View a markdown version of this page

Configurar un dominio personalizado para su portal - Navegador Amazon WorkSpaces Secure
FuncionamientoRequisitos previosIntroducciónConfiguración CloudFront como proxy inverso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar un dominio personalizado para su portal

Funcionamiento

Al configurar un dominio personalizado:

  • Cree y configure un proxy inverso con su dominio personalizado para enrutar el tráfico al punto final del portal.

  • Los usuarios acceden a su portal a través de su dominio personalizado en lugar del punto final del portal predeterminado.

  • Los certificados SSL garantizan conexiones seguras durante todo el proceso.

Requisitos previos

Antes de configurar dominios personalizados, asegúrate de tener:

  • Un nombre de dominio que administra a través de un proveedor de servicios de DNS como Amazon Route53.

  • Un portal de navegador WorkSpaces seguro. Para obtener más información sobre la creación de un portal, consulteCreación de un portal web para Amazon WorkSpaces Secure Browser.

  • Asegúrese de tener los permisos necesarios para administrar las configuraciones de AWS Certificate Manager y DNS. CloudFront

importante

Los usuarios deben habilitar las cookies de terceros para el dominio personalizado en sus navegadores a fin de garantizar el correcto funcionamiento del portal.

Asegúrese de ser el propietario del dominio personalizado y sus registros DNS y de administrarlos adecuadamente para mantener la seguridad y la funcionalidad de su portal.

nota

Para habilitar la extensión de inicio de sesión único en los dominios personalizados, los usuarios deben instalar la extensión en su navegador con una versión posterior a la 1.0.2505.6608.

Al iniciar sesión en un portal, se pide a los usuarios que instalen la extensión. Para obtener más información sobre la experiencia del usuario con la extensión, consulte Extensión de inicio de sesión único para Amazon Secure Browser WorkSpaces.

Introducción

Puede configurar su dominio personalizado como atributo de configuración del portal al crear un portal nuevo o al editar un portal existente. Esto se puede hacer mediante los comandos de la AWS consola, el SDK CloudFormation o la AWS CLI.

Recomendamos configurar una CloudFront distribución de Amazon como proxy inverso que dirija el tráfico desde su dominio personalizado al punto final del portal WorkSpaces Secure Browser.

nota

Aunque CloudFront se recomienda Amazon como solución de proxy inverso, puede utilizar configuraciones de proxy inverso alternativas. Asegúrate de cumplir con los ajustes de configuración de origen y caché requeridos, tal y como se detalla en los pasos de CloudFront configuración de Amazon.

Configuración CloudFront como proxy inverso

Para completar la configuración de un proxy inverso, necesita:

  • Un certificado SSL mediante AWS Certificate Manager (ACM)

  • Una CloudFront distribución de Amazon

  • Registros de DNS

  • Portal configurado con tu dominio personalizado

SSL Certificate (Certificado SSL)

Si aún no tienes uno, sigue estos pasos para solicitar uno a través de ACM:

  1. Navegue hasta la consola ACM en. https://console.aws.amazon.com/acm

    importante

    Utilice la región EE.UU. Este (Virginia del Norte), ya que CloudFront requiere que los certificados se almacenen allí.

  2. Solicite un certificado:

    • Para los nuevos usuarios de ACM: seleccione Comenzar en Provisión de certificados

    • Para los usuarios actuales de ACM: seleccione Solicitar un certificado

  3. Elija Solicitar un certificado público y, a continuación, elija Solicitar un certificado.

    nota

    También puede importar un certificado existente. Para obtener más información, consulte Importación de certificados a ACM en la Guía del usuario de ACM.

  4. Introduzca su nombre de dominio principal (por ejemplo,myportal.example.com).

  5. Elige un método de validación:

    • Validación de DNS (recomendada para los usuarios de Route 53): permite la creación automática de conjuntos de registros en la zona alojada. Para obtener más información, consulte la validación de DNS en la Guía del usuario de ACM.

    • Validación del correo electrónico: para obtener más información, consulte la validación del correo electrónico en la Guía del usuario de ACM.

