WorkSpaces 個人的跨區域重新導向 - Amazon WorkSpaces
必要條件限制步驟 1:建立連線別名(選用) 步驟 2:與其他帳戶共用連線別名步驟 3:將連線別名與每個區域中的目錄建立關聯步驟 4:設定您的DNS服務並設定DNS路由政策步驟 5:將連線字串傳送給 WorkSpaces 使用者跨區域重新導向架構圖啟動跨區域重新導向跨區域重新導向期間發生什麼狀況取消連線別名與目錄的關聯取消共用連線別名刪除連線別名IAM 關聯和取消關聯連線別名的許可停止使用跨區域重新導向時的安全性考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

WorkSpaces 個人的跨區域重新導向

使用 Amazon 中的跨區域重新導向功能 WorkSpaces,您可以使用完整網域名稱 (FQDN) 做為 的註冊碼 WorkSpaces。跨區域重新導向可搭配您的網域名稱系統 (DNS) 路由政策使用,以在主要使用者 WorkSpaces 無法使用 WorkSpaces 時,將 WorkSpaces 使用者重新導向至替代方案。例如,透過使用DNS容錯移轉路由政策,當使用者無法在主要 AWS 區域中存取其 時,您可以將 WorkSpaces 使用者連接到指定容錯移轉區域中 WorkSpaces 的 。

您可以使用跨區域重新導向搭配DNS容錯移轉路由政策,以實現區域彈性和高可用性。您也可以將此功能用於其他用途,例如流量分佈或在 WorkSpaces 維護期間提供替代方案。如果您使用 Amazon Route 53 進行DNS組態,則可以利用監控 Amazon CloudWatch 警示的運作狀態檢查。

若要使用此功能,您必須在兩個 (或更多) AWS 區域中 WorkSpaces 為使用者設定 。您也必須建立稱為連線別名的特殊 FQDN型註冊碼。這些連線別名會取代您 WorkSpaces 使用者的區域特定註冊碼。(區域特定的註冊碼仍然有效;但是,若要跨區域重新導向正常運作,您的使用者必須使用 FQDN作為註冊碼。)

若要建立連線別名,請指定連線字串,也就是您的 FQDN,例如 www.example.comdesktop.example.com。若要使用此網域進行跨區域重新導向,您必須向網域註冊商註冊該網域,並為網域設定DNS服務。

建立連線別名之後,您可以將它們與不同區域中的 WorkSpaces 目錄建立關聯對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。如果主要區域發生中斷,容錯移轉DNS路由政策會將您的 WorkSpaces 使用者重新導向至 WorkSpaces 您在容錯移轉區域中為他們設定的 。

若要指定主要和容錯移轉區域,請在設定DNS容錯移轉路由政策時定義區域優先順序 (主要或次要)。

必要條件

  • 您必須擁有並註冊要做為連線別名FQDN中 的網域。如果您尚未使用其他網域註冊機構,您可使用 Amazon Route 53 來註冊您的網域。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 註冊網域名稱

    重要

    您必須擁有所有必要權限,才能使用您搭配 Amazon 使用的任何網域名稱 WorkSpaces。您同意網域名稱不違反或侵犯任何第三方的合法權利,或以其他方式違反適用法律。

    您的網域名稱總長度不得超過 255 個字元。如需網域名稱的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的DNS網域名稱格式

    跨區域重新導向適用於公有網域名稱和私有DNS區域中的網域名稱。如果您使用的是私有DNS區域,則必須提供虛擬私有網路 (VPN) 連線給包含您 的虛擬私有雲端 (VPC) WorkSpaces。如果您的 WorkSpaces 使用者嘗試FQDN從公有網際網路使用私有, WorkSpaces 用戶端應用程式會傳回下列錯誤訊息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必須設定DNS服務並設定必要的DNS路由政策。跨區域重新導向可搭配您的DNS路由政策運作,視需要重新引導您的 WorkSpaces 使用者。

