您的代理服务器地址列表

AmazonWorkSpaces管理指南AmazonWorkSpaces管理指南AmazonWorkSpaces:管理指南AmazonWorkSpaces管理指南TableofContents什么是AmazonWorkSpaces1Features1Architecture1访问您的WorkSpace2Pricing2如何开始3入门:快速设置4开始前的准备工作4快速设置的作用5步骤1:启动WorkSpace5步骤2:连接到WorkSpace6步骤3:清除(可选)7后续步骤7网络和访问8的协议AmazonWorkSpaces8VPC要求9Requirements9配置具有私有子网和NAT网关的VPC9通过公有子网配置VPC13WorkSpaces的可用区15IP地址和端口要求16用于客户端应用程序的端口16要添加到允许列表中的域和IP地址171818运行状况检查服务器18PCoIP网关服务器19WSP网关服务器19网络接口19网络要求21受信任设备23第1步:创建证书23第2步:为受信任设备部署客户端证书23第3步:配置限制24智能卡身份验证24Requirements24Limitations25目录配置25为WindowsWorkSpaces启用智能卡26为LinuxWorkSpaces启用智能卡27Internet访问30安全组31IP访问控制组32创建IP访问控制组32将IP访问控制组与目录关联33复制IP访问控制组33删除IP访问控制组33PCoIP零客户端34启用SSH连接34到AmazonLinuxWorkSpaces的SSH连接的先决条件34启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接35启用与特定AmazonLinuxWorkSpace的SSH连接36使用Linux或PuTTY连接到AmazonLinuxWorkSpace36必需配置37iiiAmazonWorkSpaces管理指南必需路由表配置37必需服务组件37目录39注册目录40更新目录详细信息41选择组织单位41配置自动IP地址42控制设备访问42管理本地管理员权限43更新ADConnector账户(ADConnector)43多重验证(ADConnector)43更新WorkSpaces的DNS服务器44最佳实践44步骤1:更新WorkSpaces上的DNS服务器设置44步骤2:更新ActiveDirectory的DNS服务器设置46步骤3:测试更新的DNS服务器设置47删除目录48EnableAmazonWorkDocsforAWSManagedMicrosoftAD49设置目录管理50启动WorkSpace52启动使用AWS托管的MicrosoftAD的项53开始前的准备工作53步骤1:创建AWS托管的MicrosoftAD目录53步骤2:创建WorkSpace54第3步:连接到WorkSpace55后续步骤55使用SimpleAD启动56开始前的准备工作56第1步:创建SimpleAD目录56步骤2:创建WorkSpace57第3步:连接到WorkSpace58后续步骤58使用ADConnector启动59开始前的准备工作59步骤1:创建ADConnector59步骤2:创建WorkSpace60第3步:连接到WorkSpace61后续步骤61使用受信任域启动62开始前的准备工作62步骤1:建立信任关系62步骤2:创建WorkSpace63第3步:连接到WorkSpace63后续步骤64管理WorkSpace用户65管理WorkSpaces用户65编辑用户信息65添加或删除用户65发送邀请电子邮件66为用户创建多个WorkSpaces66自定义用户登录其WorkSpaces的方式67为您的用户启用自助服务WorkSpace管理功能68管理您的WorkSpace70管理WindowsWorkSpace70InstalltheGroupPolicyAdministrativeTemplateforPCoIP71InstalltheGroupPolicyAdministrativeTemplateFilesforWSP75设置Kerberos票证的最长使用期限81ivAmazonWorkSpaces管理指南ConfigureDeviceProxyServerSettingsforInternetAccess81管理AmazonLinuxWorkSpaces82控制AmazonLinuxWorkSpaces上的PCoIP代理行为82为AmazonLinuxWorkSpaces启用或禁用剪贴板重定向82为AmazonLinuxWorkSpaces启用或禁用音频输入重定向83为AmazonLinuxWorkSpaces启用或禁用时区重定向83将SSH访问权限授给AmazonLinuxWorkSpaces管理员84覆盖AmazonLinuxWorkSpace的默认Shell85保护自定义资料库免遭未授权访问85使用AmazonLinuxExtras库存储库85在LinuxWorkSpaces上使用智能卡进行身份验证85管理运行模式85修改运行模式86停止和启动AutoStopWorkSpace86修改WorkSpace87更改卷大小87更改捆绑包类型89标记WorkSpace资源89WorkSpace维护90AlwaysOnWorkSpaces的维护时段90AutoStopWorkSpaces的维护时段91手动维护91加密的WorkSpace92Prerequisites92Limits93使用AmazonWorkSpaces的AWSKMS加密概述93AmazonWorkSpaces加密上下文94授予代表您使用CMKAmazonWorkSpaces的权限94加密WorkSpace97查看加密的WorkSpace97重启WorkSpace98重建WorkSpace98还原WorkSpace99升级Windows10BYOLWorkSpace100Prerequisites100重要注意事项100已知限制条件101注册表项设置摘要101执行就地升级的步骤102Troubleshooting104使用PowerShell脚本更新您的WorkSpace注册表104迁移WorkSpace105迁移限制105可用的迁移方案106迁移过程中会发生什么106最佳实践107Troubleshooting107账单如何受到影响107迁移WorkSpace108删除工作区108服务包和映像110创建自定义映像和服务包110创建Windows自定义映像的要求111创建AmazonLinux自定义映像的要求111最佳实践112(可选)步骤1:为您的映像指定自定义计算机名称格式112步骤2:运行映像检查程序113vAmazonWorkSpaces管理指南步骤3:创建自定义映像和自定义服务包119WindowsWorkSpace自定义映像中包含的内容120AmazonLinuxWorkSpace自定义映像包含的内容121更新自定义服务包121复制自定义映像122共享或取消共享自定义映像124删除自定义捆绑包或映像125自带Windows桌面许可证126Requirements126支持BYOL的Windows版本127将MicrosoftOffice添加到BYOL映像128步骤1:使用AmazonWorkSpaces控制台为您的账户启用BYOL131步骤2:在WindowsVM上运行BYOL检查程序PowerShell脚本131步骤3:将VM从虚拟化环境中导出132步骤4:将VM作为映像导入AmazonEC2133步骤5:使用AmazonWorkSpaces控制台创建BYOL映像133步骤6:从BYOL映像创建自定义捆绑包134步骤7:为专用WorkSpaces注册目录134步骤8:启动BYOLWorkSpace135监控您的WorkSpaces136使用CloudWatch指标监控136AmazonWorkSpaces指标136AmazonWorkSpaces指标的维度138监控示例138使用CloudWatchEvents监控139WorkSpaces事件139创建一个规则来处理WorkSpaces事件141业务连续性142跨区域重定向142Prerequisites143Limitations144步骤1:创建连接别名144(可选)步骤2:与其他账户共享连接别名144步骤3:将连接别名与每个区域中的目录关联145步骤4:配置DNS服务并设置DNS路由策略146步骤5:将连接字符串发送给WorkSpaces您的用户148跨区域重定向过程中会发生什么149取消连接别名与目录的关联149取消共享连接别名149删除连接别名150用于关联和取消关联连接别名的IAM权限150停止使用跨区域重定向时的安全注意事项151安全152数据保护152静态加密153传输中加密153IdentityandAccessManagement153创建workspaces_DefaultRole角色156在AmazonWorkSpaces策略中指定IAM资源157合规性验证160故障恢复能力161基础设施安全性161网络隔离161物理主机上的隔离161企业用户授权161通过VPC接口终端节点发出AmazonWorkSpacesAPI请求162为创建VPC终端节点策略AmazonWorkSpaces163viAmazonWorkSpaces管理指南将您的专用网络连接到VPC163更新管理163AmazonWAM164问题排查165启用高级日志记录165排查特定问题166我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符167我更改了我的AmazonLinuxWorkSpaceshell,现在我无法预配置PCoIP会话167我的AmazonLinuxWorkSpaces不会启动167在WorkSpaces我连接的目录中启动通常会失败168启动WorkSpaces失败,出现内部错误168当我尝试注册目录时,注册失败,并且目录处于ERROR(错误)状态169我的用户无法连接到WorkSpace具有交互式登录横幅的Windows169我的用户无法连接到WindowsWorkSpace169AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
170我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
170我的用户收到消息"此设备无权访问WorkSpace.
请联系您的管理员寻求帮助.
170我的用户收到消息"Nonetwork.
网络连接丢失.
检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace171WorkSpaces客户端会为我的用户提供网络错误,但他们能够在其设备上使用其他启用网络的应用程序171我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
172我的PCoIP零客户端用户收到错误"提供的证书由于时间戳而无效"172我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示173我的用户没有收到邀请电子邮件或密码重置电子邮件173我的用户在客户端登录屏幕上看不到"忘记密码"选项173尝试在Windows上安装应用程序时,我收到消息"系统管理员已设置策略以防止此安装"WorkSpace173WorkSpaces我的目录中没有可以连接到Internet174我的Internet访问WorkSpace中断174当我尝试连接我的本地目录时收到一条"DNSunavailable"错误174在尝试连接到我的本地目录时,我收到一条"Connectivityissuesdetected"错误174在尝试连接到我的本地目录时,我收到一条"SRVrecord"错误174我的Windows在空闲时WorkSpace进入睡眠状态175我的某个WorkSpaces的状态为UNHEALTHY175我的WorkSpace意外崩溃或重启176同一用户名有多个WorkSpace,但用户只能登录其中一个WorkSpaces178我在将Docker与结合使用时遇到问题AmazonWorkSpaces178我的一些API调用收到ThrottlingException错误178配额180文档历史记录181早期更新183clxxxvviiAmazonWorkSpaces管理指南Features什么是AmazonWorkSpacesAmazonWorkSpaces使您可以为用户预置基于云的虚拟MicrosoftWindows或AmazonLinux桌面(称为WorkSpaces).
AmazonWorkSpaces使您无需购买和部署硬件或安装复杂的软件.
您可以根据需求的变更,快速添加或删除用户.
用户可以从多个设备或Web浏览器访问自己的虚拟桌面.
有关更多信息,AmazonWorkSpaces请参阅.
Features选择您的操作系统(Windows或AmazonLinux),然后在一系列硬件配置、软件配置和AWS区域中选择.
有关更多信息,请参阅AmazonWorkSpacesBundles和thesectioncalled"创建自定义映像和服务包"(p.
110).
选择您的协议:PCoIP或WorkSpacesStreamingProtocol(WSP).
有关更多信息,请参阅的协议AmazonWorkSpaces(p.
8).
连接到您的WorkSpace并从您上次停止的地方开始.
AmazonWorkSpaces提供持久桌面体验.
AmazonWorkSpaces提供了按月或按小时对计费的灵活性WorkSpaces.
有关更多信息,请参阅AmazonWorkSpaces定价.
WorkSpaces使用AmazonWorkSpacesApplicationManager(AmazonWAM)为Windows部署和管理应用程序.
对于Windows桌面,您可以自带许可证和应用程序,或从适用于桌面应用程序的AWSMarketplace中购买应用程序.
为您的用户创建独立的托管目录,或将您的WorkSpaces连接到您的本地目录,以便您的用户可以使用其现有凭证无缝访问企业资源.
有关更多信息,请参阅目录(p.
39).
使用与WorkSpaces管理本地桌面相同的工具来管理.
使用多重身份验证(MFA),以增强安全性.
使用AWSKeyManagementService(AWSKMS)来加密静态数据、磁盘I/O和卷快照.
控制允许用户从中访问其的IP地址WorkSpaces.
Architecture对于Windows和AmazonLinuxWorkSpaces,每个WorkSpace都与VirtualPrivateCloud(VPC)以及用于存储和管理WorkSpaces和用户信息的目录关联.
有关更多信息,请参阅thesectioncalled"VPC要求"(p.
9).
目录通过AWSDirectoryService来管理,其中提供了以下选项:SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD).
有关更多信息,请参阅AWSDirectoryServiceAdministrationGuide.
AmazonWorkSpaces使用您的SimpleAD、ADConnector或AWSManagedMicrosoftAD目录对用户进行身份验证.
用户使用受支持的设备上的WorkSpaces客户端应用程序或Web浏览器访问其WorkSpaces,并使用目录凭证登录.
登录信息将发送到身份验证网关,该网关将流量转发到的目录WorkSpace.
对用户进行身份验证后,流式传输流量将通过流式传输网关启动.
客户端应用程序使用HTTPS通过端口443处理所有身份验证及与会话相关的信息,客户端应用程序使用端口4172(PCoIP)和端口495(WSP)实现到的像素流式传输WorkSpace,并使用端口4172和495进行网络运行状况检查.
有关更多信息,请参阅用于客户端应用程序的端口(p.
16).
每个WorkSpace具有两个与之关联的弹性网络接口:一个网络接口用于管理和流式处理(eth0另一个是主网络接口(eth1主网络接口的IP地址由VPC(其子网与目录所用的子网相同)提供.
这可确保来自的流量1AmazonWorkSpaces管理指南访问您的WorkSpaceWorkSpace可以轻松到达目录.
对VPC中资源的访问权限由分配给主网络接口的安全组控制.
有关更多信息,请参阅网络接口(p.
19).
下图演示了的架构.
AmazonWorkSpaces.
有关其他架构图,请参阅部署的最佳实践AmazonWorkSpaces白皮书.
访问您的WorkSpace您可以使用受支持设备的WorkSpaces客户端应用程序连接到,或者对于WindowsWorkSpaces,在受支持的操作系统上使用受支持的Web浏览器连接到.
Note您不能使用Web浏览器连接到AmazonLinuxWorkSpaces.
客户端应用程序可用于以下设备:Windows计算机macOS计算机UbuntuLinux18.
04计算机iPadsAndroid设备Fire平板电脑零客户端设备(仅支持Teradici零客户端设备)PCoIP.
)有关更多信息,请参阅AmazonWorkSpaces中的AmazonWorkSpaces用户指南客户端.
Pricing注册AWS后,您便可通过AmazonWorkSpaces免费套餐优惠开始免费使用AmazonWorkSpaces有关更多信息,请参阅AmazonWorkSpaces定价.
2AmazonWorkSpaces管理指南如何开始使用AmazonWorkSpaces,您可以按实际用量付费.
将根据服务包和WorkSpaces您启动的的数量向您收费.
AmazonWorkSpaces的定价包含SimpleAD和ADConnector的使用,但不包含AWS托管的MicrosoftAD的使用.
AmazonWorkSpaces提供的每月或每小时账单WorkSpaces.
通过按月计费,您可以为无限制使用支付固定费用,这最适合使用其WorkSpaces全部时间的用户.
通过按小时计费,您可以按支付小型固定月费WorkSpace,加上按小时收取的低小时费率,该小时WorkSpace运行.
有关更多信息,请参阅AmazonWorkSpaces定价.
有关支持的区域的信息,请参阅AmazonWorkSpaces定价.
如何开始要创建WorkSpace,请尝试以下某个教程中介绍的方法:使用AmazonWorkSpaces快速设置来入门(p.
4)启动使用AWS托管的MicrosoftAD的WorkSpace(p.
53)启动使用SimpleAD的WorkSpace(p.
56)启动使用ADConnector的WorkSpace(p.
59)启动使用受信任域的WorkSpace(p.
62)3AmazonWorkSpaces管理指南开始前的准备工作使用AmazonWorkSpaces快速设置来入门在本教程中,您将了解如何使用AmazonLinux和预置基于云的虚拟MicrosoftWindows或桌面(称为WorkSpaceAmazonWorkSpacesAWSDirectoryService本教程使用快速设置选项启动您的WorkSpace.
只有在您从未启动过WorkSpace时该选项才可用.
或者,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
Note以下AWS区域支持快速设置:美国东部(弗吉尼亚北部)美国西部(俄勒冈)欧洲(爱尔兰)亚太区域(新加坡)亚太区域(悉尼)亚太区域(东京)要更改您的区域,请参阅选择区域.
任务开始前的准备工作(p.
4)快速设置的作用(p.
5)步骤1:启动WorkSpace(p.
5)步骤2:连接到WorkSpace(p.
6)步骤3:清除(可选)(p.
7)后续步骤(p.
7)开始前的准备工作在您开始之前,确保您满足以下要求:您必须拥有AWS账户才能创建或管理WorkSpace.
用户连接和使用其WorkSpaces不需要AWS账户.
AmazonWorkSpaces并非在所有区域均可用.
验证支持的区域,并为WorkSpaces选择区域.
有关受支持区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
在继续操作之前,查看并了解以下概念也很有帮助:启动WorkSpace时,您必须选择一个WorkSpace服务包.
有关更多信息,请参阅AmazonWorkSpaces服务包.
当您启动WorkSpace时,您必须选择要与服务包一起使用的协议(PCoIP或WorkSpacesStreamingProtocol[WSP]).
有关更多信息,请参阅的协议AmazonWorkSpaces(p.
8).
当您启动WorkSpace时,必须指定用户的配置文件信息,包括用户名和电子邮件地址.
用户通过指定密码完成其配置文件.
有关WorkSpace和用户的信息会存储在目录中.
有关更多信息,请参阅目录(p.
39).
4AmazonWorkSpaces管理指南快速设置的作用快速设置的作用快速设置将代表您完成以下任务:创建IAM角色以允许AmazonWorkSpaces服务创建弹性网络接口并列出您的AmazonWorkSpaces目录.
此角色的名称为workspaces_DefaultRole.
创建VirtualPrivateCloud(VPC).
如果要改用现有VPC,请确保它满足中记录的要求为配置VPCAmazonWorkSpaces(p.
9),然后按照中列出的其中一个教程中的步骤操作使用AmazonWorkSpaces启动虚拟桌面(p.
52).
选择与要使用的ActiveDirectory类型对应的教程.
在VPC中设置SimpleAD目录.
此SimpleAD目录用于存储用户和WorkSpace信息.
该目录有一个管理员账户并为AmazonWorkDocs启用.
创建指定用户账户并将其添加到目录.
创建WorkSpaces每个WorkSpace都会收到一个公有IP地址以提供Internet访问.
运行模式为AlwaysOn.
有关更多信息,请参阅管理WorkSpace运行模式(p.
85).
向指定的用户发送邀请电子邮件.
如果您的用户未收到邀请电子邮件,请参阅发送邀请电子邮件(p.
66).
Note快速设置创建的第一个用户账户是您的管理员用户账户.
您无法从AmazonWorkSpaces控制台更新此用户账户.
请勿与任何其他人分享此管理员账户的信息.
如果要邀请其他用户使用WorkSpaces请为他们创建新的用户账户.
步骤1:启动WorkSpace使用QuickSetup,可以在几分钟内启动您的第一个WorkSpace.
启动WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
选择GetStartedNow.
如果您没有看到此按钮,则表明您已在此区域中启动WorkSpace,或者您没有使用支持快速设置的区域(p.
4)之一.
在这种情况下,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
3.
在GetStartedwithAmazonWorkSpaces(开始使用AmazonWorkSpaces)页面的QuickSetup(快速设置)旁边,选择Launch(启动).
5AmazonWorkSpaces管理指南步骤2:连接到WorkSpace4.
对于Bundles(捆绑包),选择具有相应协议PCoIP或WSP)的用户捆绑包(硬件和软件).
有关AmazonWorkSpaces可用的各种公有服务包的更多信息,请参阅AmazonWorkSpace服务包.
5.
对于EnterUserDetails,填写Username、FirstName、LastName和Email.
Note如果这是您首次使用AmazonWorkSpaces,我们建议您自行创建用户以进行测试.
6.
选择LaunchWorkSpaces.
7.
在确认页面上,选择ViewtheWorkSpacesConsole.
启动WorkSpace大约需要20分钟.
要监控进度,请转到左侧导航窗格,然后选择Directories(目录).
您将看到正在创建的目录的初始状态为REQUESTED,然后是CREATING.
在创建目录并具有状态后ACTIVE,您可以在左侧导航窗格中选择WorkSpaces以监控WorkSpace启动过程的进度.
WorkSpace的初始状态是PENDING.
启动完成后,状态会变为AVAILABLE,并且系统会向您为每个用户指定的电子邮件地址发送邀请.
如果您的用户未收到邀请电子邮件,请参阅发送邀请电子邮件(p.
66).
步骤2:连接到WorkSpace收到邀请电子邮件后,您可以使用所选的客户端连接到WorkSpace.
登录后,此客户端会显示WorkSpace桌面.
连接到WorkSpace1.
如果您尚未为用户设置凭证,则打开邀请电子邮件中的链接,按照指示操作.
记住您指定的密码,因为您需要它来连接到WorkSpace.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
密码必须混合使用以下各类别字符:小写字母(a-z)、大写字母(A-Z)、数字(0-9以及集6AmazonWorkSpaces管理指南步骤3:清除(可选)2.
在中查看AmazonWorkSpacesClientsAmazonWorkSpaces用户指南(客户端),了解有关每个客户端的要求的更多信息,然后执行以下操作之一:在系统提示时,下载客户端应用程序之一或启动WebAccess.
如果您未看到提示,并且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载其中一个客户端应用程序或启动WebAccess.
Note您不能使用Web浏览器(WebAccess)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
有关使用客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅AmazonWorkSpaces中的https://docs.
amazonaws.
cn/workspaces/latest/userguide/peripheral_devices.
html客户端和AmazonWorkSpaces用户指南外围设备支持.
步骤3:清除(可选)如果您使用完为本教程创建的WorkSpace,可将其删除.
有关更多信息,请参阅thesectioncalled"删除工作区"(p.
108).
NoteSimpleAD可供您免费将与WorkSpaces结合使用.
如果连续30天没有WorkSpaces与您的SimpleAD目录一起使用,则此目录将自动取消注册以用于AmazonWorkSpaces,并且将按照AWSDirectoryService定价条款对此目录收费.
要删除空目录,请参阅删除您的WorkSpace目录(p.
48).
如果删除目录,在您希望再次开始使用WorkSpaces时,您始终可以创建一个新的SimpleAD目录.
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后在WorkSpace中创建自定义服务包.
您还可以为您的WorkSpaces和WorkSpaces执行各种管理任务.
有关更多信息,请参阅以下文档.
创建自定义WorkSpace映像和服务包(p.
110)管理您的WorkSpace(p.
70)管理AmazonWorkSpaces目录(p.
39)要创建其他WorkSpaces请执行以下操作之一:如果要继续使用快速设置创建的VPC和SimpleAD目录,您可以按照使用SimpleAD启动WorkSpaces教程的步骤2:创建WorkSpace(p.
57)部分中的步骤为其他用户添加WorkSpace.
如果您需要使用其他目录类型,或者您需要使用现有的ActiveDirectory,请参阅中的相应教程使用AmazonWorkSpaces启动虚拟桌面(p.
52).
有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅AmazonWorkSpaces中的https://docs.
amazonaws.
cn/workspaces/latest/userguide/peripheral_devices.
html客户端和AmazonWorkSpaces用户指南外围设备支持.
7AmazonWorkSpaces管理指南的协议AmazonWorkSpacesAmazonWorkSpaces的网络和访问作为WorkSpace管理员,您必须了解以下有关AmazonWorkSpaces网络和访问的内容.
目录的协议AmazonWorkSpaces(p.
8)为配置VPCAmazonWorkSpaces(p.
9)的可用区AmazonWorkSpaces(p.
15)AmazonWorkSpaces的IP地址和端口要求(p.
16)AmazonWorkSpaces客户端网络要求(p.
21)限制对受信任设备的WorkSpaces访问(p.
23)使用智能卡进行身份验证(p.
24)提供WorkSpace的Internet访问权限(p.
30)的安全组WorkSpaces(p.
31)适用于您的WorkSpace的IP访问控制组(p.
32)为WorkSpace设置PCoIP零客户端(p.
34)为您的LinuxWorkSpace启用SSH连接(p.
34)WorkSpace的必需配置和服务组件(p.
37)的协议AmazonWorkSpacesAmazonWorkSpaces支持两种协议PCoIP和WorkSpacesStreamingProtocol(WSP).
您选择的协议取决于多个因素,例如您的用户将从中访问其WorkSpaces的设备的类型、您的WorkSpaces操作系统、您的用户将面临的网络条件以及您的用户是否需要双向视频支持.
何时使用PCoIP如果您想使用iPad或Linux客户端.
如果您使用Teradici零客户端设备.
如果您需要使用基于GPU的捆绑包(Graphics或GraphicsPro如果您需要将Linux捆绑包用于非智能卡使用案例.
如果您需要在中国(宁夏)区域中使用WorkSpaces何时使用WSP如果您需要更高的损失/延迟容差来支持您的最终用户网络条件.
例如,您的用户跨全局距离或使用不可靠的网络访问其WorkSpaces.
如果您需要用户使用智能卡进行身份验证,或者在会话中使用智能卡.
如果您在会话中需要网络摄像头支持功能.
(WSPWorkSpaces中的Webcam支持是一项测试版功能.
)Note目录中可以混合有PCoIP和WSPWorkSpaces.
8AmazonWorkSpaces管理指南VPC要求用户可以同时拥有PCoIP和WSPWorkSpace前提是两个WorkSpaces位于不同的目录中.
同一用户不能在同一目录中具有PCoIP和WSPWorkSpace.
有关为用户创建多个WorkSpaces的更多信息,请参阅为用户创建多个WorkSpaces(p.
66).
您可以使用WorkSpace迁移功能在两个协议之间迁移WorkSpaces该功能需要重建WorkSpace.
有关更多信息,请参阅迁移WorkSpace(p.
105).
为配置VPCAmazonWorkSpacesAmazonWorkSpaces在VirtualPrivateCloud(VPC)WorkSpaces中启动.
您的WorkSpaces必须能够访问Internet,以便将更新安装到操作系统并使用AmazonWorkSpacesApplicationManager()AmazonWAM部署应用程序.
您可以为创建具有两个私有子网的WorkSpacesVPC,并在公有子网中创建NAT网关.
或者,您可以为创建具有两个公有子网的WorkSpacesVPC,并将弹性IP地址与每个关联WorkSpace.
Tip有关各种部署场景的目录和VirtualPrivateCloud(VPC)设计注意事项的详细探讨,请参阅部署最佳实践AmazonWorkSpaces白皮书.
主题Requirements(p.
9)配置具有私有子网和NAT网关的VPC(p.
9)通过公有子网配置VPC(p.
13)Requirements您的VPC的子网必须位于您要启动的区域中的不同可用区中WorkSpaces.
可用区是被设计为可隔离其他可用区中的故障的不同位置.
通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响.
每个子网都必须完全位于一个可用区之内,不能跨越多个可用区.
NoteAmazonWorkSpaces在每个受支持区域中的可用区子集中可用.
要确定可用于用于的VPC子网的可用区WorkSpaces,请参阅的可用区AmazonWorkSpaces(p.
15).
配置具有私有子网和NAT网关的VPC如果您使用AWSDirectoryService来创建AWS托管的MicrosoftAD或SimpleAD,我们建议您使用一个公有子网和两个私有子网来配置VPC.
配置目录以在私有子网WorkSpaces中启动.
要提供对私有子网WorkSpaces中的Internet访问,请在公有子网中配置NAT网关.
9AmazonWorkSpaces管理指南配置具有私有子网和NAT网关的VPCPrerequisites如果您还不熟悉VPCs和子网的使用,我们建议您先阅读IPv4中的VPC和子网大小调整AmazonVPC用户指南,然后再执行以下任务.
任务步骤1:分配弹性IP地址(p.
10)步骤2:创建VPC(p.
11)步骤3:添加第二个私有子网(p.
12)步骤4:验证并命名路由表(p.
12)步骤5:将您的WorkSpaces路由到子网(p.
13)Note作为配置具有私有子网和NAT网关的VPC的以下过程的替代方法,您可以按照"入门项目"教程中的步骤操作,该教程详细说明了如何设置VPC和WorkSpaces目录.
该教程还介绍了如何启动WorkSpaces、创建自定义映像和服务包,以及执行与管理相关的其他任务WorkSpaces.
步骤1:分配弹性IP地址为您的NAT网关分配弹性IP地址,如下所示.
请注意,如果您使用其他方法来提供Internet访问,则可以跳过此步骤.
10AmazonWorkSpaces管理指南配置具有私有子网和NAT网关的VPC分配弹性IP地址1.
打开AmazonVPC控制台https://console.
amazonaws.
cn/vpc/.
2.
在导航窗格中,选择Elastic(弹性IPs).
3.
选择AllocateElasticIPaddress(分配弹性IP地址).
4.
在AllocateElasticIPaddress(分配弹性IP地址)页面上,对于PubliciPv4addresspool(公有地址池),选择Amazon'spoolofIPv4addresses(Amazon的地址池)、PublicaddressthatyoufringtoyouAWSaccount(您引入到AWS账户IPv4的公有地址)或Customerownedpoolofaddresses(客户拥有IPv4的地址池),然后选择Allocate(分配).
5.
记下弹性IP地址,然后选择关闭.
步骤2:创建VPC按照如下所示创建具有一个公有子网和两个私有子网的VPC.
创建VPC1.
打开AmazonVPC控制台https://console.
amazonaws.
cn/vpc/.
2.
在导航窗格中,选择左上角的VPCDashboard(VPC控制面板).
3.
选择LaunchVPCWizard(启动VPC向导).
4.
选择VPCwithPublicandPrivateSubnets,然后选择Select.
5.
按下面所示配置VPC:a.
对于IPv4CIDRblock(CIDR块),输入VPC的CIDR块.
我们建议您使用私有(非公共可路由)IP地址范围(RFC1918.
中所指定)内的CIDR块.
例如,10.
0.
0.
0/16.
有关更多信息,请参阅IPv4中的的VPCAmazonVPC用户指南和子网大小调整.
b.
对于IPv6CIDRBlock(CIDR块),保留NoCIDRBlock(无IPv6CIDR块).
c.
对于VPCname(VPC名称),输入VPC的名称.
6.
按照如下所示配置公有子网:a.
对于IPv4CIDRblock(CIDR块),输入子网的CIDR块.
例如,10.
0.
0.
0/24.
有关更多信息,请参阅IPv4中的的VPCAmazonVPC用户指南和子网大小调整.
b.
对于可用区,保留无首选项.
c.
对于公有子网名称,输入子网的名称(例如,WorkSpacesPublicSubnet).
7.
按照如下所示配置第一个私有子网:a.
对于Privatesubnet'sIPv4CIDR(私有子网的CIDR),输入子网的CIDR块.
例如,10.
0.
1.
0/24.
b.
要为可用区进行适当的选择,请参阅的可用区AmazonWorkSpaces(p.
15).
c.
对于私有子网名称,输入子网的名称(例如,WorkSpacesPrivateSubnet1).
8.
对于ElasticIPAllocationID(弹性IP分配ID),选择您创建的弹性IP地址.
请注意,如果您使用其他方法来提供Internet访问,则可以跳过此步骤.
9.
对于Serviceendpoints(服务终端节点),不执行任何操作.
10.
对于启用DNS主机名,保留是.
11.
对于硬件租赁,请保留默认值.
12.
选择CreateVPC.
请注意,设置您的VPC可能需要几分钟.
创建了VPC后,选择OK.
11AmazonWorkSpaces管理指南配置具有私有子网和NAT网关的VPCNote您可以将IPv6CIDR块与您的VPC和子网关联.
但是,如果您将子网配置为自动将IPv6地址分配给在子网中启动的实例,则无法使用Graphics捆绑包.
(但是,您可以使用GraphicsPro捆绑.
)此限制来自不支持的上一代实例类型的硬件限制IPv6.
要解决此问题,您可以在启动Graphics捆绑包之前暂时禁用子网上的IPv6自动分配地址WorkSpaces设置,然后在启动Graphics捆绑包后重新启用此设置(如果需要),以便任何其他捆绑包接收所需的IP地址.
默认情况下,自动分配IPv6地址设置处于禁用状态.
要从AmazonVPC控制台检查此设置,请在导航窗格中选择子网.
选择子网,然后依次选择操作、修改自动分配公有IP.
有关使用IPv6地址的更多信息,请参阅中的您的VPCAmazonVPC用户指南中的IP寻址.
步骤3:添加第二个私有子网在上一步中,您创建了具有一个公有子网和一个私有子网的VPC.
使用以下过程添加第二个私有子网.
添加私有子网1.
在导航窗格中,选择Subnets.
2.
选择CreateSubnet.
3.
对于名称标签,输入私有子网的名称(例如,WorkSpacesPrivateSubnet2).
4.
对于VPC,选择您创建的VPC.
5.
要为可用区进行适当的选择,请参阅的可用区AmazonWorkSpaces(p.
15).
确保选择与Step7(p.
11)之前选择的可用区不同的可用区.
6.
对于IPv4CIDRblock(CIDR块),输入子网的CIDR块.
例如,10.
0.
2.
0/24.
7.
选择Create(创建)和Close(关闭).
步骤4:验证并命名路由表您可以验证并命名各个子网的路由表.
验证并命名路由表1.
在导航窗格中,选择Subnets(子网),然后选择您创建的公有子网.
a.
在RouteTable(路由表)选项卡上,选择路由表的ID(例如rtb-12345678b.
选择路由表.
在Name(名称)下,选择编辑图标(铅笔),输入一个名称(例如workspaces-public-routetable,),然后选择复选标记以保存名称.
c.
在Routes(路由)选项卡上,验证有一个路由用于发送本地流量,另一个路由用于向VPC的Internet网关发送所有其他流量.
例如,您应看到类似于下表中的条目.
目的地目标10.
0.
0.
0/16本地0.
0.
0.
0/0igw-123456782.
在导航窗格中,选择Subnets(子网),然后选择您创建的第一个私有子网(例如WorkSpacesPrivateSubnet1).
a.
在RouteTable选项卡上,选择路由表的ID.
b.
选择路由表.
在Name(名称)下,选择编辑图标(铅笔),然后输入名称(例如workspaces-private-routetable,),然后选择复选标记以保存名称.
c.
在Routes(路由)选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向NAT网关发送所有其他流量.
例如,您应看到类似于下表中的条目.
12AmazonWorkSpaces管理指南通过公有子网配置VPC目的地目标10.
0.
0.
0/16本地0.
0.
0.
0/0nat-12345678Note要为私有子网WorkSpaces中的提供Internet访问,请确保您的NAT网关已在公有子网中配置.
3.
在导航窗格中,选择Subnets(子网),然后选择您创建的第二个私有子网(例如WorkSpacesPrivateSubnet2).
在RouteTable(路由表)选项卡上,验证路由表是否为私有路由表(例如,workspaces-private-routetable).
如果路由表不同,请选择Edit(编辑),然后选择此路由表.
步骤5:将您的WorkSpaces路由到子网要将路由到WorkSpacesVPC的子网,请确保在设置WorkSpaces目录的过程中选择VPC和子网.
要设置WorkSpaces您的目录,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52),并选择适合您要使用的目录类型的教程(AWS托管的MicrosoftAD、SimpleAD、ADConnector,或AWS托管的MicrosoftAD目录与本地域之间的信任关系).
通过公有子网配置VPC如果您愿意,您可以创建具有两个公有子网的VPC.
要在公有子网WorkSpaces中提供对的Internet访问,请将目录配置为自动或手动为每个分配弹性IP地址WorkSpace.
Prerequisites如果您还不熟悉VPCs和子网的使用,我们建议您先阅读IPv4中的VPC和子网大小调整AmazonVPC用户指南,然后再执行以下任务.
任务步骤1:创建VPC(p.
13)步骤2:添加第二个公有子网(p.
14)步骤3:分配弹性IP地址(p.
14)步骤4:将您的WorkSpaces路由到子网(p.
15)步骤1:创建VPC如下所示创建具有一个公有子网的VPC.
创建VPC1.
打开AmazonVPC控制台https://console.
amazonaws.
cn/vpc/.
2.
在导航窗格中,选择左上角的VPCDashboard(VPC控制面板).
3.
选择LaunchVPCWizard(启动VPC向导).
4.
选择带单个公有子网的VPC,然后选择选择.
5.
对于IPv4CIDRblock(CIDR块),输入VPC的CIDR块.
我们建议您使用私有(非公共可路由)IP地址范围(RFC1918.
中所指定)内的CIDR块.
例如,10.
0.
0.
0/16.
有关更多信息,请参阅IPv4中的的VPCAmazonVPC用户指南和子网大小调整.
13AmazonWorkSpaces管理指南通过公有子网配置VPC6.
对于IPv6CIDRblock(CIDR块),保留NoCIDRBlock(无IPv6CIDR块).
7.
对于VPCname(VPC名称),输入VPC的名称.
8.
对于Publicsubnet'sIPv4CIDR(公有子网的CIDR),输入子网的CIDR块.
例如,10.
0.
0.
0/24.
有关更多信息,请参阅IPv4中的的VPCAmazonVPC用户指南和子网大小调整.
9.
要为可用区进行适当的选择,请参阅的可用区AmazonWorkSpaces(p.
15).
10.
(可选)对于Subnetname(子网名称),输入子网的名称.
11.
对于Serviceendpoints(服务终端节点),不执行任何操作.
12.
对于启用DNS主机名,保留是.
13.
对于硬件租赁,请保留默认值.
14.
选择CreateVPC.
创建了VPC后,选择OK.
Note您可以将IPv6CIDR块与您的VPC和子网关联.
但是,如果您将子网配置为自动将IPv6地址分配给在子网中启动的实例,则无法使用Graphics服务包.
(但是,您可以使用GraphicsPro捆绑.
)此限制来自不支持的上一代实例类型的硬件限制IPv6.
要解决此问题,您可以在启动Graphics捆绑包之前暂时禁用子网上的IPv6自动分配地址WorkSpaces设置,然后在启动Graphics捆绑包后重新启用此设置(如果需要),以便任何其他捆绑包接收所需的IP地址.
默认情况下,自动分配IPv6地址设置处于禁用状态.
要从AmazonVPC控制台检查此设置,请在导航窗格中选择子网.
选择子网,然后依次选择操作、修改自动分配公有IP.
有关使用IPv6地址的更多信息,请参阅中的您的VPCAmazonVPC用户指南中的IP寻址.
步骤2:添加第二个公有子网在上一步中,您创建了具有一个公有子网的VPC.
使用以下过程可添加第二个公有子网,并将其与第一个公有子网的路由表关联,而第一个公有子网具有指向VPC的Internet网关的路由.
添加公有子网1.
在导航窗格中,选择Subnets.
2.
选择CreateSubnet.
3.
对于Nametag(名称标签),输入子网的名称.
4.
对于VPC,选择您创建的VPC.
5.
要为可用区进行适当的选择,请参阅的可用区AmazonWorkSpaces(p.
15).
确保选择与Step9(p.
14)之前选择的可用区不同的可用区.
6.
对于IPv4CIDRblock(CIDR块),输入子网的CIDR块.
例如,10.
0.
1.
0/24.
7.
选择Create.
创建子网后,选择关闭.
8.
将新的公有子网与为第一个子网创建的路由表关联:a.
在导航窗格中,选择Subnets.
b.
选择第一个子网.
c.
在RouteTable选项卡上,选择路由表的ID.
d.
在子网关联选项卡上,选择编辑子网关联.
e.
选中第二个子网(您刚创建的公有子网)的复选框,然后选择Save(保存).
步骤3:分配弹性IP地址您可以自动或手动将弹性IP地址WorkSpaces(静态公有IP地址)分配给您的.
要使用自动分配,请参阅配置自动IP地址(p.
42).
要手动分配弹性IP地址,请使用以下过程.
14AmazonWorkSpaces管理指南WorkSpaces的可用区Warning我们建议您不要在启动WorkSpace后修改的弹性网络接口.
如果您已在目录级别启用弹性IP地址自动分配,则在启动WorkSpace时,系统会为您的分配弹性IP地址(来自Amazon提供的池).
但是,如果您将您拥有的弹性IP地址与关联WorkSpace,并且稍后取消了该弹性IP地址与的关联WorkSpace,则将WorkSpace失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的地址.
要将Amazon提供的池中的新公有IP地址与关联WorkSpace,您必须重建WorkSpace(p.
98).
如果您不想重建WorkSpace,则必须将您拥有的另一个弹性IP地址与关联WorkSpace.
手动将弹性IP地址分配给WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
展开的行(选择箭头图标WorkSpace),并记下WorkSpaceIP的值.
这是的主要私有IP地址WorkSpace.
4.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
5.
在导航窗格中,选择Elastic(弹性IPs).
如果您没有可用的弹性IP地址,请选择AllocateElasticIPaddress(分配弹性IP地址),然后选择Amazon'spoolofIPv4addresses(Amazon的地址池)或Customerownedpoolofaddresses(客户拥有IPv4的地址池),然后选择Allocate(分配).
记下新的IP地址.
6.
在导航窗格中,选择NetworkInterfaces.
7.
为您的选择网络接口WorkSpace.
要查找您的的网络接口WorkSpace,请在搜索框中输入WorkSpaceIPStep3(p.
15)值(您之前在中记下),然后按Enter.
WorkSpaceIP值与网络接口的PrimaryprivateIPv4IP列中的值匹配.
请注意,网络接口的VPCID值与您的WorkSpacesVPC的ID匹配.
8.
依次选择Actions、ManageIPAddresses.
选择分配新IP,然后选择是,更新.
记下新的IP地址.
9.
依次选择Actions、AssociateAddress.
10.
在关联弹性IP地址页面上,从地址.
中选择一个弹性IP地址.
对于关联到私有IP地址,请指定新的私有IP地址,然后选择关联地址.
步骤4:将您的WorkSpaces路由到子网要将路由到WorkSpacesVPC的子网,请确保在设置WorkSpaces目录的过程中选择VPC和子网.
要设置WorkSpaces您的目录,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52),并选择适合您要使用的目录类型的教程(AWS托管的MicrosoftAD、SimpleAD、ADConnector,或AWS托管的MicrosoftAD目录与本地域之间的信任关系).
的可用区AmazonWorkSpaces当您创建VirtualPrivateCloud(VPC)以用于时AmazonWorkSpaces,您的VPC的子网必须位于您启动WorkSpaces的区域的不同可用区中.
可用区是被设计为可以隔离其他可用区的故障的不同位置.
通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响.
每个子网都必须完全位于一个可用区之内,不能跨越多个可用区.
可用区由区域代码后跟一个字母标识符表示;例如,us-east-1a.
为确保资源分配到某个区域的各个可用区,我们将可用区独立映射到每个AWS账户的名称.
例如,您的AWS账户的可用区us-east-1a可能与另一AWS账户的us-east-1a不在同一位置.
要跨账户协调可用区,您必须使用AZID(可用区的唯一、一致的标识符).
例如,use1-az2是us-east-1区域的AZID,它在每个AWS账户中的位置均相同.
15AmazonWorkSpaces管理指南IP地址和端口要求通过查看AZID,您可以确定一个账户中的资源相对于另一个账户中的资源所在的位置.
例如,如果您在AZID为use1-az2的可用区中与另一个账户共享一个子网,则在AZID也为use1-az2的可用区中该账户便可使用这一子网.
每个VPC和子网的AZID均显示在AmazonVPC控制台中.
AmazonWorkSpaces在每个受支持区域的可用区子集中可用.
下表列出了可用于每个区域的AZIDs.
要查看AZIDs到您账户中的可用区的映射,请参阅中的资源的AWSRAM用户指南AZIDs.
区域名称区域代码支持的AZIDs美国东部(弗吉尼亚北部)us-east-1use1-az2,use1-az4,use1-az6美国西部(俄勒冈)us-west-2usw2-az1,usw2-az2,usw2-az3亚太地区(孟买)ap-south-1aps1-az1,aps1-az2,aps1-az3亚太区域(首尔)ap-northeast-2apne2-az1,apne2-az3亚太区域(新加坡)ap-southeast-1apse1-az1,apse1-az2亚太区域(悉尼)ap-southeast-2apse2-az1,apse2-az3亚太区域(东京)ap-northeast-1apne1-az1,apne1-az4加拿大(中部)ca-central-1cac1-az1,cac1-az2欧洲(法兰克福)eu-central-1euc1-az2,euc1-az3欧洲(爱尔兰)eu-west-1euw1-az1,euw1-az2,euw1-az3欧洲(伦敦)eu-west-2euw2-az2,euw2-az3南美洲(圣保罗)sa-east-1sae1-az1,sae1-az3有关可用区和AZIDshttps://docs.
amazonaws.
cn/AWSEC2/latest/UserGuide/using-regions-availability-zones.
html的更多信息,请参阅中的AmazonEC2用户指南(适用于Linux实例)区域、可用区和本地区域.
AmazonWorkSpaces的IP地址和端口要求要连接到您的WorkSpace,您的AmazonWorkSpaces客户端连接的网络必须对各种AWS服务(分为不同子集)的IP地址范围开放某些端口.
这些地址范围因AWS区域而异.
这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态.
有关不同区域的AWSIP地址范围的更多信息,请参阅中的https://docs.
amazonaws.
cn/general/latest/gr/aws-ip-ranges.
htmlAWSIP地址范围AmazonWebServices一般参考.
有关架构图,请参阅WorkSpaces架构.
有关其他架构图,请参阅部署的最佳实践AmazonWorkSpaces白皮书.
用于客户端应用程序的端口AmazonWorkSpaces客户端应用程序需要以下端口上的出站访问:16AmazonWorkSpaces管理指南要添加到允许列表中的域和IP地址端口443(TCP)此端口用于客户端应用程序更新、注册和身份验证.
桌面客户端应用程序支持使用代理服务器处理端口443(HTTPS)流量.
要允许使用代理服务器,请打开客户端应用程序,依次选择AdvancedSettings和UseProxyServer,指定代理服务器的地址和端口,然后选择Save.
此端口必须对以下IP地址范围开放:AMAZON区域中的GLOBAL子集.
WorkSpace所在区域中的AMAZON子集.
AMAZON区域中的us-east-1子集.
AMAZON区域中的us-west-2子集.
S3区域中的us-west-2子集.
端口4172和4192(UDP和TCP)这些端口用于流式处理WorkSpace桌面和运行状况检查.
桌面客户端应用程序不支持对端口4172和4192流量使用代理服务器;它们需要直接连接到端口4172和4192.
这些端口必须对PCoIP网关和WorkSpacesStreamingProtocol(WSP)网关IP地址范围以及WorkSpace所在区域中的运行状况检查服务器开放.
有关更多信息,请参阅运行状况检查服务器(p.
18)、PCoIP网关服务器(p.
19)和WSP网关服务器(p.
19).
Note如果防火墙使用有状态筛选,则会自动打开临时(也称为动态)端口,以便允许返回通信.
如果您的防火墙使用无状态筛选,则需要明确打开临时端口,以便允许返回通信.
根据您的配置,需要打开的临时端口范围有所不同.
要添加到允许列表中的域和IP地址要使AmazonWorkSpaces客户端应用程序能够访问AmazonWorkSpaces服务,您必须将以下域和IP地址添加到客户端尝试从中访问服务的网络上的允许列表中.
要添加到允许列表中的域和IP地址类别域或IP地址CAPTCHAhttps://opfcaptcha-prod.
s3.
cn-north-1.
amazonaws.
com.
cn客户端自动更新在中国(宁夏)区域中:https://workspaces-client-updates.
s3.
cn-northwest-1.
amazonaws.
com.
cn连接检查https://connectivity.
amazonworkspaces.
awsapps.
cn客户端指标(适用于3.
0+WorkSpaces客户端应用程序)在中国(宁夏)区域中:https://skylight-client-ds.
cn-northwest-1.
amazonaws.
com.
cn目录设置在中国(宁夏)区域中:客户目录设置:https://workspaces-clients-properties.
s3.
cn-northwest-1.
amazonaws.
com.
cn17AmazonWorkSpaces管理指南运行状况检查服务器类别域或IP地址客户目录级别联合品牌的登录页面图形:https://workspaces-client-assets.
s3.
cn-northwest-1.
amazonaws.
com.
cn用于设计登录页面的CSS文件:https://workspaces-clients-css.
s3.
cn-northwest-1.
amazonaws.
com.
cn/workspaces_v3.
css运行状况检查(DRP)服务器运行状况检查服务器(p.
18)用户登录页面https://warpspeed.
cn-northwest-1.
amazonaws.
com.
cnWS代理中国(宁夏)区域(https://ws-broker-service.
cn-northwest-1.
amazonaws.
com.
cn)WorkSpacesAPI终端节点中国(宁夏)区域(https://workspaces.
cn-northwest-1.
amazonaws.
com.
cn)要添加到PCoIP允许列表中的域和IP地址类别域或IP地址PCoIP会话网关(PSG)PCoIP网关服务器(p.
19)会话代理(PCM)中国(宁夏)区域(https://skylight-cm.
cn-northwest-1.
amazonaws.
com.
cn)要添加到的允许列表中的域和IP地址WorkSpacesStreamingProtocol(WSP)类别域或IP地址WSP会话网关(WSG)WSP网关服务器(p.
19)运行状况检查服务器AmazonWorkSpaces客户端应用程序通过端口4172和4115执行运行状况检查.
这些检查验证TCP或UDP流量是否从AmazonWorkSpaces服务器流式传输到客户端应用程序.
要成功完成这些检查,您的防火墙策略必须允许流向以下区域运行状况检查服务器的IP地址的出站流量.
区域运行状况检查主机名IP地址中国(宁夏)drp-zhy.
amazonworkspaces.
com52.
82.
90.
18652.
83.
43.
3252.
83.
110.
15852.
83.
248.
6118AmazonWorkSpaces管理指南PCoIP网关服务器PCoIP网关服务器AmazonWorkSpaces使用PCoIP通过端口4172将桌面会话流式传输到客户端.
AmazonWorkSpaces会为其PCoIP网关服务器使用较小范围的AmazonEC2公有IPv4地址.
这样,您可以为用于访问AmazonWorkSpaces的设备设置更为精细的防火墙策略.
请注意,AmazonWorkSpaces客户端目前不支持IPv6地址作为连接选项.
Note我们正在定期更新AWSIP地址范围文件中的IP地址范围ip-ranges.
json.
要获取AmazonWorkSpaces的最新IP地址范围,请在ip-ranges.
json文件中查找符合service:"WORKSPACES_GATEWAYS"的条目.
区域公有IP地址范围中国(宁夏)52.
83.
58.
0-52.
83.
58.
255WSP网关服务器Important从2020年6月开始,将AmazonWorkSpacesWorkSpaces的桌面会话通过端口495而不是端口4172WSP流式传输到客户端.
如果要使用WSPWorkSpaces请确保端口495对流量开放.
AmazonWorkSpaces对其AmazonEC2网关服务器使用一小部分WSP公有IPv4地址.
这样,您可以为用于访问AmazonWorkSpaces的设备设置更为精细的防火墙策略.
请注意,AmazonWorkSpaces客户端目前不支持IPv6地址作为连接选项.
区域公有IP地址范围中国(宁夏)不支持此区域WSP.
网络接口每个WorkSpace都有以下网络接口:主网络接口(eth1)提供与您的VPC内以及Internet上的资源的连接,并用于将WorkSpace加入目录.
管理网络接口(eth0)已连接到安全的AmazonWorkSpaces管理网络.
它用于将WorkSpace桌面以交互方式流式传输到AmazonWorkSpaces客户端,并允许AmazonWorkSpaces管理WorkSpace.
AmazonWorkSpaces从多个地址范围中选择管理网络接口的IP地址,具体取决于创建WorkSpace的区域.
目录注册后,AmazonWorkSpaces会测试VPCCIDR和您的VPC中的路由表,以确定这些地址范围是否会发生冲突.
如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册.
如果您在目录注册后更改了VPC中的路由表,则可能会导致冲突.
Warning请勿修改或删除与WorkSpace相连接的任何网络接口.
这样做可能会导致WorkSpace变得无法访问或导致它无法访问Internet.
例如,如果您在目录级别启用了弹性IP地址自动分配(p.
42),则会在您的WorkSpace启动时为其分配弹性IP地址(来自Amazon提供的池).
但是,如果您19AmazonWorkSpaces管理指南网络接口将您拥有的弹性IP地址与WorkSpace关联,稍后您将该弹性IP地址与WorkSpace取消关联,则WorkSpace将失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的IP地址.
要将Amazon提供的池中的新公有IP地址与WorkSpace关联,您必须重建WorkSpace(p.
98).
如果您不想重建WorkSpace,必须将您拥有的另一个弹性IP地址与WorkSpace关联.
管理接口IP范围下表列出了用于管理网络接口的IP地址范围.
Note如果您使用的是自带许可(BYOL)WindowsWorkSpaces则下表中的IP地址范围不适用.
相反PCoIPBYOLWorkSpaces使用54.
239.
224.
0/20IP地址范围在所有AWS区域中管理接口流量.
对于WSPBYOLWindowsWorkSpaces和10.
0.
0.
0/8IP地址范围适用于所有AWS区域.
(除了您为BYOLWorkSpaces.
)如果您使用的是从公有捆绑包创建的WSPWorkSpaces则除了下表中所示的PCoIP范围外,IP地址范围10.
0.
0.
0/8也适用于所有AWS区域中的管理接口流量.
区域IP地址范围中国(宁夏)198.
19.
0.
0/16管理接口端口以下端口在所有WorkSpace的管理网络接口上都必须处于打开状态:端口4172上的入站TCP.
这用于在PCoIP协议上建立流连接.
端口4172上的入站UDP.
这用于对PCoIP协议的用户输入进行流式处理.
端口4489上的入站TCP.
这用于通过Web客户端访问.
(WSP协议不支持WebAccess客户端.
)端口8200上的入站TCP.
这用于在PCoIP协议上管理和配置WorkSpace.
端口8201-8250上的入站TCP.
这些端口用于建立流连接和在WSP协议上流式处理用户输入.
出站TCP端口8443和9997.
这用于通过Web客户端访问.
(WSP协议不支持WebAccess客户端.
)端口3478、4172和495上的出站UDP.
这用于通过Web客户端访问.
(WSP协议不支持WebAccess客户端.
)端口50002和55002上的出站UDP.
这用于流式处理.
如果您的防火墙使用有状态筛选,则临时端口50002和55002会自动打开以允许返回通信.
如果您的防火墙使用无状态筛选,则需要打开临时端口49152至65535,以便允许返回通信.
使用端口80通过出站TCP发送到IP地址169.
254.
169.
254,用于访问EC2元数据服务.
分配给您的WorkSpace的任何HTTP代理中还必须排除169.
254.
169.
254.
将端口1688上的TCP出站到IP地址169.
254.
169.
250和169.
254.
169.
251以允许访问基于公有捆绑包的Workspaces的MicrosoftKMSforWindows激活.
如果您使用的是自带许可(BYOL)WindowsWorkSpaces则必须允许对您自己的KMS服务器进行访问以进行Windows激活.
在端口1688上出站TCP到IP地址239.
236.
220以允许访问MicrosoftKMS来激活BYOLWorkSpaces的Office.
如果您通过其中一个WorkSpaces公有服务包使用Office,则MicrosoftKMS的IP地址会有所不同,无法激活Office.
要确定该IP地址,请查找WorkSpace的管理接口的IP地址,然后将最后两个八位字节替换为64.
