Redirección entre regiones para Personal WorkSpaces - Amazon WorkSpaces
Requisitos previosLimitacionesPaso 1: crear alias de conexión(Opcional) Paso 2: compartir un alias de conexión con otra cuentaPaso 3: asociar los alias de conexión a los directorios de cada regiónPaso 4: Configure su DNS servicio y establezca las políticas de DNS enrutamientoPaso 5: envíe la cadena de conexión a sus WorkSpaces usuariosDiagrama de arquitectura de redirección entre regionesInicie la redirección entre regionesQué ocurre durante el redireccionamiento entre regionesDesasociar un alias de conexión de un directorioDejar de compartir un alias de conexiónEliminar un alias de conexiónIAMpermisos para asociar y desasociar los alias de conexiónConsideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Redirección entre regiones para Personal WorkSpaces

Con la función de redireccionamiento entre regiones de Amazon WorkSpaces, puedes usar un nombre de dominio completo (FQDN) como código de registro para tu. WorkSpaces La redirección entre regiones funciona con las políticas de enrutamiento del Sistema de Nombres de Dominio (DNS) para redirigir a WorkSpaces los usuarios a una alternativa WorkSpaces cuando la principal WorkSpaces no está disponible. Por ejemplo, mediante políticas de enrutamiento de DNS conmutación por error, puede conectar a sus usuarios a WorkSpaces la AWS región de conmutación por error especificada cuando no puedan acceder a la WorkSpaces región principal.

Puede utilizar la redirección entre regiones junto con sus políticas de enrutamiento de DNS conmutación por error para lograr la resiliencia regional y una alta disponibilidad. También puede utilizar esta función para otros fines, como distribuir el tráfico o proporcionar alternativas WorkSpaces durante los períodos de mantenimiento. Si utiliza Amazon Route 53 para su DNS configuración, puede aprovechar las comprobaciones de estado que supervisan CloudWatch las alarmas de Amazon.

Para utilizar esta función, debe configurarla WorkSpaces para sus usuarios en dos (o más) AWS regiones. También debe crear códigos de FQDN registro especiales denominados alias de conexión. Estos alias de conexión sustituyen a los códigos de registro específicos de la región para sus usuarios. WorkSpaces (Los códigos de registro específicos de cada región siguen siendo válidos; sin embargo, para que la redirección entre regiones funcione, los usuarios deben utilizarlos como código de registro). FQDN

Para crear un alias de conexión, debe especificar una cadena de conexión, que es suyaFQDN, como o. www.example.com desktop.example.com Para usar este dominio para la redirección entre regiones, debe registrarlo en un registrador de dominios y configurar el DNS servicio para su dominio.

Una vez que haya creado los alias de conexión, debe asociarlos a los WorkSpaces directorios de distintas regiones para crear pares de asociaciones. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error. Si se produce una interrupción en la región principal, sus políticas de enrutamiento de DNS conmutación por error redirigen a WorkSpaces los usuarios a la WorkSpaces que ha configurado para ellos en la región de conmutación por error.

Para designar las regiones principal y de conmutación por error, debe definir la prioridad de la región (principal o secundaria) al configurar las políticas de enrutamiento de conmutación por error. DNS

Requisitos previos

  • Debe ser propietario del dominio que desee utilizar como alias de conexión y registrarlo. FQDN Si aún no utiliza otro registrador de dominios, puede utilizar Amazon Route 53 para registrar su dominio. Para obtener más información, consulte Registrar nombres de dominio mediante Amazon Route 53 en la Guía para desarrolladores de Amazon Route 53.

    importante

    Debes disponer de todos los derechos necesarios para utilizar cualquier nombre de dominio que utilices junto con Amazon WorkSpaces. Usted acepta que el nombre de dominio no infringe ni infringe los derechos legales de ningún tercero ni infringe de ningún otro modo la legislación aplicable.

    El nombre de dominio no puede superar los 255 caracteres. Para obtener más información sobre los nombres de dominio, consulte el formato de nombre de DNS dominio en la Guía para desarrolladores de Amazon Route 53.