  • 在您要設定跨區域重新導向的每個主要和容錯移轉區域中, WorkSpaces 為您的使用者建立 。請務必在每個區域中的每個 WorkSpaces 目錄中使用相同的使用者名稱。若要保持 Active Directory 使用者資料的同步,我們建議您使用 AD Connector 指向您已 WorkSpaces 為使用者設定的每個區域中的相同 Active Directory。如需建立的詳細資訊 WorkSpaces,請參閱啟動 WorkSpaces

    重要

    如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫,則只能註冊主要區域中的目錄以與 Amazon 搭配使用 WorkSpaces。嘗試在複寫區域中註冊目錄以搭配 Amazon 使用 WorkSpaces 將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。

    當您完成跨區域重新導向的設定時,您必須確保您的 WorkSpaces 使用者使用 FQDN型註冊碼,而不是主要區域的區域型註冊碼 (例如 WSpdx+ABC12D)。若要這樣做,您必須使用 中的程序,向他們傳送包含FQDN連線字串的電子郵件步驟 5:將連線字串傳送給 WorkSpaces 使用者

    注意

    如果您在 WorkSpaces 主控台中建立使用者,而不是在 Active Directory 中建立使用者, 會在您啟動新的 時 WorkSpaces ,自動使用區域型註冊碼傳送邀請電子郵件給您的使用者 WorkSpace。這表示當您 WorkSpaces 為容錯移轉區域中的使用者設定 時,您的使用者也會自動收到這些容錯移轉的電子郵件 WorkSpaces。您需要指示使用者忽略包含區域型註冊碼的電子郵件。

限制

  • 跨區域重新導向不會自動檢查主要區域的連線是否失敗,然後使您 WorkSpaces 的 容錯移轉到另一個區域。換句話說,不會發生自動容錯移轉。

    若要實作自動容錯移轉案例,您必須使用其他機制搭配跨區域重新導向。例如,您可以使用 Amazon Route 53 容錯移轉DNS路由政策搭配 Route 53 運作狀態檢查,以監控主要區域中的 CloudWatch 警示。如果主要區域中的 CloudWatch 警示已觸發,則DNS容錯移轉路由政策會將您的 WorkSpaces 使用者重新導向至 WorkSpaces 您在容錯移轉區域中為他們設定的 。

  • 當您使用跨區域重新導向時,使用者資料不會保留 WorkSpaces 在不同區域中。為了確保使用者可以從不同區域存取其檔案,如果您的主要和容錯移轉區域 WorkDocs 支援 Amazon,建議您 WorkDocs 為 WorkSpaces 使用者設定 Amazon。如需 Amazon 的詳細資訊 WorkDocs,請參閱《Amazon WorkDocs 管理指南》中的 Amazon WorkDocs Drive。如需 WorkDocs 為 WorkSpace 使用者啟用 Amazon 的詳細資訊,請參閱 向 WorkSpaces Personal 註冊現有的 AWS Directory Service 目錄為 AWS Managed Microsoft AD 啟用 Amazon WorkDocs。如需 WorkSpaces 使用者如何在其 WorkDocs 上設定 Amazon 的詳細資訊 WorkSpaces,請參閱《Amazon WorkSpaces 使用者指南》中的整合 與 WorkDocs

  • 僅在 Linux、macOS 和 Windows WorkSpaces 用戶端應用程式的 3.0.9 版或更新版本上支援跨區域重新導向。您也可以使用跨區域重新導向搭配 Web Access。

  • 跨區域重新導向可在 AWS Amazon WorkSpaces 提供的所有區域使用,但 AWS GovCloud (US) Region和中國 (寧夏) 區域除外。

步驟 1:建立連線別名

使用相同的 AWS 帳戶,在您要設定跨區域重新導向的每個主要和容錯移轉區域中建立連線別名。

若要建立連線別名

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取 的主要 AWS 區域 WorkSpaces。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向之下,選擇建立連線別名

