Amazon 的跨區域重新導向 WorkSpaces - Amazon WorkSpaces
必要條件限制步驟 1:建立連線別名(選用) 步驟 2:與其他帳戶共用連線別名步驟 3:將連線別名與每個區域中的目錄建立關聯步驟 4:設定您的 DNS 服務並設定 DNS 路由政策步驟 5:將連接字符串發送給您的 WorkSpaces 用戶跨區域重定向架構圖啟動跨區域重新導向跨區域重新導向期間發生什麼狀況取消連線別名與目錄的關聯取消共用連線別名刪除連線別名關聯和取消關聯連線別名的 IAM 許可停止使用跨區域重新導向時的安全性考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 的跨區域重新導向 WorkSpaces

使用 Amazon 中的跨區域重新導向功能 WorkSpaces,您可以使用完整網域名稱 (FQDN) 作為. WorkSpaces 跨區域重新導向可與您的網域名稱系統 (DNS) 路由原則搭配使用,以便在 WorkSpaces 使用者的主要伺服器 WorkSpaces 無法使用 WorkSpaces 時將使用者重新導向至 例如,透過使用 DNS 容錯移轉路由原則,您可以在使用者無法存取主要區域 WorkSpaces 中的容錯移轉AWS區域時,將使用者連線至指定 WorkSpaces 的容錯移轉區域。

您可以使用跨區域重新導向搭配 DNS 容錯移轉路由政策,以達到區域彈性和高可用性。您也可以將此功能用於其他目的,例如流量分配或 WorkSpaces 在維護期間提供替代方案。如果您使用 Amazon Route 53 進行 DNS 組態,您可以利用運作狀態檢查來監控 Amazon CloudWatch 警示。

若要使用此功能,您必須 WorkSpaces 為兩個 (或更多) AWS 區域中的使用者進行設定。您也必須建立稱為連線別名的特殊 FQDN 型註冊碼。這些連線別名會取代您使用者的區域特定註冊碼 WorkSpaces 。(區域特定註冊碼仍然有效;不過,若要讓跨區域重新導向運作,您的使用者必須改用 FQDN 做為其註冊碼。)

若要建立連線別名,請指定連接字串,這是 FQDN,例如 www.example.comdesktop.example.com。若要使用此網域進行跨區域重新導向,您必須向網域註冊機構註冊,並為您的網域設定 DNS 服務。

建立連線別名後,您可以將它們與不同區域中的 WorkSpaces 目錄建立關聯,以建立關聯配對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。如果主要區域發生中斷,您的 DNS 容錯移轉路由原則會將您的 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的使用者。 WorkSpaces

若要指定主要和容錯移轉區域,您可以在設定 DNS 容錯移轉路由政策時定義區域優先順序 (主要或次要)。

必要條件

  • 您必須擁有並註冊要在連線別名中當作 FQDN 使用的網域。如果您尚未使用其他網域註冊機構,您可使用 Amazon Route 53 來註冊您的網域。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 註冊網域名稱

    重要

    您必須擁有所有必要的權利,才能使用與 Amazon 搭配使用的任何網域名稱 WorkSpaces。您同意網域名稱不違反或侵犯任何第三方的合法權利,或以其他方式違反適用法律。

    您的網域名稱總長度不得超過 255 個字元。如需有關網域名稱的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的 DNS 網域名稱格式

    跨區域重新導向適用於公用網域名稱和私有 DNS 區域中的網域名稱。如果您使用的是私有 DNS 區域,則必須提供虛擬私人網路 (VPN) 連線至包含您 WorkSpaces的. 如果您的使用 WorkSpaces 者嘗試從公用網際網路使用私人 FQDN,用 WorkSpaces 戶端應用程式會傳回下列錯誤訊息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必須設定 DNS 服務並設定必要的 DNS 路由政策。跨區域重新導向會與 DNS 路由原則搭配使用,視需要重新導向 WorkSpaces 使用者。

