Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfiguration einer benutzerdefinierten Domain für Ihr Portal
<a name="configure-custom-domains"></a>

## Funktionsweise
<a name="custom-domains-how-it-works"></a>

Wenn Sie eine benutzerdefinierte Domain konfigurieren:
+ Sie erstellen und konfigurieren einen Reverse-Proxy mit Ihrer benutzerdefinierten Domain, um den Datenverkehr zum Portal-Endpunkt weiterzuleiten.
+ Benutzer greifen über Ihre benutzerdefinierte Domain statt über den Standardportal-Endpunkt auf Ihr Portal zu.
+ SSL-Zertifikate sorgen für sichere Verbindungen während des gesamten Prozesses.

## Voraussetzungen
<a name="custom-domains-prerequisites"></a>

Bevor Sie benutzerdefinierte Domains einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:
+ Ein Domainname, den Sie über einen DNS-Dienstanbieter wie Amazon Route53 verwalten.
+ Ein WorkSpaces sicheres Browser-Portal. Weitere Informationen zum Erstellen eines Portals finden Sie unter[Ein Webportal für Amazon WorkSpaces Secure Browser erstellen](getting-started-step1.md).
+ Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen für die Verwaltung von AWS Certificate Manager CloudFront - und DNS-Konfigurationen verfügen.

**Wichtig**  
Benutzer müssen Drittanbieter-Cookies für die benutzerdefinierte Domain in ihren Browsern aktivieren, um die ordnungsgemäße Portalfunktionalität sicherzustellen.  
Stellen Sie sicher, dass Sie Eigentümer der benutzerdefinierten Domain und ihrer DNS-Einträge sind und diese ordnungsgemäß verwalten, um die Sicherheit und Funktionalität Ihres Portals zu gewährleisten.

**Anmerkung**  
Um die Single Sign-On-Erweiterung für benutzerdefinierte Domains zu aktivieren, müssen Benutzer die Erweiterung in ihrem Browser mit einer späteren Version als 1.0.2505.6608 installieren.  
Benutzer werden aufgefordert, die Erweiterung zu installieren, wenn sie sich bei einem Portal anmelden. Einzelheiten zum Benutzererlebnis mit der Erweiterung finden Sie unter [Single Sign-On-Erweiterung für Amazon WorkSpaces Secure Browser](extension.md).

## Erste Schritte
<a name="custom-domains-getting-started"></a>

Sie können Ihre benutzerdefinierte Domäne entweder beim Erstellen eines neuen Portals oder beim Bearbeiten eines vorhandenen Portals als Attribut für Portaleinstellungen konfigurieren. Dies kann mit den Befehlen AWS Console, SDK CloudFormation oder AWS CLI erfolgen.

Wir empfehlen, eine CloudFront Amazon-Distribution als Reverse-Proxy einzurichten, der den Datenverkehr von Ihrer benutzerdefinierten Domain zum Endpunkt des WorkSpaces Secure Browser-Portals weiterleitet.

**Anmerkung**  
Obwohl Amazon als Reverse-Proxy-Lösung empfohlen CloudFront wird, können Sie alternative Reverse-Proxy-Konfigurationen verwenden. Stellen Sie sicher, dass Sie die erforderlichen Origin- und Cache-Konfigurationseinstellungen erfüllen, wie in den CloudFront Amazon-Einrichtungsschritten beschrieben.

## Einrichtung CloudFront als Reverse-Proxy
<a name="custom-domains-getting-started"></a>

Um die Einrichtung eines Reverse-Proxys abzuschließen, benötigen Sie:
+ Ein SSL-Zertifikat über AWS Certificate Manager (ACM)
+ Eine CloudFront Amazon-Distribution
+ DNS-Einträge
+ Mit Ihrer benutzerdefinierten Domain konfiguriertes Portal

**SSL Certificate (SSL-Zertifikat)**

Wenn Sie noch keine haben, gehen Sie wie folgt vor, um eine über ACM anzufordern:

1. Navigieren Sie zur ACM-Konsole unter. [https://console.aws.amazon.com/acm](https://console.aws.amazon.com/acm)
**Wichtig**  
Verwenden Sie die Region USA Ost (Nord-Virginia), da Zertifikate dort gespeichert werden CloudFront müssen.