250.
例如,如果管理接口的IP地址为192.
168.
3.
5,则MicrosoftKMSOffice激活的IP地址为192.
168.
64.
250.
20AmazonWorkSpaces管理指南网络要求当WSPWorkSpaces主机配置为使用代理服务器时,将WorkSpace的TCP出站到IP地址127.
0.
0.
2.
正常情况下,AmazonWorkSpaces服务会为您的WorkSpace配置这些端口.
如果WorkSpace上安装了任何拦截这些端口的安全或防火墙软件,则WorkSpace可能无法正常工作,或者可能无法连接.
主接口端口不论您拥有哪种类型的目录,以下端口在所有WorkSpace的主网络接口上都必须打开:对于Internet连接,以下端口在出站至所有目的地和从WorkSpaceVPC入站时必须处于打开状态.
如果您希望它们能够访问Internet,则需要将这些端口手动添加到您的WorkSpace的安全组.
TCP80(HTTP)TCP443(HTTPS)要与目录控制器通信,以下端口必须在您的WorkSpaceVPC与目录控制器之间处于打开状态.
在SimpleAD目录中,通过AWSDirectoryService创建的安全组会将这些端口配置正确.
对于ADConnector目录,您可能需要调整VPC的默认安全组才能打开这些端口.
TCP/UDP53-DNSTCP/UDP88-KerberosauthenticationUDP123-NTPTCP135-RPCUDP137-138-NetlogonTCP139-NetlogonTCP/UDP389-LDAPTCP/UDP445-SMBTCP1024-65535-DynamicportsforRPC如果WorkSpace上安装了任何拦截这些端口的安全或防火墙软件,则WorkSpace可能无法正常工作,或者可能无法连接.
AmazonWorkSpaces客户端网络要求您的AmazonWorkSpaces用户可使用面向受支持设备的客户端应用程序来连接到其WorkSpaces.
或者,他们可以使用Web浏览器连接到支持这种访问形式的WorkSpaces.
ForalistofWorkSpacesthatsupportwebbrowseraccess,see"WhichAmazonWorkSpacesbundlessupportwebaccess"inClientAccess,WebAccess,andUserExperience.
NoteWeb浏览器不能用于连接到AmazonLinuxWorkSpaces.
Important自2020年10月1日起,客户将无法再使用AmazonWorkSpacesWebAccess客户端连接到Windows7自定义WorkSpaces或Windows7自带许可(BYOL)WorkSpaces.
要为用户提供良好的WorkSpace使用体验,请验证其客户端设备是否符合以下网络要求:客户端设备必须具有宽带Internet连接.
我们建议计划为每个同时观看480p视频窗口的用户至少提供1Mbps网速.
根据您对视频分辨率的用户质量要求,可能需要更多带宽.
对于客户端设备连接到的网络及客户端设备上的任何防火墙,其某些端口必须对各种AWS服务的IP地址范围开放.
有关更多信息,请参阅AmazonWorkSpaces的IP地址和端口要求(p.
16).
ForthebestperformanceforPCoIP,theroundtriptime(RTT)fromtheclient'snetworktotheRegionthattheWorkSpacesareinshouldbelessthan100ms.
IftheRTTisbetween100msand200ms,theuser21AmazonWorkSpaces管理指南网络要求canaccesstheWorkSpace,butperformanceisaffected.
IftheRTTisbetween200msand375ms,theperformanceisdegraded.
IftheRTTexceeds375ms,theWorkSpacesclientconnectionisterminated.
ForthebestperformanceforWorkSpacesStreamingProtocol(WSP),theRTTfromtheclient'snetworktotheRegionthattheWorkSpacesareinshouldbelessthan250ms.
IftheRTTisbetween250msand400ms,theusercanaccesstheWorkSpace,buttheperformanceisdegraded.
TochecktheRTTtothevariousAWSRegionsfromyourlocation,usetheAmazonWorkSpacesConnectionHealthCheck.
TousewebcamswithWSP,werecommendaminimumuploadbandwidthof1.
7megabitspersecond.
如果用户通过虚拟专用网络(VPN)访问WorkSpace,则连接必须支持至少1200字节的最大传输单位(MTU).
Note您无法通过连接到VirtualPrivateCloud(VPC)的VPN访问WorkSpaces.
要使用VPN访问WorkSpaces,需要Internet连接(通过VPN的公有IP地址),如AmazonWorkSpaces的IP地址和端口要求(p.
16)中所述.
客户端需要通过HTTPS访问由此服务和AmazonWorkSpaces(AmazonSimpleStorageService)托管的AmazonS3资源.
客户端不支持应用程序级别的代理重定向.
HTTPS访问是必需的,以便用户可以成功完成注册并访问自己的WorkSpace.
ToallowaccessfromPCoIPzeroclientdevices,youmustbeusingaPCoIPprotocolbundleforWorkSpaces.
您还必须在Teradici中启用网络时间协议(NTP).
有关更多信息,请参阅为WorkSpace设置PCoIP零客户端(p.
34).
For3.
0+clients,ifyouareusingsinglesign-on(SSO)forAmazonWorkDocs,youmustfollowtheinstructionsinSingleSign-OnintheAWSDirectoryServiceAdministrationGuide.
您可以按照以下说明验证客户端设备是否符合网络要求.
验证3.
0+客户端的网络要求1.
打开AmazonWorkSpaces客户端.
如果这是您首次打开客户端,则系统会提示您输入邀请电子邮件中提供的注册代码.
2.
根据您使用的客户端,请执行以下操作之一.
如果您使用的是.
.
.
请执行该操作Windows或Linux客户端在客户端应用程序的右上角,选择Network(网络)图标.
macOS客户端选择Connections(连接)和Network(网络).
客户端应用程序将会测试网络连接、端口以及往返时间,并报告这些测试的结果.
3.
关闭Network(网络)对话框以返回到登录页面.
验证1.
0+和2.
0+客户端的网络要求1.
打开AmazonWorkSpaces客户端.
如果这是您首次打开客户端,则系统会提示您输入邀请电子邮件中提供的注册代码.
2.
在客户端应用程序右下角,选择Network(网络).
客户端应用程序将会测试网络连接、端口以及往返时间,并报告这些测试的结果.
3.
选择Dismiss(关闭),以返回登录页面.
22AmazonWorkSpaces管理指南受信任设备限制对受信任设备的WorkSpaces访问默认情况下,用户可以从连接到Internet的任何受支持的设备访问其WorkSpaces.
如果您的公司仅允许受信任设备(也称为托管设备)访问公司数据,则可以使用有效的证书将WorkSpaces访问限制为受信任设备.
启用此功能后,AmazonWorkSpaces会使用基于证书的身份验证来确定设备是否可信.
如果WorkSpaces客户端应用程序无法验证设备是否可信,则会阻止从该设备登录或重新连接的尝试.
对于每个目录,您最多可以导入2个根证书.
如果您导入2个根证书,则AmazonWorkSpaces会将这2个证书都显示给客户端,然后客户端查找一直串联到其中一个根证书的第一个有效匹配的证书.
Important此功能仅适用于AmazonWorkSpacesWindows和macOS客户端.
此功能不适用于:适用于Linux、Android或AmazonWorkSpaces的iPad客户端应用程序WebAccess客户端AmazonWorkSpaces任何第三方客户端,包括但不限于:TeradiciPCoIP软件和移动客户端TeradiciPCoIP零客户端RDP客户端远程桌面应用程序第1步:创建证书此功能需要两种类型的证书:内部证书颁发机构(CA)生成的根证书和一直串联到根证书的客户端证书.
Requirements证书必须是Base64编码的证书文件(采用CRT、CERT或PEM格式).
证书必须包含公用名.
证书链支持的最大长度为4.
AmazonWorkSpaces当前不支持客户端证书的设备撤销机制,例如证书吊销列表(CRL)或在线证书状态协议(OCSP).
使用强加密算法.
我们建议使用带RSA的SHA256、带ECDSA的SHA256、带ECDSA的SHA384或带ECDSA的SHA512.
确保公有密钥上存在"密钥用法:数字签名",否则即使计算机和WorkSpaces控制台上存在公有密钥和私有密钥,设备身份验证也将失败.
对于macOS,如果设备证书位于系统密钥链中,我们建议您授权WorkSpaces客户端应用程序访问这些证书.
否则,用户必须在登录或重新连接时,输入密钥链凭证.
第2步:为受信任设备部署客户端证书您必须在受信任设备上为用户安装客户端证书.
您可以使用首选解决方案将证书安装到一批客户端设备;例如,SystemCenterConfigurationManager(SCCM)或移动设备管理(MDM).
请注意,SCCM和MDM可以选择执行安全状况评估,以确定设备是否符合访问WorkSpaces的公司策略.
在Windows上,WorkSpaces客户端应用程序在用户和根证书存储区中搜索客户端证书.
在macOS上,WorkSpaces客户端应用程序在整个密钥链中搜索客户端证书.
23AmazonWorkSpaces管理指南第3步:配置限制第3步:配置限制在受信任设备上部署客户端证书后,您可以在目录级别启用受限访问权限.
这需要WorkSpaces客户端应用程序在允许用户登录到WorkSpace之前验证设备上的证书.
配置限制1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开AccessControlOptions.
5.
[Windows]选择仅允许受信任的Windows设备访问WorkSpaces.
6.
[macOS]选择仅允许受信任的macOS设备访问WorkSpaces.
7.
最多导入2个根证书.
对于每个根证书,请执行以下操作:a.
选择Import.
b.
将证书文本复制到表单中.
c.
选择Import.
8.
(可选)指定其他类型的设备是否有权访问WorkSpaces.
a.
向下滚动到OtherPlatforms(其他平台)部分.
默认情况下,WorkSpacesWebAccess和Linux客户端处于禁用状态,用户可以从其iOS设备、Android设备、WorkSpacesChromebook零客户端设备访问其PCoIP.
b.
选择要启用的设备类型并清除要禁用的设备类型.
c.
要阻止来自所有选定设备类型的访问,请选择Block.
9.
选择UpdateandExit.
使用智能卡进行身份验证WorkSpacesStreamingProtocol(WSP)服务包上的Windows和LinuxWorkSpaces允许使用通用访问卡(CAC)以及个人身份验证(PIV)智能卡进行身份验证.
AmazonWorkSpaces支持将智能卡用于会话前身份验证和会话中身份验证.
会话前身份验证是指在用户登录其WorkSpaces时执行的智能卡身份验证.
会话中身份验证是指登录后执行的身份验证.
例如,在使用Web浏览器和应用程序时,用户可以使用智能卡进行会话中身份验证.
他们还可以将智能卡用于需要管理权限的操作.
例如,如果用户对其LinuxWorkSpace具有管理权限,在运行sudo和sudo-i命令时,他们可以使用智能卡对自己进行身份验证.
目录Requirements(p.
24)Limitations(p.
25)目录配置(p.
25)为WindowsWorkSpaces启用智能卡(p.
26)为LinuxWorkSpaces启用智能卡(p.
27)RequirementsActiveDirectoryConnector(ADConnector)目录是必需的.
有关如何配置ADConnector和本地目录的更多信息,请参阅目录配置(p.
25).
24AmazonWorkSpaces管理指南Limitations要将智能卡用于Windows或LinuxWorkSpace用户必须使用AmazonWorkSpacesWindows客户端3.
1.
1或更高版本.
有关将智能卡与Windows客户端结合使用的更多信息,请参阅https://docs.
amazonaws.
cn/workspaces/latest/userguide/smart_card_support.
html中的AmazonWorkSpaces用户指南智能卡支持.
根CA和智能卡证书必须满足特定要求.
有关更多信息,请参阅中的为AmazonWorkSpaces启用智能卡身份验证AWSDirectoryServiceAdministrationGuide和Microsoft文档中的证书要求.
除了这些要求之外,为智能卡身份验证使用的用户证书AmazonWorkSpaces还必须包含以下属性:证书的subjectAltName(SAN)字段中AD用户的userPrincipalName(UPN).
我们建议为用户的默认UPN颁发智能卡证书.
客户端身份验证(1.
3.
6.
1.
5.
5.
7.
2)扩展密钥用法(EKU)属性.
智能卡登录(1.
3.
6.
1.
4.
1.
311.
20.
2.
2)EKU属性.
对于会话前身份验证,需要在线证书状态协议(OCSP)才能执行证书吊销检查.
对于会话中身份验证,建议使用OCSP,但这不是必需的.
Limitations目前仅支持WorkSpacesWindows客户端应用程序版本3.
1.
1或更高版本用于智能卡身份验证.
仅当客户端在64-bit版本的Windows上运行时WorkSpacesWindows客户端应用程序3.
1.
1或更高版本才支持智能卡.
目前仅支持将ADConnector目录用于智能卡身份验证.
目前,会话前身份验证仅在中可用AWSGovCloud(美国西部)区域.
会话中身份验证在WSP支持的所有区域中都可用.
对于Linux或WindowsWorkSpaces会话中身份验证和会话前身份验证,当前只允许一次使用一张智能卡.
对于会话前身份验证,当前不支持在同一目录上启用智能卡身份验证和用户名和密码身份验证.
目前仅支持CAC和PIV卡.
其他类型的智能卡也可能会起作用,但它们尚未经过完全测试,无法与一起使用WSP.
当前不支持使用智能卡在Windows或LinuxWorkSpace会话期间解锁屏幕.
要解决WindowsWorkSpaces的此问题,请参阅检测Windows锁定屏幕并断开会话(p.
26).
要解决LinuxWorkSpaces的此问题,请参阅在LinuxWorkSpaces(p.
28)上禁用锁定屏幕.
目录配置要启用智能卡身份验证,您必须按以下方式配置ADConnector目录和本地目录.
ADConnector目录配置在开始之前,请确保已按照中的ADConnector先决条件中所述设置您的ADAWSDirectoryServiceAdministrationGuideConnector目录.
具体而言,请确保您已在防火墙中打开必要的端口.
要完成ADConnector目录的配置,请按照中为AmazonWorkSpaces启用智能卡身份验证中的说明操作AWSDirectoryServiceAdministrationGuide.
Note用于配置会话前智能卡身份验证的AWSDirectoryServiceAPI操作和DirectoryServiceAWS命令行界面(AWSCLI)命令当前仅在中可用AWSGovCloud(美国西部)区域.
本地目录配置除了配置ADConnector目录之外,您还必须确保向本地目录的域控制器颁发的证书具有"KDC身份验证"扩展密钥用法(EKU)集.
为此,请使用ActiveDirectory域服务(ADDS)默认Kerberos身份验证证书模25AmazonWorkSpaces管理指南为WindowsWorkSpaces启用智能卡板.
请勿使用域控制器证书模板或域控制器身份验证证书模板,因为这些模板不包含智能卡身份验证所需的设置.
为WindowsWorkSpaces启用智能卡有关如何在Windows上启用智能卡身份验证的一般指导,请参阅Microsoft文档中的有关使用第三方证书颁发机构启用智能卡登录的指南.
检测Windows锁定屏幕并断开会话连接要允许用户在锁定屏幕时解锁启用了智能卡会话前身份验证的WindowsWorkSpaces您可以在用户的会话中启用Windows锁定屏幕检测.
当检测到Windows锁定屏幕时WorkSpace会话将断开连接,用户可以使用其智能卡从WorkSpaces客户端重新连接.
您可以使用组策略设置在检测到Windows锁定屏幕时启用断开会话连接.
有关更多信息,请参阅EnableorDisableDisconnectSessiononScreenLockforWSP(p.
80).
启用会话中或会话前身份验证默认情况下,WindowsWorkSpaces不启用为支持将智能卡用于会话前或会话中身份验证.
如果需要,您可以使用组策略设置为WindowsWorkSpaces启用会话中和会话前身份验证.
有关更多信息,请参阅EnableorDisableSmartCardRedirectionforWSP(p.
80).
要使用预会话身份验证,除了更新组策略设置之外,您还必须使用EnableClientAuthenticationAPI操作或enable-client-authenticationCLI命令,通过ADConnector目录设置启用预会话身份验证.
有关更多信息,请参阅中的为ADhttps://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ad_connector_clientauth.
htmlConnectorAWSDirectoryServiceAdministrationGuide启用智能卡身份验证.
允许用户在浏览器中使用智能卡如果您的用户使用Chrome作为其浏览器,则无需特殊配置即可使用智能卡.
如果您的用户使用Firefox作为其浏览器,则可以通过组策略允许用户在Firefox中使用智能卡.
您可以在GitHub中使用这些Firefox组策略模板.
例如,您可以安装64-bit版本的OpenSCforWindows以支持PKCS#11,然后使用以下组策略设置,其中NAME_OF_DEVICE是要用于标识PKCS#11的任何值,例如OpenSC,其中PATH_TO_LIBRARY_FOR_DEVICE是PKCS#11模块的路径.
此路径应指向具有.
DLL扩展的库,例如C:\ProgramFiles\OpenSCProject\OpenSC\pkcs11\onepin-opensc-pkcs11.
dll.
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE=PATH_TO_LIBRARY_FOR_DEVICETip如果您使用的是OpenSC则还可以通过运行pkcs11程序将OpenSCpkcs11-register.
exe模块加载到Firefox中.
要运行此程序,请在中双击该文件C:\ProgramFiles\OpenSCProject\OpenSC\tools\pkcs11-register.
exe,或打开命令提示符窗口并运行以下命令:"C:\ProgramFiles\OpenSCProject\OpenSC\tools\pkcs11-register.
exe"要验证OpenSCpkcs11模块是否已加载到Firefox中,请执行以下操作:1.
如果Firefox已在运行,请关闭它.
2.
打开Firefox.
选择右上角的菜单按钮,然后选择Options(选项).
3.
在about:preferences页面上的左侧导航窗格中,选择Privacy&Security.
26AmazonWorkSpaces管理指南为LinuxWorkSpaces启用智能卡4.
在Certificates(证书)下,选择SecurityDevices(安全设备).
5.
在DeviceManager(设备管理器)对话框中,您应该在左侧导航中看到OpenSCsmartcardframework(0.
21),在选择它时它应具有以下值:模块:OpenSCsmartcardframework(0.
21)路径:C:\ProgramFiles\OpenSCProject\OpenSC\pkcs11\onepin-opensc-pkcs11.
dllTroubleshooting有关对智能卡进行故障排除的信息,请参阅Microsoft文档中的证书和配置问题.
一些可导致问题的常见问题:槽与证书的映射不正确.
智能卡上有多个可与用户匹配的证书.
使用以下标准匹配证书:证书的根CA.
证书的和字段.
证书主题中的UPN.
拥有多个证书,其密钥用法msScLogin包含这些证书.
一般来说,最好只拥有一个映射到智能卡中第一个槽的智能卡身份验证证书.
用于管理智能卡上的证书和密钥的工具(例如,删除或重新映射证书和密钥)可能特定于制造商.
有关更多信息,请参阅智能卡制造商提供的文档.
为LinuxWorkSpaces启用智能卡要在LinuxWorkSpaces上允许使用智能卡,您需要在WorkSpace映像中包含PEM格式的根CA证书文件.
获取根CA证书您可以通过多种方式获取根CA证书:您可以使用由第三方证书颁发机构运营的根CA证书.
您可以使用Web注册站点导出您自己的根CA证书,该站点为http://ip_address/certsrv或http://fqdn/certsrv,其中ip_address和fqdn是根证书CA服务器的IP地址和完全限定域名(FQDN).
有关使用Web注册站点的更多信息,请参阅Microsoft文档中的如何导出根证书颁发机构证书.
您可以使用以下过程从运行ActiveDirectory证书服务(ADCS)的根CA证书服务器导出根CA证书.
有关安装ADCS的信息,请参阅Microsoft文档中的安装证书颁发机构.
1.
使用管理员账户登录到根CA服务器.
2.
从Windows"开始"菜单中,打开命令提示符窗口(开始>Windows系统>命令提示符).
3.
使用以下命令将根CA证书导出到新文件,其中rootca.
cer是新文件的名称:certutil-ca.
certrootca.
cer有关运行certutil的更多信息,请参阅Microsoft文档中的certutil.
4.
使用以下OpenSSL命令将导出的根CA证书从DER格式转换为PEM格式,其中rootca是证书的名称.
有关OpenSSL的更多信息,请参阅www.
openssl.
org.
27AmazonWorkSpaces管理指南为LinuxWorkSpaces启用智能卡opensslx509-informder-inrootca.
cer-out/tmp/rootca.
pem将根CA证书添加到LinuxWorkSpaces为了帮助您启用智能卡,我们将enable_smartcard脚本添加到AmazonLinuxWSP包中.
此脚本将执行以下操作:将根CA证书导入网络安全服务(NSS)数据库.
安装pam_pkcs11模块以进行可插拔身份验证模块(PAM)身份验证.
执行默认配置,包括在WorkSpace预置pkinit期间启用.
以下过程介绍如何使用enable_smartcard脚本将根CA证书添加到LinuxWorkSpaces并为LinuxWorkSpaces启用智能卡.
1.
在启用WSP协议的情况下创建新的LinuxWorkSpace.
在AmazonWorkSpaces控制台中启动WorkSpace时,在SelectBundles(选择服务包)页面上,请确保为协议选择WSP,然后选择一个AmazonLinux2公有服务包.
2.
在新的WorkSpace上,以根用户身份运行以下命令,其中pem-path是指向PEM格式的根CA证书文件的路径.
/usr/lib/skylight/enable_smartcard--ca-certpem-pathNoteLinuxWorkSpaces假定智能卡上的证书是针对用户的默认用户委托人名称(UPN)颁发的,例如sAMAccountName@domain,其中domain是完全限定域名(FQDN).
使用备用UPN后缀,有关run/usr/lib/skylight/enable_smartcard--help更多信息.
备用UPN后缀的映射对于每个用户是唯一的.
因此,必须对每个用户的WorkSpace单独执行该映射.
3.
(可选)默认情况下,所有服务都启用为在LinuxWorkSpaces上使用智能卡身份验证.
要将智能卡身份验证限制为仅特定服务,您必须编辑/etc/pam.
d/system-auth.
取消注释的auth行pam_succeed_if.
so并根据需要编辑服务列表.
取消注释auth行后,要允许服务使用智能卡身份验证,您必须将其添加到列表中.
要使服务仅使用密码身份验证,您必须将其从列表中删除.
4.
(可选)目前不支持使用智能卡解锁屏幕.
要在LinuxWorkSpaces上禁用锁定屏幕,请创建一个名为的文件/usr/share/glib-2.
0/schemas/10_screensaver.
gschema.
override,该文件包含以下内容:[org.
mate.
screensaver]lock-enabled=false创建此文件后,运行此命令:sudoglib-compile-schemas/usr/share/glib-2.
0/schemas/5.
对WorkSpace执行任何其他自定义.
例如,您可能希望添加系统范围的策略以使用户能够在Firefox(p.
29)中使用智能卡.
(色度用户必须在其客户端上启用智能卡.
有关更多信息,请参阅https://docs.
amazonaws.
cn/workspaces/latest/userguide/smart_card_support.
html中的AmazonWorkSpaces用户指南智能卡支持.
)6.
从WorkSpace创建自定义WorkSpace映像和服务包(p.
110).
7.
使用新的自定义服务包为您的用户启动WorkSpaces.
28AmazonWorkSpaces管理指南为LinuxWorkSpaces启用智能卡允许用户在Firefox中使用智能卡通过将SecurityDevices策略添加到LinuxWorkSpace映像,您可以允许用户在Firefox中使用智能卡.
有关向Firefox添加系统级策略的更多信息,请参阅GitHub上的Mozilla策略模板.
1.
在用于创建WorkSpace映像的WorkSpace上policies.
json,在中创建一个名为的新文件/usr/lib64/firefox/distribution/.
2.
在JSON文件中,添加以下SecurityDevices策略,其中NAME_OF_DEVICE是您要用于标识pkcs模块的任何值.
例如,您可能希望使用一个值,如"OpenSC":{"policies":{"SecurityDevices":{"NAME_OF_DEVICE":"/usr/lib64/opensc-pkcs11.
so"}}}Troubleshooting对于故障排除,我们建议添加pkcs11-tools实用程序.
此实用程序允许您执行以下操作:列出每个智能卡.
列出每个智能卡上的槽.
列出每个智能卡上的证书.
一些可导致问题的常见问题:槽与证书的映射不正确.
智能卡上有多个可与用户匹配的证书.
使用以下标准匹配证书:证书的根CA.
证书的和字段.
证书主题中的UPN.
拥有多个证书,其密钥用法msScLogin包含这些证书.
一般来说,最好只拥有一个映射到智能卡中第一个槽的智能卡身份验证证书.
用于管理智能卡上的证书和密钥的工具(例如,删除或重新映射证书和密钥)可能特定于制造商.
可用于使用智能卡的其他工具包括:opensc-exploreropensc-toolpkcs11_inspectpkcs11_listcertspkcs15-tool启用调试日志记录要对pam_pkcs11和pam-krb5配置进行问题排查,您可以启用调试日志记录.
1.
在/etc/pam.
d/system-auth-ac文件中,编辑auth操作并将的nodebug参数更改为pam_pksc11.
sodebug.
29AmazonWorkSpaces管理指南Internet访问2.
在/etc/pam_pkcs11/pam_pkcs11.
conf文件中debug=false;,将更改为debug=true;.
debug选项单独应用于每个映射器模块,因此您可能需要直接在pam_pkcs11部分下方以及相应的映射器部分(默认情况下,这是)下方进行更改mappergeneric.
3.
在/etc/pam.
d/system-auth-ac文件中,编辑auth操作并将debug或debug_sensitive参数添加到pam_krb5.
so.
启用调试日志记录后,系统会直接在活动终端中输出pam_pkcs11调试消息.
来自的消息pam_krb5将记录在中/var/log/secure.
要检查智能卡证书映射到哪个用户名,请使用以下pklogin_finder命令:sudopklogin_finderdebugconfig_file=/etc/pam_pkcs11/pam_pkcs11.
conf系统提示时,输入智能卡PIN.
pklogin_finder以形式输出智能卡证书上的stdout用户名NETBIOS\username.
此用户名应与WorkSpace用户名匹配.
在ActiveDirectory域服务(ADDS)中NetBIOS域名是Windows2000之前的域名.
通常(但并非总是NetBIOS域名是域名系统(DNS)域名的子域.
例如,如果DNS域名为example.
com,则NetBIOS域名通常为EXAMPLE.
如果DNS域名为corp.
example.
com,则NetBIOS域名通常为CORP.
例如,对于域mmajor中的用户corp.
example.
com,的输出pklogin_finder为CORP\mmajor.
Note如果您收到消息"ERROR:pam_pkcs11.
c:504:verify_certificate()failed",此消息指示pam_pkcs11在智能卡上找到了与用户名条件匹配的证书,但该证书不会串联到计算机识别的根CA证书.
出现这种情况时,pam_pkcs11输出上述消息,然后尝试下一个证书.
它只有在找到与用户名匹配并串联到已识别根CA证书的证书时,才允许身份验证.
要对pam_krb5配置进行故障排除,您可以使用以下命令kinit在调试模式下手动调用:KRB5_TRACE=/dev/stdoutkinit-V此命令应成功获取Kerberos票证授予票证(TGT).
如果失败,请尝试将正确的Kerberos委托人名称显式添加到命令中.
例如,对于域mmajor中的用户corp.
example.
com,请使用此命令:KRB5_TRACE=/dev/stdoutkinit-Vmmajor如果此命令成功,问题很可能是在从WorkSpace用户名到Kerberos委托人名称的映射中出现的.
检查文件中的[appdefaults]/pam/mappings部分/etc/krb5.
conf.
如果此命令未成功,但基于密码的kinit命令成功,请检查pkinit_文件中的/etc/krb5.
conf相关配置.
例如,如果智能卡包含多个证书,您可能需要对进行更改pkinit_cert_match.
提供WorkSpace的Internet访问权限您的WorkSpace必须具有Internet的访问权限,以便您将更新安装到操作系统以及部署应用程序.
您可以使用以下选项之一,以允许VirtualPrivateCloud(VPC)中的WorkSpace访问Internet.
Options在私有子网中启动您的WorkSpace并在VPC中的公有子网内配置NAT网关.
在公有子网中启动您的WorkSpaces并自动或手动将公有IP地址分配给您的WorkSpaces.
30AmazonWorkSpaces管理指南安全组有关这些选项的更多信息,请参阅中的相应部分为配置VPCAmazonWorkSpaces(p.
9).
通过上述任一选项,您必须确保WorkSpace的安全组允许端口80(HTTP)和443(HTTPS)上的出站流量流向所有目的地(0.
0.
0.
0/0).
AmazonWAM如果使用AmazonWorkSpacesApplicationManager(AmazonWAM)将应用程序部署到您的WorkSpace,那么WorkSpace必须能够访问Internet.
AmazonLinuxExtras库如果您使用的是AmazonLinux存储库,则AmazonLinuxWorkSpaces必须能够访问Internet,否则您必须配置指向此存储库和主AmazonLinux存储库的VPC终端节点.
有关更多信息,请参阅AmazonS3的终端节点AmazonLinux中的示例:启用对AMI存储库的访问.
每个区域中的AmazonLinuxAMI存储库都是AmazonS3存储桶.
如果您希望VPC中的实例通过终端节点访问该存储库,请创建终端节点策略以允许对这些存储桶进行访问.
以下策略授予对AmazonLinux存储库的访问权限.
{"Statement":[{"Sid":"AmazonLinux2AMIRepositoryAccess","Principal":"*","Action":["s3:GetObject"],"Effect":"Allow","Resource":["arn:aws-cn:s3:::amazonlinux.
*.
amazonaws.
com/*"]}]}的安全组WorkSpaces向AmazonWorkSpaces注册目录时,它会创建两个安全组,一个用于目录控制器,另一个用于目录中的WorkSpaces.
目录控制器的安全组的名称为目录标识符后跟_controllers(例如d-12345678e1_controllers).
的安全组的名称为目录标识符后跟WorkSpaces_workspacesMembersworkspacesMembers(例如,d-123456fc11_workspacesMembersworkspacesMembersWarning请勿修改或删除_controllers和_workspacesMembers安全组.
如果您修改或删除这些安全组,您的WorkSpaces将无法正常运行,并且您将无法重新创建这些组并将它们重新添加.
您可以将默认WorkSpaces安全组添加到目录中.
将新安全组与WorkSpaces目录关联后,您启动的新WorkSpaces或重建的现有WorkSpaces将具有新的安全组.
您还可以将此新的默认安全组添加到现有WorkSpaces,而无需重新生成它们(p.
32),如本主题后面所述.
当您将多个安全组与一个WorkSpaces目录关联时,将有效汇总每个安全组的规则以创建一组规则.
我们建议尽可能精简您的安全组规则.
有关安全组的更多信息,请参阅https://docs.
amazonaws.
cn/vpc/latest/userguide/VPC_SecurityGroups.
html中的您的VPC的安全组AmazonVPC用户指南.
向WorkSpaces目录添加安全组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
31AmazonWorkSpaces管理指南IP访问控制组2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开SecurityGroup并选择一个安全组.
5.
选择UpdateandExit.
要将安全组添加到现有WorkSpace而不重新生成它,请将新安全组分配给WorkSpace的弹性网络接口(ENI).
向现有WorkSpace添加安全组1.
查找需要更新的每个WorkSpace的IP地址.
a.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
b.
展开每个WorkSpace并记录其WorkSpaceIP地址.
2.
查找每个WorkSpace的ENI并更新其安全组分配.
a.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
b.
在网络与安全下,选择网络接口.
c.
搜索您在步骤1中记录的第一个IP地址.
d.
选择与该IP地址关联的ENI,选择操作,然后选择更改安全组.
e.
选择新安全组,然后选择保存.
f.
根据需要对任何其他WorkSpaces重复此过程.
适用于您的WorkSpace的IP访问控制组IP访问控制组充当虚拟防火墙,该虚拟防火墙用于控制允许用户从中访问其WorkSpace的IP地址.
您可以将每个IP访问控制组与一个或多个目录关联.
每个AWS帐户每个区域最多可创建100个IP访问控制组.
不过,您只能将最多25个IP访问控制组与单个目录关联.
有一个与每个目录都关联的默认IP访问控制组.
默认组允许所有流量.
如果您将IP访问控制组与目录关联,则默认的IP访问控制组将断开连接.
要为您的受信任网络指定公有IP地址和IP地址范围,请向IP访问控制组添加规则.
如果您的用户通过NAT网关或VPN访问其WorkSpace,您必须创建允许从NAT网关或VPN的公有IP地址发出的流量的规则.
NoteIP访问控制组不允许为NAT使用动态IP地址.
如果您使用NAT,请将其配置为使用静态IP地址而不是动态IP地址.
确保NAT在WorkSpace会话期间通过同一静态IP地址路由所有UDP流量.
您可以将此功能与WebAccess和适用于macOS、iPad、Windows、和Android的客户端应用程序结合使用.
要将此功能与PCoIP零客户端结合使用,您无法使用PCoIP连接管理器.
创建IP访问控制组可以按以下所述创建IP访问控制组.
每个IP访问控制组可以包含最多10个规则.
创建IP访问控制组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择IPAccessControls.
32AmazonWorkSpaces管理指南将IP访问控制组与目录关联3.
选择CreateIPGroup.
4.
在CreateIPGroup(创建IP组)对话框中,输入组的名称和描述,然后选择Create(创建).
5.
选择所需组,然后选择Edit.
6.
对于每个IP地址,选择AddRule.
对于Source(来源),输入IP地址或IP地址范围.
对于Description(说明),输入说明.
添加完规则后,选择Save.
将IP访问控制组与目录关联您可以将IP访问控制组与目录关联,以确保仅从受信任的网络访问WorkSpace.
如果将没有规则的IP访问控制组与目录关联,则会阻止对所有WorkSpace的所有访问.
将IP访问控制组与目录关联1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开IPAccessControlGroups,并选择一个或多个IP访问控制组.
5.
选择UpdateandExit.
复制IP访问控制组您可以使用现有的IP访问控制组作为创建新IP访问控制组的基础.
从现有的IP访问控制组创建一个IP访问控制组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择IPAccessControls.
3.
选择所需组,然后选择Actions、CopytoNew.
4.
在CopyIPGroup(复制IP组)对话框中,输入新组的名称和描述,然后选择CopyGroup(复制组).
5.
(可选)要修改从原始组中复制的规则,请选择新组,然后选择Edit.
根据需要添加、更新或删除规则.
选择Save(保存).
删除IP访问控制组您可以随时从IP访问控制组中删除规则.
如果删除一个用于允许连接到某WorkSpace的规则,则用户将与该WorkSpace断开连接.
在可以删除IP访问控制组之前,必须将其与任何目录解除关联.
删除IP访问控制组1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
对于每个与IP访问控制组关联的目录,请选择该目录,然后选择Actions、UpdateDetails.
展开IPAccessControlGroups(IP访问控制组),清除IP访问控制组的复选框,然后选择UpdateandExit(更新并退出).
4.
在导航窗格中,选择IPAccessControls.
5.
选择所需组,然后选择Actions、DeleteIPGroup.
33AmazonWorkSpaces管理指南PCoIP零客户端为WorkSpace设置PCoIP零客户端PCoIP零客户端仅与使用PCoIP协议的WorkSpaces捆绑包兼容.
如果您的零客户端设备的固件为6.
0.
0或更高版本,您的用户就可以直接连接到WorkSpaces.
如果固件版本在4.
6.
0和6.
0.
0之间,您必须为AmazonWorkSpaces设置TeradiciPCoIP连接管理器,并为您的用户提供服务器URI,使他们能够通过AmazonWorkSpaces的TeradiciPCoIP连接管理器连接到WorkSpace.
ImportantPCoIPConnectionManager在上不再可用于将新实例AWSMarketplace部署到新客户.
PCoIPConnectionManager的现有部署将继续工作.
Teradici将继续支持现有客户的PCoIP连接管理器,直到2021年4月13日.
如果您的零客户端固件不是版本6.
0.
0或更高版本,您可以通过https://www.
teradici.
com/desktop-access上的桌面访问订阅来获取最新固件.
有关使用PCoIPConnectionManager的更多信息,请参阅中的部署适用于AmazonWorkSpacesPCoIPConnectionManagerUserGuide的PCoIP连接管理器.
Note在TeradiciPCoIP管理Web接口(AWI)或TeradiciPCoIP管理控制台(MC)中,请确保启用了网络时间协议(NTP).
对于NTP主机DNS名称,请使用pool.
ntp.
org,并将NTP主机端口设置为123.
如果未启用NTP,PCoIP零客户端用户可能会收到证书失败错误,例如"提供的证书由于时间戳而无效.
"有关设置和连接PCoIP零客户端设备的信息,请参阅https://docs.
amazonaws.
cn/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.
html中的AmazonWorkSpaces用户指南PCoIP零客户端.
有关已批准的PCoIP零客户端设备的列表,请参阅Teradici网站上的PCoIP零客户端.
为您的LinuxWorkSpace启用SSH连接如果您或您的用户希望使用命令行连接到AmazonLinuxWorkSpaces,则可启用SSH连接.
您可以启用与目录中的所有WorkSpace或目录中的单个WorkSpace的SSH连接.
要启用SSH连接,您可以创建新的安全组或更新现有安全组,然后添加规则以允许入站流量用于此目的.
安全组用作相关实例的防火墙,可在实例级别控制入站和出站的数据流.
在创建或更新安全组后,您的用户和其他人可以使用PuTTY或其他终端从其设备连接到您的AmazonLinuxWorkSpaces.
有关视频教程,请参阅AWS知识中心中的如何使用SSH连接到我的LinuxAmazonWorkSpaces.
目录到AmazonLinuxWorkSpaces的SSH连接的先决条件(p.
34)启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接(p.
35)启用与特定AmazonLinuxWorkSpace的SSH连接(p.
36)使用Linux或PuTTY连接到AmazonLinuxWorkSpace(p.
36)到AmazonLinuxWorkSpaces的SSH连接的先决条件启用到WorkSpace的入站SSH流量—要添加允许到一个或多个AmazonLinuxWorkSpaces的入站SSH流量的规则,请确保您具有需要与WorkSpaces的SSH连接的设备的公有或私有IP地址.
例如,您可以指定VirtualPrivateCloud(VPC)之外的设备的公有IP地址或您的WorkSpace所在的VPC中的另一个EC2实例的私有IP地址.
34AmazonWorkSpaces管理指南启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接如果您计划从本地设备连接到WorkSpace,则可以在Internet浏览器中使用搜索短语"我的IP地址",或使用以下服务:检查IP.
连接到WorkSpace—需要以下信息才能发起从设备到AmazonLinuxWorkSpace的SSH连接.
您连接到的ActiveDirectory域的NetBIOS名称.
您的WorkSpace用户名.
要连接到的WorkSpace的公有或私有IP地址.
私有:如果您的VPC已连接到公司网络并且您有权访问该网络,则可以指定WorkSpace的私有IP地址.
公有:如果您的WorkSpace具有公有IP地址,则可以使用WorkSpace控制台来查找该公有IP地址,如以下过程中所述.
查找要连接到的AmazonLinuxWorkSpace的IP地址和您的用户名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
在WorkSpaces的列表中,选择要为其启用SSH连接的WorkSpace.
4.
在Runningmode(运行模式)列中,确认WorkSpace状态为Available(可用).
5.
单击WorkSpace名称左侧的箭头以显示内联摘要,并记下以下信息:WorkSpaceIP.
这是WorkSpace的私有IP地址.
需要此私有IP地址才能获取与WorkSpace关联的弹性网络接口.
需要网络接口才能检索与WorkSpace关联的安全组或公有IP地址等信息.
WorkSpaceUsername(用户名).
这是您指定的要连接到WorkSpace的用户名.
6.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
7.
在导航窗格中,选择NetworkInterfaces.
8.
在搜索框中,键入在步骤5中记下的WorkSpaceIP.
9.
选择与WorkSpaceIP关联的网络接口.
10.
如果您的WorkSpace具有公有IP地址,则它会显示在IPv4PublicIP(IPv4公有IP)列中.
记下该地址(如果适用).
查找您连接到的ActiveDirectory域的NetBIOS名称1.
通过以下网址打开AWSDirectoryService控制台:https://console.
amazonaws.
cn/directoryservicev2/.
2.
在目录列表中,单击WorkSpace的目录的DirectoryID(目录ID)链接.
3.
在Directorydetails(目录详细信息)部分中,记下DirectoryNetBIOSname(目录NetBIOS名称).
启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接要启用与目录中的所有AmazonLinuxWorkSpaces的SSH连接,请执行以下操作.
创建具有规则的安全组,此规则允许到目录中的所有AmazonLinuxWorkSpaces的入站SSH流量1.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
2.
在导航窗格中,选择SecurityGroups.
35AmazonWorkSpaces管理指南启用与特定AmazonLinuxWorkSpace的SSH连接3.
选择CreateSecurityGroup.
4.
键入安全组的名称(可选)和描述.
5.
对于VPC,选择包含要为其启用SSH连接的WorkSpaces的VPC.
6.
在Inbound(入站)选项卡上,选择AddRule(添加规则),然后执行以下操作:对于Type,选择SSH.
对于Protocol(协议),在您选择SSH时会自动指定TCP.
对于PortRange(端口范围),在您选择SSH时会自动指定22.
对于Source(源),选择MyIP(我的IP)或Custom(自定义),然后用CIDR表示法指定单个IP地址或IP地址范围.
例如,如果您的IPv4地址为203.
0.
113.
25,请指定203.
0.
113.
25/32,以使用CIDR表示法列出此单个IPv4地址.
如果您的公司要分配同一范围内的地址,请指定整个范围,例如203.
0.
113.
0/24.
对于Description(描述)(可选),键入规则的描述.
7.
选择创建.
启用与特定AmazonLinuxWorkSpace的SSH连接要启用与特定AmazonLinuxWorkSpace的SSH连接,请执行以下操作.
将规则添加到现有安全组以允许到特定AmazonLinuxWorkSpace的入站SSH流量1.
打开AmazonEC2控制台https://console.
amazonaws.
cn/ec2/.
2.
在导航窗格中,在Network&Security(网络与安全性)下,选择NetworkInterfaces(网络接口).
3.
在搜索栏中,键入要为其启用SSH连接的WorkSpace的私有IP地址.
4.
在Securitygroups(安全组)列中,单击安全组的链接.
5.
在Inbound(入站)选项卡上,选择Edit(编辑).
6.
选择AddRule(添加规则),然后执行以下操作:对于Type,选择SSH.
对于Protocol(协议),在您选择SSH时会自动指定TCP.
对于PortRange(端口范围),在您选择SSH时会自动指定22.
对于Source(源),选择MyIP(我的IP)或Custom(自定义),然后用CIDR表示法指定单个IP地址或IP地址范围.
例如,如果您的IPv4地址为203.
0.
113.
25,请指定203.
0.
113.
25/32,以使用CIDR表示法列出此单个IPv4地址.
如果您的公司要分配同一范围内的地址,请指定整个范围,例如203.
0.
113.
0/24.
对于Description(描述)(可选),键入规则的描述.
7.
选择Save.
使用Linux或PuTTY连接到AmazonLinuxWorkSpace在创建或更新安全组并添加所需规则后,您的用户及其他人可以使用Linux或PuTTY从其设备连接到WorkSpaces.
Note在完成以下任一过程之前,请确保您具有:您连接到的ActiveDirectory域的NetBIOS名称.
用于连接到WorkSpace的用户名.
36AmazonWorkSpaces管理指南必需配置要连接到的WorkSpace的公有或私有IP地址.
有关如何获取此信息的说明,请参阅本主题前面的"与AmazonLinuxWorkSpaces的SSH连接的先决条件".
使用Linux连接到AmazonLinuxWorkSpace1.
以管理员身份打开命令提示符并输入以下命令.
对于NetBIOSname,Username、和WorkSpaceIP,输入适用的值.
ssh"NetBIOS_NAME\Username"@WorkSpaceIP以下是SSH命令的示例,其中:这些区域有:NetBIOS_NAME是任何公司这些区域有:Username是janedoe这些区域有:WorkSpaceIP为203.
0.
113.
25ssh"anycompany\janedoe"@203.
0.
113.
252.
系统提示时,输入在使用WorkSpaces客户端进行身份验证时使用的同一个密码(您的ActiveDirectory密码).
使用PuTTY连接到AmazonLinuxWorkSpace1.
打开PuTTY.
2.
在PuTTYConfiguration(PuTTY配置)对话框中,执行以下操作:对于HostName(orIPaddress)(主机名(或IP地址)),输入以下命令.
将这些值分别替换为要连接到的ActiveDirectory域的NetBIOS名称、用于连接到WorkSpace的用户名和要连接到的WorkSpace的IP地址.
NetBIOS_NAME\Username@WorkSpaceIP对于端口,输入22.
对于Connectiontype(连接类型),选择SSH.
有关SSH命令的示例,请参阅上一过程中的步骤1.
3.
选择Open.
4.
系统提示时,输入在使用WorkSpaces客户端进行身份验证时使用的同一个密码(您的ActiveDirectory密码).
WorkSpace的必需配置和服务组件作为WorkSpace管理员,您必须了解以下有关必需的配置和服务组件的内容.
必需路由表配置我们建议不要为WorkSpace修改操作系统级别的路由表.
WorkSpaces服务要求此表中有预配置路由,用于监控系统状态和更新系统组件.
如果您的组织需要更改路由表,请在应用任何更改之前联系AWSSupport或AWS客户团队.
37AmazonWorkSpaces管理指南必需服务组件必需服务组件在WindowsWorkSpaces上,服务组件安装在以下位置.
不要删除、更改、阻止或隔离这些对象.
如果您这样做,WorkSpace将无法正常运行.
Note如果WorkSpace上安装了防病毒软件,请确保它不会干扰安装在以下位置的服务组件.
C:\ProgramFiles\AmazonC:\\ProgramFiles\\TeradciC:\ProgramFiles(x86)\TeradiciC:\ProgramData\AmazonC:\ProgramData\Teradici在AmazonLinuxWorkSpaces上,服务组件安装在以下位置.
不要删除、更改、阻止或隔离这些对象.
如果您这样做,WorkSpace将无法正常运行.
/etc/dhcp/dhclient.
conf/etc/os-release/etc/pam.
d/pcoip/etc/pam.
d/pcoip-session/etc/profile.
d/system-restart-check.
sh/etc/X11/default-display-manager/etc/yum/pluginconf.
d/halt_os_update_check.
conf/usr/lib/pcoip-agent/usr/lib/skylight/usr/lib/systemd/system/pcoip.
service/usr/lib/systemd/system/pcoip.
service.
d//usr/lib/systemd/system/skylight-agent.
service/usr/lib/yum-plugins/halt_os_update_check.
py/var/lib/pcoip-agent/var/lib/skylight/var/log/pcoip-agent/var/log/skylight38AmazonWorkSpaces管理指南管理AmazonWorkSpaces目录AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
可以使用以下选项之一:ADConnector—使用现有本地部署MicrosoftActiveDirectory.
用户可以使用其本地部署凭证登录WorkSpace并从其WorkSpace访问本地部署资源.
AWSManagedMicrosoftAD—CreateaMicrosoftActiveDirectoryhostedonAWS.
SimpleAD—创建与MicrosoftActiveDirectory兼容的目录,该目录由Samba4提供支持,并在AWS上托管.
Crosstrust—在您的MicrosoftAD目录与本地部署域之间创建信任关系.
有关演示如何设置这些目录和启动WorkSpace的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
TipForadetailedexplorationofdirectoryandvirtualprivatecloud(VPC)designconsiderationsforvariousdeploymentscenarios,seetheBestPracticesforDeployingAmazonWorkSpaceswhitepaper.
创建目录后,您将使用工具(如ActiveDirectory管理工具)执行大部分目录管理任务.
您可以使用AmazonWorkSpaces控制台执行一些目录管理任务,使用策略组执行其他任务.
有关管理用户和组的更多信息,请参阅管理WorkSpaces用户(p.
65)和为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
NoteShareddirectoriesarenotcurrentlysupportedforusewithAmazonWorkSpaces.
IfyouconfigureyourAWSManagedMicrosoftADdirectoryformulti-Regionreplication,onlythedirectoryintheprimaryRegioncanberegisteredforusewithAmazonWorkSpaces.
AttemptstoregisterthedirectoryinareplicatedRegionforusewithAmazonWorkSpaceswillfail.
Multi-RegionreplicationwithAWSManagedMicrosoftADisn'tsupportedforusewithAmazonWorkSpaceswithinreplicatedRegions.
SimpleADandADConnectoraremadeavailabletoyoufreeofchargetousewithWorkSpaces.
IftherearenoWorkSpacesbeingusedwithyourSimpleADorADConnectordirectoryfor30consecutivedays,thisdirectorywillbeautomaticallyderegisteredforusewithAmazonWorkSpaces,andyouwillbechargedforthisdirectoryaspertheAWSDirectoryServicepricingterms.
Todeleteemptydirectories,see删除您的WorkSpace目录(p.
48).
IfyoudeleteyourSimpleADorADConnectordirectory,youcanalwayscreateanewonewhenyouwanttostartusingWorkSpacesagain.
目录向AmazonWorkSpaces注册目录(p.
40)更新您的WorkSpace目录详细信息(p.
41)更新AmazonWorkSpaces的DNS服务器(p.
44)删除您的WorkSpace目录(p.
48)39AmazonWorkSpaces管理指南注册目录EnableAmazonWorkDocsforAWSManagedMicrosoftAD(p.
49)为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50)向AmazonWorkSpaces注册目录要允许AmazonWorkSpaces使用现有AWSDirectoryService目录,必须向AmazonWorkSpaces注册该目录.
注册一个目录后,即可在该目录中启动WorkSpace.
RequirementsToregisteradirectoryforusewithAmazonWorkSpaces,itmustmeetthefollowingrequirements:ThedirectorythatyouwanttoregisterforusewithAmazonWorkSpacesmustbepresentineveryvirtualprivatecloud(VPC)subnetwhereyouwanttolaunchWorkSpaces.
Ifyou'reusingADConnector,yourADConnectormustbedirectlyattachedtotheVPCsubnetsthatwillbeusedforWorkSpacesdeployments.
Ifyou'reusingAWSManagedMicrosoftADorSimpleAD,yourdirectorycanbeinadedicatedprivatesubnet,aslongasthedirectoryhasaccesstotheVPCwheretheWorkSpacesarelocated.
FormoreinformationaboutdirectoryandVPCdesign,seetheBestPracticesforDeployingAmazonWorkSpaceswhitepaper.
NoteSimpleADandADConnectoraremadeavailabletoyoufreeofchargetousewithWorkSpaces.
IftherearenoWorkSpacesbeingusedwithyourSimpleADorADConnectordirectoryfor30consecutivedays,thisdirectorywillbeautomaticallyderegisteredforusewithAmazonWorkSpaces,andyouwillbechargedforthisdirectoryaspertheAWSDirectoryServicepricingterms.
Todeleteemptydirectories,see删除您的WorkSpace目录(p.
48).
IfyoudeleteyourSimpleADorADConnectordirectory,youcanalwayscreateanewonewhenyouwanttostartusingWorkSpacesagain.
注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录.
4.
选择Actions、Register.
NoteShareddirectoriesarenotcurrentlysupportedforusewithAmazonWorkSpaces.
IfyourAWSManagedMicrosoftADdirectoryhasbeenconfiguredformulti-Regionreplication,onlythedirectoryintheprimaryRegioncanberegisteredforusewithAmazonWorkSpaces.
AttemptstoregisterthedirectoryinareplicatedRegionforusewithAmazonWorkSpaceswillfail.
Multi-RegionreplicationwithAWSManagedMicrosoftADisn'tsupportedforusewithAmazonWorkSpaceswithinreplicatedRegions.
5.
选择来自不同可用区的两个子网.
6.
对于启用自助服务权限,选择是以使用户能够重建其WorkSpaces、更改卷大小、计算类型和运行模式.
启用操作可能会影响您为AmazonWorkSpaces支付的费用.
否则,请选择否.
7.
ForEnableAmazonWorkDocs,chooseYestoregisterthedirectoryforusewithAmazonWorkDocsorNootherwise.
40AmazonWorkSpaces管理指南更新目录详细信息NoteThisoptionisdisplayedonlyifAmazonWorkDocsisavailableintheRegionandifyou'renotusingAWSManagedMicrosoftAD.
Ifyou'reusingAWSManagedMicrosoftAD,finishregisteringyourdirectory,andthenseeEnableAmazonWorkDocsforAWSManagedMicrosoftAD(p.
49).
8.
选择Register.
Registered最初的值是REGISTERING.
注册完成后,该值为Yes.
当不再将目录用于AmazonWorkSpaces时,可以取消注册该目录.
请注意,必须先取消注册目录,然后才能删除它.
如果要取消注册并删除目录,则必须首先查找并删除注册到该目录的所有应用程序和服务.
Formoreinformation,seeDeleteYourDirectoryintheAWSDirectoryServiceAdministrationGuide.
取消注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录.
4.
选择Actions、Deregister.
5.
当系统提示您确认时,选择Deregister.
取消注册完成后,Registered的值为No.
更新您的WorkSpace目录详细信息您可以使用AmazonWorkSpaces控制台完成以下目录管理任务.
任务选择组织单位(p.
41)配置自动IP地址(p.
42)控制设备访问(p.
42)管理本地管理员权限(p.
43)更新ADConnector账户(ADConnector)(p.
43)多重验证(ADConnector)(p.
43)选择组织单位WorkSpace计算机账户放在WorkSpace目录的默认组织单位(OU)中.
最初,计算机账户放在您的目录的"计算机"OU中,或ADConnector连接的目录中.
您可以从您的目录或所连接的目录中选择一个不同的OU,或在单独的目标域中指定一个OU.
请注意,在每个目录中只能选择一个OU.
在选择一个新的OU后,所有创建的或是重建的WorkSpace的计算机账户都放在新选定的OU中.
要选择组织单位1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开TargetDomainandOrganizationalUnit.
5.
要查找一个OU,可以键入该OU的全部或部分名称并选择SearchOU.
或者,可以选择ListallOU以列出所有OU.
6.
选择OU并选择UpdateandExit.
41AmazonWorkSpaces管理指南配置自动IP地址7.
(可选)重建现有的WorkSpace以更新OU.
有关更多信息,请参阅重建WorkSpace(p.
98).
要指定目标域和组织单位1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开TargetDomainandOrganizationalUnit.
5.
对于SelectedOU,键入目标域和OU的完整LDAP可分辨名称,然后选择UpdateandExit.
Forexample,OU=WorkSpaces_machines,DC=machines,DC=example,DC=com.
6.
(可选)重建现有的WorkSpace以更新OU.
有关更多信息,请参阅重建WorkSpace(p.
98).
配置自动IP地址启用弹性IP地址自动分配后,会从Amazon提供的弹性IP地址池中为您启动的每个WorkSpace分配一个弹性IP地址(静态公有IP地址).
这些弹性IP地址允许公有子网中的WorkSpace访问Internet.
