载该映像.
109AmazonWorkSpaces管理指南将MicrosoftOffice添加到您的BYOL图像如果您计划通过AWS订阅Office,请确保VM至少有20GB的可用磁盘空间.
如果您选择订阅Office,BYOL图像摄取过程至少需要3小时.
有关在BYOL摄入过程中订阅Office的详细信息,请参阅第5步:使用创建一个BYOL图像AmazonWorkSpaces控制台(p.
114).
办公室语言设置我们根据AWS执行BYOL图像摄入的区域.
例如,如果您在亚太区域(东京),您的Office订阅使用日语作为其语言.
默认情况下,我们会在您的WorkSpaces上安装许多常用的Office语言包.
如果未安装所需的语言包,您可以从Microsoft下载其他语言包.
有关更多信息,请参阅办公室语言配件包在Microsoft文档中.
要更改Office的语言,您有几个选项:选项1:允许个人用户在其工作区中自定义其Office语言设置(p.
110)选项2:使用GPO管理模板(.
admx/.
adml)为所有WorkSpaces用户执行默认的Office语言设置(p.
110)选项3:更新工作区中的Office语言注册项设置(p.
111)有关使用Office语言设置的详细信息,请参阅自定义Office的语言设置和设置在Microsoft文档中.
选项1:允许个人用户自定义其Office语言设置个人用户可以在其WorkSpaces上调整Office语言设置.
有关更多信息,请参阅在Office中添加编辑或编写语言或设置语言首选项在Microsoft文档中.
选项2:使用GPO管理模板(.
admx/.
adml)为所有WorkSpaces用户执行默认的Office语言设置您可以使用组策略对象(GPO)设置来为WorkSpaces用户执行默认的Office语言设置.
Note您的WorkSpaces用户将无法覆盖通过GPO执行的语言设置.
有关使用GPO为Office设置语言的更多信息,请参阅自定义Office的语言设置和设置在Microsoft文档中.
Office2016和Office2019使用相同的GPO设置(标记为Office2016).
要使用GPO,您必须安装ActiveDirectory管理工具.
有关使用ActiveDirectory管理工具处理GPO的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
在配置Office2016或Office2019策略设置之前,必须下载Office的管理模板文件(.
admx/.
adml)从Microsoft下载中心.
下载管理模板文件后,您必须添加office16.
admx和office16.
adml文件到WorkSpaces目录的域控制器的CentralStore.
(office16.
admx和office16.
adml文件适用于Office2016和Office2019.
)有关使用的更多信息.
admx和.
adml文件,请参阅如何在Windows中创建和管理GroupPolicyAdministrativeTemplates的CentralStore在Microsoft文档中.
以下操作流程描述了如何创建CentralStore并添加管理模板文件.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上执行以下步骤.
要为Office安装组策略管理模板文件1.
下载Office的管理模板文件(.
admx/.
adml)从Microsoft下载中心.
2.
在目录管理工作区或AmazonEC2添加到WorkSpaces目录的实例,导航到域的共享网络文件夹.
此文件夹将包含组织的完全限定域名(FQDN),例如\\example.
com.
在Windows文件资源管理器中,转到网络>的FQDN.
3.
打开SYSVOL文件夹.
4.
打开文件夹,使用FQDN名称.
5.
打开Policies文件夹.
您现在应该\\FQDN\SYSVOL\FQDN\Policies.
110AmazonWorkSpaces管理指南将MicrosoftOffice添加到您的BYOL图像6.
如果它不存在,请创建一个名为PolicyDefinitions.
7.
打开PolicyDefinitions文件夹.
8.
复制office16.
admx归档到\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions文件夹.
9.
创建名为的文件夹en-US在PolicyDefinitions文件夹.
10.
打开en-US文件夹.
11.
复制office16.
adml归档到\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-US文件夹.
要为Office配置GPO语言设置1.
在您的目录管理中,WorkSpace或AmazonEC2添加到WorkSpaces目录的实例,打开组策略管理工具(gpmc.
msc).
2.
展开森林(森林:FQDN).
3.
展开域.
4.
展开您的FQDN(例如,example.
com).
5.
选择您的FQDN,打开上下文(右键单击)菜单或打开操作菜单,然后选择在此域中创建GPO,并在此处链接.
6.
命名您的GPO(例如,Office).
7.
选择您的GPO,打开上下文(右键单击)菜单或打开操作菜单,然后选择编辑.
8.
在组策略管理编辑器中,选择用户配置,政策,从本地计算机检索到管理模板策略定义(ADMX文件),微软Office2016,和语言首选项.
NoteOffice2016和Office2019使用相同的GPO设置(标记为Office2016).
如果您看不到从本地计算机检索到管理模板策略定义(ADMX文件)低于用户配置,政策,office16.
admx和office16.
adml文件未正确安装在域控制器上.
9.
低于语言首选项,请为以下设置指定所需的语言.
确保将每种设置设置为已启用,然后低于选项,选择您想要的语言.
选择好的保存每个设置.
显示语言>的显示中的帮助显示语言>的显示菜单和对话框编辑语言>的主编辑语言10.
完成后关闭GroupPolicyManagement工具.
11.
组策略设置更改在WorkSpace的下一个组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
选项3:更新工作区中的Office语言注册项设置要通过注册项设置Office语言设置,请更新以下注册项设置:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.
0\通用\语言资源\UIL语言HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.
0\通用\语言资源\帮助语言对于这些设置,请添加具有适当的Office区域设置ID(LCID)的DWORD键值.
例如,英语(美国)的LICD是1033.
由于LICD是十进制值,您必须设置基地DWORD值选项十进制.
有关办事处的LIC列表,请参阅Office2016中的语言标识符和OptionStateID值在Microsoft文档中.
111AmazonWorkSpaces管理指南第1步:使用为您的帐户启用BYOLAmazonWorkSpaces控制台您可以通过GPO设置或登录脚本将这些注册表设置应用于您的工作区.
将办公室添加到现有BYOL工作区您还可以将Office的订阅添加到现有的BYOLWorkSpaces.
在安装了Office的情况下创建BYOL捆绑包后,您可以使用WorkSpaces迁移功能将现有的BYOLWorkSpaces迁移到订阅Office的BYOL捆绑包.
有关更多信息,请参阅迁移WorkSpace(p.
89).
在MicrosoftOffice版本之间迁移要从Office2016迁移到Office2019或从Office2019迁移到Office2016,您必须创建一个订阅到要迁移到的Office版本的BYOL捆绑包.
然后,您可以使用WorkSpaces迁移功能将已订阅Office的现有BYOLWorkSpaces迁移到已订阅要迁移到的Office版本的BYOL捆绑包.
例如,要从Office2016迁移到Office2019,请创建一个订阅Office2019的BYOL捆绑包.
然后使用WorkSpaces迁移功能将已订阅Office2016的现有BYOLWorkSpaces迁移到已订阅Office2019的BYOL捆绑包.
有关迁移过程的更多信息,请参阅迁移WorkSpace(p.
89).
从Office取消订阅要取消订阅Office,您必须创建一个未订阅Office的BYOL捆绑包.
然后使用WorkSpaces迁移功能将现有的BYOLWorkSpaces迁移到未订阅Office的BYOL捆绑包.
有关更多信息,请参阅迁移WorkSpace(p.
89).
办公室更新如果您已通过AWS订阅Office,则Office更新将包含在您的常规Windows更新中.
要了解所有安全补丁和更新的最新动态,我们建议您定期更新您的BYOL基本图像.
第1步:使用为您的帐户启用BYOLAmazonWorkSpaces控制台要为您的账户启用BYOL,必须指定一个管理网络接口.
此接口已连接到安全的AmazonWorkSpaces管理网络.
它用于将WorkSpace桌面以交互方式流式传输到AmazonWorkSpaces客户端,并允许AmazonWorkSpaces管理WorkSpace.
Note此过程中为账户启用BYOL的步骤只需在每个区域为每个账户执行一次.
使用AmazonWorkSpaces控制台为账户启用BYOL1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择AccountSettings(账户设置).
如果您的账户当前不符合BYOL的条件,将有一条消息提供后续步骤的指导.
3.
在BringYourOwnLicense(BYOL)(自带许可(BYOL))下的ManagementnetworkinterfaceIPaddressrange(管理网络接口IP地址范围)区域中,选择IP地址范围,然后选择DisplayavailableCIDRblocks(显示可用的CIDR块).
AmazonWorkSpaces将在您指定的范围内搜索可用的IP地址范围并将其显示为IPv4无类别域间路由(CIDR)块.
如果您需要特定IP地址范围,可以编辑搜索范围.
Important指定IP地址范围后,您不能对其进行修改.
请务必指定与您内部网络使用的范围不冲突的IP地址范围.
如果您对指定哪个范围有任何疑问,请在继续操作之前联系您的AWS客户经理或销售代表,或联系AWSSupportCenter.
4.
从结果列表中选择所需的CIDR块,然后选择EnableBYOL(启用BYOL).
112AmazonWorkSpaces管理指南第2步:在WindowsVM上运行BYOLCheckerPowerShell脚本此过程可能耗时数小时.
当AmazonWorkSpaces为您的账户启用BYOL时,请继续执行下一步.
第2步:在WindowsVM上运行BYOLCheckerPowerShell脚本为您的账户启用BYOL后,您必须确认您的VM满足BYOL的要求.
要执行此操作,请执行以下步骤来下载并运行AmazonWorkSpacesBYOL检查程序PowerShell脚本.
该脚本将对您计划用于创建映像的VM执行一系列测试.
ImportantVM必须先通过所有测试,然后您才能将其用于BYOL.
下载BYOL检查程序脚本在下载并运行BYOL检查程序脚本之前,请验证是否在VM上安装了最新的Windows安全更新.
此脚本在运行时会禁用Windows更新服务.
1.
从https://tools.
amazonworkspaces.
awsapps.
cn/BYOLChecker.
zip将BYOL检查程序脚本.
zip文件下载到您的Downloads文件夹.
2.
在Downloads文件夹中,创建一个BYOL文件夹.
3.
从BYOLChecker.
zip中提取文件并将其复制到Downloads\BYOL文件夹.
4.
删除Downloads\BYOLChecker.
zip文件夹,以便仅保留提取的文件.
执行以下步骤以运行BYOL检查程序脚本.
运行BYOL检查程序脚本1.
在Windows桌面上,打开WindowsPowerShell.
选择WindowsStart按钮,右键单击WindowsPowerShell,然后选择Runasadministrator(以管理员身份运行).
如果用户账户控制提示您选择是否希望PowerShell更改您的设备,请选择Yes(是).
2.
在PowerShell命令提示符处,转至BYOL检查程序脚本所在的目录.
例如,如果脚本位于Downloads\BYOL目录,输入以下命令,然后按输入:cdC:\Users\username\Downloads\BYOL3.
输入以下命令以在计算机上更新PowerShell执行策略.
这样做将允许BYOL检查程序脚本运行:Set-ExecutionPolicyUnrestricted4.
当系统提示您确认是否要更改PowerShell执行策略时,请输入A以便为所有项指定"Yes(是)".
5.
输入以下命令以运行BYOL检查程序脚本:.
\BYOLChecker.
ps16.
如果有安全通知出现,请按R键以运行一次.
7.
在AmazonWorkSpacesImageValidation(AmazonWorkSpaces映像验证)对话框中,选择BeginTests(开始测试).
8.
每个测试完成后,您都可以查看测试的状态.
对于状态为FAILED(失败)的任何测试,请选择Info(信息)以显示有关如何解决导致失败的问题的信息.
如果任何测试显示了状态WARNING(警告),请选择FixAllWarnings(修复所有警告)按钮.
9.
适当时,请解决导致测试故障和警告的任何问题,然后重复Step7(p.
113)和Step8(p.
113),直到VM通过所有测试.
您在导出VM之前必须解决所有故障和警告.
10.
BYOL脚本检查器生成两个日志文件,BYOLPrevalidationlogYYYY-MM-DD_HHmmss.
txt和ImageInfo.
text.
这些文件位于包含BYOLChecker脚本文件的目录中.
113AmazonWorkSpaces管理指南第3步:从虚拟化环境中导出VMTip请勿删除这些文件.
出现问题时,它们可能有助于解决问题.
11.
如果您的VM通过了所有测试,您将收到ValidationSuccessful(验证成功)消息.
检查该工具中显示的VM区域设置.
要更新区域设置,请遵循Microsoft文档中的这些说明,然后再次运行BYOL检查程序脚本.
12.
关闭VM并创建它的快照.
13.
再次启动VM.
选择RunSysprep(运行Sysprep).
如果Sysprep成功,您在Step12(p.
114)之后导出的VM可以导入到AmazonElasticComputeCloud(AmazonEC2)中.
否则,请查看Sysprep日志,回滚到Step12(p.
114)中拍摄的快照,解决报告的问题,拍摄新的快照,然后再次运行BYOL检查程序脚本.
Sysprep失败的最常见原因是未针对所有用户卸载现代AppX程序包.
使用Remove-AppxPackagePowerShellcmdlet删除AppX程序包.
14.
成功创建映像后,您可以删除WorkSpaces_BYOL账户.
第3步:从虚拟化环境中导出VM要为BYOL创建映像,您必须先将VM从虚拟化环境中导出.
VM必须位于最大大小为70GB且可用空间至少为10GB的单个卷上.
有关更多信息,请参阅您的虚拟化环境和从虚拟化环境中导出VM在VM导入/导出用户指南.
第4步:将VM作为图像导入AmazonEC2在导出VM后,请查看从VM导入Windows操作系统的要求.
根据需要执行操作.
有关更多信息,请参阅VMImport/Export要求.
Note不支持导入带有加密磁盘的VM.
如果您已选择为AmazonElasticBlockStore(人AmazonEBS卷,您必须在导入VM之前取消选择该选项.
将VM作为Amazon系统映像(AMI)导入AmazonEC2.
使用以下方法之一:通过AWSCLI使用import-image命令.
有关更多信息,请参阅导入图像在AWSCLICommandReference.
使用ImportImageAPI操作.
有关更多信息,请参阅导入图像在AmazonEC2APIReference.
有关更多信息,请参阅将VM导入为图像在VM导入/导出用户指南.
第5步:使用创建一个BYOL图像AmazonWorkSpaces控制台执行以下步骤以创建AmazonWorkSpacesBYOL映像.
Note要执行此过程,请验证您具有AWSIdentityandAccessManagement(IAM)权限以:调用AmazonWorkSpacesImportWorkspaceImage.
对要用于创建BYOL映像的AmazonEC2映像调用AmazonEC2DescribeImages.
对要用于创建BYOL映像的AmazonEC2映像调用AmazonEC2ModifyImageAttribute.
