Redirecionamento entre regiões do WorkSpaces Personal - Amazon WorkSpaces
Pré-requisitosLimitaçõesEtapa 1: Criar aliases de conexão(Opcional) Etapa 2: Compartilhar um alias de conexão com outra contaEtapa 3: Associar aliases de conexão a diretórios em cada regiãoEtapa 4: Configurar o serviço de DNS e definir políticas de roteamento de DNSEtapa 5: Enviar a string de conexão para os usuários do WorkSpacesDiagrama de arquitetura de redirecionamento entre regiõesIniciar redirecionamento entre regiõesO que acontece durante o redirecionamento entre regiõesDesassociar um alias de conexão de um diretórioCancelar o compartilhamento de um alias de conexãoExcluir um alias de conexãoPermissões do IAM para associar e desassociar aliases de conexãoConsiderações de segurança se você parar de usar o redirecionamento entre regiões

Redirecionamento entre regiões do WorkSpaces Personal

Com o recurso de redirecionamento entre regiões do Amazon WorkSpaces, você pode usar um nome de domínio totalmente qualificado (FQDN) como o código de registro para WorkSpaces. O redirecionamento entre regiões funciona com as políticas de roteamento do Sistema de Nomes de Domínio (DNS) para redirecionar os usuários para WorkSpaces alternativos quando os WorkSpaces primários não estão disponíveis. Por exemplo, ao usar políticas de roteamento por failover de DNS, é possível conectar os usuários aos WorkSpaces na região da AWS de failover especificada quando eles não conseguirem acessar os WorkSpaces na região primária.

Use o redirecionamento entre regiões junto com as políticas de roteamento por failover de DNS para obter resiliência regional e alta disponibilidade. Você também pode usar esse recurso para outros fins, como distribuição de tráfego ou fornecimento de WorkSpaces alternativos durante períodos de manutenção. Se você usa o Amazon Route 53 para a configuração do DNS, você pode aproveitar as verificações de integridade que monitoram os alarmes do Amazon CloudWatch.

Para usar esse recurso, é necessário configurar o WorkSpaces para seus usuários em duas (ou mais) regiões da AWS. Também é necessário criar códigos de registro especiais baseados em FQDN, denominados aliases de conexão. Esses aliases de conexão substituem os códigos de registro específicos da região para o usuário do WorkSpaces. (Os códigos de registro específicos da região permanecem válidos. No entanto, para que o redirecionamento entre regiões funcione, os usuários devem usar o FQDN como o código de registro.)

Para criar um alias de conexão, especifique uma string de conexão, que é o FQDN, como www.example.com ou desktop.example.com. Para usar esse domínio para redirecionamento entre regiões, registre-o em um registrador de domínio e configure o serviço de DNS para o domínio.

Após criar os aliases de conexão, associe-os aos diretórios do WorkSpaces em diferentes regiões para criar pares de associação. Cada par de associação tem uma região principal e uma ou mais regiões de failover. Caso ocorra uma interrupção na região primária, as políticas de roteamento por failover de DNS redirecionam os usuários do WorkSpaces para os WorkSpaces que você configurou para eles na região de failover.

Para designar as regiões primária e de failover, defina a prioridade da região (primária ou secundária) ao configurar as políticas de roteamento por failover de DNS.

Pré-requisitos

  • Você deve possuir e registrar o domínio que deseja usar como o FQDN nos aliases de conexão. Se você ainda não estiver usando outro registrador de domínio, poderá usar o Amazon Route 53 para registrar o domínio. Para obter mais informações, consulte Registrar e gerenciar novos domínios com o Amazon Route 53 no Guia do desenvolvedor do Amazon Route 53.

    Importante

    Você deve ter todos os direitos necessários para usar qualquer nome de domínio com o Amazon WorkSpaces. Você concorda que o nome de domínio não viola nem infringe os direitos legais de terceiros nem viola a legislação aplicável.

