本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 WorkSpaces 应用程序用户启用和管理永久存储
Amazon A WorkSpaces pplications 支持您组织中的用户使用以下永久存储选项:
+ 主文件夹
+ Google Workspace 的 Google 云端硬盘
+ OneDrive 商务用
+ 自定义共享文件夹 [服务器消息块(SMB)网络驱动器]
您可以为您的组织启用一个或多个选项。作为 WorkSpaces 应用程序管理员,您必须了解如何执行以下任务才能为用户启用和管理永久存储。
**Topics**
+ [为 WorkSpaces 应用程序用户启用和管理主文件夹](home-folders.md)
+ [为您的 WorkSpaces 应用用户启用和管理 Google 云端硬盘](google-drive.md)
+ [为您的 WorkSpaces 应用程序用户启用和管理 OneDrive Business](onedrive.md)
+ [为 WorkSpaces 应用程序用户启用和管理自定义共享文件夹(服务器消息块 (SMB) 网络驱动器)](enable-smb-network-drives.md)
有关问题排查信息,请参阅[永久存储问题疑难解答](troubleshooting-persistent-storage.md)。
# 为 WorkSpaces 应用程序用户启用和管理主文件夹
WorkSpaces 应用程序支持组织中的用户使用以下永久存储选项:
+ 主文件夹
+ Google Workspace 的 Google 云端硬盘
+ OneDrive 商务用
+ 自定义共享文件夹 [服务器消息块(SMB)网络驱动器]
您可以为您的组织启用一个或多个选项。为 WorkSpaces 应用程序堆栈启用主文件夹后,该堆栈的用户可以在应用程序流式传输会话期间访问永久存储文件夹。您的用户不必进行任何额外配置即可访问其主文件夹。用户存储在其主文件夹中的数据会自动备份到您的 Amazon Web Services 账户的 Amazon Simple Storage Service(Amazon S3)存储桶中,并且可以在后续会话中供这些用户使用。
使用 Amazon S3 的 SSL 端点对文件和文件夹进行传输中加密。使用 Amazon S3 托管的加密密钥对文件和文件夹进行静态加密。
主文件夹存储在位于以下默认位置的实例集实例中:
+ 对于单会话, non-domain-joinedWindows 实例:C:\$1Users\$1\$1 我的文件PhotonUser\$1 Home Folder
+ 对于多会话, non-domain-joinedWindows 实例:C:\$1Users\$1as2-xxxxxxxx\$1 我的文件\$1 Home Folder,其中 as2-xxxxxxxxx 是分配给每个用户会话的随机用户名。您可以通过环境变量 \$1USERNAME 来确定本地用户名。
+ 加入域的 Windows 实例:C:\$1Users\$1%username%\$1My Files\$1Home Folder
+ Linux 实例:\$1/ MyFiles HomeFolder
作为管理员,如果您要将应用程序配置为保存到此主文件夹,请使用适用的路径。在某些情况下,您的用户可能无法找到其主文件夹,因为有些应用程序无法识别将主文件夹显示为文件浏览器中的顶级文件夹的重定向。如果是这种情况,您的用户可以通过浏览到文件浏览器中的相同目录来访问其主文件夹。
**Topics**
+ [与计算密集型应用程序关联的文件和目录](storage-solutions-files-directories-associated-with-compute-intensive-applications.md)
+ [为 WorkSpaces 应用程序用户启用主文件夹](enable-home-folders.md)
+ [管理您的主文件夹](home-folders-admin.md)
# 与计算密集型应用程序关联的文件和目录
在 WorkSpaces 应用程序流式传输会话期间,将与计算密集型应用程序关联的大型文件和目录保存到永久存储所需的时间可能比保存基本生产力应用程序所需的文件和目录更长。例如,与保存执行单次写入操作的应用程序创建的文件相比,应用程序保存大量数据或频繁修改相同文件所需的时间可能更长。保存许多小文件也可能需要更长时间。
如果您的用户保存与计算密集型应用程序关联的文件和目录,而 WorkSpaces 应用程序永久存储选项的性能不如预期,我们建议您使用服务器消息块 (SMB) 解决方案, FSx 例如 Amazon for Windows 文件服务器或文件网关。 AWS Storage Gateway 以下是与更适合与这些 SMB 解决方案一起使用的计算密集型应用程序关联的文件和目录示例:
+ 集成开发环境的工作区文件夹 (IDEs)
+ 本地数据库文件
+ 图形仿真应用程序创建的暂存空间文件夹
有关更多信息,请参阅:
+ [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/what-is.html)
+ [将亚马逊 FSx 与亚马逊 WorkSpaces 应用程序配合使用](https://aws.amazon.com/blogs/desktop-and-application-streaming/using-amazon-fsx-with-amazon-appstream-2-0/)
+ 《AWS Storage Gateway 用户指南》**中的[文件网关](https://docs.aws.amazon.com/storagegateway/latest/userguide/StorageGatewayConcepts.html#file-gateway-concepts)
# 为 WorkSpaces 应用程序用户启用主文件夹
在启用主文件夹之前,您必须执行以下操作:
+ 检查您是否拥有执行亚马逊 S3 操作的正确 AWS Identity and Access Management (IAM) 权限。有关更多信息,请参阅 [使用 IAM 策略管理管理员对主文件夹和应用程序设置持久性 Amazon S3 存储桶的访问权限](s3-iam-policy.md)。
+ 使用根据 2017 年 5 月 18 日当天或之后发布 AWS 的基本图像创建的图像。有关已发布 AWS 图像的最新列表,请参阅[WorkSpaces 应用程序基础映像和托管映像更新发行说明](base-image-version-history.md)。
+ 通过配置 Internet 访问或 Amazon S3 的 VPC 端点,启用从您的虚拟私有云(VPC)到 Amazon S3 的网络连接。有关更多信息,请参阅[Amazon WorkSpaces 应用程序的联网和访问](managing-network.md)和[将 Amazon S3 VPC 终端节点用于 WorkSpaces 应用程序功能](managing-network-vpce-iam-policy.md)。