    La redirección entre regiones funciona tanto con nombres de dominio públicos como con nombres de dominio en zonas privadasDNS. Si utiliza una DNS zona privada, debe proporcionar una conexión de red privada virtual (VPN) a la nube privada virtual (VPC) que contiene la suya. WorkSpaces Si WorkSpaces los usuarios intentan utilizar una conexión privada FQDN desde la Internet pública, las aplicaciones WorkSpaces cliente muestran el siguiente mensaje de error:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Debe configurar su DNS servicio y configurar las políticas de DNS enrutamiento necesarias. La redirección entre regiones funciona en conjunto con sus políticas de DNS enrutamiento para redirigir a WorkSpaces los usuarios según sea necesario.

  • En cada región principal y de conmutación por error en la que desee configurar la redirección entre regiones, cree para sus usuarios. WorkSpaces Asegúrese de utilizar los mismos nombres de usuario en cada directorio de cada WorkSpaces región. Para mantener sincronizados los datos de usuario de Active Directory, te recomendamos usar AD Connector para que apunte al mismo Active Directory en cada región en la que hayas configurado WorkSpaces para tus usuarios. Para obtener más información sobre la creación WorkSpaces, consulta Launch WorkSpaces.

    importante

    Si configura su directorio AWS gestionado de Microsoft AD para la replicación multirregional, solo podrá registrar el directorio de la región principal para su uso en Amazon WorkSpaces. Los intentos de registrar el directorio en una región replicada para su uso con Amazon WorkSpaces fallarán. La replicación multirregional con Microsoft AD AWS administrado no se admite para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

    Cuando haya terminado de configurar la redirección entre regiones, debe asegurarse de que sus WorkSpaces usuarios utilizan el código de registro FQDN basado en lugar del código de registro basado en la región (por ejemplo,WSpdx+ABC12D) para su región principal. Para ello, debe enviarles un correo electrónico con la cadena de FQDN conexión mediante el procedimiento descrito en. Paso 5: envíe la cadena de conexión a sus WorkSpaces usuarios

    nota

    Si crea los usuarios en la WorkSpaces consola en lugar de crearlos en Active Directory, envía WorkSpaces automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en la región cada vez que lance uno nuevo. WorkSpace Esto significa que, al configurar los usuarios en la región de conmutación WorkSpaces por error, estos también recibirán automáticamente correos electrónicos relacionados con estas conmutaciones por error. WorkSpaces Deberá indicar a sus usuarios que ignoren los correos electrónicos con códigos de registro basados en la región.

Limitaciones

  • La redirección entre regiones no comprueba automáticamente si las conexiones a la región principal han fallado y, a continuación, se produce la conmutación por error a WorkSpaces otra región. En otras palabras, la conmutación por error automática no se produce.

    Para implementar un escenario de conmutación por error automática, debe utilizar algún otro mecanismo junto con el redireccionamiento entre regiones. Por ejemplo, puede usar una política de DNS enrutamiento de conmutación por error de Amazon Route 53 junto con una comprobación de estado de Route 53 que monitorea una CloudWatch alarma en la región principal. Si se activa la CloudWatch alarma en la región principal, su política de enrutamiento de DNS conmutación por error redirige a WorkSpaces los usuarios a la WorkSpaces que ha configurado para ellos en la región de conmutación por error.

  • Cuando utilizas la redirección entre regiones, los datos de los usuarios no se conservan entre distintas regiones. WorkSpaces Para garantizar que los usuarios puedan acceder a sus archivos desde distintas regiones, te recomendamos que configures Amazon WorkDocs para tus WorkSpaces usuarios, si Amazon WorkDocs es compatible con tus regiones principal y de conmutación por error. Para obtener más información sobre Amazon WorkDocs, consulta Amazon WorkDocs Drive en la Guía de WorkDocs administración de Amazon. Para obtener más información sobre cómo habilitar Amazon WorkDocs para tus WorkSpace usuarios, consulta Registrar un existente AWS Directory Service directorio con WorkSpaces Personal yHabilitar Amazon WorkDocs para Microsoft AD administrado por AWS. Para obtener información sobre cómo WorkSpaces los usuarios pueden configurar Amazon WorkDocs en sus WorkSpaces, consulte Integrar con WorkDocs en la Guía del WorkSpaces usuario de Amazon.