    O tamanho total do nome de domínio não pode exceder 255 caracteres. Para obter mais informações sobre nomes de domínio, consulte Formato de nome de domínio DNS no Guia do desenvolvedor do Amazon Route 53.

    O redirecionamento entre regiões funciona com nomes de domínio público e nomes de domínio em zonas DNS privadas. Se você estiver usando uma zona DNS privada, deverá fornecer uma conexão de rede privada virtual (VPN) à nuvem privada virtual (VPC) que contém os WorkSpaces. Se os usuários do WorkSpaces tentarem usar um FQDN privado da internet pública, as aplicações cliente do WorkSpaces retornarão a seguinte mensagem de erro:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Você deve configurar o serviço de DNS e as políticas de roteamento de DNS necessárias. O redirecionamento entre regiões funciona em conjunto com as políticas de roteamento de DNS para redirecionar os usuários do WorkSpaces conforme necessário.

  • Você deve criar WorkSpaces para os usuários em cada região primária e de failover em que deseja configurar o redirecionamento entre regiões. Use os mesmos nomes de usuário em cada diretório do WorkSpaces em cada região. Para manter os dados de usuário do Active Directory sincronizados, use o AD Connector para apontar para o mesmo Active Directory em cada região em que você configurou WorkSpaces para os usuários. Para obter mais informações sobre a criação de WorkSpaces, consulte Launch WorkSpaces.

    Importante

    Se você configurar o diretório do AWS Managed Microsoft AD para replicação multirregional, somente o diretório na região primária poderá ser registrado para uso no Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces vão falhar. A replicação multirregional com o AWS Managed Microsoft AD não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

    Ao concluir a configuração do redirecionamento entre regiões, garanta que os usuários do WorkSpaces estão usando o código de registro baseado em FQDN em vez do código de registro baseado em região (por exemplo, WSpdx+ABC12D) para a região primária. Para fazer isso, envie um e-mail com a string de conexão FQDN usando o procedimento presente na Etapa 5: Enviar a string de conexão para os usuários do WorkSpaces.

    nota

    Se você criar um usuário no console do WorkSpaces em vez de criá-lo no Active Directory, o WorkSpaces enviará automaticamente um e-mail de convite ao usuário com um código de registro baseado em região sempre que você inicializar um novo WorkSpace. Isso significa que quando você configura WorkSpaces para os usuários na região de failover, eles também receberão e-mails automaticamente para esses WorkSpaces de failover. Instrua os usuários a ignorar e-mails com códigos de registro baseados em região.

Limitações

  • O redirecionamento entre regiões não verifica automaticamente se houve falha nas conexões com a região primária e transfere os WorkSpaces para outra região. Em outras palavras: não ocorre failover automático.

    Para implementar um cenário de failover automático, você deve usar outro mecanismo em conjunto com o redirecionamento entre regiões. Por exemplo, você pode usar uma política de roteamento de DNS por failover do Amazon Route 53 combinada com uma verificação de integridade do Route 53 que monitora um alarme do CloudWatch na região primária. Caso o alarme do CloudWatch na região primária seja acionado, a política de roteamento por failover de DNS redirecionará os usuários para os WorkSpaces que você configurou para eles na região de failover.

  • Ao usar o redirecionamento entre regiões, os dados do usuário não são mantidos entre WorkSpaces em regiões diferentes. Para garantir que os usuários possam acessar seus arquivos em diferentes regiões, configure o Amazon WorkDocs para os usuários do WorkSpaces (se o Amazon WorkDocs for compatível com as regiões primária e de failover). Para obter mais informações sobre o Amazon WorkDocs, consulte Amazon WorkDocs Drive no Guia de administração do Amazon WorkDocs. Para obter mais informações sobre como habilitar o Amazon WorkDocs para os usuários do WorkSpace, consulte Registre um diretório do AWS Directory Service existente com o WorkSpaces Personal e Habilitar o Amazon WorkDocs para o AWS Managed Microsoft AD. Para obter informações sobre como os usuários do WorkSpaces podem configurar o Amazon WorkDocs nos WorkSpaces, consulte Integrate with WorkDocs no Guia do usuário do Amazon WorkSpaces.

