本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用和管理 WorkSpaces 个人
<a name="managing-wsp-personal"></a>

WorkSpaces Personal 提供永久虚拟桌面，专为需要配置高度个性化的桌面供其专用的用户量身定制，类似于分配给个人的物理台式机。

每个 WorkSpace 都与虚拟私有云 (VPC) 以及用于存储和管理您 WorkSpaces 和用户信息的目录相关联。有关更多信息，请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。目录要么由服务管理，要么通过该 WorkSpaces 服务管理，后者提供以下选项：Simple AD Directory Service、AD Connector 或微软 AD Active Directory（也称为 AWS 托管微软 AD）的 AWS 目录服务。有关更多信息，请参阅 [AWS Directory Service 管理指南](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/)。

WorkSpaces 使用您的 IAM 身份中心（适用于由亚马逊管理的目录 WorkSpaces）、Simple AD、AD Connector 或微软 AD AWS 托管目录对用户进行身份验证。用户使用 WorkSpaces 支持的设备上的客户端应用程序或者（对于 Windows WorkSpaces，则使用 Web 浏览器）访问它们，然后使用其目录凭据登录。登录信息被发送到身份验证网关，该网关将流量转发到的 WorkSpace目录。用户通过身份验证后，系统会通过流式传输网关来启动流式传输流量。

客户端应用程序使用 HTTPS 通过端口 443 处理所有身份验证及与会话相关的信息，客户端应用程序使用端口 4172 (PCoIP) 和端口 4195 (DCV) 向进行像素流式传输，使用端口 4172 WorkSpace 和 4195 进行网络运行状况检查。有关更多信息，请参阅 [用于客户端应用程序的端口](workspaces-port-requirements.md#client-application-ports)。

每个接口 WorkSpace 都有两个与之关联的弹性网络接口：一个用于管理和流媒体的网络接口 (eth0) 和一个主网络接口 (eth1)。主网络接口的 IP 地址由 VPC（其子网与目录所用的子网相同）提供。这样可以确保来自您的流量 WorkSpace 可以轻松到达该目录。对 VPC 中资源的访问权限由分配给主网络接口的安全组控制。有关更多信息，请参阅 [网络接口](workspaces-port-requirements.md#network-interfaces)。

下图显示了使用 AD Connec WorkSpaces tor 的架构。

![\[WorkSpaces architecture diagram showing user connections, gateways, and AWS 服务 integration.\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/architectural-diagram-new-2.png)


# 使用 WorkSpaces 个人版创建 WorkSpace 的选项
<a name="how-to-start"></a>

可以通过多种方法创建 WorkSpace。您可以使用快速设置说明、高级设置说明或从以下选项中进行选择：
+ [为 WorkSpaces 个人版创建 AWS 托管 Microsoft AD 目录](launch-workspace-microsoft-ad.md)
+ [为 WorkSpaces 个人创建一个 Simple AD 目录](launch-workspace-simple-ad.md)
+ [为 WorkSpaces 个人版创建 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS 托管的 Microsoft AD 目录与本地域之间创建 WorkSpaces 个人版的信任关系](launch-workspace-trusted-domain.md)
+ [使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)
+ [使用 “个 WorkSpaces 人” 创建专用的自定义目录](launch-custom.md)

## 开始使用 WorkSpaces 个人版
<a name="getting-started"></a>

作为首次使用的 WorkSpaces 用户，您可以选择使用快速设置或高级设置来设置您的 WorkSpaces 个人账户。以下教程介绍如何配置基于云的桌面，即*WorkSpace*使用 WorkSpaces 和 Directory Service。

**注意**  
要开始使用 WorkSpaces 池，请参阅[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)。

### WorkSpaces 个人快速设置
<a name="getting-started-quick-setup"></a>

在本教程中，你将学习如何使用 WorkSpaces 和预配置虚拟的、基于云的微软 Windows、亚马逊 Linux 2、Ubuntu Linux、Rocky Linux 或红帽企业 Linux 桌面 *WorkSpace*，也就是所谓的。 Directory Service

本教程使用快速设置选项来启动你的 WorkSpace。只有当您从未启动过时，此选项才可用 WorkSpace。或者，请参阅 [为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

**注意**  
此快速设置选项和教程不适用于 WorkSpaces 矿池。

**注意**  
以下 AWS 区域支持快速设置：  
美国东部（弗吉尼亚州北部）
美国西部（俄勒冈州）
欧洲地区（爱尔兰）
亚太地区（新加坡）
亚太地区（悉尼）
亚太地区（东京）
要更改您的区域，请参阅[选择区域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/select-region.html)。

**Topics**
+ [开始前的准备工作](#quick-setup-prereqs)
+ [快速设置的用途](#quick-setup-what-it-does)
+ [步骤 1：启动 WorkSpace](#quick-setup-launch-workspace)
+ [第 2 步：Connect 连接到 WorkSpace](#quick-setup-connect-workspace)
+ [步骤 3：清除（可选）](#quick-setup-clean-up)
+ [后续步骤](#quick-setup-next-steps)

#### 开始前的准备工作
<a name="quick-setup-prereqs"></a>

在您开始之前，确保您满足以下要求：
+ 您必须拥有一个 AWS 帐户才能创建或管理 WorkSpace。用户不需要 AWS 帐户即可连接和使用他们的 WorkSpaces。
+ WorkSpaces 并非在每个地区都可用。验证支持的区域，然后为您[选择一个区域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region) WorkSpaces。有关支持的区域的更多信息，请参阅[按 AWS 地区WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/#Amazon_WorkSpaces_Pricing_by_AWS_Region)。

继续操作之前仔细阅读并理解以下内容也很有帮助：
+ 启动时 WorkSpace，必须选择一个 WorkSpace 捆绑包。有关更多信息，请参阅 [Amazon WorkSpaces 捆绑包](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)和[亚马逊 WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/)。
+ 启动时 WorkSpace，必须选择要与捆绑包一起使用的协议（PCoIP 或 DCV）。有关更多信息，请参阅 [WorkSpaces 个人协议](amazon-workspaces-networking.md#amazon-workspaces-protocols)。
+ 启动时 WorkSpace，必须为用户指定个人资料信息，包括用户名和电子邮件地址。用户通过指定密码完成其配置文件。有关 WorkSpaces 和用户的信息存储在目录中。有关更多信息，请参阅 [管理 WorkSpaces 个人版的目录](manage-workspaces-directory.md)。

#### 快速设置的用途
<a name="quick-setup-what-it-does"></a>

快速设置将代表您完成以下任务：
+ **创建 IAM 角色**以允许 WorkSpaces 服务创建弹性网络接口并列出您的 WorkSpaces目录。此角色的名称为 `workspaces_DefaultRole`。
+ **创建虚拟私有云 (VPC)**。如果您想改用现有 VPC，请确保其满足[为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)中提及的要求，然后按照[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)中列出的其中一个教程中的步骤进行操作。选择与要使用的 Active Directory 类型对应的教程。
+ 在 VPC 中@@ **设置一个 Simple AD 目录**并将其启用 WorkDocs。此 Simple AD 目录用于存储用户和 WorkSpace 信息。通过快速设置 AWS 账户 创建的第一个是您的管理员 AWS 账户。† 该目录还有一个管理员账户。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[创建的内容](https://docs.aws.amazon.com/)。
+ **创建指定的 AWS 账户 并将其添加到目录中**。
+ **创建 WorkSpaces**。每个人都会 WorkSpace收到一个公有 IP 地址以提供互联网接入。运行模式是 AlwaysOn。有关更多信息，请参阅 [在 WorkSpaces 个人版中管理跑步模式](running-mode.md)。
+ **向指定的用户发送邀请电子邮件**。如果您的用户没有收到邀请电子邮件，请参阅[发送邀请电子邮件](manage-workspaces-users.md#send-invitation)。

† 通过快速设置 AWS 账户 创建的第一个是您的管理员 AWS 账户。您无法 AWS 账户 从 WorkSpaces 控制台更新此内容。请勿与任何其他人共享此账户的信息。要邀请其他用户使用 WorkSpaces，请 AWS 账户 为他们创建新的。

#### 步骤 1：启动 WorkSpace
<a name="quick-setup-launch-workspace"></a>

使用快速设置，你可以在几分钟 WorkSpace 内启动你的第一个。

**要启动 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 选择 **Quick setup (快速设置)**。如果您没有看到此按钮，则可能是您已经在该地区启动了，或者您[使用的区域不支持快速设置](#quick-setup-regions)。 WorkSpace 在这种情况下，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。  
![\[Amazon WorkSpaces dashboard showing service description and setup options.\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/quick-setup.png)

1. 对于**识别用户**，输入**用户名**、**名字**、**姓氏**和**电子邮件**。然后选择**下一步**。
**注意**  
如果这是您第一次使用 WorkSpaces，我们建议您为自己创建一个用户以进行测试。  
![\[User creation form for WorkSpaces with fields for username, first name, last name, and email.\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/identify-users.png)

1. 对于**分发包**，请为用户选择具有相应协议（PCoIP 或 DCV）的捆绑包（硬件和软件）。有关亚马逊可用的各种公共捆绑包的更多信息 WorkSpaces，请参阅 Amazon [ WorkSpaces 捆绑包](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。  
![\[WorkSpaces bundle selection interface showing various Amazon Linux and Windows options with storage specifications.\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/select-bundle.png)

1. 查看您的信息。然后选择**创建 WorkSpace**。

1. 启动大约需要 20 分钟。 WorkSpace 要监控进度，请转到左侧导航窗格并选择**目录**。您将看到一个目录正在创建，其初始状态为 `REQUESTED`，然后为 `CREATING`。

   目录创建完毕且状态为后`ACTIVE`，可以在左侧导航窗格**WorkSpaces**中进行选择以监控 WorkSpace启动过程的进度。的初始状态 WorkSpace 为`PENDING`。启动完毕后，状态会变为 `AVAILABLE`，然后系统会向您为每个用户指定的电子邮件地址发送一封邀请电子邮件。如果您的用户没有收到邀请电子邮件，请参阅[发送邀请电子邮件](manage-workspaces-users.md#send-invitation)。

#### 第 2 步：Connect 连接到 WorkSpace
<a name="quick-setup-connect-workspace"></a>

收到邀请电子邮件后，您可以使用自己选择的客户端连接到。 WorkSpace 登录后，客户端会显示 WorkSpace桌面。

**要连接到 WorkSpace**

1. 如果您尚未为用户设置凭证，则打开邀请电子邮件中的链接，按照指示操作。记住您指定的密码，因为您需要用它来连接到您的 WorkSpace。
**注意**  
密码区分大小写，且长度必须介于 8 到 64 个字符之间 (含 8 和 64)。密码必须至少包含以下每个类别中的一个字符：小写字母 (a-z)、大写字母 (A-Z)、数字 (0-9) 以及字符集 \$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/。

1. 查看 *Amazon WorkSpaces 用户指南*中的[WorkSpaces客户](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)，了解有关每位客户要求的更多信息，然后执行以下任一操作：
   + 根据系统提示，下载一个客户端应用程序或启动 **Web Access**。
   + 如果没有提示您并且尚未安装客户端应用程序，请打开 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/)并下载其中一个客户端应用程序或启动 **Web Access**。
**注意**  
您不能使用网络浏览器（网络访问）连接亚马逊 Linux WorkSpaces。

1. 启动客户端，输入邀请电子邮件中的注册代码，然后选择 **Register**。

1. 当系统提示登录时，输入登录凭证，然后选择**登录**。

1. (可选) 当系统提示您保存凭证时，选择 **Yes**。

有关使用客户端应用程序（例如设置多台显示器或使用外围设备）的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[WorkSpaces 客户端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)和[外围设备支持](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)。

#### 步骤 3：清除（可选）
<a name="quick-setup-clean-up"></a>

如果您完成了为本教程创建的，则可以将其删除。 WorkSpace 有关更多信息，请参阅 [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)。

**注意**  
Simple AD 可供您免费使用 WorkSpaces。如果连续 30 天 WorkSpaces 未在您的 Simple AD 目录中使用，则该目录将自动取消注册以供亚马逊使用 WorkSpaces，并且将根据[AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。  
要删除空目录，请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 Simple AD 目录，则在想要 WorkSpaces 重新开始使用时可以随时创建一个新目录。

#### 后续步骤
<a name="quick-setup-next-steps"></a>

您可以继续自定义刚 WorkSpace 刚创建的。例如，您可以安装软件，然后从中创建自定义软件包 WorkSpace。您还可以为您 WorkSpaces和您的 WorkSpaces 目录执行各种管理任务。有关更多信息，请参阅以下文档。
+ [为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)
+ [管理 WorkSpaces 个人版](administer-workspaces.md)
+ [管理 WorkSpaces 个人版的目录](manage-workspaces-directory.md)

要创建其他 WorkSpaces，请执行以下任一操作：
+ 如果您想继续使用通过快速设置创建的 VPC 和 Simple AD 目录，则可以按照 “ WorkSpace 使用简单 AD 启动教程[WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)” 部分中的步骤 WorkSpaces 为其他用户进行添加。
+ 如果您需要使用其他目录类型或需要使用现有的 Active Directory，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)中的相应教程。

有关使用 WorkSpaces 客户端应用程序（例如设置多台显示器或使用外围设备）的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[WorkSpaces 客户端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)和[外围设备支持](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)。

### 开始使用 WorkSpaces 个人高级设置
<a name="getting-started-advanced"></a>

在本教程中，您将学习如何使用 WorkSpaces 和配置虚拟的、基于云的微软 Windows、Amazon Linux、Ubuntu Linux 或红帽企业 Linux 桌面 *WorkSpace*，也就是所谓的。 Directory Service

本教程使用高级设置选项来启动你的 WorkSpace。

**注意**  
所有区域都支持高级设置 WorkSpaces。

**Topics**
+ [开始前的准备工作](#advanced-setup-prereqs)
+ [使用高级设置启动你的 WorkSpace](#advanced-setup-procedure)

#### 开始前的准备工作
<a name="advanced-setup-prereqs"></a>

在开始之前，请确保您有一个可用于创建或管理的 AWS 帐户 WorkSpace。用户无需 AWS 帐户即可连接和使用他们的 WorkSpaces.

在继续之前，请仔细阅读并理解以下概念：
+ 启动时 WorkSpace，必须选择一个 WorkSpace 捆绑包。有关更多信息，请参阅 [Amazon WorkSpaces 捆绑包。](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)
+ 启动时 WorkSpace，必须选择要与捆绑包一起使用的协议（PCoIP 或 DCV）。有关更多信息，请参阅 [WorkSpaces 个人协议](amazon-workspaces-networking.md#amazon-workspaces-protocols)。
+ 启动时 WorkSpace，必须为用户指定个人资料信息，包括用户名和电子邮件地址。用户通过指定密码完成其配置文件。有关 WorkSpaces 和用户的信息存储在目录中。有关更多信息，请参阅 [管理 WorkSpaces 个人版的目录](manage-workspaces-directory.md)。

#### 使用高级设置启动你的 WorkSpace
<a name="advanced-setup-procedure"></a>

**要使用高级设置来启动你的，请执行 WorkSpace以下操作：**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 选择以下一种目录类型，然后选择**下一步**：
   + AWS 微软 AD 托管
   + Simple AD
   + AD Connector

   

1. 输入目录信息。

1. 从两个不同的可用区选择 VPC 中的两个子网。有关更多信息，请参阅[配置具有公有子网的 VPC](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-vpc.html#configure-vpc-public-subnets)。

1. 查看您的目录信息，然后选择**创建目录**。

# WorkSpace 在 WorkSpaces 个人版中创建
<a name="create-workspaces-personal"></a>

WorkSpaces 使您能够为用户配置虚拟的、基于云的 Windows 和 Linux 桌面，称为*WorkSpaces*。

在创建个人之前 WorkSpace，请执行以下任一操作来创建目录：
+ 创建 Simple AD 目录。
+ 为微软 A AWS ctive Directory（也称为 AWS 托管 Microsoft AD）创建目录服务。
+ 使用 Active Directory Connector 连接到现有 Microsoft Active Directory。
+ 在 AWS 托管的 Microsoft AD 目录与本地域之间创建信任关系。
+ 创建使用 Microsoft Entra ID 作为身份源的专用目录（通过 IAM 身份中心）。 WorkSpaces 目录中加入了原生 Entra ID，并通过微软 Windows Autopilot 用户驱动模式注册了 Microsoft Intune。
**注意**  
此类目录目前仅支持 Windows 10 和 11 个人自带许可证 WorkSpaces。
+ 创建使用您选择的身份提供商作为身份源的专用目录（通过 IAM Identity Center）。 WorkSpaces 目录中加入了原生 Entra ID，并通过微软 Windows Autopilot 用户驱动模式注册了 Microsoft Intune。
**注意**  
此类目录目前仅支持 Windows 10 和 11 个人自带许可证 WorkSpaces。

现在，您已经创建了目录，可以创建个人目录了 WorkSpace。

**创建个人 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择 “**启动**” WorkSpaces、“**个人**”。

1. 选择 **Create WorkSpaces**（创建）。

1. 在 **Onbo** arding（可选）下，您可以**根据我的用例选择向我推荐选项**，以获取有关 WorkSpace 您要使用的类型的推荐。如果您知道要使用个人版，则可以跳过此步骤 WorkSpaces。

1. 选择 “**下一步**”。 WorkSpaces 注册您的 AD Connector。

1. 在 “**配置**” 下 WorkSpaces，输入以下详细信息：
   + 对于**捆绑包**，请从以下选项中选择要用于的捆绑包类型 WorkSpaces。
     + **使用基础 WorkSpaces 捆绑包**-从下拉列表中选择一个捆绑包。要了解您选择的捆绑包类型的更多信息，请选择**捆绑包详细信息**。要比较为池提供的捆绑包，请选择**比较所有捆绑包**。
     + **使用您自己的自定义或 BYOL 捆绑包** - 选择您之前创建的捆绑包。要创建自定义捆绑包，请参阅[为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)。
**注意**  
查看为每个捆绑包建议的用途和规格，以帮助确保您选择最适合用户的捆绑包。有关每个用例的更多信息，请参阅 [Amazon WorkSpaces 捆绑包](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。有关捆绑包规格、推荐用途和定价的更多信息，请参阅 [Amazon WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/)。
   + 对于**运行模式**，请从以下选项中进行选择，以配置个人 WorkSpace的即时可用性以及支付方式（按月或按小时）：
     + **AlwaysOn**—按月收费，可无限使用您的 WorkSpaces. 此模式最适合将 WorkSpace 全职时间用作主桌面的用户。
     + **AutoStop**— 按小时计费。使用此模式，您 WorkSpaces 将在指定的断开连接时间后停止连接，并保存应用程序和数据的状态。
   + 对于**标签**，指定要使用的键对值。键可以是具有特定关联值的一般类别，例如“project”、“owner”或“environment”。

1. 在**选择目录**下，输入以下详细信息：
   + 选择您创建的目录。要创建目录，请选择**创建目录**。有关创建个人目录的更多信息，请参阅[向 “个人” 注册现有 Directory Service 目录 WorkSpaces](register-deregister-directory.md)。
   + 通过执行以下操作，从该目录中选择要 WorkSpaces 为其配置个人的用户。

     1. 选择**创建用户**。

     1. 输入用户的**用户名**、**名字**、**姓氏**和**电子邮件地址**。要添加其他用户，请选择**创建其他用户**并输入他们的信息。

1. 在**自定义**（可选）下，您可以为所有用户或特定用户自定义捆绑包、根和用户卷加密以及用户卷。

1. 选择 “创建” WorkSpaces。的初始状态 WorkSpace 为 “待定”。创建完毕后，状态会变为“可用”，然后系统会向您为用户指定的电子邮件地址发送一封邀请电子邮件。

1. 向每个用户的电子邮件地址发送邀请。有关更多信息，请参阅 [发送邀请电子邮件](manage-workspaces-users.md#send-invitation)。
**注意**  
如果使用的是 AD Connector 或信任关系，则不会自动发送这些邀请。
如果用户已存在于 Active Directory 中，则不会发送邀请电子邮件。相反，请务必手动向用户发送邀请电子邮件。有关更多信息，请参阅 [发送邀请电子邮件](manage-workspaces-users.md#send-invitation)。
在所有区域，邀请电子邮件的文本均为英语（美国）。在以下区域，英语文本前面有第二种语言：  
亚太地区（首尔）：韩语
亚太地区（东京）：日语
加拿大（中部）：法语（加拿大）
中国（宁夏）：简体中文

## Connect 到 WorkSpace
<a name="connect-workspace-ad-connector"></a>

您可以使用自己选择的客户端连接到您 WorkSpace 的。登录后，客户端会显示 WorkSpace 桌面。

**要连接到 WorkSpace**

1. 打开邀请电子邮件中的链接。

1. 查看 *Amazon WorkSpaces 用户指南*中的[WorkSpaces 客户](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)，了解有关每位客户要求的更多信息，然后执行以下任一操作：
   + 根据系统提示，下载一个客户端应用程序或启动 Web Access。
   + 如果没有提示您并且尚未安装客户端应用程序，请打开 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/)并下载其中一个客户端应用程序或启动 Web Access。
**注意**  
您不能使用网络浏览器（网络访问）连接亚马逊 Linux WorkSpaces。

1. 启动客户端，输入邀请电子邮件中的注册代码，然后选择 **Register**。

1. 当系统提示登录时，输入用户的登录凭证，然后选择**登录**。

1. (可选) 当系统提示您保存凭证时，选择 **Yes**。

**注意**  
由于您使用的是 AD Connector，您的用户将无法重置自己的密码。（**忘记密码？** WorkSpaces 客户端应用程序登录屏幕上的选项将不可用。） 有关如何重置用户密码的信息，请参阅[为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

## 后续步骤
<a name="next-steps-ad-connector"></a>

您可以继续自定义刚 WorkSpace 刚创建的。例如，您可以安装软件，然后从中创建自定义软件包 WorkSpace。您还可以为您 WorkSpaces 和您的 WorkSpaces 目录执行各种管理任务。如果您已完成操作 WorkSpace，则可以将其删除。有关更多信息，请参阅以下文档。
+ [为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)
+ [管理 WorkSpaces 个人版](administer-workspaces.md)
+ [管理 WorkSpaces 个人版的目录](manage-workspaces-directory.md)
+ [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)

有关使用 WorkSpaces 客户端应用程序（例如设置多台显示器或使用外围设备）的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[WorkSpaces 客户端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)和[外围设备支持](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html)。

# WorkSpaces 个人网络协议和访问权限
<a name="amazon-workspaces-networking"></a>

作为 WorkSpace 管理员，您必须了解如何管理 WorkSpaces 网络和访问权限，首先是协议。

## WorkSpaces 个人协议
<a name="amazon-workspaces-protocols"></a>

亚马逊 WorkSpaces 支持两种协议： PCoIP 和 DCV。您选择的协议取决于多个因素，例如您的用户将 WorkSpaces 从哪种设备访问他们的设备、您使用的操作系统 WorkSpaces、您的用户将面临的网络状况以及您的用户是否需要双向视频支持。

### 要求
<a name="w2aac11c23b5b5"></a>

只有满足以下最低要求才支持 DCV WorkSpaces 。

主机代理要求：
+ Windows 主机代理版本 2.0.0.312 或更高版本
+ Ubuntu 主机代理版本 2.1.0.501 或更高版本
+ Amazon Linux 2 主机代理版本 2.0.0.596 或更高版本
+ Rocky Linux 主机代理版本 2.1.0.1628 或更高版本
+ Red Hat Enterprise Linux 主机代理 2.1.0.1628 或更高版本

客户端要求：
+ Windows 原生客户端版本 5.1.0.329 或更高版本
+ macOS 原生客户端版本 5.5.0 或更高版本
+ Ubuntu 22.04 客户端版本 2024.x 或更高版本
+ 亚马逊 WorkSpaces 瘦客户机（有关更多信息，请参阅[亚马逊 WorkSpaces 瘦客户机文档](https://docs.aws.amazon.com/workspaces-thin-client/)）
+ Web Access

有关如何检查您的 WorkSpace 客户端版本和主机代理版本的更多信息，请参阅[常见问题解答](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F)。

### 何时使用 DCV
<a name="w2aac11c23b5b7"></a>
+ 如果您需要更高的 loss/latency 容忍度来支持您的最终用户网络条件。例如，有些用户正在全球 WorkSpaces 范围内访问或使用不可靠的网络。
+ 如果您需要用户使用智能卡进行身份验证或在会话中使用智能卡。
+ 如果您在会话中需要网络摄像头支持功能。
+ 如果你需要在支持 Windows Server 2022 或 Windows Server 2025 的捆绑包中使用 Web Acces WorkSpaces s。
+ 如果你需要使用 Ubuntu WorkSpaces。
+ 如果你需要使用 Windows 11 BYOL WorkSpaces。
+ 如果你需要在 Windows 中使用支持 GPU 的 WorkSpaces 捆绑包。
+ 如果你需要使用基于 Windows GPU 的捆绑包（Graphics.g6、graphics.g4dn 和.g4dn）或基于 Ubuntu GPU 的捆绑包（Graphics.g4dn 和 GraphicsPro .g4dn）。 GraphicsPro
+ 如果你需要你的用户在会话中使用身份验证 WebAuthn 器（例如 YubiKey 或 Windows Hello）进行身份验证。

### 何时使用 PCo IP
<a name="w2aac11c23b5b9"></a>
+ 如果您要使用 iPad 或 Android Linux 客户端。
+ 如果您使用 Teradici 零客户端设备。
+ 如果您需要将 Linux 捆绑包用于非智能卡使用案例。
+ 如果您需要 WorkSpaces 在中国（宁夏）使用。

**注意**  
目录中可以混合使用 PCo IP 和 DCV WorkSpaces 。
用户可以同时拥有 PCo IP 和 DCV WorkSpace ，前提 WorkSpaces 是两者位于不同的目录中。同一个用户不能在同一个目录 WorkSpace 中拥有 PCo IP 和 DCV。有关为用户创建多个 WorkSpaces 项目的更多信息，请参阅[在 WorkSpaces 个人版中为用户创建多个 WorkSpaces](create-multiple-workspaces-for-user.md)。
您可以使用迁移功能在两个协议 WorkSpace 之间 WorkSpaces 迁移，该功能需要重新构建 WorkSpace。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
如果您 WorkSpace 是使用 PCo IP 捆绑包创建的，则可以修改流媒体协议以在两个协议之间迁移，而无需重建，同时保留根卷。有关更多信息，请参阅[修改协议](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols)。
为了获得最佳的视频会议体验，我们建议仅使用 Power PowerPro、 GeneralPurpose .4xlarge 或 GeneralPurpose .8xlarge 套装。

以下主题提供了有关如何管理 WorkSpaces 个人网络和访问权限的更多详细信息：

# 为 WorkSpaces 个人配置 VPC
<a name="amazon-workspaces-vpc"></a>

WorkSpaces WorkSpaces 在虚拟私有云 (VPC) 中启动你的。

您可以创建一个 VPC，其中包含两个私有子网供您使用， WorkSpaces 并在公有子网中创建一个 NAT 网关。或者，您可以创建一个 VPC，其中包含两个公有子网， WorkSpaces 并与每个 WorkSpace子网关联一个公有 IP 地址或弹性 IP 地址。

有关 VPC 设计注意事项的更多信息，请参阅 [Amazon WorkSpaces 部署 VPCs 和联网最佳](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf)实践和[部署最佳实践 WorkSpaces -VPC 设计](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html)。

**Topics**
+ [要求](#configure-vpc-requirements)
+ [配置具有私有子网和 NAT 网关的 VPC](#configure-vpc-nat-gateway)
+ [通过公有子网配置 VPC](#configure-vpc-public-subnets)

## 要求
<a name="configure-vpc-requirements"></a>

您的 VPC 的子网必须位于您要启动 WorkSpaces的区域的不同可用区中。可用区是被设计为可以隔离其他可用区的故障的不同位置。通过启动独立可用区内的实例，您可以保护您的应用程序不受单一位置故障的影响。每个子网都必须完全位于一个可用区之内，不能跨越多个可用区。

**注意**  
 WorkSpaces Amazon 在每个受支持区域的部分可用区中可用。要确定您可以将哪些可用区域用于您所使用的 VPC 的子网 WorkSpaces，请参阅[WorkSpaces 个人版的可用区](azs-workspaces.md)。

## 配置具有私有子网和 NAT 网关的 VPC
<a name="configure-vpc-nat-gateway"></a>

如果您使用 Directory Service 创建 AWS 托管 Microsoft 或 Simple AD，我们建议您为该 VPC 配置一个公有子网和两个私有子网。将您的目录配置为在私有子网 WorkSpaces 中启动您的目录。要在私有子网 WorkSpaces 中提供互联网访问权限，请在公有子网中配置 NAT 网关。

![\[配置您的 WorkSpaces VPC\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/vpc-configuration-new.png)


**创建具有一个公有子网和两个私有子网的 VPC**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 选择**创建 VPC**。

1. 在要创建的 **Resources**（资源）下，选择 **VPC and more**（VPC 等）。

1. 对于 **Name tag auto-generation**（名称标签自动生成），为 VPC 输入名称。

1. 若要配置子网，请执行以下操作：

   1. 对于 **Number of Availability Zones**（可用区域数量），根据您的需求选择 **1** 或 **2**。

   1. 展开**自定义 AZs**，然后选择您的可用区。否则，请为您 AWS 选择它们。要做出适当的选择，请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。

   1. 对于 **Number of public subnets**（公有子网数量），确保每个可用区有一个公有子网。

   1. 对于**私有子网数量**，确保每个可用区至少有一个私有子网。

   1. 为每个子网输入一个 CIDR 块。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[子网大小调整](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)。

1. 对于 **NAT 网关**，请选择**每个 AZ 1 个**。

1. 选择**创建 VPC**。

**IPv6 CIDR 块**  
您可以将 IPv6 CIDR 块与您的 VPC 及其子网关联，并将这些子网配置为自动为新启动的实例分配 IPv6 地址。对于客户创建的子网，默认情况下自动分配 IPv6 寻址处于禁用状态。要在 Amazon VPC 控制台中查看或更新此设置，请在导航窗格中选择子网，选择目标子网，然后选择**操作**、**修改自动分配 IP** 设置。

## 通过公有子网配置 VPC
<a name="configure-vpc-public-subnets"></a>

如果您愿意，您可以创建具有两个公有子网的 VPC。要为公共子网提供互联网访问权限，请将目录配置为自动分配弹性 IP 地址或手动为每个 WorkSpace子网分配弹性 IP 地址。 WorkSpaces 

**Topics**
+ [第 1 步：创建 VPC](#create-vpc-public-subnet)
+ [第 2 步：为您的 IP 地址分配公有 IP 地址 WorkSpaces](#assign-eip)

### 第 1 步：创建 VPC
<a name="create-vpc-public-subnet"></a>

如下所示创建具有一个公有子网的 VPC。

**创建 VPC**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 选择**创建 VPC**。

1. 在要创建的 **Resources**（资源）下，选择 **VPC and more**（VPC 等）。

1. 对于 **Name tag auto-generation**（名称标签自动生成），为 VPC 输入名称。

1. 若要配置子网，请执行以下操作：

   1. 对于**可用区数量**，选择 **2**。

   1. 展开**自定义 AZs**，然后选择您的可用区。否则，请为您 AWS 选择它们。要做出适当的选择，请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。

   1. 对于**Number of public subnets**（公有子网数量），选择 **2**。

   1. 对于 **Number of private subnets**（私有子网数量），选择 **0**。

   1. 为每个公有子网输入 CIDR 块。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[子网大小调整](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing)。

1. 选择**创建 VPC**。

**IPv6 CIDR 块**  
您可以将 IPv6 CIDR 块与您的 VPC 及其子网关联，并将这些子网配置为自动为新启动的实例分配 IPv6 地址。对于客户创建的子网，默认情况下自动分配 IPv6 寻址处于禁用状态。要在 Amazon VPC 控制台中查看或更新此设置，请在导航窗格中选择子网，选择目标子网，然后选择**操作**、**修改自动分配 IP** 设置。

### 第 2 步：为您的 IP 地址分配公有 IP 地址 WorkSpaces
<a name="assign-eip"></a>

您可以 WorkSpaces 自动或手动为您的分配公有 IP 地址。要使用自动分配，请参阅[为 WorkSpaces 个人版配置自动公有 IP 地址](automatic-assignment.md)。要手动分配公有 IP 地址，请使用以下过程。

**WorkSpace 手动为分配公有 IP 地址**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 展开对的行（选择箭头图标）， WorkSpace 并记下 **WorkSpace IP** 的值。这是的主私有 IP 地址 WorkSpace。

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，选择**弹性 IPs**。如果您没有可用的弹性 IP 地址，请选择**分配弹性 IP 地址**并选择**亚马逊的地 IPv4址池**或**客户拥有 IPv4的地址池**，然后选择**分配**。记下新的 IP 地址。

1. 在导航窗格中，选择**网络接口**。

1. 选择适合您的网络接口 WorkSpace。要查找您的网络接口 WorkSpace，请在搜索框中输入 **WorkSpace IP** 值（您之前记下的），然后**按 Enter**。**WorkSpace IP** 值与网络接口的主私有 IPv4 地址相匹配。请注意，网络接口的 VPC ID 与您的 WorkSpaces VPC 的 ID 一致。

1. 依次选择**操作**、**管理 IP 地址**。选择**分配新 IP**，然后选择**是，更新**。记下新的 IP 地址。

1. 依次选择 **Actions**、**Associate Address**。

1. 在**关联弹性 IP 地址**页面上，从**地址**中选择一个弹性 IP 地址。对于**关联到私有 IP 地址**，请指定新的私有 IP 地址，然后选择**关联地址**。

# 为 WorkSpaces 个人版配置 AWS Global Accelerator（AGA）
<a name="amazon-workspaces-aga"></a>

您可以在 WorkSpaces 目录级别启用 AWS Global Accelerator（AGA），也可以为运行 DCV 协议的单个 WorkSpaces 启用。启用后，该服务会自动将流式传输流量路由到最近的 AWS 边缘站点和 AWS 全球网络，而不会造成拥堵且可实现冗余。这有助于提供响应速度更快、更稳定的流式传输体验。WorkSpaces 服务负责全面管理 AGA 的使用情况，并且受出站数据量限制的约束。

**Topics**
+ [要求](#configure-aga-requirements)
+ [限制](#configure-aga-limitations)
+ [出站数据限制](#configure-aga-outbound-data-limits)
+ [为 WorkSpaces 目录启用 AGA](#enabling-aga-directory)
+ [为单个 WorkSpaces 启用 AGA](#enabling-aga-individual)

## 要求
<a name="configure-aga-requirements"></a>
+ WorkSpaces 使用一系列公有 IPv4 地址作为专用的 AWS Global Accelerator（AGA）端点。确保为通过 AGA 访问 WorkSpaces 的设备配置防火墙策略。如果 AGA 端点被防火墙阻止，WorkSpaces 的流式传输流量将不会通过 AGA 进行路由。有关每个 AWS 区域中 AGA 端点 IP 范围的更多信息，请参阅 [DCV 网关服务器](workspaces-port-requirements.md#gateway_WSP)。
+ 要通过 AGA 访问 WorkSpaces，用户必须使用 WorkSpaces 客户端版本 5.23 或更高版本。

## 限制
<a name="configure-aga-limitations"></a>
+ 您只能为 DCV WorkSpaces 启用 AGA。如果您在 WorkSpaces 目录级别启用 AGA，则它将仅应用于目录中的 DCV WorkSpaces。
+ 您无法为同时启用 FIPS 和 IP 访问控制组的目录（或目录中的 WorkSpaces）启用 AGA。在为目录启用 AGA 之前，必须禁用 FIPS 或 IP 访问控制组。

## 出站数据限制
<a name="configure-aga-outbound-data-limits"></a>

以下是 WorkSpaces 捆绑包适用的数据量限制。
+ **Value、Standard 和 Performance 捆绑包：**包括每位用户每月 20 GB 的 AGA 出站数据。
+ **Power、PowerPro 和 Graphics 捆绑包：**包括每位用户每月 50 GB 的 AGA 出站数据。

这些出站数据限制旨在满足用户从其 WorkSpaces 进行流式传输的数据使用需求。超出限制后，WorkSpaces 服务可能会限制 AGA 使用，并根据具体情况将 WorkSpaces 流量从 AGA 路由出去。

## 为 WorkSpaces 目录启用 AGA
<a name="enabling-aga-directory"></a>

您可以在目录级别配置 AGA 设置。这些设置将应用于目录中的所有 DCV WorkSpaces，除非被单个 WorkSpaces 的设置覆盖。

**为目录启用 AGA**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 在**目录 ID** 列下，选择要为其配置 AGA 设置的目录的目录 ID。

1. 在目录详细信息页面上，向下滚动到 AWS Global Accelerator（AGA）配置部分，然后选择**编辑**。

1. 选择**启用 AGA（自动）**。

1. 默认情况下，系统会选中**始终使用 TCP 和 AGA**。如果您取消选中该选项，您的 WorkSpaces 客户端会根据客户端上的 DCV 流式传输协议设置来确定 AGA 是使用 TCP 还是 UDP。

1. 选择 **Save**。

为 WorkSpaces 目录启用 AGA 后，目录中的 DCV WorkSpaces 会从下一个会话开始使用 AGA 进行流式传输。无需重新启动。

## 为单个 WorkSpaces 启用 AGA
<a name="enabling-aga-individual"></a>

您可以为单个 WorkSpaces 配置 AGA 设置，这些设置会覆盖从与该 WorkSpaces 关联的目录中继承的设置。

**为单个 WorkSpaces 启用 AGA**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，依次选择 **WorkSpaces**、**个人版**。

1. 在**工作空间 ID** 列下，选择要为其配置 AGA 设置的工作空间的工作空间 ID。

1. 在 WorkSpaces 详细信息页面上，向下滚动到 AWS Global Accelerator（AGA）配置部分，然后选择**编辑**。

1. 选择**手动覆盖此工作空间的 AGA 配置**。

1. 选择**启用 AGA（自动）**。

1. 默认情况下，系统会选中**始终使用 TCP 和 AGA**。如果您取消选中该选项，您的 WorkSpaces 客户端会根据客户端上的 DCV 流式传输协议设置来确定 AGA 是使用 TCP 还是 UDP。

1. 选择 **Save**。

# WorkSpaces 个人版的可用区
<a name="azs-workspaces"></a>

当您创建用于 Amazon WorkSpaces 的虚拟私有云 (VPC) 时，您 VPC 的子网必须位于您启动 WorkSpaces 所在区域中的其他可用区中。可用区是被设计为可以隔离其他可用区的故障的不同位置。通过启动独立可用区内的实例，您可以保护您的应用程序不受单一位置故障的影响。每个子网都必须完全位于一个可用区之内，不能跨越多个可用区。

可用区由区域代码后跟一个字母标识符表示；例如，`us-east-1a`。为确保资源分配到区域的各可用区，我们将可用区独立映射到每个 AWS 账户的名称。例如，您的 `us-east-1a` 账户的可用区 AWS 可能与另一 `us-east-1a` 账户的 AWS 不在同一位置。

要跨账户协调可用区，您必须使用 *AZ ID*（可用区的唯一、一致的标识符）。例如，`use1-az2` 是 `us-east-1` 区域的 AZ ID，它在每个 AWS 账户中的位置均相同。

通过查看 AZ ID，您可以确定一个账户中的资源相对于另一个账户中的资源所在的位置。例如，如果您在 AZ ID 为 `use1-az2` 的可用区中与另一个账户共享一个子网，则在 AZ ID 也为 `use1-az2` 的可用区中该账户便可使用这一子网。每个 VPC 和子网的 AZ ID 均显示在 Amazon VPC 控制台中。

Amazon WorkSpaces 仅可在每个受支持区域的部分可用区中使用。下表列出了每个区域中您可以使用的可用区 ID 列表。要查看您账户中可用区 ID 到可用区的映射，请参阅《AWS RAM 用户指南》**中的[您的资源的 AZ ID](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html)。


| 区域名称 | 区域代码 | 支持的 AZ ID | 
| --- | --- | --- | 
| 美国东部（弗吉尼亚州北部） | us-east-1 | use1-az2, use1-az4, use1-az6 | 
| 美国西部（俄勒冈州） | us-west-2 | usw2-az1, usw2-az2, usw2-az3 | 
| 亚太地区（孟买） | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 | 
| 亚太地区（首尔） | ap-northeast-2 | apne2-az1, apne2-az3 | 
| 亚太地区（新加坡） | ap-southeast-1 | apse1-az1, apse1-az2 | 
| 亚太地区（悉尼） | ap-southeast-2 | apse2-az1, apse2-az3 | 
| 亚太地区（东京） | ap-northeast-1 | apne1-az1, apne1-az4 | 
| 加拿大（中部） | ca-central-1 | cac1-az1, cac1-az2 | 
| 欧洲地区（法兰克福） | eu-central-1 | euc1-az2, euc1-az3 | 
| 欧洲地区（爱尔兰） | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 | 
| 欧洲地区（伦敦） | eu-west-2 | euw2-az2, euw2-az3 | 
| 欧洲（巴黎） | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 | 
| 南美洲（圣保罗） | sa-east-1 | sae1-az1, sae1-az3 | 
| 非洲（开普敦） | af-south-1 | afs1-az1, afs1-az2, afs1-az3 | 
| 以色列（特拉维夫） | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 | 
| AWS GovCloud（美国西部） | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 | 
| AWS GovCloud（美国东部） | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 | 

有关可用区和 AZ ID 的更多信息，请参阅《Amazon EC2 用户指南》**中的[区域、可用区和本地区域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html)。

# WorkSpaces 个人的 IP 地址和端口要求
<a name="workspaces-port-requirements"></a>

要连接到您的 WorkSpaces，您的 WorkSpaces 客户端所连接的网络必须为各种 AWS 服务的 IP 地址范围（按子集分组）开放某些端口。这些地址范围因 AWS 地区而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关不同区域的 AWS IP 地址范围的更多信息，请参阅中的 [AWS IP 地址范围*Amazon Web Services 一般参考*](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。

有关其他架构图，请参阅[部署 Amazon 的最佳实践 WorkSpaces](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)。

## 用于客户端应用程序的端口
<a name="client-application-ports"></a>

 WorkSpaces 客户端应用程序需要通过以下端口进行出站访问：

端口 53 (UDP)  
此端口用于访问 DNS 服务器。它必须对您的 DNS 服务器 IP 地址开放，以使客户端可以解析公有域名。如果您不使用 DNS 服务器进行域名解析，则此端口要求是可选的。

端口 443 (UDP 和 TCP)  
此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器，请打开客户端应用程序，依次选择 **Advanced Settings** 和 **Use Proxy Server**，指定代理服务器的地址和端口，然后选择 **Save**。  
此端口必须对以下 IP 地址范围开放：  
+ `GLOBAL` 区域中的 `AMAZON` 子集。
+ 所在区域中的`AMAZON` WorkSpace 子集。
+ `us-east-1` 区域中的 `AMAZON` 子集。
+ `us-west-2` 区域中的 `AMAZON` 子集。
+ `us-west-2` 区域中的 `S3` 子集。

端口 4172 (UDP 和 TCP)  
此端口用于流式传输 WorkSpace 桌面和 PCo IP 的运行状况检查 WorkSpaces。必须向 PCo IP 网关及其所在区域的运行状况检查服务器开放此端口。 WorkSpace 有关更多信息，请参阅[运行状况检查服务器](#health_check)和[PCoIP 网关服务器](#gateway_IP)。  
对于 PCo IP WorkSpaces，桌面客户端应用程序不支持使用代理服务器，也不支持 TLS 解密和检查 UDP 中的端口 4172 流量（用于桌面流量）。它们需要直接连接到端口 4172。

端口 4195（UDP 和 TCP）  
此端口用于流式传输 WorkSpace 桌面和 DCV WorkSpaces 的运行状况检查。此端口必须向 DCV 网关 IP 地址范围和所在区域中的运行状况检查服务器开放。 WorkSpace 有关更多信息，请参阅[运行状况检查服务器](#health_check)和[DCV 网关服务器](#gateway_WSP)。  
对于 DCV WorkSpaces， WorkSpaces Windows 客户端应用程序（版本 5.1 及更高版本）和 macOS 客户端应用程序（版本 5.4 及更高版本）支持对端口 4195 的 TCP 流量使用 HTTP 代理服务器，但不建议使用代理。不支持 TLS 解密和检查。有关更多信息，请参阅**为 [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy)、[Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) 和 [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu) 配置用于互联网访问的设备代理服务器设置**。

**注意**  
如果防火墙使用有状态筛选功能，则会自动打开临时（也称为动态）端口，以便允许返回通信。如果您的防火墙使用无状态筛选功能，则需要明确打开临时端口，以便允许返回通信。根据您的配置，需要打开的临时端口范围有所不同。
UDP 流量不支持代理服务器功能。如果您选择使用代理服务器，则客户端应用程序对 Amazon WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。
为了获得最佳性能， WorkSpaces 客户端应用程序首先尝试使用 UDP (QUIC) 进行流式传输。如果客户端网络仅允许 TCP，则将使用 TCP。 WorkSpaces Web 客户端将通过 TCP 端口 4195 或 443 进行连接。如果端口 4195 被屏蔽，则客户端将仅尝试通过端口 443 进行连接。

## 用于 Web Access 的端口
<a name="web-access-ports"></a>

WorkSpaces Web 访问需要以下端口的出站访问权限：

端口 53 (UDP)  
此端口用于访问 DNS 服务器。它必须对您的 DNS 服务器 IP 地址开放，以使客户端可以解析公有域名。如果您不使用 DNS 服务器进行域名解析，则此端口要求是可选的。

端口 80 (UDP 和 TCP)  
此端口用于与 `https://clients.amazonworkspaces.com` 的初始连接，该连接之后切换为 HTTPS。它必须向所在区域`EC2`子集中的所有 IP 地址范围开放。 WorkSpace 

端口 443 (UDP 和 TCP)  
此端口用于使用 HTTPS 进行注册和身份验证。它必须向所在区域`EC2`子集中的所有 IP 地址范围开放。 WorkSpace 

端口 4195（UDP 和 TCP）  
 WorkSpaces 对于为 DCV 配置的端口，此端口用于流式传输 WorkSpaces 桌面流量。此端口必须对 DCV 网关 IP 地址范围开放。有关更多信息，请参阅 [DCV 网关服务器](#gateway_WSP)。  
DCV Web Access 支持使用代理服务器处理端口 4195 TCP 流量，但不建议这样做。有关更多信息，请参阅**为 [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy)、[Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) 或 [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu) 配置用于互联网访问的设备代理服务器设置**。

**注意**  
如果防火墙使用有状态筛选功能，则会自动打开临时（也称为动态）端口，以便允许返回通信。如果您的防火墙使用无状态筛选功能，则需要明确打开临时端口，以便允许返回通信。根据您的配置，必须打开的临时端口的范围有所不同。
为了获得最佳性能， WorkSpaces 客户端应用程序首先尝试使用 UDP (QUIC) 进行流式传输。如果客户端网络仅允许 TCP，则将使用 TCP。 WorkSpaces Web 客户端将通过 TCP 端口 4195 或 443 进行连接。如果端口 4195 被屏蔽，则客户端将仅尝试通过端口 443 进行连接。

通常，Web 浏览器会随机选择高范围内的源端口，用于流式传输流量。 WorkSpaces Web Access 无法控制浏览器选择的端口。您必须确保允许流量返回到该端口。

## 要添加到允许列表的域和 IP 地址
<a name="whitelisted_ports"></a>

要使 WorkSpaces 客户端应用程序能够访问该 WorkSpaces 服务，您必须将以下域和 IP 地址添加到客户端尝试访问服务的网络上的允许列表中。


**要添加到允许列表的域和 IP 地址**  

| 类别 | 域或 IP 地址 | 
| --- | --- | 
| 验证码 |  https://opfcaptcha-prod.s3.amazonaws.com/https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com  | 
| 客户端自动更新 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  |  https://fls-na.amazon.com/  | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 用户登录页面 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) https://*directory\$1id*.awsapps.com/ **directory id** 是客户的域。 在 AWS GovCloud （美国西部）和 AWS GovCloud （美国东部）区域： https://login.us-gov-home.awsapps.com/directory/*directory id*/  **directory id** 是客户的域。  | 
| WS 代理 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces SAML 单点登录 (SSO) 的终端节点 |  域: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**要添加到您的 IP 允许列表中的域 PCo和 IP 地址**  

| 类别 | 域或 IP 地址 | 
| --- | --- | 
| PCoIP 会话网关 (PSG) | [PCoIP 网关服务器](#gateway_IP) | 
| 会话代理 (PCM) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**要添加到 DCV 允许列表的域和 IP 地址**  

| 类别 | 域或 IP 地址 | 
| --- | --- | 
| DCV 会话网关（WSG） |  [DCV 网关服务器](#gateway_WSP)  | 
| 适用于 DCV 的 Web Access TURN 服务器 |  [DCV 网关服务器](#gateway_WSP)  | 

## 运行状况检查服务器
<a name="health_check"></a>

 WorkSpaces 客户端应用程序通过端口 4172 和 4195 执行运行状况检查。这些检查验证 TCP 还是 UDP 流量是从 WorkSpaces 服务器流向客户端应用程序。要成功完成这些检查，您的防火墙策略必须允许指向以下区域运行状况检查服务器的 IP 地址的出站流量。


| Region | 运行状况检查主机名 | IP 地址 | 
| --- | --- | --- | 
| 美国东部（弗吉尼亚州北部） |  IPv4: drp-iad.amazonworkspaces.com IPv6: drp-workspaces.us-east-1.api.aws  |  IPv4: 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6: 2600:1 f 18:74 e 9:4400:: /56  | 
| 美国西部（俄勒冈州） |  IPv4: drp-pdx.amazonworkspaces.com IPv6: drp-workspaces.us-west-2.api.aws  |  IPv4: 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6: 2600:1 f 14:278 e: 5700:: /56  | 
| 亚太地区（孟买） |  IPv4: drp-bom.amazonworkspaces.com IPv6: drp-workspaces.ap-south-1.api.aw  |  IPv4: 13.127.57.82 13.234.250.73 IPv6: 2406:da1a:502:b800:: /56  | 
| 亚太地区（首尔） |  IPv4: drp-icn.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-2.api.aws  |  IPv4: 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6: 2406:da12:c8c:4900:: /56  | 
| 亚太地区（新加坡） |  IPv4: drp-sin.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-1.api.aws  |  IPv4: 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6: 2406:da 18:991:4 a00:: /56  | 
| 亚太地区（悉尼） |  IPv4: drp-syd.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-2.api.aws  |  IPv4: 3.24.11.127 13.237.232.125 IPv6: 2406:da1c: 9b 5:9 d00:: /56  | 
| 亚太地区（东京） |  IPv4: drp-nrt.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-1.api.aws  |  IPv4: 18.178.102.247 54.64.174.128 IPv6: 2406:da 14:785:5300:: /56  | 
| 加拿大（中部） |  IPv4: drp-yul.amazonworkspaces.com IPv6: drp-workspaces.ca-central-1.api.aw  |  IPv4: 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6: 2600:1 f 11:759:d900:: /56  | 
| 欧洲地区（法兰克福） |  IPv4: drp-fra.amazonworkspaces.com IPv6: drp-workspaces.eu-ctral-1.api.aws  |  IPv4: 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6: 2a05:d014:b5c: 500:: /56  | 
| 欧洲地区（爱尔兰） |  IPv4: drp-dub.amazonworkspaces.com IPv6: drp-workspaces.eu-west-1.api.aws  |  IPv4: 18.200.177.86 52.48.86.38 54.76.137.224 IPv6: 2a05:d 018:10 ca: f400:: /56  | 
| 欧洲地区（伦敦） |  IPv4: drp-lhr.amazonworkspaces.com IPv6: drp-workspaces.eu-west-2.api.aws  |  IPv4: 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6: 2a05:d01c: 263:f400:: /56  | 
| 欧洲地区（巴黎） |  IPv4: drp-cdg.amazonworkspaces.com IPv6: drp-workspaces.eu-west-3.api.aws  |  IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d 012:16:8600:: /56  | 
| 南美洲（圣保罗） |  IPv4: drp-gru.amazonworkspaces.com IPv6: drp-workspaces.sa-east-1.api.aws  |  IPv4: 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6: 2600:1 f1e: bbf: fa00:: /56  | 
| 非洲（开普敦） |  IPv4: drp-cpt.amazonworkspaces.com/ IPv6: drp-workspaces.af-south-1.api.a  |  IPv4: 13.244.128.155 13.245.205.255 13.245.216.116 IPv6: 2406:da 11:685:2400:: /56  | 
| 以色列（特拉维夫） |  IPv4: drp-tlv.amazonworkspaces.com/ IPv6: drp-workspaces.il-central-1.api.a  |  IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d025:c78:fc00:: /56  | 
| AWS GovCloud （美国西部） |  IPv4: drp-pdt.amazonworkspaces.com IPv6: drp-工作空间。 us-gov-west-1.api.aws  |  IPv4: 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6: 2600:1 f 12:28 f: af00:: /56  | 
| AWS GovCloud （美国东部） |  IPv4: drp-osu.amazonworkspaces.com IPv6: drp-工作空间。 us-gov-east-1.api.aws  |  IPv4: 18.253.251.70 18.254.0.118 IPv6: 2600:1 f15:a 45:3 e00:: /56  | 

## PCoIP 网关服务器
<a name="gateway_IP"></a>

WorkSpaces 使用 PCoIP 通过端口 4172 将桌面会话流式传输到客户端。对于其 PCoIP 网关服务器， WorkSpaces 使用少量的 Amazon EC2 公有地址 IPv4 和 IPv6 地址。这样，您可以为用于访问 WorkSpaces 的设备设置更为精细的防火墙策略。请注意，当支持并且可以访问网关 IPv6 时， WorkSpaces 客户端会优先考虑 IPv6 连接。如果 IPv6 不可用，则会回退到 IPv4。


| Region | 区域代码 | 公有 IP 地址范围 | 
| --- | --- | --- | 
| 美国东部（弗吉尼亚州北部） | us-east-1 |  3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600:1f32:8000::/39   | 
| 美国西部（俄勒冈州） | us-west-2 |  35.80.88.0 - 35.80.95.255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600:1f32:4000::/39   | 
| 亚太地区（孟买） | ap-south-1 |  13.126.243.0 - 13.126.243.255 2406:da32:a000::/40  | 
| 亚太地区（首尔） | ap-northeast-2 |  3.34.37.0 - 3.34.37.255 3.34.38.0 - 3.34.39.255 13.124.247.0 - 13.124.247.255 2406:da32:2000::/40  | 
| 亚太地区（新加坡） | ap-southeast-1 |  18.141.152.0 - 18.141.152.255 18.141.154.0 - 18.141.155.255 52.76.127.0 - 52.76.127.255 2406:da32:8000::/40  | 
| 亚太地区（悉尼） | ap-southeast-2 |  3.25.43.0 - 3.25.43.255 3.25.44.0 - 3.25.45.255 54.153.254.0 - 54.153.254.255 2406:da32:c000::/40  | 
| 亚太地区（东京） | ap-northeast-1 |  18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406:da32:4000::/40  | 
| 加拿大（中部） | ca-central-1 |  15.223.100.0 - 15.223.100.255 15.223.102.0 - 15.223.103.255 35.183.255.0 - 35.183.255.255 2600:1f32:1000::/40  | 
| 欧洲地区（法兰克福） | eu-central-1 |  18.156.52.0 - 18.156.52.255 18.156.54.0 - 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05:d032:4000::/40  | 
| 欧洲地区（爱尔兰） | eu-west-1 |  3.249.28.0 - 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05:d032:8000::/40  | 
| 欧洲（伦敦） | eu-west-2 |  18.132.21.0 - 18.132.21.255 18.132.22.0 - 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05:d032:c000::/40  | 
| 欧洲地区（巴黎） | eu-west-3 |  51.44.204.0-51.44.207.255  | 
| 南美洲（圣保罗） | sa-east-1 |  18.230.103.0 - 18.230.103.255 18.230.104.0 - 18.230.105.255 54.233.204.0 - 54.233.204.255 2600:1f32:e000::/40  | 
| 非洲（开普敦） | af-south-1 |  13.246.120.0 - 13.246.123.255 2406:da32:1000::/40  | 
| 以色列（特拉维夫） | il-central-1 |   51.17.28.0 - 51.17.31.255 2a05:d032:5000::/40  | 
| AWS GovCloud （美国西部） | us-gov-west-1 |  52.61.193.0 - 52.61.193.255 2600:1f32:2000::/40  | 
| AWS GovCloud （美国东部） | us-gov-east-1 |  18.254.140.0 - 18.254.143.255 2600:1f32:5000::/40  | 

## DCV 网关服务器
<a name="gateway_WSP"></a>

**重要**  
从 2020 年 6 月开始，通过端口 4195 而不是端口 4172 WorkSpaces 将 DCV 的桌面会话 WorkSpaces 流式传输到客户端。如果要使用 DCV WorkSpaces，请确保端口 4195 已通信。

**注意**  
对于非 BYOL WorkSpaces 池，无法保证 IP 地址范围。您必须将 DCV 网关域名列入许可名单。有关更多信息，请参阅 [DCV 网关域名](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp)。

WorkSpaces 为其 DCV 网关服务器使用少量的 Amazon EC2 公共 IPv6 地址 IPv4 和地址。这使您能够为访问 WorkSpaces的设备设置更精细的防火墙策略。 WorkSpaces 为专用 AWS 全球加速器 (AGA) 端点使用单独的公有 IPv4 地址范围。如果您计划为自己启用 AGA，请务必将防火墙策略配置为允许名单 IP 范围。 WorkSpaces请注意，当支持并且可以访问网关 IPv6 时， WorkSpaces 客户端会优先考虑 IPv6 连接。如果 IPv6 不可用，则会回退到 IPv4。

如果您使用 AGA \$1 IPv6，则需要将该范围中的 IPv6 CIDR 范围列入许可名单。`GLOBALACCELERATOR`有关更多信息，请参阅《AWS Global Accelerator 开发人员指南》中的 [Global Accelerator 边缘服务器的位置和 IP 地址范围](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html)**。


| Region | 区域代码 | 公有 IP 地址范围 | 
| --- | --- | --- | 
| 美国东部（弗吉尼亚州北部） | us-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 美国东部（俄亥俄州） | us-east-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 美国西部（俄勒冈州） | us-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亚太地区（孟买） | ap-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亚太地区（首尔） | ap-northeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亚太地区（新加坡） | ap-southeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亚太地区（悉尼） | ap-southeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亚太地区（马来西亚） | ap-southeast-5 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 亚太地区（东京） | ap-northeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 加拿大（中部） | ca-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧洲地区（法兰克福） | eu-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧洲地区（爱尔兰） | eu-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧洲（伦敦） | eu-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 欧洲地区（巴黎） | eu-west-3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 南美洲（圣保罗） | sa-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 非洲（开普敦） | af-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 以色列（特拉维夫） | il-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud （美国西部） | us-gov-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud （美国东部） | us-gov-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 

## DCV 网关域名
<a name="dns-wsp"></a>

下表列出了 DCV WorkSpace 网关域名。这些域必须是可联系的， WorkSpaces 客户端应用程序才能访问 WorkSpace DCV 服务。


| Region | 域： | 
| --- | --- | 
| 美国东部（弗吉尼亚州北部） | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 美国西部（俄勒冈州） | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 亚太地区（孟买） | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| 亚太地区（首尔） | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| 亚太地区（新加坡） | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| 亚太地区（悉尼） | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| 亚太地区（东京） | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| 加拿大（中部） | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| 欧洲地区（法兰克福） | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| 欧洲地区（爱尔兰） | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| 欧洲地区（伦敦） | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| 欧洲地区（巴黎） | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| 南美洲（圣保罗） | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| 非洲（开普敦） | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| 以色列（特拉维夫） | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| AWS GovCloud （美国西部） | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| AWS GovCloud （美国东部） | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

## 网络接口
<a name="network-interfaces"></a>

每个 WorkSpace 都有以下网络接口：
+ 主网络接口 (eth1) 提供与您的 VPC 内和互联网上的资源的连接，并用于加入目录。 WorkSpace 
+ 管理网络接口 (eth0) 已连接到安全的 WorkSpaces 管理网络。它用于将 WorkSpace桌面以交互方式流式传输到 WorkSpaces 客户端，并允许 WorkSpaces 管理 WorkSpace。

WorkSpaces 根据创建管理网络接口的区域，从不同的地址范围中选择管理网络接口 WorkSpaces 的 IP 地址。注册目录后， WorkSpaces 测试您的 VPC CIDR 和您的 VPC 中的路由表，以确定这些地址范围是否会造成冲突。如果区域中的所有可用地址范围存在冲突，则会显示一条错误消息，而且目录将无法注册。如果您在目录注册后更改了 VPC 中的路由表，则可能会导致冲突。

**警告**  
请勿修改或删除连接到的任何网络接口 WorkSpace。这样做可能会导致无法 WorkSpace 访问或无法访问互联网。例如，如果您在目录级别[启用了弹性 IP 地址的自动分配](automatic-assignment.md)，则会在启动[弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)（来自亚马逊提供的地址池） WorkSpace时分配给您。但是，如果您将自己拥有的弹性 IP 地址关联到 WorkSpace，然后又将该弹性 IP 地址与解除关联 WorkSpace，则该弹性 IP 地址将 WorkSpace 丢失其公有 IP 地址，并且不会自动从亚马逊提供的池中获取新的 IP 地址。  
要将亚马逊提供的资源池中的新公有 IP 地址与相关联 WorkSpace，您必须[重新构建](rebuild-workspace.md)。 WorkSpace如果您不想重建 WorkSpace，则必须将您拥有的另一个弹性 IP 地址与关联起来 WorkSpace。

### 管理接口 IP 范围
<a name="management-ip-ranges"></a>

下表列出了用于管理网络接口的 IP 地址范围。

**注意**  
**如果您使用的是自带许可证 (BYOL) Windows WorkSpaces**，则下表中的 IP 地址范围不适用。相反， PCoIP BYOL WorkSpaces 使用 54.239.224.0/20 的 IP 地址范围来管理所有区域的管理接口流量。 AWS 对于 DCV BYOL Windows WorkSpaces，54.239.224.0/20 和 10.0.0.0/8 的 IP 地址范围均适用于所有区域。 AWS （除了您为 BY WorkSpaces OL 的管理流量选择的 /16 CIDR 块之外，还会使用这些 IP 地址范围。）
**如果您使用的是通过公共捆绑包 WorkSpaces 创建的 DCV**，则除了下表所示的范围外，IP 地址范围 10.0.0.0/8 还适用于所有 AWS 区域的管理接口流量。 PCoIP/DCV 


| Region | IP 地址范围 | 
| --- | --- | 
| 美国东部（弗吉尼亚州北部） | PCoIP/WSP：172.31.0.0/16、192.168.0.0/16、198.19.0.0/16 WSP：10.0.0.0/8 | 
| 美国西部（俄勒冈州） | PCoIP/WSP：172.31.0.0/16、192.168.0.0/16 和 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亚太地区（孟买） | PCoIP/WSP：192.168.0.0/16 WSP：10.0.0.0/8 | 
| 亚太地区（首尔） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亚太地区（新加坡） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亚太地区（悉尼） | PCoIP/WSP：172.31.0.0/16、192.168.0.0/16 和 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 亚太地区（东京） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 加拿大（中部） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 欧洲地区（法兰克福） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 欧洲地区（爱尔兰） | PCoIP/WSP：172.31.0.0/16、192.168.0.0/16 和 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 欧洲地区（伦敦） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 欧洲地区（巴黎） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 南美洲（圣保罗） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| 非洲（开普敦） | PCoIP/WSP：172.31.0.0/16 和 198.19.0.0/16 WSP：10.0.0.0/8 | 
| 以色列（特拉维夫） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 
| AWS GovCloud （美国西部） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 和 192.169.0.0/16 | 
| AWS GovCloud （美国东部） | PCoIP/WSP：198.19.0.0/16 WSP：10.0.0.0/8 | 

### 管理接口端口
<a name="management_ports"></a>

必须在所有人的管理网络接口上打开以下端口 WorkSpaces：
+ 端口 4172 上的入站 TCP。这用于在 PCo IP 协议上建立流媒体连接。
+ 端口 4172 上的入站 UDP。这用于在 PCo IP 协议上流式传输用户输入。
+ 端口 4489 上的入站 TCP。这用于通过 Web 客户端访问。
+ 端口 8200 上的入站 TCP。这用于管理和配置 WorkSpace。
+ 端口 8201-8250 上的入站 TCP。这些端口用于建立流式连接以及基于 DCV 协议流式传输用户输入。
+ 端口 8220 上的入站 UDP。此端口用于建立流式连接以及基于 DCV 协议流式传输用户输入
+ 出站 TCP 端口 8443 和 9997。这用于通过 Web 客户端访问。
+ 端口 3478、4172 和 4195 上的出站 UDP。这用于通过 Web 客户端访问。
+ 端口 50002 和 55002 上的出站 UDP。用于流式传输。如果您的防火墙使用有状态筛选，则临时端口 50002 和 55002 会自动打开以允许返回通信。如果您的防火墙使用无状态筛选，则需要打开临时端口 49152 至 65535，以便允许返回通信。
+ 端口 80（如[管理接口 IP 范围](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges)中所定义）的出站 TCP 到 IP 地址 169.254.169.254，以访问 EC2 元数据服务。分配给您的任何 HTTP 代理还 WorkSpaces 必须排除 169.254.169.254。
+ 使用端口 1688 通过出站 TCP 将流量发送到 IP 地址 169.254.169.250 和 169.254.169.251，以允许针对基于公共捆绑包的 WorkSpaces 通过访问 Microsoft KMS 来激活 Windows。如果你使用的是自带许可证 (BYOL) Windows WorkSpaces，则必须允许访问自己的 KMS 服务器才能激活 Windows。
+ 端口 1688 上的出站 TCP 到 IP 地址 54.239.236.220，允许访问微软 KMS 进行 Office 激活 BYOL。 WorkSpaces

  如果你通过其中一个 WorkSpaces 公共捆绑包使用 Office，则用于激活 Office 的 Microsoft KMS 的 IP 地址会有所不同。要确定该 IP 地址，请找到的管理接口的 IP 地址 WorkSpace，然后将最后两个二进制八位数替换为。`64.250`例如，如果管理接口的 IP 地址为 192.168.3.5，则用于激活 Office 的 Microsoft KMS 的 IP 地址为 192.168.64.250。
+ 当 WorkSpace 主机配置为使用代理服务器 WorkSpaces 时，DCV 的出站 TCP 到 IP 地址 127.0.0.2。
+ 源自环回地址 127.0.01 的通信。

在正常情况下，该 WorkSpaces 服务会为您 WorkSpaces配置这些端口。如果安装了任何安全软件或防火墙软件 WorkSpace 来阻塞这些端口中的任何一个，则 WorkSpace 可能无法正常运行或无法访问。

### 主接口端口
<a name="primary_ports"></a>

无论您使用哪种类型的目录，都必须在所有目录的主网络接口上打开以下端口 WorkSpaces：
+ 要进行互联网连接，以下端口必须开放到所有目的地的出站端口和从 WorkSpaces VPC 入站的端口。如果您想让他们能够访问互联网， WorkSpaces 则需要手动将它们添加到您的安全组中。
  + TCP 80 (HTTP)
  + TCP 443 (HTTPS)
+ 要与目录控制器通信，必须打开您的 WorkSpaces VPC 和目录控制器之间的以下端口。对于 Simple AD 目录，由创建的安全组 Directory Service 将正确配置这些端口。对于 AD Connector 目录，您可能需要调整 VPC 的默认安全组才能打开这些端口。
  + TCP/UDP 53 - DNS
  + TCP/UDP 88 - Kerberos 身份验证
  + UDP 123 - NTP
  + TCP 135 - RPC
  + UDP 137-138 - Netlogon
  + TCP 139 - Netlogon
  + TCP/UDP 389 - LDAP
  + TCP/UDP 445 - SMB
  + TCP/UDP 636 - LDAPS (LDAP over TLS/SSL)
  + TCP 1024-65535 - RPC 动态端口
  + TTCP 3268-3269 - 全局目录

  如果安装了任何安全软件或防火墙软件 WorkSpace 来阻塞这些端口中的任何一个，则 WorkSpace 可能无法正常运行或无法访问。

## 按区域划分的 IP 地址和端口要求
<a name="ip-address-regions"></a>

### 美国东部（弗吉尼亚州北部）
<a name="us-east"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.us-east-1.amazonaws.com   | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.us-east-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.us-east-1.signin.aws | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域: https://workspaces.us-east-1.amazonaws.com  | 
| 会话代理 (PCM) | 域: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-iad.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| DCV 网关域名 | \$1.prod.us-east-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 美国西部（俄勒冈州）
<a name="us-west"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.us-west-2.amazonaws.com   | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.us-west-2.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.us-west-2.signin.aws | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-pdx.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 34.223.96.0/22 | 
| DCV 网关域名 | \$1.prod.us-west-2.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亚太地区（孟买）
<a name="ap-south"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.ap-south-1.amazonaws.com   | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.ap-south-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | Web Access 目前在亚太地区（孟买）区域不可用 | 
| 运行状况检查主机名 | drp-bom.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 | 13.126.243.0 - 13.126.243.255 | 
| DCV 网关服务器 IP 地址范围 | 65.1.156.0/22 | 
| DCV 网关域名 | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亚太地区（首尔）
<a name="ap-northeast-2"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 设备指标（适用于 1.0 及更高版本和 2.0 WorkSpaces 及更高版本的客户端应用程序） | https://device-metrics-us-2.amazon.com/ | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.ap-northeast-2.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.ap-northeast-2.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-icn.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 3.35.160.0/22 | 
| DCV 网关域名 | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亚太地区（新加坡）
<a name="ap-southeast-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.ap-southeast-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域: https://ws-client-service.ap-southeast-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-sin.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 13.212.132.0/22 | 
| DCV 网关域名 | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亚太地区（悉尼）
<a name="ap-southeast-2"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.ap-southeast-2.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.ap-southeast-2.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.ap-southeast-2.signin.aws | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-syd.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 3.25.248.0/22 | 
| DCV 网关域名 | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 亚太地区（东京）
<a name="ap-northeast-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.ap-northeast-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.ap-northeast-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.ap-northeast-1.signin.aws | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-nrt.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 3.114.164.0/22 | 
| DCV 网关域名 | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 加拿大（中部）
<a name="ca-central-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.ca-central-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.ca-central-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-yul.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 3.97.20.0/22 | 
| DCV 网关域名 | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧洲地区（法兰克福）
<a name="eu-central-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.eu-central-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.eu-central-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-fra.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 18.192.216.0/22 | 
| DCV 网关域名 | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧洲地区（爱尔兰）
<a name="eu-west-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.eu-west-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.eu-west-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.eu-west-1.signin.aws | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-dub.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 3.248.176.0/22 | 
| DCV 网关域名 | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧洲地区（伦敦）
<a name="eu-west-2"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.eu-west-2.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.eu-west-2.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-lhr.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 18.134.68.0/22 | 
| DCV 网关域名 | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 欧洲地区（巴黎）
<a name="eu-west-3"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/客户 | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.eu-west-3.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.eu-west-3.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-cdg.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 |  51.17.72.0/22 | 
| DCV 网关域名 | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 南美洲（圣保罗）
<a name="sa-east-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.sa-east-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.sa-east-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-gru.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 15.228.64.0/22 | 
| DCV 网关域名 | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 非洲（开普敦）
<a name="sa-east-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.af-south-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.af-south-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-cpt.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 15.228.64.0/22 | 
| DCV 网关域名 | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### 以色列（特拉维夫）
<a name="il-central-1"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： https://skylight-client-ds.il-central-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.il-central-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://<目录 ID>.awsapps.com/（其中，<目录 ID> 是客户的域）  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 适用于 PCo IP 的 Web 访问 TURN 服务器 | 服务器： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-tlv.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 51.17.72.0/22 | 
| DCV 网关域名 | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud （美国西部）区域
<a name="govcloud-west-region"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： h https://skylight-client-ds.us-gov-west-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.us-gov-west-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.signin.amazonaws-us-gov.com | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://login.us-gov-home.awsapps.com/directory//（客户的域名在哪里）<directory id><directory id>  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-pdt.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关域名 | \$1.prod。 us-gov-west-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud （美国东部）区域
<a name="govcloud-east-region"></a>


**要添加到允许列表的域和 IP 地址**  

| 类别 | Details | 
| --- | --- | 
| 验证码 | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| 客户端自动更新 |  https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml  | 
| 连接检查 |  https://connectivity.amazonworkspaces.com/  | 
| 客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序） |  域： h https://skylight-client-ds.us-gov-east-1.amazonaws.com  | 
| 动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序） |  域： https://ws-client-service.us-gov-east-1.amazonaws.com  | 
| 目录设置 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Forrester 日志服务  | https://fls-na.amazon.com/ | 
| 运行状况检查 (DRP) 服务器 | [运行状况检查服务器](#health_check) | 
| 会话前智能卡身份验证端点 | https://smartcard.signin.amazonaws-us-gov.com | 
| 注册依赖关系（适用于 Web 访问和 Teradici PCo IP 零客户端） | https://s3.amazonaws.com | 
| 用户登录页面 | https://login.us-gov-home.awsapps.com/directory//（客户的域名在哪里）<directory id><directory id>  | 
| WS 代理 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces API 端点 |  域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| 会话代理 (PCM) | 域： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| 运行状况检查主机名 | drp-osu.amazonworkspaces.com | 
| 运行状况检查 IP 地址 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIP 网关服务器公有 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| DCV 网关服务器 IP 地址范围 | 18.254.148.0/22 | 
| DCV 网关域名 | \$1.prod。 us-gov-east-1.highlander.aws.a2z.com | 
| 管理接口 IP 地址范围 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

# WorkSpaces 个人版客户端网络要求
<a name="workspaces-network-requirements"></a>

您的 WorkSpaces 用户可使用面向受支持设备的客户端应用程序来连接到其 WorkSpaces。或者，他们可以使用 Web 浏览器连接到支持这种访问形式的 WorkSpaces。有关支持 Web 浏览器访问的 WorkSpaces 的列表，请参阅 [客户端访问、Web Access 和用户体验](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience)中的“哪些 Amazon WorkSpaces 捆绑包支持 Web Access？”。

**注意**  
Web 浏览器不能用于连接到 Amazon Linux WorkSpaces。

**重要**  
自 2020 年 10 月 1 日起，客户将无法再使用 Amazon WorkSpaces Web Access 客户端连接到 Windows 7 自定义 WorkSpaces 或 Windows 7 自带许可 (BYOL) WorkSpaces。