  • La redirección entre regiones solo se admite en la versión 3.0.9 o posterior de las aplicaciones cliente de Linux, macOS y Windows WorkSpaces . También puede utilizar el redireccionamiento entre regiones con Acceso web.

  • La redirección entre regiones está disponible en todas AWS las regiones en las que Amazon WorkSpaces está disponible, excepto en la región AWS GovCloud (US) Region s y en la región de China (Ningxia).

Paso 1: crear alias de conexión

Con la misma AWS cuenta, cree alias de conexión en cada región principal y de conmutación por error en la que desee configurar la redirección entre regiones.

Para crear un alias de conexión

  1. Abra la consola en. WorkSpaces https://console.aws.amazon.com/workspaces/

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Redireccionamiento entre regiones, elija Crear alias de conexión.

  5. En Cadena de conexión, introduce unaFQDN, como www.example.com o. desktop.example.com Cada cadena puede tener un máximo de 255 caracteres. Solo puede incluir letras (A-Z y a-z), números (0-9) y los siguientes caracteres: .-

    importante

    Después de crear una cadena de conexión, siempre estará asociada a su AWS cuenta. No puede volver a crear una cadena de conexión con otra cuenta aunque haya eliminado todas las instancias de la cadena de conexión de la cuenta original. La cadena de conexión está reservada globalmente para tu cuenta.

  6. (Opcional) En Etiquetas, especifique las etiquetas que desee asociar a su alias de conexión.

  7. Elija Crear alias de conexión.

  8. Repita estos pasos, pero enPaso 2, asegúrese de seleccionar la región de conmutación por error correspondiente a su WorkSpaces región. Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de utilizar la misma AWS cuenta para crear el alias de conexión en cada región de conmutación por error.

(Opcional) Paso 2: compartir un alias de conexión con otra cuenta

Puede compartir un alias de conexión con otra AWS cuenta de la misma AWS región. Al compartir un alias de conexión con otra cuenta se concede permiso a esa cuenta para asociar o desasociar dicho alias con un directorio propiedad de esa cuenta solo en la misma región. Solo la cuenta que posee un alias de conexión puede eliminarlo.

nota

Un alias de conexión solo se puede asociar a un directorio por AWS región. Si comparte un alias de conexión con otra AWS cuenta, solo una cuenta (su cuenta o la cuenta compartida) podrá asociar el alias a un directorio de esa región.

Para compartir un alias de conexión con otra AWS cuenta

  1. Abre la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región en la que quieres compartir el alias de conexión con otra AWS cuenta.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, Acciones, Compartir/dejar de compartir el alias de conexión.

    También puedes compartir un alias desde la página de detalles de su alias de conexión. Para ello, en Cuenta compartida, seleccione Compartir alias de conexión.

  5. En la página Compartir o dejar de compartir el alias de conexión, en Compartir con una cuenta, introduce el ID de AWS cuenta con el que quieres compartir el alias de conexión en esta región. AWS

  6. Elija Compartir.

Paso 3: asociar los alias de conexión a los directorios de cada región

Al asociar el mismo alias de conexión a un WorkSpaces directorio de dos o más regiones, se crea un par de asociación entre los directorios. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error.