  • O redirecionamento entre regiões é compatível somente com a versão 3.0.9 ou posterior das aplicações WorkSpaces cliente Linux, macOS e Windows. Você também pode usar o redirecionamento entre regiões com o Acesso via Web.

  • O redirecionamento entre regiões está disponível em todas as regiões da AWS em que o Amazon WorkSpaces está disponível, exceto nas regiões AWS GovCloud (US) Region e China (Ningxia).

Etapa 1: Criar aliases de conexão

Usando a mesma conta da AWS, crie um alias de conexão em cada região primária e de failover em que deseja configurar o redirecionamento entre regiões.

Como criar um alias de conexão

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console, selecione a região primária da AWS para os WorkSpaces.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Redirecionamento entre regiões, selecione Criar um alias de conexão.

  5. Em String de conexão, insira um FQDN, como www.example.com ou desktop.example.com. Uma string de conexão pode ter no máximo 255 caracteres. Ela pode incluir apenas letras (A–Z, a–z), números (0–9) e os seguintes caracteres: .-

    Importante

    Depois de criar uma string de conexão, ela sempre estará associada à sua conta da AWS. Não é possível recriar a mesma string de conexão com outra conta, mesmo que você tenha excluído todas as instâncias dela da conta original. A string de conexão é reservada globalmente para sua conta.

  6. (Opcional) Em Tags, especifique as etiquetas que você deseja associar ao alias de conexão.

  7. Escolha Criar conexão.

  8. Repita essas etapas, mas em Passo 2, selecione a região de failover para os WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para cada uma delas. Use a mesma conta da AWS para criar o alias de conexão em cada região de failover.

(Opcional) Etapa 2: Compartilhar um alias de conexão com outra conta

É possível compartilhar um alias de conexão com outra conta da AWS na mesma região da AWS. Compartilhar um alias de conexão com outra conta concede a essa conta permissão para associar ou desassociar o alias de um diretório de propriedade da conta, apenas na mesma região. Somente a conta que possui um alias de conexão pode exclui-lo.

nota

Um alias de conexão pode ser associado a apenas um diretório por região da AWS. Se você compartilhar um alias de conexão com outra conta da AWS, somente uma conta (a sua conta ou a conta compartilhada) poderá associar o alias a um diretório nessa região.

Como compartilhar um alias de conexão com outra conta da AWS

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console, selecione a região da AWS na qual você quer compartilhar o alias de conexão com outra conta da AWS.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Compartilhar/cancelar compartilhamento do alias de conexão.

    Você também pode compartilhar um alias na página de detalhes do alias de conexão. Para fazer isso, em Conta compartilhada, escolha Compartilhar alias de conexão.

  5. Na página Compartilhar/cancelar compartilhamento do alias de conexão, em Compartilhar com uma conta, insira o ID da conta da AWS com a qual você deseja compartilhar o alias de conexão nesta região da AWS.

  6. Selecione Share.

Etapa 3: Associar aliases de conexão a diretórios em cada região

Associar o mesmo alias de conexão a um diretório do WorkSpaces em duas ou mais regiões cria um par de associação entre os diretórios. Cada par de associação tem uma região principal e uma ou mais regiões de failover.