要为用户提供良好的 WorkSpace 使用体验，请验证其客户端设备是否符合以下网络要求：
+ 客户端设备必须具有宽带互联网连接。建议计划为每个同时观看 480p 视频窗口的用户至少提供 1 Mbps 网速。根据您对视频分辨率的用户质量要求，可能需要更多带宽。
+ 对于客户端设备连接到的网络及客户端设备上的任何防火墙，其某些端口必须对各种 AWS 服务的 IP 地址范围开放。有关更多信息，请参阅 [WorkSpaces 个人的 IP 地址和端口要求](workspaces-port-requirements.md)。
+ 为了优化 PCoIP 性能，从客户端网络到 WorkSpaces 所在区域之间的往返时间 (RTT) 应小于 100 毫秒。如果 RTT 介于 100 毫秒和 200 毫秒之间，则用户可以访问 WorkSpace，但性能会受到影响。如果 RTT 介于 200 毫秒和 375 毫秒之间，则性能会降低。如果 RTT 超过 375 毫秒，WorkSpaces 客户端连接将终止。

  为了获得 DCV 的最佳性能，从客户端网络到 WorkSpaces 所在区域的 RTT 应小于 250 毫秒。如果 RTT 介于 250 毫秒和 400 毫秒之间，则用户可以访问 WorkSpace，但性能会降低。

  要查看从您所在位置到各个 AWS 区域的 RTT，请使用 [Amazon WorkSpaces 连接运行状况检查](https://clients.amazonworkspaces.com/Health.html)。
+ 要将网络摄像头与 DCV 配合使用，建议最低上传带宽为每秒 1.7 兆比特。
+ 如果用户通过虚拟专用网络 (VPN) 访问 WorkSpace，则连接必须支持至少 1200 字节的最大传输单位 (MTU)。
**注意**  
您无法通过连接到虚拟私有云(VPC) 的 VPN 访问 WorkSpaces。要使用 VPN 访问 WorkSpaces，需要互联网连接（通过 VPN 的公有 IP 地址），如 [WorkSpaces 个人的 IP 地址和端口要求](workspaces-port-requirements.md)中所述。
+ 客户端需要通过 HTTPS 访问由该服务和 Amazon Simple Storage Service (Amazon S3) 托管的 WorkSpaces 资源。客户端不支持应用程序级别的代理重定向。HTTPS 访问是必需的，以便用户可以成功完成注册并访问自己的 WorkSpace。
+ 要允许从 PCoIP 零客户端设备进行访问，您必须使用适用于 WorkSpaces 的 PCoIP 协议包。您还必须在 Teradici 中启用网络时间协议 (NTP)。有关更多信息，请参阅 [为 WorkSpaces 个人版设置 PCoIP 零客户端](set-up-pcoip-zero-client.md)。

您可以按照以下说明验证客户端设备是否符合网络要求。

## 验证 3.0\$1 客户端的网络要求
<a name="verify-requirements-new-clients"></a>

1. 打开 WorkSpaces 客户端。如果这是您首次打开客户端，则系统会提示您输入邀请电子邮件中提供的注册代码。

1. 根据您使用的客户端，执行以下操作之一。    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-network-requirements.html)

   客户端应用程序将会测试网络连接、端口以及往返时间，并报告这些测试的结果。

1. 关闭 **Network (网络)** 对话框以返回到登录页面。

## 验证 1.0\$1 和 2.0\$1 客户端的网络要求
<a name="verify-requirements-legacy-clients"></a>

1. 打开 WorkSpaces 客户端。如果这是您首次打开客户端，则系统会提示您输入邀请电子邮件中提供的注册代码。

1. 在客户端应用程序右下角，选择 **Network (网络)**。客户端应用程序将会测试网络连接、端口以及往返时间，并报告这些测试的结果。

1. 选择 **Dismiss (关闭)**，以返回登录页面。

# 将 WorkSpaces 个人版访问限定于受信任设备
<a name="trusted-devices"></a>

默认情况下，用户可以从任何连接到互联网的受支持设备访问自己的 WorkSpace。如果您的公司仅限受信任设备（也称为托管设备）访问公司数据，则您可以通过有效的证书将 WorkSpace 访问限定为受信任设备。

**注意**  
目前，只有通过 Directory Service（包括 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目录）来管理 WorkSpaces 个人版目录时，此功能才可用。

启用此功能后，WorkSpaces 会使用基于证书的身份验证来确定设备是否可信。如果 WorkSpace 客户端应用程序无法验证设备是否可信，则会阻止从此设备进行登录或重新连接的尝试。

对于每个目录，您最多可以导入 2 个根证书。如果您导入 2 个根证书，则 WorkSpaces 会将这 2 个证书都显示给客户端，然后客户端会查找一直串联到其中一个根证书的第一个有效匹配的证书。

**支持的客户端**
+ Android，在 Android 或与 Android 兼容的 Chrome 操作系统上运行
+ macOS
+ Windows

**重要**  
以下客户端不支持此功能：  
适用于 Linux 或 iPad 的 WorkSpaces 客户端应用程序
第三方客户端，包括但不限于 Teradici PCoIP、RDP 客户端和远程桌面应用程序。

**注意**  
在为特定客户端启用访问权限时，请确保阻止其他不需要的设备类型的访问权限。有关此操作的详细信息，请参阅下文的步骤 3.7。

## 第 1 步：创建证书
<a name="create-certificate"></a>

此功能需要两种类型的证书：内部证书颁发机构 (CA) 生成的根证书和一直串联到根证书的客户端证书。

**要求**
+ 根证书必须是 Base64 编码的证书文件 (采用 CRT、CERT 或 PEM 格式)。
+ 根证书必须满足以下正则表达式模式，这意味着除最后一行外，每行编码的长度必须正好为 64 个字符：`-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`。
+ 设备证书必须包含公用名。
+ 设备证书必须包含以下扩展：`Key Usage: Digital Signature` 和 `Enhanced Key Usage: Client Authentication`。
+ 从设备证书到受信任根证书颁发机构的证书链中的所有证书都必须安装在客户端设备上。
+ 证书链支持的最大长度为 4。
+ WorkSpaces 当前不支持客户端证书的设备撤销机制，例如证书吊销列表 (CRL) 或在线证书状态协议 (OCSP)。
+ 使用强加密算法。建议使用带 RSA 的 SHA256、带 ECDSA 的 SHA256、带 ECDSA 的 SHA381 或带 ECDSA 的 SHA512。
+ 对于 macOS，如果设备证书位于系统密钥链中，建议您授权 WorkSpaces 客户端应用程序访问此类证书。否则，用户必须在登录或重新连接时，输入密钥链凭证。

## 第 2 步：为受信任设备部署客户端证书
<a name="deploy-certificate"></a>

在用户可信设备上，您必须安装证书捆绑包，其中包含从设备证书到可信根证书颁发机构的证书链中的所有证书。您可以使用首选解决方案将证书安装到一批客户端设备；例如，System Center Configuration Manager (SCCM) 或移动设备管理 (MDM)。请注意，SCCM 和 MDM 可以选择执行安全状况评估，以确定设备是否符合访问 WorkSpaces 的公司政策规定。

WorkSpaces 客户端应用程序按如下方式搜索证书：
+ Android - 转至**设置**，选择**安全和位置**、**凭证**，然后选择**从 SD 卡安装**。
+ 与 Android 兼容的 Chrome 操作系统 - 打开 Android 设置并选择**安全和位置**、**凭证**，然后选择**从 SD 卡安装**。
+ macOS - 在密钥链中搜索客户端证书。
+ Windows - 在用户和根证书存储中搜索客户端证书。

## 第 3 步：配置限制
<a name="configure-restriction"></a>

在受信任设备上部署客户端证书后，您可以在目录级别启用受限访问权限。这需要 WorkSpaces 客户端应用程序验证设备上的证书，然后再允许用户登录到 WorkSpace。

**配置限制**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Access Control Options**。

1. 在**针对每种设备类型，指定哪些设备可以访问 WorkSpaces** 下，选择**可信设备**。

1. 最多导入 2 个根证书。对于每个根证书，请执行以下操作：

   1. 选择 **Import（导入）**。

   1. 将证书文本复制到表单中。

   1. 选择 **Import（导入）**。

1. 指定其他类型的设备是否可以访问 WorkSpaces。

   1. 向下滚动到 **Other Platforms (其他平台)** 部分。默认情况下，禁用 WorkSpaces Linux 客户端，用户可以从其 iOS 设备、Android 设备、Web Access、Chromebook 和 PCoIP 零客户端设备访问其 WorkSpaces。

   1. 选择要启用的设备类型并清除要禁用的设备类型。

   1. 要阻止来自所有选定设备类型的访问，请选择 **Block**。

1. 选择**更新并退出**。

# 将 SAML 2.0 与 WorkSpaces 个人版集成
<a name="amazon-workspaces-saml"></a>

**注意**  
只有通过 Directory Service（包括 Simple AD、AD Connector 和 AWS Managed Microsoft AD 目录）来管理 WorkSpaces 个人版目录时，SAML 2.0 才可用。该功能不适用于由 Amazon WorkSpaces 管理的目录，这些目录通常使用 IAM Identity Center 进行用户身份验证，而不是 SAML 2.0 联合身份验证。

将 SAML 2.0 与 WorkSpaces 集成以进行桌面会话身份验证，可允许您的用户通过其默认 Web 浏览器使用其现有的 SAML 2.0 身份提供者 (IdP) 凭证和身份验证方法。通过使用 IdP 对 WorkSpaces 用户进行身份验证，您可以采用 IdP 功能（如多因素身份验证和上下文访问策略）来保护 WorkSpaces。

## 身份验证工作流
<a name="authentication-workflow"></a>

以下各节描述了由 WorkSpaces 客户端应用程序、WorkSpaces Web Access 和 SAML 2.0 身份提供者 (IdP) 启动的身份验证工作流：
+ 当流由 IdP 启动时。例如，当用户使用 Web 浏览器在 IdP 用户门户中选择应用程序时。
+ 当流由 WorkSpaces 客户端启动时。例如，当用户打开客户端应用程序并登录时。
+ 当工作流由 WorkSpaces Web Access 启动时。例如，当用户在浏览器中打开 Web Access 并登录时。

在这些示例中，用户输入 `user@example.com` 以登录 IdP。IdP 已为 WorkSpaces 目录配置了 SAML 2.0 服务提供者应用程序，并且用户已获得使用 WorkSpaces SAML 2.0 应用程序的授权。用户在启用 SAML 2.0 身份验证的目录中为其用户名 `user` 创建 WorkSpace。此外，用户在自己的设备上安装 [WorkSpaces 客户端应用程序](https://clients.amazonworkspaces.com/)，或者用户在 Web 浏览器中使用 Web Access。

**由身份提供者 (IdP) 启动的客户端应用程序流**

IdP 启动的流允许用户在其设备上自动注册 WorkSpaces 客户端应用程序，而无需输入 WorkSpaces 注册码。用户不会使用 IdP 启动的流登录其 WorkSpaces。WorkSpaces 身份验证必须源自客户端应用程序。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户中选择 WorkSpaces 应用程序。

1. 系统在浏览器中将用户重定向到此页面，并自动打开 WorkSpaces 客户端应用程序。  
![\[打开 WorkSpaces 应用程序重定向页面\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 客户端应用程序现已注册，用户可以单击**继续登录 WorkSpaces**，以继续登录。

**身份提供者（IdP）启动的 Web Access 流**

IdP 启动的 Web Access 流允许用户通过 Web 浏览器自动注册其 WorkSpaces，而无需输入 WorkSpaces 注册码。用户不会使用 IdP 启动的流登录其 WorkSpaces。WorkSpaces 身份验证必须源自 Web Access。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户单击 WorkSpaces 应用程序。

1. 系统在浏览器中将用户重定向到此页面。要打开 WorkSpaces，请**在浏览器中选择 Amazon WorkSpaces**。  
![\[打开 WorkSpaces 应用程序重定向页面\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 客户端应用程序现已注册，用户可以继续通过 WorkSpaces Web Access 登录。

**由 WorkSpaces 客户端启动的流**

客户端启动的流允许用户在登录 IdP 后登录其 WorkSpaces。

1. 用户启动 WorkSpaces 客户端应用程序（如果尚未运行），然后单击**继续登录 WorkSpaces**。

1. 系统会将用户重定向到其默认 Web 浏览器以登录 IdP。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统会将用户重定向到弹出窗口。按照提示允许您的 Web 浏览器打开客户端应用程序。  
![\[打开客户端应用程序提示。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. 系统将用户重定向到 WorkSpaces 客户端应用程序，以完成其 WorkSpaces 登录。WorkSpaces 用户名根据 IdP SAML 2.0 断言自动填充。使用[基于证书的身份验证 (CBA)](certificate-based-authentication.md) 时，用户会自动登录。

1. 用户已登录其 WorkSpaces。

**由 WorkSpaces Web Access 启动的流**

Web Access 启动的流允许用户在登录 IdP 后登录其 WorkSpaces。

1. 用户启动 WorkSpaces Web Access，并选择**登录**。

1. 在同一个浏览器选项卡中，系统将用户重定向到 IdP 门户。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统在浏览器中将用户重定向到此页面，然后用户单击**登录 WorkSpaces**。

1. 系统将用户重定向到 WorkSpaces 客户端应用程序，以完成其 WorkSpaces 登录。WorkSpaces 用户名根据 IdP SAML 2.0 断言自动填充。使用[基于证书的身份验证 (CBA)](certificate-based-authentication.md) 时，用户会自动登录。

1. 用户已登录其 WorkSpaces。

# 为个人版设置 SAML 2.0 WorkSpaces
<a name="setting-up-saml"></a>

使用 SAML 2.0 身份提供商 (IdP) 凭据和身份验证方法，通过使用 SAML 2.0 设置联合身份验证，为您的用户启用 WorkSpaces 客户端应用程序注册和登录。 WorkSpaces 要使用 SAML 2.0 设置身份联合验证，请使用 IAM 角色和中继状态 URL 来配置您的 IdP 并启用 AWS。这会授予您的联合用户访问 WorkSpaces 目录的权限。中继状态是用户成功登录后被转发到的 WorkSpaces目录端点 AWS。

**Topics**
+ [要求](#setting-up-saml-requirements)
+ [先决条件](#setting-up-saml-prerequisites)
+ [步骤 1：在 IAM 中 AWS 创建 SAML 身份提供商](#create-saml-identity-provider)
+ [步骤 2：创建 SAML 2.0 联合身份验证 IAM 角色](#create-saml-iam-role)
+ [步骤 3：为 IAM 角色嵌入内联策略](#embed-inline-policy)
+ [步骤 4：配置 SAML 2.0 身份提供者](#configure-saml-id-provider)
+ [步骤 5：为 SAML 身份验证响应创建断言](#create-assertions-saml-auth)
+ [步骤 6：配置联合身份验证的中继状态](#configure-relay-state)
+ [步骤 7：在您的 WorkSpaces 目录上启用与 SAML 2.0 的集成](#enable-integration-saml)

## 要求
<a name="setting-up-saml-requirements"></a>
+ 以下区域提供 SAML 2.0 身份验证：
  + 美国东部（弗吉尼亚州北部）区域
  + 美国西部（俄勒冈州）区域
  + 非洲（开普敦）区域
  + 亚太地区（孟买）区域
  + 亚太地区（首尔）区域
  + 亚太地区（新加坡）区域
  + 亚太地区（悉尼）区域
  + 亚太地区（东京）区域
  + 加拿大（中部）区域
  + 欧洲地区（法兰克福）区域
  + 欧洲地区（爱尔兰）区域
  + 欧洲地区（伦敦）区域
  + 南美洲（圣保罗）区域
  + 以色列（特拉维夫）区域
  + AWS GovCloud （美国西部）
  + AWS GovCloud （美国东部）
+ 要将 SAML 2.0 身份验证与一起使用 WorkSpaces，IdP 必须通过深度链接目标资源或中继状态端点 URL 支持未经请求的 IDP 发起的 SSO。的示例 IdPs 包括 ADFS、Azure AD、Duo 单点登录、Okta 和。 PingFederate PingOne有关更多信息，请参阅 IdP 文档。
+ SAML 2.0 身份验证将在使用 Simple AD WorkSpaces 启动时起作用，但不建议这样做，因为 Simple AD 未与 SAML 2.0 集成。 IdPs
+ 以下 WorkSpaces 客户端支持 SAML 2.0 身份验证。SAML 2.0 身份验证不支持其他客户端版本。打开 Amazon WorkSpaces [客户端下载](https://clients.amazonworkspaces.com/)以查找最新版本：
  + Windows 客户端应用程序 5.1.0.3029 或更高版本
  + macOS 客户端 5.x 或更高版本
  + 适用于 Ubuntu 22.04 2024.1 或更高版本、Ubuntu 20.04 24.1 或更高版本的 Linux 客户端
  + Web Access

  除非启用了回退，否则其他客户端版本将无法连接到 WorkSpaces 启用 SAML 2.0 身份验证。有关更多信息，请参阅在[ WorkSpaces 目录上启用 SAML 2.0 身份验证](https://d1.awsstatic.com/workspaces-saml-guide.pdf)。

 step-by-step有关将 SAML 2.0 与 WorkSpaces 使用 ADFS、Azure AD、Duo 单点登录、Okta PingFederate 以及 PingOne 企业版集成的说明 OneLogin，请查看 A [mazon WorkSpaces SAM](https://d1.awsstatic.com/workspaces-saml-guide.pdf) L 身份验证实施指南。

## 先决条件
<a name="setting-up-saml-prerequisites"></a>

在配置 SAML 2.0 身份提供商 (IdP) 与目录的连接之前，请完成以下先决条件。 WorkSpaces 

1. 配置您的 IdP 以集成与该目录一起使用的 Microsoft 活动目录中的用户身份。 WorkSpaces 对于具有 a 的用户 WorkSpace，Active Directory 用户的**AMAccount姓名**和**电子邮件**属性以及 SAML 声明值必须匹配，用户才能 WorkSpaces 使用 IdP 登录。有关将 Active Directory 与 IdP 集成的更多信息，请参阅您的 IdP 文档。

1. 配置 IdP 以与 AWS建立信任关系
   + 有关配置 AWS 联合的更多信息，请参阅[将第三方 SAML 解决方案提供商与 AWS集成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)。相关示例包括 IdP 与 AWS IAM 集成以访问 AWS 管理控制台。
   + 使用您的 IdP 生成和下载联合身份验证元数据文档，该文档将您的组织描述为 IdP。此签名 XML 文档用于建立信赖方信任关系。将该文件保存您稍后可通过 IAM 控制台访问的位置。

1. 使用 WorkSpaces 管理控制台 WorkSpaces 为创建或注册目录。有关更多信息，请参阅[管理目录 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html)。以下目录类型支持 WorkSpaces SAML 2.0 身份验证：
   + AD Connector
   + AWS 微软 AD 托管

1.  WorkSpace 为可以使用支持的目录类型登录 IdP 的用户创建。您可以使用 WorkSpaces 管理控制台或 WorkSpaces API 创建。 WorkSpace AWS CLI有关更多信息，请参阅[使用启动虚拟桌面 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。

## 步骤 1：在 IAM 中 AWS 创建 SAML 身份提供商
<a name="create-saml-identity-provider"></a>

首先，在 IAM 中创建一个 SAML IdP AWS 。此 IdP 使用组织中 IdP 软件生成的元数据文档定义贵组织的 IdP AWS 信任关系。有关更多信息，请参阅[创建和管理 SAML 身份提供者（Amazon Web Services 管理控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)。有关 IdPs 在 AWS GovCloud （美国西部）和 AWS GovCloud （美国东部）使用 SAML 的信息，请参阅 Identity and Access Managem [AWS en](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) t。

## 步骤 2：创建 SAML 2.0 联合身份验证 IAM 角色
<a name="create-saml-iam-role"></a>

接下来创建 SAML 2.0 联合身份验证 IAM 角色。此步骤在 IAM 与您的组织的 IdP 之间建立信任关系，将您的 IdP 作为可信实体进行联合身份验证。

为 SAML IdP 创建 IAM 角色

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在导航窗格中，选择**角色** > **创建角色**。

1.  对于 **Role type**，选择 **SAML 2.0 federation**。

1.  对于 **SAML 提供者**，选择您创建的 SAML IdP。
**重要**  
请勿选择两个 SAML 2.0 访问方法（**只允许编程访问**或**允许编程访问和 Amazon Web Services 管理控制台访问**）中的任何一个。

1. 对于 **Attribute**，选择 **SAML:sub\$1type**。

1. 对于**值**，输入 `persistent`。该值限制角色访问 SAML 用户流式传输请求，其中包括值为 persistent 的 SAML 主题类型断言。如果 SAML:sub\$1type 为 persistent，则在来自特定用户的所有 SAML 请求中，您的 IdP 会为 NameID 元素发送相同的唯一值。[有关 SAML: sub\$1type 断言的更多信息，请参阅使用基于 SAML 的联合身份验证进行 API 访问的 “**在基于 SAML 的联合身份验证中唯一标识用户**” 部分。 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)

1. 检查您的 SAML 2.0 信任信息，确认正确的可信实体和条件，然后选择 **Next: Permissions**。

1. 在 **Attach permissions policies (附加权限策略)** 页面上，选择 **Next: Tags (下一步：标签)**。

1. （可选）为要添加的每个标签输入键和值。有关更多信息，请参阅[标记 IAM 用户和角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。

1. 完成此操作后，选择 **Next: Review (下一步：审核)**。稍后您将为此角色创建并嵌入内联策略。

1. 对于**角色名称**，输入有助于标识此角色作用的名称。由于多个实体可能引用该角色，因此，角色创建完毕后，您将无法编辑角色名称。

1. （可选）对于**角色描述**，输入新角色的描述。

1. 检查角色详细信息，然后选择**创建角色**。

1. 将 sts: TagSession 权限添加到您的新 IAM 角色的信任策略中。有关更多信息，请参阅[在 AWS STS中传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。在新 IAM 角色的详细信息中，选择**信任关系**选项卡，然后选择**编辑信任关系\$1**。当 “编辑信任关系” 策略编辑器打开时，添加 **sts: TagSession \$1** 权限，如下所示：

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

将 `IDENTITY-PROVIDER` 替换为在步骤 1 中创建的 SAML IdP 的名称。然后选择**更新信任策略**。

## 步骤 3：为 IAM 角色嵌入内联策略
<a name="embed-inline-policy"></a>

接下来为您创建的角色嵌入内联 IAM 策略。嵌入内联策略时，策略中的权限不能意外分配给错误的主体实体。内联策略为联合用户提供了对 WorkSpaces 目录的访问权限。

**重要**  
该`workspaces:Stream`操作不支持 AWS 根据源 IP 管理访问权限的 IAM 策略。要管理的 IP 访问控制 WorkSpaces，请使用 [IP 访问控制组](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html)。此外，在使用 SAML 2.0 身份验证时，您可在 SAML 2.0 IdP 提供 IP 访问控制策略时使用此类策略。

1. 在您创建的 IAM 角色的详细信息中，选择**权限**选项卡，然后向该角色的权限策略添加所需的权限。**创建策略向导**将启动。

1. 在 **Create policy (创建策略)** 中，选择 **JSON** 选项卡。

1. 将以下 JSON 策略复制并粘贴到 JSON 窗口中。然后，通过输入您的 AWS 区域代码、账户 ID 和目录 ID 来修改资源。在以下策略中，`"Action": "workspaces:Stream"`是向您的 WorkSpaces 用户提供在 WorkSpaces 目录中连接到其桌面会话的权限的操作。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   `REGION-CODE`替换为您的 WorkSpaces目录所在的 AWS 区域。`DIRECTORY-ID`替换为 WorkSpaces 目录 ID，可在 WorkSpaces 管理控制台中找到。对于 AWS GovCloud （美国西部）或 AWS GovCloud （美国东部）中的资源，请使用以下格式的 ARN：。`arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`

1. 完成后，选择 **Review policy (审核策略)**。[策略验证程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)将报告任何语法错误。

## 步骤 4：配置 SAML 2.0 身份提供者
<a name="configure-saml-id-provider"></a>

接下来，根据您的 SAML 2.0 IdP，您可能需要通过将文件上传到 IdP 来手动更新您[https://signin.aws.amazon.com/static/的](https://signin.aws.amazon.com/static/saml-metadata.xml) IdP，使其成为 AWS 值得信赖`saml-metadata.xml`的服务提供商。saml-metadata.xml 此步骤会更新您的 IdP 的元数据。对于某些人来说 IdPs，更新可能已经配置好了。如果是这样，请继续下一步。

如果您的 IdP 中尚未配置此更新，请查看您的 IdP 提供的文档，了解有关如何更新元数据的信息。一些提供商为您提供了键入 URL 并由 IdP 获取并安装该文件的选项。另一些提供商则要求您从该 URL 处下载该文件，然后将其作为本地文件提供。

**重要**  
此时，您还可以授权 IdP 中的用户访问您在 IdP 中配置的 WorkSpaces应用程序。有权访问您的目录 WorkSpaces 应用程序的用户不会自动为他们 WorkSpace 创建一个。同样，为其 WorkSpace 创建的用户也不会自动获得访问该 WorkSpaces 应用程序的权限。要成功连接 WorkSpace 使用 SAML 2.0 身份验证，用户必须获得 IdP 的授权并且必须已 WorkSpace创建。

**注意**  
如果您的最终用户在使用相同的 SAML 2.0 身份提供商 (IdP) 时经常在多个不同的 WorkSpaces 用户身份之间切换，请确保将 IdP 配置为在每次登录尝试时强制进行身份验证 ForceAuthn ()。这可以防止您的 IdP 重复使用现有 SSO 会话，否则当您的用户切换到另一个 SSO 会话时，这可能会导致身份验证失败。 WorkSpace有关启用 ForceAuthn （或等效）设置的指导，请参阅您的 IdP 文档。

## 步骤 5：为 SAML 身份验证响应创建断言
<a name="create-assertions-saml-auth"></a>

接下来，将您的 IdP 发送到的信息配置 AWS 为身份验证响应中的 SAML 属性。根据您的 IdP，此配置已完成，跳过此步骤，并继续执行[步骤 6：配置联合身份验证的中继状态](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state)。

如果您的 IdP 中尚未配置此信息，请提供以下内容：
+ **SAML 主题 NameID** – 登录用户的唯一标识符。该值必须与 WorkSpaces 用户名相匹配，并且通常是 **Active Directory 用户的 “AMAccount名称**” 属性。
+ **SAML 主题类型**（值设为 `persistent`）– 将值设为 `persistent` 可确保在来自特定用户的所有 SAML 请求中，您的 IdP 会为 `NameID` 元素发送相同的唯一值。请确保您的 IAM 策略包含一个条件，仅允许将 SAML sub\$1type 设置为 `persistent` 的 SAML 请求（如[步骤 2：创建 SAML 2.0 联合身份验证 IAM 角色](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms)中所述）。
+ **将 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/Role` 的 `Attribute` 元素** - 此元素中包含一个或多个 `AttributeValue` 元素，以列出您的 IdP 将用户映射到哪个 IAM 角色和 SAML IdP。角色和 IdP 以逗号分隔的一对指定。 ARNs预期值的一个示例是 `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`。
+ **`Attribute``Name`属性设置为的元素 `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** — 此元素包含一个元素，该`AttributeValue`元素为为 SSO 颁发的 AWS 临时证书提供标识符。`AttributeValue` 元素中的值长度必须介于 2 到 64 个字符之间，只能包含字母数字字符、下划线和以下字符：**\$1 . : / = \$1 - @**。它不能包含空格。该值通常是电子邮件地址或用户主体名 (UPN)。该值不应包含空格，如用户的显示名称。
+ **将 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email` 的 `Attribute` 元素** - 此元素包含一个可提供用户电子邮件地址的 `AttributeValue` 元素。该值必须与 WorkSpaces 目录中定义的 WorkSpaces 用户电子邮件地址相匹配。标签值可能包括字母、数字、空格和 **\$1 . : / = \$1 - @** 字符的组合。有关更多信息，请参阅《IAM 用户指南》**中的[标记 IAM 用户和 AWS STS的规则](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。
+ **将 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` 的 `Attribute` 元素（可选）** - 此元素包含一个为登录用户提供 Active Directory `userPrincipalName` 的 `AttributeValue` 元素。必须采用 `username@domain.com` 格式提供该值。此参数与基于证书的身份验证一起使用，作为最终用户证书中的主题备用名称。有关更多信息，请参阅基于证书的身份验证。
+ **将 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` 的 `Attribute` 元素（可选）** - 此元素包含一个为登录用户提供 Active Directory 安全标识符 (SID) 的 `AttributeValue` 元素。此参数与基于证书的身份验证一起使用，以启用到 Active Directory 用户的强映射。有关更多信息，请参阅基于证书的身份验证。
+ **将 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` 的 `Attribute` 元素（可选）** - 此元素包含一个提供备用用户名格式的 `AttributeValue` 元素。如果您的用例需要用户名格式（例如`corp\username`、或）`username@corp.example.com`才能使用 WorkSpaces 客户端登录`corp.example.com\username`，请使用此属性。标签键和值可以包含字母、数字、空格以及 **\$1 : / . \$1 = @ -** 字符的任意组合。有关更多信息，请参阅《IAM 用户指南》**中的[标记 IAM 用户和 AWS STS的规则](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)。要声明 `corp\username` 或 `corp.example.com\username` 格式，请将 SAML 断言中的 **\$1** 替换为 **/**。
+ **`Attribute``Name`属性设置为 At https://aws.amazon.com/SAML/ tributes/: DomainPrincipalTag（可选）的元素 —** 此元素包含一个为登录用户提供 Active Directory DNS 完全限定域名 (FQDN) 的元素`AttributeValue`。当用户的 Active Directory `userPrincipalName` 包含备用后缀时，此参数用于基于证书的身份验证。必须采用 `domain.com` 提供该值，包括所有子域名。
+ **`Attribute``Name`属性设置为 A https://aws.amazon.com/SAML/ ttributes/SessionDuration（可选）的元素** — 此元素包含一个`AttributeValue`元素，用于指定在要求重新进行身份验证之前，用户的联合流媒体会话可以保持活动状态的最长时间。默认值为 3600 秒（60 分钟）。有关更多信息，请参阅 [SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)。
**注意**  
虽然 `SessionDuration` 是一个可选属性，但建议您将该属性包含在 SAML 响应中。如果您未指定此属性，则会话持续时间将设置为默认值 3600 秒（60 分钟）。 WorkSpaces 桌面会话将在会话持续时间到期后断开连接。

有关如何配置这些元素的更多信息，请参阅《IAM 用户指南》**中的[为身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。有关 IdP 的具体配置要求的信息，请参阅 IdP 的文档。

## 步骤 6：配置联合身份验证的中继状态
<a name="configure-relay-state"></a>

接下来，使用您的 IdP 将联盟的中继状态配置为指向 WorkSpaces 目录中继状态 URL。成功通过身份验证后 AWS，用户将被定向到 WorkSpaces 目录端点，该终端节点在 SAML 身份验证响应中定义为中继状态。

以下为中继状态 URL 格式：

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

根据您的 WorkSpaces 目录注册码和与您的目录所在区域关联的中继状态端点构建您的中继状态 URL。可以在 WorkSpaces 管理控制台中找到注册码。

或者，如果您使用跨区域重定向 WorkSpaces，则可以将注册代码替换为与主区域和故障转移区域中的目录关联的完全限定域名 (FQDN)。有关更多信息，请参阅 [Amazon 的跨区域重定向](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html)。 WorkSpaces使用跨区域重定向和 SAML 2.0 身份验证时，需要使用与每个区域关联的中继状态端点，为 SAML 2.0 身份验证启用主目录和故障转移目录，并使用 IdP 进行独立配置。这将允许用户在登录前注册其 WorkSpaces 客户端应用程序时正确配置 FQDN，并允许用户在故障转移事件期间进行身份验证。

下表列出了可用 WorkSpaces SAML 2.0 身份验证的区域的中继状态端点。


**支持 WorkSpaces SAML 2.0 身份验证的区域**  

| Region | 中继状态端点 | 
| --- | --- | 
| 美国东部（弗吉尼亚州北部）区域 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/setting-up-saml.html) | 
| 美国西部（俄勒冈州）区域 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/setting-up-saml.html) | 
| 非洲（开普敦）区域 | workspaces.euc-sso.af-south-1.aws.amazon.com | 
| 亚太地区（孟买）区域 | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| 亚太地区（首尔）区域 | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | 
| 亚太地区（新加坡）区域 | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | 
| 亚太地区（悉尼）区域 | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | 
| 亚太地区（东京）区域 | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | 
| 加拿大（中部）区域 | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| 欧洲地区（法兰克福）区域 | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| 欧洲地区（爱尔兰）区域 | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| 欧洲地区（伦敦）区域 | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| 南美洲（圣保罗）区域 | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| 以色列（特拉维夫）区域 | workspaces.euc-sso.il-central-1.aws.amazon.com | 
| AWS GovCloud （美国西部） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/setting-up-saml.html)  有关更多信息，请参阅 *AWS GovCloud （美国）用户指南 WorkSpaces*中的 [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。   | 
| AWS GovCloud （美国东部） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/setting-up-saml.html)  有关更多信息，请参阅 *AWS GovCloud （美国）用户指南 WorkSpaces*中的 [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)。   | 

通过身份提供者（IdP）发起的流，您可以选择指定要用于 SAML 2.0 联合身份验证的客户端。为此，请在中继状态 URL 的末尾、`&client=` 后面指定 `native` 或 `web`。在中继状态 URL 中指定参数时，相应的会话将自动在指定的客户端中启动。

## 步骤 7：在您的 WorkSpaces 目录上启用与 SAML 2.0 的集成
<a name="enable-integration-saml"></a>

您可以使用 WorkSpaces 控制台在 WorkSpaces 目录上启用 SAML 2.0 身份验证。

**启用与 SAML 2.0 的集成**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择您的 “目录 ID” WorkSpaces。

1. 在**身份验证**下，选择**编辑**。

1. 选择**编辑 SAML 2.0 身份提供者**。

1. 选中**启用 SAML 2.0 身份验证**。

1. 对于**用户访问 URL** 和 **IdP 深层链接参数名称**，输入适用于您 IdP 和您在步骤 1 中配置的应用程序的值。如果您省略此参数，则 IdP 深度链接参数名称的默认值RelayState为 “”。下表列出了应用程序的各种身份提供者所独有的用户访问 URL 和参数名称。  
**要添加到允许列表的域和 IP 地址**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/setting-up-saml.html)

   用户访问 URL 通常由提供者针对未经请求的 IdP 发起的 SSO 定义。用户可以在 Web 浏览器中输入此 URL，以直接与 SAML 应用程序联合。要测试 IdP 的用户访问 URL 和参数值，请选择**测试**。将测试 URL 复制并粘贴到当前浏览器或其他浏览器的私有窗口，以便在不中断当前 AWS 管理控制台会话的情况下测试 SAML 2.0 登录。当 IDP 启动的流程打开时，您可以注册您的 WorkSpaces 客户端。有关更多信息，请参阅[身份提供者 (IdP) 启动的流程](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)。

1. 通过选中或取消选中**允许不支持 SAML 2.0 的客户端登录**，管理回退设置。启用此设置可继续为用户提供 WorkSpaces 使用不支持 SAML 2.0 的客户端类型或版本的访问权限，或者如果用户需要时间升级到最新的客户端版本。
**注意**  
此设置允许用户绕过 SAML 2.0 和使用旧版客户端通过目录身份验证进行的登录。

1. 要将 SAML 与 Web 客户端一起使用，请启用 Web Access。有关更多信息，请参阅[启用和配置 Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html)。
**注意**  
PCoWeb 访问不支持带有 SAML 的 IP。

1. 选择**保存**。您的 WorkSpaces 目录现已启用 SAML 2.0 集成。您可以使用 IdP 启动的流程和客户端应用程序启动的流程来注册 WorkSpaces 客户端应用程序并登录。 WorkSpaces

# 基于证书的身份验证和个人 WorkSpaces
<a name="certificate-based-authentication"></a>

您可以使用基于证书的身份验证 WorkSpaces 来移除用户输入 Active Directory 域密码的提示。通过对您的 Active Directory 域使用基于证书的身份验证，您可以：
+ 依靠您的 SAML 2.0 身份提供商对用户进行身份验证，并提供 SAML 断言以匹配 Active Directory 中的用户。
+ 使用更少的用户提示启用单点登录体验。
+ 使用 SAML 2.0 身份提供商启用无密码身份验证流程。

基于证书的身份验证使用您AWS 私有 CAAWS账户中的资源。 AWS 私有 CA允许创建私有证书颁发机构 (CA) 层次结构，包括根和从属 CAs结构。使用AWS 私有 CA，您可以创建自己的 CA 层次结构，并使用它颁发证书，用于对内部用户进行身份验证。有关更多信息，请参阅 [AWS 私有证书颁发机构《用户指南》](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)。

使用基于证书AWS 私有 CA的身份验证时， WorkSpaces 将在会话身份验证期间自动为您的用户请求证书。使用预调配了证书的虚拟智能卡对用户进行 Active Directory 身份验证。

使用最新的 WorkSpaces Web Access、Windows 和 macOS 客户端应用程序的 DCV 捆绑包 WorkSpaces 上的 Windows 支持基于证书的身份验证。打开 Amazon WorkSpaces [客户端下载](https://clients.amazonworkspaces.com/)以查找最新版本：
+ Windows 客户端 5.5.0 或更高版本
+ macOS 客户端 5.6.0 或更高版本

有关使用 Amazon 配置基于证书的身份验证的更多信息 WorkSpaces，请参阅[如何为 Amazon 配置基于证书的身份验证 WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/)和[在高度监管的环境中使用应用程序进行基于证书的身份验证的设计注意事项](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/)以及。 WorkSpaces WorkSpaces

## 先决条件
<a name="cert-based-auth-prerequesites"></a>

在启用基于证书的身份验证之前，请完成以下步骤。

1. 使用 SAML 2.0 集成配置您的 WorkSpaces 目录，以使用基于证书的身份验证。有关更多信息，请参阅[与 SAML 2.0 WorkSpaces 集成](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)。

1. 在 SAML 断言中配置 `userPrincipalName` 属性。有关更多信息，请参阅[为 SAML 身份验证响应创建断言](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)。

1. 在 SAML 断言中配置 `ObjectSid` 属性。这是对 Active Directory 用户执行强映射所必须的属性。如果该属性与 SAML\$1Subject `NameID` 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配，则基于证书的身份验证将失败。有关更多信息，请参阅[为 SAML 身份验证响应创建断言](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)。
**注意**  
根据[微软 KB5 014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) 的说法，在 2025 年 9 月 10 日之后，该`ObjectSid`属性将成为基于证书的身份验证的必备属性。

1. 将 [sts: TagSession](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) 权限添加到用于 SAML 2.0 配置的 IAM 角色信任策略（如果尚未存在）。使用基于证书的身份验证时需要此权限。有关更多信息，请参阅[创建 SAML 2.0 联合身份验证 IAM 角色](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role)。

1. AWS 私有 CA如果您的 Active Directory 中没有配置私有证书颁发机构 (CA)，请使用创建私有证书颁发机构 (CA)。 AWS 私有 CA必须使用基于证书的身份验证。有关更多信息，请参阅[规划AWS 私有 CA部署并](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)按照指南为基于证书的身份验证配置 CA。以下AWS 私有 CA设置是基于证书的身份验证用例中最常见的设置：

   1. CA 类型选项：

      1. 短期证书 CA 使用模式（如果您仅使用 CA 为基于证书的身份验证颁发最终用户证书，则建议使用此模式）

      1. 带有根 CA 的单级层次结构（或者，在希望与现有 CA 层次结构集成时选择从属 CA）

   1. 密钥算法选项：RSA 2048

   1. 主题可分辨名称选项：使用任何选项组合在 Active Directory 受信任的根证书颁发机构存储中识别此 CA。

   1. 证书吊销选项：CRL 分发
**注意**  
基于证书的身份验证需要一个可从桌面和域控制器访问的在线 CRL 分发点。这需要对为私有 CA CRL 条目配置的 Amazon S3 存储桶进行未经身份验证的访问权限，或者如果 CloudFront分配阻止公开访问，则该分配将有权访问 S3 存储桶。有关这些选项的更多信息，请参阅[计划证书吊销列表 (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa)。

1. 使用名为 `euc-private-ca` 的键标记您的私有 CA，以指定该 CA 用于 EUC 基于证书的身份验证。该键不需要值。有关更多信息，请参阅[管理私有 CA 的标签](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)。

1. 基于证书的身份验证使用虚拟智能卡进行登录。按照 Active Directory 中[使用第三方证书颁发机构启用智能卡登录的指导原则](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)，执行以下步骤：
   + 使用域控制器证书配置域控制器，以对智能卡用户进行身份验证。如果您在 Active Directory 中配置了 Active Directory 证书服务企业 CA，则系统会自动使用启用智能卡登录的证书注册域控制器。如果您没有 Active Directory 证书服务，请参阅[对第三方 CA 的域控制器证书的要求](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)。您可以使用 AWS 私有 CA 创建域控制器证书。如果这样做，请不要使用为短期证书配置的私有 CA。
**注意**  
如果您正在使用AWS Managed Microsoft AD，则可以在 EC2 实例上配置证书服务以满足域控制器证书的要求。有关AWS Managed Microsoft AD配置[AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)了 Active Directory 证书服务的部署示例，请参阅。 AWS私有 CA 可以配置为 Active Directory 证书服务 CA 的从属机构，也可以在使用时将其配置为自己的根AWS Managed Microsoft AD。  
AWS Managed Microsoft AD和 Active Directory 证书服务的另一项配置任务是创建从控制器 VPC 安全组到运行证书服务的 EC2 实例的出站规则，允许 TCP 端口 135 和 49152-65535 启用证书自动注册。此外，正在运行的 EC2 实例必须允许域实例（包括域控制器）通过相同的端口进行入站访问。有关查找安全组的更多信息，AWS Managed Microsoft AD请参阅[配置您的 VPC 子网和安全组](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)。
   + 在AWS 私有 CA控制台上或使用 SDK 或 CLI，选择您的 CA，然后在 CA 证书下导出 CA 私有证书。有关更多信息，请参阅[导出私有证书](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。
   + 将 CA 发布到 Active Directory。登录到域控制器或已加入域的计算机。将私有 CA 证书复制到任意 `<path>\<file>`，然后以域管理员身份运行以下命令。或者，你可以使用组策略和 Microsoft PKI Health Tool (PKIView) 工具发布 CA。有关更多信息，请参阅[配置说明](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)。

     ```
     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA
     ```

     确保命令成功完成，然后删除私有证书文件。根据 Active Directory 复制设置，CA 可能需要几分钟才能发布到您的域控制器和桌面实例。
**注意**  
当 WorkSpaces 台式机加入域时，Active Directory 必须自动将 CA 分发给受信任的根证书颁发机构和企业 NTAuth 存储。

## 启用基于证书的身份验证
<a name="enable-cert-based-auth"></a>

要启用基于证书的身份验证，请完成以下步骤。

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择您的目录 ID WorkSpaces。

1. 在**身份验证**下，单击**编辑**。

1. 单击**编辑基于证书的身份验证**。

1. 选中**启用基于证书的身份验证**。

1. 确认您的私有 CA ARN 已关联到列表中。私有 CA 应位于同一个AWS账户中AWS 区域，并且必须使用有权出现在列表中的密钥 euc-private-ca进行标记。

1. 单击 **Save Changes**（保存更改）。基于证书的身份验证现已启用。

1. 重启你的 Windows WorkSpaces on DCV 捆绑包以使更改生效。有关更多信息，请参阅[重启 a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html)。

1. 重启后，当用户使用支持的客户端通过 SAML 2.0 进行身份验证时，将不再收到输入域密码的提示。

**注意**  
启用基于证书的身份验证登录时，即使在目录中启用了多重身份验证 (MFA) WorkSpaces，也不会提示用户进行多重身份验证 (MFA)。使用基于证书的身份验证时，可以通过 SAML 2.0 身份提供商启用 MFA。有关 AWS Directory Service MFA 的更多信息，请参阅[多重身份验证 (AD Connector) 或为[启用多](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps)因素身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)。AWS Managed Microsoft AD

## 管理基于证书的身份验证
<a name="manage-cert-based-auth"></a>

**CA 证书**  
在典型配置中，私有 CA 证书的有效期为 10 年。有关更换证书过期的 CA 或重新颁发具有新有效期的 CA 的更多信息，请参阅[管理私有 CA 生命周期](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)。

**最终用户证书**  
为 WorkSpaces 基于证书的身份验证AWS 私有 CA而颁发的最终用户证书不需要续订或撤销。这些证书是短暂的。 WorkSpaces每 24 小时自动颁发一次新证书。这些最终用户证书的有效期比典型的 AWS 私有 CA CRL 发行版短。因此，无需吊销最终用户证书，这些证书也不会出现在 CRL 中。

**审核报告**  
您可以创建审核报告，以列出您的私有 CA 已颁发和吊销的所有证书。有关更多信息，请参阅[将审核报告与私有 CA 结合使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)。

**日志记录和监控**  
您可以使用[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)来记录对 by 的 API 调AWS 私有 CA用 WorkSpaces。有关更多信息，请参阅[使用 CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)。在[CloudTrail事件历史记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)中`GetCertificate`，`IssueCertificate`您可以查看由 WorkSpaces`EcmAssumeRoleSession`用户名`acm-pca.amazonaws.com`创建的事件源中的事件名称。每个 EUC 基于证书的身份验证请求都将记录这些事件。

## 启用跨账户 PCA 共享
<a name="enable-pca-sharing"></a>

 当您使用私有 CA 跨账户共享时，您可以向其他账户授予使用集中式 CA 的权限，这样就无需在每个账户中都使用私有 CA。通过使用 [AWS Resource Access Manager](https://aws.amazon.com/ram/) 来管理权限，该 CA 可以生成和颁发证书。私有 CA 跨账户共享可在同一区域内与 WorkSpaces 基于证书的身份验证 (CBA) 一起使用。AWS

**与 CBA 一起使用共享的私有 WorkSpaces CA 资源**

1. 在集中AWS账户中配置 CBA 的私有 CA。有关更多信息，请参阅 [基于证书的身份验证和个人 WorkSpaces](#certificate-based-authentication)。

1.  按照[如何使用 AWS RAM 跨AWS账户共享 ACM 私有 CA 中的步骤，与 WorkSpaces 资源使用 CBA 的资源账户共享私有 CA](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)。您无需完成步骤 3 来创建证书。您可以与个人AWS账户共享私有 CA，也可以通过 Organizations AWS 共享。要与个人账户共享，您需要使用资源访问管理器 (RAM) 控制台或接受资源账户中的共享私有 CA APIs。在配置共享时，请确认资源账户中私有 CA 的 RAM 资源共享使用的是 `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` 托管权限模板。此模板与 WorkSpaces 服务角色在颁发 CBA 证书时使用的 PCA 模板一致。

1. 共享成功后，应该能够使用资源账户中的私有 CA 控制台查看共享的私有 CA。

1. 使用 API 或 CLI 在目录属性中将私有 CA ARN 与 CBA 相关联。 WorkSpaces 目前， WorkSpaces 控制台不支持选择共享私有 CA ARNs。CLI 命令示例：

   ```
   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
   ```

# 访问加入 Microsoft Entra ID 的 WorkSpaces 个人版
<a name="access-entra-id"></a>

您可以创建加入 Microsoft Entra ID 并注册到 Intune 的 Windows 10 或 11 BYOL 个人版 WorkSpaces。有关更多详细信息，请参阅 [使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)。

## 身份验证工作流
<a name="authentication-workflow-entra"></a>

以下各节描述了由 WorkSpaces 客户端应用程序、WorkSpaces Web Access、SAML 2.0 身份提供者（IdP）和 Microsoft Entra ID 启动的身份验证工作流：
+ 当工作流由 IdP 启动时。例如，当用户使用 Web 浏览器在 Entra ID 用户门户中选择应用程序时。
+ 当工作流由 WorkSpaces 客户端启动时。例如，当用户打开客户端应用程序并登录时。
+ 当工作流由 WorkSpaces Web Access 启动时。例如，当用户在浏览器中打开 Web Access 并登录时。

在这些示例中，用户输入 `user@example.onmicrosoft.com` 以登录 IdP。在 Entra ID 上，系统将企业应用程序配置为与 IAM Identity Center 相集成。用户在使用 IAM Identity Center 作为身份源连接到 Entra ID 租户的目录中创建自己的用户名所对应的 WorkSpace。此外，用户在自己的设备上安装 [WorkSpaces 客户端应用程序](https://clients.amazonworkspaces.com/)，或者用户在 Web 浏览器中使用 Web Access。

**由身份提供者 (IdP) 启动的客户端应用程序流**

IdP 启动的流允许用户在其设备上自动注册 WorkSpaces 客户端应用程序，而无需输入 WorkSpaces 注册码。用户不会使用 IdP 启动的流登录其 WorkSpaces。WorkSpaces 身份验证必须源自客户端应用程序。

1. 用户使用其 Web 浏览器登录 IdP（Microsoft Entra ID）。

1. 登录 IdP 后，用户从 IdP 用户门户中选择 AWS IAM Identity Center 应用程序。

1. 系统在浏览器中将用户重定向到 AWS 访问门户。然后，用户选择 WorkSpaces 图标。

1. 系统将用户重定向到下一页，并自动打开 WorkSpaces 客户端应用程序。如果客户端应用程序未自动打开，请选择**打开 Amazon WorkSpaces 应用程序**。  
![\[打开 WorkSpaces 应用程序重定向页面\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 客户端应用程序现已注册，用户可以单击**继续登录 WorkSpaces**，以继续登录。

**身份提供者（IdP）启动的 Web Access 流**

IdP 启动的 Web Access 流允许用户通过 Web 浏览器自动注册其 WorkSpaces，而无需输入 WorkSpaces 注册码。用户不会使用 IdP 启动的流登录其 WorkSpaces。WorkSpaces 身份验证必须源自 Web Access。

1. 用户使用其 Web 浏览器登录 IdP。

1. 登录 IdP 后，用户从 IdP 用户门户单击 AWS IAM Identity Center 应用程序。

1. 系统在浏览器中将用户重定向到 AWS 访问门户。然后，用户选择 WorkSpaces 图标。

1. 系统在浏览器中将用户重定向到此页面。要打开 WorkSpaces，请**在浏览器中选择 Amazon WorkSpaces**。  
![\[打开 WorkSpaces 应用程序重定向页面\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/saml-redir.png)

1. WorkSpaces 客户端应用程序现已注册，用户可以继续通过 WorkSpaces Web Access 登录。

**由 WorkSpaces 客户端启动的流**

客户端启动的流允许用户在登录 IdP 后登录其 WorkSpaces。

1. 用户启动 WorkSpaces 客户端应用程序（如果尚未运行），然后单击**继续登录 WorkSpaces**。

1. 系统会将用户重定向到其默认 Web 浏览器以登录 IdP。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统会将用户重定向到弹出窗口。按照提示允许您的 Web 浏览器打开客户端应用程序。

1. 系统在 Windows 登录屏幕上将用户重定向到 WorkSpaces 客户端应用程序。

1. 用户使用自己的 Entra ID 用户名和凭证登录到 Windows。

**由 WorkSpaces Web Access 启动的流**

Web Access 启动的流允许用户在登录 IdP 后登录其 WorkSpaces。

1. 用户启动 WorkSpaces Web Access，并选择**登录**。

1. 在同一个浏览器选项卡中，系统将用户重定向到 IdP 门户。如果用户已经在浏览器中登录 IdP，则无需再次登录，可以跳过此步骤。

1. 登录 IdP 后，系统在浏览器中将用户重定向到此页面，然后用户单击**登录 WorkSpaces**。

1. 系统在 Windows 登录屏幕上将用户重定向到 WorkSpaces 客户端应用程序。

1. 用户使用自己的 Entra ID 用户名和凭证登录到 Windows。

## 新用户体验
<a name="first-time-entra"></a>

如果您是首次登录加入 Microsoft Entra ID 的 Windows WorkSpaces，则必须体验开箱即用体验（OOBE）。在 OOBE 期间，WorkSpaces 会加入到 Entra ID。您可以通过配置分配给您为 WorkSpaces 创建的 Microsoft Intune 设备组的 Autopilot 配置文件，来自定义 OOBE 体验。有关更多信息，请参阅 [步骤 3：配置 Windows Autopilot 用户驱动模式](launch-entra-id.md#entra-step-3)。

# 在 “个人” 中 WorkSpaces 使用智能卡进行身份验证
<a name="smart-cards"></a>

DCV 捆绑包 WorkSpaces 上的 Windows 和 Linux 允许使用[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV)](https://www.idmanagement.gov/university/piv/) 智能卡进行身份验证。

Amazon WorkSpaces 支持使用智能卡进行*会话前身份验证和会话*中*身份验证*。会话前身份验证是指在用户登录时执行的智能卡身份验证。 WorkSpaces会话中身份验证是指登录后执行的身份验证。

例如，在使用 Web 浏览器和应用程序时，用户可以使用智能卡进行会话中身份验证。他们也可以使用智能卡执行需要管理权限的操作。例如，如果用户拥有其 Linux 的管理权限 WorkSpace，则他们可以在运行`sudo`和`sudo -i`命令时使用智能卡进行身份验证。

**Topics**
+ [要求](#smart-cards-requirements)
+ [限制](#smart-cards-limitations)
+ [目录配置](#smart-cards-directory-config)
+ [启用适用于 Windows 的智能卡 WorkSpaces](#smart-cards-windows-workspaces)
+ [为 Ubuntu、Rocky Linux 和红帽企业 Linux 启用智能卡 WorkSpaces](#smart-cards-linux-workspaces)
+ [为亚马逊 Linux 2 启用智能卡 WorkSpaces](#smart-cards-amazon-linux-workspaces)

## 要求
<a name="smart-cards-requirements"></a>
+ 会话前身份验证需要 Active Directory Connector (AD Connector) 目录。AD Connector 使用基于证书的相互传输层安全行协议身份验证（相互 TLS），通过基于硬件或软件的智能卡证书对 Active Directory 的用户进行身份验证。有关如何配置 AD Connector 和本地目录的更多信息，请参阅[目录配置](#smart-cards-directory-config)。
+ 要在 Windows 或 Linux 上使用智能卡 WorkSpace，用户必须使用亚马逊 WorkSpaces Windows 客户端版本 3.1.1 或更高版本、mac WorkSpaces OS 客户端版本 3.1.5 或更高版本，或 Ubuntu 22.04 客户端版本 2024.1 WorkSpaces 或更高版本（Ubuntu 20.04 客户端不支持智能卡身份验证）。 WorkSpaces 有关在 Windows 和 macOS 客户端上使用智能卡的更多信息，请参阅*亚马逊 WorkSpaces 用户*指南中的[智能卡支持](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)。
+ 根 CA 和智能卡证书必须满足某些要求。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[在 AD Connector 中启用 mTLS 身份验证以用于智能卡](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)以及 Microsoft 文档中的[证书要求](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements)。

  除这些要求外，用于向 Amazon 进行智能卡身份验证的用户证书还 WorkSpaces 必须包含以下属性：
  + 证书 userPrincipalName (SAN) 字段中的 AD 用户 subjectAltName (UPN)。建议为用户的默认 UPN 颁发智能卡证书。
**注意**  
亚马逊 Linux 2 WorkSpaces 依靠 UPN 进行 certificate-to-user映射。较新的 Linux WorkSpaces，例如 Ubuntu、Rocky Linux 和红帽企业 Linux WorkSpaces，支持更安全的[映射](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking)方法。
  + 客户端身份验证 (1.3.6.1.5.5.7.3.2) 扩展密钥使用 (EKU) 属性。
  + 智能卡登录 (1.3.6.1.4.1.311.20.2.2) EKU 属性。
+ 对于会话前身份验证，需要在线证书状态协议 (OCSP) 来检查证书吊销。对于会话中身份验证，建议使用 OCSP，但不是必需的。
**注意**  
默认情况下，Ubuntu WorkSpaces、Rocky Linux WorkSpaces 和 Red Hat Enterprise Linux WorkSpaces 需要 OCSP 进行会话内身份验证，而这些系统中的 OCSP 验证要求 OCSP 响应者启用 NONCE 扩展以防止重播攻击。要禁用 NONCE 扩展，必须完全禁用会话中 OCSP 验证。要在 Ubuntu、Rocky Linux 和红帽企业 Linux 中禁用 OCSP 验证 WorkSpaces，请创建一个`/etc/sssd/conf.d/disable-ocsp.conf`包含以下内容的新文件：  

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## 限制
<a name="smart-cards-limitations"></a>
+ 目前仅支持 WorkSpaces Windows 客户端应用程序版本 3.1.1 或更高版本、mac WorkSpaces OS 客户端应用程序版本 3.1.5 或更高版本 WorkSpaces 以及 Ubuntu 22.04 客户端应用程序版本 2024.1 或更高版本。 WorkSpaces 智能卡身份验证不支持 Ubuntu 20.04 或更早版本的客户端应用程序。
+ 只有在 64 位版本的 WorkSpaces Windows 上运行时，Windows 客户端应用程序 3.1.1 或更高版本才支持智能卡。
+ 目前只支持 AD Connector 目录进行智能卡身份验证。
+ 会话中身份验证在所有支持 DCV 的区域均可用。以下区域提供会话前身份验证：
  + 亚太地区（悉尼）区域
  + 亚太地区（东京）区域
  + 欧洲地区（爱尔兰）区域
  + AWS GovCloud （美国东部）区域
  + AWS GovCloud （美国西部）区域
  + 美国东部（弗吉尼亚州北部）区域
  + 美国西部（俄勒冈州）区域
+ 对于 Linux 或 Windows 上的会话内身份验证和会话前身份验证 WorkSpaces，目前一次只能使用一张智能卡。可以同时使用多张卡，但不支持。
+ 对于会话前身份验证，目前不支持在同一目录上同时启用智能卡身份验证和登录身份验证。
+ 目前仅支持 CAC 和 PIV 卡。其他类型基于硬件或软件的智能卡也可能起作用，但它们尚未经过与 DCV 配合使用的全面测试。

## 目录配置
<a name="smart-cards-directory-config"></a>

要启用智能卡身份验证，必须按以下方式配置 AD Connector 目录和本地目录。

**AD Connector 目录配置**  
在开始之前，请确保您的 AD Connector 目录已按照《AWS Directory Service 管理指南》**内 [AD Connector 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)中所述进行设置。特别是，请确保您已在防火墙中打开必要的端口。

要完成 AD Connector 目录的配置，请按照《AWS Directory Service 管理指南》**内[在 AD Connector 中启用 mTLS 身份验证以用于智能卡](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)中的说明进行操作。

**注意**  
智能卡身份验证需要 Kerberos 约束委托 (KCD) 才能正常运行。KCD 要求 AD Connector 服务帐户的用户名部分与同一用户的AMAccount名称相匹配。A 的AMAccount名称不能超过 20 个字符。

**本地目录配置**  
除了配置 AD Connector 目录外：
+ 确保向本地目录的域控制器颁发的证书设置了 “KDC 身份验证” 扩展密钥用法 (EKU)。为此，请使用 Active Directory 域服务 (AD DS) 默认 Kerberos 身份验证证书模板。请勿使用域控制器证书模板或域控制器身份验证证书模板，因为这些模板不包含智能卡身份验证所需的设置。
+ 对于 Linux WorkSpaces，请确保颁发智能卡证书的 CA 的 OCSP 响应器已启用 NONCE 扩展。如果无法启用，则必须在 Ubuntu、Rocky Linux 和红帽企业 Linux 中禁用会话中 OCSP 验证。 WorkSpaces要禁用 OCSP 验证，请创建一个`/etc/sssd/conf.d/disable-ocsp.conf`包含以下内容的新文件：

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## 启用适用于 Windows 的智能卡 WorkSpaces
<a name="smart-cards-windows-workspaces"></a>

有关如何在 Windows 上启用智能卡身份验证的一般指南，请参阅 Microsoft 文档中[使用第三方证书颁发机构启用智能卡登录指南](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)。

**检测 Windows 锁屏并断开会话连接**  
要允许用户在屏幕锁定时解锁启用了智能卡会话前身份验证的 Window WorkSpaces s，可以在用户会话中启用 Windows 锁屏检测。检测到 Windows 锁屏后， WorkSpace 会话将断开，用户可以使用其智能卡从 WorkSpaces 客户端重新连接。

 您可以使用组策略设置，启用在检测到 Windows 锁屏时断开会话连接。有关更多信息，请参阅 [配置 DCV 屏幕锁定时断开会话连接](group_policy.md#gp_lock_screen_in_wsp)。

**启用会话内或会话前身份验证**  
默认情况下，Windows WorkSpaces 不支持使用智能卡进行会话前或会话中身份验证。如果需要，您可以使用组策略设置为 Windows WorkSpaces 启用会话中和会话前身份验证。有关更多信息，请参阅 [为 DCV 配置智能卡重定向](group_policy.md#gp_smart_cards_in_wsp)。

要使用会话前身份验证，除了更新组策略设置外，您还必须通过 AD Connector 目录设置启用会话前身份验证。有关更多信息，请按照《AWS Directory Service 管理指南》**内[在 AD Connector 中启用 mTLS 身份验证以用于智能卡](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)中的说明进行操作。

**允许用户在浏览器中使用智能卡**  
如果您的用户使用 Chrome 作为浏览器，则无需进行特殊配置即可使用智能卡。

如果您的用户使用 Firefox 作为浏览器，则您可以通过组策略允许您的用户在 Firefox 中使用智能卡。您可以在中使用这些 [Firefox 组策略模板](https://github.com/mozilla/policy-templates/tree/master/windows)。 GitHub

例如，您可以安装适用于 Windows 的 64 位版本的 [OpenSC](https://github.com/OpenSC/OpenSC/wiki) 来支持 PKCS \$111，然后使用以下组策略设置，其中 `NAME_OF_DEVICE` 是您要用来标识 PKCS \$111 的任何值，例如 `OpenSC`，其中 `PATH_TO_LIBRARY_FOR_DEVICE` 是 PKCS \$111 模块的路径。此路径应指向扩展名为 .DLL 的库，例如 `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`。

```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```

**提示**  
如果您使用的是 OpenSC，也可以通过运行 `pkcs11-register.exe` 程序，将 OpenSC `pkcs11` 模块加载到 Firefox 中。要运行此程序，请双击 `C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe` 中的文件，或者打开命令提示符窗口并运行以下命令：  

```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
要验证 OpenSC `pkcs11` 模块是否已加载到 Firefox 中，请执行以下操作：  
如果 Firefox 已经在运行，请将其关闭。
打开 Firefox。选择右上角的菜单按钮 ![\[Firefox menu button\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/firefox-menu-button.png)，然后选择**选项**。
在**关于: 首选项**页面上，在左侧导航窗格中选择**隐私与安全**。
在**证书**下，选择**安全设备**。
在**设备管理器**对话框中，您应该在左侧导航栏中看到 **OpenSC 智能卡框架 (0.21)**，当您选择它时，它应该具有以下值：  
**模块**：`OpenSC smartcard framework (0.21)`  
**路径**：`C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`

**问题排查**  
有关排查智能卡问题的信息，请参阅 Microsoft 文档中的[证书和配置问题](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems)。

可能导致问题的一些常见问题：
+ 槽与证书的映射不正确。
+ 智能卡上有多个可以与用户匹配的证书。证书使用以下标准进行匹配：
  + 证书的根 CA。
  + 证书的 `<KU>` 和 `<EKU>` 字段。
  + 证书主题中的 UPN。
+ 多个证书的密钥用法中存在 `<EKU>msScLogin`。

通常，最好只有一个用于智能卡身份验证的证书，该证书映射到智能卡的第一个槽。

用于管理智能卡上的证书和密钥（例如删除或重新映射证书和密钥）的工具可能因制造商而异。有关更多信息，请参阅智能卡制造商提供的文档。

## 为 Ubuntu、Rocky Linux 和红帽企业 Linux 启用智能卡 WorkSpaces
<a name="smart-cards-linux-workspaces"></a>

要在 Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 上启用智能卡，你需要在 WorkSpace 镜像中包含所有 CAs 发行智能卡和所有颁发域控制器证书的中间 CA 证书。 CAs 

**要获取 CA 证书：**您可以通过多种方式获取 CA 证书：
+ 您可以使用第三方证书颁发机构的 CA 证书包。
+ 您可以使用 Web 注册网站导出自己的 CA 证书，该网站是`http://ip_address/certsrv`或`http://fqdn/certsrv`，其中`ip_address`和`fqdn`是 CA 服务器的 IP 地址和完全限定域名 (FQDN)。有关使用 Web 注册网站的更多信息，请参阅 Microsoft 文档中的[如何导出根证书颁发机构证书](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate)。
+ 您可以使用以下步骤从运行 Active Directory 证书服务 (AD CS) 的 CA 服务器中导出 CA 证书。有关安装 AD CS 的信息，请参阅 Microsoft 文档中的[安装证书颁发机构](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority)。

  1. 使用管理员帐户登录 CA 服务器。

  1. 在 Windows 的**开始**菜单中，打开命令提示符窗口（**开始** > **Windows 系统** > **命令提示符**）。

  1. 使用以下命令将 CA 证书导出到新文件中，其中`rootca.cer`是新文件的名称：

     ```
     certutil -ca.cert rootca.cer
     ```

     有关运行 certutil 的更多信息，请参阅 Microsoft 文档中的 [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil)。

  1. 使用以下 OpenSSL 命令将导出的 CA 证书从 DER 格式转换为 PEM 格式，其中*rootca*是证书的名称。有关 OpenSSL 的更多信息，请访问 [www.openssl.org](https://www.openssl.org/)。

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**将您的 CA 证书添加到 Linux WorkSpaces**

为了帮助您启用智能卡，我们已将该`enable_smartcard`脚本添加到我们的 Linux WorkSpaces DCV 捆绑包中。此脚本将执行以下操作：
+ 将您的 CA 证书导入私有 PEM 捆绑包，该包定义了 Linux WorkSpaces 上的 SSSD 的信任根）。
+ 更新 SSSD、PAM 和 Kerberos 配置，其中包括在置备期间启用`PKINIT`（使用证书而不是密码进行 Kerberos 身份验证）。 WorkSpace

以下过程说明如何使用`enable_smartcard`脚本导入 CA 证书以及如何为 Linux 启用智能卡身份验证 WorkSpaces。

1. 创建一个启用了 DCV 协议 WorkSpace 的新 Linux。在 Amazon WorkSpaces 控制台 WorkSpace 中启动时，请务必**在 “选择捆绑包**” 页面上为协议选择 **DCV**，然后选择一个 Linux WorkSpaces 公共捆绑包。

1. 在新创建的文件中 WorkSpace，确保`/etc/skylight.conf`文件在`[features]`章节中有`pam_smartcard = true`行：

   ```
   [features]
   pam_smartcard = true
   ```
**注意**  
如果尚未将所有用户配置为使用强`altSecurityIdentities`证书映射，您也可以在中的同一`[features]`部分中添加一`smartcard_weak_mapping = true`行`/etc/skylight.conf`以支持旧版映射方法，但我们建议尽快迁移这些用户以使用强映射方法。

1. 在 WorkSpace，以 root 身份运行以下命令`pem-path1`，其中`pem-path2`、等是文件的路径，每个文件都包含智能卡和域控制器证书信任链中的一个 CA 证书。所有这些文件都应采用 PEM 格式，每个文件包含一个证书。可以使用 Glob 模式（例如`*.pem`）

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
   ```
**注意**  
在运行上述命令 WorkSpace 之前，请确保在上安装了其他依赖包，并以 root 身份使用以下命令。  
对于 Rocky Linux 和红帽企业 Linux WorkSpaces：  

   ```
   dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
   ```
 对于 Ubuntu WorkSpaces 来说：  

   ```
   apt install krb5-pkinit opensc
   ```

1. 在上执行任何其他自定义。 WorkSpace例如，您可能希望添加一个系统范围的策略，以[允许用户在 Firefox 中使用智能卡](#smart-cards-firefox-linux)。（Chrome 用户必须自己在客户端上启用智能卡。 有关更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[智能卡支持](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)。） 

1. 从@@ [中创建自定义 WorkSpace 映像和捆绑包](create-custom-bundle.md) WorkSpace。

1. 使用新的自定义捆绑包 WorkSpaces 为用户启动。

您可以在 Linux WorkSpace 映像中添加 SecurityDevices 策略，让您的用户能够在 Firefox 中使用智能卡。有关向 Firefox 添加系统范围策略的更多信息，请参阅上的 [Mozilla 策略模板](https://github.com/mozilla/policy-templates/releases)。 GitHub

**允许用户在 Firefox 中使用智能卡**

1. 在你 WorkSpace 用来创建 WorkSpace 映像的系统上，创建一个名`policies.json`为的新文件，其中`PREFIX`位于`/usr/lib64`基于 Fedora 的系统（亚马逊 Linux 2 `PREFIX/firefox/distribution/`、红帽企业 Linux 和 Rocky Linux WorkSpaces）和基于 Debian 的系统（Ubuntu）`/usr/lib`上。 WorkSpaces

1. 在 JSON 文件中，添加以下 SecurityDevices 策略，其中`NAME_OF_DEVICE`是您要用来标识`pkcs`模块的任何值。例如，您可能想使用 `"OpenSC"` 这样的值：

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
           }
       }
   }
   ```

**问题排查**  
当会话前设置为使用密码身份验证时，智能卡身份验证的故障排除更容易——在会话配置期间，Linux 会 WorkSpaces 自动将主机身份验证模式首选项切换为基于密码或基于智能卡的身份验证模式，具体取决于所使用的会话前身份验证方法。如果智能卡身份验证存在任何问题，则使用密码会话前身份验证断开连接并重新连接会将工作空间重置为主机上的密码身份验证。要手动将 Linux WorkSpaces 实例切换到智能卡身份验证，请以 root 身份运行`/usr/lib/skylight/resume_smartcard`命令。

Linux WorkSpaces 使用 OpenSC 软件来处理智能卡。该软件附带诸如`pkcs11-tool`和`pkcs15-tool`之类的工具，可用于解决智能卡问题。这些工具可用于检查智能卡读卡器、单个令牌以及每个智能卡令牌上的 PIV 插槽或证书。

`openssl`命令行工具可以帮助解决信任链、OCSP 响应器或缺失 KUs/EKUs （密 usage/extended 钥使用）标志的问题，尤其是与从智能卡中提取公共证书`pkcs15-tool`的功能结合使用时。

常见故障排除选项：
+ 首先从智能卡中提取证书（通常是 PIV 插槽 9A）并将其保存为：`card-cert.pem``pkcs15-tool --read-certificate 1 > card-cert.pem`
+ 根据信任数据库验证提取的证书 WorkSpace：`openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ 从提取的智能卡证书中获取 OCSP 网址：`openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ 验证 OCSP 响应是否表明证书有效并且包含 NONCE:`openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI`，其中*OCSP\$1URI*是上面的 OCSP 网址。
+ 检查域控制器证书是否被视为可信：`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`，其中*DC\$1HOSTNAME*是 Active Directory 域中其中一个域控制器的主机名。
+ 确认域控制器证书已设置 KDC 身份验证 EKU（扩展密钥用法）：。`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`
+ 尝试手动 PKINIT，看看是否有任何错误代码可以用来缩小问题范围：`KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V`，卡上四个主 PIV 插槽之一的数量在*01*哪里 —— `01` for `9A`、`02` for 等。`9C`大多数卡在插槽 9A 中都有用于用户身份验证的证书。
+ 检查系统是否能够将智能卡证书映射到 AD 用户（以 root 身份执行）：`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(<card-cert.pem)"`。这可以与启用 SSSD 的调试日志记录相结合。

最常见的已知问题：
+ 智能卡证书的信任链不完整-使用`enable_smartcard`脚本导入证书时，必须提供所有根证书和中间 CA 证书的完整列表。如果由于列表中缺少根 CA 证书而并非所有导入的证书都可信，则该`enable_smartcard`工具将显示错误，但它无法检测到何时缺少整个信任链或其中一个信任链中最内层的中间 CA 证书。在这种情况下，它将毫无错误地导入证书，但是智能卡证书或域控制器证书仍可能被视为不受信任。
+ 缺少域控制器证书的信任链-如果域控制器证书由与智能卡不同的 CA 颁发（例如，[通用访问卡 (CAC)）](https://www.cac.mil/Common-Access-Card)，则需要将该 CA 信任链与颁发 CA 证书的智能卡一起导入。
+ OCSP 响应器中缺乏 NONCE 扩展支持-Linux WorkSpaces 要求智能卡发卡机构的 OCSP 响应器启用 NONCE 扩展。如果无法启用，则必须完全禁用 OCSP 验证。
+ 域控制器证书缺失 `KDC Authentication` EKU (OID 1.3.6.1.5.2.3.1)-要使智能卡身份验证起作用，需要重新颁发域控制器证书，以包括 KDC 身份验证 EKU。
+ 域控制器证书已过期-要使智能卡身份验证起作用，必须保留域控制器证书 up-to-date。
+ 使用弱映射方法将智能卡证书映射到 AD 中的用户——传统上， subjectAltName 属性中的 UPN 字段用于将证书映射到 AD 中的用户，并期望与 userPrincipalName 属性匹配。这不再被视为一种安全的映射方法，并且在默认情况下是不允许的。可以通过向`enable_smartcard`命令传递`--allow-weak-mapping`参数并在`/etc/skylight.conf`文件中的`[features]`部分中添加`smartcard_weak_mapping = true`行来重新启用它，但是更好的解决方案是使用一种强大的映射方法。有关更多详细信息，请参阅[账户关联](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking)文档。

用于管理智能卡上的证书和密钥（例如删除或重新映射证书和密钥）的工具可能因制造商而异。可用来处理智能卡的其他工具包括：
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**启用调试日志记录**
+ `/etc/sssd/sssd.conf`为每个单独的部分添加一`debug_level = LEVEL`行，其中*LEVEL*是所需的详细程度，从 1 到 10。然后可以在`/var/log/sssd/`目录中找到每个相应部分的日志。有关更多详细信息，请参阅[此处和此](https://docs.pagure.org/sssd.sssd/users/troubleshooting.html#sssd-debug-logs)[处](https://sssd.io/troubleshooting/basics.html#sssd-debug-logs)的 SSSD 文档。

