View a markdown version of this page

Mengkonfigurasi domain khusus untuk portal Anda - Browser WorkSpaces Aman Amazon
Cara kerjanyaPrasyaratMemulaiMenyiapkan CloudFront sebagai proxy terbalik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi domain khusus untuk portal Anda

Cara kerjanya

Saat Anda mengonfigurasi domain khusus:

  • Anda membuat dan mengonfigurasi proxy terbalik dengan domain kustom Anda untuk merutekan lalu lintas ke titik akhir portal.

  • Pengguna mengakses portal Anda melalui domain khusus Anda, bukan titik akhir portal default.

  • Sertifikat SSL memastikan koneksi aman selama proses berlangsung.

Prasyarat

Sebelum menyiapkan domain khusus, pastikan Anda memiliki:

  • Nama domain yang Anda kelola melalui penyedia layanan DNS seperti Amazon Route53.

  • Portal Browser WorkSpaces Aman. Untuk informasi selengkapnya tentang membuat portal, lihatMembuat portal web untuk Amazon WorkSpaces Secure Browser.

  • Pastikan Anda memiliki izin yang diperlukan untuk mengelola AWS Certificate Manager CloudFront, dan konfigurasi DNS.

penting

Pengguna harus mengaktifkan cookie pihak ketiga untuk domain khusus di browser mereka untuk memastikan fungsionalitas portal yang tepat.

Pastikan Anda memiliki dan mengelola domain kustom dan catatan DNS-nya dengan benar untuk menjaga keamanan dan fungsionalitas portal Anda.

catatan

Untuk mengaktifkan ekstensi masuk tunggal untuk domain khusus, pengguna harus menginstal ekstensi di browser mereka dengan versi yang lebih lambat dari 1.0.2505.6608.

Pengguna diminta untuk menginstal ekstensi ketika mereka masuk ke portal. Untuk detail tentang pengalaman pengguna dengan ekstensi, lihatEkstensi masuk tunggal untuk Amazon WorkSpaces Secure Browser.

Memulai

Anda dapat mengonfigurasi domain kustom Anda sebagai atribut pengaturan portal baik saat membuat portal baru atau saat mengedit portal yang ada. Ini dapat dilakukan dengan menggunakan perintah AWS Console, SDK, CloudFormation atau AWS CLI.

Sebaiknya siapkan CloudFront distribusi Amazon sebagai proxy terbalik yang merutekan lalu lintas dari domain kustom Anda ke titik akhir portal Browser WorkSpaces Aman.

catatan

Meskipun Amazon CloudFront direkomendasikan sebagai solusi proxy terbalik, Anda dapat menggunakan konfigurasi proxy terbalik alternatif. Pastikan Anda memenuhi pengaturan konfigurasi asal dan cache yang diperlukan seperti yang dijelaskan dalam langkah-langkah CloudFront penyiapan Amazon.

Menyiapkan CloudFront sebagai proxy terbalik

Untuk menyelesaikan pengaturan proxy terbalik, Anda perlu:

  • Sertifikat SSL melalui AWS Certificate Manager (ACM)

  • CloudFront Distribusi Amazon

  • Catatan DNS

  • Portal dikonfigurasi dengan domain kustom Anda

Sertifikat SSL

Jika Anda belum memilikinya, ikuti langkah-langkah berikut untuk memintanya melalui ACM:

  1. Arahkan ke konsol ACM dihttps://console.aws.amazon.com/acm.

    penting

    Gunakan Wilayah AS Timur (Virginia N.), karena CloudFront memerlukan sertifikat untuk disimpan di sana.

  2. Minta sertifikat:

    • Untuk pengguna ACM baru: Pilih Memulai di bawah Sertifikat ketentuan

    • Untuk pengguna ACM yang ada: Pilih Minta sertifikat

  3. Pilih Minta sertifikat publik dan kemudian pilih Minta sertifikat.

    catatan

    Anda juga dapat mengimpor sertifikat yang ada. Untuk informasi selengkapnya, lihat Mengimpor sertifikat ke ACM di Panduan Pengguna ACM.

  4. Masukkan nama domain utama Anda (misalnya,myportal.example.com).

  5. Pilih metode validasi:

    • Validasi DNS (Direkomendasikan untuk pengguna Route 53) - Memungkinkan pembuatan set rekaman otomatis di zona yang dihosting. Untuk informasi selengkapnya, lihat Validasi DNS di Panduan Pengguna ACM.