  5. 針對連線字串,輸入 FQDN,例如 www.example.comdesktop.example.com。連接字串最多可以是 255 個字元。其只能包含字母 (A-Z 和 a-z)、數字 (0-9) 和下列字元: .-

    重要

    建立連線字串後,該字串一律會與您的 AWS 帳戶建立關聯。即使您從原始帳戶中刪除連接字串的所有執行個體,也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。

  6. (選用) 在標籤下,指定要與連線別名產生關聯的任何標籤。

  7. 選擇建立連線別名

  8. 重複這些步驟,但在 中步驟 2,請務必選取 的容錯移轉區域 WorkSpaces。如果您有多個容錯移轉區域,請為每個容錯移轉區域重複這些步驟。請務必使用相同的 AWS 帳戶,在每個容錯移轉區域中建立連線別名。

(選用) 步驟 2:與其他帳戶共用連線別名

您可以與相同 AWS 區域中的另一個 AWS 帳戶共用連線別名。與另一個帳戶共享連線別名會授予該帳戶的許可,您只能將該別名與相同區域中該帳戶擁有的目錄建立關聯或解除關聯。只有擁有連線別名的帳戶才能刪除別名。

注意

連線別名只能與每個 AWS 區域的一個目錄相關聯。如果您與其他 AWS 帳戶共用連線別名,則只有一個帳戶 (您的帳戶或共用帳戶) 可以將別名與該區域中的目錄建立關聯。

與其他 AWS 帳戶共用連線別名

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取您要與其他 AWS 帳戶共用連線別名 AWS 的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作共用/取消共用連線別名

    您也可以從連線別名的詳細資訊頁面共用別名。若要這麼做,請在共用帳戶下,選擇共用連線別名

  5. 共用/取消共用連線別名頁面上,在與 帳戶共用下,輸入您要在此 AWS 區域中與之共用連線別名 AWS 的帳戶 ID。

  6. 選擇共用

步驟 3:將連線別名與每個區域中的目錄建立關聯

將相同的連線別名與兩個或多個區域中的 WorkSpaces 目錄建立關聯對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。

例如,如果您的主要區域是美國西部 (奧勒岡) 區域,您可以將美國西部 (奧勒岡) 區域中的 WorkSpaces 目錄與美國東部 (維吉尼亞北部) 區域中的 WorkSpaces 目錄配對。如果主要區域發生中斷,跨區域重新導向會搭配DNS容錯移轉路由政策,以及您在美國西部 (奧勒岡) 區域設定的任何運作狀態檢查,將使用者重新導向至 WorkSpaces 您在美國東部 (維吉尼亞北部) 區域中為他們設定的 。如需有關跨區域重新導向體驗的詳細資訊,請參閱 跨區域重新導向期間發生什麼狀況

注意

如果您的 WorkSpaces 使用者與容錯移轉區域 (例如,數千英里遠) 距離很遠,他們的 WorkSpaces 體驗可能比平常回應更少。若要檢查從您位置到各個 AWS 區域的往返時間 (RTT),請使用 Amazon WorkSpaces Connection Health Check

若要建立連線別名與目錄的關聯

您可以將連線別名與每個 AWS 區域僅一個目錄建立關聯。如果您已與其他 AWS 帳戶共用連線別名,則只有一個帳戶 (您的帳戶或共用帳戶) 可以將別名與該區域中的目錄建立關聯。

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取 的主要 AWS 區域 WorkSpaces。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作關聯/取消關聯

    您也可以從連線別名的詳細資訊頁面,建立連線別名與目錄的關聯。若要這麼做,請在關聯的目錄下選擇關聯目錄

  5. 關聯/取消關聯頁面上,將 與目錄建立關聯下,選取您要在此 AWS 區域中將連線別名與 建立關聯的目錄。

    注意

    如果您設定 AWS Managed Microsoft AD 目錄進行多區域複寫,則只有主要區域中的目錄可以與 Amazon 搭配使用 WorkSpaces。嘗試使用 Amazon 複寫區域中的 目錄 WorkSpaces 將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。