## 为亚马逊 Linux 2 启用智能卡 WorkSpaces
<a name="smart-cards-amazon-linux-workspaces"></a>

**注意**  
DCV WorkSpaces 上的 Amazon Linux 2 目前存在以下限制：  
不支持剪贴板、音频输入、视频输入和时区重定向。
不支持多个显示器。

要在 Amazon Linux 2 上启用智能卡 WorkSpaces，您需要在 WorkSpace 镜像中包含 PEM 格式的根 CA 证书文件。

**要获取根 CA 证书，请执行以下操作：**您可以通过多种方式获取根 CA 证书：
+ 您可以使用由第三方证书颁发机构运营的根 CA 证书。
+ 您可以使用 Web 注册网站导出自己的根 CA 证书，该网站为 `http://ip_address/certsrv` 或 `http://fqdn/certsrv`，其中 `ip_address` 和 `fqdn` 分别是根证书 CA 服务器的 IP 地址和完全限定域名 (FQDN)。有关使用 Web 注册网站的更多信息，请参阅 Microsoft 文档中的[如何导出根证书颁发机构证书](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate)。
+ 您可以使用以下步骤，从运行 Active Directory 证书服务 (AD CS) 的根 CA 证书服务器导出根 CA 证书。有关安装 AD CS 的信息，请参阅 Microsoft 文档中的[安装证书颁发机构](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority)。

  1. 使用管理员账户登录根 CA 服务器。

  1. 在 Windows 的**开始**菜单中，打开命令提示符窗口（**开始** > **Windows 系统** > **命令提示符**）。

  1. 使用以下命令将根 CA 证书导出到新文件，其中 `rootca.cer` 是新文件的名称：

     ```
     certutil -ca.cert rootca.cer
     ```

     有关运行 certutil 的更多信息，请参阅 Microsoft 文档中的 [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil)。

  1. 使用以下 OpenSSL 命令将导出的根 CA 证书从 DER 格式转换为 PEM 格式，其中*rootca*是证书的名称。有关 OpenSSL 的更多信息，请访问 [www.openssl.org](https://www.openssl.org/)。

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**将您的根 CA 证书添加到您的亚马逊 Linux 2 WorkSpaces**

为了帮助您启用智能卡，我们已将 `enable_smartcard` 脚本添加到我们的 Amazon Linux DCV 捆绑包中。此脚本将执行以下操作：
+ 将您的根 CA 证书导入[网络安全服务 (NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS) 数据库。
+ 安装可插入验证模块 (PAM) 身份验证的 `pam_pkcs11` 模块。
+ 执行默认配置，包括在 WorkSpace置备`pkinit`期间启用。

以下过程说明了如何使用`enable_smartcard`脚本将根 CA 证书添加到 Amazon Linux 2 WorkSpaces 以及如何为亚马逊 Linux 2 启用智能卡 WorkSpaces。

1. 创建一个启用 DCV 协议 WorkSpace 的新 Amazon Linux 2。在亚马逊 WorkSpaces 控制台 WorkSpace 中启动时，请务必**在 “选择捆绑包**” 页面上为协议选择 **DCV**，然后选择一个 Amazon Linux 2 公共捆绑包。

1. 在新版本中 WorkSpace，以 root 身份运行以下命令，其中`pem-path`是 PEM 格式的根 CA 证书文件的路径。

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path
   ```
**注意**  
Amazon Linux 2 WorkSpaces 假设智能卡上的证书是针对用户的默认用户主体名称 (UPN) 颁发的，例如`sAMAccountName@domain`，其中`domain`是完全限定的域名 (FQDN)。  
要使用备用 UPN 后缀，请参阅 `run /usr/lib/skylight/enable_smartcard --help`，了解更多信息。备用 UPN 后缀的映射对每个用户来说都是唯一的。因此，必须对每个用户单独执行映射 WorkSpace。

1. （可选）默认情况下，所有服务都允许在 Amazon Linux 2 上使用智能卡身份验证 WorkSpaces。要将智能卡身份验证仅限于特定服务，必须编辑 `/etc/pam.d/system-auth`。取消 `pam_succeed_if.so` 对应的 `auth` 行的注释，并根据需要编辑服务列表。

   取消 `auth` 行的注释后，要允许服务使用智能卡身份验证，必须将其添加到列表中。要使服务仅使用密码身份验证，必须从列表中将其删除。

1. 对执行任何其他自定义。 WorkSpace例如，您可能希望添加一个系统范围的策略，以[允许用户在 Firefox 中使用智能卡](#smart-cards-firefox-amazon-linux)。（Chrome 用户必须自己在客户端上启用智能卡。 有关更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[智能卡支持](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html)。） 

1. 从@@ [中创建自定义 WorkSpace 映像和捆绑包](create-custom-bundle.md) WorkSpace。

1. 使用新的自定义捆绑包 WorkSpaces 为用户启动。

您可以通过向您的亚马逊 Linux 2 WorkSpace 映像添加 SecurityDevices 策略来允许您的用户在 Firefox 中使用智能卡。有关向 Firefox 添加系统范围策略的更多信息，请参阅上的 [Mozilla 策略模板](https://github.com/mozilla/policy-templates/releases)。 GitHub

**允许用户在 Firefox 中使用智能卡**

1. 在你 WorkSpace 用来创建 WorkSpace 图像的上，创建一个名为`policies.json`的新文件`/usr/lib64/firefox/distribution/`。

1. 在 JSON 文件中，添加以下 SecurityDevices 策略，其中`NAME_OF_DEVICE`是您要用来标识`pkcs`模块的任何值。例如，您可能想使用 `"OpenSC"` 这样的值：

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
           }
       }
   }
   ```

**疑难解答：**为了排除故障，我们建议添加该`pkcs11-tools`实用程序。此实用工具允许您执行以下操作：
+ 列出每张智能卡。
+ 列出每张智能卡上的槽。
+ 列出每张智能卡上的证书。

可能导致问题的一些常见问题：
+ 槽与证书的映射不正确。
+ 智能卡上有多个可以与用户匹配的证书。证书使用以下标准进行匹配：
  + 证书的根 CA。
  + 证书的 `<KU>` 和 `<EKU>` 字段。
  + 证书主题中的 UPN。
+ 多个证书的密钥用法中存在 `<EKU>msScLogin`。

通常，最好只有一个用于智能卡身份验证的证书，该证书映射到智能卡的第一个槽。

用于管理智能卡上的证书和密钥（例如删除或重新映射证书和密钥）的工具可能因制造商而异。可用来处理智能卡的其他工具包括：
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**启用调试日志记录**

要排查 `pam_pkcs11` 和 `pam-krb5` 配置问题，您可以启用调试日志记录。

1. 在 `/etc/pam.d/system-auth-ac` 文件中，编辑 `auth` 操作，并将 `pam_pksc11.so` 的 `nodebug` 参数更改为 `debug`。

1. 在 `/etc/pam_pkcs11/pam_pkcs11.conf` 文件中，将 `debug = false;` 更改为 `debug = true;`。`debug` 选项分别适用于每个映射器模块，因此，您可能需要直接在`pam_pkcs11`部分下方和相应的映射器部分（默认情况下，这为 `mapper generic`）下，对其进行更改。

1. 在 `/etc/pam.d/system-auth-ac` 文件中，编辑 `auth` 操作，并将 `debug` 或 `debug_sensitive` 参数添加到 `pam_krb5.so`。

启用调试日志记录后，系统会直接在活动终端中打印出 `pam_pkcs11` 调试消息。来自 `pam_krb5` 的消息已记录在 `/var/log/secure` 中。

要检查智能卡证书映射到哪个用户名，请使用以下 `pklogin_finder` 命令：

```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```

系统提示时，输入智能卡 PIN。`pklogin_finder` 在 `stdout` 上以 `NETBIOS\username` 的形式输出智能卡证书的用户名。此用户名应与 WorkSpace 用户名匹配。

在 Active Directory 域服务 (AD DS) 中，NetBIOS 域名是 Windows 2000 之前的域名。通常（但并非总是如此），NetBIOS 域名是域名系统 (DNS) 域名的子域。例如，如果 DNS 域名为 `example.com`，则 NetBIOS 域名通常为 `EXAMPLE`。如果 DNS 域名为 `corp.example.com`，则 NetBIOS 域名通常为 `CORP`。

例如，对于域 `corp.example.com` 中的用户 `mmajor`，来自 `pklogin_finder` 的输出为 `CORP\mmajor`。

**注意**  
如果您收到消息 `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"`，则此消息表示 `pam_pkcs11` 已在智能卡上找到了符合用户名标准的证书，但该证书未链接到计算机可识别的根 CA 证书。发生这种情况时，`pam_pkcs11` 会输出上述消息，然后尝试下一个证书。它仅在找到与用户名匹配且链接到可识别的根 CA 证书的证书时，才允许进行身份验证。

要排查 `pam_krb5` 配置问题，您可以使用以下命令在调试模式下手动调用 `kinit`：

```
KRB5_TRACE=/dev/stdout kinit -V
```

此命令应成功获取 Kerberos 票证授予票证 (TGT)。如果失败，请尝试在命令中显式添加正确的 Kerberos 主体名称。例如，对于域 `corp.example.com` 中的用户 `mmajor`，使用以下命令：

```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```

如果此命令成功，则问题很可能出在从 WorkSpace 用户名到 Kerberos 主体名称的映射中。检查 `/etc/krb5.conf` 文件中的 `[appdefaults]/pam/mappings` 部分。

如果此命令不成功，但基于密码的 `kinit` 命令成功了，请检查 `/etc/krb5.conf` 文件中的 `pkinit_` 相关配置。例如，如果智能卡包含多个证书，则可能需要对 `pkinit_cert_match` 进行更改。

# 为 WorkSpaces 个人版提供互联网访问权限
<a name="amazon-workspaces-internet-access"></a>

您的 WorkSpace 必须具有互联网的访问权限，以便您将更新安装到操作系统以及部署应用程序。您可以使用以下选项之一，以允许虚拟私有云 (VPC) 中的 WorkSpace 访问互联网。

**选项**
+ 在私有子网中启动您的 WorkSpace 并在 VPC 中的公有子网内配置 NAT 网关。
+ 在公有子网中启动您的 WorkSpaces 并自动或手动将公有 IP 地址分配到 WorkSpaces。

有关这些选项的更多信息，请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。

通过上述任一选项，您必须确保 WorkSpace 的安全组允许端口 80 (HTTP) 和 443 (HTTPS) 上的出站流量流向所有目的地 (`0.0.0.0/0`)。

**Amazon Linux Extras 库**  
如果您使用的是 Amazon Linux 存储库，则 Amazon Linux WorkSpaces 必须能够访问互联网，否则您必须配置指向此存储库和主 Amazon Linux 存储库的 VPC 端点。有关更多信息，请参阅 [Amazon S3 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)中的*示例：启用对 Amazon Linux AMI 存储库的访问*部分。每个区域中的 Amazon Linux AMI 存储库都是 Amazon S3 存储桶。如果您希望 VPC 中的实例通过端点访问该存储库，请创建端点策略以允许对这些存储桶进行访问。以下策略授予对 Amazon Linux 存储库的访问权限。

```
{
  "Statement": [
    {
        "Sid": "AmazonLinux2AMIRepositoryAccess",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
        ]
    }
  ]
}
```

# WorkSpaces 个人安全组
<a name="amazon-workspaces-security-groups"></a>

向注册目录时 WorkSpaces，它会创建两个安全组，一个用于目录控制器，另一个用于目录 WorkSpaces 中。目录控制器的安全组的名称为目录标识符后跟 **\$1controllers**（例如，d-12345678e1\$1controllers）。的安全组的名称由目录标识符组成，后面跟着 \$1workspacesMembers（例如，d-123456fc **11\$1workspacesM** embers）。 WorkSpaces 

**警告**  
避免修改、删除或分离 **\$1controllers** 和 **\$1workspacesMembers** 安全组。修改或删除这些安全组时要小心，因为修改或删除这些安全组后，您将无法重新创建和重新添加它们。有关更多信息，请参阅适用于 [Linux 实例的亚马逊 EC2安全组](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html)或适用[于 Windows 实例的亚马逊 EC2 安全组](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html)。

您可以将默认 WorkSpaces 安全组添加到目录中。将新的安全组与 WorkSpaces 目录关联后 WorkSpaces ，您启动的新安全组或重建 WorkSpaces 的现有安全组将拥有新的安全组。您也可以[将这个新的默认安全组添加到现有安全组中， WorkSpaces 而无需对其进行重建](#security_group_existing_workspace)，如本主题后面所述。

当您将多个安全组与一个 WorkSpaces 目录关联时，每个安全组的规则会被有效地聚合以创建一组规则。建议尽可能精简您的安全组规则。

有关安全组的更多信息，请参阅《Amazon VPC 用户指南》**中的[您的 VPC 的安全组](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html)。

**向 WorkSpaces 目录中添加安全组**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Security Group** 并选择一个安全组。

1. 选择**更新并退出**。

要将安全组添加到现有安全组 WorkSpace 而不对其进行重建，请将新的安全组分配给的 elastic network interface (ENI) WorkSpace。

**向现有安全组添加安全组 WorkSpace**

1. 查找需要更新的每 WorkSpace 个 IP 地址。

   1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

   1. 展开每个 WorkSpace 并记录其 WorkSpace IP 地址。

1. 找到每个弹性网卡 WorkSpace 并更新其安全组分配。

   1. 打开 Amazon EC2 控制台，网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。

   1. 在**网络与安全**下，选择**网络接口**。

   1. 搜索您在步骤 1 中记录的第一个 IP 地址。

   1. 选择与该 IP 地址关联的 ENI，选择**操作**，然后选择**更改安全组**。

   1. 选择新安全组，然后选择**保存**。

   1. 根据需要对其他任何过程重复此过程 WorkSpaces。

# 个 WorkSpaces 人 IP 访问控制组
<a name="amazon-workspaces-ip-access-control-groups"></a>

Amazon WorkSpaces 允许您控制 WorkSpaces 可以从哪些 IP 地址访问您的 IP 地址。通过使用基于 IP 地址的控制组，您可以定义和管理可信 IP 地址组，并且仅允许用户在连接到可信网络 WorkSpaces 时访问这些地址。

*IP 访问控制组*充当虚拟防火墙，用于控制允许用户访问自己的 IP 地址 WorkSpaces。要指定 CIDR 地址范围，请向 IP 访问控制组添加规则，然后将该组与您的目录关联。每个 IP 访问控制组最多可以添加 30 个规则，并且可以将每个 IP 访问控制组与一个或多个目录相关联。每个 AWS 账户在每个区域最多可以创建 140 个 IP 访问控制组。但是，您最多只能将 35 个 IP 访问控制组与单个目录相关联。

每个目录都与一个默认 IP 访问控制组关联。此默认群组包含一条默认规则，允许用户 WorkSpaces 从任何地方访问自己的群组。您无法修改目录的默认 IP 访问控制组。如果您没有将 IP 访问控制组与您的目录关联，请使用默认组。如果您将 IP 访问控制组与目录关联，则默认的 IP 访问控制组将断开连接。

要为您的受信任网络指定公有 IP 地址和 IP 地址范围，请向 IP 访问控制组添加规则。如果您的用户 WorkSpaces 通过 NAT 网关或 VPN 访问他们，则必须创建规则，允许来自公有 IP 地址的流量进入该 NAT 网关或 VPN。

**注意**  
IP 访问控制组不允许使用动态 IP 地址 NATs。如果您使用 NAT，请将其配置为使用静态 IP 地址而不是动态 IP 地址。确保 NAT 在会 WorkSpaces 话期间通过相同的静态 IP 地址路由所有 UDP 流量。
IP 访问控制组控制用户可以连接直播会话的 IP 地址 WorkSpaces。用户仍然可以使用 Amazon p WorkSpaces ub APIs lic 从任何 IP 地址执行重启、重建、关闭等功能。
为目录配置用于流式传输的 VPC 端点时，IP 访问控制组不适用。
更改 IP 访问控制时，活动会话不会立即中断；更改仅应用于新会话。

你可以在 Web Access、 PCo IP zero 客户端以及适用于 macOS、iPad、Windows、Chromebook 和安卓的客户端应用程序中使用此功能。

## 创建 IP 访问控制组
<a name="create-ip-access-control-group"></a>

可以按以下所述创建 IP 访问控制组。每个 IP 访问控制组最多可以包含 30 条规则。

**创建 IP 访问控制组**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择 **IP Access Controls**。

1. 选择 **Create IP Group**。

1. 在 **Create IP Group (创建 IP 组)** 对话框中，输入组的名称和描述，然后选择 **Create (创建)**。

1. 选择所需组，然后选择 **Edit**。

1. 对于每个 IP 地址，选择 **Add Rule**。对于 **Source (来源)**，输入 IP 地址或 IP 地址范围。对于**说明**，输入说明。添加完规则后，选择 **Save**。

## 将 IP 访问控制组与目录关联
<a name="associate-ip-access-control-group"></a>

您可以将 IP 访问控制组与目录关联，以确保只能从 WorkSpaces可信网络访问该目录。

如果将没有规则的 IP 访问控制组与目录相关联，则会阻止所有人访问所有人 WorkSpaces。

**将 IP 访问控制组与目录关联**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **IP Access Control Groups**，并选择一个或多个 IP 访问控制组。

1. 选择**更新并退出**。

## 复制 IP 访问控制组
<a name="copy-ip-access-control-group"></a>

您可以使用现有的 IP 访问控制组作为创建新 IP 访问控制组的基础。

**从现有的 IP 访问控制组创建一个 IP 访问控制组**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择 **IP Access Controls**。

1. 选择所需组，然后选择 **Actions**、**Copy to New**。

1. 在 **Copy IP Group (复制 IP 组)** 对话框中，输入新组的名称和描述，然后选择 **Copy Group (复制组)**。

1. (可选) 要修改从原始组中复制的规则，请选择新组，然后选择 **Edit**。根据需要添加、更新或删除规则。选择**保存**。

## 删除 IP 访问控制组
<a name="delete-ip-access-control-group"></a>

您可以随时从 IP 访问控制组中删除规则。如果您删除了用于允许连接的规则 WorkSpace，则用户将断开与的连接 WorkSpace。

在可以删除 IP 访问控制组之前，必须将其与任何目录解除关联。

**删除 IP 访问控制组**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 对于每个与 IP 访问控制组关联的目录，请选择该目录，然后选择 **Actions**、**Update Details**。展开 **IP Access Control Groups (IP 访问控制组)**，清除 IP 访问控制组的复选框，然后选择 **Update and Exit (更新并退出)**。

1. 在导航窗格中，选择 **IP Access Controls**。

1. 选择所需组，然后选择 **Actions**、**Delete IP Group**。

# 为 WorkSpaces 个人版设置 PCoIP 零客户端
<a name="set-up-pcoip-zero-client"></a>

PCoIP 零客户端仅与使用 PCoIP 协议的 WorkSpaces 捆绑包兼容。

如果您的零客户端设备的固件为 6.0.0 或更高版本，您的用户就可以直接连接到 WorkSpaces。当您的用户使用零客户端设备直接连接到其 WorkSpaces 时，建议对您的 WorkSpaces 目录使用多重身份验证 (MFA)。有关对目录使用 MFA 的更多信息，请参阅以下文档：
+ **AWS Managed Microsoft AD** -《AWS Directory Service 管理指南》**中的[为 AWS Managed Microsoft AD 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)。
+ **AD Connector** -《AWS Directory Service 管理指南》**中的[为 AD Connector 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)以及[WorkSpaces 个人版的多重身份验证（AD Connector）](connect-mfa.md)
+ **受信任域** -《AWS Directory Service 管理指南》**中的[为 AWS Managed Microsoft AD 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html)
+ **Simple AD** - 多重身份验证对 Simple AD 不可用。

自 2021 年 4 月 13 日起，在 4.6.0 和 6.0.0 之间的零客户端设备固件版本中，不再支持使用 PCoIP Connection Manager。如果您的零客户端固件版本不是 6.0.0 或更高版本，则可以访问以下网址通过 Desktop Access 订阅来获取最新固件：[https://www.teradici.com/desktop-access](https://www.teradici.com/desktop-access)。

**重要**  
在 Teradici PCoIP 管理 Web 接口 (AWI) 或 Teradici PCoIP 管理控制台 (MC) 中，请确保启用了网络时间协议 (NTP)。对于 NTP 主机 DNS 名称，请使用 **pool.ntp.org**，并将 NTP 主机端口设置为 **123**。如果未启用 NTP，PCoIP 零客户端用户可能会收到证书失败错误，例如“提供的证书由于时间戳而无效。”
从 PCoIP 代理的 20.10.4 版本开始，Amazon WorkSpaces 默认禁用通过 Windows 注册表进行的 USB 重定向。当您的用户使用 PCoIP 零客户端设备连接到其 WorkSpaces 时，此注册表设置会影响 USB 外围设备的行为。有关更多信息，请参阅 [USB 打印机和其他 USB 外围设备不适用于 PCo IP 零客户端](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb)。

有关设置和连接 PCoIP 零客户端设备的信息，请参阅《Amazon WorkSpaces 用户指南》**中的 [PCoIP 零客户端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html)。有关经批准的 PCoIP 零客户端设备列表，请参阅 Teradici 网站上的 [PCoIP 零客户端](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients)。

# 为 WorkSpaces 个人版 Chromebook 设置 Android
<a name="set-up-android-chromebook"></a>

Amazon WorkSpaces Chromebook 客户端应用程序的最终版本是 2.4.13 版。由于 [Google 正在逐步退出对 Chrome 应用程序的支持](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html)，因此，将不会进一步更新 WorkSpaces Chromebook 客户端应用程序，并且不支持使用该应用程序。

对于[支持安装 Android 应用程序的 Chromebook](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/)，建议您改为使用 [WorkSpaces Android 客户端应用程序](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)。

在用户安装 Amazon WorkSpaces Android 客户端应用程序之前，必须启用 2019 年之前推出的某些 Chromebook 以[安装 Android 应用](https://support.google.com/chromebook/answer/7021273)。有关更多信息，请参阅[支持 Android 应用的 Chrome 操作系统](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps)。

要远程管理启用用户的 Chromebook 以安装 Android 应用程序，请参阅[在 Chrome 设备上设置 Android](https://support.google.com/chrome/a/topic/9042368)。

# 为 WorkSpaces 个人启用和配置 WorkSpaces Web 访问权限
<a name="web-access"></a>

大多数 WorkSpaces 捆绑包都支持 Amazon WorkSpaces Web Access。有关支持网络浏览器访问的列表 WorkSpaces ，请参阅 “哪些 Amazon WorkSpaces 捆绑包支持 Web Access？” [客户端访问、Web Access 和用户体验](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience)中的“哪些 Amazon WorkSpaces 捆绑包支持瘦客户端访问？”。

**注意**  
自 2025 年 11 月 7 日起，亚马逊 WorkSpaces PCo IP Web Access 不再向新客户开放。该功能今后只会收到重要的功能和安全更新。有关更多信息，请参阅 [Amazon WorkSpaces 用户指南](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html)。
所有提供 DCV 的地区都支持使用 D WorkSpaces CV 进行 Windows 和 Ubuntu WorkSpaces 的 Web 访问。适用于 Amazon Linux WorkSpaces 的 DCV 仅在 AWS GovCloud （美国西部）提供。
我们强烈建议将 Web Access 与 DCV 配合使用， WorkSpaces 以获得最佳的直播质量和用户体验。以下是使用带有 PCo IP 的 Web 访问时的限制 WorkSpaces：  
亚太地区（孟买） AWS GovCloud (US) Regions、非洲（开普敦）、欧洲（法兰克福）和以色列（特拉维夫）不支持 PCo IP 访问 Web
只有 Windows 支持 PCo通过 IP 进行网络访问 WorkSpaces，亚马逊 Linux 或 Ubuntu WorkSpaces 不支持。
网络访问不适用于某些使用 PCo IP 协议 WorkSpaces 的 Windows 10。如果你 WorkSpaces 的 PCo IP 由 Windows Server 2019 或 2022 提供支持，则 Web Access 不可用。
使用 PCo IP 进行网络访问在功能上受到限制。它支持视频输出、音频输出、键盘和鼠标。它不支持许多功能，包括视频输入、音频输入、剪贴板重定向和网络摄像头。
如果您在 VPN 上使用 macOS 并使用 Firefox 网络浏览器，则网络浏览器将不支持 WorkSpaces 使用 WorkSpaces Web Access 流式传输 PCo IP。这是由于 Firefox 在实施 WebRTC 协议时存在限制。

**重要**  
从 2020 年 10 月 1 日起，客户将无法再使用亚马逊 WorkSpaces Web Access 客户端连接到 Windows 7 自定义版 WorkSpaces 或 Windows 7 自带许可证 (BYOL) WorkSpaces。

## 步骤 1：启用对您的 Web 访问权限 WorkSpaces
<a name="enable-web-access"></a>

您可以在目录级别控制对您的 WorkSpaces Web 访问权限。对于 WorkSpaces 包含要允许用户通过 Web Access 客户端访问的每个目录，请执行以下步骤。

**启用对您的 Web 访问权限 WorkSpaces**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 在**目录 ID** 列下，选择要为其启用 Web 访问功能的目录的目录 ID。

1. 在**目录详细信息**页面上，向下滚动到**其他平台**部分，然后选择**编辑**。

1. 选择 **Web Access (Web 访问)**。

1. 选择**保存**。

**注意**  
启用 Web Access 后，请 WorkSpace 重新启动以使更改生效。

## 步骤 2：为 Web 访问配置对端口的入站和出站访问
<a name="configure_inbound_outbound"></a>

Amazon WorkSpaces Web Access 要求某些端口具有入站和出站访问权限。有关更多信息，请参阅 [用于 Web Access 的端口](workspaces-port-requirements.md#web-access-ports)。

## 步骤 3：配置组策略和安全策略设置以允许用户登录
<a name="configure_group_policy"></a>

Amazon WorkSpaces 依靠特定的登录屏幕配置来使用户能够成功地从 Web Access 客户端登录。

要使 Web Access 用户能够登录他们的 WorkSpaces，必须配置一个组策略设置和三个安全策略设置。如果这些设置配置不正确，则用户在尝试登录时可能会遇到登录时间过长或黑屏的情况 WorkSpaces。要配置这些设置，请使用以下过程。

你可以使用组策略对象 (GPOs) 来应用设置来管理 Windows WorkSpaces 或属于你的 Windows WorkSpaces 目录的用户。我们建议您为 WorkSpaces 计算机对象创建一个组织单位，为 WorkSpaces 用户对象创建一个组织单位。

有关使用 Active Directory 管理工具的信息 GPOs，请参阅《管理*指南》中的 “安装 Active Directory AWS Directory Service 管理*[工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)”。

**使 WorkSpaces 登录代理能够切换用户**

在大多数情况下，当用户尝试登录时 WorkSpace，用户名字段会预先填充该用户的名称。但是，如果管理员与建立了 RDP 连接 WorkSpace 以执行维护任务，则用户名字段将改为使用管理员的姓名填充。

要避免此问题，请禁用 **Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换)** 组策略设置。禁用此设置后， WorkSpaces 登录代理可以使用 “**切换用户**” 按钮在用户名字段中填入正确的名称。

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**系统**和**登录**。

1. 打开 **Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换)** 设置。

1. 在 **Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换)** 对话框中，选择 **Disabled (已禁用)**，然后选择 **OK (确定)**。

默认情况下，显示上次登录的用户列表，而不是 **Switch User (切换用户)** 按钮。根据的配置 WorkSpace，列表可能不会显示 “**其他用户**” 图块。出现这种情况时，如果预先填充的用户名不正确， WorkSpaces 登录代理将无法使用正确的名称填充该字段。

要避免此问题，请启用安全策略设置**交互式登录: 不显示上次登录)** 或**交互式登录: 不显示上次用户名**（具体取决于您使用的 Windows 版本）。

**隐藏上次登录的用户名**

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**Windows 设置**、**安全设置**、**本地策略**和**安全选项**。

1. 打开以下设置之一：
   + 对于 Windows 7 — **交互式登录：不显示上次登录**
   + 对于 Windows 10 — **交互式登录：不显示上次的用户名**

1. 在设置的 **Properties (属性)** 对话框中，选择 **Enabled (已启用)**，然后选择 **OK (确定)**。

**要求在用户可以登录之前按 CTRL\$1ALT\$1DEL**

对于 WorkSpaces Web Access，你需要要求用户在登录之前按 CTRL\$1ALT\$1DEL。要求用户在登录之前按 CTRL\$1ALT\$1DEL 可确保用户在输入密码时使用受信任的路径。

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**Windows 设置**、**安全设置**、**本地策略**和**安全选项**。

1. 打开**交互式登录: 不需要 CTRL\$1ALT\$1DEL** 设置。

1. 在**本地安全设置**选项卡上，选择**禁用**，然后选择**确定**。

**锁定会话时显示域和用户信息**

 WorkSpaces 登录代理会查找用户的名字和域。配置此设置后，锁定屏幕将显示用户的全名（如果在 Active Directory 中指定）、用户的域名和用户名。

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**Windows 设置**、**安全设置**、**本地策略**和**安全选项**。

1. 打开**交互式登录: 当会话被锁定时显示用户信息**设置。

1. 在**本地安全设置**选项卡上，选择**用户显示名称、域和用户名**，然后选择**确定**。

**应用组策略和安全策略设置更改**  
组策略和安全策略设置更改将在下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要在之前的过程中应用组策略和安全策略更改，请执行以下操作之一：
+ 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
+ 从管理命令提示符下，输入 **gpupdate /force**。

# 配置 WorkSpaces 瘦客户机
<a name="access-control-awstc"></a>

大多数 WorkSpaces 捆绑包都支持 Amazon WorkSpaces 瘦客户端访问权限。有关支持 Web 浏览器访问 WorkSpaces 的列表，请参阅 “哪些 Amazon WorkSpaces 捆绑包支持瘦客户端访问？” [客户端访问、Web Access 和用户体验](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience)中的“哪些 Amazon WorkSpaces 捆绑包支持瘦客户端访问？”。

## 步骤 1：启用对您的 Amazon WorkSpaces 瘦客户机的访问控制
<a name="enable-access-control-awstc"></a>

您可以使用基于用户代理的访问控制 WorkSpaces 在目录级别控制对您的瘦客户机访问权限。对于包含您 WorkSpaces 希望允许用户通过瘦客户机访问客户端访问的每个目录，请执行以下步骤。

**启用瘦客户机访问您的 WorkSpaces**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 在**目录 ID** 列下，选择要为其启用瘦客户端访问的目录的目录 ID。

1. 在**目录详细信息**页面上，向下滚动到**其他平台**部分，然后选择**编辑**。

1. 选择 “**WorkSpaces 瘦客户机**”。

1. 选择**保存**。

## 步骤 2：为瘦客户端访问配置对端口的入站和出站访问
<a name="configure_inbound_outbound_awstc"></a>

Amazon WorkSpaces 瘦客户端访问需要某些端口的入站和出站访问权限。有关更多信息，请参阅 [用于 Web Access 的端口](workspaces-port-requirements.md#web-access-ports)。

## 步骤 3：配置组策略和安全策略设置以允许用户登录
<a name="configure_group_policy-awstc"></a>

Amazon WorkSpaces 依靠特定的登录屏幕配置来使用户能够成功地从其瘦客户机访问客户端登录。

1. 要让 Thin Client Access 用户能够登录到他们的 WorkSpaces，必须配置一个组策略设置和三个安全策略设置。如果这些设置配置不正确，则用户在尝试登录时可能会遇到登录时间过长或黑屏的情况 WorkSpaces。要配置这些设置，请使用以下过程。

1. 你可以使用组策略对象 (GPOs) 来应用设置来管理 Windows WorkSpaces 或属于你的 Windows WorkSpaces 目录的用户。我们建议您为 WorkSpaces 计算机对象创建一个组织单位，为 WorkSpaces 用户对象创建一个组织单位。

1. 有关使用 Active Directory 管理工具的信息 GPOs，请参阅《管理*指南》中的 “安装 Active Directory AWS Directory Service 管理*[工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)”。

1. 在大多数情况下，当用户尝试登录时 WorkSpace，用户名字段会预先填充该用户的名称。但是，如果管理员与建立了 RDP 连接 WorkSpace 以执行维护任务，则用户名字段将改为使用管理员的姓名填充。

1. 要避免此问题，请禁用 **Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换)** 组策略设置。禁用此设置后， WorkSpaces 登录代理可以使用 “**切换用户**” 按钮在用户名字段中填入正确的名称。

**使 WorkSpaces 登录代理能够切换用户**

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**系统**和**登录**。

1. 打开 **Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换)** 设置。

1. 在 **Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换)** 对话框中，选择 **Disabled (已禁用)**，然后选择 **OK (确定)**。

默认情况下，显示上次登录的用户列表，而不是 **Switch User (切换用户)** 按钮。根据的配置 WorkSpace，列表可能不会显示 “**其他用户**” 图块。出现这种情况时，如果预先填充的用户名不正确， WorkSpaces 登录代理将无法使用正确的名称填充该字段。

要避免此问题，请启用安全策略设置**交互式登录: 不显示上次登录)** 或**交互式登录: 不显示上次用户名**（具体取决于您使用的 Windows 版本）。

**隐藏上次登录的用户名**

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**Windows 设置**、**安全设置**、**本地策略**和**安全选项**。

1. 打开以下设置之一：
   + 对于 Windows 7 — **交互式登录：不显示上次登录**
   + 对于 Windows 10 — **交互式登录：不显示上次的用户名**

1. 在设置的 **Properties (属性)** 对话框中，选择 **Enabled (已启用)**，然后选择 **OK (确定)**。

对于 WorkSpaces 瘦客户机访问，您需要要求用户在登录之前按 CTRL\$1ALT\$1DEL。要求用户在登录之前按 CTRL\$1ALT\$1DEL 可确保用户在输入密码时使用受信任的路径。

**要求在用户可以登录之前按 CTRL\$1ALT\$1DEL**

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**Windows 设置**、**安全设置**、**本地策略**和**安全选项**。

1. 打开**交互式登录: 不需要 CTRL\$1ALT\$1DEL** 设置。

1. 在**本地安全设置**选项卡上，选择**禁用**，然后选择**确定**。

 WorkSpaces 登录代理会查找用户的名字和域。配置此设置后，锁定屏幕将显示用户的全名（如果在 Active Directory 中指定）、用户的域名和用户名。

**锁定会话时显示域和用户信息**

1. 打开组策略管理工具 (**gpmc.msc**)，在您使用的目录的域或域控制器级别导航并选择一个 GPO。 WorkSpaces（如果您的域中安装了[ WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)，则可以将 WorkSpaces GPO 用于您的 WorkSpaces 计算机帐户。）

1. 在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**Windows 设置**、**安全设置**、**本地策略**和**安全选项**。

1. 打开**交互式登录: 当会话被锁定时显示用户信息**设置。

1. 在**本地安全设置**选项卡上，选择**用户显示名称、域和用户名**，然后选择**确定**。

组策略和安全策略设置的更改将在下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要在之前的过程中应用组策略和安全策略更改，请执行以下操作之一：

**应用组策略和安全策略设置更改**

1. 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。

1. 从管理命令提示符下，输入 **gpupdate /force**。

# 为个人配置 FedRAMP 授权或国防部 SRG 合规性 WorkSpaces
<a name="fips-encryption"></a>

要遵守[联邦风险和授权管理计划 (FedRAMP](https://aws.amazon.com/compliance/fedramp/)) 或[国防部 (DoD) 云计算安全要求指南 (SRG)](https://aws.amazon.com/compliance/dod/)，您必须将 WorkSpaces 亚马逊配置为在目录级别使用联邦信息处理标准 (FIPS) 端点加密。您还必须使用获得 FedRAMP 授权或符合 DoD SRG 标准的美国 AWS 地区。

FedRAMP 授权级别（中度或高）或国防部 SRG 影响级别（2、4 或 5）取决于使用亚马逊的美国 AWS 地区。 WorkSpaces 

有关适用于每个区域的 FedRAMP 授权级别和 DoD SRG 合规性级别，请参阅[合规性计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。

**注意**  
除了使用 FIPS 端点加密外，您还可以加密您的 WorkSpaces。有关更多信息，请参阅 [WorkSpaces 以 WorkSpaces 个人身份加密](encrypt-workspaces.md)。

**要求**
+ 您必须在获得 [FedRAMP 授权或符合 DoD SRG 标准的美国 AWS 地区](https://aws.amazon.com/compliance/services-in-scope/)创建。 WorkSpaces 
+ 必须将 WorkSpaces 目录配置为使用 **FIPS 140-2 验证模式进行端**点加密。
**注意**  
要使用 **FIPS 140-2 验证模式**设置，该 WorkSpaces 目录必须是新的，或者目录 WorkSpaces 中的所有现有目录都必须使用 **FIPS 140-2** 验证模式进行端点加密。否则，您将无法使用此设置，因此您创建 WorkSpaces 的将不符合 FedRAMP 或 DoD 的安全要求。  
有关如何验证目录的详细信息，请参阅下面的[步骤 3](#step3-fips)。
+ 用户必须通过以下 WorkSpaces 客户端应用程序之一访问他们 WorkSpaces 的：
  + Windows：2.4.3 或更高版本
  + macOS： PCoIP 为 2.4.3 或更高版本 WorkSpaces，DCV 为 5.21.0 或更高版本 WorkSpaces
  + Linux：3.0.0 或更高版本
  + iOS：2.4.1 或更高版本
  + Android：2.4.1 或更高版本
  + Fire Tablet：2.4.1 或更高版本
  + ChromeOS：2.4.1 或更高版本
  + Web Access

**使用 FIPS 端点加密**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 确认要在其中创建经 FedRAMP 授权且 WorkSpaces 符合 DoD SRG 标准的目录中没有任何与之关联的现有目录。 WorkSpaces 如果存在 WorkSpaces 与该目录关联的目录，并且该目录尚未允许使用 FIPS 140-2 验证模式，则要么终止该目录，要 WorkSpaces么创建一个新目录。

1. 选择符合上述条件的目录，然后依次选择 **Actions (操作)** 和**Update Details (更新详细信息)**。

1. <a name="step3-fips"></a>在 **Update Directory Details (更新目录详细信息)** 页面上，选择箭头以展开 **Access Control Options (访问控制选项)** 部分。

1. 对于 **Endpoint Encryption (端点加密)**，选择 **FIPS 140-2 Validated Mode (FIPS 140-2 验证模式)** 而不是 **TLS Encryption Mode (Standard) (TLS 加密模式（标准）)**。

1. 选择**更新并退出**。

1. 现在，您可以 WorkSpaces 从该目录创建已获得 FedRAMP 授权且符合国防部 SRG 标准的文件。要访问这些内容 WorkSpaces，用户必须使用前面在 “[要求](#fedramp-requirements)” 部分中列出的其中一个 WorkSpaces 客户端应用程序。

# WorkSpaces 在 WorkSpaces 个人版中为你的 Linux 启用 SSH 连接
<a name="connect-to-linux-workspaces-with-ssh"></a>

如果您或您的用户想要使用命令行连接到您 WorkSpaces 的 Linux，则可以启用 SSH 连接。您可以启用与目录 WorkSpaces 中所有人或目录 WorkSpaces 中个人的 SSH 连接。

要启用 SSH 连接，您可以创建新的安全组或更新现有安全组，然后添加规则以允许入站流量用于此目的。安全组用作相关实例的防火墙，可在实例级别控制入站和出站的数据流。创建或更新安全组后，您的用户和其他人可以使用 Putty 或其他终端从其设备连接到您的 Linux。 WorkSpaces有关更多信息，请参阅 [WorkSpaces 个人安全组](amazon-workspaces-security-groups.md)。

有关视频教程，请参阅[如何 WorkSpaces 使用 SSH 连接到我的 Linux Amazon？](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/) 在 AWS 知识中心上。本教程 WorkSpaces 仅适用于亚马逊 Linux 2。

**Topics**
+ [通过 SSH 连接到 Linux 的先决条件 WorkSpaces](#before-you-begin-enable-ssh-linux-workspaces)
+ [启用与目录中所有 Linux WorkSpaces 的 SSH 连接](#enable-ssh-directory-level-access-linux-workspaces)
+ [中基于密码的身份验证 WorkSpaces](#enable-ssh-access-old-version)
+ [启用与特定 Linux 的 SSH 连接 WorkSpace](#enable-ssh-access-specific-linux-workspace)
+ [WorkSpace 使用 Linux 或 Putty 连接到 Linux](#ssh-connection-linux-workspace-using-linux-or-putty)

## 通过 SSH 连接到 Linux 的先决条件 WorkSpaces
<a name="before-you-begin-enable-ssh-linux-workspaces"></a>
+ 启用到的入站 SSH 流量 WorkSpace -要添加允许入站 SSH 流量流向一个或多个 Linux WorkSpaces 的规则，请确保您拥有需要 SSH 连接到您的设备的公用或私有 IP 地址 WorkSpaces。例如，您可以指定虚拟私有云 (VPC) 之外的设备的公有 IP 地址，或者指定与您位于同一 VPC 中的其他 EC2 实例的私有 IP 地址 WorkSpace。

  如果您计划 WorkSpace 从本地设备连接到，则可以在互联网浏览器中使用搜索短语 “我的 IP 地址是什么” 或使用以下服务：[Check IP](https://checkip.amazonaws.com/)。
+ 连接到 WorkSpace — 启动从设备到 Linux 的 SSH 连接需要以下信息 WorkSpace。
  + 您连接到的 Active Directory 域的 NetBIOS 名称。
  + 您的 WorkSpace 用户名。
  + 您要连接的的的公 WorkSpace 有或私有 IP 地址。

    私有：如果您的 VPC 连接到公司网络并且您可以访问该网络，则可以指定该网络的私有 IP 地址 WorkSpace。

    公共：如果您 WorkSpace 有公有 IP 地址，则可以使用 WorkSpaces 控制台查找公有 IP 地址，如以下过程所述。

**要查找要连接的 Linux WorkSpace 的 IP 地址和您的用户名**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 在列表中 WorkSpaces，选择 WorkSpace 要启用 SSH 连接的。

1. 在 “**运行模式**” 列中，确认 WorkSpace状态为 “**可用**”。

1. 单击 WorkSpace 名称左侧的箭头以显示行内摘要，并记下以下信息：
   + **WorkSpace 知识产权**。这是的私有 IP 地址 WorkSpace。

     需要私有 IP 地址才能获取与关联的 elastic network 接口 WorkSpace。需要网络接口才能检索诸如安全组或与之关联的公有 IP 地址之类的信息 WorkSpace。
   + 用户 WorkSpace **名**。这是您为连接而指定的用户名 WorkSpace。

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，选择**网络接口**。

1. 在搜索框中，键入您在步骤 5 中记下**WorkSpace 的 IP**。

1. 选择与 **WorkSpaceIP** 关联的网络接口。

1. 如果您 WorkSpace 有公有 IP 地址，则该地址会显示在 “**IPv4 公有 IP**” 列中。记下该地址（如果适用）。

**查找您连接到的 Active Directory 域的 NetBIOS 名称**

1. 打开 Directory Service 控制台，网址为[https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/)。

1. 在目录列表中，单击该**目录的目录 ID** 链接 WorkSpace。

1. 在 **Directory details (目录详细信息)** 部分，记下 **Directory NetBIOS name (目录 NetBIOS 名称)**。

## 启用与目录中所有 Linux WorkSpaces 的 SSH 连接
<a name="enable-ssh-directory-level-access-linux-workspaces"></a>

要启用与目录 WorkSpaces 中所有 Linux 的 SSH 连接，请执行以下操作。

**使用允许入站 SSH 流量流向目录 WorkSpaces 中所有 Linux 的规则创建安全组**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，选择 **Security Groups**（安全组）。

1. 选择**创建安全组**。

1. 键入安全组的名称（可选）和描述。

1. 对于 **VP** C，请选择 WorkSpaces 包含要启用 SSH 连接的 VPC。

1. 在 **Inbound (入站)** 选项卡上，选择 **Add Rule (添加规则)**，然后执行以下操作：
   + 对于 **Type**，选择 **SSH**。
   + 对于 **Protocol (协议)**，在您选择 **SSH** 时会自动指定 TCP。
   + 对于 **Port Range (端口范围)**，在您选择 **SSH** 时会自动指定 22。
   + 对于 “**源**”，指定用户用于连接的计算机的公有 IP 地址的 CIDR 范围。 WorkSpaces例如，公司网络或家庭网络。
   + 对于 **Description (描述)**（可选），键入规则的描述。

1. 选择**创建**。

1. 将此安全组附加到您的 WorkSpaces。有关将此安全组添加到您的的更多信息 WorkSpaces，请参阅[WorkSpaces 个人安全组](amazon-workspaces-security-groups.md)。如果您想自动将其他安全组附加到您的 WorkSpaces，请参阅此[博客文章](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/)。

## 中基于密码的身份验证 WorkSpaces
<a name="enable-ssh-access-old-version"></a>

**在新创建的 Linux 中启用密码身份验证 WorkSpaces**

1. 启动 WorkSpaces 客户端并登录到您的 WorkSpace。

1. 打开终端窗口。

1. 在终端窗口中，运行以下命令，以在 cloud-init 中启用 SSH 密码身份验证。

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
   ```

   该脚本将执行以下操作：
   + 在 cloud-init 目录 `/etc/cloud/cloud.cfg.d/` 中创建配置文件。
   + 修改配置文件，以告知 cloud-init 启用 SSH 密码身份验证。
   + 重置 `set-passwords` cloud-init 模块，使其可以再次运行。
   + 单独运行 `set-passwords` cloud-init 模块。这会将启用 SSH 密码身份验证的文件写入 SSH 配置目录 `/etc/ssh/sshd_config.d/`，然后重新启动 SSHD，以便立即进行设置。

 这将对您启用 SSH 密码身份验证 WorkSpace ，并将通过自定义映像保存。如果您仅在 SSHD 配置文件中启用 SSH 密码身份验证，而不配置 cloud-init，则在某些 Linux 上，该设置将无法通过映像保留。 WorkSpaces有关更多信息，请参阅 cloud-init 模块文档中的[设置密码]()。

**在现有 Linux 中禁用密码身份验证 WorkSpaces**

1. 启动 WorkSpaces 客户端并登录到您的 WorkSpace。

1. 打开终端窗口。

1. 在终端窗口中，运行以下命令，以在 cloud-init 中禁用 SSH 密码身份验证。

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
   ```

   该脚本将执行以下操作：
   + 在 cloud-init 目录 `/etc/cloud/cloud.cfg.d/` 中创建配置文件。
   + 修改配置文件，以告知 cloud-init 禁用 SSH 密码身份验证。
   + 重置 `set-passwords` cloud-init 模块，使其可以再次运行。
   + 单独运行 `set-passwords` cloud-init 模块。这会将启用 SSH 密码身份验证的文件写入 SSH 配置目录 `/etc/ssh/sshd_config.d/`，然后重新启动 SSHD，以便立即进行设置。

这会立即禁用中的 SSH， WorkSpace 并且将在自定义映像中保留。

## 启用与特定 Linux 的 SSH 连接 WorkSpace
<a name="enable-ssh-access-specific-linux-workspace"></a>

要启用与特定 Linux 的 SSH 连接 WorkSpace，请执行以下操作。

**向现有安全组添加规则以允许入站 SSH 流量流向特定 Linux WorkSpace**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中，在 **Network & Security (网络与安全性)** 下，选择 **Network Interfaces (网络接口)**。

1. 在搜索栏中，键入要启用 SSH 连接 WorkSpace 的的私有 IP 地址。

1. 在 **Security groups (安全组)** 列中，单击安全组的链接。

1. 在 **Inbound (入站)** 选项卡上，选择 **Edit (编辑)**。

1. 选择 **Add Rule (添加规则)**，然后执行以下操作：
   + 对于 **Type**，选择 **SSH**。
   + 对于 **Protocol (协议)**，在您选择 **SSH** 时会自动指定 TCP。
   + 对于 **Port Range (端口范围)**，在您选择 **SSH** 时会自动指定 22。
   + 对于 **Source (源)**，选择 **My IP (我的 IP)** 或 **Custom (自定义)**，然后用 CIDR 表示法指定单个 IP 地址或 IP 地址范围。例如，如果您的 IPv4 地址是`203.0.113.25`，请指定以 `203.0.113.25/32` CIDR 表示法列出此单个 IPv4 地址。如果您的公司要分配同一范围内的地址，请指定整个范围，例如 `203.0.113.0/24`。
   + 对于 **Description (描述)**（可选），键入规则的描述。

1. 选择**保存**。

## WorkSpace 使用 Linux 或 Putty 连接到 Linux
<a name="ssh-connection-linux-workspace-using-linux-or-putty"></a>

在您创建或更新安全组并添加所需规则后，您的用户和其他人可以使用 Linux 或 PuTTY 从其设备连接到您的设备。 WorkSpaces

**注意**  
在完成以下任一过程之前，请确保您具有：  
您连接到的 Active Directory 域的 NetBIOS 名称。
您用来连接的用户名 WorkSpace。
您要连接的的的公 WorkSpace 有或私有 IP 地址。
有关如何获取此信息的说明，请参阅本主题前面的 “通过 SSH 连接到 Linux 的先决条件 WorkSpaces”。

**WorkSpace 使用 Linux 连接到 Linux**

1. 以管理员身份打开命令提示符并输入以下命令。对于*NetBIOS name**Username*、和*WorkSpace IP*，输入适用的值。

   ```
   ssh "NetBIOS_NAME\Username"@WorkSpaceIP
   ```

   以下是 SSH 命令的示例，其中：
   + *NetBIOS\$1NAME*是任何公司
   + 这*Username *是 janedoe
   + 这*WorkSpace IP*是 203.0.113.25

   ```
   ssh "anycompany\janedoe"@203.0.113.25
   ```

1. 出现提示时，输入与 WorkSpaces 客户端进行身份验证时使用的相同密码（您的 Active Directory 密码）。

**WorkSpace 使用 Putty 连接到 Linux**

1. 打开 PuTTY。

1. 在 **PuTTY Configuration (PuTTY 配置)** 对话框中，执行以下操作：
   + 对于 **Host Name (or IP address) (主机名（或 IP 地址）)**，输入以下命令。将这些值替换为您所连接的 Active Directory 域的 NetBIOS 名称 WorkSpace、用于连接的用户名以及要连接的 IP 地址。 WorkSpace 

     ```
     NetBIOS_NAME\Username@WorkSpaceIP
     ```
   + 对于**端口**，输入 **22**。
   + 对于 **Connection type (连接类型)**，选择 **SSH**。

   有关 SSH 命令的示例，请参阅上一过程中的步骤 1。

1.  选择**打开**。

1. 出现提示时，输入与 WorkSpaces 客户端进行身份验证时使用的相同密码（您的 Active Directory 密码）。

# WorkSpaces 个人版所需的配置和服务组件
<a name="required-service-components"></a>

作为 WorkSpace 管理员，您必须了解有关所需配置和服务组件的以下内容。
+ [必需路由表配置](#routing-table-configuration)
+ [Windows 所需的服务组件](#required-service-components-windows)
+ [Linux 所需的服务组件](#required-service-components-linux)
+ [Ubuntu 所需的服务组件](#required-service-components-ubuntu)
+ [Rocky Linux 所需的服务组件](#required-service-components-rocky)
+ [Red Hat Enterprise Linux 的必需服务组件](#required-service-components-red-hat)

## 必需路由表配置
<a name="routing-table-configuration"></a>

我们建议您不要修改的操作系统级路由表。 WorkSpace该 WorkSpaces 服务需要此表中预先配置的路由来监控系统状态和更新系统组件。如果您的组织需要更改路由表，请在应用任何更改之前联系 Su AWS pport 或您的 AWS 客户团队。

## Windows 所需的服务组件
<a name="required-service-components-windows"></a>

在 Windows 上 WorkSpaces，服务组件安装在以下位置。不要删除、更改、阻止或隔离这些对象。如果这样做， WorkSpace 将无法正常运行。

如果上安装了防病毒软件 WorkSpace，请确保它不会干扰安装在以下位置的服务组件。
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`

如果在 C WorkSpaces ore 上安装了防病毒软件，请确保它不会干扰安装在以下位置的服务组件。
+ C:\$1Program Files\$1Amazon
+ C:\$1ProgramData\$1 Amazon

### 32 位 PCo IP 代理
<a name="pcoip-agent-32-bit-to-64-bit"></a>

自 2021 年 3 月 29 日起，我们将 PCo IP 代理从 32 位更新为 64 位。对于使用 PCo IP 协议的 Windows WorkSpaces ，这意味着 Teradici 文件的位置已从`C:\Program Files (x86)\Teradici`更改为。`C:\Program Files\Teradici`由于我们在常规维护时段内更新了 PCo IP 代理，因此在过渡期间，有些人使用 32 位代理的时间 WorkSpaces 可能比其他人长。

如果您已根据 32 位代理的完整路径配置了防火墙规则、防病毒软件排除项（在客户端和主机端）、组策略对象 (GPO) 设置或 Microsoft 系统中心配置管理器 (SCCM)、Microsoft 端点配置管理器或类似的配置管理工具的设置，则还必须将 64 位代理的完整路径添加到这些设置中。

**如果您要筛选任何 32 位 PCo IP 组件的路径，请务必将路径添加到 64 位版本的组件。由于 WorkSpaces 可能不会同时更新所有路径，因此请不要将 32 位路径替换为 64 位路径，否则其中一些路径 WorkSpaces 可能无法正常工作。**例如，如果您的排除项或通信过滤器基于 `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe`，则还必须添加 `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe`。同样，如果您的排除项或通信过滤器基于 `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe`，则还必须添加 `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe`。

**PCoIP 仲裁服务器服务更改**-请注意，当更新为使用 64 位代理时， PCoIP 仲裁服务 (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`) 将被删除。 WorkSpaces 

**PCoIP 零客户端和 USB 设备** — 从 PCo IP 代理的 20.10.4 版本开始，亚马逊默认通过 Windows 注册表 WorkSpaces 禁用 USB 重定向。当您的用户使用 PCo IP 零客户端设备连接到 USB 外围设备时，此注册表设置会影响 USB 外围设备的行为 WorkSpaces。有关更多信息，请参阅 [USB 打印机和其他 USB 外围设备不适用于 PCo IP 零客户端](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb)。

## Linux 所需的服务组件
<a name="required-service-components-linux"></a>

在 Amazon Linux WorkSpaces 上，服务组件安装在以下位置。不要删除、更改、阻止或隔离这些对象。如果这样做， WorkSpace将无法正常运行。

**注意**  
对其他文件进行更改`/etc/pcoip-agent/pcoip-agent.conf`可能会 WorkSpaces 导致您停止工作，并可能需要您重新构建它们。有关修改 `/etc/pcoip-agent/pcoip-agent.conf` 的信息，请参阅[WorkSpaces 在 WorkSpaces 个人版中管理你的 Amazon Linux 2](manage_linux_workspace.md)。
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent` 
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics` 

## Ubuntu 所需的服务组件
<a name="required-service-components-ubuntu"></a>

在 Ubuntu 上 WorkSpaces，服务组件安装在以下位置。不要删除、更改、阻止或隔离这些对象。如果这样做， WorkSpace将无法正常运行。
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service` 
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics` 

## Rocky Linux 所需的服务组件
<a name="required-service-components-rocky"></a>

在红帽企业 Linux 上 WorkSpaces，服务组件安装在以下位置。不要删除、更改、阻止或隔离这些对象。如果这样做， WorkSpace将无法正常运行。
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

## Red Hat Enterprise Linux 的必需服务组件
<a name="required-service-components-red-hat"></a>

在红帽企业 Linux 上 WorkSpaces，服务组件安装在以下位置。不要删除、更改、阻止或隔离这些对象。如果这样做， WorkSpace将无法正常运行。
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

# 管理 WorkSpaces 个人版的目录
<a name="manage-workspaces-directory"></a>

WorkSpaces 使用目录来存储和管理 WorkSpace 及用户的相关信息。可以使用以下选项之一：
+ AD Connector - 使用现有本地部署 Microsoft Active Directory。用户可以使用其本地部署凭证登录 WorkSpace 并从其 WorkSpace 访问本地部署资源。
+ AWS Managed Microsoft AD - 创建在 AWS 上托管的 Microsoft Active Directory。
+ Simple AD - 创建与 Microsoft Active Directory 兼容的目录，该目录由 Samba 4 提供支持，并在 AWS 上托管。
+ Cross trust - 在您的 AWS Managed Microsoft AD 目录与本地域之间创建信任关系。
+ Microsoft Entra ID - 创建一个使用 Microsoft Entra ID 作为其身份源的目录（通过 IAM Identity Center）。目录中的个人 WorkSpaces 使用 Microsoft Entra 的本机身份验证加入，并通过 Microsoft Windows Autopilot 用户驱动模式注册到 Microsoft Intune。使用 Microsoft Entra ID 的目录仅支持 Windows 10 和 11 自带许可 WorkSpaces。
+ 自定义 - 创建一个使用您选择的身份提供者的目录（通过 IAM Identity Center）。目录中的 WorkSpaces 使用您选择的设备管理解决方案（例如 JumpCloud）进行管理。使用自定义身份提供者的目录仅支持 Windows 10 和 11 自带许可 WorkSpaces。

有关演示如何设置这些目录和启动 WorkSpace 的教程，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

**提示**  
要详细了解各种部署场景的目录和虚拟私有云 (VPC) 设计注意事项，请参阅[部署 Amazon WorkSpaces 的最佳实践](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html)。

创建目录后，您将使用工具 (如 Active Directory 管理工具) 执行大部分目录管理任务。您可以使用 WorkSpaces 控制台执行一些目录管理任务，使用策略组执行其他任务。有关管理用户和组的更多信息，请参阅[在 “ WorkSpaces 个人” 中管理用户](manage-workspaces-users.md)和[为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

**注意**  
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制，则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。
Simple AD 和 AD Connector 供您免费使用，可用于 WorkSpaces。如果连续 30 天没有一起使用 WorkSpaces 与您的 Simple AD 或 AD Connector 目录，则系统将自动取消注册该目录，无法再将其用于 Amazon WorkSpaces，而且将根据 [AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。  
要删除空目录，请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 Simple AD 或 AD Connector 目录，则当您想重新开始使用 WorkSpaces 时，可以随时创建一个新的目录。

**Topics**
+ [向 “个人” 注册现有 Directory Service 目录 WorkSpaces](register-deregister-directory.md)
+ [为 WorkSpaces 个人版选择组织部门](select-ou.md)
+ [为 WorkSpaces 个人版配置自动公有 IP 地址](automatic-assignment.md)
+ [控制对 WorkSpaces 个人版的设备访问](control-device-access.md)
+ [管理 WorkSpaces 个人版的本地管理员权限](local-admin-setting.md)
+ [更新 WorkSpaces 个人版的 AD Connector 账户（AD Connector）](connect-account.md)
+ [WorkSpaces 个人版的多重身份验证（AD Connector）](connect-mfa.md)
+ [为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)
+ [更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)
+ [删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)
+ [为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)

# 向 “个人” 注册现有 Directory Service 目录 WorkSpaces
<a name="register-deregister-directory"></a>

 WorkSpaces 要允许使用现有 Directory Service 目录，必须将其注册到中 WorkSpaces。注册目录后，可以在该目录 WorkSpaces 中启动。

**要求：**要注册目录以供使用 WorkSpaces，该目录必须满足以下要求：
+ 如果您使用的是 Simple AD， AWS Managed Microsoft AD 则您的目录可以位于专用的私有子网中，前提是该目录可以访问 WorkSpaces 它们所在的 VPC。
+ 有关目录和 VPC 设计的更多信息，请参阅[https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf](https://d1.awsstatic.com/whitepapers/Best-Practices-for-Deploying-Amazon-WorkSpaces.pdf)白皮书。

**注意**  
Simple AD 和 AD Connector 可供你免费使用 WorkSpaces。如果连续 30 天没有 WorkSpaces 与您的 Simple AD 或 AD Connector 目录一起使用，则该目录将自动取消注册以供亚马逊使用 WorkSpaces，并且将根据[AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。  
要删除空目录，请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果你删除了 Simple AD 或 AD Connector 目录，那么当你想 WorkSpaces 重新开始使用时，你可以随时创建一个新的目录。

**注册现有的 AWS Directory Service 目录**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择**创建目录**。

1. 在 “**创建目录**” 页面上，为**WorkSpaces 类型**选择 “**个人**”。要进行**WorkSpace 设备管理**，请选择 **AWS Directory Service**。

1. 选择您要在 ** Directory Service中的目录**表中注册的目录

1. 选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的。 WorkSpaces有关更多信息，请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。
**注意**  
如果您不知道要选择哪些子网，请选择**无首选项**。

1. 对于 “**启用自助服务权限**”，选择 “**是**” 以允许您的用户重建自己的 WorkSpaces卷大小、计算类型和运行模式。启用可能会影响您为 Amazon 支付的费用 WorkSpaces。否则，请选择**否**。

1. 选择**注册**。**Registered** 最初的值是 `REGISTERING`。注册完成后，该值为 `Yes`。

注册 Directory Service 目录后，您可以创建个人目录 WorkSpace。有关更多信息，请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。

使用完目录后 WorkSpaces，可以将其注销。请注意，必须先取消注册目录，然后才能删除它。如果要取消注册并删除目录，则必须首先查找并删除注册到该目录的所有应用程序和服务。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[删除您的目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)。

**取消注册目录**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录。

1. 选择 **Actions**、**Deregister**。

1. 当系统提示进行确认时，选择 **Confirm**。取消注册完成后，该目录将取消注册并从列表中删除。

# 为 WorkSpaces 个人版选择组织部门
<a name="select-ou"></a>

**注意**  
此功能仅适用于通过 AWS Directory Service（包括 AD Connector、AWS Managed Microsoft AD 和 Simple AD）管理的目录。

WorkSpace 计算机账户放在 WorkSpace 目录的默认组织单位 (OU) 中。最初，计算机账户放在您的目录的“计算机”OU 中，或 AD Connector 连接的目录中。您可以从您的目录或所连接的目录中选择一个不同的 OU，或在单独的目标域中指定一个 OU。请注意，在每个目录中只能选择一个 OU。

在选择一个新的 OU 后，所有创建的或是重建的 WorkSpace 的计算机账户都放在新选定的 OU 中。

**选择组织单位**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择您的目录。

1. 在“目标域和组织部门”下，选择**编辑**。

1. 要查找 OU，您可以在“目标和组织部门”下，开始键入 OU 的全部或部分名称，然后选择要使用的 OU。

1. （可选）选择 OU 的区分名称，使用自定义 OU 覆盖您选择的 OU。

1. 选择**保存**。

1. (可选) 重建现有的 WorkSpace 以更新 OU。有关更多信息，请参阅 [重建 WorkSpaces 个人版中的 WorkSpace](rebuild-workspace.md)。

# 为 WorkSpaces 个人版配置自动公有 IP 地址
<a name="automatic-assignment"></a>

在自动分配公有 IP 地址后，系统将从 Amazon 提供的公有地址池中为您启动的每个 WorkSpace 分配一个公有 IP 地址。如果公有子网中的 WorkSpace 具有公有 IP 地址，则其能够通过互联网网关访问互联网。在启用自动分配功能之前已经存在的 WorkSpaces 不会收到公有地址，直到您重新构建它们。

请注意，如果您的 WorkSpaces 处于私有子网中并且您为虚拟私有云(VPC) 配置了 NAT 网关，或者如果您的 WorkSpaces 位于公有子网中并且您手动为其分配了弹性 IP 地址，则无需自动分配公有地址。有关更多信息，请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。

**警告**  
如果您将您拥有的弹性 IP 地址与 WorkSpace 关联，稍后您将该弹性 IP 地址与 WorkSpace 取消关联，则 WorkSpace 将失去其公有 IP 地址，并且不会自动从 Amazon 提供的池中获取新的 IP 地址。要将 Amazon 提供的池中的新公有 IP 地址与 WorkSpace 关联，您必须[重建 WorkSpace](rebuild-workspace.md)。如果您不想重建 WorkSpace，必须将您拥有的另一个弹性 IP 地址与 WorkSpace 关联。

**配置弹性 IP 地址**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择您的 WorkSpace 目录。

1. 选择 **Actions**、**Update Details**。

1. 展开 **Access to Internet**，选择 **Enable** 或 **Disable**。

1. 选择**更新**。

# 控制对 WorkSpaces 个人版的设备访问
<a name="control-device-access"></a>

您可以根据设备平台指定有权访问 WorkSpaces 的设备类型。您可以使用证书将 WorkSpaces 的访问权限限定在受信任设备(也称为托管设备)。

**控制设备对 WorkSpace 的访问**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择您的目录。

1. 在“访问控制”选项下，选择**编辑**。

1. 在“可信设备”下，选择**全部允许**、**可信设备**或**全部拒绝**，以指定哪些设备类型可以访问 WorkSpaces。有关更多信息，请参阅 [将 WorkSpaces 个人版访问限定于受信任设备](trusted-devices.md)。

1. 选择 **Save**。

# 管理 WorkSpaces 个人版的本地管理员权限
<a name="local-admin-setting"></a>

**注意**  
此功能仅适用于通过 AWS Directory Service（包括 AD Connector、AWS Managed Microsoft AD 和 Simple AD）管理的目录。

您可以指定用户在其 WorkSpace 上是否为本地管理员，以决定他们能否在其 WorkSpace 上安装应用程序并修改设置。默认情况下，用户为本地管理员。如果修改此设置时，则更改将应用到您创建的所有新的 WorkSpace 以及重建的任何 WorkSpace。

**修改本地管理员权限**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择您的目录。

1. 在“本地管理员设置”下，选择**编辑**。

1. 要确保用户为本地管理员，请选择**启用本地管理员设置**。

1. 选择 **Save**。

# 更新 WorkSpaces 个人版的 AD Connector 账户（AD Connector）
<a name="connect-account"></a>

您可以更新用于读取用户和组以及将 WorkSpaces 计算机账户加入您的 AD Connector 目录的 AD Connector 账户。

**更新 AD Connector 账户**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择您的目录，然后选择**查看详细信息**。

1. 在 AD Connector 账户下，选择**编辑**。

1. 输入新账户的登录凭证。

1. 选择**保存**。

# WorkSpaces 个人版的多重身份验证（AD Connector）
<a name="connect-mfa"></a>

您可以针对 AD Connector 目录启用多重身份验证。有关通过 AWS Directory Service 使用多重身份验证的更多信息，请参阅[针对 AD Connector 启用多重身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)和 [AD Connector 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。

**注意**  
您的 RADIUS 服务器可以由 AWS 进行托管，也可以位于本地。
用户名必须在 Active Directory 和 RADIUS 服务器之间匹配。

**启用多重身份验证**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择您的目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Multi-Factor Authentication**，然后选择 **Enable Multi-Factor Authentication**。

1. 对于 **RADIUS server IP address(es)**，键入您的 RADIUS 服务器端点的 IP 地址，以逗号隔开，或键入您的 RADIUS 服务器负载均衡器的 IP 地址。

1. 对于 **Port**，键入 RADIUS 服务器用来通信的端口。您的本地网络必须允许默认 RADIUS 服务器端口 (1812) 上来自 AD Connector 的入站流量。

1. 对于 **Shared secret code** 和 **Confirm shared secret code**，键入您的 RADIUS 服务器的共享密码。

1. 对于 **Protocol**，为您的 RADIUS 服务器选择协议。

1. 对于 **Server timeout**，键入等待 RADIUS 服务器作出响应的时间 (以秒为单位)。该值必须在 1 到 50 之间。

1. 对于 **Max retries**，键入尝试与 RADIUS 服务器通信的最多次数。该值必须在 0 到 10 之间。

1. 选择**更新并退出**。

当 **RADIUS Status** 为 **Enabled** 时，多重验证可用。在设置多重验证期间，用户无法登录其 WorkSpace。

# 为 WorkSpaces 个人版创建目录
<a name="launch-workspaces-tutorials"></a>

WorkSpaces 个人版允许您使用通过 Directory Service 托管的目录，来存储和管理 WorkSpace 及用户的相关信息。使用以下选项创建 WorkSpaces 个人版目录：
+ 创建 Simple AD 目录。
+ 创建 AWS Directory Service for Microsoft Active Directory，也称为 AWS 托管的 Microsoft AD。
+ 使用 Active Directory Connector 连接到现有 Microsoft Active Directory。
+ 在 AWS 托管的 Microsoft AD 目录与本地域之间创建信任关系。
+ 创建一个专用 Microsoft Entra ID WorkSpaces 目录。
+ 创建专用的自定义 WorkSpaces 目录。

**注意**  
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制，则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。
Simple AD 和 AD Connector 供您免费使用，可用于 WorkSpaces。如果连续 30 天没有一起使用 WorkSpaces 与您的 Simple AD 或 AD Connector 目录，则系统将自动取消注册该目录，无法再将其用于 Amazon WorkSpaces，而且将根据 [AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。

## 创建目录前的工作
<a name="prereqs-tutorials"></a>
+ WorkSpaces 并非在所有区域均可用。请确认受支持的区域，并为您的 WorkSpaces 选择一个区域。有关受支持区域的更多信息，请参阅[按 AWS 区域划分的 WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/)。
+ 创建具有至少两个私有子网的 Virtual Private Cloud。有关更多信息，请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。必须通过虚拟专用网络 (VPN) 连接或 Direct Connect 将 VPC 连接到您的本地网络。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的 [AD Connector 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。
+ 从 WorkSpace 提供对互联网的访问。有关更多信息，请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。

有关如何删除空目录的信息，请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 Simple AD 或 AD Connector 目录，则当您想重新开始使用 WorkSpaces 时，可以随时创建一个新的目录。

**Topics**
+ [创建目录前的工作](#prereqs-tutorials)
+ [确定 WorkSpaces 个人版目录的计算机名称](wsp-directory-identify-computer.md)
+ [为 WorkSpaces 个人版创建 AWS 托管 Microsoft AD 目录](launch-workspace-microsoft-ad.md)
+ [为 WorkSpaces 个人创建一个 Simple AD 目录](launch-workspace-simple-ad.md)
+ [为 WorkSpaces 个人版创建 AD Connector](launch-workspace-ad-connector.md)
+ [在 AWS 托管的 Microsoft AD 目录与本地域之间创建 WorkSpaces 个人版的信任关系](launch-workspace-trusted-domain.md)
+ [使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)
+ [使用 “个 WorkSpaces 人” 创建专用的自定义目录](launch-custom.md)

# 确定 WorkSpaces 个人版目录的计算机名称
<a name="wsp-directory-identify-computer"></a>

根据您启动的 WorkSpace 类型（Amazon Linux、Ubuntu 或 Windows），Amazon WorkSpaces 控制台中为 WorkSpace 显示的**计算机名称**值会有所不同。WorkSpace 的计算机名称可以采用以下一种格式：
+ **Amazon Linux**：A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**：R-*xxxxxxxxxxxxx*
+ **Rocky Linux**：R-*xxxxxxxxxxxxx*
+ **Ubuntu**：U-*xxxxxxxxxxxxx*
+ **Windows**：IP-C*xxxxxx* 或 WSAMZN-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx*

对于 Windows WorkSpaces，计算机名称格式由捆绑包类型决定；对于从公共捆绑包或基于公共映像的自定义捆绑包创建的 WorkSpaces，则由创建公共映像的时间决定。

从 2020 年 6 月 22 日起，从公共捆绑包中推出的 Windows WorkSpaces 的计算机名称采用 WSAMZN-*xxxxxxx* 格式，而不是 IP-C*xxxxxx* 格式。

对于基于公共映像的自定义捆绑包，如果公共映像是在 2020 年 6 月 22 日之前创建的，则计算机名称采用 EC2AMAZ-*xxxxxxx* 格式。如果公共映像是在 2020 年 6 月 22 日当天或之后创建的，则计算机名称采用 WSAMZN-*xxxxxxx* 格式。

对于自带许可 (BYOL) 捆绑包，默认情况下，计算机名称使用 DESKTOP-*xxxxxxx* 或 EC2AMAZ-*xxxxxxx* 格式。

如果您在自定义或 BYOL 捆绑包中为计算机名称指定了自定义格式，则您的自定义格式将覆盖这些默认格式。要指定自定义格式，请参阅[为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)。

**重要**  
创建 WorkSpace 后，您可以放心地更改其计算机名称。例如，您可以在 WorkSpace 上使用命令 `Rename-Computer` 或远程执行 PowerShell 脚本。然后，更新后的 WorkSpace 计算机名称值将显示在 Amazon WorkSpaces 控制台中。

# 为 WorkSpaces 个人版创建 AWS 托管 Microsoft AD 目录
<a name="launch-workspace-microsoft-ad"></a>

在本教程中，我们将创建 AWS 托管 Microsoft AD 目录。要了解使用其他选项的教程，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

首先，创建一个 AWS 托管的 Microsoft AD 目录。Directory Service 会创建 2 个目录服务器，您的 VPC 的每个私有子网中各有一个。请注意，目录最初没有任何用户。您将在下一步启动 WorkSpace 时添加用户。

**注意**  
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制，则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。

**创建 AWS 托管的 Microsoft AD 目录**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择**创建目录**。

1. 在**创建目录**页面，对于 **WorkSpaces 类型**，选择**个人**。然后，对于 **WorkSpace 设备管理**，选择 **AWS Directory Service**。

1. 选择**创建目录**，这将打开 AWS Directory Service 上的**设置目录**页面

1. 选择 **AWS 托管 Microsoft AD**，然后选择**下一步**。

1. 按以下说明配置目录：

   1. 对于**组织名称**，为您的目录输入一个具有唯一性的组织名称（例如，my-demo-directory）。此名称的字符数不得少于 4 个，仅包含字母数字字符和连字符 (-)，并以连字符以外的其他字符开头或结尾。

   1. 对于**目录 DNS**，为目录输入一个完全限定名称（例如，workspaces.demo.com）。
**重要**  
如果您需要在启动 WorkSpaces 后更新 DNS 服务器，请按照[更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)中的步骤操作，确保您的 WorkSpaces 得到正确更新。

   1. 对于 **NetBIOS 名称**，为目录输入一个短名称（例如，workspaces）。

   1. 对于 **Admin 密码**和**确认密码**，输入目录管理员账户的密码。有关密码要求的更多信息，请参阅《AWS Directory Service 管理指南》**中的[创建您的 AWS Managed Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。

   1. （可选）对于**描述**，输入目录的描述。

   1. 对于 **VPC**，选择您创建的 VPC。

   1. 对于 **Subnets**，选择两个私有子网 (具有 CIDR 块 `10.0.1.0/24` 和 `10.0.2.0/24`)。

   1. 选择**下一步**。

1. 选择**创建目录**。

1. 您将返回到 WorkSpaces 控制台上的“创建目录”页面。目录的初始状态是 `Requested`，然后是 `Creating`。目录创建完成后（这可能需要几分钟），状态会变为 `Active`。