Por ejemplo, si su región principal es la región EE.UU. Oeste (Oregón), puede emparejar el WorkSpaces directorio de la región EE.UU. Oeste (Oregón) con un WorkSpaces directorio de la región EE.UU. Este (Norte de Virginia). Si se produce una interrupción en la región principal, la redirección entre regiones funciona junto con sus políticas de enrutamiento de DNS conmutación por error y cualquier comprobación de estado que haya realizado en la región EE.UU. Oeste (Oregón) para redirigir a los usuarios a la región WorkSpaces que ha configurado para ellos en la región EE.UU. Este (Norte de Virginia). Para obtener más información sobre el redireccionamiento entre regiones, consulte Qué ocurre durante el redireccionamiento entre regiones.

nota

Si sus WorkSpaces usuarios se encuentran a una distancia considerable de la región de conmutación por error (por ejemplo, a miles de kilómetros de distancia), es posible que su WorkSpaces experiencia responda menos de lo habitual. Para comprobar el tiempo de ida y vuelta (RTT) a las distintas AWS regiones desde su ubicación, utilice el Amazon WorkSpaces Connection Health Check.

Para asociar un alias de conexión a un directorio

Puede asociar un alias de conexión a un solo directorio por AWS región. Si ha compartido un alias de conexión con otra AWS cuenta, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias a un directorio de esa región.

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Acciones, Asociar/desasociar.

    También puede asociar un alias de conexión a un directorio desde la página de detalles del alias de conexión. Para ello, en Directorio asociado, seleccione Asociar directorio.

  5. En la página Asociar/desasociar, en Asociar a un directorio, seleccione el directorio al que desee asociar su alias de conexión en esta región. AWS

    nota

    Si configura su directorio AWS gestionado de Microsoft AD para la replicación multirregional, solo podrá usar el directorio de la región principal con Amazon WorkSpaces. Los intentos de utilizar el directorio en una región replicada con Amazon WorkSpaces fallarán. La replicación multirregional con Microsoft AD AWS administrado no se admite para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

  6. Elija Asociar.

  7. Repita estos pasos, pero asegúrese de Paso 2 seleccionar la región de conmutación por error para su región. WorkSpaces Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de asociar el mismo alias de conexión a un directorio en cada región de conmutación por error.

Paso 4: Configure su DNS servicio y establezca las políticas de DNS enrutamiento

Una vez que haya creado los alias de conexión y los pares de asociación de alias de conexión, podrá configurar el DNS servicio para el dominio que utilizó en las cadenas de conexión. Para ello, puedes utilizar cualquier DNS proveedor de servicios. Si aún no tienes un proveedor de DNS servicios preferido, puedes usar Amazon Route 53. Para obtener más información, consulte Configuración de Amazon Route 53 como DNS servicio en la Guía para desarrolladores de Amazon Route 53.

Una vez que haya configurado el DNS servicio para su dominio, debe configurar las políticas de DNS enrutamiento que desee utilizar para el redireccionamiento entre regiones. Por ejemplo, puede utilizar las comprobaciones de estado de Amazon Route 53 para determinar si sus usuarios pueden conectarse a la WorkSpaces suya en una región determinada. Si sus usuarios no pueden conectarse, puede utilizar una política de DNS conmutación por error para enrutar el DNS tráfico de una región a otra.

Para obtener más información sobre cómo elegir su política de DNS enrutamiento, consulte Elegir una política de enrutamiento en la Guía para desarrolladores de Amazon Route 53. Para obtener más información sobre las comprobaciones de estado de Amazon Route 53, consulte Cómo verifica Amazon Route 53 el estado de los recursos en la Guía para desarrolladores de Amazon Route 53.

Al configurar las políticas de DNS enrutamiento, necesitará el identificador de conexión para la asociación entre el alias de la conexión y el WorkSpaces directorio de la región principal. También necesitará el identificador de conexión para la asociación entre el alias de conexión y el WorkSpaces directorio de la región o regiones de conmutación por error.

nota

El identificador de conexión no es el mismo que el identificador del alias de conexión. El identificador del alias de la conexión comienza por wsca-.

Para encontrar el identificador de conexión de una asociación de alias de conexión

  1. Abra la WorkSpaces consola en. https://console.aws.amazon.com/workspaces/

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione el texto de la cadena de conexión (elFQDN) para ver la página de detalles del alias de la conexión.

  5. En la página de detalles del alias de conexión, en Directorio asociado, anote el valor que se muestra como identificador de conexión.