  • 在您要設定跨區域重新導向的每個主要區域和容錯移轉區域中, WorkSpaces 為您的使用者建立。請務必在每個區域的每個 WorkSpaces 目錄中使用相同的使用者名稱。若要讓 Active Directory 使用者資料保持同步,我們建議您使用 AD Connector 指向您 WorkSpaces 為使用者設定的每個區域中的相同 Active Directory。如需有關建立的詳細資訊 WorkSpaces,請參閱 Launch WorkSpaces

    重要

    如果您為多區域複寫設定AWS受管 Microsoft AD 目錄,則只能註冊主要區域中的目錄以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫區域中註冊目錄以與 Amazon 搭配使用 WorkSpaces 將會失敗。在複寫區域內,不支援使用AWS受管 Microsoft AD 進 Amazon 多區 WorkSpaces 域複寫。

    完成跨區域重新導向的設定後,您必須確定您的使用 WorkSpaces 者使用的是 FQDN 型註冊碼,而不是以區域為基礎的註冊碼 (例如) 做為其主要地WSpdx+ABC12D區。若要執行此操作,您必須使用 步驟 5:將連接字符串發送給您的 WorkSpaces 用戶 中的程序,傳送包含 FQDN 連接字串的電子郵件給他們。

    注意

    如果您在 WorkSpaces 主控台中建立使用者,而不是在 Active Directory 中建立使用者,則每當您啟 WorkSpaces 動新的時候,都會自動傳送邀請電子郵件給您的使用者,並以區域為基礎的註冊碼。 WorkSpace這表示當您在容錯移轉區域中 WorkSpaces 為使用者設定時,您的使用者也會自動接收這些容錯移轉的電子郵件 WorkSpaces。您需要指示使用者忽略包含區域型註冊碼的電子郵件。

限制

  • 跨區域重新導向不會自動檢查與主要區域的連線是否失敗,然後容錯 WorkSpaces 移轉至其他區域。換句話說,不會發生自動容錯移轉。

    若要實作自動容錯移轉案例,您必須使用其他機制搭配跨區域重新導向。例如,您可以使用 Amazon Route 53 容錯移轉 DNS 路由政策,搭配 Route 53 運作狀態檢查來監控主要區域中的 CloudWatch 警示。如果觸發主要區域中的 CloudWatch 警示,您的 DNS 容錯移轉路由原則會將您的 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的警示。 WorkSpaces

  • 當您使用跨區域重新導向時,使用者資料不會保留 WorkSpaces 在不同區域之間。若要確保使用者能夠從不同區域存取其檔案,建議您 WorkDocs 為 WorkSpaces 使用者設定 Amazon (如果您的主要和容錯移轉區域支援 Amazon WorkDocs )。有關 Amazon 的更多信息 WorkDocs,請參閱 Amazon WorkDocs 管理指南中的 Amazon WorkDocs 驅動器。如需為 WorkSpace 使用者啟用 Amazon WorkDocs 的詳細資訊,請參閱向 WorkSpaces 註冊目錄為 AWS Managed Microsoft AD 啟用 Amazon WorkDocs。有關使 WorkSpaces 用者如何在其 WorkDocs 上設定 Amazon 的詳細資訊 WorkSpaces,請參閱 Amazon WorkSpaces 使用者指南 WorkDocs中的「與整合」。

  • 只有 3.0.9 版或更新版本的 Linux、macOS 和 Windows WorkSpaces 用戶端應用程式才支援跨區域重新導向。您也可以使用跨區域重新導向搭配 Web Access。

  • 所有提供 Amazon 服務的區AWS域均可使 WorkSpaces 用跨區域重新導向,但中國和寧夏區域除外。AWS GovCloud (US) Region

步驟 1:建立連線別名

使用相同的 AWS 帳戶,在您要設定跨區域重新導向的每個主要和容錯移轉區域中,建立連線別名。

若要建立連線別名

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主機的右上角,選取您的主要AWS地區 WorkSpaces。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向之下,選擇建立連線別名