创建了 AWS 托管 Microsoft AD 目录后，您可以将其注册到 Amazon WorkSpaces。有关更多信息，请参阅 [向 “个人” 注册现有 Directory Service 目录 WorkSpaces](register-deregister-directory.md)。

# 为 WorkSpaces 个人创建一个 Simple AD 目录
<a name="launch-workspace-simple-ad"></a>

在本教程中，我们将启动使用 Sim WorkSpace ple AD 的。要了解使用其他选项的教程，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

**注意**  
Simple AD 并非在所有AWS地区都可用。请查看受支持的区域，并为您的 Simple AD 目录[选择一个区域](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)。有关 Simple AD 支持的区域的更多信息，请参阅 [AWSDirectory Service 的区域可用性](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html)。
Simple AD 可供您免费使用 WorkSpaces。如果连续 30 天 WorkSpaces 未在您的 Simple AD 目录中使用，则该目录将自动取消注册以供亚马逊使用 WorkSpaces，并且将根据[AWS Directory Service定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。
S@@ [imple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html) 目前仅支持 IPv4 寻址，这意味着在创建目录时，关联的 VPC 将配置 IPv4 CIDR 块，并且不支持 IPv6 网络。

当你创建 Simple AD 目录时。 Directory Service创建两个目录服务器，分别位于您的 VPC 的私有子网中。目录最初没有任何用户。在创建用户之后添加用户 WorkSpace。有关更多信息，请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。

**创建 Simple AD 目录**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择**创建目录**。

1. 在 “**创建目录**” 页面上，为**WorkSpaces 类型**选择 “**个人**”。然后，要进行**WorkSpace 设备管理**，请选择 **AWSDirectory Service**。

1. 选择 “**创建目录**”，这将打开 Directory Service 上的 “**设置AWS目录**” 页面

1. 选择 **Simple AD**，然后选择**下一步**。

1. 按以下说明配置目录：

   1. 在**组织名称**中，输入目录的唯一组织名称（例如， my-example-directory）。此名称的字符数不得少于 4 个，仅包含字母数字字符和连字符 (-)，并以连字符以外的其他字符开头或结尾。

   1. 对于**目录 DNS 名称**，输入目录的完全限定名称（例如，example.com）。
**重要**  
如果您需要在启动后更新 DNS 服务器 WorkSpaces，请按照中的步骤进行操作，[更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)以确保正确更新 WorkSpaces 您的服务器。

   1. 对于 **NetBIOS 名称**，为目录键入一个短名称（例如，example）。

   1. 对于 **Admin 密码**和**确认密码**，输入目录管理员账户的密码。有关密码要求的更多信息，请参阅《AWS Directory Service 管理指南》**中的[如何创建 Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。

   1. （可选）对于**描述**，输入目录的描述。

   1. 对于**目录大小**，选择**小**。

   1. 对于 **VPC**，选择您创建的 VPC。

   1. 对于 **Subnets**，选择两个私有子网 (具有 CIDR 块 `10.0.1.0/24` 和 `10.0.2.0/24`)。

   1. 选择**下一步**。

1. 选择**创建目录**。

1. 您将返回到 WorkSpaces 控制台上的 “创建目录” 页面。目录的初始状态是 `Requested`，然后是 `Creating`。目录创建完成后（这可能需要几分钟），状态会变为 `Active`。

**在目录创建期间发生的情况**

WorkSpaces 代表您完成以下任务：
+ 创建 IAM 角色以允许 WorkSpaces 服务创建弹性网络接口并列出您的 WorkSpaces 目录。此角色的名称为 `workspaces_DefaultRole`。
+ 在 VPC 中设置一个 Simple AD 目录，用于存储用户和WorkSpace 信息。此目录的管理员账户具有用户名 Administrator 和指定的密码。
+ 创建两个安全组，一个用于目录控制器，另一个用于目录 WorkSpaces 中的安全组。

创建 Simple AD 目录后，您可以将其注册到亚马逊 WorkSpaces。有关更多信息，请参阅 [向 “个人” 注册现有 Directory Service 目录 WorkSpaces](register-deregister-directory.md)。

# 为 WorkSpaces 个人版创建 AD Connector
<a name="launch-workspace-ad-connector"></a>

在本教程中，我们将创建 AD Connector。要了解使用其他选项的教程，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

## 创建 AD Connector
<a name="create-ad-connector"></a>

**注意**  
AD Connector 供您免费使用，可用于 WorkSpaces。如果连续 30 天没有一起使用 WorkSpaces 与您的 AD Connector 目录，则系统将自动取消注册该目录，无法再将其用于 Amazon WorkSpaces，而且将根据 [AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。  
要删除空目录，请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 AD Connector 目录，则当您想重新开始使用 WorkSpaces 时，可以随时创建一个新的目录。

**创建 AD Connector**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择**创建目录**。

1. 在**创建目录**页面，对于 **WorkSpaces 类型**，选择**个人**。然后，对于 **WorkSpace 设备管理**，选择 **AWS Directory Service**。

1. 选择**创建目录**，这将打开 AWS Directory Service 上的**设置目录**页面

1. 选择 **AWS 托管 Microsoft AD**，然后选择**下一步**。

1. 对于**组织名称**，为您的目录输入一个具有唯一性的组织名称（例如，my-example-directory）。此名称的字符数不得少于 4 个，仅包含字母数字字符和连字符 (-)，并以连字符以外的其他字符开头或结尾。

1. 对于**已连接的目录 DNS**，输入您的本地目录的完全限定名称（例如 example.com）。

1. 对于**已连接的目录 NetBIOS 名称**，输入您的本地目录的短名（例如 example）。

1. 对于 **Connector 账户用户名**，输入您的本地目录中的一个用户的用户名。该用户必须有权读取用户和组、创建计算机对象并将其加入到域中。

1. 对于 **Connector 账户密码**和**确认密码**，输入本地用户的密码。

1. 对于 **DNS 地址**，输入您的本地目录中至少一个 DNS 服务器的 IP 地址。
**重要**  
如果您需要在启动 WorkSpaces 后更新 DNS 服务器 IP 地址，请按照[更新 WorkSpaces 个人版 DNS 服务器](update-dns-server.md)中的步骤操作，确保您的 WorkSpaces 得到正确更新。

1. （可选）对于**描述**，输入目录的描述。

1. 保持 **Size** 为 **Small**。

1. 对于 **VPC**，选择您的 VPC。

1. 对于 **Subnets**，选择您的子网。所指定的 DNS 服务器必须能够从每个子网访问。

1. 选择**创建目录**。

1. 您将返回到 WorkSpaces 控制台上的“创建目录”页面。目录的初始状态是 `Requested`，然后是 `Creating`。目录创建完成后（这可能需要几分钟），状态会变为 `Active`。

# 在 AWS 托管的 Microsoft AD 目录与本地域之间创建 WorkSpaces 个人版的信任关系
<a name="launch-workspace-trusted-domain"></a>

在本教程中，我们将在 AWS 托管的 Microsoft AD 目录与本地域之间创建信任关系。要了解使用其他选项的教程，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

**注意**  
当 AWS Managed Microsoft AD 配置有与本地目录的信任关系时，在单独的受信任域中通过 AWS 账户启动 WorkSpaces 的情况下可以使用该 AD。但是，使用 Simple AD 或 AD Connector 的 WorkSpaces 无法为受信任域中的用户启动 WorkSpaces。

**设置信任关系**

1. 在您的虚拟私有云(VPC) 中设置 AWS 托管的 Microsoft AD。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[创建您的 AWS Managed Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)。
**注意**  
Amazon WorkSpaces 目前不支持与共享目录一起使用。
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制，则只能注册主区域中的目录以便在 Amazon WorkSpaces 中使用。尝试在复制区域中注册该目录以用于 Amazon WorkSpaces 将失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。

1. 在 AWS 托管的 Microsoft AD 与本地域之间创建信任关系。确保该信任关系配置为双向信任。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[教程：创建 AWS Managed Microsoft AD 与本地域之间的信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)。

可以使用单向或双向信任，来管理 WorkSpace 并向 WorkSpace 进行身份验证，以便向本地用户和组预调配 WorkSpaces。有关更多信息，请参阅[通过 AWS Directory Service 使用单向信任资源域部署 Amazon WorkSpaces](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)。

**注意**  
Red Hat Enterprise Linux、Rocky Linux 和 Ubuntu WorkSpaces 使用系统安全服务进程守护程序（SSSD）进行 Active Directory 集成，SSSD 不支持林信任。改为配置外部信任。建议对 Amazon Linux、Ubuntu、Rocky Linux 和 Red Hat Enterprise Linux WorkSpaces 使用双向信任。
您不能使用 Web 浏览器（Web Access）连接到 Linux WorkSpaces。

# 使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces
<a name="launch-entra-id"></a>

在本教程中，我们创建了自带许可证 (BYOL) Windows 10 和 11 个人版 WorkSpaces ，它们是加入并注册微软 Intune 的微软 Entra ID。在创建此类目录之前 WorkSpaces，您需要先为 Entra ID- WorkSpaces joined 创建一个专用的 WorkSpaces 个人目录。

**注意**  
除非洲（开普敦）、以色列（特拉维夫）和中国（宁夏）外，Microsoft Entra 已加入个人 WorkSpaces 版可在亚马逊 WorkSpaces 提供服务的所有 AWS 地区推出。

**Contents**
+ [概述](#entra-overview)
+ [要求和限制](#entra-requirements-limitation)
+ [步骤 1：启用 IAM Identity Center 并与 Microsoft Entra ID 同步](#entra-step-1)
+ [步骤 2：注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限](#entra-step-2)
+ [步骤 3：配置 Windows Autopilot 用户驱动模式](#entra-step-3)
+ [步骤 4：创建 AWS Secrets Manager 密钥](#entra-step-4)
+ [第 5 步：创建专用的微软 Entra ID 目录 WorkSpaces](#entra-step-5)
+ [为 WorkSpaces 目录配置 IAM 身份中心应用程序（可选）](#configure-iam-directory)
+ [创建跨区域 IAM Identity Center 集成（可选）](#create-cross-region-iam-identity-integration)

## 概述
<a name="entra-overview"></a>

微软 Entra ID 个人 WorkSpaces 目录包含启动已加入的 Microsoft Entra ID 所需的所有信息 WorkSpaces ，这些信息已分配给使用微软 Entra ID 管理的用户。用户信息 WorkSpaces 通过 AWS IAM Identity Center 提供，IAM 身份中心充当身份代理，将您的员工身份从 Entra ID 带到 AWS。微软 Windows Autopilot 用户驱动模式用于完成 WorkSpaces Intune 注册和 Entra 加入。下图说明了 Autopilot 过程。

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/autopilot.jpg)


## 要求和限制
<a name="entra-requirements-limitation"></a>
+ Microsoft Entra ID P1 计划或更高版本。
+ Microsoft Entra ID 和 Intune 已启用并具有角色分配。
+ Intune 管理员 - 管理 Autopilot 部署配置文件所必需的。
+ 全局管理员 - 为分配给[步骤 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中创建的应用程序的 API 权限授予管理员同意所必需的。无需此权限即可创建应用程序。但是，全局管理员需要提供管理员对应用程序权限的同意。
+ 向你的用户分配 Windows 10/11 VDA E3 或 E5 用户订阅许可证。 WorkSpaces 
+ Entra ID 目录仅支持 Windows 10 或 11 个人 WorkSpaces自带许可证。以下是受支持的版本。
  + Windows 10 版本 21H2（2021 年 12 月更新）
  + Windows 10 版本 22H2（2022 年 11 月更新）
  + Windows 11 Enterprise 23H2（2023 年 10 月发布）
  + Windows 11 Enterprise 22H2（2022 年 10 月发布）
  + Windows 11 Enterprise 24H2（2024 年 10 月发布）
  + Windows 11 Enterprise 25H2（2025 年 9 月发布）
+ 您的帐户已启用自带许可证 (BYOL)，并且您的 AWS 帐户中已导入有效的 Windows 10 或 11 BYOL 映像。有关更多信息，请参阅 [带上你自己的 Windows 桌面许可证 WorkSpaces](byol-windows-images.md)。
+ 微软 Entra ID 目录仅支持 Windows 10 或 11 BYOL 个人版。 WorkSpaces
+ Microsoft Entra ID 目录仅支持 DCV 协议。
+ 如果你使用防火墙 WorkSpaces，请确保它不会阻止 Microsoft Intune 和 Windows Autopilot 端点的出站流量。有关详细信息，请参阅 [Network endpoints for Microsoft Intune - Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america) 和 [Windows Autopilot requirements](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking)。
+ Microsoft Entra ID 目录不支持位于美国政府社区云高级服务（GCCH）和美国国防部（DoD）环境中的 Microsoft Entra ID 租户。

## 步骤 1：启用 IAM Identity Center 并与 Microsoft Entra ID 同步
<a name="entra-step-1"></a>

要创建 Microsoft Entra ID 加入 Microsoft Entra ID 的个人 WorkSpaces 信息并将其分配给你的 Entra ID 用户，你必须 AWS 通过 IAM 身份中心向其提供用户信息。推荐使用 AWS IAM 身份中心来管理用户对 AWS 资源的访问权限。有关更多信息，请参阅[什么是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。这是一次性设置。

如果您没有可与您的集成的现有 IAM Identity Center 实例 WorkSpaces，我们建议您在与您的相同区域创建一个 WorkSpaces。如果您在其他地区拥有现有的 AWS Identity Center 实例，则可以设置跨区域集成。有关跨区域设置的更多信息，请参阅[创建跨区域 IAM Identity Center 集成（可选）](#create-cross-region-iam-identity-integration)。

**注意**  
中不支持 WorkSpaces 和 IAM 身份中心之间的跨区域集成。 AWS GovCloud (US) Region

1. 在您 AWS 的 Organizations 中启用 IAM Identity Center，尤其是在您使用多账户环境的情况下。您还可以创建 IAM Identity Center 账户实例。要了解更多信息，请参阅[启用 AWS IAM 身份中心](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每个 WorkSpaces 目录可以与一个 IAM Identity Center 实例、组织或账户相关联。

   如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录，请确保您拥有以下 IAM Identity Center 权限。
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   有关更多信息，请参阅[管理对 IAM Identity Center 资源的访问权限概览](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。此外，请确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息 SCPs，请参阅[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。

1. 配置 IAM Identity Center 和 Microsoft Entra ID，自动将您 Entra ID 租户中的选定或所有用户同步到 IAM Identity Center 实例。有关更多信息，请参阅[使用 Microsoft Entra ID 和 IAM 身份中心配置 SAML 和 SCIM](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html) 和[教程：配置 AWS IAM 身份中心以实现自动](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial)用户配置。

1. 验证你在 Microsoft Entra ID 上配置的用户是否已正确同步到 AWS IAM 身份中心实例。如果您在 Microsoft Entra ID 中看到错误消息，则表明 Entra ID 中用户的配置方式是 IAM Identity Center 不支持的方式。该错误消息将会识别出此问题。例如，如果 Entra ID 中的用户对象缺少名字、 and/or 姓氏和显示名称，您将收到一条类似的错误消息。`"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`相关详情，请参阅[特定用户无法从外部 SCIM 提供者同步到 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)。

**注意**  
WorkSpaces 使用 Entra ID UserPrincipalName (UPN) 属性来识别单个用户，其局限性如下：  
UPNs 长度不能超过 63 个字符。
如果您在为用户分配后更改 UPN，则 WorkSpace 除非您 WorkSpace 将 UPN 更改回以前的状态，否则用户将无法连接到他们的 UPN。

## 步骤 2：注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限
<a name="entra-step-2"></a>

WorkSpaces Personal 使用微软 Windows Autopilot 用户驱动模式注册 WorkSpaces 微软 Intune 并加入微软 Entra ID。

要允许亚马逊 WorkSpaces 在 Autopilot 中注册 WorkSpaces 个人版，你必须注册一个授予必要的 Microsoft Graph API 权限的微软 Entra ID 应用程序。有关注册 Entra ID 应用程序的更多信息，请参阅 [Quickstart: Register an application with the Microsoft identity platform](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)。

我们建议在您的 Entra ID 应用程序中提供以下 API 权限。
+ 要创建需要加入 Entra ID 的新个人 WorkSpace ，需要获得以下 API 权限。
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ 当您终止个人 WorkSpace 或重建个人时，将使用以下权限。
**注意**  
如果您不提供这些权限，则 WorkSpace 会被终止，但不会从您的 Intune 和 Entra ID 租户中移除这些权限，您必须分别将其删除。
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ 这些权限需要管理员同意。有关更多信息，请参阅 [Grant tenant-wide admin consent to an application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。

接下来，您必须为 Entra ID 应用程序添加客户端密钥。有关更多信息，请参阅 [Add credentials](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)。请务必记住客户端密钥字符串，因为在步骤 4 中创建 AWS Secrets Manager 密钥时将需要该字符串。

## 步骤 3：配置 Windows Autopilot 用户驱动模式
<a name="entra-step-3"></a>

确保您熟悉 [Step by step tutorial for Windows Autopilot user-driven Microsoft Entra join in Intune](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)。

**为 Autopilot 配置 Microsoft Intune**

1. 登录 Microsoft Intune 管理中心

1. 为个人 WorkSpaces创建新的自动驾驶设备组。有关更多信息，请参阅 [Create device groups for Windows Autopilot](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)。

   1. 依次选择**组**、**新组**

   1. 对于 **Group type**，选择 **Security**。

   1. 对于**会员类型**，选择**动态设备**。

   1. 选择**编辑动态查询**，以创建动态会员规则。该规则应采用以下格式：

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**重要**  
`WorkSpacesDirectoryName`应与您在步骤 5 中创建的 Entra ID WorkSpaces 个人目录的目录名相匹配。这是因为在将虚拟桌面 WorkSpaces 注册到 Autopilot 时，目录名称字符串用作组标签。此外，组标签会映射到 Microsoft Entra 设备上的 `OrderID` 属性。

1. 依次选择**设备**、**Windows**、**注册**。在**注册选项**中，选择**自动注册**。对于 **MDM 用户范围**，选择**全部**。

1. 创建 Autopilot 部署配置文件。有关更多信息，请参阅 [Create an Autopilot deployment profile](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)。

   1. 对于 **Windows Autopilot**，依次选择**部署配置文件**、**创建配置文件**。

   1. 在 **Windows Autopilot 部署配置文件**屏幕中，选择**创建配置文件**下拉菜单，然后选择 **Windows PC**。

   1. 在 “**创建个人资料**” 屏幕中，**在 Out-of-box体验 (OOBE)** 页面上。对于**部署模式**，选择**用户驱动**。对于**加入 Microsoft Entra ID**，选择**加入 Microsoft Entra**。您可以为已加入 Entra ID 的个人 WorkSpaces 自定义计算机名称，方法是在 “**应用设备名称模板**” 中选择 “**是**”，创建在注册期间命名设备时使用的模板。

   1. 在**分配**页面上，对于**分配至**，选择**选定的组**。选择**选择要包含的组**，然后选择您刚刚在 2 中创建的 Autopilot 设备组。

## 步骤 4：创建 AWS Secrets Manager 密钥
<a name="entra-step-4"></a>

您必须在中创建密钥 AWS Secrets Manager 才能安全地存储您在中创建的 Entra ID 应用程序的信息，包括应用程序 ID 和客户端密钥。[步骤 2：注册 Microsoft Entra ID 应用程序以授予 Windows Autopilot 权限](#entra-step-2)这是一次性设置。

**创建密 AWS Secrets Manager 钥**

1. 在 [AWS Key Management Service](https://aws.amazon.com/kms/) 中创建客户自主管理型密钥。稍后将使用该密钥来加密 AWS Secrets Manager 密钥。请勿使用默认密钥来加密您的密钥，因为 WorkSpaces 服务无法访问默认密钥。按照以下步骤创建密钥。

   1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。

   1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

   1. 选择**创建密钥**。

   1. 在**配置密钥**页面上，为**密钥类型**选择**对称**。对于**密钥用法**，选择**加密和解密**。

   1. 在 “**查看**” 页面的密钥策略编辑器中，通过在密钥策略中包含以下权限，确保允许 WorkSpaces 服务的委托人`workspaces.amazonaws.com`访问密钥。

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. 使用上 AWS Secrets Manager一步中创建的密 AWS KMS 钥在上创建密钥。

   1. 打开 Secrets Manager 控制台，网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

   1. 选择**存储新密钥**。

   1. 在**选择密钥类型**页面上，为**密钥类型**选择**其他密钥类型**。

   1. 对于**键/值对**，在密钥框中输入“application\$1id”，然后复制[步骤 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 中的 Entra ID 应用程序 ID，并将其粘贴到值框中。

   1. 选择**添加行**，在密钥框中输入“application\$1password”，然后复制[步骤 2](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2) 中的 Entra ID 应用程序客户端密钥，并将其粘贴到值框中。

   1. 从**加密 AWS KMS 密钥下拉列表中选择您在上一步中创建的密钥**。

   1. 选择**下一步**。

   1. 在**配置密钥**页面，输入**密钥名称**和**描述**。

   1. 在**资源权限**部分，选择**编辑权限**。

   1. 通过在资源权限中包含以下资源策略，确保允许 WorkSpaces 服务委托人`workspaces.amazonaws.com`访问密钥。

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## 第 5 步：创建专用的微软 Entra ID 目录 WorkSpaces
<a name="entra-step-5"></a>

创建一个专门的 WorkSpaces 目录，用于存储已加入 Microsoft Entra ID WorkSpaces 和 Entra ID 的用户的信息。

**创建 Entra ID 目录 WorkSpaces**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 在 “**创建目录**” 页面上，为**WorkSpaces 类型**选择 “**个人**”。要进行**WorkSpace 设备管理**，请选择**微软 Entra ID。**

1. 对于 **Microsoft Entra 租户 ID**，请输入你希望目录加入的 WorkSpaces 微软 Entra ID 租户 ID。创建目录后，您将无法更改租户 ID。

1. 对于 **Entra ID 应用程序 ID 和密码**，请从下拉列表中选择您在[步骤 4](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4) 中创建的 AWS Secrets Manager 密钥。创建目录后，您将无法更改与目录关联的密钥。但是，您可以随时通过 AWS Secrets Manager 控制台更新密钥的内容，包括 Entra ID 应用程序 ID 及其密码，网址为[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 如果您的 IAM Identity Center 实例与您的 WorkSpaces目录位于同一 AWS 区域，则对于**用户身份源**，请从下拉列表中选择您在[步骤 1](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1) 中配置的 IAM 身份中心实例。创建目录后，您将无法更改与目录关联的 IAM Identity Center 实例。

   如果您的 IAM Identity Center 实例与您的 WorkSpaces 目录位于不同的 AWS 区域，请选择**启用跨区域**，然后从下拉列表中选择该区域。
**注意**  
如果您在其他区域拥有现有的 IAM Identity Center 实例，则必须选择加入才能设置跨区域集成。有关跨区域设置的更多信息，请参阅[创建跨区域 IAM Identity Center 集成（可选）](#create-cross-region-iam-identity-integration)。

1. 对于**目录名称**，输入目录的唯一名称（例如，`WorkSpacesDirectoryName`）。
**重要**  
目录名称应与 `OrderID` 一致，为您在[步骤 3](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3) 中使用 Microsoft Intune 创建的 Autopilot 设备组构建动态查询时使用过它。将个人注册 WorkSpaces 到 Windows Autopilot 时，目录名称字符串用作群组标签。组标签会映射到 Microsoft Entra 设备上的 `OrderID` 属性。

1. （可选）对于**描述**，输入目录的描述。

1. 对于 **VP** C，请选择您用来启动的 VPC WorkSpaces。有关更多信息，请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。

1. 对于**子网**，选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息，请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。
**重要**  
确保子网中 WorkSpaces 启动的用户可以访问互联网，这是用户登录到 Windows 桌面时所必需的。有关更多信息，请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。

1. 在 “**配置**” 中，选择 “**启用专用**” WorkSpace。你必须启用它才能创建专用的 WorkSpaces 个人目录才能启动 Windows 10 或 11 个人 WorkSpaces版自带许可证 (BYOL)。
**注意**  
如果您未在 “**配置 WorkSpace**” 下看到 “**启用专用**” 选项，则说明您的账户尚未启用 BYOL。要为账户启用 BYOL，请参阅[带上你自己的 Windows 桌面许可证 WorkSpaces](byol-windows-images.md)。

1. （可选）在 “**标签**” 中，指定要在目录 WorkSpaces 中用于个人的 key pair 值。

1. 查看目录摘要，然后选择**创建目录**。连接目录需要几分钟时间。目录的初始状态是 `Creating`。目录创建完毕后，状态会变为 `Active`。

创建目录后，系统还会自动代表您创建 IAM Identity Center 应用程序。要查找应用程序的 ARN，请转到目录的摘要页面。

现在，你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息，请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。

创建 WorkSpaces 个人目录后，您可以创建个人目录 WorkSpace。有关更多信息，请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。

## 为 WorkSpaces 目录配置 IAM 身份中心应用程序（可选）
<a name="configure-iam-directory"></a>

创建目录后，系统还会自动创建相应的 IAM Identity Center 应用程序。您可以在目录详细信息页面的“摘要”部分，找到应用程序的 ARN。默认情况下，Identity Center 实例中的所有用户 WorkSpaces 无需配置相应的 Identity Center 应用程序即可访问其分配的用户。但是，您可以通过为 IAM Identity Center 应用程序配置用户分配来管理用户对目录的访问权限。 WorkSpaces 

**为 IAM Identity Center 应用程序配置用户分配**

1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在**AWS 托管应用程序**选项卡上，为 WorkSpaces 目录选择应用程序。应用程序名称采用以下格式：`WorkSpaces.wsd-xxxxx`，其中`wsd-xxxxx`是 WorkSpaces 目录 ID。

1. 依次选择**操作**、**编辑详细信息**。

1. 将**用户和组分配方法**从**不需要分配**更改为**需要分配**。

1. 选择**保存更改**。

进行此更改后，Identity Center 实例中的用户将失去其分配的访问权限， WorkSpaces 除非他们被分配给应用程序。要将用户分配给应用程序，请使用 AWS CLI 命令`create-application-assignment`将用户或组分配给应用程序。有关更多信息，请参阅 [AWS CLI 命令参考](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)。

## 创建跨区域 IAM Identity Center 集成（可选）
<a name="create-cross-region-iam-identity-integration"></a>

我们建议您的实例 WorkSpaces 和关联的 IAM Identity Center 实例位于同一 AWS 区域。但是，如果您已经在与您所在区域不同的区域配置了 IAM Identity Center 实例，则可以创建跨区域集成。 WorkSpaces 当您创建跨区域 WorkSpaces 和 IAM Identity Center 集成时，您可以进行跨区域调用 WorkSpaces ，以访问和存储来自您的 IAM Identity Center 实例的信息，例如用户和群组属性。

**重要**  
Amazon 仅 WorkSpaces 支持组织级实例的跨区域 IAM 身份中心和 WorkSpaces 集成。 WorkSpaces 不支持账户级实例的跨区域 IAM 身份中心集成。有关 IAM Identity Center 实例类型及其应用场景的更多信息，请参阅[了解 IAM Identity Center 实例的类型](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)。

如果您在 WorkSpaces 目录和 IAM Identity Center 实例之间创建跨区域集成，则由于跨区域调用，您在部署时 WorkSpaces 和登录期间可能会遇到更高的延迟。延迟的增加与您所在 WorkSpaces 地区和 IAM 身份中心区域之间的距离成正比。建议针对您的特定应用场景执行延迟测试。

 您可以在[步骤 5：创建专用 Microsoft Entra ID WorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5) 目录期间启用跨区域 IAM 身份中心连接。对于**用户身份源**，从下拉菜单中选择您在[步骤 1：启用 IAM Identity Center 并与 Microsoft Entra ID 同步](#entra-step-1)中配置的 IAM Identity Center 实例。

**重要**  
创建后，您无法更改与目录关联的 IAM Identity Center 实例。

# 使用 “个 WorkSpaces 人” 创建专用的自定义目录
<a name="launch-custom"></a>

在创建 Windows 10 和 11 BYOL 个人 WorkSpaces 版并将其分配给使用 AWS IAM 身份中心身份提供商 (IdPs) 管理的用户之前，您必须创建一个专用的自定义 WorkSpaces 目录。个人版 WorkSpaces 未加入任何 Microsoft Active Directory，但可以使用你选择的移动设备管理 (MDM) 解决方案进行管理，例如 JumpCloud。有关的更多信息 JumpCloud，请参阅[这篇文章](https://jumpcloud.com/support/integrate-with-aws-workspaces)。要了解使用其他选项的教程，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。

**注意**  
Amazon WorkSpaces 无法创建或管理在自定义目录中 WorkSpaces 启动的个人用户账户。作为管理员，您必须对其进行管理。
除非洲（开普敦）、以色列（特拉维夫）和中国（宁夏）外，所有提供亚马逊 WorkSpaces 服务的AWS地区均提供定制 WorkSpaces 目录。
Amazon WorkSpaces 无法 WorkSpaces 使用自定义目录创建或管理用户账户。要确保你使用的 MDM 代理软件可以在 Windows 上创建用户配置文件 WorkSpaces，请联系 MDM 解决方案提供商。创建用户配置文件允许您的用户从 Windows 登录屏幕登录 Windows 桌面。

**Contents**
+ [要求和限制](#custom-requirements-limitations)
+ [步骤 1：启用 IAM Identity Center 并与身份提供者连接](#custom-step-1)
+ [步骤 2：创建专用的自定义 WorkSpaces 目录](#custom-step-2)

## 要求和限制
<a name="custom-requirements-limitations"></a>
+ 自定义 WorkSpaces 目录仅支持 Windows 10 或 11 个人自带许可证 WorkSpaces。
+ 自定义 WorkSpaces 目录仅支持 DCV 协议。
+ 确保为您的AWS帐户启用 BYOL，并且您拥有自己的AWS KMS服务器，您的个人 WorkSpaces 可以访问该服务器以激活 Windows 10 和 11。有关更多信息，请参阅 [带上你自己的 Windows 桌面许可证 WorkSpaces](byol-windows-images.md)。
+ 确保在导入账户的 BYOL 映像上预安装 MDM 代理软件。AWS

## 步骤 1：启用 IAM Identity Center 并与身份提供者连接
<a name="custom-step-1"></a>

要将用户信息分配 WorkSpaces 给由您的身份提供商管理的用户，必须AWS通过 AWS IAM Identity Center 向其提供用户信息。我们建议使用 IAM 身份中心来管理您的用户对AWS资源的访问权限。有关更多信息，请参阅[什么是 IAM Identity Center？](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。这是一次性设置。

**将用户信息提供给 AWS**

1. 启用 IAM 身份中心AWS。您可以在AWS组织中启用 IAM Identity Center，尤其是在您使用多账户环境的情况下。您还可以创建 IAM Identity Center 账户实例。有关更多信息，请参阅[启用 AWS IAM 身份中心](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。每个 WorkSpaces 目录可以与一个 IAM 身份中心组织或账户实例关联。每个 IAM 身份中心实例都可以与一个或多个 WorkSpaces 个人目录关联。

   如果您正在使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录，请确保您拥有以下 IAM Identity Center 权限。
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   有关更多信息，请参阅[管理对 IAM Identity Center 资源的访问权限概览](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)。确保没有服务控制策略 (SCPs) 阻止这些权限。要了解更多信息 SCPs，请参阅[服务控制策略 (SCPs)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)。

1. 配置 IAM Identity Center 和您的身份提供者（IdP），自动将用户从您的 IdP 同步到您的 IAM Identity Center 实例。有关更多信息，请参阅[入门教程](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)并选择要使用的 IdP 的特定教程。例如，[使用 IAM 身份中心连接您的 JumpCloud 目录平台](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)。

1. 验证您在 IdP 上配置的用户是否已正确同步到 AWS IAM Identity Center 实例。第一次同步最多可能需要一个小时，具体取决于您 IdP 的配置。

## 步骤 2：创建专用的自定义 WorkSpaces 目录
<a name="custom-step-2"></a>

创建专门的 WorkSpaces 个人目录，用于存储有关您的个人 WorkSpaces 和用户的信息。

**创建专用的自定义 WorkSpaces 目录**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择**创建目录**。

1. 在 “**创建目录**” 页面上，对于**WorkSpaces**类型，选择 “**个人**”。要进行**WorkSpace 设备管理**，请选择**自定义**。

1. 对于**用户身份源**，从下拉列表中选择您在[步骤 1](https://docs.aws.amazon.com/) 中配置的 IAM Identity Center 实例。创建目录后，您将无法更改与目录关联的 IAM Identity Center 实例。
**注意**  
您必须为该目录指定 IAM Identity Center 实例，否则您将无法 WorkSpaces 使用 WorkSpaces 控制台使用该目录启动个人版。 WorkSpaces 没有关联身份中心的目录仅与 WorkSpaces 核心合作伙伴解决方案兼容。

1. 对于**目录名称**，输入目录的唯一名称。

1. 对于 **VP** C，请选择您用来启动的 VPC WorkSpaces。有关更多信息，请参阅 [为 WorkSpaces 个人配置 VPC](amazon-workspaces-vpc.md)。

1. 对于**子网**，选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的个人 WorkSpaces网络。有关更多信息，请参阅 [WorkSpaces 个人版的可用区](azs-workspaces.md)。
**重要**  
确保子网中 WorkSpaces 启动的用户可以访问互联网，这是用户登录到 Windows 桌面时所必需的。有关更多信息，请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。

1. 在 “**配置**” 中，选择 “**启用专用**” WorkSpace。要启动 “自带许可证” (BYOL) Windows 10 或 11 WorkSpaces 个人版，你必须启用它才能创建专用的个人 WorkSpaces目录。

1. （可选）在 “**标签**” 中，指定要在目录 WorkSpaces 中用于个人的 key pair 值。

1. 查看目录摘要，然后选择**创建目录**。连接目录需要几分钟时间。目录的初始状态是 `Creating`。目录创建完毕后，状态会变为 `Active`。

创建目录后，系统还会自动代表您创建 IAM Identity Center 应用程序。要查找应用程序的 ARN，请转到目录的摘要页面。

现在，你可以使用该目录启动已注册微软 Intune 并加入微软 Entra ID 的 Windows 10 或 11 个人 WorkSpaces 版。有关更多信息，请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。

创建 WorkSpaces 个人目录后，您可以创建个人目录 WorkSpace。有关更多信息，请参阅 [WorkSpace 在 WorkSpaces 个人版中创建](create-workspaces-personal.md)。

# 更新 WorkSpaces 个人版 DNS 服务器
<a name="update-dns-server"></a>

如果您在启动后需要更新 Active Directory 的 DNS 服务器 IP 地址 WorkSpaces，则还必须 WorkSpaces 使用新的 DNS 服务器设置更新。

您可以通过以下方式之一 WorkSpaces 使用新的 DNS 设置进行更新：
+ 在更新 Active Directory 的 DNS 设置 WorkSpaces **之前**，请先更新上的 DNS 设置。
+ 在更新 Active Directory 的 DNS 设置 WorkSpaces **后**重新构建。

我们建议在更新 Active Directory 中的 DNS 设置 WorkSpaces 之前，先更新上的 DNS 设置（如以下过程的[步骤 1](#update-registry-dns) 所述）。

如果要 WorkSpaces 改为重建，请更新 Active Directory 中的一个 DNS 服务器 IP 地址（[步骤 2](#update-dns-active-directory)），然后按照中的[重建 WorkSpaces 个人版中的 WorkSpace](rebuild-workspace.md)步骤重建您的 WorkSpaces。重建完成后 WorkSpaces，按照[步骤 3 中的步骤](#test-updated-dns-settings)测试您的 DNS 服务器更新。完成该步骤后，在 Active Directory 中更新第二台 DNS 服务器的 IP 地址，然后 WorkSpaces再次重建您的 IP 地址。请务必按照[步骤 3](#test-updated-dns-settings) 中的说明测试您的第二次 DNS 服务器更新。如[最佳实践](#update-dns-best-practices)部分所述，建议逐一更新您的 DNS 服务器 IP 地址。

## 最佳实践
<a name="update-dns-best-practices"></a>

在您更新 DNS 服务器设置时，建议遵循以下最佳实践：
+ 为避免断开连接和无法访问域资源，强烈建议在非高峰时段或计划维护期间执行 DNS 服务器更新。
+  WorkSpaces 在更改 DNS 服务器设置前 15 分钟和更改 DNS 服务器设置后 15 分钟内，请勿启动任何新内容。
+ 更新 DNS 服务器设置时，请一次更改一个 DNS 服务器 IP 地址。在更新第二个 IP 地址之前，请验证第一次更新是否正确。建议执行以下步骤（[步骤 1](#update-registry-dns)、[步骤 2](#update-dns-active-directory) 和[步骤 3](#test-updated-dns-settings)）两次，一次更新一个 IP 地址。

## 步骤 1：更新您的 DNS 服务器设置 WorkSpaces
<a name="update-registry-dns"></a>

在以下过程中，当前和新的 DNS 服务器 IP 地址的参考值如下所示：
+ 当前 DNS IP 地址：`OldIP1`，`OldIP2`
+ 新的 DNS IP 地址：`NewIP1`，`NewIP2`

**注意**  
 如果这是您第二次执行此过程，请使用 `OldIP2` 替换 `OldIP1`，使用 `NewIP2` 替换 `NewIP1`。

### 更新 Windows 的 DNS 服务器设置 WorkSpaces
<a name="update-registry-dns-windows"></a>

如果您有多个 WorkSpaces，则可以通过在 Active Directory OU 上应用组策略对象 (GPO) WorkSpaces 来部署以下注册表更新。 WorkSpaces有关使用的更多信息 GPOs，请参阅[WorkSpaces 在 WorkSpaces 个人版中管理你的 Windows](group_policy.md)。

您可以使用注册表编辑器或使用 Windows 进行这些更新 PowerShell。此部分介绍了这些过程。

**使用注册表编辑器更新 DNS 注册表设置**

1. 在 Windows 上 WorkSpace，打开 Windows 搜索框，然后输入**registry editor**以打开注册表编辑器 (**regedit.exe**)。

1. 当询问“你要允许此应用对你的设备进行更改吗?”时，选择**是**。

1. 在注册表编辑器中，导航到以下注册表项：

   **HKEY\$1LOCAL\$1MACHINE\$1 软件\$1 Amazon\$1 SkyLight**

1. 打开**DomainJoinDns**注册表项。使用 `NewIP1` 更新 `OldIP1`，然后选择**确定**。

1. 关闭注册表编辑器。

1. 重新启动 WorkSpace或重新启动服务 SkyLightWorkspaceConfigService。
**注意**  
重新启动服务后 SkyLightWorkspaceConfigService，网络适配器最多可能需要 1 分钟才能反映出所做的更改。

1. 继续执行[步骤 2](#update-dns-active-directory)，在 Active Directory 中更新 DNS 服务器设置，将 `OldIP1` 替换为 `NewIP1`。

**使用更新 DNS 注册表设置 PowerShell**

以下过程使用 PowerShell 命令更新您的注册表并重新启动服务 SkyLightWorkspaceConfigService。

1. 在你的 Windows 上 WorkSpace，打开 Windows 搜索框，然后输入**powershell**。选择**以管理员身份运行**。

1. 当询问“你要允许此应用对你的设备进行更改吗?”时，选择**是**。

1. 在 PowerShell 窗口中，运行以下命令以检索当前 DNS 服务器 IP 地址。

   ```
   Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS
   ```

   您应该收到如下所示的输出。

   ```
   DomainJoinDns : OldIP1,OldIP2
   PSPath        : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLight
   PSParentPath  : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon
   PSChildName   : SkyLight
   PSDrive       : HKLM
   PSProvider    : Microsoft.PowerShell.Core\Registry
   ```

1. 在 PowerShell 窗口中，运行以下命令`OldIP1`以更改为`NewIP1`。请务必暂时保留 `OldIP2` 原样。

   ```
   Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"
   ```

1. 运行以下命令以重新启动服务 SkyLightWorkspaceConfigService。

   ```
   restart-service -Name SkyLightWorkspaceConfigService
   ```
**注意**  
重新启动服务后 SkyLightWorkspaceConfigService，网络适配器最多可能需要 1 分钟才能反映出所做的更改。

1. 继续执行[步骤 2](#update-dns-active-directory)，在 Active Directory 中更新 DNS 服务器设置，将 `OldIP1` 替换为 `NewIP1`。

### 更新 Amazon Linux 2 的 DNS 服务器设置 WorkSpaces
<a name="update-registry-dns-linux"></a>

如果您有多个 Amazon Linux 2 WorkSpace，我们建议您使用配置管理解决方案来分发和强制执行策略。例如，您可以使用 [Ansible](https://www.ansible.com/)。

**更新 Amazon Linux 上的 DNS 服务器设置 2 WorkSpace**

1. 在 Linux 上 WorkSpace，打开终端窗口。

1. 使用以下 Linux 命令编辑 `/etc/dhcp/dhclient.conf` 文件。您必须具有根用户权限才能编辑此文件。要成为根用户，可以使用 `sudo -i` 命令，也可以运行所有命令，如 `sudo` 所示。

   ```
   sudo vi /etc/dhcp/dhclient.conf
   ```

   在 `/etc/dhcp/dhclient.conf` 文件中，您将看到以下 `prepend` 命令，其中 `OldIP1` 和 `OldIP2` 是 DNS 服务器的 IP 地址。

   ```
   prepend domain-name-servers OldIP1, OldIP2; # skylight
   ```

1. 将 `OldIP1` 替换为 `OldIP2`，并且暂时保持 `NewIP1` 原样。

1. 将更改保存到 `/etc/dhcp/dhclient.conf`。

1. 重新启动 WorkSpace。

1. 继续执行[步骤 2](#update-dns-active-directory)，在 Active Directory 中更新 DNS 服务器设置，将 `OldIP1` 替换为 `NewIP1`。

### 更新 Ubuntu 的 DNS 服务器设置 WorkSpaces
<a name="update-registry-dns-ubuntu"></a>

如果您有多个 Ubuntu WorkSpace，我们建议您使用配置管理解决方案来分发和强制执行策略。例如，您可以使用 [Landscape](https://ubuntu.com/landscape)。

**更新 Ubuntu 上的 DNS 服务器设置 WorkSpace**

1. 在 Ubuntu 上 WorkSpace，打开终端窗口并运行以下命令。您必须具有根用户权限才能编辑此文件。要成为根用户，可以使用 `sudo -i` 命令，也可以运行所有命令，如 `sudo` 所示。

   ```
   sudo vi /etc/netplan/zz-workspaces-domain.yaml
   ```

1. 在 yaml 文件中，您将看到以下 `nameserver` 命令。

   ```
   nameservers:
       search:[Your domain FQDN]
       addresses:[OldIP1, OldIP2]
   ```

   将 `OldIP1` 和 `OldIP2` 替换为 `NewIP1` 和 `NewIP2`。

   如果您有多个 DNS 服务器 IP 地址，请将它们添加为逗号分隔的值。例如 `[NewDNSIP1, NewDNSIP2, NewDNSIP3]`。

1. 保存 yaml 文件。

1. 运行命令 `sudo netplan apply` 以应用更改。

1. 运行命令 `resolvectl status` 以验证是否正在使用新的 DNS IP 地址。

1. 继续执行[步骤 2](#update-dns-active-directory)，在 Active Directory 中更新 DNS 服务器设置。

### 更新红帽企业 Linux 的 DNS 服务器设置 WorkSpaces
<a name="update-registry-dns-rhel"></a>

如果您有多个红帽企业 Linux WorkSpace，我们建议您使用配置管理解决方案来分发和强制执行策略。例如，您可以使用 [Ansible](https://www.ansible.com/)。

**更新红帽企业 Linux 上的 DNS 服务器设置 WorkSpace**

1. 在您的红帽企业 Linux 上 WorkSpace，打开终端窗口并运行以下命令。您必须具有根用户权限才能编辑此文件。要成为根用户，可以使用 `sudo -i` 命令，也可以运行所有命令，如 `sudo` 所示。

   ```
   sudo nmcli conn modify CustomerNIC ipv4.dns 'NewIP1 NewIP2'
   ```

1. 运行如下命令。

   ```
   sudo systemctl restart NetworkManager
   ```

1. 要检查已更新的 DNS 和网络配置，请运行以下命令。

   ```
   nmcli device show eth1
   ```

1. 继续执行[步骤 2](#update-dns-active-directory)，在 Active Directory 中更新 DNS 服务器设置。

## 步骤 2：更新 Active Directory 的 DNS 服务器设置
<a name="update-dns-active-directory"></a>

在此步骤中，您将更新 Active Directory 的 DNS 服务器设置。如[最佳实践](#update-dns-best-practices)部分所述，建议逐一更新您的 DNS 服务器 IP 地址。

要更新 Active Directory 的 DNS 服务器设置，请参阅《AWS Directory Service 管理指南》**中的以下文档：
+ **AD Connector**：[更新 AD 连接器的 DNS 地址](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html)
+ **AWS 托管 Microsoft AD**：[为您的本地域配置 DNS 条件转发器](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_onprem.html#tutorial_setup_trust_onprem_forwarder)
+ **Simple AD**：[配置 DNS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_dns.html)

更新 DNS 服务器设置后，继续执行[步骤 3](#test-updated-dns-settings)。

## 步骤 3：测试更新的 DNS 服务器设置
<a name="test-updated-dns-settings"></a>

完成[步骤 1](#update-registry-dns) 和[步骤 2](#update-dns-active-directory) 后，使用以下步骤验证更新后的 DNS 服务器设置是否按预期运行。

在以下过程中，当前和新的 DNS 服务器 IP 地址的参考值如下所示：
+ 当前 DNS IP 地址：`OldIP1`，`OldIP2`
+ 新的 DNS IP 地址：`NewIP1`，`NewIP2`

**注意**  
如果这是您第二次执行此过程，请使用 `OldIP2` 替换 `OldIP1`，使用 `NewIP2` 替换 `NewIP1`。

### 测试更新后的 Windows 版 DNS 服务器设置 WorkSpaces
<a name="test-updated-dns-settings-windows"></a>

1. 关闭 `OldIP1` DNS 服务器。

1. 登录 Windows WorkSpace。

1. 在 Windows **开始**菜单上，选择 **Windows 系统**，然后选择**命令提示符**。

1. 运行以下命令，其中 `AD_Name` 是您的 Active Directory 的名称（例如，`corp.example.com`）。

   ```
   nslookup AD_Name
   ```

   `nslookup` 命令应返回以下输出。（如果这是您第二次执行此过程，您应看到 `NewIP2` 取代了 `OldIP2`。）

   ```
   Server:  Full_AD_Name
   Address:  NewIP1
   
   Name:    AD_Name
   Addresses:  OldIP2
             NewIP1
   ```

1. 如果输出与预期不符，或者收到任何错误，请重复[步骤 1](#update-registry-dns)。

1. 等待一个小时，确认没有报告任何用户问题。验证 `NewIP1` 是否正在获取 DNS 查询并做出答复。

1. 确认第一台 DNS 服务器运行正常后，重复[步骤 1](#update-registry-dns) 更新第二台 DNS 服务器，这次将 `OldIP2` 替换为 `NewIP2`。然后重复步骤 2 和步骤 3。

### 测试更新后的 Linux 版 DNS 服务器设置 WorkSpaces
<a name="test-updated-dns-settings-linux"></a>

1. 关闭 `OldIP1` DNS 服务器。

1. 登录到 Linux 系统 WorkSpace。

1. 在 Linux 上 WorkSpace，打开终端窗口。

1. DHCP 响应中返回的 DNS 服务器 IP 地址将写入上的本地`/etc/resolv.conf`文件中 WorkSpace。运行以下命令以查看 `/etc/resolv.conf ` 文件的内容。

   ```
   cat /etc/resolv.conf
   ```

   您应当看到如下输出。（如果这是您第二次执行此过程，您应看到 `NewIP2` 取代了 `OldIP2`。）

   ```
   ; This file is generated by Amazon WorkSpaces
   ; Modifying it can make your WorkSpace inaccessible until reboot
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver NewIP1
   nameserver OldIP2
   nameserver WorkSpaceIP
   ```
**注意**  
如果您对`/etc/resolv.conf`文件进行手动修改，则这些更改将在重新启动时丢失。 WorkSpace 

1. 如果输出与预期不符，或者收到任何错误，请重复[步骤 1](#update-registry-dns)。

1. 实际的 DNS 服务器 IP 地址存储在 `/etc/dhcp/dhclient.conf` 文件中。要查看此文件的内容，请运行以下命令。

   ```
   sudo cat /etc/dhcp/dhclient.conf
   ```

   您应当看到如下输出。（如果这是您第二次执行此过程，您应看到 `NewIP2` 取代了 `OldIP2`。）

   ```
   # This file is generated by Amazon WorkSpaces
   # Modifying it can make your WorkSpace inaccessible until rebuild
   prepend domain-name-servers NewIP1, OldIP2; # skylight
   ```

1. 等待一个小时，确认没有报告任何用户问题。验证 `NewIP1` 是否正在获取 DNS 查询并做出答复。

1. 确认第一台 DNS 服务器运行正常后，重复[步骤 1](#update-registry-dns) 更新第二台 DNS 服务器，这次将 `OldIP2` 替换为 `NewIP2`。然后重复步骤 2 和步骤 3。

# 删除 WorkSpaces 个人版的目录
<a name="delete-workspaces-directory"></a>

**注意**  
Simple AD 和 AD Connector 可供你免费使用 WorkSpaces。如果连续 30 天没有 WorkSpaces 与您的 Simple AD 或 AD Connector 目录一起使用，则该目录将自动取消注册以供亚马逊使用 WorkSpaces，并且将根据[AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。  
如果你删除了 Simple AD 或 AD Connector 目录，那么当你想 WorkSpaces 重新开始使用时，你可以随时创建一个新的目录。

**删除目录时会发生什么：**删除目录时，会发生以下情况：
+ 删除 Simple AD 或 AWS Directory Service for Microsoft Active Directory 目录后，所有目录数据和快照都将被删除且无法恢复。删除目录之后，加入到目录的所有 Amazon EC2 实例都保持不变。但是，不能使用目录凭证登录这些实例。您需要使用实例本地的 AWS 账户 登录这些实例。
+ 删除 AD Connector 目录时，本地目录保持不变。加入到目录的任何 Amazon EC2 实例也保持不变，并保持加入本地目录。仍可以使用目录凭证登录这些实例。

## 删除入口 ID 或自定义目录 WorkSpaces
<a name="delete-entra-custom"></a>

Entra ID WorkSpaces 目录允许你创建加入了 Entra ID 的 Windows 10 或 11 BYOL。 WorkSpaces有关更多信息，请参阅 [使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)。

自定义 WorkSpaces 目录允许您创建 WorkSpaces 未加入 Active Directory 域的内容，而是使用自己的设备管理软件和 IAM Identity Center。有关更多信息，请参阅 [使用 “个 WorkSpaces 人” 创建专用的自定义目录](launch-custom.md)。

**删除入口 ID 或自定义目录 WorkSpaces**

1. 删除目录 WorkSpaces 中的所有内容。有关更多信息，请参阅 [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)。

1. 在导航窗格中，选择**目录**。

1. 选择目录。

1. 依次选择**操作**和**删除**。

1. 如果提示进行确认，请输入**删除**。

## 删除 D AWS irectory Service 目录
<a name="delete-aws-directory"></a>

 WorkSpaces 如果其他应用程序或其他应用程序（例如 Amazon WorkSpaces 或 Amazon Chime）不再使用您的 AWS 目录服务目录 WorkMail，则可以将其删除。 WorkDocs请注意，必须先取消注册目录，然后才能删除它。

**取消注册目录**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录。

1. 选择 **Actions**、**Deregister**。

1. 当系统提示您确认时，选择 **Deregister (取消注册)**。取消注册完成后，**Registered** 的值为 `No`。

**删除目录**

1. 删除目录 WorkSpaces 中的所有内容。有关更多信息，请参阅 [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)。

1. 查找并删除注册到目录的所有应用程序和服务。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[删除您的目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html)。

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Deregister**。

1. 当系统提示您确认时，选择 **Deregister (取消注册)**。

1. 再次选择目录，然后选择 **Actions** 和 **Delete**。

1. 当系统提示进行确认时，选择 **Delete（删除）**。
**注意**  
删除应用程序分配有时可能需要超出预期的时间。如果您收到以下错误消息，请确保已删除所有应用程序分配，等待 30 到 60 分钟，然后再次尝试删除该目录：  

   ```
   An Error Has Occurred
   Cannot delete the directory because it still has authorized applications. 
   Additional directory details can be viewed at the Directory Service console.
   ```

1. (可选) 删除虚拟私有云(VPC) 中用于您的目录的所有资源后，可以删除 VPC 并释放用于 NAT 网关的弹性 IP 地址。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[删除您的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) 和[使用弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)。

1. (可选) 要删除您不再使用的任何自定义捆绑包和映像，请参阅 [删除 WorkSpaces 个人版中的自定义捆绑包或映像](delete_bundle.md)。

# 为 WorkSpaces 个人设置 Active Directory 管理工具
<a name="directory_administration"></a>

您将使用 WorkSpaces 目录管理工具（例如 Active Directory 管理工具）为目录执行大多数管理任务。但是，您将使用 WorkSpaces 控制台执行一些与目录相关的任务。有关更多信息，请参阅 [管理 WorkSpaces 个人版的目录](manage-workspaces-directory.md)。

如果您使用AWS托管 Microsoft AD 或 Simple AD 创建包含五个或更多目录的目录 WorkSpaces，我们建议您对亚马逊 EC2 实例进行集中管理。尽管您可以在上安装目录管理工具 WorkSpace，但使用 Amazon EC2 实例是一种更强大的解决方案。

**设置 Active Directory 管理工具**

1. 启动一个 Amazon EC2 Windows 实例，然后使用以下选项之一将其加入您的 WorkSpaces 目录：
   + 如果您还没有现有 Amazon EC2 Windows 实例，则可以在启动实例时将该实例加入您的目录域。有关更多信息，请参阅《*AWS Directory Service管理指南》*中的[无缝加入 Windows EC2 实例](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)。
   + 如果您已经有一个 Amazon EC2 Windows 实例，则可以手动将其加入您的目录。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[手动添加 Windows 实例](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html)。

1. 在亚马逊 EC2 Windows 实例上安装 Active Directory 管理工具。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html)。
**注意**  
安装 Active Directory 管理工具时，请务必同时选择**组策略管理**来安装组策略管理编辑器 (**gpmc.msc**) 工具。

   功能安装完成后，**Windows 管理工具**下的 Windows **开始**菜单上将提供 Active Directory 工具。

1. 按照如下步骤以目录管理员身份运行工具：

   1. 在 Windows **开始**菜单上，打开 **Windows 管理工具**。

   1. 按住 Shift 键，右键单击您要使用的工具快捷方式，然后选择**以其他用户身份运行**。

   1. 输入管理员登录凭证。在 Simple AD 中，用户名为**Administrator**；对于AWS托管 Microsoft AD，管理员是**Admin**。

现在，您可以使用熟悉的 Active Directory 工具执行目录管理任务。例如，您可以使用 Active Directory 用户和计算机工具添加用户、删除用户、将用户提升为目录管理员或重置用户密码。请注意，您必须以有权管理目录中用户的用户身份登录您的 Windows 实例。

**将用户提升为目录管理员**
**注意**  
此过程仅适用于使用 Simple AD 创建的目录，不适用于AWS托管 AD 创建的目录。有关使用AWS托管 AD 创建的目录，请参阅《[管理*指南》中的 “在AWS托管 Microsoft AD 中AWS Directory Service管理*用户和群组](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)”。

1. 打开“Active Directory 用户和计算机”工具。

1. 导航到您的域下的**用户**文件夹并选择要提升的用户。

1. 选择**操作**、**属性**。

1. 在 “***username*属性**” 对话框中，选择 “**成员为**”。

1. 将用户添加到下列组并选择**确定**。
   + **Administrators**
   + **Domain Admins**
   + **Enterprise Admins**
   + **Group Policy Creator Owners**
   + **Schema Admins**

**添加或删除用户**  
您只能在启动的过程中从亚马逊 WorkSpaces 控制台创建新用户 WorkSpace，并且不能通过亚马逊 WorkSpaces 控制台删除用户。大多数用户管理任务（包括管理用户组）都必须通过您的目录执行。

**重要**  
必须先删除 WorkSpace 分配给该用户的用户，然后才能移除该用户。有关更多信息，请参阅 [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)。

用于管理用户和组的过程取决于您使用的目录类型。
+ 如果你使用的是AWS托管 Microsoft AD，请参阅《[管理*指南》中的 “在AWS托管 Microsoft AD 中AWS Directory Service管理*用户和群组](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)”。
+ 如果您使用的是 Simple AD，请参阅《AWS Directory Service 管理指南》**中的[在 Simple AD 中管理用户和组](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)。
+ 如果通过 AD Connector 或信任关系使用 Microsoft Active Directory，则可以使用 [Active Directory 模块](https://docs.microsoft.com/powershell/module/activedirectory/)来管理用户和组。

**重置用户密码**  
在为现有用户重置密码时，不要设置 **User must change password at next logon**。否则，用户将无法连接到他们 WorkSpaces的。相反，应为每位用户分配一个安全的临时密码，然后要求用户在下 WorkSpace 次登录时手动更改密码。

**注意**  
如果您使用的是 AD Connector 或者您的用户位于 AWSGovCloud （美国西部）地区，则您的用户将无法重置自己的密码。（**忘记密码？** WorkSpaces 客户端应用程序登录屏幕上的选项将不可用。）

# 管理 WorkSpaces 个人版中的用户
<a name="administer-workspace-users"></a>

一个 WorkSpace 只能分配给一个用户，不能在多个用户间共享。默认情况下，每个目录的每个用户只允许使用一个 WorkSpace。

**Topics**
+ [在 “ WorkSpaces 个人” 中管理用户](manage-workspaces-users.md)
+ [在 WorkSpaces 个人版中为用户创建多个 WorkSpaces](create-multiple-workspaces-for-user.md)
+ [自定义用户登录其 WorkSpaces 个人版中 WorkSpaces 的方式](customize-workspaces-user-login.md)
+ [在 “ WorkSpaces 个人” 中为您的用户启用自助 WorkSpaces 管理功能](enable-user-self-service-workspace-management.md)
+ [在 WorkSpaces 个人版中为您的用户启用 Amazon Connect 音频优化](enable-amazon-connect-audio-optimization.md)
+ [在 WorkSpaces 个人版中启用诊断日志上传](enable-diagnostic-log-uploads.md)

# 在 “ WorkSpaces 个人” 中管理用户
<a name="manage-workspaces-users"></a>

作为的管理员 WorkSpaces，您可以执行以下任务来管理 WorkSpaces 用户。

## 编辑用户信息
<a name="edit-user"></a>

您可以使用 WorkSpaces 控制台编辑的用户信息 WorkSpace。

**注意**  
只有当你使用AWS托管 Microsoft AD 或 Simple AD 时，此功能才可用。如果通过 AD Connector 或信任关系使用 Microsoft Active Directory，则可以使用 [Active Directory 模块](https://docs.microsoft.com/powershell/module/activedirectory/)来管理用户和组。如果你使用 Microsoft Entra ID 或自定义 WorkSpaces 目录，则可以使用微软 Entra ID 或你的身份提供商来管理用户和群组。

**要编辑用户信息**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择一个用户，然后依次选择**操作**、**编辑用户**。

1. 根据需要，更新**名字**、**姓氏**和**电子邮件地址**。

1. 选择**更新**。

## 添加或删除用户
<a name="add-delete-user"></a>

您只能在启动的过程中从亚马逊 WorkSpaces 控制台创建用户 WorkSpace，并且不能通过亚马逊 WorkSpaces 控制台删除用户。大多数用户管理任务（包括管理用户组）都必须通过您的目录执行。

**添加或删除用户和组**  
要添加、删除或管理用户和组，您必须通过目录进行此操作。您将使用 WorkSpaces 目录管理工具（例如 Active Directory 管理工具）为目录执行大多数管理任务。有关更多信息，请参阅 [为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

**重要**  
必须先删除 WorkSpace 分配给该用户的用户，然后才能移除该用户。有关更多信息，请参阅 [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)。

用于管理用户和组的过程取决于您使用的目录类型。
+ 如果你使用的是AWS托管 Microsoft AD，请参阅《[管理*指南》中的 “在AWS托管 Microsoft AD 中AWS Directory Service管理*用户和群组](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html)”。
+ 如果您使用的是 Simple AD，请参阅《AWS Directory Service 管理指南》**中的[在 Simple AD 中管理用户和组](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html)。
+ 如果通过 AD Connector 或信任关系使用 Microsoft Active Directory，则可以使用 [Active Directory 模块](https://docs.microsoft.com/powershell/module/activedirectory/)来管理用户和组。

## 发送邀请电子邮件
<a name="send-invitation"></a>

您可以根据需要向用户手动发送邀请电子邮件。

**注意**  
如果使用的是 AD Connector 或受信任域，则不会自动向您的用户发送邀请电子邮件，因此您必须手动发送。如果用户已经位于 Active Directory 中，系统也不会自动发送邀请电子邮件。

**要重新发送邀请电子邮件**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 在该**WorkSpaces**页面上，使用搜索框搜索要向其发送邀请的用户，然后 WorkSpace 从搜索结果中选择相应的用户。 WorkSpace 一次只能选择一个。

1. 依次选择**操作**和**邀请用户**。

1. 在**邀请用户访问 WorkSpace页面上**，选择**发送邀请**。

# 在 WorkSpaces 个人版中为用户创建多个 WorkSpaces
<a name="create-multiple-workspaces-for-user"></a>

默认情况下，您只能为每个目录的每个用户创建一个 WorkSpace。但是，如果需要，您可以为一个用户创建多个 WorkSpace，具体取决于您的目录设置。
+ 如果您的 WorkSpaces 只有一个目录，请为该用户创建多个用户名。例如，名为 Mary Major 的用户可以将 mmajor1、mmajor2 等等作为用户名。每个用户名都与同一目录中的不同 WorkSpace 相关联，但是，只要所有 WorkSpaces 都是在同一 AWS 区域的同一个目录中创建的，这些 WorkSpaces 就具有相同的注册码。
+ 如果您的 WorkSpaces 有多个目录，请在单独的目录中为用户创建 WorkSpaces。您可以在目录中使用相同的用户名，也可以在目录中使用不同的用户名。WorkSpaces 将具有不同的注册代码。

**提示**  
为便于您轻松找到为用户创建的所有 WorkSpaces，请为每个 WorkSpace 使用相同的基本用户名。  
例如，如果您有一个名为 Mary Major 的用户，其 Active Directory 用户名为 mmajor，请使用诸如 mmajor、mmajor1、mmajor2、mmajor3 之类的用户名或其他变体（例如 mmajor\$1windows 或 mmajor\$1linux）为她创建 WorkSpaces。只要所有 WorkSpaces 都具有相同的起始基本用户名 (mmajor)，您就可以在 WorkSpaces 控制台中对用户名进行排序，将该用户的所有 WorkSpaces 分组在一起。

**重要**  
用户可以同时拥有 PCoIP 和 DCV WorkSpaces，前提是这两个 WorkSpaces 位于不同的目录中。同一个用户不能在同一个目录中同时拥有 PCoIP 和 DCV WorkSpace。
如果您要设置多个 WorkSpaces 以用于跨区域重定向，则必须在不同 AWS 区域的不同目录中设置 WorkSpaces，且必须在每个目录中使用相同的用户名。有关跨区域重定向的更多信息，请参阅 [个人版跨区域重定向 WorkSpaces](cross-region-redirection.md)。

要在 WorkSpaces 之间切换，用户可使用与特定 WorkSpace 关联的用户名和注册码登录。如果用户使用的是适用于 Windows、macOS 或 Linux 的 WorkSpaces 客户端应用程序 3.0\$1 版本，则用户可以在客户端应用程序中转到**设置**、**管理登录信息**来为 WorkSpaces 分配不同的名称。

# 自定义用户登录其 WorkSpaces 个人版中 WorkSpaces 的方式
<a name="customize-workspaces-user-login"></a>

自定义您的用户对 WorkSpace 的访问，方法为使用统一资源标识符 (URI) 提供与您组织内的现有工作流程集成的经简化的登录体验。例如，您可以使用 WorkSpace 注册代码自动生成为您的用户注册的登录 URI。因此：
+ 用户可以跳过手动注册过程。
+ 他们的用户名将自动在其 WorkSpaces 客户端登录页上输入。
+ 如果在您的组织中使用了多重身份验证 (MFA)，则用户的用户名和 MFA 代码将自动在其客户端登录页上输入。

URI 访问适用于基于区域的注册码（例如 `WSpdx+ABC12D`）和基于完全限定域名 (FQDN) 的注册码（例如 `desktop.example.com`）。有关创建和使用基于 FQDN 的注册码的更多信息，请参阅 [个人版跨区域重定向 WorkSpaces](cross-region-redirection.md)。

您可以在以下受支持的设备上为客户端应用程序配置对 WorkSpace 的 URI 访问：
+ Windows 计算机
+ macOS 计算机
+ Ubuntu Linux 18.04、20.04 和 22.04 计算机
+ iPad
+ Android 设备

要使用 URI 访问其 WorkSpaces，用户必须先打开 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/) 并按照说明操作，为设备安装客户端应用程序。

Windows 和 macOS 计算机上的 Firefox 和 Chrome 浏览器、Ubuntu Linux 18.04、20.04 和 22.04 计算机上的 Firefox 浏览器以及 Windows 计算机上的 Internet Explorer 和 Microsoft Edge 浏览器都支持 URI 访问。有关 WorkSpaces 客户端的更多信息，请参阅《Amazon WorkSpaces 用户指南》**中的 [WorkSpaces 客户端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)。

**注意**  
在安卓设备上，URI 访问仅适用于 Firefox 浏览器，而不适用于 Google Chrome 浏览器。

要配置对 WorkSpace 的 URI 访问，请使用下表中所述的任一 URI 格式。

**注意**  
如果您的 URI 的数据组件包含以下任一预留字符，建议您在数据组件中使用百分号编码以避免歧义：  
`@ : / ? & =`  
例如，如果您有包含其中任一字符的用户名，则应该对 URI 中的这些用户名进行百分号编码。有关更多信息，请参阅[统一资源标识符 (URI)：一般语法](https://www.rfc-editor.org/rfc/rfc3986.txt)。


| 支持的语法 | 描述 | 
| --- | --- | 
| workspaces:// | 打开 WorkSpace 客户端应用程序。（注意：Linux 客户端应用程序目前不支持使用 workspaces:// 本身。） | 
| workspaces://@registrationcode | 使用用户的 WorkSpace 注册代码注册用户。此外，显示客户端登录页。 | 
| workspaces://username@registrationcode | 使用用户的 WorkSpace 注册代码注册用户。此外，在客户端登录页上的用户名字段中自动输入用户名。 | 
| workspaces://username@registrationcode?MFACode=mfa | 使用用户的 WorkSpace 注册代码注册用户。此外，在客户端登录页上的用户名字段中自动输入用户名，在同一页上的 MFA 代码字段中自动输入多重身份验证 (MFA) 代码。 | 
| workspaces://@registrationcode?MFACode=mfa | 使用用户的 WorkSpace 注册代码注册用户。此外，在客户端登录页上的 MFA code (MFA 代码) 字段中自动输入多重验证 (MFA) 代码。 | 

**注意**  
如果用户在从 Windows 客户端连接到 WorkSpace 后打开了一个 URI 链接，新的 WorkSpace 会话将打开，其原始 WorkSpace 会话将保持打开状态。如果用户在从 macOS、iPad 或 Android 客户端连接到 WorkSpace 后打开了一个 URI 链接，则不会有新的 WorkSpace 会话打开；只有其原始 WorkSpace 会话会保持打开状态。

# 在 “ WorkSpaces 个人” 中为您的用户启用自助 WorkSpaces 管理功能
<a name="enable-user-self-service-workspace-management"></a>

在中 WorkSpaces，您可以为用户启用自助服务 WorkSpace 管理功能，让他们能够更好地控制自己的体验。这也可以减少 IT 支持人员的 WorkSpaces 工作负载。启用自助服务功能后，用户可以直接从其 WorkSpaces 客户端执行以下一项或多项任务：
+ 将其凭证缓存在其客户端上。这样，他们 WorkSpace 无需重新输入凭据即可重新连接到自己的账户。
+ 重启（重启）他们 WorkSpace的。
+ 在其上增加根卷和用户卷的大小 WorkSpace。
+ 更改它们的计算类型（捆绑包） WorkSpace。
+ 切换他们的运行模式 WorkSpace。
+ 重建他们 WorkSpace的。

**支持的客户端**
+ Android，在 Android 或与 Android 兼容的 Chrome 操作系统上运行
+ Linux
+ macOS
+ Windows

**为您的用户启用自助服务管理功能**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择要启用自助式管理功能的目录。

1. 向下滚动到“自助服务权限”，然后选择**编辑**。根据需要启用或禁用以下选项，以确定用户可以从其客户端执行的 WorkSpace 管理任务：
   + **记住我** - 用户可以通过选择登录屏幕上的**记住我**或**保持登录状态**复选框，选择是否在其客户端上缓存其凭证。这些凭证仅缓存到 RAM 中。当用户选择缓存其凭据时，他们 WorkSpaces 无需重新输入凭据即可重新连接到自己的凭据。要控制用户可以缓存其凭证的时长，请参阅 [设置 Kerberos 票证的最长使用期限](group_policy.md#gp_kerberos_ticket)。
   + ** WorkSpace 从客户端重新启动**-用户可以重新启动（重新启动）他们 WorkSpace的。重新启动会断开用户与他们的连接 WorkSpace，将其关闭，然后重新启动。用户数据、操作系统和系统设置不受影响。
   + **增加卷大小** — 用户无需联系 IT 支持人员即可将其根卷和用户卷扩展 WorkSpace 到指定大小。用户可以将根卷（对于 Windows，是 C: 驱动器；对于 Linux，/）的大小增加到 175 GB，将用户卷（对于 Windows，是 D: 驱动器；对于 Linux，/home）的大小增加到 100 GB。 WorkSpace root 和用户卷属于无法更改的设置组。可用组包括：[根 (GB)，用户 (GB)]: [80，10]、[80，50]、[80，100]、[175 至 2000，100 至 2000]。有关更多信息，请参阅 [在 “个 WorkSpaces 人 WorkSpace ” 中修改](modify-workspaces.md)。

     对于新创建的 WorkSpace，用户必须等待 6 小时才能增加这些驱动器的大小。之后，他们在 6 小时内只能执行此操作一次。在增加卷大小时，用户可以在其上执行大多数任务 WorkSpace。他们无法执行的任务是：更改 WorkSpace 计算类型、切换 WorkSpace 运行模式、重启或重建 WorkSpace计算类型。 WorkSpace该过程完成后， WorkSpace 必须重新启动才能使更改生效。此过程可能需要一个小时。
**注意**  
如果用户增加音量大小 WorkSpace，则会增加他们的账单费率 WorkSpace。
   + **更改计算类型**-用户可以在计算类型（捆绑包） WorkSpace 之间切换。对于新创建的捆绑包 WorkSpace，用户必须等待 6 小时才能切换到其他捆绑包。之后，他们在 6 小时内只能切换到较大的服务包一次，或在 30 天内只能切换到较小的服务包一次。当 WorkSpace 计算类型更改进行时，用户将与其断开连接 WorkSpace，他们无法使用或更改 WorkSpace。 WorkSpace 在计算类型更改过程中会自动重新启动。此过程可能需要一个小时。
**注意**  
如果用户更改其 WorkSpace 计算类型，则会更改其账单费率 WorkSpace。
   + **切换运行模式**-用户可以在**AlwaysOn**和**AutoStop**运行模式 WorkSpace 之间切换。有关更多信息，请参阅 [在 WorkSpaces 个人版中管理跑步模式](running-mode.md)。
**注意**  
如果用户切换其运行模式 WorkSpace，则会更改其账单费率 WorkSpace。
   + ** WorkSpace 从客户端重建**-用户可以将 a 的操作系统重建 WorkSpace 到其原始状态。重建 a WorkSpace 时，将根据最新的备份重新创建用户卷（D: 驱动器）。由于备份每 12 小时完成一次，因此，用户数据可能已存在多达 12 小时。对于新创建的 WorkSpace，用户必须等待 12 小时才能重建自己的 WorkSpace。 WorkSpace重建进行时，用户将与其断开连接 WorkSpace，并且他们无法使用或对其进行更改 WorkSpace。此过程可能需要一个小时。
   + **诊断日志上传**-用户可以直接将 WorkSpaces 客户端日志文件上传 WorkSpaces 到以解决问题，而无需中断客户端的 WorkSpaces 使用。如果您为用户启用诊断日志上传，或者让您的用户自己上传诊断日志，则日志文件 WorkSpaces 将自动发送到。您可以在 WorkSpaces 直播会话之前或期间启用诊断日志上传。

1. 选择**保存**。

# 在 WorkSpaces 个人版中为您的用户启用 Amazon Connect 音频优化
<a name="enable-amazon-connect-audio-optimization"></a>

在 WorkSpaces 管理控制台中，您可以为 WorkSpaces 队列启用 Amazon Connect 联系人控制面板 (CCP) 音频优化，以增强安全性并启用原生音质音频。启用 CCP 音频优化后，CCP 音频将由客户端端点处理，而 WorkSpaces 用户可以从其内部与 CCP 进行交互 WorkSpaces。

Amazon Connect 联系人控制面板 (CCP) 音频优化适用于：
+  WorkSpaces Windows 客户端。
+ 亚马逊 Linux 和 Windows WorkSpaces。
+ WorkSpaces 使用 PCo IP 或 DCV。

## 要求
<a name="amazon-connect-audio-optimization-requirements"></a>
+ 您必须使用 Amazon Connect 进行设置。
+ 您必须使用 Amazon Connect 流 API 创建一个不含呼叫信令的媒体 CCP，从而构建自定义 CCP。这样，会在本地桌面上使用标准 CCP 处理媒体，并使用不含媒体的 CCP 通过远程连接处理信号发送和呼叫控制。有关 Amazon Connect 流媒体 API 的更多信息，请访问 GitHub 存储库，网址为[https://github.com/aws/amazon-connect-streams](https://github.com/aws/amazon-connect-streams)。您构建的自定义 CCP 是您的 Amazon Connect 代理将在其内部使用的 CCP WorkSpaces。
+ 您必须在 Amazon WorkSpaces Connect 支持的客户端终端节点上安装网络浏览器。要查看支持的浏览器列表，请参阅 [Amazon Connect 支持的浏览器](https://docs.aws.amazon.com/connect/latest/adminguide/browsers.html)。
**注意**  
如果您的用户使用不受支持的浏览器，则当他们尝试登录 CCP 时，系统会要求他们下载支持的浏览器。

