Redirection entre régions pour Personal WorkSpaces - Amazon WorkSpaces
PrérequisLimitesÉtape 1 : Créer des alias de connexion(Facultatif) Étape 2 : Partager un alias de connexion avec un autre compteÉtape 3 : Associer des alias de connexion aux annuaires de chaque régionÉtape 4 : Configuration de votre DNS service et définition des politiques DNS de routageÉtape 5 : envoyer la chaîne de connexion à vos WorkSpaces utilisateursSchéma de l'architecture de redirection entre régionsLancer la redirection entre régionsQue se passe-t-il lors de la redirection entre régionsDissociation d'un alias de connexion d'un annuaireAnnulation du partage d'un alias de connexionSuppression d'un alias de connexionIAMautorisations pour associer et dissocier des alias de connexionConsidérations de sécurité si vous arrêtez d'utiliser la redirection entre régions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Redirection entre régions pour Personal WorkSpaces

Grâce à la fonctionnalité de redirection entre régions d'Amazon WorkSpaces, vous pouvez utiliser un nom de domaine complet (FQDN) comme code d'enregistrement pour votre WorkSpaces. La redirection entre régions fonctionne avec les politiques de routage de votre système de noms de domaine (DNS) pour rediriger vos WorkSpaces utilisateurs vers une alternative WorkSpaces lorsque leur principal WorkSpaces n'est pas disponible. Par exemple, en utilisant des politiques de routage en cas de DNS basculement, vous pouvez connecter vos utilisateurs WorkSpaces à la AWS région de basculement que vous avez spécifiée lorsqu'ils ne peuvent pas accéder WorkSpaces à leur région principale.

Vous pouvez utiliser la redirection entre régions ainsi que vos politiques de routage en cas de DNS basculement pour garantir la résilience régionale et la haute disponibilité. Vous pouvez également utiliser cette fonctionnalité à d'autres fins, telles que la distribution du trafic ou la fourniture d'une alternative WorkSpaces pendant les périodes de maintenance. Si vous utilisez Amazon Route 53 pour votre DNS configuration, vous pouvez bénéficier des contrôles de santé qui surveillent les CloudWatch alarmes Amazon.

Pour utiliser cette fonctionnalité, vous devez la configurer WorkSpaces pour vos utilisateurs dans deux AWS régions (ou plus). Vous devez également créer des codes FQDN d'enregistrement spéciaux appelés alias de connexion. Ces alias de connexion remplacent les codes d'enregistrement spécifiques à la région pour vos utilisateurs. WorkSpaces (Les codes d'enregistrement spécifiques à la région restent valides ; toutefois, pour que la redirection entre régions fonctionne, vos utilisateurs doivent FQDN plutôt les utiliser comme code d'enregistrement.)

Pour créer un alias de connexion, vous devez spécifier une chaîne de connexion, qui est la vôtreFQDN, telle que www.example.com oudesktop.example.com. Pour utiliser ce domaine pour la redirection entre régions, vous devez l'enregistrer auprès d'un bureau d'enregistrement de domaines et configurer le DNS service pour votre domaine.

Après avoir créé vos alias de connexion, vous les associez à vos WorkSpaces annuaires dans différentes régions pour créer des paires d'associations. Chaque paire d'associations comporte une région principale et une ou plusieurs régions de basculement. En cas de panne dans la région principale, vos politiques de routage de DNS basculement redirigent vos WorkSpaces utilisateurs vers celle WorkSpaces que vous avez configurée pour eux dans la région de basculement.

Pour désigner vos régions principale et de basculement, vous définissez la priorité de région (principale ou secondaire) lors de la configuration de vos politiques de routage en cas de DNS basculement.

Prérequis

  • Vous devez posséder et enregistrer le domaine que vous souhaitez utiliser comme alias de connexion. FQDN Si vous n'utilisez pas déjà un autre bureau d'enregistrement de domaines, vous pouvez enregistrer votre domaine avec Amazon Route 53. Pour plus d'informations, consultez Enregistrement et gestion des domaines à l'aide d'Amazon Route 53 dans le Guide du développeur Amazon Route 53.

    Important

    Vous devez disposer de tous les droits nécessaires pour utiliser tout nom de domaine que vous utilisez conjointement avec Amazon WorkSpaces. Vous admettez que le nom de domaine ne viole ni ne porte atteinte aux droits légaux d'un tiers, ni n'enfreint, de quelque manière que ce soit, la loi applicable.

