Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di prova con Amazon WorkSpaces
Amazon ti WorkSpaces consente di fornire desktop virtuali basati su cloud Windows, Amazon Linux o Ubuntu Linux per i tuoi utenti, noti come. WorkSpaces È possibile aggiungere o rimuovere rapidamente utenti man mano che le proprie esigenze cambiano. Gli utenti possono accedere ai propri desktop virtuali da più dispositivi o browser Web. Per ulteriori informazioni WorkSpaces, consulta la [Amazon WorkSpaces Administration Guide](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html).
L'esempio in questa sezione descrive un ambiente di test in cui un ambiente utente utilizza un browser Web in esecuzione su un WorkSpace per accedere a Console di gestione AWS Private Access. Poi, l'utente visita la console di Amazon Simple Storage Service. WorkSpace Questo ha lo scopo di simulare l'esperienza di un utente aziendale con un laptop su una rete connessa a VPC, accedendovi dal Console di gestione AWS proprio browser.
Questo tutorial serve AWS CloudFormation a creare e configurare la configurazione della rete e una Simple Active Directory da utilizzare WorkSpaces insieme alle istruzioni dettagliate per configurare e utilizzare il. WorkSpace Console di gestione AWS
Il diagramma seguente descrive il flusso di lavoro per l'utilizzo di una configurazione WorkSpace di test di Console di gestione AWS Private Access. Mostra la relazione tra un client WorkSpace, un VPC gestito da Amazon e un VPC gestito dal cliente.
![\[La configurazione di configurazione per testare un accesso Console di gestione AWS privato utilizzando Amazon WorkSpaces.\]](http://docs.aws.amazon.com/it_it/awsconsolehelpdocs/latest/gsg/images/vpce-workspaces-how-to-1.png)
Copia il seguente CloudFormation modello e salvalo in un file che utilizzerai nel passaggio 3 della procedura per configurare una rete.
## Console di gestione AWS CloudFormation Modello di ambiente Private Access
```
Description: |
AWS Management Console Private Access.
Parameters:
VpcCIDR:
Type: String
Default: 172.16.0.0/16
Description: CIDR range for VPC
PublicSubnet1CIDR:
Type: String
Default: 172.16.1.0/24
Description: CIDR range for Public Subnet A
PublicSubnet2CIDR:
Type: String
Default: 172.16.0.0/24
Description: CIDR range for Public Subnet B
PrivateSubnet1CIDR:
Type: String
Default: 172.16.4.0/24
Description: CIDR range for Private Subnet A
PrivateSubnet2CIDR:
Type: String
Default: 172.16.5.0/24
Description: CIDR range for Private Subnet B
DSAdminPasswordResourceName:
Type: String
Default: ADAdminSecret
Description: Password for directory services admin
# Amazon WorkSpaces is available in a subset of the Availability Zones for each supported Region.
# https://docs.aws.amazon.com/workspaces/latest/adminguide/azs-workspaces.html
Mappings:
RegionMap:
us-east-1:
az1: use1-az2
az2: use1-az4
az3: use1-az6
us-west-2:
az1: usw2-az1
az2: usw2-az2
az3: usw2-az3
ap-south-1:
az1: aps1-az1
az2: aps1-az2
az3: aps1-az3
ap-northeast-2:
az1: apne2-az1
az2: apne2-az3
ap-southeast-1:
az1: apse1-az1
az2: apse1-az2
ap-southeast-2:
az1: apse2-az1
az2: apse2-az3
ap-northeast-1:
az1: apne1-az1
az2: apne1-az4
ca-central-1:
az1: cac1-az1
az2: cac1-az2
eu-central-1:
az1: euc1-az2
az2: euc1-az3
eu-west-1:
az1: euw1-az1
az2: euw1-az2
eu-west-2:
az1: euw2-az2
az2: euw2-az3
sa-east-1:
az1: sae1-az1
az2: sae1-az3
Resources:
iamLambdaExecutionRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- lambda.amazonaws.com
Action:
- 'sts:AssumeRole'
ManagedPolicyArns:
- arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole
Policies:
- PolicyName: describe-ec2-az
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- 'ec2:DescribeAvailabilityZones'
Resource: '*'
MaxSessionDuration: 3600
Path: /service-role/
fnZoneIdtoZoneName:
Type: AWS::Lambda::Function
Properties:
Runtime: python3.8
Handler: index.lambda_handler
Code:
ZipFile: |
import boto3
import cfnresponse
def zoneId_to_zoneName(event, context):
responseData = {}
ec2 = boto3.client('ec2')
describe_az = ec2.describe_availability_zones()
for az in describe_az['AvailabilityZones']:
if event['ResourceProperties']['ZoneId'] == az['ZoneId']:
responseData['ZoneName'] = az['ZoneName']
cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, str(az['ZoneId']))
def no_op(event, context):
print(event)
responseData = {}
cfnresponse.send(event, context, cfnresponse.SUCCESS, responseData, str(event['RequestId']))
def lambda_handler(event, context):
