Amazon WorkSpaces 跨區域重定向 - Amazon WorkSpaces

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon WorkSpaces 跨區域重定向

使用 Amazon WorkSpaces 中的跨區域重新導向功能,您可以使用完整網域名稱 (FQDN) 作為您 WorkSpaces 的註冊代碼。跨區域重新導向與您的網域名稱系統 (DNS) 路由政策配合使用,在 WorkSpaces 使用者無法使用時將 WorkSpaces 使用者重新導向至替代 WorkSpaces。例如,通過使用 DNS 故障轉移路由策略,您可以在指定的故障轉移中將用户連接到 WorkSpacesAWS無法訪問主區域中的 WorkSpaces 的區域。

您可以將跨區域重定向與 DNS 故障轉移路由策略一起使用,以實現區域恢復能力和高可用性。您還可以將此功能用於其他目的,例如流量分配或在維護期間提供備用 WorkSpaces。如果您使用 Amazon Route 53 進行 DNS 配置,則可以利用監控 Amazon CloudWatch 警報的運行狀況檢查。

若要使用此功能,您必須在兩個 (或更多) AWS 區域中,為您的使用者設定 WorkSpaces。您還必須建立特殊的基於 FQDNS 的註冊碼,稱為連線別名。這些連線別名會取代 WorkSpaces 使用者的區域特定註冊碼。(特定於區域的註冊代碼仍然有效;但是,要使跨區域重定向工作,您的用户必須使用 FQDN 作為註冊代碼。)

要創建連接別名,請指定連線字串,這是您的 FQDN,例如www.example.com或者desktop.example.com。要將此域用於跨區域重定向,您必須向域註冊商註冊,併為您的域配置 DNS 服務。

建立連線別名後,您可以將它們與不同區域中的 WorkSpaces 目錄建立關聯配對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。如果主要區域發生中斷,您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。

要指定主區域和故障轉移區域,請在配置 DNS 故障轉移路由策略時定義區域優先級(主區域或次要區域)。

先決條件

  • 您必須擁有並註冊要在連接別名中用作 FQDN 的域。如果您尚未使用其他域註冊商,則可以使用 Amazon Route 53 註冊您的域。如需詳細資訊,請參閱「」使用 Amazon Route 53 註冊網域名稱中的Amazon Route 53 開發者指南

    重要

    您必須擁有所有必要的權限才能使用與 Amazon WorkSpaces 結合使用的任何域名。您同意域名不會侵犯或侵犯任何第三方的合法權利,或以其他方式違反適用法律。

    域名的總長度不能超過 255 個字符。如需網域名稱的詳細資訊,請參閲DNS 網域名稱格式中的Amazon Route 53 開發者指南

    跨區域重定向適用於私有 DNS 區域中的公有域名和域名。如果您使用私有 DNS 區域,您必須向包含 WorkSpaces 的虛擬私有雲端 (VPC) 提供虛擬私有網路 (VPN) 連線。如果您的 WorkSpaces 用户試圖從公共互聯網使用專用 FQDN,WorkSpaces 客户端應用程序將返回以下錯誤消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必須設置 DNS 服務並配置必要的 DNS 路由策略。跨區域重定向與 DNS 路由策略結合使用,以根據需要重定向 WorkSpaces 用户。

  • 在您要設定跨區域重新導向的每個主區域和故障轉移區域中,請為您的用户建立 WorkSpaces。請確保在每個區域中的每個 WorkSpaces 目錄中使用相同的用户名。若要保持活動目錄用户數據的同步,我們建議使用 AD Connector 指向您為用户設置了 WorkSpaces 的每個區域中的相同活動目錄。如需建立 WorkSpaces 的詳細資訊,請參啟動 WorkSpaces

    重要

    如果您配置AWS用於多區域複製的託管 Microsoft AD 目錄,只能註冊主區域中的目錄以便與 Amazon WorkSpaces 一起使用。嘗試在複製區域中註冊目錄以便與 Amazon WorkSpaces 一起使用,將失敗。使用多區域複製AWS託管的 Microsoft AD 不支持與複製區域中的 Amazon WorkSpaces 一起使用。