  5. 連接字串中,輸入 FQDN,例如 www.example.comdesktop.example.com。連接字串最多可以是 255 個字元。其只能包含字母 (A-Z 和 a-z)、數字 (0-9) 和下列字元: .-

    重要

    建立連接字串之後,其一律與您的 AWS 帳戶相關聯。即使您從原始帳戶中刪除連接字串的所有執行個體,也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。

  6. (選用) 在標籤下,指定要與連線別名產生關聯的任何標籤。

  7. 選擇建立連線別名

  8. 重複這些步驟步驟 2,但請務必在中為您選取 WorkSpaces. 如果您有多個容錯移轉區域,請為每個容錯移轉區域重複這些步驟。請務必使用相同的 AWS 帳戶,在每個容錯移轉區域中建立連線別名。

(選用) 步驟 2:與其他帳戶共用連線別名

您可以與 AWS 同一區域中的另一個 AWS 帳戶共享連線別名。與另一個帳戶共享連線別名會授予該帳戶的許可,您只能將該別名與相同區域中該帳戶擁有的目錄建立關聯或解除關聯。只有擁有連線別名的帳戶才能刪除別名。

注意

連線別名只能與每個 AWS 區域一個目錄建立關聯。如果您與另一個 AWS 帳戶共享連線別名,則只有一個帳戶 (您的帳戶或共享帳戶) 可以將別名與該區域中的目錄建立關聯。

若要與其他 AWS 帳戶共用連線別名

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取您要與其他 AWS 帳戶共用連線別名的 AWS 區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作共用/取消共用連線別名

    您也可以從連線別名的詳細資訊頁面共用別名。若要這麼做,請在共用帳戶下,選擇共用連線別名

  5. 共用/取消共用連線別名頁面的與帳戶共用底下,輸入您要在此 AWS 區域中共用連線別名的 AWS 帳戶 ID。

  6. 選擇共用

步驟 3:將連線別名與每個區域中的目錄建立關聯

將相同的連線別名與兩個或多個 Region 中的目 WorkSpaces 錄建立目錄之間的關聯配對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。

例如,如果您的主要區域是美國西部 (奧勒岡) 區域,您 WorkSpaces 可以將美國西部 (奧勒岡) 區域中的 WorkSpaces 目錄與美國東部 (維吉尼亞北部) 區域中的目錄配對。如果主要區域發生中斷,跨區域重新導向會搭配 DNS 容錯移轉路由原則,以及您在美國西部 (奧勒岡) 區域進行的任何健康狀態檢查一起運作,以便將您的使用者重新導向至 WorkSpaces 您在美國東部 (維吉尼亞北部) 區域設定的使用者。如需有關跨區域重新導向體驗的詳細資訊,請參閱 跨區域重新導向期間發生什麼狀況

注意

如果您的 WorkSpaces 使用者與容錯移轉區域相距很遠 (例如,數千英里外),他們的 WorkSpaces 體驗可能會比平常的回應速度降低。若要檢查從您所在位置到各個AWS區域的往返時間 (RTT),請使用 Amazon WorkSpaces 連線運作 Health 檢查

若要建立連線別名與目錄的關聯

每個 AWS 區域只能將連線別名與一個目錄建立關聯。如果您已與其他 AWS 帳戶共享連線別名,則只有一個帳戶 (您的帳戶或共享帳戶) 可以將別名與該區域中的目錄建立關聯。

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主機的右上角,選取您的主要AWS地區 WorkSpaces。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作關聯/取消關聯

    您也可以從連線別名的詳細資訊頁面,建立連線別名與目錄的關聯。若要這麼做,請在關聯的目錄下選擇關聯目錄

  5. 關聯/取消關聯頁面的關聯至目錄下,選取您要在此 AWS 區域中與連線別名建立關聯的目錄。

    注意

    如果您為多區域複寫設定AWS受管 Microsoft AD 目錄,則只有主要區域中的目錄可以與 Amazon WorkSpaces 搭配使用。嘗試使用 Amazon 複寫區域中的目錄 WorkSpaces 將會失敗。在複寫區域內,不支援使用AWS受管 Microsoft AD 進 Amazon 多區 WorkSpaces 域複寫。