if event['RequestType'] == ('Create' or 'Update'):
zoneId_to_zoneName(event, context)
else:
no_op(event,context)
Role: !GetAtt iamLambdaExecutionRole.Arn
getAZ1:
Type: "Custom::zone-id-zone-name"
Properties:
ServiceToken: !GetAtt fnZoneIdtoZoneName.Arn
ZoneId: !FindInMap [ RegionMap, !Ref 'AWS::Region', az1 ]
getAZ2:
Type: "Custom::zone-id-zone-name"
Properties:
ServiceToken: !GetAtt fnZoneIdtoZoneName.Arn
ZoneId: !FindInMap [ RegionMap, !Ref 'AWS::Region', az2 ]
#########################
# VPC AND SUBNETS
#########################
AppVPC:
Type: 'AWS::EC2::VPC'
Properties:
CidrBlock: !Ref VpcCIDR
InstanceTenancy: default
EnableDnsSupport: true
EnableDnsHostnames: true
PublicSubnetA:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref AppVPC
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
AvailabilityZone: !GetAtt getAZ1.ZoneName
PublicSubnetB:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref AppVPC
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
AvailabilityZone: !GetAtt getAZ2.ZoneName
PrivateSubnetA:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref AppVPC
CidrBlock: !Ref PrivateSubnet1CIDR
AvailabilityZone: !GetAtt getAZ1.ZoneName
PrivateSubnetB:
Type: 'AWS::EC2::Subnet'
Properties:
VpcId: !Ref AppVPC
CidrBlock: !Ref PrivateSubnet2CIDR
AvailabilityZone: !GetAtt getAZ2.ZoneName
InternetGateway:
Type: AWS::EC2::InternetGateway
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref AppVPC
NatGatewayEIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
NatGateway:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGatewayEIP.AllocationId
SubnetId: !Ref PublicSubnetA
#########################
# Route Tables
#########################
PrivateRouteTable:
Type: 'AWS::EC2::RouteTable'
Properties:
VpcId: !Ref AppVPC
DefaultPrivateRoute:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway
PrivateSubnetRouteTableAssociation1:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
RouteTableId: !Ref PrivateRouteTable
SubnetId: !Ref PrivateSubnetA
PrivateSubnetRouteTableAssociation2:
Type: 'AWS::EC2::SubnetRouteTableAssociation'
Properties:
RouteTableId: !Ref PrivateRouteTable
SubnetId: !Ref PrivateSubnetB
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref AppVPC
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnetARouteTableAssociation1:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnetA
PublicSubnetBRouteTableAssociation2:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnetB
#########################
# SECURITY GROUPS
#########################
VPCEndpointSecurityGroup:
Type: 'AWS::EC2::SecurityGroup'
Properties:
GroupDescription: Allow TLS for VPC Endpoint
VpcId: !Ref AppVPC
SecurityGroupIngress:
- IpProtocol: tcp
FromPort: 443
ToPort: 443
CidrIp: !GetAtt AppVPC.CidrBlock
#########################
# VPC ENDPOINTS
#########################
VPCEndpointGatewayS3:
Type: 'AWS::EC2::VPCEndpoint'
Properties:
ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
VpcEndpointType: Gateway
VpcId: !Ref AppVPC
RouteTableIds:
- !Ref PrivateRouteTable
VPCEndpointInterfaceSignin:
Type: 'AWS::EC2::VPCEndpoint'
Properties:
VpcEndpointType: Interface
PrivateDnsEnabled: false
SubnetIds:
- !Ref PrivateSubnetA
- !Ref PrivateSubnetB
SecurityGroupIds:
- !Ref VPCEndpointSecurityGroup
ServiceName: !Sub 'com.amazonaws.${AWS::Region}.signin'
VpcId: !Ref AppVPC
VPCEndpointInterfaceConsole:
Type: 'AWS::EC2::VPCEndpoint'
Properties:
VpcEndpointType: Interface
PrivateDnsEnabled: false
SubnetIds:
- !Ref PrivateSubnetA
- !Ref PrivateSubnetB
SecurityGroupIds:
- !Ref VPCEndpointSecurityGroup
ServiceName: !Sub 'com.amazonaws.${AWS::Region}.console'
VpcId: !Ref AppVPC
#########################
# ROUTE53 RESOURCES
#########################
ConsoleHostedZone:
Type: "AWS::Route53::HostedZone"
Properties:
HostedZoneConfig:
Comment: 'Console VPC Endpoint Hosted Zone'
Name: 'console.aws.amazon.com'
VPCs:
-
VPCId: !Ref AppVPC
VPCRegion: !Ref "AWS::Region"
ConsoleRecordGlobal:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: 'console.aws.amazon.com'
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
GlobalConsoleRecord:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: 'global.console.aws.amazon.com'
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
ConsoleS3ProxyRecordGlobal:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: 's3.console.aws.amazon.com'
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
