使用 “个 WorkSpaces 人” 创建专用的自定义目录 - Amazon WorkSpaces
要求和限制步骤 1:启用IAM身份中心并与您的身份提供商连接步骤 2:创建专用的自定义 WorkSpaces 目录

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 “个 WorkSpaces 人” 创建专用的自定义目录

在创建 Windows 10 和 11 BYOL 个人 WorkSpaces 版并将其分配给由 AWS IAM身份中心身份提供商 (IdPs) 管理的用户之前,必须创建一个专用的自定义 WorkSpaces 目录。个人版 WorkSpaces 未加入任何 Microsoft Active Directory,但可以使用你选择的移动设备管理 (MDM) 解决方案进行管理,例如 JumpCloud。有关的更多信息 JumpCloud,请参阅这篇文章。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人创建目录

注意

  • Amazon WorkSpaces 无法创建或管理在自定义目录中 WorkSpaces 启动的个人用户账户。作为管理员,您必须对其进行管理。

  • 除非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)外,所有提供亚马逊 WorkSpaces 服务的 AWS 地区均提供定制 WorkSpaces 目录。

  • Amazon WorkSpaces 无法 WorkSpaces 使用自定义目录创建或管理用户账户。要确保您使用的MDM代理软件可以在 Windows 上创建用户配置文件 WorkSpaces,请与MDM解决方案提供商联系。创建用户配置文件允许你的用户从 Windows 登录屏幕登录 Windows 桌面。

要求和限制

  • 自定义 WorkSpaces 目录仅支持 Windows 10 或 11 个人自带许可证 WorkSpaces。

  • 自定义 WorkSpaces 目录仅支持DCV协议。

  • 请确保您的 AWS 帐户已启BYOL用,并且您拥有自己的 AWS KMS 服务器,您的个人 WorkSpaces 可以访问该服务器以激活 Windows 10 和 11。有关详细信息,请参阅带上你自己的 Windows 桌面许可证 WorkSpaces

  • 确保在导入 AWS 账户的BYOL映像上预安装MDM代理软件。

步骤 1:启用IAM身份中心并与您的身份提供商连接

要将用户信息分配 WorkSpaces 给由您的身份提供商管理的用户,必须 AWS 通过 Ident AWS IAM ity Center 向其提供用户信息。我们建议使用 Ident IAM ity Center 来管理您的用户对 AWS 资源的访问权限。有关更多信息,请参阅什么是IAM身份中心? 。这是一次性设置。

将用户信息提供给 AWS

  1. 启用 “IAM身份中心” AWS。您可以在 AWS 组织中启用 IAM Identity Center,尤其是在您使用多账户环境时。您也可以创建 Ident IAM ity Center 的账户实例。有关更多信息,请参阅启用 AWS IAM身份中心。每个 WorkSpaces 目录可以与一个 Ident IAM ity Center 组织或账户实例关联。每个 IAM Identity Center 实例都可以与一个或多个 WorkSpaces 个人目录相关联。

    如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 Ident IAM ity Center 权限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    有关更多信息,请参阅管理您的 Ident IAM ity Center 资源的访问权限概述。确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息SCPs,请参阅服务控制策略 (SCPs)

  2. 将 Ident IAM ity Center 和您的身份提供商 (IdP) 配置为自动将用户从您的 IdP 同步到您的IAM身份中心实例。有关更多信息,请参阅入门教程并选择要使用的 IdP 的特定教程。例如,使用 Ident IAM ity Center 连接您的 JumpCloud 目录平台

  3. 验证您在 IdP 上配置的用户是否已正确同步到 Ident AWS IAM ity Center 实例。第一次同步可能需要长达一个小时,具体取决于您的 IdP 的配置。

步骤 2:创建专用的自定义 WorkSpaces 目录

创建专门的 WorkSpaces 个人目录,用于存储有关您的个人 WorkSpaces 和用户的信息。

创建专用的自定义 WorkSpaces 目录

  1. 打开 WorkSpaces 控制台,网址为https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择目录

  3. 选择创建目录

  4. 在 “创建目录” 页面上,对于WorkSpaces类型,选择 “个人”。要进行WorkSpace 设备管理,请选择自定义

  5. 对于用户身份源,请从下拉列表中选择您在步骤 1 中配置的 Ident IAM ity Center 实例。目录创建后,您将无法更改与该目录关联的 Ident IAM ity Center 实例。

    注意

    您必须为该目录指定 Ident IAM ity Center 实例,否则您将无法使用 WorkSpaces 控制台启动 WorkSpaces 带有该目录的个人版。 WorkSpaces 没有关联 Identity Center 的目录仅与 WorkSpaces 核心合作伙伴解决方案兼容。

  6. 目录名称中,输入目录的唯一名称。

  7. 对于 VPCVPC,请选择您用来启动的 WorkSpaces。有关更多信息,请参阅 VPC为 WorkSpaces 个人配置

  8. 对于子网,请选择您的两个不VPC属于同一可用区的子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息,请参阅 WorkSpaces 个人可用区

    重要

    确保子网中 WorkSpaces 启动的用户可以访问互联网,这是用户登录到 Windows 桌面时所必需的。有关更多信息,请参阅 为 WorkSpaces 个人提供互联网接入

  9. 在 “配置” 中,选择 “启用专用” WorkSpace。你必须启用它才能创建专用的 WorkSpaces 个人目录才能启动 “自带许可证” (BYOL) Windows 10 或 11 个人版 WorkSpaces。

  10. (可选)在 “标签” 中,指定要在目录 WorkSpaces 中用于个人的 key pair 值。

  11. 查看目录摘要,然后选择创建目录。连接目录需要几分钟时间。目录的初始状态是 Creating。目录创建完毕后,状态会变为 Active

创建目录后,还会自动代表您创建 Ident IAM ity Center 应用程序。要查找应用程序,ARN请转到目录的摘要页面。

现在,你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建

创建 WorkSpaces 个人目录后,您可以创建个人目录 WorkSpace。有关更多信息,请参阅 WorkSpace 在 WorkSpaces 个人版中创建