114AmazonWorkSpaces管理指南第6步:从BYOL图像创建自定义捆绑组合有关更多信息,请参阅更改IAM用户的权限在IAM用户指南.
要从映像创建Graphics或GraphicsPro捆绑包,请联系AWSSupportCenter以将您的账户添加到允许列表.
当您的账户位于允许列表之后,就可以使用AWSCLIimport-workspace-image命令来提取Graphics或GraphicsPro映像.
有关更多信息,请参阅导入工作区图像在AWSCLICommandReference.
从WindowsVM创建映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
依次选择Actions(操作)和CreateBYOLImage(创建BYOL映像).
4.
在CreateBYOLImage(创建BYOL映像)对话框中,执行以下操作:对于AMIID(AMIID),单击EC2控制台链接,然后选择AmazonEC2之前一节中所描述的导入的图像(第4步:将VM作为图像导入AmazonEC2(p.
114)).
映像名称必须以ami-开头并后跟AMI的标识符(例如,ami-1234567e).
对于BYOLimagename(BYOL映像名称),请输入映像的唯一名称.
对于Imagedescription(映像描述),请输入一个描述以帮助您快速识别映像.
对于Ingestionprocess(提取过程),请选择适当的捆绑包类型(Regular(常规)、Graphics(图形)或GraphicsPro).
对于未启用GPU的捆绑包(Graphics或GraphicSpro以外的捆绑包),请选择Regular(常规).
(可选)适用于应用,选择您要订阅的MicrosoftOffice版本.
有关更多信息,请参阅将MicrosoftOffice添加到您的BYOL图像(p.
109).
5.
选择创建.
创建映像时,控制台的映像注册表中的映像状态将显示为Pending(待处理).
BYOL摄入过程至少需要90分钟.
如果您也已订阅Office,则预期此过程至少需要3小时.
如果映像验证不成功,控制台将显示一条错误代码.
当映像创建完成时,状态将更改为Available(可用).
第6步:从BYOL图像创建自定义捆绑组合创建BYOL映像后,您可以使用该映像创建一个自定义捆绑包.
有关信息,请参阅创建自定义WorkSpaces映像和服务包(p.
94).
第7步:注册专用工作区目录要对WorkSpaces使用BYOL映像,您必须专门注册一个目录.
为此,请执行以下步骤.
为专用WorkSpaces注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后依次选择Actions(操作)和Register(注册).
4.
在Registerdirectory(注册目录)对话框中,对于EnableDedicatedWorkSpaces(启用专用WorkSpaces),选择Yes(是).
5.
选择Register.
如果您已经注册了一个AWSManagedMicrosoftAD目录或ADConnector在专用硬件上不运行的WorkSpaces的目录,您可以设置新的AWSManagedMicrosoftAD或ADConnector目录.
您也可以取消注册该目录,然后将其注册为专用WorkSpaces的目录.
为此,请执行以下步骤.
115AmazonWorkSpaces管理指南第8步:启动您的BYOL工作区Note仅当没有该目录关联的WorkSpaces时,您才能执行此过程.
为专用WorkSpaces取消注册并重新注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
终止现有WorkSpaces.
3.
在导航窗格中,选择Directories.
4.
选择目录,然后选择Actions、Deregister.
5.
当系统提示您确认时,选择Deregister(取消注册).
6.
再次选择目录,然后依次选择Actions(操作)和Register(注册).
7.
在Registerdirectory(注册目录)对话框中,对于EnableDedicatedWorkSpaces(启用专用WorkSpaces),选择Yes(是).
8.
选择Register.
第8步:启动您的BYOL工作区为专用WorkSpaces注册目录后,您可以在此目录中启动BYOLWorkSpaces.
有关如何启动WorkSpaces的信息,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
43).
116AmazonWorkSpaces管理指南使用CloudWatch指标监控监控您的WorkSpaces您可以使用以下功能监控您的WorkSpaces.
CloudWatch指标AmazonWorkSpaces将数据点发布到有关AmazonCloudWatch的WorkSpaces.
利用CloudWatch,您可以按一组有序的时间序列数据(称为指标)来检索关于这些数据点的统计数据.
您可以使用这些指标来验证您的WorkSpaces是否按预期运行.
有关更多信息,请参阅使用WorkSpaces指标监控您的CloudWatch(p.
117).
CloudWatch事件AmazonWorkSpaces可以在用户登录您的AmazonCloudWatchEvents时向WorkSpace提交事件.
这使您能够在事件发生时进行响应.
有关更多信息,请参阅使用WorkSpaces监控您的CloudWatchEvents(p.
120).
CloudTrail日志AWSCloudTrail提供用户、角色或AWS服务在AmazonWorkSpaces中执行的操作记录.
利用CloudTrail收集的信息,您可以确定向AmazonWorkSpaces发出了什么请求、发出请求的IP地址、何人发出的请求、请求的发出时间以及其他详细信息.
有关更多信息,请参阅使用CloudTrail记录AmazonWorkSpacesAPI调用.
使用WorkSpaces指标监控您的CloudWatchAmazonWorkSpaces和AmazonCloudWatch均为集成式,因此您可收集并分析性能指标.
您可以使用CloudWatch控制台、CloudWatch命令行界面或者以编程方式使用CloudWatchAPI来监控这些指标.
您还可以使用CloudWatch设置警报,让系统在达到某指标的指定阈值时提醒您.
有关更多使用CloudWatch和警报的信息,参阅AmazonCloudWatch用户指南.
Prerequisites要获取CloudWatch指标,请在cn-northwest-1区域的AMAZON子网的端口443上启用访问.
有关更多信息,请参阅AmazonWorkSpaces的IP地址和端口要求(p.
15).
内容AmazonWorkSpaces指标(p.
117)AmazonWorkSpaces指标的维度(p.
118)监控示例(p.
119)AmazonWorkSpaces指标AWS/WorkSpaces命名空间包括以下指标.
指标Description维度可用统计数据单位Available1返回正常运行状态的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountUnhealthy1返回不正常运行状态的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCount117AmazonWorkSpaces管理指南AmazonWorkSpaces指标的维度指标Description维度可用统计数据单位ConnectionAttempt2,连接尝试次数.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountConnectionSuccess2,成功连接的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountConnectionFailure2,失败连接的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountSessionLaunchTime2,启动WorkSpaces会话所需的时间量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples秒(时间)InSessionLatency2客户端和WorkSpaces之间的往返时间.
WorkSpaceDirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples毫秒(时间)SessionDisconnect2,已关闭的连接数,包括用户启动的和失败的连接.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountUserConnected3-用户已连接的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountStopped已停止的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCountMaintenance4-正在维护的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamplesCount1AmazonWorkSpaces定期向WorkSpace发送状态请求.
在响应这些请求时,WorkSpace标记为Available,在无法响应这些请求时,标记为Unhealthy.
这些指标以WorkSpace为粒度提供,并且对组织中的所有WorkSpaces进行汇总.
2AmazonWorkSpaces记录与每个WorkSpace的连接相关的指标.
这些指标会在用户已通过WorkSpaces客户端成功进行身份验证并且客户端随后启动会话后发出.
这些指标以WorkSpace为粒度提供,并且对目录中的所有WorkSpaces进行聚合.
3AmazonWorkSpaces定期向WorkSpace发送连接状态请求.
当用户主动使用其会话时,他们被报告为已连接.
此指标以WorkSpace为粒度提供,并且对组织中的所有WorkSpaces进行汇总.
4此指标适用于配置有WorkSpaces运行模式的AutoStop.
如果您为WorkSpaces启用了维护,此指标将捕获当前正在维护的WorkSpaces的数量.
此指标以WorkSpace为粒度提供,描述WorkSpace何时开始维护以及何时删除.
AmazonWorkSpaces指标的维度要筛选指标数据,请使用以下维度.
118AmazonWorkSpaces管理指南监控示例维度DescriptionDirectoryId将指标数据筛选为指定目录中的WorkSpaces.
目录ID的形式为d-XXXXXXXXXX.
WorkspaceId按照指定的WorkSpace筛选指标数据.
工作区ID的形式为ws-XXXXXXXXXX.
监控示例以下示例演示如何使用AWSCLI响应CloudWatch警报,并确定目录中的哪些WorkSpaces遇到了连接故障.
响应CloudWatch警报1.
使用describe-alarms命令确定警报适用于哪个目录.
awscloudwatchdescribe-alarms--state-value"ALARM"{"MetricAlarms":[{.
.
.
"Dimensions":[{"Name":"DirectoryId","Value":"directory_id"}],.
.
.
}]}2.
使用WorkSpacesdescribe-workspaces命令获取指定目录中的列表.
awsworkspacesdescribe-workspaces--directory-iddirectory_id{"Workspaces":[{.
.
.
"WorkspaceId":"workspace1_id",.
.
.
},{.
.
.
"WorkspaceId":"workspace2_id",.
.
.
},{.
.
.
"WorkspaceId":"workspace3_id",.
.
.
}]}3.
使用CloudWatchget-metric-statisticsWorkSpace命令获取目录中每个的指标.
awscloudwatchget-metric-statistics\119AmazonWorkSpaces管理指南使用CloudWatchEvents监控--namespaceAWS/WorkSpaces\--metric-nameConnectionFailure\--start-time2015-04-27T00:00:00Z\--end-time2015-04-28T00:00:00Z\--period3600\--statisticsSum\--dimensions"Name=WorkspaceId,Value=workspace_id"{"Datapoints":[{"Timestamp":"2015-04-27T00:18:00Z","Sum":1.
0,"Unit":"Count"},{"Timestamp":"2014-04-27T01:18:00Z","Sum":0.
0,"Unit":"Count"}],"Label":"ConnectionFailure"}使用WorkSpaces监控您的CloudWatchEvents您可以使用AmazonCloudWatchEvents中的事件来查看、搜索、下载、归档、分析和响应您的WorkSpaces的成功登录.
例如,您可以将事件用于以下目的:将WorkSpaces登录事件存储或存档为日志以供将来参考,分析日志以查找模式,并根据这些模式采取措施.
可以使用WANIP地址确定用户登录的位置,然后使用策略以仅允许用户访问在WorkSpaces事件类型CloudWatch中找到的访问条件中找到的文件或数据.
WorkSpacesAccess分析几乎实时提供的登录数据,并使用AWSLambda执行自动化操作.
使用策略控制阻止未经授权的IP地址访问文件和应用程序.
有关事件的更多信息,请参阅AmazonCloudWatchEvents用户指南.
WorkSpaces事件AmazonWorkSpaces客户端应用程序在用户成功登录到WorkSpaces时向CloudWatchEvents发送WorkSpace访问事件.
所有AmazonWorkSpaces客户端都发送这些事件.
事件表示为JSON对象.
以下是WorkSpacesAccess事件的示例数据.
{"version":"0","id":"64ca0eda-9751-dc55-c41a-1bd50b4fc9b7","detail-type":"WorkSpacesAccess","source":"aws.
workspaces","account":"123456789012","time":"2018-07-01T17:53:06Z","region":"us-west-2","resources":[],"detail":{"clientIpAddress":"192.
0.
2.
3","actionType":"successfulLogin",120AmazonWorkSpaces管理指南创建规则以处理WorkSpaces事件"workspacesClientProductName":"WorkSpacesDesktopclient","loginTime":"2018-07-01T17:52:51.
595Z","clientPlatform":"Windows","directoryId":"d-123456789","workspaceId":"ws-xyskdga"}}特定于事件的字段clientIpAddress客户端应用程序的WANIP地址.
对于PCoIP零客户端,这是Teradici身份验证客户端的IP地址.
actionType此值始终为successfulLogin.
workspacesClientProductNameWorkSpacesDesktopclient—Windows、macOS和Linux客户端AmazonWorkSpacesMobileclient—iOS客户端WorkSpacesMobileclient—Android客户端WorkSpacesWebclient—WebAccess客户端TeradiciPCoIPZeroClient,TeradiciPCoIPDesktopClient,orDellWysePCoIPClient—零客户端loginTime用户登录WorkSpace的时间.
clientPlatformAndroidiOSLinuxOSXWindowsTeradiciPCoIPZeroClientandTera2WebdirectoryId的目录的标识符.
WorkSpaceworkspaceId的标识符.
WorkSpace创建规则以处理WorkSpaces事件使用以下过程创建CloudWatchEvents规则以处理WorkSpaces事件.
创建规则以处理WorkSpaces事件1.
通过以下网址打开CloudWatch控制台:https://console.
amazonaws.
cn/cloudwatch/.
2.
在导航窗格中,选择事件.
3.
选择Createrule(创建规则).
4.
对于EventSource,执行以下操作:121AmazonWorkSpaces管理指南创建规则以处理WorkSpaces事件a.
选择EventPattern(事件模式)和Buildeventpatterntomatcheventsbyservice(生成事件模式以按服务匹配事件)(默认值).
b.
对于ServiceName(服务名称),选择WorkSpaces.
c.
对于EventType(事件类型),选择WorkSpacesAccess(AWS管理控制台访问).
5.
对于Targets(目标),选择Addtarget(添加目标),然后选择当检测到WorkSpaces事件时要执行的服务.
提供此服务所需的任何信息.
6.
选择Configuredetails(配置详细信息).
对于Ruledefinition(规则定义),输入名称和描述.
7.
选择Createrule(创建规则).
122AmazonWorkSpaces管理指南跨区域重定向业务持续性AmazonWorkSpacesAmazonWorkSpaces构建于AWS全球基础设施,其组织成AWS区域和可用区.
这些区域和可用区在物理隔离和数据冗余方面提供了弹性.
有关更多信息,请参阅AmazonWorkSpaces中的恢复功能(p.
139).
AmazonWorkSpaces还提供跨区域重定向功能,该功能可与您的域名系统(DNS)路由策略一起使用,以便在主要工作区不可用时将您的工作区用户重定向到其他工作区.
例如,通过使用DNS故障转移路由策略,您可以将用户连接到指定故障转移区域中的WorkSpaces,因为他们无法访问主区域中的WorkSpaces.
您可以使用跨区域重定向来实现区域弹性和高可用性.
您还可以将其用于其他目的,如流量分布或在维护期间提供备用工作空间.
如果您使用AmazonRoute53对于DNS配置,您可以利用监控的运行状况检查AmazonCloudWatch警报.
内容的跨区域重定向AmazonWorkSpaces(p.
123)的跨区域重定向AmazonWorkSpaces利用AmazonWorkSpaces中的跨区域重定向功能,您可以使用完全限定域名(FQDN)作为WorkSpaces的注册代码.
跨区域重定向可与您的域名系统(DNS)路由策略配合使用,以便在您的WorkSpaces用户主WorkSpaces不可用时将其重定向到备用WorkSpaces.