您可以在创建堆栈时启用或禁用主文件夹(参见[在 Amazon WorkSpaces 应用程序中创建堆栈](set-up-stacks-fleets-install.md)),也可以在创建堆栈之后使用 WorkSpaces 应用程序 AWS 管理控制台 的、 AWS SDK 或 AWS CLI。对于每个 AWS 区域,主文件夹都由 Amazon S3 存储桶进行备份。
在您首次为某个地区的 WorkSpaces 应用程序堆栈启用主文件夹时, AWS 该服务会在同一地区的账户中创建一个 Amazon S3 存储桶。这个存储桶用于存储该区域中所有用户和所有堆栈的主文件夹的内容。有关更多信息,请参阅 [Amazon S3 存储桶存储](home-folders-s3.md)。
**注意**
有关您可以为用户提供的指导,以帮助他们在 WorkSpaces 应用程序流式传输会话期间开始使用主文件夹,请参阅[使用主文件夹](home-folders-end-user.md)。
**在创建堆栈时启用主文件夹**
+ 按照[在 Amazon WorkSpaces 应用程序中创建堆栈](set-up-stacks-fleets-install.md)中的步骤操作,并确保选中了 **Enable Home Folders (启用主文件夹)**。
**为现有堆栈启用主文件夹**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Stacks (堆栈)**,然后选择要为其启用主文件夹的堆栈。
1. 在堆栈列表下方,选择 **Storage (存储)** 并选择 **Enable Home Folders (启用主文件夹)**。
1. 在 **Enable Home Folders (启用主文件夹)** 对话框中,选择 **Enable (启用)**。
# 管理您的主文件夹
查看以下主题,了解如何管理主文件夹。
**Topics**
+ [禁用主文件夹](home-folders-admin-disabling.md)
+ [Amazon S3 存储桶存储](home-folders-s3.md)
+ [主文件夹内容同步](home-folders-content-synchronization.md)
+ [主文件夹格式](home-folders-admin-folders.md)
+ [使用 AWS Command Line Interface 或 AWS SDKs](home-folders-admin-cli.md)
+ [其他资源](home-folders-admin-additional.md)
# 禁用主文件夹
您可以禁用堆栈的主文件夹 (已存储在主文件夹中的用户内容不会丢失)。禁用堆栈的主文件夹会产生以下影响:
+ 连接到堆栈的活动流式传输会话的用户将收到一条错误消息,告知他们无法再将内容存储在其主文件夹中。
+ 使用已禁用主文件夹的堆栈的任何新会话都不会显示主文件夹。
+ 为一个堆栈禁用主文件夹不会为其他堆栈禁用主文件夹。
+ 即使所有堆栈的主文件夹都处于禁用状态, WorkSpaces 应用程序也不会删除用户内容。
要恢复对堆栈主文件夹的访问,请按照此主题中前述的步骤重新启用主文件夹。
**在创建堆栈时禁用主文件夹**
+ 按照[在 Amazon WorkSpaces 应用程序中创建堆栈](set-up-stacks-fleets-install.md)中的步骤操作,并确保清除了 **Enable Home Folders (启用主文件夹)** 选项。
**为现有堆栈禁用主文件夹**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Stacks (堆栈)**,然后选择堆栈。
1. 在堆栈列表下方,选择 **Storage (存储)** 并清除 **Enable Home Folders (启用主文件夹)**。
1. 在 **Disable Home Folders (禁用主文件夹)** 对话框中,键入 `CONFIRM`(区分大小写)来确认您的选择,然后选择 **Disable (禁用)**。
# Amazon S3 存储桶存储
WorkSpaces 应用程序使用在您的账户中创建的 Amazon S3 存储桶来管理存储在主文件夹中的用户内容。对于每个 AWS 区域, WorkSpaces 应用程序都会在您的账户中创建一个存储桶。从该区域中的堆栈的流式传输会话生成的所有用户内容都存储在该存储桶中。存储桶完全由服务托管,管理员不必输入任何内容或进行任何配置。
新的增强型存储桶以特定格式命名(版本 2),如下所述:
```
appstream2-36fb080bb8-region-code-account-id-without-hyphens-random-identifier
```
创建堆栈的 AWS 区域代码在哪里`region-code`,`account-id-without-hyphens`是您的亚马逊 Web Services 账户 ID。存储桶名称的第一部分 `appstream2-36fb080bb8-` 不随账户或区域而改变。
例如,如果您为账号 123456789012 在美国西部(俄勒冈)(us-west-2)区域中的堆栈启用主文件夹,此服务会在该区域中创建一个具有所示名称的 Amazon S3 存储桶。只有具有足够权限的管理员才能删除此存储桶。
```
appstream2-36fb080bb8-us-west-2-123456789012-abcdefg
```
旧版本的存储桶命名如下。在 WorkSpaces 应用程序引入新的增强型存储桶命名(版本 2)之前创建的账户将遵循旧的命名格式。
```
appstream2-36fb080bb8-region-code-account-id-without-hyphens
```
创建堆栈的 AWS 区域代码在哪里`region-code`,`account-id-without-hyphens`是您的亚马逊 Web Services 账户 ID。存储桶名称的第一部分 `appstream2-36fb080bb8-` 不随账户或区域而改变。
例如,如果您为账号 123456789012 在美国西部(俄勒冈)(us-west-2)区域中的堆栈启用主文件夹,此服务会在该区域中创建一个具有所示名称的 Amazon S3 存储桶。只有具有足够权限的管理员才能删除此存储桶。
```
appstream2-36fb080bb8-us-west-2-123456789012
```
如上文所述,对堆栈禁用主文件夹不会删除存储在 Amazon S3 存储桶中的任何用户内容。要永久删除用户内容,必须由具有足够访问权限的管理员从 Amazon S3 控制台进行删除。 WorkSpaces 应用程序添加了防止意外删除存储桶的存储桶策略。有关更多信息,请参阅 [使用 IAM 策略管理管理员对主文件夹和应用程序设置持久性 Amazon S3 存储桶的访问权限](s3-iam-policy.md)。
# 主文件夹内容同步
启用主文件夹后, WorkSpaces 应用程序会为每个用户创建一个唯一的文件夹,用于存储其内容。创建该文件夹作为唯一的 Amazon S3 前缀,该前缀使用 Amazon Web Services 账户和区域的 S3 存储桶中的用户名哈希。 WorkSpaces 应用程序在 Amazon S3 中创建主文件夹后,它会将该文件夹中访问的内容从 S3 存储桶复制到队列实例。这使用户能够在流式传输会话期间从实例集实例快速访问其主文件夹内容。您对 S3 存储桶中用户主文件夹内容所做的更改以及用户在队列实例上对其主文件夹内容所做的更改将在 Amazon S3 和 WorkSpaces 应用程序之间同步,如下所示。
