Redirección entre regiones para Amazon WorkSpaces - Amazon WorkSpaces
Requisitos previosLimitaciones Paso 1: crear alias de conexión(Opcional) Paso 2: compartir un alias de conexión con otra cuentaPaso 3: asociar los alias de conexión a los directorios de cada regiónPaso 4: configurar el servicio de DNS y las políticas de enrutamiento de DNSPaso 5: envíe la cadena de conexión a sus usuarios WorkSpaces Diagrama de arquitectura de redireccionamiento entre regionesInicie la redirección entre regionesQué ocurre durante el redireccionamiento entre regionesDesasociar un alias de conexión de un directorioDejar de compartir un alias de conexiónEliminar un alias de conexiónPermisos de IAM para asociar y desasociar los alias de conexiónConsideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Redirección entre regiones para Amazon WorkSpaces

Con la función de redireccionamiento entre regiones de Amazon WorkSpaces, puedes usar un nombre de dominio completo (FQDN) como código de registro para tu. WorkSpaces La redirección entre regiones funciona con las políticas de enrutamiento del sistema de nombres de dominio (DNS) para redirigir a WorkSpaces los usuarios a una alternativa WorkSpaces cuando la principal no está disponible. WorkSpaces Por ejemplo, mediante políticas de enrutamiento de conmutación por error de DNS, puede conectar a sus usuarios a WorkSpaces la AWS región de conmutación por error especificada cuando no puedan acceder a la WorkSpaces región principal.

Puede utilizar el redireccionamiento entre regiones junto con sus políticas de enrutamiento de conmutación por error de DNS para lograr la resiliencia regional y una alta disponibilidad. También puede utilizar esta función para otros fines, como distribuir el tráfico o proporcionar alternativas WorkSpaces durante los períodos de mantenimiento. Si utiliza Amazon Route 53 para la configuración de DNS, puede aprovechar las comprobaciones de estado que supervisan CloudWatch las alarmas de Amazon.

Para utilizar esta función, debe configurarla WorkSpaces para sus usuarios en dos (o más) AWS regiones. También debe crear códigos de registro especiales basados en FQDN denominados alias de conexión. Estos alias de conexión sustituyen a los códigos de registro específicos de la región para sus usuarios. WorkSpaces (Los códigos de registro específicos de la región siguen siendo válidos; sin embargo, para que el redireccionamiento entre regiones funcione, los usuarios deben utilizar el FQDN como código de registro).

Para crear un alias de conexión, se especifica una cadena de conexión, que es su FQDN, como www.example.com o desktop.example.com. Para utilizar este dominio para el redireccionamiento entre regiones, debe registrarlo en un registrador de dominios y configurar el servicio DNS de su dominio.

Una vez creados los alias de conexión, debe asociarlos a los WorkSpaces directorios de distintas regiones para crear pares de asociaciones. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error. Si se produce una interrupción en la región principal, las políticas de enrutamiento de conmutación por error del DNS redirigen a WorkSpaces los usuarios a la WorkSpaces que haya configurado para ellos en la región de conmutación por error.

Para designar las regiones principales y de conmutación por error, debe definir la prioridad de la región (principal o secundaria) al configurar las políticas de enrutamiento de conmutación por error de DNS.

Requisitos previos

  • Debe ser propietario del dominio que desee utilizar como FQDN en sus alias de conexión y registrarlo. Si aún no utiliza otro registrador de dominios, puede utilizar Amazon Route 53 para registrar su dominio. Para obtener más información, consulte Registrar nombres de dominio mediante Amazon Route 53 en la Guía para desarrolladores de Amazon Route 53.

    importante

    Debes tener todos los derechos necesarios para usar cualquier nombre de dominio que utilices junto con Amazon WorkSpaces. Usted acepta que el nombre de dominio no infringe ni infringe los derechos legales de ningún tercero ni infringe de ningún otro modo la legislación aplicable.