例如,通过使用DNS故障转移路由策略,您可以在用户无法访问主区域中的WorkSpaces时将其连接到指定故障转移AWS区域中的WorkSpaces.
您可以使用跨区域重定向以及DNS故障转移路由策略来实现区域弹性和高可用性.
您还可以将此功能用于其他目的,例如流量分配或在维护期内提供替代WorkSpaces.
如果您对DNS配置使用AmazonRoute53,则可以利用监控AmazonCloudWatch警报的运行状况检查.
要使用此功能,您必须在两个(或更多)WorkSpaces区域中为您的用户设置AWS.
您还必须创建称为连接别名的基于FQDN的特殊注册代码.
这些连接别名将替换您的WorkSpaces用户的区域特定的注册代码.
(特定于区域的注册代码仍然有效;但是,要使跨区域重定向正常工作,您的用户必须改用FQDN作为其注册代码.
)要创建连接别名,请指定一个连接字符串,它是您的FQDN,例如www.
example.
com或desktop.
example.
com.
要使用此域进行跨区域重定向,您必须向域注册商注册它,并为您的域配置DNS服务.
创建连接别名后,您可以将它们与您的不同区域中的WorkSpaces目录关联,以创建关联对.
每个关联对都具有一个主区域和一个或多个故障转移区域.
如果主区域中发生中断,您的DNS故障转移路由策略会将您的WorkSpaces用户重定向到您在故障转移区域中为其设置的WorkSpaces.
要指定您的主区域和故障转移区域,您可以在配置DNS故障转移路由策略时定义区域优先级(主要或辅助).
内容Prerequisites(p.
124)Limitations(p.
124)步骤1:创建连接别名(p.
125)(可选)步骤2:与其他账户共享连接别名(p.
125)步骤3:将您的连接别名与每个区域中的目录关联(p.
126)步骤4:配置DNS服务并设置DNS路由策略(p.
126)步骤5:将连接字符串发送给您的WorkSpaces用户(p.
129)跨区域重定向期间发生的事件(p.
129)123AmazonWorkSpaces管理指南Prerequisites取消连接别名与目录的关联(p.
130)取消共享连接别名(p.
130)删除连接别名(p.
130)停止使用跨区域重定向时的安全注意事项(p.
131)Prerequisites您必须拥有并注册要在连接别名中用作FQDN的域.
如果您尚未使用其他域注册商,则可以使用AmazonRoute53注册您的域.
有关更多信息,请参阅中的AmazonRoute53使用注册域名.
AmazonRoute53开发人员指南Important您必须拥有与AmazonWorkSpaces结合使用的任何域名的所有必要权限.
您同意该域名不会侵犯或侵犯任何第三方的合法权利,也不会违反适用法律.
您的域名的总长度不能超过255个字符.
有关域名的更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/DomainNameFormat.
html中的DNS域名格式AmazonRoute53开发人员指南.
跨区域重定向可同时在私有DNS区域中使用公有域名和域名.
如果您使用的是私有DNS区域,则必须向包含您的WorkSpaces的VirtualPrivateCloud(VPC)提供虚拟专用网络(VPN)连接.
如果您的WorkSpaces用户尝试使用来自公共Internet的私有FQDN,则WorkSpaces客户端应用程序将返回以下错误消息:"We'reunabletoregistertheWorkSpacebecauseofaDNSserverissue.
Contactyouradministratorforhelp.
"您必须设置DNS服务并配置必要的DNS路由策略.
跨区域重定向与DNS路由策略结合使用,以根据需要重定向WorkSpaces用户.
在要设置跨区域重定向的每个主区域和故障转移区域中,为您的用户创建WorkSpaces.
确保您在每个区域的每个WorkSpaces目录中使用相同的用户名.
要使ActiveDirectory用户数据保持同步,建议您使用ADConnector指向您已为用户设置WorkSpaces的每个区域中的同一ActiveDirectory.
有关创建WorkSpaces的更多信息,请参阅启动WorkSpaces(p.
43).
当您完成设置跨区域重定向时,必须确保您的WorkSpaces用户在其主要区域中使用的是基于FQDN的注册代码,而不是基于区域的注册代码(例如WSpdx+ABC12D).
为此,您必须使用步骤5:将连接字符串发送给您的WorkSpaces用户(p.
129)中的过程向其发送一封带有FQDN连接字符串的电子邮件.
Note如果您在WorkSpaces控制台中创建用户而不是在ActiveDirectory中创建用户,则每当您启动新的WorkSpaces时,WorkSpace都会自动向用户发送一封包含基于区域的注册代码的邀请电子邮件.
这意味着,当您在故障转移区域中为用户设置WorkSpaces时,您的用户也会自动收到这些故障转移WorkSpaces的电子邮件.
您需要指示您的用户忽略带有基于区域的注册代码的电子邮件.
Limitations跨区域重定向不会自动检查与主区域的连接是否已失败,然后使您的WorkSpaces故障转移到另一个区域.
换句话说,不会进行自动故障转移.
要实现自动故障转移方案,您必须将某种其他机制与跨区域重定向结合使用.
例如,您可以使用AmazonRoute53故障转移DNS路由策略,该策略与监控主区域中的Route53警报的CloudWatch运行状况检查配对.
如果触发了主区域中的CloudWatch警报,则您的DNS故障转移路由策略会将您的WorkSpaces用户重定向到您在故障转移区域中为其设置的WorkSpaces.
124AmazonWorkSpaces管理指南步骤1:创建连接别名在使用跨区域重定向时,不会在不同区域的WorkSpaces之间保留用户数据.
为确保用户可以访问不同区域中的文件,我们建议您为AmazonWorkDocs用户设置WorkSpacesDrive.
仅Linux、macOS和WindowsWorkSpaces客户端应用程序的版本3.
0.
9或更高版本支持跨区域重定向.
跨区域重定向适用于所有提供的AmazonWorkSpacesAWS区域,但AWSGovCloud(美国西部)区域和中国(宁夏)区域除外.
步骤1:创建连接别名使用相同的AWS账户,在要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名.
创建连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,为您的AWS选择主WorkSpaces区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirection(跨区域重定向)下,选择Createconnectionalias(创建连接别名).
5.
对于Connectionstring(连接字符串),输入一个FQDN,例如www.
example.
com或desktop.
example.
com.
连接字符串最多可包含255个字符.
它只能包含字母(A-Z和a-z)、数字(0-9)和以下字符:.
-Important在创建连接字符串后,它始终与您的AWS账户关联.
您无法使用其他账户重新创建同一连接字符串,即使您从原始账户中删除该字符串的所有实例也是如此.
连接字符串是为您的账户全局预留的.
6.
(可选)在Tags(标签)下,指定要与连接别名关联的任何标签.
7.
选择Createconnectionalias(创建连接别名).
8.
重复这些步骤,但在Step2(p.
125)中,请确保为您的WorkSpaces选择故障转移区域.
如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤.
请确保使用相同的AWS账户在每个故障转移区域中创建连接别名.
(可选)步骤2:与其他账户共享连接别名您可以与同一AWS区域中的其他AWS账户共享连接别名.
将连接别名与另一个账户共享仅向该账户授予将该别名与该账户在相同区域中拥有的目录关联或取消关联的权限.
只有拥有连接别名的账户才能删除别名.
Note连接别名只能与每个AWS区域的一个目录关联.
如果您与另一个AWS账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联.
与其他AWS账户共享连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择要与其他AWS账户共享连接别名的AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Share/unshareconnectionalias(共享/取消共享连接别名).
您还可以从连接别名的详细信息页面中共享别名.
为此,请在Sharedaccount(共享账户)下,选择Shareconnectionalias(共享连接别名).
125AmazonWorkSpaces管理指南步骤3:将您的连接别名与每个区域中的目录关联5.
在Share/unshareconnectionalias(共享/取消共享连接别名)页面的Sharewithanaccount(与账户共享)下,输入要在此AWS区域中与之共享连接别名的AWS账户ID.
6.
选择Share.
步骤3:将您的连接别名与每个区域中的目录关联将相同连接别名与两个或更多区域中的WorkSpaces目录关联将在这些目录之间创建关联对.
每个关联对都具有一个主区域和一个或多个故障转移区域.
例如,如果您的主要区域是美国西部(俄勒冈)区域,则可以将WorkSpaces中的美国西部(俄勒冈)区域目录与WorkSpaces中的美国东部(弗吉尼亚北部)地区目录配对.
如果主区域中发生中断,跨区域重定向将与您的DNS故障转移路由策略以及您在美国西部(俄勒冈)区域上实施的任何运行状况检查结合使用,以将您的用户重定向到您在WorkSpaces中为他们设置的美国东部(弗吉尼亚北部)地区.
有关跨区域重定向体验的更多信息,请参阅跨区域重定向期间发生的事件(p.
129).
Note如果您的WorkSpaces用户与故障转移区域的距离非常远(例如,数千毫秒),则其WorkSpaces体验的响应能力可能低于平常.
要检查您的位置到各个AWS区域的往返时间(RTT),请使用AmazonWorkSpaces连接运行状况检查.
将连接别名与目录关联对于每个AWS区域,您只能将连接别名与一个目录关联.
如果您与另一个AWS账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,为您的AWS选择主WorkSpaces区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Associate/disassociate(关联/取消关联).
您还可以从连接别名的详细信息页面中将连接别名与目录关联.
为此,请在Associateddirectory(关联目录)下,选择Associatedirectory(关联目录).
5.
在Associate/disassociate(关联/取消关联)页面上的Associatetoadirectory(关联到目录)下,选择您希望在此AWS区域中将您的连接别名与之关联的目录.
6.
选择Associate.
7.
重复这些步骤,但在Step2(p.
126)中,请确保为您的WorkSpaces选择故障转移区域.
如果您有多个故障转移区域,请为每个故障转移区域重复这些步骤.
请确保将相同的连接别名与每个故障转移区域中的某个目录关联.
步骤4:配置DNS服务并设置DNS路由策略创建连接别名和连接别名关联对之后,您可以为连接字符串中使用的域配置DNS服务.
您可以使用任何DNS服务提供商来实现此目的.
如果您还没有首选DNS服务提供商,则可以使用AmazonRoute53.
有关更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/dns-configuring.
html中的将AmazonRoute53配置为DNS服务AmazonRoute53开发人员指南.
为域配置DNS服务后,必须设置要用于跨区域重定向的DNS路由策略.
例如,您可以使用AmazonRoute53运行状况检查确定您的用户是否可以连接到特定区域中的WorkSpaces.
如果您的用户无法连接,您可以使用DNS故障转移策略将DNS流量从一个区域路由到另一个区域.
有关选择DNS路由策略的更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/routing-policy.
html中的选择路由策略AmazonRoute53开发人员指南.
有关AmazonRoute53运行状况检126AmazonWorkSpaces管理指南步骤4:配置DNS服务并设置DNS路由策略查的更多信息,请参阅中的AmazonRoute53如何检查您的资源的运行状况.
AmazonRoute53开发人员指南在设置DNS路由策略时,您需要连接别名与主区域中的目录之间的关联的连接标识符WorkSpaces.
您还需要故障转移区域中的一个或多个连接别名与WorkSpaces目录之间关联的连接标识符.
Note连接标识符与连接别名ID不同.
连接别名ID以wsca-开头.
查找连接别名关联的连接标识符1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,为您的WorkSpaces选择主AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串文本(FQDN)以查看连接别名详细信息页面.
5.
在连接别名的详细信息页面上,在Associateddirectory(关联目录)下,记下Connectionidentifier(连接标识符)显示的值.
6.
重复这些步骤,但在Step2(p.
127)中,请确保为您的WorkSpaces选择故障转移区域.
如果您有多个故障转移区域,请重复这些步骤以查找每个故障转移区域的连接标识符.
示例:使用Route53设置DNS故障转移路由策略以下示例为您的域设置一个公有托管区域.
但是,您可以设置公有或私有托管区域.
有关设置托管区域的更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/hosted-zones-working-with.
html中的使用托管区域AmazonRoute53开发人员指南.
此示例还使用故障转移路由策略.
您可以将其他路由策略类型用于跨区域重定向策略.
有关选择DNS路由策略的更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/routing-policy.
html中的选择路由策略AmazonRoute53开发人员指南.
在Route53中设置故障转移路由策略时,需要主区域的运行状况检查.
有关在Route53中创建运行状况检查的更多信息,请参阅中的创建AmazonRoute53运行状况检查并配置DNS故障转移和创建、更新和删除运行状况检查.
AmazonRoute53开发人员指南如果您要将AmazonCloudWatch警报用于Route53运行状况检查,则还需要设置CloudWatch警报以监控您的主区域中的资源.
有关CloudWatch的更多信息,请参阅中的CloudWatch什么是Amazon.
AmazonCloudWatch用户指南有关Route53如何在其运行状况检查中使用CloudWatch警报的更多信息,请参阅中的CloudWatchRoute53如何确定监控警报的运行状况检查的状态和CloudWatch监控警报.
AmazonRoute53开发人员指南要在Route53中设置DNS故障转移路由策略,您首先需要为您的域创建一个托管区域.
1.
通过以下网址打开Route53控制台:https://console.
amazonaws.
cn/route53/.
2.
在导航窗格中,选择Hostedzones(托管区域),然后选择Createhostedzone(创建托管区域).
3.
在Createdhostedzone(创建托管区域)页面上,在example.
comDomainname(域名)下输入您的域名(例如).
4.
在Type(类型)下,选择Publichostedzone(公有托管区域).
5.
选择Createhostedzone(创建托管区域).
然后,为您的主区域创建运行状况检查.
1.
通过以下网址打开Route53控制台:https://console.
amazonaws.
cn/route53/.
2.
在导航窗格中,选择Healthchecks,然后选择Createhealthcheck.
3.
在Configurehealthcheck(配置运行状况检查)页面上,输入运行状况检查的名称.
127AmazonWorkSpaces管理指南步骤4:配置DNS服务并设置DNS路由策略4.
对于Whattomonitor,选择Endpoint、Statusofotherhealthchecks(calculatedhealthcheck)或StateofCloudWatchalarm.
5.
根据您在上一步中选择的内容,配置您的运行状况检查,然后选择Next(下一步).
6.
在Getnotificationwhenhealthcheckfails页面上,对于Createalarm,选择Yes或No.
7.
选择Createhealthcheck(创建运行状况检查).
创建运行状况检查后,您可以创建DNS故障转移记录.
1.
通过以下网址打开Route53控制台:https://console.
amazonaws.
cn/route53/.
2.
在导航窗格中,选择Hostedzones.
3.
在Hostedzones(托管区域)页面上,选择您的域名.
4.
在域名的详细信息页面上,选择Createrecord(创建记录).
5.
在Chooseroutingpolicy页面上,选择Failover,然后选择Next.
6.
