View a markdown version of this page

Konfiguration einer benutzerdefinierten Domain für Ihr Portal - WorkSpaces Sicherer Browser von Amazon
FunktionsweiseVoraussetzungenErste SchritteEinrichtung CloudFront als Reverse-Proxy

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration einer benutzerdefinierten Domain für Ihr Portal

Funktionsweise

Wenn Sie eine benutzerdefinierte Domain konfigurieren:

  • Sie erstellen und konfigurieren einen Reverse-Proxy mit Ihrer benutzerdefinierten Domain, um den Datenverkehr zum Portal-Endpunkt weiterzuleiten.

  • Benutzer greifen über Ihre benutzerdefinierte Domain statt über den Standardportal-Endpunkt auf Ihr Portal zu.

  • SSL-Zertifikate sorgen für sichere Verbindungen während des gesamten Prozesses.

Voraussetzungen

Bevor Sie benutzerdefinierte Domains einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Ein Domainname, den Sie über einen DNS-Dienstanbieter wie Amazon Route53 verwalten.

  • Ein WorkSpaces sicheres Browser-Portal. Weitere Informationen zum Erstellen eines Portals finden Sie unterEin Webportal für Amazon WorkSpaces Secure Browser erstellen.

  • Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Verwaltung von AWS Certificate Manager CloudFront - und DNS-Konfigurationen verfügen.

Wichtig

Benutzer müssen Drittanbieter-Cookies für die benutzerdefinierte Domain in ihren Browsern aktivieren, um die ordnungsgemäße Portalfunktionalität sicherzustellen.

Stellen Sie sicher, dass Sie Eigentümer der benutzerdefinierten Domain und ihrer DNS-Einträge sind und diese ordnungsgemäß verwalten, um die Sicherheit und Funktionalität Ihres Portals zu gewährleisten.

Anmerkung

Um die Single Sign-On-Erweiterung für benutzerdefinierte Domains zu aktivieren, müssen Benutzer die Erweiterung in ihrem Browser mit einer späteren Version als 1.0.2505.6608 installieren.

Benutzer werden aufgefordert, die Erweiterung zu installieren, wenn sie sich bei einem Portal anmelden. Einzelheiten zum Benutzererlebnis mit der Erweiterung finden Sie unter Single Sign-On-Erweiterung für Amazon WorkSpaces Secure Browser.

Erste Schritte

Sie können Ihre benutzerdefinierte Domäne entweder beim Erstellen eines neuen Portals oder beim Bearbeiten eines vorhandenen Portals als Attribut für Portaleinstellungen konfigurieren. Dies kann mit den Befehlen AWS Console, SDK CloudFormation oder AWS CLI erfolgen.

Wir empfehlen, eine CloudFront Amazon-Distribution als Reverse-Proxy einzurichten, der den Datenverkehr von Ihrer benutzerdefinierten Domain zum Endpunkt des WorkSpaces Secure Browser-Portals weiterleitet.

Anmerkung

Obwohl Amazon als Reverse-Proxy-Lösung empfohlen CloudFront wird, können Sie alternative Reverse-Proxy-Konfigurationen verwenden. Stellen Sie sicher, dass Sie die erforderlichen Origin- und Cache-Konfigurationseinstellungen erfüllen, wie in den CloudFront Amazon-Einrichtungsschritten beschrieben.

Einrichtung CloudFront als Reverse-Proxy

Um die Einrichtung eines Reverse-Proxys abzuschließen, benötigen Sie:

  • Ein SSL-Zertifikat über AWS Certificate Manager (ACM)

  • Eine CloudFront Amazon-Distribution

  • DNS-Einträge

  • Mit Ihrer benutzerdefinierten Domain konfiguriertes Portal

SSL Certificate (SSL-Zertifikat)

Wenn Sie noch keine haben, gehen Sie wie folgt vor, um eine über ACM anzufordern:

  1. Navigieren Sie zur ACM-Konsole unter. https://console.aws.amazon.com/acm

    Wichtig

    Verwenden Sie die Region USA Ost (Nord-Virginia), da Zertifikate dort gespeichert werden CloudFront müssen.