    El nombre de dominio no puede superar los 255 caracteres. Para obtener más información sobre los nombres de dominio, consulte Formato de nombres de dominio DNS en la Guía para desarrolladores de Amazon Route 53.

    El redireccionamiento entre regiones funciona tanto con nombres de dominio públicos como con nombres de dominio en zonas DNS privadas. Si utilizas una zona de DNS privada, debes proporcionar una conexión de red privada virtual (VPN) a la nube privada virtual (VPC) que la contiene. WorkSpaces Si WorkSpaces los usuarios intentan utilizar un FQDN privado de la Internet pública, las aplicaciones WorkSpaces cliente muestran el siguiente mensaje de error:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Debe configurar su servicio de DNS y configurar las políticas de enrutamiento de DNS necesarias. La redirección entre regiones funciona junto con las políticas de enrutamiento de DNS para redirigir a WorkSpaces los usuarios según sea necesario.

  • En cada región principal y de conmutación por error en la que desee configurar la redirección entre regiones, cree para sus usuarios. WorkSpaces Asegúrese de utilizar los mismos nombres de usuario en cada directorio de cada WorkSpaces región. Para mantener sincronizados los datos de usuario de Active Directory, te recomendamos usar AD Connector para que apunte al mismo Active Directory en cada región en la que hayas configurado WorkSpaces para tus usuarios. Para obtener más información sobre la creación WorkSpaces, consulta Launch WorkSpaces.

    importante

    Si configura su directorio AWS gestionado de Microsoft AD para la replicación multirregional, solo podrá registrar el directorio de la región principal para su uso en Amazon WorkSpaces. Los intentos de registrar el directorio en una región replicada para su uso con Amazon WorkSpaces fallarán. La replicación multirregional con Microsoft AD AWS administrado no se admite para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

    Cuando haya terminado de configurar la redirección entre regiones, debe asegurarse de que sus WorkSpaces usuarios utilizan el código de registro basado en el FQDN en lugar del código de registro basado en la región (por ejemplo) para su región principal. WSpdx+ABC12D Para ello, debe enviarles un correo electrónico con la cadena de conexión del FQDN mediante el procedimiento descrito en Paso 5: envíe la cadena de conexión a sus usuarios WorkSpaces .

    nota

    Si crea los usuarios en la WorkSpaces consola en lugar de crearlos en Active Directory, envía WorkSpaces automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en la región cada vez que lance uno nuevo. WorkSpace Esto significa que, al configurar los usuarios en la región de conmutación WorkSpaces por error, estos también recibirán automáticamente correos electrónicos relacionados con estas conmutaciones por error. WorkSpaces Deberá indicar a sus usuarios que ignoren los correos electrónicos con códigos de registro basados en la región.

Limitaciones 

  • La redirección entre regiones no comprueba automáticamente si las conexiones a la región principal han fallado y, a continuación, se produce la conmutación por error a WorkSpaces otra región. En otras palabras, la conmutación por error automática no se produce.

    Para implementar un escenario de conmutación por error automática, debe utilizar algún otro mecanismo junto con el redireccionamiento entre regiones. Por ejemplo, puede usar una política de enrutamiento de DNS de conmutación por error de Amazon Route 53 junto con una comprobación de estado de Route 53 que monitorea una CloudWatch alarma en la región principal. Si se activa la CloudWatch alarma en la región principal, su política de enrutamiento de conmutación por error de DNS redirige a WorkSpaces los usuarios a la WorkSpaces que ha configurado para ellos en la región de conmutación por error.

  • Cuando utilizas la redirección entre regiones, los datos de los usuarios no se conservan entre distintas regiones. WorkSpaces Para garantizar que los usuarios puedan acceder a sus archivos desde distintas regiones, te recomendamos que configures Amazon WorkDocs para tus WorkSpaces usuarios, si Amazon WorkDocs es compatible con tus regiones principal y de conmutación por error. Para obtener más información sobre Amazon WorkDocs, consulta Amazon WorkDocs Drive en la Guía de WorkDocs administración de Amazon. Para obtener más información sobre cómo habilitar Amazon WorkDocs para tus WorkSpace usuarios, consulta Registrar un directorio en WorkSpaces yHabilitar Amazon WorkDocs para Microsoft AD administrado por AWS. Para obtener información sobre cómo WorkSpaces los usuarios pueden configurar Amazon WorkDocs en sus WorkSpaces, consulte Integrar con WorkDocs en la Guía del WorkSpaces usuario de Amazon.