    La longueur totale de votre nom de domaine ne doit pas dépasser 255 caractères. Pour plus d'informations sur les noms de domaine, consultez le format des noms de DNS domaine dans le manuel Amazon Route 53 Developer Guide.

    La redirection entre régions fonctionne à la fois avec les noms de domaine publics et les noms de domaine des DNS zones privées. Si vous utilisez une DNS zone privée, vous devez fournir une connexion de réseau privé virtuel (VPN) au cloud privé virtuel (VPC) qui contient votre WorkSpaces. Si vos WorkSpaces utilisateurs tentent d'utiliser un accès FQDN privé sur Internet public, les applications WorkSpaces clientes renvoient le message d'erreur suivant :

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Vous devez configurer votre DNS service et les politiques de DNS routage nécessaires. La redirection entre régions fonctionne en conjonction avec vos politiques DNS de routage pour rediriger vos WorkSpaces utilisateurs selon les besoins.

  • Dans chaque région principale et de basculement dans laquelle vous souhaitez configurer la redirection entre régions, créez-en WorkSpaces pour vos utilisateurs. Assurez-vous d'utiliser les mêmes noms d'utilisateur dans chaque WorkSpaces répertoire de chaque région. Pour synchroniser les données de vos utilisateurs Active Directory, nous vous recommandons d'utiliser AD Connector pour pointer vers le même Active Directory dans chaque région que vous avez configurée WorkSpaces pour vos utilisateurs. Pour plus d'informations sur la création WorkSpaces, consultez Launch WorkSpaces.

    Important

    Si vous configurez votre annuaire Microsoft AD AWS géré pour une réplication multirégionale, seul le répertoire de la région principale peut être enregistré pour être utilisé auprès d'Amazon WorkSpaces. Les tentatives d'enregistrement du répertoire dans une région répliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

    Lorsque vous avez terminé de configurer la redirection entre régions, vous devez vous assurer que vos WorkSpaces utilisateurs utilisent le code d'enregistrement FQDN basé sur la région au lieu du code d'enregistrement basé sur la région (par exemple,WSpdx+ABC12D) pour leur région principale. Pour ce faire, vous devez leur envoyer un e-mail avec la chaîne de FQDN connexion en suivant la procédure décrite dansÉtape 5 : envoyer la chaîne de connexion à vos WorkSpaces utilisateurs.

    Note

    Si vous créez vos utilisateurs dans la WorkSpaces console au lieu de les créer dans Active Directory, envoie WorkSpaces automatiquement un e-mail d'invitation à vos utilisateurs avec un code d'enregistrement basé sur la région chaque fois que vous lancez un nouveau. WorkSpace Cela signifie que lorsque vous configurez la région de basculement WorkSpaces pour vos utilisateurs, ceux-ci recevront également automatiquement des e-mails les concernant. WorkSpaces Vous devrez demander aux utilisateurs d'ignorer les e-mails contenant des codes d'enregistrement basés sur la région.

Limites

  • La redirection entre régions ne vérifie pas automatiquement si les connexions à la région principale ont échoué, puis vous WorkSpaces redirige vers une autre région. En d'autres termes, aucun basculement automatique ne se produit.

    Pour implémenter un scénario de basculement automatique, vous devez utiliser un autre mécanisme conjointement avec la redirection entre régions. Par exemple, vous pouvez utiliser une politique de DNS routage en cas de basculement d'Amazon Route 53 associée à un bilan de santé de la Route 53 qui surveille une CloudWatch alarme dans la région principale. Si l' CloudWatch alarme est déclenchée dans la région principale, votre politique de routage en cas de DNS basculement redirige ensuite vos WorkSpaces utilisateurs vers celle WorkSpaces que vous avez configurée pour eux dans la région de basculement.

  • Lorsque vous utilisez la redirection entre régions, les données utilisateur ne sont pas conservées d'une région WorkSpaces à l'autre. Pour garantir que les utilisateurs puissent accéder à leurs fichiers depuis différentes régions, nous vous recommandons de configurer Amazon WorkDocs pour vos WorkSpaces utilisateurs, si Amazon WorkDocs est pris en charge dans votre région principale et dans votre région de basculement. Pour plus d'informations sur Amazon WorkDocs, consultez Amazon WorkDocs Drive dans le guide d' WorkDocs administration Amazon. Pour plus d'informations sur l'activation d'Amazon WorkDocs pour vos WorkSpace utilisateurs, consultez Enregistrer un existant AWS Directory Service annuaire avec WorkSpaces Personal etActivation d'Amazon WorkDocs pour AWS Managed Microsoft AD. Pour plus d'informations sur la manière dont WorkSpaces les utilisateurs peuvent configurer Amazon WorkDocs sur leur compte WorkSpaces, consultez la section Intégrer avec WorkDocs dans le guide de WorkSpaces l'utilisateur Amazon.

