Redirection entre régions pour Personal WorkSpaces

Grâce à la fonctionnalité de redirection entre régions d'Amazon WorkSpaces, vous pouvez utiliser un nom de domaine complet (FQDN) comme code d'enregistrement pour votre. WorkSpaces La redirection entre régions fonctionne avec les politiques de routage de votre système de noms de domaine (DNS) pour rediriger vos WorkSpaces utilisateurs vers une alternative WorkSpaces lorsque leur serveur principal WorkSpaces n'est pas disponible. Par exemple, en utilisant des politiques de routage de basculement DNS, vous pouvez connecter vos utilisateurs WorkSpaces à la AWS région de basculement que vous avez spécifiée lorsqu'ils ne peuvent pas accéder WorkSpaces à leur région principale.

Vous pouvez utiliser la redirection entre régions ainsi que vos stratégies de routage de basculement DNS pour garantir une résilience régionale et une haute disponibilité. Vous pouvez également utiliser cette fonctionnalité à d'autres fins, telles que la distribution du trafic ou la fourniture d'une alternative WorkSpaces pendant les périodes de maintenance. Si vous utilisez Amazon Route 53 pour votre configuration DNS, vous pouvez tirer parti des contrôles de santé qui surveillent les CloudWatch alarmes Amazon.

Pour utiliser cette fonctionnalité, vous devez la configurer WorkSpaces pour vos utilisateurs dans deux AWS régions (ou plus). Vous devez également créer des codes d'enregistrement spéciaux basés sur un FQDN, appelés alias de connexion. Ces alias de connexion remplacent les codes d'enregistrement spécifiques à la région pour vos utilisateurs. WorkSpaces (Les codes d'enregistrement spécifiques à la région restent valides. Toutefois, pour que la redirection entre régions fonctionne, les utilisateurs doivent plutôt utiliser le FQDN comme code d'enregistrement.)

Pour créer un alias de connexion, vous spécifiez une chaîne de connexion, qui est un FQDN, comme www.example.com ou desktop.example.com. Afin d'utiliser ce domaine pour la redirection entre régions, vous devez l'enregistrer auprès d'un bureau d'enregistrement de domaines, et configurer le service DNS pour votre domaine.

Après avoir créé vos alias de connexion, vous les associez à vos WorkSpaces annuaires dans différentes régions pour créer des paires d'associations. Chaque paire d'associations comporte une région principale et une ou plusieurs régions de basculement. En cas de panne dans la région principale, vos politiques de routage de basculement DNS redirigent vos WorkSpaces utilisateurs vers celui WorkSpaces que vous avez configuré pour eux dans la région de basculement.

Pour désigner les régions principale et de basculement, vous définissez la priorité de la région (principale ou secondaire) lors de la configuration de vos stratégies de routage de basculement DNS.

Prérequis

• Vous devez posséder et enregistrer le domaine que vous souhaitez utiliser comme FQDN dans les alias de connexion. Si vous n'utilisez pas déjà un autre bureau d'enregistrement de domaines, vous pouvez enregistrer votre domaine avec Amazon Route 53. Pour plus d'informations, consultez Enregistrement et gestion des domaines à l'aide d'Amazon Route 53 dans le Guide du développeur Amazon Route 53.

  Important

  Vous devez disposer de tous les droits nécessaires pour utiliser tout nom de domaine que vous utilisez conjointement avec Amazon WorkSpaces. Vous admettez que le nom de domaine ne viole ni ne porte atteinte aux droits légaux d'un tiers, ni n'enfreint, de quelque manière que ce soit, la loi applicable.

  La longueur totale de votre nom de domaine ne doit pas dépasser 255 caractères. Pour plus d'informations sur les noms de domaine, consultez Format de nom de domaine DNS dans le Guide du développeur Amazon Route 53.

  La redirection entre régions fonctionne à la fois avec les noms de domaine publics et les noms de domaine des zones DNS privées. Si vous utilisez une zone DNS privée, vous devez fournir une connexion de réseau privé virtuel (VPN) au cloud privé virtuel (VPC) qui contient votre. WorkSpaces Si vos WorkSpaces utilisateurs tentent d'utiliser un FQDN privé depuis l'Internet public, les applications WorkSpaces clientes renvoient le message d'erreur suivant :

  "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

• Vous devez configurer votre service DNS et les stratégies de routage DNS nécessaires. La redirection entre régions fonctionne en conjonction avec vos politiques de routage DNS pour rediriger vos WorkSpaces utilisateurs selon les besoins.