在Configurerecords(配置记录)页面上的Basicconfiguration(基本配置)下,对于Recordname(记录名称),输入您的子域名.
例如,如果您的FQDN是desktop.
example.
com,请输入desktop.
Note如果要使用根域,请将Recordname(记录名称)留空.
但是,我们建议您使用子域(如desktop或workspaces),除非您已将该域设置为仅用于您的WorkSpaces.
7.
对于Recordtype(记录类型),选择TXT–用于验证电子邮件发件人和用于特定于应用程序的值.
8.
将TTLseconds(TTL秒)设置保留为默认值.
9.
在Failoverrecordstoaddto(要添加到的故障转移记录)下your_domain_name下,选择Definefailoverrecord(定义故障转移记录).
现在,您需要设置主区域和故障转移区域的故障转移记录.
示例:为您的主区域设置故障转移记录1.
在Definefailoverrecord对话框中,对于Value/routetrafficto,选择IPaddressoranothervaluedependingoftherecordtype.
2.
将打开框,以便您输入示例文本条目.
输入主区域的连接别名关联的连接标识符.
3.
对于Failoverrecordtype(故障转移记录类型),选择Primary(主节点).
4.
对于Healthcheck(运行状况检查),选择您已为主区域创建的运行状况检查.
5.
对于RecordID(记录ID),输入用于标识此记录的描述.
6.
选择Definefailoverrecord(定义故障转移记录).
您的新故障转移记录将显示在Failoverrecordstoadd(要添加到S3中的故障转移记录)下your_domain_name.
示例:为您的故障转移区域设置故障转移记录1.
在Failoverrecordstoaddto(要添加到的故障转移记录)下your_domain_name下,选择Definefailoverrecord(定义故障转移记录).
2.
在Definefailoverrecord对话框中,对于Value/routetrafficto,选择IPaddressoranothervaluedependingoftherecordtype.
3.
将打开框,以便您输入示例文本条目.
输入故障转移区域的连接别名关联的连接标识符.
4.
对于Failoverrecordtype(故障转移记录类型),选择Secondary(辅助).
5.
(可选)对于Healthcheck(运行状况检查),输入您为故障转移区域创建的运行状况检查.
6.
对于RecordID(记录ID),输入用于标识此记录的描述.
7.
选择Definefailoverrecord(定义故障转移记录).
您的新故障转移记录显示在Failoverrecordstoadd(要添加到S3中的故障转移记录)下your_domain_name.
128AmazonWorkSpaces管理指南步骤5:将连接字符串发送给您的WorkSpaces用户如果您为主区域设置的运行状况检查失败,则DNS故障转移路由策略会将您的WorkSpaces用户重定向到您的故障转移区域.
Route53将继续监控您的主区域的运行状况检查,当主区域的运行状况检查不再失败时,Route53会自动将WorkSpaces用户重定向回主区域中的WorkSpaces.
有关创建DNS记录的更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/resource-record-sets-creating.
html中的使用AmazonRoute53控制台创建记录AmazonRoute53开发人员指南.
有关配置DNSTXT记录的更多信息,请参阅https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/ResourceRecordTypes.
html#TXTFormat中的TXT记录类型AmazonRoute53开发人员指南.
步骤5:将连接字符串发送给您的WorkSpaces用户要确保在您的用户的WorkSpaces中断期间根据需要进行重定向,您必须将连接字符串(FQDN)发送给您的用户.
如果您已向您的WSpdx+ABC12D用户发布基于区域的注册代码(例如WorkSpaces),则这些代码仍然有效.
但是,要使跨区域重定向正常工作,您的WorkSpaces用户在WorkSpaces客户端应用程序中注册其WorkSpaces时,必须使用连接字符串作为其注册代码.
Important如果您在WorkSpaces控制台中创建用户而不是在ActiveDirectory中创建用户,则每当您启动新的WorkSpaces时,WSpdx+ABC12D都会自动使用基于区域的注册代码(例如WorkSpace)向用户发送邀请电子邮件.
即使您已设置跨区域重定向,自动为新的WorkSpaces发送的邀请电子邮件也会包含此基于区域的注册代码,而不是您的连接字符串.
要确保您的WorkSpaces用户使用连接字符串而不是基于区域的注册代码,您必须使用以下过程使用连接字符串向其发送另一封电子邮件.
将连接字符串发送到您的WorkSpaces用户1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,为您的AWS选择主WorkSpaces区域.
3.
在导航窗格中,选择WorkSpaces.
4.
在WorkSpaces页面上,使用搜索框搜索要向其发送邀请的用户,然后从搜索结果中选择相应的WorkSpace.
一次只能选择一个WorkSpace.
5.
依次选择Actions(操作)和InviteUser(邀请用户).
6.
在InviteUserstotheirWorkSpaces(邀请用户加入其AWSLambda)页面上,您将看到一个要发送给用户的电子邮件模板.
7.
(可选)如果有多个与WorkSpaces目录关联的连接别名,请从Connectionaliasstring(连接别名字符串)列表中选择您希望用户使用的连接字符串.
电子邮件模板将更新以显示您选择的字符串.
8.
使用您自己的电子邮件应用程序,复制电子邮件模板文本并将其粘贴到发送给用户的电子邮件中.
在电子邮件应用程序中,您可以根据需要修改文本.
当邀请电子邮件准备就绪后,将其发送给您的用户.
跨区域重定向期间发生的事件发生中断时,您的WorkSpaces用户将与其在主区域中的WorkSpaces断开连接.
当他们尝试重新连接时,收到以下错误消息:Wecan'tconnecttoyourWorkSpace.
Checkyournetworkconnection,andthentryagain.
然后,系统会提示您重新登录.
如果他们使用FQDN作为其注册代码,则当他们再次登录时,您的DNS故障转移路由策略会将他们重定向到您在故障转移区域中为其设置的WorkSpaces.
Note在某些情况下,用户再次登录时可能无法重新连接.
如果发生此行为,它们必须关闭并重新启动WorkSpaces客户端应用程序,然后再次尝试登录.
129AmazonWorkSpaces管理指南取消连接别名与目录的关联取消连接别名与目录的关联只有拥有目录的账户才能取消连接别名与目录的关联.
如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该账户取消连接别名与目录的关联.
取消连接别名与目录的关联1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择包含要取消关联的连接别名的AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Associate/disassociate(关联/取消关联).
您还可以取消连接别名与连接别名详细信息页面的关联.
为此,请在Associateddirectory(关联目录)下,选择Disassociate(取消关联).
5.
在Associate/disassociate(关联/取消关联)页面上,选择Disassociate(取消关联).
6.
在要求您确认取消关联的对话框中,选择Disassociate(取消关联).
取消共享连接别名只有连接别名的所有者才能取消共享该别名.
如果您取消与某个账户共享连接别名,则该账户无法再将该连接别名与目录关联.
取消共享连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择包含要取消共享的连接别名的AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Share/unshareconnectionalias(共享/取消共享连接别名).
您还可以从连接别名详细信息页面中取消共享连接别名.
为此,请在Sharedaccount(共享账户)下,选择Unshare(取消共享).
5.
在Share/unshareconnectionalias页面上,选择Unshare.
6.
在要求您确认取消共享连接别名的对话框中,选择Unshare(取消共享).
删除连接别名只有当连接别名由您的账户拥有并且未与目录关联时,您才能删除该连接别名.
如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先取消连接别名与该目录的关联,然后才能删除连接别名.
Important在创建连接字符串后,它始终与您的AWS账户关联.
您无法使用其他账户重新创建同一连接字符串,即使您从原始账户中删除该字符串的所有实例也是如此.
连接字符串是为您的账户全局预留的.
Warning如果您不再使用FQDN作为WorkSpaces用户的注册代码,则必须采取特定预防措施以防止潜在的安全问题.
有关更多信息,请参阅停止使用跨区域重定向时的安全注意事项(p.
131).
130AmazonWorkSpaces管理指南停止使用跨区域重定向时的安全注意事项删除连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择包含要删除的连接别名的AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Delete(删除).
您还可以从连接别名详细信息页面中删除连接别名.
为此,请选择页面右上角的Delete(删除).
Note如果Delete(删除)按钮处于禁用状态,请确保您是别名的所有者,并确保该别名未与目录关联.
5.
在要求您确认删除的对话框中,选择Delete(删除).
停止使用跨区域重定向时的安全注意事项如果您不再使用FQDN作为WorkSpaces用户的注册代码,则必须采取以下预防措施以防止潜在的安全问题:请务必为您的WorkSpaces用户发布其WSpdx+ABC12D目录的特定于区域的注册代码(例如WorkSpaces),并指导他们停止使用FQDN作为其注册代码.
如果您仍然拥有此域,请务必更新您的DNSTXT记录以删除此域,使其无法在网络钓鱼攻击中被利用.
如果您从DNSTXT记录中删除此域,并且您的WorkSpaces用户尝试使用FQDN作为其注册代码,则其连接尝试将会无形地失败.
如果您不再拥有此域,则您的WorkSpaces用户必须使用其区域特定的注册代码.
如果它们继续尝试使用FQDN作为其注册代码,则其连接尝试可能会重定向到恶意站点.
131AmazonWorkSpaces管理指南数据保护AmazonWorkSpaces中的安全性AWS的云安全性的优先级最高.
作为AWS客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益.
安全性是AWS和您的共同责任.
责任共担模型将其描述为云的安全性和云中的安全性:云的安全性–AWS负责保护在AWS云中运行AWS服务的基础设施.
AWS还向您提供可安全使用的服务.
作为AWS合规性计划的一部分,第三方审计人员将定期测试和验证安全性的有效性.
要了解适用于AmazonWorkSpaces的合规性计划,请参阅合规性计划范围内的AWS服务.
云中的安全性–您的责任由您使用的AWS服务决定.
您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规.
该文档帮助您了解如何在使用AmazonWorkSpaces时应用责任共担模型.
其中说明了如何配置AmazonWorkSpaces以实现您的安全性和合规性目标.
您还将了解如何使用其他AWS服务来帮助您监控和保护AmazonWorkSpaces资源.
内容AmazonWorkSpaces中的数据保护(p.
132)适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
133)AmazonWorkSpaces的合规性验证(p.
138)AmazonWorkSpaces中的恢复功能(p.
139)AmazonWorkSpaces中的基础设施安全性(p.
139)AmazonWorkSpaces中的更新管理(p.
142)AmazonWorkSpaces中的数据保护AWS责任共担模式适用于AmazonWorkSpaces中的数据保护.
如该模式中所述,AWS负责保护运行所有AWS云的全球基础设施.
您负责维护对托管在此基础设施上的内容的控制.
此内容包括您所使用的AWS服务的安全配置和管理任务.
有关数据隐私的更多信息,请参阅数据隐私常见问题.
出于数据保护目的,我们建议您保护AWS账户凭证并使用AWSIdentityandAccessManagement(IAM)设置单独的用户账户.
这仅向每个用户授予履行其工作职责所需的权限.
我们还建议您通过以下方式保护您的数据:对每个账户使用Multi-FactorAuthentication(MFA).
使用SSL/TLS与AWS资源进行通信.
建议使用TLS1.
2或更高版本.
使用AWSCloudTrail设置API和用户活动日志记录.
使用AWS加密解决方案以及AWS服务中的所有默认安全控制.
使用高级托管安全服务(例如AmazonMacie),它有助于发现和保护存储在AmazonS3中的个人数据.
如果在通过命令行界面或API访问AWS时需要经过FIPS140-2验证的加密模块,请使用FIPS终端节点.
有关可用的FIPS终端节点的更多信息,请参阅美国联邦信息处理标准(FIPS)第140-2版.
我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如Name(名称)字段).
这包括使用控制台、API、AWSCLI或AWS开发工具包处理WorkSpaces或其他AWS服务时.
您输入到WorkSpaces或其他服务中的任何数据都可能被选取以包含在诊断日志中.
当您向外部服务器提供URL时,请勿在URL中包含凭证信息来验证您对该服务器的请求.
132AmazonWorkSpaces管理指南静态加密静态加密您可以使用WorkSpaces中的客户主密钥(CMK)加密AWSKeyManagementService的存储卷.
有关更多信息,请参阅加密WorkSpaces(p.
79).
传输中加密传输中的数据使用TLS1.
2加密和SigV4请求签名进行加密.
PCOIP协议使用加密的UDP流量和AES加密来传输像素.
适用于AmazonWorkSpaces的IdentityandAccessManagement默认情况下,IAM用户无权管理AmazonWorkSpaces资源和操作.
要允许IAM用户管理AmazonWorkSpaces资源,您必须创建一个IAM策略以明确向他们授予权限,并将该策略附加到需要这些权限的IAM用户或组.
有关IAM策略,请参阅策略和权限在IAM用户指南指南.
AmazonWorkSpaces还创建了一个IAM角色来允许AmazonWorkSpaces服务访问所需资源.
NoteAmazonWorkSpaces不支持将IAM凭证配置到WorkSpace(例如具有实例配置文件).
有关IAM的更多信息,请参阅IdentityandAccessManagement(IAM)和IAM用户指南.
你可以找到WorkSpaces-用于IAM权限策略的特定资源、操作和条件上下文键,位于Amazon的操作、资源和条件密钥WorkSpaces在IAM用户指南.
有关可帮助您创建IAM策略的工具,请参阅AWS策略生成器.
您还可以使用IAMPolicySimulator测试策略是允许还是拒绝对AWS的特定请求.
Example一:执行所有AmazonWorkSpaces任务以下策略语句将授予IAM用户执行所有AmazonWorkSpaces任务的权限,包括创建和管理目录.
它还授予运行快速设置过程的权限.
注意,尽管在使用API和命令行工具时AmazonWorkSpaces完全支持Action和Resource元素,但您必须将它们都设置为"*"才能成功使用AmazonWorkSpaces控制台.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","iam:PassRole","iam:GetRole","iam:CreateRole","iam:PutRolePolicy","kms:ListAliases","kms:ListKeys","ec2:CreateVpc","ec2:CreateSubnet","ec2:CreateNetworkInterface","ec2:CreateInternetGateway","ec2:CreateRouteTable",133AmazonWorkSpaces管理指南IdentityandAccessManagement"ec2:CreateRoute","ec2:CreateTags","ec2:CreateSecurityGroup","ec2:DescribeInternetGateways","ec2:DescribeSecurityGroups","ec2:DescribeRouteTables","ec2:DescribeVpcs","ec2:DescribeSubnets","ec2:DescribeNetworkInterfaces","ec2:DescribeAvailabilityZones","ec2:AttachInternetGateway","ec2:AssociateRouteTable","ec2:AuthorizeSecurityGroupEgress","ec2:AuthorizeSecurityGroupIngress","ec2:DeleteSecurityGroup","ec2:DeleteNetworkInterface","ec2:RevokeSecurityGroupEgress","ec2:RevokeSecurityGroupIngress","workdocs:RegisterDirectory","workdocs:DeregisterDirectory","workdocs:AddUserToGroup"],"Resource":"*"}]}Example2:执行WorkSpace-特定任务以下政策声明授予IAM用户权限执行WorkSpace-特定任务,例如启动和删除WorkSpaces.