1. Fordern Sie ein Zertifikat an:
   + Für neue ACM-Benutzer: Wählen Sie unter Zertifikate **bereitstellen** die Option **Erste Schritte**
   + Für bestehende ACM-Benutzer: Wählen Sie Zertifikat **anfordern**

1. Wählen Sie **Öffentliches Zertifikat anfordern** und anschließend **Zertifikat anfordern** aus.
**Anmerkung**  
Sie können auch ein vorhandenes Zertifikat importieren. Weitere Informationen finden Sie unter [Importieren von Zertifikaten in ACM](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) im *ACM-Benutzerhandbuch*.

1. Geben Sie Ihren primären Domainnamen ein (z. B.**myportal.example.com**).

1. Wählen Sie eine Validierungsmethode:
   + **DNS-Validierung** (empfohlen für Route 53 53-Benutzer) — Ermöglicht die automatische Erstellung von Datensätzen in Ihrer Hosting-Zone. Weitere Informationen finden Sie unter [DNS-Validierung](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-dns.html) im *ACM-Benutzerhandbuch*.
   + **E-Mail-Validierung** — Weitere Informationen finden Sie unter [E-Mail-Validierung](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-validate-email.html) im *ACM-Benutzerhandbuch*.

1. Überprüfen Sie Ihre Einstellungen und wählen Sie **Bestätigen und anfordern**.

**CloudFront Verteilung**

Erstellen Sie eine CloudFront Verteilung, um Anfragen von Ihrer benutzerdefinierten Domain an den Portal-Endpunkt weiterzuleiten.

1. Navigieren Sie zur CloudFront Konsole unter[https://console.aws.amazon.com/cloudfront](https://console.aws.amazon.com/cloudfront).

1. Wählen Sie **Create Distribution** (Distribution erstellen).
   + **Distributionsname**: Geben Sie einen Namen für die Distribution ein
   + **Vertriebstyp**: Einzelne Website oder App
**Anmerkung**  
Wenn Ihre benutzerdefinierte Domain in Route 53 im selben AWS-Konto verwaltet wird, CloudFront kann Ihr DNS automatisch für Sie verwaltet werden. Geben Sie Ihre benutzerdefinierte Domain ein und klicken Sie auf „Domain prüfen“. Wenn Sie eine Domain von einem anderen DNS-Anbieter haben, überspringen Sie diesen Schritt und konfigurieren Sie Ihre Domain später. 

1. Konfigurieren Sie die Ursprungseinstellungen:
   + **Ursprungs-Typ**: Andere
   + **Benutzerdefinierter Ursprung**: Geben Sie den Portal-Endpunkt *<portalId>* .workspaces-web.com ein
   + **Origin-Pfad: Leer** lassen (Standard)

1. Origin-Einstellungen anpassen:
   + Benutzerdefinierten Header hinzufügen
**Wichtig**  
Der Portalzugriff über eine benutzerdefinierte Domain funktioniert nur, wenn dieser Header in Proxyanfragen vorhanden ist. Stellen Sie sicher, dass der Name und der Wert des Headers genau wie angegeben angegeben angegeben sind.
     + **Name der Kopfzeile**: workspacessecurebrowser-custom-domain
     + **Wert**: Ihre benutzerdefinierte Domain (zum Beispiel**myportal.example.com**)
   + **Protokoll**: Nur HTTPS
   + **HTTPS-Port**: 443 (Standard beibehalten)
   + **Minimales ursprüngliches SSL-Protokoll**: TLSv1 .2 (Standard)
   + **Origin-IP-Adresstyp**: IPv4 nur (Amazon WorkSpaces Secure Browser unterstützt IPv6 zum Zeitpunkt der Erstellung dieses Administratorhandbuchs nicht.)