  6. Repita estos pasos, pero asegúrese de Paso 2 seleccionar la región de conmutación por error para su. WorkSpaces Si tiene más de una región de conmutación por error, repita estos pasos para encontrar el identificador de conexión con cada región de conmutación por error.

Ejemplo: Para configurar una política de enrutamiento de DNS conmutación por error mediante Route 53

En el siguiente ejemplo se configura una zona alojada pública para el dominio. Sin embargo, puede configurar una zona alojada pública o una zona alojada privada. Para obtener más información sobre cómo configurar una zona alojada, consulte Uso de zonas alojadas en la Guía para desarrolladores de Amazon Route 53.

En este ejemplo también se utiliza una política de enrutamiento de conmutación por error. Puede usar otros tipos de políticas de enrutamiento para su estrategia de redireccionamiento entre regiones. Para obtener más información sobre cómo elegir su política de DNS enrutamiento, consulte Elegir una política de enrutamiento en la Guía para desarrolladores de Amazon Route 53.

Al configurar una política de enrutamiento de conmutación por error en Route 53, es necesario comprobar el estado de la región principal. Para obtener más información sobre la creación de una comprobación de estado en Route 53, consulte Creación de comprobaciones de estado de Amazon Route 53 y configuración de la DNS conmutación por error y Creación, actualización y eliminación de comprobaciones de estado en la Guía para desarrolladores de Amazon Route 53.

Si quieres usar una CloudWatch alarma de Amazon con tu chequeo de estado de Route 53, también tendrás que configurar una CloudWatch alarma para monitorear los recursos de tu región principal. Para obtener más información CloudWatch, consulta ¿Qué es Amazon CloudWatch? en la Guía del CloudWatch usuario de Amazon. Para obtener más información sobre cómo Route 53 utiliza CloudWatch las alarmas en sus comprobaciones de estado, consulte Cómo determina Route 53 el estado de las comprobaciones de estado que supervisan CloudWatch las alarmas y Monitorización de una CloudWatch alarma en la Guía para desarrolladores de Amazon Route 53.

Para configurar una política de enrutamiento de DNS conmutación por error en Route 53, primero debe crear una zona alojada para su dominio.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas y, luego, Crear zona alojada.

  3. En la página Zona alojada creada, introduzca su nombre de dominio (por ejemplo example.com) en Nombre de dominio.

  4. En Tipo, seleccione Zona alojada pública.

  5. Elija Crear zona alojada.

A continuación, cree una comprobación de estado para su región principal.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, seleccione Comprobaciones de estado y, a continuación, Crear comprobación de estado.

  3. En la página Configurar la comprobación de estado, introduzca un nombre para la comprobación.

  4. En Qué controlar, seleccione Punto final, Estado de otras comprobaciones de estado (comprobación de estado calculada) o Estado de CloudWatch alarma.

  5. En función de lo que haya seleccionado en el paso anterior, configure la comprobación de estado y, a continuación, seleccione Siguiente.

  6. En la página Recibir una notificación cuando se produzca un error en la comprobación de estado, en Crear alarma, seleccione o No.

  7. Elija Crear comprobación de estado.

Una vez creada la comprobación de estado, puede crear los registros de DNS conmutación por error.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas.

  3. En la página Zonas alojadas, seleccione su nombre de dominio.

  4. En la página de detalles del nombre de dominio, seleccione Crear registro.

  5. En la página Elegir política de enrutamiento, seleccione Conmutación por error y, a continuación Siguiente.

  6. En la página Configurar registros, en Configuración básica, introduzca el nombre del subdominio en el campo Nombre del registro. Por ejemplo, si la suya FQDN esdesktop.example.com, introduzcadesktop.

    nota

    Si desea utilizar el dominio raíz, deje en blanco el campo Nombre del registro. Sin embargo, te recomendamos usar un subdominio, como desktop oworkspaces, a menos que hayas configurado el dominio únicamente para usarlo con tu WorkSpaces.