在策略语句中,ds:*操作授予广泛的权限—这包括对账户中所有目录服务对象的完整控制权限.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","iam:PutRolePolicy"],"Resource":"*"}]}要同时授予用户在AmazonWorkSpaces中为用户启用AmazonWorkDocs的权限,请添加下例所示的workdocs操作.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","workdocs:AddUserToGroup"],"Resource":"*"}]134AmazonWorkSpaces管理指南创建workspaces_DefaultRole角色}也授予用户使用LaunchWorkSpaces向导,添加kms操作如以下示例所示.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","workdocs:AddUserToGroup","kms:ListAliases","kms:ListKeys"],"Resource":"*"}]}创建workspaces_DefaultRole角色您必须先创建WorkSpaces_Defaultrole角色(如果此角色不存在),然后才能使用API注册目录.
创建workspaces_DefaultRole角色1.
登录AWS管理控制台并通过以下网址打开IAM控制台https://console.
amazonaws.
cn/iam/.
2.
在左侧的导航窗格中,选择角色.
3.
选择创建角色.
4.
在Selecttypeoftrustedentity(选择受信任实体的类型)下,选择其他AWS账户.
5.
对于账户ID,请输入没有连字符或空格的账户ID.
6.
对于选项,请勿指定多重验证(MFA).
7.
选择下一步:权限.
8.
在Attachpermissionspolicies(附加权限策略)页面上,选择AWS托管策略AmazonWorkSpacesServiceAccess和AmazonWorkSpacesSelfServiceAccess.
9.
低于设置权限边界,我们建议您不要使用权限边界,因为可能与workspaces_DefaultRole角色所附加的策略冲突.
此类冲突可能会阻止角色的某些必要权限.
10.
选择下一步:标签.
11.
在Addtags(optional)(添加标签(可选))页面上,根据需要添加标签.
12.
选择下一步:回顾.
13.
在审核页面上,对于角色名称,输入workspaces_DefaultRole.
14.
(可选)对于角色描述,请输入描述.
15.
选择CreateRole.
16.
在workspaces_DefaultRole角色的摘要页面上,选择信任关系选项卡.
17.
在TrustRelationships(信任关系)选项卡上,选择Edittrustrelationship(编辑信任关系).
18.
在编辑信任关系页面上,将现有策略语句替换为以下语句.
{"Statement":[{"Effect":"Allow","Principal":{"Service":"workspaces.
amazonaws.
com"135AmazonWorkSpaces管理指南在IAM策略中指定AmazonWorkSpaces资源},"Action":"sts:AssumeRole"}]}19.
选择UpdateTrustPolicy.
在IAM策略中指定AmazonWorkSpaces资源要在策略语句的Resource元素中指定AmazonWorkSpaces资源,请使用资源的Amazon资源名称(ARN).
您控制对的访问AmazonWorkSpaces允许或拒绝使用在Action的元素IAM政策声明.
AmazonWorkSpaces定义ARNs为WorkSpaces、捆绑包、IP组和目录.
WorkSpaceARNAWorkSpaceARN的语法如下图所示.
arn:aws:workspaces:region:account_id:workspace/workspace_identifierregion位于WorkSpace(例如,us-west-2).
account_idAWS账户的ID,不含连字符(例如,123456789012).
workspace_identifier的IDWorkSpace(例如,ws-a1bcd2efg).
以下是Resource识别特定WorkSpace.
"Resource":"arn:aws:workspaces:region:account_id:workspace/workspace_identifier"您可以使用*通配符指定全部WorkSpaces属于特定地区内特定客户.
图像ARNAWorkSpace图像ARN的语法如下图所示.
arn:aws:workspaces:region:account_id:workspaceimage/image_identifierregion位于WorkSpace图像在中(例如,us-west-2).
account_id的IDAWS帐户,无连字符(例如,123456789012).
bundle_identifier的IDWorkSpace图像(例如,wsi-a1bcd2efg).
以下是Resource标识特定图像的策略语句的元素.
136AmazonWorkSpaces管理指南在IAM策略中指定AmazonWorkSpaces资源"Resource":"arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"您可以使用*通配符指定属于特定区域内特定客户的所有图像.
服务包ARN服务包ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifierregion位于WorkSpace(例如,us-west-2).
account_idAWS账户的ID,不含连字符(例如,123456789012).
bundle_identifier的IDWorkSpace捆绑包(例如,wsb-a1bcd2efg).
以下是用于标识某个特定服务包的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"您可以使用*通配符,用于指定属于特定区域中的特定客户的所有捆绑销售.
IP组ARNIP组ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifierregion位于WorkSpace(例如,us-west-2).
account_idAWS账户的ID,不含连字符(例如,123456789012).
ipgroup_identifierIP组的ID(例如wsipg-a1bcd2efg).
以下是用于标识某个特定IP组的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"您可以使用*通配符指定属于特定区域中的特定帐户的所有IP组.
目录ARN目录ARN具有以下示例中显示的语法.
137AmazonWorkSpaces管理指南合规性验证arn:aws:workspaces:region:account_id:directory/directory_identifierregion位于WorkSpace(例如,us-west-2).
account_idAWS账户的ID,不含连字符(例如,123456789012).
directory_identifier目录的ID(例如d-12345a67b8).
以下是用于标识某个特定目录的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:directory/directory_identifier"您可以使用*通配符指定属于特定地区内特定帐户的所有目录.
不支持资源级权限的API操作您不能使用以下API操作指定资源ARN:AssociateIpGroupsCreateIpGroupCreateTagsDeleteTagsDeleteWorkspaceImageDescribeAccountDescribeAccountModificationsDescribeTagsDescribeWorkspaceDirectoriesDescribeWorkspaceImagesDescribeWorkspacesDescribeWorkspacesConnectionStatusDisassociateIpGroupsImportWorkspaceImageListAvailableManagementCidrRangesModifyAccount对于不支持资源级权限的API操作,必须指定以下示例中显示的资源语句.
"Resource":"*"AmazonWorkSpaces的合规性验证作为多项AWS合规性计划的一部分,第三方审计员将评估AmazonWorkSpaces的安全性和合规性.
其中包括SOC、PCI、FedRAMP、HIPAA等.
138AmazonWorkSpaces管理指南弹性有关特定合规性计划范围内的AWS服务列表,请参阅合规性计划范围内的AWS服务.
有关常规信息,请参阅AWS合规性计划.
您可以使用AWSArtifact下载第三方审核报告.
有关更多信息,请参阅下载AWSArtifact中的报告.
您在使用AmazonWorkSpaces时的合规性责任由您数据的敏感性、贵公司的合规性目标以及适用的法律法规决定.
AWS提供以下资源来帮助满足合规性:安全性与合规性快速入门指南安全性与合规性快速入门指南–这些部署指南讨论了架构注意事项,并提供了在AWS上部署基于安全性和合规性的基准环境的步骤.
《设计符合HIPAA安全性和合规性要求的架构》白皮书–此白皮书介绍了公司如何使用AWS创建符合HIPAA标准的应用程序.
AWS合规性资源–这一系列的操作手册和指南可能适用于您所在的行业和地区.
中的AWSConfigDeveloperGuide使用规则评估资源;评估您的资源配置对内部实践、行业指南和法规的遵循情况.
–AWSConfigAWSSecurityHub–此AWS服务提供了AWS中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实践.
AmazonWorkSpaces中的恢复功能AWS全球基础设施围绕AWS区域和可用区构建.
区域提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起.
利用可用区,您可以设计和操作在可用区之间无中断地自动实现故障转移的应用程序和数据库.
与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性.
有关AWS区域和可用区的更多信息,请参阅AWS全球基础设施.
AmazonWorkSpaces还提供跨区域重定向,此功能在主WorkSpaces不可用时,与域名系统(DNS)故障转移路由策略一起使用,将您的WorkSpaces用户重定向到其他AWS区域中的替代WorkSpaces.
有关更多信息,请参阅的跨区域重定向AmazonWorkSpaces(p.
123).
AmazonWorkSpaces中的基础设施安全性作为一项托管服务,AmazonWorkSpaces由AWS中所述的AmazonWebServices全球网络安全程序提供保护:安全流程概述白皮书.
您可以使用AWS发布的API调用通过网络访问AmazonWorkSpaces.
客户端必须支持传输层安全性(TLS)1.
0或更高版本.
建议使用TLS1.
2或更高版本.
客户端还必须支持具有完全向前保密(PFS)的密码套件,例如EphemeralDiffie-Hellman(DHE)或EllipticCurveEphemeralDiffie-Hellman(ECDHE).
大多数现代系统(如Java7及更高版本)都支持这些模式.
此外,必须使用访问密钥ID和与IAM委托人关联的秘密访问密钥来对请求进行签名.
或者,您可以使用AWSSecurityTokenService(AWSSTS)生成临时安全凭证来对请求进行签名.
网络隔离VirtualPrivateCloud(VPC)是AWS云上您自己的逻辑隔离区域中的虚拟网络.
您可以在VPC的私有子网中部署WorkSpaces.
有关更多信息,请参阅为AmazonWorkSpaces配置VPC(p.
8).
要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新VPC的安全组或使用IP访问控制组(p.
24).
您可以使用有效的证书将WorkSpace访问限制为受信任的设备.
有关更多信息,请参阅限制对受信任设备的WorkSpaces访问(p.
21).
139AmazonWorkSpaces管理指南物理主机上的隔离物理主机上的隔离同一物理主机上的不同WorkSpaces通过管理程序彼此隔离.
这就好像它们位于单独的物理主机上.
删除WorkSpace后,管理程序将清理分配给它的内存(设置为零),然后再将内存分配给新的WorkSpace.
企业用户授权借助AmazonWorkSpaces,通过AWSDirectoryService管理目录.
您可以为用户创建独立的托管目录.
或者与现有ActiveDirectory环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源.
有关更多信息,请参阅管理AmazonWorkSpaces目录(p.
31).
要进一步控制对WorkSpaces的访问,请使用多重验证.
有关更多信息,请参阅如何为AWS服务启用多重身份验证.
通过VPC接口终端节点发出AmazonWorkSpacesAPI请求您可以通过VirtualPrivateCloud(VPC)中的接口终端节点直接连接到AmazonWorkSpacesAPI终端节点,而不是通过Internet进行连接.
当您使用VPC接口终端节点时,您的VPC与AmazonWorkSpacesAPI终端节点之间的通信完全在AWS网络内安全进行.
Note此功能只能用于连接到WorkSpacesAPI终端节点.
要使用WorkSpaces客户端连接到WorkSpaces,需要Internet连接,如AmazonWorkSpaces的IP地址和端口要求(p.
15)中所述.
API终端节点支持AmazonWorkSpacesAmazonVirtualPrivateCloud()接口终端节点(由AmazonVPCAWSPrivateLink提供支持).
每个VPC终端节点都由您的VPC子网中一个或多个具有私有IP地址的网络接口(也称为弹性网络接口或ENIs)表示.
VPC接口终端节点将您的VPC直接连接到AmazonWorkSpacesAPI终端节点,而无需Internet网关、NAT设备、VPN连接或AWSDirectConnect连接.
VPC中的实例不需要公有IP地址便可与AmazonWorkSpacesAPI终端节点进行通信.
您可以通过AWS控制台或AWSCommandLineInterface(AWSCLI)命令创建接口终端节点来连接到AmazonWorkSpaces.
有关说明,请参阅创建接口终端节点.
在创建VPC终端节点后,您可以使用以下示例CLI命令,这些命令使用endpoint-url参数指定连接到AmazonWorkSpacesAPI终端节点的接口终端节点:awsworkspacescopy-workspace-image--endpoint-urlVPC_Endpoint_ID.
workspaces.
Region.
vpce.
amazonaws.
comawsworkspacesdelete-workspace-image--endpoint-urlVPC_Endpoint_ID.
api.
workspaces.
Region.
vpce.
amazonaws.
comawsworkspacesdescribe-workspace-bundles--endpoint-urlVPC_Endpoint_ID.
workspaces.
Region.
vpce.
amazonaws.
com\--endpoint-nameEndpoint_Name\--body"Endpoint_Body"\--content-type"Content_Type"\Output_File如果为VPC终端节点启用专用DNS主机名,您不需要指定终端节点URL.
CLI和AmazonWorkSpaces开发工具包默认使用的AmazonWorkSpacesAPIDNS主机名(https://api.
workspaces.
Region.
amazonaws.
com)解析为您的VPC终端节点.
140AmazonWorkSpaces管理指南为AmazonWorkSpaces创建VPC终端节点策略API终端节点支持AmazonWorkSpacesAmazonVPC和AmazonWorkSpaces在其中均可用的所有AWS区域中的VPC终端节点.
支持调用VPC内其所有AmazonWorkSpaces公有APIs.
要了解有关AWSPrivateLink的更多信息,请参阅AWSPrivateLink文档.
有关VPC终端节点的价格,请参阅VPC定价.
要了解有关VPC和终端节点的更多信息,请参阅AmazonVPC.
要查看按区域列出的AmazonWorkSpacesAPI终端节点的列表,请参阅API终端节点WorkSpaces.
(p.
16)Note联邦信息处理标准(FIPS)AmazonWorkSpacesAPI端点不支持带有AWSPrivateLink的AmazonWorkSpacesAPI端点.
为AmazonWorkSpaces创建VPC终端节点策略您可以为AmazonWorkSpaces的AmazonVPC终端节点创建一个策略,在该策略中指定以下内容:可执行操作的委托人.
可执行的操作.
可对其执行操作的资源.
有关更多信息,请参阅用户指南中的使用VPC终端节点控制对服务的访问AmazonVPC.
Note联邦信息处理标准(FIPS)AmazonWorkSpaces终端节点不支持VPC终端节点策略.
以下示例VPC终端节点策略指定有权访问VPC接口终端节点的所有用户都可以调用名为ws-f9abcdefg的AmazonWorkSpaces托管终端节点.
{"Statement":[{"Action":"workspaces:*","Effect":"Allow","Resource":"arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg","Principal":"*"}]}在本例中,拒绝以下操作:调用ws-f9abcdefg之外的AmazonWorkSpaces托管终端节点.
对指定资源以外的任何资源执行操作(WorkSpaceID:ws-f9abcdefg).
Note在本例中,用户仍然可以从VPC外部调用其他AmazonWorkSpacesAPI操作.