• Dans chaque région principale et de basculement dans laquelle vous souhaitez configurer la redirection entre régions, créez-en WorkSpaces pour vos utilisateurs. Assurez-vous d'utiliser les mêmes noms d'utilisateur dans chaque WorkSpaces répertoire de chaque région. Pour synchroniser les données de vos utilisateurs Active Directory, nous vous recommandons d'utiliser AD Connector pour pointer vers le même Active Directory dans chaque région que vous avez configurée WorkSpaces pour vos utilisateurs. Pour plus d'informations sur la création WorkSpaces, consultez Launch WorkSpaces.

  Important

  Si vous configurez votre annuaire Microsoft AD AWS géré pour une réplication multirégionale, seul le répertoire de la région principale peut être enregistré pour être utilisé auprès d'Amazon WorkSpaces. Les tentatives d'enregistrement du répertoire dans une région répliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

  Lorsque vous avez terminé de configurer la redirection entre régions, vous devez vous assurer que vos WorkSpaces utilisateurs utilisent le code d'enregistrement basé sur le FQDN au lieu du code d'enregistrement basé sur la région (par exemple,WSpdx+ABC12D) pour leur région principale. Pour ce faire, vous devez leur envoyer un e-mail avec la chaîne de connexion FQDN en suivant la procédure décrite à l'Étape 5 : envoyer la chaîne de connexion à vos WorkSpaces utilisateurs.

  Note

  Si vous créez vos utilisateurs dans la WorkSpaces console au lieu de les créer dans Active Directory, envoie WorkSpaces automatiquement un e-mail d'invitation à vos utilisateurs avec un code d'enregistrement basé sur la région chaque fois que vous lancez un nouveau. WorkSpace Cela signifie que lorsque vous configurez la région de basculement WorkSpaces pour vos utilisateurs, ceux-ci recevront également automatiquement des e-mails les concernant. WorkSpaces Vous devrez demander aux utilisateurs d'ignorer les e-mails contenant des codes d'enregistrement basés sur la région.

Limites

• La redirection entre régions ne vérifie pas automatiquement si les connexions à la région principale ont échoué, puis vous WorkSpaces redirige vers une autre région. En d'autres termes, aucun basculement automatique ne se produit.

  Pour implémenter un scénario de basculement automatique, vous devez utiliser un autre mécanisme conjointement avec la redirection entre régions. Par exemple, vous pouvez utiliser une politique de routage DNS en cas de basculement d'Amazon Route 53 associée à un bilan de santé de Route 53 qui surveille une CloudWatch alarme dans la région principale. Si l' CloudWatch alarme est déclenchée dans la région principale, votre politique de routage de basculement DNS redirige ensuite vos WorkSpaces utilisateurs vers WorkSpaces celle que vous avez configurée pour eux dans la région de basculement.

• Lorsque vous utilisez la redirection entre régions, les données utilisateur ne sont pas conservées d'une région WorkSpaces à l'autre. Pour garantir que les utilisateurs puissent accéder à leurs fichiers depuis différentes régions, nous vous recommandons de configurer Amazon WorkDocs pour vos WorkSpaces utilisateurs, si Amazon WorkDocs est pris en charge dans votre région principale et dans votre région de basculement. Pour plus d'informations sur Amazon WorkDocs, consultez Amazon WorkDocs Drive dans le guide d' WorkDocs administration Amazon. Pour plus d'informations sur l'activation d'Amazon WorkDocs pour vos WorkSpace utilisateurs, consultez Enregistrer un annuaire avec WorkSpaces Personal etActivation d'Amazon WorkDocs pour AWS Managed Microsoft AD. Pour plus d'informations sur la manière dont WorkSpaces les utilisateurs peuvent configurer Amazon WorkDocs sur leur compte WorkSpaces, consultez la section Intégrer avec WorkDocs dans le guide de WorkSpaces l'utilisateur Amazon.

• La redirection entre régions n'est prise en charge que sur les versions 3.0.9 ou ultérieures des applications WorkSpaces clientes Linux, macOS et Windows. Vous pouvez également utiliser la redirection entre régions avec Web Access.

