管理您的亞馬遜 Linux WorkSpaces

與 Windows 一樣WorkSpaces，亞馬遜 Linux WorkSpaces 是加入網域的，因此您可以使用作用中目錄使用者和群組來：

• 管理您的亞馬遜 Linux WorkSpaces

• WorkSpaces為使用者提供存取權

由於 Linux 執行個體不遵守群組原則，因此建議您使用組態管理解決方案來散發和強制執行原則。例如，您可以使用AWS OpsWorks for Chef AutomateAWS OpsWorks for Puppet Enterprise、或 Ansible。

注意

Amazon Linux WorkSpaces WorkSpaces 串流通訊協定 (WSP) 服務包目前僅在 AWS GovCloud (美國西部) 區域提供。

Amazon Linux WorkSpaces 上的 Amazon Linux 目前有以下限制：

• 不支援視訊輸入和時區重新導向。

• 您必須使用支援 WSP 的用WorkSpaces戶端應用程式，才能在 WSP WorkSpaces 上連線到 Linux。

控制亞馬遜伺服器上的 PCoIP 代理程式行為 WorkSpaces

PCoIP 代理程式的行為由位於目錄中的pcoip-agent.conf檔案中的組態設定所控制。/etc/pcoip-agent/若要部署和強制執行政策變更，請使用支援 Amazon Linux 的組態管理解決方案。任何變更都會在代理程式啟動時生效。重新啟動代理程式會結束所有開啟的連線並重新啟動視窗管理 若要套用任何變更，建議您重新啟動WorkSpace.

注意

如果您對pcoip-agent.conf檔案進行了不正確或不支援的變更，可能會導WorkSpace致您停止運作。如果您WorkSpace停止運作，您可能需要WorkSpace使用 SSH 連線以復原變更，或者您可能必須重建 WorkSpace.

以下幾節說明如何啟用或停用某些功能。如需可用設定的完整清單，請man pcoip-agent.conf從任何 Amazon Linux 上的終端機執行WorkSpace。

注意

本機印表機重新導向不適用於 Linux WorkSpaces。

啟用或停用亞馬遜 Linux 的剪貼簿重新導向 WorkSpaces

默認情況下，WorkSpaces支持剪貼板重定向。如有需要，請使用 PCoIP 代理程式 conf 來停用此功能。當您重新開機時，此設定便會生效WorkSpace。

注意

目前在WorkSpaces使用 WSP 的 Linux 上不支援剪貼簿重新導向。

若要啟用或停用亞馬遜 Linux 的剪貼簿重新導向 WorkSpaces

1. 使用以下命令在具有提升權限的編輯器中打開pcoip-agent.conf文件。

   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. 在檔案的結尾新增此行：

   pcoip.server_clipboard_state = X

   其中 X 的可能值是：

   0 — 在兩個方向都停用

   1 — 在兩個方向上啟用

   2 — 僅啟用用戶端至代理程式 (僅允許從本機用戶端裝置複製並貼上到遠端主機桌面平台)

   3 — 僅啟用代理程式至用戶端 (僅允許從遠端主機桌面平台複製並貼上至本機用戶端裝置)

注意

剪貼簿重新導向會實作為虛擬通道。如果停用虛擬通道，剪貼簿重新導向將無法運作。若要啟用虛擬通道，請參閱 Teradici 說明文件中的 PCoIP 虛擬通道。

啟用或停用亞馬遜 Linux 的音訊輸入重新導向 WorkSpaces

依預設，WorkSpaces支援音訊輸入重新導向。如有需要，請使用 PCoIP 代理程式 conf 來停用此功能。當您重新開機時，此設定便會生效WorkSpace。

注意

目前在WorkSpaces使用 WSP 的 Linux 上不支援音訊輸入重新導向。

啟用或停用亞馬遜 Linux 的音訊輸入重新導向 WorkSpaces

1. 使用以下命令在具有提升權限的編輯器中打開pcoip-agent.conf文件。

   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. 在檔案的結尾新增此行：

   pcoip.enable_audio = X

   其中 X 的可能值是：

   0 — 已停用

   1 — 已啟用

啟用或停用亞馬遜 Linux 的時區重新導向 WorkSpaces

依預設，Workspace 中的時間設定為鏡像用來連線到的用戶端的時區WorkSpace。此行為是透過時區重新導向來控制的。您可能會基於各種原因而想要關閉時區方向：