Por exemplo, se a região primária for a região Oeste dos EUA (Oregon), você poderá emparelhar o diretório do WorkSpaces na região Oeste dos EUA (Oregon) com um diretório do WorkSpaces na região Leste dos EUA (Norte da Virgínia). Se ocorrer uma interrupção na região primária, o redirecionamento entre regiões funcionará em conjunto com as políticas de roteamento por failover de DNS e quaisquer verificações de integridade que você tenha implementado na região Oeste dos EUA (Oregon) para redirecionar os usuários para os WorkSpaces configurados na região Leste dos EUA (Norte da Virgínia). Para obter mais informações sobre a experiência de redirecionamento entre regiões, consulte O que acontece durante o redirecionamento entre regiões.

nota

Se os usuários do WorkSpaces estiverem localizados a uma distância significativa da região de failover (por exemplo, a milhares de quilômetros de distância), a experiência no WorkSpaces poderá ser menos responsiva do que o normal. Para verificar o tempo de ida e volta (RTT) para as várias regiões da AWS a partir de sua localização, use a Verificação de integridade da conexão do Amazon WorkSpaces.

Como associar um alias de conexão a um diretório

É possível associar um alias de conexão com apenas um diretório por região da AWS. Se você tiver compartilhado um alias de conexão com outra conta da AWS, somente uma conta (a sua conta ou a conta compartilhada) poderá associar o alias a um diretório nessa região.

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console, selecione a região primária da AWS para os WorkSpaces.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Associar/desassociar.

    Também é possível associar um alias de conexão a um diretório na página de detalhes do alias de conexão. Para fazer isso, em Diretório associado, escolha Associar diretório.

  5. Na página Associar/desassociar, em Associar a um diretório, selecione o diretório ao qual você deseja associar o alias de conexão nesta região da AWS.

    nota

    Se você configurar o diretório do AWS Managed Microsoft AD para replicação multirregional, somente o diretório na região primária poderá ser usado no Amazon WorkSpaces. Haverá falha em tentativas de uso do diretório em uma região replicada com o Amazon WorkSpaces. A replicação multirregional com o AWS Managed Microsoft AD não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

  6. Selecione Associar.

  7. Repita essas etapas, mas em Passo 2, selecione a região de failover para os WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para cada uma delas. Associe o mesmo alias de conexão a um diretório em cada região de failover.

Etapa 4: Configurar o serviço de DNS e definir políticas de roteamento de DNS

Depois de criar aliases de conexão e pares de associação de alias de conexão, você poderá configurar o serviço de DNS para o domínio que você usou nas strings de conexão. Você pode usar qualquer provedor de serviços de DNS para essa finalidade. Se você não tiver um provedor de serviços de DNS de preferência, poderá usar o Amazon Route 53. Para obter mais informações, consulte Como configurar o Amazon Route 53 como o serviço de DNS no Guia do desenvolvedor do Amazon Route 53.

Depois de configurar o serviço de DNS para o domínio, configure as políticas de roteamento de DNS que deseja usar para o redirecionamento entre regiões. Por exemplo, você pode usar as verificações de integridade do Amazon Route 53 para determinar se os usuários podem se conectar aos WorkSpaces em uma região específica. Se os usuários não conseguirem se conectar, você pode usar uma política de failover de DNS para rotear o tráfego de DNS de uma região para outra.

Para obter mais informações sobre a política de roteamento de DNS, consulte Como escolher uma política de roteamento no Guia do desenvolvedor do Amazon Route 53. Para obter mais informações sobre as verificações de integridade do Amazon Route 53, consulte Como o Amazon Route 53 verifica a integridade de seus recursos no Guia do desenvolvedor do Amazon Route 53.

Ao configurar políticas de roteamento de DNS, você precisará do identificador de conexão para a associação entre o alias de conexão e o diretório do WorkSpaces na região primária. Você também precisará do identificador de conexão para a associação entre o alias de conexão e o diretório WorkSpaces na região ou regiões de failover.

nota

O identificador da conexão não é o mesmo que o ID do alias da conexão. O ID do alias da conexão começa com wsca-.

Como encontrar o identificador de conexão para uma associação de alias de conexão

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console, selecione a região primária da AWS para os WorkSpaces.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Associações de redirecionamento entre regiões, selecione o texto da string de conexão (o FQDN) para exibir a página de detalhes do alias de conexão.