1. 在用户的 WorkSpaces 应用程序流式传输会话开始时, WorkSpaces 应用程序会对存储在您的 Amazon Web Services 账户和地区的 Amazon S3 存储桶中的该用户的主文件夹文件进行分类。
1. 用户的主文件夹内容也存储在他们从中进行流式传输的 WorkSpaces 应用程序队列实例中。当用户访问其在 WorkSpaces 应用程序队列实例上的主文件夹时,将显示已编目文件列表。
1. WorkSpaces 只有当用户在流式传输会话期间使用流媒体应用程序打开文件后,应用程序才会将文件从 S3 存储桶下载到队列实例。
1. 在 WorkSpaces 应用程序将文件下载到队列实例后,将在访问文件后进行同步
1. 如果用户在流式传输会话期间更改了文件, WorkSpaces Applications 会定期或在流式传输会话结束时将文件的新版本从队列实例上传到 S3 存储桶。但是,在流式传输会话期间,不会再次从 S3 存储桶下载该文件。
以下各部分介绍了在 Amazon S3 中添加、替换或删除用户的主文件夹文件时的同步行为。
**Topics**
+ [同步您添加到 Amazon S3 中用户主文件夹中的文件](#home-folders-content-synchronization-content-added-to-user-home-folder-in-S3)
+ [同步您替换的 Amazon S3 中用户主文件夹中的文件](#home-folders-content-synchronization-content-replaced-in-user-home-folder-S3)
+ [同步您从 Amazon S3 中的用户主文件夹中删除的文件](#home-folders-content-synchronization-content-removed-from-user-home-folder-S3)
## 同步您添加到 Amazon S3 中用户主文件夹中的文件
如果您将新文件添加到 S3 存储桶中用户的主文件夹,A WorkSpaces pplications 会在几分钟内对该文件进行编目并将其显示在用户主文件夹中的文件列表中。但是,只有在用户在流式传输会话期间使用应用程序打开文件后,才会将此文件从 S3 存储桶下载到实例集实例。
## 同步您替换的 Amazon S3 中用户主文件夹中的文件
如果用户在流式传输会话期间打开实例集实例上主文件夹中的文件,并且在该用户处于活动状态的流式传输会话期间,您将 S3 存储桶中其主文件夹中的相同文件替换为新版本,则不会立即将该文件的新版本下载到实例集实例。只有在用户启动新的流式传输会话并再次打开文件后,才会将新版本从 S3 存储桶下载到实例集实例。
## 同步您从 Amazon S3 中的用户主文件夹中删除的文件
如果用户在流式传输会话期间打开实例集实例上主文件夹中的文件,并且在该用户处于活动状态的流式传输会话期间,您将该文件从 S3 存储桶中的其主文件夹中删除,此文件将在用户执行以下任一操作之后从实例集实例中删除:
+ 再次打开主文件夹
+ 刷新主文件夹
# 主文件夹格式
用户文件夹的层次结构视用户启动流式传输会话的方式而定,如以下各节所述。
## AWS SDKs 和 AWS CLI
对于使用 `CreateStreamingURL` 或 `create-streaming-url` 启动的会话,用户文件夹的结构如下:
```
bucket-name/user/custom/user-id-SHA-256-hash/
```
其中`bucket-name`,采用中[Amazon S3 存储桶存储](home-folders-s3.md)显示的格式,`user-id-SHA-256-hash`是使用小写的 SHA-256 哈希十六进制字符串创建的用户特定的文件夹名称,该字符串是根据传递给 CreateStreaming URL API 操作或命令的`UserId`值生成的。`create-streaming-url`有关更多信息,请参阅《*亚马逊 WorkSpaces 应用程序 API 参考》和《*AWS CLI 命令*参考*》[create-streaming-url](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-streaming-url.html)中的 [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html)。
以下示例文件夹结构适用于在美国西部(俄勒冈)区域 (us-west-2) 中使用 API 或 AWS CLI 账户编号为 123456789012 的 `UserId` testuser@mydomain.com 访问会话:
```
appstream2-36fb080bb8-us-west-2-123456789012/user/custom/a0bcb1da11f480d9b5b3e90f91243143eac04cfccfbdc777e740fab628a1cd13/
```
您可以通过网站或网上提供的开源编码库生成 `UserId` 的小写 SHA-256 哈希值,并据此确定特定用户的文件夹。
## SAML 2.0
对于使用 SAML 联合创建的会话,用户文件夹的结构如下:
```
bucket-name/user/federated/user-id-SHA-256-hash/
```
在本例中,`user-id-SHA-256-hash` 是文件夹名称 (使用在 SAML 联合请求中传递的 `NameID` SAML 属性值生成的小写 SHA-256 哈希十六进制字符串创建)。要区分隶属两个不同的域的同名用户,请在发送 SAML 请求时使用 `domainname\username` 格式的 `NameID`。有关更多信息,请参阅 [亚马逊 WorkSpaces 应用程序与 SAML 2.0 集成](external-identity-providers.md)。
下面的示例文件夹结构适用于使用 SAML 联合且 `NameID` 为 SAMPLEDOMAIN\$1testuser、账户 ID 为 123456789012、区域为美国西部(俄勒冈)的会话访问:
```
appstream2-36fb080bb8-us-west-2-123456789012/user/federated/8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901
```
当 NameID 字符串的一部分或全部大写时(如示例中的域名所示),A WorkSpaces pp *SAMPLEDOMAIN* lications 会根据字符串中使用的大小写生成哈希值。使用此示例,SAMPLEDOMAIN\$1 testuser 的哈希值为 8 DD9 A642F511609454D344D53 CB861 A71190E44 FED2 B8 C507012A9901。AF9 FDE0在该用户的文件夹中,此值显示为小写,如下所示:8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901。