  • La redirection entre régions n'est prise en charge que sur les versions 3.0.9 ou ultérieures des applications WorkSpaces clientes Linux, macOS et Windows. Vous pouvez également utiliser la redirection entre régions avec Web Access.

  • La redirection entre régions est disponible dans toutes les AWS régions où Amazon WorkSpaces est disponible, à l'exception de la région AWS GovCloud (US) Region s et de la Chine (Ningxia).

Étape 1 : Créer des alias de connexion

À l'aide du même AWS compte, créez des alias de connexion dans chaque région principale et de reprise où vous souhaitez configurer la redirection entre régions.

Pour créer un alias de connexion

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Redirection entre régions, choisissez Créer un alias de connexion.

  5. Pour Chaîne de connexion, entrez unFQDN, tel que www.example.com oudesktop.example.com. Une chaîne de connexion peut comporter un maximum de 255 caractères. Elle ne peut contenir que des lettres (A-Z et a-z), des chiffres (0-9) et les caractères suivants : .-

    Important

    Une fois que vous avez créé une chaîne de connexion, celle-ci est toujours associée à votre AWS compte. Vous ne pouvez pas recréer la même chaîne de connexion avec un autre compte, même si vous avez supprimé toutes ses instances du compte d'origine. La chaîne de connexion est globalement réservée à votre compte.

  6. (Facultatif) Sous Balises, spécifiez les balises que vous souhaitez associer à votre alias de connexion.

  7. Choisissez Créer un alias de connexion.

  8. Répétez ces étapes, mais assurez-vous de Étape 2 sélectionner la région de basculement correspondant à votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pour chacune d'entre elles. Veillez à utiliser le même AWS compte pour créer l'alias de connexion dans chaque région de basculement.

(Facultatif) Étape 2 : Partager un alias de connexion avec un autre compte

Vous pouvez partager un alias de connexion avec un autre AWS compte de la même AWS région. Le partage d'un alias de connexion avec un autre compte accorde à ce dernier l'autorisation d'associer ou d'annuler l'association de cet alias à un répertoire appartenant à ce compte dans la même région uniquement. Seul le compte qui possède un alias de connexion peut supprimer cet alias.

Note

Un alias de connexion ne peut être associé qu'à un seul répertoire par AWS région. Si vous partagez un alias de connexion avec un autre AWS compte, un seul compte (votre compte ou le compte partagé) peut associer l'alias à un répertoire dans cette région.

Pour partager un alias de connexion avec un autre AWS compte

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région dans laquelle vous souhaitez partager l'alias de connexion avec un autre AWS compte.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Partager/annuler le partage de l'alias de connexion.

    Vous pouvez également partager un alias depuis la page des détails de votre alias de connexion. Pour ce faire, sous Compte partagé, choisissez Partager l'alias de connexion.

  5. Sur la page Partager ou annuler le partage de l'alias de connexion, sous Partager avec un compte, entrez l'ID du AWS compte avec lequel vous souhaitez partager votre alias de connexion dans cette région. AWS

  6. Choisissez Partager.

Étape 3 : Associer des alias de connexion aux annuaires de chaque région

L'association du même alias de connexion à un WorkSpaces répertoire dans deux régions ou plus crée une paire d'associations entre les répertoires. Chaque paire d'associations comporte une région principale et une ou plusieurs régions de basculement.

Par exemple, si votre région principale est la région USA Ouest (Oregon), vous pouvez associer votre WorkSpaces annuaire de la région USA Ouest (Oregon) à un WorkSpaces annuaire de la région USA Est (Virginie du Nord). En cas de panne dans la région principale, la redirection entre régions fonctionne en conjonction avec vos politiques de routage en cas de DNS basculement et avec tous les bilans de santé que vous avez mis en place dans la région USA Ouest (Oregon) pour rediriger vos utilisateurs vers la région que WorkSpaces vous avez configurée pour eux dans la région USA Est (Virginie du Nord). Pour plus d'informations sur l'expérience de redirection entre régions, consultez Que se passe-t-il lors de la redirection entre régions.