• La redirection entre régions est disponible dans toutes les AWS régions où Amazon WorkSpaces est disponible, à l'exception de la région AWS GovCloud (US) Region s et de la Chine (Ningxia).

Étape 1 : Créer des alias de connexion

À l'aide du même AWS compte, créez des alias de connexion dans chaque région principale et de reprise où vous souhaitez configurer la redirection entre régions.

Pour créer un alias de connexion

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Redirection entre régions, choisissez Créer un alias de connexion.

5. Pour Chaîne de connexion, entrez un FQDN, tel que www.example.com ou desktop.example.com. Une chaîne de connexion peut comporter un maximum de 255 caractères. Elle ne peut contenir que des lettres (A-Z et a-z), des chiffres (0-9) et les caractères suivants : .-

   Important

   Une fois que vous avez créé une chaîne de connexion, celle-ci est toujours associée à votre AWS compte. Vous ne pouvez pas recréer la même chaîne de connexion avec un autre compte, même si vous avez supprimé toutes ses instances du compte d'origine. La chaîne de connexion est globalement réservée à votre compte.

6. (Facultatif) Sous Balises, spécifiez les balises que vous souhaitez associer à votre alias de connexion.

7. Choisissez Créer un alias de connexion.

8. Répétez ces étapes, mais assurez-vous de Étape 2 sélectionner la région de basculement correspondant à votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pour chacune d'entre elles. Veillez à utiliser le même AWS compte pour créer l'alias de connexion dans chaque région de basculement.

(Facultatif) Étape 2 : Partager un alias de connexion avec un autre compte

Vous pouvez partager un alias de connexion avec un autre AWS compte de la même AWS région. Le partage d'un alias de connexion avec un autre compte accorde à ce dernier l'autorisation d'associer ou d'annuler l'association de cet alias à un répertoire appartenant à ce compte dans la même région uniquement. Seul le compte qui possède un alias de connexion peut supprimer cet alias.

Note

Un alias de connexion ne peut être associé qu'à un seul répertoire par AWS région. Si vous partagez un alias de connexion avec un autre AWS compte, un seul compte (votre compte ou le compte partagé) peut associer l'alias à un répertoire dans cette région.

Pour partager un alias de connexion avec un autre AWS compte

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région dans laquelle vous souhaitez partager l'alias de connexion avec un autre AWS compte.

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Partager/annuler le partage de l'alias de connexion.

   Vous pouvez également partager un alias depuis la page des détails de votre alias de connexion. Pour ce faire, sous Compte partagé, choisissez Partager l'alias de connexion.

5. Sur la page Partager ou annuler le partage de l'alias de connexion, sous Partager avec un compte, entrez l'ID du AWS compte avec lequel vous souhaitez partager votre alias de connexion dans cette région. AWS

6. Choisissez Partager.

Étape 3 : Associer des alias de connexion aux annuaires de chaque région

L'association du même alias de connexion à un WorkSpaces répertoire dans deux régions ou plus crée une paire d'associations entre les répertoires. Chaque paire d'associations comporte une région principale et une ou plusieurs régions de basculement.

Par exemple, si votre région principale est la région USA Ouest (Oregon), vous pouvez associer votre WorkSpaces annuaire de la région USA Ouest (Oregon) à un WorkSpaces annuaire de la région USA Est (Virginie du Nord). En cas de panne dans la région principale, la redirection entre régions fonctionne conjointement avec vos politiques de routage en cas de basculement du DNS et avec tous les contrôles de santé que vous avez mis en place dans la région USA Ouest (Oregon) afin de rediriger vos utilisateurs vers la région que WorkSpaces vous avez configurée pour eux dans la région USA Est (Virginie du Nord). Pour plus d'informations sur l'expérience de redirection entre régions, consultez Que se passe-t-il lors de la redirection entre régions.

Note

Si vos WorkSpaces utilisateurs se trouvent à une distance significative de la région de basculement (par exemple, à des milliers de kilomètres), leur WorkSpaces expérience risque d'être moins réactive que d'habitude. Pour vérifier la durée du trajet aller-retour (RTT) vers les différentes AWS régions depuis votre lieu de résidence, utilisez l'Amazon Connection WorkSpaces Health Check.

