WorkSpaces 个人版的跨区域重定向 - Amazon WorkSpaces
前提条件限制步骤 1:创建连接别名(可选)步骤 2:与其他账户共享连接别名步骤 3:将连接别名与每个区域的目录相关联步骤 4:配置您的 DNS 服务并设置 DNS 路由策略步骤 5:将连接字符串发送给您的 WorkSpaces 用户跨区域重定向架构图启动跨区域重定向跨区域重定向期间会发生什么取消连接别名与目录的关联取消共享连接别名删除连接别名用于关联和取消关联连接别名的 IAM 权限停止使用跨区域重定向后的安全注意事项

WorkSpaces 个人版的跨区域重定向

借助 Amazon WorkSpaces 中的跨区域重定向功能,您可以使用完全限定域名 (FQDN) 作为您 WorkSpaces 的注册码。跨区域重定向可与域名系统 (DNS) 路由策略配合使用,以便在 WorkSpaces 用户的主 WorkSpaces 不可用时将其重定向到备用 WorkSpaces。例如,通过使用 DNS 故障转移路由策略,您可以在用户无法访问主区域中的 WorkSpaces 时,将他们连接到指定故障转移 AWS 区域中的 WorkSpaces。

您可以使用跨区域重定向和 DNS 故障转移路由策略,实现区域灾难恢复能力和高可用性。您也可以将该功能用于其他目的,例如,流量分配或在维护期间提供备用 WorkSpaces。如果您使用 Amazon Route 53 进行 DNS 配置,则可以利用监控 Amazon CloudWatch 警报的运行状况检查。

要使用此功能,您必须为两个(或更多)AWS 区域中的用户设置 WorkSpaces。您还必须创建称为连接别名 的基于 FQDN 的特殊注册码。这些连接别名替换 WorkSpaces 用户的区域特定的注册代码。(特定于区域的注册码仍然有效;但是,要使跨区域重定向运行,您的用户必须改用 FQDN 作为注册码。)

要创建连接别名,您需指定一个连接字符串,该字符串是您的 FQDN,如 www.example.comdesktop.example.com。要使用此域进行跨区域重定向,您必须向域注册商注册它并为您的域配置 DNS 服务。

创建连接别名后,您可以将其与不同区域中的 WorkSpaces 目录相关联,以创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域中发生中断,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的 WorkSpaces。

要指定您的主区域和故障转移区域,您需在配置 DNS 故障转移路由策略时,定义区域优先级(主区域或辅助区域)。

前提条件

  • 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域注册商,则可以使用 Amazon Route 53 注册您的域。有关更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用 Amazon Route 53 注册域名

    重要

    您必须拥有所有必要的权限才能使用与 Amazon WorkSpaces 配合使用的任何域名。您同意,该域名不会违反或侵犯任何第三方的合法权利,也不会以其他方式违反适用法律。

    域名总长度不能超过 255 个字符。有关域名的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 DNS 域名格式

    跨区域重定向既适用于公有域名,也适用于私有 DNS 区域中的域名。如果您使用的是私有 DNS 区域,则必须提供与包含您 WorkSpaces 的虚拟私有云 (VPC) 的虚拟专用网络 (VPN) 连接。如果您的 WorkSpaces 用户尝试使用来自公共互联网的私有 FQDN,则 WorkSpaces 客户端应用程序将返回以下错误消息:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与您的 DNS 路由策略配合使用,可根据需要重定向 WorkSpaces 用户。

  • 在您要设置跨区域重定向的每个主区域和故障转移区域,为您的用户创建 WorkSpaces。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。为了使您的 Active Directory 用户数据保持同步,建议您使用 AD Connector 指向为用户设置 WorkSpaces 的每个区域中的同一个 Active Directory。有关创建 WorkSpaces 的更多信息,请参阅启动 WorkSpaces

    重要

    如果您将 AWS Managed Microsoft AD 目录配置为多区域复制,则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。