Note

Si vos WorkSpaces utilisateurs se trouvent à une distance significative de la région de basculement (par exemple, à des milliers de kilomètres), leur WorkSpaces expérience risque d'être moins réactive que d'habitude. Pour vérifier la durée du trajet aller-retour (RTT) vers les différentes AWS régions depuis votre lieu de résidence, utilisez l'Amazon Connection WorkSpaces Health Check.

Pour associer un alias de connexion à un annuaire

Vous ne pouvez associer un alias de connexion qu'à un seul répertoire par AWS région. Si vous avez partagé un alias de connexion avec un autre AWS compte, un seul compte (votre compte ou le compte partagé) peut associer l'alias à un répertoire dans cette région.

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Associer/Dissocier.

    Vous pouvez également associer un alias de connexion à un annuaire depuis la page des détails de votre alias de connexion. Pour ce faire, sous Répertoire associé, choisissez Associer le répertoire.

  5. Sur la page Associer/dissocier, sous Associer à un répertoire, sélectionnez le répertoire auquel vous souhaitez associer votre alias de connexion dans cette région. AWS

    Note

    Si vous configurez votre répertoire Microsoft AD AWS géré pour une réplication multirégionale, seul le répertoire de la région principale peut être utilisé avec Amazon WorkSpaces. Les tentatives d'utilisation de l'annuaire dans une région répliquée avec Amazon WorkSpaces échoueront. La réplication multirégionale avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

  6. Choisissez Associer.

  7. Répétez ces étapes, mais assurez-vous de Étape 2 sélectionner la région de basculement correspondant à votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pour chacune d'entre elles. Assurez-vous d'associer le même alias de connexion à un annuaire dans chaque région de basculement.

Étape 4 : Configuration de votre DNS service et définition des politiques DNS de routage

Après avoir créé vos alias de connexion et vos paires d'associations d'alias de connexion, vous pouvez configurer le DNS service pour le domaine que vous avez utilisé dans vos chaînes de connexion. Vous pouvez faire appel à n'importe quel DNS fournisseur de services à cette fin. Si vous n'avez pas encore de fournisseur DNS de services préféré, vous pouvez utiliser Amazon Route 53. Pour plus d'informations, consultez la section Configuration d'Amazon Route 53 en tant que DNS service dans le guide du développeur Amazon Route 53.

Après avoir configuré le DNS service pour votre domaine, vous devez définir les politiques de DNS routage que vous souhaitez utiliser pour la redirection entre régions. Par exemple, vous pouvez utiliser les bilans de santé d'Amazon Route 53 pour déterminer si vos utilisateurs peuvent se connecter à leur WorkSpaces compte dans une région donnée. Si vos utilisateurs ne peuvent pas se connecter, vous pouvez utiliser une politique de DNS basculement pour acheminer votre DNS trafic d'une région à l'autre.

Pour plus d'informations sur le choix de votre politique de DNS routage, consultez Choisir une politique de routage dans le guide du développeur Amazon Route 53. Pour plus d'informations sur la surveillance de l'état Amazon Route 53, consultez Comment Amazon Route 53 vérifie l'état de vos ressources dans le Guide du développeur Amazon Route 53.

Lorsque vous configurez vos politiques de DNS routage, vous aurez besoin de l'identifiant de connexion pour l'association entre l'alias de connexion et le WorkSpaces répertoire dans la région principale. Vous aurez également besoin de l'identifiant de connexion pour l'association entre l'alias de connexion et le WorkSpaces répertoire dans votre ou vos régions de basculement.

Note

L'identifiant de connexion est différent de l'identifiant d'alias de connexion. L'identifiant d'alias de connexion commence par wsca-.

Pour rechercher l'identifiant de connexion d'une association d'alias de connexion

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Associations de redirection entre régions, sélectionnez le texte de la chaîne de connexion (leFQDN) pour afficher la page de détails de l'alias de connexion.

  5. Sur la page des détails de votre alias de connexion, sous Répertoire associé, notez la valeur affichée pour Identifiant de connexion.

  6. Répétez ces étapes, mais assurez-vous de Étape 2 sélectionner la région de basculement correspondant à votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes afin de rechercher l'identifiant de connexion pour chaque région de basculement.