  • La redirección entre regiones solo se admite en la versión 3.0.9 o posterior de las aplicaciones cliente de Linux, macOS y Windows WorkSpaces . También puede utilizar el redireccionamiento entre regiones con Acceso web.

  • La redirección entre regiones está disponible en todas AWSlas regiones en las que Amazon WorkSpaces está disponible, excepto en la región AWS GovCloud (US) Region s y en la región de China (Ningxia).

Paso 1: crear alias de conexión

Con la misma cuenta de AWS, cree el alias de conexión en cada región principal y de conmutación por error en la que desee configurar el redireccionamiento entre regiones.

Para crear un alias de conexión

  1. Abre la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Redireccionamiento entre regiones, elija Crear alias de conexión.

  5. En Cadena de conexión, introduzca un FQDN, como www.example.com o desktop.example.com. Cada cadena puede tener un máximo de 255 caracteres. Solo puede incluir letras (A-Z y a-z), números (0-9) y los siguientes caracteres: .-

    importante

    Después de crear una cadena de conexión, siempre estará asociada a su cuenta de AWS. No puede volver a crear una cadena de conexión con otra cuenta aunque haya eliminado todas las instancias de la cadena de conexión de la cuenta original. La cadena de conexión está reservada globalmente para tu cuenta.

  6. (Opcional) En Etiquetas, especifique las etiquetas que desee asociar a su alias de conexión.

  7. Elija Crear alias de conexión.

  8. Repita estos pasos, pero enPaso 2, asegúrese de seleccionar la región de conmutación por error correspondiente a su región. WorkSpaces Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de utilizar la misma cuenta de AWS para crear el alias de conexión en cada región de conmutación por error.

(Opcional) Paso 2: compartir un alias de conexión con otra cuenta

Puede compartir un alias de conexión con otra cuenta de AWS en la misma región de AWS. Al compartir un alias de conexión con otra cuenta se concede permiso a esa cuenta para asociar o desasociar dicho alias con un directorio propiedad de esa cuenta solo en la misma región. Solo la cuenta que posee un alias de conexión puede eliminarlo.

nota

Un alias de conexión se puede asociar con un solo directorio por región de AWS. Si comparte un alias de conexión con otra cuenta de AWS, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias con un directorio de esa región.

Para compartir un alias de conexión con otra cuenta de AWS

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola de, elija la región de AWS en la que desea compartir el alias de conexión con otra cuenta de AWS.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, Acciones, Compartir/dejar de compartir el alias de conexión.

    También puedes compartir un alias desde la página de detalles de su alias de conexión. Para ello, en Cuenta compartida, seleccione Compartir alias de conexión.

  5. En la página Compartir o dejar de compartir el alias de conexión, en Compartir con una cuenta, introduzca el ID de la cuenta de AWS con la que quiere compartir su alias de conexión en esta región de AWS.

  6. Elija Compartir.

Paso 3: asociar los alias de conexión a los directorios de cada región

Al asociar el mismo alias de conexión a un WorkSpaces directorio de dos o más regiones, se crea un par de asociaciones entre los directorios. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error.