    • Validasi Email — Untuk informasi selengkapnya, lihat Validasi email di Panduan Pengguna ACM.

  6. Tinjau pengaturan Anda dan pilih Konfirmasi dan minta.

CloudFront distribusi

Buat CloudFront distribusi ke permintaan proxy dari domain kustom Anda ke titik akhir portal.

  1. Arahkan ke CloudFront konsol dihttps://console.aws.amazon.com/cloudfront.

  2. Pilih Buat Distribusi.

    • Nama distribusi: Masukkan nama untuk distribusi

    • Jenis distribusi: Situs web atau aplikasi tunggal

    catatan

    Jika domain kustom Anda dikelola di Route 53 di akun AWS yang sama, CloudFront dapat secara otomatis mengelola DNS Anda untuk Anda. Masukkan domain khusus Anda dan klik “Periksa domain”. Jika Anda memiliki domain dari penyedia DNS yang berbeda, lewati langkah ini dan konfigurasikan domain Anda nanti.

  3. Konfigurasikan pengaturan asal:

    • Tipe Asal: Lain

    • Asal Kustom: Masukkan titik akhir <portalId> portal .workspaces-web.com

    • Jalur Asal: Biarkan kosong (default)

  4. Sesuaikan pengaturan asal:

    • Tambahkan header kustom

      penting

      Akses portal melalui domain khusus hanya akan berfungsi jika header ini ada dalam permintaan proksi. Pastikan nama dan nilai header ditentukan persis seperti yang disebutkan.

      • Nama Header: workspacessecurebrowser-custom-domain

      • Nilai: Domain kustom Anda (misalnya,myportal.example.com)

    • Protokol: HTTPS saja

    • Port HTTPS: 443 (tetap default)

    • Protokol SSL Asli Minimum: TLSv1 .2 (default)

    • Jenis alamat IP asal: IPv4 hanya (Amazon WorkSpaces Secure Browser tidak mendukung IPv6 pada saat menulis panduan administrasi ini.)

  5. Sesuaikan pengaturan cache:

    • Kebijakan protokol penampil: Alihkan HTTP ke HTTPS

    • Metode HTTP yang diizinkan: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE

    • Kebijakan Cache: CachingDisabled

    • Kebijakan permintaan asal: AllViewerExceptHostHeader

      penting

      Akses portal melalui domain khusus hanya akan berfungsi jika kebijakan permintaan asal disetel ke AllViewerExceptHostHeader. Seperti namanya, kebijakan ini hanya menyaring header host dari header permintaan dan meneruskan semua header yang tersisa ke asal.

  6. Anda dapat mengonfigurasi WAF jika Anda mau tetapi tidak diperlukan untuk tujuan pengaturan ini.

  7. Di Dapatkan sertifikat TLS, pilih Sertifikat TLS yang dibuat di Langkah 1.

  8. Tinjau pengaturan dan pilih Buat Distribusi.

Catatan DNS

Cloudfront dapat memperbarui catatan DNS Anda di Route 53 untuk merutekan lalu lintas dari domain yang ditentukan ke distribusi yang dibuat di Langkah 2, jika zona yang dihosting berada di akun AWS yang sama.

  1. Arahkan ke CloudFront pengaturan

  2. Klik “Rute domain ke CloudFront”

  3. Klik “Siapkan perutean secara otomatis”

Jika Anda telah mengonfigurasi DNS untuk domain kustom di penyedia layanan lain atau akun AWS lain, konfigurasikan penyedia DNS Anda untuk merutekan lalu lintas domain Anda ke distribusi. Langkah-langkah berikut menjelaskan cara melakukannya menggunakan Route 53.

  1. Buka konsol Amazon Route 53 dihttps://console.aws.amazon.com/route53.

  2. Akses manajemen DNS:

    • Jika Anda baru menggunakan Route 53 dengan AWS akun ini, halaman ikhtisar Amazon Route 53 akan terbuka. Di bawah manajemen DNS, pilih Mulai sekarang.

    • Jika Anda telah menggunakan Route 53 sebelumnya dengan AWS akun ini, lanjutkan ke langkah berikutnya.