Pour associer un alias de connexion à un annuaire

Vous ne pouvez associer un alias de connexion qu'à un seul répertoire par AWS région. Si vous avez partagé un alias de connexion avec un autre AWS compte, un seul compte (votre compte ou le compte partagé) peut associer l'alias à un répertoire dans cette région.

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Associer/Dissocier.

   Vous pouvez également associer un alias de connexion à un annuaire depuis la page des détails de votre alias de connexion. Pour ce faire, sous Répertoire associé, choisissez Associer le répertoire.

5. Sur la page Associer/dissocier, sous Associer à un répertoire, sélectionnez le répertoire auquel vous souhaitez associer votre alias de connexion dans cette région. AWS

   Note

   Si vous configurez votre répertoire Microsoft AD AWS géré pour une réplication multirégionale, seul le répertoire de la région principale peut être utilisé avec Amazon WorkSpaces. Les tentatives d'utilisation de l'annuaire dans une région répliquée avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

6. Choisissez Associer.

7. Répétez ces étapes, mais assurez-vous de Étape 2 sélectionner la région de basculement correspondant à votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pour chacune d'entre elles. Assurez-vous d'associer le même alias de connexion à un annuaire dans chaque région de basculement.

Étape 4 : Configurer le service DNS et définir les stratégies de routage DNS

Après avoir créé vos alias de connexion et vos paires d'associations d'alias de connexion, vous pouvez configurer le service DNS pour le domaine que vous avez utilisé dans vos chaînes de connexion. Vous pouvez utiliser n'importe quel fournisseur de services DNS à cette fin. Si vous ne disposez pas déjà d'un fournisseur de services DNS préféré, vous pouvez utiliser Amazon Route 53. Pour plus d'informations, consultez Configuration d'Amazon Route 53 en tant que service DNS dans le Guide du développeur Amazon Route 53.

Après avoir configuré le service DNS pour votre domaine, vous devez définir les stratégies de routage DNS que vous souhaitez utiliser pour la redirection entre régions. Par exemple, vous pouvez utiliser les bilans de santé d'Amazon Route 53 pour déterminer si vos utilisateurs peuvent se connecter à leur WorkSpaces compte dans une région donnée. Si les utilisateurs ne peuvent pas se connecter, vous pouvez utiliser une stratégie de basculement DNS pour acheminer votre trafic DNS d'une région à l'autre.

Pour plus d'informations sur les stratégies de routage DNS, consultez Sélection d'une stratégie de routage dans le Guide du développeur Amazon Route 53. Pour plus d'informations sur la surveillance de l'état Amazon Route 53, consultez Comment Amazon Route 53 vérifie l'état de vos ressources dans le Guide du développeur Amazon Route 53.

Lorsque vous configurez vos politiques de routage DNS, vous aurez besoin de l'identifiant de connexion pour l'association entre l'alias de connexion et le WorkSpaces répertoire dans la région principale. Vous aurez également besoin de l'identifiant de connexion pour l'association entre l'alias de connexion et le WorkSpaces répertoire dans votre ou vos régions de basculement.

Note

L'identifiant de connexion est différent de l'identifiant d'alias de connexion. L'identifiant d'alias de connexion commence par wsca-.

Pour rechercher l'identifiant de connexion d'une association d'alias de connexion

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Associations de redirection entre régions, sélectionnez le texte de la chaîne de connexion (le FQDN) pour afficher la page des détails de l'alias de connexion.

5. Sur la page des détails de votre alias de connexion, sous Répertoire associé, notez la valeur affichée pour Identifiant de connexion.

6. Répétez ces étapes, mais assurez-vous de Étape 2 sélectionner la région de basculement correspondant à votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes afin de rechercher l'identifiant de connexion pour chaque région de basculement.

Exemple : Pour configurer une stratégie de routage de basculement DNS à l'aide de Route 53

L'exemple suivant configure une zone hébergée publique pour votre domaine. Toutefois, vous pouvez configurer une zone hébergée publique ou privée. Pour plus d'informations sur la configuration d'une zone hébergée, consultez Utilisation des zones hébergées dans le Guide du développeur Amazon Route 53.