Por ejemplo, si su región principal es la región EE.UU. Oeste (Oregón), puede emparejar el WorkSpaces directorio de la región EE.UU. Oeste (Oregón) con un WorkSpaces directorio de la región EE.UU. Este (Norte de Virginia). Si se produce una interrupción en la región principal, la redirección entre regiones funciona junto con sus políticas de enrutamiento de conmutación por error de DNS y cualquier comprobación de estado que haya realizado en la región EE.UU. Oeste (Oregón) para redirigir a sus usuarios a la región WorkSpaces que ha configurado para ellos en la región EE.UU. Este (Norte de Virginia). Para obtener más información sobre el redireccionamiento entre regiones, consulte Qué ocurre durante el redireccionamiento entre regiones.

nota

Si sus WorkSpaces usuarios se encuentran a una distancia considerable de la región de conmutación por error (por ejemplo, a miles de kilómetros de distancia), es posible que su WorkSpaces experiencia responda menos de lo habitual. Para comprobar el tiempo de ida y vuelta (RTT) a las distintas AWS regiones desde tu ubicación, utiliza el Amazon WorkSpaces Connection Health Check.

Para asociar un alias de conexión a un directorio

Puede asociar un alias de conexión con un solo directorio por región de AWS. Si ha compartido un alias de conexión con otra cuenta de AWS, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias con un directorio de esa región.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Acciones, Asociar/desasociar.

    También puede asociar un alias de conexión a un directorio desde la página de detalles del alias de conexión. Para ello, en Directorio asociado, seleccione Asociar directorio.

  5. En la página Asociar/desasociar, en Asociar a un directorio, seleccione el directorio al que desee asociar su alias de conexión en esta región de AWS.

    nota

    Si configura su directorio AWS gestionado de Microsoft AD para la replicación multirregional, solo podrá usar el directorio de la región principal con Amazon WorkSpaces. Los intentos de utilizar el directorio en una región replicada con Amazon WorkSpaces fallarán. La replicación multirregional con Microsoft AD AWS administrado no se admite para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

  6. Seleccione Asociar.

  7. Repita estos pasos, pero asegúrese de Paso 2 seleccionar la región de conmutación por error para su región. WorkSpaces Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de asociar el mismo alias de conexión a un directorio en cada región de conmutación por error.

Paso 4: configurar el servicio de DNS y las políticas de enrutamiento de DNS

Una vez que haya creado los alias de conexión y los pares de asociación de alias de conexión, podrá configurar el servicio DNS para el dominio que utilizó en las cadenas de conexión. Para ello, puede utilizar cualquier proveedor de servicios DNS. Si aún no tiene un proveedor de servicios de DNS preferido, puede utilizar Amazon Route 53. Para obtener más información, consulte Configuración de Amazon Route 53 como servicio DNS en la Guía para desarrolladores de Amazon Route 53.

Una vez que haya configurado el servicio de DNS para su dominio, debe configurar las políticas de enrutamiento de DNS que desee utilizar para el redireccionamiento entre regiones. Por ejemplo, puede utilizar las comprobaciones de estado de Amazon Route 53 para determinar si sus usuarios pueden conectarse a la WorkSpaces suya en una región determinada. Si sus usuarios no pueden conectarse, puede utilizar una política de conmutación por error de DNS para enrutar el tráfico de DNS de una región a otra.

Para obtener información sobre cómo dirigir las políticas, consulte Elección de una política de enrutado en la Guía para desarrolladores de Amazon Route 53. Para obtener más información sobre las comprobaciones de estado de Amazon Route 53, consulte Cómo verifica Amazon Route 53 el estado de los recursos en la Guía para desarrolladores de Amazon Route 53.

Al configurar las políticas de enrutamiento de DNS, necesitará el identificador de conexión para la asociación entre el alias de conexión y el WorkSpaces directorio de la región principal. También necesitará el identificador de conexión para la asociación entre el alias de conexión y el WorkSpaces directorio de la región o regiones de conmutación por error.

nota

El identificador de conexión no es el mismo que el identificador del alias de conexión. El identificador del alias de la conexión comienza por wsca-.

Para encontrar el identificador de conexión de una asociación de alias de conexión

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione el texto de la cadena de conexión (el FQDN) para ver la página de detalles del alias de la conexión.