## 启用 Amazon Connect 音频优化
<a name="enable-audio-optimization"></a>

为用户启用 Amazon Connect 音频优化：

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Amazon Connect 音频优化**。
**注意**  
在使用 Amazon Connect 进行配置之前，选择**更新**，以保存之前在管理控制台中进行的所有未保存的更改。

1. 选择**配置 Amazon Connect**。

1. 输入 Amazon Connect 联系人控制面板 (CCP) 名称。
**注意**  
用户插件菜单中将使用您为 CCP 提供的名称。选择一个对您的用户有意义的名称。

1. 输入 Amazon Connect 生成的 Amazon Connect 联系人控制面板 URL。有关获取 URL 的更多信息，请参阅[提供对联系人控制面板的访问权限](https://docs.aws.amazon.com/connect/latest/adminguide/amazon-connect-contact-control-panel.html)。

1. 选择**创建 Amazon Connect**。

## 更新目录的 Amazon Connect 音频优化详细信息
<a name="update-audio-optimization"></a>

更新目录的 Amazon Connect 音频优化详细信息：

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Amazon Connect 音频优化**。
**注意**  
在使用 Amazon Connect 进行配置之前，选择**更新**，以保存之前在管理控制台中进行的所有未保存的更改。

1. 选择**配置 Amazon Connect**。

1. 选择**编辑**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 更新 Amazon Connect 联系人控制面板的名称和 URL。

1. 选择**保存**。

## 删除目录的 Amazon Connect 音频优化
<a name="delete-audio-optimization"></a>

删除目录的 Amazon Connect 音频优化：

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Amazon Connect 音频优化**。
**注意**  
在使用 Amazon Connect 进行配置之前，选择**更新**，以保存之前在管理控制台中进行的所有未保存的更改。

1. 选择**配置 Amazon Connect**。

1. 选择**删除 Amazon Connect**。

有关更多信息，请参阅[代理培训指南](https://docs.aws.amazon.com/connect/latest/adminguide/agent-user-guide.html)。

# 在 WorkSpaces 个人版中启用诊断日志上传
<a name="enable-diagnostic-log-uploads"></a>

要排查 WorkSpaces 客户端问题，请启用自动诊断日志上传功能。目前，Windows、macOS、Linux 和 Web Access 客户端支持此项功能。

**注意**  
WorkSpaces 客户端诊断日志上传功能目前在 AWS GovCloud（美国西部）区域不提供。

## 诊断日志上传
<a name="diagnostic-log-uploads"></a>

借助诊断日志上传功能，您可以在不中断 WorkSpaces 客户端使用的情况下，直接将 WorkSpaces 客户端日志文件上传到 WorkSpaces 以排查相关问题。如果您为用户启用诊断日志上传，或者让您的用户自行启用该功能，则日志文件将自动发送到 WorkSpaces。您可以在 WorkSpaces 流式传输会话之前或期间启用诊断日志上传。

要从托管设备自动上传诊断日志，请安装支持诊断上传的 WorkSpaces 客户端。默认情况下，日志上传处于启用状态。您可以通过以下任一方式修改设置：

### 选项 1：使用 AWS 控制台
<a name="diagnostic-log-console"></a>

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择要启用诊断日志的目录名称。

1. 向下滚动到**自助服务权限**。

1. 选择**查看详细信息**

1. 选择**编辑**。

1. 选择**诊断日志上传**。

1. 选择**保存**。

### 选项 2：使用 API 调用
<a name="diagnostic-log-api"></a>

您可以编辑目录设置以启用或禁用 WorkSpaces Windows、macOS 和 Linux 客户端，以便使用 API 调用自动上传诊断日志。如果启用，则当客户端出现问题时，日志将发送到 WorkSpaces，而无需用户交互。有关更多信息，请参阅 [WorkSpaces API 参考](https://docs.aws.amazon.com/workspaces/latest/api/API_ClientProperties.html)。

您也可以让用户选择是否在安装客户端后启用自动诊断日志上传。有关更多信息，请参阅 [WorkSpaces Windows 客户端应用程序](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html)、[WorkSpaces macOS 客户端应用程序](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html)以及 [WorkSpaces Linux 客户端应用程序](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html)。

**注意**  
诊断日志不包含敏感信息。您可以在目录级别为用户禁用自动诊断日志上传，或者允许您的用户自行禁用这些功能。
要访问诊断日志上传功能，您需要安装以下版本的 WorkSpaces 客户端：  
Windows 客户端 5.4.0 或更高版本
macOS 客户端 5.8.0 或更高版本
Ubuntu 22.04 客户端 2023.1
Ubuntu 20.04 客户端 2023.1
也可以使用 Web Access 客户端访问诊断日志上传功能

# 管理 WorkSpaces 个人版
<a name="administer-workspaces"></a>

您可以使用 WorkSpaces 控制台管理您的 WorkSpaces。

要执行目录管理任务，请参见[为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

**注意**  
确保在 WorkSpaces 上更新网络依赖驱动程序，例如 ENA、NVMe 和 PV 驱动程序。您应该至少每 6 个月更新一次。有关更多信息，请参阅[安装或升级弹性网络适配器（ENA）驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[Windows 实例的 AWS NVMe 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)以及[升级 Windows 实例上的 PV 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
确保定期将 EC2Config、EC2Launch 和 EC2Launch V2 代理更新到最新版本。您应该至少每 6 个月更新一次。有关更多信息，请参阅[更新 EC2Config 和 EC2Launch](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。

**Topics**
+ [WorkSpaces 在 WorkSpaces 个人版中管理你的 Windows](group_policy.md)
+ [WorkSpaces 在 WorkSpaces 个人版中管理你的 Amazon Linux 2](manage_linux_workspace.md)
+ [以个人模式管理你的 Ubuntu WorkSpaces WorkSpaces](manage_ubuntu_workspace.md)
+ [管理你的洛基 Linux WorkSpaces](manage_rockylinux_workspace.md)
+ [管理你的红帽企业 Linux WorkSpaces](manage_rhel_workspace.md)
+ [针对 WorkSpaces 个人 WorkSpaces 版中的实时通信进行优化](communication-optimization.md)
+ [在 WorkSpaces 个人版中管理跑步模式](running-mode.md)
+ [在 “ WorkSpaces 个人” 模式下管理应用程序](manage-applications.md)
+ [在 “个 WorkSpaces 人 WorkSpace ” 中修改](modify-workspaces.md)
+ [在 “ WorkSpaces 个人” 中自定义品牌](customize-branding.md)
+ [在 “ WorkSpaces 个人” 中标记资源](tag-workspaces-resources.md)
+ [WorkSpaces 个人版的维护](workspace-maintenance.md)
+ [WorkSpaces 以 WorkSpaces 个人身份加密](encrypt-workspaces.md)
+ [重启 WorkSpaces 个人版中的 WorkSpace](reboot-workspaces.md)
+ [重建 WorkSpaces 个人版中的 WorkSpace](rebuild-workspace.md)
+ [还原 WorkSpaces 个人版中的 WorkSpace](restore-workspace.md)
+ [微软 365 个人版自带许可证 (BYOL) WorkSpaces](byol-microsoft365-licenses.md)
+ [WorkSpaces 在 WorkSpaces 个人版中升级 Windows BYOL](upgrade-windows-10-byol-workspaces.md)
+ [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)
+ [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)

# WorkSpaces 在 WorkSpaces 个人版中管理你的 Windows
<a name="group_policy"></a>

你可以使用组策略对象 (GPOs) 来应用设置来管理 Windows WorkSpaces 或属于你的 Windows WorkSpaces 目录的用户。

**注意**  
如果你使用 Microsoft Entra ID 或自定义 WorkSpaces 目录，则可以使用微软 Entra ID 或你的身份提供商来管理用户和群组。有关更多信息，请参阅[使用个人版创建专用的 Microsoft Entra ID 目录 WorkSpaces](launch-entra-id.md)。
Linux 实例不遵循组策略。有关管理亚马逊 Linux 的信息 WorkSpaces，请参阅[WorkSpaces 在 WorkSpaces 个人版中管理你的 Amazon Linux 2](manage_linux_workspace.md)。

Amazon 建议您为 WorkSpaces 计算机对象创建一个组织单位，为 WorkSpaces 用户对象创建一个组织单元。

要使用特定于 Amazon 的组策略设置 WorkSpaces，您必须为您正在使用的协议（ PCoIP 或 DCV）安装组策略管理模板。

**警告**  
组策略设置可能会影响 WorkSpace 用户体验，如下所示：  
**实现交互式登录消息以显示登录横幅可防止用户访问他们的。 WorkSpaces** PCoIP WorkSpaces 当前不支持交互式登录消息组策略设置。DCV 支持登录消息 WorkSpaces，用户在接受登录横幅后必须重新登录。启用“基于证书的登录”时，不支持登录消息。
**通过组策略设置禁用可移动存储会导致登录失败**，从而导致用户登录到无权访问驱动器 D 的临时用户配置文件。
**通过组策略设置将用户从远程桌面用户本地组中移除会阻止这些用户通过 WorkSpaces 客户端应用程序进行身份验证**。有关此组策略设置的更多信息，请参阅 Microsoft 文档中的[允许通过远程桌面服务登录](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services)。
**如果您从 “**允许本地登录**” 安全策略中移除内置 WorkSpaces 用户组，则您 PCo的 IP 用户将无法 WorkSpaces 通过 WorkSpaces 客户端应用程序连接到他们。**您 PCo的 IP WorkSpaces 也不会收到 PCo IP 代理软件的更新。 PCoIP 代理更新可能包含安全修复和其他修复程序，或者它们可能会为您启用新功能 WorkSpaces。有关使用此安全策略的更多信息，请参阅 Microsoft 文档中的[允许本地登录](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)。
组策略设置可用于限制驱动器访问。**如果将组策略设置配置为限制对驱动器 C 或驱动器 D 的访问，则用户无法访问他们的 WorkSpaces。**要防止此问题发生，请确保您的用户可以访问驱动器 C 和驱动器 D。
** WorkSpaces 音频输入功能需要内部的本地登录访问权限。 WorkSpace**默认情况下，Windows WorkSpaces 的音频输入功能处于启用状态。但是，如果您的组策略设置限制了用户的本地登录 WorkSpaces，则音频输入将无法在您的上运行。 WorkSpaces如果删除该组策略设置，则下次重新启动后将启用音频输入功能。 WorkSpace有关此组策略设置的更多信息，请参阅 Microsoft 文档中的[允许本地登录](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)。  
有关启用或禁用音频输入重定向的更多信息，请参阅[为 IP 配置音频输入重定向 PCo](#gp_audio)或[为 DCV 配置音频输入重定向](#gp_audio_in_wsp)。
使用组策略将 Windows 电源计划设置为 “**平衡**” 或 “**省电模式**”，可能会 WorkSpaces 导致您在它们处于闲置状态时进入睡眠状态。我们强烈建议使用组策略将 Windows 电源计划设置为**高性能**。有关更多信息，请参阅 [我的 Windows 闲置时会 WorkSpace 进入睡眠状态](amazon-workspaces-troubleshooting.md#windows_workspace_sleeps_when_idle)。
某些组策略设置会在用户从会话断开连接时迫使其注销。用户在其上打开的所有应用程序 WorkSpaces 都将关闭。
DCV WorkSpaces 目前不支持 “为处于活动状态但处于空闲状态的远程桌面服务会话设置时间限制”。避免在 DCV 会话期间使用它，因为即使有活动且会话未处于闲置状态，也会导致断开连接。

有关使用 Active Directory 管理工具进行操作的信息 GPOs，请参阅[为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

**Contents**
+ [为 DCV 安装组策略管理模板文件](#gp_install_template_wsp)
+ [管理 DCV 的组策略设置](#gp_configurations_dcv)
+ [安装 PCo IP 的组策略管理模板](#gp_install_template)
+ [管理 PCo IP 的组策略设置](#gp_configurations_pcoip)
+ [设置 Kerberos 票证的最长使用期限](#gp_kerberos_ticket)
+ [配置用于互联网访问的设备代理服务器设置](#gp_device_proxy)
  + [代理桌面流量](#w2aac11c29c11c27c15)
  + [关于使用代理服务器的建议](#w2aac11c29c11c27c17)
+ [启用 Zoom Meeting Media Plugin 支持](#zoom-integration)
  + [为 DCV 启用 Zoom Meeting Media Plugin](#zoom-wsp)
    + [先决条件](#zoom-integ-prerequisites-wsp)
    + [开始前的准备工作](#zoom-begin-wsp)
    + [安装 Zoom 组件](#installing-zoom-wsp)
  + [启用适用于 PCo IP 的 Zoom 会议媒体插件](#zoom-pcoip)
    + [先决条件](#zoom-integ-prerequisites-pcoip)
    + [在 Windows WorkSpaces 主机上创建注册表项](#zoom-integ-create-registry-key)
    + [问题排查](#zoom-integ-troubleshoot)

## 为 DCV 安装组策略管理模板文件
<a name="gp_install_template_wsp"></a>

要使用使用 DCV WorkSpaces 时特有的组策略设置，必须将 DCV 的组策略管理模板`wsp.admx`和`wsp.adml`文件添加到目录的域控制器的 WorkSpaces 中央存储区。有关 `.admx` 和 `.adml` 文件的更多信息，请参阅[如何在 Windows 中创建和管理组策略管理模板的中央存储](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)。

以下过程介绍了如何创建中央存储并向其中添加管理模板文件。在目录管理 WorkSpace 或加入目录的 Amazon EC2 实例上执行以下步骤。 WorkSpaces

**为 DCV 安装组策略管理模板文件**

1. 在正在运行的 Windows WorkSpace 中，复制`C:\Program Files\Amazon\WSP`目录中的`wsp.admx`和`wsp.adml`文件。

1. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上，打开 Windows 文件资源管理器，然后在地址栏中输入贵组织的完全限定域名 (FQDN)，例如`\\example.com`。

1. 打开 `sysvol` 文件夹。

1. 打开带有 `FQDN` 名称的文件夹。

1. 打开 `Policies` 文件夹。您现在应该位于 `\\FQDN\sysvol\FQDN\Policies` 中。

1. 如果该文件尚不存在，请创建一个名为 `PolicyDefinitions` 的文件夹。

1. 打开 `PolicyDefinitions` 文件夹。

1. 将 `wsp.admx` 文件复制到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions` 文件夹中。

1. 在 `PolicyDefinitions` 文件夹中创建名为 `en-US` 的文件夹。

1. 打开 `en-US` 文件夹。

1. 将 `wsp.adml` 文件复制到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US` 文件夹中。<a name="verify-admin-template"></a>

**验证管理模板文件是否已正确安装**

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)。

1. 扩大森林（**森林:*FQDN***）。

1. 展开**域**。

1. 展开您的 FQDN（例如，`example.com`）。

1. 展开**组策略对象**。

1. 选择**默认域策略**，打开上下文（右键单击）菜单，然后选择**编辑**。
**注意**  
如果支持的域 WorkSpaces 是 AWS Managed Microsoft AD 目录，则无法使用默认域策略来创建 GPO。相反，您必须在具有委派权限的域容器下创建和链接 GPO。  
使用创建目录时 AWS Managed Microsoft AD， Directory Service 会在域根目录下创建一个*yourdomainname*组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称，则此名称将默认为您目录 DNS 名称的第一部分（例如，如果目录 DNS 名称为 `corp.example.com`，则 NetBIOS 名称将为 `corp`）。  
要创建您的 GPO，请不要选择**默认域策略**，而是选择 O *yourdomainname* U（或该组织下的任何 OU），打开上下文（右键单击）菜单，然后选择在此**域中创建 GPO，然后将其链接到此**处。  
有关 *yourdomainname* OU 的更多信息，请参阅《*AWS Directory Service 管理指南》*中的[创建内容](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)。

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **DCV**。

1. 现在，您可以使用此 **DCV** 组策略对象来修改使用 DCV WorkSpaces 时特有的组策略设置。

## 管理 DCV 的组策略设置
<a name="gp_configurations_dcv"></a>

**使用组策略设置来管理使用 DCV WorkSpaces 的 Windows**

1. 确保在 WorkSpaces目录的域控制器的中央存储[区中安装了最新的 DCV WorkSpaces 组策略管理模板](#gp_install_template_wsp)。

1. 验证管理模板文件是否已正确安装。有关更多信息，请参阅 [验证管理模板文件是否已正确安装](#verify-admin-template)。

### 配置对 DCV 的打印机支持
<a name="gp_local_printers_wsp"></a>

默认情况下， WorkSpaces 启用基本远程打印，它提供的打印功能有限，因为它在主机端使用通用打印机驱动程序来确保打印兼容。

连接到 Windows 的 Windows 客户端的高级远程打印 WorkSpaces允许您使用打印机的特定功能，例如双面打印，但需要在主机端和客户端安装匹配的打印机驱动程序。

您可以根据需要使用组策略设置来配置打印机支持。


**基本打印与高级打印**  

| 方面 | 基础打印 | 高级打印 | 
| --- | --- | --- | 
| 已使用的驱动程序 | 通用 XPS 驱动程序 | 打印机专用驱动程序 | 
| 驱动程序安装 | 自动 | 手册（主机和客户端） | 
| 功能 | 仅限标准打印 | 完整的打印机功能（双面打印、纸盒选择、表面处理等） | 

**何时使用高级打印：**-双面（双面）打印-特定纸盒选择-精加工选项（装订、打孔）-标签打印（例如 Zebra 打印机）-色彩管理以及打印机的其他高级功能。

#### 配置打印机 Support
<a name="w2aac11c29c11c19b5b1c13"></a>

**配置打印机支持**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置远程打印**设置。

1. 在 **Configure remote printing (配置远程打印)** 对话框中，执行下列操作之一：
   + **对于基本打印：**选择**启用**。要自动使用客户端计算机当前的默认打印机，请选择 “将**本地默认打印机映射到远程主机”。**
   + **对于高级打印：**选择 “**启用**”，然后选择 “**启用高级打印**”。要自动使用客户端计算机当前的默认打印机，请选择 “将**本地默认打印机映射到远程主**机”。启用该策略后，您需要在主机和客户端安装匹配的打印机驱动程序。
   + 要禁用打印，请选择**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

#### 配置高级打印机重定向
<a name="w2aac11c29c11c19b5b1c17"></a>

**先决条件**

1. **WorkSpaces 主机代理：**版本 2.2.0.2116 或更高版本

1. **Windows 客户端：**版本 5.31.0 或更高版本

1. **打印机驱动程序：**必须在 WorkSpace 和客户端设备上都安装匹配的打印机驱动程序

**注意**  
只有连接到 Windows 的 Windows 客户端才支持高级打印 WorkSpaces。macOS、Linux 和 Web 客户端将使用基本打印。

#### 驱动程序版本匹配
<a name="w2aac11c29c11c19b5b1c23"></a>

选择 “高级打印” 后，将支持三种驱动程序验证模式：


**驱动程序验证模式**  

| Mode | 行为 | 何时使用 | 
| --- | --- | --- | 
| 仅限姓名（默认） | 仅匹配驱动程序名称，忽略版本 | 需要最大兼容性 | 
| 部分匹配 | 匹配 Major.Minor 版本（例如 10.6.x.x） | 平衡兼容性和功能 | 
| 精确匹配 | 需要精确的版本匹配 | 专用打印机（例如 Zebra 标签打印机） | 

**要配置验证模式**，请在 GPO 的打印机驱动程序验证下拉列表中设置仅名称、部分匹配或完全匹配。

**注意**  
当驱动程序验证失败时， WorkSpaces 会自动回退到基本打印。

**验证配置**

1. Connect 到 WorkSpace.

1. 打开 **“设置” > “****设备**” > “**打印机和扫描仪**”。

1. 验证您的本地打印机是否显示有 “已重定向” 前缀。

1. 打印测试文档并单击 “打印机属性” 以验证高级选项是否可用。

#### 问题排查
<a name="w2aac11c29c11c19b5b1c27"></a>

**高级功能不可用**：-验证是否在 GPO 中选择了 “启用高级打印”-根据您的验证模式检查驱动程序版本是否匹配-考虑使用部分验证模式而不是精确验证模式。确保重新启动以使 GPO 上的任何更改生效。

**打印机未出现**：-验证是否**已启用 **“配置远程打印**”**-确保打印机已连接到客户端设备-重新启动 WorkSpace 会话

**打印作业失败**：-检查客户端上的驱动程序版本和 WorkSpace -查看日志，网址为：**C:\$1ProgramData\$1Amazon\$1WSP\$1Logs\$1agentsession.log**-在日志中查找 “已启用高级打印”

**启用详细日志：在 “组策略” 中，在 “**计算机配置” > “**策略**” > “**管理模板**” > “A **ma** zon > WSP” 下将配置**日志详细程度设置为调试。**

### 为 DCV 配置剪贴板重定向（复制/粘贴）
<a name="gp_clipboard_wsp"></a>

默认情况下， WorkSpaces 支持双向（复制/粘贴）剪贴板重定向。对于 Windows WorkSpaces，您可以使用组策略设置来禁用此功能或配置允许剪贴板重定向的方向。

**为 Windows 配置剪贴板重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开 **Configure clipboard redirection** 设置。

1. 在**配置剪贴板重定向**对话框中，选择**启用**或**禁用**。

   **启用****配置剪贴板重定向**后，以下**剪贴板重定向选项**将变为可用：
   + 选择**复制并粘贴**，以允许双向剪贴板复制和粘贴重定向。
   + 选择**仅复制**，以仅允许将数据从服务器剪贴板复制到客户端剪贴板。
   + 选择**仅粘贴**，以仅允许将数据从客户端剪贴板粘贴到服务器剪贴板。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

**已知限制**  
启用剪贴板重定向后 WorkSpace，如果您从 Microsoft Office 应用程序中复制大于 890 KB 的内容，则该应用程序可能会变慢或在长达 5 秒钟内没有响应。

### 为 DCV 设置会话恢复超时
<a name="gp_auto_resume_wsp"></a>

网络连接中断时，您的活动 WorkSpaces 客户端会话将断开。 WorkSpaces 如果网络连接在一定时间内恢复，则适用于 Windows 和 macOS 的客户端应用程序会尝试自动重新连接会话。默认的会话恢复超时时间为 20 分钟（1200 秒），但您可以修改该值 WorkSpaces ，因为该值由您的域的组策略设置控制。

**要设置自动会话恢复超时值**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用自动重新连接**设置。

1. 在**启用/禁用自动重新连接**对话框中，选择**启用**，然后将**重新连接超时（秒）**设置为所需的超时时间（以秒为单位）

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置视频输入重定向
<a name="gp_video_in_wsp"></a>

默认情况下， WorkSpaces 支持从本地摄像机重定向数据。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**为 Windows 配置视频输入重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用视频输入重定向**设置。

1. 在**启用/禁用视频输入重定向**对话框中，选择**启用**或**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置音频输入重定向
<a name="gp_audio_in_wsp"></a>

默认情况下， WorkSpaces 支持从本地麦克风重定向数据。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**为 Windows 配置音频输入重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用音频输入重定向**设置。

1. 在**启用/禁用音频输入重定向**对话框中，选择**启用**或**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置音频输出重定向
<a name="gp_audio_out_wsp"></a>

默认情况下， WorkSpaces 会将数据重定向到本地发言人。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**为 Windows 配置音频输出重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用音频输出重定向**设置。

1. 在**启用/禁用音频输出重定向**对话框中，选择**启用**或**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作** > **重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 禁用 DCV 的时区重定向
<a name="gp_time_zone_wsp"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种。例如：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 经常出差的用户希望将自己留 WorkSpaces 在一个时区，以保持一致性和个人喜好。

如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**禁用 Windows 的时区重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用时区重定向**设置。

1. 在**启用/禁用时区重定向**对话框中，选择**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

1. 将的时区设置 WorkSpaces 为所需的时区。

的时区现在 WorkSpaces 是静态的，不再反映客户端计算机的时区。

### 配置 DCV 安全设置
<a name="wsp_security"></a>

对于 DCV，传输中数据使用 TLS 1.2 加密技术进行加密。默认情况下，允许使用以下所有密码进行加密，客户端和服务器协商使用哪种密码：
+ ECDHE-RSA--GCM-AES128 SHA256
+ ECDHE-ECDSA--GCM-AES128 SHA256
+ ECDHE-RSA--GCM-AES256 SHA384
+ ECDHE-ECDSA--GCM-AES256 SHA384
+ ECDHE-RSA--AES128 SHA256
+ ECDHE-RSA--AES256 SHA384

对于 Windows WorkSpaces，您可以使用组策略设置来修改 TLS 安全模式以及添加新密码套件或阻止某些密码套件。**配置安全设置组策略**对话框中提供了这些设置和支持的密码套件的详细说明。

**配置 DCV 安全设置**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置安全设置**。

1. 在**配置安全设置**对话框中，选择**启用**。添加要允许的密码套件，并删除要屏蔽的密码套件。有关这些设置的更多信息，请参阅**配置安全设置**对话框中提供的说明。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后以及您重新启动 WorkSpace会话之后生效。 WorkSpace要应用组策略更改，请执行下列操作之一：
   + 要重启 WorkSpace，请在 Amazon WorkSpaces 控制台中选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置扩展
<a name="extensions"></a>

默认情况下，对 WorkSpaces 扩展的支持处于禁用状态。如果需要，您可以通过以下方式 WorkSpace 将您的配置为使用扩展程序：
+ 服务器和客户端 - 为服务器和客户端启用扩展
+ 仅限服务器 - 仅为服务器启用扩展
+ 仅限客户端 - 仅为客户端启用扩展

对于 Windows WorkSpaces，您可以使用组策略设置来配置扩展程序的使用。

**为 DCV 配置扩展**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置扩展**设置。

1. 在**配置扩展**对话框中，选择**启用**，然后设置所需的支持选项。选择**仅限客户端**、**服务器和客户端**或**仅限服务器**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置智能卡重定向
<a name="gp_smart_cards_in_wsp"></a>

默认情况下，Amazon WorkSpaces 不支持使用智能卡进行*会话前身份验证或会话*中*身份验证*。会话前身份验证是指在用户登录时执行的智能卡身份验证。 WorkSpaces会话中身份验证是指登录后执行的身份验证。

如果需要，您可以使用组策略设置为 Windows WorkSpaces 启用会话前和会话中身份验证。还必须使用 **EnableClientAuthentication** API 操作或**enable-client-authentication** AWS CLI 命令通过 AD Connector 目录设置启用会话前身份验证。有关更多信息，请参阅《AWS Directory Service 管理指南》**中的[为 AD Connector 启用智能卡身份验证](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)。

**注意**  
要在 Windows 中使用智能卡 WorkSpaces，需要执行其他步骤。有关更多信息，请参阅 [在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)。

**为 Windows 配置智能卡重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用智能卡重定向**设置。

1. 在**启用/禁用智能卡重定向**对话框中，选择**启用**或**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace话重新启动后生效。要应用组策略更改，请重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。

### WebAuthn (FIDO2) DCV 的重定向
<a name="gp_webauthn_fido2_in_wsp"></a>

默认情况下，Amazon WorkSpaces 启用 WebAuthn 重定向，允许用户使用其本地 FIDO2兼容的安全密钥和生物识别身份验证器来运行在其中的应用程序。 WorkSpace此功能可安全地将身份验证请求从中的应用程序重定向 WorkSpace 到用户的本地设备，从而可以无缝访问身份验证方法，包括 Yubikeys 和 Windows Hello。

Amazon WorkSpaces 支持两个版本的 WebAuthn 重定向：
+ **标准 WebAuthn**-对于基于浏览器的应用程序，需要浏览器扩展程序（在 Windows 和 Linux WorkSpaces 上均受支持）
+ **增强 WebAuthn**-无需浏览器扩展，具有额外的本机应用程序支持， WorkSpaces 仅在 Windows 上支持

#### 标准 WebAuthn 重定向
<a name="w2aac11c29c11c19b5c21b9"></a>

标准 WebAuthn 重定向需要浏览器扩展程序，以便于将 WebAuthn 提示重定向到客户端设备。

##### 版本要求
<a name="w2aac11c29c11c19b5c21b9b5"></a>
+ **Windows WorkSpaces**：DCV 主机代理版本 2.0.0.1425 或更高版本
+ **客户端版本：**
  + Windows 客户端：5.19.0 或更高版本
  + Mac 客户端：5.19.0 或更高版本
  + Linux 客户端：2024.0 或更高版本

##### 上支持的浏览器 WorkSpaces
<a name="w2aac11c29c11c19b5c21b9b7"></a>
+ Google Chrome 116\$1
+ Microsoft Edge 116\$1

#### 增强的 WebAuthn 重定向
<a name="w2aac11c29c11c19b5c21c11"></a>

增强的 WebAuthn 重定向功能消除了对浏览器扩展的需求，并支持在支持 WebAuthn 身份验证的本机 Windows 应用程序中 WebAuthn 进行身份验证。

##### 版本要求
<a name="w2aac11c29c11c19b5c21c11b5"></a>
+ **Windows WorkSpaces**：DCV 主机代理版本 2.1.0.2000 或更高版本
+ **客户端版本：**
  + Windows 客户端：5.29.0 或更高版本
  + Mac 客户端：5.29.0 或更高版本

##### 主要优势
<a name="w2aac11c29c11c19b5c21c11b7"></a>
+ 无需浏览器扩展程序
+ 提高性能
+ 支持原 WebAuthn 生 Windows 应用程序
+ 跨浏览器和桌面应用程序的无缝身份验证体验

##### 上支持的浏览器 WorkSpaces
<a name="w2aac11c29c11c19b5c21c11b9"></a>
+ Google Chrome 116\$1
+ Microsoft Edge 116\$1

#### 配置 WebAuthn 重定向
<a name="w2aac11c29c11c19b5c21c13"></a>

**为 Windows 配置 WebAuthn 重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **DCV**。

1. 打开 “**配置 WebAuthn 重定向**” 设置。

1. 在 “**配置 WebAuthn 重定向**” 对话框中，选择 “**启用**” 或 “**禁**用”。

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改，请转至 Amazon WorkSpaces 控制台并选择，重新启动 WorkSpace。 WorkSpace 然后，选择**操作**，**重新启动 WorkSpaces**。

**注意**  
此组策略设置启用 WebAuthn 重定向。使用的版本（标准版或增强版）取决于您的主机代理版本和操作系统支持。

#### 配置 WebAuthn 进程兼容性
<a name="w2aac11c29c11c19b5c21c15"></a>

启用 WebAuthn 重定向后，您可以通过进程**兼容性列表配置允许哪些应用程序和WebAuthn 进程**使用 WebAuthn 重定向。

##### 默认进程兼容性列表
<a name="w2aac11c29c11c19b5c21c15b5"></a>

默认情况下，以下进程已启用 WebAuthn 重定向：

```
['chrome.exe','msedge.exe','island.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe']
```

##### 标准版所需的流程 WebAuthn
<a name="w2aac11c29c11c19b5c21c15b7"></a>
+ `dcvwebauthnnativemsghost.exe`-此过程是标准版 WebAuthn 功能**所必需**的，使用标准版时必须保留在兼容性列表中 WebAuthn。

**配置 WebAuthn 进程兼容性列表**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **DCV**。

1. 打开 “**配置 WebAuthn 重定向**” 设置。

1. 选择 **Enabled (已启用)**。

1. 在**WebAuthn 进程兼容性列表字段中**，指定与 WebAuthn 重定向兼容的进程名称列表。
   + 使用默认列表作为起点
   + 根据需要为您的环境添加其他进程名称

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。

##### 进程兼容性列表指南
<a name="w2aac11c29c11c19b5c21c15c11"></a>
+ **对于标准版 WebAuthn**：请务必包含`dcvwebauthnnativemsghost.exe`在列表中
+ **自定义应用程序**：添加您的环境中需要 WebAuthn 支持的任何其他`.exe`进程名称
+ **格式**：使用逗号分隔的进程名称，用方括号括起来，每个进程名称用单引号引起来

##### 自定义进程列表示例
<a name="w2aac11c29c11c19b5c21c15c11b5"></a>

```
['chrome.exe','msedge.exe','firefox.exe','dcvwebauthnnativemsghost.exe','msedgewebview2.exe','Microsoft.AAD.BrokerPlugin.exe','myapp.exe','customapplication.exe']
```

#### 从标准版过渡到增强版 WebAuthn
<a name="w2aac11c29c11c19b5c21c17"></a>

从标准版升级 WebAuthn 到增强版时 WebAuthn，**用户需要先卸载或禁用之前为标准版安装的 Amazon DCV WebAuthn 重定向浏览器扩展程序**， WebAuthn 然后才能使用增强版。 WebAuthn

##### 为什么这一步很重要？
<a name="w2aac11c29c11c19b5c21c17b5"></a>
+ 增强版无需浏览器扩展程序即可原生 WebAuthn 处理重定向
+ 启用扩展程序将默认为标准 WebAuthn 重定向

#### 安装 Amazon DCV WebAuthn 重定向扩展（仅限标准 WebAuthn 版）
<a name="installing_webauthn"></a>

**注意**  
本节仅适用于标准版 WebAuthn。增强版 WebAuthn 不需要浏览器扩展。

启用 Amazon DCV WebAuthn 重定向扩展 WebAuthn 后，用户需要安装 Amazon DCV 重定向扩展才能使用该功能，方法是执行以下任一操作：
+ 系统将提示用户在其浏览器中启用浏览器扩展。
**注意**  
 这是一次性浏览器提示。当您将 DCV 代理版本更新为 2.0.0.1425 或更高版本时，您的用户将收到通知。如果您的最终用户不需要 WebAuthn 重定向，他们只需从浏览器中删除扩展程序即可。您也可以使用 GPO 策略阻止 WebAuthn 重定向扩展安装提示。
+ 您可以使用 GPO 策略为用户强制安装重定向扩展程序。如果您启用了 GPO 策略，则当您的用户启动支持的浏览器并访问 Internet 时，扩展将自动安装。
+ 用户可以使用 [Microsoft Edge 加载项](https://microsoftedge.microsoft.com/addons/detail/dcv-webauthn-redirection-/ihejeaahjpbegmaaegiikmlphghlfmeh)或 [Chrome 网上商店](https://chromewebstore.google.com/detail/dcv-webauthn-redirection/mmiioagbgnbojdbcjoddlefhmcocfpmn?pli=1)，手动安装扩展。

##### 了解 WebAuthn 重定向扩展原生消息
<a name="installing_webauthn-understand"></a>

WebAuthn Chrome 和 Edge 浏览器中的重定向使用浏览器扩展程序和本机消息传递主机。原生消息传递主机是一个用于实现扩展程序与主机应用程序之间通信的组件。在典型配置中，浏览器默认允许所有原生消息传递主机。但是，您可以选择使用原生消息传递阻止列表，其中 \$1 的值表示除非明确允许，否则所有原生消息传递主机都将被拒绝。在这种情况下，您需要通过在允许列表中明确指定值`com.dcv.webauthnredirection.nativemessagehost`来启用 Amazon DCV WebAuthn 重定向原生消息主机。

有关更多信息，请按照您的浏览器适用的指南进行操作：
+ 对于 Google Chrome，请参阅 [Native Messaging allowed hosts](https://support.google.com/chrome/a/answer/2657289#zippy=%2Cnative-messaging-allowed-hosts)。
+ 对于 Microsoft Edge，请参阅 [Native Messaging](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#native-messaging)。

##### 使用组策略管理和安装浏览器扩展
<a name="w2aac11c29c11c19b5c21c19c11"></a>

您可以使用组策略安装 Amazon DCV WebAuthn 重定向扩展，既可以从您的域集中安装加入 Active Directory (AD) 域的会话主机，也可以使用本地组策略编辑器安装每个会话主机。此过程因您使用的浏览器而有所不同。

**对于 Microsoft Edge**

1. 下载并安装 [Microsoft Edge 管理模板](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)。

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)。

1. 扩大森林（**森林:*FQDN***）。

1. 展开**域**。

1. 展开您的 FQDN（例如，`example.com`）。

1. 展开**组策略对象**。

1. 选择**默认域策略**，打开上下文（右键单击）菜单，然后选择**编辑**。

1. 依次选择**计算机配置**、**管理模板**、**Microsoft Edge** 和**扩展**

1. 打开**配置扩展管理设置**，并将其设置为**启用**。

1. 在**配置扩展管理设置**下，输入以下内容：

   ```
   {"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改，请转至 Amazon WorkSpaces 控制台并选择，重新启动 WorkSpace。 WorkSpace 然后，选择**操作**，**重新启动 WorkSpaces**）。

**注意**  
您可以通过应用以下配置管理设置来阻止安装扩展：  

```
{"ihejeaahjpbegmaaegiikmlphghlfmeh":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**对于 Google Chrome**

1. 下载并安装 Google Chrome 管理模板。如需了解详情，请参阅[将 Chrome 浏览器政策设置为托管 PCs](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)。

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)。

1. 扩大森林（**森林:*FQDN***）。

1. 展开**域**。

1. 展开您的 FQDN（例如，`example.com`）。

1. 展开**组策略对象**。

1. 选择**默认域策略**，打开上下文（右键单击）菜单，然后选择**编辑**。

1. 依次选择**计算机配置**、**管理模板**、**Google Chrome** 和**扩展**

1. 打开**配置扩展管理设置**，并将其设置为**启用**。

1. 在**配置扩展管理设置**下，输入以下内容：

   ```
   {"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改，请转至 Amazon WorkSpaces 控制台并选择，重新启动 WorkSpace。 WorkSpace 然后，选择**操作**，**重新启动 WorkSpaces**）。

**注意**  
您可以通过应用以下配置管理设置来阻止安装扩展：  

```
{"mmiioagbgnbojdbcjoddlefhmcocfpmn":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### 为 DCV 配置 WebRTC 重定向
<a name="gp_webrtc_in_wsp"></a>

WebRTC 重定向通过将音频和视频处理 WorkSpaces 从本地客户端卸载到本地客户端来增强实时通信，从而提高性能并减少延迟。但是，WebRTC重定向并不普遍，需要第三方应用程序供应商与之开发特定的集成。 WorkSpaces默认情况下，WebRTC 重定向未启用。 WorkSpaces要使用 WebRTC 重定向，请确保满足以下条件：
+ 第三方应用程序供应商集成
+ WorkSpaces 扩展通过组策略设置启用
+ WebRTC 重定向已启用
+ WebRTC 重定向浏览器扩展已安装并启用

**注意**  
此重定向是作为扩展实现的，需要您使用组策略设置启用对 WorkSpaces 扩展的支持。如果扩展遭到禁用，WebRTC 重定向将无法运行。

#### 要求
<a name="w2aac11c29c11c19b5c23b9"></a>

DCV 的 WebRTC 重定向需要满足以下条件：
+ DCV 主机代理 2.0.0.1622 或更高版本
+ WorkSpaces 客户：
  + Windows 5.21.0 或更高版本
  + Web 客户端
+  WorkSpaces 运行亚马逊 DCV WebRTC 重定向扩展程序时安装的网络浏览器：
  + Google Chrome 116\$1
  + Microsoft Edge 116\$1

#### 启用或禁用 Windows 版 WebRTC 重定向 WorkSpaces
<a name="w2aac11c29c11c19b5c23c11"></a>

如果需要，您可以使用组策略设置启用或禁用对 WorkSpaces Windows版WebRTC重定向的支持。如果您禁用或未配置此设置，WebRTC 重定向将遭到禁用。

启用该功能后，与 Amazon 集成的网络应用程序 WorkSpaces 将能够将 WebRTC API 调用重定向到本地客户端。

**要为 Windows 配置 WebRTC 重定向 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置 WebRTC 重定向**设置。

1. 在**配置 WebRTC 重定向**对话框中，选择**启用**或**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改，请转至 Amazon WorkSpaces 控制台并选择，重新启动 WorkSpace。 WorkSpace 然后，选择**操作**，**重新启动 WorkSpaces**）。

#### 安装 Amazon DCV WebRTC 重定向扩展
<a name="installing_webrtc"></a>

在启用 WebRTC 重定向功能后，用户需要安装 Amazon DCV WebRTC 重定向扩展才能使用该功能，方法是执行以下任一操作：
+ 系统将提示用户在其浏览器中启用浏览器扩展。
**注意**  
作为一次性浏览器提示，当您启用 WebRTC 重定向时，用户将收到通知。
+ 您可以使用以下 GPO 策略，为用户强制安装重定向扩展。如果您启用 GPO 策略，则当用户启动支持的浏览器并访问 Internet 时，扩展将自动安装。
+ 用户可以使用 [Microsoft Edge 加载项](https://microsoftedge.microsoft.com/addons/detail/amazon-dcv-webrtc-redirec/kjbbkjjiecchbcdoollhgffghfjnbhef)或 [Chrome 网上商店](https://chromewebstore.google.com/detail/dcv-webrtc-redirection-ex/diilpfplcnhehakckkpmcmibmhbingnd?hl=en&authuser=0&pli=1)，手动安装扩展。

##### 使用组策略管理和安装浏览器扩展
<a name="w2aac11c29c11c19b5c23c13b7"></a>

您可以使用组策略安装 Amazon DCV WebRTC 重定向扩展，既可以从您的域集中安装已加入 Active Directory（AD）域的会话主机，也可以为每个会话主机使用本地组策略编辑器。此过程将根据您使用的浏览器而有所不同。

**对于 Microsoft Edge**

1. 下载并安装 [Microsoft Edge 管理模板](https://learn.microsoft.com/en-us/deployedge/configure-microsoft-edge#1-download-and-install-the-microsoft-edge-administrative-template)。

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)。

1. 扩大森林（**森林:*FQDN***）。

1. 展开**域**。

1. 展开您的 FQDN（例如，`example.com`）。

1. 展开**组策略对象**。

1. 选择**默认域策略**，打开上下文（右键单击）菜单，然后选择**编辑**。

1. 依次选择**计算机配置**、**管理模板**、**Microsoft Edge** 和**扩展**

1. 打开**配置扩展管理设置**，并将其设置为**启用**。

1. 在**配置扩展管理设置**下，输入以下内容：

   ```
   {"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"force_installed","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
   ```

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改，请转至 Amazon WorkSpaces 控制台并选择，重新启动 WorkSpace。 WorkSpace 然后，选择**操作**，**重新启动 WorkSpaces**）。

**注意**  
您可以通过应用以下配置管理设置来阻止安装扩展：  

```
{"kjbbkjjiecchbcdoollhgffghfjnbhef":{"installation_mode":"blocked","update_url":"https://edge.microsoft.com/extensionwebstorebase/v1/crx"}}
```

**对于 Google Chrome**

1. 下载并安装 Google Chrome 管理模板。如需了解详情，请参阅[将 Chrome 浏览器政策设置为托管 PCs](https://support.google.com/chrome/a/answer/187202#zippy=%2Cwindows)。

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)。

1. 扩大森林（**森林:*FQDN***）。

1. 展开**域**。

1. 展开您的 FQDN（例如，`example.com`）。

1. 展开**组策略对象**。

1. 选择**默认域策略**，打开上下文（右键单击）菜单，然后选择**编辑**。

1. 依次选择**计算机配置**、**管理模板**、**Google Chrome** 和**扩展**

1. 打开**配置扩展管理设置**，并将其设置为**启用**。

1. 在**配置扩展管理设置**下，输入以下内容：

   ```
   {"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"force_installed","update_url":"https://clients2.google.com/service/update2/crx"}}
   ```

1. 选择**确定**。

1. 组策略设置更改将在会 WorkSpace 话重新启动后生效。要应用组策略更改，请转至 Amazon WorkSpaces 控制台并选择，重新启动 WorkSpace。 WorkSpace 然后，选择**操作**，**重新启动 WorkSpaces**）。

**注意**  
您可以通过应用以下配置管理设置来阻止安装扩展：  

```
{"diilpfplcnhehakckkpmcmibmhbingnd":{ "installation_mode":"blocked","update_url":"https://clients2.google.com/service/update2/crx"}}
```

### 配置 DCV 屏幕锁定时断开会话连接
<a name="gp_lock_screen_in_wsp"></a>

如果需要，可以在检测到 Windows 锁屏时断开用户的 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接，用户可以使用自己的密码或智能卡进行身份验证，具体取决于为其 WorkSpaces启用了哪种类型的身份验证。

默认情况下，该组策略设置处于禁用状态。如果需要，您可以使用组策略设置启用在检测到 Windows 锁屏时断 WorkSpaces 开会话连接。

**注意**  
此组策略设置适用于密码身份验证的会话和智能卡身份验证的会话。
要在 Windows 中使用智能卡 WorkSpaces，需要执行其他步骤。有关更多信息，请参阅 [在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)。

**为 Windows 配置屏幕锁定时断开连接会话 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**启用/禁用屏幕锁定时断开会话连接**设置。

1. 在**启用/禁用屏幕锁定时断开会话连接**对话框中，选择**启用**或**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置屏幕截图保护
<a name="screen_capture_protection"></a>

屏幕捕获保护可防止来自本地客户端工具的屏幕截图、屏幕录制和屏幕共享 WorkSpaces 会话。启用后，尝试从客户端捕获屏幕内容将显示背景或黑色矩形，这有助于保护敏感信息免遭泄露。

#### 要求
<a name="w2aac11c29c11c19b5c27b5"></a>

DCV 的屏幕截图保护需要满足以下条件：
+ DCV 主机代理版本 2.2.0.2116 或更高版本
+ WorkSpaces 客户：
  + Windows 5.30.2 或更高版本
  + macOS 5.30.2 或更高版本

**注意**  
 Linux 客户端、Web 访问或 PCo IP 协议不支持此功能。
保护适用于从客户端设备启动的捕获。用户仍然可以从内部截取屏幕截图。 WorkSpace 
该功能与 MS Teams 上的屏幕共享不兼容。

#### 已知限制条件
<a name="w2aac11c29c11c19b5c27b9"></a>
+ 该功能无法阻止物理摄像机捕捉屏幕。
+ 该功能不能防止直接通过 RDP 连接到主机服务器。
+ 该功能无法防止从 WorkSpace 自身内部发起的捕获尝试，包括协作和聊天工具的屏幕共享功能。
+ 启用后，所有捕获方法都将被阻止（选择性屏蔽不可用）。
+ 如果启用该功能并尝试捕捉视频（例如，尝试屏幕共享客户端窗口），macOS 客户端窗口可能会变灰。

**为 Windows 配置屏幕截图保护 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开 “**配置屏幕截图保护**” 设置。

1. 在 “**配置屏幕截图保护**” 对话框中，选择 “**启用**” 或 “**禁用**”。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：

   1. 重新启动 WorkSpace （在 WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重新启动 WorkSpaces**）。

   1. 在管理命令提示符处，输入 `gpupdate /force`。

### 为 DCV 配置间接显示驱动程序（IDD）
<a name="indirect_display_driver"></a>

默认情况下， WorkSpaces 支持使用间接显示驱动程序 (IDD)。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**要为 Windows 配置间接显示驱动程序 (IDD) WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开 “**启用 AWS 间接显示驱动程序**” 设置。

1. 在 “**启用 AWS 间接显示驱动程序**” 对话框中，选择 “**启用**” 或 “**禁用**”。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：

   1. 重新启动 WorkSpace （在 WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重新启动 WorkSpaces**）。

   1. 在管理命令提示符处，输入 `gpupdate /force`。

### 配置 DCV 的显示设置
<a name="display_settings"></a>

WorkSpaces 允许您配置多种不同的显示设置，包括最大帧速率、最低图像质量、最大图像质量和 YUV 编码。根据所需的图像质量、响应能力和色彩准确度，调整这些设置。

默认情况下，最大帧速率值为 25。最大帧速率值用于指定允许的最大每秒帧数 (fps)。值 0 表示无限制。

默认情况下，最低图像质量值为 30。可以对最低图像质量进行优化，以获得最佳图像响应能力或最佳图像质量。为了获得最佳响应能力，请减少最低质量。要获得最佳质量，请增加最低质量。
+ 最佳响应能力的理想值介于 30 和 90 之间。
+ 最佳质量的理想值介于 60 和 90 之间。

默认情况下，最大图像质量值为 80。最大图像质量不会影响图像的响应能力或质量，但会设置最大值以限制网络使用量。

默认情况下，图像编码设置为 YUV420。选择 “**启用 YUV444编码**” 可启用 YUV444 编码以实现高色彩精度。

对于 Windows WorkSpaces，您可以使用组策略设置来配置最大帧速率、最低图像质量和最大图像质量值。

**配置 Windows 的显示设置 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置显示设置**设置。

1. 在**配置显示设置**对话框中，选择**启用**，然后将**最大帧速率 (fps)**、**最低图像质量**和**最大图像质量**值设置为所需的级别。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace. Amazon WorkSpaces 控制台，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV VSync 的仅 AWS 虚拟显示驱动程序进行配置
<a name="vsync"></a>

默认情况下， WorkSpaces 支持将该 VSync 功能用于仅限 AWS 虚拟显示屏的驱动程序。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**要为 Windows VSync 进行配置 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开 “**仅限 AWS 虚拟显示器驱动程序” 设置的 “启用” VSync 功能**。

1. 在 “**仅 AWS 虚拟显示器驱动程序” 对话框的 “启用” VSync 功能**中，选择 “**启用**” 或 “**禁用**”。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作：

   1.  WorkSpace 通过执行以下任一操作重新启动：

      1. 选项 1-在 WorkSpaces 控制台中，选择 WorkSpace 要重新启动的。然后，选择**操作**，**重新启动 WorkSpaces**。

      1. 选项 2 - 在管理命令提示符处，输入 `gpupdate /force`。

   1. 要应用设置 WorkSpace ，请重新连接到。

   1. 再次重启 WorkSpace。

### 配置 DCV 的日志详细程度
<a name="log_verbosity"></a>

**默认情况下，DCV 的日志详细级别设置 WorkSpaces 为 Info。**您可以将日志级别设置为详细程度级别（从最不详细到最详细），详见此处：
+ 错误 - 最不详细
+ 警告
+ 信息 - 默认
+ 调试 - 最详细

对于 Windows WorkSpaces，您可以使用组策略设置来配置日志详细级别。

**为 Windows 配置日志详细级别 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置日志详细程度**设置。

1. 在**配置日志详细程度**对话框中，选择**启用**，然后将日志详细程度级别设置为**调试**、**错误**、**信息**或**警告**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置空闲断开连接超时
<a name="idle-disconnect"></a>

WorkSpaces 允许您配置用户在连接到、断开连接之前可以处于非活动状态的时间长度。 WorkSpace以下为用户活动输入示例：
+ 键盘事件
+ 鼠标事件（光标移动、滚动、单击）
+ 触控笔事件
+ 触摸事件（点击触摸屏、平板电脑）
+ 游戏手柄事件
+ 文件存储操作（上传、下载、目录创建、列表项）
+ 网络摄像头流式传输

音频输入、音频输出和像素更改不符合用户活动条件。

启用空闲断开连接超时后，您可以选择通知您的用户，即：除非互动，否则他们的会话将在配置的时间内断开连接。

默认情况下，空闲断开连接超时处于禁用状态，超时值设置为 0 分钟，通知处于禁用状态。如果启用此策略设置，则空闲断开连接超时值默认为 60 分钟，空闲断开连接警告值默认为 60 秒。对于 Windows WorkSpaces，您可以使用组策略设置来配置此功能。

**为 Windows 配置空闲断开连接超时 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置空闲断开连接超时**设置。

1. 在**配置空闲断开连接超时**对话框中，选择**启用**，然后设置所需的断开连接超时值（以分钟为单位），也可以选择设置警告计时器值（以秒为单位）。

1. 选择**应用**、**确定**。

1. 组策略设置的更改会在您应用更改后立即生效。

### 为 DCV 配置文件传输
<a name="gp-file-transfer"></a>

默认情况下，Amazon WorkSpaces 会禁用文件传输功能。您可以启用它以允许用户在其本地计算机和 WorkSpaces 会话之间上传和下载文件。这些文件将保存在会 WorkSpaces 话的 “**我的存储**” 文件夹中。

**在 Windows 上启用文件传输 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置会话存储**设置。

1. 在**配置会话存储**对话框中，选择**启用**。

1. （可选）指定用于会话存储的文件夹（例如，`c:/session-storage`）。如果未指定，则会话存储的默认文件夹将是主文件夹。

1. 您可以使用以下文件传输选项之一 WorkSpaces 进行配置：
   + 选择 `Download and Upload`，允许双向文件传输。
   + 选择仅`Upload Only`允许将文件从本地计算机上传到您的 WorkSpaces 会话。
   + 选择仅`Download Only`允许将文件从您的 WorkSpaces 会话下载到本地计算机。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 DCV 配置 USB 重定向
<a name="gp_dcv_usbredirection"></a>

#### 概述
<a name="gp_dcv_usbredirection_overview"></a>

从版本 2.2.0.2047 开始， WorkSpaces 亚马逊支持基于 DCV 的 WorkSpaces Windows 的通用 USB 重定向，允许用户在其虚拟桌面环境中访问本地 USB 设备。此功能补充了针对特定设备类别的现有优化重定向解决方案。

**注意**  
Amazon 建议仅在没有经过优化的重定向解决方案的设备上使用通用重定向。如果可用，经过优化的重定向解决方案可提供更好的性能。

#### 先决条件
<a name="gp_dcv_usbredirection_prerequisites"></a>
+  WorkSpaces 使用 DCV 协议版本 2.2.0.2047 或更高版本的 Windows
+ 最新版本的 WorkSpaces Windows 客户端（版本 5.30.0 或更高版本）
+ 配置组策略设置的管理权限

#### 配置
<a name="gp_dcv_usbredirection_config"></a>

默认情况下，USB 重定向处于禁用状态。您可以使用组策略对象 (GPO) 启用该功能。启用该功能后，您可以将设备添加到允许列表中进行重定向。默认情况下，不在许可名单中的设备无法进行重定向。

##### 组策略配置
<a name="gp_dcv_usbredirection_gpo"></a>

**使用组策略为 DCV 配置 USB 重定向**

1. Connect 到 Windows WorkSpaces。

1. 从`C:\Program Files\Amazon\WSP`文件夹中复制策略模板文件（`wsp.admx`和`wsp.adml`）。

1. 粘贴`wsp.admx`到`C:\Windows\PolicyDefinitions`文件夹。

1. 粘贴`wsp.adml`到`C:\Windows\PolicyDefinitions\en-US`文件夹。

1. 启动本地 GPO 编辑器 (**gpedit.msc**)。

1. 导航到**本地计算机策略** > **计算机配置** > **管理模板** > **Amazon** > **WSP**。

1. 在 WSP 设置中配置**启用/禁用 USB**。

1. 选择 “**启用**” 以激活 USB 重定向。

**注意**  
对此设置的更改将在下次连接时生效。

#### 设备管理
<a name="gp_dcv_usbredirection_device_mgmt"></a>

启用 USB 重定向后，您可以在 GPO 中配置设备许可名单，以添加要支持重定向的设备。

##### 设备许可名单配置
<a name="gp_dcv_usbredirection_allowlist"></a>

USB 重定向遵循默认的 “全部拒绝” 安全立场。管理员必须使用以下格式将设备添加到 GPO 的许可名单，从而明确允许这些设备：

```
Name, Base class, Subclass, Protocol, Id Vendor, Id Product, Support Auto-share, Skip reset
// Use * to skip any values
```

**示例：**

**添加带有供应商 ID/Product ID 的设备：**

```
Credit Card Reader, *, *, *, 0x0483, 0x2016, 1, 0
// Allows Credit Card Reader with VID 0x0483 and PID 0x2016 with auto-share support
```

**添加具有类/子类的设备：**

```
3D Mouse Devices, 03, 01, *, *, *, 1, 0
// Allows all 3D mice using HID class (03), boot interface subclass (01), with auto-share support
```

**注意**  
在将设备添加到许可名单之前，先对其进行兼容性和性能测试。

#### 安全考虑因素
<a name="gp_dcv_usbredirection_security"></a>

##### 最佳实践
<a name="gp_dcv_usbredirection_best_practices"></a>
+ 如果支持的设备可用，请使用专用的重定向方法，以获得最佳性能和兼容性。例如，对于诸如此类的安全密钥 YubiKey，请 WebAuthn 改用重定向。
+ 实施严格的设备许可名单。
+ 通过审核日志监控设备访问情况。
+ 在允许使用新设备之前，先评估数据安全影响。

### 为 DCV 配置网络摄像头分辨率
<a name="gp-webcam-resolution"></a>

使用此设置来配置网络摄像头分辨率设置。如果启用此策略设置，则可以指定：
+ 最大网络摄像头分辨率：它指定可从提供的分辨率中选择的最大网络摄像头分辨率。如果缺少此值或（0, 0），则使用默认值。
+ 首选的网络摄像头分辨率：它指定客户端提供的分辨率中首选的网络摄像头分辨率。如果不支持指定的分辨率，则会选择最接近的匹配分辨率。如果缺少此值或（0, 0），则使用默认值。

如果您禁用或未配置此策略设置，则使用默认分辨率。

**为 Windows 配置网络摄像头分辨率 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置网络摄像头分辨率**设置。

1. 在 “**配置网络摄像头分辨率**” 对话框中，选择 “**启用**”，然后设置**摄像头最大分辨率**（以像素为单位） and/or **首选摄像头分辨率**（以像素为单位）。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 配置 DCV 的服务器键盘布局使用情况
<a name="gp-server-keyboard-layout"></a>

此设置可控制是否使用服务器端键盘布局进行按键解析，而不是使用默认的客户端键盘布局。对此设置的更改将在下次连接时生效。有关键盘操作的更多详情，请参阅 *Amazon WorkSpaces 用户指南*。

如果启用此策略设置，则可以选择以下选项之一：
+ **始终关闭**：始终使用客户端布局
+ **始终打开**：始终使用服务器布局

如果您禁用或未配置此策略设置，则使用**始终关闭**选项。

**注意**  
亚马逊 WorkSpaces Windows 客户端版本 5.29.2 或更高版本以及亚马逊 m WorkSpaces acOS 客户端版本 5.30.0 或更高版本支持此功能。

**配置 Windows 的服务器键盘布局使用情况 WorkSpaces**

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**Amazon** 和 **WSP**。

1. 打开**配置服务器键盘布局使用**设置。

1. 在**配置服务器键盘布局使用**对话框中，选择**启用**，然后设置**服务器键盘布局选项**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及您重新启动 WorkSpace会话之后生效。要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace。在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**。
   + 在管理命令提示符处，输入 **gpupdate /force**。

## 安装 PCo IP 的组策略管理模板
<a name="gp_install_template"></a>

要在使用 PCo IP 协议 WorkSpaces 时使用 Amazon 特有的组策略设置，您必须添加适用于您的 PCo IP 代理版本（32 位或 64 位）的组策略管理模板。 WorkSpaces

**注意**  
如果您混合使用 32 位和 64 位代理，则可以对 32 位代理使用组策略管理模板，并且您的组策略设置将同时应用于 32 位和 64 位代理。 WorkSpaces 当所有人 WorkSpaces 都在使用 64 位代理时，可以切换到使用 64 位代理的管理模板。

**确定 WorkSpaces 您使用的是 32 位代理还是 64 位代理**

1. **登录到 WorkSpace，然后通过选择 “**查看**”、“**发送 Ctrl \$1 Alt \$1 Delete**” 或右键单击任务栏并选择 “任务管理器” 来打开任务管理器。**

1. 在任务管理器中，转到**详细信息**选项卡，右键单击列标题，然后选择**选择列**。

1. 在**选择列**对话框中，选择**平台**，然后选择**确定**。

1. 在 “**详细信息**” 选项卡上`pcoip_agent.exe`，查找，然后在 “**平台**” 列中检查其值，以确定 PCo IP 代理是 32 位还是 64 位。（您可能会看到 32 位和 64 位 WorkSpaces 组件的混合；这是正常现象。）

### 安装 PCo IP 的组策略管理模板（32 位）
<a name="gp_install_template_pcoip_32_bit"></a>

要使用与 32 位 PCoIP 代理一起使用 PCoIP 协议 WorkSpaces 时特有的组策略设置，必须安装 PCoIP 的组策略管理模板。在目录管理 WorkSpace 或加入目录的 Amazon EC2 实例上执行以下步骤。

有关使用.adm 文件的更多信息，请参阅 Microsoft 文档中的[管理组策略管理模板 (.adm) 文件的建议](https://docs.microsoft.com/troubleshoot/windows-server/group-policy/manage-group-policy-adm-file)。

**安装 PCo IP 的组策略管理模板**

1. 在正在运行的 Windows WorkSpace 中，复制`C:\Program Files (x86)\Teradici\PCoIP Agent\configuration`目录中的`pcoip.adm`文件。

1. 在目录管理 WorkSpace 或加入您 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)，然后导航到您的域中包含您的 WorkSpaces 计算机账户的组织单位。

1. 打开计算机账户组织单位对应的上下文 (右键单击) 菜单，然后选择**在这个域中创建 GPO 并在此处链接...**。

1. **在 “**新建 GPO**” 对话框中，输入 GPO 的描述性名称，例如**WorkSpaces 计算机策略**，并将 S **ource Starter GPO** 设置为（无）。**选择**确定**。

1. 打开新 GPO 的上下文（右键单击）菜单，然后选择 **Edit (编辑)**。

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**和**管理模板**。从主菜单中依次选择**操作**和**添加/删除模板**。

1. 在**添加/删除模板**对话框中，单击**添加**，选择之前复制的 `pcoip.adm` 文件，然后依次选择**打开**和**关闭**。

1. 关闭组策略管理编辑器。现在，您可以使用该 GPO 来修改特定于 WorkSpaces 的组策略设置。

**验证管理模板文件是否已正确安装**

1. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)，导航到您的 WorkSpaces 计算机账户并选择相应的 WorkSpaces GPO。在主菜单中依次选择**操作**和**编辑**。

1. 在组策略管理编辑器中，选择**计算机配置**、**策略**、**管理模板**、**经典管理模板**和 **PCoIP 会话变量**。

1. 现在，您可以使用此 **PCoIP 会话变量**组策略对象来修改使用 PCo IP WorkSpaces 时特定于 Amazon 的组策略设置。
**注意**  
要允许用户覆盖您的设置，请选择**可覆盖的管理员设置**；否则，请选择**不可覆盖的管理员设置**。

### 安装 PCo IP 的组策略管理模板（64 位）
<a name="gp_install_template_pcoip_64_bit"></a>

要使用特定于 WorkSpaces 使用 PCo IP 协议的组策略设置，必须将组策略管理模板`PCoIP.admx`和 PCo IP `PCoIP.adml` 文件添加到 WorkSpaces目录的域控制器的中央存储区。有关 `.admx` 和 `.adml` 文件的更多信息，请参阅[如何在 Windows 中创建和管理组策略管理模板的中央存储](https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra)。

以下过程介绍了如何创建中央存储并向其中添加管理模板文件。在目录管理 WorkSpace 或加入目录的 Amazon EC2 实例上执行以下步骤。 WorkSpaces 

**安装 PCo IP 的组策略管理模板文件**

1. 在正在运行的 Windows WorkSpace 中，复制`C:\Program Files\Teradici\PCoIP Agent\configuration\policyDefinitions`目录中的`PCoIP.admx`和`PCoIP.adml`文件。`PCoIP.adml` 文件位于该目录的 `en-US` 子文件夹中。

1. 在目录管理 WorkSpace 或已加入 WorkSpaces 目录的 Amazon EC2 实例上，打开 Windows 文件资源管理器，然后在地址栏中输入贵组织的完全限定域名 (FQDN)，例如`\\example.com`。

1. 打开 `sysvol` 文件夹。

1. 打开带有 `FQDN` 名称的文件夹。

1. 打开 `Policies` 文件夹。您现在应该位于 `\\FQDN\sysvol\FQDN\Policies` 中。

1. 如果该文件尚不存在，请创建一个名为 `PolicyDefinitions` 的文件夹。

1. 打开 `PolicyDefinitions` 文件夹。

1. 将 `PCoIP.admx` 文件复制到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions` 文件夹中。

1. 在 `PolicyDefinitions` 文件夹中创建名为 `en-US` 的文件夹。

1. 打开 `en-US` 文件夹。

1. 将 `PCoIP.adml` 文件复制到 `\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en-US` 文件夹中。

**验证管理模板文件是否已正确安装**

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**)。

1. 扩大森林（**森林:*FQDN***）。

1. 展开**域**。

1. 展开您的 FQDN（例如，`example.com`）。

1. 展开**组策略对象**。

1. 选择**默认域策略**，打开上下文（右键单击）菜单，然后选择**编辑**。
**注意**  
如果支持的域 WorkSpaces 是 AWS Managed Microsoft AD 目录，则无法使用默认域策略来创建 GPO。相反，您必须在具有委派权限的域容器下创建和链接 GPO。  
使用创建目录时 AWS Managed Microsoft AD， Directory Service 会在域根目录下创建一个*yourdomainname*组织单位 (OU)。此 OU 的名称基于您在创建目录时键入的 NetBIOS 名称。如果您未指定 NetBIOS 名称，则此名称将默认为您目录 DNS 名称的第一部分（例如，如果目录 DNS 名称为 `corp.example.com`，则 NetBIOS 名称将为 `corp`）。  
要创建您的 GPO，请不要选择**默认域策略**，而是选择 O *yourdomainname* U（或该组织下的任何 OU），打开上下文（右键单击）菜单，然后选择在此**域中创建 GPO，然后将其链接到此**处。  
有关 *yourdomainname* OU 的更多信息，请参阅《*AWS Directory Service 管理指南》*中的[创建内容](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html)。

1. 在组策略管理编辑器中，选择**计算机配置**、**策略**、**管理模板**和 **PCoIP 会话变量**。

1. 现在，您可以使用此 **PCoIP 会话变量**组策略对象来修改使用 PCo IP WorkSpaces 时特有的组策略设置。
**注意**  
要允许用户覆盖您的设置，请选择**可覆盖的管理员设置**；否则，请选择**不可覆盖的管理员设置**。

## 管理 PCo IP 的组策略设置
<a name="gp_configurations_pcoip"></a>

使用组策略设置来管理使用 PCo IP WorkSpaces 的 Windows。

### 为 PCo IP 配置打印机支持
<a name="gp_local_printers"></a>

默认情况下， WorkSpaces 启用基本远程打印，它提供的打印功能有限，因为它在主机端使用通用打印机驱动程序来确保打印兼容。

Windows 客户端的高级远程打印让您可以使用打印机的特定功能（如双面打印），但需要在主机端安装匹配的打印机驱动程序。

远程打印实施为虚拟通道。如果虚拟通道被禁用，远程打印无法正常工作。

对于 Windows WorkSpaces，您可以根据需要使用组策略设置来配置打印机支持。

**配置打印机支持**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开**配置远程打印**设置。

1. 在 **Configure remote printing (配置远程打印)** 对话框中，执行下列操作之一：
   + 要启用高级远程打印，请选择**已启用**，然后在**选项**、**Configure remote printing (配置远程打印)** 下，选择 **Basic and Advanced printing for Windows clients (适用于 Windows 客户端的基本和高级打印)**。要自动使用客户端计算机的当前默认打印机，选择 **Automatically set default printer (自动设置默认打印机)**。
   + 要禁用打印，请选择 **Enabled (已启用)**，然后在 **Options (选项)**、**Configure remote printing (配置远程打印)** 下选择 **Printing disabled (已禁用打印)**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

默认情况下，本地打印机自动重定向被禁用。您可以使用组策略设置来启用此功能，以便每次连接到您的本地打印机时都将您的本地打印机设置为默认打印机 WorkSpace。

**注意**  
本地打印机重定向不适用于亚马逊 Linux WorkSpaces。

**启用本地打印机自动重定向**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开**配置远程打印**设置。

1. 选择**启用**，然后在**选项**、**配置远程打印**下，选择以下一个选项：
   + **适用于 Windows 客户端的基本和高级打印**
   + **基本打印**

1. 选择**自动设置默认打印机**，然后选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 IP 配置剪贴板重定向（复制/粘贴） PCo
<a name="gp_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**要启用或禁用剪贴板重定向**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开 **Configure clipboard redirection** 设置。

1. 在**配置剪贴板重定向**对话框中，选择**启用**，然后选择以下设置之一以确定允许剪贴板重定向的方向。完成后，选择**确定**。
   + 双向禁用
   + 仅对客户端（WorkSpace 本地计算机）启用代理
   + 仅启用客户端到代理（本地计算机到 WorkSpace）
   + 双向启用 

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

**已知限制**  
启用剪贴板重定向后 WorkSpace，如果您从 Microsoft Office 应用程序中复制大于 890 KB 的内容，则该应用程序可能会变慢或在长达 5 秒钟内没有响应。

### 为 PCo IP 设置会话恢复超时
<a name="gp_auto_resume"></a>

网络连接中断时，您的活动 WorkSpaces 客户端会话将断开。 WorkSpaces 如果网络连接在一定时间内恢复，则适用于 Windows 和 macOS 的客户端应用程序会尝试自动重新连接会话。默认的会话恢复超时时间为 20 分钟，但您可以修改该值 WorkSpaces ，因为该值由您的域的组策略设置控制。

**要设置自动会话恢复超时值**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开 **Configure Session Automatic Reconnection Policy** 设置。

1. 在 **Configure Session Automatic Reconnection Policy** 对话框中，选择 **Enabled**，将 **Configure Session Automatic Reconnection Policy** 选项设置为所需的超时 (以分钟为单位)，然后选择 **OK**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 IP 配置音频输入重定向 PCo
<a name="gp_audio"></a>

默认情况下，Amazon WorkSpaces 支持从本地麦克风重定向数据。如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**注意**  
如果你的组策略设置限制了用户的本地登录 WorkSpaces，那么音频输入将无法在你的。 WorkSpaces如果删除该组策略设置，则下次重新启动后将启用音频输入功能。 WorkSpace有关此组策略设置的更多信息，请参阅 Microsoft 文档中的[允许本地登录](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally)。

**启用或禁用音频输入重定向**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 在 ** PCoIP 会话设置中打开 “启用/禁用音频”**。

1. **在 “在 ** PCoIP 会话中启用/禁用音频**” 对话框中，选择 “**启用**” 或 “禁用”。**

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 禁用 IP 的时区重定 PCo向
<a name="gp_time_zone"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区定向的原因有多种：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 经常出差的用户希望将自己留 WorkSpaces 在一个时区，以保持一致性和个人喜好。

如果 Windows 需要 WorkSpaces，您可以使用组策略设置来禁用此功能。

**禁用时区重定向**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开**配置时区重定向**设置。

1. 在**配置时区重定向**对话框中，选择**禁用**。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

1. 将的时区设置 WorkSpaces 为所需的时区。

的时区现在 WorkSpaces 是静态的，不再反映客户端计算机的时区。

### 配置 PCo IP 安全设置
<a name="gp_security"></a>

对于 PCo IP，传输中的数据使用 TLS 1.2 加密和 Sigv4 请求签名进行加密。 PCoIP 协议使用加密 UDP 流量和 AES 加密，用于流式传输像素。使用端口 4172（TCP 和 UDP）的流式传输连接通过 AES-128 和 AES-256 密码进行加密，但加密默认为 128 位。您可以使用 “**配置 PCo IP 安全设置”** 组策略设置将此默认值更改为 256 位。

您还可以使用此组策略设置来修改 TLS 安全模式以及屏蔽某些密码套件。**配置 PCo IP 安全设置组策略对话框中提供了这些设置**和支持的密码套件的详细说明。

**配置 PCo IP 安全设置**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开 “**配置 PCo IP 安全设置” 设置**。

1. 在 “**配置 PCo IP 安全设置**” 对话框中，选择 “**启用**”。**要将流媒体流量的默认加密设置为 256 位，请转到 “**PCoIP 数据加密密码**” 选项，然后仅选择 AES-256-GCM。**

1. （可选）调整 **TLS 安全模式**设置，然后列出要屏蔽的所有密码套件。有关这些设置的更多信息，请参阅 “**配置 PCo IP 安全设置**” 对话框中提供的说明。

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

### 为 IP 配置 USB 重定 PCo向
<a name="gp_usbredirection"></a>

**注意**  
亚马逊 WorkSpaces 目前仅支持 YubiKey U2F 的 USB 重定向。其他类型的 USB 设备可能会被重定向，但它们不受支持，也可能无法正常运行。

**为 IP 启用 USB 重定 PCo向**

1. 确保已安装最新的 IP [WorkSpaces 组策略管理模板（32 位）或最新 PCo的 IP WorkSpaces ](#gp_install_template_pcoip_32_bit) [组策略管理模板（64 位](#gp_install_template_pcoip_64_bit)）。 PCo

1. 在目录管理 WorkSpace 或加入 WorkSpaces 目录的 Amazon EC2 实例上，打开组策略管理工具 (**gpmc.msc**) 并导航到 **PCoIP 会话变量**。

1. 打开**启用/禁用 PCoIP 会话的 USB** 设置。

1.  选择**启用**，然后选择**确定**。

1. 打开 “**配置 PCo IP USB 允许和不允许的设备规则**” 设置。

1. 选择**启用**，然后在**输入 USB 授权表（最多十条规则）**下，配置您的 USB 设备允许列表规则。

   1. 授权规则 - 110500407。此值是供应商 ID (VID) 和产品 ID (PID) 的组合。 VID/PID 组合的格式为 1xxxxyyyy，其中 xxxx 是十六进制格式的 VID，yyyy 是十六进制格式的 PID。在本例中，1050 是 VID，0407 是 PID。有关更多 YubiKey USB 值，请参阅 [YubiKey USB ID 值](https://support.yubico.com/hc/en-us/articles/360016614920-YubiKey-USB-ID-Values)。

1. 在**输入 USB 授权表（最多十条规则）**下，配置您的 USB 设备屏蔽列表规则。

   1. 对于**取消授权规则**，设置一个空字符串。这意味着仅允许授权列表中的 USB 设备。
**注意**  
您最多可以定义 10 条 USB 授权规则和最多 10 条 USB 取消授权规则。使用竖线 (\$1) 字符分隔多个规则。有关 authorization/unauthorization 规则的详细信息，请参阅适用于 Windows 的 [Teradici PCo IP 标准代理。](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#pcoip-usb-allowed-and-unallowed-device-rules)

1. 选择**确定**。

1. 组策略设置更改将在的下一次组策略更新之后 WorkSpace 以及会 WorkSpace 话重新启动后生效。要应用组策略更改，请执行下列操作之一：
   + 重启 WorkSpace （在 Amazon WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重启 WorkSpaces**）。
   + 在管理命令提示符处，输入 **gpupdate /force**。