Cet exemple utilise également une stratégie de routage de basculement. Vous pouvez utiliser d'autres types de stratégies de routage pour votre stratégie de redirection entre régions. Pour plus d'informations sur les stratégies de routage DNS, consultez Sélection d'une stratégie de routage dans le Guide du développeur Amazon Route 53.

Lorsque vous configurez une stratégie de routage de basculement dans Route 53, une surveillance de l'état est requise pour la région principale. Pour plus d'informations sur la création d'une surveillance de l'état dans Route 53, consultez Création de vérifications d'état Amazon Route 53 et configuration du basculement DNS et Création, mise à jour et suppression de surveillances de l'état dans le Guide du développeur Amazon Route 53.

Si vous souhaitez utiliser une CloudWatch alarme Amazon pour votre bilan de santé de la Route 53, vous devez également configurer une CloudWatch alarme pour surveiller les ressources de votre région principale. Pour plus d'informations CloudWatch, consultez Qu'est-ce qu'Amazon CloudWatch ? dans le guide de CloudWatch l'utilisateur Amazon. Pour plus d'informations sur la façon dont Route 53 utilise les CloudWatch alarmes dans ses bilans de santé, consultez Comment Route 53 détermine l'état des bilans de santé qui surveillent les CloudWatch alarmes et Surveillance CloudWatch d'une alarme dans le manuel du développeur Amazon Route 53.

Pour configurer une stratégie de routage de basculement DNS dans Route 53, vous devez d'abord créer une zone hébergée pour votre domaine.

1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

2. Dans le panneau de navigation, choisissez Zones hébergées, puis choisissez Créer une zone hébergée.

3. Sur la page Zone hébergée créée, entrez votre nom de domaine (tel que example.com) sous Nom de domaine.

4. Sous Type, sélectionnez Zone hébergée publique.

5. Choisissez Créer une zone hébergée.

Créez ensuite une surveillance de l'état pour votre région principale.

1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

2. Dans le volet de navigation, choisissez Vérifications de l'état, puis Créer une vérification de l'état.

3. Sur la page Configurer la vérification de l'état, entrez le nom de la surveillance de l'état.

4. Pour Éléments à surveiller, sélectionnez Endpoint, État des autres bilans de santé (bilan de santé calculé) ou État de l' CloudWatch alarme.

5. En fonction de ce que vous avez sélectionné à l'étape précédente, configurez votre surveillance de l'état, puis choisissez Suivant.

6. Sur la page M'avertir quand une vérification de l'état échoue pour Créer une alarme, choisissez Oui ou Non.

7. Choisissez Créer une vérification de l'état.

Une fois que vous avez créé votre surveillance de l'état, vous pouvez créer les enregistrements de basculement DNS.

1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

2. Dans le panneau de navigation, choisissez Zones hébergées.

3. Sur la page Zones hébergées, sélectionnez votre nom de domaine.

4. Sur la page des détails de votre nom de domaine, choisissez Créer un enregistrement.

5. Sur la page Choisir une stratégie de routage, sélectionnez Basculement, puis Suivant.

6. Sur la page Configurer les enregistrements, sous Configuration de base, entrez le nom de votre sous-domaine dans le champ Nom de l'enregistrement. Par exemple, si votre nom de domaine complet (FQDN) est desktop.example.com, entrezdesktop.

   Note

   Si vous souhaitez utiliser le domaine racine, laissez le champ Nom de l'enregistrement vide. Cependant, nous vous recommandons d'utiliser un sous-domaine, tel que desktop ouworkspaces, sauf si vous avez configuré le domaine uniquement pour une utilisation avec votre WorkSpaces.

7. Pour Type d'enregistrement, sélectionnez TXT – Utilisé pour vérifier les expéditeurs d'e-mails et pour les valeurs spécifiques à l'application.

8. Conservez les paramètres de secondes TTL par défaut.

9. Sous Enregistrements de basculement à ajouter à votre_nom_de_domaine, choisissez Définir un enregistrement de basculement.

Vous devez maintenant configurer les enregistrements de basculement pour vos régions principale et de basculement.

Exemple : Pour configurer l'enregistrement de basculement pour votre région principale

1. Dans la boîte de dialogue Définir un enregistrement de basculement, pour Évaluer/Acheminer le trafic vers, sélectionnez Adresse IP ou une autre valeur en fonction du type d'enregistrement.