  5. En la página de detalles del alias de conexión, en Directorio asociado, anote el valor que se muestra como identificador de conexión.

  6. Repita estos pasos, pero enPaso 2, asegúrese de seleccionar la región de conmutación por error correspondiente a su región. WorkSpaces Si tiene más de una región de conmutación por error, repita estos pasos para encontrar el identificador de conexión con cada región de conmutación por error.

Ejemplo: Para configurar una política de enrutamiento de conmutación por error de DNS mediante Route 53

En el siguiente ejemplo se configura una zona alojada pública para el dominio. Sin embargo, puede configurar una zona alojada pública o una zona alojada privada. Para obtener más información sobre cómo configurar una zona alojada, consulte Uso de zonas alojadas en la Guía para desarrolladores de Amazon Route 53.

En este ejemplo también se utiliza una política de enrutamiento de conmutación por error. Puede usar otros tipos de políticas de enrutamiento para su estrategia de redireccionamiento entre regiones. Para obtener información sobre cómo dirigir las políticas, consulte Elección de una política de enrutado en la Guía para desarrolladores de Amazon Route 53.

Al configurar una política de enrutamiento de conmutación por error en Route 53, es necesario comprobar el estado de la región principal. Para obtener más información sobre la creación de una comprobación de estado en Route 53, consulte Creación de comprobaciones de estado de Amazon Route 53 y configuración de la conmutación por error a nivel de DNS y Creación, actualización y eliminación de comprobaciones de estado en la Guía para desarrolladores de Amazon Route 53.

Si quieres usar una CloudWatch alarma de Amazon con tu chequeo de estado de Route 53, también tendrás que configurar una CloudWatch alarma para monitorear los recursos de tu región principal. Para obtener más información CloudWatch, consulta ¿Qué es Amazon CloudWatch? en la Guía del CloudWatch usuario de Amazon. Para obtener más información sobre cómo Route 53 utiliza CloudWatch las alarmas en sus comprobaciones de estado, consulte Cómo determina Route 53 el estado de las comprobaciones de estado que supervisan CloudWatch las alarmas y Monitorización de una CloudWatch alarma en la Guía para desarrolladores de Amazon Route 53.

Para configurar una política de enrutamiento de conmutación por error de DNS en Route 53, primero debe crear una zona alojada para su dominio.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas y, luego, Crear zona alojada.

  3. En la página Zona alojada creada, introduzca su nombre de dominio (por ejemplo example.com) en Nombre de dominio.

  4. En Tipo, seleccione Zona alojada pública.

  5. Elija Crear zona alojada.

A continuación, cree una comprobación de estado para su región principal.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, seleccione Comprobaciones de estado y, a continuación, Crear comprobación de estado.

  3. En la página Configurar la comprobación de estado, introduzca un nombre para la comprobación.

  4. En Qué controlar, seleccione Punto final, Estado de otros controles de estado (comprobación de estado calculada) o Estado de CloudWatch alarma.

  5. En función de lo que haya seleccionado en el paso anterior, configure la comprobación de estado y, a continuación, seleccione Siguiente.

  6. En la página Recibir una notificación cuando se produzca un error en la comprobación de estado, en Crear alarma, seleccione o No.

  7. Elija Crear comprobación de estado.

Una vez creada la comprobación de estado, podrá crear los registros de conmutación por error del DNS.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas.

  3. En la página Zonas alojadas, seleccione su nombre de dominio.

  4. En la página de detalles del nombre de dominio, seleccione Crear registro.

  5. En la página Elegir política de enrutamiento, seleccione Conmutación por error y, a continuación Siguiente.

  6. En la página Configurar registros, en Configuración básica, introduzca el nombre del subdominio en el campo Nombre del registro. Por ejemplo, si su FQDN es desktop.example.com, introduzca desktop.

    nota

    Si desea utilizar el dominio raíz, deje en blanco el campo Nombre del registro. Sin embargo, te recomendamos usar un subdominio, como desktop oworkspaces, a menos que hayas configurado el dominio únicamente para usarlo con tu WorkSpaces.