在启用自动分配之前已经存在的WorkSpace不会收到弹性IP地址,直到您重新构建它们.
请注意,如果您的WorkSpace处于私有子网中并且您为VirtualPrivateCloud(VPC)配置了NAT网关,或者如果您的WorkSpace位于公有子网中并且您手动分配了弹性IP地址,则无需启用弹性IP地址的自动分配功能.
有关更多信息,请参阅为配置VPCAmazonWorkSpaces(p.
9).
Warning如果您将您拥有的弹性IP地址与WorkSpace关联,稍后您将该弹性IP地址与WorkSpace取消关联,则WorkSpace将失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的IP地址.
要将Amazon提供的池中的新公有IP地址与WorkSpace关联,您必须重建WorkSpace(p.
98).
如果您不想重建WorkSpace,必须将您拥有的另一个弹性IP地址与WorkSpace关联.
配置弹性IP地址1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的WorkSpace目录.
4.
选择Actions、UpdateDetails.
5.
展开AccesstoInternet,选择Enable或Disable.
6.
选择Update.
控制设备访问您可以指定有权访问WorkSpace的设备类型.
此外,您可以将WorkSpace的访问权限限定在受信任设备(也称为托管设备).
控制设备对WorkSpace的访问1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开AccessControlOptions,找到OtherPlatforms部分.
默认情况下,禁用WorkSpacesWebAccess和Linux客户端,用户可以从其iOS设备、Android设备、和PCoIP零客户端设备访问其WorkSpace.
42AmazonWorkSpaces管理指南管理本地管理员权限5.
选择要启用的设备类型并清除要禁用的设备类型.
要阻止来自所有选定设备类型的访问,请选择Block.
6.
(可选)还可以将访问仅限定于受信任的设备.
有关更多信息,请参阅限制对受信任设备的WorkSpaces访问(p.
23).
7.
选择UpdateandExit.
管理本地管理员权限您可以指定用户在其WorkSpace上是否为本地管理员,以决定他们能否在其WorkSpace上安装应用程序并修改设置.
默认情况下,用户为本地管理员.
如果修改此设置时,则更改将应用到您创建的所有新的WorkSpace以及重建的任何WorkSpace.
修改本地管理员权限1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开LocalAdministratorSetting.
5.
要确保用户为本地管理员,请选择Enable.
否则,请选择Disable.
6.
选择UpdateandExit.
更新ADConnector账户(ADConnector)您可以更新用于读取用户和组以及将AmazonWorkSpaces计算机账户加入到您的ADConnector目录的ADConnector账户.
更新ADConnector账户1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
4.
展开UpdateADConnectorAccount.
5.
键入新账户的用户名和密码.
6.
选择UpdateandExit.
多重验证(ADConnector)Youcanenablemulti-factorauthentication(MFA)foryourADConnectordirectory.
NoteYourRADIUSservercaneitherbehostedbyAWSoritcanbeon-premises.
TheusernamesmustmatchbetweenActiveDirectoryandyourRADIUSserver.
启用多重验证1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择您的目录,然后选择Actions、UpdateDetails.
43AmazonWorkSpaces管理指南更新WorkSpaces的DNS服务器4.
展开Multi-FactorAuthentication,然后选择EnableMulti-FactorAuthentication.
5.
对于RADIUSserverIPaddress(es),键入您的RADIUS服务器终端节点的IP地址,以逗号隔开,或键入您的RADIUS服务器负载均衡器的IP地址.
6.
对于Port,键入RADIUS服务器用来通信的端口.
您的本地网络必须允许通过默认的RADIUS服务器端口(1812)从ADConnector传入入站流量.
7.
对于Sharedsecretcode和Confirmsharedsecretcode,键入您的RADIUS服务器的共享密码.
8.
对于Protocol,为您的RADIUS服务器选择协议.
9.
对于Servertimeout,键入等待RADIUS服务器作出响应的时间(以秒为单位).
该值必须在1到20之间.
10.
对于Maxretries,键入尝试与RADIUS服务器通信的最多次数.
该值必须在0到10之间.
11.
选择UpdateandExit.
当RADIUSStatus为Enabled时,多重验证可用.
在设置多重验证期间,用户无法登录其WorkSpace.
更新AmazonWorkSpaces的DNS服务器如果在启动WorkSpaces后需要更新ActiveDirectory的DNS服务器IP地址,则还必须使用新的DNS服务器设置来更新WorkSpaces.
您可以通过下列方式之一,使用新的DNS设置更新WorkSpaces:在更新ActiveDirectory的DNS设置WorkSpaces之前,更新上的DNS设置.
在更新ActiveDirectory的DNS设置WorkSpaces之后重新生成.
我们建议在更新ActiveDirectory中的DNS设置之前,先更新WorkSpaces上的DNS设置(如以下过程的步骤1(p.
44)中所述).
如果要改为重建WorkSpaces,请更新ActiveDirectory中的DNS服务器IP地址之一(步骤2(p.
46)),然后按照重建WorkSpace(p.
98)中的过程来重建WorkSpaces.
重建WorkSpaces后,请按照步骤3(p.
47)中的过程来测试您的DNS服务器更新.
完成该步骤后,请更新ActiveDirectory中第二个DNS服务器的IP地址,然后再次重新生成WorkSpaces.
请务必按照步骤3(p.
47)中的过程测试您的第二个DNS服务器更新.
如最佳实践(p.
44)部分中所述,我们建议一次更新您的DNS服务器IP地址.
最佳实践在更新DNS服务器设置时,我们建议使用以下最佳实践:为避免域资源断开连接且无法访问,我们强烈建议在非高峰时间或计划的维护期内执行DNS服务器更新.
请勿在15分钟前和更改DNS服务器设置后的15分钟内启动任何新的WorkSpaces.
在更新DNS服务器设置时,请一次更改一个DNS服务器IP地址.
在更新第二个IP地址之前,验证第一个更新是否正确.
我们建议执行以下过程(步骤1(p.
44)、步骤2(p.
46)和步骤3(p.
47))两次,一次更新一个IP地址.
步骤1:更新WorkSpaces上的DNS服务器设置在以下过程中,当前和新的DNS服务器IP地址值引用如下:当前DNSIP地址:OldIP1、OldIP244AmazonWorkSpaces管理指南步骤1:更新WorkSpaces上的DNS服务器设置新的DNSIP地址:NewIP1、NewIP2Note如果这是您第二次执行此过程,请将OldIP1替换为OldIP2,将NewIP1替换为NewIP2.
更新WindowsWorkSpaces的DNS服务器设置如果您有多个WorkSpaces,则可通过在WorkSpaces的ActiveDirectoryOU上应用组策略对象(GPO)来将以下注册表更新部署到WorkSpaces.
有关使用GPOs的更多信息,请参阅管理WindowsWorkSpace(p.
70).
您可以使用注册表编辑器或使用WindowsPowerShell来进行这些更新.
本节介绍了这两个过程.
使用注册表编辑器更新DNS注册表设置1.
在WindowsWorkSpace上,打开Windows搜索框,然后输入registryeditor以打开注册表编辑器(regedit.
exe).
2.
当询问"你要允许此应用对你的设备进行更改吗"时,选择是.
3.
在注册表编辑器中,导航到以下注册表项:HKEY_LOCAL_MACHINE\\SOFTWARE\\Amazon\\SkyLight4.
打开DomainJoinDns注册表项.
使用OldIP1更新NewIP1,然后选择OK(确定).
5.
关闭注册表编辑器.
6.
重启WorkSpace,或重启服务SkyLightWorkspaceConfigService.
Note重新启动服务SkyLightWorkspaceConfigService后,网络适配器最多可能需要1分钟才能反映更改.
7.
继续执行步骤2(p.
46),并更新ActiveDirectory中的DNS服务器设置,将OldIP1替换为NewIP1.
使用PowerShell更新DNS注册表设置以下过程使用PowerShell命令更新您的注册表并重新启动服务SkyLightWorkspaceConfigService.
1.
在WindowsWorkSpace上,打开Windows搜索框,然后输入powershell.
选择RunasAdministrator(以管理员身份运行).
2.
当询问"你要允许此应用对你的设备进行更改吗"时,选择是.
3.
在PowerShell窗口中,运行以下命令以检索当前DNS服务器IP地址.
Get-ItemProperty-PathHKLM:\SOFTWARE\Amazon\SkyLight-NameDomainJoinDNS您应该会收到以下输出.
DomainJoinDns:OldIP1,OldIP2PSPath:Microsoft.
PowerShell.
Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLightPSParentPath:Microsoft.
PowerShell.
Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\AmazonPSChildName:SkyLightPSDrive:HKLMPSProvider:Microsoft.
PowerShell.
Core\Registry4.
在PowerShell窗口中,运行以下命令以将OldIP1更改为NewIP1.
目前,请确保按原样保留OldIP2.
45AmazonWorkSpaces管理指南步骤2:更新ActiveDirectory的DNS服务器设置Set-ItemProperty-PathHKLM:\SOFTWARE\Amazon\SkyLight-NameDomainJoinDNS-Value"NewIP1,OldIP2"5.
运行以下命令以重新启动服务SkyLightWorkspaceConfigService.
restart-service-NameSkyLightWorkspaceConfigServiceNote重新启动服务SkyLightWorkspaceConfigService后,网络适配器最多可能需要1分钟才能反映更改.
6.
继续执行步骤2(p.
46),并更新ActiveDirectory中的DNS服务器设置,将OldIP1替换为NewIP1.
更新LinuxWorkSpaces的DNS服务器设置如果您有多个LinuxWorkSpace,我们建议您使用配置管理解决方案来分发和实施策略.
例如,您可以使用AWSOpsworksforChefAutomateAWSOpsWorksforChefAutomate、AWSforPuppetEnterpriseOpsWorks或Ansible.
更新Linux上的DNS服务器设置WorkSpace1.
在LinuxWorkSpace上,打开终端窗口(Applications(应用程序)>SystemTools(系统工具)>MATETerminal(MATE终端)).
2.
使用以下Linux命令编辑/etc/dhcp/dhclient.
conf文件.
您必须具有根用户权限才能编辑此文件.
使用sudo-i命令变为根,或使用sudo执行所有命令,如下所示.
sudovi/etc/dhcp/dhclient.
conf在/etc/dhcp/dhclient.
conf文件中,您将看到以下prepend命令,其中OldIP1和OldIP2是DNS服务器的IP地址.
prependdomain-name-serversOldIP1,OldIP2;#skylight3.
将OldIP1替换为NewIP1,并保持OldIP2不变.
4.
将您的更改保存到/etc/dhcp/dhclient.
conf.
5.
重启WorkSpace.
6.
继续执行步骤2(p.
46),并更新ActiveDirectory中的DNS服务器设置,将OldIP1替换为NewIP1.
步骤2:更新ActiveDirectory的DNS服务器设置在此步骤中,您将更新ActiveDirectory的DNS服务器设置.
如最佳实践(p.
44)部分中所述,我们建议一次更新您的DNS服务器IP地址.
要更新ActiveDirectory的DNS服务器设置,请参阅AWSDirectoryServiceAdministrationGuide中的以下文档:ADConnector:更新您的ADConnector的DNS地址AWS托管的MicrosoftAD:为您的本地域配置DNS条件转发服务器SimpleAD:配置DNS46AmazonWorkSpaces管理指南步骤3:测试更新的DNS服务器设置更新DNS服务器设置后,请继续执行步骤3(p.
47).
步骤3:测试更新的DNS服务器设置完成步骤1(p.
44)和步骤2(p.
46)后,使用以下过程验证更新的DNS服务器设置是否按预期运行.
在以下过程中,当前和新的DNS服务器IP地址值引用如下:当前DNSIP地址:OldIP1、OldIP2新的DNSIP地址:NewIP1、NewIP2Note如果这是您第二次执行此过程,请将OldIP1替换为OldIP2,将NewIP1替换为NewIP2.
测试WindowsWorkSpaces的更新后的DNS服务器设置1.
关闭OldIP1DNS服务器.
2.
登录WindowsWorkSpace.
3.
在Windows开始菜单上,选择Windows系统,然后选择命令提示符.
4.
运行以下命令,其中AD_Name是ActiveDirectory的名称(例如,corp.
example.
com).
nslookupAD_Name命令应返回以下输出.
nslookup(如果这是您第二次执行此过程,您应看到NewIP2取代OldIP2.
)Server:Full_AD_NameAddress:NewIP1Name:AD_NameAddresses:OldIP2NewIP15.
如果输出不符合您的预期,或者您收到任何错误,请重复步骤1(p.
44).
6.
等待一个小时并确认没有报告任何用户问题.
验证NewIP1正在获取DNS查询并使用应答进行响应.
7.
在确认第一个DNS服务器正常工作后,请重复步骤1(p.
44)以更新第二个DNS服务器,这次请将OldIP2替换为NewIP2.
然后,重复步骤2和步骤3.
测试LinuxWorkSpaces的更新DNS服务器设置1.
关闭OldIP1DNS服务器.
2.
登录LinuxWorkSpace.
3.
在LinuxWorkSpace上,打开终端窗口(Applications(应用程序)>SystemTools(系统工具)>MATETerminal(MATE终端)).
4.
DHCP响应中返回的DNS服务器IP地址将写入到/etc/resolv.
conf上的本地WorkSpace文件中.
运行以下命令以查看/etc/resolv.
conf文件的内容.
cat/etc/resolv.
conf您应当看到如下输出.
(如果这是您第二次执行此过程,您应看到NewIP2代替OldIP2.
);ThisfileisgeneratedbyAmazonWorkSpaces47AmazonWorkSpaces管理指南删除目录;ModifyingitcanmakeyourWorkSpaceinaccessibleuntilrebootoptionstimeout:2attempts:5;generatedby/usr/sbin/dhclient-scriptsearchregion.
compute.
internalnameserverNewIP1nameserverOldIP2nameserverWorkSpaceIPNote如果您手动修改/etc/resolv.
conf文件,这些更改将在WorkSpace重新启动时丢失.
5.
如果输出不符合您的预期,或者您收到任何错误,请重复步骤1(p.
44).
6.
实际的DNS服务器IP地址存储在/etc/dhcp/dhclient.
conf文件中.
要查看此文件的内容,请运行以下命令.
sudocat/etc/dhcp/dhclient.
conf您应当看到如下输出.
(如果这是您第二次执行此过程,您应看到NewIP2代替OldIP2.
)#ThisfileisgeneratedbyAmazonWorkSpaces#ModifyingitcanmakeyourWorkSpaceinaccessibleuntilrebuildprependdomain-name-serversNewIP1,OldIP2;#skylight7.
等待一个小时并确认没有报告任何用户问题.
验证NewIP1正在获取DNS查询并使用应答进行响应.
8.
在确认第一个DNS服务器正常工作后,请重复步骤1(p.
44)以更新第二个DNS服务器,这次请将OldIP2替换为NewIP2.
然后,重复步骤2和步骤3.
删除您的WorkSpace目录如果您的WorkSpace目录不再被其他WorkSpace或其他应用程序(如AmazonWorkDocs、AmazonWorkMail或AmazonChime)使用,则可将其删除.
请注意,必须先取消注册目录,然后才能删除它.
NoteSimpleADandADConnectoraremadeavailabletoyoufreeofchargetousewithWorkSpaces.
IftherearenoWorkSpacesbeingusedwithyourSimpleADorADConnectordirectoryfor30consecutivedays,thisdirectorywillbeautomaticallyderegisteredforusewithAmazonWorkSpaces,andyouwillbechargedforthisdirectoryaspertheAWSDirectoryServicepricingterms.
IfyoudeleteyourSimpleADorADConnectordirectory,youcanalwayscreateanewonewhenyouwanttostartusingWorkSpacesagain.
删除目录时会发生什么删除SimpleAD或AWSDirectoryServiceforMicrosoftActiveDirectory(企业版)目录时,所有目录数据和快照都会删除,并且无法恢复.
Afterthedirectoryisdeleted,anyAmazonEC2instancesthatarejoinedtothedirectoryremainintact.
但是,不能使用目录凭证登录这些实例.
需要使用实例的本地用户账户登录这些实例.
删除ADConnector目录时,本地目录保持不变.
AnyAmazonEC2instancesthatarejoinedtothedirectoryalsoremainintactandremainjoinedtoyouron-premisesdirectory.
仍可以使用目录凭证登录这些实例.
要删除目录1.
删除目录中的所有工作区.
有关更多信息,请参阅删除工作区(p.
108).
48AmazonWorkSpaces管理指南EnableAmazonWorkDocsforAWSManagedMicrosoftAD2.
查找并删除注册到目录的所有应用程序和服务.
Formoreinformation,seeDeleteYourDirectoryintheAWSDirectoryServiceAdministrationGuide.
3.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
4.
在导航窗格中,选择Directories.
5.
选择目录,然后选择Actions、Deregister.
6.
当系统提示您确认时,选择Deregister.
7.
再次选择目录,然后选择Actions和Delete.
8.
当系统提示进行确认时,选择Delete.
Note删除应用程序分配有时可能需要超出预期的时间.
如果您收到以下错误消息,请确保已删除所有应用程序分配,等待30到60分钟,然后再次尝试删除该目录:AnErrorHasOccurredCannotdeletethedirectorybecauseitstillhasauthorizedapplications.
AdditionaldirectorydetailscanbeviewedattheDirectoryServiceconsole.
9.
(可选)删除VirtualPrivateCloud(VPC)中用于您的目录的所有资源后,可以删除VPC并释放用于NAT网关的弹性IP地址.
Formoreinformation,seeDeletingyourVPCandWorkingwithElasticIPaddressesintheAmazonVPC用户指南.
10.
(可选)要删除您不再使用的任何自定义捆绑包和映像,请参阅删除自定义WorkSpace服务包或映像(p.
125).
EnableAmazonWorkDocsforAWSManagedMicrosoftADIfyou'reusingAWSManagedMicrosoftADwithAmazonWorkSpaces,youcanenableAmazonWorkDocsforyourdirectorythrougheithertheAmazonWorkDocsconsoleortheAWSDirectoryServiceconsole.
NoteAmazonWorkDocsisnotavailableinalloftheAWSRegionswhereAmazonWorkSpacesisavailable.
有关更多信息,请参阅AmazonWorkDocs定价.
通过AmazonWorkDocs控制台启用WorkDocs1.
从https://console.
amazonaws.
cn/zocalo/打开AmazonWorkDocs控制台.
2.
选择CreateaNewWorkDocsSite(创建新的WorkDocs站点).
3.
在StandardSetup(标准设置)中,选择Launch(启动).
4.
选择目录并创建您的站点名称.
5.
指定将管理WorkDocs站点的用户.
您可以使用管理员或在目录中创建的任何用户.
Formoreinformation,seeGettingStartedwithAWSManagedMicrosoftADintheAmazonWorkDocs管理指南.
通过AWSDirectoryService控制台启用WorkDocs1.
通过以下网址打开AWSDirectoryService控制台:https://console.
amazonaws.
cn/directoryservicev2/.
2.
在导航窗格中,选择Directories.
49AmazonWorkSpaces管理指南设置目录管理3.
在Directories(目录)页面上,选择您的目录.
4.
在Directorydetails(目录详细信息)页面上,选择Applicationmanagement(应用程序管理)选项卡.
5.
在ApplicationaccessURL(应用程序访问URL)部分中,如果尚未向目录分配访问URL,则会显示Create(创建)按钮.
输入目录别名,然后选择Create(创建).
Formoreinformation,seeCreatinganAccessURLintheAWSDirectoryServiceAdministrationGuide.
6.
在ApplicationaccessURL(应用程序访问URL)部分中,选择Enable(启用)以便为AmazonWorkDocs启用单点登录.
Formoreinformation,seeSingleSign-OnintheAWSDirectoryServiceAdministrationGuide.
为AmazonWorkSpaces设置ActiveDirectory管理工具您将使用目录管理工具(如ActiveDirectory管理工具)为您的WorkSpace目录执行大部分管理任务.
但是,您将使用AmazonWorkSpaces控制台执行一些与目录相关的任务.
有关更多信息,请参阅管理AmazonWorkSpaces目录(p.
39).
如果您使用AWS托管的MicrosoftAD或SimpleAD创建一个包含5个或更多WorkSpaces目录,我们建议您在AmazonEC2实例上集中管理.
尽管您可以在WorkSpace上安装目录管理工具,但使用AmazonEC2实例是一种更可靠的解决方案.
设置ActiveDirectory管理工具1.
使用以下选项之一启动AmazonEC2Windows实例并将其加入WorkSpaces目录:如果您还没有现有AmazonEC2Windows实例,则可以在启动实例时将实例加入目录域.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/launching_instance.
html无缝加入WindowsEC2实例AWSDirectoryServiceAdministrationGuide.
如果您已有一个现有AmazonEC2Windows实例,则可以将其手动加入到您的目录.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/join_windows_instance.
html手动添加Windows实例AWSDirectoryServiceAdministrationGuide.
2.
在AmazonEC2Windows实例上安装ActiveDirectory管理工具.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/install_ad_tools.
html中的AWSDirectoryServiceAdministrationGuide安装ActiveDirectory管理工具.
安装完功能后,Windows开始菜单上的Windows管理工具下提供了ActiveDirectory工具.
3.
按照如下步骤以目录管理员身份运行工具:a.
在WindowsStart(开始)菜单上,打开WindowsAdministrativeTools(Windows管理工具).
b.
按住Shift键,右键单击要使用的工具的快捷方式,然后选择Runasdifferentuser(以不同用户身份运行).
c.
键入管理员的用户名和密码.
对于SimpleAD,用户名为Administrator,对于AWS托管的MicrosoftAD,管理员为Admin.
现在,您可以使用熟悉的ActiveDirectory工具执行目录管理任务.
例如,您可以使用ActiveDirectory用户和计算机工具添加用户、删除用户、将用户提升为目录管理员或重置用户密码.
请注意,您必须以有权管理目录中用户的用户身份登录您的Windows实例.
将用户提升为目录管理员Note此过程仅适用于使用SimpleAD创建的目录,而不适用于AWSManagedAD.
有关使用AWS托管AD创建的目录,请参阅中的在AWShttps://docs.
amazonaws.
cn/directoryservice/latest/50AmazonWorkSpaces管理指南设置目录管理admin-guide/ms_ad_manage_users_groups.
html托管的MicrosoftADAWSDirectoryServiceAdministrationGuide中管理用户和组.
1.
打开"ActiveDirectory用户和计算机"工具.
2.
导航到您的域下的用户文件夹并选择要提升的用户.
3.
选择操作、属性.
4.
在username属性对话框,选择成员.
5.
将用户添加到下列组并选择确定.
AdministratorsDomainAdminsEnterpriseAdminsGroupPolicyCreatorOwnersSchemaAdmins添加或删除用户您只能在启动WorkSpace的过程中从AmazonWorkSpaces控制台创建新用户,并且无法通过AmazonWorkSpaces控制台删除用户.
大多数用户管理任务(包括管理用户组)都必须通过您的目录执行.
Important在删除用户之前,必须先删除分配给该用户的WorkSpace.
有关更多信息,请参阅删除工作区(p.
108).
用于管理用户和组的过程取决于您使用的目录类型.
如果您使用的是AWS托管的MicrosoftAD,请参阅中的管理AWS托管的MicrosoftADAWSDirectoryServiceAdministrationGuide中的用户和组.
如果您使用的是SimpleAD,请参阅中的在SimpleAD中管理用户和组AWSDirectoryServiceAdministrationGuide.
如果通过ADConnector或信任关系使用MicrosoftActiveDirectory,则可以使用ActiveDirectory来管理用户和组.
重置用户密码在为现有用户重置密码时,不要设置Usermustchangepasswordatnextlogon.
否则,用户无法连接到其WorkSpace.
相反,应为每个用户分配一个安全的临时密码,然后要求他们在下次登录时从WorkSpace内手动更改其密码.
Note如果您使用的是ADConnector,或者您的用户位于AWSGovCloud美国西部)区域,则您的用户将无法重置自己的密码.
(WorkSpaces客户端应用程序登录屏幕上的忘记密码选项将不可用.
)51AmazonWorkSpaces管理指南使用AmazonWorkSpaces启动虚拟桌面借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟MicrosoftWindows或AmazonLinux桌面(称为WorkSpace).
NoteTheComputerNamevalueshownforaWorkSpaceintheAmazonWorkSpacesconsolevaries,dependingonwhichtypeofWorkSpaceyou'velaunched(LinuxorWindows).
ThecomputernameforaWorkSpacecanbeinoneoftheseformats:Linux:A-1xxxxxxxxxxxxWindows:IP-CxxxxxxorWSAMZN-xxxxxxxorEC2AMAZ-xxxxxxxForWindowsWorkSpaces,thecomputernameformatisdeterminedbythebundletype,andinthecaseofWorkSpacescreatedfrompublicbundlesorfromcustombundlesbasedonpublicimages,bywhenthepublicimageswerecreated.
StartingJune22,2020,WindowsWorkSpaceslaunchedfrompublicbundleshavetheWSAMZN-xxxxxxxformatfortheircomputernamesinsteadoftheIP-Cxxxxxx格式的日期和时间.
Forcustombundlesbasedonapublicimage,ifthepublicimagewascreatedbeforeJune22,2020,thecomputernamesareintheEC2AMAZ-xxxxxxx格式的日期和时间.
IfthepublicimagewascreatedonorafterJune22,2020,thecomputernamesareintheWSAMZN-xxxxxxx格式的日期和时间.
ForBringYourOwnLicense(BYOL)bundles,eithertheDESKTOP-xxxxxxxortheEC2AMAZ-xxxxxxxformatisusedforthecomputernamesbydefault.
Ifyou'vespecifiedacustomformatforthecomputernamesinyourcustomorBYOLbundles,yourcustomformatoverridesthesedefaults.
Tospecifyacustomformat,see创建自定义WorkSpace映像和服务包(p.
110).
AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
您可以执行以下任意操作:创建SimpleAD目录.
创建AWSDirectoryServiceforMicrosoftActiveDirectory,也称为AWS托管的MicrosoftAD.
使用ActiveDirectoryConnector连接到现有MicrosoftActiveDirectory.
在AWS托管的MicrosoftAD目录与本地域之间创建信任关系.
NoteShareddirectoriesarenotcurrentlysupportedforusewithAmazonWorkSpaces.
IfyouconfigureyourAWSManagedMicrosoftADdirectoryformulti-Regionreplication,onlythedirectoryintheprimaryRegioncanberegisteredforusewithAmazonWorkSpaces.
AttemptstoregisterthedirectoryinareplicatedRegionforusewithAmazonWorkSpaceswillfail.
Multi-RegionreplicationwithAWSManagedMicrosoftADisn'tsupportedforusewithAmazonWorkSpaceswithinreplicatedRegions.
SimpleADandADConnectoraremadeavailabletoyoufreeofchargetousewithWorkSpaces.
IftherearenoWorkSpacesbeingusedwithyourSimpleADorADConnectordirectoryfor52AmazonWorkSpaces管理指南启动使用AWS托管的MicrosoftAD的项30consecutivedays,thisdirectorywillbeautomaticallyderegisteredforusewithAmazonWorkSpaces,andyouwillbechargedforthisdirectoryaspertheAWSDirectoryServicepricingterms.
Todeleteemptydirectories,see删除您的WorkSpace目录(p.
48).
IfyoudeleteyourSimpleADorADConnectordirectory,youcanalwayscreateanewonewhenyouwanttostartusingWorkSpacesagain.
以下教程将为您介绍如何使用受支持的目录服务选项启动WorkSpace.
教程启动使用AWS托管的MicrosoftAD的WorkSpace(p.
53)启动使用SimpleAD的WorkSpace(p.
56)启动使用ADConnector的WorkSpace(p.
59)启动使用受信任域的WorkSpace(p.
62)启动使用AWS托管的MicrosoftAD的WorkSpace借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟Windows桌面(称为WorkSpace).
AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用AWS托管的MicrosoftAD的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
任务开始前的准备工作(p.
53)步骤1:创建AWS托管的MicrosoftAD目录(p.
53)步骤2:创建WorkSpace(p.
54)第3步:连接到WorkSpace(p.
55)后续步骤(p.
55)开始前的准备工作AmazonWorkSpaces并非在所有区域均可用.
请确认受支持的区域,并为您的WorkSpace选择一个区域.
有关受支持区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是操作系统、存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
使用AWSDirectoryService创建目录或启动WorkSpace时,您必须创建或选择通过1个公有子网和2个私有子网配置的VirtualPrivateCloud.
有关更多信息,请参阅为配置VPCAmazonWorkSpaces(p.
9).
步骤1:创建AWS托管的MicrosoftAD目录首先,创建一个AWS托管的MicrosoftAD目录.
AWSDirectoryService会创建2个目录服务器,您的VPC的每个私有子网中各有一个.
请注意,目录最初没有任何用户.
您将在下一步启动WorkSpace时添加用户.
53AmazonWorkSpaces管理指南步骤2:创建WorkSpaceNoteShareddirectoriesarenotcurrentlysupportedforusewithAmazonWorkSpaces.
IfyourAWSManagedMicrosoftADdirectoryhasbeenconfiguredformulti-Regionreplication,onlythedirectoryintheprimaryRegioncanberegisteredforusewithAmazonWorkSpaces.
AttemptstoregisterthedirectoryinareplicatedRegionforusewithAmazonWorkSpaceswillfail.
Multi-RegionreplicationwithAWSManagedMicrosoftADisn'tsupportedforusewithAmazonWorkSpaceswithinreplicatedRegions.
创建AWS托管的MicrosoftAD目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择SetupDirectory、CreateMicrosoftAD.
4.
按以下说明配置目录:a.
对于组织名称,为您的目录输入一个具有唯一性的组织名称(例如,my-demo-directory).
此名称的字符数不得少于4个,仅包含字母数字字符和连字符(-),并以连字符以外的其他字符开头或结尾.
b.
对于目录DNS,为目录输入一个完全限定名称(例如,workspaces.
demo.
com).
ImportantIfyouneedtoupdateyourDNSserverafterlaunchingyourWorkSpaces,followtheprocedurein更新AmazonWorkSpaces的DNS服务器(p.
44)toensurethatyourWorkSpacesgetproperlyupdated.
c.
对于NetBIOS名称,为目录输入一个短名称(例如,workspaces).
d.
对于Admin密码和确认密码,输入目录管理员账户的密码.
有关密码要求的更多信息,请参阅AWS中的创建您的AWSDirectoryServiceAdministrationGuide托管的MicrosoftAD目录.
e.
(可选)对于描述,输入目录的描述.
f.
对于VPC,选择您创建的VPC.
g.
对于Subnets,选择两个私有子网(具有CIDR块10.
0.
1.
0/24和10.
0.
2.
0/24).
h.
选择NextStep.
5.
选择CreateMicrosoftAD.
6.
选择完成.
目录的初始状态是Creating.
目录创建完毕后,状态会变为Active.
步骤2:创建WorkSpace现在,您已经创建了一个AWS托管的MicrosoftAD目录,接下来可以创建WorkSpace.
创建WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择LaunchWorkSpaces.
4.
在SelectaDirectory(选择目录)页面上,选择您创建的目录,然后选择NextStep(下一步).
AmazonWorkSpaces将注册您的目录.
5.
在IdentifyUsers页面上,按照以下步骤向目录添加新用户:a.
填写Username、FirstName、LastName和Email.
使用您有权访问的电子邮件地址.
b.
选择CreateUsers.
54AmazonWorkSpaces管理指南第3步:连接到WorkSpacec.
选择NextStep.
6.
在SelectBundle页面上,选择服务包,然后选择NextStep.
7.
在WorkSpacesConfiguration页面上,选择运行模式,然后选择NextStep.
8.
在Review&LaunchWorkSpaces页面上,选择LaunchWorkSpaces.
WorkSpace的初始状态是PENDING.
启动完毕后,状态会变为AVAILABLE,然后系统会向您为用户指定的电子邮件地址发送一封邀请电子邮件.
9.
(Optional)IfAmazonWorkDocsissupportedintheRegion,youcanenableAmazonWorkDocsforallusersinthedirectory.
有关更多信息,请参阅EnableAmazonWorkDocsforAWSManagedMicrosoftAD(p.
49).
FormoreinformationaboutAmazonWorkDocs,seeAmazonWorkDocsDriveintheAmazonWorkDocs管理指南.
第3步:连接到WorkSpace收到邀请电子邮件后,您可以使用所选的客户端连接到您的WorkSpace.
登录后,此客户端会显示WorkSpace桌面.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
根据系统提示,指定密码并激活用户.
请记住此密码,因为您会在登录WorkSpace时用到它.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
Passwordsmustcontainatleastonecharacterfromeachofthefollowingcategories:lowercaseletters(a-z),uppercaseletters(A-Z),numbers(0-9),and2.
ReviewAmazonWorkSpacesClientsintheAmazonWorkSpaces用户指南formoreinformationabouttherequirementsforeachclient,andthendooneofthefollowing:根据系统提示,下载一个客户端应用程序或启动WebAccess.
Ifyouaren'tpromptedandyouhaven'tinstalledaclientapplicationalready,openhttps://clients.
amazonworkspaces.
awsapps.
cn/anddownloadoneoftheclientapplicationsorlaunchWebAccess.
NoteYoucannotuseawebbrowser(WebAccess)toconnecttoAmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后在WorkSpace中创建自定义服务包.
YoucanalsoperformvariousadministrativetasksforyourWorkSpacesandyourWorkSpacesdirectory.
使用完WorkSpace后,可以将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpace映像和服务包(p.
110)管理您的WorkSpace(p.
70)管理AmazonWorkSpaces目录(p.
39)删除工作区(p.
108)55AmazonWorkSpaces管理指南使用SimpleAD启动FormoreinformationaboutusingtheWorkSpacesclientapplications,suchassettingupmultiplemonitorsorusingperipheraldevices,seeAmazonWorkSpacesClientsandPeripheralDeviceSupportintheAmazonWorkSpaces用户指南.
启动使用SimpleAD的WorkSpace借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟MicrosoftWindows桌面(称为WorkSpace).
AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用SimpleAD的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
任务开始前的准备工作(p.
56)第1步:创建SimpleAD目录(p.
56)步骤2:创建WorkSpace(p.
57)第3步:连接到WorkSpace(p.
58)后续步骤(p.
58)开始前的准备工作SimpleAD并非在所有区域均可用.
验证支持的区域,并为目录选择区域SimpleAD.
有关支持的区域的更多信息SimpleAD,请参阅AWSDirectoryService的区域可用性.
AmazonWorkSpaces并非在所有区域均可用.
请确认受支持的区域,并为您的WorkSpace选择一个区域.
有关受支持区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是操作系统、存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
使用AWSDirectoryService创建目录或启动WorkSpace时,您必须创建或选择通过1个公有子网和2个私有子网配置的VirtualPrivateCloud.
有关更多信息,请参阅为配置VPCAmazonWorkSpaces(p.
9).
第1步:创建SimpleAD目录创建一个SimpleAD目录.
AWSDirectoryService会创建2个目录服务器,您的VPC的每个私有子网中各有一个.
请注意,目录最初没有任何用户.
在下一步创建WorkSpace时,您将添加用户.
NoteSimpleAD可供您免费将与WorkSpaces结合使用.
如果连续30天没有WorkSpaces与您的SimpleAD目录一起使用,则此目录将自动取消注册以用于AmazonWorkSpaces,并且将按照AWSDirectoryService定价条款对此目录收费.
要删除空目录,请参阅删除您的WorkSpace目录(p.
48).
如果删除目录,在您希望再次开始使用WorkSpaces时,您始终可以创建一个新的SimpleAD目录.
创建SimpleAD目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
56AmazonWorkSpaces管理指南步骤2:创建WorkSpace2.
在导航窗格中,选择Directories.
3.
选择SetupDirectory(设置目录)、SimpleAD(简单AD)和Next(下一步).
4.
按以下说明配置目录:a.
对于组织名称,为您的目录输入一个具有唯一性的组织名称(例如,my-example-directory).
此名称的字符数不得少于4个,仅包含字母数字字符和连字符(-),并以连字符以外的其他字符开头或结尾.
b.
对于DirectoryDNSname(目录DNS名称),输入目录的完全限定名称(例如example.
com).
Important如果您在启动WorkSpaces后需要更新DNS服务器,请按照中的过程操作更新AmazonWorkSpaces的DNS服务器(p.
44),以确保WorkSpaces得到正确更新.
c.
对于NetBIOS名称,为目录键入一个短名称(例如,example).
d.
对于Admin密码和确认密码,输入目录管理员账户的密码.
有关密码要求的更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/create_managed_ad.
html中的AWSDirectoryServiceAdministrationGuide如何创建MicrosoftAD目录.
e.
(可选)对于描述,输入目录的描述.
f.
对于Directorysize(目录大小),选择Small(小型).
g.
对于VPC,选择您创建的VPC.
h.
对于Subnets,选择两个私有子网(具有CIDR块10.
0.
1.
0/24和10.
0.
2.
0/24).
i.
选择Next.
5.
选择Createdirectory(创建目录).
6.
目录的初始状态是Requested,然后是Creating.
目录创建完成后(这可能需要几分钟),状态为Active.
目录创建AmazonWorkSpaces将代表您完成以下任务:创建一个IAM角色以允许AmazonWorkSpaces服务创建弹性网络接口并列出您的AmazonWorkSpaces目录.
此角色的名称为workspaces_DefaultRole.
在VPC中设置用于存储用户和WorkSpace信息的SimpleAD目录.
此目录的管理员账户具有用户名Administrator和指定的密码.
创建2个安全组,一个用于目录控制器,另一个用于目录中的WorkSpace.
步骤2:创建WorkSpace现在,您可以启动WorkSpace.
为用户创建WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择LaunchWorkSpaces.
4.
在SelectaDirectory页面上,执行以下操作:a.
对于Directory,选择您创建的目录.
b.
对于EnableSelfServicePermissions(启用自助服务权限),选择Yes(是)或No(否),然后输入描述.
c.
对于EnableAmazonWorkDocs,选择Yes.
57AmazonWorkSpaces管理指南第3步:连接到WorkSpaceNote仅当在所选区域提供AmazonWorkDocs时,此选项才可用.
d.
选择NextStep(下一步).
将AmazonWorkSpaces注册您的SimpleAD目录.
5.
在IdentifyUsers页面上,按照以下步骤向目录添加新用户:a.
填写Username、FirstName、LastName和Email.
使用您有权访问的电子邮件地址.
b.
选择CreateUsers.
c.
选择NextStep.
6.
在SelectBundle页面上,选择服务包,然后选择NextStep.
7.
在WorkSpacesConfiguration页面上,选择运行模式,然后选择NextStep.
8.
在Review&LaunchWorkSpaces页面上,选择LaunchWorkSpaces.
WorkSpace的初始状态是PENDING.
当启动完成后(这最多可能需要20分钟),状态为AVAILABLE,并且系统会向您为用户指定的电子邮件地址发送邀请.
第3步:连接到WorkSpace收到邀请电子邮件后,您可以使用所选的客户端连接到您的WorkSpace.
登录后,此客户端会显示WorkSpace桌面.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
根据系统提示,输入密码并激活用户.
请记住此密码,因为您会在登录WorkSpace时用到它.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
密码必须混合使用以下各类别字符:小写字母(a-z)、大写字母(A-Z)、数字(0-9和2.
在中查看AmazonWorkSpacesClientsAmazonWorkSpaces用户指南(客户端),了解有关每个客户端的要求的更多信息,然后执行以下操作之一:在系统提示时,下载客户端应用程序之一或启动WebAccess.
如果您未看到提示,并且尚未安装客户端应用程序,请打开https://clients.
amazonworkspaces.
awsapps.
cn/并下载其中一个客户端应用程序或启动WebAccess.
Note您不能使用Web浏览器(WebAccess)连接到AmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后在WorkSpace中创建自定义服务包.
您还可以为您的WorkSpaces和WorkSpaces执行各种管理任务.
使用完WorkSpace后,可以将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpace映像和服务包(p.
110)58AmazonWorkSpaces管理指南使用ADConnector启动管理您的WorkSpace(p.
70)管理AmazonWorkSpaces目录(p.
39)删除工作区(p.
108)有关使用WorkSpaces客户端应用程序的更多信息,例如设置多个显示器或使用外围设备,请参阅AmazonWorkSpaces中的https://docs.
amazonaws.
cn/workspaces/latest/userguide/peripheral_devices.
html客户端和AmazonWorkSpaces用户指南外围设备支持.
启动使用ADConnector的WorkSpace借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟MicrosoftWindows桌面(称为WorkSpace).
AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用ADConnector的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
任务开始前的准备工作(p.
59)步骤1:创建ADConnector(p.
59)步骤2:创建WorkSpace(p.
60)第3步:连接到WorkSpace(p.
61)后续步骤(p.
61)开始前的准备工作AmazonWorkSpaces并非在所有区域均可用.
请确认受支持的区域,并为您的WorkSpace选择一个区域.
有关受支持区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是操作系统、存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
创建具有至少两个私有子网的VirtualPrivateCloud.
有关更多信息,请参阅为配置VPCAmazonWorkSpaces(p.
9).
必须通过虚拟专用网络(VPN)连接或AWSDirectConnect将VPC连接到您的本地网络.
有关更多信息,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/prereq_connector.
html中的AWSDirectoryServiceAdministrationGuideADConnector先决条件.
从WorkSpace提供对Internet的访问.
有关更多信息,请参阅提供WorkSpace的Internet访问权限(p.
30).
步骤1:创建ADConnectorNoteADConnectorismadeavailabletoyoufreeofchargetousewithWorkSpaces.
IftherearenoWorkSpacesbeingusedwithyourADConnectordirectoryfor30consecutivedays,thisdirectorywillbeautomaticallyderegisteredforusewithAmazonWorkSpaces,andyouwillbechargedforthisdirectoryaspertheAWSDirectoryServicepricingterms.
59AmazonWorkSpaces管理指南步骤2:创建WorkSpaceTodeleteemptydirectories,see删除您的WorkSpace目录(p.
48).
IfyoudeleteyourADConnectordirectory,youcanalwayscreateanewonewhenyouwanttostartusingWorkSpacesagain.
创建ADConnector1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择SetupDirectory、CreateADConnector.
4.
对于组织名称,为您的目录输入一个具有唯一性的组织名称(例如,my-example-directory).
此名称的字符数不得少于4个,仅包含字母数字字符和连字符(-),并以连字符以外的其他字符开头或结尾.
5.
对于已连接的目录DNS,输入您的本地目录的完全限定名称(例如example.
com).
6.
对于已连接的目录NetBIOS名称,输入您的本地目录的短名(例如example).
7.
对于Connector账户用户名,输入您的本地目录中的一个用户的用户名.
该用户必须有权读取用户和组、创建计算机对象并将其加入到域中.
8.
对于Connector账户密码和确认密码,输入本地用户账户的密码.
9.
对于DNS地址,输入您的本地目录中至少一个DNS服务器的IP地址.
ImportantIfyouneedtoupdateyourDNSserverIPaddressafterlaunchingyourWorkSpaces,followtheprocedurein更新AmazonWorkSpaces的DNS服务器(p.
44)toensurethatyourWorkSpacesgetproperlyupdated.
10.
(可选)对于描述,输入目录的描述.
11.
保持Size为Small.
12.
对于VPC,选择您的VPC.
13.
对于Subnets,选择您的子网.
所指定的DNS服务器必须能够从每个子网访问.
14.
选择NextStep.
15.
选择CreateADConnector.
连接目录需要几分钟时间.
目录的初始状态是Requested,然后是Creating.
目录创建完毕后,状态会变为Active.
步骤2:创建WorkSpace现在,您已准备就绪,可为本地目录中的一个或多个用户启动WorkSpace.
为现有用户启动WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择LaunchWorkSpaces.
4.
对于Directory,选择您创建的目录.
5.
(可选)如果这是您首次在该目录中启动WorkSpace,并且AmazonWorkDocs在区域中受支持,则您可在该目录中为所有用户启用或禁用AmazonWorkDocs.
FormoreinformationaboutAmazonWorkDocs,seeAmazonWorkDocsDriveintheAmazonWorkDocs管理指南.
6.
选择Next(下一步).
AmazonWorkSpaces将注册您的ADConnector.
7.
从您的本地目录选择一个或多个现有用户.
不要通过AmazonWorkSpaces控制台向本地目录添加新用户.
要查找所要选择的用户,可以输入用户的完整或部分名称,然后选择搜索或显示所有用户.
请注意,不能选择没有电子邮件地址的用户.
选择了用户后,选择AddSelected,然后选择NextStep.
60AmazonWorkSpaces管理指南第3步:连接到WorkSpace8.
在SelectBundle下,选择要用于WorkSpace的默认WorkSpace服务包.
在AssignWorkSpaceBundles下,如果需要,可以为单独的WorkSpace选择一个不同的服务包.
完成后,选择NextStep.
9.
为您的WorkSpace选择一种运行模式,然后选择NextStep.
有关更多信息,请参阅管理WorkSpace运行模式(p.
85).
10.
选择LaunchWorkSpaces.
WorkSpace的初始状态是PENDING.
启动完毕后,状态会变为AVAILABLE.
11.
向每个用户的电子邮件地址发送邀请.
(如果使用的是ADConnector,则不会自动发送这些邀请.
)有关更多信息,请参阅发送邀请电子邮件(p.
66).
第3步:连接到WorkSpace您可以使用所选的客户端连接到您的WorkSpace.
登录后,此客户端会显示WorkSpace桌面.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
2.
ReviewAmazonWorkSpacesClientsintheAmazonWorkSpaces用户指南formoreinformationabouttherequirementsforeachclient,andthendooneofthefollowing:根据系统提示,下载一个客户端应用程序或启动WebAccess.
Ifyouaren'tpromptedandyouhaven'tinstalledaclientapplicationalready,openhttps://clients.
amazonworkspaces.
awsapps.
cn/anddownloadoneoftheclientapplicationsorlaunchWebAccess.
NoteYoucannotuseawebbrowser(WebAccess)toconnecttoAmazonLinuxWorkSpaces.
3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
Note由于您使用的是ADConnector,您的用户将无法重置自己的密码.
(WorkSpaces客户端应用程序登录屏幕上的忘记密码选项将不可用.
)有关如何重置用户密码的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后在WorkSpace中创建自定义服务包.
YoucanalsoperformvariousadministrativetasksforyourWorkSpacesandyourWorkSpacesdirectory.
使用完WorkSpace后,可以将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpace映像和服务包(p.
110)管理您的WorkSpace(p.
70)管理AmazonWorkSpaces目录(p.
39)删除工作区(p.
108)FormoreinformationaboutusingtheWorkSpacesclientapplications,suchassettingupmultiplemonitorsorusingperipheraldevices,seeAmazonWorkSpacesClientsandPeripheralDeviceSupportintheAmazonWorkSpaces用户指南.
61AmazonWorkSpaces管理指南使用受信任域启动启动使用受信任域的WorkSpace借助AmazonWorkSpaces,您可以为用户预置基于云的虚拟MicrosoftWindows桌面(称为WorkSpace).
AmazonWorkSpaces使用目录来存储和管理WorkSpace及用户的相关信息.
对于您的目录,您可以从SimpleAD、ADConnector或AWSDirectoryServiceforMicrosoftActiveDirectory(也称为AWS托管的MicrosoftAD)中选择.
此外,您可以在AWS托管的MicrosoftAD目录与本地域之间建立信任关系.
在本教程中,我们将启动使用信任关系的WorkSpace.
要了解使用其他选项的教程,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
任务开始前的准备工作(p.
62)步骤1:建立信任关系(p.
62)步骤2:创建WorkSpace(p.
63)第3步:连接到WorkSpace(p.
63)后续步骤(p.
64)开始前的准备工作LaunchingWorkSpaceswithuseraccountsinaseparatetrusteddomainworkswithAWSManagedMicrosoftADwhenitisconfiguredwithatrustrelationshiptoyouron-premisesdirectory.
However,WorkSpacesusingSimpleADorADConnectorcannotlaunchWorkSpacesforusersfromatrusteddomain.
AmazonWorkSpaces并非在所有区域均可用.
请确认受支持的区域,并为您的WorkSpace选择一个区域.
有关受支持区域的更多信息,请参阅按AWS区域划分的AmazonWorkSpaces定价.
启动WorkSpace时,您必须选择一个WorkSpace服务包.
服务包是存储、计算和软件资源的组合.
有关更多信息,请参阅AmazonWorkSpaces服务包.
使用AWSDirectoryService创建目录或启动WorkSpace时,您必须创建或选择通过1个公有子网和2个私有子网配置的VirtualPrivateCloud.
有关更多信息,请参阅为配置VPCAmazonWorkSpaces(p.
9).
步骤1:建立信任关系设置信任关系1.
在您的VirtualPrivateCloud(VPC)中设置AWS托管的MicrosoftAD.
有关更多信息,请参阅AWS中的创建AWSDirectoryServiceAdministrationGuide托管的MicrosoftAD目录.
NoteShareddirectoriesarenotcurrentlysupportedforusewithAmazonWorkSpaces.
IfyourAWSManagedMicrosoftADdirectoryhasbeenconfiguredformulti-Regionreplication,onlythedirectoryintheprimaryRegioncanberegisteredforusewithAmazonWorkSpaces.
AttemptstoregisterthedirectoryinareplicatedRegionforusewithAmazonWorkSpaceswillfail.
Multi-RegionreplicationwithAWSManagedMicrosoftADisn'tsupportedforusewithAmazonWorkSpaceswithinreplicatedRegions.
2.
在AWS托管的MicrosoftAD与本地域之间创建信任关系.
确保该信任关系配置为双向信任.
有关更多信息,请参阅AWS中的教程:创建AWSDirectoryServiceAdministrationGuide托管的MicrosoftAD与本地域之间的信任关系.
62AmazonWorkSpaces管理指南步骤2:创建WorkSpace需要双向信任,以便可以使用本地凭证来管理WorkSpace,向WorkSpace进行身份验证,并且可以向本地用户和组预置WorkSpace.
步骤2:创建WorkSpace在您的AWS托管的MicrosoftAD与本地MicrosoftActiveDirectory域之间创建了信任关系之后,就可以为本地域中的用户预置WorkSpace了.
注意,您必须确保跨域复制GPO设置,然后才能将其应用到AmazonWorkSpaces.
为本地受信任域中的用户启动WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择LaunchWorkSpaces.
4.
在SelectaDirectory页面上,选择您刚注册的目录,然后选择NextStep.
5.
在IdentifyUsers页面上,执行以下操作:a.
对于Selecttrustfromforest,选择您创建的信任关系.
b.
从本地部署域中选择用户,然后选择AddSelected.
c.
选择NextStep.
6.
选择要用于WorkSpace的服务包,然后选择NextStep.
7.
选择运行模式,选择加密设置,并配置任何标签.
完成后,选择NextStep.
8.
选择LaunchWorkSpaces.
注意,WorkSpace最长可能需要20分钟的时间才能变得可用,而且如果启用了加密,最长可能需要40分钟的时间.
WorkSpace的初始状态是PENDING.
启动完毕后,状态会变为AVAILABLE.
9.
向每个用户的电子邮件地址发送邀请.
有关更多信息,请参阅发送邀请电子邮件(p.
66).
第3步:连接到WorkSpace收到邀请电子邮件后,您可以连接到您的WorkSpace.
用户可以用username、corp\username或corp.
example.
com\username的形式输入其用户名.
连接到WorkSpace1.
打开邀请电子邮件中的链接.
根据系统提示,输入密码并激活用户.
请记住此密码,因为您会在登录WorkSpace时用到它.
Note密码区分大小写,且长度必须介于8到64个字符之间(含8和64).
Passwordsmustcontainatleastonecharacterfromeachofthefollowingcategories:lowercaseletters(a-z),uppercaseletters(A-Z),numbers(0-9),and2.
ReviewAmazonWorkSpacesClientsintheAmazonWorkSpaces用户指南formoreinformationabouttherequirementsforeachclient,andthendooneofthefollowing:根据系统提示,下载一个客户端应用程序或启动WebAccess.
Ifyouaren'tpromptedandyouhaven'tinstalledaclientapplicationalready,openhttps://clients.
amazonworkspaces.
awsapps.
cn/anddownloadoneoftheclientapplicationsorlaunchWebAccess.
NoteYoucannotuseawebbrowser(WebAccess)toconnecttoAmazonLinuxWorkSpaces.
63AmazonWorkSpaces管理指南后续步骤3.
启动客户端,输入邀请电子邮件中的注册代码,然后选择Register.
4.
当系统提示您登录时,输入用户的用户名和密码,然后选择登录.
5.
(可选)当系统提示您保存凭证时,选择Yes.
后续步骤您可以继续自定义您刚创建的WorkSpace.
例如,您可以安装软件,然后在WorkSpace中创建自定义服务包.
YoucanalsoperformvariousadministrativetasksforyourWorkSpacesandyourWorkSpacesdirectory.
使用完WorkSpace后,可以将其删除.
有关更多信息,请参阅以下文档.
创建自定义WorkSpace映像和服务包(p.
110)管理您的WorkSpace(p.
70)管理AmazonWorkSpaces目录(p.
39)删除工作区(p.
108)FormoreinformationaboutusingtheWorkSpacesclientapplications,suchassettingupmultiplemonitorsorusingperipheraldevices,seeAmazonWorkSpacesClientsandPeripheralDeviceSupportintheAmazonWorkSpaces用户指南.
64AmazonWorkSpaces管理指南管理WorkSpaces用户管理WorkSpace用户每个WorkSpace分配给单个用户,无法由多个用户共享.
默认情况下,每个目录的每个用户只允许一个WorkSpace.
目录管理WorkSpaces用户(p.
65)为用户创建多个WorkSpaces(p.
66)自定义用户登录其WorkSpaces的方式(p.
67)为您的用户启用自助服务WorkSpace管理功能(p.
68)管理WorkSpaces用户作为AmazonWorkSpaces管理员,您可以执行以下任务来管理WorkSpaces用户.
编辑用户信息您可以使用AmazonWorkSpaces控制台编辑WorkSpace的用户信息.
Note仅当您使用AWS托管的MicrosoftAD或SimpleAD时该功能才可用.
如果通过ADConnector或信任关系使用MicrosoftActiveDirectory,则可以使用ActiveDirectory.
来管理用户和组.
要编辑用户信息1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择一个用户,然后选择Actions、EditUser.
4.
根据需要更新FirstName、LastName和Email.
5.
选择Update.
添加或删除用户您只能在启动AmazonWorkSpaces的过程中从WorkSpace控制台创建新用户,并且无法通过AmazonWorkSpaces控制台删除用户.
大多数用户管理任务(包括管理用户组)都必须通过您的目录执行.
添加或删除用户和组要添加、删除或管理用户和组,您必须通过目录进行此操作.
您将使用目录管理工具(如ActiveDirectory管理工具)执行WorkSpaces目录的大多数管理任务.
有关更多信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
Important在删除用户之前,必须先删除分配给该用户的WorkSpace.