    完成跨區域重定向設置後,必須確保 WorkSpaces 用户使用的是基於 FQDNS 的註冊代碼而不是基於區域的註冊代碼(例如WSpdx+ABC12D) 為他們的主要區域。若要執行此操作,您必須向他們發送一封包含 FQDN 連接字符串的電子郵件,使用步驟 5:將連接字符串發送到您的 WorkSpaces 用户

    注意

    如果您在 WorkSpaces 控制台中創建用户,而不是在活動目錄中創建用户,則 WorkSpaces 會自動向用户發送邀請電子郵件,其中包含基於區域的註冊代碼,每當您啟動新的 WorkSpace。這意味着當您在故障轉移區域中為用户設置 WorkSpaces 時,您的用户還將自動收到這些故障轉移 WorkSpaces 的電子郵件。您需要指示用户忽略具有基於區域的註冊代碼的電子郵件。

限制

  • 跨區域重定向不會自動檢查到主區域的連接是否失敗,然後將 WorkSpaces 失敗到另一個區域。換句話説,不會發生自動故障轉移。

    要實施自動故障轉移方案,必須將其他機制與跨區域重定向結合使用。例如,您可以使用 Amazon Route 53 故障轉移 DNS 路由策略與 Route 53 運行狀況檢查配對,用於監視主區域中的 CloudWatch 警報。如果主要區域中觸發 CloudWatch 警報,您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。

  • 使用跨區域重定向時,不會在不同區域的 WorkSpaces 之間保留用户數據。為確保用户可以訪問不同區域的文件,如果您的主要區域和故障轉移區域支持 Amazon WorkDocs,我們建議您為 WorkSpaces 用户設置 Amazon WorkDocs。如需 Amazon WorkDocc 的詳細資訊,請參Amazon WorkDocs Drive中的Amazon WorkDocs 管理指南。如需為 WorkSpace 用户啟用 Amazon WorkDocc 的詳細資訊,請參向 WorkSpaces 註冊目錄Amazon WorkDocs 用AWS託管微軟 AD。有關 WorkSpaces 用户如何在其 WorkSpaces 上設置 Amazon WorkDocs 的信息,請參閲與 WorkDocs 集成中的Amazon WorkSpaces 使用者指南

  • 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows WorkSpaces 客户端應用程序支持跨區域重定向。

  • 跨區域重新導向可在所有AWS提供 Amazon WorkSpaces 的地區,除了AWSGovCloud (美國) 區域和中國 (寧夏) 區域。

步驟 1:建立連線別名

使用相同的AWS帳户,請在您要設定跨區域重新導向的每個主要區域和容錯移轉區域中創建立連線別名。

建立連線別名

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇主控台的AWSWorkSpaces 域的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向,選擇建立連線別名

  5. 適用於連線字串中,輸入一個 FQDN,例如www.example.com或者desktop.example.com。連接字符串最多可包含 255 個字符。它只能包含字母 (A-Z 和 a-z)、數字 (0-9),以及下列字元: .-

    重要

    創建連接字符串後,它始終與AWS帳户。即使您從其他帳户刪除連線字串的所有實例,也無法使用另一個帳號重新建立相同的連線字串。連接字符串是為您的帳户全局保留的。

  6. (可選)標籤中,指定您希望與連線別名建立關聯的任何標籤。

  7. 選擇建立連線別名

  8. 重複這些步驟,但在步驟 2,請確保為您的 WorkSpace 選擇故障切換區域。如果您有多部故障轉移區域,請為每個故障轉移區域重複這些步驟。請務必使用相同的AWS帳户在每個故障轉移區域中創建連接別名。

(選用)步驟 2:與其他帳户共享連接別名

您可以與 AWS 同一區域中的另一個 AWS 帳戶共享連線別名。與另一個帳戶共享連線別名會授予該帳戶的許可,您只能將該別名與相同區域中該帳戶擁有的目錄建立關聯或解除關聯。只有擁有連接別名的帳户才能刪除別名。

注意

連線別名只能與每個 AWS 區域一個目錄建立關聯。如果您與另一個 AWS 帳戶共享連線別名,則只有一個帳戶 (您的帳戶或共享帳戶) 可以將別名與該區域中的目錄建立關聯。

與另一個共用連線別名AWS帳戶

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇AWS您希望與另一部共用連線別名的區域AWS帳户。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向關聯,選擇連線字串,然後選擇動作共享/取消共享連線別名