  7. En Tipo de registro, selecciona TXT: Se usa para verificar los remitentes de correo electrónico y para valores específicos de la aplicación.

  8. Deje la configuración de TTLsegundos en la configuración predeterminada.

  9. En Registros de conmutación por error a los que añadir your_domain_name, elija Definir registro de conmutación por error.

Ahora necesita configurar los registros de conmutación por error para sus regiones principal y de conmutación por error.

Ejemplo: Para configurar el registro de conmutación por error de su región principal

  1. En el cuadro de diálogo Definir registro de conmutación por error, en Valor/enrutar el tráfico a, seleccione la dirección IP u otro valor en función del tipo de registro.

  2. Se abre un cuadro en el que puede introducir las entradas de texto de muestra. Introduzca el identificador de conexión de la asociación de alias de conexión de su región principal.

  3. En Tipo de registro de conmutación por error, seleccione Principal.

  4. En Comprobación de estado, seleccione una comprobación de estado que haya creado para su región principal.

  5. En el campo ID de registro, introduzca una descripción para identificar este registro.

  6. Elija Definir registro de conmutación por error. El nuevo registro de conmutación por error aparece en Registros de conmutación por error a los que añadir your_domain_name.

Ejemplo: Para configurar el registro de conmutación por error de su región de conmutación por error

  1. En Registros de conmutación por error a los que añadir your_domain_name, elija Definir registro de conmutación por error.

  2. En el cuadro de diálogo Definir registro de conmutación por error, en Valor/enrutar el tráfico a, seleccione la dirección IP u otro valor en función del tipo de registro.

  3. Se abre un cuadro en el que puede introducir las entradas de texto de muestra. Introduzca el identificador de conexión de la asociación de alias de conexión de su región de conmutación por error.

  4. En Tipo de registro de conmutación por error, seleccione Secundario.

  5. (Opcional) En Comprobación de estado, introduzca una comprobación de estado que haya creado para su región de conmutación por error.

  6. En el campo ID de registro, introduzca una descripción para identificar este registro.

  7. Elija Definir registro de conmutación por error. El nuevo registro de conmutación por error aparece en Registros de conmutación por error a los que añadir your_domain_name.

Si la comprobación de estado que configuró para su región principal no es correcta, su política de enrutamiento de DNS conmutación por error redirige a WorkSpaces los usuarios a su región de conmutación por error. Route 53 sigue supervisando la comprobación de estado de su región principal y, cuando la comprobación de estado de su región principal deja de fallar, Route 53 redirige automáticamente a WorkSpaces los usuarios a la región principal. WorkSpaces

Para obtener más información sobre la creación de DNS registros, consulte Creación de registros mediante la consola de Amazon Route 53 en la Guía para desarrolladores de Amazon Route 53. Para obtener más información sobre la configuración de DNS TXT registros, consulte el tipo de TXT registro en la Guía para desarrolladores de Amazon Route 53.

Paso 5: envíe la cadena de conexión a sus WorkSpaces usuarios

Para asegurarse de que sus usuarios WorkSpaces serán redirigidos según sea necesario durante una interrupción, debe enviar la cadena de conexión (FQDN) a sus usuarios. Si ya ha emitido códigos de registro basados en la región (por ejemplo,WSpdx+ABC12D) a sus WorkSpaces usuarios, esos códigos seguirán siendo válidos. Sin embargo, para que la redirección entre regiones funcione, WorkSpaces los usuarios deben utilizar la cadena de conexión como código de registro al registrarlos WorkSpaces en la aplicación cliente. WorkSpaces

importante

Si crea los usuarios en la WorkSpaces consola en lugar de crearlos en Active Directory, envía WorkSpaces automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en la región (por ejemploWSpdx+ABC12D) cada vez que lance uno nuevo. WorkSpace Aunque ya haya configurado el redireccionamiento entre regiones, el correo electrónico de invitación que se envía automáticamente cuando se trata de un nuevo correo WorkSpaces contiene este código de registro basado en la región en lugar de la cadena de conexión.