  5. Na página de detalhes do alias de conexão, em Diretório associado, anote o valor exibido para o Identificador de conexão.

  6. Repita essas etapas, mas em Passo 2, selecione a região de failover para os WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para encontrar o identificador de conexão para cada uma delas.

Exemplo: como configurar uma política de roteamento por failover de DNS usando o Route 53

O exemplo a seguir configura uma zona hospedada para o domínio. No entanto, é possível configurar uma zona hospedada pública ou privada. Para obter mais informações sobre como configurar uma zona hospedada, consulte Como trabalhar com zonas hospedadas privadas no Guia do desenvolvedor do Amazon Route 53.

Esse exemplo também usa uma política de roteamento por failover. Você pode usar outros tipos de política de roteamento para sua estratégia de redirecionamento entre regiões. Para obter mais informações sobre a política de roteamento de DNS, consulte Como escolher uma política de roteamento no Guia do desenvolvedor do Amazon Route 53.

Ao configurar uma política de roteamento por failover no Route 53, é necessário realizar uma verificação de integridade na região primária. Para obter mais informações sobre a como criar uma verificação de integridade no Route 53, consulte Como criar de verificações de integridade e configurar o failover de DNS no Amazon Route 53 e Como criar, atualizar e excluir verificações de integridade no Guia do desenvolvedor do Amazon Route 53.

Se você desejar usar um alarme do Amazon CloudWatch com a verificação de integridade do Route 53, também precisará configurar um alarme do CloudWatch para monitorar os recursos na região primária. Para obter mais informações sobre o CloudWatch, consulte O que é o Amazon CloudWatch? no Guia do usuário do Amazon CloudWatch. Para obter mais informações sobre como o Route 53 usa os alarmes do CloudWatch nas verificações de integridade, consulte Como o Route 53 determina o status das verificações de integridade que monitoram os alarmes do CloudWatch e Como monitorar um alarme do CloudWatch no Guia do desenvolvedor do Amazon Route 53.

Para configurar uma política de roteamento por failover de DNS no Route 53, primeiro você precisa criar uma zona hospedada para o domínio.

  1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Zonas hospedadas e, em seguida, escolha Criar zona hospedada.

  3. Na página Zona hospedada criada, insira o nome de domínio (como example.com) em Nome do domínio.

  4. Em Tipo, escolha Zona hospedada pública.

  5. Escolha Create hosted zone (Criar zona hospedada).

Depois, crie uma verificação de integridade para a região primária.

  1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Verificações de integridade e, em seguida, escolha Criar verificação de integridade.

  3. Na página Configurar verificação de integridade, insira um nome para a verificação de integridade.

  4. Em O que monitorar, selecione Endpoint, Status de outras verificações de integridade (verificação de integridade calculada) ou Estado do alarme do CloudWatch.

  5. Dependendo da seleção na etapa anterior, configure a verificação de integridade e escolha Próximo.

  6. Na página Receber notificações quando a verificação de integridade falhar, em Criar alarme, escolha Sim ou Não.

  7. Selecione Criar verificação de integridade.

Depois de criar a verificação de integridade, é possível criar os registros de failover de DNS.

  1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Zonas hospedadas.

  3. Na página Zonas hospedadas, selecione o nome do domínio.

  4. Na página de detalhes do nome de domínio, escolha Criar registro.

  5. Na página Escolher política de roteamento, escolha Failover e, em seguida, Próximo.

  6. Na página Configurar registro, em Configuração básica, insira o nome do subdomínio em Nome do registro. Por exemplo, se o FQDN for desktop.example.com, insira desktop.

    nota

    Se você quiser usar o domínio raiz, deixe o campo Nome do registro em branco. No entanto, recomendamos usar um subdomínio, como desktop ouworkspaces, a menos que você tenha configurado o domínio exclusivamente para uso dos WorkSpaces.