有关更多信息,请参阅删除工作区(p.
108).
用于管理用户和组的过程取决于您使用的目录类型.
65AmazonWorkSpaces管理指南发送邀请电子邮件如果您使用的是AWS托管的MicrosoftAD,请参阅https://docs.
amazonaws.
cn/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.
html中的管理AWS托管的MicrosoftAD中的用户和组AWSDirectoryServiceAdministrationGuide.
如果您使用的是SimpleAD,请参阅中的在SimpleAD中管理用户和组.
AWSDirectoryServiceAdministrationGuide如果通过ADConnector或信任关系使用MicrosoftActiveDirectory,则可以使用ActiveDirectory.
来管理用户和组.
发送邀请电子邮件您可以根据需要向用户手动发送邀请电子邮件.
Note如果使用的是ADConnector,则欢迎电子邮件不会自动发送给您的用户,因此您必须手动发送.
要重新发送邀请电子邮件1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
在WorkSpaces页面上,使用搜索框搜索要向其发送邀请的用户,然后从搜索结果中选择相应的WorkSpace.
一次只能选择一个WorkSpace.
4.
依次选择Actions(操作)和InviteUser(邀请用户).
5.
使用您自己的电子邮件应用程序,复制电子邮件正文并将其粘贴到要发送给用户的电子邮件中.
如果需要,您可以修改正文.
当邀请电子邮件准备就绪之后,将其发送给用户.
为用户创建多个WorkSpaces默认情况下,您只能为每个目录的每个用户创建一个WorkSpace.
但是,如果需要,您可以为一个用户创建多个WorkSpace,具体取决于您的目录设置.
如果您的WorkSpaces只有一个目录,请为用户创建多个用户名.
例如,名为MaryMajor的用户可以使用mmajor1、mmajor2等作为用户名.
每个用户名都与同一目录中的不同WorkSpace关联,但WorkSpaces具有相同的注册代码,只要WorkSpaces都在同一AWS区域的同一目录中创建即可.
如果您的WorkSpaces有多个目录,请在单独的目录中为用户创建WorkSpaces.
您可以在目录中使用相同的用户名,也可以在目录中使用不同的用户名.
将具有不同的注册代码.
WorkSpacesTip以便您可以轻松找到为用户创建的所有WorkSpaces,请为每个WorkSpace使用相同的基本用户名.
例如,如果您有一个名为MaryMajor的用户,其用户名为ActiveDirectorymmajor,则使用用户名(例如mmajor、mmajor1、mmajor2、mmajor3)或其他变体(例如mmajor_windows或mmajor_linux)为她创建WorkSpaces.
只要所有WorkSpaces的起始基本用户名(主要)相同,您就可以在WorkSpaces控制台中对用户名进行排序,将该用户的所有WorkSpaces分组到一起.
Important用户可以同时具有PCoIP和WSPWorkSpace,只要两个WorkSpaces位于单独的目录中.
同一用户不能在同一目录中具有PCoIP和WSPWorkSpace.
如果要设置多个WorkSpaces以用于跨区域重定向,则必须在不同的AWS区域的不同目录中设置WorkSpaces,并且必须在每个目录中使用相同的用户名.
有关跨区域重定向的更多信息,请参阅的跨区域重定向AmazonWorkSpaces(p.
142).
66AmazonWorkSpaces管理指南自定义用户登录其WorkSpaces的方式要在WorkSpaces之间切换,用户使用与特定Workspace关联的用户名和注册代码登录.
如果用户使用的是适用于Windows、WorkSpaces或Linux的macOS客户端应用程序的3.
0+版本,则用户可以转到客户端应用程序中的WorkSpaces设置、管理登录信息来为分配不同的名称.
自定义用户登录其WorkSpaces的方式通过使用统一资源标识符(WorkSpacesURIURIs的访问,以提供与您组织内的现有工作流程集成的简化的登录体验.
例如,您可以自动生成登录URIs,使用用户的WorkSpaces注册代码注册用户.
因此:用户可以跳过手动注册过程.
他们的用户名将自动在其WorkSpaces客户端登录页上输入.
如果在您的组织中使用了多重验证(MFA),用户的用户名和MFA代码将自动在其客户端登录页上输入.
URI访问适用于基于区域的注册代码(例如WSpdx+ABC12D)和基于完全限定域名(FQDN)的注册代码(例如desktop.
example.
com).
有关创建和使用基于FQDN的注册代码的更多信息,请参阅的跨区域重定向AmazonWorkSpaces(p.
142).
您可以在以下支持的设备上为客户端应用程序配置对WorkSpaces的URI访问:Windows计算机macOS计算机UbuntuLinux18.
04计算机iPadsAndroid设备要使用URIs访问其WorkSpaces,用户必须先打开https://clients.
amazonworkspaces.
awsapps.
cn/并按照说明操作,以便为其设备安装客户端应用程序.
在Windows和macOS计算机上的Firefox和Chrome浏览器、UbuntuLinux18.
04计算机上的Firefox浏览器以及Windows计算机上的InternetExplorer和MicrosoftEdge浏览器上支持URI访问.
有关WorkSpaces客户端的更多信息,请参阅中的AmazonWorkSpaces客户端.
AmazonWorkSpaces用户指南Note在安卓设备上,URI访问仅适用于Firefox浏览器,而不适用于GoogleChrome浏览器.
要配置对WorkSpaces的URI访问,请使用下表中所述的任一URI格式.
Note如果您的URI的数据组件包含以下任一预留字符,我们建议您在数据组件中使用百分号编码以避免歧义:例如,如果您有包含任一这些字符的用户名,则应该对URI中的这些用户名进行百分号编码.
有关更多信息,请参阅统一资源标识符(URI):一般语法.
支持的语法描述workspaces://打开WorkSpaces客户端应用程序.
(注意:Linux客户端应用程序目前不支持使用workspaces://本身.
)workspaces://@registrationcode使用用户的WorkSpaces注册代码注册用户.
此外,显示客户端登录页.
67AmazonWorkSpaces管理指南为您的用户启用自助服务WorkSpace管理功能支持的语法描述workspaces://username@registrationcode使用用户的WorkSpaces注册代码注册用户.
此外,在客户端登录页上的username(用户名)字段中自动输入用户名.
workspaces://username@registrationcodeMFACode=mfa使用用户的WorkSpaces注册代码注册用户.
此外,在客户端登录页上的username(用户名)字段中自动输入用户名,在Multi-FactorAuthentication(MFA)字段中自动输入Multi-FactorAuthentication(MFA)代码.
workspaces://@registrationcodeMFACode=mfa使用用户的WorkSpaces注册代码注册用户.
此外,在客户端登录页上的Multi-FactorAuthentication(MFA)字段中自动输入多重验证(MFA)代码.
Note如果用户在从Windows客户端连接到WorkSpace后打开了一个URI链接,新的WorkSpaces会话将打开,其原始WorkSpaces会话将保持打开状态.
如果用户在从WorkSpace、macOS或Android客户端连接到iPad时打开了URI链接,则不会打开任何新会话;只有其原始WorkSpaces会话保持打开状态.
为您的用户启用自助服务WorkSpace管理功能在AmazonWorkSpaces中,您可以为用户启用自助服务WorkSpace管理功能,使他们能够更好地控制其体验.
这也可以减少IT支持人员的工作负载.
AmazonWorkSpaces.
当您启用自助服务功能时,您可以允许用户直接从其适用于macOS的Windows、AmazonWorkSpaces或Linux客户端执行以下一项或多项任务:将其凭证缓存在其客户端上.
这使这些用户能够重新连接到WorkSpace,而无需重新输入凭证.
重启(重启)其WorkSpace.
增加其WorkSpace上的根卷和用户卷的大小.
更改其WorkSpace的计算类型(服务包).
切换其WorkSpace的运行模式.
重新生成其WorkSpace.
要为您的用户启用这些功能中的一项或多项功能,请执行以下步骤.
为您的用户启用自助服务管理功能1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开UserSelf-ServicePermissions(用户自助服务权限).
根据需要启用或禁用以下选项,以确定用户可以从其客户端执行的WorkSpace管理任务:Rememberme(记住我)—用户可以通过选择登录屏幕上的Rememberme(记住我)或Keepmeloggedin(保持登录状态)复选框来选择是否在其客户端上缓存其凭证.
这些凭证仅缓存到RAM中.
当用户选择缓存其凭证时,他们可以重新连接到其WorkSpaces,而无需重新输入其凭证.
要控制用户可以缓存其凭证的时长,请参阅设置Kerberos票证的最长使用期限(p.
81).
从客户端重启WorkSpace用户可以重启(重启)其—.
WorkSpace重启将断开用户与WorkSpace的连接,关闭它,然后重新启动它.
用户数据、操作系统和系统设置不受影响.
68AmazonWorkSpaces管理指南为您的用户启用自助服务WorkSpace管理功能增加卷大小—用户可以将WorkSpace上的根卷和用户卷扩展到指定大小,而无需联系IT支持.
用户可以将根卷的大小(对于Windows为C:驱动器;对于Linux为/)增加到175GB,将用户卷的大小(对于Windows为D:驱动器;对于Linux为/home)增加到100GB.
WorkSpace根卷和用户卷位于无法更改的集合组中.
可用组包括:[根(GB),用户(GB)]:[80,10]、[80,50]、[80,100]、[175至2000,100至2000].
有关更多信息,请参阅修改WorkSpace(p.
87).
对于新创建的WorkSpace,用户必须等待6小时,然后才能增加这些驱动器的大小.
之后,他们在6小时内只能执行此操作一次.
在增加卷大小的过程中,用户可以在其WorkSpace上执行大多数任务.
他们无法执行的任务包括:更改其WorkSpace计算类型、切换其WorkSpace运行模式、重启其WorkSpace或重新生成其WorkSpace.
该过程完成后,必须重新启动WorkSpace,更改才能生效.
此过程可能需要一个小时.
Note如果用户增加WorkSpace上的卷大小,这将增加其WorkSpace的账单费率.
更改计算类型用户可以在计算类型(包)之间切换—.
WorkSpace对于新创建的WorkSpace,用户必须等待6小时,然后才能切换到不同的服务包.
之后,他们在6小时内只能切换到较大的服务包一次,或在30天内只能切换到较小的服务包一次.
在更改WorkSpace计算类型时,用户将与其WorkSpace断开连接,他们无法使用或更改WorkSpace.
在计算类型更改过程中将自动重启.
WorkSpace此过程可能需要一个小时.
Note如果用户更改WorkSpace计算类型,这将更改其WorkSpace的账单费率.
Switchrunningmode(切换运行模式)—用户可以在WorkSpaceAlwaysOn和AutoStop运行模式之间切换自己的.
有关更多信息,请参阅管理WorkSpace运行模式(p.
85).
Note如果用户切换其WorkSpace的运行模式,这将更改其WorkSpace的账单费率.
从客户端重建WorkSpace用户可将—的操作系统重建到其原始状态.
WorkSpace在重建WorkSpace时,将从最新的备份重新创建用户卷(D:驱动器).
由于备份每12小时完成一次,因此,用户数据可能已存在多达12小时.
对于新创建的WorkSpace,用户必须等待12小时,然后才能重新构建WorkSpace.
当WorkSpace重建正在进行时,用户将断开与其WorkSpace的连接,并且他们无法使用或更改其WorkSpace.
此过程可能需要一个小时.
5.
选择Update(更新)或UpdateandExit(更新并退出).
69AmazonWorkSpaces管理指南管理WindowsWorkSpace管理您的WorkSpace可以使用AmazonWorkSpaces控制台管理您的WorkSpace.
要执行目录管理任务,请参阅thesectioncalled"设置目录管理"(p.
50).
目录管理WindowsWorkSpace(p.
70)管理AmazonLinuxWorkSpaces(p.
82)管理WorkSpace运行模式(p.
85)修改WorkSpace(p.
87)标记WorkSpace资源(p.
89)WorkSpace维护(p.
90)加密的WorkSpace(p.
92)重启WorkSpace(p.
98)重建WorkSpace(p.
98)还原WorkSpace(p.
99)升级Windows10BYOLWorkSpace(p.
100)迁移WorkSpace(p.
105)删除工作区(p.
108)管理WindowsWorkSpace您可以使用组策略对象(GPO)应用设置来管理WindowsWorkSpaces或属于WindowsWorkSpaces目录的用户.
NoteLinux实例不遵循组策略.
有关管理AmazonLinuxWorkSpaces的信息,请参阅管理AmazonLinuxWorkSpaces(p.
82).
我们建议您分别为WorkSpace计算机对象和WorkSpace用户对象创建一个组织单位.
TousetheGroupPolicysettingsthatarespecifictoAmazonWorkSpaces,youmustinstalltheGroupPolicyadministrativetemplatefortheprotocolorprotocolsthatyouareusing,eitherPCoIPorWorkSpacesStreamingProtocol(WSP).
Warning组策略设置可以影响工作区用户的体验,如下所示:ImplementinganinteractivelogonmessagetodisplayalogonbannerpreventsusersfrombeingabletoaccesstheirWorkSpaces.
AmazonWorkSpaces目前不支持交互式登录消息的组策略设置.
通过组策略设置禁用可移动存储会导致登录失败,从而导致用户登录到无权访问驱动器D的临时用户配置文件.
RemovingusersfromtheRemoteDesktopUserslocalgroupthroughGroupPolicysettingspreventsthoseusersfrombeingabletoauthenticatethroughtheWorkSpacesclientapplications.
FormoreinformationaboutthisGroupPolicysetting,seeAllowlogonthroughRemoteDesktopServicesintheMicrosoftdocumentation.
组策略设置可用于限制驱动器访问.
如果您将组策略设置配置为限制对驱动器C或驱动器D的访问,则用户无法访问其WorkSpaces.
要防止此问题发生,请确保您的用户可以访问驱动器C和驱动器D.
70AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateforPCoIPTheWorkSpacesaudio-infeaturerequireslocallogonaccessinsidetheWorkSpace.
Theaudio-infeatureisenabledbydefaultforWindowsWorkSpaces.
However,ifyouhaveaGroupPolicysettingthatrestrictsusers'locallogonintheirWorkSpaces,audio-inwon'tworkonyourWorkSpaces.
IfyouremovethatGroupPolicysetting,theaudio-infeatureisenabledafterthenextrebootoftheWorkSpace.
FormoreinformationaboutthisGroupPolicysetting,seeAllowlogonlocallyintheMicrosoftdocumentation.
Formoreinformationaboutenablingordisablingaudio-inredirection,seeEnableorDisableAudio-InRedirectionforPCoIP(p.
74)orEnableorDisableAudio-InRedirectionforWSP(p.
78).
UsingGroupPolicytosettheWindowspowerplantoBalancedorPowersavermightcauseyourWorkSpacestosleepwhenthey'releftidle.
WestronglyrecommendusingGroupPolicytosettheWindowspowerplantoHighperformance.
有关更多信息,请参阅我的Windows在空闲时WorkSpace进入睡眠状态(p.
175).
某些组策略设置会在用户从会话断开连接时迫使其注销.
用户在其WorkSpaces上打开的任何应用程序都会关闭.
有关使用ActiveDirectory管理工具处理GPO的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
目录InstalltheGroupPolicyAdministrativeTemplateforPCoIP(p.
71)ConfigurePrinterSupportforPCoIP(p.
72)EnableorDisableClipboardRedirectionforPCoIP(p.
73)SettheSessionResumeTimeoutforPCoIP(p.
74)EnableorDisableAudio-InRedirectionforPCoIP(p.
74)DisableTimeZoneRedirectionforPCoIP(p.
75)InstalltheGroupPolicyAdministrativeTemplateFilesfortheWorkSpacesStreamingProtocol(WSP)(p.
75)ConfigurePrinterSupportforWSP(p.
76)EnableorDisableClipboardRedirectionforWSP(p.
77)EnableorDisableVideo-InRedirectionforWSP(p.
78)EnableorDisableAudio-InRedirectionforWSP(p.
78)DisableTimeZoneRedirectionforWSP(p.
79)EnableorDisableSmartCardRedirectionforWSP(p.
80)EnableorDisableDisconnectSessiononScreenLockforWSP(p.
80)设置Kerberos票证的最长使用期限(p.
81)ConfigureDeviceProxyServerSettingsforInternetAccess(p.
81)InstalltheGroupPolicyAdministrativeTemplateforPCoIPTousetheGroupPolicysettingsthatarespecifictoAmazonWorkSpaceswhenusingthePCoIPprotocol,youmustinstalltheGroupPolicyadministrativetemplateforPCoIP.
在目录管理WorkSpace或加入您的目录的AmazonEC2实例上执行以下步骤.
ToinstalltheGroupPolicyadministrativetemplateforPCoIP1.
在运行的WindowsWorkSpace中,复制pcoip.
adm目录中的C:\ProgramFiles(x86)\Teradici\PCoIPAgent\configuration文件.
71AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateforPCoIP2.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc)并导航到域中包含WorkSpaces计算机帐户的组织单位.
3.
打开计算机账户组织单位对应的上下文(右键单击)菜单,然后选择在这个域中创建GPO并在此处链接.
.
.
.
4.
在NewGPO(新建GPO)对话框中,为GPO输入一个描述性名称(如WorkSpacesMachinePolicies),并将SourceStarterGPO(源StarterGPO)保留为(无).
选择确定.
5.
打开新GPO的上下文(右键单击)菜单,然后选择Edit(编辑).
6.
在组策略管理编辑器中,依次选择计算机配置、策略和管理模板.
从主菜单中依次选择操作和添加/删除模板.
7.
在添加/删除模板对话框中,单击添加,选择之前复制的pcoip.
adm文件,然后依次选择打开和关闭.
8.
关闭组策略管理编辑器.
现在,您可以使用该GPO来修改特定于AmazonWorkSpaces的组策略设置.
ConfigurePrinterSupportforPCoIP默认情况下,AmazonWorkSpaces启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印.
Windows客户端的高级远程打印让您可以使用打印机的特定功能(如双面打印),但需要在主机端安装匹配的打印机驱动程序.
远程打印实施为虚拟通道.
如果虚拟通道被禁用,远程打印无法正常工作.
对于WindowsWorkSpace,您可以根据需要使用组策略设置来配置打印机支持.
配置打印机支持1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforPCoIP(p.
71)isinstalledinyourdomain.
2.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc),然后导航到WorkSpaces计算机帐户的WorkSpacesGPO并选择它.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
打开配置远程打印设置.
5.
在Configureremoteprinting(配置远程打印)对话框中,执行下列操作之一:要启用高级远程打印,请选择已启用,然后在选项、Configureremoteprinting(配置远程打印)下,选择BasicandAdvancedprintingforWindowsclients(适用于Windows客户端的基本和高级打印).
要自动使用客户端计算机的当前默认打印机,选择Automaticallysetdefaultprinter(自动设置默认打印机).
要禁用打印,请选择Enabled(已启用),然后在Options(选项)、Configureremoteprinting(配置远程打印)下选择Printingdisabled(已禁用打印).
6.
选择确定.
7.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
默认情况下,本地打印机自动重定向被禁用.
YoucanuseGroupPolicysettingstoenablethisfeaturesothatyourlocalprinterissetasthedefaultprintereverytimethatyouconnecttoyourWorkSpace.
72AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateforPCoIPNote本地打印机重定向不适用于AmazonLinuxWorkSpace.
启用本地打印机自动重定向1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforPCoIP(p.
71)isinstalledinyourdomain.
2.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc),然后导航到WorkSpaces计算机帐户的WorkSpacesGPO并选择它.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
打开配置远程打印设置.
5.
ChooseEnabled,andthenunderOptions,Configureremoteprinting,chooseoneofthefollowing:BasicandAdvancedprintingforWindowsclientsBasicprinting6.
SelectAutomaticallysetdefaultprinter,andthenchooseOK.
7.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
EnableorDisableClipboardRedirectionforPCoIP默认情况下,AmazonWorkSpaces支持剪贴板重定向.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
要启用或禁用剪贴板重定向1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforPCoIP(p.
71)isinstalledinyourdomain.
2.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc),然后导航到WorkSpaces计算机帐户的WorkSpacesGPO并选择它.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
打开Configureclipboardredirection设置.
5.
在配置剪贴板重定向对话框中,选择启用,然后选择以下设置之一以确定允许剪贴板重定向的方向.
完成后,选择确定.
双向禁用仅从代理到客户端单向启用(WorkSpace到本地计算机)仅从客户端到代理单向启用(本地计算机到WorkSpace)双向启用6.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
73AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateforPCoIP从管理命令提示符下,输入gpupdate/force.
已知限制在WorkSpace上启用剪贴板重定向后,如果您从MicrosoftOffice应用程序复制大于890KB的内容,应用程序可能会变慢或长达5秒钟无响应.
SettheSessionResumeTimeoutforPCoIP在使用AmazonWorkSpaces客户端应用程序时,网络连接中断会导致活动会话断开连接.
这可能会因如下事件导致:合上笔记本电脑的盖子,或无线网连接丢失.
如果网络连接在一定时间内恢复,用于Windows和macOS的AmazonWorkSpaces客户端应用程序会自动重新连接会话.
默认的会话恢复超时为20分钟,但您可以为由您的域的组策略设置所控制的WorkSpace修改此值.
要设置自动会话恢复超时值1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforPCoIP(p.
71)isinstalledinyourdomain.
2.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc),然后导航到WorkSpaces计算机帐户的WorkSpacesGPO并选择它.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板和PCoIPSessionVariables.
要允许用户覆盖您的设置,请选择OverridableAdministratorDefaults(可覆盖的管理员默认值);否则,请选择NotOverridableAdministratorDefaults(不可覆盖的管理员默认值).
4.
打开ConfigureSessionAutomaticReconnectionPolicy设置.
5.
在ConfigureSessionAutomaticReconnectionPolicy对话框中,选择Enabled,将ConfigureSessionAutomaticReconnectionPolicy选项设置为所需的超时(以分钟为单位),然后选择OK.
6.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
EnableorDisableAudio-InRedirectionforPCoIPBydefault,AmazonWorkSpacessupportsredirectingdatafromalocalmicrophone.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
NoteIfyouhaveaGroupPolicysettingthatrestrictsusers'locallogonintheirWorkSpaces,audio-inwon'tworkonyourWorkSpaces.
IfyouremovethatGroupPolicysetting,theaudio-infeatureisenabledafterthenextrebootoftheWorkSpace.
FormoreinformationaboutthisGroupPolicysetting,seeAllowlogonlocallyintheMicrosoftdocumentation.
Toenableordisableaudio-inredirection1.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc),然后导航到用于WorkSpaces的目录的域或域控制器级别的GPO并选择它.
(如果您的域中安装了AmazonWorkSpaces组策略管理模板(p.
71),则可以为WorkSpaces计算机账户使用WorkSpacesGPO.
)2.
在主菜单中依次选择操作和编辑.
74AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateFilesforWSP3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、PCoIPSessionVariables(PCoIP会话变量)和OverridableAdministratorDefaults(可覆盖的管理员默认值).
4.
OpentheEnable/disableaudiointhePCoIPsessionsetting.
5.
IntheEnable/disableaudiointhePCoIPsessiondialogbox,chooseEnabledorDisabled.
6.
选择确定.
7.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
DisableTimeZoneRedirectionforPCoIP默认情况下,WorkSpace内的时间设置为镜像用于连接到WorkSpace的客户端的时区.
此行为是通过时区重定向控制的.
您可能需要关闭时区定向的原因有多种:您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区).
您在WorkSpace中计划的任务要在特定时区内的特定时间运行.
频繁出差的用户希望将其WorkSpace保持在一个时区中,以保持一致性和个人偏好.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
禁用时区重定向1.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上,打开组策略管理工具(gpmc.
msc),然后导航到用于WorkSpaces的目录的域或域控制器级别的GPO并选择它.
(如果您的域中安装了AmazonWorkSpaces组策略管理模板(p.
71),则可以为WorkSpaces计算机账户使用WorkSpacesGPO.
)2.
在主菜单中依次选择操作和编辑.
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、Windows组件、远程桌面服务、远程桌面会话主机以及设备和资源重定向.
4.
打开Allowtimezoneredirection(允许时区重定向)设置.
5.
在zoneredirection(允许时区重定向)对话框中,选择禁用,然后选择确定.
6.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
7.
将WorkSpace的时区设置为所需的时区.
WorkSpace的时区现在是静态的,不再镜像客户端计算机的时区.
InstalltheGroupPolicyAdministrativeTemplateFilesfortheWorkSpacesStreamingProtocol(WSP)TousetheGroupPolicysettingsthatarespecifictoAmazonWorkSpaceswhenusingtheWorkSpacesStreamingProtocol(WSP),youmustaddtheGroupPolicyadministrativetemplatewsp.
admxandwsp.
admlfilesforWSPtotheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
For75AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateFilesforWSPmoreinformationabout.
admxand.
admlfiles,seeHowtocreateandmanagetheCentralStoreforGroupPolicyAdministrativeTemplatesinWindows.
ThefollowingproceduredescribeshowtocreatetheCentralStoreandaddtheadministrativetemplatefilestoit.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上执行以下步骤.
ToinstalltheGroupPolicyadministrativetemplatefilesforWSP1.
FromarunningWindowsWorkSpace,makeacopyofthewsp.
admxandwsp.
admlfilesintheC:\ProgramFiles\Amazon\WSPdirectory.
2.
OnadirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,navigatetothedomain'ssharednetworkfolder.
Thisfolderwillhaveyourorganization'sfullyqualifieddomainname(FQDN),suchas\\example.
com.
IntheWindowsFileExplorer,gotoNetwork>FQDN.
3.
打开SYSVOL文件夹.
4.
OpenthefolderwiththeFQDNname.
5.
打开Policies文件夹.
Youshouldnowbein\\FQDN\SYSVOL\FQDN\Policies.
6.
Ifitdoesn'talreadyexist,createafoldernamedPolicyDefinitions.
7.
打开PolicyDefinitions文件夹.
8.
Copythewsp.
admxfileintothe\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitionsfolder.
9.
Createafoldernameden-USinthePolicyDefinitionsfolder.
10.
打开en-US文件夹.
11.
Copythewsp.
admlfileintothe\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-USfolder.
Toverifythattheadministrativetemplatefilesarecorrectlyinstalled1.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
2.
Expandtheforest(Forest:FQDN).
3.
ExpandDomains.
4.
ExpandyourFQDN(forexample,example.
com).
5.
ExpandGroupPolicyObjects.
6.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
7.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
8.
YoucannowusethisWSPGroupPolicyobjecttomodifytheGroupPolicysettingsthatarespecifictoAmazonWorkSpaceswhenusingWSP.
ConfigurePrinterSupportforWSP默认情况下,AmazonWorkSpaces启用基本远程打印,它提供有限的打印功能,因为它在主机端使用通用打印机驱动程序以确保兼容打印.
AdvancedremoteprintingforWindowsclients(notavailableforWSP)letsyouusespecificfeaturesofyourprinter,suchasdouble-sidedprinting,butitrequiresinstallationofthematchingprinterdriveronthehostside.
远程打印实施为虚拟通道.
如果虚拟通道被禁用,远程打印无法正常工作.
对于WindowsWorkSpace,您可以根据需要使用组策略设置来配置打印机支持.
76AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateFilesforWSP配置打印机支持1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
打开配置远程打印设置.
10.
在Configureremoteprinting(配置远程打印)对话框中,执行下列操作之一:Toenablelocalprinterredirection,chooseEnabled,andthenforPrintingoptions,chooseBasic.
Toautomaticallyusetheclientcomputer'scurrentdefaultprinter,selectMaplocaldefaultprintertotheremotehost.
Todisableprinting,chooseDisabled.
11.
选择确定.
12.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
EnableorDisableClipboardRedirectionforWSPBydefault,AmazonWorkSpacessupportstwo-way(copy/paste)clipboardredirection.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
为WindowsWorkSpace启用或禁用剪贴板重定向1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
OpentheEnable/disableclipboardredirectionsetting.
10.
IntheEnable/disableclipboardredirectiondialogbox,chooseEnabledorDisabled.
11.
选择确定.
12.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:77AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateFilesforWSP重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
已知限制在WorkSpace上启用剪贴板重定向后,如果您从MicrosoftOffice应用程序复制大于890KB的内容,应用程序可能会变慢或长达5秒钟无响应.
EnableorDisableVideo-InRedirectionforWSPBydefault,AmazonWorkSpacessupportsredirectingdatafromalocalcamera.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
Toenableordisablevideo-inredirectionforWindowsWorkSpaces1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
OpentheEnable/disablevideo-inredirectionsetting.
10.
IntheEnable/disablevideo-inredirectiondialogbox,chooseEnabledorDisabled.
11.
选择确定.
12.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
EnableorDisableAudio-InRedirectionforWSPBydefault,AmazonWorkSpacessupportsredirectingdatafromalocalmicrophone.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
Toenableordisableaudio-inredirectionforWindowsWorkSpaces1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
78AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateFilesforWSP6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
OpentheEnable/disableaudio-inredirectionsetting.
10.
IntheEnable/disableaudio-inredirectiondialogbox,chooseEnabledorDisabled.
11.
选择确定.
12.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
DisableTimeZoneRedirectionforWSP默认情况下,WorkSpace内的时间设置为镜像用于连接到WorkSpace的客户端的时区.
此行为是通过时区重定向控制的.
您可能需要关闭时区定向的原因有多种:您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区).
您在WorkSpace中计划的任务要在特定时区内的特定时间运行.
频繁出差的用户希望将其WorkSpace保持在一个时区中,以保持一致性和个人偏好.
如果WindowsWorkSpace需要,您可以使用组策略设置禁用此功能.
TodisabletimezoneredirectionforWindowsWorkSpaces1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
OpentheEnable/disabletimezoneredirectionsetting.
10.
IntheEnable/disabletimezoneredirectiondialogbox,chooseDisabled.
11.
选择确定.
12.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
13.
将WorkSpace的时区设置为所需的时区.
WorkSpace的时区现在是静态的,不再镜像客户端计算机的时区.
79AmazonWorkSpaces管理指南InstalltheGroupPolicyAdministrativeTemplateFilesforWSPEnableorDisableSmartCardRedirectionforWSPBydefault,AmazonWorkSpacesarenotenabledtosupporttheuseofsmartcardsforeitherpre-sessionauthenticationorin-sessionauthentication.
Pre-sessionauthenticationreferstosmartcardauthenticationthat'sperformedwhileusersareloggingintotheirWorkSpaces.
In-sessionauthenticationreferstoauthenticationthat'sperformedafterloggingin.
Ifneeded,youcanenablepre-sessionandin-sessionauthenticationforWindowsWorkSpacesbyusingGroupPolicysettings.
Pre-sessionauthenticationmustalsobeenabledthroughyourADConnectordirectorysettingsbyusingtheEnableClientAuthenticationAPIactionortheenable-client-authenticationAWScommandlineinterface(AWSCLI)command.
Formoreinformation,seeEnableSmartCardAuthenticationforADConnectorintheAWSDirectoryServiceAdministrationGuide.
NoteToenabletheuseofsmartcardswithWindowsWorkSpaces,additionalstepsarerequired.
有关更多信息,请参阅使用智能卡进行身份验证(p.
24).
ToenableordisablesmartcardredirectionforWindowsWorkSpaces1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
OpentheEnable/disablesmartcardredirectionsetting.
10.
IntheEnable/disablesmartcardredirectiondialogbox,chooseEnabledorDisabled.
11.
选择确定.
12.
TheGroupPolicysettingchangetakeseffectaftertheWorkSpacesessionisrestarted.
ToapplytheGroupPolicychange,reboottheWorkSpace(intheAmazonWorkSpacesconsole,selecttheWorkSpace,thenchooseActions,RebootWorkSpaces).
EnableorDisableDisconnectSessiononScreenLockforWSPIfneeded,youcandisconnectusers'WorkSpacessessionswhentheWindowslockscreenisdetected.
ToreconnectfromtheWorkSpacesclient,userscanusetheirpasswordsortheirsmartcardstoauthenticatethemselves,dependingonwhichtypeofauthenticationhasbeenenabledfortheirWorkSpaces.
ThisGroupPolicysettingisdisabledbydefault.
Ifneeded,youcanenabledisconnectingthesessionwhentheWindowslockscreenisdetectedforWindowsWorkSpacesbyusingGroupPolicysettings.
NoteThisGroupPolicysettingisavailableonlyintheAWSGovCloud(美国西部)区域atthistime.
ThisGroupPolicysettingappliestobothpassword-authenticatedandsmartcard-authenticatedsessions.
ToenabletheuseofsmartcardswithWindowsWorkSpaces,additionalstepsarerequired.
有关更多信息,请参阅使用智能卡进行身份验证(p.
24).
80AmazonWorkSpaces管理指南设置Kerberos票证的最长使用期限ToenableordisabledisconnectsessiononscreenlockforWindowsWorkSpaces1.
MakesurethatthemostrecentAmazonWorkSpacesGroupPolicyadministrativetemplateforWSP(p.
75)isinstalledintheCentralStoreofthedomaincontrollerforyourWorkSpacesdirectory.
2.
OnyourdirectoryadministrationWorkSpaceorAmazonEC2instancethatisjoinedtoyourWorkSpacesdirectory,opentheGroupPolicyManagementtool(gpmc.
msc).
3.
Expandtheforest(Forest:FQDN).
4.
ExpandDomains.
5.
ExpandyourFQDN(forexample,example.
com).
6.
ExpandGroupPolicyObjects.
7.
SelectDefaultDomainPolicy,openthecontext(right-click)menu,andchooseEdit.
8.
IntheGroupPolicyManagementEditor,chooseComputerConfiguration,Policies,AdministrativeTemplates,Amazon,andWSP.
9.
OpentheEnable/disabledisconnectsessiononscreenlocksetting.
10.
IntheEnable/disabledisconnectsessiononscreenlockdialogbox,chooseEnabledorDisabled.
11.
选择确定.
12.
组策略设置更改将在WorkSpace的下一次组策略更新后和重新启动WorkSpace会话后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
设置Kerberos票证的最长使用期限IfyouhavenotdisabledtheRememberMefeatureofyourWindowsWorkSpaces,yourWorkSpaceuserscanusetheRememberMeorKeepmeloggedincheckboxintheirWorkSpacesclientapplicationtosavetheircredentials.
此功能允许用户在客户端应用程序保持运行时轻松连接到他们的WorkSpaces.
他们的凭证安全地缓存到Kerberos票证中,时间可达其最长使用期限.
如果您的WorkSpace使用ADConnector目录,则可以按照MicrosoftWindows文档中用户票证的最长使用期限中的步骤,通过组策略来修改WorkSpaces用户的Kerberos票证的最长使用期限.
要启用或禁用RememberMe功能,请参阅为您的用户启用自助服务WorkSpace管理功能(p.
68).
ConfigureDeviceProxyServerSettingsforInternetAccessBydefault,theWorkSpacesWindowsclientapplicationusestheproxyserverthat'sspecifiedinthedeviceoperatingsystemsettingsforHTTPS(port443)traffic.
TheAmazonWorkSpacesclientapplicationsusetheHTTPSportforupdates,registration,andauthentication.
NoteThedesktopstreamingconnectionstotheWorkSpacerequireports4172and4195tobeenabled,anddonotgothroughtheproxyserver.
Proxyserversthatrequireauthenticationwithausernameandpasswordarenotsupported.
YoucanconfigurethedeviceproxyserversettingsforyourWindowsWorkSpacesthroughGroupPolicybyfollowingthestepsinConfiguredeviceproxyandinternetconnectivitysettingsintheMicrosoftdocumentation.
81AmazonWorkSpaces管理指南管理AmazonLinuxWorkSpacesFormoreinformationaboutconfiguringtheproxysettingsintheWorkSpacesWindowsclientapplication,seeProxyServerintheAmazonWorkSpaces用户指南.
管理AmazonLinuxWorkSpaces与WindowsWorkSpace一样,AmazonLinuxWorkSpace加入了域,因此您可以使用ActiveDirectory用户和组来执行以下操作:管理您的AmazonLinuxWorkSpace为用户提供访问这些WorkSpace的权限由于Linux实例不遵循组策略,因此我们建议您使用配置管理解决方案进行分发和实施策略.
例如,您可以使用AWSOpsWorksforChefAutomate、AWSOpsWorksforPuppetEnterprise或Ansible.
NoteWorkSpacesStreamingProtocol(WSP)捆绑包上的LinuxWorkSpacesAWSGovCloud(美国西部)区域目前仅在中可用.
上的LinuxWorkSpacesWSP目前具有以下限制:不支持剪贴板、音频输入、视频输入和时区重定向.
不支持多个显示器.
您必须使用WorkSpacesWindows客户端应用程序连接到上的LinuxWorkSpacesWSP.
控制AmazonLinuxWorkSpaces上的PCoIP代理行为PCoIP代理的行为受pcoip-agent.
conf文件中的配置设置控制,该文件位于/etc/pcoip-agent/目录中.
要部署和实施对策略的更改,请使用支持AmazonLinux的配置管理解决方案.
任何更改将在代理启动后生效.
重新启动代理会结束所有打开的连接并重新启动窗口管理器.
要应用任何更改,我们建议重启WorkSpace.
有关可用设置的完整列表,请在任意manpcoip-agent.
confWorkSpace上从终端运行AmazonLinux.
Note本地打印机重定向不适用于LinuxWorkSpace.
为AmazonLinuxWorkSpaces启用或禁用剪贴板重定向默认情况下,AmazonWorkSpaces支持剪贴板重定向.
如果需要,可使用PCoIP代理conf禁用此功能.
此设置在您重启WorkSpace时生效.
Note使用的WorkSpacesLinux客户端应用程序或LinuxWorkSpaces目前不支持剪贴板重定向WSP.
为AmazonLinuxWorkSpace启用或禁用剪贴板重定向1.
通过以下命令,使用提升的权限在编辑器中打开pcoip-agent.
conf文件.
[domain\username@workspace-id~]$sudovi/etc/pcoip-agent/pcoip-agent.
conf82AmazonWorkSpaces管理指南为AmazonLinuxWorkSpaces启用或禁用音频输入重定向2.
将以下行添加到文件的末尾.
pcoip.
server_clipboard_state=X其中可能的值X有:0—双向禁用1—双向启用2—仅启用客户端到代理(仅允许从本地客户端设备复制并粘贴到远程主机桌面)3仅从代理到客户端—单向启用(仅允许从远程主机桌面将复制到本地客户端设备并粘贴)Note剪贴板重定向作为虚拟通道实现.
如果虚拟通道处于禁用状态,则剪贴板重定向不起作用.
要启用虚拟通道,请参阅Teradici文档中的PCoIP虚拟通道.
为AmazonLinuxWorkSpaces启用或禁用音频输入重定向默认情况下,AmazonWorkSpaces支持音频输入重定向.
如果需要,可使用PCoIP代理conf禁用此功能.
此设置在您重启WorkSpace时生效.
Note使用的LinuxWorkSpaces目前不支持音频输入重定向WSP.
为AmazonLinuxWorkSpaces启用或禁用音频输入重定向1.
通过以下命令,使用提升的权限在编辑器中打开pcoip-agent.
conf文件.
[domain\username@workspace-id~]$sudovi/etc/pcoip-agent/pcoip-agent.
conf2.
将以下行添加到文件的末尾.
pcoip.
enable_audio=X其中可能的值X有:0—已禁用1—已启用为AmazonLinuxWorkSpaces启用或禁用时区重定向默认情况下,WorkSpace内的时间设置为镜像用于连接到WorkSpace的客户端的时区.
此行为是通过时区重定向控制的.
您可能需要关闭时区定向的原因有多种:您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区).
您在WorkSpace中计划的任务要在特定时区内的特定时间运行.
频繁出差的用户希望将其WorkSpace保持在一个时区中,以保持一致性和个人偏好.
83AmazonWorkSpaces管理指南将SSH访问权限授给AmazonLinuxWorkSpaces管理员如果LinuxWorkSpaces需要,您可以使用PCoIP代理conf禁用此功能.
此设置在您重启WorkSpace时生效.
Note使用的LinuxWorkSpaces目前不支持时区重定向WSP.
为AmazonLinuxWorkSpaces启用或禁用时区重定向1.
通过以下命令,使用提升的权限在编辑器中打开pcoip-agent.
conf文件.
[domain\username@workspace-id~]$sudovi/etc/pcoip-agent/pcoip-agent.
conf2.
将以下行添加到文件的末尾.
pcoip.
enable_timezone_redirect=X其中可能的值X有:0—已禁用1—已启用将SSH访问权限授给AmazonLinuxWorkSpaces管理员默认情况下,只有指定的用户和域管理员组中的账户可以使用SSH连接到AmazonLinuxWorkSpaces.
我们建议您为ActiveDirectory中的AmazonLinuxWorkSpaces管理员创建专用的管理员组.
为Linux_WorkSpace_AdminsActiveDirectory组的成员启用sudo访问权限1.
使用sudoers编辑visudo文件,如下例所示.
[example\username@workspace-id~]$sudovisudo2.
添加以下行.
%example.
com\\Linux_WorkSpaces_AdminsALL=(ALL)ALL在您创建专用管理员组之后,请按照以下步骤为组的成员启用登录.
为Linux_WorkSpace_AdminsActiveDirectory组的成员启用登录1.
使用提升的权限编辑/etc/security/access.
conf.
[example\username@workspace-id~]$sudovi/etc/security/access.
conf2.
添加以下行.
+:(example\Linux_WorkSpaces_Admins):ALL有关启用SSH连接的更多信息,请参阅为您的LinuxWorkSpace启用SSH连接(p.
34).
84AmazonWorkSpaces管理指南覆盖AmazonLinuxWorkSpace的默认Shell覆盖AmazonLinuxWorkSpace的默认Shell要覆盖LinuxWorkSpace的默认Shell,我们建议您编辑用户的~/.
bashrc文件.
例如,要使用Zshell而不是Bashshell,请将以下行添加到/home/username/.
bashrc.
exportSHELL=$(whichzsh)[-n"$SSH_TTY"]&&exec$SHELLNote进行此更改后,您必须重启WorkSpace或注销WorkSpace(而不仅仅是断开连接),然后重新登录,更改才能生效.
保护自定义资料库免遭未授权访问要控制对自定义存储库的访问,我们建议使用AmazonVirtualPrivateCloud(AmazonVPC)中内置的安全功能,而不使用密码.
例如,使用网络访问控制列表(ACL)和安全组.
有关这些功能的更多信息,请参阅https://docs.
amazonaws.
cn/vpc/latest/userguide/VPC_Security.
html中AmazonVPC用户指南的安全性.
如果必须使用密码来保护存储库,请确保创建您的yum存储库定义文件,如Fedora文档中的存储库定义文件所示.
使用AmazonLinuxExtras库存储库利用AmazonLinux,您可以使用Extras库来在您的实例上安装应用程序和软件更新.
有关使用Extras库的信息,请参阅AmazonLinux用户指南(适用于Linux实例)中的Extras库(AmazonEC2).
Note如果您使用的是AmazonLinux存储库,则AmazonLinuxWorkSpace必须能够访问Internet,否则您必须配置指向此存储库和主AmazonLinux存储库的VirtualPrivateCloud(VPC)终端节点.
有关更多信息,请参阅提供WorkSpace的Internet访问权限(p.
30).
在LinuxWorkSpaces上使用智能卡进行身份验证WorkSpacesStreamingProtocol(WSP)服务包上的LinuxWorkSpaces允许使用通用访问卡(CAC)和个人身份验证(PIV)智能卡进行身份验证.
有关更多信息,请参阅使用智能卡进行身份验证(p.
24).
管理WorkSpace运行模式WorkSpace的运行模式确定其即时可用性以及您为其付费的方式(每月或每小时).
在创建WorkSpace时,可以选择以下运行模式:AlwaysOn—支付固定月费用以无限次使用您的WorkSpace.
该模式最适合将WorkSpace作为主桌面全职使用的用户.
AutoStop—按使用WorkSpace的小时数付费.
在此模式下,您的WorkSpaces会在指定的断开连接时间段后停止,并且应用程序和数据的状态将会保存.
要设置自动停止时间,请在AmazonWorkSpaces控制台中选择WorkSpace选择Actions(操作)、ModifyRunningModeProperties(修改运行模式属性),然后设置AutoStopTime(hours)(AutoStop时间(小时)).
默认情况下AutoStopTime(hours)设置为1小时,这意味着WorkSpace将在WorkSpace断开连接1小时后自动停止.
85AmazonWorkSpaces管理指南修改运行模式Note在WorkSpace断开连接且AutoStop时间期过期后,可能还需要几分钟时间,才能自动停止WorkSpace.
但是,账单会在AutoStop时间结束后立即停止,并且您不需要再支付该额外的时间的费用.
如果可能,桌面的状态将会保存到WorkSpace的根卷.
WorkSpace会在用户登录时恢复;所有打开的文档和正在运行的程序都会恢复为其已保存的状态.
NoteAutoStopGraphicsProWorkSpaces不会在停止时保留数据和程序的状态.
对于GraphicsProWorkSpaces我们建议您在每次使用完它们后保存您的工作.
Important仅当WorkSpaces断开连接时AutoStopWorkSpaces才会自动停止.
WorkSpace仅在以下情况下断开连接:如果用户手动断开WorkSpace的连接或退出AmazonWorkSpaces客户端应用程序.
客户端设备是否关闭.
如果客户端设备与WorkSpace之间的连接时间超过20分钟.
作为最佳实践AutoStopWorkSpace用户应在每天使用完WorkSpace时手动断开与其WorkSpaces的连接.
要手动断开连接,请从适用于macOS或Windows的WorkSpace客户端应用程序中的菜单中选择DisconnectWorkSpaces或AmazonWorkSpacesQuitAmazonWorkSpaces.
对于Android或iPad选择Disconnectfromthesidebar(从侧边栏中断开连接).
在以下情况下,AutoStopWorkSpaces可能不会自动停止:如果客户端设备仅处于锁定、睡眠状态或处于不活动状态(例如笔记本电脑盖已关闭)而不是关闭状态WorkSpaces应用程序可能仍在后台运行.
只要WorkSpaces应用程序仍在运行WorkSpace便不会断开连接,因此WorkSpace不会自动停止.
AmazonWorkSpaces仅当用户使用AmazonWorkSpaces客户端时,才能检测断开连接.
如果用户使用的是第三方客户端,则AmazonWorkSpaces可能无法检测断开连接,因此WorkSpaces可能不会自动停止,并且计费也可能不会被暂停.
有关更多信息,请参阅AmazonWorkSpaces定价.
修改运行模式您可以随时切换运行模式.
修改WorkSpace的运行模式1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要修改的WorkSpace,然后选择Actions(操作)、ModifyRunningModeProperties(修改运行模式属性).
4.
选择新的运行模式(AlwaysOn或AutoStop),然后选择Modify.
停止和启动AutoStopWorkSpace当AutoStopWorkSpaces断开连接时,它们会在指定的断开连接时间段后自动停止,而且按小时计费会暂停.
要进一步优化成本,您可以手动暂停与AutoStopWorkSpaces关联的每小时费用.
WorkSpace将停止,所有应用程序和数据将保存,以供用户下次登录到WorkSpace时使用.
86AmazonWorkSpaces管理指南修改WorkSpace当用户重新连接到已停止的WorkSpace时,它会恢复到其上次停止时的位置,通常在90秒内.
您可以重启(重新启动)可用或处于错误状态的AutoStopWorkSpaces.
要停止AutoStopWorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要停止的WorkSpace,然后选择Actions(操作)、StopWorkSpaces(停止WorkSpace).
4.
当系统提示您确认时,选择Stop.
要启动AutoStopWorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要启动的WorkSpace,然后选择Actions、StartWorkSpaces.
4.
当系统提示您确认时,选择Start.
要删除与AutoStopWorkSpace相关联的固定的基础设施成本,请将WorkSpace从您的账户中删除.
有关更多信息,请参阅删除工作区(p.
108).
修改WorkSpace启动WorkSpace后,您可以通过两种方式修改其配置:您可以更改其根卷的大小(对于Windows,为驱动器C;对于Linux,为/)及其用户卷(对于Windows,为驱动器D;对于Linux,为/home).
您可以更改其计算类型以选择新的捆绑包.
WorkSpace的当前修改状态显示在控制台中的StateAmazonWorkSpaces(状态)设置中.
状态的可能值为正在修改计算、正在修改存储和无.
如果您希望修改工作区,其状态必须为AVAILABLE或STOPPED.
修改卷大小时,不能同时更改计算类型,反之亦然.
更改工作区的卷大小或计算类型时,将更改工作区的账单费率.
要允许您的用户自行修改卷和计算类型,请参阅为您的用户启用自助服务WorkSpace管理功能(p.
68).
更改卷大小您可以增加WorkSpace的根卷和用户卷的大小,每个卷最多2000GB.
WorkSpace根卷和用户卷包含无法更改的集合组.
可用的组包括:[根(GB)、用户(GB)][80,10][80,50]87AmazonWorkSpaces管理指南更改卷大小[根(GB)、用户(GB)][80,100][175至2000、100至2000]无论是已加密还是未加密,您都可以扩展根卷和用户卷,并且可以在6小时内扩展这两个卷一次.
但是,您无法同时增加根卷和用户卷的大小.
有关更多信息,请参阅有关增加卷的限制(p.
88).
Note展开工作区的卷时,AmazonWorkSpaces会自动在Windows或Linux中扩展卷的分区.
完成该过程后,必须重新启动工作区才能使更改生效.
要确保您的数据得以保留,在启动WorkSpace后,您不能减小根卷或用户卷的大小.
而是确保在启动WorkSpace时为这些卷指定最小大小.
您可以启动最低根卷容量为80GB、最低用户卷容量为10GB的Value、Standard、Performance、Power或PowerProWorkSpace.
您可以启动最低根卷容量为100GB、最低用户卷容量为100GB的Graphics或GraphicsProWorkSpace.
在增加工作区磁盘大小的过程中,用户可以在其工作区上执行大多数任务.
但是,他们无法更改WorkSpace计算类型、切换WorkSpace运行模式、重建WorkSpace或重启(重新启动)其WorkSpace.
Note如果您希望用户在磁盘大小增加过程中能够使用其WorkSpaces请确保WorkSpaces的状态为AVAILABLE而不是STOPPED,然后再调整WorkSpaces的卷大小.
如果WorkSpaces为STOPPED,则在磁盘大小增加过程中无法启动它们.
在大多数情况下,增加磁盘大小的过程可能需要一个小时.
但是,如果您要修改大量WorkSpaces的卷大小,该过程可能需要更长的时间.
如果您有大量WorkSpaces需要修改,我们建议您联系Support以获取帮助.
有关增加卷的限制您只能调整SSD卷的大小.
启动WorkSpace时,必须等待6小时,才能修改其卷的大小.
您无法同时增加根卷和用户卷的大小.
要增加根卷,您必须先将用户卷更改为100GB.
进行此更改后,您可以将根卷更新为175和2000GB之间的任何值.
在将根卷更改为175和2000GB之间的任何值后,您可以进一步更新用户卷,以更新为100和2000GB之间的任何值.
Note如果要增加这两个卷,则必须等待20-30分钟让第一个操作完成,然后才能开始第二个操作.
除非WorkSpace是Graphics或GraphicsProWorkSpace,否则,当用户卷为100GB时,根卷不能小于175GB.
Graphics或GraphicsProWorkSpace可以将根卷和用户卷都设置为100GB的最小值.
如果用户卷是50GB,则无法将根卷更新为80GB以外的任何大小.
如果根卷是80GB,则用户卷只能是10、50或100GB.
更改WorkSpace的卷大小1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择WorkSpace,然后依次选择Actions和ModifyWorkSpace.
4.
要增加根卷或用户卷的大小,请选择ModifyVolumeSizes(修改卷大小),然后输入新值.
5.
选择修改.
88AmazonWorkSpaces管理指南更改捆绑包类型6.
磁盘大小增加完成后,您必须重启WorkSpace(p.
98)才能使更改生效.
为避免数据丢失,请确保用户在重启WorkSpace之前保存任何打开的文件.
更改捆绑包类型您可以在Value、Standard、Performance、Power和PowerPro捆绑包之间切换WorkSpace.
有关这些服务包类型的更多信息,请参阅AmazonWorkSpaces服务包.
Note您无法更改Graphics和GraphicsProWorkSpaces的计算类型.
当您请求更改服务包时,AmazonWorkSpaces将使用新服务包重新启动WorkSpace.
AmazonWorkSpaces将保留WorkSpace的操作系统、应用程序、数据和存储设置.
请求较大捆绑包的申请每1小时可以提一次,而请求较小捆绑包的申请每30天可以提一次.
对于新启动的WorkSpace您必须等待1小时,然后才能请求更大的服务包.
在更改WorkSpace计算类型的过程中,用户将断开与其WorkSpace的连接,他们无法使用或更改WorkSpace.
在计算类型更改过程中,工作区将自动重新启动.
Important为避免数据丢失,请确保用户先保存任意打开的文档和其他应用程序文件,然后再更改工作区计算类型.
计算类型更改过程可能需要一个小时的时间.
更改WorkSpace的捆绑包类型1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择WorkSpace,然后依次选择Actions和ModifyWorkSpace.
4.
要更改捆绑包,请选择ChangeComputeType,然后选择新的捆绑包类型.
5.
选择修改.
标记WorkSpace资源您可以通过以标签形式为每个资源分配自己的元数据来组织和管理WorkSpace的资源.
可为每个标签指定键和值.
键可以是具有特定关联值的一般类别,例如"project"、"owner"或"environment".
使用标签是管理AWS资源和整理数据(包括账单数据)的一种简单却强有力的方式.
向现有资源添加标签时,这些标签直到下个月的第一天才会出现在成本分配报告中.
例如,如果您在7月15日向现有工作区添加标签,则直到8月1日,这些标签才会出现在您的成本分配报告中.
有关更多信息,请参阅AWSBillingandCostManagement用户指南中的使用成本分配标签.
Note要在CostExplorer中查看WorkSpaces资源标签,您必须按照中的激活用户定义的成本分配标签中的说明激活已应用于WorkSpacesAWSBillingandCostManagement用户指南资源的标签.
虽然标签在激活后24小时显示,但与这些标签关联的值可能需要4到5天才能显示在CostExplorer中.
此外,要在CostExplorer中显示并提供成本数据,已标记的WorkSpaces资源必须在该时间段内产生费用.
CostExplorer仅显示从标签激活到现在以后的成本数据.
目前,没有历史数据可用.
89AmazonWorkSpaces管理指南WorkSpace维护您可以添加标签的资源您可以在创建以下资源时为其添加标签—WorkSpace、导入的图像和IP访问控制组.
您可以向以下类型的现有资源添加标签—WorkSpaces、注册的目录、自定义捆绑包、图像和IP访问控制组.
标签限制每个资源的最大标签数—50最大密钥长度—127个Unicode字符最大值长度—255个Unicode字符标签键和值区分大小写.