  6. 選擇 Associate (關聯)。

  7. 重複這些步驟步驟 2,但請務必在中為您選取 WorkSpaces. 如果您有多個容錯移轉區域,請為每個容錯移轉區域重複這些步驟。務必將相同的連線別名與每個容錯移轉區域中的目錄產生關聯。

步驟 4:設定您的 DNS 服務並設定 DNS 路由政策

建立連線別名和連線別名關聯配對之後,您可以接著為您在連接字串中使用的網域設定 DNS 服務。您可以為此目的使用任何 DNS 服務供應商。如果您還沒有偏好的 DNS 服務供應商,您可以使用 Amazon Route 53。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的設定 Amazon Route 53 做為 DNS 服務

為網域設定 DNS 服務之後,您必須設定要用於跨區域重新導向的 DNS 路由政策。例如,您可以使用 Amazon Route 53 運作狀態檢查來判斷使用者是否可以連線到他們 WorkSpaces 在特定區域中。如果您的使用者無法連線,您可使用 DNS 容錯移轉政策,將 DNS 流量從一個區域路由傳送到另一個區域。

如需有關選擇 DNS 路由政策的資訊,請參閱《Amazon Route 53 開發人員指南》中的選擇路由政策。如需有關 Amazon Route 53 運作狀態檢查的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的 Amazon Route 53 如何檢查資源的運作狀態

當您設定 DNS 路由原則時,您需要連線別名和主要區域中 WorkSpaces 目錄之間關聯的連線識別碼。您也需要連線別名與容錯移轉區域或區域中 WorkSpaces 目錄之間關聯的連線識別碼。

注意

連線識別符與連線別名 ID 不同。連線別名 ID 的開頭為 wsca-

若要尋找連線別名關聯的連線識別符

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主機的右上角,選取您的主要AWS地區 WorkSpaces。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯下,選取連接字串文字 (FQDN) 以檢視連線別名詳細資訊頁面。

  5. 在連線別名的詳細資訊頁面上,於關聯的目錄之下,記下針對連線識別符所顯示的值。

  6. 重複這些步驟步驟 2,但請務必在中為您選取 WorkSpaces. 如果您有多個容錯移轉區域,請重複這些步驟以尋找每個容錯移轉區域的連線識別符。

範例:使用 Route 53 設定 DNS 容錯移轉路由政策

下列範例會為您的網域設定公用託管區域。不過,您可以設定公用或私有託管區域。如需有關設定託管區域的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用託管區域

此範例也會使用容錯移轉路由政策。您可以針對跨區域重新導向策略使用其他路由政策類型。如需有關選擇 DNS 路由政策的資訊,請參閱《Amazon Route 53 開發人員指南》中的選擇路由政策

當您在 Route 53 中設定容錯移轉路由政策時,主要區域需要進行運作狀態檢查。如需在 Route 53 中建立運作狀態檢查的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的建立 Amazon Route 53 運作狀態檢查及設定 DNS 容錯移轉建立、更新及刪除運作狀態檢查

如果您想要在 Route 53 運作狀態檢查中使用 Amazon CloudWatch 警示,您還需要設定 CloudWatch 警示來監控主要區域中的資源。有關更多信息 CloudWatch,請參閱什麼是 Amazon CloudWatch?Amazon 用 CloudWatch 戶指南。如需有關 Route 53 如何在其運作狀態檢查中使用 CloudWatch 警示的詳細資訊,請參閱 Amazon Route 53 開發人員指南中的 Route 53 如何判斷用於監控 CloudWatch 警示和監控警示的運作狀態檢查狀態。 CloudWatch