  6. 選擇關聯

  7. 重複這些步驟,但在 中步驟 2,請務必為您的 選取容錯移轉區域 WorkSpaces。如果您有多個容錯移轉區域,請為每個容錯移轉區域重複這些步驟。務必將相同的連線別名與每個容錯移轉區域中的目錄產生關聯。

步驟 4:設定您的DNS服務並設定DNS路由政策

建立連線別名和連線別名關聯對之後,您就可以為連線字串中使用的網域設定 DNS服務。您可以為此目的使用任何DNS服務提供者。如果您還沒有偏好的DNS服務供應商,則可以使用 Amazon Route 53。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的將 Amazon Route 53 設定為您的DNS服務

為網域設定 DNS服務之後,您必須設定要用於跨區域重新導向的DNS路由政策。例如,您可以使用 Amazon Route 53 運作狀態檢查來判斷您的使用者是否可以連線到特定區域中 WorkSpaces 的 。如果您的使用者無法連線,您可以使用DNS容錯移轉政策將DNS流量從一個區域路由到另一個區域。

如需選擇DNS路由政策的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的選擇路由政策。如需有關 Amazon Route 53 運作狀態檢查的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的 Amazon Route 53 如何檢查資源的運作狀態

當您設定DNS路由政策時,您需要連線別名與主要區域中 WorkSpaces 目錄之間的關聯識別符。您也需要連線別名與容錯移轉區域或區域中的 WorkSpaces 目錄之間的關聯識別符。

注意

連線識別碼與連線別名 ID 不同。連線別名 ID 的開頭為 wsca-

若要尋找連線別名關聯的連線識別碼

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取 的主要 AWS 區域 WorkSpaces。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯下,選取連線字串文字 (FQDN) 以檢視連線別名詳細資訊頁面。

  5. 在連線別名的詳細資訊頁面上,於關聯的目錄之下,記下針對連線識別碼所顯示的值。

  6. 重複這些步驟,但在 中步驟 2,請務必為您的 選取容錯移轉區域 WorkSpaces。如果您有多個容錯移轉區域,請重複這些步驟以尋找每個容錯移轉區域的連線識別碼。

範例:使用 Route 53 設定DNS容錯移轉路由政策

下列範例會為您的網域設定公用託管區域。不過,您可以設定公用或私有託管區域。如需有關設定託管區域的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用託管區域

此範例也會使用容錯移轉路由政策。您可以針對跨區域重新導向策略使用其他路由政策類型。如需選擇DNS路由政策的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的選擇路由政策

當您在 Route 53 中設定容錯移轉路由政策時,主要區域需要進行運作狀態檢查。如需在 Route 53 中建立運作狀態檢查的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的建立 Amazon Route 53 運作狀態檢查和設定DNS容錯移轉以及建立、更新和刪除運作狀態檢查

如果您想要搭配 Route 53 運作狀態檢查使用 Amazon CloudWatch 警示,您也需要設定 CloudWatch 警示來監控主要區域中的資源。如需詳細資訊 CloudWatch,請參閱《Amazon 使用者指南》中的什麼是 Amazon CloudWatch? CloudWatch 如需 Route 53 如何在運作狀態檢查中使用 CloudWatch 警示的詳細資訊,請參閱《Amazon Route Route 53 開發人員指南》中的 Route 53 如何判斷監控 CloudWatch 警示和監控警示的運作狀態檢查狀態 CloudWatch