  7. Em Tipo de registro, selecione TXT: usado para verificar remetentes de e-mail e valores específicos da aplicação.

  8. Deixe as configurações de Segundos TTL como padrão.

  9. Em Registros de failover para adicionar ao your_domain_name, escolha Definir registro de failover.

Agora é necessário configurar os registros de failover para as regiões primária e de failover.

Exemplo: como configurar o registro de failover para a região primária

  1. Na caixa de diálogo Definir registro de failover, em Valor/rotear tráfego para, selecione Endereço IP ou outro valor, dependendo do tipo de registro.

  2. Uma caixa de diálogo é aberta para você inserir as entradas de texto de amostra. Insira o identificador de conexão para a associação de alias de conexão para a região primária.

  3. Em Tipo de registro de failover, selecione Primário.

  4. Em Verificação de integridade, selecione uma verificação de integridade que você criou para a região primária.

  5. Em ID do registro, insira uma descrição para identificar esse registro.

  6. Escolha Definir registro de failover. O novo registro de failover é exibido em Registros de failover para adicionar ao your_domain_name.

Exemplo: como configurar o registro de failover para a região de failover

  1. Em Registros de failover para adicionar ao your_domain_name, escolha Definir registro de failover.

  2. Na caixa de diálogo Definir registro de failover, em Valor/rotear tráfego para, selecione Endereço IP ou outro valor, dependendo do tipo de registro.

  3. Uma caixa de diálogo é aberta para você inserir as entradas de texto de amostra. Insira o identificador de conexão para a associação de alias de conexão para a região de failover.

  4. Em Tipo de registro de failover, selecione Secundário.

  5. (Opcional) Em Verificação de integridade, insira uma verificação de integridade criada para a região de failover.

  6. Em ID do registro, insira uma descrição para identificar esse registro.

  7. Escolha Definir registro de failover. O novo registro de failover é exibido em Registros de failover para adicionar ao your_domain_name.

Caso a verificação de integridade definida para a região primária falhe, a política de roteamento por failover de DNS redirecionará os usuários do WorkSpaces para a região de failover. O Route 53 continua monitorando a verificação de integridade da região primária e, quando ela não apresentar mais falhas, o Route 53 redirecionará automaticamente os usuários de volta aos WorkSpaces da região primária.

Para obter informações sobre como criar registros de DNS, consulte Como criar registros usando o console do Amazon Route 53 no Guia do desenvolvedor do Amazon Route 53. Para obter informações sobre como configurar registros TXT de DNS, consulte Tipos de registro TXT no Guia do desenvolvedor do Amazon Route 53.

Etapa 5: Enviar a string de conexão para os usuários do WorkSpaces

Para garantir que os WorkSpaces dos usuários sejam redirecionados conforme necessário durante uma interrupção, envie a string de conexão (FQDN) a eles. Se você já emitiu códigos de registro baseados em região (por exemplo, WSpdx+ABC12D) para os usuários dos WorkSpaces, esses códigos permanecem válidos. No entanto, para que o redirecionamento entre regiões funcione, os usuários do WorkSpaces devem usar a string de conexão como código de registro ao registrar os WorkSpaces na aplicação cliente do WorkSpaces.

Importante

Se você criar um usuário no console do WorkSpaces em vez de criá-lo no Active Directory, o WorkSpaces enviará automaticamente um e-mail de convite ao usuário com um código de registro baseado em região (por exemplo, WSpdx+ABC12D) sempre que você inicializar um novo WorkSpace. Mesmo que você já tenha configurado o redirecionamento entre regiões, o e-mail de convite que é enviado automaticamente para novos WorkSpaces contém esse código de registro baseado em região em vez ser baseado na string de conexão.

Para garantir que os usuários do WorkSpaces estejam usando a string de conexão em vez do código de registro baseado em região, envie outro e-mail com a string de conexão usando o procedimento abaixo.

Como enviar a string de conexão para os usuários do WorkSpaces

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console, selecione a região primária da AWS para os WorkSpaces.