若要在 Route 53 中設定 DNS 容錯移轉路由政策,您必須先為網域建立託管區域。

  1. 請在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇託管區域,然後選擇建立託管區域

  3. 已建立的託管區域頁面上,在網域名稱之下輸入您的網域名稱 (例如 example.com)。

  4. 類型之下,選擇公共託管區域

  5. 選擇建立託管區域

然後針對主要區域建立運作狀態檢查。

  1. 請在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇運作狀態檢查,然後選擇建立運作狀態檢查

  3. 設定運作狀態檢查頁面上,輸入運作狀態檢查的名稱。

  4. 對於要監控的內容,選取端點其他健全狀況檢查的狀態 (計算的健全狀況檢查) 或 CloudWatch 警示狀態。

  5. 根據您在上一個步驟中選取的項目,設定運作狀態檢查,然後選擇下一步

  6. 運作狀態檢查失敗時收到通知頁面上,針對建立警示,選擇

  7. 選擇建立運作狀態檢查

建立運作狀態檢查之後,您可以建立 DNS 容錯移轉記錄。

  1. 請在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇 Hosted zones (託管區域)

  3. 託管區域頁面上,選取您的網域名稱。

  4. 在您網域名稱的詳細資訊頁面上,選擇建立記錄

  5. 選擇路由政策頁面上選取容錯移轉,然後選擇下一步

  6. 設定記錄頁面的基本組態下,針對記錄名稱,輸入您的子網域名稱。例如,如果您的 FQDN 是 desktop.example.com,請輸入 desktop

    注意

    如果您想要使用根網域,請將記錄名稱保留空白。不過,我們建議您使用子網域,例如desktopworkspaces,除非您已設定網域僅供您 WorkSpaces的.

  7. 針對記錄類型,選取 TXT - 用於驗證電子郵件寄件者和應用程式特定值

  8. TTL 秒數設定保留為預設值。

  9. 要新增至 your_domain_name 的容錯移轉記錄下,選擇定義容錯移轉記錄

現在,您需要針對主要和容錯移轉區域設定容錯移轉記錄。

範例:設定主要區域的容錯移轉記錄

  1. 定義容錯移轉記錄對話方塊中,針對值/路由傳送流量至,選取取決於記錄類型的 IP 位址或其他值

  2. 隨即開啟一個方塊,供您輸入範例文字項目。輸入主要區域之連線別名關聯的連線識別符。

  3. 針對容錯移轉記錄類型,選取主要

  4. 針對運作狀態檢查,選取您為主要區域建立的運作狀態檢查。

  5. 針對記錄 ID,輸入用於識別此記錄的描述。

  6. 選擇定義容錯移轉記錄。您的新容錯移轉記錄會出現在要新增至 your_domain_name 的容錯移轉記錄之下。

範例:設定容錯移轉區域的容錯移轉記錄

  1. 要新增至 your_domain_name 的容錯移轉記錄下,選擇定義容錯移轉記錄

  2. 定義容錯移轉記錄對話方塊中,針對值/路由傳送流量至,選取取決於記錄類型的 IP 位址或其他值

  3. 隨即開啟一個方塊,供您輸入範例文字項目。輸入容錯移轉區域之連線別名關聯的連線識別符。

  4. 針對容錯移轉記錄類型,選取次要

  5. (選用) 針對運作狀態檢查,輸入您為容錯移轉區域建立的運作狀態檢查。

  6. 針對記錄 ID,輸入用於識別此記錄的描述。

  7. 選擇定義容錯移轉記錄。您的新容錯移轉記錄會出現在要新增至 your_domain_name 的容錯移轉記錄之下。

如果您為主要區域設定的健康狀態檢查失敗,您的 DNS 容錯移轉路由原則會將您的 WorkSpaces 使用者重新導向至容錯移轉區域。Route 53 會繼續監控您主要區域的健康狀態檢查,當您主要區域的健康狀態檢查不再失敗時,Route 53 會自動將您的 WorkSpaces 使用者重新導向至主要區域 WorkSpaces 中的使用者。