允许使用的字符包括可用UTF-8格式表示的字母、空格和数字,以及以下特殊字符:请勿使用前导空格或尾随空格.
请勿在标签名称或值中使用"aws:"或"aws:workspaces:"前缀,因为它们保留供AWS使用.
您无法编辑或删除带这些前缀的标签名称或值.
使用控制台更新现有资源的标签1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择以下任一资源类型:Directories(目录)、WorkSpace、Bundles(捆绑包)、Images(图像)或IPAccessControls(IP访问控制).
3.
选择资源,然后选择Actions(操作)、ManageTags(管理标签).
4.
执行以下一个或多个操作:要更新标签,请编辑Key和Value的值.
要添加标签,请选择AddTag,然后编辑Key和Value的值.
要删除标签,请选择标签旁边的删除图标(X).
5.
完成更新标签后,选择Save(保存).
使用AWSCLI更新现有资源的标签使用create-tags和delete-tags命令WorkSpace维护我们建议您定期维护WorkSpace.
AmazonWorkSpaces会为您的WorkSpace安排默认的维护时段.
在维护时段内,WorkSpace会根据需要从AmazonWorkSpaces安装重要更新并重启.
如果有操作系统更新,则也会从WorkSpace配置为使用的操作系统更新服务器安装这些更新.
维护过程中,您的WorkSpace可能无法使用.
Note默认情况下,您的WindowsWorkSpace配置为从Windows更新接收更新.
要为Windows配置您自己的自动更新机制,请参阅WindowsServerUpdateServices(WSUS)和配置管理器的文档.
AlwaysOnWorkSpaces的维护时段对于AlwaysOnWorkSpace,维护时段由操作系统设置决定.
默认时段为WorkSpace所在时区每个星期日凌晨00:00至04:00的四小时时段.
默认情况下,AlwaysOnWorkSpace的时区为该WorkSpace所在AWS90AmazonWorkSpaces管理指南AutoStopWorkSpaces的维护时段区域的时区.
但是,如果您从另一个区域连接且时区重定向处于启用状态,然后断开连接,则WorkSpace的时区将被更新为您连接时所在区域的时区.
您可以使用组策略禁用WindowsWorkSpaces的时区重定向(p.
75).
您可以使用PCoIP代理conf为LinuxWorkSpaces(p.
83)禁用时区重定向.
对于WindowsWorkSpaces,您可以使用组策略配置维护时段;请参阅配置组策略设置以进行自动更新.
您不能为LinuxWorkSpace配置维护时段.
AutoStopWorkSpaces的维护时段AutoStopWorkSpace每月自动启动一次,以便安装重要更新.
维护时段自当月第三个星期一开始,最长为两周,每天00:00至05:00,时区为该WorkSpace所在AWS区域的时区.
可以在维护时段中的任意一天维护WorkSpace.
在WorkSpace进行维护的时间段内,WorkSpace的状态设置为MAINTENANCE.
尽管您无法修改用于维护AutoStopWorkSpaces的时区,但您可以按如下方式禁用AutoStopWorkSpaces的维护窗口.
如果您禁用维护模式,您的WorkSpace将不会重启且不会进入MAINTENANCE状态.
要禁用维护模式1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后选择Actions、UpdateDetails.
4.
展开MaintenanceMode.
5.
要启用自动更新,请选择Enabled.
如果您倾向于手动管理更新,请选择Disabled.
6.
选择UpdateandExit.
手动维护如果您愿意,您可以按照自己的计划维护WorkSpace.
当您执行维护任务时,我们建议您将WorkSpace的状态更改为ADMIN_MAINTENANCE.
维护完成后,将WorkSpace的状态更改为AVAILABLE.
当WorkSpace处于ADMIN_MAINTENANCE模式下时,会发生以下行为:WorkSpace不会对重启、停止、启动或重建的请求作出响应.
用户无法登录到工作区.
AutoStopWorkSpace不会休眠.
要使用控制台更改WorkSpace的状态Note要更改工作区的状态,工作区必须具有状态AVAILABLE.
当WorkSpace的状态为时,ModifyState(修改状态)设置不可用STOPPED.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择您的WorkSpace,然后依次选择Actions和ModifyWorkSpace.
4.
选择ModifyState.
对于IntendedState,选择ADMIN_MAINTENANCE或AVAILABLE.
91AmazonWorkSpaces管理指南加密的WorkSpace5.
选择修改.
要使用AWSCLI更改WorkSpace的状态使用modify-workspace-state命令.
加密的WorkSpaceAmazonWorkSpaces与AWSKeyManagementService(AWSKMS)集成.
这使您能够使用客户主密钥(CMK)来加密WorkSpace的存储卷.
在您启动WorkSpace时,可以加密根卷(对于MicrosoftWindows,为C驱动器;对于Linux,为/)和用户卷(对于Windows,为D驱动器;对于Linux,为/home).
这样做可确保静态存储的数据、卷的磁盘I/O及从加密卷创建的快照都会被加密.
主题Prerequisites(p.
92)Limits(p.
93)使用AmazonWorkSpaces的AWSKMS加密概述(p.
93)AmazonWorkSpaces加密上下文(p.
94)授予代表您使用CMKAmazonWorkSpaces的权限(p.
94)加密WorkSpace(p.
97)查看加密的WorkSpace(p.
97)Prerequisites在开始加密过程之前,您需要一个AWSKMSCMK.
此CMK可以是适用于AmazonWorkSpaces的AWS托管CMK(aws/workspaces),也可以是对称客户托管CMK.
AWS托管CMK–首次从区域中的AmazonWorkSpaces控制台启动未加密的WorkSpace时,AmazonWorkSpaces会自动在您的账户中创建AWS托管CMK(aws/workspaces).
您可以选择该AWS托管CMK来加密您的WorkSpace的用户卷和根卷.
有关详细信息,请参阅使用AmazonWorkSpaces的AWSKMS加密概述(p.
93).
您可以查看此AWS托管CMK(包括其策略和授权),并可以在AWSCloudTrail日志中跟踪其使用情况,但您无法使用或管理此CMK.
AmazonWorkSpaces创建和管理此CMK.
只有AmazonWorkSpaces才能使用此CMK,并且WorkSpaces只能使用它来加密您账户中的WorkSpaces资源.
AWS托管CMK(包括AmazonWorkSpaces支持的密钥)每三年轮换一次.
有关详细信息,请参阅中的轮换客户主密钥AWSKeyManagementServiceDeveloperGuide.
客户托管CMK–或者,您可以选择使用创建的对称客户托管AWSKMSCMK.
您可以查看、使用和管理此CMK,包括设置其策略.
有关创建CMKs的更多信息,请参阅中的创建密钥AWSKeyManagementServiceDeveloperGuide.
有关使用AWSKMSAPI创建CMKs的更多信息,请参阅中的https://docs.
amazonaws.
cn/kms/latest/developerguide/programming-keys.
html使用密钥AWSKeyManagementServiceDeveloperGuide.
您必须满足以下要求才能使用AWSKMSCMK加密您的WorkSpace:CMK必须是对称的.
AmazonWorkSpaces不支持非对称CMKs.
有关区分对称CMKs和非对称CMKhttps://docs.
amazonaws.
cn/kms/latest/developerguide/find-symm-asymm.
html的信息,请参阅中的AWSKeyManagementServiceDeveloperGuide识别对称CMK和非对称CMKs.
必须启用CMK.
要确定是否启用了CMK,请参阅中的显示CMKAWSKeyManagementServiceDeveloperGuide详细信息.
92AmazonWorkSpaces管理指南Limits您必须具有与CMK关联的正确权限和策略.
有关更多信息,请参阅第2部分:使用IAM策略为WorkSpaces管理员提供其他权限(p.
95).
Important每个CMK最多可以有500个WorkSpace.
此限制是由于中的每个CMK配额给定委托人的授权所致AWSKMS.
有关此配额的更多信息,请参阅中的为每个CMK授予给定委托人AWSKeyManagementServiceDeveloperGuide的权限.
当您对WorkSpace进行加密时,应为每500个WorkSpace创建一个CMK.
例如,如果要加密850个WorkSpace,请创建两个CMK.
有关创建CMKs的更多信息,请参阅中的创建密钥AWSKeyManagementServiceDeveloperGuide.
如果您尝试启动加密的WorkSpace,但收到错误消息"指定的密钥不可用.
请提供有效的加密密钥.
"Limits您无法加密现有的工作区.
您必须在启动工作区时对其加密.
不支持从加密的WorkSpace中创建自定义映像.
目前不支持禁用已加密WorkSpace的加密.
对于在启动时启用了根卷加密的WorkSpace,可能需要多达一个小时的时间才能完成配置.
要重启或重建已加密的WorkSpace,请先确保AWSKMSCMK已启用;否则WorkSpace将变得不可用.
要确定是否已启用CMK,请参阅中的显示CMKAWSKeyManagementServiceDeveloperGuide详细信息.
使用AmazonWorkSpaces的AWSKMS加密概述当您创建使用加密卷的WorkSpace时,AmazonWorkSpaces将使用AmazonElasticBlockStore(AmazonEBS)创建和管理这些卷.
AmazonEBS使用行业标准AES-256算法通过数据密钥加密卷.
AmazonEBS和AmazonWorkSpaces使用您的CMK处理加密的卷.
有关EBSAmazonEBS卷加密的更多信息,请参阅中的AmazonEC2用户指南(适用于Windows实例)加密.
当您启动使用加密卷的WorkSpace时,端到端过程的工作方式如下所示:1.
您指定要用于加密的CMK,以及WorkSpace的用户和目录.
该操作创建一个授权,允许AmazonWorkSpaces将您的CMK仅用于此WorkSpace—即仅用于与指定用户和目录相关联的WorkSpace.
2.
AmazonWorkSpaces为WorkSpace创建加密的EBS卷,并指定要使用的CMK以及卷的用户和目录.
该操作创建一个授权AmazonEBS,该授权仅允许将您的CMK仅用于此WorkSpace和卷—即,仅用于与指定用户和目录关联的WorkSpace以及指定卷.
3.
AmazonEBS请求使用您的CMK加密的卷数据密钥,并指定WorkSpace用户的ActiveDirectory安全标识符(SID)和AWSDirectoryService目录ID以及AmazonEBS卷ID作为加密上下文(p.
94).
4.
AWSKMS创建新的数据密钥,使用您的CMK对其进行加密,然后将加密的数据密钥发送到AmazonEBS.
5.
AmazonWorkSpaces使用AmazonEBS将加密的卷附加到您的WorkSpace.
AmazonEBS通过AWSKMSDecrypt请求将加密的数据密钥发送到,并指定WorkSpace用户的SID、目录ID和卷ID(用作加密上下文).
6.
AWSKMS使用您的CMK解密数据密钥,然后将纯文本数据密钥发送到AmazonEBS.
7.
AmazonEBS使用纯文本数据密钥加密所有传入和传出加密卷的数据.
只要卷附加在WorkSpace上,AmazonEBS就会将纯文本数据密钥保存在内存中.
8.
AmazonEBS将加密的数据密钥(在Step4(p.
93)中收到)与卷元数据存储在一起,以供将来重启或重建WorkSpace时使用.
93AmazonWorkSpaces管理指南AmazonWorkSpaces加密上下文9.
当您使用AWS管理控制台删除WorkSpace(或使用API中的TerminateWorkspacesAmazonWorkSpaces操作)AmazonWorkSpaces并AmazonEBS停用允许他们使用该WorkSpace的CMK的授权时.
AmazonWorkSpaces加密上下文AmazonWorkSpaces不会将您的CMK直接用于加密操作(例如Encrypt、Decrypt、GenerateDataKey等),这意味着AmazonWorkSpaces不会向AWSKMS发送包含加密上下文的请求.
但是,当AmazonEBS为WorkSpaces的加密卷请求加密的数据密钥(Step3(p.
93)中的使用AmazonWorkSpaces的AWSKMS加密概述(p.
93)),以及请求该数据密钥的纯文本副本(Step5(p.
93))时,将在请求中提供加密上下文.
加密上下文提供额外的经过身份验证的数据(AAD),AWSKMS使用该数据来确保数据完整性.
加密上下文也将写入您的AWSCloudTrail日志文件,这有助于您了解为什么使用给定的CMK.
AmazonEBS使用以下内容作为加密上下文:与WorkSpace关联的ActiveDirectory用户的安全标识符(SID)与WorkSpace关联的AWSDirectoryService目录的目录ID加密AmazonEBS卷的卷ID以下示例显示了AmazonEBS使用的加密上下文的JSON表示形式:{"aws:workspaces:sid-directoryid":"[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]","aws:ebs:id":"vol-1234abcd"}授予代表您使用CMKAmazonWorkSpaces的权限您可以在适用于的AWS托管CMKAmazonWorkSpaces(aws/workspaces)或客户托管CMK下保护您的WorkSpace数据.
如果您使用客户托管CMK,则需要为AmazonWorkSpaces提供代表您账户中的AmazonWorkSpaces管理员使用CMK的权限.
默认情况下,适用于AWS的AmazonWorkSpaces托管CMK具有必需权限.
要准备您的客户托管CMK以便与AmazonWorkSpaces结合使用,请使用以下过程.
1.
将WorkSpaces管理员添加到CMK密钥策略中的密钥用户列表(p.
94)2.
使用IAM策略为您的WorkSpaces管理员提供额外权限(p.
95)您的WorkSpaces管理员还需要使用的权限AmazonWorkSpaces.
有关这些权限的更多信息,请转到适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153).
第1部分:将WorkSpaces管理员添加为CMK的密钥用户要为AmazonWorkSpaces管理员提供其所需的权限,您可以使用AWS管理控制台或AWSKMSAPI.
添加WorkSpaces管理员作为CMK的密钥用户(控制台)1.
登录AWS管理控制台并通过以下网址打开AWSKeyManagementService(AWSKMS)控制台:https://console.
amazonaws.
cn/kms.
2.
要更改AWS区域,请使用页面右上角的区域选择器.
94AmazonWorkSpaces管理指南授予代表您使用CMKAmazonWorkSpaces的权限3.
在导航窗格中,选择Customermanagedkeys(客户托管密钥).
4.
选择首选客户托管CMK的密钥ID或别名.
5.
选择Keypolicy(密钥策略)选项卡.
在Keyusers(密钥用户)下,选择Add(添加).
6.
在IAM用户和角色列表中,选择与您的WorkSpaces管理员对应的用户和角色,然后选择Add(添加).
添加WorkSpaces管理员作为CMK的密钥用户(API)1.
使用GetKeyPolicy操作获取现有密钥策略,然后将策略文档保存到文件中.
2.
在您的首选文本编辑器中打开策略文档.
将与您的WorkSpaces管理员对应的IAM用户和角色添加到向密钥用户https://docs.
amazonaws.
cn/kms/latest/developerguide/key-policies.
html#key-policy-default-allow-users授予权限的策略语句.
然后保存文件.
3.
使用PutKeyPolicy操作将密钥策略应用于CMK.
第2部分:使用IAM策略为WorkSpaces管理员提供其他权限如果您选择用于加密的客户托管CMK,则必须建立IAM策略AmazonWorkSpaces,以允许代表您账户中启动加密WorkSpaces的IAM用户使用CMK.
该用户还需要使用AmazonWorkSpaces的权限.
有关创建和编辑IAM用户策略的更多信息,请参阅中的管理IAM策略IAM用户指南和.
适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153)AmazonWorkSpaces加密需要对CMK拥有有限访问权限.
以下是您可以使用的一个示例密钥策略.
此策略将可以管理AWSKMSCMK的委托人与可以使用它的委托人分开.
在使用此示例密钥策略之前,请将示例账户ID和IAM用户名替换为您账户中的实际值.
第一个语句与默认AWSKMS密钥策略匹配.
它授予您的账户使用IAM策略控制对CMK的访问的权限.
第二个和第三个语句分别定义哪些AWS委托人可以管理和使用密钥.
第四个语句允许与AWSKMS集成的AWS服务代表指定委托人使用密钥.
该语句允许AWSServices创建和管理授权.
该语句使用一个条件元素,该元素将对CMK的授权限制为AWS服务代表您账户中的用户进行的授权.
Note如果您的WorkSpaces管理员使用AWS管理控制台创建具有加密卷的WorkSpaces则管理员需要具有列出别名和列出密钥("kms:ListAliases"和"kms:ListKeys"权限)的权限.
如果您的WorkSpaces管理员仅使用AmazonWorkSpacesAPI(而不是控制台),则可以省略"kms:ListAliases"和"kms:ListKeys"权限.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:root"},"Action":"kms:*","Resource":"*"},{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:user/Alice"},"Action":["kms:Create*","kms:Describe*","kms:Enable*","kms:List*","kms:Put*","kms:Update*",95AmazonWorkSpaces管理指南授予代表您使用CMKAmazonWorkSpaces的权限"kms:Revoke*","kms:Disable*","kms:Get*","kms:Delete*"],"Resource":"*"},{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:user/Alice"},"Action":["kms:Encrypt","kms:Decrypt","kms:ReEncrypt","kms:GenerateDataKey*","kms:DescribeKey"],"Resource":"*"},{"Effect":"Allow","Principal":{"AWS":"arn:aws-cn:iam::123456789012:user/Alice"},"Action":["kms:CreateGrant","kms:ListGrants","kms:RevokeGrant"],"Resource":"*","Condition":{"Bool":{"kms:GrantIsForAWSResource":"true"}}}]}用于加密WorkSpace的用户或角色的IAM策略必须包含对于客户托管CMK的使用权限以及对WorkSpace的访问权限.
要授予IAM用户或角色对WorkSpace的权限,您可以将以下示例策略附加到IAM用户或角色.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["ds:*","ds:DescribeDirectories","workspaces:*","workspaces:DescribeWorkspaceBundles","workspaces:CreateWorkspaces","workspaces:DescribeWorkspaceBundles","workspaces:DescribeWorkspaceDirectories","workspaces:DescribeWorkspaces","workspaces:RebootWorkspaces","workspaces:RebuildWorkspaces"],"Resource":"*"}]}用户需要以下IAM策略才能使用AWSKMS.
它为用户提供了对CMK的只读访问权限以及创建授权的能力.
{96AmazonWorkSpaces管理指南加密WorkSpace"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["kms:CreateGrant","kms:Describe*","kms:List*"],"Resource":"*"}]}如果要在策略中指定CMK,请使用类似于以下内容的IAM策略.
将示例CMKARN替换为有效的CMKARN.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":"kms:CreateGrant","Resource":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"},{"Effect":"Allow","Action":["kms:ListAliases","kms:ListKeys"],"Resource":"*"}]}加密WorkSpace加密WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
选择LaunchWorkSpaces并完成前三步.
3.
对于WorkSpacesConfiguration步骤,执行以下操作:a.
选择要加密的卷:根卷、用户卷或这两种卷.
b.
对于EncryptionKey(加密密钥),选择一个AWSKMSCMK,即由AmazonWorkSpaces创建的AWS托管CMK或您创建的CMK.
您选择的CMK必须是对称的.
AmazonWorkSpaces不支持非对称CMK.
c.
选择NextStep.
4.
选择LaunchWorkSpaces.
查看加密的WorkSpace要从AmazonWorkSpaces控制台上查看哪些WorkSpace和卷已加密,请在左侧导航栏中选择WorkSpace.
VolumeEncryption列显示每个WorkSpace的加密是启用还是禁用.
要查看哪些特定卷已加密,请展开WorkSpace条目以查看EncryptedVolumes字段.
97AmazonWorkSpaces管理指南重启WorkSpace重启WorkSpace有时,您可能需要手动重启(重新启动)WorkSpace.
重启WorkSpace将断开用户连接,然后执行WorkSpace的关闭和重启.
为避免数据丢失,请确保用户在重启WorkSpace之前保存所有打开的文档和其他应用程序文件.
用户数据、操作系统和系统设置不受影响.
Warning要重启已加密的WorkSpace,请先确保AWSKMSCMK已启用;否则WorkSpace将变得不可用.
要确定是否启用了CMK,请参阅中的显示CMKAWSKeyManagementServiceDeveloperGuide详细信息.
要重启WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要重启的WorkSpace,然后选择Actions、RebootWorkSpaces.
4.
当系统提示您确认时,选择RebootWorkSpaces.
重建WorkSpace如果需要,您可以重建WorkSpace.
这将重新创建根卷、用户卷和主弹性网络接口.
重建WorkSpace将导致以下情况的出现:根卷(对于MicrosoftWindows,为驱动器C;对于Linux,为/)使用创建WorkSpace的服务包的最新映像进行刷新.
在创建WorkSpace之后安装的所有应用程序或更改的系统设置都将丢失.
用户卷(对于MicrosoftWindows,为D驱动器;对于Linux,为/home)是从最新快照中重新创建的.
用户卷的当前内容将被覆盖.
每12小时安排一次在重建WorkSpace时使用的自动快照.
无论WorkSpace的运行状况如何,都会拍摄用户卷的这些快照.
当您选择Actions、Rebuild/RestoreWorkSpace时,将显示最新快照的日期和时间.
主要弹性网络接口已重新创建.
WorkSpace会收到一个新的私有IP地址.
Important在2020年1月14日之后,无法再重建从公有Windows7捆绑包创建的WorkSpaces.
您可能需要考虑将您的Windows7WorkSpaces迁移到Windows10.
有关更多信息,请参阅迁移WorkSpace(p.
105).
仅当满足以下条件时,您才能重建WorkSpace:WorkSpace的状态必须为AVAILABLE、ERROR、UNHEALTHY、STOPPED或REBOOTING.
要重建处于REBOOTING状态的WorkSpace您必须使用RebuildWorkspacesAPI操作或rebuild-workspacesAWS命令行界面(CLI)命令.
用户卷的快照必须存在.
要重建WorkSpaceWarning要重建已加密的WorkSpace,请先确保AWSKMSCMK已启用;否则WorkSpace将变得不可用.
要确定是否启用了CMK,请参阅中的显示CMKAWSKeyManagementServiceDeveloperGuide详细信息.
98AmazonWorkSpaces管理指南还原WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要重建的WorkSpace,然后选择Actions(操作)、Rebuild/RestoreWorkSpace(重建/还原WorkSpace).
4.
选择RebuildWorkSpace(重建WorkSpace)选项.
5.
选择Rebuild/RestoreWorkSpace.
Note如果在ActiveDirectory中更改用户的sAMAccountName用户命名属性后重建WorkSpace,您可能会收到以下错误消息:"ErrorCode":"InvalidUserConfiguration.
Workspace""ErrorMessage":"Theuserwaseithernotfoundorismisconfigured.
"要解决此问题,请还原到原始用户命名属性,然后重新发起重建,或为该用户创建新的WorkSpace.
还原WorkSpace如果需要,您可以将WorkSpace还原到其最后一个已知的运行状况良好状态.
这将根据在WorkSpace运行状况良好时创建的这些卷的最新快照来重新创建根卷和用户卷.
还原WorkSpace将导致以下情况的出现:根卷(对于MicrosoftWindows,为驱动器C;对于Linux,为/)将还原到最新的快照.
在创建最新快照之后安装的所有应用程序或更改的系统设置都将丢失.
用户卷(对于MicrosoftWindows,为D驱动器;对于Linux,为/home)是从最新快照中重新创建的.
用户卷的当前内容将被覆盖.
拍摄快照的时间根卷和用户卷的快照基于以下内容拍摄.
当您选择Actions(操作)、Rebuild/RestoreWorkSpace(重建/还原WorkSpace)时,将显示最新快照的日期和时间.
最初创建WorkSpace后—,将在创建WorkSpace后(通常在30分钟内)很快创建根卷和用户卷的初始快照.
在某些AWS区域中,创建WorkSpace后,可能需要几个小时的时间才能拍摄初始快照.
如果WorkSpace在拍摄初始快照之前运行状况不佳,则无法还原WorkSpace.
在这种情况下,您可以尝试重建WorkSpace(p.
98)或联系AWSSupport寻求帮助.
在常规使用期间每12小时安排一次还原WorkSpace时要使用的—自动快照.
如果WorkSpace运行状况良好,则将同时创建根卷和用户卷的快照.
如果WorkSpace运行状况不佳,则不会创建这些快照.
还原WorkSpace后还原WorkSpace—时,还原完成后(通常在30分钟内)将很快拍摄新快照.
在某些AWS区域中,在还原WorkSpace后,可能需要几个小时的时间才能拍摄这些快照.
在还原WorkSpace后,如果WorkSpace在拍摄新快照之前运行状况不佳,则无法再次还原WorkSpace.
在这种情况下,您可以尝试重建WorkSpace(p.
98)或联系AWSSupport寻求帮助.
仅当满足以下条件时,才能还原WorkSpace:WorkSpace必须具有AVAILABLE、ERROR、UNHEALTHY或状态STOPPED.
根卷和用户卷的快照必须存在.
99AmazonWorkSpaces管理指南升级Windows10BYOLWorkSpace还原WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择要还原的WorkSpace,然后选择Actions(操作)、Rebuild/RestoreWorkSpace(重建/还原WorkSpace).
4.
选择RestoreWorkSpace(还原WorkSpace)选项.
5.
选择Rebuild/RestoreWorkSpace.
升级Windows10BYOLWorkSpace在您的Windows10自带许可(BYOL)WorkSpaces上,可以使用就地升级过程升级到Windows10的较新版本.
为此,请按照本主题中的说明操作.
就地升级过程仅适用于Windows10BYOLWorkSpaces.
Important不要在升级过的WorkSpace上运行Sysprep.
如果这样做,可能会发生阻止Sysprep完成的错误.
如果您计划运行Sysprep,请仅在没有升级过的WorkSpace上进行.
目录Prerequisites(p.
100)重要注意事项(p.
100)已知限制条件(p.
101)注册表项设置摘要(p.
101)执行就地升级的步骤(p.
102)Troubleshooting(p.
104)使用PowerShell脚本更新您的WorkSpace注册表(p.
104)Prerequisites如果您通过使用组策略或SystemCenterConfigurationManager(SCCM)推迟或暂停Windows10升级,请对您的Windows10WorkSpaces启用操作系统升级.
如果WorkSpace是AutoStopWorkSpace,请在就地升级过程之前将其更改为AlwaysOnWorkSpace,以便它不会在应用更新时自动停止.
有关更多信息,请参阅修改运行模式(p.
86).
如果您希望将WorkSpace保留设置为AutoStop,请在升级过程中将AutoStop时间更改为三小时或更长时间.
就地升级过程通过制作名为DefaultUser(C:\Users\Default)的特殊配置文件的副本来重新创建用户配置文件.
请勿使用此默认用户配置文件进行自定义.
而是建议通过组策略对象(GPO)对用户配置文件进行任何自定义.
通过GPO进行的自定义设置可以很容易地进行修改或回滚,并且不易出错.
就地升级过程只能备份并重新创建一个用户配置文件.
如果驱动器D上有多个用户配置文件,请删除除所需配置文件之外的所有配置文件.
重要注意事项就地升级过程使用两个注册表脚本(enable-inplace-upgrade.
ps1和update-pvdrivers.
ps1)对您的WorkSpace进行必要的更改,以使Windows更新进程能够运行.
这些更改涉及在驱动器C而不是驱动器D上创建(临时)用户配置文件.
如果驱动器D上已存在用户配置文件,则该原始用户配置文件中的数据保留在驱动器D上.
100AmazonWorkSpaces管理指南已知限制条件默认情况下,WorkSpace会在D:\Users\%USERNAME%中创建用户配置文件.
enable-inplace-upgrade.
ps1脚本会将Windows配置为在C:\Users\%USERNAME%中创建新的用户配置文件,并将用户Shell文件夹重定向到D:\Users\%USERNAME%.
这个新的用户配置文件是在用户首次登录时创建的.
就地升级后,您可以选择将用户配置文件保留在驱动器C上,以允许用户在将来使用Windows更新进程升级其计算机.
但请注意,无法在不丢失用户配置文件中所有数据的情况下重建或迁移在驱动器C上存储配置文件的WorkSpace,除非您自行备份和还原这些数据.
如果您决定在驱动器C上保留配置文件,则可以使用UserShellFoldersRedirection注册表项将用户Shell文件夹重定向到驱动器D,如本主题后面所述.
为了确保您可以重建或迁移WorkSpace并避免出现与用户Shell文件夹重定向相关的任何潜在问题,我们建议您选择在就地升级后将用户配置文件还原到驱动器D.
您可以通过使用PostUpgradeRestoreProfileOnD注册表项执行此操作,如本主题后面所述.
已知限制条件在WorkSpace重建或迁移期间,不会发生用户配置文件位置从驱动器D更改到驱动器C的过程.
如果您在Windows10BYOLWorkSpace上执行就地升级,然后重建或迁移它,则新的WorkSpace将会在D驱动器上拥有用户配置文件.
Warning如果在就地升级后将用户配置文件保留在驱动器C上,则在重建或迁移过程中存储在驱动器C上的用户配置文件数据将丢失,除非您在重建或迁移之前手动备份用户配置文件数据,并在运行重建或迁移过程后手动还原用户配置文件数据.
如果您的默认BYOL捆绑包包含基于Windows10早期版本的映像,则必须在重建或迁移WorkSpace后再次执行就地升级.
注册表项设置摘要要启用就地升级过程并指定您要在升级后放置用户配置文件的位置,您必须设置多个注册表项.
注册表路径:HKLM:\Software\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1注册表项Type值启用DWORD0–(默认值)禁用就地升级1–启用就地升级PostUpgradeRestoreProfileOnDDWORD0–(默认值)就地升级后,不尝试还原用户配置文件路径1–在就地升级后,还原用户配置文件路径(ProfileImagePath)UserShellFoldersRedirectionDWORD0–未启用用户Shell文件夹的重定向1–(默认值)在用户配置文件在D:\Users\%USERNAME%上重新生成后,启用将用户Shell文件夹重定向到C:\Users\%USERNAME%NoRebootDWORD0–(默认值)允许您控制在修改用户配置文件的注册表后重启的时间101AmazonWorkSpaces管理指南执行就地升级的步骤注册表项Type值1–不允许脚本在修改用户配置文件的注册表后重启WorkSpace注册表路径:HKLM:\Software\Amazon\WorkSpacesConfig\update-pvdrivers.
ps1注册表项Type值启用DWORD0–(默认值)禁用AWSPV驱动程序更新1–启用AWSPV驱动程序更新执行就地升级的步骤要在BYOLWorkSpace上启用就地Windows升级,您必须设置某些注册表项,如下面的过程所述.
您还必须设置某些注册表项,以指示您希望在完成就地升级后在其中放置用户配置文件的驱动器(C或D).
您可以手动进行这些注册表更改.
如果要更新多个WorkSpace,则可以使用组策略或SCCM推送PowerShell脚本.
有关PowerShell脚本的示例,请参阅使用PowerShell脚本更新您的WorkSpace注册表(p.
104).
执行Windows10就地升级1.
记下要更新的Windows10BYOLWorkSpace上当前运行的Windows版本,然后重新启动它们.
2.
更新以下Windows系统注册表项,将Enabled(启用)的数值数据从0更改为1.
这些注册表更改会启用WorkSpace的就地升级.
HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpaceConfig\update-pvdrivers.
ps1Note如果这些键不存在,请重新启动WorkSpace.
重新启动系统时,应该会添加这些键.
(可选)如果您使用诸如SCCM任务序列之类的托管工作流来执行升级,请将以下键值设置为1以防止计算机重新启动:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1\NoReboot3.
决定您希望在就地升级过程后将用户配置文件放在哪个驱动器上(有关详细信息,请参阅重要注意事项(p.
100)),并按以下方式设置注册表项:如果您希望在升级后用户配置文件位于驱动器C上,请设置:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1键名称:PostUpgradeRestoreProfileOnD键值:0键名称:UserShellFoldersRedirection键值:1102AmazonWorkSpaces管理指南执行就地升级的步骤如果您希望在升级后用户配置文件位于驱动器D上,请设置:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1键名称:PostUpgradeRestoreProfileOnD键值:1键名称:UserShellFoldersRedirection键值:04.
保存注册表更改后,再次重新启动WorkSpace以便应用更改.
Note重新启动后,登录到WorkSpace会创建一个新的用户配置文件.
您可能会在开始菜单中看到占位符图标.
此问题在就地升级完成后会自动解决.
(可选)确认以下键值设置为1,这将取消阻止WorkSpace进行更新:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1\profileImagePathDeleted5.
执行就地升级.
您可以使用任何您喜欢的方法,例如SCCM、ISO或WindowsUpdate(WU).
根据您的原始Windows10版本和安装的应用程序数量,此过程可能需要40-120分钟.
6.
更新过程结束后,请确认Windows版本已更新.
Note如果就地升级失败,Windows会自动回滚以使用开始升级之前已安装的Windows10版本.
有关疑难解答的更多信息,请参阅Microsoft文档.
(可选)要确认更新脚本已成功执行,请验证以下键值是否设置为1:HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.
ps1\scriptExecutionComplete7.
如果您通过将WorkSpace的运行模式设置为AlwaysOn或通过更改AutoStop时间段来设置它,以便就地升级过程可以不中断地运行,请将运行模式重新设置为原始设置.
有关更多信息,请参阅修改运行模式(p.
86).
如果您尚未将PostUpgradeRestoreProfileOnD注册表项设置为1,则在就地升级后Windows将重新生成用户配置文件并将其放在C:\Users\%USERNAME%中,这样,您就不必在将来进行Windows10就地更新时再次执行上述步骤.
默认情况下,enable-inplace-upgrade.
ps1脚本将以下Shell文件夹重定向到驱动器D:D:\Users\%USERNAME%\DownloadsD:\Users\%USERNAME%\DesktopD:\Users\%USERNAME%\FavoritesD:\Users\%USERNAME%\MusicD:\Users\%USERNAME%\PicturesD:\Users\%USERNAME%\VideosD:\Users\%USERNAME%\DocumentsD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\NetworkShortcutsD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\PrinterShortcutsD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs103AmazonWorkSpaces管理指南TroubleshootingD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\RecentD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendToD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenuD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\StartupD:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates如果将shell文件夹重定向到WorkSpaces上的其他位置,请在就地升级后对WorkSpaces执行必要的操作.
Troubleshooting如果您在更新过程中遇到任何问题,可以查看以下各项以帮助排除故障:Windows日志,默认情况下位于以下位置:C:\ProgramFiles\Amazon\WorkSpacesConfig\Logs\C:\ProgramFiles\Amazon\WorkSpacesConfig\Logs\TRANSMITTEDWindows事件查看器Windows日志>应用程序>来源:AmazonWorkSpacesTip在就地升级过程中,如果您发现桌面上的某些图标快捷方式不再有效,那是因为WorkSpaces会将位于驱动器D上的任何用户配置文件移至驱动器C以准备升级.
升级完成后,快捷方式将正常工作.
使用PowerShell脚本更新您的WorkSpace注册表您可以使用以下示例PowerShell脚本来更新WorkSpaces上的注册表以启用就地升级.
按照执行就地升级的步骤(p.
102),但使用此脚本更新每个WorkSpace上的注册表.
#AWSWorkSpaces1.
28.
20#EnableIn-PlaceUpdateSampleScripts#TheseregistrykeysandvalueswillenablescriptstoexecuteonthenextrebootoftheWorkSpace.
$scriptlist=("update-pvdrivers.
ps1","enable-inplace-upgrade.
ps1")$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"$Enabled=1$script:ErrorActionPreference="Stop"foreach($scriptNamein$scriptlist){$scriptRegKey="$wsConfigRegistryRoot\$scriptName"try{if(-not(Test-Path$scriptRegKey)){Write-Host"Registrykeynotfound.
Creatingregistrykey'$scriptRegKey'with'Update'enabled.
"New-Item-Path$wsConfigRegistryRoot-Name$scriptName|Out-NullNew-ItemProperty-Path$scriptRegKey-NameEnabled-PropertyTypeDWord-Value$Enabled|Out-Null104AmazonWorkSpaces管理指南迁移WorkSpaceWrite-Host"Valuecreated.
'$scriptRegKey'Enabled='$((Get-ItemProperty-Path$scriptRegKey).
Enabled)'"}else{Write-Host"Registrykeyisalreadypresentwithvalue'$scriptRegKey'Enabled='$((Get-ItemProperty-Path$scriptRegKey).
Enabled)'"if((Get-ItemProperty-Path$scriptRegKey).
Enabled-ne$Enabled){Set-ItemProperty-Path$scriptRegKey-NameEnabled-Value$EnabledWrite-Host"Valueupdated.
'$scriptRegKey'Enabled='$((Get-ItemProperty-Path$scriptRegKey).
Enabled)'"}}}catch{write-host"Stoppingscript,thefollowingerrorwasencountered:"`r`n$_-ForegroundColorRedbreak}}迁移WorkSpace您可以将WorkSpace从一个捆绑包迁移到另一个捆绑包,同时将数据保留在用户卷上.
您可以使用此功能将WorkSpaces从Windows7桌面体验迁移到Windows10桌面体验,或从PCoIP协议迁移到WorkSpacesStreamingProtocol(WSP).
您还可以使用此功能将WorkSpaces从一个公有或自定义捆绑包迁移到另一个相应的捆绑包.
例如,您可以从启用GPU(图形和GraphicSpro)的捆绑包迁移到非启用GPU的捆绑包,反之亦然.
有关AmazonWorkSpaces捆绑包的更多信息,请参阅WorkSpace服务包和映像(p.
110).
迁移过程通过使用目标捆绑包映像中的新根卷和原始WorkSpace的上一个可用快照中的用户卷来重新创建WorkSpace.
迁移过程中会生成一个新的用户配置文件,以获得更好的兼容性.
将重命名旧用户配置文件,然后将旧用户配置文件中的某些文件移动到新用户配置文件.
(有关所移动的内容的详细信息,请参阅迁移过程中会发生什么(p.
106).
)对于每个WorkSpace,迁移过程最多需要一个小时.
启动迁移过程时,将创建一个新的WorkSpace.
如果发生错误阻止成功迁移,将恢复原始WorkSpace并返回到其原始状态,并终止新的WorkSpace.
目录迁移限制(p.
105)可用的迁移方案(p.
106)迁移过程中会发生什么(p.
106)最佳实践(p.
107)Troubleshooting(p.
107)账单如何受到影响(p.
107)迁移WorkSpace(p.
108)迁移限制您不能迁移到公有或自定义Windows7桌面体验捆绑包.
您也不能迁移到自带许可证(BYOL)Windows7捆绑包.
您只能将BYOLWorkSpaces迁移到其他BYOL捆绑包.
105AmazonWorkSpaces管理指南可用的迁移方案无法将从公有或自定义捆绑包创建的WorkSpace迁移到BYOL捆绑包.
目前不支持迁移LinuxWorkSpaces.
在支持多种语言的AWS区域中,您可以在语言包之间迁移WorkSpaces.
源捆绑包和目标捆绑包必须不同.
(但是,在支持多种语言的区域中,只要语言不同,就可以迁移到相同的Windows10捆绑包.
)如果要使用相同的捆绑包刷新WorkSpace,请改为重新构建WorkSpace(p.
98).
您不能跨区域迁移WorkSpace.
在某些情况下,如果迁移无法成功完成,您可能不会收到错误消息,并且可能显示迁移过程未启动.
如果在尝试迁移一小时后,WorkSpace捆绑包保持不变,则迁移失败.
请联系AWSSupportCenter以获取帮助.
可用的迁移方案下表显示了哪些迁移方案可用:源操作系统目标操作系统是否可用公有或自定义捆绑包Windows7公有或自定义捆绑包Windows10是自定义捆绑包Windows7公有捆绑包Windows7否自定义捆绑包Windows7自定义捆绑包Windows7否公有捆绑包Windows7自定义捆绑包Windows7否公有或自定义捆绑包Windows10公有或自定义捆绑包Windows7否自定义捆绑包Windows10公有捆绑包Windows10否公有或自定义捆绑包Windows10自定义捆绑包Windows10是Windows7BYOL捆绑包Windows7BYOL捆绑包否Windows7BYOL捆绑包Windows10BYOL捆绑包是Windows10BYOL捆绑包Windows7BYOL捆绑包否Windows10BYOL捆绑包Windows10BYOL捆绑包是迁移过程中会发生什么在迁移过程中,用户卷(驱动器D)上的数据将保留,但根卷(驱动器C)上的所有数据都将丢失.
这意味着不会保留已安装的应用程序、设置和对注册表的更改.
旧用户配置文件文件夹将使用.
NotMigrated后缀重命名,并创建一个新的用户配置文件.
迁移过程基于原始用户卷的最后一个快照重新创建驱动器D.
在新的WorkSpace首次启动期间,迁移过程会将原始D:\Users\%USERNAME%文件夹移动到名为D:\Users\%USERNAME%MMddyyTHHmmss%.
NotMigrated的文件夹.
新的操作系统生成一个新的D:\Users\%USERNAME%\文件夹.
创建新用户配置文件后,以下用户shell文件夹中的文件将从旧.
NotMigrated配置文件移动到新配置文件:D:\Users\%USERNAME%\DesktopD:\Users\%USERNAME%\Documents106AmazonWorkSpaces管理指南最佳实践D:\Users\%USERNAME%\DownloadsD:\Users\%USERNAME%\FavoritesD:\Users\%USERNAME%\MusicD:\Users\%USERNAME%\PicturesD:\Users\%USERNAME%\VideosImportant迁移过程尝试将文件从旧用户配置文件移动到新配置文件.
迁移过程中未移动的任何文件将保留在D:\Users\%USERNAME%MMddyyTHHmmss%.
NotMigrated文件夹中.
如果迁移成功,您可以看到哪些文件被移入C:\ProgramFiles\Amazon\WorkspacesConfig\Logs\MigrationLogs.
您可以手动移动任何未自动移动的文件.
分配给原始WorkSpace的任何标签都会在迁移过程中进行转移,并保留WorkSpace的运行模式.
但是,新的WorkSpace将获得新的WorkSpaceID、计算机名称和IP地址.
最佳实践在迁移WorkSpace之前,请执行以下操作:将驱动器C上的任何重要数据备份到另一个位置.
在迁移过程中,将擦除驱动器C上的所有数据.
请确保正在迁移的WorkSpace至少已有12小时,以确保已创建用户卷的快照.
在控制台中的MigrateWorkSpacesAmazonWorkSpaces(迁移WorkSpaces)页面上,您可以看到上次拍摄快照的时间.
在迁移过程中,上一个快照之后创建的所有数据将丢失.
为避免潜在的数据丢失,请确保您的用户注销其WorkSpaces,并在迁移过程完成后才重新登录.
请注意,WorkSpaces处于ADMIN_MAINTENANCE模式时无法迁移.
请确保要迁移的WorkSpaces的状态为AVAILABLE、STOPPED或ERROR.
请确保您有足够的IP地址用于要迁移的WorkSpaces.
迁移期间,将为WorkSpaces分配新的IP地址.
如果您正在使用脚本迁移WorkSpaces,请以一次不超过25个WorkSpaces的批次迁移它们.
Troubleshooting如果用户在迁移后报告丢失文件,请检查其用户配置文件是否在迁移过程中未移动.
您可以看到哪些文件被移入C:\ProgramFiles\Amazon\WorkspacesConfig\Logs\MigrationLogs.
未移动的文件将位于D:\Users\%USERNAME%MMddyyTHHmmss%.
NotMigrated文件夹中.
您可以手动移动任何未自动移动的文件.
如果您使用API迁移WorkSpaces,但迁移未获成功,则不会使用API返回的目标WorkSpaceID,并且WorkSpace仍将具有原始WorkSpaceID.
如果迁移未成功完成,请检查ActiveDirectory以查看它是否相应地被清理了.
您可能需要手动删除不再需要的WorkSpaces.
账单如何受到影响在执行迁移的月份,将按比例对新WorkSpaces和原始WorkSpaces收取费用.
例如,如果您在5月10日将工作区A迁移到工作区B,则将向您收取5月1日至5月10日期间工作区A的费用,以及5月11日至5月30日期间工作区B的费用.
Note如果要将WorkSpace迁移到不同的捆绑包类型(例如,从性能到节能,或从高价值到标准),则在迁移过程中根卷(驱动器C)和用户卷(驱动器D)的大小可能会增加.
如有必要,根卷增加以107AmazonWorkSpaces管理指南迁移WorkSpace匹配新捆绑包的默认根卷大小.
但是,如果您已为用户卷指定的大小与原始捆绑包的默认大小不同(更高或更低),则在迁移过程中会保留相同的用户卷大小.
否则,迁移过程将使用源WorkSpace用户卷大小中较大的值,并为新捆绑包使用默认的用户卷大小.
迁移WorkSpace您可以通过AmazonWorkSpaces控制台、AWS命令行界面(CLI)或AmazonWorkSpacesAPI迁移WorkSpace.
迁移WorkSpace1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择WorkSpace,然后依次选择Actions(操作)和MigrateWorkSpaces(迁移WorkSpaces).
4.
在SelectTargetBundle(选择目标捆绑包)下,选择要将WorkSpace迁移到的捆绑包.
5.
在AssignWorkSpaceBundle(分配WorkSpace捆绑包)下,为每个WorkSpace用户选择目标捆绑包.
Warning对于每个WorkSpace,请记下列出的快照时间.
在所列快照时间之后对用户卷所做的任何更改都将在迁移过程中丢弃.
6.
选择MigrateWorkSpaces(迁移WorkSpaces).
PENDING控制台中将显示一个状态为AmazonWorkSpaces的新WorkSpace.
迁移完成后,原始WorkSpace将终止,并将新WorkSpace的状态设置为AVAILABLE.
7.
(可选)要删除您不再需要的任何自定义捆绑包和映像,请参阅删除自定义WorkSpace服务包或映像(p.
125).
要通过AWSCLI迁移WorkSpace,请使用migrate-workspace命令.
要通过AmazonWorkSpacesAPI迁移WorkSpaces请参阅中的MigrateWorkSpaceAmazonWorkSpacesAPI参考.
删除工作区当不再使用某个WorkSpace时,可以将其删除.
还可以删除相关资源.
Warning删除工作区是一项永久性操作,无法撤消.
WorkSpace用户的数据不会保留,而是会销毁.
要获取有关备份用户数据的帮助,请联系AWSSupport.
NoteSimpleAD和ADConnector可供您免费将WorkSpaces.
如果您的SimpleAD或ADConnector目录连续30天未使用任何WorkSpaces则此目录将自动取消注册以便用于AmazonWorkSpaces,并且将按照AWSDirectoryService定价条款对此目录收费.
要删除空目录,请参阅删除您的WorkSpace目录(p.
48).
如果您删除SimpleAD或ADConnector目录,则在您希望再次开始使用WorkSpaces时,您始终可以创建一个新的目录.
删除WorkSpace您可以删除处于除以外的任何状态的WorkSpaceSUSPENDED.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
108AmazonWorkSpaces管理指南删除工作区3.
选择WorkSpace,然后选择Actions、RemoveWorkSpaces.
4.
当系统提示您确认时,选择RemoveWorkSpaces.
删除WorkSpace大约需要5分钟.
在删除期间WorkSpace的状态将设置为TERMINATING.
删除完成后,状态将非常短暂地设置为TERMINATED,然后WorkSpace才会从控制台中消失.
5.
(可选)要删除您不再使用的任何自定义捆绑包和映像,请参阅删除自定义WorkSpace服务包或映像(p.
125).
6.
(可选)删除一个目录下的所有WorkSpace后,可删除该目录.
有关更多信息,请参阅删除您的WorkSpace目录(p.
48).
7.
(可选)删除VirtualPrivateCloud(VPC)中用于您的目录的所有资源后,可以删除VPC并释放用于NAT网关的弹性IP地址.
有关更多信息,请参阅中的删除VPChttps://docs.
amazonaws.
cn/vpc/latest/userguide/vpc-eips.
html#WorkWithEIPs和AmazonVPC用户指南使用弹性IP地址.
109AmazonWorkSpaces管理指南创建自定义映像和服务包WorkSpace服务包和映像WorkSpace服务包是操作系统、存储、计算和软件资源的组合.
当您启动WorkSpace时,选择符合您需求的服务包.
WorkSpace可用的默认服务包称为公有服务包.
有关AmazonWorkSpaces可用的各种公有服务包的更多信息,请参阅AmazonWorkSpace服务包.
如果您已启动Windows或AmazonLinuxWorkSpace并对其进行了自定义,则可以从该WorkSpace创建自定义映像.
自定义映像只包含操作系统、软件和WorkSpace设置.
自定义服务包是自定义映像和WorkSpace启动所依赖的硬件的集合.
创建自定义映像后,您可以构建一个自定义服务包,该服务包将自定义WorkSpace映像与您选择的基础计算和存储配置相结合.
然后,您可以在启动新的WorkSpace时指定此自定义服务包,以确保新的WorkSpace具有相同的一致配置(硬件和软件).
如果您需要执行软件更新或在WorkSpace上安装其他软件,可以更新您的自定义服务包并使用它来重建您的WorkSpace.
目录创建自定义WorkSpace映像和服务包(p.
110)更新自定义WorkSpace服务包(p.
121)复制自定义WorkSpace映像(p.
122)共享或取消共享自定义WorkSpaces映像(p.
124)删除自定义WorkSpace服务包或映像(p.
125)自带Windows桌面许可证(p.
126)创建自定义WorkSpace映像和服务包如果您已启动Windows或AmazonLinuxWorkSpace并对其进行了自定义,则可以从该WorkSpace创建自定义服务包和自定义映像.
自定义映像只包含操作系统、软件和WorkSpace设置.
自定义服务包是自定义映像和WorkSpace启动所依赖的硬件的集合.
创建自定义映像后,您可以构建一个自定义服务包,该服务包将自定义映像与您选择的基础计算和存储配置相结合.
然后,您可以在启动新的WorkSpace时指定此自定义服务包,以确保新的WorkSpace具有相同的一致配置(硬件和软件).
通过为每个服务包选择不同的计算和存储选项,您可以使用相同的自定义映像来创建各种自定义服务包.
Important如果您打算从Windows10WorkSpace创建映像,请注意,已经从一个版本的Windows10升级到了较新的Windows10版本(Windows功能/版本升级)的Windows10系统不支持映像创建.
但是,Windows累积更新或安全更新由WorkSpaces映像创建过程支持.
2020年1月14日之后,无法从公有Windows7捆绑包创建映像.
您可能需要考虑将您的Windows7WorkSpaces迁移到Windows10.
有关更多信息,请参阅迁移WorkSpace(p.
105).
110AmazonWorkSpaces管理指南创建Windows自定义映像的要求Graphics和GraphicsPro捆绑包目前在中不可用亚太地区(孟买)区域.
自定义捆绑包的成本与这些捆绑包创建自的公用捆绑包的成本相同.
有关定价的更多信息,请参阅AmazonWorkSpaces定价.
目录创建Windows自定义映像的要求(p.
111)创建AmazonLinux自定义映像的要求(p.
111)最佳实践(p.
112)(可选)步骤1:为您的映像指定自定义计算机名称格式(p.
112)步骤2:运行映像检查程序(p.
113)步骤3:创建自定义映像和自定义服务包(p.
119)WindowsWorkSpace自定义映像中包含的内容(p.
120)AmazonLinuxWorkSpace自定义映像包含的内容(p.
121)创建Windows自定义映像的要求工作区的状态必须为可用,其修改状态必须为无.
WorkSpace映像上的所有应用程序和用户配置文件都必须与MicrosoftSysprep兼容.
所有要包括在映像中的应用程序都必须安装在C盘上.
用户配置文件必须存在且位于D:\Users\username,其总大小(文件和数据)必须小于10GB.
C驱动器必须至少有12GB的可用空间.
所有运行在WorkSpace上的应用程序服务必须使用本地系统账户,而不是域用户凭证.
例如,不能有使用域用户凭证运行的MicrosoftSQLServerExpress安装.
WorkSpace不得加密.
目前不支持从加密的WorkSpace创建映像.
映像中要求具有以下组件.
如果没有这些组件,从映像启动的WorkSpace将无法正常工作:WindowsPowerShell3.
0或更高版本远程桌面服务AWSPV驱动程序Windows远程管理(WinRM)TeradiciPCoIP代理和驱动程序STXHD代理和驱动程序AWS和WorkSpaces证书Skylight代理创建AmazonLinux自定义映像的要求工作区的状态必须为可用,其修改状态必须为无.
所有将包括在映像中的应用程序都必须安装在用户卷(/home目录)之外.
根卷(/)的使用率必须低于97%.
WorkSpace不得加密.
目前不支持从加密的WorkSpace创建映像.
映像中要求具有以下组件.
如果没有这些组件,从映像启动的WorkSpace将无法正常工作:Cloud-initTeradiciPCoIP代理和驱动程序Skylight代理111AmazonWorkSpaces管理指南最佳实践最佳实践从WorkSpace创建映像前,请执行以下操作:使用未连接到您的生产环境的单独VPC.
在私有子网中部署WorkSpace,并将NAT实例用于出站流量.
使用小的SimpleAD目录.
为源WorkSpace使用最小卷大小,然后在创建自定义服务包时根据需要调整卷大小.
在工作区上安装所有操作系统更新(Windows功能/版本更新除外)和所有应用程序更新.
有关更多信息,请参阅本主题开始处的重要提示(p.
110).
删除WorkSpace中不应该包含在服务包中的缓存数据(例如,浏览器历史记录、缓存文件和浏览器Cookie).
删除WorkSpace中不应该包括在服务包中的配置设置(例如,电子邮件配置文件).
使用DHCP切换到动态IP地址设置.
确保您没有超过区域中允许的WorkSpace映像数量的配额.
默认情况下,每个区域允许您具有40个WorkSpace映像.
如果您已达到此配额,创建映像的新尝试将失败.
要请求增加配额,请使用AmazonWorkSpaces限制表单.
请确保您没有尝试从加密的WorkSpace创建映像.
目前不支持从加密的WorkSpace创建映像.
如果WorkSpace上正在运行任何防病毒软件,请在尝试创建映像时禁用该软件.
如果在WorkSpace上启用了防火墙,请确保防火墙未阻止任何必要的端口.
有关更多信息,请参阅AmazonWorkSpaces的IP地址和端口要求(p.
16).
对于WindowsWorkSpace,请勿在创建映像之前配置任何组策略对象(GPO).
对于WindowsWorkSpace,在创建映像之前,请勿自定义默认用户配置文件(C:\Users\Default).
我们建议通过GPO对用户配置文件进行任何自定义并在创建映像后应用它们.
GPO可以很容易地进行修改或回滚,所以与对默认用户配置文件进行的自定义设置相比更不易出错.
对于LinuxWorkSpaces,另请参阅为Linux映像准备AmazonWorkSpaces的最佳实践白皮书.
如果要在WorkSpacesStreamingProtocol(WSP)启用了的LinuxWorkSpaces上使用智能卡,请参阅使用智能卡进行身份验证(p.
24)以了解在创建映像之前必须对LinuxWorkSpace进行的自定义.