1. Passen Sie die Cache-Einstellungen an:
   + **Viewer-Protokollrichtlinie**: HTTP zu HTTPS umleiten
   + **Zulässige HTTP-Methoden**: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE
   + **Cache-Richtlinie**: CachingDisabled
   + **Richtlinie für Origin-Anfragen**: AllViewerExceptHostHeader
**Wichtig**  
Der Portalzugriff über eine benutzerdefinierte Domain funktioniert nur, wenn die Richtlinie für Ursprungsanfragen auf eingestellt ist AllViewerExceptHostHeader. Wie der Name schon sagt, filtert diese Richtlinie nur den Host-Header aus den Anforderungsheadern heraus und leitet alle verbleibenden Header an den Ursprung weiter.

1. Sie können WAF konfigurieren, wenn Sie möchten, dies ist jedoch für dieses Setup nicht erforderlich.

1. Wählen Sie unter TLS-Zertifikat abrufen das in Schritt 1 erstellte TLS-Zertifikat aus.

1. Überprüfen Sie die Einstellungen und wählen Sie **Create Distribution** aus.

**DNS-Einträge**

Cloudfront kann Ihre DNS-Einträge in Route 53 aktualisieren, um den Datenverkehr von den angegebenen Domains an die in Schritt 2 erstellte Verteilung weiterzuleiten, sofern sich Ihre gehostete Zone im selben AWS-Konto befindet.

1. Navigieren Sie zu den Einstellungen CloudFront 

1. Klicken Sie auf „Domains weiterleiten an CloudFront“ 

1. Klicken Sie auf „Routing automatisch einrichten“ 

Wenn Sie DNS für die benutzerdefinierte Domain in einem anderen Service Provider oder einem anderen AWS-Konto konfiguriert haben, konfigurieren Sie Ihren DNS-Anbieter so, dass der Datenverkehr für Ihre Domain an die Distribution weitergeleitet wird. In den folgenden Schritten wird beschrieben, wie Sie dies mithilfe von Route 53 tun können.

1. Öffnen Sie die Amazon Route 53 53-Konsole unter[https://console.aws.amazon.com/route53](https://console.aws.amazon.com/route53).

1. Greifen Sie auf die DNS-Verwaltung zu:
   + Wenn Sie Route 53 noch nicht mit diesem AWS Konto verwenden, wird die Übersichtsseite von Amazon Route 53 geöffnet. Wählen Sie unter DNS-Verwaltung die Option **Jetzt starten** aus.
   + Wenn Sie Route 53 bereits mit diesem AWS Konto verwendet haben, fahren Sie mit dem nächsten Schritt fort.

1. Klicken Sie im Navigationsbereich auf **Hosted Zones (Gehostete Zonen)**.

1. Erstellen Sie eine gehostete Zone, falls Sie noch keine haben:
   + Informationen zur Weiterleitung des Internetverkehrs zu Ihren Ressourcen finden Sie unter [Creating a Public Hosted Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) im *Amazon Route 53 53-Entwicklerhandbuch*.
   + Informationen zur Weiterleitung von Traffic in Ihrer VPC finden Sie unter [Creating a Private Hosted Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) im *Amazon Route 53 Developer Guide*.

1. Wählen Sie auf der Seite **Hosted Zones** den Namen der Hosting-Zone aus, die Sie verwalten möchten.

1. Wählen Sie **Create Record Set (Datensatz erstellen)**.

1. Erstellen Sie einen Eintrag für Ihre Domain (z. B.**myportal.example.com**):
   + **Typ**: A — IPv4 Adresse
   + **Alias**: Ja
   + **Alias-Ziel**: CloudFront Vertriebs-URL

   Behalten Sie die Standardwerte für alle anderen Einstellungen bei.

**Anmerkung**  
Wenn Sie Route 53 nicht verwenden, um DNS für Ihre Domain zu verwalten, verwenden Sie Ihren DNS-Dienstanbieter und fügen Sie der URL Ihrer CloudFront Distribution DNS-Einträge hinzu, die auf Ihre Domain verweisen.