  7. En Tipo de registro, seleccione TXT: se usa para verificar los remitentes de correo electrónico y para valores específicos de la aplicación.

  8. Deje los valores predeterminados del campo Segundos de TTL.

  9. En Registros de conmutación por error para añadirlos a su_nombre_de_dominio, seleccione Definir registro de conmutación por error.

Ahora necesita configurar los registros de conmutación por error para sus regiones principal y de conmutación por error.

Ejemplo: Para configurar el registro de conmutación por error de su región principal

  1. En el cuadro de diálogo Definir registro de conmutación por error, en Valor/enrutar el tráfico a, seleccione la dirección IP u otro valor en función del tipo de registro.

  2. Se abre un cuadro en el que puede introducir las entradas de texto de muestra. Introduzca el identificador de conexión de la asociación de alias de conexión de su región principal.

  3. En Tipo de registro de conmutación por error, seleccione Principal.

  4. En Comprobación de estado, seleccione una comprobación de estado que haya creado para su región principal.

  5. En el campo ID de registro, introduzca una descripción para identificar este registro.

  6. Elija Definir registro de conmutación por error. El nuevo registro de conmutación por error aparece en Registros de conmutación por error para añadirlo a su_nombre_de_dominio.

Ejemplo: Para configurar el registro de conmutación por error de su región de conmutación por error

  1. En Registros de conmutación por error para añadirlos a su_nombre_de_dominio, seleccione Definir registro de conmutación por error.

  2. En el cuadro de diálogo Definir registro de conmutación por error, en Valor/enrutar el tráfico a, seleccione la dirección IP u otro valor en función del tipo de registro.

  3. Se abre un cuadro en el que puede introducir las entradas de texto de muestra. Introduzca el identificador de conexión de la asociación de alias de conexión de su región de conmutación por error.

  4. En Tipo de registro de conmutación por error, seleccione Secundario.

  5. (Opcional) En Comprobación de estado, introduzca una comprobación de estado que haya creado para su región de conmutación por error.

  6. En el campo ID de registro, introduzca una descripción para identificar este registro.

  7. Elija Definir registro de conmutación por error. El nuevo registro de conmutación por error aparece en Registros de conmutación por error para añadirlo a su_nombre_de_dominio.

Si la comprobación de estado que has configurado para tu región principal no es correcta, tu política de enrutamiento de conmutación por error de DNS redirige a WorkSpaces los usuarios a tu región de conmutación por error. Route 53 sigue supervisando la comprobación de estado de su región principal y, cuando la comprobación de estado de su región principal deja de fallar, Route 53 redirige automáticamente a WorkSpaces los usuarios a la región principal. WorkSpaces

Para obtener información acerca de cómo crear registros de DNS, consulte Creación de registros mediante la consola de Amazon Route 53 en la Guía del desarrollador de Amazon Route 53. Para obtener más información sobre cómo configurar registros TXT de DNS, consulte TXT record type en la Guía para desarrolladores de Amazon Route 53.

Paso 5: envíe la cadena de conexión a sus usuarios WorkSpaces

Para asegurarse de que sus usuarios WorkSpaces serán redirigidos según sea necesario durante una interrupción, debe enviar la cadena de conexión (FQDN) a sus usuarios. Si ya ha emitido códigos de registro basados en la región (por ejemploWSpdx+ABC12D) a sus WorkSpaces usuarios, dichos códigos seguirán siendo válidos. Sin embargo, para que la redirección entre regiones funcione, WorkSpaces los usuarios deben utilizar la cadena de conexión como código de registro al registrarlos WorkSpaces en la aplicación cliente. WorkSpaces

importante

Si crea los usuarios en la WorkSpaces consola en lugar de crearlos en Active Directory, envía WorkSpaces automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en la región (por ejemploWSpdx+ABC12D) cada vez que lance uno nuevo. WorkSpace Aunque ya haya configurado el redireccionamiento entre regiones, el correo electrónico de invitación que se envía automáticamente cuando se trata de un nuevo correo WorkSpaces contiene este código de registro basado en la región en lugar de la cadena de conexión.