如需有關建立 DNS 記錄的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 主控台建立記錄。如需有關設定 DNS TXT 記錄的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的 TXT 記錄類型

步驟 5:將連接字符串發送給您的 WorkSpaces 用戶

若要確保在中斷期間視需要重新導向使用者,您必須 WorkSpaces 將連接字串 (FQDN) 傳送給使用者。如果您已向 WorkSpaces 使用者核發區域註冊碼 (例如WSpdx+ABC12D),則這些代碼仍然有效。不過,若要讓跨區域重新導向運作,您的使用 WorkSpaces 者 WorkSpaces 在用 WorkSpaces 戶端應用程式中註冊時,必須使用連接字串做為其註冊碼。

重要

如果您在 WorkSpaces 主控台中建立使用者,而不是在 Active Directory 中建立使用者,則每當您啟 WorkSpaces 動新的時候,都會自動將邀請電子郵件傳送給您的使用者,其中包含區域型註冊碼 (例如WSpdx+ABC12D)。 WorkSpace即使您已經設定了跨區域重新導向,自動傳送給新的邀請電子郵件也會 WorkSpaces 包含此區域型註冊碼,而不是您的連線字串。

若要確定您的使用 WorkSpaces 者使用的是連接字串,而不是以區域為基礎的註冊碼,您必須使用下列程序傳送另一封含有連接字串的電子郵件給他們。

將連接字串傳送給您的 WorkSpaces 使用者

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主機的右上角,選取您的主要AWS地區 WorkSpaces。

  3. 在導覽窗格中,選擇 WorkSpaces

  4. WorkSpaces頁面上,使用搜尋方塊來搜尋您要傳送邀請的使用者,然後 WorkSpace 從搜尋結果中選取對應的使用者。您一次只能選取一個 WorkSpace 。

  5. 選擇動作邀請使用者

  6. 在 [邀請使用者加入他們的 WorkSpaces] 頁面上,您會看到要傳送給使用者的電子郵件範本。

  7. (選擇性) 如果有一個以上的連線別名與您的 WorkSpaces 目錄相關聯,請從 [連線別名字串] 清單中選取您希望使用者使用的連接字串。電子郵件範本會更新,以顯示您所選擇的字串。

  8. 複製電子郵件範本文字,並使用您自己的電子郵件應用程式將其貼到給使用者的電子郵件中。在電子郵件應用程式中,您可以視需要修改內文。邀請電子郵件準備就緒時,請將其傳送給您的使用者。

跨區域重定向架構圖

下圖說明跨區域重新導向的部署程序。

跨區域重新導向
注意

跨區域重新導向僅有助於跨區域容錯移轉和後援。它不會促進次要區域中的建立和維護 WorkSpaces ,也不允許跨區域資料複寫。 WorkSpaces 在主要和次要區域中,應分別管理。

啟動跨區域重新導向

在中斷的情況下,您可以手動更新 DNS 記錄,或根據健康狀態檢查 (決定容錯移轉區域) 使用自動路由原則。我們建議遵循使用 Amazon Route 53 建立災難復原機制中概述的災難復原機制。

跨區域重新導向期間發生什麼狀況

在區域容錯移轉期間,您的 WorkSpaces 使用者會與其 WorkSpaces 在主要區域中斷連線。當他們嘗試重新連線時,他們會收到下列錯誤訊息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然後系統會提示使用者再次登入。如果他們使用 FQDN 做為註冊碼,當他們再次登入時,您的 DNS 容錯移轉路由原則會將它們重新導向至您 WorkSpaces 在容錯移轉區域中為他們設定的。

注意

在某些情況下,使用者可能無法於再次登入時重新連線。如果發生這種情況,它們必須關閉並重新啟動用 WorkSpaces 戶端應用程式,然後嘗試再次登入。

取消連線別名與目錄的關聯

只有擁有目錄的帳戶才能取消連線別名與目錄的關聯。

如果您已與其他帳戶共用連線別名,且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯,則該帳戶必須用於取消連線別名與目錄的關聯。