**Alternativ können Sie die folgende CloudFormation Vorlage verwenden, um Ihre CloudFront Distribution zu erstellen:**

Diese CloudFormation Vorlage erstellt automatisch die CloudFront Verteilung, konfiguriert die Reverse-Proxyeinstellungen und erstellt optional Route53-DNS-Einträge:

**Example workspaces-web-custom-domain-template.yaml**  

```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'CloudFront Distribution for custom domain configuration with existing AWS WorkSpaces Secure Browser Portal'

Parameters:
  PortalEndpoint:
    Type: String
    Description: 'The endpoint of your existing WorkSpaces Web Portal (e.g., abc123.workspaces-web.com)'
    AllowedPattern: '^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)?\.workspaces-web\.com$'
    ConstraintDescription: 'Must be a valid WorkSpaces Web portal endpoint'
  
  CustomDomainName:
    Type: String
    Description: 'Custom domain name for the portal (e.g., myportal.example.com)'
    AllowedPattern: '^([a-zA-Z0-9]?((?!-)([A-Za-z0-9-]*[A-Za-z0-9])\.)+[a-zA-Z0-9]+)$'
    ConstraintDescription: 'Must be a valid domain name'
  
  CertificateArn:
    Type: String
    Description: 'ARN of the validated SSL certificate in ACM (must be in us-east-1 region for CloudFront)'
    AllowedPattern: 'arn:aws:acm:us-east-1:[0-9]{12}:certificate/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}'
    ConstraintDescription: 'Must be a valid ACM certificate ARN in us-east-1 region'
  
  CreateRoute53Record:
    Type: String
    Description: 'Create Route53 record for custom domain (requires existing hosted zone)'
    Default: 'No'
    AllowedValues:
      - 'Yes'
      - 'No'
  
  HostedZoneId:
    Type: String
    Description: 'Route53 Hosted Zone ID for the custom domain (required if creating Route53 record)'
    Default: ''

Conditions:
  ShouldCreateRoute53Record: !And
    - !Equals [!Ref CreateRoute53Record, 'Yes']
    - !Not [!Equals [!Ref HostedZoneId, '']]

Resources:
  # CloudFront Distribution
  CloudFrontDistribution:
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Aliases:
          - !Ref CustomDomainName
        Comment: !Sub 'CloudFront distribution for WorkSpaces Web Portal - ${CustomDomainName}'
        Enabled: true
        HttpVersion: http2
        IPV6Enabled: false  # WorkSpaces Secure Browser does not support IPv6
        PriceClass: PriceClass_All
        
        # Origin Configuration
        Origins:
          - Id: WorkSpacesWebOrigin
            DomainName: !Ref PortalEndpoint
            CustomOriginConfig:
              HTTPSPort: 443
              OriginProtocolPolicy: https-only
              OriginSSLProtocols:
                - TLSv1.2
            OriginCustomHeaders:
              - HeaderName: workspacessecurebrowser-custom-domain
                HeaderValue: !Ref CustomDomainName
        
        # Default Cache Behavior
        DefaultCacheBehavior:
          TargetOriginId: WorkSpacesWebOrigin
          ViewerProtocolPolicy: https-only
          AllowedMethods:
            - GET
            - HEAD
            - OPTIONS
            - PUT
            - POST
            - PATCH
            - DELETE
          Compress: false
          # Cache Policy: CachingDisabled (using predefined managed policy)
          CachePolicyId: 4135ea2d-6df8-44a3-9df3-4b5a84be39ad
          # Origin Request Policy: AllViewerExceptHostHeader (using predefined managed policy)
          OriginRequestPolicyId: b689b0a8-53d0-40ab-baf2-68738e2966ac
        
        # SSL Configuration
        ViewerCertificate:
          AcmCertificateArn: !Ref CertificateArn
          SslSupportMethod: sni-only
          MinimumProtocolVersion: TLSv1.2_2021
      
      Tags:
        - Key: Name
          Value: !Sub '${AWS::StackName}-cloudfront'

  # Route 53 Record (optional - requires hosted zone to exist)
  Route53Record:
    Type: AWS::Route53::RecordSet
    Condition: ShouldCreateRoute53Record
    Properties:
      HostedZoneId: !Ref HostedZoneId
      Name: !Ref CustomDomainName
      Type: A
      AliasTarget:
        DNSName: !GetAtt CloudFrontDistribution.DomainName
        HostedZoneId: Z2FDTNDATAQYW2  # CloudFront Hosted Zone ID
        EvaluateTargetHealth: false

Outputs:
  PortalEndpoint:
    Description: 'WorkSpaces Web Portal endpoint used as origin'
    Value: !Ref PortalEndpoint
    Export:
      Name: !Sub '${AWS::StackName}-PortalEndpoint'
  
  CustomDomainEndpoint:
    Description: 'Custom domain endpoint for the portal'
    Value: !Sub 'https://${CustomDomainName}'
    Export:
      Name: !Sub '${AWS::StackName}-CustomDomainEndpoint'
  
  CloudFrontDistributionId:
    Description: 'CloudFront Distribution ID'
    Value: !Ref CloudFrontDistribution
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDistributionId'
  
  CloudFrontDomainName:
    Description: 'CloudFront Distribution Domain Name'
    Value: !GetAtt CloudFrontDistribution.DomainName
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDomainName'
  
  CertificateArn:
    Description: 'SSL Certificate ARN used by CloudFront'
    Value: !Ref CertificateArn
    Export:
      Name: !Sub '${AWS::StackName}-CertificateArn'

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: "Existing Portal Configuration"
        Parameters:
          - PortalEndpoint
      - Label:
          default: "Custom Domain Configuration"
        Parameters:
          - CustomDomainName
          - CertificateArn
          - CreateRoute53Record
          - HostedZoneId
    ParameterLabels:
      PortalEndpoint:
        default: "Portal Endpoint"
      CustomDomainName:
        default: "Custom Domain Name"
      CertificateArn:
        default: "SSL Certificate ARN"
      CreateRoute53Record:
        default: "Create Route53 Record"
      HostedZoneId:
        default: "Hosted Zone ID"
```