Para asegurarse de que sus WorkSpaces usuarios utilizan la cadena de conexión en lugar del código de registro basado en la región, debe enviarles otro correo electrónico con la cadena de conexión mediante el procedimiento que se indica a continuación.

Para enviar la cadena de conexión a sus usuarios WorkSpaces

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región principal para tu. WorkSpaces

  3. En el panel de navegación, elige. WorkSpaces

  4. En la WorkSpacespágina, utilice el cuadro de búsqueda para buscar un usuario al que desee enviar una invitación y, a continuación, seleccione el usuario correspondiente en los resultados WorkSpace de la búsqueda. Solo puede seleccionar uno WorkSpace a la vez.

  5. Seleccione Actions (Acciones), Invite User (Invitar usuario).

  6. En la WorkSpaces página Invitar a los usuarios a sus páginas, verás una plantilla de correo electrónico para enviarla a tus usuarios.

  7. (Opcional) Si hay más de un alias de conexión asociado a su WorkSpaces directorio, seleccione la cadena de conexión que desee que usen sus usuarios en la lista de cadenas de alias de conexión. La plantilla de correo electrónico se actualiza para mostrar la cadena que ha seleccionado.

  8. Copie el texto de la plantilla de correo electrónico y péguelo en un mensaje para los usuarios utilizando su propia aplicación de correo electrónico. En su aplicación de correo electrónico, puede modificar el texto según necesite. Cuando el correo electrónico de invitación esté listo, envíelo a los usuarios.

Diagrama de arquitectura de redirección entre regiones

El siguiente diagrama describe el proceso de implementación de la redirección entre regiones.

Redireccionamiento entre regiones
nota

La redirección entre regiones solo facilita la conmutación por error y la recuperación entre regiones. No facilita la creación y el mantenimiento WorkSpaces en la región secundaria ni permite la replicación de datos entre regiones. WorkSpaces tanto en la región principal como en la secundaria, deben gestionarse por separado.

Inicie la redirección entre regiones

En caso de que se produzca una interrupción, puede actualizar los DNS registros manualmente o utilizar políticas de enrutamiento automatizadas basadas en las comprobaciones de estado, que determinan la región de conmutación por error. Recomendamos seguir los mecanismos de recuperación ante desastres descritos en Creación de mecanismos de recuperación ante desastres con Amazon Route 53.

Qué ocurre durante el redireccionamiento entre regiones

Durante la conmutación por error regional, WorkSpaces los usuarios se desconectan de WorkSpaces la región principal. Cuando intentan volver a conectarse, aparece el siguiente mensaje de error:

We can't connect to your WorkSpace. Check your network connection, and then try again.

A continuación, se pedirá a los usuarios que inicien sesión de nuevo. Si utilizan el FQDN como código de registro, cuando vuelven a iniciar sesión, tus políticas de enrutamiento de DNS conmutación por error los redirigen a la WorkSpaces que has configurado para ellos en la región de conmutación por error.

nota

En algunos casos, es posible que los usuarios no puedan volver a conectarse cuando se registren de nuevo. Si se produce este comportamiento, deben cerrar y reiniciar la aplicación WorkSpaces cliente y, a continuación, intentar volver a iniciar sesión.

Desasociar un alias de conexión de un directorio

Solo la cuenta propietaria de un directorio puede disociar un alias de conexión del directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para disociar el alias de conexión del directorio.

Para disociar un alias de conexión de un directorio

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región que contiene el alias de conexión que deseas desasociar.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Acciones, Asociar/desasociar.

    También puede disociar un alias de conexión de la página de detalles del alias de conexión. Para ello, en Directorio asociado, seleccione Desasociar.

  5. En la página Asociar/desasociar, seleccione Desasociar.

  6. En el cuadro de diálogo que le pide que confirme la disociación, seleccione Desasociar.

Dejar de compartir un alias de conexión

Solo el propietario de un alias de conexión puede dejar de compartir el alias. Si deja de compartir un alias de conexión con una cuenta, esa cuenta ya no podrá asociar el alias de conexión a un directorio.