  2. Fordern Sie ein Zertifikat an:

    • Für neue ACM-Benutzer: Wählen Sie unter Zertifikate bereitstellen die Option Erste Schritte

    • Für bestehende ACM-Benutzer: Wählen Sie Zertifikat anfordern

  3. Wählen Sie Öffentliches Zertifikat anfordern und anschließend Zertifikat anfordern aus.

    Anmerkung

    Sie können auch ein vorhandenes Zertifikat importieren. Weitere Informationen finden Sie unter Importieren von Zertifikaten in ACM im ACM-Benutzerhandbuch.

  4. Geben Sie Ihren primären Domainnamen ein (z. B.myportal.example.com).

  5. Wählen Sie eine Validierungsmethode:

    • DNS-Validierung (empfohlen für Route 53 53-Benutzer) — Ermöglicht die automatische Erstellung von Datensätzen in Ihrer Hosting-Zone. Weitere Informationen finden Sie unter DNS-Validierung im ACM-Benutzerhandbuch.

    • E-Mail-Validierung — Weitere Informationen finden Sie unter E-Mail-Validierung im ACM-Benutzerhandbuch.

  6. Überprüfen Sie Ihre Einstellungen und wählen Sie Bestätigen und anfordern.

CloudFront Verteilung

Erstellen Sie eine CloudFront Verteilung, um Anfragen von Ihrer benutzerdefinierten Domain an den Portal-Endpunkt weiterzuleiten.

  1. Navigieren Sie zur CloudFront Konsole unterhttps://console.aws.amazon.com/cloudfront.

  2. Wählen Sie Create Distribution (Distribution erstellen).

    • Distributionsname: Geben Sie einen Namen für die Distribution ein

    • Vertriebstyp: Einzelne Website oder App

    Anmerkung

    Wenn Ihre benutzerdefinierte Domain in Route 53 im selben AWS-Konto verwaltet wird, CloudFront kann Ihr DNS automatisch für Sie verwaltet werden. Geben Sie Ihre benutzerdefinierte Domain ein und klicken Sie auf „Domain prüfen“. Wenn Sie eine Domain von einem anderen DNS-Anbieter haben, überspringen Sie diesen Schritt und konfigurieren Sie Ihre Domain später.

  3. Konfigurieren Sie die Ursprungseinstellungen:

    • Ursprungs-Typ: Andere

    • Benutzerdefinierter Ursprung: Geben Sie den Portal-Endpunkt <portalId> .workspaces-web.com ein

    • Origin-Pfad: Leer lassen (Standard)

  4. Origin-Einstellungen anpassen:

    • Benutzerdefinierten Header hinzufügen

      Wichtig

      Der Portalzugriff über eine benutzerdefinierte Domain funktioniert nur, wenn dieser Header in Proxyanfragen vorhanden ist. Stellen Sie sicher, dass der Name und der Wert des Headers genau wie angegeben angegeben angegeben sind.

      • Name der Kopfzeile: workspacessecurebrowser-custom-domain

      • Wert: Ihre benutzerdefinierte Domain (zum Beispielmyportal.example.com)

    • Protokoll: Nur HTTPS

    • HTTPS-Port: 443 (Standard beibehalten)

    • Minimales ursprüngliches SSL-Protokoll: TLSv1 .2 (Standard)

    • Origin-IP-Adresstyp: IPv4 nur (Amazon WorkSpaces Secure Browser unterstützt IPv6 zum Zeitpunkt der Erstellung dieses Administratorhandbuchs nicht.)