(可选)步骤1:为您的映像指定自定义计算机名称格式对于从自定义或自带许可(BYOL)映像启动的WorkSpaces您可以为计算机名称格式指定自定义前缀,而不是使用默认计算机名称格式(p.
52).
要指定自定义前缀,请为您的映像类型执行相应的过程.
为自定义映像指定自定义计算机名称格式1.
在用于创建自定义图像的WorkSpace上C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep\Unattend.
xml,在记事本或其他文本编辑器中打开.
有关使用Unattend.
xml文件的更多信息,请参阅Microsoft文档中的应答文件(unattend.
xml).
Note要从WorkSpace上的Windows文件资源管理器访问C:驱动器C:\,请在地址栏中输入.
2.
请在部分执行以下操作:a.
确保设置为星号(*).
如果设置为任何其他值,则您的自定义计算机名称设置将被忽略.
有关设置的更多信息,请参阅Microsoft文档中的ComputerName.
112AmazonWorkSpaces管理指南步骤2:运行映像检查程序b.
(可选)将设置为您的首选组织名称.
3.
在部分中,将和设置为您的首选值.
在Sysprep期间,您为和指定的值将连接在一起,并使用组合字符串的前7个字符来创建计算机名称.
例如,如果您Amazon.
com为和指定EC2,则从自定义服务包创建的WorkSpaces的计算机名称将以EC2AMAZ-开头xxxxxxx.
4.
保存对Unattend.
xml文件的更改.
为BYOL映像指定自定义计算机名称格式1.
C:\ProgramFiles\Amazon\Ec2ConfigService\Sysprep2008.
xml在记事本或其他文本编辑器中打开.
2.
在部分中,取消注释*,并确保设置为星号(*).
如果设置为任何其他值,则您的自定义计算机名称设置将被忽略.
有关设置的更多信息,请参阅Microsoft文档中的ComputerName.
3.
在部分中,将和设置为您的首选值.
在Sysprep期间,您为和指定的值将连接在一起,并且组合字符串的前7个字符用于创建计算机名称.
例如,如果您Amazon.
com为和指定EC2,则从自定义服务包创建的WorkSpaces的计算机名称将以EC2AMAZ-开头xxxxxxx.
NoteSysprep忽略部分中的和值.
4.
保存对Sysprep2008.
xml文件的更改.
步骤2:运行映像检查程序Note映像检查程序仅适用于WindowsWorkSpace.
如果要从LinuxWorkSpace创建映像,请跳至步骤3:创建自定义映像和自定义服务包(p.
119).
要确认WindowsWorkSpace满足映像创建的要求,我们建议运行映像检查程序.
映像检查程序对要用于创建映像的WorkSpace执行一系列测试,并提供有关如何解决它发现的任何问题的指导.
ImportantWorkSpace必须先通过映像检查程序运行的所有测试,然后才能用于创建映像.
在运行映像检查程序之前,请验证是否在WorkSpace上安装了最新的Windows安全更新和累积更新.
映像检查程序不会检查Windows10WorkSpaces的用户配置文件大小.
如果您拥有Windows10WorkSpace请确保用户配置文件大小小于10GB.
要获取映像检查程序,请执行以下操作之一:重新启动您的WorkSpace(p.
98).
系统会在重新启动期间自动下载映像检查程序并将其安装在C:\ProgramFiles\Amazon\ImageChecker.
exe中.
113AmazonWorkSpaces管理指南步骤2:运行映像检查程序从AmazonWorkSpaceshttps://tools.
amazonworkspaces.
com/ImageChecker.
ziphttps://tools.
amazonworkspaces.
awsapps.
cn/ImageChecker.
zip下载映像检查程序并提取ImageChecker.
exe文件.
将此文件复制到C:\ProgramFiles\Amazon\.
运行映像检查程序1.
打开C:\ProgramFiles\Amazon\ImageChecker.
exe文件.
2.
在AmazonWorkSpacesImageChecker(AmazonWorkSpaces映像检查程序)对话框中,选择Run(运行).
3.
每个测试完成后,您都可以查看测试的状态.
对于状态为FAILED(失败)的任何测试,请选择Info(信息)以显示有关如何解决导致失败的问题的信息.
有关如何解决这些问题的更多信息,请参阅解决映像检查程序检测到的问题的提示(p.
114).
如果任何测试显示了状态WARNING(警告),请选择FixAllWarnings(修复所有警告)按钮.
该工具在映像检查程序所在的同一目录中生成输出日志文件.
默认情况下,此文件位于C:\ProgramFiles\Amazon\ImageChecker_yyyyMMddhhmmss.
log中.
Tip请勿删除此日志文件.
如果出现问题,此日志文件可能有助于进行故障排除.
4.
适当时,请解决导致测试失败和警告的任何问题,然后重复运行映像检查程序的过程,直到WorkSpace通过所有测试.
在创建映像之前,必须先解决所有失败和警告.
5.
如果您的WorkSpace通过了所有测试,您将看到ValidationSuccessful(验证成功)消息.
您现在已准备好创建自定义服务包.
解决映像检查程序检测到的问题的提示除了咨询以下提示以解决映像检查程序检测到的问题之外,请务必查看映像检查程序日志文件:C:\ProgramFiles\Amazon\ImageChecker_yyyyMMddhhmmss.
log.
必须安装PowerShell3.
0或更高版本安装最新版本的MicrosoftWindowsPowerShell.
Important必须将WorkSpace的PowerShell执行策略设置为允许RemoteSigned脚本.
要检查执行策略,请运行Get-ExecutionPolicyPowerShell命令.
如果执行策略未设置为Unrestricted或RemoteSigned,请运行Set-ExecutionPolicy–ExecutionPolicyRemoteSigned命令以更改执行策略的值.
RemoteSigned设置允许在AmazonWorkSpaces上执行脚本,这是创建映像所需的.
只可存在C和D驱动器只有C和D驱动器可以存在于用于创建映像的WorkSpace上.
删除所有其他驱动器,包括虚拟驱动器.
无法检测到由于Windows更新而挂起的重启在重启Windows以完成安装安全更新或累积更新之前,无法运行创建映像过程.
重启Windows以应用这些更新,并确保不需要安装任何其他挂起的Windows安全更新或累积更新.
已从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10的Windows10系统不支持映像创建.
但是,Windows累积更新或安全更新由WorkSpaces映像创建过程支持.
Sysprep文件必须存在且不能为空如果Sysprep文件出现问题,请联系AWSSupportCenter以修复您的EC2Config或EC2Launch.
114AmazonWorkSpaces管理指南步骤2:运行映像检查程序用户配置文件大小必须小于10GB用户配置文件(D:\Users\username)的总大小必须小于10GB.
根据需要删除文件以减小用户配置文件的大小.
驱动器C必须有足够的可用空间驱动器C上必须至少有12GB的可用空间.
根据需要删除文件以释放C驱动器上的空间.
无法在域账户下运行任何服务要运行创建映像过程,WorkSpace上的任何服务都不能在域账户下运行.
所有服务必须在本地账户下运行.
在本地账户下运行服务1.
打开C:\ProgramFiles\Amazon\ImageChecker_yyyyMMddhhmmss.
log并查找在域账户下运行的服务列表.
2.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
3.
在LogOnAs(登录身份)下,查找在域账户下运行的服务.
(以本地系统、本地服务或网络服务身份运行的服务不会干扰映像创建.
)4.
选择在域账户下运行的服务,然后选择操作)、属性.
5.
打开LogOn(登录)选项卡.
在Logonas(登录身份)下,选择LocalSystemaccount(本地系统账户).
6.
选择确定.
必须安装AmazonWorkSpacesApplicationManager(AmazonWAM)如果您已使用AmazonWAM将应用程序分配给用户,则必须在WorkSpace上设置AmazonWAM安装程序.
完成后,AmazonWAM快捷方式将显示在您的WorkSpace桌面上.
必须将WorkSpace配置为使用DHCP必须将WorkSpace上的所有网络适配器配置为使用DHCP而不是静态IP地址.
将所有网络适配器设置为使用DHCP1.
在Windows搜索框中,输入controlpanel以打开控制面板.
2.
选择网络和Internet.
3.
选择网络和共享中心.
4.
选择更改适配器设置,然后选择适配器.
5.
选择更改此连接的设置.
6.
在网络选项卡上,选择Internet协议版本4(TCP/IPv4),然后选择属性.
7.
在Internet协议版本4(TCP/IPv4)属性对话框中,选择自动获取IP地址.
8.
选择确定.
9.
对WorkSpace上的所有网络适配器重复此过程.
必须启用远程桌面服务创建映像过程需要启用远程桌面服务.
启用远程桌面服务1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到远程桌面服务.
115AmazonWorkSpaces管理指南步骤2:运行映像检查程序3.
选择远程桌面服务,然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择手动或自动.
5.
选择确定.
用户配置文件必须存在用于创建映像的WorkSpace必须具有用户配置文件(D:\Users\username).
如果此测试失败,请联系AWSSupportCenter寻求帮助.
必须正确配置环境变量路径本地计算机的环境变量路径缺少与System32和WindowsPowerShell对应的条目.
要创建映像,需要这些条目.
配置环境变量路径1.
在Windows搜索框中,输入environmentvariables,然后选择编辑系统环境变量.
2.
在系统属性对话框中,打开高级选项卡,然后选择环境变量.
3.
在环境变量对话框的系统变量下,选择路径条目,然后选择编辑.
4.
选择新建,然后添加以下路径:C:\Windows\System325.
再次选择新建,然后添加以下路径:C:\Windows\System32\WindowsPowerShell\v1.
0\6.
选择确定.
7.
重新启动WorkSpace.
Tip项目在环境变量路径中显示的顺序至关重要.
要确定正确的顺序,您可能需要将WorkSpace的环境变量路径与新创建的WorkSpace或新Windows实例中的环境变量路径进行比较.
必须启用Windows模块安装程序创建映像过程要求启用Windows模块安装程序服务.
启用Windows模块安装程序服务1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到Windows模块安装程序.
3.
选择Windows模块安装程序,然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择手动或自动.
5.
选择确定.
必须禁用AmazonSSM代理创建映像过程要求禁用AmazonSSM代理服务.
禁用AmazonSSM代理服务1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到AmazonSSM代理.
116AmazonWorkSpaces管理指南步骤2:运行映像检查程序3.
选择AmazonSSM代理,然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择已禁用.
5.
选择确定.
必须启用SSL3和TLS1.
2版本要为Windows配置SSL/TLS,请参阅MicrosoftWindows文档中的如何启用TLS1.
2.
WorkSpace上只能存在一个用户配置文件WorkSpace上只能有一个用于创建映像的WorkSpace用户配置文件(D:\Users\username).
删除不属于WorkSpace的预期用户的任何用户配置文件.
为了能够创建映像,您的WorkSpace上只能有三个用户配置文件:WorkSpace的预期用户的用户配置文件(D:\Users\username)默认用户配置文件(也称为默认配置文件)管理员用户配置文件如果有其他用户配置文件,则可以通过Windows控制面板中的高级系统属性将其删除.
删除用户配置文件1.
要访问高级系统属性,请执行以下操作之一:按Windows键+暂停时段,然后在控制面板>系统和安全>系统对话框的左侧窗格中选择高级系统设置.
在Windows搜索框中,输入controlpanel.
在ControlPanel(控制面板)中,选择SystemandSecurity(系统和安全),然后选择System(系统),然后在ControlPanel(控制面板)>SystemandSecurity(系统和安全)>System(系统)对话框的左侧窗格中选择Advancedsystemsettings(高级系统设置).
2.
在SystemProperties(系统属性)对话框的高级选项卡上,选择UserProfiles(用户配置文件)下的Settings(设置).
3.
如果除了管理员配置文件、默认配置文件和预期WorkSpace用户的配置文件以外列出了任何配置文件,请选择该额外配置文件并选择删除.
4.
当询问您是否要删除此配置文件时,请选择是.
5.
如有必要,请重复步骤3和步骤4以删除不属于WorkSpace的任何其他配置文件.
6.
选择确定两次并关闭控制面板.
7.
重新启动WorkSpace.
没有AppX程序包可以处于暂存状态一个或多个AppX程序包处于暂存状态.
这可能导致在映像创建过程中出现Sysprep错误.
删除所有暂存的AppX程序包1.
在Windows搜索框中,输入powershell.
选择以管理员身份运行.
2.
当询问"你要允许此应用对你的设备进行更改吗"时,选择是.
3.
在WindowsPowerShell窗口中,输入以下命令以列出所有暂存的AppX程序包,然后在每个程序包之后按Enter键.
$workSpaceUserName=$env:username117AmazonWorkSpaces管理指南步骤2:运行映像检查程序$allAppxPackages=Get-AppxPackage-AllUsers$packages=$allAppxPackages|Where-Object{`(($_.
PackageUserInformation-like"*S-1-5-18*"-and!
($_.
PackageUserInformation-like"*$workSpaceUserName*"))-and`($_.
PackageUserInformation-like"*Staged*"-or$_.
PackageUserInformation-like"*Installed*"))-or`((!
($_.
PackageUserInformation-like"*S-1-5-18*")-and$_.
PackageUserInformation-like"*$workSpaceUserName*")-and`$_.
PackageUserInformation-like"*Staged*")}4.
输入以下命令以删除所有暂存的AppX程序包,然后按Enter键.
$packages|Remove-AppxPackage-ErrorActionSilentlyContinue5.
再次运行映像检查程序.
如果此测试仍然失败,请输入以下命令以删除所有AppX程序包,然后在每个程序包之后按Enter键.
Get-AppxProvisionedPackage-Online|Remove-AppxProvisionedPackage-Online-ErrorActionSilentlyContinueGet-AppxPackage-AllUsers|Remove-AppxPackage-ErrorActionSilentlyContinueWindows必须尚未从以前的版本升级已从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10的Windows系统不支持映像创建.
要创建映像,请使用尚未进行Windows功能/版本升级的WorkSpace.
Windows重置计数不得为0重置功能允许您延长Windows试用版的激活期.
创建映像过程要求重置计数为0以外的值.
检查Windows重置计数1.
在Windows开始菜单上,选择Windows系统,然后选择命令提示符.
2.
在命令提示符窗口中,键入以下命令,然后按Enter.
cscriptC:\Windows\System32\slmgr.
vbs/dlv要将重置计数重置为非0的值,请参阅MicrosoftWindows文档中的Sysprep(通用化)Windows安装.
其他故障排查技巧如果WorkSpace通过了映像检查程序运行的所有测试,但仍然无法从WorkSpace创建映像,请检查以下问题:请确保WorkSpace未分配给DomainGuests(域来宾)组中的用户.
要检查是否存在任何域账户,请运行以下PowerShell命令.
Get-WmiObject-ClassWin32_Service|Where-Object{$_.
StartName-like"*$env:USERDOMAIN*"}118AmazonWorkSpaces管理指南步骤3:创建自定义映像和自定义服务包仅对于Windows7WorkSpace:如果在映像创建过程中复制用户配置文件时出现问题,请检查以下问题:长的配置文件路径可能会导致映像创建错误.
请确保用户配置文件中所有文件夹的路径少于261个字符.
确保将配置文件的文件夹的完全权限授予系统和所有应用程序包.
如果用户配置文件中的任何文件被进程锁定或在映像创建过程中正在使用,则复制配置文件时可能会失败.
当EC2Config服务或EC2Launch脚本在Windows实例配置期间请求RDP证书指纹时,某些组策略对象(GPO)会限制对RDP证书指纹的访问.
在尝试创建映像之前,请将WorkSpace移到具有阻止继承且未应用GPO的新组织单位(OU).
请确保Windows远程管理(WinRM)服务配置为自动启动.
执行以下操作:1.
在Windows搜索框中,输入services.
msc以打开Windows服务管理器.
2.
在名称列中,找到Windows远程管理(WS-Management).
3.
选择Windows远程管理(WS-Management),然后选择操作、属性.
4.
在常规选项卡上,对于启动类型,选择自动.
5.
选择确定.
步骤3:创建自定义映像和自定义服务包验证WorkSpace映像后,可以继续执行创建自定义映像和自定义服务包的过程.
创建自定义映像和自定义服务包1.
如果您仍连接到WorkSpace请通过选择AmazonWorkspaces和Disconnect来断开连接.
2.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
3.
在导航窗格中,选择WorkSpaces.
4.
选择WorkSpace,然后选择Actions、CreateImage.
5.
将显示一条消息,提示您重启(重新启动)WorkSpace然后再继续.
重启WorkSpace会将AmazonWorkSpaces您的软件更新为最新版本.
通过关闭消息并按照中的步骤操作来重启WorkSpace重启WorkSpace(p.
98).
完成后,重复Step4(p.
119)此过程,但这次当出现重启消息时,请选择Next(下一步).
要创建映像,WorkSpace的状态必须为Available(可用),其修改状态必须为None(无).
6.
输入映像名称和有助于您识别映像的描述,然后选择创建映像.
在创建映像的过程中,WorkSpace的状态为Suspended(暂停),并且WorkSpace不可用.
7.
在导航窗格中,选择Images.
当WorkSpace的状态变为Available(可用)时,映像完成(这最多可能需要45分钟).
8.
选择映像,然后选择Actions、CreateBundle.
Note要以编程方式创建服务包,请使用CreateWorkspaceBundleAPI操作.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/workspaces/latest/api/API_CreateWorkspaceBundle.
htmlAmazonWorkSpacesAPI参考CreateWorkspaceBundle.
9.
输入服务包的名称和描述,然后执行以下操作:对于BundleType(服务包类型),选择从该自定义服务包启动WorkSpaces时要使用的硬件.
对于RootVolumeSize(根卷大小),保留默认值或者输入等于或大于当前大小的新值.
然后,在用户卷大小中输入一个值.
根卷(对于MicrosoftWindows,为C驱动器;对于Linux,为/)和用户卷(对于Windows,为D驱动器;对于Linux,为/home)的默认可用大小如下所示:根:80GB,用户:10GB、50GB或100GB119AmazonWorkSpaces管理指南WindowsWorkSpace自定义映像中包含的内容根:175GB,用户:100GB仅适用于Graphics和GraphicsProWorkSpace:根:100GB,用户:100GB此外,您可以将根卷和用户卷分别扩展到最大2000GB.
Note要确保您的数据得以保留,在启动WorkSpace后,您不能减小根卷或用户卷的大小.
而是确保在启动WorkSpace时为这些卷指定最小大小.
您可以启动最低根卷容量为80GB、最低用户卷容量为10GB的Value、Standard、Performance、Power或PowerProWorkSpace.
您可以启动最低根卷容量为100GB、最低用户卷容量为100GB的Graphics或GraphicsProWorkSpace.
10.
选择创建服务包.
11.
要确认是否已创建服务包,请选择Bundles(服务包)并验证是否已列出该服务包.
WindowsWorkSpace自定义映像中包含的内容从Windows7或10WorkSpace创建映像时,将包括C驱动器的全部内容.
对于Windows10WorkSpace,D:\Users\username中的用户配置文件不包括在自定义映像中.
对于Windows7WorkSpace,还将包含D:\Users\username中用户配置文件的全部内容,不过以下内容除外:联系人下载音乐图片已保存的游戏视频播客虚拟机虚拟机跟踪appdata\local\tempappdata\roaming\applecomputer\mobilesync\appdata\roaming\applecomputer\logs\appdata\roaming\applecomputer\itunes\iphonesoftwareupdates\appdata\roaming\macromedia\flashplayer\macromedia.
com\support\flashplayer\sys\appdata\roaming\macromedia\flashplayer\#sharedobjects\appdata\roaming\adobe\flashplayer\assetcache\appdata\roaming\microsoft\windows\recent\appdata\roaming\microsoft\office\recent\appdata\roaming\microsoftoffice\livemeetingappdata\roaming\microsoftshared\livemeetingshared\appdata\roaming\mozilla\firefox\crashreports\appdata\roaming\mcafee\commonframework\appdata\local\microsoft\feedscacheappdata\local\microsoft\windows\temporaryinternetfiles\120AmazonWorkSpaces管理指南AmazonLinuxWorkSpace自定义映像包含的内容appdata\local\microsoft\windows\history\appdata\local\microsoft\internetexplorer\domstore\appdata\local\microsoft\internetexplorer\imagestore\appdata\locallow\microsoft\internetexplorer\iconcache\appdata\locallow\microsoft\internetexplorer\domstore\appdata\locallow\microsoft\internetexplorer\imagestore\appdata\local\microsoft\internetexplorer\recovery\appdata\local\mozilla\firefox\profiles\AmazonLinuxWorkSpace自定义映像包含的内容从AmazonLinuxWorkSpace创建映像时,将删除用户卷(/home)中的整个内容.
删除内容中包括根卷(/)的内容,但以下文件夹和密钥除外:/tmp/var/spool/mail/var/tmp/var/lib/dhcp/var/lib/cloud/var/cache/var/backups/etc/sudoers.
d/etc/udev/rules.
d/70-persistent-net.
rules/etc/network/interfaces.
d/50-cloud-init.
cfg/etc/security/access.
conf/var/log/amazon/ssm/var/log/pcoip-agent/var/log/skylight/var/lock/.
skylight.
domain-join.
lock/var/lib/skylight/domain-join-status/var/lib/skylight/configuration-data/var/lib/skylight/config-data.
json/home在创建自定义映像期间将销毁以下密钥:/etc/ssh/ssh_host_*_key/etc/ssh/ssh_host_*_key.
pub/var/lib/skylight/tls.
*/var/lib/skylight/private.
key/var/lib/skylight/public.
key更新自定义WorkSpace服务包您可以更新现有的自定义WorkSpace服务包,方法是修改基于服务包的WorkSpace,从WorkSpace创建映像,然后用新映像更新服务包.
然后,您可以使用更新的服务包启动新的WorkSpace.
121AmazonWorkSpaces管理指南复制自定义映像Important当您更新现有WorkSpaces所基于的捆绑包时,不会自动更新现有WorkSpaces.
要更新基于您已更新的捆绑包的现有WorkSpaces,您必须重建WorkSpaces或删除并重新创建它们.
使用控制台更新服务包1.
连接到基于该服务包的WorkSpace并进行所需的更改.
例如,您可以应用最新的操作系统和应用程序修补程序并安装其他应用程序.
或者,您可以创建一个新的WorkSpace,它具有与用于创建该服务包的映像相同的基本软件包(Plus或Standard),然后进行更改.
2.
如果您还连接着WorkSpace,请断开.
3.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
4.
在导航窗格中,选择WorkSpaces.
5.
选择WorkSpace,然后选择Actions、CreateImage.
6.
输入映像名称和描述,然后选择创建映像.
在创建映像期间WorkSpace不可用.
7.
在导航窗格中,选择Bundles.
8.
选择服务包,然后选择Actions、UpdateBundle.
9.
对于UpdateWorkSpaceBundle,选择创建的映像并选择UpdateBundle.
10.
根据需要,更新任何基于该捆绑包的现有WorkSpaces,方法是重建WorkSpaces或删除并重新创建它们.
有关更多信息,请参阅重建WorkSpace(p.
98).
以编程方式更新服务包要以编程方式更新服务包,请使用UpdateWorkspaceBundleAPI操作.
有关更多信息,请参阅中的UpdateWorkspaceBundleAmazonWorkSpacesAPI参考.
复制自定义WorkSpace映像您可以在区域内或跨AWS区域复制自定义WorkSpaces映像.
复制映像将导致创建完全相同的映像(具有其自己的唯一标识符).
只要另一个区域已启用自带许可(BYOL),您就可以将BYOL映像复制到目标区域.
Note在中中国(宁夏)区域,您只能在同一区域中复制映像.
在中AWSGovCloud(美国西部)区域,要将映像复制到其他AWS区域以及从其他AWS区域复制映像,请联系AWSSupport.
您还可以复制其他AWS账户与您共享的映像.
有关共享映像的更多信息,请参阅共享或取消共享自定义WorkSpaces映像(p.
124).
在区域内或跨区域复制映像不会产生额外费用.
但需遵循目标区域中的映像数量配额.
有关AmazonWorkSpaces配额的更多信息,请参阅AmazonWorkSpaces配额(p.
180).
用于复制映像的IAM权限如果您使用IAM用户复制映像,则该用户必须具有workspaces:DescribeWorkspaceImages和的权限workspaces:CopyWorkspaceImage.
以下示例策略允许用户将指定的映像复制到指定区域中的指定账户.
122AmazonWorkSpaces管理指南复制自定义映像{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:DescribeWorkspaceImages","workspaces:CopyWorkspaceImage"],"Resource":["arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg"]}]}Important如果要创建IAM策略来复制不拥有映像的账户的共享映像,则无法在ARN中指定账户ID.
相反,您必须使用*作为账户ID,如以下示例策略中所示.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:DescribeWorkspaceImages","workspaces:CopyWorkspaceImage"],"Resource":["arn:aws:workspaces:us-east-1:*:workspaceimage/wsi-a1bcd2efg"]}]}仅当ARN中的账户拥有要复制的映像时,才能在该ARN中指定账户ID.
有关使用IAM的更多信息,请参阅适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153).
复制映像您可以使用控制台逐个复制映像.
要批量复制映像,请使用CopyWorkspaceImageAPI操作或AWS命令行界面(CLI)中的copy-workspace-image命令.
有关更多信息,请参阅中的CopyWorkspaceImageAmazonWorkSpacesAPI参考或中的https://docs.
amazonaws.
cn/cli/latest/reference/workspaces/copy-workspace-image.
htmlAWSCLICommandReferencecopy-workspace-image.
Important在复制共享映像之前,请确保确认已从正确的AWS账户共享该映像.
要确定是否已共享映像并查看拥有映像AWS的账户ID,请使用DescribeWorkSpaceImages和DescribeWorkspaceImagePermissionsAPI操作或describe-workspace-images以及CLI中的describe-workspace-image-permissionsAWS命令.
使用控制台复制映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
选择映像,然后选择Actions、CopyImage.
123AmazonWorkSpaces管理指南共享或取消共享自定义映像4.
为复制的映像提供名称、描述和区域信息,然后选择CopyImage.
共享或取消共享自定义WorkSpaces映像您可以在同一AWS区域内的AWS账户间共享自定义WorkSpaces映像.
共享映像后,收件人账户可以根据需要将映像复制到其他AWS区域.
有关复制映像的更多信息,请参阅复制自定义WorkSpace映像(p.
122).
Note在中中国(宁夏)区域,您只能在同一区域中复制映像.
在中AWSGovCloud(美国西部)区域,要将映像复制到其他AWS区域以及从其他AWS区域复制映像,请联系AWSSupport.
共享映像不收取任何额外费用.
但是,AWS该区域中的映像数配额适用.
在收件人复制映像之前,共享映像不会计入收件人账户的配额.
有关AmazonWorkSpaces配额的更多信息,请参阅AmazonWorkSpaces配额(p.
180).
要删除共享映像,您必须先取消共享该映像,然后才能将其删除.
共享自带许可映像您只能与启用了BYOLAWS的账户共享自带许可(BYOL)映像.
您想要与其共享BYOL映像的AWS账户也必须是您组织的一部分(在同一付款人账户下).
NoteAWS区域中目前不支持跨AWSGovCloud(US-West)账户共享BYOL映像.
要跨AWSGovCloud(US-West)区域中的账户共享BYOL映像,请联系AWSSupport.
与您共享的映像如果与您共享映像,您可以复制它们.
然后,您可以使用共享映像的副本来创建用于启动新WorkSpaces捆绑包.
Important在复制共享映像之前,请确保确认已从正确的AWS账户共享该映像.
要以编程方式确定是否共享了映像,请使用DescribeWorkSpaceImages和DescribeWorkspaceImagePermissionsAPI操作或describe-workspace-images以及命令行界面(CLI)中的describe-workspace-image-permissionsAWS命令.
显示已与您共享的映像的创建日期是最初创建映像的日期,而不是与您共享映像的日期.
如果已与您共享映像,则无法与其他账户进一步共享该映像.
共享映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
选择映像,然后依次选择Actions(操作)和Viewdetails(查看详细信息).
4.
在映像详细信息页面上的Sharedaccounts(共享账户)部分中,选择Addaccount(添加账户).
5.
在Addaccount(添加账户)页面的Addaccounttosharewith(添加要与之共享映像的账户)下,输入要与之共享映像的账户的账户ID.
Important在共享映像之前,请确认您正在共享到正确的AWS账户ID.
124AmazonWorkSpaces管理指南删除自定义捆绑包或映像6.
选择Shareimage(共享映像).
Note要使用共享映像,收件人账户必须先复制映像(p.
122).
然后,收件人账户可以使用其共享映像的副本来创建用于启动新WorkSpaces捆绑包.
停止共享映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
选择映像,然后依次选择Actions(操作)和Viewdetails(查看详细信息).
4.
在映像详细信息页面上的Sharedaccounts(共享账户)部分中,选择要停止共享AWS的账户,然后选择Unshare(取消共享).
5.
当系统提示您确认取消共享映像时,选择Unshare(取消共享).
Note如果要在取消共享映像后将其删除,则必须先从已与之共享映像的所有账户中取消共享映像.
停止共享映像后,收件人账户无法再复制映像.
但是,收件人账户中已存在的共享映像的任何副本都将保留在该账户中,并且可以从这些副本启动新的WorkSpaces.
以编程方式共享或取消共享映像要以编程方式共享或取消共享映像,请使用UpdateWorkspaceImagePermissionAPI操作或update-workspace-image-permissionAWS命令行界面(CLI)命令.
要确定是否已共享映像,请使用DescribeWorkspaceImagePermissionsAPI操作或describe-workspace-image-permissionsCLI命令.
删除自定义WorkSpace服务包或映像如果需要,您可以删除未使用的自定义服务包.
如果删除正在被WorkSpace使用的某个服务包,则该服务包将被放在删除队列中,然后在基于该服务包的所有WorkSpace被删除后删除.
使用控制台删除服务包1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Bundles.
3.
选择服务包,然后选择Actions、DeleteBundle.
4.
当系统提示您确认时,选择DeleteBundle.
以编程方式删除服务包要以编程方式删除服务包,请使用DeleteWorkspaceBundleAPI操作.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/workspaces/latest/api/API_DeleteWorkspaceBundle.
htmlAmazonWorkSpacesAPI参考DeleteWorkspaceBundle.
在删除自定义服务包后,可以删除用于创建或更新该服务包的映像.
Note要删除映像,您必须首先删除与该映像关联的所有服务包,如果与其他账户共享该映像,则取消共享.
此外,映像不能处于PENDING或VALIDATING状态.
125AmazonWorkSpaces管理指南自带Windows桌面许可证使用控制台删除映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
选择映像,然后选择Actions、DeleteImage.
4.
当系统提示您确认时,选择DeleteImage.
以编程方式删除映像要以编程方式删除映像,请使用DeleteWorkspaceImageAPI操作.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/workspaces/latest/api/API_DeleteWorkspaceImage.
htmlAmazonWorkSpacesAPI参考DeleteWorkspaceImage.
自带Windows桌面许可证如果您与Microsoft签订的许可协议允许使用此类映像,则可以为工作区使用Windows10企业版或Windows10专业版桌面许可证.
为此,您必须自带许可(BYOL)并提供满足以下要求的Windows10许可证.
有关在上使用Microsoft软件的更多信息AWS,请参阅AmazonWebServices和Microsoft.
为了遵守Microsoft许可条款,在AWS云中专供您使用的硬件上运行AWSBYOLWorkSpaces.
通过提供您自己的许可证,您可以为用户提供一致的体验.
有关更多信息,请参阅AmazonWorkSpaces定价.
Important已从一个版本的Windows10升级到更高版本(Windows功能/版本升级)的Windows10的Windows10系统不支持映像创建.
但是,Windows累积更新或安全更新由WorkSpaces映像创建过程支持.
要开始使用,请打开AmazonWorkSpaces控制台,然后选择AccountSettings(账户设置)为您的账户启用BYOL.
目录Requirements(p.
126)支持BYOL的Windows版本(p.
127)将MicrosoftOffice添加到BYOL映像(p.
128)步骤1:使用AmazonWorkSpaces控制台为您的账户启用BYOL(p.
131)步骤2:在WindowsVM上运行BYOL检查程序PowerShell脚本(p.
131)步骤3:将VM从虚拟化环境中导出(p.
132)步骤4:将VM作为映像导入AmazonEC2(p.
133)步骤5:使用AmazonWorkSpaces控制台创建BYOL映像(p.
133)步骤6:从BYOL映像创建自定义捆绑包(p.
134)步骤7:为专用WorkSpaces注册目录(p.
134)步骤8:启动BYOLWorkSpace(p.
135)Requirements在开始之前,请验证以下几点:您的Microsoft许可协议是否允许Windows在虚拟托管环境中运行.
126AmazonWorkSpaces管理指南支持BYOL的Windows版本如果您将使用未启用GPU的捆绑包(Graphics和GraphicsPro以外的捆绑包),请确认您将AmazonWorkSpaces在每个区域中使用至少200个捆绑包.
这200个WorkSpace可以是AlwaysOn和AutoStopWorkSpace的任意组合.
每个区域最少使用200个WorkSpaces这是在AmazonWorkSpaces专用硬件上运行的一个要求.
在专用硬件上运行您的AmazonWorkSpaces需要符合Microsoft许可要求.
专用硬件在AWS端预配置,因此您的VPC可以保持默认租赁状态.
如果您计划使用启用GPU(Graphics和GraphicsPro)的捆绑包,请验证您在专用硬件上每个月在一个区域中是否至少会运行4个AlwaysOn或20个AutoStop支持GPU的WorkSpace.
Note中目前不提供启用GPU的服务包亚太地区(孟买)区域.
AmazonWorkSpaces可以在/16IP地址范围内使用管理接口.
管理接口连接到一个用于交互式流式传输的安全AmazonWorkSpaces管理网络.
这样可允许AmazonWorkSpaces管理您的WorkSpace.
有关更多信息,请参阅网络接口(p.
19).
您必须至少从以下IP地址范围之一保留/16子网掩码用于此目的:10.
0.
0.
0/8100.
64.
0.
0/10172.
16.
0.
0/12192.
168.
0.
0/16198.
18.
0.
0/15Note在采用WorkSpaces服务时,可用的管理接口IP地址范围经常会发生变化.
要确定当前可用的范围,请运行list-available-management-cidr-rangesAWSCommandLineInterface(AWSCLI)命令.
除了您选择的/16CIDR块外,54.
239.
224.
0/20IP地址范围用于所有AWS区域中的管理接口流量.
确保您打开了适用于MicrosoftWindows和MicrosoftOfficeKMS激活的必要的管理接口端口,以用于BYOLWorkSpaces.
有关更多信息,请参阅管理接口端口(p.
20).
您有一台运行受支持的64位版Windows的虚拟机(VM).
有关受支持版本的列表,请参阅本主题中的下一节支持BYOL的Windows版本(p.
127).
VM还必须满足以下要求:Windows操作系统必须对密钥管理服务器激活.
Windows操作系统必须将English(UnitedStates)(英语(美国))作为主要语言.
无法在VM上安装Windows附带的软件之外的软件.
您可以在稍后创建自定义映像时添加其他软件(如防病毒解决方案).
在创建映像之前,请勿自定义默认用户配置文件(C:\Users\Default)或进行其他自定义设置.
所有自定义都应在映像创建后进行.
我们建议通过组策略对象(GPO)对用户配置文件进行任何自定义,并在创建映像后应用它们.
这是因为通过GPO进行的自定义设置可以很容易地进行修改或回滚,并且与对默认用户配置文件进行的自定义设置相比更不易出错.
在共享映像之前,您必须创建具有本地管理员访问权限的WorkSpaces_BYOL账户.
稍后可能需要此账户的密码,因此请记下它.
VM必须位于最大大小为70GB且可用空间至少为10GB的单个卷上.
如果您还计划为BYOL映像订阅MicrosoftOffice,则虚拟机必须位于单个卷上,最大大小为70GB,可用空间至少为20GB.
VM必须运行WindowsPowerShell版本4或更高版本.
在本主题后面的步骤2(p.
131)中运行BYOL检查程序PowerShell脚本之前,请确保您已安装最新的MicrosoftWindows补丁.
支持BYOL的Windows版本您的VM必须运行以下Windows版本之一:Windows10版本1803(2018年4月更新)127AmazonWorkSpaces管理指南将MicrosoftOffice添加到BYOL映像Windows10版本1809(2018年10月更新)Windows10版本1903(2019年5月更新)Windows10版本1909(2019年11月更新)Windows10版本2014(2020年5月更新)Windows10版本20H2年10月更新)所有受支持的操作系统版本都支持您使用WorkSpaces时所在AWS区域中可用的所有计算类型.
不再受Microsoft支持的Windows版本不能保证正常工作,也不受AWSSupport支持.
Note对于Graphics或GraphicsProBYOL捆绑包,您必须使用Windows10版本1803(2018年4月更新).
将MicrosoftOffice添加到BYOL映像在BYOL映像提取过程中,如果您使用的是Windows10,您可以选择通过AWS订阅MicrosoftOfficeProfessional32-bit或64-bit如果选择此选项,则Office将预安装在BYOL映像中,并包含在您从该映像启动的任何WorkSpaces上.
如果您选择通过AWS订阅Office,将收取额外费用.
有关更多信息,请参阅AmazonWorkSpaces定价.
Important如果MicrosoftOffice已安装在您用来创建BYOL映像的VM上,如果您希望通过AWS订阅Office,则必须从VM中卸载它.
如果您计划通过AWS订阅Office,请确保您的VM至少有20GB的可用磁盘空间.
如果您选择订阅Office,BYOL映像提取过程至少需要3小时.
有关在BYOL提取过程中订阅Office的详细信息,请参阅步骤5:使用AmazonWorkSpaces控制台创建BYOL映像(p.
133).
办公室语言设置我们根据您在其中执行BYOL映像提取AWS的区域,选择用于您的Office订阅的语言.
例如,如果您在中执行BYOL映像提取亚太区域(东京),则您的Office订阅使用日语作为其语言.
默认情况下,我们会在您的WorkSpaces上安装大量常用Office语言包.
如果未安装所需的语言包,您可以从Microsoft下载其他语言包.
有关更多信息,请参阅Microsoft文档中的适用于Office的语言配件包.
要更改Office的语言,您有多个选项:选项1:允许单个用户自定义其Office语言设置各个用户可以调整其WorkSpaces上的Office语言设置.
有关更多信息,请参阅Microsoft文档中的在Office中添加编辑或编写语言或设置语言首选项.
选项2:使用GPO管理模板(.
admx/.
adml)对所有WorkSpaces用户强制执行默认的Office语言设置您可以使用组策略对象(GPO)设置为您的WorkSpaces用户强制执行默认的Office语言设置.
Note您的WorkSpaces用户将无法覆盖通过GPO强制实施的语言设置.
128AmazonWorkSpaces管理指南将MicrosoftOffice添加到BYOL映像有关使用GPO设置Office语言的更多信息,请参阅Microsoft文档中的自定义Office的语言设置和设置.
Office2016和Office2019使用相同的GPO设置(使用Office2016标记).
要使用GPOs您必须安装ActiveDirectory管理工具.
有关使用ActiveDirectory管理工具处理GPO的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
您必须先从Microsoft下载中心下载适用于Office的管理模板文件(.
admx/.
adml),然后才能配置Office2016或Office2019策略设置.
下载管理模板文件后,您必须将office16.
admx和office16.
adml文件添加到WorkSpaces目录的域控制器的中央存储.
(office16.
admx和office16.
adml文件适用于Office2016和Office2019.
)有关使用.
admx和.
adml文件的更多信息,请参阅Microsoft文档中的如何在Windows中创建和管理组策略管理模板的中央存储.
以下过程介绍如何创建中央存储并向其中添加管理模板文件.
在目录管理工作区或加入您的WorkSpaces目录的AmazonEC2实例上执行以下步骤.
安装Office的组策略管理模板文件1.
从Microsoft下载中心下载适用于Office的管理模板文件(.
admx/.
adml).
2.
在目录管理WorkSpace或加入您的WorkSpaces目录AmazonEC2的实例上,导航到域的共享网络文件夹.
此文件夹将具有您组织的完全限定域名(FQDN),例如\\example.
com.
在Windows文件资源管理器中,转到网络>FQDN.
3.
打开SYSVOL文件夹.
4.
打开名为的文件夹FQDN.
5.
打开Policies文件夹.
您现在应该位于中\\FQDN\SYSVOL\FQDN\Policies.
6.
如果尚不存在,请创建一个名为的文件夹PolicyDefinitions.
7.
打开PolicyDefinitions文件夹.
8.
将office16.
admx文件复制到\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions文件夹中.
9.
在文件夹中创建一个名为en-US的PolicyDefinitions文件夹.
10.
打开en-US文件夹.
11.
将office16.
adml文件复制到\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\en-US文件夹中.
为Office配置GPO语言设置1.
在目录管理WorkSpace或加入WorkSpaces目录AmazonEC2的实例上,打开组策略管理工具(gpmc.
msc).
2.
展开林(林:FQDN).
3.
展开Domains(域).
4.
展开FQDN(例如example.
com,).
5.
选择您的FQDN,打开上下文(右键单击)菜单或打开Action(操作)菜单,然后选择CreateaGPOinthisdomain(在此域中创建GPO),然后在此处链接它.
6.
命名您的GPO(例如Office,).
7.
选择您的GPO,打开上下文(右键单击)菜单或打开Action(操作)菜单,然后选择Edit(编辑).
8.
在组策略管理编辑器中,依次选择用户配置、策略、从本地计算机检索的管理模板策略定义(DMX文件)、MicrosoftOffice2016和语言首选项.
NoteOffice2016和Office2019使用相同的GPO设置(使用Office2016标记).
如果您未从本地计算机的UserConfiguration(用户配置)、Policys(策略)下看到从中检索到管理模板策略定义(ADMX文件),则office16.
admx和office16.
adml文件未正确安装在您的域控制器上.
129AmazonWorkSpaces管理指南将MicrosoftOffice添加到BYOL映像9.
在LanguagePreferences(语言首选项)下,指定您希望用于以下设置的语言.
请确保将每个设置设置为Enabled(已启用),然后在Options(选项)下选择所需的语言.
选择OK(确定)以保存每个设置.
DisplayLanguage>Displayhelpin(显示语言>中的显示帮助)DisplayLanguage>显示中的菜单和对话框编辑语言>主要编辑语言10.
完成后关闭组策略管理工具.
11.
组策略设置更改将在WorkSpace的下一次组策略更新之后和WorkSpace会话重新启动之后生效.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后依次选择Actions(操作)、RebootWorkSpaces(重启WorkSpace)).
从管理命令提示符下,输入gpupdate/force.
选项3:更新WorkSpaces上的Office语言注册表设置要通过注册表设置Office语言设置,请更新以下注册表设置:HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Office\\16.
0\\Common\\LanguageResources\\UILanguageHKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Office\\16.
0\\Common\\LanguageResources\\HelpLanguage对于这些设置,请使用相应的OfficelocalID(LCID)添加DWORD键值.
例如,适用于英语(美国)的CLUD为1033.
由于LCIDs是小数值,因此您必须将DWORD值的Base选项设置为Decimal.
有关OfficeLCIDs的列表,请参阅Microsoft文档中的Office2016中的Languageidentifiers和OptionStateId值.
您可以通过GPO设置或登录脚本将这些注册表设置应用于WorkSpaces.
有关使用Office的语言设置的更多信息,请参阅Microsoft文档中的自定义Office的语言设置和设置.
向现有BYOLWorkSpaces添加Office您还可以将Office订阅添加到现有BYOLWorkSpaces.
在创建已安装Office的BYOL服务包后,您可以使用WorkSpaces迁移功能将现有BYOLWorkSpaces迁移到订阅Office的BYOL服务包.
有关更多信息,请参阅迁移WorkSpace(p.
105).
在MicrosoftOffice版本之间迁移要从Office2016迁移到Office2019或从Office2019迁移到Office2016,您必须创建一个BYOL服务包,该服务包订阅您要迁移到的Office版本.
然后,您使用WorkSpaces迁移功能将订阅Office的现有BYOLWorkSpaces迁移到订阅您要迁移到的Office版本的BYOL服务包.
例如,要从Office2016迁移到Office2019,请创建一个订阅Office2019的BYOL服务包.
然后,使用WorkSpaces迁移功能将订阅Office2016的现有BYOLWorkSpaces迁移到订阅Office2019的BYOL服务包.
有关迁移过程的更多信息,请参阅迁移WorkSpace(p.
105).
从Office取消订阅要取消订阅Office,您必须创建一个未订阅Office的BYOL服务包.
然后,使用WorkSpaces迁移功能将现有BYOLWorkSpaces迁移到未订阅Office的BYOL服务包.
有关更多信息,请参阅迁移WorkSpace(p.
105).
130AmazonWorkSpaces管理指南步骤1:使用AmazonWorkSpaces控制台为您的账户启用BYOLOffice更新如果您已通过AWS订阅Office,则Office更新将作为常规Windows更新的一部分包含在内.
要使所有安全补丁和更新保持最新状态,我们建议您定期更新BYOL基本映像.
步骤1:使用AmazonWorkSpaces控制台为您的账户启用BYOL要为您的账户启用BYOL,必须指定一个管理网络接口.
此接口已连接到安全的AmazonWorkSpaces管理网络.
它用于将WorkSpace桌面以交互方式流式传输到AmazonWorkSpaces客户端,并允许AmazonWorkSpaces管理WorkSpace.
Note此过程中为账户启用BYOL的步骤只需在每个区域为每个账户执行一次.
使用AmazonWorkSpaces控制台为账户启用BYOL1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择AccountSettings(账户设置).
如果您的账户当前不符合BYOL的条件,将有一条消息提供后续步骤的指导.
3.
在BringYourOwnLicense(BYOL)(自带许可(BYOL))下的ManagementnetworkinterfaceIPaddressrange(管理网络接口IP地址范围)区域中,选择IP地址范围,然后选择DisplayavailableCIDRblocks(显示可用的CIDR块).
AmazonWorkSpaces将在您指定的范围内搜索可用的IP地址范围并将其显示为IPv4无类别域间路由(CIDR)块.
如果您需要特定IP地址范围,可以编辑搜索范围.
Important指定IP地址范围后,您不能对其进行修改.
请务必指定与您内部网络使用的范围不冲突的IP地址范围.
如果您对指定哪个范围有任何疑问,请在继续操作之前联系您的AWS客户经理或销售代表,或联系AWSSupportCenter.
4.
从结果列表中选择所需的CIDR块,然后选择EnableBYOL(启用BYOL).
此过程可能耗时数小时.
当AmazonWorkSpaces为您的账户启用BYOL时,请继续执行下一步.
步骤2:在WindowsVM上运行BYOL检查程序PowerShell脚本为您的账户启用BYOL后,您必须确认您的VM满足BYOL的要求.
要执行此操作,请执行以下步骤来下载并运行AmazonWorkSpacesBYOL检查程序PowerShell脚本.
该脚本将对您计划用于创建映像的VM执行一系列测试.
ImportantVM必须先通过所有测试,然后您才能将其用于BYOL.
下载BYOL检查程序脚本在下载并运行BYOL检查程序脚本之前,请验证是否在VM上安装了最新的Windows安全更新.
此脚本在运行时会禁用Windows更新服务.
1.
从https://tools.
amazonworkspaces.
awsapps.
cn/BYOLChecker.
zip将BYOL检查程序脚本.
zip文件下载到您的Downloads文件夹.
2.
在Downloads文件夹中,创建一个BYOL文件夹.
131AmazonWorkSpaces管理指南步骤3:将VM从虚拟化环境中导出3.
从BYOLChecker.
zip中提取文件并将其复制到Downloads\BYOL文件夹.
4.
删除Downloads\BYOLChecker.
zip文件夹,以便仅保留提取的文件.
执行以下步骤以运行BYOL检查程序脚本.
运行BYOL检查程序脚本1.
在Windows桌面上,打开WindowsPowerShell.
选择WindowsStart按钮,右键单击WindowsPowerShell,然后选择Runasadministrator(以管理员身份运行).
如果用户账户控制提示您选择是否希望PowerShell更改您的设备,请选择Yes(是).
2.
在PowerShell命令提示符处,转至BYOL检查程序脚本所在的目录.
例如,如果脚本位于Downloads\BYOL目录中,请输入以下命令并按Enter:cdC:\Users\username\Downloads\BYOL3.
输入以下命令以在计算机上更新PowerShell执行策略.
这样做将允许BYOL检查程序脚本运行:Set-ExecutionPolicyUnrestricted4.
当系统提示您确认是否要更改PowerShell执行策略时,请输入A以便为所有项指定"Yes(是)".
5.
输入以下命令以运行BYOL检查程序脚本:.
\BYOLChecker.
ps16.
如果有安全通知出现,请按R键以运行一次.
7.
在AmazonWorkSpacesImageValidation(AmazonWorkSpaces映像验证)对话框中,选择BeginTests(开始测试).
8.
每个测试完成后,您都可以查看测试的状态.
对于状态为FAILED(失败)的任何测试,请选择Info(信息)以显示有关如何解决导致失败的问题的信息.
如果任何测试显示了状态WARNING(警告),请选择FixAllWarnings(修复所有警告)按钮.
9.
适当时,请解决导致测试故障和警告的任何问题,然后重复Step7(p.
132)和Step8(p.
132),直到VM通过所有测试.
您在导出VM之前必须解决所有故障和警告.
10.
BYOL脚本检查程序将生成两个日志文件:BYOLPrevalidationlogYYYY-MM-DD_HHmmss.
txt和ImageInfo.
text.
这两个文件位于BYOL检查程序脚本文件所在的目录中.
Tip请勿删除这些文件.
出现问题时,它们可能有助于解决问题.
11.
如果您的VM通过了所有测试,您将收到ValidationSuccessful(验证成功)消息.
检查该工具中显示的VM区域设置.
要更新区域设置,请遵循Microsoft文档中的这些说明,然后再次运行BYOL检查程序脚本.
12.
关闭VM并创建它的快照.
13.
再次启动VM.
选择RunSysprep(运行Sysprep).
如果Sysprep成功,您在Step12(p.
132)之后导出的VM可以导入到AmazonElasticComputeCloud(AmazonEC2)中.
否则,请查看Sysprep日志,回滚到Step12(p.
132)中拍摄的快照,解决报告的问题,拍摄新的快照,然后再次运行BYOL检查程序脚本.
Sysprep失败的最常见原因是未针对所有用户卸载现代AppX程序包.
使用Remove-AppxPackagePowerShellcmdlet删除AppX程序包.
14.
成功创建映像后,您可以删除WorkSpaces_BYOL账户.
步骤3:将VM从虚拟化环境中导出要为BYOL创建映像,您必须先将VM从虚拟化环境中导出.
VM必须位于最大大小为70GB且可用空间至少为10GB的单个卷上.
有关更多信息,请参阅VMImport/Export用户指南中的虚拟化环境的文档和从虚拟化环境中导出VM.
132AmazonWorkSpaces管理指南步骤4:将VM作为映像导入AmazonEC2步骤4:将VM作为映像导入AmazonEC2在导出VM后,请查看从VM导入Windows操作系统的要求.
根据需要执行操作.
有关更多信息,请参阅VMImport/Export要求.
Note不支持导入带有加密磁盘的VM.
如果您已为AmazonElasticBlockStore(AmazonEBS)卷选择默认加密,则必须在导入VM之前取消选择该选项.
将VM作为Amazon系统映像(AMI)导入AmazonEC2.
使用以下方法之一:将import-image命令与结合使用AWSCLI.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/cli/latest/reference/ec2/import-image.
htmlAWSCLICommandReferenceimport-image.
使用ImportImageAPI操作.
有关更多信息,请参阅中的https://docs.
amazonaws.
cn/AWSEC2/latest/APIReference/API_ImportImage.
htmlAmazonEC2APIReferenceImportImage.
有关更多信息,请参阅VMImport/Export用户指南中的将VM作为映像导入.
步骤5:使用AmazonWorkSpaces控制台创建BYOL映像执行以下步骤以创建AmazonWorkSpacesBYOL映像.
Note要执行此过程,请验证您具有AWSIdentityandAccessManagement(IAM)权限以:调用AmazonWorkSpacesImportWorkspaceImage.
对要用于创建BYOL映像的AmazonEC2映像调用DescribeImagesAmazonEC2.
对要用于创建BYOL映像的AmazonEC2映像调用ModifyImageAttributeAmazonEC2.
确保AmazonEC2映像上的启动权限不受限制.
在整个BYOL映像创建过程中,映像必须可共享.
有关特定于BYOLWorkSpaces的示例IAM策略,请参阅适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153).
有关使用IAM权限的更多信息,请参阅中的IAM更改用户的权限IAM用户指南.
要从映像创建Graphics或GraphicsPro捆绑包,请联系AWSSupportCenter以将您的账户添加到允许列表.
当您的账户位于允许列表之后,就可以使用AWSCLIimport-workspace-image命令来提取Graphics或GraphicsPro映像.
有关更多信息,请参阅中的import-workspace-imageAWSCLICommandReference.
从WindowsVM创建映像1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Images.
3.
依次选择Actions(操作)和CreateBYOLImage(创建BYOL映像).
4.
在CreateBYOLImage(创建BYOL映像)对话框中,执行以下操作:对于AMIID,单击EC2Console(EC2控制台)链接,然后选择您按照上一节()AmazonEC2中所述导入的步骤4:将VM作为映像导入AmazonEC2(p.
133)映像.
映像名称必须以ami-开头并后跟AMI的标识符(例如,ami-1234567e).
对于BYOLimagename(BYOL映像名称),请输入映像的唯一名称.
133AmazonWorkSpaces管理指南步骤6:从BYOL映像创建自定义捆绑包对于Imagedescription(映像描述),请输入一个描述以帮助您快速识别映像.
对于Ingestionprocess(提取过程),根据要用于映像的协议,选择适当的捆绑包类型(Regular(常规)、Graphics(图形)或GraphicsPro(GraphicsPro)),即PCoIP或WorkSpacesStreamingProtocol(WSP)(WorkSpaces流式处理协议(WSP)).
对于未启用GPU的捆绑包(Graphics或GraphicSpro以外的捆绑包),请选择Regular(常规).
(可选)对于Applications(应用程序),选择要订阅的MicrosoftOffice版本.
有关更多信息,请参阅将MicrosoftOffice添加到BYOL映像(p.
128).
5.
选择创建.
创建映像时,控制台的映像注册表中的映像状态将显示为Pending(待处理).
BYOL提取过程至少需要90分钟.
如果您还订阅了Office,则预计该过程至少需要3小时.
如果映像验证不成功,控制台将显示一条错误代码.
当映像创建完成时,状态将更改为Available(可用).
步骤6:从BYOL映像创建自定义捆绑包创建BYOL映像后,您可以使用该映像创建一个自定义捆绑包.
有关信息,请参阅创建自定义WorkSpace映像和服务包(p.
110).
步骤7:为专用WorkSpaces注册目录要对WorkSpaces使用BYOL映像,您必须专门注册一个目录.