    设置完跨区域重定向后,必须确保您的 WorkSpaces 用户使用的是基于 FQDN 的注册码,而不是其主区域的基于区域的注册码(例如,WSpdx+ABC12D)。为此,您必须按照步骤 5:将连接字符串发送给您的 WorkSpaces 用户中的步骤操作,向他们发送一封包含 FQDN 连接字符串的电子邮件。

    注意

    如果您在 WorkSpaces 控制台中创建用户,而不是在 Active Directory 中创建用户,则每当您启动新的 WorkSpace 时,WorkSpaces 都会自动向您的用户发送一封包含基于区域的注册码的邀请电子邮件。这意味着,当您在故障转移区域为用户设置 WorkSpaces 时,您的用户还将自动收到有关这些故障转移 WorkSpaces 的电子邮件。您需要指示您的用户忽略含有基于区域的注册码的电子邮件。

限制

  • 跨区域重定向不会自动检查与主区域的连接是否失败,然后使您的 WorkSpaces 无法转移到另一个区域。换句话说,自动故障转移不会发生。

    要实施自动故障转移场景,您必须将其他机制与跨区域重定向结合使用。例如,您可以将 Amazon Route 53 故障转移 DNS 路由策略与监控主区域 CloudWatch 警报的 Route 53 运行状况检查配对。如果触发主区域的 CloudWatch 警报,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的 WorkSpaces。

  • 使用跨区域重定向时,用户数据不会在不同区域的 WorkSpaces 之间保存。为了确保用户可以从不同的区域访问文件,建议您为 WorkSpaces 用户设置 Amazon WorkDocs,但前提是,您的主区域和故障转移区域支持 Amazon WorkDocs。有关 Amazon WorkDocs 的更多信息,请参阅《Amazon WorkDocs 管理指南》中的 Amazon WorkDocs Drive。有关为 WorkSpace 用户启用 Amazon WorkDocs 的更多信息,请参阅向 WorkSpaces 个人版注册现有 AWS Directory Service 目录为 AWS Managed Microsoft AD 启用 Amazon WorkDocs。有关 WorkSpaces 用户如何在其 WorkSpaces 上设置 Amazon WorkDocs 的信息,请参阅《Amazon WorkSpaces 用户指南》中的与 WorkDocs 集成

  • 只有 3.0.9 或更高版本的 Linux、macOS 和 Windows WorkSpaces 客户端应用程序支持跨区域重定向。您也可以将跨区域重定向与 Web Access 配合使用。

  • 除了 AWS GovCloud (US) Region和中国(宁夏)区域之外,已推出 Amazon WorkSpaces 的所有 AWS 区域都提供跨区域重定向。

步骤 1:创建连接别名

使用相同的 AWS 账户,在您要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

创建连接别名

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择 WorkSpaces 的主 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向下,选择创建连接别名

  5. 对于连接字符串,输入 FQDN,例如 www.example.comdesktop.example.com。连接字符串最大长度为 255 个字符。它只能包含字母(A-Z 和 a-z)、数字(0-9)和以下字符:.-

    重要

    创建连接字符串后,它始终与您的 AWS 账户关联。您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。

  6. (可选)在标签下,指定要与连接别名关联的任意标签。

  7. 选择创建连接别名

  8. 重复这些步骤,但是在步骤 2 中,务必为您的 WorkSpaces 选择故障转移区域。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必使用相同的 AWS 账户,在每个故障转移区域中创建连接别名。

(可选)步骤 2:与其他账户共享连接别名

您可以与同一 AWS 区域中的另一个 AWS 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限,以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除该别名。

注意

对于每个 AWS 区域,只能将一个目录与连接别名关联。如果您与其他 AWS 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

与其他 AWS 账户共享连接别名

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择要与其他 AWS 账户共享连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作共享/取消共享连接别名