  5. Passen Sie die Cache-Einstellungen an:

    • Viewer-Protokollrichtlinie: HTTP zu HTTPS umleiten

    • Zulässige HTTP-Methoden: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE

    • Cache-Richtlinie: CachingDisabled

    • Richtlinie für Origin-Anfragen: AllViewerExceptHostHeader

      Wichtig

      Der Portalzugriff über eine benutzerdefinierte Domain funktioniert nur, wenn die Richtlinie für Ursprungsanfragen auf eingestellt ist AllViewerExceptHostHeader. Wie der Name schon sagt, filtert diese Richtlinie nur den Host-Header aus den Anforderungsheadern heraus und leitet alle verbleibenden Header an den Ursprung weiter.

  6. Sie können WAF konfigurieren, wenn Sie möchten, dies ist jedoch für dieses Setup nicht erforderlich.

  7. Wählen Sie unter TLS-Zertifikat abrufen das in Schritt 1 erstellte TLS-Zertifikat aus.

  8. Überprüfen Sie die Einstellungen und wählen Sie Create Distribution aus.

DNS-Einträge

Cloudfront kann Ihre DNS-Einträge in Route 53 aktualisieren, um den Datenverkehr von den angegebenen Domains an die in Schritt 2 erstellte Verteilung weiterzuleiten, sofern sich Ihre gehostete Zone im selben AWS-Konto befindet.

  1. Navigieren Sie zu den Einstellungen CloudFront

  2. Klicken Sie auf „Domains weiterleiten an CloudFront“

  3. Klicken Sie auf „Routing automatisch einrichten“

Wenn Sie DNS für die benutzerdefinierte Domain in einem anderen Service Provider oder einem anderen AWS-Konto konfiguriert haben, konfigurieren Sie Ihren DNS-Anbieter so, dass der Datenverkehr für Ihre Domain an die Distribution weitergeleitet wird. In den folgenden Schritten wird beschrieben, wie Sie dies mithilfe von Route 53 tun können.

  1. Öffnen Sie die Amazon Route 53 53-Konsole unterhttps://console.aws.amazon.com/route53.

  2. Greifen Sie auf die DNS-Verwaltung zu:

    • Wenn Sie Route 53 noch nicht mit diesem AWS Konto verwenden, wird die Übersichtsseite von Amazon Route 53 geöffnet. Wählen Sie unter DNS-Verwaltung die Option Jetzt starten aus.

    • Wenn Sie Route 53 bereits mit diesem AWS Konto verwendet haben, fahren Sie mit dem nächsten Schritt fort.

  3. Klicken Sie im Navigationsbereich auf Hosted Zones (Gehostete Zonen).

  4. Erstellen Sie eine gehostete Zone, falls Sie noch keine haben:

    • Informationen zur Weiterleitung des Internetverkehrs zu Ihren Ressourcen finden Sie unter Creating a Public Hosted Zone im Amazon Route 53 53-Entwicklerhandbuch.

    • Informationen zur Weiterleitung von Traffic in Ihrer VPC finden Sie unter Creating a Private Hosted Zone im Amazon Route 53 Developer Guide.

  5. Wählen Sie auf der Seite Hosted Zones den Namen der Hosting-Zone aus, die Sie verwalten möchten.

  6. Wählen Sie Create Record Set (Datensatz erstellen).

  7. Erstellen Sie einen Eintrag für Ihre Domain (z. B.myportal.example.com):

    • Typ: A — IPv4 Adresse

    • Alias: Ja

    • Alias-Ziel: CloudFront Vertriebs-URL

    Behalten Sie die Standardwerte für alle anderen Einstellungen bei.

Anmerkung

Wenn Sie Route 53 nicht verwenden, um DNS für Ihre Domain zu verwalten, verwenden Sie Ihren DNS-Dienstanbieter und fügen Sie der URL Ihrer CloudFront Distribution DNS-Einträge hinzu, die auf Ihre Domain verweisen.