设置生效后，除非通过 USB 设备规则设置配置了限制， WorkSpaces 否则所有支持的 USB 设备都可以重定向到。

## 设置 Kerberos 票证的最长使用期限
<a name="gp_kerberos_ticket"></a>

如果您尚未禁用 Windows 的 “**记住我**” 功能 WorkSpaces，则您的 WorkSpace 用户可以使用其 WorkSpaces 客户端应用程序**中的 “**记住我**” 或 “让我保持登录状态**” 复选框来保存其凭据。此功能允许用户在客户端应用程序保持运行 WorkSpaces时轻松连接到他们的。他们的凭证安全地缓存到 Kerberos 票证中，时间可达其最长使用期限。

如果您 WorkSpace 使用 AD Connector 目录，则可以按照微软 Windows 文档中 WorkSpaces 用户票证的最长使用寿命中的步骤通过组策略修改[用户的 Kerberos 票证的最大生命周期](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket)。

要启用或禁用 **Remember Me** 功能，请参阅 [在 “ WorkSpaces 个人” 中为您的用户启用自助 WorkSpaces 管理功能](enable-user-self-service-workspace-management.md)。

## 配置用于互联网访问的设备代理服务器设置
<a name="gp_device_proxy"></a>

默认情况下， WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS（端口 443）流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

**注意**  
不支持需要使用登录凭证进行身份验证的代理服务器。

您可以按照 Microsoft 文档中配置设备代理[和互联网连接设置中的步骤， WorkSpaces 通过组策略为 Windows 配置设备代理服务器设置](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)。

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息，请参阅 A *mazon WorkSpaces 用户*指南中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)。

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)。

### 代理桌面流量
<a name="w2aac11c29c11c27c15"></a>

对于 PCo IP WorkSpaces，桌面客户端应用程序不支持使用代理服务器，也不支持 TLS 解密和检查 UDP 中的端口 4172 流量（用于桌面流量）。它们需要直接连接到端口 4172。

对于 DCV WorkSpaces， WorkSpaces Windows 客户端应用程序（版本 5.1 及更高版本）和 macOS 客户端应用程序（版本 5.4 及更高版本）支持使用 HTTP 代理服务器处理端口 4195 TCP 流量。不支持 TLS 解密和检查。

DCV 不支持使用代理来处理通过 UDP 进行的桌面流量。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序和网络访问支持使用代理来处理 TCP 流量。

**注意**  
如果您选择使用代理服务器，则客户端应用程序对 WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。

### 关于使用代理服务器的建议
<a name="w2aac11c29c11c27c17"></a>

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已经过加密，因此代理并不能提高安全性。代理代表网络路径中的额外跳跃，它可能会通过引入延迟来影响流式传输质量。如果代理的大小不合适，无法处理桌面流式传输流量，则代理也可能会降低吞吐量。此外，大多数代理不是为支持长时间运行 WebSocket (TCP) 连接而设计的，可能会影响直播质量和稳定性。

如果您必须使用代理，请将代理服务器尽可能靠近 WorkSpace客户端，最好位于同一网络中，以避免增加网络延迟，因为这可能会对直播质量和响应能力产生负面影响。

## 启用 Amazon WorkSpaces for Zoom 会议媒体插件支持
<a name="zoom-integration"></a>

使用 Zoom VDI 插件，Zoom 支持针对基于 DCV 和 PCo IP Windows WorkSpaces 的优化实时通信。直接的客户端通信允许视频通话绕过基于云的虚拟桌面，并在用户内部进行会议时提供类似本地的 Zoom 体验。 WorkSpace

### 为 DCV 启用 Zoom Meeting Media Plugin
<a name="zoom-wsp"></a>

在安装 Zoom VDI 组件之前，请更新您的 WorkSpaces 配置以支持 Zoom 优化。

#### 先决条件
<a name="zoom-integ-prerequisites-wsp"></a>

在使用该插件之前，请确保您满足以下要求。
+ 带有 [Zoom V](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your) DI 插件的 Windows WorkSpaces 客户端版本 5.10.0\$1 版本 5.17.10\$1
+ 在你的 WorkSpaces — [Zoom VDI Meeting 客户端版本 5.](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810) 17.10\$1

#### 开始前的准备工作
<a name="zoom-begin-wsp"></a>

1. 启用**扩展**组策略设置。有关更多信息，请参阅 [为 DCV 配置扩展](#extensions)。

1. 禁用**自动重新连接**组策略设置。有关更多信息，请参阅 [为 DCV 设置会话恢复超时](#gp_auto_resume_wsp)。

#### 安装 Zoom 组件
<a name="installing-zoom-wsp"></a>

要启用缩放优化，请在您的 Windows 上安装 Zoom 提供的两个组件 WorkSpaces。有关更多信息，请参阅 [Using Zoom for Amazon Web Services](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT)。

1. 在您的中安装 Zoom VDI Meeting 客户端 5.12.6\$1 版。 WorkSpace

1. 在安装你的客户端上安装 Zoom VDI 插件（Windows Universal Installer）5.12.6\$1 版 WorkSpace 

1. 通过确认您的 VDI 插件状态在 Zoom VDI 客户端中显示为**已连接**，验证插件是否在优化 Zoom 流量。有关更多信息，请参阅[如何确认 Amazon WorkSpaces 优化](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE1MA5YMYFX5B5XM873V1Y)。

### 启用适用于 PCo IP 的 Zoom 会议媒体插件
<a name="zoom-pcoip"></a>

拥有 Active Directory 管理员权限的用户可以使用其组策略对象（GPO）生成注册表项。这允许用户使用强制更新将注册表项发送到您域 WorkSpaces 中的所有 Windows。或者，具有管理权限的用户也可以在其 WorkSpaces 主机上单独安装注册表项。

#### 先决条件
<a name="zoom-integ-prerequisites-pcoip"></a>

在使用该插件之前，请确保您满足以下要求。
+ Windows WorkSpaces 客户端版本 5.4.0\$1，带有 [Zoom VDI](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0066757#h_01H6PE29K2S6NPYCC3SWB667AT:~:text=Zoom%20Meeting%20client.-,Install%20the%20Zoom%20VDI%20plugin,-To%20complete%20your) 插件版本 5.12.6\$1。
+ 在你的 WorkSpaces — [Zoom VDI Meeting 客户端版本](https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0063810) 5.12.6\$1 中。

#### 在 Windows WorkSpaces 主机上创建注册表项
<a name="zoom-integ-create-registry-key"></a>

完成以下步骤在 Windows WorkSpaces 主机上创建注册表项。在 Windows 上使用 Zoom 需要注册表项 WorkSpaces。

1. 以管理员身份打开 Windows 注册表编辑器。

1. 转到 `\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Amazon`。

1. 如果**扩展**密钥不存在，请右键单击并选择**新建** > **密钥**，然后将其命名为 **Extension**。

1. 在新的**扩展**密钥中，右键单击并选择**新建** > **DWORD**，然后将其命名为 **enable**。名称必须为小写。

1. 选择新的 **DWORD**，并将**值**更改为 **1**。

1. 重启计算机以完成该过程。

1. 在您的 WorkSpaces 主机上，下载并安装最新的 Zoom VDI 客户端。在您的 WorkSpaces 客户端（5.4 或更高版本）上，下载并安装适用于亚马逊 WorkSpaces的最新 Zoom VDI 客户端插件。有关更多信息，请参阅 *Zoom 支持网站* 上的 [VDI 版本和下载内容](https://support.zoom.us/hc/en-us/articles/4415057249549-VDI-releases-and-downloads)。

启动 Zoom 开始视频通话。

#### 问题排查
<a name="zoom-integ-troubleshoot"></a>

完成以下操作对 Windows 上的 Zoom 进行故障排除 WorkSpaces。
+ 确认注册表项激活并已正确应用。
+ 转到 `C:\ProgramData\Amazon\Amazon WorkSpaces Extension`。您应查看 `wse_core_dll`。
+ 确保主机和客户端上的版本正确且相同。

如果您仍然遇到困难，请 支持 使用[支持 中心](https://console.aws.amazon.com/support/home#/)联系。

您可以使用以下示例将 GPO 应用为目录管理员。
+ **WSE.adml**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <!-- 'displayName' and 'description' don't appear anywhere. All Windows native GPO template files have them set like this. -->
      <displayName>enter display name here</displayName>
      <description>enter description here</description>
  
      <resources>
      <stringTable>
          <string id="SUPPORTED_ProductOnly">N/A</string>
          <string id="Amazon">Amazon</string>
          <string id="Amazon_Help">Amazon Group Policies</string>
          <string id="WorkspacesExtension">Workspaces Extension</string>
          <string id="WorkspacesExtension_Help">Workspace Extension Group Policies</string>
  
          <!-- Extension Itself -->
          <string id="ToggleExtension">Enable/disable Extension Virtual Channel</string>
          <string id="ToggleExtension_Help">
  Allows two-way Virtual Channel data communication for multiple purposes
  
  By default, Extension is disabled.</string>
  
      </stringTable>
      </resources>
  </policyDefinitionResources>
  ```
+ **WSE.admx**

  ```
  <?xml version="1.0" encoding="utf-8"?>
  <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://www.microsoft.com/GroupPolicy/PolicyDefinitions">
      <policyNamespaces>
          <target prefix="WorkspacesExtension" namespace="Microsoft.Policies.Amazon.WorkspacesExtension" />
      </policyNamespaces>
      <supersededAdm fileName="wse.adm" />
      <resources minRequiredRevision="1.0" />
      <supportedOn>
          <definitions>
              <definition name="SUPPORTED_ProductOnly" displayName="$(string.SUPPORTED_ProductOnly)"/>
          </definitions>
      </supportedOn>
      <categories>
          <category name="Amazon" displayName="$(string.Amazon)" explainText="$(string.Amazon_Help)" />
          <category name="WorkspacesExtension" displayName="$(string.WorkspacesExtension)" explainText="$(string.WorkspacesExtension_Help)">
              <parentCategory ref="Amazon" />
          </category>
      </categories>
  
      <policies>
          <policy name="ToggleExtension" class="Machine" displayName="$(string.ToggleExtension)" explainText="$(string.ToggleExtension_Help)" key="Software\Policies\Amazon\Extension" valueName="enable">
              <parentCategory ref="WorkspacesExtension" />
              <supportedOn ref="SUPPORTED_ProductOnly" />
              <enabledValue>
                  <decimal value="1" />
              </enabledValue>
              <disabledValue>
                  <decimal value="0" />
              </disabledValue>
          </policy>
      </policies>
  </policyDefinitions>
  ```

# WorkSpaces 在 WorkSpaces 个人版中管理你的 Amazon Linux 2
<a name="manage_linux_workspace"></a>

对于需要 RPM Package Manager (RPM) 的工作负载，我们建议使用 [Red Hat Enterprise Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage_rhel_workspace.html) 或 [Rocky Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage_rockylinux_workspace.html)。Amazon Linux 2 可能无法提供您可能需要的某些应用程序和库的最新版本，例如 Firefox 和 glibc。

由于 Linux 实例不遵循组策略，因此建议您使用配置管理解决方案进行分发和实施策略。例如，您可以使用 [Ansible](https://www.ansible.com/)。

**注意**  
本地打印机重定向不适用于亚马逊 Linux WorkSpaces。

## 控制 Amazon Linux 上的 DCV 行为 WorkSpaces
<a name="wsp_agent_linux"></a>

DCV 的行为受 `wsp.conf` 文件中的配置设置控制，该文件位于 `/etc/wsp/` 目录中。要部署和实施对策略的更改，请使用支持 Amazon Linux 的配置管理解决方案。任何更改将在代理启动后生效。

**注意**  
如果您对`wsp.conf`文件进行了不正确或不支持的更改，则策略更改可能不会应用于您 WorkSpace上新建立的连接。
DCV 捆绑包 WorkSpaces 上的 Amazon Linux 目前存在以下限制：  
目前仅在 AWS GovCloud （美国西部）和 AWS GovCloud （美国东部）提供。
不支持视频输入。
不支持屏幕锁定时断开会话连接。

下面各部分介绍了如何启用或禁用某些功能。

## 为 DCV 配置剪贴板重定向 Amazon Linux WorkSpaces
<a name="wsp_linux_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果需要，可以使用 DCV 配置文件配置此功能。当您断开连接并重新连接时，此设置就会生效。 WorkSpace

**要为 DCV 配置剪贴板重定向 Amazon Linux WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 

   ```
   clipboard = X
   ```

   其中可能的值*X*为：

   `enabled` - 启用双向剪贴板重定向（默认）

   `disabled` - 禁用双向剪贴板重定向

   `paste-only` - 剪贴板重定向已启用，但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面

   `copy-only` - 剪贴板重定向已启用，但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备

## 为 DCV 启用或禁用音频输入重定向 Amazon Linux WorkSpaces
<a name="wsp_linux_audio"></a>

默认情况下， WorkSpaces 支持音频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。当您断开连接并重新连接到时，此设置就会生效。 WorkSpace

**启用或禁用 DCV 的音频输入重定向 Amazon Linux WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到文件的末尾。

   ```
   audio-in = X
   ```

   其中可能的值*X*为：

   `enabled` - 启用音频输入重定向（默认）

   `disabled` - 禁用音频输入重定向

## 为 DCV 启用或禁用时区重定向 Amazon Linux WorkSpaces
<a name="linux_time_zone_wsp"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种，例如以下原因：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 经常出差的用户希望将自己留 WorkSpaces 在一个时区，以保持一致性和个人喜好。

如果需要，可以使用 DCV 配置文件配置此功能。此设置在断开连接并重新连接到后生效。 WorkSpace

**要为 DCV 启用或禁用 Amazon Linux 的时区重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf
   ```

1. 将以下行添加到文件的末尾。

   ```
   timezone_redirect= X
   ```

   其中可能的值*X*为：

   **启用** - 启用时区重定向（默认）

   **禁用** - 禁用时区重定向

## 控制 PCo IP 代理在 Amazon Linux 上的行为 WorkSpaces
<a name="pcoip_agent_linux"></a>

 PCoIP 代理的行为由文件中的配置设置控制，该`pcoip-agent.conf`文件位于`/etc/pcoip-agent/`目录中。要部署和实施对策略的更改，请使用支持 Amazon Linux 的配置管理解决方案。任何更改将在代理启动后生效。重新启动代理会结束所有打开的连接并重新启动窗口管理器。要应用任何更改，我们建议重新启动。 WorkSpace

**注意**  
如果您对`pcoip-agent.conf`文件进行了不正确或不支持的更改，则可能会导致无法运行。 WorkSpace 如果您 WorkSpace 停止工作，则可能需要[ WorkSpace 使用 SSH 连接到您](connect-to-linux-workspaces-with-ssh.md)的，以还原更改，或者您可能需要[重新构建 WorkSpace](rebuild-workspace.md)。

下面各部分介绍了如何启用或禁用某些功能。要查看可用设置的完整列表，请在任何 Amazon Linux 上`man pcoip-agent.conf`从终端运行 WorkSpace。

## 为 PCo IP 配置剪贴板重定向 Amazon Linux WorkSpaces
<a name="linux_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果需要，可以使用 PCo IP 代理会议禁用此功能。此设置将在您重新启动时生效 WorkSpace。

**要为 PCo IP 配置剪贴板重定向 Amazon Linux WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `pcoip-agent.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. 将以下行添加到文件的末尾。

   ```
   pcoip.server_clipboard_state = X
   ```

   其中可能的值*X*为：

   0 - 禁用双向剪贴板重定向

   1 - 启用双向剪贴板重定向

   2 - 启用剪贴板重定向，但仅限从客户端剪贴到代理（允许复制，但仅限从本地客户端设备粘贴到远程主机桌面）

   3 - 启用剪贴板重定向，但仅限从代理剪贴到客户端（允许复制，但仅限从远程主机桌面粘贴到本地客户端设备）

**注意**  
剪贴板重定向是作为虚拟通道实施的。如果禁用了虚拟通道，则剪贴板重定向将不起作用。要启用虚拟频道，请参阅 Teradici 文档中的 [ PCoIP 虚拟频道](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/20.07/admin-guide/configuring/configuring/#pcoip-virtual-channels)。

## 为 IP 启用或禁用音频输入重定向 PCo Amazon Linux WorkSpaces
<a name="linux_audio"></a>

默认情况下， WorkSpaces 支持音频输入重定向。如果需要，可以使用 PCo IP 代理会议禁用此功能。此设置将在您重新启动时生效 WorkSpace。

**要启用或禁用 IP 的音频输入重定向 PCo Amazon Linux WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `pcoip-agent.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. 将以下行添加到文件的末尾。

   ```
   pcoip.enable_audio = X
   ```

   其中可能的值*X*为：

   0 - 禁用音频输入重定向

   1 - 启用音频输入重定向

## 为 PCo IP 启用或禁用 Amazon Linux 的时区重定向 WorkSpaces
<a name="linux_time_zone"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种，例如以下原因：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 经常出差的用户希望将自己留 WorkSpaces 在一个时区，以保持一致性和个人喜好。

如果 Linux 需要 WorkSpaces，可以使用 PCo IP 代理会议来禁用此功能。此设置将在您重新启动时生效 WorkSpace。

**要为 PCo IP 启用或禁用 Amazon Linux 的时区重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `pcoip-agent.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
   ```

1. 将以下行添加到文件的末尾。

   ```
   pcoip.enable_timezone_redirect= X
   ```

   其中可能的值*X*为：

   0 - 禁用时区重定向

   1 - 启用时区重定向

## 向 Amazon Linux WorkSpaces 管理员授予 SSH 访问权限
<a name="linux_ssh"></a>

默认情况下，只有域管理员组中分配的用户和账户才能使用 SSH 连接到 Amazon Linux WorkSpaces 。

我们建议您在 Active Directory 中为 Amazon Linux WorkSpaces 管理员创建一个专门的管理员组。

**为 Linux\$1WorkSpaces\$1Admins Active Directory 组的成员启用 sudo 访问权限**

1. 使用 `visudo` 编辑 `sudoers` 文件，如下例所示。

   ```
   [example\username@workspace-id ~]$ sudo visudo
   ```

1. 添加以下行。

   ```
   %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL 
   ```

在您创建专用管理员组之后，请按照以下步骤为组的成员启用登录。

**启用 Linux\$1 WorkSpaces \$1Admins Active Directory 组成员的登录**

1. 使用提升的权限编辑 `/etc/security/access.conf`。

   ```
   [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 添加以下行。

   ```
   +:(example\Linux_WorkSpaces_Admins):ALL 
   ```

有关启用 SSH 连接的更多信息，请参阅[WorkSpaces 在 WorkSpaces 个人版中为你的 Linux 启用 SSH 连接](connect-to-linux-workspaces-with-ssh.md)。

## 替换亚马逊 Linux 的默认外壳 WorkSpaces
<a name="linux_shell"></a>

要覆盖 Linux 的默认外壳 WorkSpaces，我们建议您编辑用户的`~/.bashrc`文件。例如，要使用 `Z shell` 而不是 `Bash` shell，请将以下行添加到 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
进行此更改后，必须重新启动 WorkSpace 或注销 WorkSpace （而不仅仅是断开连接），然后重新登录才能使更改生效。

## 保护自定义存储库免遭未授权访问
<a name="password_protect_repos"></a>

要控制对自定义存储库的访问，建议使用 Amazon Virtual Private Cloud (Amazon VPC) 中内置的安全功能，而不使用密码。例如，使用网络访问控制列表 (ACLs) 和安全组。有关这些功能的更多信息，请参阅《Amazon VPC 用户指南》**中的[安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。

如果必须使用密码来保护存储库，请确保创建您的 `yum` 存储库定义文件，如 Fedora 文档中的[存储库定义文件](https://docs.fedoraproject.org/en-US/Fedora_Core/3/html/Software_Management_Guide/sn-writing-repodefs.html)所示。

## 使用 Amazon Linux Extras 库存储库
<a name="linux_extras"></a>

利用 Amazon Linux，您可以使用 Extras 库，在您的实例上安装应用程序和软件更新。有关使用 Extras 库的信息，请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》**中的 [Extras 库 (Amazon Linux)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#extras-library)。

**注意**  
如果您使用的是亚马逊 Linux 存储库，则您的亚马逊 Linux WorkSpaces 必须能够访问互联网，或者您必须为该存储库和主 Amazon Linux 存储库配置虚拟私有云 (VPC) 终端节点。有关更多信息，请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。

## 在 Linux 上使用智能卡进行身份验证 WorkSpaces
<a name="linux_smart_cards"></a>

Linux WorkSpaces on DCV 捆绑包允许使用[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV)](https://piv.idmanagement.gov/) 智能卡进行身份验证。有关更多信息，请参阅 [在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)。

## 配置用于互联网访问的设备代理服务器设置
<a name="gp_device_proxy_linux"></a>

默认情况下， WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS（端口 443）流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

**注意**  
不支持需要使用登录凭证进行身份验证的代理服务器。

您可以按照 Microsoft 文档中配置设备代理[和互联网连接设置中的步骤， WorkSpaces 通过组策略为 Linux 配置设备代理服务器设置](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)。

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息，请参阅 A *mazon WorkSpaces 用户*指南中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)。

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)。

### 代理桌面流量
<a name="w2aac11c29c13c35c15"></a>

对于 PCo IP WorkSpaces，桌面客户端应用程序不支持使用代理服务器，也不支持 TLS 解密和检查 UDP 中的端口 4172 流量（用于桌面流量）。它们需要直接连接到端口 4172。

对于 DCV WorkSpaces， WorkSpaces Windows 客户端应用程序（版本 5.1 及更高版本）和 macOS 客户端应用程序（版本 5.4 及更高版本）支持使用 HTTP 代理服务器处理端口 4195 TCP 流量。不支持 TLS 解密和检查。

DCV 不支持使用代理来处理通过 UDP 进行的桌面流量。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序和网络访问支持使用代理来处理 TCP 流量。

**注意**  
如果您选择使用代理服务器，则客户端应用程序对 WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。

### 关于使用代理服务器的建议
<a name="w2aac11c29c13c35c17"></a>

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已经过加密，因此代理并不能提高安全性。代理代表网络路径中的额外跳跃，它可能会通过引入延迟来影响流式传输质量。如果代理的大小不合适，无法处理桌面流式传输流量，则代理也可能会降低吞吐量。此外，大多数代理不是为支持长时间运行 WebSocket (TCP) 连接而设计的，可能会影响直播质量和稳定性。

如果您必须使用代理，请将代理服务器尽可能靠近 WorkSpace 客户端，最好位于同一网络中，以避免增加网络延迟，因为这可能会对直播质量和响应能力产生负面影响。

# 以个人模式管理你的 Ubuntu WorkSpaces WorkSpaces
<a name="manage_ubuntu_workspace"></a>

你的 Ubuntu WorkSpaces 捆绑包包括订阅 Canonical 的 Ubuntu Pro。与 Windows 和 Amazon Linux 一样 WorkSpaces，Ubuntu WorkSpaces 已加入域名，因此你可以使用 Active Directory 用户和群组来：
+ 管理你的 Ubuntu WorkSpaces
+ 为用户提供对这些内容 WorkSpaces 的访问权限

您可以使用组策略管理 Ubun WorkSpaces tu。 ADsys有关更多信息，请参阅 [Ubuntu Active Directory 集成常见问题](https://ubuntu.com/blog/new-active-directory-integration-features-in-ubuntu-22-04-faq)。您还可以使用其他配置和管理解决方案，例如 [Landscape](https://ubuntu.com/landscape) 和 [Ansible](https://www.ansible.com/)。

## 控制 Ubuntu 上的 DCV 行为 WorkSpaces
<a name="wsp_ubuntu"></a>

DCV 的行为受 `wsp.conf` 文件中的配置设置控制，该文件位于 `/etc/wsp/` 目录中。要部署和实施对策略的更改，请使用支持 Ubuntu 的配置管理解决方案。任何更改将在代理启动后生效。

**注意**  
如果您对`wsp.conf`策略做出了不正确或不支持的更改，则可能不会应用于与您的 WorkSpace新建立的连接。

下面各部分介绍了如何启用或禁用某些功能。

## 为 Ubuntu 启用或禁用剪贴板重定向 WorkSpaces
<a name="ubuntu_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**启用或禁用 Ubuntu 的剪贴板重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   clipboard = X
   ```

   其中可能的值*X*为：

   **启用** - 启用双向剪贴板重定向（默认）

   **禁用** - 禁用双向剪贴板重定向

   **仅粘贴** - 剪贴板重定向已启用，但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面

   **仅复制** - 剪贴板重定向已启用，但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备

## 启用或禁用 Ubuntu 的音频输入重定向 WorkSpaces
<a name="ubuntu_audio"></a>

默认情况下， WorkSpaces 支持音频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**启用或禁用 Ubuntu 的音频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   audio-in = X
   ```

   其中可能的值*X*为：

   **启用** - 启用音频输入重定向（默认）

   **禁用** - 禁用音频输入重定向

## 为 Ubuntu 启用或禁用视频输入重定向 WorkSpaces
<a name="ubuntu_video"></a>

默认情况下， WorkSpaces 支持视频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**启用或禁用 Ubuntu 的视频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   video-in = X
   ```

   其中可能的值*X*为：

   **启用** - 启用视频输入重定向（默认）

   **禁用** - 禁用视频输入重定向

## 启用或禁用 Ubuntu 的时区重定向 WorkSpaces
<a name="ubuntu-time-zone"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种，例如以下原因：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 您的用户经常旅行，并希望将他们留 WorkSpaces 在同一个时区，以保持一致性和个人偏好。

如果需要，可以使用 DCV 配置文件配置此功能。

**启用或禁用 Ubuntu 的时区重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   timezone-redirection = X
   ```

   其中可能的值*X*为：

   **启用** - 启用时区重定向（默认）

   **禁用** - 禁用时区重定向

## 启用或禁用 Ubuntu 的打印机重定向 WorkSpaces
<a name="ubuntu_printer"></a>

默认情况下， WorkSpaces 支持打印机重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**启用或禁用 Ubuntu 的打印机重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   remote-printing = X
   ```

   其中可能的值*X*为：

   **启用** - 启用打印机重定向（默认）

   **禁用** - 禁用打印机重定向

## 启用或禁用 DCV 屏幕锁定时断开会话连接
<a name="ubuntu_screenlock"></a>

启用屏幕锁定时断开会话，允许您的用户在检测到锁屏时结束 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接，用户可以使用自己的密码或智能卡进行身份验证，具体取决于为其 WorkSpaces启用了哪种类型的身份验证。

默认情况下， WorkSpaces 不支持屏幕锁定时断开会话连接。如果需要，可以使用 DCV 配置文件启用此功能。

**启用或禁用 Ubuntu 的屏幕锁定时断开连接会话 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   disconnect-on-lock = X
   ```

   其中可能的值*X*为：

   **启用** - 启用屏幕锁定时断开连接

   **禁用** - 禁用屏幕锁定时断开连接（默认）

## 向 Ubuntu WorkSpaces 管理员授予 SSH 访问权限
<a name="grant_ssh_access_ubuntu"></a>

默认情况下，只有域管理员组中分配的用户和帐户才能使用 SSH 连接到 Ubuntu WorkSpaces 。要允许其他用户和账户 WorkSpaces 使用 SSH 连接到 Ubuntu，我们建议你在 Active Directory 中为 Ubuntu 管理员创建一个专门的 WorkSpaces 管理员组。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用 sudo 访问权限**

1. 使用 `visudo` 编辑 `sudoers` 文件，如下例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 添加以下行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

在您创建专用管理员组之后，请按照以下步骤为组的成员启用登录。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用登录**

1. 使用提升的权限编辑 /`etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 添加以下行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 使用 Ubunt WorkSpaces u，在为 SSH 连接指定用户名时无需添加域名，而且默认情况下，密码身份验证处于禁用状态。要通过 SSH 进行连接，你需要在 Ubuntu `$HOME/.ssh/authorized_keys` 上将 SSH 公钥添加`/etc/ssh/sshd_config`到 WorkSpace，或者编辑设置为 PasswordAuthentication 。`yes`有关启用 SSH 连接的更多信息，请参阅[为您的 Linux 启用 SSH 连接 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)。

## 覆盖 Ubuntu 的默认外壳 WorkSpaces
<a name="override_default_shell_ubuntu"></a>

要覆盖 Ubuntu 的默认外壳 WorkSpaces，我们建议您编辑用户的`~/.bashrc`文件。例如，要使用 `Z shell` 而不是 `Bash` shell，请将以下行添加到 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
进行此更改后，必须重新启动 WorkSpace 或注销 WorkSpace （而不仅仅是断开连接），然后重新登录才能使更改生效。

## 在 Ubuntu 上使用智能卡进行身份验证 WorkSpaces
<a name="linux_smart_cards"></a>

Ubuntu WorkSpaces 捆绑包允许使用[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV) 智能卡进行身份验证](https://piv.idmanagement.gov/)。有关更多信息，请参阅 [在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)。

## 配置用于互联网访问的设备代理服务器设置
<a name="gp_device_proxy_ubuntu"></a>

默认情况下， WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS（端口 443）流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

**注意**  
不支持需要使用登录凭证进行身份验证的代理服务器。

您可以按照 Microsoft 文档中配置设备代理[和互联网连接设置中的步骤， WorkSpaces 通过组策略为 Ubuntu 配置设备代理服务器设置](https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet)。

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server)。

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息，请参阅 A *mazon WorkSpaces 用户*指南中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_proxy_server)。

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息，请参阅 *Amazon WorkSpaces 用户指南*中的[代理服务器](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html#web-access-proxy)。

### 代理桌面流量
<a name="w2aac11c29c15c29c15"></a>

对于 PCo IP WorkSpaces，桌面客户端应用程序不支持使用代理服务器，也不支持 TLS 解密和检查 UDP 中的端口 4172 流量（用于桌面流量）。它们需要直接连接到端口 4172。

对于 DCV WorkSpaces， WorkSpaces Windows 客户端应用程序（版本 5.1 及更高版本）和 macOS 客户端应用程序（版本 5.4 及更高版本）支持使用 HTTP 代理服务器处理端口 4195 TCP 流量。不支持 TLS 解密和检查。

DCV 不支持使用代理来处理通过 UDP 进行的桌面流量。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序和网络访问支持使用代理来处理 TCP 流量。

**注意**  
如果您选择使用代理服务器，则客户端应用程序对 WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。

### 关于使用代理服务器的建议
<a name="w2aac11c29c15c29c17"></a>

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

Amazon WorkSpaces 桌面流量已经过加密，因此代理并不能提高安全性。代理代表网络路径中的额外跳跃，它可能会通过引入延迟来影响流式传输质量。如果代理的大小不合适，无法处理桌面流式传输流量，则代理也可能会降低吞吐量。此外，大多数代理不是为支持长时间运行 WebSocket (TCP) 连接而设计的，可能会影响直播质量和稳定性。

如果您必须使用代理，请将代理服务器尽可能靠近 WorkSpace 客户端，最好位于同一网络中，以避免增加网络延迟，因为这可能会对直播质量和响应能力产生负面影响。

# 管理你的洛基 Linux WorkSpaces
<a name="manage_rockylinux_workspace"></a>

你可以使用 [Ansible](https://www.ansible.com/) 等配置和管理解决方案来管理 Rocky Linux WorkSpaces 。

**注意**  
您不得删除、修改或掩盖 Rocky Linux 软件之内或本身包含的任何版权、商标或其他专有或保密声明。

## 控制 Rocky Linux 上的 DCV 行为 WorkSpaces
<a name="wsp_rockylinux"></a>

DCV 的行为受 `wsp.conf` 文件中的配置设置控制，该文件位于 `/etc/wsp/` 目录中。要部署和实施对策略的更改，请使用支持 Rocky Linux 的配置管理解决方案。任何更改将在代理启动后生效。

**注意**  
如果您对`wsp.conf`策略做出了不正确或不支持的更改，则可能不会应用于与您的 WorkSpace新建立的连接。

下面各部分介绍了如何启用或禁用某些功能。

## 为 Rocky Linux 启用或禁用剪贴板重定向 WorkSpaces
<a name="rockylinux_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Rocky Linux 启用或禁用剪贴板重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   clipboard = X
   ```

   其中可能的值*X*为：

   **启用** - 启用双向剪贴板重定向（默认）

   **禁用** - 禁用双向剪贴板重定向

   **仅粘贴** - 剪贴板重定向已启用，但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面

   **仅复制** - 剪贴板重定向已启用，但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备

## 为 Rocky Linux 启用或禁用音频输入重定向 WorkSpaces
<a name="rockylinux_audio"></a>

默认情况下， WorkSpaces 支持音频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Rocky Linux 启用或禁用音频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   audio-in = X
   ```

   其中可能的值*X*为：

   **启用** - 启用音频输入重定向（默认）

   **禁用** - 禁用音频输入重定向

## 为 Rocky Linux 启用或禁用视频输入重定向 WorkSpaces
<a name="rockylinux_video"></a>

默认情况下， WorkSpaces 支持视频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Rocky Linux 启用或禁用视频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   video-in = X
   ```

   其中可能的值*X*为：

   **启用** - 启用视频输入重定向（默认）

   **禁用** - 禁用视频输入重定向

## 为 Rocky Linux 启用或禁用时区重定向 WorkSpaces
<a name="rockylinux-time-zone"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种，例如以下原因：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 您的用户经常旅行，并希望将他们留 WorkSpaces 在同一个时区，以保持一致性和个人偏好。

如果需要，可以使用 DCV 配置文件配置此功能。

**为 Rocky Linux 启用或禁用时区重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   timezone-redirection = X
   ```

   其中可能的值*X*为：

   **启用** - 启用时区重定向（默认）

   **禁用** - 禁用时区重定向

## 为 Rocky Linux 启用或禁用打印机重定向 WorkSpaces
<a name="rockylinux_printer"></a>

默认情况下， WorkSpaces 支持打印机重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为 Rocky Linux 启用或禁用打印机重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   remote-printing = X
   ```

   其中可能的值*X*为：

   **启用** - 启用打印机重定向（默认）

   **禁用** - 禁用打印机重定向

## 启用或禁用 DCV 屏幕锁定时断开会话连接
<a name="rockylinux_screenlock"></a>

启用屏幕锁定时断开会话，允许您的用户在检测到锁屏时结束 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接，用户可以使用自己的密码或智能卡进行身份验证，具体取决于为其 WorkSpaces启用了哪种类型的身份验证。

默认情况下， WorkSpaces 不支持屏幕锁定时断开会话连接。如果需要，可以使用 DCV 配置文件启用此功能。

**在 Rocky Linux 上启用或禁用屏幕锁定时断开连接会话 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   disconnect-on-lock = X
   ```

   其中可能的值*X*为：

   **启用** - 启用屏幕锁定时断开连接

   **禁用** - 禁用屏幕锁定时断开连接（默认）

## 向 Rocky Linux WorkSpaces 管理员授予 SSH 访问
<a name="grant_ssh_access_rockylinux"></a>

默认情况下，只有域管理员组中分配的用户和帐户才能使用 SSH 连接到 Rock WorkSpaces y Linux。要允许其他用户和账户 WorkSpaces 使用 SSH 连接到 Rocky Linux，我们建议你在 Active Directory 中为 Rocky Linux WorkSpaces 管理员创建一个专门的管理员群组。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用 sudo 访问权限**

1. 使用 `visudo` 编辑 `sudoers` 文件，如下例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 添加以下行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

在您创建专用管理员组之后，请按照以下步骤为组的成员启用登录。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用登录**

1. 使用提升的权限编辑 /`etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 添加以下行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 使用 Rocky Linux WorkSpaces ，在为 SSH 连接指定用户名时无需添加域名，并且默认情况下，密码身份验证处于禁用状态。要通过 SSH 进行连接，你需要在 Rocky Linux `$HOME/.ssh/authorized_keys` 上将 SSH 公钥添加`/etc/ssh/sshd_config`到 WorkSpace，或者编辑设置为 PasswordAuthentication `yes`。有关启用 SSH 连接的更多信息，请参阅[为您的 Linux 启用 SSH 连接 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)。

## 覆盖 Rocky Linux 的默认外壳 WorkSpaces
<a name="override_default_shell_rockylinux"></a>

要覆盖 Rocky Linux 的默认外壳 WorkSpaces，我们建议您编辑用户的`~/.bashrc`文件。例如，要使用 `Z shell` 而不是 `Bash` shell，请将以下行添加到 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
进行此更改后，必须重新启动 WorkSpace 或注销 WorkSpace （而不仅仅是断开连接），然后重新登录才能使更改生效。

## 在 Rocky Linux 上使用智能卡进行身份验证 WorkSpaces
<a name="linux_smart_cards"></a>

Rocky Linux WorkSpaces 捆绑包允许使用[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV)](https://piv.idmanagement.gov/) 智能卡进行身份验证。有关更多信息，请参阅 [在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)。

# 管理你的红帽企业 Linux WorkSpaces
<a name="manage_rhel_workspace"></a>

您可以使用 [Ansible](https://www.ansible.com/) 等配置和管理解决方案来管理红帽企业 Linux WorkSpaces 。

## 控制红帽企业 Linux 上的 DCV 行为 WorkSpaces
<a name="wsp_rhel"></a>

DCV 的行为受 `wsp.conf` 文件中的配置设置控制，该文件位于 `/etc/wsp/` 目录中。要部署和实施对策略的更改，请使用支持 Red Hat Enterprise Linux 的配置管理解决方案。任何更改将在代理启动后生效。

**注意**  
如果您对`wsp.conf`策略做出了不正确或不支持的更改，则可能不会应用于与您的 WorkSpace新建立的连接。

下面各部分介绍了如何启用或禁用某些功能。

## 为红帽企业 Linux 启用或禁用剪贴板重定向 WorkSpaces
<a name="rhel_clipboard"></a>

默认情况下， WorkSpaces 支持剪贴板重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为红帽企业 Linux 启用或禁用剪贴板重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   clipboard = X
   ```

   其中可能的值*X*为：

   **启用** - 启用双向剪贴板重定向（默认）

   **禁用** - 禁用双向剪贴板重定向

   **仅粘贴** - 剪贴板重定向已启用，但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面

   **仅复制** - 剪贴板重定向已启用，但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备

## 为红帽企业 Linux 启用或禁用音频输入重定向 WorkSpaces
<a name="rhel_audio"></a>

默认情况下， WorkSpaces 支持音频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为红帽企业 Linux 启用或禁用音频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   audio-in = X
   ```

   其中可能的值*X*为：

   **启用** - 启用音频输入重定向（默认）

   **禁用** - 禁用音频输入重定向

## 为红帽企业 Linux 启用或禁用视频输入重定向 WorkSpaces
<a name="rhel_video"></a>

默认情况下， WorkSpaces 支持视频输入重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为红帽企业 Linux 启用或禁用视频输入重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   video-in = X
   ```

   其中可能的值*X*为：

   **启用** - 启用视频输入重定向（默认）

   **禁用** - 禁用视频输入重定向

## 为红帽企业 Linux 启用或禁用时区重定向 WorkSpaces
<a name="rhel-time-zone"></a>

默认情况下，工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种，例如以下原因：
+ 您的公司希望所有员工在特定时区中工作（即使某些员工在其他时区）。
+ 您在 a 中有计划任务 WorkSpace ，这些任务本应在特定时区的特定时间运行。
+ 您的用户经常旅行，并希望将他们留 WorkSpaces 在同一个时区，以保持一致性和个人偏好。

如果需要，可以使用 DCV 配置文件配置此功能。

**为红帽企业 Linux 启用或禁用时区重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   timezone-redirection = X
   ```

   其中可能的值*X*为：

   **启用** - 启用时区重定向（默认）

   **禁用** - 禁用时区重定向

## 为红帽企业 Linux 启用或禁用打印机重定向 WorkSpaces
<a name="rhel_printer"></a>

默认情况下， WorkSpaces 支持打印机重定向。如果需要，可以使用 DCV 配置文件禁用此功能。

**为红帽企业 Linux 启用或禁用打印机重定向 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   remote-printing = X
   ```

   其中可能的值*X*为：

   **启用** - 启用打印机重定向（默认）

   **禁用** - 禁用打印机重定向

## 启用或禁用 DCV 屏幕锁定时断开会话连接
<a name="rhel_screenlock"></a>

启用屏幕锁定时断开会话，允许您的用户在检测到锁屏时结束 WorkSpaces 会话。要从 WorkSpaces 客户端重新连接，用户可以使用自己的密码或智能卡进行身份验证，具体取决于为其 WorkSpaces启用了哪种类型的身份验证。

默认情况下， WorkSpaces 不支持屏幕锁定时断开会话连接。如果需要，可以使用 DCV 配置文件启用此功能。

**为红帽企业 Linux 启用或禁用屏幕锁定时断开连接会话 WorkSpaces**

1. 通过以下命令，使用提升的权限在编辑器中打开 `wsp.conf` 文件。

   ```
   [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
   ```

1. 将以下行添加到 `[policies]` 组的末尾。

   ```
   disconnect-on-lock = X
   ```

   其中可能的值*X*为：

   **启用** - 启用屏幕锁定时断开连接

   **禁用** - 禁用屏幕锁定时断开连接（默认）

## 向红帽企业 Linux WorkSpaces 管理员授予 SSH 访问权限
<a name="grant_ssh_access_rhel"></a>

默认情况下，只有域管理员组中分配的用户和账户才能使用 SSH 连接到红帽企业 Linux WorkSpaces 。要让其他用户和账户通过 SSH 连接到红帽企业 Linux，我们建议您在 WorkSpaces Active Directory 中为红帽企业 Linux WorkSpaces 管理员创建一个专门的管理员组。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用 sudo 访问权限**

1. 使用 `visudo` 编辑 `sudoers` 文件，如下例所示。

   ```
   [username@workspace-id ~]$ sudo visudo
   ```

1. 添加以下行。

   ```
   %Linux_WorkSpaces_Admins ALL=(ALL) ALL
   ```

在您创建专用管理员组之后，请按照以下步骤为组的成员启用登录。

**为 `Linux_WorkSpaces_Admins` Active Directory 组的成员启用登录**

1. 使用提升的权限编辑 /`etc/security/access.conf`。

   ```
   [username@workspace-id ~]$ sudo vi /etc/security/access.conf
   ```

1. 添加以下行。

   ```
   +:(Linux_WorkSpaces_Admins):ALL
   ```

 使用红帽企业 Linux， WorkSpaces 您无需在为 SSH 连接指定用户名时添加域名，而且默认情况下，密码身份验证处于禁用状态。要通过 SSH 进行连接，您需要在红帽企业 Linux `$HOME/.ssh/authorized_keys` 上将 SSH 公钥添加到 WorkSpace，或者编辑`/etc/ssh/sshd_config` PasswordAuthentication 以设置为`yes`。有关启用 SSH 连接的更多信息，请参阅[为您的 Linux 启用 SSH 连接 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-to-linux-workspaces-with-ssh.html)。

## 覆盖红帽企业 Linux 的默认外壳 WorkSpaces
<a name="override_default_shell_rhel"></a>

要覆盖红帽企业 Linux 的默认外壳 WorkSpaces，我们建议您编辑用户的`~/.bashrc`文件。例如，要使用 `Z shell` 而不是 `Bash` shell，请将以下行添加到 `/home/username/.bashrc`。

```
export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL
```

**注意**  
进行此更改后，必须重新启动 WorkSpace 或注销 WorkSpace （而不仅仅是断开连接），然后重新登录才能使更改生效。

## 在红帽企业 Linux 上使用智能卡进行身份验证 WorkSpaces
<a name="linux_smart_cards"></a>

红帽企业 Linux WorkSpaces 捆绑包允许使用[通用访问卡 (CAC)](https://www.cac.mil/Common-Access-Card) 和[个人身份验证 (PIV)](https://piv.idmanagement.gov/) 智能卡进行身份验证。有关更多信息，请参阅 [在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)。

# 针对 WorkSpaces 个人 WorkSpaces 版中的实时通信进行优化
<a name="communication-optimization"></a>

亚马逊 WorkSpaces 提供多种技术来促进统一通信 (UC) 应用程序的部署，例如微软 Teams、Zoom、Webex 等。在当代应用环境中，大多数 UC 应用程序都包含各种功能，包括 1:1 聊天室、协作群聊频道、无缝文件存储和交换、直播活动、网络研讨会、广播、交互式屏幕共享和控制、白板和离线 audio/video 消息功能。其中大多数功能都可以 WorkSpaces 作为标准功能无缝使用，无需进行额外的微调或增强。但是，值得注意的是，实时通信元素，尤其是通 one-on-one话和集体小组会议，是该规则的例外。成功纳入此类功能通常需要在 WorkSpaces 部署过程中集中精力和进行规划。

在计划在 Amazon 上实施 UC 应用程序的实时通信功能时 WorkSpaces，您有三种不同的实时通信 (RTC) 配置模式可供选择。具体选择取决于您打算向用户提供的一个或多个特定应用程序以及您计划使用的客户端设备。

本文档重点介绍如何优化 Amazon 中最常见的 UC 应用程序的用户体验 WorkSpaces。有关特定于 WorkSpaces Core 的优化，请参阅合作伙伴特定的文档。

**Topics**
+ [媒体优化模式概述](#media-optimization-modes-overview)
+ [使用哪种 RTC 优化模式？](#choosing-optimization-mode)
+ [RTC 优化指南](#rtc-optimization-guidance)

## 媒体优化模式概述
<a name="media-optimization-modes-overview"></a>

以下是可用的媒体优化选项。

### 选项 1：媒体优化的实时通信（媒体优化 RTC）
<a name="media-optimized-rtc"></a>

在此模式下，第三方 UC 和 VoIP 应用程序在远程上执行 WorkSpace，而其媒体框架则转移到支持的客户端进行直接通信。以下 UC 应用程序在 Amazon 上使用这种方法 WorkSpaces：
+ [Zoom Meetings](https://support.zoom.us/hc/en-us/articles/10372235268749-Using-Zoom-for-Amazon-WorkSpaces)
+ [Cisco Webex Meetings](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide.html)
+ [Microsoft Teams 2.0（公开预览版）](https://learn.microsoft.com/en-us/microsoftteams/vdi-2)

要使媒体优化的 RTC 模式正常运行，UC 应用程序供应商应 WorkSpaces 使用可用的软件开发套件 (SDK) 之一（例如 D [CV Extension SDK）开发集成。](https://docs.aws.amazon.com/dcv/latest/extsdkguide/what-is.html)此模式要求在客户端设备上安装 UC 组件。

有关配置此模式的更多信息，请参阅[配置媒体优化的 RTC](#configure-media-optimized-rtc)。

### 选项 2：会话中优化的实时通信（会话中优化的 RTC）
<a name="in-session-optimized-rtc"></a>

在此模式下，未更改的 UC 应用程序在上运行 WorkSpace，通过 DCV 将音频和视频流量传送到客户端设备。来自麦克风的本地音频和来自网络摄像头的视频流被重定向到 WorkSpace，UC 应用程序将在那里使用它们。此模式提供了广泛的应用程序兼容性，并有效地将 UC 应用程序从远程平台传送 WorkSpace到各种客户端平台。您无需将 UC 应用程序组件部署到客户端设备。

有关配置此模式的更多信息，请参阅[配置会话中优化 RTC](#configure-in-session-optimized-rtc)。

### 选项 3：直接实时通信（直接 RTC）
<a name="direct-rtc"></a>

在此模式下，在中运行的 WorkSpace 应用程序将控制位于用户桌面或客户端操作系统上的物理或虚拟电话机。这样一来，音频流量会直接从用户工作站的物理电话或在客户端设备上运行的虚拟电话传送到远程呼叫对等端。在此模式下运行的应用程序的重要实例包括：
+ [针对亚马逊的 Amazon Connect 优化 WorkSpaces](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/connect-optimization.html)
+ [Genesys Cloud WebRTC Media Helper](https://help.mypurecloud.com/articles/about-webrtc-media-helper/)
+ [Microsoft Teams SIP Gateway](https://learn.microsoft.com/en-us/microsoftteams/sip-gateway-plan)
+ [Microsoft Teams 台式电话和 Teams 显示屏](https://www.microsoft.com/en-us/microsoft-teams/across-devices/devices/category/desk-phones-teams-displays/34)
+ 通过 UC 应用程序的拨入或“拨打我的电话”功能参与音频会议。

有关配置此模式的更多信息，请参阅[配置直接 RTC](#configure-direct-rtc)。

## 使用哪种 RTC 优化模式？
<a name="choosing-optimization-mode"></a>

可以同时使用不同的 RTC 优化模式，也可以将其设置为后备模式相互补充。例如，可以考虑为 Cisco Webex 会议启用媒体优化 RTC。此配置可确保用户在 WorkSpace 通过桌面客户端进行访问时体验到优化的通信。但是，在从缺乏 UC 优化组件的共享互联网自助服务亭访问 Webex 的情况下，Webex 将无缝过渡到会话中优化 RTC 模式以保持功能。当用户使用多个 UC 应用程序时，RTC 配置模式可能会根据其独特要求而有所不同。

下表列出了常见的 UC 应用程序功能，并定义了哪种 RTC 配置模式可提供最佳结果。


| 功能 | 直接 RTC | 媒体优化 RTC | 会话中优化的 RTC | 
| --- | --- | --- | --- | 
| **一对一聊天** | 不需要 RTC 配置 | 
| **群聊室** | 不需要 RTC 配置 | 
| **群组音频会议** | Best | Best | 好 | 
| **群组视频会议** | 好 | 最佳 | 好 | 
| **一对一音频通话** | Best | Best | 好 | 
| **一对一视频通话** | 好 | 最佳 | 好 | 
| **白板** | 不需要 RTC 配置 | 
| **Audio/video clips/messaging** | 不适用 | 好 | Best | 
| **文件共享** | 不适用 | 取决于 UC 应用程序 | Best | 
| **屏幕共享和控制** | 不适用 | 取决于 UC 应用程序 | Best | 
| **网络研讨会/广播活动** | 不适用 | 好 | Best | 

## RTC 优化指南
<a name="rtc-optimization-guidance"></a>

### 配置媒体优化的 RTC
<a name="configure-media-optimized-rtc"></a>

UC 应用程序供应商使用 Amazon SDKs 提供的使媒体优化 RTC 模式成为可能。该架构要求 UC 供应商开发特定于 UC 的插件或扩展并将其部署到客户端。

该软件开发工具包含 DCV Extension SDK 和自定义私有版本等公开可用的选项，它在内运行的 UC 应用程序模块 WorkSpace 和客户端的插件之间建立了控制通道。通常，此控制通道会指示客户端扩展发起或加入呼叫。通过客户端扩展建立呼叫后，UC 插件会捕获来自麦克风的音频和来自网络摄像头的视频，然后将其直接传输到 UC 云或呼叫对等端。传入的音频在本地播放，视频叠加在远程客户端 UI 上。控制通道负责传递呼叫的状态。

![\[该图显示了媒体优化 RTC 配置。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/media-optimized-rtc.png)


Amazon WorkSpaces 目前支持以下具有媒体优化 RTC 模式的应用程序：
+ [Zoom 会议](https://support.zoom.us/hc/en-us/articles/10372235268749-Using-Zoom-for-Amazon-WorkSpaces)（适用于 PCo IP 和 DCV WorkSpaces）
+ [思科 Webex 会议（仅](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide.html)适用于 DC WorkSpaces V）
+ [微软 Teams 2.0（公开预览版）](https://learn.microsoft.com/en-us/microsoftteams/vdi-2)（ WorkSpaces 仅适用于 DCV）

如果您使用的应用程序不在列表中，建议您与应用程序供应商联系并请求对 WorkSpaces 媒体优化 RTC 的支持。要加快此过程，请鼓励他们联系 [aws-av-offloading@amazon .com](mailto:aws-av-offloading@amazon.com)。

虽然媒体优化的 RTC 模式可增强通话性能并最大限度地减少 WorkSpace资源使用量，但它确实存在某些限制：
+ UC 客户端扩展必须安装在客户端设备上。
+ UC 客户端扩展需要独立管理和更新。
+ UC 客户端扩展可能在某些客户端平台上不可用，例如移动平台或 Web 客户端。
+ 在此模式下，某些 UC 应用程序功能可能会受到限制；例如，屏幕共享行为可能会有所不同。
+ 使用客户端扩展可能不适合自带设备 (BYOD) 或共享自助服务亭等场景。

如果媒体优化的 RTC 模式经过证明不适合您的环境，或者某些用户无法安装客户端扩展，则建议将会话中优化 RTC 模式配置为后备选项。

### 配置会话中优化 RTC
<a name="configure-in-session-optimized-rtc"></a>

在会话中优化 RTC 模式下，UC 应用程序 WorkSpace无需任何修改即可在上运行，从而提供类似于本地的体验。应用程序生成的音频和视频流由 DCV 捕获并传输到客户端。在客户端，麦克风（在 DCV 和 PCo IP 上 WorkSpaces）和网络摄像头（仅在 DCV 上 WorkSpaces）信号被捕获，重定向回并无缝传递到 UC 应用程序。 WorkSpace

值得注意的是，此选项可确保出色的兼容性，即使使用旧版应用程序也是如此，从而提供连贯的用户体验（无论应用程序的来源如何）。会话中优化也适用于 Web 客户端。

![\[该图显示了会话中优化 RTC 配置。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/in-session-optimized-rtc.png)


DCV 经过精心优化，可增强远程 RTC 模式的性能。优化措施包括：
+ 利用基于 UDP 的自适应 QUIC 传输，确保高效的数据传输。
+ 建立低延迟音频路径，便于快速音频输入和输出。
+ 实施经过语音优化的音频编解码器，以保持音频质量，同时降低 CPU 和网络利用率。
+ 网络摄像头重定向，实现网络摄像头功能的集成。
+ 配置网络摄像头分辨率以优化性能。
+ 集成自适应显示编解码器，以平衡速度和视觉质量。
+ 音频抖动校正，保证流畅的音频传输。

这些优化共同有助于在远程 RTC 模式下提供稳定而流畅的体验。

#### 大小调整建议
<a name="sizing-recommendations"></a>

要有效支持远程 RTC 模式，必须确保 Amazon WorkSpaces 的适当规模。遥控器 WorkSpace 必须满足或超过相应统一通信 (UC) 应用程序的系统要求。下表概述了常用 UC 应用程序用于视频和音频通话时支持的最低配置和推荐 WorkSpaces 配置：


|   | 视频通话 | 音频通话 |   | 应用程序 | RTC 应用程序的 CPU 要求 | RTC 应用程序的内存要求 | 最低支持 WorkSpace | 推荐 WorkSpace | 最低支持 WorkSpace | 推荐 WorkSpace | 参考 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Microsoft Teams | 需要 2 个内核，推荐 4 个内核 | 4.0 GB 内存 | 节能（4 个 vCPU，16 GB 内存） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/communication-optimization.html)  | 性能（2 个 vCPU，8 GB 内存） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/communication-optimization.html)  | [Microsoft Teams 的硬件要求](https://learn.microsoft.com/en-us/microsoftteams/hardware-requirements-for-the-teams-app) | 
| Zoom | 需要 2 个内核，推荐 4 个内核 | 4.0 GB 内存 | 节能（4 个 vCPU，16 GB 内存） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/communication-optimization.html)  | 性能（2 个 vCPU，8 GB 内存） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/communication-optimization.html)  | [Zoom 系统要求：Windows、macOS、Linux](https://support.zoom.us/hc/en-us/articles/201362023-Zoom-system-requirements-Windows-macOS-Linux) | 
| Webex | 需要 2 个内核 | 4.0 GB 内存 | 节能（4 个 vCPU，16 GB 内存） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/communication-optimization.html)  | 性能（2 个 vCPU，8 GB 内存） |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/communication-optimization.html)  | [Webex 服务的系统要求](https://help.webex.com/en-us/article/fz1e4b/System-requirements-for-Webex-services) | 

值得注意的是，视频会议在视频编码和解码时使用了大量资源。在物理计算机场景中，这些任务会分载到 GPU。在非 GPU 中 WorkSpaces，这些任务在 CPU 上与远程协议编码并行执行。因此，对于经常进行视频流或视频通话的用户，强烈建议选择 PowerPro 或更高的配置。

屏幕共享还会消耗大量资源，分辨率越高，资源消耗就会增加。因此，在非 GPU 上 WorkSpaces，屏幕共享通常仅限于较低的帧速率。

#### 通过 DCV 利用基于 UDP 的 QUIC 传输
<a name="leaverage-udp-based-quic-transport"></a>

UDP 传输特别适合传输 RTC 应用程序。为了显著提高效率，请确保将您的网络设置为通过 DCV 使用 QUIC 传输。请注意，基于 UDP 的传输仅适用于本机客户端。

#### 配置 UC 应用程序 WorkSpaces
<a name="configure-uc-application"></a>

要增强视频处理能力，例如背景模糊、虚拟背景、反应或主持直播活动，选择支持 GPU 的视频对于实现最佳性能 WorkSpace 至关重要。

大多数 UC 应用程序都提供了禁用高级视频处理以降低非 GP WorkSpaces U 上的 CPU 使用率的指导。

有关更多信息，请参阅以下资源。
+ Microsoft Teams：[虚拟化桌面基础架构中的 Teams](https://https://learn.microsoft.com/en-us/microsoftteams/vdi-2)
+ Zoom Meetings：[管理不兼容的 VDI 插件的用户体验](https://support.zoom.us/hc/en-us/articles/4411856902285-Managing-the-user-experience-for-incompatible-VDI-plugins-)
+ Webex：[适用于虚拟桌面基础架构 (VDI) 的 Webex 应用程序部署指南 - 管理适用于 VDI 的 Webex 应用程序并排除其问题 [Webex 应用程序]](https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cloudCollaboration/wbxt/vdi/wbx-vdi-deployment-guide/manage-teams-vdi.html#id_138538)
+ Google Meet：[使用 VDI](https://support.google.com/a/answer/1279090?hl=en#VDI)

#### 启用双向音频和网络摄像头重定向
<a name="enable-bi-directional-audio-webcam-redirection"></a>

默认情况下，Amazon WorkSpaces 本质上支持通过视频输入进行音频输入、音频输出和摄像机重定向。但是，如果由于任何特定原因禁用了这些功能，则您可以按照提供的指导重新启用重定向。*有关更多信息，请参阅《Amazon 管理指南》[中的 “启用或禁用 DCV 的视频输入重定向](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_video_in_wsp)”。 WorkSpaces*连接后，用户需要选择要在会话中使用的摄像头。有关更多信息，用户应参阅《*亚马逊 WorkSpaces 用户指南》*中的[网络摄像头和其他视频设备](https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html#devices-webcams)。

#### 限制网络摄像头的最大分辨率
<a name="limit-maximum-webcam-resolution"></a>

对于使用 Power PowerPro、 GeneralPurpose .4xlarge 或 GeneralPurpose .8xlarge WorkSpaces 进行视频会议的用户，强烈建议限制重定向网络摄像头的最大分辨率。对于 GeneralPurpose .4xlarge 或 GeneralPurpose .8xlarge，建议的最大分辨率为宽 640 像素 x 高 480 像素。 PowerPro就节能而言，建议的最大分辨率为宽 320 像素，高 240 像素。

完成以下步骤，配置网络摄像头的最大分辨率。

1. 打开 Windows 注册表编辑器。

1. 导航到以下注册表路径：

   ```
   HKEY_USERS/S-1-5-18/Software/GSettings/com/nicesoftware/dcv/webcam
   ```

1. 创建一个名为 `max-resolution` 的字符串值，并将其设置为 `(X,Y)` 格式所需的分辨率，其中 `X` 表示水平像素数（宽度），`Y` 表示垂直像素数（高度）。例如，指定 `(640,480)`)，以表示宽度为 640 像素、高度为 480 像素的分辨率。

#### 启用语音优化的音频配置
<a name="enable-voice-optimized-audio-configuration"></a>

默认情况下，设置 WorkSpaces 为从 WorkSpaces 客户端传输 7.1 高保真音频，从而确保卓越的音乐播放质量。但是，如果您的主要使用案例涉及音频或视频会议，则将音频编解码器配置文件修改为语音优化设置可以节省 CPU 和网络资源。

完成以下步骤，将音频配置文件设置为语音优化。

1. 打开 Windows 注册表编辑器。

1. 导航到以下注册表路径：

   ```
   HKEY_USERS/S-1-5-18/Software/GSettings/com/nicesoftware/dcv/audio
   ```

1. 创建名为 `default-profile` 的字符串值，并将其设置为 `voice`。

#### 使用高质量头戴式耳机进行音频和视频通话
<a name="use-good-quality-headsets"></a>

为了增强音频体验并防止回声，使用高质量的头戴式耳机至关重要。使用台式机扬声器可能会导致通话的远程端出现回声问题。

### 配置直接 RTC
<a name="configure-direct-rtc"></a>

直接 RTC 模式的配置取决于特定的统一通信 (UC) 应用程序，不需要对配置进行任何更改。 WorkSpaces 以下列表简单编译了针对各种 UC 应用程序的优化。

![\[该图显示了直接 RTC 配置。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/direct-rtc.png)

+ Microsoft Teams：
  + [规划 SIP Gateway](https://learn.microsoft.com/en-us/microsoftteams/sip-gateway-plan)
  + [Microsoft 365 中的音频会议](https://learn.microsoft.com/en-us/microsoftteams/audio-conferencing-in-office-365)
  + [规划 Teams 语音解决方案](https://learn.microsoft.com/en-us/microsoftteams/cloud-voice-landing-page)
+ Zoom Meetings：
  + [启用或禁用长途电话拨入号码](https://support.zoom.us/hc/en-us/articles/360060920371-Enabling-or-disabling-toll-call-dial-in-numbers)
  + [使用桌面电话呼叫控制](https://support.zoom.us/hc/en-us/articles/4912628206477-Using-desk-phone-call-control)
  + [桌面电话伴侣模式](https://support.zoom.us/hc/en-us/articles/360049007912-Desk-phone-companion-mode)
+ Webex：
  + [Webex 应用程序 \$1 使用桌面电话拨打电话](https://help.webex.com/en-us/article/5mgmmb/Webex-App-%7C-Make-calls-with-your-desk-phone)
  + [Webex 应用程序 \$1 支持的通话选项](https://help.webex.com/en-us/article/xga73p/Webex-App-%7C-Supported-calling-options)
+ BlueJeans:
  + [从台式电话拨入会议](https://support.bluejeans.com/s/article/Dialing-into-a-meeting-from-a-Desk-Telephone)
+ Genesys：
  + [Genesys Cloud WebRTC Media Helper](https://help.mypurecloud.com/articles/about-webrtc-media-helper/)
+ Amazon Connect：
  + [针对亚马逊的 Amazon Connect 优化 WorkSpaces](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/connect-optimization.html)
+ Google Meet：
  + [在视频会议中针对音频使用电话](https://support.google.com/meet/answer/9518557?hl=en)

# 在 WorkSpaces 个人版中管理跑步模式
<a name="running-mode"></a>

的*运行模式* WorkSpace 决定了它的即时可用性以及支付方式（按月还是按小时）。创建时，可以在以下运行模式之间进行选择 WorkSpace：
+ **AlwaysOn**—在支付固定的月费以无限使用您的设备时使用 WorkSpaces. 此模式最适合将 WorkSpace全职时间用作主桌面的用户。
+ **AutoStop**— WorkSpaces 按小时支付费用时使用。使用此模式，您 WorkSpaces 将在指定的断开连接时间后停止连接，并保存应用程序和数据的状态。

有关更多信息，请参阅[WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/)。

## AutoStop WorkSpaces
<a name="autostop-workspaces"></a>

要设置自动停止时间，请在亚马逊 WorkSpaces 控制台 WorkSpace 中选择，选择**操作**，**修改运行模式属性**，然后设置**AutoStop 时间（小时）**。默认情况下，**AutoStop 时间（小时）**设置为 1 小时，这意味着断开连接一小时后会自动 WorkSpace 停止。 WorkSpace 

断开连接 WorkSpace 且 AutoStop 时间段到期后，可能还需要几分钟 WorkSpace 才能自动停止。但是，一旦 AutoStop 时间段到期，计费就会停止，并且不会向您收取额外时间的费用。

当 WorkSpaces 支持休眠时，桌面的状态将保存到的根卷中。 WorkSpace用户登录时会 WorkSpace 恢复。所有打开的文档和正在运行的程序都恢复到其保存状态，并且所有 WorkSpaces 操作系统都支持休眠。

AutoStop 启用 GPU WorkSpaces 且 GeneralPurpose .4xlarge 或 GeneralPurpose .8xlarge 不支持休眠。的状态 applications/data 未保留。我们建议您在 WorkSpaces 每次使用完毕后保存您所做的工作，以免丢失数据。

对于 Bring Your Own L AutoStop WorkSpaces icense (BYOL)，大量的并发登录可能会显著延长 WorkSpaces 可用时间。如果您预计会有许多用户同时登录您的 BYOL AutoStop WorkSpaces ，请咨询您的客户经理以获取建议。

**重要**  
AutoStop WorkSpaces 只有在 WorkSpaces 断开连接时才会自动停止。

 WorkSpace 只有在以下情况下才会断开连接 A：
+ 如果用户手动断开与 Amazon 客户端应用程序的连接 WorkSpace 或退出 Amazon WorkSpaces 客户端应用程序。
+ 客户端设备已关闭。
+ 如果客户端设备与之间没有连接 WorkSpace 的时间超过 20 分钟。

作为最佳实践， AutoStop WorkSpace 用户应在每天使用完 WorkSpaces 毕后手动断开与他们的连接。要手动断开连接，请 WorkSpaces从 Linux、macOS WorkSpace 或 Windows WorkSpaces 客户端应用程序的**亚马逊 WorkSpaces**菜单中选择 “**断**开连接” 或 “**退出**亚马逊”。对于 Android 或 iPad，从侧边栏菜单中选择**断开连接**。

**AutoStop WorkSpaces 在以下情况下可能不会自动停止：**
+ 如果客户端设备仅处于锁定状态、处于睡眠状态或处于非活动状态（例如，笔记本电脑盖已关闭）而不是关闭，则 WorkSpaces 应用程序可能仍在后台运行。只要 WorkSpaces 应用程序仍在运行，就 WorkSpace 可能无法断开连接，因此 WorkSpace 可能不会自动停止。
+ WorkSpaces 只有在用户使用 WorkSpaces 客户端时才能检测到断开连接。如果用户使用的是第三方客户端，则 WorkSpaces 可能无法检测到断开连接，因此 WorkSpaces 可能不会自动停止，也可能无法暂停计费。

## 修改运行模式
<a name="modify-running-mode"></a>

您可以随时切换运行模式。

**修改的运行模式 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择 WorkSpace 要修改的，然后选择**操作**、**修改运行模式**。

1. 选择新的运行模式，**AlwaysOn**或 **AutoStop**，然后选择 “**保存**”。

**要修改的运行模式， WorkSpace 请使用 AWS CLI**  
使用 [modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html) 命令。

## 停止并启动 AutoStop WorkSpace
<a name="stop-start-workspace"></a>

断开连接后，它们会在指定的断开连接时间后自动停止，按小时计费将暂停。 AutoStop WorkSpaces 要进一步优化成本，您可以手动暂停与之相关的小时费用 AutoStop WorkSpaces。 WorkSpace停靠点以及所有应用程序和数据都将保存，以备用户下次登录时使用 WorkSpace。

当用户重新连接到已停止的服务器时 WorkSpace，它会从中断的地方恢复，通常不到 90 秒。

您可以重新启动（重新启动） AutoStop WorkSpaces 可用或处于错误状态。

**要停止 AutoStop WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择 WorkSpace 要停止，然后选择**操作**、**停止 WorkSpaces**。

1. 当系统提示您确认时，选择 **Stop WorkSpace**。

**要开始 AutoStop WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择 “开始” WorkSpaces ，然后选择 “**操作**”、“**开始**” WorkSpaces。

1. 当系统提示您确认时，选择 **Start WorkSpace**。

要移除与之相关的固定基础设施成本 AutoStop WorkSpaces，请将其 WorkSpace 从您的账户中删除。有关更多信息，请参阅 [删除 WorkSpaces 个人版中的 WorkSpace](delete-workspaces.md)。

**要停止和启动， AutoStop WorkSpace 请使用 AWS CLI**  
使用[停止WorkSpaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/stop-workspaces.html)和[启动WorkSpaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/start-workspaces.html)命令。

# 在 “ WorkSpaces 个人” 模式下管理应用程序
<a name="manage-applications"></a>

启动后 WorkSpace，你可以在 WorkSpaces 控制台 WorkSpace 上看到与你关联的所有应用程序包的列表。

**要查看与您关联的所有应用程序包的列表 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 从左侧导航窗格中选择**WorkSpaces**。

1. 选择， WorkSpace 然后选择 “**查看详细信息**”。

1. 在 “**应用程序**” 下，找到与此 WorkSpace相关的应用程序列表及其安装状态。

**您可以通过以下方式更新您的 WorkSpace 应用程序包：**
+ 在您的设备上安装应用程序包 WorkSpace
+ 从您的应用程序中卸载应用程序包 WorkSpace
+ 安装应用程序包并卸载您的应用程序包上的另一组应用程序包 WorkSpace

**注意**  
要更新应用程序包，其状态 WorkSpace 必须为`AVAILABLE`或`STOPPED`。
管理应用程序仅适用于 Windows WorkSpaces。
管理应用程序仅适用于通过 AWS订阅的应用程序捆绑包。

## 管理应用程序支持的捆绑包
<a name="w2aac11c29c25c11"></a>

“管理应用程序” 允许您在上安装和卸载以下应用程序 WorkSpaces。对于 Microsoft Office 2016 捆绑包和 Microsoft Office 2019，您只能卸载。
+ 微软 Office LTSC 专业版 Plus 2024
+ 微软 Visio LTSC 专业版 2024
+ 微软 2024 年专业项目
+ 微软 Office LTSC 标准 2024
+ 微软 Visio LTSC 标准 2024
+ 2024 年微软 Project 标准
+ Microsoft Office LTSC Professional Plus 2021
+ Microsoft Visio LTSC Professional 2021
+ Microsoft Project Professional 2021
+ Microsoft Office LTSC Standard 2021
+ Microsoft Visio LTSC Standard 2021
+ Microsoft Project Standard 2021
+ Microsoft Visual Studio Professional 2022
+ Microsoft Visual Studio Enterprise 2022

下表显示了支持和不支持的应用程序与操作系统组合列表：


|  | Microsoft Office Professional Plus 2016（32 位） | Microsoft Office Professional Plus 2019（64 位） | 微软 LTSC Office Professional Plus /标准 2024（64 位 | 微软 Project Professional /标准 2024（64 位） | 微软 Visio Professional /标准 2024（64 位） | Microsoft LTSC Office Professional Plus/Standard 2021 (64-bit) | Microsoft Project Professional/Standard 2021（64 位） | Microsoft LTSC Visio Professional/Standard 2021（64 位） | Microsoft Visual Studio Professional/Enterprise 2022 | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| Windows Server 2016 | 卸载 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 
| Windows Server 2019 | 不支持 | 卸载 | 不支持 | 不支持 | 不支持 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 不支持 | 
| Windows Server 2022 | 不支持 | 卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 
| Windows Server 2025 | 不支持 | 卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 不支持 | 不支持 | 不支持 | 安装/卸载 | 
| Windows 10 | 卸载 | 卸载 | 不支持 | 不支持 | 不支持 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 
| Windows 11 | 卸载 | 卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 安装/卸载 | 

**重要**  
微软Office/Visio/Project必须遵循相同的版本。例如，您不能将标准应用程序与专业应用程序混合使用。
微软Office/Visio/Project必须遵循相同的版本。例如，您不能将 2019 应用程序与 2021 应用程序混合使用。
Valu Office/Visio/Project 2021 and 2024 Standard/Professional e、Graphics 和 GraphicsPro WorkSpaces 捆绑包不支持 Microsoft。
不再支持微软 Office/Visio/Project 2010 和 2013 版本（标准版或专业版）。
另外，2025 年 10 月 14 日之后，将不再支持采用 Office 2016 或 Office 2019 的应用程序捆绑包。我们建议将你的 WorkSpaces 捆绑包与这些 Office 版本一起迁移到使用 Office 2021 或 Office 2024。有关更多信息，请参阅[在 WorkSpaces 个人版中管理应用程序](manage-applications)。
微软 Office、Project 和 Visio 在 2024 年版本中需要高达 25 GB 的可用空间，2021 年版本需要高达 20 GB 的可用空间。
微软 Visual Studio 2022 企业版/专业版不支持超值、标准、显卡和 GraphicsPro WorkSpaces 捆绑包。Performance 捆绑包可用于资源密集度较低的 Visual Studio 工作负载。但是，为了获得最佳效果，我们建议使用四核或更高捆绑包类型的 Visual Studio。捆绑包类型 Power、通用用途.4xLarge PowerPro、通用用途.8xLarge、Graphics.g6、graphics.g4dn 和.g4dn 符合此要求。 GraphicsPro有关更多信息，请参阅 [Visual Studio 2022 Product Family System Requirements](https://learn.microsoft.com/en-us/visualstudio/releases/2022/system-requirements)。
当你从中卸载适用**于 Microsoft Office 2016 的 Plus 应用程序**包时，你将无法访问该亚马逊 WorkSpaces 捆绑包中包含的任何趋势科技解决方案。 WorkSpaces如果您想继续在 Amazon 上使用趋势科技解决方案 WorkSpaces，可以在[AWS 市场](https://aws.amazon.com/marketplace/pp/prodview-u2in6sa3igl7c)上单独购买。
要使用 install/uninstall Microsoft 365 应用程序，你需要引入自己的工具和安装程序，管理应用程序工作流程不能 install/uninstall Microsoft 365 应用程序。
您可以 installed/uninstalled 通过 “管理应用程序” 创建 WorkSpaces 带有应用程序的自定义映像。
对于选择加入的区域，例如非洲（开普敦），必须在目录级别启用 WorkSpaces 互联网连接。

## 在上更新应用程序包 WorkSpace
<a name="w2aac11c29c25c13"></a>

1. 

   在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择， WorkSpace 然后选择**操作**、**管理应用程序**。

1. 在 “**当前应用程序**” 下，您将看到已安装在此应用程序上的应用程序包列表 WorkSpace ，在 **“选择应用程序”** 下，您可以看到可供在此上安装的应用程序包列表。 WorkSpace

1. 要在此 WorkSpace上安装应用程序包，请执行以下操作：

   1. 选择要在此上安装的应用程序包 WorkSpace，然后选择 “**关联**”。

   1. 重复上一步以安装其他应用程序捆绑包。

   1. 安装应用程序捆绑包时，您将在**当前应用程序**下看到它们，其状态为 `Pending install deployment`。

1. 要从中卸载应用程序包，请执行以下操作 WorkSpace：

   1. 在**选择应用程序**下，选择要卸载的应用程序捆绑包，然后选择**取消关联**。

   1. 重复上一步以卸载其他应用程序捆绑包。

   1. 卸载应用程序捆绑包时，您将在**当前应用程序**下看到它们，其状态为 `Pending uninstall deployment`。

1. 要恢复捆绑包安装或安装状态，请执行以下一项操作。
   + 如果要从 `Pending uninstall deployment` 状态还原捆绑包，请选择要还原的应用程序，然后选择**关联**。
   + 如果要从 `Pending install deployment` 状态还原捆绑包，请选择要还原的应用程序，然后选择**取消关联**。

1. 在您选择安装或卸载的应用程序捆绑包处于待处理状态后，选择**部署应用程序**。
**重要**  
选择 “**部署应用程序**” 后，最终用户会话将终止，并且在安装或卸载应用程序时 WorkSpaces 将无法访问。

1. 要确认您的操作，请键入**确认**。选择**强制**，以安装或卸载处于**错误**状态的应用程序捆绑包。

1. 监控应用程序捆绑包的进度：

   1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

   1. 在导航窗格中，请选择 **WorkSpaces**。您可以在**状态**下看到状态，包括以下内容。
      + **正在更新** - 应用程序捆绑包更新仍在进行中。
      + **可用/已停止**-应用程序包更新已完成 WorkSpace ，并恢复到其原始状态。

   1. 要监视应用程序包的安装或卸载状态，请选择 WorkSpace 并选择**查看**详细信息。在**应用程序**下，您可以在**状态**下看到状态，包括 `Pending install`、`Pending uninstall` 和 `Installed`。
**注意**  
如果您的用户发现他们通过托管应用程序新安装的应用程序包未激活许可证，则可以手动 WorkSpace 重启。您的用户可以在重启后开始使用这些应用程序。如需其他支持，请联系 [AWS Support](https://console.aws.amazon.com/support/home#/)。

## 在上更新微软 Visual Studio 2022 工作负载 WorkSpace
<a name="w2aac11c29c25c15"></a>

默认情况下，Microsoft Visual Studio 2022 安装了以下工作负载，需要 18 GB 的硬盘空间：
+ Visual Studio 核心编辑器
+ Azure 开发
+ 数据存储和处理
+ .NET 桌面开发
+ NET Multi-platform App UI 开发
+ ASP.NET 和 Web 开发
+ Node.js 开发

用户可以灵活地添加或删除工作负载和单个组件，从而使他们能够根据自己的特定要求定制应用程序。请务必注意，安装更多工作负载需要更多的磁盘空间。要详细了解工作负载配置，请参阅 [Modify Visual Studio workloads, components, and language packs](https://learn.microsoft.com/en-us/visualstudio/install/modify-visual-studio?view=vs-2022)。

## 使用管理应用程序管理 WorkSpaces 修改内容
<a name="w2aac11c29c25c17"></a>

在上安装或卸载应用程序包后 WorkSpaces，以下操作可能会影响现有配置。
+  WorkSpace Re@@ **store a WorkSpace**-恢复后，会根据运行状况良好时创建的根卷和用户卷的最新快照，重新创建这些卷。 WorkSpace 每 12 小时拍摄一次完整 WorkSpace 快照。有关更多信息，请参阅[恢复 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html)。请确保至少等待 12 小时后再恢复使用 WorkSpaces “管理应用程序” 修改过的内容。使用管理应用程序修改 WorkSpaces 过的下一个完整快照恢复之前的完整快照将导致以下结果：
  +  WorkSpaces 使用 “管理应用程序” 工作流程安装在您的应用程序包上的应用程序包将从您的应用程序中删除， WorkSpaces 但许可证仍会被激活，并且 WorkSpaces 将向您收取这些应用程序的费用。要恢复这些应用程序包， WorkSpaces 您需要再次运行管理应用程序工作流程，卸载应用程序以重新启动，然后重新安装。
  +  WorkSpaces 使用 “管理应用程序” 工作流程从您的应用程序中删除的应用程序包将重新出现在您 WorkSpaces的。但是，这些应用程序捆绑包将无法正常运行，因为许可证激活缺失。要删除这些应用程序包，请从中手动卸载这些应用程序包。 WorkSpaces
+ **重建 a WorkSpace**-重建 WorkSpace 会重新创建根卷。有关更多信息，请参阅[重新构建 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/rebuild-workspace.html)。重建使用 WorkSpaces “管理应用程序” 修改过的内容将导致以下结果：
  +  WorkSpaces 使用 “管理应用程序” 工作流程安装在您的上的应用程序捆绑包将从您的应用程序中移除并停用。 WorkSpaces为了恢复这些应用程序， WorkSpaces 您需要再次运行管理应用程序工作流程。
  +  WorkSpaces 通过 “管理应用程序” 工作流程从您的 “管理应用程序” 工作流程中删除的应用程序包将安装并激活。 WorkSpaces要从中删除这些应用程序包 WorkSpaces，您需要再次运行管理应用程序工作流程。
+ Migr@@ **ate a WorkSpace**-迁移过程使用目标捆绑包映像中的新根卷和原始 WorkSpace包映像的最后一个可用快照中的用户卷来重新创建。 WorkSpace WorkSpace 使用新 ID 创建了一个新的 WorkSpace ID。有关更多信息，请参阅[迁 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/migrate-workspaces.html)移使用管理应用程序修改 WorkSpaces 的迁移将导致以下结果：
  +  源中的所有应用程序包都 WorkSpaces 将被删除并停用。新的目标 WorkSpaces 将继承目标 WorkSpaces 包中的应用程序。源 WorkSpaces 应用程序捆绑包将按整月计费，但目标捆绑包中的应用程序捆绑包将按比例计费。

# 在 “个 WorkSpaces 人 WorkSpace ” 中修改
<a name="modify-workspaces"></a>

启动后 WorkSpace，您可以通过三种方式修改其配置：
+ 您可以更改其根卷的大小（对于 Windows，为驱动器 C；对于 Linux，为 /）及其用户卷（对于 Windows，为驱动器 D；对于 Linux，为 /home）。
+ 您可以更改其计算类型以选择新的捆绑包。
+ 如果您的协议 WorkSpace 是使用 PCo IP 捆绑包创建的，则可以使用 AWS CLI 或 Amazon WorkSpaces API 修改直播协议。

要查看 a 的当前修改状态 WorkSpace，请选择箭头以显示有关该修改的更多详细信息 WorkSpace。**状态**的可能值为**正在修改计算**、**正在修改存储**和**无**。

如果要修改 WorkSpace，则其状态必须为`AVAILABLE`或`STOPPED`。您无法同时更改卷大小和计算类型。

更改 a 的卷大小或计算类型 WorkSpace 将更改的账单费率 WorkSpace。

要允许您的用户自行修改卷和计算类型，请参阅[在 “ WorkSpaces 个人” 中为您的用户启用自助 WorkSpaces 管理功能](enable-user-self-service-workspace-management.md)。

## 修改卷大小
<a name="modify_volume_sizes"></a>

您可以将根卷和用户卷的大小分别增加到 2000 GB。 WorkSpace WorkSpace root 和用户卷属于无法更改的设置组。可用的组包括：


| [根 (GB)、用户 (GB)] | 
| --- | 
| [80, 10] | 
| [80, 50] | 
| [80, 100] | 
| [175 至 2000、100 至 2000] | 

无论是已加密还是未加密，您都可以扩展根卷和用户卷，并且可以在 6 小时内扩展这两个卷一次。但是，您无法同时增加根卷和用户卷的大小。有关更多信息，请参阅[有关增加卷的限制](#limitations_increasing_volumes)。

**注意**  
当你扩展一个的卷时 WorkSpace， WorkSpaces 会自动在 Windows 或 Linux 中扩展该卷的分区。该过程完成后，必须重新启动 WorkSpace 才能使更改生效。

为确保数据得以保留，启动后不能减小根卷或用户卷的大小 WorkSpace。相反，请务必在启动时指定这些卷的最小大小 WorkSpace。
+ 您可以启动 “超值”、“标准”、“性能”、“Power”，或者 PowerPro WorkSpace 根卷的容量至少为 80 GB，用户卷的容量至少为 10 GB。
+ 您可以启动 GeneralPurpose .4xlarge 或 GeneralPurpose .8x WorkSpace large，根卷的最小容量为 175GB，用户卷的容量至少为 100 GB。
+ 你可以启动 Graphics.g6、graphics.g4dn、 GraphicsPro .g4dn，或者 GraphicsPro WorkSpace 根卷至少为 100 GB，用户卷至少为 100 GB。卷大小要求因较大的图形实例类型而异。

在增加 WorkSpace 磁盘大小的同时，用户可以在其上执行大多数任务 WorkSpace。但是，他们无法更改 WorkSpace 计算类型、切换 WorkSpace 运行模式、重建计算类型或重启（重启）计算类型 WorkSpace。 WorkSpace

**注意**  
如果您希望您的用户能够在磁盘大小增加 WorkSpaces 过程中使用他们的，请确保其状态为 “ WorkSpaces `AVAILABLE`而不是”，`STOPPED`然后再调整其卷的大小 WorkSpaces。如果 WorkSpaces 是`STOPPED`，则在磁盘大小增加过程中无法启动它们。

在大多数情况下，增加磁盘大小的过程最多可能需要两个小时。但是，如果您要修改大量的卷大小 WorkSpaces，则该过程可能需要更长的时间。如果您有大量内容 WorkSpaces 需要修改，我们建议您联系 AWS 支持 以寻求帮助。

**有关增加卷的限制**
+ 您只能调整 SSD 卷的大小。
+ 启动时 WorkSpace，必须等待 6 小时才能修改其卷的大小。
+ 您无法同时增加根卷和用户卷的大小。要增加根卷，您必须先将用户卷更改为 100 GB。进行此更改后，您可以将根卷更新为 175 和 2000 GB 之间的任何值。在将根卷更改为 175 和 2000 GB 之间的任何值后，您可以进一步更新用户卷，以更新为 100 和 2000 GB 之间的任何值。
**注意**  
如果要增加这两个卷，则必须等待 20-30 分钟让第一个操作完成，然后才能开始第二个操作。
+ Non-GPU-enabled WorkSpaces'当用户容量为 100 GB 时，根卷不能小于 175 GB。支持 GPU 的存储要求与实例大小成 WorkSpaces 比例扩展。当您选择更大的支持 GPU 的 WorkSpaces 配置时，必须相应地分配更大的存储卷，以保持最佳性能并适应不断增加的工作负载需求。对于最小的实例大小，请从以下存储分配开始：根：100 GB，用户：100 GB。启用 GPU 的根卷 WorkSpaces 支持至少 100 GB，用户卷支持至少 100 GB。
+ 如果用户卷是 50 GB，则无法将根卷更新为 80 GB 以外的任何大小。如果根卷是 80 GB，则用户卷只能是 10、50 或 100 GB。

**修改的根卷 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择， WorkSpace 然后选择 “**操作**”、“**修改根卷”。** 。

1. 在**根卷大小**下，选择卷大小或选择**自定义**以输入自定义卷大小。

1. 选择**保存更改**。

1. 磁盘大小增加完成后，必须[重新启动](reboot-workspaces.md)才能使更改生效。 WorkSpace为避免数据丢失，请确保用户在重新启动之前保存所有打开的文件 WorkSpace。

**修改 a 的用户音量 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择， WorkSpace 然后选择**操作**、**修改用户音量。** 。

1. 在**用户卷大小**下，选择卷大小或选择**自定义**以输入自定义卷大小。

1. 选择**保存更改**。

1. 磁盘大小增加完成后，必须[重新启动](reboot-workspaces.md)才能使更改生效。 WorkSpace为避免数据丢失，请确保用户在重新启动之前保存所有打开的文件 WorkSpace。

**要更改 a 的音量大小 WorkSpace**  
使用带`RootVolumeSizeGib`或属`UserVolumeSizeGib`性的[modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html)命令。

## 修改计算类型
<a name="modify_compute"></a>

您可以在 “标准”、“功率”、“性能”、“ PowerPro GeneralPurpose.4xlarge” 和 “.8xlarge” 计算类型 WorkSpace 之间切换 GeneralPurpose。有关这些计算类型的更多信息，请参阅 [Amazon WorkSpaces 捆绑包](https://aws.amazon.com/workspaces/features/#Amazon_WorkSpaces_Bundles)。

**注意**  
如果你的源操作系统是 Windows Server 2022 或 Windows 11 以外的任何操作系统，则无法将计算类型从更改 PowerPro 为 GeneralPurpose。
如果您要将计算类型从 non-GPU-enabled捆绑包修改为 GeneralPurpose .4xlarge 或 GeneralPurpose .8xlarge，则 WorkSpaces 必须满足 175 GB 的最小根卷大小和 100 GB 的用户卷大小。要增加您的音量大小 WorkSpaces，请参阅[修改卷大小](#modify_volume_sizes)。
启用 GPU WorkSpaces 支持在同一实例系列内修改计算类型，但不支持跨系列修改。例如，您可以在 G4dn 实例之间或 G6 实例之间修改计算类型，但不能从 G4dn 实例更改为 G6 实例系列。要在由不同实例系列提供支持的支持 GPU 的 WorkSpace 捆绑包之间切换，请使用迁移功能。 WorkSpace 有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
GraphicsPro 捆绑包将 end-of-life于 2025 年 10 月 31 日到货。我们建议您在 2025 年 10 月 31 日之前 GraphicsPro WorkSpaces 将您的捆绑包迁移到支持的捆绑包。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
您不能将图形的计算类型更改 GraphicsPro 为任何其他值。

当您请求更改计算时，请 WorkSpace 使用新的计算类型 WorkSpaces 重新启动。 WorkSpaces 保留的操作系统、应用程序、数据和存储设置。 WorkSpace

请求较大计算类型的申请每 6 小时可以提一次，而请求较小计算类型的申请每 30 天可以提一次。对于新启动的计算类型 WorkSpace，您必须等待 6 小时才能请求更大的计算类型。

当 WorkSpace 计算类型更改正在进行时，用户将与其断开连接 WorkSpace，并且他们无法使用或更改 WorkSpace。 WorkSpace 在计算类型更改过程中会自动重新启动。

**重要**  
为避免数据丢失，请确保用户在更改 WorkSpace 计算类型之前保存所有打开的文档和其他应用程序文件。

计算类型更改过程可能需要一个小时的时间。

**要更改 a 的计算类型 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择 WorkSpace 并选择**操作**、**修改计算类型**。

1. 在**计算类型**下，选择一种计算类型。

1. 选择**保存更改**。

**要更改 a 的计算类型 WorkSpace**  
使用带`ComputeTypeName`属性的[modify-workspace-properties](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-properties.html)命令。

## 修改协议
<a name="modify_protocols"></a>

 如果您 WorkSpace 是使用 PCo IP 捆绑包创建的，则可以使用 AWS CLI 或 Amazon WorkSpaces API 修改其直播协议。这样，您就可以在不使用迁移功能 WorkSpace 的情况下使用现有协议进行 WorkSpace 迁移。这还允许您使用 DCV 并维护您的根卷，而无需在迁移 WorkSpaces 过程中重新创建现有 PCo IP。
+ 如果您的协议 WorkSpace 是使用 PCo IP 捆绑包创建的，并且未启用 GP WorkSpace U，则只能修改您的协议。
+ 在将协议修改为 DCV 之前，请确保您 WorkSpace 满足 DC WorkSpace V 的以下要求。
  + 您的 WorkSpaces 客户支持 DCV
  + 您的 WorkSpace 部署区域支持 DCV
  + DCV 的 IP 地址和端口要求已开放。有关更多信息，请参阅[的 IP 地址和端口要求 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html)。
  + 确保您当前的捆绑包在 DCV 中可用。
  + 为了获得最佳的视频会议体验，我们建议仅使用 Power、 PowerPro、 GeneralPurpose .4xlarge 或 GeneralPurpose .8xlarge。

**注意**  
我们强烈建议您在开始更改协议 WorkSpaces 之前使用非生产环境进行测试。
如果您将协议从 PCo IP 修改为 DCV，然后将协议修改回 PCo IP，则将无法 WorkSpaces 通过 Web 访问进行连接。

**要更改 a 的协议 WorkSpace**

1. [可选] 重新启动 WorkSpace 并等到其`AVAILABLE`处于状态后再修改协议。

1. [可选] 使用`describe-workspaces`命令列出 WorkSpace 属性。确保其处于 `AVAILABLE` 状态且其当前 `Protocol` 准确无误。

1. 使用 `modify-workspace-properties` 命令并将 `Protocols` 属性从 `PCOIP` 修改为 `DCV`，或者反过来。

   ```
   aws workspaces modify-workspace-properties
   --workspace-id <value>
   --workspace-properties "Protocols=[WSP]"
   ```
**重要**  
`Protocols` 属性区分大小写。确保使用 `PCOIP` 或 `DCV`。

1. 运行该命令后，最长可能需要 20 分钟 WorkSpace 才能重新启动并完成必要的配置。

1. 再次使用该`describe-workspaces`命令列出 WorkSpace属性并验证其是否处于`AVAILABLE`状态以及当前`Protocols`属性已更改为正确的协议。
**注意**  
修改 WorkSpace的协议不会更新控制台中的捆绑包描述。**启动捆绑包**描述不会更改。
如果 20 分钟后 WorkSpace 仍处于`UNHEALTHY`状态，请在控制台 WorkSpace 中重新启动。

1. 现在，您可以连接到您的 WorkSpace.

# 在 “ WorkSpaces 个人” 中自定义品牌
<a name="customize-branding"></a>

Amazon WorkSpaces 允许您使用自己的品牌徽标、IT 支持信息、忘记密码链接和登录消息自定义登录页面的外观， APIs 从而为用户创造熟悉的 WorkSpaces 体验。 WorkSpace您的品牌将在用户的 WorkSpace 登录页面中显示给他们，而不是默认的 WorkSpaces 品牌标识。

支持以下客户端：
+ Windows
+ Linux
+ Android
+ MacOS
+ iOS
+ Web Access

## 导入自定义品牌
<a name="import-custom-branding"></a>

要导入您的客户端品牌自定义，请使用包含以下元素的操作 `ImportClientBranding`。有关更多信息，请参阅 [ ImportClientBranding API 参考](https://docs.aws.amazon.com/workspaces/latest/api/API_ImportClientBranding.html)。

**重要**  
客户端品牌属性面向公众。确保您不包含敏感信息。

根据您的目录使用的是旧用户登录流程还是新用户登录流程，您的用户将看到您的自定义客户品牌属性，如以下屏幕截图所示。


|  |  | 
| --- |--- |
|  ![\[WorkSpaces 客户登录屏幕-旧版登录流程\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/client-cobranding-legacy.png)  |  ![\[WorkSpaces 客户登录屏幕-新登录流程\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/client-cobranding-new.png)  | 

1. 支持链接

1. Logo

1. 忘记密码链接

1. 登录消息


**自定义品牌元素**  

| 品牌元素 | 说明 | 要求和建议 | 
| --- | --- | --- | 
| 支持链接 | 允许您指定支持电子邮件链接，供用户联系以寻求帮助 WorkSpaces。您可以使用 SupportEmail 属性或使用 SupportLink 属性提供指向您支持页面的链接。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/customize-branding.html) | 
| Logo | 允许您使用 Logo 属性自定义组织的徽标。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/customize-branding.html) | 
| 忘记密码链接 | 允许您使用用户忘记密码时可以访问的 ForgotPasswordLink 属性添加网址 WorkSpace。 | 长度限制：最小长度为 1。最大长度为 200。 | 
| 登录消息 | 允许您使用登录屏幕上的 LoginMessage 属性自定义消息。 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/customize-branding.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/customize-branding.html)  | 

以下是供使用的 ImportClientBranding示例代码片段。

### AWS CLI 版本 2
<a name="import-client-branding-cli"></a>

**警告**  
导入自定义品牌会覆盖您在该平台中使用自定义数据指定的属性。它还会使用默认自定义品牌属性值覆盖您未指定的属性。您必须包含不想覆盖的任何属性的数据。