    您也可以从详细信息页面共享连接别名的别名。为此,请在共享账户下,选择共享连接别名

  5. 共享/取消共享连接别名页面的与账户共享下,输入您要在此 AWS 区域中与之共享连接别名的 AWS 账户 ID。

  6. 选择共享

步骤 3:将连接别名与每个区域的目录相关联

通过将相同的连接别名与两个或多个区域中的 WorkSpaces 目录相关联,可以在目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如,如果您的主区域是美国西部(俄勒冈州)区域,则您可以将美国西部(俄勒冈州)区域中的 WorkSpaces 目录与美国东部(弗吉尼亚州北部)区域中的 WorkSpaces 目录配对。如果主区域发生故障,跨区域重定向将与您的 DNS 故障转移路由策略以及您在美国西部(俄勒冈州)区域实施的任何运行状况检查结合使用,将您的用户重定向到您在美国东部(弗吉尼亚州北部)区域为他们设置的 WorkSpaces。有关跨区域重定向体验的更多信息,请参阅跨区域重定向期间会发生什么

注意

如果您的 WorkSpaces 用户距离故障转移区域很远(例如,数千英里之外),则他们的 WorkSpaces 体验的响应速度可能比平时差。要查看从您所在位置到各个 AWS 区域的往返时间 (RTT),请使用 Amazon WorkSpaces 连接运行状况检查

将连接别名与目录关联

对于每个 AWS 区域,只能将连接别名与一个目录关联。如果您已与其他 AWS 账户共享连接别名,则只有一个账户(您的账户或共享账户)可以将别名与该区域中的目录关联。

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择 WorkSpaces 的主 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作关联/取消关联

    您也可以将连接别名与连接别名详细信息页面上的目录相关联。为此,请在关联的目录下,选择关联目录

  5. 关联/取消关联页面的关联到目录下,选择要在该 AWS 区域中关联连接别名的目录。

    注意

    如果您将 AWS Managed Microsoft AD 目录配置为多区域复制,则只能将主区域中的目录用于 Amazon WorkSpaces。尝试在复制区域中将该目录用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。

  6. 选择关联

  7. 重复这些步骤,但是在步骤 2 中,务必为您的 WorkSpaces 选择故障转移区域。如果您有多个故障转移区域,请对每个故障转移区域重复这些步骤。请务必将相同的连接别名与每个故障转移区域中的目录相关联。

步骤 4:配置您的 DNS 服务并设置 DNS 路由策略

创建连接别名和连接别名关联对后,您可以为连接字符串中使用的域配置 DNS 服务。为此,您可以使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商,则可使用 Amazon Route 53。有关更多信息,请参阅《Amazon Route 53 开发人员指南》中的将 Amazon Route 53 配置为 DNS 服务

为域配置 DNS 服务后,您必须设置要用于跨区域重定向的 DNS 路由策略。例如,您可以使用 Amazon Route 53 运行状况检查来确定您的用户是否可以连接到其在特定区域的 WorkSpaces。如果您的用户无法连接,则您可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息,请参阅《Amazon Route 53 开发人员指南》中的选择路由策略。有关 Amazon Route 53 运行状况检查的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 Amazon Route 53 如何检查资源的运行状况

在设置 DNS 路由策略时,您需要连接别名与主区域中 WorkSpaces 目录之间的关联的连接标识符。您还需要连接别名与一个故障转移区域或多个区域中 WorkSpaces 目录之间的关联的连接标识符。

注意

连接标识符与连接别名 ID 不同。连接别名 ID 以 wsca- 开头。

查找连接别名关联的连接标识符

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择 WorkSpaces 的主 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串文本 (FQDN),以查看连接别名详细信息页面。

  5. 在连接别名详细信息页面的关联的目录下,记下为连接标识符显示的值。

  6. 重复这些步骤,但是在步骤 2 中,务必为您的 WorkSpaces 选择故障转移区域。如果您有多个故障转移区域,请重复这些步骤,查找每个故障转移区域的连接标识符。