您可以通过网站或网上提供的开源编码库生成 `NameID` 的 SHA-256 哈希值,并据此确定特定用户的文件夹。
# 使用 AWS Command Line Interface 或 AWS SDKs
您可以使用 AWS CLI 或启用和禁用堆栈的主文件夹 AWS SDKs。
在创建新堆栈时,可以使用下面的 [create-stack](https://docs.aws.amazon.com/cli/latest/reference/appstream/create-stack.html) 命令启用主文件夹:
```
aws appstream create-stack --name ExampleStack --storage-connectors ConnectorType=HOMEFOLDERS
```
可以使用下面的 [update-stack](https://docs.aws.amazon.com/cli/latest/reference/appstream/update-stack.html) 命令为现有堆栈启用主文件夹:
```
aws appstream update-stack --name ExistingStack --storage-connectors ConnectorType=HOMEFOLDERS
```
可以使用下面的命令为现有堆栈禁用主文件夹。该命令不会删除任何用户数据。
```
aws appstream update-stack --name ExistingStack --delete-storage-connectors
```
# 其他资源
有关管理 Amazon S3 存储桶和最佳实践的更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的以下主题:
+ 您可以使用 Amazon S3 策略为用户提供对用户数据的离线访问。有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon S3:允许 IAM 用户以编程方式和在控制台中访问其 S3 主目录](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_home-directory-console.html)。
+ 您可以为存储在应用程序使用的 Amazon S3 存储桶中的内容启用文件版本控制。 WorkSpaces 有关详细信息,请参阅[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
# 为您的 WorkSpaces 应用用户启用和管理 Google 云端硬盘
**注意**
亚马逊 WorkSpaces 应用程序使用从 Google 收到的信息并将其传输到任何其他应用程序时 APIs ,必须遵守 [Google API 服务用户数据政策](https://developers.google.com/terms/api-services-user-data-policy),包括有限使用要求。
Amazon A WorkSpaces pplications 支持您组织中的用户使用以下永久存储选项:
+ Google Workspace 的 Google 云端硬盘
+ OneDrive 商务用
+ 主文件夹
您可以为您的组织启用一个或多个选项。当你为 WorkSpaces 应用程序堆栈启用 Google Workspace 版 Google 云端硬盘时,该堆栈的用户可以将其适用于 Google Workspace 的 Google Drive WorkSpaces 然后,他们可以登录到其 Google Workspace 的 Google 云端硬盘账户,并在应用程序流式传输会话期间访问其 Google 云端硬盘文件夹。他们在这些会话期间对其 Google Drive 中的文件或文件夹所做的任何更改将自动备份并同步,以便用户可以在流式传输会话之外使用这些更改。
**重要**
您只能为 Google Workspace 域中的账户启用 Google Workspace 的 Google 云端硬盘,而不能为个人 Gmail 账户启用。
**注意**
您可以为 Windows 堆栈启用 Google Drive,但不能为 Linux 堆栈或与多会话实例集关联的堆栈启用 Google Drive。
**Topics**
+ [为 WorkSpaces 应用程序用户启用 Google 云端硬盘](enable-google-drive.md)
+ [为 WorkSpaces 应用程序用户禁用 Google 云端硬盘](disable-google-drive.md)
# 为 WorkSpaces 应用程序用户启用 Google 云端硬盘
在启用 Google Drive 之前,您必须执行以下操作:
+ 拥有一个活跃的 Google Workspace 帐户,该帐号具有有效的组织网域,并且该网域中的用户可以与 WorkSpaces 应用程序一起使用。
+ 使用关联队列配置 WorkSpaces 应用程序堆栈。
队列必须使用使用 2018 年 5 月 31 日当天或之后发布的 WorkSpaces 应用程序代理版本的映像。有关更多信息,请参阅 [WorkSpaces 应用程序代理发行说明](agent-software-versions.md)。该实例集还必须有权访问 Internet。
+ 将亚马逊 WorkSpaces 应用程序作为可信应用程序添加到与您的 Google Workspace 账户关联的一个或多个域中。您可以为最多 10 个 域启用 Google Drive。
+ 拥有一个基于 Windows 的堆栈。(不支持基于 Linux 的堆栈)。
按照以下步骤将亚马逊 WorkSpaces 应用程序添加为您的 Google Workspace 域中的可信应用程序。
**在您的 Google Workspace 域中将亚马逊 WorkSpaces 应用程序添加为可信应用程序**
1. 登录到 Google Workspace 管理控制台,网址为 [https://admin.google.com/](https://admin.google.com/)。
1. 在左侧导航栏中,选择**安全性**、**访问和数据控制**、**API 控制**。
1. 在页面顶部的**应用程序访问控制**部分中,选择**管理第三方应用程序访问权限**。
1. 选择 “**添加应用程序**”,然后选择 “**OAuth 应用程序名称或客户端 ID**”。
1. 输入您所在 AWS 地区的亚马逊 WorkSpaces 应用程序 OAuth 客户端 ID,然后选择 “**搜索**”。有关客户机列表 IDs,请参阅此过程之后的表格。
1. 在搜索结果中,选择 “亚马逊 WorkSpaces 应用程序”,然后选择 **“选择”**。
1. 在 “**客户端 ID**” 页面的 “**OAuth 客户端 ID**” 下,验证列表中显示的 ID 是否正确,然后选中 ID 左侧的复选框。
1. 选择页面右下角的**选择**。