2. Une boîte de dialogue s'ouvre pour vous permettre de saisir vos exemples de texte. Entrez l'identifiant de connexion pour l'association d'alias de connexion de votre région principale.

3. Pour Type d'enregistrement de basculement, sélectionnez Principale.

4. Pour Vérification de l'état, sélectionnez une surveillance de l'état que vous avez créée pour votre région principale.

5. Pour ID d'enregistrement, entrez une description afin d'identifier cet enregistrement.

6. Choisissez Définir un enregistrement de basculement. Votre nouvel enregistrement de basculement apparaît sous Enregistrements de basculement à ajouter à votre_nom_de_domaine.

Exemple : Pour configurer l'enregistrement de basculement pour votre région de basculement

1. Sous Enregistrements de basculement à ajouter à votre_nom_de_domaine, choisissez Définir un enregistrement de basculement.

2. Dans la boîte de dialogue Définir un enregistrement de basculement, pour Évaluer/Acheminer le trafic vers, sélectionnez Adresse IP ou une autre valeur en fonction du type d'enregistrement.

3. Une boîte de dialogue s'ouvre pour vous permettre de saisir vos exemples de texte. Entrez l'identifiant de connexion pour l'association d'alias de connexion de votre région de basculement.

4. Pour Type d'enregistrement de basculement, sélectionnez Secondaire.

5. (Facultatif) Dans Vérification de l'état, entrez une surveillance de l'état que vous avez créée pour votre région de basculement.

6. Pour ID d'enregistrement, entrez une description afin d'identifier cet enregistrement.

7. Choisissez Définir un enregistrement de basculement. Votre nouvel enregistrement de basculement apparaît sous Enregistrements de basculement à ajouter à votre_nom_de_domaine.

Si le bilan de santé que vous avez configuré pour votre région principale échoue, votre politique de routage de basculement DNS redirige vos WorkSpaces utilisateurs vers votre région de basculement. Route 53 continue de surveiller le bilan de santé de votre région principale, et lorsque le bilan de santé de votre région principale n'échoue plus, Route 53 redirige automatiquement vos WorkSpaces utilisateurs vers leur WorkSpaces région principale.

Pour plus d'informations sur la création d'enregistrements DNS, consultez Création d'enregistrements à l'aide de la console Amazon Route 53 dans le Guide du développeur Amazon Route 53. Pour plus d'informations sur la configuration des enregistrements TXT DNS, consultez Type d'enregistrement TXT dans le Guide du développeur Amazon Route 53.

Étape 5 : envoyer la chaîne de connexion à vos WorkSpaces utilisateurs

Pour vous assurer que vos utilisateurs WorkSpaces seront redirigés selon les besoins en cas de panne, vous devez envoyer la chaîne de connexion (FQDN) à vos utilisateurs. Si vous avez déjà délivré des codes d'enregistrement régionaux (par exemple,WSpdx+ABC12D) à vos WorkSpaces utilisateurs, ces codes restent valides. Toutefois, pour que la redirection entre régions fonctionne, vos WorkSpaces utilisateurs doivent utiliser la chaîne de connexion comme code d'enregistrement lorsqu'ils les enregistrent WorkSpaces dans l'application WorkSpaces cliente.

Important

Si vous créez vos utilisateurs dans la WorkSpaces console au lieu de les créer dans Active Directory, envoie WorkSpaces automatiquement un e-mail d'invitation à vos utilisateurs avec un code d'enregistrement basé sur la région (par exemple,WSpdx+ABC12D) chaque fois que vous lancez un nouveau. WorkSpace Même si vous avez déjà configuré la redirection entre régions, l'e-mail d'invitation qui est automatiquement envoyé pour un nouveau message WorkSpaces contient ce code d'enregistrement basé sur la région au lieu de votre chaîne de connexion.

Pour vous assurer que vos WorkSpaces utilisateurs utilisent la chaîne de connexion au lieu du code d'enregistrement basé sur la région, vous devez leur envoyer un autre e-mail contenant la chaîne de connexion en suivant la procédure ci-dessous.