Exemple : pour configurer une politique de routage en cas de DNS basculement à l'aide de Route 53

L'exemple suivant configure une zone hébergée publique pour votre domaine. Toutefois, vous pouvez configurer une zone hébergée publique ou privée. Pour plus d'informations sur la configuration d'une zone hébergée, consultez Utilisation des zones hébergées dans le Guide du développeur Amazon Route 53.

Cet exemple utilise également une stratégie de routage de basculement. Vous pouvez utiliser d'autres types de stratégies de routage pour votre stratégie de redirection entre régions. Pour plus d'informations sur le choix de votre politique de DNS routage, consultez Choisir une politique de routage dans le guide du développeur Amazon Route 53.

Lorsque vous configurez une stratégie de routage de basculement dans Route 53, une surveillance de l'état est requise pour la région principale. Pour plus d'informations sur la création d'un bilan de santé dans Route 53, consultez les sections Création de bilans de santé Amazon Route 53 et configuration du DNS basculement et Création, mise à jour et suppression de bilans de santé dans le manuel du développeur Amazon Route 53.

Si vous souhaitez utiliser une CloudWatch alarme Amazon pour votre bilan de santé de la Route 53, vous devez également configurer une CloudWatch alarme pour surveiller les ressources de votre région principale. Pour plus d'informations CloudWatch, consultez Qu'est-ce qu'Amazon CloudWatch ? dans le guide de CloudWatch l'utilisateur Amazon. Pour plus d'informations sur la façon dont Route 53 utilise les CloudWatch alarmes dans ses bilans de santé, consultez Comment Route 53 détermine le statut des bilans de santé qui surveillent les CloudWatch alarmes et Surveillance CloudWatch d'une alarme dans le manuel du développeur Amazon Route 53.

Pour configurer une politique de routage en cas de DNS basculement dans Route 53, vous devez d'abord créer une zone hébergée pour votre domaine.

  1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Zones hébergées, puis choisissez Créer une zone hébergée.

  3. Sur la page Zone hébergée créée, entrez votre nom de domaine (tel que example.com) sous Nom de domaine.

  4. Sous Type, sélectionnez Zone hébergée publique.

  5. Choisissez Créer une zone hébergée.

Créez ensuite une surveillance de l'état pour votre région principale.

  1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le volet de navigation, choisissez Vérifications de l'état, puis Créer une vérification de l'état.

  3. Sur la page Configurer la vérification de l'état, entrez le nom de la surveillance de l'état.

  4. Pour Éléments à surveiller, sélectionnez Endpoint, État des autres bilans de santé (bilan de santé calculé) ou État de l' CloudWatch alarme.

  5. En fonction de ce que vous avez sélectionné à l'étape précédente, configurez votre surveillance de l'état, puis choisissez Suivant.

  6. Sur la page M'avertir quand une vérification de l'état échoue pour Créer une alarme, choisissez Oui ou Non.

  7. Choisissez Créer une vérification de l'état.

Après avoir créé votre bilan de santé, vous pouvez créer les enregistrements de DNS basculement.

  1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Zones hébergées.

  3. Sur la page Zones hébergées, sélectionnez votre nom de domaine.

  4. Sur la page des détails de votre nom de domaine, choisissez Créer un enregistrement.

  5. Sur la page Choisir une stratégie de routage, sélectionnez Basculement, puis Suivant.

  6. Sur la page Configurer les enregistrements, sous Configuration de base, entrez le nom de votre sous-domaine dans le champ Nom de l'enregistrement. Par exemple, si FQDN c'est le casdesktop.example.com, entrezdesktop.

    Note

    Si vous souhaitez utiliser le domaine racine, laissez le champ Nom de l'enregistrement vide. Cependant, nous vous recommandons d'utiliser un sous-domaine, tel que desktop ouworkspaces, sauf si vous avez configuré le domaine uniquement pour une utilisation avec votre WorkSpaces.

  7. Pour Type d'enregistrement, sélectionnez TXT— Utilisé pour vérifier les expéditeurs d'e-mails et pour les valeurs spécifiques à l'application.

  8. Conservez les paramètres des TTLsecondes par défaut.

  9. Sous Failover, enregistrements à ajouter your_domain_name, choisissez Définir un enregistrement de basculement.

Vous devez maintenant configurer les enregistrements de basculement pour vos régions principale et de basculement.