1. 配置您的 Google Workspace 组织中哪些组织单位应获得访问权限。
1. 在**访问 Google 数据**下,选择**可信:可以访问所有 Google 服务**,然后选择**继续**。
1. 检查所做的选择是否正确,如果满意,选择**完成**。
1. 验证具有正确 OAuth ID的Amazon Applications WorkSpaces 应用程序是否出现在关联的应用程序列表中。
**Amazon WorkSpaces 应用程序 OAuth2 客户端 IDs**
| Region | 亚马逊 WorkSpaces 应用程序 OAuth 客户端 ID |
| --- | --- |
| 美国东部(弗吉尼亚州北部) | 266080779488-15n5q5nkiclp6m524qibnmhmbsg0hk92.apps.googleusercontent.com |
| 美国东部(俄亥俄州) | 723951369598-6tvdlf52g2qh0qa141o4k1avasvnj51i.apps.googleusercontent.com |
| 美国西部(俄勒冈州) | 1026466167591-i4jmemrggsjomp9tnkkcs5tniggfiujb.apps.googleusercontent.com |
| 亚太地区(孟买) | 325827353178-coqs1c374mf388ctllrlls374dc1bmb2.apps.googleusercontent.com |
| 亚太地区(首尔) | 562383781419-am1i2dnvt050tmdltsvr36i8l2js40dj.apps.googleusercontent.com |
| 亚太地区(新加坡) | 856871139998-4eia2n1db5j6gtv4c1rdte1fh1gec8vs.apps.googleusercontent.com |
| 亚太地区(悉尼) | 151535156524-b889372osskprm4dt1clpm53mo3m9omp.apps.googleusercontent.com |
| 亚太地区(东京) | 922579247628-qpl9kpihg3hu5dul2lphbjs4qbg6mjm2.apps.googleusercontent.com |
| 加拿大(中部) | 872792838542-t39aqh72jv895c89thtk6v83sl6jugm2.apps.googleusercontent.com |
| 欧洲地区(法兰克福) | 643727794574-1se5360a77i84je9j3ap12obov1ib76q.apps.googleusercontent.com |
| 欧洲地区(爱尔兰) | 599492309098-098muc7ofjfo9vua5rm5u9q2k3mlok3j.apps.googleusercontent.com |
| 欧洲地区(伦敦) | 682555519925-usbn2sk1ffgo8odgf23nj66ri71na0k5.apps.googleusercontent.com |
| AWS GovCloud (美国东部) | `20306576244-gqqkappmhhv9fj06sdk7as60he89e7ce.apps.googleusercontent.com` 有关在 AWS GovCloud (US) 各区域使用 WorkSpaces 应用程序的更多信息,请参阅*AWS GovCloud (US) 用户指南*中的 [Amazon WorkSpaces 应用程序](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html)。 |
| AWS GovCloud (美国西部) | `996065833880-litfkb2vfd7c65nt7s24r7t8le5bc9bl.apps.googleusercontent.com` 有关在 AWS GovCloud (US) 各区域使用 WorkSpaces 应用程序的更多信息,请参阅*AWS GovCloud (US) 用户指南*中的 [Amazon WorkSpaces 应用程序](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-appstream2.html)。 |
| 南美洲(圣保罗) | 891888628791-1ltbtedva29esqvqadiatlj4htcgcjfo.apps.googleusercontent.com |
| 亚太地区(马来西亚) | 526025990430-7u0f5r0rg4caj0impcs3atvatjtmdeld.apps.googleusercontent.com |
| 以色列(特拉维夫) | 1089892007469-bkqfmc1sm3ahqrssjjp4ees1mmiuium0.apps.googleusercontent.com |
| 欧洲地区(米兰) | 357829681601-84bcnr1ve68rthka1st5dboj0jgsrki7.apps.googleusercontent.com |
| 欧洲(西班牙) | 258457153543-0qbtkg4a99stlj12pi8sdqaetfb96b1s.apps.googleusercontent.com |
| 欧洲地区(巴黎) | 1018958878172-sgg1u1hlqiq8v53gdpq9aiu6ta48q1de.apps.googleusercontent.com |
请按照以下步骤为您的 WorkSpaces 应用用户启用 Google 云端硬盘。
**在创建堆栈时启用 Google Drive**
+ 按照[在 Amazon WorkSpaces 应用程序中创建堆栈](set-up-stacks-fleets-install.md)中的步骤操作,确保选中了**启用 Google 云端硬盘**,并且您指定了至少一个与 Google Workspace 账户关联的组织域。
**为现有堆栈启用 Google Drive**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Stacks (堆栈)**,然后选择要为其启用 Google Drive 的堆栈。
1. 在堆栈列表下方,选择**存储**并选择**启用 Google Workspace 的 Google 云端硬盘**。
1. 在**启用 Google Workspace 的 Google 云端硬盘**对话框的 **Google Workspace 域名**中,键入至少一个与 Google Workspace 账户关联的组织域。要指定另一个域,请选择 **Add another domain (添加另一个域)**,并键入 域的名称。
1. 在添加域名后,选择 **Enable (启用)**。
**注意**
有关您可以为用户提供的指导,以帮助他们在 WorkSpaces 应用直播会话期间开始使用 Google 云端硬盘,请参阅[使用 Google Drive](google-drive-end-user.md)。