若要在 Route 53 中設定DNS容錯移轉路由政策,您必須先為您的網域建立託管區域。

  1. 在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇託管區域,然後選擇建立託管區域

  3. 已建立的託管區域頁面上,在網域名稱之下輸入您的網域名稱 (例如 example.com)。

  4. 類型之下,選擇公共託管區域

  5. 選擇建立託管區域

然後針對主要區域建立運作狀態檢查。

  1. 在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇運作狀態檢查,然後選擇建立運作狀態檢查

  3. 設定運作狀態檢查頁面上,輸入運作狀態檢查的名稱。

  4. 針對要監控的內容,選取端點其他運作狀態檢查的狀態 (計算的運作狀態檢查) CloudWatch 警示狀態

  5. 根據您在上一個步驟中選取的項目,設定運作狀態檢查,然後選擇下一步

  6. 運作狀態檢查失敗時收到通知頁面上,針對建立警示,選擇

  7. 選擇建立運作狀態檢查

建立運作狀態檢查後,您可以建立DNS容錯移轉記錄。

  1. 在 開啟 Route 53 主控台https://console.aws.amazon.com/route53/

  2. 在導覽窗格中,選擇 Hosted zones (託管區域)

  3. 託管區域頁面上,選取您的網域名稱。

  4. 在您網域名稱的詳細資訊頁面上,選擇建立記錄

  5. 選擇路由政策頁面上選取容錯移轉,然後選擇下一步

  6. 設定記錄頁面的基本組態下,針對記錄名稱,輸入您的子網域名稱。例如,如果您的 FQDN是 desktop.example.com,請輸入 desktop

    注意

    如果您想要使用根網域,請將記錄名稱保留空白。不過,建議您使用子網域,例如 desktopworkspaces,除非您已設定僅搭配 使用的網域 WorkSpaces。

  7. 對於記錄類型,選取 TXT – 用於驗證電子郵件寄件者和應用程式特定值

  8. TTL秒設定保留為預設值。

  9. 要新增至 的容錯移轉記錄your_domain_name下,選擇定義容錯移轉記錄

現在,您需要針對主要和容錯移轉區域設定容錯移轉記錄。

範例:設定主要區域的容錯移轉記錄

  1. 定義容錯移轉記錄對話方塊中,針對值/路由傳送流量至,選取取決於記錄類型的 IP 地址或其他值

  2. 隨即開啟一個方塊,供您輸入範例文字項目。輸入主要區域之連線別名關聯的連線識別碼。

  3. 針對容錯移轉記錄類型,選取主要

  4. 針對運作狀態檢查,選取您為主要區域建立的運作狀態檢查。

  5. 針對記錄 ID,輸入用於識別此記錄的描述。

  6. 選擇定義容錯移轉記錄。您的新容錯移轉記錄會出現在要新增至 的容錯移轉記錄your_domain_name下。

範例:設定容錯移轉區域的容錯移轉記錄

  1. 要新增至 的容錯移轉記錄your_domain_name下,選擇定義容錯移轉記錄

  2. 定義容錯移轉記錄對話方塊中,針對值/路由傳送流量至,選取取決於記錄類型的 IP 地址或其他值

  3. 隨即開啟一個方塊,供您輸入範例文字項目。輸入容錯移轉區域之連線別名關聯的連線識別碼。

  4. 針對容錯移轉記錄類型,選取次要

  5. (選用) 針對運作狀態檢查,輸入您為容錯移轉區域建立的運作狀態檢查。

  6. 針對記錄 ID,輸入用於識別此記錄的描述。

  7. 選擇定義容錯移轉記錄。您的新容錯移轉記錄會出現在要新增至 的容錯移轉記錄your_domain_name下。

如果您為主要區域設定的運作狀態檢查失敗,DNS容錯移轉路由政策會將 WorkSpaces 使用者重新導向至容錯移轉區域。Route 53 會繼續監控主要區域的運作狀態檢查,當主要區域的運作狀態檢查不再失敗時,Route 53 會自動將 WorkSpaces 使用者重新引導回主要區域中 WorkSpaces 的 。

如需建立DNS記錄的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 主控台建立記錄如需設定DNSTXT記錄的詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的TXT記錄類型