  3. No painel de navegação, selecione WorkSpaces.

  4. Na página WorkSpaces, use a caixa de pesquisa para pesquisar um usuário ao qual você deseja enviar um convite e selecione o WorkSpace correspondente nos resultados da pesquisa. É possível selecionar apenas um WorkSpace por vez.

  5. Escolha Actions (Ações), Invite User (Convidar usuário).

  6. A página Convidar usuários para seus WorkSpaces contém um modelo de e-mail para enviar aos usuários.

  7. (Opcional) Se houver mais de um alias de conexão associado ao diretório do WorkSpaces, selecione a string de conexão que você deseja que os usuários usem na lista String de alias de conexão. O modelo de e-mail é atualizado para exibir a sequência de caracteres que você escolheu.

  8. Copie o texto do modelo do e-mail e cole em um e-mail para os usuários usando a sua própria aplicação de e-mail. Na aplicação de e-mail, é possível modificar o texto conforme necessário. Quando o convite por e-mail estiver pronto, envie-o para os usuários.

Diagrama de arquitetura de redirecionamento entre regiões

O diagrama a seguir descreve o processo de implantação do redirecionamento entre regiões.

Redirecionamento entre regiões
nota

O redirecionamento entre regiões facilita apenas o failover e o fallback entre regiões. Isso não facilita a criação e a manutenção de WorkSpaces na região secundária e não permite a replicação de dados entre regiões. WorkSpaces nas regiões primária e secundária devem ser gerenciados separadamente.

Iniciar redirecionamento entre regiões

No caso de uma interrupção, você pode atualizar os registros DNS manualmente ou usar políticas de roteamento automatizadas com base nas verificações de integridade, que determinam a região de failover. Recomendamos seguir os mecanismos de recuperação de desastres descritos em Creating Recovery Mechanisms Using Amazon Route 53.

O que acontece durante o redirecionamento entre regiões

Durante o failover de região, os usuários do WorkSpaces são desconectados dos WorkSpaces na região primária. Quando eles tentam se reconectar, recebem a seguinte mensagem de erro:

We can't connect to your WorkSpace. Check your network connection, and then try again.

Então, eles são solicitados a fazer login novamente. Se eles estiverem usando o FQDN como código de registro, quando fizerem login novamente, as políticas de roteamento por failover de DNS redirecionarão os usuários para o WorkSpaces configurado na região de failover.

nota

Em alguns casos, os usuários podem não conseguir se reconectar ao fazer login novamente. Se isso ocorrer, eles devem fechar e reiniciar a aplicação cliente do WorkSpaces e tentar fazer login novamente.

Desassociar um alias de conexão de um diretório

Somente a conta que possui um diretório pode desassociar um alias de conexão do diretório.

Se você tiver compartilhado um alias de conexão com outra conta e essa conta tiver associado o alias de conexão a um diretório de propriedade da conta, essa mesma conta deverá ser usada para desassociar o alias de conexão do diretório.

Como desassociar um alias de conexão de um diretório

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console, selecione a região da AWS que contém o alias de conexão que você deseja desassociar.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Associar/desassociar.

    Você também pode desassociar um alias de conexão na página de detalhes do alias de conexão. Para fazer isso, em Diretório associado, escolha Desassociar.

  5. Na página Associar/desassociar, escolha Desassociar.

  6. Na caixa de diálogo que solicita a confirmação da dissociação, escolha Desassociar.

Cancelar o compartilhamento de um alias de conexão

Somente o proprietário de um alias de conexão pode cancelar o compartilhamento do alias. Se você cancelar o compartilhamento de um alias de conexão com uma conta, essa conta não poderá mais associar o alias de conexão a um diretório.

Como cancelar o compartilhamento de um alias de conexão

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console do, selecione a região da AWS que contém o alias de conexão que você deseja cancelar compartilhamento.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Compartilhar/cancelar compartilhamento do alias de conexão.