若要取消連線別名與目錄的關聯

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取含有您要取消關聯之連線別名的 AWS 區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作關聯/取消關聯

    您也可以從連線別名詳細資訊頁面取消連線別名的關聯。若要這麼做,請在關聯的目錄下選擇取消關聯

  5. 關聯/取消關聯頁面上,選擇取消關聯

  6. 在要求您確認取消關聯的對話方塊中,選擇取消關聯

取消共用連線別名

只有連線別名的擁有者可以取消共用別名。如果您取消與某個帳戶共用連線別名,該帳戶就無法再將連線別名與目錄產生關聯。

若要取消共用連線別名

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取含有您要取消共用之連線別名的 AWS 區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作共用/取消共用連線別名

    您也可以從連線別名詳細資訊頁面取消共用連線別名。若要這麼做,請在共用帳戶底下選擇取消共用

  5. 共用/取消共用連線別名頁面上,選擇取消共用

  6. 在要求您確認取消共用連線別名的對話方塊中,選擇取消共用

刪除連線別名

只有在連線別名由您的帳戶擁有且並未與目錄相關聯時,您才可以刪除連線別名。

如果您已與其他帳戶共用連線別名,且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯,則該帳戶必須先取消連線別名與目錄的關聯,您才能刪除連線別名。

重要

建立連接字串之後,其一律與您的 AWS 帳戶相關聯。即使您從原始帳戶中刪除連接字串的所有執行個體,也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。

警告

如果您不再使用 FQDN 做為使用 WorkSpaces 者的註冊碼,則必須採取某些預防措施以防止潛在的安全性問題。如需詳細資訊,請參閱 停止使用跨區域重新導向時的安全性考量

若要刪除連線別名

  1. 請在以下位置開啟 WorkSpaces 主控台。 https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選擇含有您要刪除之連線別名的 AWS 區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇刪除

    您也可以從連線別名詳細資訊頁面刪除連線別名。若要這麼做,請選擇頁面右上角的刪除

    注意

    如果已停用刪除按鈕,請確定您是別名的擁有者,並確定別名與目錄沒有關聯。

  5. 在要求您要確認刪除的對話方塊中,選擇刪除

關聯和取消關聯連線別名的 IAM 許可

如果您使用 IAM 使用者來建立或取消連線別名的關聯,該使用者必須具有 workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias 的許可。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
重要

如果您要建立 IAM 政策來針對不擁有連線別名的帳戶,建立或取消連線別名的關聯,則無法在 ARN 中指定帳戶 ID。您必須改為使用 * 帳戶 ID,如下列範例政策所示。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

只有當該帳戶擁有要關聯或取消關聯的連線別名時,您才可以在 ARN 中指定帳戶 ID。

如需使用 IAM 的詳細資訊,請參閱 適用於 WorkSpaces 的身分和存取管理

停止使用跨區域重新導向時的安全性考量

如果您不再使用 FQDN 作為使用 WorkSpaces 者的註冊碼,則必須採取下列預防措施,以防止潛在的安全性問題:

  • 請務必向使用 WorkSpaces 者核發其 WorkSpaces 目錄的區域特定註冊碼 (例如WSpdx+ABC12D),並指示他們停止使用 FQDN 做為其註冊碼。

  • 如果您仍然擁有此網域,務必更新 DNS TXT 記錄以移除此網域,使其無法在網路釣魚攻擊中遭到利用。如果您從 DNS TXT 記錄中移除此網域,而您的使用 WorkSpaces 者嘗試使用 FQDN 做為其註冊碼,則他們的連線嘗試將無害地失敗。

  • 如果您不再擁有此網域,您的使用 WorkSpaces 者必須使用其特定地區的註冊碼。如果他們繼續嘗試使用 FQDN 做為註冊碼,則可能會將其連線嘗試重新導向至惡意網站。