  6. Revisa tu configuración y selecciona Confirmar y solicitar.

CloudFront distribución

Cree una CloudFront distribución para enviar las solicitudes desde su dominio personalizado al punto final del portal.

  1. Navegue hasta la CloudFront consola enhttps://console.aws.amazon.com/cloudfront.

  2. Elija Crear distribución.

    • Nombre de distribución: introduzca un nombre para la distribución

    • Tipo de distribución: sitio web o aplicación únicos

    nota

    Si su dominio personalizado se administra en Route 53 en la misma cuenta de AWS, CloudFront podrá administrar automáticamente su DNS por usted. Introduzca su dominio personalizado y haga clic en «Comprobar dominio». Si tienes un dominio de un proveedor de DNS diferente, omite este paso y configura tu dominio más adelante.

  3. Configura los ajustes de origen:

    • Tipo de origen: Otro

    • Origen personalizado: introduzca el punto final del portal, <portalId> .workspaces-web.com

    • Ruta de origen: dejar en blanco (por defecto)

  4. Personaliza la configuración de origen:

    • Agregar encabezado personalizado

      importante

      El acceso al portal a través de un dominio personalizado solo funcionará si este encabezado está presente en las solicitudes enviadas por proxy. Asegúrese de que el nombre y el valor del encabezado estén especificados exactamente como se ha mencionado.

      • Nombre del encabezado: workspacessecurebrowser-custom-domain

      • Valor: tu dominio personalizado (por ejemplo,myportal.example.com)

    • Protocolo: solo HTTPS

    • Puerto HTTPS: 443 (mantener el predeterminado)

    • Protocolo SSL original mínimo: TLSv1 .2 (predeterminado)

    • Tipo de dirección IP de origen: IPv4 únicamente (Amazon WorkSpaces Secure Browser no era compatible IPv6 en el momento de escribir esta guía de administración).

  5. Personalice la configuración de la memoria caché:

    • Política de protocolo de visualización: redirigir HTTP a HTTPS

    • Métodos HTTP permitidos: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE

    • Política de caché: CachingDisabled

    • Política de solicitudes de Origin: AllViewerExceptHostHeader

      importante

      El acceso al portal a través de un dominio personalizado solo funcionará si la política de solicitudes de origen está configurada en AllViewerExceptHostHeader. Como su nombre indica, esta política filtra solo el encabezado del host de los encabezados de las solicitudes y pasa todos los encabezados restantes al origen.

  6. Puede configurar WAF si lo desea, pero no es necesario para esta configuración.

  7. En Obtener el certificado TLS, seleccione el certificado TLS creado en el paso 1.

  8. Revise la configuración y elija Crear distribución.

Registros de DNS

Cloudfront puede actualizar los registros de DNS en Route 53 para enrutar el tráfico de los dominios especificados a la distribución creada en el paso 2, si la zona alojada está en la misma cuenta de AWS.

  1. Navegue hasta la configuración CloudFront

  2. Haz clic en «Enrutar dominios a CloudFront»

  3. Haga clic en «Configurar el enrutamiento automáticamente»

Si ha configurado el DNS para el dominio personalizado en otro proveedor de servicios u otra cuenta de AWS, configure su proveedor de DNS para que dirija el tráfico de su dominio a la distribución. En los siguientes pasos se describe cómo hacerlo con Route 53.

  1. Abra la consola de Amazon Route 53 enhttps://console.aws.amazon.com/route53.

  2. Acceda a la administración de DNS:

    • Si es la primera vez que utiliza Route 53 con esta AWS cuenta, se abrirá la página de información general de Amazon Route 53. En Administración de DNS, elija Comenzar ahora.

    • Si ha utilizado Route 53 anteriormente con esta AWS cuenta, continúe con el siguiente paso.