```
aws workspaces import-client-branding \
--cli-input-json file://~/Downloads/import-input.json \
--region us-west-2
```

导入 JSON 文件应与以下示例代码类似：

```
{
    "ResourceId": "<directory-id>",
    "DeviceTypeOsx": {
        "Logo": "iVBORw0KGgoAAAANSUhEUgAAAAIAAAACCAYAAABytg0kAAAAC0lEQVR42mNgQAcAABIAAeRVjecAAAAASUVORK5CYII=",
        "ForgotPasswordLink": "https://amazon.com/",
        "SupportLink": "https://amazon.com/",
        "LoginMessage": {
            "en_US": "Hello!!"
        }
    }
}
```

以下 Java 代码段示例将徽标图片转换为 base64 编码的字符串：

```
// Read image as BufferImage
BufferedImage bi = ImageIO.read(new File("~/Downloads/logo.png"));
   
// convert BufferedImage to byte[]
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "png", baos);
byte[] bytes = baos.toByteArray();
       
//convert byte[] to base64 format and print it
String bytesBase64 = Base64.encodeBase64String(bytes);
System.out.println(bytesBase64);
```

以下 Python 代码段示例将徽标图片转换为 base64 编码的字符串：

```
# Read logo into base64-encoded string
with open("~/Downloads/logo.png", "rb") as image_file:
    f = image_file.read()
    base64_string = base64.b64encode(f)
    print(base64_string)
```

### Java
<a name="import-client-branding-java"></a>

**警告**  
导入自定义品牌会覆盖您在该平台中使用自定义数据指定的属性。它还会使用默认自定义品牌属性值覆盖您未指定的属性。您必须包含不想覆盖的任何属性的数据。

```
// Create WS Client
WorkSpacesClient client = WorkSpacesClient.builder().build();

// Read image as BufferImage
BufferedImage bi = ImageIO.read(new File("~/Downloads/logo.png"));

// convert BufferedImage to byte[]
ByteArrayOutputStream baos = new ByteArrayOutputStream();
ImageIO.write(bi, "png", baos);
byte[] bytes = baos.toByteArray();
    
// Create import attributes for the plateform 
DefaultImportClientBrandingAttributes attributes =
        DefaultImportClientBrandingAttributes.builder()
                .logo(SdkBytes.fromByteArray(bytes))
                .forgotPasswordLink("https://aws.amazon.com/")
                .supportLink("https://aws.amazon.com/")
                .build();
                    
// Create import request
ImportClientBrandingRequest request = 
        ImportClientBrandingRequest.builder()
                .resourceId("<directory-id>")
                .deviceTypeOsx(attributes)
                .build();
                    
// Call ImportClientBranding API
ImportClientBrandingResponse response = client.importClientBranding(request);
```

### Python
<a name="import-client-branding-python"></a>

**警告**  
导入自定义品牌会覆盖您在该平台中使用自定义数据指定的属性。它还会使用默认自定义品牌属性值覆盖您未指定的属性。您必须包含不想覆盖的任何属性的数据。

```
import boto3

# Read logo into bytearray
with open("~/Downloads/logo.png", "rb") as image_file:
    f = image_file.read()
    bytes = bytearray(f)

# Create WorkSpaces client
client = boto3.client('workspaces')

# Call import API
response = client.import_client_branding(
    ResourceId='<directory-id>',
    DeviceTypeOsx={
        'Logo': bytes,
        'SupportLink': 'https://aws.amazon.com/',
        'ForgotPasswordLink': 'https://aws.amazon.com/',
        'LoginMessage': {
            'en_US': 'Hello!!'
        }
    }
)
```

### PowerShell
<a name="import-client-branding-powershell"></a>

```
#Requires -Modules @{ ModuleName="AWS.Tools.WorkSpaces"; ModuleVersion="4.1.56"}

# Specify Image Path
$imagePath = "~/Downloads/logo.png"

# Create Byte Array from image file
$imageByte = ([System.IO.File]::ReadAllBytes($imagePath))

# Call import API
Import-WKSClientBranding -ResourceId <directory-id> `
    -DeviceTypeLinux_LoginMessage @{en_US="Hello!!"} `
    -DeviceTypeLinux_Logo $imageByte `
    -DeviceTypeLinux_ForgotPasswordLink "https://aws.amazon.com/" `
    -DeviceTypeLinux_SupportLink "https://aws.amazon.com/"
```

要预览登录页面，请启动 WorkSpaces 应用程序或 Web 登录页面。

**注意**  
更改最多可能需要 1 分钟才会显示。

## 描述自定义品牌
<a name="describe-custom-branding"></a>

要查看您当前拥有的客户端品牌自定义的详细信息，请使用操作 `DescribeCustomBranding`。以下是使用的示例脚本 DescribeClientBranding。有关更多信息，请参阅 [ DescribeClientBranding API 参考](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeClientBranding.html)。

```
aws workspaces describe-client-branding \
--resource-id <directory-id> \
--region us-west-2
```

## 删除自定义品牌
<a name="delete-custom-branding"></a>

要删除您的客户端品牌自定义，请使用操作 `DeleteCustomBranding`。以下是使用的示例脚本 DeleteClientBranding。有关更多信息，请参阅 [ DeleteClientBranding API 参考](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteClientBranding.html)。

```
aws workspaces delete-client-branding \ 
--resource-id <directory-id> \
--platforms DeviceTypeAndroid DeviceTypeIos \  
--region us-west-2
```

**注意**  
更改最多可能需要 1 分钟才会显示。

# 在 “ WorkSpaces 个人” 中标记资源
<a name="tag-workspaces-resources"></a>

您可以 WorkSpaces 通过以*标签*的形式为每个资源分配自己的元数据来组织和管理资源。可为每个标签指定*键* 和*值*。键可以是具有特定关联值的一般类别，例如“project”、“owner”或“environment”。使用标签是一种管理 AWS 资源和组织数据（包括账单数据）的简单而强大的方法。

向现有资源添加标签时，这些标签直到下个月的第一天才会出现在成本分配报告中。例如，如果您 WorkSpace 在 7 月 15 日向现有标签添加标签，则这些标签要等到 8 月 1 日才会出现在您的成本分配报告中。有关更多信息，请参阅《AWS Billing 用户指南》**中的[使用成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。

**注意**  
要在 Cost Explorer 中查看您的 WorkSpaces WorkSpaces 资源标签，您必须按照用户*指南*中[激活用户定义的成本分配标签中的说明激活已应用于资源的标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html)。AWS Billing   
尽管标签会在激活 24 小时后显示，但与这些标签关联的值可能需要 4 到 5 天才能显示在 Cost Explorer 中。此外，要在 Cost Explorer 中显示和提供成本数据，已标记的 WorkSpaces 资源必须在此期间产生费用。Cost Explorer 仅显示标签激活时及以后的成本数据。目前没有可用的历史数据。

**您可以添加标签的资源**
+ 在创建以下资源时，可以为它们添加标签 — WorkSpaces、导入的映像和 IP 访问控制组。
+ 您可以向以下类型的现有资源添加标签：注册目录WorkSpaces、自定义捆绑包、映像和 IP 访问控制组。

**标签限制**
+ 每个资源的标签数上限 – 50
+ 最大密钥长度 - 127 个 Unicode 字符
+ 最大值长度 - 255 个 Unicode 字符
+ 标签键和值区分大小写。允许使用的字符包括可用 UTF-8 格式表示的字母、空格和数字，以及以下特殊字符： \$1 - = 。\$1 : / @。请不要使用前导空格或尾随空格。
+ 请勿在标签名称`aws:`或值中使用或`aws:workspaces:`前缀，因为它们已保留供 AWS 使用。您无法编辑或删除带这些前缀的标签名称或值。

**使用控制台（目录 WorkSpaces、或 IP 访问控制组）更新现有资源的标签**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择以下资源类型之一：“**目录**” 或 “**IP 访问控制**”。**WorkSpaces**

1. 选择相应资源以打开其详细信息页面。

1. 执行以下一个或多个操作：
   + 要更新标签，请编辑**键**和**值**的值。
   + 要添加标签，请选择 **Add Tag**，然后编辑 **Key** 和 **Value** 的值。
   + 要删除标签，请选择标签旁边的删除图标 (X)。

1. 完成更新标签后，选择 **Save (保存)**。

**使用控制台更新现有资源的标签（图像或捆绑包）**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择以下资源类型之一：**捆绑包**或**图像**。

1. 选择相应资源以打开资源详细信息页。

1. 在**标签**下，选择**管理标签**。

1. 执行以下一个或多个操作：
   + 要更新标签，请编辑**键**和**值**的值。
   + 要添加标签，请选择**添加新标签**，然后编辑**键**和**值**的值。
   + 要删除标签，请选择标签旁边的**删除**。

1. 更新标签后，选择**保存更改**。

**要更新现有资源的标签，请使用 AWS CLI**  
使用 [create-tags](https://docs.aws.amazon.com/cli/latest/reference/workspaces/create-tags.html) 和 [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/workspaces/delete-tags.html) 命令

# WorkSpaces 个人版的维护
<a name="workspace-maintenance"></a>

建议您定期维护 WorkSpaces。WorkSpaces 会为您的 WorkSpaces 安排默认维护时段。在维护时段内，WorkSpace 会根据需要从 Amazon WorkSpaces 安装重要更新并重启。如果有操作系统更新，则也会从 WorkSpace 配置为使用的操作系统更新服务器安装这些更新。维护过程中，您的 WorkSpace 可能无法使用。

默认情况下，您的 Windows WorkSpace 配置为从 Windows 更新接收更新。要为 Windows 配置您自己的自动更新机制，请参阅 [Windows Server Update Services (WSUS)](https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services) 和[配置管理器](https://docs.microsoft.com/configmgr/sum/deploy-use/deploy-software-updates)的文档。

**要求**  
您的 WorkSpace 必须具有互联网的访问权限，以便您将更新安装到操作系统以及部署应用程序。有关更多信息，请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。

## AlwaysOn WorkSpaces 的维护时段
<a name="alwayson-maintenance"></a>

对于 AlwaysOn WorkSpace，维护时段由操作系统设置决定。默认时段为 WorkSpace 所在时区每个星期日凌晨 00:00 至 04:00 的四小时时段。默认情况下，AlwaysOn WorkSpace 的时区为该 WorkSpace 所在 AWS 区域的时区。但是，如果您从另一个区域连接且时区重定向处于启用状态，然后断开连接，则 WorkSpace 的时区将被更新为您连接时所在区域的时区。

您可以使用组策略[禁用 Windows WorkSpaces 的时区重定向](group_policy.md#gp_time_zone)。您可以使用 PCoIP 代理配置[禁用 Linux WorkSpaces 的时区重定向](manage_linux_workspace.md#linux_time_zone)功能。

对于 Windows WorkSpaces，您可以使用组策略配置维护时段；请参阅[配置组策略设置以进行自动更新](https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates)。您不能为 Linux WorkSpace 配置维护时段。

## AutoStop WorkSpaces 的维护时段
<a name="autostop-maintenance"></a>

AutoStop WorkSpace 每月自动启动一次，以便安装重要更新。维护时段自当月第三个星期一开始，最长为两周，每天 00:00 至 05:00，时区为该 WorkSpace 所在 AWS 区域的时区。可以在维护时段中的任意一天维护 WorkSpace。在此时间段内，仅保留超过 7 天的 WorkSpaces。

在 WorkSpace 进行维护的时间段内，WorkSpace 的状态设置为 `MAINTENANCE`。

尽管您无法修改用于维护 AutoStop WorkSpaces 的时区，但您可以按如下方式禁用 AutoStop WorkSpaces 的维护时段。如果您禁用维护模式，您的 WorkSpace 将不会重启且不会进入 `MAINTENANCE` 状态。

**禁用维护模式**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**目录**。

1. 选择目录，然后选择 **Actions**、**Update Details**。

1. 展开 **Maintenance Mode**。

1. 要启用自动更新，请选择 **Enabled**。如果您倾向于手动管理更新，请选择 **Disabled**。

1. 选择**更新并退出**。

## 手动维护
<a name="admin-maintenance"></a>

如果您愿意，您可以按照自己的计划维护 WorkSpace。当您执行维护任务时，建议您将 WorkSpace 的状态更改为**维护**。维护完成后，将 WorkSpace 的状态更改为**可用**。

当 WorkSpace 处于**维护**模式下时，会发生以下行为：
+ WorkSpace 不会对重启、停止、启动或重建的请求作出响应。
+ 用户无法登录到 WorkSpace。
+ AutoStop WorkSpace 不会休眠。

**使用控制台更改 WorkSpace 的状态**
**注意**  
要更改 WorkSpace 的状态，WorkSpace 必须处于**可用**状态。当 WorkSpace 未处于**可用**状态时，**修改状态**设置不可用。

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **WorkSpaces**。

1. 选择您的 WorkSpace，然后依次选择**操作**和**修改状态**。

1. 在**修改状态**下，选择**可用**或**维护**。

1. 选择 **Save**。

**使用 AWS CLI 更改 WorkSpace 的状态**  
使用 [modify-workspace-state](https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-state.html) 命令。

# WorkSpaces 以 WorkSpaces 个人身份加密
<a name="encrypt-workspaces"></a>

WorkSpaces 已与 AWS Key Management Service (AWS KMS) 集成。这使您能够 WorkSpaces 使用密 AWS KMS 钥对存储卷进行加密。当你启动 a 时 WorkSpace，你可以加密根卷（对于微软 Windows，是 C 盘；对于 Linux，/）和用户卷（对于 Windows，是 D 盘；对于 Linux，/home）。这样可以确保静态存储的数据、卷中的磁盘 I/O 数据以及从卷创建的快照都经过加密。

**注意**  
除了加密您的 WorkSpaces，您还可以在某些 AWS 美国地区使用 FIPS 终端节点加密。有关更多信息，请参阅 [为个人配置 FedRAMP 授权或国防部 SRG 合规性 WorkSpaces](fips-encryption.md)。
亚马逊不支持 Windows BitLocker 加密 WorkSpaces。  如果适用，亚马逊 WorkSpaces 将尝试解密在所有 Windows 操作系统上启动期间检测到的所有卷。  如果为卷上的任何卷启用了密码、PIN 或启动密钥的任意组合，则卷在启动过程中可能会变得无响应，可能会 WorkSpace 变得不健康且无法正常启动。

**Topics**
+ [前提条件](#encryption_prerequisites)
+ [限制](#encryption_limits)
+ [使用 WorkSpaces 加密概述 AWS KMS](#kms-workspaces-overview)
+ [WorkSpaces 加密上下文](#kms-workspaces-encryption-context)
+ [授 WorkSpaces 予代表您使用 KMS 密钥的权限](#kms-workspaces-permissions)
+ [加密 WorkSpace](#encrypt_workspace)
+ [查看已加密 WorkSpaces](#maintain_encryption)

## 前提条件
<a name="encryption_prerequisites"></a>

在开始加密过程之前，您需要一个密 AWS KMS 钥。此 KMS 密钥可以是适用于亚马逊的[AWS 托管 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) WorkSpaces （**aws/workspaces**），也可以是对称的[客户](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)托管 KMS 密钥。
+ **AWS 托管 KMS 密钥** — 在您首次 WorkSpace 从 WorkSpaces 控制台启动某个地区的未加密密钥时，Amazon WorkSpaces 会自动在您的账户中创建 AWS 托管 KMS 密钥（**aws/workspaces**）。您可以选择此 AWS 托管 KMS 密钥来加密您的用户和根卷 WorkSpace。有关更多信息，请参阅 [使用 WorkSpaces 加密概述 AWS KMS](#kms-workspaces-overview)。

  您可以查看此 AWS 托管 KMS 密钥，包括其策略和授权，并可以在 AWS CloudTrail 日志中跟踪其使用情况，但您无法使用或管理此 KMS 密钥。亚马逊 WorkSpaces 创建并管理此 KMS 密钥。只有 Amazon WorkSpaces 可以使用此 KMS 密钥，并且 WorkSpaces 只能使用它来加密您账户中的 WorkSpaces 资源。

  AWS 托管 KMS 密钥（包括 Amazon WorkSpaces 支持的密钥）每年轮换一次。有关详细信息，请参阅《*AWS Key Management Service 开发人员指南》*中的[轮换 AWS KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。
+ **客户托管 KMS 密钥** — 或者，您可以选择使用 AWS KMS创建的对称客户托管 KMS 密钥。您可以查看、使用和管理此 KMS 密钥，包括设置其策略。有关创建 KMS 密钥的更多信息，请参阅《AWS Key Management Service 开发人员指南》**中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。有关使用 AWS KMS API 创建 KMS 密钥的更多信息，[请参阅*AWS Key Management Service 开发人员指南*中的使用密钥](https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html)。

  除非您决定启用自动密钥轮换，否则客户托管 KMS 密钥不会自动轮换。有关详细信息，请参阅《*AWS Key Management Service 开发人员指南》*中的[轮换 AWS KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html)。

**重要**  
手动轮换 KMS 密钥时，必须同时启用原始 KMS 密钥和新的 KMS 密钥，这样 AWS KMS 才能解密原始 KMS 密钥加密后的密钥。 WorkSpaces 如果您不想保持原始 KMS 密钥处于启用状态，则必须重新创建 WorkSpaces并使用新的 KMS 密钥对其进行加密。

您必须满足以下要求才能使用密 AWS KMS 钥加密您的 WorkSpaces：
+ **KMS 密钥必须是对称的。**Amazon WorkSpaces 不支持非对称 KMS 密钥。有关区分对称和非对称 KMS 密钥的信息，请参阅《AWS Key Management Service 开发人员指南》**中的[识别对称和非对称 KMS 密钥](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html)。
+ **KMS 密钥必须已启用。**要确定是否启用 KMS 密钥，请参阅《AWS Key Management Service 开发人员指南》**中的[显示 KMS 密钥详细信息](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。
+ **您必须拥有与 KMS 密钥相关联的正确权限和策略。**有关更多信息，请参阅 [第 2 部分：使用 IAM 策略向 WorkSpaces 管理员授予额外权限](#kms-permissions-iam-policy)。

## 限制
<a name="encryption_limits"></a>
+ 您无法加密现有的 WorkSpace。启动 WorkSpace 时必须对其进行加密。
+ 不支持使用加密 WorkSpace 镜像创建自定义镜像。
+ 目前不支持对加密文件 WorkSpace 禁用加密。
+ WorkSpaces 在启用根卷加密的情况下启动可能需要长达一个小时才能进行配置。
+ 要重新启动或重建加密的 WorkSpace，请先确保 AWS KMS 密钥已启用；否则，密钥 WorkSpace 将无法使用。要确定是否启用 KMS 密钥，请参阅《AWS Key Management Service 开发人员指南》**中的[显示 KMS 密钥详细信息](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。

## 使用 WorkSpaces 加密概述 AWS KMS
<a name="kms-workspaces-overview"></a>

使用加密卷创建 WorkSpaces 时， WorkSpaces 使用亚马逊弹性区块存储 (Amazon EBS) Elastic Block Store 来创建和管理这些卷。Amazon EBS 通过行业标准的 AES-256 算法，利用数据密钥加密您的卷。Amazon EBS 和亚马逊都 WorkSpaces 使用您的 KMS 密钥来处理加密卷。有关 EBS 卷加密的更多信息，请参阅《Amazon EC2 用户指南》**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)。

当您 WorkSpaces 使用加密卷启动时， end-to-end过程如下所示：

1. 您可以指定用于加密的 KMS 密钥以及用于的用户和目录 WorkSpace。此操作会创建一项[授权，该授权](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)仅 WorkSpaces 允许为此使用您的 KMS 密钥 WorkSpace，也就是说，仅允许与指定用户和目录 WorkSpace关联的用户使用您的 KMS 密钥。

1. WorkSpaces 为创建加密的 EBS 卷 WorkSpace 并指定要使用的 KMS 密钥以及该卷的用户和目录。此操作将创建一项授权，允许 Amazon EBS 仅将您的 KMS 密钥用于此卷 WorkSpace 和卷，也就是说，仅适用于与指定用户和目录 WorkSpace 关联的，并且仅用于指定的卷。

1. <a name="WSP-EBS-requests-encrypted-volume-data-key"></a>Amazon EBS 请求使用您的 KMS 密钥加密的卷数据密钥，并指定 WorkSpace 用户的 Active Directory 安全标识符 (SID) 和 AWS Directory Service 目录 ID 以及亚马逊 EBS 卷 ID 作为[加密](#kms-workspaces-encryption-context)上下文。

1. <a name="WSP-KMS-creates-data-key"></a>AWS KMS 创建新的数据密钥，使用您的 KMS 密钥对其进行加密，然后将加密的数据密钥发送到 Amazon EBS。

1. <a name="WSP-uses-EBS-to-attach-encrypted-volume"></a>WorkSpaces 使用 Amazon EBS 将加密卷附加到您的 WorkSpace。Amazon EBS AWS KMS 通过[https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)请求将加密的数据密钥发送到，并指定 WorkSpace 用户的 SID、目录 ID 和卷 ID，后者用作加密上下文。

1. AWS KMS 使用您的 KMS 密钥解密数据密钥，然后将纯文本数据密钥发送到 Amazon EBS。

1. Amazon EBS 使用纯文本数据密钥加密所有传入和传出加密卷的数据。Amazon EBS 会将纯文本数据密钥保存在内存中，直至卷连接到 WorkSpace。

1. Amazon EBS 将加密的数据密钥（接收于[Step 4](#WSP-KMS-creates-data-key)）与卷元数据一起存储，以备将来重启或重建时使用。 WorkSpace

1. 当您使用删除 WorkSpace （或使用 WorkSpaces API 中的[https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html](https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html)操作）时， WorkSpaces Amazon EBS 会停用允许他们使用您的 KMS 密钥进行此 WorkSpace操作的授权。 AWS 管理控制台 

## WorkSpaces 加密上下文
<a name="kms-workspaces-encryption-context"></a>

WorkSpaces 不会将您的 KMS 密钥直接用于加密操作（例如[https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)、、等），这意味着 WorkSpaces 不向包含[加密上下文](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)的请求发送请求。 AWS KMS 但是，当 Amazon EBS 请求您的加密卷的加密数据密钥时 WorkSpaces （[Step 3](#WSP-EBS-requests-encrypted-volume-data-key)在[使用 WorkSpaces 加密概述 AWS KMS](#kms-workspaces-overview)）以及请求该数据密钥的纯文本副本（[Step 5](#WSP-uses-EBS-to-attach-encrypted-volume)）时，它会在请求中包含加密上下文。

 加密上下文提供了[额外的身份验证数据](https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad) (AAD)， AWS KMS 用于确保数据完整性。加密上下文也会写入您的 AWS CloudTrail 日志文件，这可以帮助您了解使用给定 KMS 密钥的原因。Amazon EBS 会对加密上下文使用以下内容：
+ 与 Active Directory 用户关联的安全标识符 (SID) WorkSpace
+ 与之关联的 AWS Directory Service 目录的目录 ID WorkSpace
+ Amazon EBS 加密卷的卷 ID

以下示例显示了 Amazon EBS 使用的加密上下文的 JSON 表示形式：

```
{
  "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]",
  "aws:ebs:id": "vol-1234abcd"
}
```

## 授 WorkSpaces 予代表您使用 KMS 密钥的权限
<a name="kms-workspaces-permissions"></a>

您可以在 WorkSpaces（**aws/workspaces**）的 AWS 托管 KMS 密钥或客户托管的 KMS 密钥下保护您的 WorkSpace 数据。如果您使用客户托管的 KMS 密钥，则需要授予代表账户 WorkSpaces 管理员使用 KMS 密钥的 WorkSpaces 权限。默认情况下，的 AWS WorkSpaces托管 KMS 密钥具有所需的权限。

要准备您的客户托管的 KMS 密钥以供使用 WorkSpaces，请按以下步骤操作。

1. [将您的 WorkSpaces 管理员添加到 KMS 密钥的密钥策略中的密钥用户列表中](#kms-permissions-key-users)

1. [通过 IAM 策略为您的 WorkSpaces 管理员提供更多权限](#kms-permissions-iam-policy)

您的 WorkSpaces 管理员还需要获得使用权限 WorkSpaces。有关这些权限的更多信息，请参阅 [的身份和访问管理 WorkSpaces](workspaces-access-control.md)。

### 第 1 部分：将 WorkSpaces 管理员添加为关键用户
<a name="kms-permissions-key-users"></a>

要向 WorkSpaces 管理员授予他们所需的权限，您可以使用 AWS 管理控制台 或 AWS KMS API。

#### 将 WorkSpaces 管理员添加为 KMS 密钥的密钥用户（控制台）
<a name="kms-permissions-users-consoleAPI"></a>

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**客户托管密钥**。

1. 选择首选客户托管 KMS 密钥的密钥 ID 或别名。

1. 选择 **Key policy (密钥策略)** 选项卡。在 **Key users**（密钥用户）下，选择 **Add**（添加）。

1. 在 IAM 用户和角色列表中，选择与您的 WorkSpaces 管理员对应的用户和角色，然后选择**添加**。

#### 将 WorkSpaces 管理员添加为 KMS 密钥的密钥用户 (API)
<a name="kms-permissions-users-api"></a>

1. 使用[GetKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html)操作获取现有密钥策略，然后将策略文档保存到文件中。

1. 在您的首选文本编辑器中打开策略文档。将与您的 WorkSpaces 管理员对应的 IAM 用户和角色添加到[向关键用户授予权限](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)的策略声明中。然后保存文件。

1. 使用[PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)操作将密钥策略应用于 KMS 密钥。

### 第 2 部分：使用 IAM 策略向 WorkSpaces 管理员授予额外权限
<a name="kms-permissions-iam-policy"></a>

如果您选择客户托管的 KMS 密钥用于加密，则必须建立 IAM 策略，允许 Amazon WorkSpaces 代表您的账户中启动加密的 IAM 用户使用 KMS 密钥 WorkSpaces。该用户还需要获得使用Amazon的权限 WorkSpaces。有关创建和编辑 IAM 用户策略的更多信息，请参阅《IAM 用户指南》**中的[管理 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)和 [的身份和访问管理 WorkSpaces](workspaces-access-control.md)。

WorkSpaces 加密需要对 KMS 密钥的有限访问权限。以下是您可以使用的一个示例密钥策略。此策略将可以管理 AWS KMS 密钥的主体与可以使用此密钥的主体分开。在使用此示例密钥策略之前，请将示例账户 ID 和 IAM 用户名替换为您账户中的实际值。

第一条语句与默认 AWS KMS 密钥策略相匹配。它授予您的账户使用 IAM 策略控制对 KMS 密钥的访问的权限。第二和第三条语句分别定义了 AWS 哪些委托人可以管理和使用密钥。第四条语句 AWS KMS 允许与集成的 AWS 服务代表指定的委托人使用密钥。该语句允许 AWS 服务创建和管理授权。该声明使用条件元素，将对 KMS 密钥的授予限制为 AWS 服务代表您账户中的用户进行的授权。

**注意**  
如果您的 WorkSpaces 管理员使用创建 WorkSpaces 加密卷，则管理员需要列出别名和列出密钥的权限（`"kms:ListAliases"`和`"kms:ListKeys"`权限）。 AWS 管理控制台 如果您的 WorkSpaces 管理员仅使用 Amazon WorkSpaces API（不使用控制台），则可以省略`"kms:ListAliases"`和`"kms:ListKeys"`权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Create*",
        "kms:Describe*",
        "kms:Enable*",
        "kms:List*",
        "kms:Put*",
        "kms:Update*",
        "kms:Revoke*",
        "kms:Disable*",
        "kms:Get*",
        "kms:Delete*"
       ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncryptFrom",
        "kms:ReEncryptTo",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"},
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
    }
  ]
}
```

------

用于加密的用户或角色的 IAM 策略 WorkSpace 必须包括对客户托管的 KMS 密钥的使用权限以及对的访问 WorkSpaces权限。要向 IAM 用户或角色 WorkSpaces 授予权限，您可以将以下示例策略附加到 IAM 用户或角色。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ds:*",
                "ds:DescribeDirectories",
                "workspaces:*",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:CreateWorkspaces",
                "workspaces:DescribeWorkspaceBundles",
                "workspaces:DescribeWorkspaceDirectories",
                "workspaces:DescribeWorkspaces",
                "workspaces:RebootWorkspaces",
                "workspaces:RebuildWorkspaces"
            ],
            "Resource": "*"
        }
    ]
}
```

------

用户需要以下 IAM 策略才能使用 AWS KMS。它为用户提供了对 KMS 密钥的只读访问权限以及创建授权的能力。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:Describe*",
                "kms:List*"
            ],
            "Resource": "*"
        }
    ]
}
```

------

如果您想在策略中指定 KMS 密钥，请使用类似于以下内容的 IAM 策略。将示例 KMS 密钥 ARN 替换为有效值。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kms:CreateGrant",
      "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:ListAliases",
        "kms:ListKeys"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## 加密 WorkSpace
<a name="encrypt_workspace"></a>

**要加密 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 选择 **Launch WorkSpaces** 并完成前三个步骤。

1. 对于 “**WorkSpaces 配置”** 步骤，请执行以下操作：

   1. 选择要加密的卷：**根卷**、**用户卷**或这两种卷。

   1. 对于**加密密钥**，请选择一个 AWS KMS 密钥，即 Amazon 创建的 AWS 托管 KMS 密钥 WorkSpaces 或您创建的 KMS 密钥。您选择的 KMS 密钥必须是对称的。Amazon WorkSpaces 不支持非对称 KMS 密钥。

   1. 选择**下一步**。

1. 选择**启动 WorkSpaces**。

## 查看已加密 WorkSpaces
<a name="maintain_encryption"></a>

要从 WorkSpaces 控制台查看哪些 WorkSpaces 和卷已加密，请**WorkSpaces**从左侧的导航栏中进行选择。“**卷加密**” 列显示 WorkSpace 每个卷加密是启用还是禁用。要查看哪些特定卷已加密，请展开 WorkSpace 条目以查看 “**加密卷**” 字段。

# 重启 WorkSpaces 个人版中的 WorkSpace
<a name="reboot-workspaces"></a>

有时，您可能需要手动重启（重新启动） WorkSpace。重启 WorkSpace 会将用户连接断开，然后执行 WorkSpace 的关闭和重启操作。为避免数据丢失，请确保用户先保存任意打开的文档和其他应用程序文件，然后您再重启 WorkSpace。用户数据、操作系统和系统设置不受影响。

**警告**  
要重启已加密的 WorkSpace，请先确保 AWS KMS 密钥已启用；否则 WorkSpace 将变得不可用。要确定是否启用 KMS 密钥，请参阅《AWS Key Management Service 开发人员指南》**中的[显示 KMS 密钥详细信息](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。

**要重启 WorkSpace**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **WorkSpaces**。

1. 选择要重启的 WorkSpace，然后依次选择**操作**、**重启 WorkSpaces**。

1. 当系统提示您确认时，选择 **Reboot WorkSpaces**。

**使用 AWS CLI 重启 WorkSpace**  
使用 [reboot-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/reboot-workspaces.html) 命令。

**批量重启 WorkSpaces**  
使用 [amazon-workspaces-admin-module](https://github.com/aws-samples/amazon-workspaces-admin-module/tree/main)。

# 重建 WorkSpaces 个人版中的 WorkSpace
<a name="rebuild-workspace"></a>

重建 WorkSpace 将重新创建启动 WorkSpace 的捆绑包的最新映像的根卷、其用户卷及其主弹性网络接口。与还原 WorkSpace 相比，重建 WorkSpace 会删除更多的数据，但它只需要您拥有用户卷的快照即可。要还原 WorkSpace，请参阅[还原 WorkSpaces 个人版中的 WorkSpace](restore-workspace.md)。

重建 WorkSpace 将导致以下情况的出现：
+ 根卷（对于 Microsoft Windows，为驱动器 C；对于 Linux，为 /）使用创建 WorkSpace 时使用的捆绑包的最新映像进行刷新。在创建 WorkSpace 之后安装的所有应用程序或更改的系统设置都将丢失。
+ 用户卷（对于 Microsoft Windows，为 D 驱动器；对于 Linux，为 /home）是从最新快照中重新创建的。用户卷的当前内容将被覆盖。

  每 12 小时安排一次在重建 WorkSpace 时使用的自动快照。无论 WorkSpace 的运行状况如何，都会拍摄这些用户卷的快照。依次选择**操作**、**重建/还原 WorkSpace** 时，将显示最新快照的日期和时间。

  重建 WorkSpace 时，还将在重建完成后不久（通常在 30 分钟内）拍摄新快照。
+ 主要弹性网络接口已重新创建。WorkSpace 会收到一个新的私有 IP 地址。

**重要**  
在 2020 年 1 月 14 日之后，无法再重建从公有 Windows 7 捆绑包创建的 WorkSpaces。您可能需要考虑将您的 Windows 7 WorkSpaces 迁移到 Windows 10。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。

您只能在满足以下条件时重建 WorkSpace：
+ WorkSpace 的状态必须为 `AVAILABLE`、`ERROR`、`UNHEALTHY`、`STOPPED` 或 `REBOOTING`。要重建处于 `REBOOTING` 状态的 WorkSpace，您必须使用 [RebuildWorkSpaces ](https://docs.aws.amazon.com/workspaces/latest/api/API_RebuildWorkspaces.html) API 操作或 [rebuild-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html) AWS CLI 命令。
+ 用户卷的快照必须存在。

**要重建 WorkSpace**
**警告**  
要重建已加密的 WorkSpace，请先确保 AWS KMS 密钥已启用；否则 WorkSpace 将变得不可用。要确定是否启用 KMS 密钥，请参阅《AWS Key Management Service 开发人员指南》**中的[显示 KMS 密钥详细信息](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details)。

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **WorkSpaces**。

1. 选择要重建的 WorkSpace，然后依次选择**操作**、**重建/还原 WorkSpace**。

1. 在**快照**下，选择快照的时间戳。

1. 选择 **Rebuild (重建)**。

**使用 AWS CLI 重建 WorkSpace**  
使用 [rebuild-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html) 命令。

**故障排除**  
如果在 Active Directory 中更改用户的 **sAMAccountName** 用户命名属性后重建 WorkSpace，您可能会收到以下错误消息：

```
"ErrorCode": "InvalidUserConfiguration.Workspace"
"ErrorMessage": "The user was either not found or is misconfigured."
```

要解决此问题，请还原到原始用户命名属性，然后重新发起重建，或为该用户创建新的 WorkSpace。

**重建已加入 Microsoft Entra ID 的 WorkSpaces**  
当用户在重建后首次登录 WorkSpace 时，他们需要再次体验开箱即用体验（OOBE），这与为他们分配新 WorkSpace 时类似。因此，将在 WorkSpace 上创建一个新的用户配置文件文件夹，以覆盖原始用户配置文件文件夹。因此，在重建加入 Entra 的 WorkSpace 期间，原始用户配置文件文件夹中的内容将保存在重建后的 WorkSpace 的 `D:\Users\<USERNAME%MMddyyTHHmmss%.NotMigrated>` 下。用户需要将原始配置文件内容从 `D:\Users\<USERNAME%MMddyyTHHmmss%.NotMigrated>` 复制到用户配置文件文件夹 D:\$1Users\$1<USERNAME> 中，才能还原所有用户配置文件数据，包括桌面图标、快捷方式和数据文件。

**注意**  
对于加入 Microsoft Entra ID 的 WorkSpaces，我们建议尽可能使用“还原 WorkSpaces”，而不是“重建 WorkSpaces”。

# 还原 WorkSpaces 个人版中的 WorkSpace
<a name="restore-workspace"></a>

还原 WorkSpace 将使用在 WorkSpace 运行状况良好时拍摄的每个卷的快照来重新创建根卷和用户卷。还原 WorkSpace 会将根卷和用户卷上的数据回滚到创建快照的时间点。重建 WorkSpace 只会回滚用户卷上的数据。这意味着，还原要求您同时拥有根卷和用户卷的快照，而重建 WorkSpace 只需要用户卷的快照。要重建 WorkSpace，请参阅[重建 WorkSpaces 个人版中的 WorkSpace](rebuild-workspace.md)。

还原 WorkSpace 将导致以下情况的出现：
+ 根卷（对于 Microsoft Windows，为驱动器 C；对于 Linux，为 /）将还原到使用快照指定的日期和时间。在创建快照之后安装的所有应用程序或更改的系统设置都将丢失。
+ 用户卷（对于 Microsoft Windows，为驱动器 D；对于 Linux，为 /home）将重新创建，日期和时间为使用快照指定的日期和时间。用户卷的当前内容将被覆盖。

**还原点**  
依次选择**操作**和**重建/还原 WorkSpace** 时，将显示用于操作的快照的日期和时间。要通过 AWS CLI 验证用于操作的快照的日期和时间，请使用 [describe-workspace-snapshots](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-snapshots.html) 命令。

**拍摄快照时**  
根卷和用户卷的快照是在以下基础上拍摄的。
+ **首次创建 WorkSpace 之后** - 通常，根卷和用户卷的初始快照是在 WorkSpace 创建后不久（通常在 30 分钟内）拍摄的。在某些 AWS 区域，创建 WorkSpace 后可能需要几个小时才能拍摄初始快照。

  如果在拍摄初始快照之前 WorkSpace 运行状况不佳，则无法还原 WorkSpace。在这种情况下，您可以尝试[重建 WorkSpace](rebuild-workspace.md) 或联系 AWS Support 寻求帮助。
+ **正常使用期间** - 每 12 小时安排一次在还原 WorkSpace 时使用的自动快照。如果 WorkSpace 运行状况良好，则将同时创建根卷和用户卷的快照。如果 WorkSpace 运行状况不佳，则仅针对用户卷创建快照。
+ **WorkSpace 还原后** - 还原 WorkSpace 时，将在还原完成后不久（通常在 30 分钟内）拍摄新快照。在某些 AWS 区域，还原 WorkSpace 后可能需要几个小时才能拍摄这些快照。

  还原 WorkSpace 后，如果 WorkSpace 在拍摄新快照之前运行状况不佳，则无法再次还原 WorkSpace。在这种情况下，您可以尝试[重建 WorkSpace](rebuild-workspace.md) 或联系 AWS Support 寻求帮助。

您只能在满足以下条件时还原 WorkSpace：
+ WorkSpace 的状态必须为 `AVAILABLE`、`ERROR`、`UNHEALTHY` 或 `STOPPED`。
+ 根卷和用户卷的快照必须存在。

**还原 WorkSpace**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **WorkSpaces**。

1. 选择要还原的 WorkSpace，然后依次选择**操作**、**重建/还原 WorkSpace**。

1. 在**快照**下，选择快照的时间戳。

1. 选择**还原**。

**使用 AWS CLI 还原 WorkSpace**  
使用 [restore-workspace](https://docs.aws.amazon.com/cli/latest/reference/workspaces/restore-workspace.html) 命令。

# 微软 365 个人版自带许可证 (BYOL) WorkSpaces
<a name="byol-microsoft365-licenses"></a>

亚马逊 WorkSpaces 允许你自带微软365许可证，前提是这些许可证符合微软的许可要求。这些许可证允许你安装和激活由以下操作系统提供支持的企业软件 WorkSpaces 的 Microsoft 365 应用程序：
+ Windows 10（自带许可证）
+ Windows 11（自带许可证）
+ Windows Server 2016
+ Windows Server 2019
+ Windows Server 2022
+ Windows Server 2025

要在上使用微软 365 企业版应用程序 WorkSpaces，你必须订阅微软 365 E3/E5、微软 365 A3/A5、微软 365 G3/G5 或微软 365 G3/G5 或微软 365 商业高级版。

在你的亚马逊上， WorkSpaces 你可以使用你的微软 365 许可证安装和激活微软 365 企业版应用程序，包括以下内容：
+ Microsoft Word
+ Microsoft Excel
+ 微软 PowerPoint
+ Microsoft Outlook
+ 微软 OneDrive

有关更多信息，请参阅 [Microsoft 365 Apps 企业版的完整列表](https://www.microsoft.com/en/microsoft-365/enterprise/microsoft-365-apps-for-enterprise-product?activetab=pivot%3Aoverviewtab&market=af&ranMID=24542&ranEAID=QKfOgZNb5HA&ranSiteID=QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA&epi=QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA&irgwc=1&OCID=AIDcmm549zy227_aff_7593_1243925&tduid=%28ir__caugvllhggkfbgesuvvv2g21je2xb3afmz3ilkpl00%29%287593%29%281243925%29%28QKfOgZNb5HA-uvIr8evP5gLQf8n3Z0NLJA%29%28%29&irclickid=_caugvllhggkfbgesuvvv2g21je2xb3afmz3ilkpl00)。

你也可以安装微软 365 中未包含的微软应用程序，例如微软 Project、Microsoft Visio 和 Microsoft Power Automate， WorkSpaces 但你需要自带额外的许可证。

你可以在主 WorkSpaces 服务器上安装和使用 Microsoft 365 和其他 Microsoft 应用程序，也可以 WorkSpaces 使用[多区域弹性](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html)进行故障转移。

**Topics**
+ [WorkSpaces 使用微软 365 企业版应用程序进行创作](#create-workspaces-microsoft365)
+ [迁移现有应用程序 WorkSpaces 以使用微软 365 企业版应用程序](#migrate-workspaces-microsoft365)
+ [在上更新你的微软 365 企业版应用程序 WorkSpaces](#microsoft365-update)

## WorkSpaces 使用微软 365 企业版应用程序进行创作
<a name="create-workspaces-microsoft365"></a>

要 WorkSpaces 使用 Microsoft 365 企业版应用程序进行创建，必须创建安装了应用程序的自定义映像，然后使用它来创建自定义软件包。您可以使用该捆绑包启动 WorkSpaces 已安装应用程序的新版本。 WorkSpaces 不提供企业版 Microsoft 365 应用程序的公共捆绑包。

**要 WorkSpaces 使用微软 365 企业版应用程序创建，请执行以下操作：**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 启动 WorkSpace 一个你想用作其他 Microsoft 应用程序的镜像 WorkSpaces。您将在此处安装 Microsoft 应用程序。有关启动的更多信息 WorkSpace，请参阅[使用启动虚拟桌面 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。

1. 在 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/)启动客户端应用程序，输入邀请电子邮件中的注册码，然后选择**注册**。

1. 当系统提示登录时，输入用户的登录凭证，然后选择**登录**。

1. 安装和配置 Microsoft 365 Apps 企业版。

1. 从中创建自定义映像 WorkSpace，然后用它来创建自定义捆绑包。有关创建自定义映像和捆绑包的更多信息，请参阅[创建自定义 WorkSpaces 映像和捆绑包](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-custom-bundle.html)。

1.  WorkSpaces 使用您创建的自定义捆绑包启动。它们安装 WorkSpaces 了微软 365 企业版应用程序。

## 迁移现有应用程序 WorkSpaces 以使用微软 365 企业版应用程序
<a name="migrate-workspaces-microsoft365"></a>

如果你 WorkSpaces 没有 Microsoft Office 许可证 AWS，你可以在自己的设备上安装和配置适用于企业的 Microsoft 365 应用程序 WorkSpaces。

 如果你 WorkSpaces 确实有微软 Office 许可证 AWS，则在安装企业版微软 365 应用程序之前，必须先取消注册微软 Office 许可证。

**重要**  
从你那里卸载 Microsoft Office 应用程序 WorkSpaces 并不会取消许可证的注册。为避免被收取微软 Office 许可证费用，请执行以下任一操作， WorkSpaces 从微软 Office 应用程序中 AWS 注销你的微软 Office 应用程序：  
 **管理应用程序**（推荐）— 你可以从你的应用程序中卸载 Microsoft Office 版本许可证 WorkSpaces。有关更多信息，请参阅[管理应用程序](manage-applications)。卸载后，你可以在上安装适用于企业的 Microsoft 365 应用程序 WorkSpaces。
 **迁移 WorkSpace** — 您可以将一个 WorkSpace 捆绑包迁移到另一个捆绑包，同时将数据保留在用户卷上。  
将你迁移 WorkSpaces 到包含没有 Microsoft Office 订阅的图片的捆绑包。迁移完成后，你可以在自己的设备上安装 Microsoft 365 企业版应用程序 WorkSpaces。
或者，创建已在 WorkSpaces 映像上安装了 Microsoft 365 企业版应用程序的自定义映像和捆绑包，然后将您的映像迁移 WorkSpaces 到这个新的自定义捆绑包。迁移完成后，你的 WorkSpaces 用户就可以开始使用适用于企业的 Microsoft 365 应用程序了。
有关如何迁移的更多信息 WorkSpaces，请参阅[迁移 WorkSpace](migrate-workspaces)。

## 在上更新你的微软 365 企业版应用程序 WorkSpaces
<a name="microsoft365-update"></a>

默认情况下，你在微软 Windows 操作系统上 WorkSpaces 运行的配置为接收来自 Windows Update 的更新。但是，Microsoft 365 Apps 企业版的更新无法通过 Windows 更新获得。将更新设置为从 Office CDN 自动运行，或者将 Windows Server Update Services (WSUS) 与 Microsoft Configuration Manager 配合使用，以更新 Microsoft 365 Apps 企业版。有关更多信息，请参阅[使用 Microsoft Configuration Manager 管理 Microsoft 365 Apps 的更新](https://learn.microsoft.com/en-us/deployoffice/updates/manage-microsoft-365-apps-updates-configuration-manager)。要设置 Microsoft 365 应用程序更新的频率，请指定更新渠道并将其设置为 “当前” 或 “企业月度”，以符合 Microsoft 365 的 WorkSpaces许可政策。

# WorkSpaces 在 WorkSpaces 个人版中升级 Windows BYOL
<a name="upgrade-windows-10-byol-workspaces"></a>

在 Windows 自带许可证 (BYOL) 上 WorkSpaces，你可以使用就地升级过程升级到较新版本的 Windows。为此，请按照本主题中的说明操作。

就地升级过程仅适用于 Windows 10 和 11 BY WorkSpaces OL。

**重要**  
不要在升级后的版本上运行 Sysprep。 WorkSpace如果这样做，可能会发生阻止 Sysprep 完成的错误。如果您计划运行 Sysprep，请仅在尚未升级的上执行 WorkSpace 此操作。

**注意**  
你可以使用此过程将 Windows 10 和 11 升级 WorkSpaces 到更新的版本。但是，此过程不能用于将你的 Windows 10 升级 WorkSpaces 到 Windows 11。

**Topics**
+ [前提条件](#upgrade_byol_prerequisites)
+ [注意事项](#upgrade_byol_important_considerations)
+ [已知限制条件](#byol-known-limitations)
+ [注册表项设置摘要](#upgrade_byol_registry_summary)
+ [执行就地升级](#upgrade_byol_procedure)
+ [问题排查](#byol-troubleshooting)
+ [使用 PowerShell 脚本更新您的 WorkSpace 注册表](#update-windows-10-byol-script)

## 前提条件
<a name="upgrade_byol_prerequisites"></a>
+ 如果您使用组策略或系统中心配置管理器 (SCCM) 推迟或暂停 Windows 10 和 11 升级，请为 Windows 10 和 11 启用操作系统升级。 WorkSpaces
+ 如果 WorkSpace 是 AutoStop WorkSpace，则将其更改为就地升级过程 AlwaysOn WorkSpace之前的，这样在应用更新时它就不会自动停止。有关更多信息，请参阅 [修改运行模式](running-mode.md#modify-running-mode)。如果您希望将 WorkSpace 设置保留为 AutoStop，请在升级进行 AutoStop 时将时间更改为三小时或更长时间。
+ 就地升级过程通过制作名为 Default User (`C:\Users\Default`) 的特殊配置文件的副本来重新创建用户配置文件。请勿使用此默认用户配置文件进行自定义。我们建议改为通过组策略对象 (GPOs) 对用户配置文件进行任何自定义。通过进行的自定义 GPOs 可以很容易地修改或回滚，并且不易出错。
+ 就地升级过程只能备份和重新创建一个用户配置文件。如果您在驱动器 D 上有多个用户配置文件，请删除除所需配置文件之外的所有用户配置文件。

## 注意事项
<a name="upgrade_byol_important_considerations"></a>

就地升级过程使用两个注册表脚本（`enable-inplace-upgrade.ps1`和`update-pvdrivers.ps1`）对您的注册表脚本进行必要的更改 WorkSpaces ，从而使 Windows 更新进程能够运行。这些更改涉及在驱动器 C 而不是驱动器 D 上创建（临时）用户配置文件。如果驱动器 D 上已存在用户配置文件，则该原始用户配置文件中的数据保留在驱动器 D 上。

默认情况下，在中 WorkSpaces 创建用户配置文件`D:\Users\%USERNAME%`。`enable-inplace-upgrade.ps1` 脚本会将 Windows 配置为在 `C:\Users\%USERNAME%` 中创建新的用户配置文件，并将用户 Shell 文件夹重定向到 `D:\Users\%USERNAME%`。这个新的用户配置文件是在用户首次登录时创建的。

就地升级后，您可以选择将用户配置文件保留在驱动器 C 上，以允许用户在将来使用 Windows 更新进程升级其计算机。但是，请注意 WorkSpaces ，如果配置文件存储在驱动器 C 上，则无法在不丢失用户配置文件中的所有数据的情况下重建或迁移，除非您自己备份和恢复这些数据。如果您决定将配置文件保留在驱动器 C 上，则可以使用**UserShellFoldersRedirection**注册表项将用户 shell 文件夹重定向到驱动器 D，如本主题后面所述。

为确保您可以重建或迁移您的 shell， WorkSpaces 并避免用户 shell 文件夹重定向出现任何潜在问题，我们建议您在就地升级后选择将用户配置文件还原到驱动器 D。您可以使用 **PostUpgradeRestoreProfileOnD** 注册表项来执行此操作，如本主题后面所述。

## 已知限制条件
<a name="byol-known-limitations"></a>
+ 在 WorkSpace 重建或迁移过程中，用户配置文件位置不会从驱动器 D 更改为驱动器 C。如果您在 Windows 10 或 11 BYOL 上执行就地升级， WorkSpace 然后对其进行重建或迁移，则新版本 WorkSpace 将在驱动器 D 上保存用户配置文件。
**警告**  
如果在就地升级后将用户配置文件保留在驱动器 C 上，则在重建或迁移过程中存储在驱动器 C 上的用户配置文件数据将丢失，除非您在重建或迁移之前手动备份用户配置文件数据，并在运行重建或迁移过程后手动还原用户配置文件数据。
+ 如果您的默认 BYOL 包包含基于 Windows 10 和 11 早期版本的映像，则必须在重建或迁移后再次执行就 WorkSpace 地升级。

## 注册表项设置摘要
<a name="upgrade_byol_registry_summary"></a>

要启用就地升级过程并指定您要在升级后放置用户配置文件的位置，您必须设置多个注册表项。


**注册表路径：**HKL M:\$1Software\$1Amazon\$1WorkSpacesConfig\$1 .ps1 enable-inplace-upgrade****  

| 注册表项 | Type | 值 | 
| --- | --- | --- | 
| Enabled (已启用) | DWORD |  **0** –（默认值）禁用就地升级 **1** – 启用就地升级  | 
| PostUpgradeRestoreProfileOnD | DWORD |  **0** –（默认值）在就地升级后，不尝试还原用户配置文件路径 **1**-就地升级后恢复用户配置文件路径 (**ProfileImagePath**)  | 
| UserShellFoldersRedirection | DWORD |  **0** – 不对用户 Shell 文件夹进行重定向 **1** –（默认值）在用户配置文件在 `C:\Users\%USERNAME%` 上重新生成后，将用户 Shell 文件夹重定向到 `D:\Users\%USERNAME%`  | 
| NoReboot | DWORD |  **0** –（默认值）允许您控制在修改用户配置文件的注册表后何时重启 **1** — 不允许脚本 WorkSpace 在修改用户配置文件的注册表后重新启动  | 


**注册表路径：**HKL M:\$1Software\$1Amazon\$1WorkSpacesConfig\$1 up** date-pvdrivers.ps1**  

| 注册表项 | Type | 值 | 
| --- | --- | --- | 
| Enabled (已启用) | DWORD |  **0** —（默认）禁用 AWS PV 驱动程序更新 **1** — 启用 AWS PV 驱动程序更新  | 

## 执行就地升级
<a name="upgrade_byol_procedure"></a>

要在 BYOL 上启用就地升级 Windows WorkSpaces，必须设置某些注册表项，如以下过程所述。您还必须设置某些注册表项，以指示您希望在完成就地升级后在其中放置用户配置文件的驱动器（C 或 D）。

您可以手动进行这些注册表更改。如果您有多个 WorkSpaces 要更新，则可以使用组策略或 SCCM 来推送脚本。 PowerShell 有关示例 PowerShell脚本，请参阅[使用 PowerShell 脚本更新您的 WorkSpace 注册表](#update-windows-10-byol-script)。

**执行 Windows 10 和 11 就地升级**

1. 记下你正在更新的 Windows 10 和 11 BYOL WorkSpaces 上当前运行的是哪个版本的 Windows，然后重新启动它们。

1. 更新以下 Windows 系统注册表项，将 **Enabled (启用)** 的数值数据从 **0** 更改为 **1**。这些注册表更改允许就地升级。 WorkSpace
   + **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 亚马逊\$1\$1 .ps1 WorkSpacesConfig enable-inplace-upgrade**
   + **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 亚马逊\$1\$1 update-pvdrivers.ps1 WorkSpacesConfig**
**注意**  
如果这些密钥不存在，请重新启动 WorkSpace。重新启动系统时，应该会添加这些键。

   （可选）如果您使用诸如 SCCM 任务序列之类的托管工作流来执行升级，请将以下键值设置为 **1** 以防止计算机重新启动：

   **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 Amazon\$1\$1 .ps1\$1 WorkSpacesConfig enable-inplace-upgrade NoReboot**

1. 决定您希望在就地升级过程后将用户配置文件放在哪个驱动器上（有关详细信息，请参阅[注意事项](#upgrade_byol_important_considerations)），并按以下方式设置注册表项：
   + 如果您希望在升级后用户配置文件位于驱动器 C 上，请设置：

     **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 亚马逊\$1\$1 .ps1 WorkSpacesConfig enable-inplace-upgrade**

     密钥名称：**PostUpgradeRestoreProfileOnD**

     键值：**0**

     密钥名称：**UserShellFoldersRedirection**

     键值：**1**
   + 如果您希望在升级后用户配置文件位于驱动器 D 上，请设置：

     **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 亚马逊\$1\$1 .ps1 WorkSpacesConfig enable-inplace-upgrade**

     密钥名称：**PostUpgradeRestoreProfileOnD**

     键值：**1**

     密钥名称：**UserShellFoldersRedirection**

     键值：**0**

1. 将更改保存到注册表后， WorkSpace 再次重新启动以应用更改。
**注意**  
重新启动后，登录到会 WorkSpace 创建新的用户配置文件。您可能会在**开始**菜单中看到占位符图标。此问题在就地升级完成后会自动解决。
等待 10 分钟以确保畅通 WorkSpace 无阻。