要将API调用限制为VPC内的资源,请参阅适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
133),以了解有关使用基于身份的策略控制对AmazonWorkSpacesAPI终端节点的访问的信息.
将您的专用网络连接到VPC要通过您的VPC调用AmazonWorkSpacesAPI,您必须从位于VPC中的实例进行连接,或者使用AmazonVirtualPrivateNetwork(VPN)或AWSDirectConnect将您的专用网络连接到VPC.
有关Amazon141AmazonWorkSpaces管理指南更新管理VPN的信息,请参阅https://docs.
amazonaws.
cn/vpc/latest/userguide/vpn-connections.
html用户指南中的AmazonVirtualPrivateCloudVPN连接.
有关AWSDirectConnect的信息,请参阅AWSDirectConnect用户指南中的创建连接.
AmazonWorkSpaces中的更新管理我们建议您定期修补、更新和保护WorkSpaces上的操作系统和应用程序.
您可以将WorkSpaces配置为在常规维护时段内由AmazonWorkSpaces进行更新,也可以自行更新.
有关更多信息,请参阅WorkSpace维护(p.
77).
对于WorkSpaces上的应用程序,您可以使用提供的任何自动更新服务,也可以按照应用程序供应商提供的安装更新的建议进行操作.
AmazonWAMAmazonWorkSpacesApplicationManager(AmazonWAM)提供了一种快速、灵活且安全的方法,可为您的WindowsWorkSpaces部署和管理应用程序.
有关更多信息,请参阅AmazonWAMAdministrationGuide.
142AmazonWorkSpaces管理指南启用高级日志记录排查AmazonWorkSpaces问题以下信息可帮助您解决与WorkSpaces相关的问题.
启用高级日志记录为了帮助解决用户可能遇到的问题,您可以在任何AmazonWorkSpaces客户端上启用高级日志记录.
在禁用高级日志记录之前,将为每个后续客户端会话启用高级日志记录.
高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件.
对于1.
0+和2.
0+客户端,这些高级日志记录文件会自动上传到AWS中的数据库.
Note要让AWS查看由高级日志记录生成的日志文件,并接收针对WorkSpaces客户端问题的技术支持,请联系AWSSupport.
有关更多信息,请参阅AWS支持中心.
为3.
0+客户端启用高级日志记录Windows客户端日志存储在以下位置:%LOCALAPPDATA%\AmazonWebServices\AmazonWorkSpaces\logs为Windows客户端启用高级日志记录1.
关闭AmazonWorkSpaces客户端.
2.
打开命令提示符应用程序.
3.
使用WorkSpaces标志启动-l3客户端.
c:cd"C:\ProgramFiles(x86)\AmazonWebServices,Inc\AmazonWorkSpaces"workspaces.
exe-l3Note如果为一个用户而不是所有用户安装了WorkSpaces,请使用以下命令:c:cd"%LocalAppData%\Programs\AmazonWebServices,Inc\AmazonWorkSpaces"workspaces.
exe-l3客户端日志存储在以下位置:macOS~/Library/"ApplicationSupport"/"AmazonWebServices"/"AmazonWorkSpaces"/logs为macOS客户端启用高级日志记录1.
关闭AmazonWorkSpaces客户端.
143AmazonWorkSpaces管理指南排查特定问题2.
打开终端.
3.
运行以下命令.
open-aworkspaces--args-l3Linux客户端日志存储在以下位置:~/.
local/share/AmazonWebServices/AmazonWorkSpaces/logs为Linux客户端启用高级日志记录1.
关闭AmazonWorkSpaces客户端.
2.
打开终端.
3.
运行以下命令.
/opt/workspacesclient/workspacesclient-l3为1.
0+和2.
0+客户端启用高级日志记录1.
打开WorkSpaces客户端.
2.
选择客户端应用程序右上角的齿轮图标.
3.
选择AdvancedSettings(高级设置).
4.
选中EnableAdvancedLogging(启用高级日志记录)复选框.
5.
选择Save(保存).
Windows客户端日志存储在以下位置:%LOCALAPPDATA%\AmazonWebServices\AmazonWorkSpaces\1.
0\Logs客户端日志存储在以下位置:macOS~/Library/Logs/AmazonWebServices/AmazonWorkSpaces/1.
0排查特定问题以下信息可帮助您排查WorkSpaces的特定问题.
问题我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符(p.
145)我更改了AmazonLinuxWorkSpace的shell,现在我无法预配置PCoIP会话(p.
145)我的AmazonLinuxWorkSpaces不会启动(p.
146)在我连接的目录中启动WorkSpaces通常会失败(p.
146)启动WorkSpaces失败,出现内部错误(p.
147)我的用户无法连接到具有交互式登录横幅的WindowsWorkSpace(p.
147)我的用户无法连接到WindowsWorkSpace(p.
147)AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
(p.
148)我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
"(p.
148)144AmazonWorkSpaces管理指南我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符我的用户收到消息"ThisdeviceisnotauthorizedtoaccesstheWorkSpace.
请联系您的管理员寻求帮助.
"(p.
148)我的用户收到消息"Nonetwork.
网络连接丢失.
请检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace(p.
149)客户端会向我的用户提供网络错误,但他们可以在其设备上使用其他启用网络的应用程序WorkSpaces(p.
149)我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
"(p.
150)我的PCoIP零客户端用户收到错误"提供的证书由于时间戳而无效"(p.
150)我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示(p.
151)我的用户没有收到邀请电子邮件或密码重置电子邮件(p.
151)我的用户在客户端登录屏幕上看不到"忘记密码"选项(p.
151)当我尝试在WindowsWorkSpace上安装应用程序时,收到消息"系统管理员已设置策略以阻止此安装"(p.
151)我的目录中的任何WorkSpaces都无法连接到Internet(p.
152)我的WorkSpace已失去Internet访问权限(p.
152)当我尝试连接我的本地目录时收到一条"DNSunavailable"错误(p.
152)在尝试连接到我的本地目录时,我收到一条"Connectivityissuesdetected"错误(p.
152)在尝试连接到我的本地目录时,我收到一条"SRVrecord"错误(p.
152)我的WindowsWorkSpace在空闲时进入睡眠状态(p.
153)我的WorkSpaces之一的状态为UNHEALTHY(p.
153)我的WorkSpace意外崩溃或重启(p.
154)同一用户名有多个WorkSpace,但用户只能登录到WorkSpaces中的一个(p.
155)我在将Docker与AmazonWorkSpaces结合使用时遇到问题(p.
156)我的一些API调用收到了ThrottlingException错误(p.
156)我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符对于AmazonLinuxWorkSpaces,用户名:最多可包含20个字符可以包含能够以UTF-8表示的字母、空格和数字可包含以下特殊字符:_.
-#不能以短划线符号(-)作为用户名的开头第一个字符Note这些限制不适用于WindowsWorkSpaces.
对于用户名中的所有字符,WindowsWorkSpaces支持@和-符号.
我更改了AmazonLinuxWorkSpace的shell,现在我无法预配置PCoIP会话要覆盖LinuxWorkSpaces的默认shell,请参阅覆盖AmazonLinuxWorkSpaces的默认Shell(p.
69).
145AmazonWorkSpaces管理指南我的AmazonLinuxWorkSpaces不会启动我的AmazonLinuxWorkSpaces不会启动自2020年7月20日起,AmazonLinuxWorkSpaces将使用新的许可证证书.
这些新证书仅与PCoIP代理的版本2.
14.
1.
1、2.
14.
7和2.
14.
9兼容.
如果您使用的是不受支持的PCoIP代理版本,则必须将其升级到最新版本(2.
14.
9),该版本具有与新证书兼容的最新修复和性能改进.
如果您未在7月20日之前进行这些升级,则LinuxWorkSpaces的会话预配置将失败,并且您的最终用户将无法连接到其WorkSpaces.
将PCoIP代理升级到最新版本1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择您的LinuxWorkSpace,然后通过依次选择Actions(操作)和RebootWorkSpaces(重启)来重启它.
如果WorkSpace状态为STOPPED,则必须先选择Actions(操作),选择StartWorkSpaces(启动环境)并等到其状态为AVAILABLE之后,您才能重启它.
4.
在WorkSpace重新启动并且其状态为AVAILABLE后,我们建议您在执行此升级时将WorkSpace的状态更改为ADMIN_MAINTENANCE.
完成后,将WorkSpace的状态更改为AVAILABLE.
有关ADMIN_MAINTENANCE模式的更多信息,请参阅手动维护.
要将WorkSpace的状态更改为ADMIN_MAINTENANCE,请执行以下操作:a.
选择WorkSpace,然后依次选择Actions(操作)和ModifyWorkSpace(修改环境).
b.
选择ModifyState.
c.
对于IntendedState,选择ADMIN_MAINTENANCE.
d.
选择修改.
5.
通过SSH连接到LinuxWorkSpace.
有关更多信息,请参阅为Linux启用SSH连接WorkSpaces(p.
26).
6.
要更新PCoIP代理,请运行以下命令:sudoyum--enablerepo=pcoip-stableinstallpcoip-agent-standard-2.
14.
97.
要验证代理版本并确认更新成功,请运行以下命令:rpm-qpcoip-agent-standard验证命令应生成以下结果:pcoip-agent-standard-2.
14.
9-27877.
el7.
x86_648.
从WorkSpace断开并重新启动它.
9.
如果您在WorkSpace中将ADMIN_MAINTENANCE的状态设置为Step4(p.
146),请重复Step4(p.
146)并设置IntendedState到AVAILABLE.
如果您在升级WorkSpace代理后LinuxPCoIP仍无法启动,请联系AWSSupport.
在我连接的目录中启动WorkSpaces通常会失败验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个DNS服务器或域控制器.
您可以通过在每个子网中启动一个AmazonEC2实例并将该实例加入您的目录中,然后使用两个DNS服务器的IP地址来验证此连接.
146AmazonWorkSpaces管理指南启动WorkSpaces失败,出现内部错误启动WorkSpaces失败,出现内部错误检查您的子网是否已配置为自动将IPv6地址分配给在子网中启动的实例.
要检查此设置,请打开AmazonVPC控制台,选择子网,然后依次选择SubnetActions(子网操作)和Modifyauto-assignIPsettings(修改自动分配IP设置).
如果启用了此设置,则无法使用性能或图形服务包启动WorkSpaces.
而应在启动实例时禁用此设置并手动指定IPv6地址.
我的用户无法连接到具有交互式登录横幅的WindowsWorkSpace如果实施了交互式登录消息以显示登录横幅,这会阻止用户访问其WindowsWorkSpaces.
目前不支持交互式登录消息的组策略设置.
AmazonWorkSpaces将WorkSpaces移动到未应用Interactivelogon:Messagetextforusersattemptingtologon组策略的组织单位(OU).
我的用户无法连接到WindowsWorkSpace我的用户在尝试连接到其WindowsWorkSpaces时收到以下错误:"AnerroroccurredwhilelaunchingyourWorkSpace.
Pleasetryagain.
"当WorkSpace无法使用PCoIP加载Windows桌面时,通常会发生此错误.
检查以下内容:如果适用于Windows的PCoIP标准代理服务未运行,则会显示此消息.
使用RDP进行连接,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面(eth0)进行通信.
如果卸载了PCoIP代理,请通过WorkSpace控制台重启AmazonWorkSpaces以自动重新安装它.
如果修改了AmazonWorkSpaces安全组WorkSpaces以限制出站流量,则在长时间延迟后,您也可能会在(p.
23)客户端上收到此错误.
限制出站流量会阻止Windows与您的目录控制器通信而导致无法进行登录.
验证您的安全组是否允许WorkSpaces通过主网络接口与所有所需端口(p.
15)上的目录控制器进行通信.
此错误的另一个原因与用户权限分配组策略有关.
如果以下组策略配置不正确,它会阻止用户访问其WindowsWorkSpaces:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies\UserRightsAssignment(计算机配置\Windows设置\安全设置\本地策略\用户权限分配)不正确的策略:策略:从网络访问此计算机设置:Domainname\\域计算机光亮GPO:允许文件访问正确的策略:策略:从网络访问此计算机设置:Domainname\\域用户光亮GPO:允许文件访问147AmazonWorkSpaces管理指南AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
Note此策略设置应该应用于DomainUsers(域用户)而不是DomainComputers(域计算机).
有关更多信息,请参阅MicrosoftWindows文档中的从网络访问此计算机-安全策略设置和配置安全策略设置.
AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
此行为通常表示WorkSpaces客户端可以通过端口443进行身份验证,但无法通过端口4172(PCoIP)或端口495(WSPbeta)建立流连接.
当未满足网络先决条件(p.
15)时,可能会发生此情况.
客户端的问题通常会导致客户端中的网络检查失败.
要查看哪些运行状况检查失败,请选择网络检查图标(通常是2.
0+客户端的登录屏幕右下角具有感叹号的红色三角形或网络图标)(在3.
0+客户端的右上角).
Note此问题的最常见原因是客户端防火墙或代理阻止通过端口4172或495(TCP和UDP)进行访问.
如果此运行状况检查失败,请检查您的本地防火墙设置.
如果网络检查通过,则WorkSpace的网络配置可能存在问题.
例如,Windows防火墙规则可能会阻止管理界面上的端口UDP4172或495.
使用远程桌面协议(RDP)客户端连接到WorkSpace,以验证WorkSpace是否满足必要的端口要求(p.
15).
我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
"此错误通常表示SkyLightWorkSpacesConfigService服务未响应运行状况检查.
如果您刚刚重启或启动WorkSpace,请等待几分钟,然后重试.
如果WorkSpace已运行一段时间,并且您仍看到此错误,请使用RDP连接以验证SkyLightWorkSpacesConfigService服务:正在运行.
设置为自动启动.
可以通过管理界面(eth0)进行通信.
未被任何第三方防病毒软件阻止.
我的用户收到消息"ThisdeviceisnotauthorizedtoaccesstheWorkSpace.
请联系您的管理员寻求帮助.
"此错误表示已在目录上配置(p.
24)IP访问控制组WorkSpace,但客户端IP地址未列入白名单.
检查您的目录上的设置.
确认用户所连接的公有IP地址允许访问WorkSpace.
148AmazonWorkSpaces管理指南我的用户收到消息"Nonetwork.
网络连接丢失.
请检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace我的用户收到消息"Nonetwork.
网络连接丢失.
请检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace如果发生此错误并且您的用户没有连接问题,请确保端口495在您的网络防火墙上处于打开状态.
对于使用WorkSpaces的WorkSpacesStreamingProtocol(WSP)beta,用于流式传输客户端会话的端口已从4172更改为495.
客户端会向我的用户提供网络错误,但他们可以在其设备上使用其他启用网络的应用程序WorkSpaces客户端应用程序依赖于对AWS云中资源的访问,并且需要可提供至少1Mbps下载带宽的连接.