# 为 WorkSpaces 应用程序用户禁用 Google 云端硬盘
您可以为堆栈禁用 Google Drive(已存储在 Google Drive 上的用户内容不会丢失)。为堆栈禁用 Google Drive 会产生以下影响:
+ 连接到堆栈的活动流式传输会话的用户将收到一条错误消息,告知他们无权访问自己的 Google Drive。
+ 使用已禁用 Google Drive 的堆栈的任何新会话都不会显示 Google Drive。
+ 只有为其禁用了 Google Drive 的特定堆栈会受到影响。
+ 即使所有堆栈都禁用 Google 云端硬盘, WorkSpaces 应用也不会删除存储在其 Google 云端硬盘中的用户内容。
请按照以下步骤为现有堆栈禁用 Google Drive。
**为现有堆栈禁用 Google Drive**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Stacks (堆栈)**,然后选择要为其禁用 Google Drive 的堆栈。
1. 在堆栈列表下方,选择**存储**并清除**启用 Google Workspace 的 Google 云端硬盘**选项。
1. 在**禁用 Google Workspace 的 Google 云端硬盘**对话框中,键入 `CONFIRM`(区分大小写)来确认您的选择,然后选择**禁用**。
当堆栈的用户开始下一个 WorkSpaces 应用流式传输会话时,他们将无法再从该会话和 future 会话中访问自己的 Google 云端硬盘文件夹。
# 为您的 WorkSpaces 应用程序用户启用和管理 OneDrive Business
WorkSpaces 应用程序支持组织中的用户使用以下永久存储选项。
+ OneDrive 商务用
+ Google Workspace 的 Google 云端硬盘
+ 主文件夹
您可以为您的组织启用一个或多个选项。当你 OneDrive 为 WorkSpaces 应用程序堆栈启用企业版时,该堆栈的用户可以将其企业 OneDrive 版账户关联到 WorkSpaces 应用程序。然后,他们可以登录自己的 f OneDrive or Business 帐户并在应用程序流式传输会话期间访问他们的 OneDrive 文件夹。他们在这些会话 OneDrive 期间对文件或文件夹所做的任何更改都会自动备份和同步,以便用户在直播会话之外也可以使用这些更改。
**重要**
您只能 OneDrive 为自己 OneDrive 域中的账户启用企业版,但不能为个人账户启用企业版。 WorkSpaces 应用程序要求你配置 Microsoft Azure Active Directory 环境,以允许最终用户同意应用程序。有关更多信息,请参阅 Azure Active Directory [应用程序管理](https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/)文档中的 [Configure how end-users consent to applications](https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-user-consent)。
管理员同意工作流允许管理员授予对需要管理员批准的应用程序的访问权限。如果在 Azure Active Directory 环境中配置了管理员同意工作流程,请按照中 [OneDrive 为您的 WorkSpaces 应用程序用户启用](enable-onedrive.md) 给出的步骤指定需要管理员同意的域。
**注意**
你可以 OneDrive 为企业版 Windows 堆栈启用,但不能为 Linux 堆栈或与多会话队列关联的堆栈启用。
**Topics**
+ [OneDrive 为您的 WorkSpaces 应用程序用户启用](enable-onedrive.md)
+ [OneDrive 对您的 WorkSpaces 应用程序用户禁用](disable-onedrive.md)
# OneDrive 为您的 WorkSpaces 应用程序用户启用
在启用之前 OneDrive,您必须执行以下操作:
+ 拥有有效的 Microsoft Office 365 或 OneDrive 企业版帐户,该帐户具有有效的组织域,并且该域中的用户可以与 WorkSpaces 应用程序一起使用。
+ 使用关联队列配置 WorkSpaces 应用程序堆栈。
队列必须使用使用 2018 年 7 月 26 日当天或之后发布的 WorkSpaces 应用程序代理版本的映像。有关更多信息,请参阅 [WorkSpaces 应用程序代理发行说明](agent-software-versions.md)。该实例集还必须有权访问 Internet。
+ 拥有一个基于 Windows 的堆栈。(不支持基于 Linux 的堆栈)。
请按照以下步骤 OneDrive 为您的 WorkSpaces 应用程序用户启用。
**在创建堆栈 OneDrive 时启用**
+ 按照中的步骤操作[在 Amazon WorkSpaces 应用程序中创建堆栈](set-up-stacks-fleets-install.md),确保选中 “**启 OneDrive用**”,并且您已指定至少一个与您的企业版账户关联 OneDrive 的组织域。
**OneDrive 为现有堆栈启用**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Stacks**,然后选择要启 OneDrive用的堆栈。
1. 在堆栈列表下方,选择**存储**,然后选择** OneDrive 为企业启用。**
1. 在 “**启用 OneDrive 企业版**” 对话框的 “**OneDrive 域名**” 中,键入与您的 OneDrive 账户关联的至少一个组织域的名称。要指定另一个域,请选择 **Add another domain (添加另一个域)**,并键入 域的名称。
1. 对于每个域,您可以指定用户在将其 OneDrive 企业版账户关联到 WorkSpaces 应用程序之前是否需要获得管理员同意。默认情况下 ** OneDrive ,“需要企业管理员同意**” 处于禁用状态。当您选中该复选框时,系统会提示用户在关联其 OneDrive 企业版账户之前获得管理员同意。
1. 添加 OneDrive 域名后,选择**启用**。
在用户使用 OneDrive WorkSpaces 应用程序之前,您必须向他们提供将其 OneDrive 账户与第三方 Web 应用程序关联的权限。为此,请按照下一节中的步骤操作。
**重要**
您必须配置 Microsoft Azure Active Directory 环境以允许最终用户同意使用应用程序。有关更多信息,请参阅 Azure Active Directory [应用程序管理](https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/)文档中的 [Configure how end-users consent to applications](https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/configure-user-consent)。