Um diese Vorlage zu verwenden:

1. Speichern Sie die obige Vorlage als `workspaces-web-custom-domain-template.yaml`

1. Bereitstellen mithilfe der AWS Konsole, der AWS CLI oder des AWS SDK mit Ihren spezifischen Parameterwerten

1. Nach der Bereitstellung konfigurieren Sie Ihr Portal mit der benutzerdefinierten Domain, wie in Schritt 4 unten beschrieben

**Konfiguration des Portals**

Registrieren Sie Ihre benutzerdefinierte Domain mit der AWS Konsole, der UpdatePortal API oder dem AWS CLI-Befehl update-portal als Attribut für Portaleinstellungen.

1. Öffnen Sie die WorkSpaces Secure Browser-Konsole unter. [https://console.aws.amazon.com/workspaces-web/home](https://console.aws.amazon.com/workspaces-web/home)

1. Wählen Sie im linken Navigationsbereich die Option **Webportale** aus.

1. Wählen Sie das Webportal aus, das Sie konfigurieren möchten, und klicken Sie auf **Bearbeiten**.

1. Fügen Sie in den Portaleinstellungen Ihre benutzerdefinierte Domain hinzu.

1. Speichern Sie die Portalkonfiguration.

**Testen Sie Ihre Konfiguration**

Gehen Sie wie folgt vor, um Ihre Konfiguration zu testen:

1. Öffnen Sie einen Webbrowser und navigieren Sie zur URL für Ihre benutzerdefinierte Domain (z. B.**https://myportal.example.com**).

1. Wenn alles korrekt eingerichtet ist, sollte die Anmeldeseite für Ihr Portal angezeigt werden.

1. Geben Sie anschließend die Portal-URL in Ihren Browser ein. Sie sollten nach der Anmeldung bei Ihrem IdP zur benutzerdefinierten Domain weitergeleitet werden.

1. Melden Sie sich abschließend bei Ihrem IdP an und klicken Sie auf die Anwendungskachel für Ihr Portal. Sie sollten zur benutzerdefinierten Domain weitergeleitet werden.