Pour envoyer la chaîne de connexion à vos WorkSpaces utilisateurs

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

3. Dans le volet de navigation, choisissez WorkSpaces.

4. Sur la WorkSpacespage, utilisez le champ de recherche pour rechercher un utilisateur auquel vous souhaitez envoyer une invitation, puis sélectionnez le correspondant dans les résultats WorkSpace de recherche. Vous ne pouvez en sélectionner qu'un WorkSpace à la fois.

5. Choisissez Actions, Inviter un utilisateur.

6. Sur la WorkSpaces page Inviter des utilisateurs à rejoindre leur site, vous verrez un modèle d'e-mail à envoyer à vos utilisateurs.

7. (Facultatif) Si plusieurs alias de connexion sont associés à votre WorkSpaces répertoire, sélectionnez la chaîne de connexion que vous souhaitez que vos utilisateurs utilisent dans la liste des chaînes d'alias de connexion. Le modèle d'e-mail est mis à jour pour afficher la chaîne que vous avez choisie.

8. Copiez le texte du modèle, puis dans votre propre application de messagerie, collez-le dans un e-mail destiné aux utilisateurs. Dans l'application, vous pouvez modifier le texte selon vos besoins. Lorsque l'e-mail d'invitation est prêt, envoyez-le aux utilisateurs.

Schéma de l'architecture de redirection entre régions

Le schéma suivant décrit le processus de déploiement de la redirection entre régions.

Note

La redirection entre régions facilite uniquement le basculement et le repli entre régions. Cela ne facilite pas la création et la maintenance WorkSpaces dans la région secondaire et n'autorise pas la réplication de données entre régions. WorkSpaces dans les régions primaire et secondaire, elles devraient être gérées séparément.

Lancer la redirection entre régions

En cas de panne, vous pouvez soit mettre à jour les enregistrements DNS manuellement, soit utiliser des politiques de routage automatisées basées sur des contrôles de santé, qui déterminent la région de basculement. Nous vous recommandons de suivre les mécanismes de reprise après sinistre décrits dans Création de mécanismes de reprise après sinistre à l'aide d'Amazon Route 53.

Que se passe-t-il lors de la redirection entre régions

Pendant le basculement d'une région, vos WorkSpaces utilisateurs sont déconnectés WorkSpaces de leur région principale. Lorsqu'ils tentent de se reconnecter, ils reçoivent le message d'erreur suivant :

We can't connect to your WorkSpace. Check your network connection, and then try again.

Ils sont ensuite invités à se reconnecter. S'ils utilisent le FQDN comme code d'enregistrement, lorsqu'ils se reconnectent, vos politiques de routage de basculement DNS les redirigent vers WorkSpaces celui que vous avez configuré pour eux dans la région de basculement.

Note

Dans certains cas, les utilisateurs peuvent ne pas être en mesure de se reconnecter lorsqu'ils essaient de nouveau. Si ce comportement se produit, ils doivent fermer et redémarrer l'application WorkSpaces cliente, puis essayer de se reconnecter.

Dissociation d'un alias de connexion d'un annuaire

Seul le compte propriétaire d'un annuaire peut dissocier un alias de connexion de celui-ci.

Si vous avez partagé un alias de connexion avec un autre compte et que ce dernier a associé l'alias de connexion à un annuaire lui appartenant, ce compte doit être utilisé pour dissocier l'alias de connexion de l'annuaire.

Pour dissocier un alias de connexion d'un annuaire

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région contenant l'alias de connexion que vous souhaitez dissocier.

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Associer/Dissocier.

   Vous pouvez également dissocier un alias de connexion depuis la page des détails de l'alias de connexion. Pour ce faire, sous Répertoire associé, choisissez Dissocier.

5. Sur la page Associer/dissocier, choisissez Dissocier.

6. Dans la boîte de dialogue demandant de confirmer la dissociation, choisissez Dissocier.

Annulation du partage d'un alias de connexion

Seul le propriétaire d'un alias de connexion peut annuler le partage de l'alias. Si vous annulez le partage d'un alias de connexion avec un compte, ce compte ne peut plus associer l'alias de connexion à un annuaire.

Pour annuler le partage d'un alias de connexion

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région contenant l'alias de connexion dont vous souhaitez annuler le partage.

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Partager/annuler le partage de l'alias de connexion.

   Vous pouvez également annuler le partage d'un alias de connexion depuis la page des détails de l'alias de connexion. Pour ce faire, sous Compte partagé, choisissez Annuler le partage.