  3. En el panel de navegación, elija Zonas alojadas.

  4. Cree una zona alojada si aún no tiene una:

  5. En la página Zonas alojadas, elija el nombre de la zona alojada que quiere administrar.

  6. Elija Create Record Set (Crear conjunto de registros).

  7. Cree una entrada para su dominio (por ejemplo,myportal.example.com):

    • Tipo: A — IPv4 dirección

    • Alias: sí

    • Objetivo del alias: URL CloudFront de distribución

    Mantenga los valores predeterminados para el resto de ajustes.

nota

Si no utiliza Route 53 para administrar el DNS de su dominio, utilice su proveedor de servicios de DNS y añada entradas de DNS que apunten a su dominio a la URL de su CloudFront distribución.

Como alternativa, puedes usar la siguiente CloudFormation plantilla para crear tu CloudFront distribución:

Esta CloudFormation plantilla crea automáticamente la CloudFront distribución, configura los ajustes del proxy inverso y, de forma opcional, crea los registros DNS de Route53:

ejemplo workspaces-web-custom-domain-template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Description: 'CloudFront Distribution for custom domain configuration with existing AWS WorkSpaces Secure Browser Portal'

Parameters:
  PortalEndpoint:
    Type: String
    Description: 'The endpoint of your existing WorkSpaces Web Portal (e.g., abc123.workspaces-web.com)'
    AllowedPattern: '^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)?\.workspaces-web\.com$'
    ConstraintDescription: 'Must be a valid WorkSpaces Web portal endpoint'
  
  CustomDomainName:
    Type: String
    Description: 'Custom domain name for the portal (e.g., myportal.example.com)'
    AllowedPattern: '^([a-zA-Z0-9]?((?!-)([A-Za-z0-9-]*[A-Za-z0-9])\.)+[a-zA-Z0-9]+)$'
    ConstraintDescription: 'Must be a valid domain name'
  
  CertificateArn:
    Type: String
    Description: 'ARN of the validated SSL certificate in ACM (must be in us-east-1 region for CloudFront)'
    AllowedPattern: 'arn:aws:acm:us-east-1:[0-9]{12}:certificate/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}'
    ConstraintDescription: 'Must be a valid ACM certificate ARN in us-east-1 region'
  
  CreateRoute53Record:
    Type: String
    Description: 'Create Route53 record for custom domain (requires existing hosted zone)'
    Default: 'No'
    AllowedValues:
      - 'Yes'
      - 'No'
  
  HostedZoneId:
    Type: String
    Description: 'Route53 Hosted Zone ID for the custom domain (required if creating Route53 record)'
    Default: ''

Conditions:
  ShouldCreateRoute53Record: !And
    - !Equals [!Ref CreateRoute53Record, 'Yes']
    - !Not [!Equals [!Ref HostedZoneId, '']]

Resources:
  # CloudFront Distribution
  CloudFrontDistribution:
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Aliases:
          - !Ref CustomDomainName
        Comment: !Sub 'CloudFront distribution for WorkSpaces Web Portal - ${CustomDomainName}'
        Enabled: true
        HttpVersion: http2
        IPV6Enabled: false  # WorkSpaces Secure Browser does not support IPv6
        PriceClass: PriceClass_All
        
        # Origin Configuration
        Origins:
          - Id: WorkSpacesWebOrigin
            DomainName: !Ref PortalEndpoint
            CustomOriginConfig:
              HTTPSPort: 443
              OriginProtocolPolicy: https-only
              OriginSSLProtocols:
                - TLSv1.2
            OriginCustomHeaders:
              - HeaderName: workspacessecurebrowser-custom-domain
                HeaderValue: !Ref CustomDomainName
        
        # Default Cache Behavior
        DefaultCacheBehavior:
          TargetOriginId: WorkSpacesWebOrigin
          ViewerProtocolPolicy: https-only
          AllowedMethods:
            - GET
            - HEAD
            - OPTIONS
            - PUT
            - POST
            - PATCH
            - DELETE
          Compress: false
          # Cache Policy: CachingDisabled (using predefined managed policy)
          CachePolicyId: 4135ea2d-6df8-44a3-9df3-4b5a84be39ad
          # Origin Request Policy: AllViewerExceptHostHeader (using predefined managed policy)
          OriginRequestPolicyId: b689b0a8-53d0-40ab-baf2-68738e2966ac
        