**向您的用户提供与 WorkSpaces 应用程序 OneDrive 关联的权限**
必须先在 Office 365 或 OneDrive 企业版管理员控制台中启用集成应用程序,然后用户才能将其 OneDrive 企业版帐户关联到 WorkSpaces 应用程序。
1. 登录 Office 365 或企业版管理员控制台。 OneDrive
1. 在控制台的左侧导航窗格中,选择 **Settings (设置)**、**Services & add-ins (服务和插件)**。
1. 从服务和插件列表中,选择 **Integrated Apps (集成应用程序)**。
1. 在 **Integrated apps (集成应用程序)** 页面中,启用该选项以允许组织中的用户让第三方 Web 应用程序访问其 Office 365 信息。
**注意**
有关您可以为用户提供的指导,以帮助他们在 WorkSpaces 应用程序流式传输会话 OneDrive 期间开始使用,请参阅[OneDrive 用于商务](onedrive-end-user.md)。
# OneDrive 对您的 WorkSpaces 应用程序用户禁用
您可以 OneDrive 为堆栈禁用,而不会丢失已存储在其上的用户内容 OneDrive。 OneDrive 对堆栈禁用会产生以下影响:
+ 连接到堆栈的活动流式传输会话的用户将收到一条错误消息,他们被告知他们无权访问他们的 OneDrive。
+ 在 OneDrive 禁用状态下使用堆栈的任何新会话都不会显示 OneDrive。
+ 只有禁用的特定堆栈 OneDrive 才会受到影响。
+ 即使所有堆栈都 OneDrive 处于禁用状态, WorkSpaces 应用程序也不会删除存储在堆栈中的用户 OneDrive内容。
按照以下步骤 OneDrive 对现有堆栈禁用。
**OneDrive 为现有堆栈禁用**
1. 在 [https://console.aws.amazon.com/appst WorkSpaces ](https://console.aws.amazon.com/appstream2) ream2 上打开应用程序控制台。
1. 在左侧导航窗格中,选择 **Stacks**,然后选择要禁 OneDrive用的堆栈。
1. 在堆栈列表下方,选择**存储**,然后清除 “** OneDrive 为企业启用**” 选项。
1. 在 “**禁 OneDrive 用企业版**” 对话框中,键入`CONFIRM`(区分大小写)以确认您的选择,然后选择 “**禁用**”。
当堆栈的用户开始下一个 WorkSpaces 应用程序流式传输会话时,他们将无法再从该会话和 future 会话中访问其 OneDrive 文件夹。
# 为 WorkSpaces 应用程序用户启用和管理自定义共享文件夹(服务器消息块 (SMB) 网络驱动器)
您可以为您的组织启用一个或多个选项。启用并映射服务器消息块 (SMB) 网络驱动器时,多个用户可以从 Windows WorkSpaces 应用程序会话中访问相同的数据。用户在这些会话期间对 SMB 网络驱动器所做的任何更改都将自动备份和同步。
**注意**
只有加入域的实例集才支持服务器消息块(SMB)网络驱动器映射。
要使用此功能,必须使用使用 2024 年 9 月 18 日之后发布的 WorkSpaces 应用程序代理的应用程序映像。 WorkSpaces 有关更多信息,请参阅[管理 WorkSpaces 应用程序代理版本](base-images-agent.md)和[WorkSpaces 应用程序基础映像和托管映像更新发行说明](base-image-version-history.md)。
在映射服务器消息块(SMB)网络驱动器之前,请确保对于入站规则,您的用户用于连接实例集的安全组向域控制器和安全组公开 TCP 端口 445(SMB 协议)。
**Topics**
+ [映射服务器消息块(SMB)网络驱动器](map-smb-network-drives.md)
# 映射服务器消息块(SMB)网络驱动器
您可以使用目标网络下的任何计算机 SMBs。如果您希望通过会话脚本配置设置,则需要首先创建一个在用户登录时调用的脚本,因为会话脚本是针对每个映像进行配置的。
要映射服务器消息块(SMB)网络驱动器,请执行以下步骤。
## 步骤 1:确保服务正在运行
从“开始”菜单中,打开 **services.msc** 并确保以下服务全部运行:
+ DNS 客户端
+ 功能发现资源发布
+ SSDP 发现
+ UPnP 设备主机
## 步骤 2:创建 SMB 文件夹
您可以使用文件资源管理器创建 SMB。
**使用文件资源管理器配置您的 SMB 共享文件夹**
1. 右键单击 SMB 文件夹,然后选择**属性**、**共享**。
1. 选择**高级共享**。
1. 对于**高级共享**,选中**共享此文件夹**,然后选择**权限**。
1. 如果您想为所有用户提供权限,请将其保留为默认设置。
如果要添加特定用户,请在**共享权限**下选择**所有人**、**删除**。然后选择**添加**,并输入要访问文件共享的用户或组。
对于您添加的每个用户或组,请选择**允许**以分配**完全控制**、**更改**或**读取权限**。
1. 依次选择**应用**、**确定**、**确定**和**关闭**。
## 步骤 3:验证 SMB 是否可在域中访问
从另一台使用相同安全组并加入相同域的服务器打开文件资源管理器。导航到网络路径文件夹,通过提供的网络路径访问网络共享。依次选择**属性**、**共享**和**网络路径**。
## 步骤 4:允许用户通过 local/domain 组策略创建符号链接
启用从 local/domain 组策略为用户创建符号链接,以确保在组策略中定义会话脚本或登录脚本。这使您能够在步骤 5 中创建具有用户权限的脚本。
**使用户能够通过 local/domain 组策略创建符号链接**
1. 在用于定义此策略的 GPO 中,依次选择**计算机配置**、**Windows 设置**、**安全设置**、**用户权限分配**、**策略**和**创建符号链接**。然后,更新用户要包含的权限。有关创建符号链接的更多信息,请参阅[创建符号链接](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/create-symbolic-links)。
1. 默认情况下, remote-to-remote(例如,符号链接映射到另一个类似符号链接中的网络共享)和 remote-to-local(例如,在映射到网络共享的符号链接中映射到本地共享的符号链接)访问处于禁用状态。如果需要进行符号链接映射,请运行以下命令:
+ 要启用 remote-to-remote访问权限-`fsutil behavior set SymlinkEvaluation R2R:1`
+ 要启用 remote-to-local访问权限-`fsutil behavior set SymlinkEvaluation R2L:1 `