为此,请执行以下步骤.
为专用WorkSpaces注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择Directories.
3.
选择目录,然后依次选择Actions(操作)和Register(注册).
4.
在Registerdirectory(注册目录)对话框中,对于EnableDedicatedWorkSpaces(启用专用WorkSpaces),选择Yes(是).
5.
选择Register.
如果您已AWSManagedMicrosoftAD为不在专用硬件上运行的WorkSpaces注册ADConnector目录或目录,则可以设置新AWSManagedMicrosoftAD目录或ADConnector目录以实现此目的.
您也可以取消注册该目录,然后将其注册为专用WorkSpaces的目录.
为此,请执行以下步骤.
Note仅当没有该目录关联的WorkSpaces时,您才能执行此过程.
为专用WorkSpaces取消注册并重新注册目录1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
终止现有WorkSpaces.
3.
在导航窗格中,选择Directories.
4.
选择目录,然后选择Actions、Deregister.
5.
当系统提示您确认时,选择Deregister.
6.
再次选择目录,然后依次选择Actions(操作)和Register(注册).
7.
在Registerdirectory(注册目录)对话框中,对于EnableDedicatedWorkSpaces(启用专用WorkSpaces),选择Yes(是).
8.
选择Register.
134AmazonWorkSpaces管理指南步骤8:启动BYOLWorkSpace步骤8:启动BYOLWorkSpace为专用WorkSpaces注册目录后,您可以在此目录中启动BYOLWorkSpaces.
有关如何启动WorkSpaces的信息,请参阅使用AmazonWorkSpaces启动虚拟桌面(p.
52).
135AmazonWorkSpaces管理指南使用CloudWatch指标监控监控您的WorkSpaces您可以使用以下功能监控您的WorkSpaces.
CloudWatch指标AmazonWorkSpaces将数据点发布到有关您的WorkSpaces的AmazonCloudWatch.
利用CloudWatch,您可以按一组有序的时间序列数据(称为指标)来检索关于这些数据点的统计数据.
您可使用这些指标来验证您的WorkSpaces是否按预期运行.
有关更多信息,请参阅使用CloudWatch指标监控您的WorkSpaces(p.
136).
CloudWatchEventsAmazonWorkSpaces可以在用户登录您的WorkSpace时将事件提交到AmazonCloudWatchEvents.
这使您能够在事件发生时进行响应.
有关更多信息,请参阅使用CloudWatchEvents监控您的WorkSpaces(p.
139).
CloudTrail日志AWSCloudTrail提供用户、角色或AWS服务在AmazonWorkSpaces中执行的操作记录.
通过使用CloudTrail收集的信息,您可以确定向AmazonWorkSpaces发出了什么请求、发出请求的IP地址、何人发出的请求、请求的发出时间以及其他详细信息.
有关更多信息,请参阅使用AmazonWorkSpaces记录CloudTrailAPI调用.
使用CloudWatch指标监控您的WorkSpacesAmazonWorkSpaces和AmazonCloudWatch均为集成式,因此您可收集并分析性能指标.
您可以使用CloudWatch控制台、CloudWatch命令行界面或者以编程方式使用CloudWatchAPI来监控这些指标.
您还可以使用CloudWatch设置警报,让系统在达到某指标的指定阈值时提醒您.
有关更多使用CloudWatch和警报的信息,参阅AmazonCloudWatch用户指南.
PrerequisitesTogetCloudWatchmetrics,enableaccessonport443ontheAMAZONsubsetinthecn-northwest-1Region.
有关更多信息,请参阅AmazonWorkSpaces的IP地址和端口要求(p.
16).
目录AmazonWorkSpaces指标(p.
136)AmazonWorkSpaces指标的维度(p.
138)监控示例(p.
138)AmazonWorkSpaces指标AWS/WorkSpaces命名空间包括以下指标.
指标描述维度可用统计数据单位Available1返回正常运行状态的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数136AmazonWorkSpaces管理指南AmazonWorkSpaces指标指标描述维度可用统计数据单位Unhealthy1返回不正常运行状态的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数ConnectionAttempt2,5连接尝试次数.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数ConnectionSuccess2,5成功连接的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数ConnectionFailure2,5失败连接的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数SessionLaunchTime2发起WorkSpaces会话所用的时间量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples秒(时间)InSessionLatency2WorkSpaces客户端和WorkSpace之间的往返操作时间.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples毫秒(时间)SessionDisconnect2已关闭的连接数,包括用户启动的和失败的连接.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数UserConnected3用户已连接的WorkSpaces数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数Stopped已停止的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数Maintenance4正在维护的WorkSpaces的数量.
DirectoryIdWorkspaceIdAverage、Sum、Maximum、Minimum、DataSamples计数1AmazonWorkSpacesperiodicallysendsstatusrequeststoaWorkSpace.
响应这些请求的WorkSpace标记为Available,不响应这些请求的WorkSpace标记为Unhealthy.
这些指标以WorkSpace为粒度提供,并且对一个组织内的所有WorkSpace进行汇总.
2AmazonWorkSpacesrecordsmetricsonconnectionsmadetoeachWorkSpace.
在用户成功通过WorkSpaces客户端进行身份验证并且客户端启动会话后,会发出这些指标.
这些指标以WorkSpace为粒度提供,并且对一个目录内的所有WorkSpaces进行汇总.
3AmazonWorkSpacesperiodicallysendsconnectionstatusrequeststoaWorkSpace.
当用户正在主动使用他们的会话时,他们被报告为已连接.
此指标以WorkSpace为粒度提供,并且对组织内的所有WorkSpaces进行汇总.
4此指标适用于以AutoStop运行模式配置的WorkSpaces.
如果您已为您的WorkSpaces启用了维护,则此指标捕获当前正在维护的WorkSpaces数量.
此指标以WorkSpace为粒度提供,描述WorkSpace何时进入维护,以及何时移除.
5ThismetriciscurrentlyemittedonlyforPCoIPWorkSpaces.
137AmazonWorkSpaces管理指南AmazonWorkSpaces指标的维度AmazonWorkSpaces指标的维度要筛选指标数据,请使用以下维度.
维度描述DirectoryId筛选指标数据,限定为指定目录中的WorkSpaces.
目录ID的形式为d-XXXXXXXXXX.
WorkspaceId筛选指标数据,限定为指定的WorkSpace.
WorkspaceID的形式为ws-XXXXXXXXXX.
监控示例以下示例展示了如何使用AWSCLI响应CloudWatch警报,以及如何确定目录中的哪些WorkSpace遇到了连接故障.
响应CloudWatch警报1.
使用describe-alarms命令确定警报适用于哪个目录.
awscloudwatchdescribe-alarms--state-value"ALARM"{"MetricAlarms":[{.
.
.
"Dimensions":[{"Name":"DirectoryId","Value":"directory_id"}],.
.
.
}]}2.
使用describe-workspaces命令获取指定目录中的WorkSpace列表.
awsworkspacesdescribe-workspaces--directory-iddirectory_id{"Workspaces":[{.
.
.
"WorkspaceId":"workspace1_id",.
.
.
},{.
.
.
"WorkspaceId":"workspace2_id",.
.
.
},{.
.
.
"WorkspaceId":"workspace3_id",138AmazonWorkSpaces管理指南使用CloudWatchEvents监控.
.
.
}]}3.
使用CloudWatchget-metric-statistics命令获取目录中每个WorkSpace的指标.
awscloudwatchget-metric-statistics\--namespaceAWS/WorkSpaces\--metric-nameConnectionFailure\--start-time2015-04-27T00:00:00Z\--end-time2015-04-28T00:00:00Z\--period3600\--statisticsSum\--dimensions"Name=WorkspaceId,Value=workspace_id"{"Datapoints":[{"Timestamp":"2015-04-27T00:18:00Z","Sum":1.
0,"Unit":"Count"},{"Timestamp":"2014-04-27T01:18:00Z","Sum":0.
0,"Unit":"Count"}],"Label":"ConnectionFailure"}使用CloudWatchEvents监控您的WorkSpaces您可以使用AmazonCloudWatchEvents中的事件查看、搜索、下载、存档、分析和响应对您的WorkSpace的成功登录.
例如,您可以将事件用于以下目的:将WorkSpaces登录事件存储或存档为日志以供日后参考,分析日志以查找模式,并根据这些模式采取措施.
使用WANIP地址确定用户登录的位置,然后使用策略允许用户仅访问WorkSpace中符合在CloudWatch事件类型WorkSpacesAccess中找到的访问条件的文件或数据.
分析几乎实时提供的登录数据,并使用AWSLambda执行自动化操作.
使用策略控制阻止未经授权的IP地址访问文件和应用程序.
有关事件的更多信息,请参阅AmazonCloudWatchEvents用户指南.
WorkSpaces事件AmazonWorkSpaces客户端应用程序在用户成功登录WorkSpace时将WorkSpacesAccess事件发送到CloudWatchEvents.
所有AmazonWorkSpaces客户端都发送这些事件.
NoteEventsareemittedonabest-effortbasis.
事件表示为JSON对象.
以下是WorkSpacesAccess事件的示例数据.
139AmazonWorkSpaces管理指南WorkSpaces事件{"version":"0","id":"64ca0eda-9751-dc55-c41a-1bd50b4fc9b7","detail-type":"WorkSpacesAccess","source":"aws.
workspaces","account":"123456789012","time":"2018-07-01T17:53:06Z","region":"us-east-1","resources":[],"detail":{"clientIpAddress":"192.
0.
2.
3","actionType":"successfulLogin","workspacesClientProductName":"WorkSpacesDesktopclient","loginTime":"2018-07-01T17:52:51.
595Z","clientPlatform":"Windows","directoryId":"domain/d-123456789","workspaceId":"ws-xyskdga"}}特定于事件的字段clientIpAddress客户端应用程序的WANIP地址.
对于PCoIP零客户端,这是Teradici身份验证客户端的IP地址.
actionType此值始终为successfulLogin.
workspacesClientProductNameThefollowingvaluesarecase-sensitive.
WorkSpacesDesktopclient—Windows、macOS和Linux客户端AmazonWorkSpacesMobileclient—iOS客户端WorkSpacesMobileClient—Android客户端WorkSpacesWebClient—WebAccess客户端TeradiciPCoIPZeroClient,TeradiciPCoIPDesktopClient,orDellWysePCoIPClient—零客户端loginTime登录WorkSpace的时间.
clientPlatformAndroidiOSLinuxOSXWindowsTeradiciPCoIPZeroClientandTera2WebdirectoryIdWorkSpace的目录的标识符.
Youmustprependthedirectoryidentifierwithdomain/.
Forexample,"domain/d-123456789".
workspaceIdWorkSpace的标识符.
140AmazonWorkSpaces管理指南创建一个规则来处理WorkSpaces事件创建一个规则来处理WorkSpaces事件使用以下过程创建一个CloudWatchEvents规则来处理WorkSpaces事件.
创建一个规则来处理WorkSpaces事件1.
通过以下网址打开CloudWatch控制台:https://console.
amazonaws.
cn/cloudwatch/.
2.
在导航窗格中,选择Events.
3.
选择Createrule(创建规则).
4.
对于EventSource,执行以下操作:a.
选择EventPattern(事件模式)和Buildeventpatterntomatcheventsbyservice(生成事件模式以按服务匹配事件)(默认值).
b.
对于ServiceName(服务名称),选择WorkSpaces.
c.
对于EventType(事件类型),选择WorkSpacesAccess(WorkSpaces访问).
5.
对于Targets(目标),选择Addtarget(添加目标),然后选择当检测到WorkSpaces事件时要执行的服务.
提供此服务所需的任何信息.
6.
选择Configuredetails.
对于Ruledefinition(规则定义),输入名称和描述.
7.
选择Createrule(创建规则).
141AmazonWorkSpaces管理指南跨区域重定向业务持续性AmazonWorkSpacesAmazonWorkSpaces构建于AWS全球基础设施,其组织成AWS区域和可用区.
这些区域和可用区在物理隔离和数据冗余方面提供了弹性.
有关更多信息,请参阅中的弹性AmazonWorkSpaces(p.
161).
AmazonWorkSpaces还提供跨区域重定向功能,该功能可与您的域名系统(DNS)路由策略一起使用,以便在主要工作区不可用时将您的工作区用户重定向到其他工作区.
例如,通过使用DNS故障转移路由策略,您可以将用户连接到指定故障转移区域中的WorkSpaces,因为他们无法访问主区域中的WorkSpaces.
您可以使用跨区域重定向来实现区域弹性和高可用性.
您还可以将其用于其他目的,如流量分布或在维护期间提供备用工作空间.
如果您使用AmazonRoute53对于DNS配置,您可以利用监控的运行状况检查AmazonCloudWatch警报.
内容的跨区域重定向AmazonWorkSpaces(p.
142)的跨区域重定向AmazonWorkSpaces利用中的跨区域重定向功能AmazonWorkSpaces,您可以使用完全限定域名(FQDN)作为的注册代码WorkSpaces.
跨区域重定向将与您的域名系统(DNS)路由策略一起使用,以在用户的主节点WorkSpaces不可用WorkSpaces时将WorkSpaces用户重定向到备用节点.
例如,通过使用DNS故障转移路由策略,您可以在用户无法访问WorkSpaces您指定的故障转移AWS区域中的用户时将其连接到WorkSpaces主区域中的这些用户.
您可以使用跨区域重定向以及DNS故障转移路由策略来实现区域弹性和高可用性.
您还可以将此功能用于其他目的,例如流量分配或在WorkSpaces维护期间提供备用功能.
如果您使用AmazonRoute53Route53进行DNS配置,则可以利用监控AmazonCloudWatch警报的运行状况检查.
要使用此功能,您必须WorkSpaces为两个(或更多)AWS区域中的用户设置.
您还必须创建称为连接别名的基于FQDN的特殊注册代码.
这些连接别名替换您的WorkSpaces用户的特定于区域的注册代码.
(特定于区域的注册代码保持有效;但是,要使跨区域重定向正常工作,您的用户必须改用FQDN作为其注册代码.
)要创建连接别名,请指定一个连接字符串,即FQDN,例如www.
example.
com或desktop.
example.
com.
要将此域用于跨区域重定向,您必须向域注册商注册此域并为域配置DNS服务.
创建连接别名后,您可以将它们与不同区域中的WorkSpaces目录关联,以创建关联对.
每个关联对都有一个主区域和一个或多个故障转移区域.
如果主区域中发生中断,您的DNS故障转移路由策略会将WorkSpaces用户重定向到WorkSpaces您在故障转移区域中为他们设置的.
要指定您的主区域和故障转移区域,您可以在配置DNS故障转移路由策略时定义区域优先级(主要或辅助).
目录Prerequisites(p.
143)Limitations(p.
144)步骤1:创建连接别名(p.
144)(可选)步骤2:与其他账户共享连接别名(p.
144)步骤3:将连接别名与每个区域中的目录关联(p.
145)142AmazonWorkSpaces管理指南Prerequisites步骤4:配置DNS服务并设置DNS路由策略(p.
146)步骤5:将连接字符串发送给WorkSpaces您的用户(p.
148)跨区域重定向过程中会发生什么(p.
149)取消连接别名与目录的关联(p.
149)取消共享连接别名(p.
149)删除连接别名(p.
150)用于关联和取消关联连接别名的IAM权限(p.
150)停止使用跨区域重定向时的安全注意事项(p.
151)Prerequisites您必须拥有并注册要用作连接别名中的FQDN的域.
如果您尚未使用其他域注册商,则可以使用AmazonRoute53注册您的域.
有关更多信息,请参阅AmazonRoute53中的使用注册域名AmazonRoute53开发人员指南.
Important您必须拥有所有必要的权限才能使用与结合使用的任何域名AmazonWorkSpaces.
您同意域名不会违反或侵犯任何第三方的合法权利,也不会违反适用的法律.
域名的总长度不能超过255个字符.
有关域名的更多信息,请参阅中的DNSAmazonRoute53开发人员指南域名格式.
跨区域重定向适用于私有DNS区域中的公有域名和域名.
如果您使用的是私有DNS区域,则必须提供到包含的VirtualPrivateCloud(VPC)的虚拟专用网络(VPN)连接WorkSpaces.
如果您的WorkSpaces用户尝试从公共Internet使用私有WorkSpacesFQDN,则客户端应用程序将返回以下错误消息:"We'reunabletoregistertheWorkSpacebecauseofaDNSserverissue.
Contactyouradministratorforhelp.
"您必须设置DNS服务并配置必要的DNS路由策略.
跨区域重定向将与您的DNS路由策略结合使用,以根据需要重定向您的WorkSpaces用户.
在要设置跨区域重定向的每个主区域和故障转移区域中WorkSpaces,为您的用户创建.
确保在每个WorkSpaces区域的每个目录中使用相同的用户名.
为了保持ActiveDirectory用户数据的同步,我们建议使用ADConnector指向您已WorkSpaces为用户设置的每个区域中的同一ActiveDirectory.
有关创建的更多信息WorkSpaces,请参阅启动WorkSpaces(p.
52).
Important如果您为多区域复制配置AWS了托管的MicrosoftAD目录,则只能注册主区域中的目录以用于AmazonWorkSpaces.
尝试在复制的区域中注册目录以便与结合使用AmazonWorkSpaces将失败.
不支持使用AWS托管MicrosoftAD的多区域复制在复制AmazonWorkSpaces的区域内用于.
完成设置跨区域重定向后,您必须确保您的WorkSpaces用户对其WSpdx+ABC12D主要区域使用基于FQDN的注册代码,而不是基于区域的注册代码(例如).
为此,您必须使用中的过程向他们发送包含FQDN连接字符串的电子邮件步骤5:将连接字符串发送给WorkSpaces您的用户(p.
148).
Note如果您在WorkSpaces控制台中创建用户,而不是在ActiveDirectory中创建用户,则每当您启动新的时,都会使用基于区域的注册代码WorkSpaces自动向用户发送邀请电子邮件WorkSpace.
这意味着,当您WorkSpaces为故障转移区域中的用户设置时,您的用户还会自动收到这些故障转移的电子邮件WorkSpaces.
您需要指示用户使用基于区域的注册代码忽略电子邮件.
143AmazonWorkSpaces管理指南LimitationsLimitations跨区域重定向不会自动检查与主区域的连接是否失败,然后将您的WorkSpaces故障转移到另一个区域.
换句话说,不会进行自动故障转移.
要实施自动故障转移方案,您必须将其他机制与跨区域重定向结合使用.
例如,您可以使用故障AmazonRoute53转移DNS路由策略,该策略与监控主区域中Route53的警报的CloudWatch运行状况检查配对.
如果触发主区域中的CloudWatch警报,则DNS故障转移路由策略会将WorkSpaces您的用户重定向到WorkSpaces您在故障转移区域中为他们设置的.
当您使用跨区域重定向时,不同WorkSpaces区域中的之间不会保留用户数据.
要确保用户可以从不同区域访问其文件,我们建议您AmazonWorkDocs为WorkSpaces用户设置(如果您的主区域和故障转移区域中支持AmazonWorkDocs).
有关的更多信息AmazonWorkDocs,请参阅中的AmazonWorkDocsAmazonWorkDocs管理指南Drive.
有关AmazonWorkDocs为您的WorkSpace用户启用的更多信息,请参阅向AmazonWorkSpaces注册目录(p.
40)和EnableAmazonWorkDocsforAWSManagedMicrosoftAD(p.
49).
有关WorkSpaces用户如何在其AmazonWorkDocs上设置的信息WorkSpaces,请参阅WorkDocs中的将AmazonWorkSpaces用户指南与集成.
仅Linux、macOS和WindowsWorkSpaces客户端应用程序的版本3.
0.
9或更高版本支持跨区域重定向.
跨区域重定向适用于所有提供AmazonWorkSpaces的AWS区域,但AWSGovCloud(美国西部)区域和除外中国(宁夏)区域.
步骤1:创建连接别名使用相同的AWS账户,在要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名.
创建连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择的主要AWS区域WorkSpaces.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirection(跨区域重定向)下,选择Createconnectionalias(创建连接别名).
5.
对于Connectionstring(连接字符串),输入FQDN,例如www.
example.
com或desktop.
example.
com.
连接字符串最多可包含255个字符.
它只能包含字母(A-Z和a-z)、数字(0-9和以下字符:.
-Important创建连接字符串后,它始终与AWS您的账户关联.
您不能使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除该账户的所有实例.
连接字符串全局为您的账户预留.
6.
(可选)在Tags(标签)下,指定要与连接别名关联的任何标签.
7.
选择Createconnectionalias(创建连接别名).
8.
重复这些步骤,但在中Step2(p.
144),请务必为选择故障转移区域WorkSpaces.
如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤.
请务必使用相同的AWS账户在每个故障转移区域中创建连接别名.
(可选)步骤2:与其他账户共享连接别名您可以与同一AWS区域中的另一个AWS账户共享连接别名.
与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联.
只有拥有连接别名的账户才能删除别名.
144AmazonWorkSpaces管理指南步骤3:将连接别名与每个区域中的目录关联Note对于每个AWS区域,只能将一个目录与连接别名关联.
如果您与其他AWS账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联.
与其他AWS账户共享连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择要与另一个AWS账户共享连接别名AWS的区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Share/unshareconnectionalias(共享/取消共享连接别名).
您还可以从连接别名的详细信息页面共享别名.
为此,请在Sharedaccount(共享账户)下,选择Shareconnectionalias(共享连接别名).
5.
在Share/unshareconnectionalias(共享/取消共享连接别名)页面上的Sharewithanaccount(与某个账户共享)下,输入您要与此AWS区域中的共享连接别名AWS的账户ID.
6.
选择Share.
步骤3:将连接别名与每个区域中的目录关联将同一连接别名与两个或更多区域中的WorkSpaces目录关联将在目录之间创建关联对.
每个关联对都有一个主区域和一个或多个故障转移区域.
例如,如果您的主区域是美国西部(俄勒冈)区域,则可以将中的WorkSpaces目录美国西部(俄勒冈)区域与中的WorkSpaces目录配对美国东部(弗吉尼亚北部)地区.
如果主区域中发生中断,则跨区域重定向将与您在上部署的DNS故障转移路由策略和任何运行状况检查结合使用美国西部(俄勒冈)区域,以将用户重定向到WorkSpaces您在中为他们设置的美国东部(弗吉尼亚北部)地区.
有关跨区域重定向体验的更多信息,请参阅跨区域重定向过程中会发生什么(p.
149).
Note如果您的WorkSpaces用户与故障转移区域相距较远(例如,几千英里远),则他们的WorkSpaces体验可能比平常不太响应.
要检查从您的位置到各个AWS区域的往返时间(RTT),请使用AmazonWorkSpaces连接运行状况检查.
将连接别名与目录关联对于每个AWS区域,只能将连接别名与一个目录关联.
如果您已与其他AWS账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联.
1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择的主要AWS区域WorkSpaces.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Associate/disassociate(关联/取消关联).
您还可以从连接别名的详细信息页面将连接别名与目录关联.
为此,请在Associateddirectory下,选择Associatedirectory.
5.
在Associate/disassociate页面上的Associatetoadirectory下,选择要在此AWS区域中将连接别名与关联的目录.
Note如果您为多区域复制配置AWS了托管的MicrosoftAD目录,则只有主区域中的目录可与一起使用AmazonWorkSpaces.
尝试在复制的区域中使用目录AmazonWorkSpaces将失败.
不支持使用AWS托管MicrosoftAD的多区域复制在复制AmazonWorkSpaces的区域内用于.
145AmazonWorkSpaces管理指南步骤4:配置DNS服务并设置DNS路由策略6.
选择Associate.
7.
重复这些步骤,但在中Step2(p.
145),请务必为选择故障转移区域WorkSpaces.
如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤.
请确保将相同的连接别名与每个故障转移区域中的目录关联.
步骤4:配置DNS服务并设置DNS路由策略创建连接别名和连接别名关联对后,您可以为连接字符串中使用的域配置DNS服务.
为此,您可以使用任何DNS服务提供商.
如果您还没有首选的DNS服务提供商,则可以使用AmazonRoute53.
有关更多信息,请参阅中的将AmazonRoute53Route53配置为您的DNSAmazonRoute53开发人员指南服务.
为您的域配置DNS服务后,您必须设置要用于跨区域重定向的DNS路由策略.
例如,您可以使用AmazonRoute53运行状况检查确定您的用户是否可以连接到特定WorkSpaces区域中的.
如果您的用户无法连接,您可以使用DNS故障转移策略将DNS流量从一个区域路由到另一个区域.
有关选择DNS路由策略的更多信息,请参阅中的https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/routing-policy.
html选择路由策略AmazonRoute53开发人员指南.
有关AmazonRoute53运行状况检查的更多信息,请参阅中的AmazonRoute53如何检查资源的运行状况AmazonRoute53开发人员指南.
在设置DNS路由策略时,您需要连接别名与主区域中的目录之间的关联的连接标识符WorkSpaces.
您还需要连接别名与故障转移区域中的WorkSpaces目录之间的关联的连接标识符.
Note连接标识符与连接别名ID不同.
连接别名ID以开头wsca-.
查找连接别名关联的连接标识符1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择的主要AWS区域WorkSpaces.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串文本(FQDN)以查看连接别名详细信息页面.
5.
在连接别名的详细信息页面上的Associateddirectory(关联目录)下,记下为Connectionidentifier(连接标识符)显示的值.
6.
重复这些步骤,但在中Step2(p.
146),请务必为选择故障转移区域WorkSpaces.
如果您有多个故障转移区域,请重复这些步骤以查找每个故障转移区域的连接标识符.
示例:使用Route5353设置DNS故障转移路由策略以下示例为您的域设置公有托管区域.
但是,您可以设置公有或私有托管区域.
有关设置托管区域的更多信息,请参阅中的https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/hosted-zones-working-with.
html使用托管区域AmazonRoute53开发人员指南.
此示例还使用故障转移路由策略.
您可以将其他路由策略类型用于跨区域重定向策略.
有关选择DNS路由策略的更多信息,请参阅中的https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/routing-policy.
html选择路由策略AmazonRoute53开发人员指南.
在RouteRoute53中设置故障转移路由策略时,需要对主区域进行运行状况检查.
有关在Route5353中创建运行状况检查的更多信息,请参阅中的创建AmazonAmazonRoute5353运行状况检查以及配置DNS故障转移和AmazonRoute53开发人员指南创建、更新和删除运行状况检查.
如果要将AmazonCloudWatch警报与RouteRoute53运行状况检查结合使用,您还需要设置CloudWatch警报来监控主区域中的资源.
有关的更多信息CloudWatch,请参阅中的什么是AmazonCloudWatchAmazonCloudWatch用户指南.
有关RouteRoute53如何在其运行状况检查中使用CloudWatch警报146AmazonWorkSpaces管理指南步骤4:配置DNS服务并设置DNS路由策略的更多信息,请参阅中的Route5353如何确定监控CloudWatch警报的运行状况检查的状态和监控CloudWatchAmazonRoute53开发人员指南警报.
要在Route5353中设置DNS故障转移路由策略,您首先需要为域创建一个托管区域.
1.
通过以下网址打开Route53控制台:https://console.
amazonaws.
cn/route53/.
2.
在导航窗格中,选择托管区域,然后选择创建托管区域.
3.
在Createdhostedzone(已创建托管区域)页面上,在example.
comDomainname(域名)下输入您的域名(例如).
4.
在Type(类型)下,选择Publichostedzone(公有托管区域).
5.
选择Createhostedzone(创建托管区域).
然后,为您的主区域创建运行状况检查.
1.
通过以下网址打开Route53控制台:https://console.
amazonaws.
cn/route53/.
2.
在导航窗格中,选择Healthchecks(运行状况检查),然后选择Createhealthcheck(创建运行状况检查).
3.
在Configurehealthcheck(配置运行状况检查)页面上,输入运行状况检查的名称.
4.
对于Whattomonitor(要监控的内容),选择Endpoint(终端节点)、Statusofotherhealthchecks(已计算的运行状况检查)或StateofalarmCloudWatch(警报状态).
5.
根据您在上一步中选择的内容,配置您的运行状况检查,然后选择Next(下一步).
6.
在Getnotificationwhenhealthcheckfails(在运行状况检查失败时收到通知)页面上,对于Createalarm(创建警报),选择Yes(是)或No(否).
7.
选择Createhealthcheck(创建运行状况检查).
创建运行状况检查后,您可以创建DNS故障转移记录.
1.
通过以下网址打开Route53控制台:https://console.
amazonaws.
cn/route53/.
2.
在导航窗格中,选择Hostedzones.
3.
在Hostedzones(托管区域)页面上,选择您的域名.
4.
在域名的详细信息页面上,选择Createrecord(创建记录).
5.
在Chooseroutingpolicy(选择路由策略)页面上,选择Failover(故障转移),然后选择Next(下一步).
6.
在Configurerecords(配置记录)页面上的Basicconfiguration(基本配置)下,对于Recordname(记录名称),输入您的子域名.
例如,如果您的FQDN为desktop.
example.
com,请输入desktop.
Note如果要使用根域,请将Recordname(记录名称)留空.
但是,我们建议使用子域,例如desktop或workspaces,除非您已专门设置该域以用于WorkSpaces.
7.
对于Recordtype(记录类型),选择TXT–用于验证电子邮件发件人和应用程序特定的值.
8.
将TTL秒设置保留为默认值.
9.
在Failoverrecordstoaddto(要添加到的故障转移记录)下your_domain_name,选择Definefailoverrecord(定义故障转移记录).
现在,您需要为主区域和故障转移区域设置故障转移记录.
示例:为主要区域设置故障转移记录1.
在Definefailoverrecord(定义故障转移记录)对话框中,对于Value/routetrafficto(值/路由流量),根据记录类型选择IP地址或其他值.
147AmazonWorkSpaces管理指南步骤5:将连接字符串发送给WorkSpaces您的用户2.
此时会打开一个框,以便您输入示例文本条目.
输入主区域的连接别名关联的连接标识符.
3.
对于Failoverrecordtype(故障转移记录类型),选择Primary(主节点).
4.
对于Healthcheck(运行状况检查),选择您为主区域创建的运行状况检查.
5.
对于RecordID(记录ID),输入描述以标识此记录.
6.
选择Definefailoverrecord(定义故障转移记录).
您的新故障转移记录将显示在要添加到的故障转移记录下your_domain_name.
示例:为故障转移区域设置故障转移记录1.
在Failoverrecordstoaddto(要添加到的故障转移记录)下your_domain_name,选择Definefailoverrecord(定义故障转移记录).
2.
在Definefailoverrecord(定义故障转移记录)对话框中,对于Value/routetrafficto(值/路由流量),根据记录类型选择IP地址或其他值.
3.
此时会打开一个框,以便您输入示例文本条目.
输入故障转移区域的连接别名关联的连接标识符.
4.
对于Failoverrecordtype(故障转移记录类型),选择Secondary(辅助).
5.
(可选)对于Healthcheck(运行状况检查),输入您为故障转移区域创建的运行状况检查.
6.
对于RecordID(记录ID),输入描述以标识此记录.
7.
选择Definefailoverrecord(定义故障转移记录).
您的新故障转移记录将显示在要添加到的故障转移记录下your_domain_name.
如果您为主区域设置的运行状况检查失败,则DNS故障转移路由策略会将WorkSpaces您的用户重定向到故障转移区域.
Route5353继续监控主区域的运行状况检查,当主区域的运行状况检查不再失败时Route5353会自动将WorkSpaces用户重定向回主区域中WorkSpaces的.
有关创建DNS记录的更多信息,请参阅中的使用AmazonRoute53Route53https://docs.
amazonaws.
cn/Route53/latest/DeveloperGuide/resource-record-sets-creating.
html控制台AmazonRoute53开发人员指南创建记录.
有关配置DNSTXT记录的更多信息,请参阅中的TXTAmazonRoute53开发人员指南记录类型.
步骤5:将连接字符串发送给WorkSpaces您的用户要确保在中断期间根据需要WorkSpaces重定向您的用户,您必须将连接字符串(FQDN)发送给用户.
如果您已WSpdx+ABC12D向用户发布基于区域的注册代码(例如,WorkSpaces),这些代码将保持有效.
但是,要使跨区域重定向正常工作,您的WorkSpaces用户在WorkSpacesWorkSpaces客户端应用程序中注册时必须使用连接字符串作为注册代码.
Important如果您在WorkSpaces控制台中创建用户,而不是在ActiveDirectory中创建用户,则每当您启动新的时,都会使用基于区域的注册代码(例如WorkSpaces,)WSpdx+ABC12D自动向用户发送邀请电子邮件WorkSpace.
即使您已设置跨区域重定向,自动为发送的邀请电子邮件WorkSpaces也会包含此基于区域的注册代码,而不是您的连接字符串.
要确保您的WorkSpaces用户使用的是连接字符串而不是基于区域的注册代码,您必须使用以下过程向这些用户发送另一封连接字符串电子邮件.
将连接字符串发送给WorkSpaces用户1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择的主要AWS区域WorkSpaces.
3.
在导航窗格中,选择WorkSpaces.
4.
在WorkSpaces页面上,使用搜索框搜索要向其发送邀请的用户,然后从WorkSpace搜索结果中选择相应的用户.
WorkSpace一次只能选择一个.
5.
依次选择Actions(操作)和InviteUser(邀请用户).
148AmazonWorkSpaces管理指南跨区域重定向过程中会发生什么6.
在InviteUserstotheir(邀请用户加入其)WorkSpaces页面上,您将看到要发送给用户的电子邮件模板.
7.
(可选)如果有多个连接别名与您的WorkSpaces目录关联,请从Connectionaliasstring(连接别名字符串)列表中选择您希望用户使用的连接字符串.
电子邮件模板将更新以显示您选择的字符串.
8.
使用您自己的电子邮件应用程序,复制电子邮件模板文本并将其粘贴到发送给用户的电子邮件中.
在您的电子邮件应用程序中,您可以根据需要修改文本.
准备好邀请电子邮件后,将其发送给您的用户.
跨区域重定向过程中会发生什么如果出现中断,您的WorkSpaces用户将与主区域中WorkSpaces的断开.
当他们尝试重新连接时,会收到以下错误消息:Wecan'tconnecttoyourWorkSpace.
Checkyournetworkconnection,andthentryagain.
然后,系统会提示用户再次登录.
如果用户使用FQDN作为其注册代码,则当他们再次登录时,您的DNS故障转移路由策略会将他们重定向到WorkSpaces您在故障转移区域中为他们设置的.
Note在某些情况下,用户可能无法在再次登录时重新连接.
如果发生此行为,则它们必须关闭并重新启动WorkSpaces客户端应用程序,然后尝试再次登录.
取消连接别名与目录的关联只有拥有目录的账户才能取消连接别名与目录的关联.
如果您已与其他账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该账户取消连接别名与目录的关联.
取消连接别名与目录的关联1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择要取消关联的连接别名所在的AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Associate/disassociate(关联/取消关联).
您还可以取消连接别名与连接别名详细信息页面的关联.
为此,请在Associateddirectory下,选择Disassociate.
5.
在Associate/disassociate页面上,选择Disassociate.
6.
在要求您确认取消关联的对话框中,选择Disassociate(取消关联).
取消共享连接别名只有连接别名的所有者才能取消共享别名.
如果您取消与某个账户的连接别名共享,则该账户将无法再将该连接别名与目录关联.
取消共享连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择要取消共享的连接别名所在的AWS区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
149AmazonWorkSpaces管理指南删除连接别名4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Actions(操作)、Share/unshareconnectionalias(共享/取消共享连接别名).
您还可以从连接别名详细信息页面取消共享连接别名.
为此,请在Sharedaccount(共享账户)下,选择Unshare(取消共享).
5.
在Share/unshareconnectionalias(共享/取消共享连接别名)页面上,选择Unshare(取消共享).
6.
在要求您确认取消共享连接别名的对话框中,选择Unshare(取消共享).
删除连接别名只有在连接别名归您的账户所有并且未与目录关联时,您才能删除连接别名.
如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先取消连接别名与该目录的关联,然后才能删除连接别名.
Important创建连接字符串后,它始终与您的AWS账户关联.
您不能使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除该账户的所有实例.
连接字符串全局为您的账户预留.
Warning如果您不再使用FQDN作为WorkSpaces用户的注册代码,则必须采取某些预防措施来防止潜在的安全问题.
有关更多信息,请参阅停止使用跨区域重定向时的安全注意事项(p.
151).
删除连接别名1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在控制台的右上角,选择包含要删除的连接别名AWS的区域.
3.
在导航窗格中,选择AccountSettings(账户设置).
4.
在Cross-Regionredirectionassociations(跨区域重定向关联)下,选择连接字符串,然后选择Delete(删除).
您还可以从连接别名详细信息页面删除连接别名.
为此,请选择页面右上角的Delete(删除).
Note如果Delete(删除)按钮处于禁用状态,请确保您是别名的所有者,并确保别名未与目录关联.
5.
在要求您确认删除的对话框中,选择Delete(删除).
用于关联和取消关联连接别名的IAM权限如果您使用IAM用户关联或取消关联连接别名,则该用户必须具有workspaces:AssociateConnectionAlias和的权限workspaces:DisassociateConnectionAlias.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:AssociateConnectionAlias","workspaces:DisassociateConnectionAlias"],150AmazonWorkSpaces管理指南停止使用跨区域重定向时的安全注意事项"Resource":["arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"]}]}Important如果要创建IAM策略来关联或取消关联不拥有连接别名的账户的连接别名,则无法在ARN中指定账户ID.
相反,您必须使用*作为账户ID,如以下示例策略中所示.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:AssociateConnectionAlias","workspaces:DisassociateConnectionAlias"],"Resource":["arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"]}]}仅当ARN中的账户拥有要关联或取消关联的连接别名时,才能在该ARN中指定账户ID.
有关使用IAM的更多信息,请参阅适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153).
停止使用跨区域重定向时的安全注意事项如果您不再使用FQDN作为WorkSpaces用户的注册代码,则必须采取以下预防措施来防止潜在的安全问题:请确保为您的WorkSpaces用户发布其WSpdx+ABC12D目录的特定于区域的注册代码(例如WorkSpaces,),并指示他们停止使用FQDN作为注册代码.
如果您仍拥有此域,请务必更新您的DNSTXT记录以删除此域,使其不会在网络钓鱼攻击中被利用.
如果您从DNSTXT记录中删除此域,并且您的WorkSpaces用户尝试使用FQDN作为其注册代码,则其连接尝试将无害地失败.
如果您不再拥有此域,您的WorkSpaces用户必须使用其特定于区域的注册代码.
如果它们继续尝试使用FQDN作为注册代码,则其连接尝试可能会重定向到恶意站点.
151AmazonWorkSpaces管理指南数据保护中的安全性AmazonWorkSpacesAWS的云安全性的优先级最高.
作为AWS客户,您将从专为满足大多数安全敏感型组织的要求而打造的数据中心和网络架构中受益.
安全性是AWS和您的共同责任.
责任共担模型责任共担模型责任共担模型将其描述为云的安全性和云中的安全性:云的安全性–AWS负责保护在AWS云中运行AWS服务的基础设施.
AWS还向您提供可安全使用的服务.
作为AWS合规性计划.
的一部分,第三方审计人员将定期测试和验证安全性的有效性.
要了解适用于AmazonWorkSpaces的合规性计划,请参阅合规性计划范围内的AWS服务.
云中的安全性–您的责任由您使用的AWS服务决定.
您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规.
该文档帮助您了解如何在使用时应用责任共担模型.
AmazonWorkSpaces.
其中说明如何配置AmazonWorkSpaces以实现您的安全性和合规性目标.
您还将了解如何使用其他AWS服务来帮助您监控和保护AmazonWorkSpaces资源.
目录中的数据保护AmazonWorkSpaces(p.
152)适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153)的合规性验证AmazonWorkSpaces(p.
160)中的弹性AmazonWorkSpaces(p.
161)中的基础设施安全性AmazonWorkSpaces(p.
161)中的更新管理AmazonWorkSpaces(p.
163)中的数据保护AmazonWorkSpacesAWS责任共担模式适用于AmazonWorkSpaces中的数据保护.
如该模式中所述,AWS负责保护运行所有AWS云的全球基础设施.
您负责维护对托管在此基础设施上的内容的控制.
此内容包括您所使用的AWS服务的安全配置和管理任务.
有关数据隐私的更多信息,请参阅数据隐私常见问题.
出于数据保护目的,我们建议您保护AWS账户凭证并使用AWSIdentityandAccessManagement(IAM)设置单独的用户账户.
这仅向每个用户授予履行其工作职责所需的权限.
我们还建议您通过以下方式保护您的数据:对每个账户使用Multi-FactorAuthentication(MFA).
使用SSL/TLS与AWS资源进行通信.
建议使用TLS1.
2或更高版本.
使用AWSCloudTrail设置API和用户活动日志记录.
使用AWS加密解决方案以及AWS服务中的所有默认安全控制.
使用高级托管安全服务(例如AmazonMacie),它有助于发现和保护存储在AmazonS3中的个人数据.
如果在通过命令行界面或API访问AWS时需要经过FIPS140-2验证的加密模块,请使用FIPS终端节点.
有关可用的FIPS终端节点的更多信息,请参阅美国联邦信息处理标准(FIPS)第140-2版.
我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如Name(名称)字段).
这包括使用控制台、API、AWSCLI或AWS开发工具包处理WorkSpaces或其他AWS服务时.
您152AmazonWorkSpaces管理指南静态加密输入到WorkSpaces或其他服务中的任何数据都可能被选取以包含在诊断日志中.
当您向外部服务器提供URL时,请勿在URL中包含凭证信息来验证您对该服务器的请求.
静态加密您可以使用WorkSpaces中的客户主密钥(CMK)加密AWSKeyManagementService的存储卷.
有关更多信息,请参阅加密的WorkSpace(p.
92).
当您创建使用加密卷的WorkSpaces时,AmazonWorkSpaces将使用AmazonElasticBlockStore(AmazonEBS)创建和管理这些卷.
EBS使用行业标准的AES-256算法通过数据密钥加密您的卷.
有关更多信息,请参阅https://docs.
amazonaws.
cn/AWSEC2/latest/UserGuide/EBSEncryption.
html中的AmazonEBS加密AmazonEC2用户指南(适用于Windows实例).
传输中加密对于PCoIP,传输中的数据使用TLS1.
2加密和SigV4请求签名进行加密.
协议使用加密UDP流量和AES加密来传输像素.
PCoIP对于WorkSpacesStreamingProtocol(WSP),传输中的数据的流式处理和控制是使用DTLS1.
2加密(针对UDP流量)和TLS1.
2加密(针对TCP流量)通过AES-256密码加密的.
适用于AmazonWorkSpaces的IdentityandAccessManagement默认情况下,IAM用户无权管理AmazonWorkSpaces资源和操作.
要允许IAM用户管理AmazonWorkSpaces资源,您必须创建一个IAM策略以明确向他们授予权限,并将该策略附加到需要这些权限的IAM用户或组.
有关IAM策略的更多信息,请参阅https://docs.
amazonaws.
cn/IAM/latest/UserGuide/access_policies.
html指南中的IAM用户指南策略和权限.
AmazonWorkSpaces还创建了一个IAM角色来允许AmazonWorkSpaces服务访问所需资源.
NoteAmazonWorkSpaces不支持将IAM凭证预置到工作区中(例如使用实例配置文件).
有关的更多信息IAM,请参阅IdentityandAccessManagement(IAM)和IAM用户指南.
您可以在中的AmazonWorkSpaces的操作、资源和条件键中找到在IAM权限策略中使用的AmazonWorkSpacesIAM用户指南特定资源、操作和条件上下文键.
有关可帮助您创建IAM策略的工具,请参阅AWS策略生成器.
您还可以使用IAMPolicySimulator测试策略是允许还是拒绝对AWS的特定请求.
Example1:执行所有AmazonWorkSpaces任务以下策略语句将授予IAM用户执行所有AmazonWorkSpaces任务的权限,包括创建和管理目录.
它还授予运行快速设置过程的权限.
注意,尽管在使用API和命令行工具时AmazonWorkSpaces完全支持Action和Resource元素,但您必须将它们都设置为"*"才能成功使用AmazonWorkSpaces控制台.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow",153AmazonWorkSpaces管理指南IdentityandAccessManagement"Action":["workspaces:*","ds:*","iam:PassRole","iam:GetRole","iam:CreateRole","iam:PutRolePolicy","kms:ListAliases","kms:ListKeys","ec2:CreateVpc","ec2:CreateSubnet","ec2:CreateNetworkInterface","ec2:CreateInternetGateway","ec2:CreateRouteTable","ec2:CreateRoute","ec2:CreateTags","ec2:CreateSecurityGroup","ec2:DescribeInternetGateways","ec2:DescribeSecurityGroups","ec2:DescribeRouteTables","ec2:DescribeVpcs","ec2:DescribeSubnets","ec2:DescribeNetworkInterfaces","ec2:DescribeAvailabilityZones","ec2:AttachInternetGateway","ec2:AssociateRouteTable","ec2:AuthorizeSecurityGroupEgress","ec2:AuthorizeSecurityGroupIngress","ec2:DeleteSecurityGroup","ec2:DeleteNetworkInterface","ec2:RevokeSecurityGroupEgress","ec2:RevokeSecurityGroupIngress","workdocs:RegisterDirectory","workdocs:DeregisterDirectory","workdocs:AddUserToGroup"],"Resource":"*"}]}Example2:执行WorkSpace特定任务以下策略语句将为IAM用户授予执行WorkSpace特定任务的权限,比如启动和删除WorkSpace.
在策略语句中,ds:*操作授予广泛的权限—这包括对账户中所有目录服务对象的完整控制权限.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","iam:PutRolePolicy"],"Resource":"*"}]}要同时授予用户在AmazonWorkDocs中为用户启用AmazonWorkSpaces的权限,请添加下例所示的workdocs操作.
154AmazonWorkSpaces管理指南IdentityandAccessManagement{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","workdocs:AddUserToGroup"],"Resource":"*"}]}要同时授予用户使用启动WorkSpace向导的权限,请添加下例所示的kms操作.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","workdocs:AddUserToGroup","kms:ListAliases","kms:ListKeys"],"Resource":"*"}]}Example3:执行BYOLWorkSpaces的所有AmazonWorkSpaces任务以下策略语句授予IAM用户执行所有AmazonWorkSpaces任务的权限,包括创建自带许可(BYOL)WorkSpaces所需的AmazonEC2任务.
{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Action":["workspaces:*","ds:*","iam:PassRole","iam:GetRole","iam:CreateRole","iam:PutRolePolicy","kms:ListAliases","kms:ListKeys","ec2:CreateVpc","ec2:CreateSubnet","ec2:CreateNetworkInterface","ec2:CreateInternetGateway","ec2:CreateRouteTable","ec2:CreateRoute","ec2:CreateTags","ec2:CreateSecurityGroup","ec2:DescribeImages",155AmazonWorkSpaces管理指南创建workspaces_DefaultRole角色"ec2:ModifyImageAttribute","ec2:DescribeInternetGateways","ec2:DescribeSecurityGroups","ec2:DescribeRouteTables","ec2:DescribeVpcs","ec2:DescribeSubnets","ec2:DescribeNetworkInterfaces","ec2:DescribeAvailabilityZones","ec2:AttachInternetGateway","ec2:AssociateRouteTable","ec2:AuthorizeSecurityGroupEgress","ec2:AuthorizeSecurityGroupIngress","ec2:DeleteSecurityGroup","ec2:DeleteNetworkInterface","ec2:RevokeSecurityGroupEgress","ec2:RevokeSecurityGroupIngress","workdocs:RegisterDirectory","workdocs:DeregisterDirectory","workdocs:AddUserToGroup"],"Resource":"*"}]}创建workspaces_DefaultRole角色您必须先创建WorkSpaces_Defaultrole角色(如果此角色不存在),然后才能使用API注册目录.
创建workspaces_DefaultRole角色1.
登录AWS管理控制台并通过以下网址打开IAM控制台https://console.
amazonaws.
cn/iam/.
2.
在左侧的导航窗格中,选择角色.
3.
选择Createrole(创建角色).
4.
在Selecttypeoftrustedentity(选择受信任实体的类型)下,选择其他AWS账户.
5.
对于账户ID,请输入没有连字符或空格的账户ID.
6.
对于选项,请勿指定多重验证(MFA).
7.
选择Next:Permissions(下一步:权限).
8.
在Attachpermissionspolicies(附加权限策略)页面上,选择AWS托管策略AmazonWorkSpacesServiceAccess和AmazonWorkSpacesSelfServiceAccess.
9.
在Setpermissionsboundary(设置权限边界)下,我们建议您不要使用权限边界,因为与附加到DefaultRole角色的策略可能会发生冲突.
此类冲突可能会阻止角色的某些必要权限.
10.
选择下一步:标签.
11.
在Addtags(optional)(添加标签(可选))页面上,根据需要添加标签.
12.
选择Next:Review.
13.
在审核页面上,对于角色名称,输入workspaces_DefaultRole.
14.
(可选)对于角色描述,请输入描述.
15.
选择Createrole(创建角色).
16.
在workspaces_DefaultRole角色的摘要页面上,选择信任关系选项卡.
17.
在信任关系选项卡上,选择编辑信任关系.
18.
在编辑信任关系页面上,将现有策略语句替换为以下语句.
{156AmazonWorkSpaces管理指南在AmazonWorkSpaces策略中指定IAM资源"Statement":[{"Effect":"Allow","Principal":{"Service":"workspaces.
amazonaws.
com"},"Action":"sts:AssumeRole"}]}19.
选择UpdateTrustPolicy.
在AmazonWorkSpaces策略中指定IAM资源要在策略语句的AmazonWorkSpaces元素中指定Resource资源,请使用资源的Amazon资源名称(ARN).
您可以通过允许或拒绝使用AmazonWorkSpaces策略语句的Action元素中指定的API操作的权限来控制对IAM资源的访问.
AmazonWorkSpaces定义WorkSpaces服务包、IP组和目录的ARNs.
WorkSpaceARNWorkSpaceARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:workspace/workspace_identifier区域WorkSpace所在的区域(例如,us-east-1).
account_idAWS账户的ID,不含连字符(例如,123456789012).
workspace_identifierWorkSpace的ID(例如,ws-a1bcd2efg).
以下是用于标识某个特定WorkSpace的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:workspace/workspace_identifier"您可以使用*通配符指定属于特定区域中特定账户的所有WorkSpaces.
映像ARNWorkSpace映像ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier区域WorkSpace映像所在的区域(例如us-east-1,).
account_idAWS账户的ID,不包含连字符(例如123456789012,).
157AmazonWorkSpaces管理指南在AmazonWorkSpaces策略中指定IAM资源bundle_identifierWorkSpace映像的ID(例如wsi-a1bcd2efg,).
以下是用于标识特定图像的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"您可以使用*通配符指定属于特定区域中特定账户的所有映像.
服务包ARN服务包ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier区域WorkSpace所在的区域(例如,us-east-1).
account_idAWS账户的ID,不含连字符(例如,123456789012).
bundle_identifierWorkSpace服务包的ID(例如,wsb-a1bcd2efg).
以下是用于标识某个特定服务包的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"您可以使用*通配符来指定属于特定区域中特定账户的所有服务包.
IP组ARNIP组ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier区域WorkSpace所在的区域(例如,us-east-1).
account_idAWS账户的ID,不含连字符(例如,123456789012).
ipgroup_identifierIP组的ID(例如wsipg-a1bcd2efg).
以下是用于标识某个特定IP组的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"158AmazonWorkSpaces管理指南在AmazonWorkSpaces策略中指定IAM资源您可以使用*通配符指定属于特定区域中特定账户的所有IP组.
目录ARN目录ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:directory/directory_identifier区域WorkSpace所在的区域(例如,us-east-1).
account_idAWS账户的ID,不含连字符(例如,123456789012).
directory_identifier目录的ID(例如d-12345a67b8).
以下是用于标识某个特定目录的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:directory/directory_identifier"您可以使用*通配符来指定属于特定区域中特定账户的所有目录.
连接别名ARN连接别名ARN具有以下示例中显示的语法.
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier区域连接别名所在的区域(例如,us-east-1).
account_idAWS账户的ID,不含连字符(例如,123456789012).
connectionalias_identifier连接别名的ID(例如wsca-12345a67b8,).
以下是用于标识特定连接别名的策略语句的Resource元素的格式.
"Resource":"arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"您可以使用*通配符指定属于特定区域中特定账户的所有连接别名.
不支持资源级权限的API操作您不能使用以下API操作指定资源ARN:AssociateIpGroupsCreateIpGroup159AmazonWorkSpaces管理指南合规性验证CreateTagsDeleteTagsDeleteWorkspaceImageDescribeAccountDescribeAccountModificationsDescribeTagsDescribeWorkspaceDirectoriesDescribeWorkspaceImagesDescribeWorkspacesDescribeWorkspacesConnectionStatusDisassociateIpGroupsImportWorkspaceImageListAvailableManagementCidrRangesModifyAccount对于不支持资源级权限的API操作,必须指定以下示例中显示的资源语句.
"Resource":"*"不支持对共享资源进行账户级别限制的API操作对于以下API操作,当资源不归账户所有时,您无法在资源ARN中指定账户ID:AssociateConnectionAliasCopyWorkspaceImageDisassociateConnectionAlias对于这些API操作,只有在资源ARN中指定账户拥有要对其执行操作的资源时,才能在该账户中指定该ID.
当账户不拥有资源时,您必须*为账户ID指定,如以下示例所示.
"arn:aws:workspaces:region:*:resource_type/resource_identifier"的合规性验证AmazonWorkSpaces作为多个AmazonWorkSpaces合规性计划的一部分,第三方审计员将评估AWS的安全性和合规性.
其中包括SOC、PCI、FedRAMP、HIPAA等.
有关特定合规性计划范围内的AWS服务列表,请参阅合规性计划范围内的AWS服务.
有关常规信息,请参阅AWS合规性计划.
您可以使用下载第三方审计报告.
AWSArtifact.
有关更多信息,请参阅在AWSArtifact中下载报告.
您在使用AmazonWorkSpaces时的合规性责任由您数据的敏感性、贵公司的合规性目标以及适用的法律法规决定.
AWS提供以下资源来帮助满足合规性:安全性与合规性快速入门指南安全性与合规性快速入门指南–这些部署指南讨论了架构注意事项,并提供了在AWS.
上部署基于安全性和合规性的基准环境的步骤.
《设计符合HIPAA安全性和合规性要求的架构》白皮书–此白皮书介绍公司如何使用AWS创建符合HIPAA标准的应用程序.
160AmazonWorkSpaces管理指南故障恢复能力AWS合规性资源–此业务手册和指南集合可能适用于您的行业和位置.
中的AWSConfigDeveloperGuide使用规则评估资源;评估您的资源配置对内部实践、行业指南和法规的遵循情况.
–AWSConfigAWSSecurityHub–此AWS服务提供了AWS中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实践.