  3. Pada panel navigasi, pilih Zona yang di-hosting.

  4. Buat zona yang dihosting jika Anda belum memilikinya:

  5. Pada halaman Zona yang Dihosting, pilih nama zona yang dihosting yang ingin Anda kelola.

  6. Pilih Buat Set Catatan.

  7. Buat entri untuk domain Anda (misalnya,myportal.example.com):

    • Tipe: A — IPv4 alamat

    • Alias: Ya

    • Alias Target: URL CloudFront Distribusi

    Simpan nilai default untuk semua pengaturan lainnya.

catatan

Jika Anda tidak menggunakan Route 53 untuk mengelola DNS untuk domain Anda, gunakan penyedia layanan DNS Anda dan tambahkan entri DNS yang mengarah ke domain Anda ke URL distribusi Anda. CloudFront

Atau, Anda dapat menggunakan CloudFormation template berikut untuk membuat CloudFront distribusi Anda:

CloudFormation Template ini secara otomatis membuat CloudFront distribusi, mengonfigurasi pengaturan proxy terbalik, dan secara opsional membuat catatan DNS Route53:

contoh workspaces-web-custom-domain-template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Description: 'CloudFront Distribution for custom domain configuration with existing AWS WorkSpaces Secure Browser Portal'

Parameters:
  PortalEndpoint:
    Type: String
    Description: 'The endpoint of your existing WorkSpaces Web Portal (e.g., abc123.workspaces-web.com)'
    AllowedPattern: '^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)?\.workspaces-web\.com$'
    ConstraintDescription: 'Must be a valid WorkSpaces Web portal endpoint'
  
  CustomDomainName:
    Type: String
    Description: 'Custom domain name for the portal (e.g., myportal.example.com)'
    AllowedPattern: '^([a-zA-Z0-9]?((?!-)([A-Za-z0-9-]*[A-Za-z0-9])\.)+[a-zA-Z0-9]+)$'
    ConstraintDescription: 'Must be a valid domain name'
  
  CertificateArn:
    Type: String
    Description: 'ARN of the validated SSL certificate in ACM (must be in us-east-1 region for CloudFront)'
    AllowedPattern: 'arn:aws:acm:us-east-1:[0-9]{12}:certificate/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}'
    ConstraintDescription: 'Must be a valid ACM certificate ARN in us-east-1 region'
  
  CreateRoute53Record:
    Type: String
    Description: 'Create Route53 record for custom domain (requires existing hosted zone)'
    Default: 'No'
    AllowedValues:
      - 'Yes'
      - 'No'
  
  HostedZoneId:
    Type: String
    Description: 'Route53 Hosted Zone ID for the custom domain (required if creating Route53 record)'
    Default: ''

Conditions:
  ShouldCreateRoute53Record: !And
    - !Equals [!Ref CreateRoute53Record, 'Yes']
    - !Not [!Equals [!Ref HostedZoneId, '']]

Resources:
  # CloudFront Distribution
  CloudFrontDistribution:
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Aliases:
          - !Ref CustomDomainName
        Comment: !Sub 'CloudFront distribution for WorkSpaces Web Portal - ${CustomDomainName}'
        Enabled: true
        HttpVersion: http2
        IPV6Enabled: false  # WorkSpaces Secure Browser does not support IPv6
        PriceClass: PriceClass_All
        
        # Origin Configuration
        Origins:
          - Id: WorkSpacesWebOrigin
            DomainName: !Ref PortalEndpoint
            CustomOriginConfig:
              HTTPSPort: 443
              OriginProtocolPolicy: https-only
              OriginSSLProtocols:
                - TLSv1.2
            OriginCustomHeaders:
              - HeaderName: workspacessecurebrowser-custom-domain
                HeaderValue: !Ref CustomDomainName
        
        # Default Cache Behavior
        DefaultCacheBehavior:
          TargetOriginId: WorkSpacesWebOrigin
          ViewerProtocolPolicy: https-only
          AllowedMethods:
            - GET
            - HEAD
            - OPTIONS
            - PUT
            - POST
            - PATCH
            - DELETE
          Compress: false
          # Cache Policy: CachingDisabled (using predefined managed policy)
          CachePolicyId: 4135ea2d-6df8-44a3-9df3-4b5a84be39ad
          # Origin Request Policy: AllViewerExceptHostHeader (using predefined managed policy)
          OriginRequestPolicyId: b689b0a8-53d0-40ab-baf2-68738e2966ac
        