Alternativ können Sie die folgende CloudFormation Vorlage verwenden, um Ihre CloudFront Distribution zu erstellen:

Diese CloudFormation Vorlage erstellt automatisch die CloudFront Verteilung, konfiguriert die Reverse-Proxyeinstellungen und erstellt optional Route53-DNS-Einträge:

Beispiel workspaces-web-custom-domain-template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Description: 'CloudFront Distribution for custom domain configuration with existing AWS WorkSpaces Secure Browser Portal'

Parameters:
  PortalEndpoint:
    Type: String
    Description: 'The endpoint of your existing WorkSpaces Web Portal (e.g., abc123.workspaces-web.com)'
    AllowedPattern: '^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)?\.workspaces-web\.com$'
    ConstraintDescription: 'Must be a valid WorkSpaces Web portal endpoint'
  
  CustomDomainName:
    Type: String
    Description: 'Custom domain name for the portal (e.g., myportal.example.com)'
    AllowedPattern: '^([a-zA-Z0-9]?((?!-)([A-Za-z0-9-]*[A-Za-z0-9])\.)+[a-zA-Z0-9]+)$'
    ConstraintDescription: 'Must be a valid domain name'
  
  CertificateArn:
    Type: String
    Description: 'ARN of the validated SSL certificate in ACM (must be in us-east-1 region for CloudFront)'
    AllowedPattern: 'arn:aws:acm:us-east-1:[0-9]{12}:certificate/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}'
    ConstraintDescription: 'Must be a valid ACM certificate ARN in us-east-1 region'
  
  CreateRoute53Record:
    Type: String
    Description: 'Create Route53 record for custom domain (requires existing hosted zone)'
    Default: 'No'
    AllowedValues:
      - 'Yes'
      - 'No'
  
  HostedZoneId:
    Type: String
    Description: 'Route53 Hosted Zone ID for the custom domain (required if creating Route53 record)'
    Default: ''

Conditions:
  ShouldCreateRoute53Record: !And
    - !Equals [!Ref CreateRoute53Record, 'Yes']
    - !Not [!Equals [!Ref HostedZoneId, '']]

Resources:
  # CloudFront Distribution
  CloudFrontDistribution:
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Aliases:
          - !Ref CustomDomainName
        Comment: !Sub 'CloudFront distribution for WorkSpaces Web Portal - ${CustomDomainName}'
        Enabled: true
        HttpVersion: http2
        IPV6Enabled: false  # WorkSpaces Secure Browser does not support IPv6
        PriceClass: PriceClass_All
        
        # Origin Configuration
        Origins:
          - Id: WorkSpacesWebOrigin
            DomainName: !Ref PortalEndpoint
            CustomOriginConfig:
              HTTPSPort: 443
              OriginProtocolPolicy: https-only
              OriginSSLProtocols:
                - TLSv1.2
            OriginCustomHeaders:
              - HeaderName: workspacessecurebrowser-custom-domain
                HeaderValue: !Ref CustomDomainName
        
        # Default Cache Behavior
        DefaultCacheBehavior:
          TargetOriginId: WorkSpacesWebOrigin
          ViewerProtocolPolicy: https-only
          AllowedMethods:
            - GET
            - HEAD
            - OPTIONS
            - PUT
            - POST
            - PATCH
            - DELETE
          Compress: false
          # Cache Policy: CachingDisabled (using predefined managed policy)
          CachePolicyId: 4135ea2d-6df8-44a3-9df3-4b5a84be39ad
          # Origin Request Policy: AllViewerExceptHostHeader (using predefined managed policy)
          OriginRequestPolicyId: b689b0a8-53d0-40ab-baf2-68738e2966ac
        
        # SSL Configuration
        ViewerCertificate:
          AcmCertificateArn: !Ref CertificateArn
          SslSupportMethod: sni-only
          MinimumProtocolVersion: TLSv1.2_2021
      
      Tags:
        - Key: Name
          Value: !Sub '${AWS::StackName}-cloudfront'