5. Sur la page Partager/annuler le partage de l'alias de connexion, choisissez Annuler le partage.

6. Dans la boîte de dialogue demandant de confirmer l'annulation du partage de l'alias de connexion, choisissez Annuler le partage.

Suppression d'un alias de connexion

Vous pouvez supprimer un alias de connexion uniquement s'il appartient à votre compte et s'il n'est associé à aucun annuaire.

Si vous avez partagé un alias de connexion avec un autre compte et que ce compte l'a associé à un annuaire lui appartenant, ce compte doit d'abord dissocier l'alias de connexion de l'annuaire avant de pouvoir supprimer l'alias de connexion.

Important

Une fois que vous avez créé une chaîne de connexion, celle-ci est toujours associée à votre AWS compte. Vous ne pouvez pas recréer la même chaîne de connexion avec un autre compte, même si vous avez supprimé toutes ses instances du compte d'origine. La chaîne de connexion est globalement réservée à votre compte.

Avertissement

Si vous n'utilisez plus de FQDN comme code d'enregistrement pour vos WorkSpaces utilisateurs, vous devez prendre certaines précautions pour éviter d'éventuels problèmes de sécurité. Pour plus d’informations, consultez Considérations de sécurité si vous arrêtez d'utiliser la redirection entre régions.

Pour supprimer un alias de connexion

1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

2. Dans le coin supérieur droit de la console, sélectionnez la AWS région contenant l'alias de connexion que vous souhaitez supprimer.

3. Dans le panneau de navigation, choisissez Paramètres du compte.

4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Supprimer.

   Vous pouvez également supprimer un alias de connexion depuis la page des détails de l'alias de connexion. Pour ce faire, sélectionnez Supprimer dans l'angle supérieur droit de la page.

   Note

   Si le bouton Supprimer est désactivé, assurez-vous d'être le propriétaire de l'alias, et que celui-ci n'est pas associé à un annuaire.

5. Dans la boîte de dialogue demandant de confirmer la suppression, choisissez Supprimer.

Autorisations IAM pour associer et dissocier des alias de connexion

Si vous vous servez d'un utilisateur IAM pour associer ou dissocier des alias de connexion, l'utilisateur doit disposer des autorisations pour workspaces:AssociateConnectionAlias et workspaces:DisassociateConnectionAlias.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Important

Si vous créez une politique IAM pour associer ou dissocier des alias de connexion pour des comptes qui ne les possèdent pas, vous ne pouvez pas spécifier d'ID de compte dans l'ARN. À la place, vous devez utiliser * pour l'ID de compte, comme illustré dans l'exemple de politique suivant.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Vous pouvez spécifier un ID de compte dans l'ARN uniquement lorsque ce compte possède l'alias de connexion à associer ou à dissocier.

Pour plus d'informations sur l'utilisation d'IAM, consultez Gestion des identités et des accès pour WorkSpaces.

Considérations de sécurité si vous arrêtez d'utiliser la redirection entre régions

Si vous n'utilisez plus de FQDN comme code d'enregistrement pour vos WorkSpaces utilisateurs, vous devez prendre les précautions suivantes pour éviter d'éventuels problèmes de sécurité :

• Assurez-vous de fournir à vos WorkSpaces utilisateurs le code d'enregistrement spécifique à la région (par exemple,WSpdx+ABC12D) pour leur WorkSpaces répertoire et de leur demander de ne plus utiliser le FQDN comme code d'enregistrement.

• Si vous êtes toujours propriétaire de ce domaine, veillez à mettre à jour votre enregistrement TXT DNS pour supprimer ce domaine afin qu'il ne puisse pas être exploité lors d'une attaque d'hameçonnage. Si vous supprimez ce domaine de votre enregistrement DNS TXT et que vos WorkSpaces utilisateurs tentent d'utiliser le FQDN comme code d'enregistrement, leurs tentatives de connexion échoueront sans problème.

• Si vous ne possédez plus ce domaine, vos WorkSpaces utilisateurs doivent utiliser leur code d'enregistrement spécifique à la région. S'ils continuent d'essayer d'utiliser le FQDN comme code d'enregistrement, ils risquent d'être redirigés vers un site malveillant lors de leurs tentatives de connexion.