    您也可以從詳細信息頁面為連接別名共享別名。若要執行此作業,請在共享帳戶,選擇共享連線別名

  5. 共享/取消共享連線別名頁面,在與帳户共享中,輸入AWS您希望與之分享連線別名的帳户 ID,AWS區域。

  6. 選擇 Share (共用)

步驟 3:將連線別名與每個區域中的目錄關聯

將相同的連線別名與兩個或多個區域中的 WorkSpaces 目錄建立關聯,系統會在目錄之間建立關聯對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。

例如,如果您的主要區域是美國西部 (奧勒岡) 區域,您可以將美國西部 (奧勒岡) 區域中的 WorkSpaces 目錄與美國東部 (維吉尼亞北部) 區域中的 WorkSpaces 目錄配對。如果主要區域發生中斷,跨區域重定向將與 DNS 故障轉移路由策略和您在美國西部(俄勒岡)地區實施的任何運行狀況檢查結合使用,以將用户重定向到您在美國東部(弗吉尼亞北部)地區為他們設置的 WorkSpaces。如需跨區域重新導向體驗的詳細資訊,請參跨區域重定向過程中會發生什麼

注意

如果 WorkSpaces 用户位於距離故障轉移區域很遠的距離(例如,千英裏之外),他們的 WorkSpaces 體驗可能會比平常不那麼響應。要查看往返時間 (RTT) 到各AWS區域,請使用Amazon WorkSpaces 連接運行 Health 檢查

將連接別名與目錄關聯

每個 AWS 區域只能將連線別名與一個目錄建立關聯。如果您已與其他 AWS 帳戶共享連線別名,則只有一個帳戶 (您的帳戶或共享帳戶) 可以將別名與該區域中的目錄建立關聯。

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇主控台的AWSWorkSpaces 域的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向關聯,選擇連線字串,然後選擇動作建立關聯/取消關聯

    您還可以將連接別名與連接別名的詳細信息頁面中的目錄相關聯。若要執行此作業,請在關聯目錄,選擇關聯目錄

  5. 建立關聯/取消關聯頁面,在關聯到目錄中,選擇您希望與此連線別名建立關聯的目錄。AWS區域。

    注意

    如果您配置AWS用於多區域複製的託管 Microsoft AD 目錄,只有主區域中的目錄可以與 Amazon WorkSpaces 一起使用。嘗試將複製區域中的目錄與 Amazon WorkSpaces 一起使用將失敗。使用多區域複製AWS託管的 Microsoft AD 不支持與複製區域中的 Amazon WorkSpaces 一起使用。

  6. 選擇 Associate (關聯)。

  7. 重複這些步驟,但在步驟 2,請確保為您的 WorkSpace 選擇故障切換區域。如果您有多部故障轉移區域,請為每個故障轉移區域重複這些步驟。請確保將相同的連接別名與每個故障轉移區域中的目錄相關聯。

步驟 4:配置 DNS 服務並設置 DNS 路由策略

創建連接別名和連接別名關聯對後,可以為連接字符串中使用的域配置 DNS 服務。為此,您可以使用任何 DNS 服務提供商。如果您尚沒有首選 DNS 服務提供商,您可以使用 Amazon Route 53。如需詳細資訊,請參閱「」將 Amazon Route 53 設定為 DNS 服務中的Amazon Route 53 開發者指南

為域配置 DNS 服務後,必須設置要用於跨區域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 運行狀況檢查來確定您的用户是否可以連接到特定地區的 WorkSpaces。如果您的用户無法連接,則可以使用 DNS 故障轉移策略將 DNS 流量從一個區域路由到另一個區域。

如需選擇 DNS 路由政策的詳細資訊,請參選擇路由政策中的Amazon Route 53 開發者指南。如需 Amazon Route 53 運作狀態檢查的詳細資訊,請參Amazon Route 53 檢查資源的運作狀態中的Amazon Route 53 開發者指南

當您設置 DNS 路由策略時,您需要連線識別符用於連接別名和主區域中 WorkSpaces 目錄之間的關聯。您還需要連接標識符,用於連接別名與故障轉移區域或區域中 WorkSpaces 目錄之間的關聯。

注意

連接標識符為與連接別名 ID 相同。連接別名 ID 以wsca-

查找連線別名關聯的連線標識符

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇主控台的AWSWorkSpaces 域的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向關聯中,選擇連接字符串文本(FQDN)以查看連接別名詳細信息頁面。