ConsoleSupportProxyRecordGlobal:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: "support.console.aws.amazon.com"
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
ExplorerProxyRecordGlobal:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: "resource-explorer.console.aws.amazon.com"
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
WidgetProxyRecord:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref "ConsoleHostedZone"
Name: "*.widget.console.aws.amazon.com"
AliasTarget:
DNSName: !Select ["1", !Split [":", !Select ["0", !GetAtt VPCEndpointInterfaceConsole.DnsEntries],],]
HostedZoneId: !Select ["0", !Split [":", !Select ["0", !GetAtt VPCEndpointInterfaceConsole.DnsEntries],],]
Type: A
ConsoleRecordRegional:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: !Sub "${AWS::Region}.console.aws.amazon.com"
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
ConsoleRecordRegionalMultiSession:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'ConsoleHostedZone'
Name: !Sub "*.${AWS::Region}.console.aws.amazon.com"
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceConsole.DnsEntries]]]
Type: A
SigninHostedZone:
Type: "AWS::Route53::HostedZone"
Properties:
HostedZoneConfig:
Comment: 'Signin VPC Endpoint Hosted Zone'
Name: 'signin.aws.amazon.com'
VPCs:
-
VPCId: !Ref AppVPC
VPCRegion: !Ref "AWS::Region"
SigninRecordGlobal:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'SigninHostedZone'
Name: 'signin.aws.amazon.com'
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceSignin.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceSignin.DnsEntries]]]
Type: A
SigninRecordRegional:
Type: AWS::Route53::RecordSet
Properties:
HostedZoneId: !Ref 'SigninHostedZone'
Name: !Sub "${AWS::Region}.signin.aws.amazon.com"
AliasTarget:
DNSName: !Select ['1', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceSignin.DnsEntries]]]
HostedZoneId: !Select ['0', !Split [':', !Select ['0', !GetAtt VPCEndpointInterfaceSignin.DnsEntries]]]
Type: A
#########################
# WORKSPACE RESOURCES
#########################
ADAdminSecret:
Type: AWS::SecretsManager::Secret
Properties:
Name: !Ref DSAdminPasswordResourceName
Description: "Password for directory services admin"
GenerateSecretString:
SecretStringTemplate: '{"username": "Admin"}'
GenerateStringKey: password
PasswordLength: 30
ExcludeCharacters: '"@/\'
WorkspaceSimpleDirectory:
Type: AWS::DirectoryService::SimpleAD
DependsOn: AppVPC
Properties:
Name: "corp.awsconsole.com"
Password: '{{resolve:secretsmanager:ADAdminSecret:SecretString:password}}'
Size: "Small"
VpcSettings:
SubnetIds:
- Ref: PrivateSubnetA
- Ref: PrivateSubnetB
VpcId:
Ref: AppVPC
Outputs:
PrivateSubnetA:
Description: Private Subnet A
Value: !Ref PrivateSubnetA
PrivateSubnetB:
Description: Private Subnet B
Value: !Ref PrivateSubnetB
WorkspaceSimpleDirectory:
Description: Directory to be used for Workspaces
Value: !Ref WorkspaceSimpleDirectory
WorkspacesAdminPassword:
Description : "The ARN of the Workspaces admin's password. Navigate to the Secrets Manager in the AWS Console to view the value."
Value: !Ref ADAdminSecret
```
**Nota**
Questa configurazione test è progettata per essere eseguita nella regione Stati Uniti orientali (Virginia settentrionale) (us-east-1).
**Configurazione di una rete**
1. Accedere all'account di gestione dell'organizzazione e aprire la [console CloudFormation](https://console.aws.amazon.com/cloudformation).
1. Seleziona **Crea stack**.
1. Scegliere **Con nuove risorse (standard)**. Carica il file CloudFormation modello che hai creato in precedenza e scegli **Avanti**.
1. Inserire un nome per lo stack, ad esempio **PrivateConsoleNetworkForS3**, quindi scegliere **Successivo**.
1. Per **VPC e sottoreti**, inserire gli intervalli IP CIDR preferiti o utilizzare i valori predefiniti forniti. Se utilizzi i valori predefiniti, verifica che non si sovrappongano alle risorse VPC esistenti nel tuo. Account AWS
1. Seleziona **Crea stack**.
1. Dopo aver creato lo stack, scegliere la scheda **Risorse** per visualizzare le risorse che sono state create.
1. Scegliere la scheda **Output** per visualizzare i valori per le sottoreti private e la Workspace Simple Directory. Prendi nota di questi valori, poiché li utilizzerai nel passaggio quattro della prossima procedura per la creazione e la configurazione di un. WorkSpace
La schermata seguente mostra la visualizzazione della scheda **Outputs** che mostra i valori per le sottoreti private e per la Workspace Simple Directory.