示例:使用 Route 53 设置 DNS 故障转移路由策略

以下示例为您所在域设置了公有托管区。但是,您可以设置公有或私有托管区。有关设置托管区的更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用托管区

此示例还使用了故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息,请参阅《Amazon Route 53 开发人员指南》中的选择路由策略

在 Route 53 中设置故障转移路由策略时,需要针对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息,请参阅《Amazon Route 53 开发人员指南》中的创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移以及创建、更新和删除运行状况检查

如果您想在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报,则还需要设置 CloudWatch 警报来监控您主区域中的资源。有关 CloudWatch 的更多信息,请参阅《Amazon CloudWatch 用户指南》中的什么是 Amazon CloudWatch?。有关 Route 53 如何在其运行状况检查中使用 CloudWatch 警报的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 Route 53 如何确定监控 CloudWatch 警报的运行状况检查状态以及监控 CloudWatch 警报

要在 Route 53 中设置 DNS 故障转移路由策略,您首先需要为您的域创建一个托管区。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择托管区,然后选择创建托管区

  3. 已创建的托管区页面上,在域名下输入您的域名(例如 example.com)。

  4. 类型下,选择公有托管区

  5. 选择创建托管区域

然后为您的主区域创建运行状况检查。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择运行状况检查,然后选择创建运行状况检查

  3. 配置运行状况检查页面上,输入运行状况检查的名称。

  4. 对于监控的内容,选择端点其他运行状况检查的状态(计算的运行状况检查)CloudWatch 警报的状态

  5. 根据您在上一步中选择的内容,配置您的运行状况检查,然后选择下一步

  6. 在运行状况检查失败时收到通知页面上,对于创建警报,选择

  7. 选择创建运行状况检查

在创建运行状况检查后,您可以创建 DNS 故障转移记录。

  1. 通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择 Hosted zones(托管区域)

  3. 托管区页面上,选择您的域名。

  4. 在域名的详细信息页面上,选择创建记录

  5. 选择路由策略页面上,选择故障转移,然后选择下一步

  6. 配置记录页面的基本配置下,对于记录名称,输入您的子域名。例如,如果您的 FQDN 是 desktop.example.com,请输入 desktop

    注意

    如果要使用根域,请将记录名称留空。但是,建议使用子域,例如 desktopworkspaces,除非您已将该域设置为仅用于 WorkSpaces。

  7. 对于记录类型,选择 TXT - 用于验证电子邮件发件人和应用程序特定的值

  8. TTL 秒设置保留为默认值。

  9. 要添加到 your_domain_name 的故障转移记录下,选择定义故障转移记录

现在,您需要为主区域和故障转移区域设置故障转移记录。

示例:为您的主区域设置故障转移记录

  1. 定义故障转移记录对话框中,对于值/流量路由至,选择 IP 地址或其他值(具体取决于记录类型)

  2. 这时,将打开一个框供您输入示例文本条目。输入您主区域的连接别名关联的连接标识符。

  3. 对于故障转移记录类型,选择

  4. 运行状况检查中,选择您为主区域创建的运行状况检查。

  5. 对于记录 ID,输入描述以识别此记录。

  6. 选择定义故障转移记录。新故障转移记录将显示在要添加到 your_domain_name 的故障转移记录下方。

示例:为您的故障转移区域设置故障转移记录

  1. 要添加到 your_domain_name 的故障转移记录下,选择定义故障转移记录

  2. 定义故障转移记录对话框中,对于值/流量路由至,选择 IP 地址或其他值(具体取决于记录类型)

  3. 这时,将打开一个框供您输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。

  4. 对于故障转移记录类型,选择辅助

  5. (可选)对于运行状况检查,输入您为故障转移区域创建的运行状况检查。

  6. 对于记录 ID,输入描述以识别此记录。

  7. 选择定义故障转移记录。新故障转移记录将显示在要添加到 your_domain_name 的故障转移记录下方。

如果您为主区域设置的运行状况检查失败,则 DNS 故障转移路由策略会将 WorkSpaces 用户重定向到故障转移区域。Route 53 继续监控您主区域的运行状况检查,当主区域的运行状况检查不再失败时,Route 53 会自动将您的 WorkSpaces 用户重定向回他们在主区域的 WorkSpaces。