Exemple : Pour configurer l'enregistrement de basculement pour votre région principale

  1. Dans la boîte de dialogue Définir un enregistrement de basculement, pour Évaluer/Acheminer le trafic vers, sélectionnez Adresse IP ou une autre valeur en fonction du type d'enregistrement.

  2. Une boîte de dialogue s'ouvre pour vous permettre de saisir vos exemples de texte. Entrez l'identifiant de connexion pour l'association d'alias de connexion de votre région principale.

  3. Pour Type d'enregistrement de basculement, sélectionnez Principale.

  4. Pour Vérification de l'état, sélectionnez une surveillance de l'état que vous avez créée pour votre région principale.

  5. Pour ID d'enregistrement, entrez une description afin d'identifier cet enregistrement.

  6. Choisissez Définir un enregistrement de basculement. Votre nouvel enregistrement de basculement apparaît sous Enregistrements de basculement à ajouter à your_domain_name.

Exemple : Pour configurer l'enregistrement de basculement pour votre région de basculement

  1. Sous Failover, enregistrements à ajouter your_domain_name, choisissez Définir un enregistrement de basculement.

  2. Dans la boîte de dialogue Définir un enregistrement de basculement, pour Évaluer/Acheminer le trafic vers, sélectionnez Adresse IP ou une autre valeur en fonction du type d'enregistrement.

  3. Une boîte de dialogue s'ouvre pour vous permettre de saisir vos exemples de texte. Entrez l'identifiant de connexion pour l'association d'alias de connexion de votre région de basculement.

  4. Pour Type d'enregistrement de basculement, sélectionnez Secondaire.

  5. (Facultatif) Dans Vérification de l'état, entrez une surveillance de l'état que vous avez créée pour votre région de basculement.

  6. Pour ID d'enregistrement, entrez une description afin d'identifier cet enregistrement.

  7. Choisissez Définir un enregistrement de basculement. Votre nouvel enregistrement de basculement apparaît sous Enregistrements de basculement à ajouter à your_domain_name.

Si le bilan de santé que vous avez configuré pour votre région principale échoue, votre politique de routage en cas de DNS basculement redirige vos WorkSpaces utilisateurs vers votre région de basculement. Route 53 continue de surveiller le bilan de santé de votre région principale, et lorsque le bilan de santé de votre région principale n'échoue plus, Route 53 redirige automatiquement vos WorkSpaces utilisateurs vers leur WorkSpaces région principale.

Pour plus d'informations sur la création d'DNSenregistrements, consultez la section Création d'enregistrements à l'aide de la console Amazon Route 53 dans le manuel du développeur Amazon Route 53. Pour plus d'informations sur la configuration DNS TXT des enregistrements, consultez le type d'TXTenregistrement dans le manuel Amazon Route 53 Developer Guide.

Étape 5 : envoyer la chaîne de connexion à vos WorkSpaces utilisateurs

Pour vous assurer que vos utilisateurs WorkSpaces seront redirigés selon les besoins en cas de panne, vous devez envoyer la chaîne de connexion (FQDN) à vos utilisateurs. Si vous avez déjà délivré des codes d'enregistrement régionaux (par exemple,WSpdx+ABC12D) à vos WorkSpaces utilisateurs, ces codes restent valides. Toutefois, pour que la redirection entre régions fonctionne, vos WorkSpaces utilisateurs doivent utiliser la chaîne de connexion comme code d'enregistrement lorsqu'ils les enregistrent WorkSpaces dans l'application WorkSpaces cliente.

Important

Si vous créez vos utilisateurs dans la WorkSpaces console au lieu de les créer dans Active Directory, envoie WorkSpaces automatiquement un e-mail d'invitation à vos utilisateurs avec un code d'enregistrement basé sur la région (par exemple,WSpdx+ABC12D) chaque fois que vous lancez un nouveau. WorkSpace Même si vous avez déjà configuré la redirection entre régions, l'e-mail d'invitation qui est automatiquement envoyé pour un nouveau message WorkSpaces contient ce code d'enregistrement basé sur la région au lieu de votre chaîne de connexion.

Pour vous assurer que vos WorkSpaces utilisateurs utilisent la chaîne de connexion au lieu du code d'enregistrement basé sur la région, vous devez leur envoyer un autre e-mail contenant la chaîne de connexion en suivant la procédure ci-dessous.