  5. 在連接別名的詳細信息頁面上,在關聯目錄,記下顯示的連線識別符

  6. 重複這些步驟,但在步驟 2,請確保為您的 WorkSpace 選擇故障切換區域。如果您有多個故障轉移區域,請重複這些步驟以查找每個故障轉移區域的連接標識符。

範例:使用 Route 53 設置 DNS 故障轉移路由策略

下列範例設定網域的公有託管區域。不過,您可以設定公有或私有託管區域。如需設定託管區域的詳細資訊,請參使用託管區域中的Amazon Route 53 開發者指南

此示例還使用故障轉移路由策略。您可以將其他路由策略類型用於跨區域重定向策略。如需選擇 DNS 路由政策的詳細資訊,請參選擇路由政策中的Amazon Route 53 開發者指南

在 Route 53 中設置故障轉移路由策略時,需要對主區域進行運行狀況檢查。如需在 Route 53 中建立運作狀態檢查的詳細資訊,請參建立 Amazon Route 53 運作狀態檢查和設定 DNS 備援建立、更新和刪除運作狀態檢查中的Amazon Route 53 開發者指南

如果您希望在 Route 53 運行狀況檢查中使用 Amazon CloudWatch 警報,您還需要設置 CloudWatch 警報來監控您的主要區域中的資源。如需 CloudWatch 的詳細資訊,請參閲什麼是 Amazon CloudWatch?中的Amazon CloudWatch 使用者指南。如需 Route 53 如何在其運作狀態檢查中使用 CloudWatch 警報的詳細資訊,請參Route 53 如何判斷監控 CloudWatch 警示的運作狀態檢查的狀態監控 CloudWatch 警示中的Amazon Route 53 開發者指南

要在 Route 53 中設置 DNS 故障轉移路由策略,首先需要為域創建託管區域。

  1. 請在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇託管區域,然後選擇建立託管區域

  3. 建立託管區域頁面上,輸入您的網域名稱(如example.com) UNDER網域名稱

  4. UNDER類型,選擇公有託管區域

  5. 選擇 Create Hosted Zone (建立託管區域)

然後,為主區域建立運作狀態檢查。

  1. 請在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇運作狀態檢查,然後選擇建立運作狀態檢查

  3. 設定運作狀態檢查頁面上,輸入運作狀態檢查的名稱。

  4. 適用於要監控的內容中,選擇端點其他運作狀態檢查的狀態 (計算的運作狀態檢查), 或CloudWatch 警示

  5. 根據您在上一步中選擇的內容,配置運行狀況檢查,然後選擇下一頁

  6. 在運作狀態檢查失敗時收到通知頁面,對於建立警示,選擇或者

  7. 選擇建立運作狀態檢查

建立運作狀態檢查後,您可以建立 DNS 故障轉移記錄。

  1. 請在 https://console.aws.amazon.com/route53/ 開啟 Route 53 主控台。

  2. 在導覽窗格中,選擇 Hosted zones (託管區域)