![\[Le sottoreti private e Workspace Simple Directory e i valori corrispondenti.\]](http://docs.aws.amazon.com/it_it/awsconsolehelpdocs/latest/gsg/images/vpce-workspaces-how-to-2-latest.png)
Dopo aver creato la rete, utilizzate le seguenti procedure per creare e accedere a un WorkSpace.
**Per creare un WorkSpace**
1. Apri la [WorkSpaces console](https://console.aws.amazon.com/workspaces).
1. Nel riquadro di navigazione, seleziona **Directory**.
1. Nella pagina **Directory**, verificare che lo stato della directory sia **Attivo**. La schermata seguente mostra una pagina **Directory** con una directory attiva.
![\[La pagina Directory con una voce per una directory con uno stato attivo.\]](http://docs.aws.amazon.com/it_it/awsconsolehelpdocs/latest/gsg/images/vpce-workspaces-how-to-3-updated.png)
1. Per utilizzare una cartella in WorkSpaces, è necessario registrarla. Nel riquadro di navigazione, scegli **WorkSpaces**, quindi scegli **Crea WorkSpaces**.
1. In **Seleziona una directory**, scegliere la directory creata da CloudFormation nella procedura precedente. Dal menu **Operazioni** scegliere **Registra**.
1. Per la selezione delle sottoreti, selezionare le due sottoreti annotate nella fase nove della procedura precedente.
1. Selezionare **Abilita le autorizzazioni self-service**, quindi scegliere **Registra**.
1. Dopo aver registrato la directory, continua a creare il WorkSpace. Selezionare la directory registrata, quindi scegliere **Successivo**.
1. Nella pagina **Crea utenti**, scegliere **Crea utente aggiuntivo**. Inserisci il tuo nome e la tua email per consentirti di utilizzare il WorkSpace. Verifica che l'indirizzo e-mail sia valido poiché le informazioni di WorkSpace accesso vengono inviate a questo indirizzo e-mail.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Identifica utenti**, selezionare l'utente creato nella fase nove, quindi scegliere **Successivo**.
1. Nella pagina **Seleziona bundle**, scegliere **Standard con Amazon Linux 2**, quindi scegliere **Successivo**.
1. Usare le impostazioni predefinite per la modalità di esecuzione e la personalizzazione dell'utente e scegliere **Crea Workspace**. Lo `Pending` stato WorkSpace inizia e passa a quello successivo `Available` entro circa 20 minuti.
1. Quando sarà WorkSpace disponibile, riceverai un'e-mail con le istruzioni per accedervi all'indirizzo e-mail fornito nel passaggio nove.
Dopo aver effettuato l'accesso al tuo WorkSpace, puoi verificare di accedervi utilizzando il tuo accesso Console di gestione AWS privato.
**Per accedere a WorkSpace**
1. Aprire l'e-mail ricevuta nella fase 14 della procedura precedente.
1. Nell'e-mail, scegli il link univoco fornito per configurare il tuo profilo e scaricare il WorkSpaces client.
1. Impostazione della password.
1. Scaricare il client preferito.
1. Installare e avviare il client. Inserire il codice di registrazione fornito nell'e-mail, quindi scegliere **Registra**.
1. Accedi ad Amazon WorkSpaces utilizzando le credenziali che hai creato nella fase tre.
**Per testare la configurazione di Console di gestione AWS Private Access**
1. Dal tuo WorkSpace, apri il browser. Quindi, vai alla [Console di gestione AWS](https://console.aws.amazon.com/console) e accedi utilizzando le tue credenziali.
**Nota**
Se utilizzi Firefox come browser, verifica che l'opzione **Abilita DNS su HTTPS** sia disattivata nelle impostazioni del browser.
1. Apri la [console Amazon S3](https://console.aws.amazon.com/s3) dove puoi verificare di essere connesso tramite Console di gestione AWS Private Access.
1. Scegli l'icona di blocco privato nella barra di navigazione per visualizzare il VPC e l'endpoint VPC in uso. La schermata seguente mostra la posizione dell'icona di blocco privato e le informazioni sul VPC.
![\[La console Amazon S3 che mostra la posizione dell'icona lock-private e Console di gestione AWS le informazioni di Private Access.\]](http://docs.aws.amazon.com/it_it/awsconsolehelpdocs/latest/gsg/images/console-private-access-verify-1.png)