中的弹性AmazonWorkSpacesAWS全球基础设施围绕AWS区域和可用区构建.
区域提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起.
利用可用区,您可以设计和操作在可用区之间无中断地自动实现故障转移的应用程序和数据库.
与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性.
有关AWS区域和可用区的更多信息,请参阅AWS全球基础设施.
AmazonWorkSpaces还提供跨区域重定向,这是一项功能,可用于您的域名系统(DNS)故障转移路由策略,以便在您的WorkSpaces用户主WorkSpaces不可用时将其重定向到其他AWS区域中的替代WorkSpaces.
有关更多信息,请参阅的跨区域重定向AmazonWorkSpaces(p.
142).
中的基础设施安全性AmazonWorkSpaces作为一项托管服务,AmazonWorkSpaces由AWS:安全流程概述AmazonWebServices白皮书中所述的全球网络安全程序提供保护.
您可以使用AWS发布的API调用通过网络访问AmazonWorkSpaces客户端必须支持传输层安全性(TLS)1.
0或更高版本.
建议使用TLS1.
2或更高版本.
客户端还必须支持具有完全向前保密(PFS)的密码套件,例如EphemeralDiffie-Hellman(DHE)或EllipticCurveEphemeralDiffie-Hellman(ECDHE).
大多数现代系统(如Java7及更高版本)都支持这些模式.
此外,必须使用访问密钥ID和与IAM委托人关联的秘密访问密钥来对请求进行签名.
或者,您可以使用AWSSecurityTokenService(AWSSTS)生成临时安全凭证来对请求签名.
网络隔离VirtualPrivateCloud(VPC)是AWS云内您自己的逻辑隔离区域中的虚拟网络.
您可以在VPC的私有子网中部署WorkSpaces.
有关更多信息,请参阅为配置VPCAmazonWorkSpaces(p.
9).
要仅允许来自特定地址范围(例如,来自您的企业网络)的流量,请更新VPC的安全组或使用IP访问控制组(p.
32).
您可以使用有效的证书将WorkSpace访问限制为受信任的设备.
有关更多信息,请参阅限制对受信任设备的WorkSpaces访问(p.
23).
物理主机上的隔离同一物理主机上的不同WorkSpaces通过管理程序彼此隔离.
这就好像它们位于单独的物理主机上.
删除WorkSpace后,管理程序将清理分配给它的内存(设置为零),然后再将内存分配给新的WorkSpace.
企业用户授权借助AmazonWorkSpaces,通过AWSDirectoryService.
管理目录.
您可以为用户创建独立的托管目录.
或者与现有ActiveDirectory环境集成,这样用户就能使用他们当前的凭证无缝访问企业资源.
有关更多信息,请参阅管理AmazonWorkSpaces目录(p.
39).
161AmazonWorkSpaces管理指南通过VPC接口终端节点发出AmazonWorkSpacesAPI请求要进一步控制对WorkSpaces的访问,请使用多重验证.
有关更多信息,请参阅如何为AWS服务启用多重身份验证.
通过VPC接口终端节点发出AmazonWorkSpacesAPI请求您可以通过VirtualPrivateCloud(VPC)中的AmazonWorkSpaces接口终端节点直接连接到API终端节点,而不是通过Internet连接.
当您使用VPC接口终端节点时,您的VPC与AmazonWorkSpacesAPI终端节点之间的通信完全在AWS网络内安全进行.
Note此功能只能用于连接到WorkSpacesAPI终端节点.
要使用WorkSpaces客户端连接到WorkSpaces,需要Internet连接,如AmazonWorkSpaces的IP地址和端口要求(p.
16)中所述.
API终端节点支持AmazonWorkSpacesAmazonVirtualPrivateCloud(AmazonVirtualPrivateCloudAWSAmazonVPC提供支持).
PrivateLink每个VPC终端节点都由您的VPC子网中一个或多个具有私有IP地址的网络接口(也称为弹性网络接口或ENIs)表示.
VPC接口终端节点将您的VPC直接连接到AmazonWorkSpacesAPI终端节点,而无需Internet网关、NAT设备、VPN连接或AWSDirectConnect连接.
VPC中的实例不需要公有IP地址便可与AmazonWorkSpacesAPI终端节点进行通信.
您可以通过AWS控制台或AmazonWorkSpaces(AWSCommandLineInterface)命令创建接口终端节点来连接到AWSCLI有关说明,请参阅创建接口终端节点.
在创建VPC终端节点后,您可以使用以下示例CLI命令,这些命令使用endpoint-url参数指定连接到AmazonWorkSpacesAPI终端节点的接口终端节点:awsworkspacescopy-workspace-image--endpoint-urlVPC_Endpoint_ID.
workspaces.
Region.
vpce.
amazonaws.
comawsworkspacesdelete-workspace-image--endpoint-urlVPC_Endpoint_ID.
api.
workspaces.
Region.
vpce.
amazonaws.
comawsworkspacesdescribe-workspace-bundles--endpoint-urlVPC_Endpoint_ID.
workspaces.
Region.
vpce.
amazonaws.
com\--endpoint-nameEndpoint_Name\--body"Endpoint_Body"\--content-type"Content_Type"\Output_File如果为VPC终端节点启用专用DNS主机名,您不需要指定终端节点URL.
CLI和AmazonWorkSpaces开发工具包默认使用的AmazonWorkSpacesAPIDNS主机名(https://api.
workspaces.
)Region.
amazonaws.
com)解析为您的VPC终端节点.
API终端节点支持AmazonWorkSpacesAmazonVPC和AmazonWorkSpaces在其中均可用的所有AWS区域中的VPC终端节点.
支持调用VPC内其所有AmazonWorkSpaces公有APIs.
要了解有关AWSPrivateLink的更多信息,请参阅AWSPrivateLink文档.
有关VPC终端节点的价格,请参阅VPC定价.
要了解有关VPC和终端节点的更多信息,请参阅AmazonVPC.
要查看按区域列出的AmazonWorkSpacesAPI终端节点的列表,请参阅API终端节点WorkSpaces.
(p.
18)Note联邦信息处理标准(FIPS)AmazonWorkSpacesAPI端点不支持带有AWSPrivateLink的AmazonWorkSpacesAPI端点.
162AmazonWorkSpaces管理指南为创建VPC终端节点策略AmazonWorkSpaces为创建VPC终端节点策略AmazonWorkSpaces您可以为AmazonVPC的AmazonWorkSpaces终端节点创建一个策略,在该策略中指定以下内容:可执行操作的委托人.
可执行的操作.
可对其执行操作的资源.
有关更多信息,请参阅用户指南中的使用VPC终端节点控制对服务的访问AmazonVPC.
Note联邦信息处理标准(FIPS)AmazonWorkSpaces终端节点不支持VPC终端节点策略.
以下示例VPC终端节点策略指定有权访问VPC接口终端节点的所有用户都可以调用名为AmazonWorkSpaces的ws-f9abcdefg.
托管终端节点.
{"Statement":[{"Action":"workspaces:*","Effect":"Allow","Resource":"arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg","Principal":"*"}]}在本例中,拒绝以下操作:调用AmazonWorkSpaces之外的ws-f9abcdefg.
托管终端节点.
对指定资源以外的任何资源执行操作(WorkSpaceID:ws-f9abcdefg).
Note在本例中,用户仍然可以从VPC外部调用其他AmazonWorkSpacesAPI操作.
要将API调用限制为VPC内的资源,请参阅适用于AmazonWorkSpaces的IdentityandAccessManagement(p.
153),以了解有关使用基于身份的策略控制对AmazonWorkSpacesAPI终端节点的访问的信息.
将您的专用网络连接到VPC要通过您的VPC调用AmazonWorkSpacesAPI,您必须从位于VPC中的实例进行连接,或者使用AmazonVirtualPrivateNetwork(VPN)或AWSDirectConnect.
将您的专用网络连接到VPC.
有关AmazonVPN的信息,请参阅https://docs.
amazonaws.
cn/vpc/latest/userguide/vpn-connections.
html用户指南中的AmazonVirtualPrivateCloudVPN连接.
有关AWSDirectConnect的信息,请参阅AWSDirectConnect用户指南中的创建连接.
中的更新管理AmazonWorkSpaces我们建议您定期修补、更新和保护WorkSpaces上的操作系统和应用程序.
您可以将WorkSpaces配置为在常规维护时段内由AmazonWorkSpaces进行更新,也可以自行更新.
有关更多信息,请参阅WorkSpace维护(p.
90).
163AmazonWorkSpaces管理指南AmazonWAM对于WorkSpaces上的应用程序,您可以使用提供的任何自动更新服务,也可以按照应用程序供应商提供的安装更新的建议进行操作.
AmazonWAMAmazonWorkSpacesApplicationManager(AmazonWAM)提供了一种快速、灵活且安全的方法,可为您的WindowsWorkSpaces部署和管理应用程序.
有关更多信息,请参阅AmazonWAMAdministrationGuide.
164AmazonWorkSpaces管理指南启用高级日志记录排查AmazonWorkSpaces问题以下信息可帮助您解决与相关的问题.
WorkSpaces.
启用高级日志记录为了帮助解决用户可能遇到的问题,您可以在任何AmazonWorkSpaces客户端上启用高级日志记录.
在禁用高级日志记录之前,将为每个后续客户端会话启用高级日志记录.
高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件.
对于1.
0+和2.
0+客户端,这些高级日志记录文件会自动上传到AWS中的数据库.
Note要让AWS查看由高级日志记录生成的日志文件,并接收与您的WorkSpaces客户端相关的问题的技术支持,请联系AWSSupport.
有关更多信息,请参阅AWS支持中心.
为3.
0+客户端启用高级日志记录Windows客户端日志存储在以下位置:%LOCALAPPDATA%\AmazonWebServices\AmazonWorkSpaces\logs为Windows客户端启用高级日志记录1.
关闭AmazonWorkSpaces客户端.
2.
打开命令提示符应用程序.
3.
使用WorkSpaces标志启动-l3客户端.
c:cd"C:\ProgramFiles(x86)\AmazonWebServices,Inc\AmazonWorkSpaces"workspaces.
exe-l3Note如果为一个用户而非所有用户WorkSpaces安装了,请使用以下命令:c:cd"%LocalAppData%\Programs\AmazonWebServices,Inc\AmazonWorkSpaces"workspaces.
exe-l3macOS客户端日志存储在以下位置:~/Library/"ApplicationSupport"/"AmazonWebServices"/"AmazonWorkSpaces"/logs为macOS客户端启用高级日志记录1.
关闭AmazonWorkSpaces客户端.
2.
打开终端.
3.
运行以下命令.
open-aworkspaces--args-l3165AmazonWorkSpaces管理指南排查特定问题Linux客户端日志存储在以下位置:~/.
local/share/AmazonWebServices/AmazonWorkSpaces/logs为Linux客户端启用高级日志记录1.
关闭AmazonWorkSpaces客户端.
2.
打开终端.
3.
运行以下命令.
/opt/workspacesclient/workspacesclient-l3为1.
0+和2.
0+客户端启用高级日志记录1.
打开WorkSpaces客户端.
2.
选择客户端应用程序右上角的齿轮图标.
3.
选择AdvancedSettings(高级设置).
4.
选中EnableAdvancedLogging复选框.
5.
选择Save.
Windows客户端日志存储在以下位置:%LOCALAPPDATA%\AmazonWebServices\AmazonWorkSpaces\1.
0\LogsmacOS客户端日志存储在以下位置:~/Library/Logs/AmazonWebServices/AmazonWorkSpaces/1.
0排查特定问题以下信息可帮助您排查的特定问题WorkSpaces.
问题我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符(p.
167)我更改了我的AmazonLinuxWorkSpaceshell,现在我无法预配置PCoIP会话(p.
167)我的AmazonLinuxWorkSpaces不会启动(p.
167)在WorkSpaces我连接的目录中启动通常会失败(p.
168)启动WorkSpaces失败,出现内部错误(p.
168)当我尝试注册目录时,注册失败,并且目录处于ERROR(错误)状态(p.
169)我的用户无法连接到WorkSpace具有交互式登录横幅的Windows(p.
169)我的用户无法连接到WindowsWorkSpace(p.
169)AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
(p.
170)我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
"(p.
170)我的用户收到消息"此设备无权访问WorkSpace.
请联系您的管理员寻求帮助.
"(p.
170)我的用户收到消息"Nonetwork.
网络连接丢失.
检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace(p.
171)166AmazonWorkSpaces管理指南我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符WorkSpaces客户端会为我的用户提供网络错误,但他们能够在其设备上使用其他启用网络的应用程序(p.
171)我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
"(p.
172)我的PCoIP零客户端用户收到错误"提供的证书由于时间戳而无效"(p.
172)我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示(p.
173)我的用户没有收到邀请电子邮件或密码重置电子邮件(p.
173)我的用户在客户端登录屏幕上看不到"忘记密码"选项(p.
173)尝试在Windows上安装应用程序时,我收到消息"系统管理员已设置策略以防止此安装"WorkSpace(p.
173)WorkSpaces我的目录中没有可以连接到Internet(p.
174)我的Internet访问WorkSpace中断(p.
174)当我尝试连接我的本地目录时收到一条"DNSunavailable"错误(p.
174)在尝试连接到我的本地目录时,我收到一条"Connectivityissuesdetected"错误(p.
174)在尝试连接到我的本地目录时,我收到一条"SRVrecord"错误(p.
174)我的Windows在空闲时WorkSpace进入睡眠状态(p.
175)我的某个WorkSpaces的状态为UNHEALTHY(p.
175)我的WorkSpace意外崩溃或重启(p.
176)同一用户名有多个WorkSpace,但用户只能登录其中一个WorkSpaces(p.
178)我在将Docker与结合使用时遇到问题AmazonWorkSpaces(p.
178)我的一些API调用收到ThrottlingException错误(p.
178)我无法创建AmazonLinuxWorkSpace,因为用户名中存在无效字符对于AmazonLinuxWorkSpaces,用户名:最多可包含20个字符可以包含能够以UTF-8表示的字母、空格和数字可包含以下特殊字符:_.
-#不能以短划线符号(-)作为用户名的开头第一个字符Note这些限制不适用于WindowsWorkSpaces.
WindowsWorkSpaces支持用户名中所有字符的@和-符号.
我更改了我的AmazonLinuxWorkSpaceshell,现在我无法预配置PCoIP会话要覆盖Linux的默认ShellWorkSpaces,请参阅覆盖AmazonLinuxWorkSpace的默认Shell(p.
85).
我的AmazonLinuxWorkSpaces不会启动自2020年7月20日起,AmazonLinuxWorkSpaces将使用新的许可证证书.
这些新证书仅与PCoIP代理的版本2.
14.
1.
1、2.
14.
7和2.
14.
9兼容.
167AmazonWorkSpaces管理指南在WorkSpaces我连接的目录中启动通常会失败如果您使用的是不受支持的PCoIP代理版本,则必须将其升级到最新版本(2.
14.
9),该版本具有与新证书兼容的最新修复和性能改进.
如果您没有在7月20日之前进行这些升级,则Linux的会话预配置WorkSpaces将失败,并且您的最终用户将无法连接到其WorkSpaces.
将PCoIP代理升级到最新版本1.
通过以下网址打开AmazonWorkSpaces控制台:https://console.
amazonaws.
cn/workspaces/.
2.
在导航窗格中,选择WorkSpaces.
3.
选择您的LinuxWorkSpace,然后通过依次选择Actions(操作)、Reboot(重启WorkSpaces)来重启它.
如果WorkSpace状态为STOPPED,则必须选择Actions(操作)、StartWorkSpacesfirst(先启动)并等到其状态为AVAILABLE,然后才能重启它.
4.
在重启WorkSpace并且其状态为后AVAILABLE,我们建议您在执行此升级WorkSpaceADMIN_MAINTENANCE时将的状态更改为.
完成后,将的状态更改为WorkSpaceAVAILABLE.
有关ADMIN_MAINTENANCE模式的更多信息,请参阅手动维护.
要将的状态更改为WorkSpaceADMIN_MAINTENANCE,请执行以下操作:a.
选择,然后依次选择WorkSpaceActions(操作)和Modify(修改WorkSpace).
b.
选择ModifyState.
c.
对于IntendedState(预期状态),选择ADMIN_MAINTENANCE.
d.
选择修改.
5.
WorkSpace通过SSH连接到Linux.
有关更多信息,请参阅为您的LinuxWorkSpace启用SSH连接(p.
34).
6.
要更新PCoIP代理,请运行以下命令:sudoyum--enablerepo=pcoip-stableinstallpcoip-agent-standard-2.
14.
97.
要验证代理版本并确认更新成功,请运行以下命令:rpm-qpcoip-agent-standard验证命令应生成以下结果:pcoip-agent-standard-2.
14.
9-27877.
el7.
x86_648.
断开WorkSpace并再次重启它.
9.
如果您在WorkSpace中将的状态ADMIN_MAINTENANCE设置为Step4(p.
168),请重复Step4(p.
168)并设置IntendedState更改为AVAILABLE.
如果您在升级WorkSpace代理后LinuxPCoIP仍无法启动,请联系AWSSupport.
在WorkSpaces我连接的目录中启动通常会失败验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个DNS服务器或域控制器.
您可以通过在每个子网中启动一个AmazonEC2实例并将该实例加入您的目录中,然后使用两个DNS服务器的IP地址来验证此连接.
启动WorkSpaces失败,出现内部错误检查您的子网是否配置为自动将IPv6地址分配给在子网中启动的实例.
要检查此设置,请打开AmazonVPC控制台,选择子网,然后依次选择SubnetActions(子网操作)和Modifyauto-assignIPsettings(修改自动分168AmazonWorkSpaces管理指南当我尝试注册目录时,注册失败,并且目录处于ERROR(错误)状态配IP设置).
如果启用此设置,则无法使用WorkSpaces性能或图形服务包启动.
而应在启动实例时禁用此设置并手动指定IPv6地址.
当我尝试注册目录时,注册失败,并且目录处于ERROR(错误)状态如果您尝试注册已配置为多区域复制的AWS托管MicrosoftAD目录,则可能会出现此问题.
虽然主区域中的目录可以成功注册以用于AmazonWorkSpaces,但尝试在复制区域中注册目录会失败.
不支持使用AWS托管MicrosoftAD的多区域复制在复制AmazonWorkSpaces的区域内用于.
我的用户无法连接到WorkSpace具有交互式登录横幅的Windows如果实施了交互式登录消息以显示登录横幅,则这会阻止用户访问其WindowsWorkSpaces.
目前不支持交互式登录消息的组策略设置AmazonWorkSpaces.
将移动到未应用WorkSpaces组策略Interactivelogon:Messagetextforusersattemptingtologon的组织单位(OU).
我的用户无法连接到WindowsWorkSpace我的用户在尝试连接到其Windows时收到以下错误WorkSpaces:"AnerroroccurredwhilelaunchingyourWorkSpace.
Pleasetryagain.
"当WorkSpace无法使用加载Windows桌面时,通常会发生此错误PCoIP.
检查以下各项:如果WindowsPCoIP标准代理服务未运行,则会显示此消息.
使用RDP进行连接,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面(eth0)进行通信.
如果代理PCoIP已卸载WorkSpace,请通过AmazonWorkSpaces控制台重启以自动重新安装它.
如果修改了AmazonWorkSpaces安全组WorkSpaces以限制出站流量,则在长时间延迟(p.
31)后,客户端也可能收到此错误.
限制出站流量会阻止Windows与您的目录控制器通信而导致无法进行登录.
验证您的安全组是否允许通过主网络接口在所有WorkSpaces所需端口上与目录控制器(p.
16)进行通信.
此错误的另一个原因与用户权限分配组策略有关.
如果以下组策略配置不正确,则会阻止用户访问其WindowsWorkSpaces:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies\UserRightsAssignment(计算机配置\Windows设置\安全设置\本地策略\用户权限分配)不正确的策略:策略:Accessthiscomputerfromthenetwork(从网络访问此计算机)设置:Domainname\\域计算机获胜GPO:允许文件访问正确的策略:策略:Accessthiscomputerfromthenetwork(从网络访问此计算机)设置:Domainname\\域用户169AmazonWorkSpaces管理指南AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
获胜GPO:允许文件访问Note此策略设置应该应用于DomainUsers(域用户)而不是DomainComputers(域计算机).
有关更多信息,请参阅MicrosoftWindows文档中的从网络访问此计算机-安全策略设置和配置安全策略设置.
AmazonWorkSpaces客户端显示一个灰色的"正在加载.
.
.
"屏幕一段时间,然后返回登录屏幕.
不显示其他错误消息.
此行为通常表示WorkSpaces客户端可以通过端口443进行身份验证,但无法通过端口4172(PCoIP)或端口495(WSP)建立流连接.
当未满足网络先决条件(p.
16)时,可能会发生这种情况.
客户端的问题通常会导致客户端中的网络检查失败.
要查看哪些运行状况检查失败,请选择网络检查图标(通常是2.
0+客户端的登录屏幕右下角的红色三角形以及感叹号或网络图标)(位于3.
0+客户端的右上角).
Note此问题的最常见原因是客户端防火墙或代理阻止通过端口4172或495(TCP和UDP)进行访问.
如果此运行状况检查失败,请检查您的本地防火墙设置.
如果网络检查通过,则的网络配置可能存在问题WorkSpace.
例如,Windows防火墙规则可能会阻止管理接口上的端口UDP4172或495.
WorkSpace使用远程桌面协议(RDP)客户端连接到,以验证是否WorkSpace满足必要的端口要求(p.
16).
我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
"此错误通常表示SkyLightWorkSpacesConfigService服务未响应运行状况检查.
如果您刚刚重启或启动WorkSpace,请等待几分钟,然后重试.
如果WorkSpace已运行一段时间并且您仍看到此错误,请使用RDPhttp://www.
amazonaws.
cn/support-plans/knowledge-center/connect-workspace-rdp/进行连接以验证SkyLightWorkSpacesConfigService服务:正在运行.
设置为自动启动.
可以通过管理界面(eth0)进行通信.
未被任何第三方防病毒软件阻止.
我的用户收到消息"此设备无权访问WorkSpace.
请联系您的管理员寻求帮助.
"此错误表示IP访问控制组(p.
32)已在WorkSpace目录上配置,但客户端IP地址未列入白名单.
170AmazonWorkSpaces管理指南我的用户收到消息"Nonetwork.
网络连接丢失.
检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace检查您的目录上的设置.
确认用户从中连接的公有IP地址允许访问WorkSpace.
我的用户收到消息"Nonetwork.
网络连接丢失.
检查您的网络连接或联系您的管理员寻求帮助.
"尝试连接到WSP时WorkSpace如果发生此错误并且您的用户没有连接问题,请确保端口495在您的网络防火墙上处于打开状态.
对于WorkSpaces使用WorkSpacesStreamingProtocol(WSP),用于流式传输客户端会话的端口已从4172更改为495.
WorkSpaces客户端会为我的用户提供网络错误,但他们能够在其设备上使用其他启用网络的应用程序WorkSpaces客户端应用程序依赖于对AWS云中资源的访问,并需要提供至少1Mbps下载带宽的连接.
如果设备间歇性地连接到网络,WorkSpaces则客户端应用程序可能会报告网络问题.
AmazonWorkSpaces从2018年5月开始,强制使用AmazonTrustServices颁发的数字证书.
在支持的操作系统上,AmazonTrustServices已经是受信任的根CA.
AmazonWorkSpaces.
如果操作系统的根CA列表不是最新,则设备无法连接到WorkSpaces,客户端会发出网络错误错误.
识别由于证书失败造成的连接问题PCoIPzero客户端—将显示以下错误消息.
Failedtoconnect.
Theserverprovidedacertificatethatisinvalid.
Seebelowfordetails:-Thesuppliedcertificateisinvalidduetotimestamp-Thesuppliedcertificateisnotrootedinthedeviceslocalcertificatestore其他客户端—运行状况检查失败,出现Internet.
红色警告三角形.
解决证书故障Windows客户端应用程序(p.
171)PCoIP零客户端(p.
172)其他客户端应用程序(p.
172)Windows客户端应用程序使用以下解决方案之一处理证书故障.
解决方案1:更新客户端应用程序从下载并安装最新的Windows客户端应用程序AmazonWorkSpacesClientDownloads.
在安装过程中,客户端应用程序确保由AmazonTrustServices发布了您的操作系统信任证书.
解决方案2:将AmazonTrustServices添加到本地根CA列表1.
打开https://www.
amazontrust.
com/repository/.
2.
下载DER格式的Starfield证书(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92).
171AmazonWorkSpaces管理指南我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
"3.
打开Microsoft管理控制台.
(从命令提示符中,运行mmc.
)4.
依次选择File(文件)、Add/RemoveSnap-in(添加/删除管理单元)、Certificates(证书)、Add(添加).
5.
在Certificatessnap-in(证书管理单元)页面上,选择Computeraccount(计算机账户),然后选择Next(下一步).
保留默认值Localcomputer(本地计算机).
选择Finish.
选择OK(确定).
6.
展开Certificates(LocalComputer)(证书(本地计算机)),然后选择TrustedRootCertificationAuthorities(受信任的根证书颁发机构).
依次选择Action(操作)、AllTasks(所有任务)和Import(导入).
7.
按照向导的说明,导入下载的证书.
8.
退出并重新启动WorkSpaces客户端应用程序.
解决方案3:使用组策略部署AmazonTrustServices作为可信CA使用组策略将Starfield证书添加到域CAs的受信任根.
有关更多信息,请参阅使用策略来分配证书.
PCoIP零客户端要使用WorkSpace固件版本6.
0或更高版本直接连接到,请下载并安装AmazonTrustServices颁发的证书.
添加AmazonTrustServices作为可信根CA1.
打开https://certs.
secureserver.
net/repository/.
2.
在StarfieldCertificateChain(Starfield证书链)下下载指纹为1465FA205397B876FAA6F0A9958E5590E40FCC7FAAA4FB7C2C8677521FB5FB658.
3.
上传证书至zero客户端.
有关更多信息,请参阅Teradici文档中的上传证书.
其他客户端应用程序从AmazonTrustServices.
添加Starfield证书(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92).
有关如何添加根CA的更多信息,请参阅以下文档:Android:添加和删除证书macOS和iOS:在测试设备上安装CA的根证书我的WorkSpace用户看到以下错误消息:"设备无法连接到注册服务.
请检查网络设置.
"当出现注册服务故障时,您的WorkSpace用户可能会在ConnectionHealthCheck(连接运行状况检查)页面上看到以下错误消息:"您的设备无法连接到WorkSpaces注册服务.
您将无法将设备注册到WorkSpaces.
请检查网络设置.
"当WorkSpaces客户端应用程序无法访问注册服务时,会发生此错误.
通常,在删除WorkSpaces目录后会发生此情况.
要纠正此错误,请确保注册代码有效并与AWS云中一个正在运行的目录相对应.
我的PCoIP零客户端用户收到错误"提供的证书由于时间戳而无效"如果未在Teradici中启用网络时间协议(NTP),您的PCoIP零客户端用户可能会收到证书失败错误.
要设置NTP,请参阅为WorkSpace设置PCoIP零客户端(p.
34).
172AmazonWorkSpaces管理指南我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示我的用户跳过了更新其Windows或macOS客户端应用程序的过程,并且没有收到安装最新版本的提示当用户跳过对AmazonWorkSpacesWindows客户端应用程序的更新时,将设置SkipThisVersion注册表项,并且在发布客户端的新版本时不再提示他们更新其客户端.
要更新到最新版本,您可以按照中的将Windows客户端应用程序WorkSpaces更新为较新版本中的描述编辑注册表AmazonWorkSpaces用户指南.
您还可以运行PowerShell以下命令:Remove-ItemProperty-Path"HKCU:\Software\AmazonWebServices.
LLC\AmazonWorkSpaces\WinSparkle"-Name"SkipThisVersion"当用户跳过对AmazonWorkSpacesmacOS客户端应用程序的更新时,将设置SUSkippedVersion首选项,并且在发布客户端的新版本时不再提示他们更新其客户端.
要更新到最新版本,您可以重置此首选项,如中的将WorkSpacesmacOS客户端应用程序更新为较新版本中所述AmazonWorkSpaces用户指南.
我的用户没有收到邀请电子邮件或密码重置电子邮件用户不会自动收到使用ADWorkSpacesConnector或受信任域为创建的欢迎或密码重置电子邮件.
要手动向这些用户发送欢迎电子邮件,请参阅发送邀请电子邮件(p.
66).
要重置用户密码,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
我的用户在客户端登录屏幕上看不到"忘记密码"选项如果您使用的是ADConnector或受信任域,则您的用户将无法重置自己的密码.
(客户端应用程序登录屏幕上的忘记密码WorkSpaces选项将不可用.
)有关如何重置用户密码的信息,请参阅为AmazonWorkSpaces设置ActiveDirectory管理工具(p.
50).
尝试在Windows上安装应用程序时,我收到消息"系统管理员已设置策略以防止此安装"WorkSpace您可以通过修改Windows安装程序组策略设置来解决此问题.
要将此策略部署到WorkSpaces目录中的多个,请将此设置应用于从加入域的EC2实例链接到WorkSpaces组织单位(OU)的组策略对象.
如果您使用ADConnector,则可以从域控制器进行这些更改.
有关使用ActiveDirectory管理工具处理组策略对象的更多信息,请参阅中的安装ActiveDirectoryAWSDirectoryServiceAdministrationGuide管理工具.
以下过程说明如何为AmazonWorkSpaces组策略对象配置Windows安装程序设置.
1.
确保已在您的域中安装最新的AmazonWorkSpaces组策略管理模板(p.
71).
2.
在您的WindowsWorkSpace客户端上打开组策略管理工具,然后导航到WorkSpaces并选择计算机账户的WorkSpaces组策略对象.
从主菜单中,依次选择Action(操作)和Edit(编辑).
3.
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、Windows组件、Windows安装程序.
4.
打开TurnOffWindowsInstaller(关闭Windows安装程序)设置.
5.
在TurnOffWindowsInstaller(关闭Windows安装程序)对话框中,将NotConfigured(未配置)更改为Enabled(已启用),然后将DisableWindowsInstaller(禁用Windows安装程序)设置为Never(从不).
6.
选择OK(确定).
7.
要应用组策略更改,请执行下列操作之一:重启WorkSpace(在AmazonWorkSpaces控制台中,选择WorkSpace,然后选择Actions(操作)、Reboot(重启WorkSpaces)).
从管理命令提示符下,输入gpupdate/force.
173AmazonWorkSpaces管理指南WorkSpaces我的目录中没有可以连接到InternetWorkSpaces我的目录中没有可以连接到InternetWorkSpaces默认情况下,无法与Internet通信.
您必须显式提供Internet访问.
有关更多信息,请参阅提供WorkSpace的Internet访问权限(p.
30).
我的Internet访问WorkSpace中断如果您的WorkSpace无法访问Internet,并且您无法使用RDPWorkSpace连接到,则此问题可能是由于的公有IP地址丢失导致的WorkSpace.
如果您已在目录级别启用弹性IP地址(p.
42)的自动分配,则会在启动时为您的分配弹性IP地址WorkSpace(来自Amazon提供的池).
但是,如果您将您拥有的弹性IP地址与关联WorkSpace,之后您将该弹性IP地址与取消关联WorkSpace,则将WorkSpace失去其公有IP地址,并且不会自动从Amazon提供的池中获取新的IP地址.
要将Amazon提供的池中的新公有IP地址与关联WorkSpace,您必须重建WorkSpace(p.
98).
如果您不想重建WorkSpace,则必须将您拥有的另一个弹性IP地址与关联WorkSpace.
我们建议您不要在WorkSpace启动WorkSpace后修改的弹性网络接口.
为分配弹性IP地址后WorkSpace,将WorkSpace保留相同的公有IP地址(除非WorkSpace已重建,在这种情况下,它将获取新的公有IP地址).
当我尝试连接我的本地目录时收到一条"DNSunavailable"错误在连接您的本地目录时,您收到类似于以下内容的错误消息.
DNSunavailable(TCPport53)forIP:dns-ip-addressADConnector必须能够通过TCP和UDP经由端口53与您的本地DNS服务器通信.
验证您的安全组和本地防火墙是否允许经由此端口进行TCP和UDP通信.
在尝试连接到我的本地目录时,我收到一条"Connectivityissuesdetected"错误在连接您的本地目录时,您收到类似于以下内容的错误消息.
Connectivityissuesdetected:LDAPunavailable(TCPport389)forIP:ip-addressKerberos/authenticationunavailable(TCPport88)forIP:ip-addressPleaseensurethatthelistedportsareavailableandretrytheoperation.
ADConnector必须能够通过TCP和UDP经由以下端口与您的本地域控制器通信.
验证您的安全组和本地防火墙是否允许经由这些端口进行TCP和UDP通信:88(Kerberos)389(LDAP)在尝试连接到我的本地目录时,我收到一条"SRVrecord"错误在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息.
174AmazonWorkSpaces管理指南我的Windows在空闲时WorkSpace进入睡眠状态SRVrecordforLDAPdoesnotexistforIP:dns-ip-addressSRVrecordforKerberosdoesnotexistforIP:dns-ip-address在连接您的目录时,ADConnector需要获取_ldap.
_tcp.
dns-domain-name和_kerberos.
_tcp.
dns-domain-nameSRV记录.
如果服务无法从您在连接到目录时所指定的DNS服务器上获取这些记录,则您会收到此错误.
请确保您的DNS服务器包含这些SRV记录.
有关更多信息,请参阅Microsoft上的SRV资源记录TechNet.
我的Windows在空闲时WorkSpace进入睡眠状态要解决此问题,请连接到WorkSpace并使用以下过程将电源计划更改为Highperformance(高性能):1.
从中WorkSpace,打开控制面板,然后选择Hardware(硬件)或HardwareandSound(硬件和声音)(名称可能有所不同,具体取决于您的Windows版本).
2.
在PowerOptions(电源选项)下,选择Chooseapowerplan(选择电源计划).
3.
在Chooseorcustomizeapowerplan(选择或自定义电源计划)窗格中,选择Highperformancepowerplan(高性能电源计划),然后选择Changeplansettings(更改计划设置).
如果禁用了选择高性能电源计划的选项,请选择更改当前不可用的设置,然后选择高性能电源计划.
如果Highperformanceplan(高性能计划)不可见,请选择Showadditionalplans(显示其他计划)右侧的箭头以显示此计划,或在左侧导航中选择Createapowerplan(创建电源计划),选择Highperformance(高性能),为电源计划命名,然后选择Next(下一步).
4.
在Changesettingsfortheplan:Highperformance页面上,确保Turnoffthedisplay和(ifavailable)Putthecomputertosleep设置为Never.
5.
如果您对高性能计划进行了任何更改,请选择Savechanges(保存更改)(如果您要创建新计划,请选择Create(创建)).
如果上述步骤无法解决该问题,请执行以下操作:1.
从中WorkSpace,打开控制面板,然后选择Hardware(硬件)或HardwareandSound(硬件和声音)(名称可能有所不同,具体取决于您的Windows版本).
2.
在PowerOptions(电源选项)下,选择Chooseapowerplan(选择电源计划).
3.
在Chooseorcustomizeapowerplan(选择或自定义电源计划)窗格中,选择Highperformancepowerplan(高性能电源计划)右侧的Changeplansettings(更改计划设置)链接,然后选择Changeadvancedpowersettings(更改高级电源设置)链接.
4.
在PowerOptions(高级选项)对话框的设置列表中,选择Harddisk(硬盘)左侧的加号以显示相关设置.
5.
验证Pluggedin(已插入)的Turnoffharddiskafter(在之后关闭硬盘)值是否大于Onbattern(在电池上)的值(默认值为20分钟).
6.
选择PCIExpress左侧的加号,然后为LinkStatePowerManagement(链路状态电源管理).
执行相同的操作.
7.
验证LinkStatePowerManagement(链路状态电源管理)设置是否为Off(关闭).
8.
选择OK(确定)(如果更改了任何设置,则选择Apply(应用))以关闭对话框.
9.
在Changesettingsfortheplan(更改计划的设置)窗格中,如果您更改了任何设置,请选择Savechanges(保存更改).
我的某个WorkSpaces的状态为UNHEALTHYAmazonWorkSpaces服务会定期将状态请求发送到WorkSpace.
WorkSpace当无法响应这些请求UNHEALTHY时,会标记.
导致此问题的常见原因包括:175AmazonWorkSpaces管理指南我的WorkSpace意外崩溃或重启上的应用程序WorkSpace阻止了网络端口,这会阻止WorkSpace响应状态请求.
CPU利用率高,导致WorkSpace无法及时响应状态请求.
的计算机名称WorkSpace已更改.
这可防止在AmazonWorkSpaces和之间建立安全通道WorkSpace.
您可以尝试使用以下方法来纠正这种状况:WorkSpace从AmazonWorkSpaces控制台重启.
WorkSpace使用以下过程连接到运行状况不佳的,该过程只应用于故障排除目的:1.
连接到与运行状况不佳WorkSpace的位于同一目录中的正常运行WorkSpace.
2.
从操作WorkSpace,使用远程桌面协议(RDP)WorkSpace通过运行状况不佳的的IP地址连接到运行状况不佳的WorkSpace.
根据问题的严重程度,您可能无法连接到运行状况不佳的WorkSpace.
3.
在运行状况不佳的上WorkSpace,确认满足最低端口要求(p.
16).
确保该SkyLightWorkSpacesConfigService服务可以响应运行状况检查.
要解决该问题,请参阅我的用户收到消息"WorkSpace状态:不正常.
我们无法将您连接到您的WorkSpace.
请过几分钟再试.
"(p.
170).
WorkSpace从AmazonWorkSpaces控制台重建.
由于重建WorkSpace可能会导致数据丢失,因此,只有在所有其他纠正此问题的尝试都失败时,才应使用此选项.
我的WorkSpace意外崩溃或重启如果您的WorkSpace反复崩溃或重启,并且您的错误日志或崩溃转储指向spacedeskHookKmode.
sys或的问题spacedeskHookUmode.
dll,或者您收到以下错误消息,则可能需要禁用对的Web访问WorkSpace:Thekernelpowermanagerhasinitiatedashutdowntransition.
Shutdownreason:KernelAPIThecomputerhasrebootedfromabugcheck.
Note仅当您不允许用户使用Web访问时,才应禁用Web访问.
Web访问仅适用于PCoIPWorkSpaces.
Web访问不适用于WorkSpacesStreamingProtocol(WSP)WorkSpaces.
要禁用对的Web访问WorkSpace,您必须设置一个组策略并修改两个注册表设置.
有关使用ActiveDirectory管理工具处理组策略对象的信息,请参阅中的安装ActiveDirectoryAWSDirectoryServiceAdministrationGuide管理工具.
步骤1:设置组策略以在目录级别禁用Web访问您必须从PCoIPWorkSpace而不是域控制器进行这些更改,因为STXHD托管应用程序服务必须存在.
1.
编辑使用的安全组WorkSpaces以允许RDP连接.
有关更多信息,请参阅如何使用RDPWorkSpace连接到我的.
176AmazonWorkSpaces管理指南我的WorkSpace意外崩溃或重启2.
使用RDP连接到WorkSpace.
确保您使用的用户账户对域具有创建和修改的权限GPOs.
如果您对WorkSpace目录使用SimpleAD,则用户名为Administrator.
如果您使用的是MicrosoftAD,则管理员用户名为Admin.
3.
安装ActiveDirectory管理工具(RSAT)以获取组策略管理编辑器工具.
要安装这些工具,请参阅中的安装ActiveDirectoryAWSDirectoryServiceAdministrationGuide管理工具.
您也可以以管理员身份运行以下WindowsPowerShell命令来安装这些工具:Install-WindowsFeature-NameGPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server4.
打开组策略管理编辑器(gpmc.
msc),并在目录的域控制器级别找到组策略对象(GPO)策略.
Note如果支持的域WorkSpaces是AWS托管的MicrosoftActiveDirectory,则必须创建并链接具有委派权限的域容器下的GPO.
有关更多信息,请参阅中的创建的内容AWSDirectoryServiceAdministrationGuide.
5.
选择Action(操作)和Edit(编辑).
6.
导航到以下设置:计算机配置\\策略\\Windows设置\\安全设置\\系统服务\\STXHD托管应用程序服务7.
在STXHDHostedApplicationServiceProperties(STXHD托管应用程序服务属性)对话框的SecurityPolicySetting(安全策略设置)选项卡上,选中Definethispolicysetting(定义此策略设置)复选框.
8.
在SelectServiceStartupMode(选择服务启动模式)下,选择Disabled(已禁用).
9.
选择OK(确定).
10.
在完成注册表编辑(步骤2)之前,阻止计算机重新启动.
步骤2:编辑注册表以禁用Web访问我们建议您通过GPO推送这些注册表更改.
1.
将以下注册表项值设置为1(已启用):KeyPath=WorkSpacesConfig\\update-webaccess.
ps1KeyName=RebootCountKeyType=DWORDKeyValue=12.
将以下注册表项值设置为4(已禁用):KeyPath=CurrentControlSet\\Services\\spacedeskHookKmodeKeyName=开始KeyType=DWORDKeyValue=43.
重启计算机.
177AmazonWorkSpaces管理指南同一用户名有多个WorkSpace,但用户只能登录其中一个WorkSpaces同一用户名有多个WorkSpace,但用户只能登录其中一个WorkSpaces如果您在ActiveDirectory(AD)中删除用户时未先删除其WorkSpace,然后将该用户添加回ActiveDirectory并为WorkSpace该用户创建新的,则同一用户名现在WorkSpaces将在同一目录中有两个.
但是,如果用户尝试连接到其原始WorkSpace,则将收到以下错误:"Unrecognizeduser.
NoWorkSpacefoundunderyourusername.
Contactyouradministratortorequestone.
"此外,在AmazonWorkSpaces控制台中搜索用户名仅返回新的WorkSpace,即使两者WorkSpaces仍然存在.
(您可以通过搜索WorkSpaceID而不是用户名WorkSpace来查找原始.
)如果在不先删除用户的的情况下重命名ActiveDirectory中的用户,也可能出现此行为WorkSpace.
如果您随后将其用户名改回原始用户名并为WorkSpace用户创建新的用户名,则同一用户名WorkSpaces将在目录中包含两个用户名.
出现此问题的原因是ActiveDirectory使用用户的安全标识符(SID)(而不是用户名)以唯一标识用户.
当删除某个用户并在ActiveDirectory中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的SID.
在搜索用户名时,AmazonWorkSpaces控制台使用SID搜索ActiveDirectory中的匹配项.
客户端AmazonWorkSpaces还使用SID来识别连接到的用户WorkSpaces.
要解决此问题,请执行下列操作之一:如果由于在ActiveDirectory中删除了用户并在其中重新创建了该用户而发生了此问题,并且在ActiveDirectory中启用了回收站功能.
,则您可能能够还原原始的已删除的用户对象.
如果您能够还原原始用户对象,请确保用户可以连接到其原始WorkSpace.
如果可以,您可以在手动备份并将任何用户数据从新的传输到原始WorkSpace(p.
108)后WorkSpace删除新的WorkSpace(如果需要).
如果您无法还原原始用户对象,请删除用户的原始WorkSpace(p.
108).
用户应该能够连接到并WorkSpace改用其新的.
请务必手动备份并将所有用户数据从原始传输到WorkSpace新的WorkSpace.
Warning删除WorkSpace是一项永久性操作,无法撤消.
WorkSpace用户的数据不会保留并会销毁.
要获取有关备份用户数据的帮助,请联系AWSSupport.
我在将Docker与结合使用时遇到问题AmazonWorkSpacesWindowsWorkSpacesWindows不支持嵌套虚拟化(包括使用WorkSpacesDocker).
有关更多信息,请参阅Docker文档.
LinuxWorkSpaces要在Linux上使用WorkSpacesDocker,请确保Docker使用的CIDR块不会与在与关联的两个弹性网络接口(ENIs)中使用的CIDR块重叠WorkSpace.
如果您在Linux上使用Docker时遇到问题WorkSpaces,请联系Docker寻求帮助.
我的一些API调用收到ThrottlingException错误AmazonWorkSpacesAPI调用的默认速率是一个恒定速率,为每秒两次API调用;允许的最大"突发"速率为每秒五次API调用.
下表显示了适用于API请求的突发速率限制.
178AmazonWorkSpaces管理指南我的一些API调用收到ThrottlingException错误秒发送的请求数允许的Net请求数详细信息105第一秒(第1秒)内允许发出五个请求,最高突发速率为每秒五次调用.
225由于在第1秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用.
355由于在第2秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用.
422因为在第3秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用.
532由于没有剩余的突发容量,此时仅允许进行两次调用.
这意味着剩余三次API调用的其中一次会受到限制.
在短暂的延迟后,受到限制的调用将发出响应.
601由于第5秒中的某次调用在第6秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第6秒中仅剩余一次额外调用的容量.
703现在,队列中不再有任何受限制的API调用,速率限制继续增加,直至达到五次调用的突发速率限制.
805由于在第7秒内没有发出调用,因此允许发送最大数量的请求.
905即使在第8秒没有发出任何调用,速率限制也不会增加到五次以上.
179AmazonWorkSpaces管理指南AmazonWorkSpaces配额以下是AmazonWorkSpaces您AWS账户的配额(也称为限制).
要请求增加配额,请使用AmazonWorkSpaces限制表单.
资源默认值描述可调整WorkSpaces1当前区域中此账户中WorkSpaces的最大数量.
是GraphicsWorkSpaces0当前区域中此账户中GraphicsWorkSpaces的最大数量.
是GraphicsProWorkSpaces0当前区域中此账户中GraphicsProWorkSpaces的最大数量.
是映像40当前区域中此账户中的最大映像数.
是服务包50当前区域中此账户的最大服务包数.
此配额仅适用于自定义服务包,不适用于公有服务包.
否连接别名20此账户在当前区域中的连接别名的最大数量.
否IP访问控制组100当前区域中此账户中IP访问控制组的最大数量.
否每个IP访问控制组的规则数10当前区域中此账户中每个IP访问控制组的规则的最大数量.
否每个目录的IP访问控制组数25当前区域中此账户中每个目录的IP访问控制组的最大数量.
否180AmazonWorkSpaces管理指南文档历史记录下表说明了2018年1月1日之后对AmazonWorkSpaces服务和AmazonWorkSpacesAdministrationGuide的重要更改.
我们还经常更新文档来处理您发送给我们的反馈意见.
如需有关这些更新的通知,您可以订阅AmazonWorkSpacesRSS源.
update-history-changeupdate-history-descriptionupdate-history-dateAmazonWorkSpacesbundlemanagementAPIsAmazonWorkSpacesbundlemanagementAPIsarenowavailable.
TheseAPIactionssupportcreation,deletion,andimageassociationoperationsforWorkSpacesbundles.
March15,2021AmazonWorkSpaces在中发布了亚太地区(孟买)AmazonWorkSpaces在中提供了亚太地区(孟买)区域.
March8,2021WorkSpacesStreamingProtocol(WSP)TheWorkSpacesStreamingProtocol(WSP)isnowavailableforbothlicense-included(WindowsServer2016)andBYOLWindows10-basedWorkSpacesonallbundletypesexceptforGraphicsandGraphicsPro.
WSPisalsoavailableforLinuxWorkSpacesintheAWSGovCloud(美国西部)区域.
December1,2020SmartCardsAmazonWorkSpacesnowsupportspre-session(login)andin-sessionsmartcardauthenticationonWindowsandLinuxWorkSpacesintheAWSGovCloud(美国西部)区域.
December1,2020ShareCustomImagesYoucannowsharecustomWorkSpacesimagesacrossAWSaccounts.
Afteranimagehasbeenshared,therecipientaccountcancopytheimageanduseittocreatebundlesforlaunchingnewWorkSpaces.
October1,2020Cross-RegionRedirectionYoucannowusecross-Regionredirection,afeaturethatworkswithyourDomainNameSystem(DNS)routingpoliciestoredirectyouruserstoalternativeWorkSpaceswhentheirprimaryWorkSpacesaren'tavailable.
September10,2020181AmazonWorkSpaces管理指南SubscribetoMicrosoftOffice2016or2019forBYOLWorkSpacesYoucannowsubscribetoMicrosoftOfficeProfessional2016or2019providedbyAWSonBringYourOwnWindowsLicense(BYOL)WorkSpaces.
September3,2020中国(宁夏)中的BYOL自动化您可以使用自带许可(BYOL)自动化来简化对中国(宁夏)中您的WorkSpace使用Windows10桌面许可的过程.
April2,2020映像检查程序映像检查程序工具可帮助您确定WindowsWorkSpace是否满足映像创建的要求.
映像检查程序对要用于创建映像的WorkSpace执行一系列测试,并提供有关如何解决它发现的任何问题的指导.
March30,2020迁移WorkSpaces通过AmazonWorkSpaces迁移功能,您可以将WorkSpace从一个捆绑包迁移到另一个捆绑包,同时将数据保留在用户卷上.
您可以使用此功能将WorkSpaces从Windows7桌面体验迁移到Windows10桌面体验.
您还可以使用此功能将WorkSpaces从一个公有或自定义捆绑包迁移到另一个相应的捆绑包.
January9,2020适用于AmazonWorkSpacesAPI的PrivateLink集成您可以通过VirtualPrivateCloud(VPC)中的接口终端节点直接连接到AmazonWorkSpacesAPI终端节点,而不是通过Internet进行连接.
当您使用VPC接口终端节点时,您的VPC与AmazonWorkSpacesAPI终端节点之间的通信完全在AWS网络内安全进行.
November25,2019AmazonWorkSpaces的Linux客户端用户现在可以使用Linux客户端访问其WorkSpace.
November25,2019AmazonWorkSpaces在中发布了中国(宁夏)AmazonWorkSpaces在中提供了中国(宁夏)区域.
November13,2019将WorkSpaces恢复到上次已知的正常运行状态您可以使用还原功能将WorkSpace回滚到其上次已知的正常运行状态.
September18,2019FIPS终端节点加密为了遵守联邦风险与授权管理计划(FedRAMP)或国防部(DoD)云计算安全要求指南(SRG),您可以配置AmazonWorkSpaces以在目录级别使用联邦信息处理标准(FIPS)终端节点加密.
September12,2019复制WorkSpace映像您可以在同一区域内或跨区域复制映像.
June27,2019182AmazonWorkSpaces管理指南早期更新适用于用户的自助服务WorkSpace管理功能您可以为用户启用自助服务WorkSpace管理功能,使他们能够更好地控制其体验.
November19,2018BYOL自动化您可以使用自带许可(BYOL)自动化来简化对您的WorkSpace使用Windows7和Windows10桌面许可的过程.
November16,2018PowerPro和GraphicsPro服务包PowerPro和GraphicsPro服务包现在可用于AmazonWorkSpaces.
October18,2018监控成功的WorkSpace登录您可以使用AmazonCloudWatchEvents中的事件监控并响应成功的WorkSpace登录.
September17,2018URI登录您可以使用统一资源标识符(URI)为用户对其WorkSpace的访问权限.
July31,2018AmazonLinuxWorkSpaces您可以为用户预置AmazonLinuxWorkSpaces.
June26,2018IP访问控制组您可以控制用户可以从中访问其WorkSpace的IP地址.
April30,2018就地升级您可以将Windows10BYOLWorkSpace升级为Windows10的较新版本.
March9,2018早期更新下表说明了2018年1月1日之前AmazonWorkSpaces服务及其文档集的重要补充部分.
更改描述日期灵活的计算选项您可以让WorkSpaces在经济、标准、高效和高级服务包之间切换2017年12月22日可配置存储您可以在启动WorkSpace后配置其根卷和用户卷的大小,还可以在稍后增加这些卷的大小.
2017年12月22日控制设备访问您可以指定有权访问WorkSpace的设备类型.
此外,您可以将WorkSpace的访问权限限定在受信任设备(也称为托管设备).
2017年6月19日林间信任您可以在AWS托管的MicrosoftAD与本地MicrosoftActiveDirectory域之间创建信任关系,然后为本地域中的用户预置WorkSpace.
2017年2月9日WindowsServer2016服务包AmazonWorkSpaces提供了包含Windows10桌面体验并由WindowsServer2016提供支持的服务包.
2016年11月29日按小时计费的WorkSpace您可以将WorkSpace配置为按小时为用户计费.
2016年8月18日183AmazonWorkSpaces管理指南早期更新更改描述日期Windows10BYOL您可以将Windows10桌面许可证提供给AmazonWorkSpaces(BYOL).
2016年7月21日标记支持您可以使用标签来管理和跟踪您的WorkSpace.
2016年5月17日已保存的注册每次输入新的注册代码时,WorkSpaces客户端都会将其保存.
这使您能够在不同目录或区域中的WorkSpace之间轻松切换.
2016年1月28日amazon-workspaces.
html您可以将Windows7桌面许可证提供给AmazonWorkSpaces(BYOL)以及使用WorkSpace加密.
2015年10月1日CloudWatchmonitoring添加了有关CloudWatch监控的信息.
2015年4月28日会话自动重新连接添加了有关WorkSpaces桌面客户端应用程序中会话自动重新连接功能的信息.
2015年3月31日公有IP地址您可以自动向WorkSpaces分配公有IP地址.
2015年1月23日AmazonWorkSpaceslaunchedin亚太区域(新加坡)AmazonWorkSpaces在亚太区域(新加坡)区域中可用.
2015年1月15日增加了经济服务包、标准服务包更新、增加了Office2013提供了经济服务包,升级了标准服务包硬件,并且在Plus软件包中提供了MicrosoftOffice2013.
2014年11月6日映像和服务包支持您可以从自定义的WorkSpace创建映像,再从该映像创建自定义WorkSpace服务包.
2014年10月28日PCoIP零客户端支持您可以访问AmazonWorkSpaces的PCoIP零客户端设备.
2014年10月15日AmazonWorkSpaceslaunchedin亚太区域(东京)AmazonWorkSpaces在亚太区域(东京)区域中可用.
2014年8月26日本地打印机支持您可以为WorkSpaces启用本地打印机支持.
2014年8月26日多重身份验证您可以在连接的目录中使用多重验证.
2014年8月11日默认OU支持和目标域支持您可以选择默认的组织部门(OU)(您的WorkSpace计算机账户位于其中)和单独的域(在其中创建了您的WorkSpace计算机帐户).
2014年7月7日添加安全组您可以向WorkSpaces添加安全组.
2014年7月7日AmazonWorkSpaceslaunchedin亚太区域(悉尼)AmazonWorkSpaces在亚太区域(悉尼)区域中可用.
2014年5月15日AmazonWorkSpaceslaunchedin欧洲(爱尔兰)AmazonWorkSpaces在欧洲(爱尔兰)区域中可用.
2014年5月5日公开测试版AmazonWorkSpaces公开测试版已推出.
2014年3月25日184AmazonWorkSpaces管理指南本文属于机器翻译版本.
若本译文内容与英语原文存在差异,则一律以英文原文为准.
clxxxv