Para asegurarse de que sus WorkSpaces usuarios utilizan la cadena de conexión en lugar del código de registro basado en la región, debe enviarles otro correo electrónico con la cadena de conexión mediante el procedimiento que se indica a continuación.

Para enviar la cadena de conexión a sus usuarios WorkSpaces

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elige. WorkSpaces

  4. En la WorkSpacespágina, utilice el cuadro de búsqueda para buscar un usuario al que desee enviar una invitación y, a continuación, seleccione el usuario correspondiente en los resultados WorkSpace de la búsqueda. Solo puede seleccionar uno WorkSpace a la vez.

  5. Seleccione Actions (Acciones), Invite User (Invitar usuario).

  6. En la WorkSpaces página Invitar a los usuarios a sus páginas, verás una plantilla de correo electrónico para enviarla a tus usuarios.

  7. (Opcional) Si hay más de un alias de conexión asociado a su WorkSpaces directorio, seleccione la cadena de conexión que desee que usen sus usuarios en la lista de cadenas de alias de conexión. La plantilla de correo electrónico se actualiza para mostrar la cadena que ha seleccionado.

  8. Copie el texto de la plantilla de correo electrónico y péguelo en un mensaje para los usuarios utilizando su propia aplicación de correo electrónico. En su aplicación de correo electrónico, puede modificar el texto según necesite. Cuando el correo electrónico de invitación esté listo, envíelo a los usuarios.

Diagrama de arquitectura de redireccionamiento entre regiones

El siguiente diagrama describe el proceso de implementación de la redirección entre regiones.

Redireccionamiento entre regiones
nota

La redirección entre regiones solo facilita la conmutación por error y la recuperación entre regiones. No facilita la creación y el mantenimiento WorkSpaces en la región secundaria y no permite la replicación de datos entre regiones. WorkSpaces tanto en la región principal como en la secundaria, deben gestionarse por separado.

Inicie la redirección entre regiones

En caso de que se produzca una interrupción, puede actualizar los registros de DNS manualmente o utilizar políticas de enrutamiento automatizadas basadas en las comprobaciones de estado, que determinan la región de conmutación por error. Recomendamos seguir los mecanismos de recuperación ante desastres descritos en Creación de mecanismos de recuperación ante desastres con Amazon Route 53.

Qué ocurre durante el redireccionamiento entre regiones

Durante la conmutación por error regional, WorkSpaces los usuarios se desconectan de los WorkSpaces de la región principal. Cuando intentan volver a conectarse, aparece el siguiente mensaje de error:

We can't connect to your WorkSpace. Check your network connection, and then try again.

A continuación, se pedirá a los usuarios que inicien sesión de nuevo. Si utilizan el FQDN como código de registro, cuando vuelvan a iniciar sesión, sus políticas de enrutamiento de conmutación por error de DNS los redirigirán a la WorkSpaces que usted haya configurado para ellos en la región de conmutación por error.

nota

En algunos casos, es posible que los usuarios no puedan volver a conectarse cuando se registren de nuevo. Si se produce este comportamiento, deben cerrar y reiniciar la aplicación WorkSpaces cliente y, a continuación, intentar volver a iniciar sesión.

Desasociar un alias de conexión de un directorio

Solo la cuenta propietaria de un directorio puede disociar un alias de conexión del directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para disociar el alias de conexión del directorio.

Para disociar un alias de conexión de un directorio

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola de, elija la región de AWS que contiene el alias de conexión que desea desasociar.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Acciones, Asociar/desasociar.

    También puede disociar un alias de conexión de la página de detalles del alias de conexión. Para ello, en Directorio asociado, seleccione Desasociar.