  3. 託管區域頁面上,選擇您的網域名稱。

  4. 在網域名稱的詳細資訊頁面上,選擇建立記錄

  5. 選擇路由政策頁面上,選擇容錯移轉,然後選擇下一頁

  6. 設定記錄頁面,在基本組態, 用於紀錄名稱中,輸入您的子域名。例如,如果您的 FQDN 是desktop.example.com,輸入desktop

    注意

    如果您想要使用根網域,請將紀錄名稱空白。不過,我們建議使用子域名,如desktop或者workspaces,除非您已將域設置為僅用於 WorkSpaces。

  7. 適用於紀錄類型選擇TXT — 用於驗證電子郵件發件人和特定於應用程序的值

  8. 離開TTL 秒設置為默認值。

  9. UNDER要新增到的故障轉移轉您的域名,選擇定義容錯移轉紀錄

現在,您需要為主區域和故障轉移區域設置故障切換記錄。

範例:為主區域設置故障切換記錄

  1. 在 中定義容錯移轉紀錄對話方塊,對於值/將流量路由到選擇IP 地址或其他值,視記錄類型而定

  2. 將打開一個框,您可以輸入示例文本條目。輸入主區域的連接別名關聯的連接標識符。

  3. 適用於容錯移轉紀錄類型,選擇Primary

  4. 適用於運作狀態檢查中,選擇您為主要區域創建的運行狀況檢查。

  5. 適用於記錄 ID中,輸入標識此記錄的描述。

  6. 選擇定義容錯移轉紀錄。新的故障切換記錄將顯示在要新增到的故障轉移轉您的域名

範例:為故障轉移區域設置故障切換記錄

  1. UNDER要新增到的故障轉移轉您的域名,選擇定義容錯移轉紀錄

  2. 在 中定義故障轉移轉對話方塊,對於值/將流量路由到選擇IP 地址或其他值,視記錄類型而定

  3. 將打開一個框,您可以輸入示例文本條目。輸入故障轉移區域的連接別名關聯的連接標識符。

  4. 適用於容錯移轉紀錄類型,選擇中學

  5. (可選)對於運作狀態檢查中,輸入您為故障轉移區域創建的運行狀況檢查。

  6. 適用於記錄 ID中,輸入描述來標識此記錄。

  7. 選擇定義故障轉移轉。新的故障切換記錄將顯示在要新增到的故障轉移轉您的域名

如果您為主要區域設定的運行狀況檢查失敗,您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向。Route 53 將繼續監視您的主區域的運行狀況檢查,當您的主區域的運行狀況檢查不再失敗時,Route 53 會自動將您的 WorkSpaces 用户重定向回主區域中的 WorkSpaces。

如需建立 DNS 記錄的詳細資訊,請參使用 Amazon Route 53 主控台來建立記錄中的Amazon Route 53 開發者指南。如需設定 DNS TXT 記錄的詳細資訊,請參TXT 記錄類型中的Amazon Route 53 開發者指南

步驟 5:將連接字符串發送到您的 WorkSpaces 用户

要確保在中斷期間根據需要重定向用户的 WorkSpaces,您必須將連接字符串 (FQDN) 發送給您的用户。如果您已經發佈了基於區域的註冊代碼(例如WSpdx+ABC12D),則這些代碼仍然有效。但是,為了使跨區域重定向工作,WorkSpaces 用户在 WorkSpaces 客户端應用程序中註冊其 WorkSpace 時,必須使用連接字符串作為註冊代碼。

重要

如果您在 WorkSpaces 控制台中創建用户而不是在活動目錄中創建用户,WorkSpaces 會自動向您的用户發送邀請電子郵件,其中包含基於區域的註冊代碼(例如,WSpdx+ABC12D),無論何時啟動新的 WorkSpace。即使您已設置跨區域重定向,為新 WorkSpaces 自動發送的邀請電子郵件也會包含此基於區域的註冊代碼,而不是連接字符串。

若要確保 WorkSpaces 用户使用的是連接字符串而不是基於區域的註冊代碼,您必須使用以下步驟向他們發送帶有連接字符串的另一封電子郵件。

將連接字符串發送到您的 WorkSpaces 用户的步驟

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇主控台的AWSWorkSpaces 域的區域。

  3. 在導覽窗格中,選擇WorkSpaces

  4. WorkSpaces頁面上,使用搜索框搜索要向其發送邀請的用户,然後從搜索結果中選擇相應的 WorkSpace。您一次只能選取一個 WorkSpace。

  5. 選擇動作邀請使用者

  6. 邀請用户加入其 WorkSpaces頁面上,您將看到要發送給您的用户的電子郵件模板。

  7. (可選)如果有多個連接別名與 WorkSpaces 目錄關聯,請從連線別名字串列表。電子郵件模板將更新以顯示您選擇的字符串。

  8. 複製電子郵件模板文本,並使用您自己的電子郵件應用程序將其粘貼到電子郵件中給用户。在電子郵件應用程序中,您可以根據需要修改文本。邀請電子郵件準備就緒後,將其發送給您的用户。

跨區域重定向過程中會發生什麼

如果發生中斷,WorkSpaces 用户將斷開與主區域中的 WorkSpaces 的連接。當他們嘗試重新連線時,他們會收到下列錯誤訊息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然後,系統會提示您的用户重新登錄。如果他們使用 FQDN 作為註冊代碼,當他們再次登錄時,您的 DNS 容錯移轉路由政策會將它們重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。