  # Route 53 Record (optional - requires hosted zone to exist)
  Route53Record:
    Type: AWS::Route53::RecordSet
    Condition: ShouldCreateRoute53Record
    Properties:
      HostedZoneId: !Ref HostedZoneId
      Name: !Ref CustomDomainName
      Type: A
      AliasTarget:
        DNSName: !GetAtt CloudFrontDistribution.DomainName
        HostedZoneId: Z2FDTNDATAQYW2  # CloudFront Hosted Zone ID
        EvaluateTargetHealth: false

Outputs:
  PortalEndpoint:
    Description: 'WorkSpaces Web Portal endpoint used as origin'
    Value: !Ref PortalEndpoint
    Export:
      Name: !Sub '${AWS::StackName}-PortalEndpoint'
  
  CustomDomainEndpoint:
    Description: 'Custom domain endpoint for the portal'
    Value: !Sub 'https://${CustomDomainName}'
    Export:
      Name: !Sub '${AWS::StackName}-CustomDomainEndpoint'
  
  CloudFrontDistributionId:
    Description: 'CloudFront Distribution ID'
    Value: !Ref CloudFrontDistribution
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDistributionId'
  
  CloudFrontDomainName:
    Description: 'CloudFront Distribution Domain Name'
    Value: !GetAtt CloudFrontDistribution.DomainName
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDomainName'
  
  CertificateArn:
    Description: 'SSL Certificate ARN used by CloudFront'
    Value: !Ref CertificateArn
    Export:
      Name: !Sub '${AWS::StackName}-CertificateArn'

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: "Existing Portal Configuration"
        Parameters:
          - PortalEndpoint
      - Label:
          default: "Custom Domain Configuration"
        Parameters:
          - CustomDomainName
          - CertificateArn
          - CreateRoute53Record
          - HostedZoneId
    ParameterLabels:
      PortalEndpoint:
        default: "Portal Endpoint"
      CustomDomainName:
        default: "Custom Domain Name"
      CertificateArn:
        default: "SSL Certificate ARN"
      CreateRoute53Record:
        default: "Create Route53 Record"
      HostedZoneId:
        default: "Hosted Zone ID"

Um diese Vorlage zu verwenden:

  1. Speichern Sie die obige Vorlage als workspaces-web-custom-domain-template.yaml

  2. Bereitstellen mithilfe der AWS Konsole, der AWS CLI oder des AWS SDK mit Ihren spezifischen Parameterwerten

  3. Nach der Bereitstellung konfigurieren Sie Ihr Portal mit der benutzerdefinierten Domain, wie in Schritt 4 unten beschrieben

Konfiguration des Portals

Registrieren Sie Ihre benutzerdefinierte Domain mit der AWS Konsole, der UpdatePortal API oder dem AWS CLI-Befehl update-portal als Attribut für Portaleinstellungen.

  1. Öffnen Sie die WorkSpaces Secure Browser-Konsole unter. https://console.aws.amazon.com/workspaces-web/home

  2. Wählen Sie im linken Navigationsbereich die Option Webportale aus.

  3. Wählen Sie das Webportal aus, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

  4. Fügen Sie in den Portaleinstellungen Ihre benutzerdefinierte Domain hinzu.

  5. Speichern Sie die Portalkonfiguration.

Testen Sie Ihre Konfiguration

Gehen Sie wie folgt vor, um Ihre Konfiguration zu testen:

  1. Öffnen Sie einen Webbrowser und navigieren Sie zur URL für Ihre benutzerdefinierte Domain (z. B.https://myportal.example.com).

  2. Wenn alles korrekt eingerichtet ist, sollte die Anmeldeseite für Ihr Portal angezeigt werden.

  3. Geben Sie anschließend die Portal-URL in Ihren Browser ein. Sie sollten nach der Anmeldung bei Ihrem IdP zur benutzerdefinierten Domain weitergeleitet werden.

  4. Melden Sie sich abschließend bei Ihrem IdP an und klicken Sie auf die Anwendungskachel für Ihr Portal. Sie sollten zur benutzerdefinierten Domain weitergeleitet werden.