  5. En la página Asociar/desasociar, seleccione Desasociar.

  6. En el cuadro de diálogo que le pide que confirme la disociación, seleccione Desasociar.

Dejar de compartir un alias de conexión

Solo el propietario de un alias de conexión puede dejar de compartir el alias. Si deja de compartir un alias de conexión con una cuenta, esa cuenta ya no podrá asociar el alias de conexión a un directorio.

Para dejar de compartir un alias de conexión

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, elija la región de AWS que contiene el alias de conexión que desea dejar de compartir.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, Acciones, Compartir/dejar de compartir el alias de conexión.

    También puede dejar de compartir un alias de conexión desde la página de detalles del alias de conexión. Para ello, en Cuenta compartida, selecciona Dejar de compartir.

  5. En la página Compartir/dejar de compartir alias de conexión, seleccione Dejar de compartir.

  6. En el cuadro de diálogo que te pide que confirmes que no se comparte el alias de conexión, seleccione Dejar de compartir.

Eliminar un alias de conexión

Puedes eliminar un alias de conexión solo si es propiedad de tu cuenta y si no está asociado a un directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para disociar el alias de conexión del directorio y poder eliminar el alias de conexión.

importante

Después de crear una cadena de conexión, siempre estará asociada a su cuenta de AWS. No puede volver a crear una cadena de conexión con otra cuenta aunque haya eliminado todas las instancias de la cadena de conexión de la cuenta original. La cadena de conexión está reservada globalmente para tu cuenta.

aviso

Si ya no va a utilizar un FQDN como código de registro para sus WorkSpaces usuarios, debe tomar ciertas precauciones para evitar posibles problemas de seguridad. Para obtener más información, consulte Consideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones.

Para eliminar un alias de conexión

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, elija la región de AWS que contiene el alias de conexión que desea eliminar.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Eliminar.

    También puede eliminar un alias de conexión de la página de detalles del alias de conexión. En la parte superior derecha de la página, elija Eliminar.

    nota

    Si el botón Eliminar está desactivado, asegúrese de ser el propietario del alias y de que el alias no esté asociado a un directorio.

  5. En el cuadro de diálogo que le pide que confirme la eliminación, seleccione Eliminar.

Permisos de IAM para asociar y desasociar los alias de conexión

Si utiliza un usuario de IAM para asociar o desasociar los alias de conexión, el usuario debe tener permisos para workspaces:AssociateConnectionAlias y workspaces:DisassociateConnectionAlias.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
importante

Si va a crear una política de IAM para asociar o desasociar los alias de conexión para las cuentas que no son propietarios de los alias de conexión, no puede especificar un ID de cuenta en el ARN. En su lugar, debe utilizar * para el ID de cuenta, como se muestra en la siguiente directiva de ejemplo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Puede especificar un ID de cuenta en el ARN solo cuando esa cuenta sea propietaria del alias de conexión que se va a asociar o disociar.

Para obtener más información acerca de cómo trabajar con IAM, consulte Gestión de identidades y accesos para WorkSpaces.

Consideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones

Si ya no va a utilizar un FQDN como código de registro para sus WorkSpaces usuarios, debe tomar las siguientes precauciones para evitar posibles problemas de seguridad:

  • Asegúrese de emitir a sus WorkSpaces usuarios el código de registro específico de la región (por ejemploWSpdx+ABC12D) para su WorkSpaces directorio e indicarles que dejen de usar el FQDN como código de registro.

  • Si aún es propietario de este dominio, asegúrese de actualizar su registro TXT de DNS para eliminarlo de forma que no pueda utilizarse en un ataque de suplantación de identidad. Si eliminas este dominio de tu registro TXT de DNS y tus WorkSpaces usuarios intentan usar el FQDN como código de registro, sus intentos de conexión fallarán sin problemas.

  • Si ya no eres propietario de este dominio, tus WorkSpaces usuarios deberán usar el código de registro específico de su región. Si siguen intentando utilizar el FQDN como código de registro, sus intentos de conexión podrían redirigirse a un sitio malintencionado.