步驟 5:將連線字串傳送給 WorkSpaces 使用者

若要確保使用者 WorkSpaces 在中斷期間視需要重新導向,您必須傳送連線字串 (FQDN) 給您的使用者。如果您已經向 WorkSpaces 使用者發出以區域為基礎的註冊碼 (例如 WSpdx+ABC12D),這些代碼仍然有效。不過,若要讓跨區域重新導向正常運作,您的 WorkSpaces 使用者 WorkSpaces 在用戶端應用程式中註冊其 時, WorkSpaces 必須使用連線字串做為註冊碼。

重要

如果您在 WorkSpaces 主控台中建立使用者,而不是在 Active Directory 中建立使用者, WorkSpaces 會在您啟動新的 時,自動使用區域型註冊碼 (例如,WSpdx+ABC12D) 傳送邀請電子郵件給您的使用者 WorkSpace。即使您已設定跨區域重新導向,為新 自動傳送的邀請電子郵件 WorkSpaces 包含此區域型註冊碼,而不是您的連線字串。

若要確保您的 WorkSpaces 使用者使用連線字串而非區域型註冊碼,您必須使用下列程序,將另一封包含連線字串的電子郵件傳送給他們。

傳送連線字串給您 WorkSpaces 的使用者

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取 的主要 AWS 區域 WorkSpaces。

  3. 在導覽窗格中,選擇 WorkSpaces

  4. WorkSpaces頁面上,使用搜尋方塊來搜尋您要傳送邀請的使用者,然後從 WorkSpace 搜尋結果中選取對應的 。您 WorkSpace 一次只能選取一個。

  5. 選擇動作邀請使用者

  6. 邀請使用者加入他們的 WorkSpaces頁面上,您會看到要傳送給使用者的電子郵件範本。

  7. (選用) 如果有超過一個連線別名與您的 WorkSpaces 目錄相關聯,請從連線別名字串清單中選取您希望使用者使用的連線字串。電子郵件範本會更新,以顯示您所選擇的字串。

  8. 複製電子郵件範本文字,並使用您自己的電子郵件應用程式將其貼到給使用者的電子郵件中。在電子郵件應用程式中,您可以視需要修改內文。邀請電子郵件準備就緒時,請將其傳送給您的使用者。

跨區域重新導向架構圖

下圖說明跨區域重新導向的部署程序。

跨區域重新導向
注意

跨區域重新導向只會促進跨區域容錯移轉和後援。它不會促進 WorkSpaces 在次要區域中建立和維護,也不允許跨區域資料複寫。 WorkSpaces 在主要和次要區域中, 都應該分別管理。

啟動跨區域重新導向

發生中斷時,您可以手動更新DNS記錄,或根據運作狀態檢查使用自動路由政策,以決定容錯移轉區域。我們建議您遵循使用 Amazon Route 53 建立災難復原機制中概述的災難復原機制。

跨區域重新導向期間發生什麼狀況

在區域容錯移轉期間,您的 WorkSpaces 使用者會與主要區域中 WorkSpaces 的 中斷連線。當他們嘗試重新連線時,他們會收到下列錯誤訊息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然後系統會提示使用者再次登入。如果他們使用 FQDN做為註冊碼,當他們再次登入時,DNS容錯移轉路由政策會將他們重新導向到 WorkSpaces 您在容錯移轉區域中為他們設定的 。

注意

在某些情況下,使用者可能無法於再次登入時重新連線。如果發生此行為,則必須關閉並重新啟動 WorkSpaces 用戶端應用程式,然後嘗試再次登入。

取消連線別名與目錄的關聯

只有擁有目錄的帳戶才能取消連線別名與目錄的關聯。

如果您已與其他帳戶共用連線別名,且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯,則該帳戶必須用於取消連線別名與目錄的關聯。

若要取消連線別名與目錄的關聯

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取包含您要取消關聯之連線別名 AWS 的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作關聯/取消關聯