        # SSL Configuration
        ViewerCertificate:
          AcmCertificateArn: !Ref CertificateArn
          SslSupportMethod: sni-only
          MinimumProtocolVersion: TLSv1.2_2021
      
      Tags:
        - Key: Name
          Value: !Sub '${AWS::StackName}-cloudfront'

  # Route 53 Record (optional - requires hosted zone to exist)
  Route53Record:
    Type: AWS::Route53::RecordSet
    Condition: ShouldCreateRoute53Record
    Properties:
      HostedZoneId: !Ref HostedZoneId
      Name: !Ref CustomDomainName
      Type: A
      AliasTarget:
        DNSName: !GetAtt CloudFrontDistribution.DomainName
        HostedZoneId: Z2FDTNDATAQYW2  # CloudFront Hosted Zone ID
        EvaluateTargetHealth: false

Outputs:
  PortalEndpoint:
    Description: 'WorkSpaces Web Portal endpoint used as origin'
    Value: !Ref PortalEndpoint
    Export:
      Name: !Sub '${AWS::StackName}-PortalEndpoint'
  
  CustomDomainEndpoint:
    Description: 'Custom domain endpoint for the portal'
    Value: !Sub 'https://${CustomDomainName}'
    Export:
      Name: !Sub '${AWS::StackName}-CustomDomainEndpoint'
  
  CloudFrontDistributionId:
    Description: 'CloudFront Distribution ID'
    Value: !Ref CloudFrontDistribution
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDistributionId'
  
  CloudFrontDomainName:
    Description: 'CloudFront Distribution Domain Name'
    Value: !GetAtt CloudFrontDistribution.DomainName
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDomainName'
  
  CertificateArn:
    Description: 'SSL Certificate ARN used by CloudFront'
    Value: !Ref CertificateArn
    Export:
      Name: !Sub '${AWS::StackName}-CertificateArn'

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: "Existing Portal Configuration"
        Parameters:
          - PortalEndpoint
      - Label:
          default: "Custom Domain Configuration"
        Parameters:
          - CustomDomainName
          - CertificateArn
          - CreateRoute53Record
          - HostedZoneId
    ParameterLabels:
      PortalEndpoint:
        default: "Portal Endpoint"
      CustomDomainName:
        default: "Custom Domain Name"
      CertificateArn:
        default: "SSL Certificate ARN"
      CreateRoute53Record:
        default: "Create Route53 Record"
      HostedZoneId:
        default: "Hosted Zone ID"

Untuk menggunakan template ini:

  1. Simpan template di atas sebagai workspaces-web-custom-domain-template.yaml

  2. Terapkan menggunakan AWS Konsol, AWS CLI, AWS atau SDK dengan nilai parameter spesifik Anda

  3. Setelah penerapan, konfigurasikan portal Anda dengan domain kustom seperti yang dijelaskan pada Langkah 4 di bawah

Konfigurasi portal

Daftarkan domain kustom Anda sebagai atribut pengaturan portal menggunakan perintah AWS CLI AWS Console, UpdatePortal API, atau update-portal.

  1. Buka konsol Browser WorkSpaces Aman dihttps://console.aws.amazon.com/workspaces-web/home.

  2. Di panel navigasi, pilih Portal Web.

  3. Pilih portal web yang ingin Anda konfigurasikan dan pilih Edit.

  4. Di pengaturan portal, tambahkan domain khusus Anda.

  5. Simpan konfigurasi portal.

Uji konfigurasi Anda

Untuk menguji konfigurasi Anda, ikuti langkah-langkah berikut:

  1. Buka browser web dan arahkan ke URL untuk domain kustom Anda (misalnya,https://myportal.example.com).

  2. Jika semuanya diatur dengan benar, Anda akan melihat halaman masuk untuk portal Anda.

  3. Selanjutnya, masukkan URL portal di browser Anda, Anda harus diarahkan ke domain khusus setelah masuk ke IDP Anda.

  4. Terakhir, masuk ke IDP Anda dan klik ubin aplikasi untuk portal Anda. Anda harus diarahkan ke domain khusus.