Para dejar de compartir un alias de conexión

  1. Abre la consola en WorkSpaces . https://console.aws.amazon.com/workspaces/

  2. En la esquina superior derecha de la consola, selecciona la AWS región que contiene el alias de conexión que quieres dejar de compartir.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, Acciones, Compartir/dejar de compartir el alias de conexión.

    También puede dejar de compartir un alias de conexión desde la página de detalles del alias de conexión. Para ello, en Cuenta compartida, selecciona Dejar de compartir.

  5. En la página Compartir/dejar de compartir alias de conexión, seleccione Dejar de compartir.

  6. En el cuadro de diálogo que te pide que confirmes que no se comparte el alias de conexión, seleccione Dejar de compartir.

Eliminar un alias de conexión

Puedes eliminar un alias de conexión solo si es propiedad de tu cuenta y si no está asociado a un directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para disociar el alias de conexión del directorio y poder eliminar el alias de conexión.

importante

Después de crear una cadena de conexión, siempre estará asociada a tu cuenta. AWS No puede volver a crear una cadena de conexión con otra cuenta aunque haya eliminado todas las instancias de la cadena de conexión de la cuenta original. La cadena de conexión está reservada globalmente para tu cuenta.

aviso

Si ya no va a utilizar un FQDN como código de registro para sus WorkSpaces usuarios, debe tomar ciertas precauciones para evitar posibles problemas de seguridad. Para obtener más información, consulte Consideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones.

Para eliminar un alias de conexión

  1. Abra la WorkSpaces consola en https://console.aws.amazon.com/workspaces/.

  2. En la esquina superior derecha de la consola, selecciona la AWS región que contiene el alias de conexión que deseas eliminar.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Eliminar.

    También puede eliminar un alias de conexión de la página de detalles del alias de conexión. En la parte superior derecha de la página, elija Eliminar.

    nota

    Si el botón Eliminar está desactivado, asegúrese de ser el propietario del alias y de que el alias no esté asociado a un directorio.

  5. En el cuadro de diálogo que le pide que confirme la eliminación, seleccione Eliminar.

IAMpermisos para asociar y desasociar los alias de conexión

Si utiliza un IAM usuario para asociar o desasociar los alias de conexión, el usuario debe tener permisos para y. workspaces:AssociateConnectionAlias workspaces:DisassociateConnectionAlias

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
importante

Si va a crear una IAM política para asociar o desasociar los alias de conexión para las cuentas que no son propietarios de los alias de conexión, no puede especificar un ID de cuenta en. ARN En su lugar, debe utilizar * para el ID de cuenta, como se muestra en la siguiente directiva de ejemplo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Puede especificar un ID de cuenta ARN solo cuando esa cuenta sea propietaria del alias de conexión que se va a asociar o disociar.

Para obtener más información sobre cómo trabajar conIAM, consulteAdministración de identidad y acceso para WorkSpaces.

Consideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones

Si ya no va a utilizar un FQDN como código de registro para sus WorkSpaces usuarios, debe tomar las siguientes precauciones para evitar posibles problemas de seguridad:

  • Asegúrese de emitir a sus WorkSpaces usuarios el código de registro específico de la región (por ejemploWSpdx+ABC12D) para su WorkSpaces directorio e indicarles que dejen de usarlo FQDN como código de registro.

  • Si aún eres propietario de este dominio, asegúrate de actualizar tu DNS TXT registro para eliminarlo de forma que no se pueda utilizar en un ataque de suplantación de identidad. Si eliminas este dominio de tu DNS TXT registro y tus WorkSpaces usuarios intentan usarlo FQDN como código de registro, sus intentos de conexión fallarán sin problemas.

  • Si ya no eres propietario de este dominio, tus WorkSpaces usuarios deberán usar el código de registro específico de su región. Si siguen intentando usarlo FQDN como código de registro, sus intentos de conexión podrían redirigirse a un sitio malicioso.