Pour envoyer la chaîne de connexion à vos WorkSpaces utilisateurs

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région principale de votre. WorkSpaces

  3. Dans le volet de navigation, choisissez WorkSpaces.

  4. Sur la WorkSpacespage, utilisez le champ de recherche pour rechercher un utilisateur auquel vous souhaitez envoyer une invitation, puis sélectionnez le correspondant dans les résultats WorkSpace de recherche. Vous ne pouvez en sélectionner qu'un WorkSpace à la fois.

  5. Choisissez Actions, Inviter un utilisateur.

  6. Sur la WorkSpaces page Inviter des utilisateurs à rejoindre leur site, vous verrez un modèle d'e-mail à envoyer à vos utilisateurs.

  7. (Facultatif) Si plusieurs alias de connexion sont associés à votre WorkSpaces répertoire, sélectionnez la chaîne de connexion que vous souhaitez que vos utilisateurs utilisent dans la liste des chaînes d'alias de connexion. Le modèle d'e-mail est mis à jour pour afficher la chaîne que vous avez choisie.

  8. Copiez le texte du modèle, puis dans votre propre application de messagerie, collez-le dans un e-mail destiné aux utilisateurs. Dans l'application, vous pouvez modifier le texte selon vos besoins. Lorsque l'e-mail d'invitation est prêt, envoyez-le aux utilisateurs.

Schéma de l'architecture de redirection entre régions

Le schéma suivant décrit le processus de déploiement de la redirection entre régions.

Redirection entre régions
Note

La redirection entre régions facilite uniquement le basculement et le repli entre régions. Cela ne facilite pas la création et la maintenance WorkSpaces dans la région secondaire et n'autorise pas la réplication de données entre régions. WorkSpaces dans les régions primaire et secondaire, elles devraient être gérées séparément.

Lancer la redirection entre régions

En cas de panne, vous pouvez soit mettre à jour les DNS enregistrements manuellement, soit utiliser des politiques de routage automatisées basées sur des bilans de santé, qui déterminent la région de basculement. Nous vous recommandons de suivre les mécanismes de reprise après sinistre décrits dans Création de mécanismes de reprise après sinistre à l'aide d'Amazon Route 53.

Que se passe-t-il lors de la redirection entre régions

Pendant le basculement d'une région, vos WorkSpaces utilisateurs sont déconnectés WorkSpaces de leur région principale. Lorsqu'ils tentent de se reconnecter, ils reçoivent le message d'erreur suivant :

We can't connect to your WorkSpace. Check your network connection, and then try again.

Ils sont ensuite invités à se reconnecter. S'ils l'utilisent FQDN comme code d'enregistrement, lorsqu'ils se reconnectent, vos politiques de routage en cas de DNS basculement les redirigent vers le code WorkSpaces que vous avez configuré pour eux dans la région de basculement.

Note

Dans certains cas, les utilisateurs peuvent ne pas être en mesure de se reconnecter lorsqu'ils essaient de nouveau. Si ce comportement se produit, ils doivent fermer et redémarrer l'application WorkSpaces cliente, puis essayer de se reconnecter.

Dissociation d'un alias de connexion d'un annuaire

Seul le compte propriétaire d'un annuaire peut dissocier un alias de connexion de celui-ci.

Si vous avez partagé un alias de connexion avec un autre compte et que ce dernier a associé l'alias de connexion à un annuaire lui appartenant, ce compte doit être utilisé pour dissocier l'alias de connexion de l'annuaire.

Pour dissocier un alias de connexion d'un annuaire

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région contenant l'alias de connexion que vous souhaitez dissocier.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Associer/Dissocier.

    Vous pouvez également dissocier un alias de connexion depuis la page des détails de l'alias de connexion. Pour ce faire, sous Répertoire associé, choisissez Dissocier.

  5. Sur la page Associer/dissocier, choisissez Dissocier.

  6. Dans la boîte de dialogue demandant de confirmer la dissociation, choisissez Dissocier.

Annulation du partage d'un alias de connexion

Seul le propriétaire d'un alias de connexion peut annuler le partage de l'alias. Si vous annulez le partage d'un alias de connexion avec un compte, ce compte ne peut plus associer l'alias de connexion à un annuaire.

Pour annuler le partage d'un alias de connexion

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région contenant l'alias de connexion dont vous souhaitez annuler le partage.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Actions, Partager/annuler le partage de l'alias de connexion.

    Vous pouvez également annuler le partage d'un alias de connexion depuis la page des détails de l'alias de connexion. Pour ce faire, sous Compte partagé, choisissez Annuler le partage.