    Você também pode cancelar o compartilhamento de um alias de conexão na página de detalhes do alias de conexão. Para fazer isso, em Conta compartilhada, escolha Cancelar compartilhamento.

  5. Na página Compartilhar/cancelar compartilhamento do alias de conexão, escolha Cancelar compartilhamento.

  6. Na caixa de diálogo que solicita que você confirme o cancelamento do compartilhamento do alias de conexão, escolha Cancelar compartilhamento.

Excluir um alias de conexão

Só é possível excluir um alias de conexão se ele pertencer à sua conta e não estiver associado a um diretório.

Se você tiver compartilhado um alias de conexão com outra conta e essa conta tiver associado o alias de conexão a um diretório de propriedade da conta, essa conta deverá primeiro desassociar o alias de conexão do diretório antes que você possa excluir o alias de conexão.

Importante

Depois de criar uma string de conexão, ela sempre estará associada à sua conta da AWS. Não é possível recriar a mesma string de conexão com outra conta, mesmo que você tenha excluído todas as instâncias dela da conta original. A string de conexão é reservada globalmente para sua conta.

Atenção

Se você não usar mais um FQDN como o código de registro para os usuários do WorkSpaces, tome algumas precauções para evitar possíveis problemas de segurança. Para ter mais informações, consulte Considerações de segurança se você parar de usar o redirecionamento entre regiões.

Como excluir um alias de conexão

  1. Abra o console do WorkSpaces em https://console.aws.amazon.com/workspaces/.

  2. No canto superior direito do console do, selecione a região da AWS que contém o alias de conexão que você deseja excluir.

  3. No painel de navegação, selecione Account Settings (Configurações da conta).

  4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e escolha Excluir.

    Você também pode excluir um alias de conexão na página de detalhes do alias de conexão. Para fazer isso, no canto superior direito da página, escolha Excluir.

    nota

    Se o botão Excluir estiver desabilitado, verifique se o alias está sob sua propriedade e se ele não está associado a um diretório.

  5. Na caixa de diálogo que confirma a exclusão, escolha Excluir.

Permissões do IAM para associar e desassociar aliases de conexão

Se você usa um usuário do IAM para associar ou desassociar aliases de conexão, o usuário deve ter permissões para workspaces:AssociateConnectionAlias e workspaces:DisassociateConnectionAlias.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
Importante

Se você estiver criando uma política do IAM para associar ou desassociar aliases de conexão para contas que não possuem os aliases de conexão, não é possível especificar um ID de conta no ARN. Em vez disso, você deve usar * como o ID da conta, conforme exibido no exemplo de política a seguir.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Você pode especificar um ID de conta no ARN somente quando essa conta possui o alias de conexão a ser associado ou desassociado.

Para obter mais informações sobre como trabalhar com o IAM, consulte Gerenciamento de identidade e acesso para o WorkSpaces.

Considerações de segurança se você parar de usar o redirecionamento entre regiões

Se você não usar mais um FQDN como o código de registro para os usuários do WorkSpaces, tome as seguintes precauções para evitar possíveis problemas de segurança:

  • Emita o código de registro específico da região (por exemplo, WSpdx+ABC12D) aos usuários do WorkSpaces para o diretório do WorkSpaces e instrua os usuários a parar de usar o FQDN como o código de registro.

  • Se você ainda possui esse domínio, atualize o registro TXT do DNS para removê-lo para que ele não possa ser explorado em um ataque de phishing. Se você remover esse domínio do seu registro TXT do DNS e os usuários do WorkSpaces tentarem usar o FQDN como o código de registro, as tentativas de conexão falharão sem perigos.

  • Se o domínio não for mais de sua propriedade, os usuários do WorkSpaces devem usar o código de registro específico da região. Se eles continuarem tentando usar o FQDN como o código de registro, as tentativas de conexão poderão ser redirecionadas para um site mal-intencionado.