有关创建 DNS 记录的更多信息,请参阅《Amazon Route 53 开发人员指南》中的使用 Amazon Route 53 控制台创建记录。有关配置 DNS TXT 记录的更多信息,请参阅《Amazon Route 53 开发人员指南》中的 TXT 记录类型

步骤 5:将连接字符串发送给您的 WorkSpaces 用户

要确保在中断期间根据需要重定向用户的 WorkSpaces,您必须将连接字符串 (FQDN) 发送给您的用户。如果您已经向 WorkSpaces 用户发布了基于区域的注册码(例如 WSpdx+ABC12D),则这些代码仍然有效。但是,要使跨区域重定向运行,您的 WorkSpaces 用户必须在 WorkSpaces 客户端应用程序中注册 WorkSpaces 时,使用连接字符串作为注册码。

重要

如果您在 WorkSpaces 控制台中创建用户,而不是在 Active Directory 中创建用户,则每当您启动新的 WorkSpace 时,WorkSpaces 都会自动向您的用户发送一封包含基于区域的注册码(例如 WSpdx+ABC12D)的邀请电子邮件。即使您已经设置了跨区域重定向,自动为新 WorkSpaces 发送的邀请电子邮件也包含此基于区域的注册码,而不是您的连接字符串。

要确保您的 WorkSpaces 用户使用的是连接字符串,而不是基于区域的注册码,您必须按照以下步骤操作,向他们发送另一封包含连接字符串的电子邮件。

将连接字符串发送给您的 WorkSpaces 用户

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择 WorkSpaces 的主 AWS 区域。

  3. 在导航窗格中,选择 WorkSpaces

  4. WorkSpaces 页面上,使用搜索框搜索要发送邀请的用户,然后从搜索结果中选择相应的 WorkSpace。一次只能选择一个 WorkSpace。

  5. 依次选择 Actions (操作)Invite User (邀请用户)

  6. 邀请用户注册 WorkSpaces 页面上,您将看到要发送给用户的电子邮件模板。

  7. (可选)如果有多个连接别名与您的 WorkSpaces 目录相关联,请从连接别名字符串列表中选择您希望用户使用的连接字符串。电子邮件模板将更新以显示您选择的字符串。

  8. 使用您自己的电子邮件应用程序,复制电子邮件模板文本,并将其粘贴到要发送给用户的电子邮件中。在电子邮件应用程序中,您可以根据需要修改文本。当邀请电子邮件准备就绪之后,将其发送给用户。

跨区域重定向架构图

下图描述了跨区域重定向的部署过程。

跨区域重定向
注意

跨区域重定向只能推动跨区域故障转移和回退。它不利于在辅助区域中创建和维护 WorkSpaces,也不支持跨区域数据复制。主区域和辅助区域中的 WorkSpaces 应分开管理。

启动跨区域重定向

发生中断时,您可以手动更新 DNS 记录,也可以使用基于运行状况检查的自动路由策略,从而确定故障转移区域。建议您遵循使用 Amazon Route 53 创建灾难恢复机制中概述的灾难恢复方法。

跨区域重定向期间会发生什么

在区域故障转移期间,您的 WorkSpaces 用户将与其位于主区域的 WorkSpaces 断开连接。当他们尝试重新连接时,会收到以下错误消息:

We can't connect to your WorkSpace. Check your network connection, and then try again.