WorkSpaces如果设备是间歇性地连接到网络,WorkSpaces客户端应用程序就可能报告网络问题.
从2018年5月开始,AmazonWorkSpaces强制使用AmazonTrustServices颁发的数字证书.
在AmazonWorkSpaces支持的操作系统上,AmazonTrustServices已经是受信任的根CA.
如果操作系统的根CA列表不是最新的,则设备无法连接到WorkSpaces,客户端会发出网络错误提示.
识别由于证书失败造成的连接问题PCoIPzeroclients—将显示以下错误消息.
Failedtoconnect.
Theserverprovidedacertificatethatisinvalid.
Seebelowfordetails:-Thesuppliedcertificateisinvalidduetotimestamp-Thesuppliedcertificateisnotrootedinthedeviceslocalcertificatestore其他客户端—运行状况检查失败,出现Internet红色警告三角形.
解决证书故障Windows客户端应用程序(p.
149)PCoIP零客户端(p.
150)其他客户端应用程序(p.
150)Windows客户端应用程序使用以下解决方案之一处理证书故障.
解决方案1:更新客户端应用程序从AmazonWorkSpacesClientDownloads下载并安装最新Windows客户端应用程序.
在安装过程中,客户端应用程序确保由AmazonTrustServices发布了您的操作系统信任证书.
解决方案2:将AmazonTrustServices添加到本地根CA列表1.
打开https://www.
amazontrust.
com/repository/.
2.
下载DER格式的Starfield证书(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92).
3.
打开Microsoft管理控制台.
(从命令提示符中,运行mmc.
)149AmazonWorkSpaces管理指南我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
"4.
依次选择File(文件)、Add/RemoveSnap-in(添加/删除管理单元)、Certificates(证书)、Add(添加).
5.
在Certificatessnap-in(证书管理单元)页面上,选择Computeraccount(计算机账户),然后选择Next(下一步).
保留默认值Localcomputer(本地计算机).
选择Finish.
选择OK(确定).
6.
展开Certificates(LocalComputer)(证书(本地计算机)),然后选择TrustedRootCertificationAuthorities(受信任的根证书颁发机构).
依次选择Action(操作)、AllTasks(所有任务)和Import(导入).
7.
按照向导的说明,导入下载的证书.
8.
退出并重新启动WorkSpaces客户端应用程序.
解决方案3:使用组策略将AmazonTrustServices部署为受信任的CA使用组策略将Starfield证书添加到域的受信任根CAs.
有关更多信息,请参阅使用策略来分配证书.
PCoIP零客户端要使用固件版本6.
0或更高版本直接连接到WorkSpace,请下载并安装AmazonTrustServices颁发的证书.
添加AmazonTrustServices作为可信根CA1.
打开https://certs.
secureserver.
net/repository/.
2.
在StarfieldCertificateChain(Starfield证书链)中下载具有指纹1465FA205397B876FAA6F0A9958E5590E40FCC7FAA4FB7C2C8677521FB5FB658的证书.
3.
上传证书至zero客户端.
有关更多信息,请参阅Teradici文档中的上传证书.
其他客户端应用程序从AmazonTrustServices添加Starfield证书(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92).
有关如何添加根CA的更多信息,请参阅以下文档:Android:添加和删除证书macOS和iOS:在测试设备上安装CA的根证书我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
"当出现注册服务故障时,您的WorkSpace用户可能会在ConnectionHealthCheck(连接运行状况检查)页面上看到以下错误消息:"您的设备无法连接到WorkSpaces注册服务.
您无法向WorkSpaces注册您的设备.
Pleasecheckyournetworksettings.
"此错误在WorkSpaces客户端应用程序无法访问注册服务时发生.
通常,当WorkSpaces目录已删除时,会出现此情况.
要纠正此错误,请确保注册代码有效并与AWS云中一个正在运行的目录相对应.
我的PCoIP零客户端用户收到错误"提供的证书由于时间戳而无效"如果在Teradici中未启用网络时间协议(NTP),则PCoIP零客户端用户可能会收到证书失败错误.
要设置NTP,请参阅为PCoIP设置WorkSpaces零客户端(p.
25).
150AmazonWorkSpaces管理指南我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示当用户跳过对AmazonWorkSpacesWindows客户端应用程序的更新时,将设置SkipThisVersion注册表项,并且在发布客户端的新版本时不再提示他们更新其客户端.
要更新到最新版本,您可以编辑注册表,如中的WorkSpaces将Windows客户端应用程序更新到较新版本中所述.
AmazonWorkSpaces用户指南您还可以运行以下PowerShell命令:Remove-ItemProperty-Path"HKCU:\Software\AmazonWebServices.
LLC\AmazonWorkSpaces\WinSparkle"-Name"SkipThisVersion"当用户跳过对AmazonWorkSpacesmacOS客户端应用程序的更新时,将设置SUSkippedVersion首选项,并且在发布客户端的新版本时不再提示他们更新其客户端.
要更新到最新版本,您可以按中的WorkSpaces将macOS客户端应用程序更新到较新版本中所述重置此首选项.
AmazonWorkSpaces用户指南我的用户没有收到邀请电子邮件或密码重置电子邮件用户不会自动收到使用ADConnector或受信任域创建的WorkSpaces的欢迎或密码重置电子邮件.
要手动向这些用户发送欢迎电子邮件,请参阅发送邀请电子邮件(p.
55).
要重置用户密码,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
我的用户在客户端登录屏幕上看不到"忘记密码"选项如果您使用的是ADConnector或受信任域,您的用户将无法重置自己的密码.
(客户端应用程序登录屏幕上的Forgotpassword(忘记密码)WorkSpaces选项将不可用.
)有关如何重置用户密码的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
40).
当我尝试在WindowsWorkSpace上安装应用程序时,收到消息"系统管理员已设置策略以阻止此安装"您可以通过修改Windows安装程序组策略设置来解决此问题.
要将此策略部署到目录中的多个WorkSpaces,请将此设置应用于从加入域的EC2实例链接到WorkSpaces组织单位(OU)的组策略对象.
如果您使用ADConnector,则可以从域控制器进行这些更改.
有关使用ActiveDirectory管理工具处理组策略对象的更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.
html中的安装ActiveDirectory管理工具AWSDirectoryServiceAdministrationGuide.
以下过程说明如何为AmazonWorkSpaces组策略对象配置Windows安装程序设置.
1.
确保您的域中安装了最新的AmazonWorkSpaces组策略管理模板(p.
60).
2.
在WindowsWorkSpace客户端上打开组策略管理工具,然后导航到WorkSpaces计算机账户的WorkSpaces组策略对象并选择该对象.
从主菜单中,依次选择Action(操作)和Edit(编辑).
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、Windows组件、Windows安装程序.
4.
打开TurnOffWindowsInstaller(关闭Windows安装程序)设置.
5.
在TurnOffWindowsInstaller(关闭Windows安装程序)对话框中,将NotConfigured(未配置)更改为Enabled(已启用),然后将DisableWindowsInstaller(禁用Windows安装程序)设置为Never(从不).
6.
选择OK(确定).
7.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后选择Actions(操作)、RebootWorkSpaces(重启)).
151AmazonWorkSpaces管理指南我的目录中的任何WorkSpaces都无法连接到Internet从管理命令提示符下,输入gpupdate/force.
我的目录中的任何WorkSpaces都无法连接到Internet默认情况下,WorkSpaces无法与Internet通信.
您必须显式提供Internet访问.
有关更多信息,请参阅从您的WorkSpace提供Internet访问(p.
22).
我的WorkSpace已失去Internet访问权限如果您的WorkSpace已失去对Internet的访问权限,并且您无法使用RDP连接到WorkSpace,则此问题可能是由于的公有IP地址丢失而导致的.
WorkSpace如果您在目录级别启用了弹性IP地址自动分配(p.
33),则会在启动时为其分配弹性IP地址(来自Amazon提供的池).
WorkSpace但是,如果您将您拥有的弹性IP地址与WorkSpace关联,并在以后将该弹性IP地址与WorkSpace取消关联,则WorkSpace会失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的地址.
要将Amazon提供的池中的新公有IP地址与WorkSpace关联,您必须重新生成WorkSpace.
(p.
82)如果您不想重建WorkSpace,则必须将您拥有的另一个弹性IP地址与WorkSpace关联.
我们建议您不要在WorkSpace启动后修改WorkSpace的弹性网络接口.
将弹性IP地址分配给WorkSpace之后,WorkSpace将保留相同的公有IP地址(除非重建WorkSpace,在这种情况下,它将获取新的公有IP地址).
当我尝试连接我的本地目录时收到一条"DNSunavailable"错误在连接您的本地目录时,您收到类似于以下内容的错误消息.
DNSunavailable(TCPport53)forIP:dns-ip-addressADConnector必须能够通过TCP和UDP经由端口53与您的本地DNS服务器通信.
验证您的安全组和本地防火墙是否允许经由此端口进行TCP和UDP通信.
在尝试连接到我的本地目录时,我收到一条"Connectivityissuesdetected"错误在连接您的本地目录时,您收到类似于以下内容的错误消息.
Connectivityissuesdetected:LDAPunavailable(TCPport389)forIP:ip-addressKerberos/authenticationunavailable(TCPport88)forIP:ip-addressPleaseensurethatthelistedportsareavailableandretrytheoperation.
ADConnector必须能够通过TCP和UDP经由以下端口与您的本地域控制器通信.
验证您的安全组和本地防火墙是否允许经由这些端口进行TCP和UDP通信:88(Kerberos)389(LDAP)在尝试连接到我的本地目录时,我收到一条"SRVrecord"错误在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息.
152AmazonWorkSpaces管理指南我的WindowsWorkSpace在空闲时进入睡眠状态SRVrecordforLDAPdoesnotexistforIP:dns-ip-addressSRVrecordforKerberosdoesnotexistforIP:dns-ip-address在连接您的目录时,ADConnector需要获取_ldap.
_tcp.
dns-domain-name和_kerberos.
_tcp.
dns-domain-nameSRV记录.
如果服务无法从您在连接到目录时所指定的DNS服务器上获取这些记录,则您会收到此错误.
请确保您的DNS服务器包含这些SRV记录.
有关更多信息,请参阅Microsoft上的SRV资源记录TechNet.
我的WindowsWorkSpace在空闲时进入睡眠状态要解决此问题,请连接到WorkSpace并通过使用以下过程将电源计划更改为Highperformance(高性能):1.
从WorkSpace中,打开ControlPanel(控制面板),然后选择HardwareandSound(硬件和声音).
2.
在PowerOptions(电源选项)下,选择Chooseapowerplan(选择电源计划).
3.
在Chooseorcustomizeapowerplan(选择或自定义电源计划)窗格中,选择Highperformance(高性能)电源计划.
如果此计划不可见,请选择Showadditionalplans(显示其他计划)右侧的箭头以显示它.
如果上述步骤无法解决该问题,请执行以下操作:1.
在Chooseorcustomizeapowerplan(选择或自定义电源计划)窗格中,选择Highperformance(高性能)电源计划右侧的Changeplansettings(更改计划设置)链接,然后选择Changeadvancedpowersettings(更改高级电源设置)链接.
2.
在PowerOptions(高级选项)对话框中的设置列表中,选择Harddisk(硬盘)左侧的加号以显示相关设置.
3.
验证Pluggedin(已插入)的Turnoffharddiskafter(在多长时间后关闭硬盘)值是否大于Onbattery(使用电池)的值(默认值为20分钟).
4.
选择PCIExpress左侧的加号,然后为LinkStatePowerManagement(链路状态电源管理)执行相同的操作.
5.
验证LinkStatePowerManagement(链路状态电源管理)设置是否为Off(关闭).
6.
选择OK(确定)(如果您更改了任何设置,则选择Apply(应用))以关闭对话框.
7.
在Changesettingsfortheplan(更改计划的设置)窗格中,如果您更改了任何设置,请选择Savechanges(保存更改).
我的WorkSpaces之一的状态为UNHEALTHY服务会定期向AmazonWorkSpaces发送状态请求.
WorkSpace当WorkSpace无法响应这些请求时,它会标记为UNHEALTHY.
导致此问题的常见原因包括:上的一个应用程序阻塞了网络端口,因而阻止WorkSpace响应状态请求.
WorkSpaceCPU使用率高阻止WorkSpace及时响应状态请求.
的计算机名称已更改.
WorkSpace这可防止在AmazonWorkSpaces和WorkSpace之间建立安全通道.
您可以尝试使用以下方法来纠正这种状况:从WorkSpace控制台重启AmazonWorkSpaces.
使用以下过程连接到运行状况不佳的WorkSpace,该过程只应用于故障排除目的:1.
在与运行状况不佳的WorkSpace相同的目录中连接到可操作的WorkSpace.
153AmazonWorkSpaces管理指南我的WorkSpace意外崩溃或重启2.
从正常运行的WorkSpace中,使用远程桌面协议(RDP)通过运行状况不佳的WorkSpace的IP地址连接到运行状况不佳的WorkSpace.
根据问题的严重程度,您可能无法连接到运行状况不佳的WorkSpace.
3.
在运行状况不佳的WorkSpace上,确认满足最低端口要求(p.
15).
确保SkyLightWorkSpacesConfigService服务可以响应运行状况检查.
要解决此问题,请参阅我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
"(p.
148).
从WorkSpace控制台重新生成AmazonWorkSpaces.
由于重建WorkSpace可能会导致数据丢失,因此,只有在所有其他尝试纠正该问题未成功时,才应使用该选项.
我的WorkSpace意外崩溃或重启如果您的WorkSpace反复崩溃或重启,并且您的错误日志或崩溃转储指向与spacedeskHookKmode.
sys或spacedeskHookUmode.
dll相关的问题,或者您收到以下错误消息,则可能需要禁用对WorkSpace的Web访问:Thekernelpowermanagerhasinitiatedashutdowntransition.
Shutdownreason:KernelAPIThecomputerhasrebootedfromabugcheck.
Note仅当您不允许用户使用Web访问时,才应禁用Web访问.
要禁用对WorkSpace的Web访问,您必须设置组策略并修改两个注册表设置.
有关使用ActiveDirectory管理工具处理组策略对象的信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.
html中的安装ActiveDirectory管理工具AWSDirectoryServiceAdministrationGuide.
步骤1:设置组策略以在目录级别禁用Web访问您可以从用于管理域的计算机或从域控制器进行这些更改.
1.
打开组策略管理编辑器(gpmc.
msc),并在目录的域控制器级别找到组策略对象(GPO)策略.
2.
选择Action(操作)和Edit(编辑).
3.
导航到以下设置:计算机配置\Windows设置\安全设置\系统服务\STxHD托管应用程序服务4.