注意

在某些情況下,用户在重新登錄時可能無法重新連線。如果發生此行為,他們必須關閉並重新啟動 WorkSpaces 客户端應用程序,然後嘗試再次登錄。

取消連線別名與目錄的關聯

只有擁有目錄的帳户才能取消連接別名與目錄的關聯。

如果您與另一個帳户共享連線別名,並且該帳户已將連線別名與該帳户擁有的目錄相關聯,則必須使用該帳户來解除連線別名與目錄的關聯。

取消連線別名與目錄的關聯

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇AWS包含您要取消關聯的連線別名的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向關聯,選擇連線字串,然後選擇動作建立關聯/取消關聯

    還可以將連接別名與連接別名詳細信息頁面分離。若要執行此作業,請在關聯目錄,選擇解除關聯

  5. 建立關聯/取消關聯頁面上,選擇解除關聯

  6. 在詢問您確認取消關聯的對話方塊中,選擇解除關聯

停止共用連線別名

只有連接別名的所有者才能取消共享別名。如果取消與帳户共享連接別名,則該帳户不能再將連接別名與目錄相關聯。

停止共用連線別名

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇AWS包含您要取消共用的連線別名的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向關聯,選擇連線字串,然後選擇動作共享/取消共享連線別名

    您也可以從連接別名詳細信息頁面取消共享連接別名。若要執行此作業,請在共享帳戶,選擇解除共享

  5. 共享/取消共享連線別名頁面上,選擇解除共享

  6. 在要求您確認取消共享連接別名的對話框中,選擇解除共享

刪除連線別名

只有在連接別名屬於您的帳户所有且與目錄沒有關聯時,才可以刪除連接別名。

如果您已與另一個帳户共享了連接別名,並且該帳户已將連接別名與該帳户擁有的目錄相關聯,則該帳户必須先取消連接別名與該目錄的關聯,然後才能刪除連接別名。

重要

創建連接字符串後,它始終與AWS帳户。即使您從其他帳户刪除連線字串的所有實例,也無法使用另一個帳號重新建立相同的連線字串。連接字符串是為您的帳户全局保留的。

警告

如果您不再使用 FQDN 作為 WorkSpaces 用户的註冊代碼,則必須採取某些預防措施以防止潛在的安全問題。如需詳細資訊,請參閱 停止使用跨區域重新導向時的安全注意事項

刪除連線別名

  1. 開啟位於的 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 主控台在主控台的右上角,選擇AWS包含您要刪除的連線別名的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. UNDER跨區域重新導向關聯,選擇連線字串,然後選擇刪除

    您還可以從連接別名詳細信息頁面中刪除連接別名。若要執行此作業,請選擇刪除(位於頁面右上角)。

    注意

    如果刪除按鈕處於禁用狀態,請確保您是別名的所有者,並確保別名未與目錄相關聯。

  5. 在詢問您確認刪除的對話方塊中,選擇刪除

關聯和取消關聯連接別名的 IAM 權限

如果您使用 IAM 用户關聯或取消關聯連接別名,則該用户必須具有workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }
重要

如果您正在創建 IAM 策略來關聯或解除不擁有連接別名的賬户的連接別名,則無法在 ARN 中指定賬户 ID。相反,您必須使用*,請參,如下列範例政策所示。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ] }

只有當該帳户擁有要關聯或取消關聯的連接別名時,才能在 ARN 中指定帳户 ID。

如需使用 IAM 的詳細資訊,請參適用於 WorkSpaces 的 Identity to Management

停止使用跨區域重新導向時的安全注意事項

如果您不再使用 FQDN 作為 WorkSpaces 用户的註冊代碼,則必須採取以下預防措施以防止潛在的安全問題:

  • 請務必向 WorkSpaces 用户發放特定於區域的註冊代碼(例如WSpdx+ABC12D),並指示他們停止使用 FQDN 作為註冊代碼。

  • 如果您仍然擁有此域,請務必更新 DNS TXT 記錄以刪除此域,以便在網絡釣魚攻擊中不能利用該域。如果您從 DNS TXT 記錄中刪除此域,並且 WorkSpaces 用户嘗試使用 FQDN 作為註冊代碼,則他們的連接嘗試將無害地失敗。

  • 如果您不再擁有此域,您的 WorkSpaces 用户必須使用其特定於地區的註冊代碼。如果他們繼續嘗試使用 FQDN 作為註冊代碼,則可能會將其連接嘗試重定向到惡意站點。