## 步骤 5:创建在用户登录时调用的脚本
使用 WorkSpaces 应用程序会话脚本或 GPO 登录脚本创建在用户登录时调用的脚本。如果您选择使用 WorkSpaces 应用程序会话脚本,则会话脚本将仅应用于该特定的 WorkSpaces 应用程序映像。如果您使用 GPO 登录脚本,则 GPOs 会应用于域/OU,可以将其配置到您的队列中。这样,您就无需为所拥有的每个映像配置脚本了。
### 选项 1:使用会话脚本将 SMB 共享文件夹挂载到“我的文件”下(使用 Powershell)
**使用会话脚本将 SMB 共享文件夹挂载到“我的文件”下(使用 Powershell)**
1. 成功定义用户权限后,使用用户上下文或系统上下文配置以下示例脚本。
以下是使用用户上下文的 config.json 脚本示例。
```
"SessionStart": {
"executables": [
{
"context": "system",
"filename": "",
"arguments": "",
"s3LogEnabled": true
},
{
"context": "user",
"filename": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"arguments": "-File \"C:\\AppStream\\SessionScripts\\userStart.ps1\"",
"s3LogEnabled": true
}
],
"waitingTime": 30
```
以下是使用系统上下文的示例脚本。
```
"SessionStart": {
"executables": [
{
"context": "system",
"filename": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"arguments": "-File \"C:\\AppStream\\SessionScripts\\systemStart.ps1\"",
"s3LogEnabled": true
},
{
"context": "user",
"filename": "",
"arguments": "",
"s3LogEnabled": true
}
],
"waitingTime": 30
```
1. 如果您使用的是多会话实例集,则可以使用系统环境变量 `$env:AppStream_Session_UserName` 导航到用户的“我的文件”文件夹。这允许在使用系统上下文 `$env:USERNAME` 时映射到 `Admin` 而不是用户名。
```
# Define the target application path
$targetPathes = ""
# Define the shortcut location
$symlinkLocation = "C:\Users\$Env:AppStream_Session_UserName\My Files\Custom Folder"
# Create the junction for Custom Home Folder under MyFiles
New-Item -ItemType SymbolicLink -Path $symlinkLocation -Target $targetPaths
```
### 选项 2:使用 GPO 登录脚本将 SMB 共享文件夹挂载到“我的文件”下
1. 通过创建指向文件或文件夹的符号链接来挂载 SMB 共享文件夹。有关更多信息,请参阅[示例 7:创建指向文件或文件夹的符号链接](https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell. management/new-item?view=powershell-7.4#example-7-create-a-symbolic-link-to-a-file-or-folder)
1. [分配用户登录脚本。](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server- 2012-r2-and-2012/dn789196(v=ws.11)#how-to-assign-user-logon-scripts)
1. 添加以下脚本为“我的文件”下的“自定义主文件夹”创建联接。
```
# Define the target application path
$targetPathes = ""
# Define the shortcut location
$symlinkLocation = "C:\Users\$env:Username\My Files\Custom Folder"
# Create the junction for Custom Home Folder under MyFiles
New-Item -ItemType SymbolicLink -Path $symlinkLocation -Target $targetPaths
```
如果您使用的是 Windows Server 2022 映像,则可能会遇到一个问题,即只有在登录脚本成功完成后才能创建“我的文件”文件夹。这可能会导致在通过登录脚本完成 SMB 挂载操作时出现超时。要解决此问题,在挂载 SMB 的同时,请执行以下操作,使用登录脚本触发独立进程 (`Start-Process`):
1. 创建登录脚本。
```
# Define the log file path
$logFilePath = ""
# Function to write log messages
function Write-Log {
param (
[string]$message
)
$timestamp = get-date -format "yyyy-MM-dd HH:mm:ss"
$logMessage = "$timestamp - $message"
$logMessage | Out-File -FilePath $logFilePath -Append -Encoding UTF8
}
try {
Write-Log "Setting execution policy..."
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force
Write-Log "Unblocking logon script file..."
$filePath = ""
Unblock-File -Path $filePath
Write-Log "Running actual logon script..."
Start-Process -FilePath 'Powershell.exe' -ArgumentList "-File `"$filePath`""
} catch {
Write-Log "An error occurred: $_" "ERROR"
}
```
1. 如果需要,请使用组策略更新此登录脚本延迟配置。有关更多信息,请参阅[配置登录脚本延迟](https://admx.help/?Category=Windows_8.1_2012R2&Policy=Microsoft.Policies.GroupPolicy::LogonScriptDelay)。登录脚本延迟将是触发异步登录脚本之前的延迟时间。默认延迟为 5 分钟。
1. 重启实例集以应用登录脚本延迟。