在STXHDHostedApplicationServiceProperties(STXHD托管应用程序服务属性)对话框的SecurityPolicySetting(安全策略设置)选项卡上,选中Definethispolicysetting(定义此策略设置)复选框.
5.
在SelectServiceStartupMode(选择服务启动模式)下,选择Disabled(已禁用).
6.
选择OK(确定).
7.
在完成注册表编辑(步骤2)之前,阻止计算机重新启动.
步骤2:编辑注册表以禁用Web访问我们建议您通过GPO推送这些注册表更改.
154AmazonWorkSpaces管理指南同一用户名有多个WorkSpace,但用户只能登录到WorkSpaces中的一个1.
将以下注册表项值设置为1(已启用):KeyPath=HKEY_LOCAL_MACHINE\\SOFTWARE\\Amazon\\WorkSpaceConfig\\update-webaccess.
ps1KeyName=RebootCountKeyType=DWORDKeyValue=12.
将以下注册表项值设置为4(已禁用):KeyPath=HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\spacedeskHookKmodeKeyName=开始KeyType=DWORDKeyValue=43.
重启计算机.
同一用户名有多个WorkSpace,但用户只能登录到WorkSpaces中的一个如果您在ActiveDirectory(AD)中删除用户而未先删除其WorkSpace,然后将该用户添加回ActiveDirectory并为该用户创建新的WorkSpace,则同一用户名现在将在同一目录中具有两个WorkSpaces.
但是,如果用户尝试连接到其原始WorkSpace,则会收到以下错误:"Unrecognizeduser.
NoWorkSpacefoundunderyourusername.
Contactyouradministratortorequestone.
"此外,在AmazonWorkSpaces控制台中搜索用户名时,仅返回新的WorkSpace,即使这两个WorkSpaces仍然存在.
(您可以通过搜索WorkSpaceID而不是用户名来查找原始WorkSpace.
)如果您重命名ActiveDirectory中的用户而不先删除其WorkSpace,也可能出现此行为.
如果您随后将其用户名更改回原始用户名并为用户创建新的WorkSpace,则同一用户名将在目录中具有两个WorkSpaces.
出现此问题的原因是ActiveDirectory使用用户的安全标识符(SID)(而不是用户名)以唯一标识用户.
当删除某个用户并在ActiveDirectory中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的SID.
在搜索用户名时,AmazonWorkSpaces控制台使用SID搜索ActiveDirectory中的匹配项.
客户端还使用SID在用户连接到AmazonWorkSpaces时标识用户.
WorkSpaces要解决此问题,请执行下列操作之一:如果由于在ActiveDirectory中删除了用户并在其中重新创建了该用户而发生了此问题,并且在ActiveDirectory中启用了回收站功能,则您可能能够还原原始的已删除的用户对象.
如果您能够还原原始用户对象,请确保用户可以连接到其原始WorkSpace.
如果可以,您可以在手动备份并将任何用户数据从新传输到原始WorkSpace(如果需要)后(p.
92)删除新的WorkSpace.
WorkSpace如果您无法还原原始用户对象,将删除用户的原始WorkSpace(p.
92).
用户应该能够连接到并使用其新的WorkSpace.
请务必手动备份用户数据并将其从原始WorkSpace传输到新的WorkSpace.
Warning删除WorkSpace是一项永久性操作,无法撤消.
用户的数据不会保留,而是会销毁.
WorkSpace要获取有关备份用户数据的帮助,请联系AWSSupport.
155AmazonWorkSpaces管理指南我在将Docker与AmazonWorkSpaces结合使用时遇到问题我在将Docker与AmazonWorkSpaces结合使用时遇到问题WindowsWorkSpacesWindowsWorkSpaces不支持嵌套虚拟化(包括使用Docker).
有关更多信息,请参阅Docker文档.
LinuxWorkSpaces要在LinuxWorkSpaces上使用Docker,请确保Docker使用的CIDR块不会与与与WorkSpace关联的两个弹性网络接口(ENI)中使用的CIDR块重叠.
如果在LinuxWorkSpaces上使用Docker时遇到问题,请联系Docker寻求帮助.
我的一些API调用收到了ThrottlingException错误AmazonWorkSpacesAPI调用的默认速率是一个恒定速率,为每秒两次API调用;允许的最大"突发"速率为每秒五次API调用.
下表显示了适用于API请求的突发速率限制.
秒发送的请求数允许的Net请求数详细信息105第一秒(第1秒)内允许发出五个请求,最高突发速率为每秒五次调用.
225由于在第1秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用.
355由于在第2秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用.
422因为在第3秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用.
532由于没有剩余的突发容量,此时仅允许进行两次调用.
这意味着剩余三次API调用的其中一次会受到限制.
在短暂的延迟后,受到限制的调用将发出响应.
601由于第5秒中的某次调用在第6秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第6秒中仅剩余一次额外调用的容量.
703现在,队列中不再有任何受限制的API调用,速率限制继续增加,直至达到五次调用的突发速率限制.
805由于在第7秒内没有发出调用,因此允许发送最大数量的请求.
905即使在第8秒没有发出任何调用,速率限制也不会增加到五次以上.
156AmazonWorkSpaces管理指南AmazonWorkSpaces配额以下是适用于您的AWS账户的AmazonWorkSpaces的配额(也称为限制).
要请求增加配额,请使用AmazonWorkSpaces限制表单.
WorkSpace和映像配额Note您可以请求增加这些配额,包括每个区域的默认配额1工作空间.
每个地区的工作空间:1每个地区的图形工作区:0GraphicsPro每个地区的工作区:0每个地区的图片:40每个地区的连接别名:20(此配额无法增加.
)IP访问控制组配额ImportantIP访问控制组配额不能增加.
每个区域的IP访问控制组:100每个IP访问控制组的规则:10每个目录的IP访问控制组:25157AmazonWorkSpaces管理指南文档历史记录下表说明了2018年1月1日之后对AmazonWorkSpaces服务和AmazonWorkSpacesAdministrationGuide的重要更改.
我们还经常更新文档来处理您发送给我们的反馈意见.
如需有关这些更新的通知,您可以订阅AmazonWorkSpacesRSS源.
update-history-changeupdate-history-descriptionupdate-history-date共享自定义图像您现在可以共享自定义WorkSpaces图像.
共享图像后,收件人帐户可以复制图像并使用它来创建用于启动新的捆绑包WorkSpaces.
October1,2020跨区域重定向您现在可以使用跨区域重定向,此功能与您的域名系统(DNS)路由策略配合使用,以将您的用户重定向到备用WorkSpaces当他们的主要WorkSpaces不可用.
September10,2020订阅MicrosoftOffice2016或2019forBYOLWorkSpaces您现在可以订阅MicrosoftOfficeProfessional2016或2019,由AWS自带Windows许可证(BYOL)WorkSpaces.
September3,2020中国(宁夏)中的BYOL自动化您可以使用自带许可证(BYOL)自动化来简化将Windows10桌面许可证用于WorkSpaces英寸中国(宁夏).
April2,2020映像检查程序ImageChecker工具可帮助您确定您的WindowsWorkSpace符合图像创建的要求.
ImageChecker在WorkSpace用来创建图像,并就如何解决其找到的任何问题提供指导.
March30,2020迁移WorkSpaces亚马逊WorkSpaces迁移功能使您能够迁移WorkSpace从一个捆绑包到另一个捆绑包,同时保留用户卷上的数据.
您可以使用此功能迁移WorkSpaces从Windows7桌面体验到Windows10桌面体验.
您也可以使用此功能迁移WorkSpaces从一个公共或自定义捆绑包到另一个.
January9,2020的PrivateLink集成AmazonWorkSpacesAPIs您可以通过VirtualPrivateCloud(VPC)中的接口终端节点直接连接到AmazonWorkSpacesAPI终端节点,而不是通过Internet进行连接.
当您使用VPC接口终November25,2019158AmazonWorkSpaces管理指南早期更新端节点时,您的VPC与AmazonWorkSpacesAPI终端节点之间的通信完全在AWS网络内安全进行.
AmazonWorkSpaces的Linux客户端用户现在可以使用Linux客户端访问他们的WorkSpaces.
November25,2019在中国(宁夏)中发布了AmazonWorkSpaces在中国(宁夏)区域中提供了AmazonWorkSpaces.
November13,2019还原WorkSpaces至最后已知的健康状态您可以使用还原功能回滚WorkSpace其最后已知的健康状态.
September18,2019FIPS终端节点加密为了遵守联邦风险与授权管理计划(FedRAMP)或国防部(DoD)云计算安全要求指南(SRG),您可以配置AmazonWorkSpaces以在目录级别使用联邦信息处理标准(FIPS)终端节点加密.
September12,2019复制WorkSpace图像您可以在同一区域内或跨区域复制映像.
June27,2019自助服务WorkSpace用户的管理能力您可以启用自助服务WorkSpace管理功能,以便用户更好地掌控自己的体验.
November19,2018BYOL自动化您可以使用自带许可证(BYOL)自动化来简化将Windows7和Windows10桌面许可证用于WorkSpaces.
November16,2018PowerPro和GraphicsPro捆绑销售的PowerPro和GraphicsPro捆绑销售现在可用于AmazonWorkSpaces.
October18,2018监控成功WorkSpace登录您可以使用Amazon的事件CloudWatch要监控和应对成功的事件WorkSpace登录.
September17,2018URI登录您可以使用统一资源标识符(URI)为用户提供访问其WorkSpaces.
July31,2018AmazonLinuxWorkSpaces您可以配置AmazonLinuxWorkSpaces您的用户.
June26,2018IP访问控制组您可以控制用户可从中访问其WorkSpaces.
April30,2018就地升级您可以升级您的Windows10BYOLWorkSpaces到较新版本的Windows10.
March9,2018早期更新下表说明了2018年1月1日之前AmazonWorkSpaces服务及其文档集的重要补充部分.
159AmazonWorkSpaces管理指南早期更新更改DescriptionDate灵活的计算选项您可以切换您的WorkSpaces价值、标准、性能和电源捆绑之间2017年12月22日可配置存储您可以为配置根卷和用户卷的大小WorkSpaces当您在上启动这些卷时,请增加这些卷的大小.
2017年12月22日控制设备访问您可以指定有权访问的设备类型WorkSpaces.
此外,您可以限制对WorkSpaces到可信设备(也称为托管设备).
2017年6月19日林间信任您可以在您的AWS托管MicrosoftAD和本地MicrosoftActiveDirectory域,然后提供WorkSpaces用于本地域中的用户.
2017年2月9日WindowsServer2016服务包AmazonWorkSpaces提供了包含Windows10桌面体验并由WindowsServer2016提供支持的服务包.
2016年11月29日每小时WorkSpaces您可以配置您的WorkSpaces以便用户按小时计费.
2016年8月18日Windows10BYOL您可以将Windows10桌面许可证提供给AmazonWorkSpaces(BYOL).
2016年7月21日标记支持您可以使用标签来管理和跟踪您的WorkSpaces.
2016年5月17日已保存的注册每次输入新的注册代码时,WorkSpaces客户将其存储.
这样可以更轻松地在WorkSpaces在不同目录或Regions(地区)中.
2016年1月28日Windows7BYOL、工作区加密您可以将Windows7桌面许可证带到AmazonWorkSpaces(比索)和使用WorkSpace加密.
2015年10月1日CloudWatch监控添加了有关CloudWatch监控的信息.
2015年4月28日会话自动重新连接在中添加了有关自动会话重新连接功能的信息WorkSpaces桌面客户端应用程序.
2015年3月31日公有IP地址您可以自动将公共IP地址分配给您的WorkSpaces.
2015年1月23日AmazonWorkSpaces于年推出亚太区域(新加坡)AmazonWorkSpaces在亚太区域(新加坡)区域中可用.
2015年1月15日增加了经济服务包、标准服务包更新、增加了Office2013提供了经济服务包,升级了标准服务包硬件,并且在Plus软件包中提供了MicrosoftOffice2013.
2014年11月6日映像和服务包支持您可以从WorkSpace已经自定义,并且WorkSpace从图像捆绑.
2014年10月28日PCoIP零客户端支持您可以访问AmazonWorkSpacesPCoIP客户机设备为零.
2014年10月15日AmazonWorkSpaces于年推出亚太区域(东京)AmazonWorkSpaces在亚太区域(东京)区域中可用.
2014年8月26日160AmazonWorkSpaces管理指南早期更新更改DescriptionDate本地打印机支持您可以为WorkSpaces.
2014年8月26日多重身份验证您可以在连接的目录中使用多重验证.
2014年8月11日默认OU支持和目标域支持您可以选择默认的组织单位(OU),WorkSpace计算机帐户,以及一个独立域,WorkSpace计算机帐户已创建.
2014年7月7日添加安全组您可以将授权组添加到您的WorkSpaces.
2014年7月7日AmazonWorkSpaces于年推出亚太区域(悉尼)AmazonWorkSpaces在亚太区域(悉尼)区域中可用.
2014年5月15日AmazonWorkSpaces于年推出欧洲(爱尔兰)AmazonWorkSpaces在欧洲(爱尔兰)区域中可用.
2014年5月5日公开测试版AmazonWorkSpaces公开测试版已推出.
2014年3月25日161AmazonWorkSpaces管理指南本文属于机器翻译版本.
若本译文内容与英语原文存在差异,则一律以英文原文为准.
AlphaVPS是一家保加利亚本土主机商(DA International Group Ltd),提供VPS主机及独立服务器租用等,数据中心包括美国(洛杉矶/纽约)、德国、英国和保加利亚等,公司办公地点跟他们提供的保加利亚数据中心在一栋楼内,自有硬件,提供IPv4+IPv6,支持PayPal或者信用卡等方式付款。商家提供的大硬盘VPS主机,提供128GB-2TB磁盘,最低年付15欧元起,也可以选择...
官方网站:点击访问王小玉网络官网活动方案:买美国云服务器就选MF.0220.CN 实力 强 强 强!!!杭州王小玉网络 旗下 魔方资源池 “我亏本你引流活动 ” mf.0220.CNCPU型号内存硬盘美国CERA机房 E5 2696v2 2核心8G30G总硬盘1个独立IP19.9元/月 续费同价mf.0220.CN 购买湖北100G防御 E5 2690v2 4核心4G...
LOCVPS发来了新的洛杉矶CN2线路主机上线通知,基于KVM架构,目前可与香港云地、香港邦联机房XEN架构主机一起适用7折优惠码,优惠后最低美国洛杉矶CN2线路KVM架构2GB内存套餐月付38.5元起。LOCPVS是一家成立较早的国人VPS服务商,目前提供洛杉矶MC、洛杉矶C3、和香港邦联、香港沙田电信、香港大埔、日本东京、日本大阪、新加坡、德国和荷兰等机房VPS主机,基于KVM或者XEN架构。...