    您也可以從連線別名詳細資訊頁面取消連線別名的關聯。若要這麼做,請在關聯的目錄下選擇取消關聯

  5. 關聯/取消關聯頁面上,選擇取消關聯

  6. 在要求您確認取消關聯的對話方塊中,選擇取消關聯

取消共用連線別名

只有連線別名的擁有者可以取消共用別名。如果您取消與某個帳戶共用連線別名,該帳戶就無法再將連線別名與目錄產生關聯。

若要取消共用連線別名

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取包含您要取消共用之連線別名 AWS 的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇動作共用/取消共用連線別名

    您也可以從連線別名詳細資訊頁面取消共用連線別名。若要這麼做,請在共用帳戶底下選擇取消共用

  5. 共用/取消共用連線別名頁面上,選擇取消共用

  6. 在要求您確認取消共用連線別名的對話方塊中,選擇取消共用

刪除連線別名

只有在連線別名由您的帳戶擁有且並未與目錄相關聯時,您才可以刪除連線別名。

如果您已與其他帳戶共用連線別名,且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯,則該帳戶必須先取消連線別名與目錄的關聯,您才能刪除連線別名。

重要

建立連線字串後,該字串一律會與您的 AWS 帳戶相關聯。即使您從原始帳戶中刪除連接字串的所有執行個體,也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。

警告

如果您不再使用 FQDN作為使用者的 WorkSpaces 註冊碼,則必須採取特定預防措施,以防止潛在的安全問題。如需詳細資訊,請參閱停止使用跨區域重新導向時的安全性考量

若要刪除連線別名

  1. 在 開啟 WorkSpaces 主控台https://console.aws.amazon.com/workspaces/

  2. 在主控台的右上角,選取包含您要刪除之連線別名 AWS 的區域。

  3. 在導覽窗格中,選擇 Account Settings (帳戶設定)

  4. 跨區域重新導向關聯底下,選取連接字串,然後選擇刪除

    您也可以從連線別名詳細資訊頁面刪除連線別名。若要這麼做,請選擇頁面右上角的刪除

    注意

    如果已停用刪除按鈕,請確定您是別名的擁有者,並確定別名與目錄沒有關聯。

  5. 在要求您要確認刪除的對話方塊中,選擇刪除

IAM 關聯和取消關聯連線別名的許可

如果您使用 IAM使用者來關聯或取消關聯連線別名,則使用者必須具有 workspaces:AssociateConnectionAlias和 的許可workspaces:DisassociateConnectionAlias

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
重要

如果您要為不擁有連線別名的帳戶建立關聯或取消關聯連線別名IAM的政策,則無法在 中指定帳戶 IDARN。您必須改為使用 * 帳戶 ID,如下列範例政策所示。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

ARN 只有在帳戶擁有要建立關聯或取消關聯的連線別名時,您才能在 中指定帳戶 ID。

如需使用 IAM 的詳細資訊,請參閱的身分和存取管理 WorkSpaces

停止使用跨區域重新導向時的安全性考量

如果您不再使用 FQDN作為 WorkSpaces 使用者的註冊碼,則必須採取下列預防措施,以防止潛在的安全問題:

  • 請務必向 WorkSpaces 使用者發出其 WorkSpaces 目錄的區域特定註冊碼 (例如 WSpdx+ABC12D),並指示他們停止使用 FQDN作為註冊碼。

  • 如果您仍擁有此網域,請務必更新您的DNSTXT記錄以移除此網域,使其無法在網路釣魚攻擊中被利用。如果您從DNSTXT記錄中移除此網域,且您的 WorkSpaces 使用者嘗試使用 FQDN做為註冊碼,則其連線嘗試將會無害失敗。

  • 如果您不再擁有此網域,您的 WorkSpaces 使用者必須使用其區域特定的註冊碼。如果他們繼續嘗試使用 FQDN做為註冊碼,其連線嘗試可能會重新導向至惡意網站。