使用 AMS SSP WorkSpaces 在您的 AMS 账户中配置亚马逊

使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 WorkSpaces 功能。 WorkSpaces 允许你为用户配置基于云的虚拟 Microsoft Windows 或 Amazon Linux 桌面，称为 WorkSpaces。 WorkSpaces 无需购买和部署硬件或安装复杂的软件。您可以根据需求的变更，快速添加或删除用户。用户使用 WorkSpaces 支持的设备上的客户端应用程序或者（对于 Windows，则使用 Web 浏览器）进行访问 WorkSpaces，然后使用现有的本地 Active Directory (AD) 凭据登录。

要了解更多信息，请参阅 Amazon WorkSpaces。

WorkSpaces 在 AWS Managed Services 常见问题中

常见问题和答案：

问：如何在 AMS 账户 WorkSpaces 中申请访问权限？

通过提交管理 | AWS 服务 | 自配置服务 | 添加（需要审核）(ct-3qe6io8t6jtny) 更改类型来申请访问权限。此 RFC 为您的账户配置以下 IAM 角色:customer_workspaces_console_role. 在您的账户中配置该角色后，您必须在联合解决方案中加入该角色。

问： WorkSpaces 在我的 AMS 账户中使用有什么限制？

Amazon WorkSpaces 自行配置的服务角色提供了工作空间的全部功能。

问：在我的 AMS 账户 WorkSpaces 中使用的先决条件或依赖条件是什么？

• WorkSpaces 受 AWS 区域限制；因此，AD Connector 必须配置在托管 WorkSpaces 实例的同一 AWS 区域。

  客户可以使用以下两种方法之一 WorkSpaces 连接到客户 AD：

  1. 使用 AD 连接器代理对本地 Active Directory 服务的身份验证（首选）：

     在将您的 WorkSpaces 实例与本地目录服务集成之前，在您的 AMS 账户中配置 Active Directory (AD) 连接器。AD Connector 充当您的现有 AD 用户（来自您的域）的代理，让他们 WorkSpaces 使用现有本地 AD 凭据进行连接。这是首选，因为 WorkSpaces 它们可以直接加入客户的本地域，该域既充当资源林，又充当用户林，从而增强了客户方面的控制权。

     有关更多信息，请参阅部署 Amazon 的最佳实践 WorkSpaces （场景 1）。

  2. 将 AD Connector 与 AWS 微软 AD、共享服务 VPC 以及对本地的单向信任一起使用：

     您还可以先建立从 AMS 管理的 AD 到您的本地 AD 的单向传出信任，从而使用本地目录对用户进行身份验证。 WorkSpaces 将使用 AD Connector 加入 AMS 管理的 AD。 WorkSpaces 然后，访问权限将通过 AMS 托管的 AD 委派给 WorkSpaces 实例，无需与您的本地环境建立双向信任。在这种情况下，用户林将位于客户 AD 中，资源林将位于 AMS 管理的 AD 中（可以通过 RFC 请求对 AMS 管理的 AD 进行更改）。请注意， WorkSpaces VPC 和运行 AMS 托管 AD 的 MALZ 共享服务 VPC 之间的连接是通过 Transit Gateway 建立的。

     有关更多信息，请参阅部署 Amazon 的最佳实践 WorkSpaces （场景 6）。

  注意

  可以通过提交 “管理 | 其他 | 其他 | 其他 | 创建更改类型 RFC” 来配置 AD Connector，其中包含先决条件 AD 配置的详细信息；有关更多信息，请参阅创建 AD 连接器。如果使用方法 2 在 AMS 管理的 AD 中创建资源林，请通过运行 AMS 管理的 AD 在 AMS 共享服务账户中提交另一个管理 | 其他 | 其他 | 创建更改类型 RFC。