• 貴公司希望所有員工都能在特定時區工作 (即使部分員工位於其他時區)。

• 您已排程的工作WorkSpace，其目的是要在特定時區的特定時間執行。

• 您經常旅行的用戶希望將其保留WorkSpaces在一個時區，以確保一致性和個人偏好。

如果 Linux 有需要WorkSpaces，您可以使用 PCoIP 代理程式連接來停用這項功能。當您重新開機時，此設定便會生效WorkSpace。

注意

目前在WorkSpaces使用 WSP 的 Linux 上不支援時區重新導向。

若要啟用或停用亞馬遜 Linux 的時區重新導向 WorkSpaces

1. 使用以下命令在具有提升權限的編輯器中打開pcoip-agent.conf文件。

   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. 在檔案的結尾新增此行：

   pcoip.enable_timezone_redirect= X

   其中 X 的可能值是：

   0 — 已停用

   1 — 已啟用

將 SSH 存取權授予亞馬遜 Linux WorkSpaces 管理員

根據預設，只有網域管理員群組中指派的使用者和帳戶可以使用 SSH 連線到 Amazon Linux WorkSpaces。

建議您建立專屬管理員群組使用中目錄中的 Amazon Linux WorkSpaces 管理員群組。

啟用 Linux_ 工作空間 _ 管理員作用中目錄群組成員的 sudo 存取權

1. 使用編輯sudoers檔案visudo，如下列範例所示。

   [example\username@workspace-id ~]$ sudo visudo

2. 新增以下這一行。

   %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL 

建立專用管理員群組後，請依照下列步驟啟用群組成員的登入功能。

啟用 Linux WorkSpaces _ 管理員作用中目錄群組成員的登入

1. /etc/security/access.conf使用提升的權限編輯。

   [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf

2. 新增以下這一行。

   +:(example\Linux_WorkSpaces_Admins):ALL 

如需啟用 SSH 連線的詳細資訊，請參閱為您的 Linux 啟用安全殼層連線 WorkSpaces。

覆蓋亞馬遜 Linux 的默認外殼 WorkSpaces

若要覆寫 Linux 的預設殼層WorkSpaces，我們建議您編輯使用者的~/.bashrc檔案。例如，若要使用Z shell而不是 Bash shell，請將下列幾行加入至/home/username/.bashrc。

export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL

注意

進行此變更之後，您必須重新啟動WorkSpace或登出 WorkSpace (不只是中斷連線)，然後重新登入，變更才會生效。

保護自訂儲存庫免於未經授權

若要控制對自訂儲存庫的存取，建議您使用 Amazon 虛擬私有雲 (Amazon VPC) 內建的安全功能，而不要使用密碼。例如，使用網路存取控制清單 (ACL) 和安全群組。如需有關這些功能的詳細資訊，請參閱 Amazon VPC 使用者指南中的安全性。

如果您必須使用密碼來保護儲存庫，請務必建立儲yum存庫定義檔案，如 Fedora 說明文件中的儲存庫定義檔所示。

使用亞馬遜 Linux 附加程式庫儲存庫

使用 Amazon Linux 時，您可用 Extras Library ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary ary 如需使用 Extras Library (Amazon Linux)，請參閱 Amazon EC2 Linux 執行個體使用者指南中的 Extras Li brary (Amazon Linux 2)。

注意

如果您使用的是 Amazon Linux 儲存庫，您的 Amazon Linux WorkSpaces 必須能夠存取網際網路，或者您必須將虛擬私有雲端 (VPC) 端點設定為此儲存庫和主要 Amazon Linux 儲存庫。如需詳細資訊，請參閱提供您的網際網路存取 WorkSpace。

在 Linux 上使用智慧卡進行驗證 WorkSpaces

Linux WorkSpaces on WorkSpaces 串流通訊協定 (WSP) 套件允許使用通用存取卡 (CAC) 和個人身分驗證 (PIV) 智慧卡進行驗證。如需詳細資訊，請參閱使用智慧卡進行驗證。

設定裝置 Proxy 伺服器設定以存取網際網路

根據預設，用WorkSpaces戶端應用程式會使用 HTTPS (連接埠 443) 流量裝置作業系統設定中指定的 Proxy 伺服器。Amazon 用WorkSpaces戶端應用程式會使用 HTTPS 連接埠進行更新、註冊和身分驗證。

注意

不支援需要使用登入認證進行驗證的 Proxy 伺服器。

您可以依照 Microsoft 說明文件中設定裝置 Proxy 和網際網路連線設定中的步驟，WorkSpaces透過群組原則為 Linux 設定裝置 Proxy 伺服器設定。

如需有關在 WorkSpaces Windows 用戶端應用程式中設定代理伺服器的詳細資訊，請參閱 Amazon WorkSpaces 使用者指南中的代理伺服器。

如需有關在 WorkSpaces macOS 用戶端應用程式中設定代理伺服器的詳細資訊，請參閱 Amazon WorkSpaces 使用者指南中的代理伺服器。

如需有關在 WorkSpaces Web 存取用戶端應用程式中設定代理伺服器設定的詳細資訊，請參閱 Amazon WorkSpaces 使用者指南中的代理伺服器。

代理桌面流量

對於 PCoIPWorkSpaces，桌面用戶端應用程式不支援使用 Proxy 伺服器，也不支援在 UDP 中使用 TLS 解密和檢查連接埠 4172 流量 (針對桌面流量)。它們需要直接連接至連接埠 4172。

對於 WSPWorkSpaces，WorkSpaces視窗用戶端應用程式 (5.1 版及以上版本) 和 macOS 用戶端應用程式 (5.4 版及以上版本) 支援使用 HTTP 代理伺服器進行連接埠 4195 TCP 流量。不支援支援支援支援支援支援支援支援

不支援使用 UDP。只有 WorkSpaces Windows 和 macOS 桌面用戶端應用程式和 WSP 網頁存取支援使用代理伺服器，用於 TCP 流量。

注意

如果您選擇使用 Proxy 伺服器，用戶端應用程式對WorkSpaces服務進行的 API 呼叫也會被代理。API 呼叫和桌面流量都應該通過相同的 Proxy 伺服器。

代理伺服器使用的建議

我們不建議使用代理服務器與您的WorkSpaces桌面流量。

Amazon WorkSpaces 桌面流量已經加密，因此 Proxy 無法改善安全性。Proxy 代表網路路徑中的額外躍點，可能會透過引入延遲來影響串流品質。如果 Proxy 未適當調整大小來處理桌面串流流量，Proxy 也可能會降低輸送量。此外，大多數代理不是為支持長時間運行WebSocket（TCP）連接而設計的，可能會影響流的質量和穩定性。

如果您必須使用代理伺服器，請將 Proxy 伺服器盡可能靠近用WorkSpace戶端 (最好位於同一個網路中)，以避免增加網路延遲，這可能會對串流品質和回應能力造成負面影響。