        # SSL Configuration
        ViewerCertificate:
          AcmCertificateArn: !Ref CertificateArn
          SslSupportMethod: sni-only
          MinimumProtocolVersion: TLSv1.2_2021
      
      Tags:
        - Key: Name
          Value: !Sub '${AWS::StackName}-cloudfront'

  # Route 53 Record (optional - requires hosted zone to exist)
  Route53Record:
    Type: AWS::Route53::RecordSet
    Condition: ShouldCreateRoute53Record
    Properties:
      HostedZoneId: !Ref HostedZoneId
      Name: !Ref CustomDomainName
      Type: A
      AliasTarget:
        DNSName: !GetAtt CloudFrontDistribution.DomainName
        HostedZoneId: Z2FDTNDATAQYW2  # CloudFront Hosted Zone ID
        EvaluateTargetHealth: false

Outputs:
  PortalEndpoint:
    Description: 'WorkSpaces Web Portal endpoint used as origin'
    Value: !Ref PortalEndpoint
    Export:
      Name: !Sub '${AWS::StackName}-PortalEndpoint'
  
  CustomDomainEndpoint:
    Description: 'Custom domain endpoint for the portal'
    Value: !Sub 'https://${CustomDomainName}'
    Export:
      Name: !Sub '${AWS::StackName}-CustomDomainEndpoint'
  
  CloudFrontDistributionId:
    Description: 'CloudFront Distribution ID'
    Value: !Ref CloudFrontDistribution
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDistributionId'
  
  CloudFrontDomainName:
    Description: 'CloudFront Distribution Domain Name'
    Value: !GetAtt CloudFrontDistribution.DomainName
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDomainName'
  
  CertificateArn:
    Description: 'SSL Certificate ARN used by CloudFront'
    Value: !Ref CertificateArn
    Export:
      Name: !Sub '${AWS::StackName}-CertificateArn'

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: "Existing Portal Configuration"
        Parameters:
          - PortalEndpoint
      - Label:
          default: "Custom Domain Configuration"
        Parameters:
          - CustomDomainName
          - CertificateArn
          - CreateRoute53Record
          - HostedZoneId
    ParameterLabels:
      PortalEndpoint:
        default: "Portal Endpoint"
      CustomDomainName:
        default: "Custom Domain Name"
      CertificateArn:
        default: "SSL Certificate ARN"
      CreateRoute53Record:
        default: "Create Route53 Record"
      HostedZoneId:
        default: "Hosted Zone ID"

Para usar esta plantilla:

  1. Guarde la plantilla anterior como workspaces-web-custom-domain-template.yaml

  2. Implemente mediante la AWS consola, la AWS CLI o el AWS SDK con sus valores de parámetros específicos

  3. Tras la implementación, configure el portal con el dominio personalizado tal y como se describe en el paso 4 que aparece a continuación

Configuración del portal

Registre su dominio personalizado como atributo de configuración del portal mediante la AWS consola, la UpdatePortal API o el comando AWS CLI update-portal.

  1. Abra la consola de WorkSpaces Secure Browser en. https://console.aws.amazon.com/workspaces-web/home

  2. En el panel de navegación, elija Portales web.

  3. Seleccione el portal web que desee configurar y elija Editar.

  4. En la configuración del portal, añada su dominio personalizado.

  5. Guarde la configuración del portal.

Pruebe la configuración

Para probar la configuración, siga estos pasos:

  1. Abre un navegador web y navega hasta la URL de tu dominio personalizado (por ejemplo,https://myportal.example.com).

  2. Si todo está configurado correctamente, debería ver la página de inicio de sesión de su portal.

  3. A continuación, introduzca la URL del portal en su navegador; se le redirigirá al dominio personalizado después de iniciar sesión en su IdP.

  4. Por último, inicie sesión en su IdP y haga clic en el icono de la aplicación de su portal. Debería ser redirigido a un dominio personalizado.