  5. Sur la page Partager/annuler le partage de l'alias de connexion, choisissez Annuler le partage.

  6. Dans la boîte de dialogue demandant de confirmer l'annulation du partage de l'alias de connexion, choisissez Annuler le partage.

Suppression d'un alias de connexion

Vous pouvez supprimer un alias de connexion uniquement s'il appartient à votre compte et s'il n'est associé à aucun annuaire.

Si vous avez partagé un alias de connexion avec un autre compte et que ce compte l'a associé à un annuaire lui appartenant, ce compte doit d'abord dissocier l'alias de connexion de l'annuaire avant de pouvoir supprimer l'alias de connexion.

Important

Une fois que vous avez créé une chaîne de connexion, celle-ci est toujours associée à votre AWS compte. Vous ne pouvez pas recréer la même chaîne de connexion avec un autre compte, même si vous avez supprimé toutes ses instances du compte d'origine. La chaîne de connexion est globalement réservée à votre compte.

Avertissement

Si vous n'utilisez plus de code FQDN d'enregistrement pour vos WorkSpaces utilisateurs, vous devez prendre certaines précautions pour éviter d'éventuels problèmes de sécurité. Pour de plus amples informations, veuillez consulter Considérations de sécurité si vous arrêtez d'utiliser la redirection entre régions.

Pour supprimer un alias de connexion

  1. Ouvrez la WorkSpaces console à l'adresse https://console.aws.amazon.com/workspaces/.

  2. Dans le coin supérieur droit de la console, sélectionnez la AWS région contenant l'alias de connexion que vous souhaitez supprimer.

  3. Dans le panneau de navigation, choisissez Paramètres du compte.

  4. Sous Associations de redirection entre régions, sélectionnez la chaîne de connexion, puis choisissez Supprimer.

    Vous pouvez également supprimer un alias de connexion depuis la page des détails de l'alias de connexion. Pour ce faire, sélectionnez Supprimer dans l'angle supérieur droit de la page.

    Note

    Si le bouton Supprimer est désactivé, assurez-vous d'être le propriétaire de l'alias, et que celui-ci n'est pas associé à un annuaire.

  5. Dans la boîte de dialogue demandant de confirmer la suppression, choisissez Supprimer.

IAMautorisations pour associer et dissocier des alias de connexion

Si vous utilisez un IAM utilisateur pour associer ou dissocier des alias de connexion, l'utilisateur doit disposer des autorisations pour workspaces:AssociateConnectionAlias et. workspaces:DisassociateConnectionAlias

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
Important

Si vous créez une IAM politique pour associer ou dissocier des alias de connexion pour des comptes qui ne possèdent pas d'alias de connexion, vous ne pouvez pas spécifier d'identifiant de compte dans le. ARN À la place, vous devez utiliser * pour l'ID de compte, comme illustré dans l'exemple de politique suivant.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Vous ne pouvez spécifier un identifiant de compte ARN que lorsque ce compte possède l'alias de connexion à associer ou à dissocier.

Pour plus d'informations sur l'utilisationIAM, consultezGestion des identités et des accès pour WorkSpaces.

Considérations de sécurité si vous arrêtez d'utiliser la redirection entre régions

Si vous n'utilisez plus de code FQDN d'enregistrement pour vos WorkSpaces utilisateurs, vous devez prendre les précautions suivantes pour éviter d'éventuels problèmes de sécurité :

  • Assurez-vous de fournir à vos WorkSpaces utilisateurs le code d'enregistrement spécifique à la région (par exemple,WSpdx+ABC12D) pour leur WorkSpaces annuaire et de leur demander de ne plus l'utiliser FQDN comme code d'enregistrement.

  • Si vous êtes toujours propriétaire de ce domaine, veillez à mettre à jour votre DNS TXT dossier pour le supprimer afin qu'il ne puisse pas être exploité lors d'une attaque de phishing. Si vous supprimez ce domaine de votre DNS TXT dossier et que vos WorkSpaces utilisateurs tentent de l'utiliser FQDN comme code d'enregistrement, leurs tentatives de connexion échoueront sans danger.

  • Si vous ne possédez plus ce domaine, vos WorkSpaces utilisateurs doivent utiliser leur code d'enregistrement spécifique à la région. S'ils continuent à essayer d'utiliser le FQDN comme code d'enregistrement, leurs tentatives de connexion pourraient être redirigées vers un site malveillant.