然后,系统会提示您的用户重新登录。如果他们使用 FQDN 作为注册码,则当他们再次登录时,您的 DNS 故障转移路由策略会将他们重定向到您在故障转移区域中为他们设置的 WorkSpaces。

注意

在某些情况下,用户在再次登录时可能无法重新连接。如果发生这种行为,他们必须关闭并重新启动 WorkSpaces 客户端应用程序,然后尝试再次登录。

取消连接别名与目录的关联

只有拥有目录的账户才能取消连接别名与该目录的关联。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则必须使用该账户,取消连接别名与该目录的关联。

取消连接别名与目录的关联

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择包含您要取消关联的连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作关联/取消关联

    您也可以取消连接别名与连接别名详细信息页面的关联。为此,请在关联的目录下,选择取消关联

  5. 关联/取消关联页面上,选择取消关联

  6. 在要求您确认取消关联的对话框中,选择取消关联

取消共享连接别名

只有连接别名的所有者才能取消共享该别名。如果您取消与某个账户共享连接别名,则该账户将无法再将该连接别名与目录相关联。

取消共享连接别名

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择包含您要取消共享的连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择操作共享/取消共享连接别名

    您也可以取消连接别名与连接别名详细信息页面的共享。为此,请在共享账户下选择取消共享

  5. 共享/取消共享连接别名页面上,选择取消共享

  6. 在要求您确认取消共享连接别名的对话框中,选择取消共享

删除连接别名

只有当连接别名归您的账户所有且未与目录关联时,您才能删除该别名。

如果您已与另一个账户共享连接别名,并且该账户已将连接别名与该账户拥有的目录关联,则该账户必须先取消连接别名与目录的关联,然后您才能删除该别名。

重要

创建连接字符串后,它始终与您的 AWS 账户关联。您无法使用其他账户重新创建相同的连接字符串,即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。

警告

如果您将不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取某些预防措施来防止出现潜在的安全问题。有关更多信息,请参阅 停止使用跨区域重定向后的安全注意事项

删除连接别名

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在控制台的右上角,选择包含您要删除的连接别名的 AWS 区域。

  3. 在导航窗格中,选择 Account Settings (账户设置)

  4. 跨区域重定向关联下,选择连接字符串,然后选择删除

    您也可以从连接别名详细信息页面删除连接别名。为此,请在页面右上角,选择删除

    注意

    如果禁用删除按钮,请确保您是别名的所有者,并确保该别名未与目录关联。

  5. 在要求您确认删除的对话框中,选择删除

用于关联和取消关联连接别名的 IAM 权限

如果您使用 IAM 用户关联或取消关联连接别名,则该用户必须拥有 workspaces:AssociateConnectionAliasworkspaces:DisassociateConnectionAlias 的权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
重要

如果您正在创建 IAM 策略来关联或取消关联不拥有连接别名的账户的连接别名,则无法在 ARN 中指定账户 ID。您必须改用账户 ID 的 *,如以下示例策略所示。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

只有当账户拥有要关联或取消关联的连接别名时,您才能在 ARN 中指定该账户 ID。

有关使用 IAM 的更多信息,请参阅 对 WorkSpaces 进行身份和访问管理

停止使用跨区域重定向后的安全注意事项

如果您将不再使用 FQDN 作为 WorkSpaces 用户的注册码,则必须采取以下预防措施来防止出现潜在的安全问题。

  • 请务必向您的 WorkSpaces 用户发放其 WorkSpaces 目录的特定区域注册码(例如 WSpdx+ABC12D),并指示他们停止使用 FQDN 作为注册码。

  • 如果您仍然拥有该域,请务必更新您的 DNS TXT 记录以删除该域,这样它就不会在网络钓鱼攻击中遭到利用。如果您从 DNS TXT 记录中删除此域,且您的 WorkSpaces 用户尝试使用 FQDN 作为注册码,则他们的连接尝试将失败,而且不会带来任何影响。

  • 如果您不再拥有该域,则您的 WorkSpaces 用户必须 使用其特定于区域的注册码。如果他们继续尝试使用 FQDN 作为注册码,则系统可能会将其连接尝试重定向到恶意站点。