   （可选）确认将以下密钥值设置为 **1**，这将解除 WorkSpace 对更新的阻止：

   **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 Amazon\$1\$1 .ps1\$1 已删除 WorkSpacesConfig enable-inplace-upgrade profileImagePath**

1. 执行就地升级。您可以使用任何您喜欢的方法，例如 SCCM、ISO 或 Windows Update (WU)。根据您的原始 Windows 10 和 11 版本及安装的应用程序数量，此过程可能需要 40-120 分钟。
**注意**  
就地升级过程可能至少需要一个小时。 WorkSpace 实例状态可能显示为升级`UNHEALTHY`期间。

1. 更新过程结束后，请确认 Windows 版本已更新。
**注意**  
如果就地升级失败，则 Windows 会自动回滚以使用开始升级之前已安装的 Windows 10 和 11 版本。有关疑难解答的更多信息，请参阅 [Microsoft 文档](https://docs.microsoft.com/en-us/windows/deployment/upgrade/resolve-windows-10-upgrade-errors)。

   （可选）要确认更新脚本已成功执行，请验证以下键值是否设置为 **1**：

   **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 Amazon\$1\$1 .ps1\$1 WorkSpacesConfig enable-inplace-upgrade scriptExecutionComplete**

1. 如果您 WorkSpace 通过将运行模式设置为 AlwaysOn 或更改 AutoStop 时间段来修改运行模式，以便就地升级过程可以不间断地运行，请将运行模式重新设置为原始设置。有关更多信息，请参阅 [修改运行模式](running-mode.md#modify-running-mode)。

如果您尚未将 **PostUpgradeRestoreProfileOnD** 注册表项设置为 **1**，则用户配置文件将由 Windows 重新生成并在就地升级`C:\Users\%USERNAME%`后放入，这样将来的 Windows 10 和 11 就地升级就不必再次执行上述步骤。默认情况下，`enable-inplace-upgrade.ps1` 脚本将以下 Shell 文件夹重定向到驱动器 D：
+ `D:\Users\%USERNAME%\Downloads`
+ `D:\Users\%USERNAME%\Desktop`
+ `D:\Users\%USERNAME%\Favorites`
+ `D:\Users\%USERNAME%\Music`
+ `D:\Users\%USERNAME%\Pictures`
+ `D:\Users\%USERNAME%\Videos`
+ `D:\Users\%USERNAME%\Documents`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup`
+ `D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates`

如果您将 shell 文件夹重定向到您的其他位置 WorkSpaces，请在就地升级 WorkSpaces 之后对执行必要的操作。

## 问题排查
<a name="byol-troubleshooting"></a>

如果您在更新过程中遇到任何问题，可以查看以下各项以帮助排除故障：
+ Windows 日志，默认情况下位于以下位置：

  `C:\Program Files\Amazon\WorkSpacesConfig\Logs\`

  `C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED`
+ Windows 事件查看器

  Windows 日志 > 应用程序 > 来源：亚马逊 WorkSpaces

**提示**  
在就地升级过程中，如果您看到桌面上的某些图标快捷方式不再起作用，那是因为 WorkSpaces 将驱动器 D 上的所有用户配置文件移至驱动器 C 以准备升级。升级完成后，快捷方式将正常工作。

### Windows 11 24H2 升级使用 ISO 错误解析
<a name="upgrade-iso-resolution"></a>

Windows 11 24H2 升级过程可能会在第二个启动阶段遇到严重的启动故障，具体而言会出现错误代码 0xC1900101 - 0x40017。出现此错误的原因通常是系统驱动程序文件丢失或损坏，导致安装无法在启动操作阶段成功完成。

*错误代码：*0xC1900101 - 0x40017

*错误描述：*在 SECOND\$1BOOT 阶段安装失败，出现 BOOT 操作错误

1. 确保您有 Windows 11 24H2 ISO 文件。

1. 以管理员身份打开命令提示符。

1. 使用以下命令复制所需的系统文件：

   ```
   copy "ISO-Drive:\Sources\WinSetupMon.sys" "C:\Windows\System32\Drivers\"
   ```

   将 **ISO-Drive** 替换为 ISO 驱动程序信息。

1. 使用以下路径验证文件副本：

   ```
   C:\Windows\System32\Drivers\
   ```

1. 使用 ISO 文件启动 Windows 11 24H2 升级。

## 使用 PowerShell 脚本更新您的 WorkSpace 注册表
<a name="update-windows-10-byol-script"></a>

您可以使用以下示例 PowerShell 脚本更新您的注册表 WorkSpaces 以启用就地升级。请按照[执行就地升级](#upgrade_byol_procedure)，但使用此脚本更新每个注册表 WorkSpace。

```
# AWS WorkSpaces 1.28.20
# Enable In-Place Update Sample Scripts
# These registry keys and values will enable scripts to run on the next reboot of the WorkSpace.
 
$scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1")
$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"
$Enabled = 1
$script:ErrorActionPreference = "Stop"
 
foreach ($scriptName in $scriptlist)
{
    $scriptRegKey = "$wsConfigRegistryRoot\$scriptName"
    
    try
    {
        if (-not(Test-Path $scriptRegKey))
        {        
            Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled."
            New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null
            New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null
            Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
        }
        else
        {
            Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
            if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled)
            {
                Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled
                Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"
            }
        }
    }
    catch
    {
        write-host "Stopping script, the following error was encountered:" `r`n$_ -ForegroundColor Red
        break
    }
}
```

# 以 WorkSpaces 个人 WorkSpace 方式迁移
<a name="migrate-workspaces"></a>

**注意**  
如果你想取消订阅或卸载 Microsoft Office 版本 AWS 的许可证 WorkSpace，我们建议你使用[管理应用程序](manage-applications)。

您可以将 WorkSpace 从一个捆绑包迁移到另一个捆绑包，同时将数据保留在用户卷上。下面是一些示例方案：
+ 你可以 WorkSpaces 从 Windows 7 桌面体验迁移到 Windows 10 桌面体验。
+ 您可以 WorkSpaces 从 PCo IP 协议迁移到 DCV。
+ 你可以 WorkSpaces 从 Windows Server 上的 32 位微软 Office 2016 版本的 WorkSpaces 捆绑包迁移到 Windows Server 2019 上的 64 位微软 Office 和支持 Windows Server 2022 的捆绑包。 WorkSpaces 
+ 您可以 WorkSpaces 从一个公共或自定义捆绑包迁移到另一个捆绑包。例如，你可以从支持 GPU（Graphics.g6、graphics.g4dn）迁移。 GraphicsPro.g4dn、Graphics 和 GraphicsPro) 捆绑包到 non-GPU-enabled捆绑包，反之亦然。
+ 你可以 WorkSpaces 从 Windows 10 BYOL 迁移到 Windows 11 BYOL，但不支持从 Windows 11 迁移到 Windows 10。
+ Windows 11 不支持经济捆绑包。要将你的 Windows 7 或 10 超值套装迁移 WorkSpaces 到 Windows 11，你需要先将你的超值套装切换 WorkSpaces 到更大的套装产品。
+ 在 WorkSpaces 从 Windows 7 迁移到 Windows 11 之前，你需要将其迁移到 Windows 10。在将其迁移到 Windows 11 之前，请 WorkSpace 至少登录一次 Windows 10。不支持从 Windows 7 WorkSpaces 直接迁移到 Windows 11。
+ 你可以将使用微软 Office WorkSpaces 的 Windows 迁移 AWS 到包含微软 365 应用程序的自定义 WorkSpaces 捆绑包。迁移完成后， WorkSpaces 你将取消订阅微软 Office。
+ 你可以将使用微软 Office WorkSpaces 的 Windows 迁移 AWS 到没有 Office 2016/2019 订阅的 WorkSpaces捆绑包中。迁移完成后， WorkSpaces 你将取消订阅微软 Office。
+ 你可以将 BYOL BYOP WorkSpaces 从 Windows 10 迁移到 Windows 11，将包含许可证的 BYOP WorkSpaces 从 Windows Server 2019 迁移到 Windows Server 2022。
+ 你可以将任何 Windows 服务器支持的 WorkSpace 捆绑包迁移到 Windows Server 2025。迁移后，您将使用 DCV 流式传输协议在不同的网络条件下实现高性能的远程桌面流式传输，即使对于图形密集型应用程序也是如此，即使是功能较弱的客户端设备也是如此。
+ 你可以将任何 Windows Server 许可证内含的 BYOP WorkSpace 捆绑包迁移到 BYOP Windows Server 2025。

有关 Amazon WorkSpaces 捆绑包的更多信息，请参阅[个人版套装和 WorkSpaces 图片](amazon-workspaces-bundles.md)。

迁移过程使用目标捆绑包映像中的新根卷和原始 WorkSpace包上次可用快照中的用户卷来重新创建。 WorkSpace 迁移过程中会生成一个新的用户配置文件，以获得更好的兼容性。将重命名旧用户配置文件，然后将旧用户配置文件中的某些文件移动到新用户配置文件。（有关所移动的内容的详细信息，请参阅[迁移过程中会发生什么](#during-migration)。）

每次迁移过程最多需要一个小时 WorkSpace。启动迁移过程时，会创建一个新的 WorkSpace 迁移过程。如果发生导致无法成功迁移的错误， WorkSpace 则会恢复原始文件并将其恢复到其原始状态，然后终止新的 WorkSpace 迁移。

**Contents**
+ [迁移限制](#migration-limits)
+ [迁移场景](#migration-scenarios)
+ [迁移过程中会发生什么](#during-migration)
+ [最佳实践](#migration-best-practices)
+ [问题排查](#migration_troubleshooting)
+ [账单如何受到影响](#migration-billing)
+ [迁移 WorkSpace](#migration-workspaces)

## 迁移限制
<a name="migration-limits"></a>
+ 您不能迁移到公有或自定义 Windows 7 桌面体验捆绑包。您也不能迁移到自带许可证 (BYOL) Windows 7 捆绑包。
+ 您 WorkSpaces 只能将 BYOL 迁移到其他 BYOL 捆绑包。要将 BYOL WorkSpace 从 PCo IP 迁移到 DCV，必须先使用 DCV 协议创建 BYOL 捆绑包。然后，你可以将你 PCo的 IP BYOL 迁移 WorkSpaces 到那个 DCV BYOL 捆绑包。
+ 您无法将从公共或自定义捆绑包中 WorkSpace 创建的分发包迁移到 BYOL 捆绑包。
+ DCV 协议支持 Windows 上的 Graphics G6 捆绑包、Graphics.g4dn 和.g4dn。 GraphicsPro在 Ubuntu 上，只有 Graphics.g4dn 和.g4dn 可用。 GraphicsPro
+ PCoIP 协议仅支持 Windows 上的 Graphics.g4dn 和 GraphicsPro .g4dn 捆绑包。
+  WorkSpaces 目前不支持迁移 Linux。
+ 在支持多种语言的 AWS 区域中，您可以在语言包 WorkSpaces之间迁移。
+ 源捆绑包和目标捆绑包必须不同。（但是，在支持多种语言的区域中，只要语言不同，就可以迁移到相同的 Windows 10 捆绑包。） 如果您想 WorkSpace 使用相同的捆绑包刷新，请 WorkSpace改[为重新构建](rebuild-workspace.md)。
+ 您无法 WorkSpaces 跨区域迁移。
+ 在某些情况下，如果迁移无法成功完成，您可能不会收到错误消息，并且可能显示迁移过程未启动。如果在尝试迁移一小时后 WorkSpace 捆绑包保持不变，则迁移不成功。请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)以获取帮助。
+ 您无法将 BYOP 迁移 WorkSpaces 到 PCo IP 或 DC WorkSpaces V。
+ 你无法将已加入的 Active Directory 域名迁移到 WorkSpaces Microsoft Entra- WorkSpaces

## 迁移场景
<a name="migration-scenarios"></a>

下表显示了哪些迁移方案可用：


| 源操作系统 | 目标操作系统 | 是否可用？ | 
| --- | --- | --- | 
|  公有或自定义捆绑包 Windows 7  |  公有或自定义捆绑包 Windows 10  |  是  | 
|  自定义捆绑包 Windows 7  |  公有捆绑包 Windows 7  |  否  | 
|  自定义捆绑包 Windows 7  |  自定义捆绑包 Windows 7  |  否  | 
|  公有捆绑包 Windows 7  |  自定义捆绑包 Windows 7  |  否  | 
|  公有或自定义捆绑包 Windows 10  |  公有或自定义捆绑包 Windows 7  |  否  | 
|  公有或自定义捆绑包 Windows 10  |  自定义捆绑包 Windows 10  |  是  | 
|  Windows 7 BYOL 捆绑包  |  Windows 7 BYOL 捆绑包  | 否 | 
| Windows 7 BYOL 捆绑包 |  Windows 10 BYOL 捆绑包  |  是  | 
|  Windows 10 BYOL 捆绑包  |  Windows 7 BYOL 捆绑包  |  否  | 
|  Windows 10 BYOL 捆绑包  |  Windows 10 BYOL 捆绑包  |  是  | 
|  支持 Windows Server 2016 的公有 Windows 10 捆绑包  |  支持 Windows Server 2019 的公有 Windows 10 捆绑包  |  是  | 
|  支持 Windows Server 2019 的公有 Windows 10 捆绑包  |  支持 Windows Server 2016 的公有 Windows 10 捆绑包  |  是  | 
|  Windows 10 BYOL 捆绑包  |  Windows 11 BYOL 捆绑包  |  是  | 
|  Windows 11 BYOL 捆绑包  |  Windows 10 BYOL 捆绑包  |  否  | 
|  支持 Windows Server 2016 的自定义 Windows 10 捆绑包  |  支持 Windows Server 2019 的公有 Windows 10 捆绑包  |  是  | 
|  支持 Windows Server 2016 的自定义 Windows 10 捆绑包  |  支持 Windows Server 2022 的公有 Windows 10 捆绑包  |  是  | 
|  支持 Windows Server 2019 的自定义 Windows 10 捆绑包  |  支持 Windows Server 2022 的公有 Windows 10 捆绑包  |  是  | 
| Windows 10 BYOP BYOL | Windows 11 BYOP BYOL | 是 | 
| Windows 11 BYOP BYOL | Windows 10 BYOP BYOL | 否 | 
| 支持 Windows Server 2019 的公有 BYOP  | 支持 Windows Server 2022 的公有 BYOP  | 是 | 
| 支持 Windows Server 2022 的公有 BYOP  | 支持 Windows Server 2019 的公有 BYOP  | 否 | 
| 支持 Windows Server 2019 的公有 BYOP  | 由 Windows Server 2025 提供支持的公共 BYOP  | 是 | 
| 由 Windows Server 2025 提供支持的公共 BYOP  | 支持 Windows Server 2019 的公有 BYOP  | 否 | 
| 支持 Windows Server 2022 的公有 BYOP  | 由 Windows Server 2025 提供支持的公共 BYOP  | 是 | 
| 由 Windows Server 2025 提供支持的公共 BYOP  | 支持 Windows Server 2022 的公有 BYOP  | 否 | 
| 支持 Windows Server 2019 的公有 Windows 10 捆绑包  | 由 Windows Server 2025 提供支持的公共 BYOP  | 是 | 
| 支持 Windows Server 2019 的自定义 Windows 10 套装  | 由 Windows Server 2025 提供支持的公共 BYOP  | 是 | 
| 支持 Windows Server 2022 的公有 Windows 10 捆绑包  | 由 Windows Server 2025 提供支持的公共 BYOP  | 是 | 
| 基于 Windows Server 2022 的自定义 Windows 10 捆绑包  | 由 Windows Server 2025 提供支持的公共 BYOP  | 是 | 

**注意**  
基于 Windows Server 2019 的 Public Windows 10 捆绑包 PCo IP 分支无法访问 Web。

## 迁移过程中会发生什么
<a name="during-migration"></a>

在迁移过程中，用户卷（驱动器 D）上的数据将保留，但根卷（驱动器 C）上的所有数据都将丢失。这意味着不会保留已安装的应用程序、设置和对注册表的更改。旧用户配置文件文件夹将使用 `.NotMigrated` 后缀重命名，并创建一个新的用户配置文件。

迁移过程基于原始用户卷的最后一个快照重新创建驱动器 D。在首次启动新文件夹时 WorkSpace，迁移过程会将原始`D:\Users\%USERNAME%`文件夹移动到名为的文件夹`D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated`。新的操作系统生成一个新的 `D:\Users\%USERNAME%\` 文件夹。

创建新用户配置文件后，以下用户 shell 文件夹中的文件将从旧 `.NotMigrated` 配置文件移动到新配置文件：
+ `D:\Users\%USERNAME%\Desktop`
+ `D:\Users\%USERNAME%\Documents`
+ `D:\Users\%USERNAME%\Downloads`
+ `D:\Users\%USERNAME%\Favorites`
+ `D:\Users\%USERNAME%\Music`
+ `D:\Users\%USERNAME%\Pictures`
+ `D:\Users\%USERNAME%\Videos`

**重要**  
迁移过程尝试将文件从旧用户配置文件移动到新配置文件。迁移过程中未移动的任何文件将保留在 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 文件夹中。如果迁移成功，您可以看到哪些文件被移入 `C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs`。您可以手动移动任何未自动移动的文件。  
默认情况下，公有捆绑包禁用本地搜索索引。如果您要启用它，则默认设置为搜索 `C:\Users` 而不是搜索 `D:\Users`，因此您也需要对其进行调整。如果您已将本地搜索索引专门设置为 `D:\Users\username`，而未设置为 `D:\Users`，则迁移后可能无法对 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 文件夹中的任何用户文件使用本地搜索索引。

在迁移过程中，分配给原始标签的所有标签 WorkSpace 都将被保留，并保留 WorkSpace 的运行模式。但是，新用户 WorkSpace 会获得新的 WorkSpace ID、计算机名称和 IP 地址。

## 最佳实践
<a name="migration-best-practices"></a>

在迁移之前 WorkSpace，请执行以下操作：
+ 将驱动器 C 上的任何重要数据备份到另一个位置。在迁移过程中，将擦除驱动器 C 上的所有数据。
+ 请确保 WorkSpace 正在迁移的存储时间至少为 12 小时，以确保已创建用户卷的快照。在 Amazon WorkSpaces 控制台的 **Migrat** e WorkSpaces 页面上，您可以看到上次拍摄快照的时间。在迁移过程中，上一个快照之后创建的所有数据将丢失。
+ 为避免潜在的数据丢失，请确保您的用户注销其账户， WorkSpaces并且在迁移过程完成后才重新登录。请注意，当它们处于`ADMIN_MAINTENANCE`模式时 WorkSpaces 无法迁移。
+ 确保 WorkSpaces 要迁移的状态为`AVAILABLE``STOPPED`、或`ERROR`。
+ 请确保您有足够的 IP 地址供 WorkSpaces 要迁移的。在迁移期间，将为分配新的 IP 地址 WorkSpaces。
+ 如果您使用脚本进行迁移 WorkSpaces，请分批迁移它们，一次不超过 25 WorkSpaces 个。

## 问题排查
<a name="migration_troubleshooting"></a>
+ 如果用户在迁移后报告丢失文件，请检查其用户配置文件是否在迁移过程中未移动。您可以看到哪些文件被移入 `C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs`。未移动的文件将位于 `D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated` 文件夹中。您可以手动移动任何未自动移动的文件。
+ 如果您正在使用 API 进行迁移 WorkSpaces ，但迁移未成功，则不会使用该 API 返回的目标 WorkSpace ID，并且仍 WorkSpace将使用原始 WorkSpace ID。
+ 如果迁移未成功完成，请检查 Active Directory 以查看它是否相应地被清理了。您可能需要手动删除 WorkSpaces 不再需要的内容。

## 账单如何受到影响
<a name="migration-billing"></a>

在迁移发生的当月，您需要按比例支付新迁移和原始 WorkSpaces迁移费用。例如，如果您在 5 月 10 日将 WorkSpace A 迁移到 WorkSpace B，则将在 5 月 1 日至 5 月 10 日期间支付 WorkSpace A 费用，并在 5 月 11 日至 5 月 30 日期间支付 WorkSpace B 费用。

**注意**  
如果 WorkSpace 要将 a 迁移到不同的捆绑包类型（例如，从 “性能” 到 “Power”，或 “Value” 到 “标准”），则在迁移过程中，根卷（驱动器 C）和用户卷（驱动器 D）的大小可能会增加。如有必要，根卷增加以匹配新捆绑包的默认根卷大小。但是，如果您已为用户卷指定的大小与原始捆绑包的默认大小不同（更高或更低），则在迁移过程中会保留相同的用户卷大小。否则，迁移过程将使用源 WorkSpace 用户卷大小中较大的容量和新捆绑包的默认用户卷大小。

## 迁移 WorkSpace
<a name="migration-workspaces"></a>

您可以 WorkSpaces 通过亚马逊 WorkSpaces 控制台、 AWS CLI 或亚马逊 WorkSpaces API 进行迁移。

**要迁移 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择您的 WorkSpace ，然后选择**操作**，**迁移 WorkSpaces**。

1. 在**捆绑**包下，选择您要迁移到的捆绑包 WorkSpace 。
**注意**  
要将 BYOL WorkSpace 从 PCo IP 迁移到 DCV，必须先使用 DCV 协议创建 BYOL 捆绑包。然后，你可以将你 PCo的 IP BYOL 迁移 WorkSpaces 到那个 DCV BYOL 捆绑包。

1. 选择 **Migrate WorkSpaces**。

   Amazon WorkSpaces 控制台中`PENDING`会出现一个状态为的新 WorkSpace 内容。迁移完成后，原始 WorkSpace 迁移将终止，新迁移的状态将设置 WorkSpace 为`AVAILABLE`。

1. （可选）要删除您不再需要的任何自定义捆绑包和映像，请参阅[删除 WorkSpaces 个人版中的自定义捆绑包或映像](delete_bundle.md)。

要 WorkSpaces 通过迁移 AWS CLI，请使用 migrat [e-workspace 命令](https://docs.aws.amazon.com/cli/latest/reference/workspaces/migrate-workspace.html)。要 WorkSpaces 通过亚马逊 WorkSpaces API 进行迁移，请参阅[MigrateWorkSpace](https://docs.aws.amazon.com/workspaces/latest/api/API_MigrateWorkspace.html)《*亚马逊 WorkSpaces API 参考*》。

# 删除 WorkSpaces 个人版中的 WorkSpace
<a name="delete-workspaces"></a>

当不再使用某个 WorkSpace 时，可以将其删除。还可以删除相关资源。

**警告**  
删除 WorkSpace 是一项永久性操作，无法撤消。WorkSpace 用户的数据不会保留，而是会销毁。要获取有关备份用户数据的帮助，请联系 AWS Support。

**注意**  
Simple AD 和 AD Connector 供您免费使用，可用于 WorkSpaces。如果连续 30 天没有一起使用 WorkSpaces 与您的 Simple AD 或 AD Connector 目录，则系统将自动取消注册该目录，无法再将其用于 Amazon WorkSpaces，而且将根据 [AWS Directory Service 定价条款](https://aws.amazon.com/directoryservice/pricing/)向您收取该目录的费用。  
要删除空目录，请参阅[删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。如果您删除了 Simple AD 或 AD Connector 目录，则当您想重新开始使用 WorkSpaces 时，可以随时创建一个新的目录。

**删除 WorkSpace**

您可以删除除**已暂停**之外处于任何状态的 WorkSpace。

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **WorkSpaces**。

1. 选择您的 WorkSpace 并选择**删除**。

1. 当系统提示进行确认时，选择**删除**。删除 WorkSpace 大约需要 5 分钟。删除期间，WorkSpace 的状态设置为**正在终止**。删除完成后，WorkSpace 将从控制台中消失。

1. (可选) 要删除您不再使用的任何自定义捆绑包和映像，请参阅 [删除 WorkSpaces 个人版中的自定义捆绑包或映像](delete_bundle.md)。

1. (可选) 删除一个目录下的所有 WorkSpace 后，可删除该目录。有关更多信息，请参阅 [删除 WorkSpaces 个人版的目录](delete-workspaces-directory.md)。

1. (可选) 删除虚拟私有云(VPC) 中用于您的目录的所有资源后，可以删除 VPC 并释放用于 NAT 网关的弹性 IP 地址。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[删除您的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) 和[使用弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs)。

**使用 AWS CLI 删除 WorkSpace**  
使用 [terminate-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/terminate-workspaces.html) 命令。

# 个人版套装和 WorkSpaces 图片
<a name="amazon-workspaces-bundles"></a>

*WorkSpace 捆绑包*是操作系统以及存储、计算和软件资源的组合。启动时 WorkSpace，您可以选择满足您需求的捆绑包。可用的默认捆绑包 WorkSpaces 称为*公共捆绑包*。有关可用的各种公共捆绑包的更多信息 WorkSpaces，请参阅 [Amazon WorkSpaces 捆绑包](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。

如果你已经启动了 Windows 或 Linux WorkSpace 并对其进行了自定义，则可以从中创建自定义镜像 WorkSpace。

*自定义映像*仅包含的操作系统、软件和设置 WorkSpace。*自定义捆绑包*是该自定义映像和 WorkSpace 可以从中启动的硬件的组合。

创建自定义映像后，您可以构建一个将自定义映 WorkSpace 像与您选择的底层计算和存储配置相结合的自定义捆绑包。然后，您可以在启动新包时指定此自定义捆绑包， WorkSpaces 以确保新包 WorkSpaces 具有相同的一致配置（硬件和软件）。

如果您需要执行软件更新或在上安装其他软件 WorkSpaces，则可以更新您的自定义软件包并使用它来重建您的 WorkSpaces。

WorkSpaces 支持多种不同的操作系统 (OS)、流媒体协议和捆绑包。下表提供了有关每个操作系统支持的许可、流式传输协议和捆绑包的信息。


| 操作系统 | 许可证 | 流式传输协议 | 支持的捆绑包 | 生命周期策略/停用日期 | 
| --- | --- | --- | --- | --- | 
| Windows Server 2016 | 包含 | DCV，IP PCo | 价值、标准、性能、功率、、、Graphics g4dn PowerPro GraphicsPro | [2027 年 1 月 12 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2016) | 
| Windows Server 2019 | 包含 | DCV，IP PCo | 价值、标准、性能、功率、、、Graphics g4dn PowerPro GraphicsPro | [2029 年 1 月 9 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2019) | 
| Windows Server 2022 | 包含 | DCV，IP PCo | 标准、性能、功率、、、Graphics g4dn PowerPro GeneralPurpose、Graphics G6 | [2031 年 10 月 14 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2022) | 
| Windows Server 2025 | 包含 | DCV | 标准、性能、功率、、、Graphics g4dn PowerPro GeneralPurpose、Graphics G6 | [2034年11月14日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2025) | 
| Windows 10 | 自带许可（BYOL） | DCV，IP PCo | 价值、标准、性能、功率、、、Graphics g4dn PowerPro GraphicsPro | [支持中](https://learn.microsoft.com/en-us/windows/release-health/release-information) | 
| Windows 11 | 自带许可（BYOL） | DCV | 标准、性能、功率、、、Graphics g4dn PowerPro GeneralPurpose、Graphics G6 | [支持中](https://learn.microsoft.com/en-us/windows/release-health/windows11-release-information) | 
| Amazon Linux 2 | 包含 | DCV，IP PCo | 价值、标准、性能、功率、 PowerPro | [支持中](https://aws.amazon.com/amazon-linux-2/faqs/) | 
| Ubuntu 22.04 LTS | 包含 | DCV | 价值、标准、性能、功率 PowerPro、显卡 g4dN | [2032 年 6 月](https://ubuntu.com/about/release-cycle) | 
| Rocky Linux 8 | 包含 | DCV | 价值、标准、性能、功率、 PowerPro | [2029 年 5 月 31 日](https://ciq.com/services/long-term-support/) | 
| Red Hat Enterprise Linux 8 | 包含 | DCV | 价值、标准、性能、功率、 PowerPro | [2029 年 5 月 31 日](https://access.redhat.com/support/policy/updates/errata) | 

**注意**  
供应商不再支持的操作系统版本不能保证可以正常运行，也不受支持 AWS 支持。
要在 Windows 操作系统上 WorkSpaces 运行，Graphics 捆绑包仅支持 PCo IP 流式传输协议。

**Topics**
+ [WorkSpaces 个人版捆绑包选项](bundle-options.md)
+ [为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)
+ [更新 WorkSpaces 个人版的自定义捆绑包](update-custom-bundle.md)
+ [在 “个 WorkSpaces 人” 中复制自定义镜像](copy-custom-image.md)
+ [共享或取消共享自定义 WorkSpaces 个人版映像](share-custom-image.md)
+ [删除 WorkSpaces 个人版中的自定义捆绑包或映像](delete_bundle.md)

# WorkSpaces 个人版捆绑包选项
<a name="bundle-options"></a>

在选择捆绑包之前，请确保要选择的捆绑包与您的 WorkSpaces “协议”、“操作系统”、“网络” 和 “计算类型” 兼容。有关协议的更多信息，请参阅 [Amazon 协议 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html)。有关网络的更多信息，请参阅 [Amazon WorkSpaces 客户网络要求](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-network-requirements.html)。

**注意**  
我们建议 PCo IP 的最大网络延迟不要超过 250 毫秒 WorkSpaces。为了获得最佳的 PCo IP WorkSpaces 用户体验，我们建议将网络延迟保持在 100 毫秒以下。当往返时间 (RTT) 超过 375 毫秒时， WorkSpaces 客户端连接将关闭。为了获得最佳 DCV 用户体验，建议将 RTT 保持在 250 毫秒以下。如果 RTT 介于 250 毫秒和 400 毫秒之间，则用户可以访问 WorkSpace，但性能将显著降低。
建议您通过运行和使用复制用户日常任务的应用程序，在测试环境中测试您要选择的捆绑包的性能。
BYOP（自带协议）捆绑包适用于酷睿。 WorkSpaces Ama WorkSpaces zon 提供的 BYOP 捆绑包未安装 WorkSpaces 提供的流媒体协议。您将无法使用 WorkSpaces 客户端或网关进行连接。要了解 Amazon WorkSpaces Core 的分担责任模式，请参阅 A [mazon WorkSpaces Core 技术合作伙伴集成指南](chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://docs.aws.amazon.com/pdfs/workspaces-core/latest/pg/workspacescore-pg.pdf)。有关更多信息，请参阅 [Amazon WorkSpaces Core](https://aws.amazon.com/workspaces-family/core/)。

**重要**  
GraphicsPro 捆绑包将 end-of-life于 2025 年 10 月 31 日到货。我们建议您在 2025 年 10 月 31 日之前 GraphicsPro WorkSpaces 将您的捆绑包迁移到支持的捆绑包。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
2023 年 11 月 30 日之后，不再支持 Graphics 捆绑包。我们建议切换到支持的支持 GPU 的捆绑包以 WorkSpaces 使用图形套件。
亚太地区（孟买）地区目前不提供显卡和 GraphicsPro 捆绑包。
另外，2025 年 10 月 14 日之后，将不再支持采用 Office 2016 或 Office 2019 的应用程序捆绑包。我们建议将你的 WorkSpaces 捆绑包与这些 Office 版本一起迁移到使用 Office 2021 或 Office 2024。有关更多信息，请参阅 “[在 WorkSpaces 个人版中管理应用程序”](manage-applications)。

以下是 WorkSpaces 提供的捆绑包。有关中捆绑包的信息 WorkSpaces，请参阅 [Amazon WorkSpaces 捆绑包](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)。

## 经济捆绑包
<a name="value"></a>

此捆绑包非常适合以下用途：
+ 基本的文本编辑和数据输入
+ 使用量较少的 Web 浏览
+ 即时消息发送

不建议将此捆绑包用于文字处理、音频和视频会议、屏幕共享、软件开发工具、商业智能应用程序和图形应用程序。

## 标准捆绑包
<a name="standard"></a>

此捆绑包非常适合以下用途：
+ 基本的文本编辑和数据输入
+ Web 浏览
+ 即时消息发送
+ 电子邮件

不建议将此捆绑包用于音频和视频会议、屏幕共享、文字处理、软件开发工具、商业智能应用程序和图形应用程序。

## 性能捆绑包
<a name="performance"></a>

此捆绑包非常适合以下用途：
+ Web 浏览
+ 文字处理
+ 即时消息发送
+ 电子邮件
+ 电子表格
+ 音频处理
+ 课件

不建议将此捆绑包用于视频会议、屏幕共享、软件开发工具、商业智能应用程序和图形应用程序。

## 节能捆绑包
<a name="power"></a>

此捆绑包非常适合以下用途：
+ Web 浏览
+ 文字处理
+ 电子邮件
+ 即时消息发送
+ 电子表格
+ 音频处理
+ 软件开发（集成式开发环境 (IDE)）
+ 中级数据处理入门
+ 音频和视频会议

不建议将此捆绑包用于屏幕共享、软件开发工具、商业智能应用程序和图形应用程序。

## PowerPro 捆绑包
<a name="powerpro"></a>

此捆绑包非常适合以下用途：
+ Web 浏览
+ 文字处理
+ 电子邮件
+ 即时消息发送
+ 电子表格
+ 音频处理
+ 软件开发（集成式开发环境 (IDE)）
+ 数据仓库
+ 商业智能应用程序
+ 音频和视频会议

不建议将此捆绑包用于机器学习模型训练和图形应用程序。

## 通用捆绑包
<a name="generalpurpose"></a>

这些捆绑包，包括 GeneralPurpose .4xlarge 和 GeneralPurpose .8xlarge，非常适合以下内容：
+ Web 浏览
+ 文字处理
+ 电子邮件
+ 即时消息发送
+ 电子表格
+ 音频处理
+ 软件开发（集成式开发环境 (IDE)）
+ 数据仓库
+ 商业智能应用程序
+ 音频和视频会议
+ 批处理
+ 基于 CPU 的 ML（机器学习）模型训练

不建议将此捆绑包用于复杂模型的 3D 渲染、照片级逼真设计、游戏流或 ML 模型训练。

## Graphics G6 捆绑包
<a name="graphicsg6"></a>

G6 WorkSpace 捆绑包使用 GPUs 带有第三代AMD EPYC（米兰）处理器的NVIDIA L4，有三种变体可供选择：G6、Gr6和G6f。G6 WorkSpaces 采用标准的 1:4 vCPU-to-memory 比率，可为一般图形工作负载提供平衡的计算和内存资源。Gr6 WorkSpaces 提供 1:8 的 vCPU-to-memory比例，为内存要求更高的图形应用程序提供的每个 vCPU 内存是原来的两倍。G6f WorkSpaces 提供部分的 GPU 分配，使其适用于不需要全部 GPU 处理能力即可进行计算密集型操作的工作负载。有关更多信息，请参阅 [Amazon EC2 G6 实例页面](https://aws.amazon.com/ec2/instance-types/g6/)。G6 WorkSpace 捆绑包支持现有捆绑包支持的所有用例，例如日常任务、数据处理和分析、音频会议和软件开发。此外，它们还支持以下用例：
+ 图形设计
+ CAD/CAM (computer-aided design/computer-辅助制造）
+ 视频转码
+ 3D 渲染
+ 游戏流
+ ML（机器学习）模型训练和 ML 推理

## Graphics.g4dn 捆绑包
<a name="graphicsg4dn"></a>

该套装为您提供了高水平的显卡性能以及中等水平的 CPU 性能 WorkSpaces 和内存，非常适合以下内容：
+ Web 浏览
+ 文字处理
+ 电子邮件
+ 电子表格
+ 即时消息发送
+ 音频会议
+ 软件开发（集成式开发环境 (IDE)）
+ 中级数据处理入门
+ 数据仓库
+ 商业智能应用程序
+ 图形设计
+ CAD/CAM (computer-aided design/computer-辅助制造）

不建议将此捆绑包用于音频和视频会议、3D 渲染、照片级逼真设计和机器学习模型训练。

## GraphicsPro.g4dn 捆绑包
<a name="graphicsprog4dn"></a>

该套装为您提供了高水平的显卡性能、CPU 性能和内存，非常适合以下内容： WorkSpaces 
+ Web 浏览
+ 文字处理
+ 电子邮件
+ 电子表格
+ 即时消息发送
+ 音频会议
+ 软件开发（集成式开发环境 (IDE)）
+ 中级数据处理入门
+ 数据仓库
+ 商业智能应用程序
+ 图形设计
+ CAD/CAM (computer-aided design/computer-辅助制造）
+ 视频转码
+ 3D 渲染
+ 照片级逼真设计
+ 游戏流
+ ML（机器学习）模型训练和 ML 推理

不建议将此捆绑包用于音频和视频会议。

# 为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包
<a name="create-custom-bundle"></a>

如果你已经启动了 Windows 或 Linux WorkSpace 并对其进行了自定义，则可以从中创建自定义映像和自定义捆绑包。 WorkSpace

*自定义映像*仅包含的操作系统、软件和设置 WorkSpace。*自定义捆绑包*是该自定义映像和 WorkSpace 可以从中启动的硬件的组合。

**注意**  
确保在删除捆绑包后至少等待 2 小时，然后再创建相同名称的新捆绑包。

创建自定义映像后，您可以构建一个自定义服务包，该服务包将自定义映像与您选择的基础计算和存储配置相结合。然后，您可以在启动新包时指定此自定义捆绑包， WorkSpaces 以确保新包 WorkSpaces 具有相同的一致配置（硬件和软件）。

通过为每个服务包选择不同的计算和存储选项，您可以使用相同的自定义映像来创建各种自定义服务包。<a name="important_note"></a>

**重要**  
如果你打算从 Windows 10 创建映像 WorkSpace，请注意，已从 Windows 10 的一个版本升级到较新版本的 Windows 10（Windows 升级）的 Windows 10 系统不支持创建映像。 feature/version 但是， WorkSpaces 映像创建过程支持 Windows 累积更新或安全更新。
2020 年 1 月 14 日之后，无法从公有 Windows 7 捆绑包创建映像。你可能需要考虑将你的 Windows 7 迁移 WorkSpaces 到 Windows 10。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
自 2023 年 11 月 30 日起，不再支持 Graphics 捆绑包，该 GraphicsPro 捆绑包将于 2025 年 10 月 31 日 end-of-life上市。我们建议将您迁移 WorkSpaces 到支持的 GPU 捆绑包。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
GraphicsPro 捆绑包将 end-of-life于 2025 年 10 月 31 日到货。我们建议您在 2025 年 10 月 31 日之前 GraphicsPro WorkSpaces 将您迁移到支持的 GPU 捆绑包。有关更多信息，请参阅 [以 WorkSpaces 个人 WorkSpace 方式迁移](migrate-workspaces.md)。
自定义捆绑包存储量不能小于映像存储量。
另外，2025 年 10 月 14 日之后，将不再支持采用 Office 2016 或 Office 2019 的应用程序捆绑包。我们建议将你的 WorkSpaces 捆绑包与这些 Office 版本一起迁移到使用 Office 2021。有关更多信息，请参阅 “[在 WorkSpaces 个人版中管理应用程序”](manage-applications)。

自定义捆绑包的成本与创建这些捆绑包的公有捆绑包的成本相同。有关定价的更多信息，请参阅 [Amazon WorkSpaces 定价](https://aws.amazon.com/workspaces/pricing/)。

**Topics**
+ [创建 Windows 自定义映像的要求](#windows_custom_image_requirements)
+ [创建 Linux 自定义映像的要求](#linux_custom_image_requirements)
+ [最佳实践](#custom_image_best_practices)
+ [（可选）步骤 1：为映像指定自定义计算机名称格式](#custom_computer_name)
+ [步骤 2：运行映像检查程序](#run_image_checker)
+ [步骤 3：创建自定义映像和自定义捆绑包](#create_custom_image_bundle)
+ [Windows WorkSpaces 自定义镜像中包含的内容](#image_creation_windows)
+ [Linux WorkSpace 自定义镜像中包含的内容](#image_creation_linux)

## 创建 Windows 自定义映像的要求
<a name="windows_custom_image_requirements"></a>

**注意**  
Windows 目前将 1 GB 定义为 1,073,741,824 字节。客户需要确保 C 盘上的可用空间超过 12,884,901,888 字节（或 12 GiB），并且用户配置文件小于 10,737,418,240 字节（或 10 GiB）才能创建 a 的映像。 WorkSpace
+ 的状态 WorkSpace 必须为 “可**用**”，其修改状态必须**为 “无**”。
+  WorkSpaces 图像上的所有应用程序和用户配置文件都必须与 Microsoft Sysprep 兼容。
+ 所有要包括在映像中的应用程序都必须安装在 `C` 驱动器上。
+ 对于 Windows 7 WorkSpaces，其总大小（文件和数据）必须小于 10 GB。
+ 对于 Windows 7 WorkSpaces，`C`驱动器必须有至少 12 GB 的可用空间。
+ 在上运行的所有应用程序服务都 WorkSpace 必须使用本地系统帐户而不是域用户凭据。例如，不能有使用域用户凭证运行的 Microsoft SQL Server Express 安装。
+  WorkSpace 不得加密。目前不支持通过加密 WorkSpace 设备创建映像。
+ 映像中要求具有以下组件。如果没有这些组件 WorkSpaces ，您从映像中启动的将无法正常运行。有关更多信息，请参阅 [WorkSpaces 个人版所需的配置和服务组件](required-service-components.md)。
  + Windows PowerShell 版本 3.0 或更高版本
  + 远程桌面服务
  + AWS 光伏驱动器
  + Windows 远程管理 (WinRM)
  + Teradici PCo IP 代理和驱动程序
  + STXHD 代理和驱动程序
  + AWS 和 WorkSpaces 证书
  + Skylight 代理

## 创建 Linux 自定义映像的要求
<a name="linux_custom_image_requirements"></a>
+ 的状态 WorkSpace 必须为 “可**用**”，其修改状态必须**为 “无**”。
+ 所有将包括在映像中的应用程序都必须安装在用户卷（`/home` 目录）之外。
+ 根卷 (/) 的使用率必须低于 97%。
+  WorkSpace 不得加密。目前不支持通过加密 WorkSpace 设备创建映像。
+ 映像中要求具有以下组件。如果没有这些组件 WorkSpaces ，你从镜像中启动的将无法正常运行：
  + Cloud-init
  + Teradici PCo IP 或 DCV 代理和驱动程序
  + Skylight 代理

## 最佳实践
<a name="custom_image_best_practices"></a>

在从创建图像之前 WorkSpace，请执行以下操作：
+ 使用未连接到您的生产环境的单独 VPC。
+ 在私有子网 WorkSpace 中部署，并使用 NAT 实例处理出站流量。
+ 使用小的 Simple AD 目录。
+ 使用源的最小卷大小 WorkSpace，然后在创建自定义捆绑包时根据需要调整音量大小。
+ 在上安装所有操作系统更新（Windows 功能/版本更新除外）和所有应用程序更新。 WorkSpace有关更多信息，请参阅本主题开始处的[重要提示](#important_note)。
+ 从中删除不应 WorkSpace 包含在捆绑包中的缓存数据（例如，浏览器历史记录、缓存文件和浏览器 Cookie）。
+ 从中删除不应 WorkSpace 包含在捆绑包中的配置设置（例如，电子邮件配置文件）。
+ 使用 DHCP 切换到动态 IP 地址设置。
+ 确保您没有超过某个地区允许的 WorkSpace 图片配额。默认情况下，每个区域允许您使用 40 WorkSpace 张图片。如果您已达到此配额，创建映像的新尝试将失败。要请求增加配额，请使用 [WorkSpaces 限制表单](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces)。
+ 确保您不是在尝试使用加密镜像创建镜像 WorkSpace。目前不支持通过加密 WorkSpace 设备创建映像。
+ 如果您正在上运行任何防病毒软件 WorkSpace，请在尝试创建映像时将其禁用。
+ 如果您启用了防火墙 WorkSpace，请确保防火墙没有阻塞任何必要的端口。有关更多信息，请参阅 [WorkSpaces 个人的 IP 地址和端口要求](workspaces-port-requirements.md)。
+ 对于 Windows WorkSpaces，在创建映像之前不要配置任何组策略对象 (GPOs)。
+ 对于 Windows WorkSpaces，在创建映像之前不要自定义默认用户配置文件 (`C:\Users\Default`)。我们建议通过对用户个人资料进行任何自定义 GPOs，并在创建图像后应用这些设置。 GPOs 可以很容易地修改或回滚，因此与对默认用户配置文件所做的自定义相比，不容易出错。
+ 对于 Linux WorkSpaces，另请参阅 [“为亚马逊 WorkSpaces 提供 Linux 映像做好准备的最佳实践”](https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html) 白皮书。
+ 如果您想在启用了 DCV 的 Linux WorkSpaces 上使用智能卡，[在 “个人” 中 WorkSpaces 使用智能卡进行身份验证](smart-cards.md)请参阅，了解在创建映像 WorkSpace 之前必须对 Linux 进行的自定义。
+ 请务必更新网络依赖驱动程序 NVMe，例如 ENA 和 PV 驱动程序 WorkSpaces。您应该至少每 6 个月更新一次。有关更多信息，请参阅[安装或升级弹性网络适配器（ENA）驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[Windows 实例的AWS NVMe 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)以及[升级 Windows 实例上的 PV 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
+ 确保定期将 EC2 Config、 EC2 Launc EC2 h 和 Launch V2 代理更新到最新版本。您应该至少每 6 个月更新一次。有关更多信息，请参阅[更新 EC2 Config 并 EC2启动](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。

## （可选）步骤 1：为映像指定自定义计算机名称格式
<a name="custom_computer_name"></a>

对于从您的自定义或自带许可证 (BYOL) 映像 WorkSpaces 启动的，您可以为计算机名称格式指定自定义前缀，而不是使用[默认的计算机名称格式](launch-workspaces-tutorials.md)。要指定自定义前缀，请按照与您的映像类型相对应的步骤进行操作。

### 为自定义映像指定自定义计算机名称格式
<a name="custom_computer_name_custom_image"></a>

**注意**  
默认情况下，Windows 10 的计算机名称格式为，Windows 11 `DESKTOP-XXXXX` WorkSpaces 的计算机名称格式 WorkSpaces 为`WORKSPA-XXXXX`。

1. 在你 WorkSpace 用来创建自定义图像的上，`C:\ProgramData\Amazon\EC2-Windows\Launch\Sysprep\Unattend.xml`在记事本或其他文本编辑器中打开。有关使用 `Unattend.xml` 文件的更多信息，请参阅 Microsoft 文档中的[应答文件 (unattend.xml)](https://docs.microsoft.com/windows-hardware/manufacture/desktop/update-windows-settings-and-scripts-create-your-own-answer-file-sxs)。
**注意**  
要通过您的 Windows 文件资源管理器访问 C: 驱动器 WorkSpace，请在地址栏**C:\$1**中输入。

1. 在 `<settings pass="specialize">` 部分，确保将 `<ComputerName>` 设置为星号 (`*`)。如果将 `<ComputerName>` 设置为任何其他值，则您的自定义计算机名称设置将被忽略。有关该`<ComputerName>`设置的更多信息，请参阅 Microsoft 文档[ ComputerName](https://docs.microsoft.com/windows-hardware/customize/desktop/unattend/microsoft-windows-shell-setup-computername)中的。

1. 在 `<settings pass="specialize">` 部分，将 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 设置为您的首选值。

   在 Sysprep 期间，您为 `<RegisteredOwner>` 和 `<RegisteredOrganization>` 指定的值将连接在一起，组合字符串的前 7 个字符用于创建计算机名称。例如，如果您为 `<RegisteredOrganization>` 指定 **Amazon.com**，为 `<RegisteredOwner>` 指定 **EC2**。对于基于 Windows 10 的映像， WorkSpaces 使用自定义捆绑包的计算机名称将以 EC2 AMAZ-开头。*xxxxxxx*对于基于 Windows 11 的映像， WorkSpaces 使用自定义捆绑包的计算机名称将以 WORKSPA-开头。*xxxxxxx*
**注意**  
Sysprep 会忽略 `<settings pass="oobeSystem">` 部分中的 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 值。
< RegisteredOrganization > 和 < RegisteredOwner > 都是必填值。

1. 保存对 `Unattend.xml` 文件的更改。

### 为 BYOL 映像指定自定义计算机名称格式
<a name="custom_computer_name_byol"></a>

1. 如果您使用的是 Windows 10，请在记事本或其他文本编辑器中打开 `C:\Program Files\Amazon\Ec2ConfigService\Sysprep2008.xml`。如果您使用的是 Windows 11，请打开 `C:\ProgramData\Amazon\EC2Launch\sysprep\OOBE_unattend.xml`。

1. 在 `<settings pass="specialize">` 部分，如果您使用的是 Windows 10，请取消注释 `<ComputerName>*</ComputerName>`。如果您使用的是 Windows 11，则无需取消注释此部分。确保将 `<ComputerName>` 设置为星号（`*`）。如果将 `<ComputerName>` 设置为任何其他值，则您的自定义计算机名称设置将被忽略。有关该`<ComputerName>`设置的更多信息，请参阅 Microsoft 文档[ ComputerName](https://docs.microsoft.com/windows-hardware/customize/desktop/unattend/microsoft-windows-shell-setup-computername)中的。

1. 在 `<settings pass="specialize">` 部分，将显示适用于 Windows 10 和 Windows 11 的 `<RegisteredOrganization>` 字段。默认情况下，`<RegisteredOwner>` 标签仅会出现在 Windows 10 中。如果您使用的是 Windows 11，则需要添加此标签。将 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 设置为您的首选值。

   在 Sysprep 期间，您为 `<RegisteredOwner>` 和 `<RegisteredOrganization>` 指定的值将连接在一起，组合字符串的前 7 个字符用于创建计算机名称。例如，如果您为 for `<RegisteredOrganization>` 和 **Amazon.com** **EC2** for 指定`<RegisteredOwner>`，则根据您的自定义捆绑包 WorkSpaces 创建的计算机名称将以 EC2 AMAZ-*xxxxxxx* 开头。
**注意**  
Sysprep 会忽略 `<settings pass="oobeSystem">` 部分中的 `<RegisteredOrganization>` 和 `<RegisteredOwner>` 值。
< RegisteredOrganization > 和 < RegisteredOwner > 都是必填值。

1. 如果您使用的是 Windows 10，请将您的更改保存到 `Sysprep2008.xml` 文件。如果您使用的是 Windows 11，请将您的更改保存到 `OOBE_unattend.xml`

## 步骤 2：运行映像检查程序
<a name="run_image_checker"></a>

**注意**  
图像检查器仅适用于 Window WorkSpaces s。如果您要从 Linux 中创建映像 WorkSpace，请跳至[步骤 3：创建自定义映像和自定义捆绑包](#create_custom_image_bundle)。

要确认您的 Windows 是否 WorkSpace 满足创建映像的要求，我们建议您运行图像检查器。Image Checker 会对要 WorkSpace 用来创建图像的进行一系列测试，并就如何解决发现的任何问题提供指导。

**重要**  
 WorkSpace 必须通过 Image Checker 运行的所有测试，然后才能使用它来创建图像。
在运行映像检查器之前，请验证您的 WorkSpace设备上是否安装了最新的 Windows 安全和累积更新。

要获取映像检查程序，请执行以下操作之一：
+ [重启你的 WorkSpace](reboot-workspaces.md). 系统会在重新启动期间自动下载映像检查程序并将其安装在 `C:\Program Files\Amazon\ImageChecker.exe` 中。
+ 从 [https://tools.amazonworkspaces.com/ImageChecker.zip https://tools.amazonworkspaces.awsapps.cn/ImageChecker.](https://tools.amazonworkspaces.com/ImageChecker.zip) `ImageChecker.exe`将此文件复制到 `C:\Program Files\Amazon\`。

**运行映像检查程序**

1. 打开 `C:\Program Files\Amazon\ImageChecker.exe` 文件。

1. 在 “**Amazon WorkSpaces 图像检查器**” 对话框中，选择 “**运行**”。

1. 每个测试完成后，您都可以查看测试的状态。

   对于状态为 **FAILED (失败)** 的任何测试，请选择 **Info (信息)** 以显示有关如何解决导致失败的问题的信息。有关如何解决这些问题的更多信息，请参阅[解决映像检查程序检测到的问题的提示](#image_checker_tips)。

   如果任何测试显示了状态 **WARNING (警告)**，请选择 **Fix All Warnings (修复所有警告)** 按钮。

   该工具在映像检查程序所在的同一目录中生成输出日志文件。默认情况下，此文件位于 `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` 中。
**提示**  
请勿删除此日志文件。如果出现问题，此日志文件可能有助于进行故障排除。

1. 如果适用，请解决任何导致测试失败和警告的问题，然后重复运行图像检查器的过程，直到 WorkSpace通过所有测试。在创建映像之前，必须先解决所有失败和警告。

1.  WorkSpace 通过所有测试后，您会看到一条**验证成功**消息。您现在已准备好创建自定义服务包。

### 解决映像检查程序检测到的问题的提示
<a name="image_checker_tips"></a>

除了咨询以下提示以解决映像检查程序检测到的问题之外，请务必查看映像检查程序日志文件：`C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log`。<a name="tips_powershell"></a>

#### PowerShell 必须安装 3.0 或更高版本
<a name="tips_powershell"></a>

安装最新版本的[微软 Windows PowerShell](https://docs.microsoft.com/powershell)。

**重要**  
的 PowerShell 执行策略 WorkSpace 必须设置为允许**RemoteSigned**脚本。要检查执行策略，请运行 **Get-ExecutionPolicy** PowerShell 命令。如果执行策略未设置为 “**不受限制**” 或 **RemoteSigned**，请运行 **Set-ExecutionPolicy — ExecutionPolicy RemoteSigned** 命令来更改执行策略的值。该**RemoteSigned**设置允许在 Amazon 上执行脚本 WorkSpaces，这是创建映像所必需的。<a name="tips_local_drives"></a>

#### 只可存在 C 和 D 驱动器
<a name="tips_local_drives"></a>

用于映像的 a WorkSpace 上只能存在`C`和`D`驱动器。删除所有其他驱动器，包括虚拟驱动器。<a name="tips_pending_updates"></a>

#### 无法检测到由于 Windows 更新而挂起的重启
<a name="tips_pending_updates"></a>
+ 在重启 Windows 以完成安装安全更新或累积更新之前，无法运行创建映像过程。重启 Windows 以应用这些更新，并确保不需要安装任何其他挂起的 Windows 安全更新或累积更新。
+ 已从一个版本的 Windows 10 升级到较新版本的 Windows 10（Windows 升 feature/version 级）的 Windows 10 系统不支持创建映像。但是， WorkSpaces 映像创建过程支持 Windows 累积更新或安全更新。<a name="tips_blank_sysprep"></a>

#### Sysprep 文件必须存在且不能为空
<a name="tips_blank_sysprep"></a>

如果您的 Sysprep 文件有问题，请联系[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)修复您的 Confi EC2 g 或 EC2 Launch。<a name="tips_profile_missing"></a>

#### 用户配置文件大小必须小于 10 GB
<a name="tips_profile_missing"></a>

对于 Windows 7 WorkSpaces，用户配置文件 (`D:\Users\username`) 的总容量必须小于 10 GB。根据需要删除文件以减小用户配置文件的大小。<a name="tips_drive_c_full"></a>

#### 驱动器 C 必须有足够的可用空间
<a name="tips_drive_c_full"></a>

对于 Windows 7 WorkSpaces，驱动器上必须有至少 12 GB 的可用空间`C`。根据需要删除文件以释放 `C` 驱动器上的空间。对于 Windows 10 WorkSpaces，如果您收到一条`FAILED`消息并且磁盘空间超过 2GB，请忽略。<a name="tips_services_domain_accounts"></a>

#### 无法在域账户下运行任何服务
<a name="tips_services_domain_accounts"></a>

要运行 “创建映像” 进程， WorkSpace 不能在域帐户下运行任何服务。所有服务必须在本地账户下运行。

**在本地账户下运行服务**

1. 打开 `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` 并查找在域账户下运行的服务列表。

1. 在 Windows 搜索框中，输入 **services.msc** 以打开 Windows 服务管理器。

1. 在 **Log On As (登录身份)** 下，查找在域账户下运行的服务。（以**本地系统**、**本地服务**或**网络服务**身份运行的服务不会干扰映像创建。）

1. 选择在域账户下运行的服务，然后选择**操作)**、**属性**。

1. 打开 **Log On (登录)** 选项卡。在 **Log on as (登录身份)**下，选择 **Local System account (本地系统账户)**。

1. 选择**确定**。<a name="tips_static_ip"></a>

#### WorkSpace 必须配置为使用 DHCP
<a name="tips_static_ip"></a>

必须将上的所有网络适配器配置 WorkSpace 为使用 DHCP 而不是静态 IP 地址。

**将所有网络适配器设置为使用 DHCP**

1. 在 Windows 搜索框中，输入 **control panel** 以打开控制面板。

1. 选择**网络和 Internet**。

1. 选择**网络和共享中心**。

1. 选择**更改适配器设置**，然后选择适配器。

1. 选择**更改此连接的设置**。

1. **在 “**网络**” 选项卡上，选择 “**互联网协议版本 4 (TCP/IPv4)**”，然后选择 “属性”。**

1. 在 “**互联网协议版本 4 (TCP/IPv4) 属性**” 对话框中，选择 “自动**获取 IP 地址**”。

1. 选择**确定**。

1. 对上的所有网络适配器重复此过程 WorkSpace。<a name="tips_enable_rds"></a>

#### 必须启用远程桌面服务
<a name="tips_enable_rds"></a>

创建映像过程需要启用远程桌面服务。

**启用远程桌面服务**

1. 在 Windows 搜索框中，输入 **services.msc** 以打开 Windows 服务管理器。

1. 在**名称**列中，找到**远程桌面服务**。

1. 选择**远程桌面服务**，然后选择**操作**、**属性**。

1. 在**常规**选项卡上，对于**启动类型**，选择**手动**或**自动**。

1. 选择**确定**。<a name="tips_user_profile_missing"></a>

#### 用户配置文件必须存在
<a name="tips_user_profile_missing"></a>

你 WorkSpace 用来创建图像的必须有用户个人资料 (`D:\Users\username`)。如果此测试失败，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)寻求帮助。<a name="tips_environment_variables"></a>

#### 必须正确配置环境变量路径
<a name="tips_environment_variables"></a>

本地计算机的环境变量路径缺少 System32 和 Windows PowerShell 的条目。要创建映像，需要这些条目。

**配置环境变量路径**

1. 在 Windows 搜索框中，输入 **environment variables**，然后选择**编辑系统环境变量**。

1. 在**系统属性**对话框中，打开**高级**选项卡，然后选择**环境变量**。

1. 在**环境变量**对话框的**系统变量**下，选择**路径**条目，然后选择**编辑**。

1. 选择**新建**，然后添加以下路径：

   `C:\Windows\System32`

1. 再次选择**新建**，然后添加以下路径：

   `C:\Windows\System32\WindowsPowerShell\v1.0\`

1. 选择**确定**。

1. 重新启动 WorkSpace。
**提示**  
项目在环境变量路径中显示的顺序至关重要。要确定正确的顺序，您可能需要将您的环境变量路径 WorkSpace 与来自新创建 WorkSpace 或新 Windows 实例的环境变量路径进行比较。<a name="tips_enable_wmi"></a>

#### 必须启用 Windows 模块安装程序
<a name="tips_enable_wmi"></a>

创建映像过程要求启用 Windows 模块安装程序服务。

**启用 Windows 模块安装程序服务**

1. 在 Windows 搜索框中，输入 **services.msc** 以打开 Windows 服务管理器。

1. 在**名称**列中，找到 **Windows 模块安装程序**。

1. 选择 **Windows 模块安装程序**，然后选择**操作**、**属性**。

1. 在**常规**选项卡上，对于**启动类型**，选择**手动**或**自动**。

1. 选择**确定**。<a name="tips_disable_ssm"></a>

#### 必须禁用 Amazon SSM 代理
<a name="tips_disable_ssm"></a>

创建映像过程要求禁用 Amazon SSM 代理服务。

**禁用 Amazon SSM 代理服务**

1. 在 Windows 搜索框中，输入 **services.msc** 以打开 Windows 服务管理器。

1. 在**名称**列中，找到 **Amazon SSM 代理**。

1. 选择 **Amazon SSM 代理**，然后选择**操作**、**属性**。

1. 在**常规**选项卡上，对于**启动类型**，选择**已禁用**。

1. 选择**确定**。<a name="tips_enable_ssl_tls"></a>

#### 必须启用 SSL 和 TLS 版本 1.2
<a name="tips_enable_ssl_tls"></a>

要针对 Windows SSL/TLS 进行配置，请参阅微软 Windows 文档中的[如何启用 TLS 1.2](https://docs.microsoft.com/configmgr/core/plan-design/security/enable-tls-1-2)。<a name="tips_remove_extra_profiles"></a>

#### 上只能存在一个用户配置文件 WorkSpace
<a name="tips_remove_extra_profiles"></a>

上只能有一个用于创建图像 WorkSpace 的 WorkSpaces 用户个人资料 (`D:\Users\username`)。删除所有不属于目标用户的用户个人资料 WorkSpace。

要使图像创建起作用，上面 WorkSpace 只能有三个用户配置文件：
+  WorkSpace(`D:\Users\username`) 的目标用户的用户个人资料
+ 默认用户配置文件（也称为默认配置文件）
+ 管理员用户配置文件

如果有其他用户配置文件，则可以通过 Windows 控制面板中的高级系统属性将其删除。

**删除用户配置文件**

1. 要访问高级系统属性，请执行以下操作之一：
   + 按 **Windows 键 \$1 暂停中断**，然后在**控制面板** > **系统和安全** > **系统**对话框的左侧窗格中，选择**高级系统设置**。
   + 在 Windows 搜索框中，输入 **control panel**。在“控制面板”中，选择**系统和安全**，然后选择“系统”，随后在**控制面板** > **系统和安全** > **系统**对话框的左侧窗格中，选择**高级系统设置**。

1. 在**系统属性**对话框的**高级**选项卡上，选择**用户配置文件**下的**设置**。

1. 如果除了管理员配置文件、默认配置文件和目标 WorkSpaces用户的配置文件之外还列出了任何配置文件，请选择该其他配置文件并选择**删除**。

1. 当询问您是否要删除此配置文件时，请选择**是**。

1. 如有必要，请重复步骤 3 和 4，删除不属于该的任何其他配置文件 WorkSpace。

1. 选择**确定**两次并关闭控制面板。

1. 重新启动 WorkSpace。<a name="tips_unstage_appx"></a>

#### 没有 AppX 程序包可以处于暂存状态
<a name="tips_unstage_appx"></a>

一个或多个 AppX 程序包处于暂存状态。这可能导致在映像创建过程中出现 Sysprep 错误。

**删除所有暂存的 AppX 程序包**

1. 在 Windows 搜索框中，输入 **powershell**。选择**以管理员身份运行**。

1. 当询问“你要允许此应用对你的设备进行更改吗?”时，选择**是**。

1. 在 Windows PowerShell 窗口中，输入以下命令以列出所有暂存的 AppX 软件包，然后在每个命令后按 Enter。

   ```
   $workSpaceUserName = $env:username
   ```

   ```
   $allAppxPackages = Get-AppxPackage -AllUsers
   ```

   ```
   $packages = $allAppxPackages |    Where-Object { `
                                   (($_.PackageUserInformation -like "*S-1-5-18*" -and !($_.PackageUserInformation -like "*$workSpaceUserName*")) -and `
                                   ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or `
                                   ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and `
                                   $_.PackageUserInformation -like "*Staged*")
                                   }
   ```

1. 使用提升的系统权限执行以下命令以删除所有暂存的 AppX 包配置条目，然后按 Enter。

   ```
   $packages | Remove-AppxPackage -ErrorAction SilentlyContinue
   ```

1. 再次运行映像检查程序。如果此测试仍然失败，请输入以下命令以删除所有 AppX 程序包，然后在每个程序包之后按 Enter 键。

   ```
   Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue
   ```

   ```
   Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue
   ```<a name="tips_version_upgrade"></a>

#### Windows 必须尚未从以前的版本升级
<a name="tips_version_upgrade"></a>

已从一个版本的 Windows 10 升级到较新版本的 Windows 10（Windows 升 feature/version 级）的 Windows 系统不支持创建映像。

要创建映像 WorkSpace ，请使用尚未进行 Windows feature/version 升级的。<a name="tips_reset_rearm_count"></a>

#### Windows 重置计数不得为 0
<a name="tips_reset_rearm_count"></a>

重置功能允许您延长 Windows 试用版的激活期。创建映像过程要求重置计数为 0 以外的值。

**检查 Windows 重置计数**

1. 在 Windows **开始**菜单上，选择 **Windows 系统**，然后选择**命令提示符**。

1. 在命令提示符窗口中，键入以下命令，然后按 Enter。

   `cscript C:\Windows\System32\slmgr.vbs /dlv`

要将重置计数重置为非 0 的值，请参阅 Microsoft Windows 文档中的 [Sysprep（通用化）Windows 安装](https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation)。

#### 其他故障排查提示
<a name="images_troubleshooting_tips"></a>

如果您 WorkSpace 通过了 Image Checker 运行的所有测试，但仍然无法从中创建图像 WorkSpace，请检查是否存在以下问题：
+ 确保 WorkSpace 未将分配给**域访客**群组中的用户。要检查是否有任何域帐户，请运行以下 PowerShell命令。

  ```
  Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "*$env:USERDOMAIN*" }
  ```
+  WorkSpaces 仅适用于 Windows 7：如果在创建映像期间复制用户配置文件时出现问题，请检查是否存在以下问题：
  + 长的配置文件路径可能会导致映像创建错误。请确保用户配置文件中所有文件夹的路径少于 261 个字符。
  + 确保将配置文件的文件夹的完全权限授予系统和所有应用程序包。
  + 如果用户配置文件中的任何文件被进程锁定或在映像创建过程中正在使用，则复制配置文件时可能会失败。
+ 某些组策略对象 (GPOs) 会在 Config 服务或 La EC2 unch 脚本在 Windows 实例 EC2配置期间请求 RDP 证书指纹时限制访问该指纹。在尝试创建映像之前，请将其移 WorkSpace 至继承受阻且未 GPOs应用的新组织单位 (OU)。
+ 请确保 Windows 远程管理 (WinRM) 服务配置为自动启动。执行以下操作：

  1. 在 Windows 搜索框中，输入 **services.msc** 以打开 Windows 服务管理器。

  1. 在**名称**列中，找到 **Windows 远程管理(WS-Management)**。

  1. 选择 **Windows 远程管理(WS-Management)**，然后选择**操作**、**属性**。

  1. 在**常规**选项卡上，对于**启动类型**，选择**自动**。

  1. 选择**确定**。

## 步骤 3：创建自定义映像和自定义捆绑包
<a name="create_custom_image_bundle"></a>

验证 WorkSpace 图片后，您可以继续创建自定义图像和自定义捆绑包。

**创建自定义映像和自定义服务包**

1. 如果您仍处于连接状态 WorkSpace，请在 WorkSpaces 客户端应用程序中选择 **Amazon WorkSpaces** 并**断开连接**，从而断开连接。

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. <a name="step_create_image"></a>选择打开 WorkSpace 其详细信息页面，然后选择**创建图像**。如果的状态为 “ WorkSpace **已停止**”，则必须先启动它（选择 “**操作**”，“**开始**” WorkSpaces），然后才能选择 “**操作**”、“**创建映像**”。
**注意**  
要以编程方式创建图像，请使用 CreateWorkspaceImage API 操作。有关更多信息，请参阅 *Amazon WorkSpaces API 参考[ CreateWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceImage.html)*中的。

1. 屏幕上会显示一条消息，提示您在继续操作 WorkSpace之前重新启动（重新启动）。重新启动后，您的 Amazon WorkSpaces 软件会 WorkSpace 更新到最新版本。

   关闭消息并 WorkSpace 按照中的步骤进行操作，重新启动您的[重启 WorkSpaces 个人版中的 WorkSpace](reboot-workspaces.md)。完成后，重复执行此过程中的[Step 4](#step_create_image)，但这次在显示重启消息时，选择**下一步**。要创建映像，其状态 WorkSpace 必须为 “**可用**”，其修改状态必须**为 “无**”。

1. 输入映像名称和有助于您识别映像的描述，然后选择 **创建映像**。在创建映像时，的状态 WorkSpace 为**已暂停**且 WorkSpace 不可用。
**注意**  
输入映像描述时，确保不要使用特殊字符“-”，否则会出现错误。

1. 在导航窗格中，选择**映像**。当状态 WorkSpace 更改为 “**可用**”（这最多可能需要 45 分钟）时，映像就完成了。

1. 选择映像，然后选择**操作**、**创建捆绑包**。
**注意**  
要以编程方式创建捆绑包，请使用 **CreateWorkspaceBundle** API 操作。有关更多信息，请参阅 *Amazon WorkSpaces API 参考[ CreateWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceBundle.html)*中的。

1. 输入服务包的名称和描述，然后执行以下操作：
   + 对于 **Bundle 硬件类型**，请选择 WorkSpaces 从此自定义捆绑包启动时要使用的硬件。
   + 在**存储设置**中，选择根卷和用户卷大小的默认组合之一，或者选择**自定义**，然后为**根卷大小**和**用户卷大小**输入值（最多 2000 GB）。

     根卷（对于 Microsoft Windows，为 `C` 驱动器；对于 Linux，为 /）和用户卷（对于 Windows，为 `D` 驱动器；对于 Linux，为 /home）的默认可用大小组合如下所示：
     + 根：80 GB，用户：10 GB、50 GB 或 100 GB
     + 根：175 GB，用户：100 GB
     + 支持 GPU 的存储要求与实例大小成 WorkSpaces 比例扩展。在选择支持 GPU 的较大 WorkSpaces 配置时，必须相应地分配更大的存储卷，以保持最佳性能并适应不断增加的工作负载需求。对于最小的实例大小，请从以下存储分配开始：根：100 GB，用户：100 GB

     此外，您可以将根卷和用户卷分别扩展到最大 2000 GB。
**注意**  
为确保数据得以保留，启动后不能减小根卷或用户卷的大小 WorkSpace。相反，请务必在启动时指定这些卷的最小大小 WorkSpace。  
您可以启动 “超值”、“标准”、“性能”、“Power”，或者 PowerPro WorkSpace 根卷的容量至少为 80 GB，用户卷的容量至少为 10 GB。
您可以启动 GeneralPurpose .4xlarge 或 GeneralPurpose .8x WorkSpace large，根卷的最小容量为 175GB，用户卷的容量至少为 100 GB。

1. 选择**创建捆绑包**。

1. 要确认您的捆绑包是否已创建，请选择**捆绑包**，并检查该捆绑包已列出。

## Windows WorkSpaces 自定义镜像中包含的内容
<a name="image_creation_windows"></a>

当你从 Windows 7、Windows 10 或 Windows 11 创建映像时 WorkSpace，`C`驱动器的全部内容都包含在内。

对于 Windows 10 或 11 WorkSpaces，中的用户配置文件`D:\Users\username`不包含在自定义映像中。

对于 Windows 7 WorkSpaces，中`D:\Users\username`包含用户配置文件的所有内容，但以下内容除外：
+ 联系人
+ Downloads
+ 音乐
+ 图片
+ 已保存的游戏
+ 视频
+ 播客
+ 虚拟机
+ 虚拟机
+ 跟踪
+ appdata\$1local\$1temp
+ appdata\$1roaming\$1apple computer\$1mobilesync\$1
+ appdata\$1roaming\$1apple computer\$1logs\$1
+ appdata\$1roaming\$1apple computer\$1itunes\$1iphone software updates\$1
+ appdata\$1roaming\$1macromedia\$1flash player\$1macromedia.com\$1support\$1flashplayer\$1sys\$1
+ appdata\$1roaming\$1macromedia\$1flash player\$1\$1sharedobjects\$1
+ appdata\$1roaming\$1adobe\$1flash player\$1assetcache\$1
+ appdata\$1roaming\$1microsoft\$1windows\$1recent\$1
+ appdata\$1roaming\$1microsoft\$1office\$1recent\$1
+ appdata\$1roaming\$1microsoft office\$1live meeting
+ appdata\$1roaming\$1microsoft shared\$1livemeeting shared\$1
+ appdata\$1roaming\$1mozilla\$1firefox\$1crash reports\$1
+ appdata\$1roaming\$1mcafee\$1common framework\$1
+ appdata\$1local\$1microsoft\$1feeds cache
+ appdata\$1local\$1microsoft\$1windows\$1temporary互联网files\$1
+ appdata\$1local\$1microsoft\$1windows\$1history\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1domstore\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1imagestore\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1iconcache\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1domstore\$1
+ appdata\$1locallow\$1microsoft\$1internet explorer\$1imagestore\$1
+ appdata\$1local\$1microsoft\$1internet explorer\$1recovery\$1
+ appdata\$1local\$1mozilla\$1firefox\$1profiles\$1

## Linux WorkSpace 自定义镜像中包含的内容
<a name="image_creation_linux"></a>

当您从 Amazon Linux 上创建映像时 WorkSpace，用户卷 (/home) 的全部内容都将被删除。删除内容中包括根卷 (/) 的内容，但以下适用文件夹和密钥除外：
+ /tmp
+ /var/spool/mail
+ /var/tmp
+ /var/lib/dhcp
+ /var/lib/cloud
+ /var/cache
+ /var/backups
+ /etc/sudoers.d
+ /etc/udev/rules.d/70-persistent-net.rules
+ /etc/network/interfaces.d/50-cloud-init.cfg
+ /var/log/amazon/ssm
+ /var/log/pcoip-代理
+ /var/log/skylight
+ /var/lock/.skylight.domain-join.lock
+ /var/lib/skylight/domain-加入状态
+ /var/lib/skylight/configuration-数据
+ /var/lib/skylight/config-data.json
+ /home
+ /etc/default/grub.d/zz-hibernation.cfg
+ /etc/netplan/zz-workspaces-domain.yaml
+ /etc/netplan/yy-workspaces-base.yaml
+ /var/lib/AccountsService/users

在创建自定义映像期间将销毁以下密钥：
+ /etc/ssh/ssh\$1host\$1\$1\$1key
+ /etc/ssh/ssh\$1host\$1\$1\$1key.pub
+ /var/lib/skylight/tls.\$1
+ /var/lib/skylight/private.key
+ /var/lib/skylight/public.key

# 更新 WorkSpaces 个人版的自定义捆绑包
<a name="update-custom-bundle"></a>

您可以更新现有的自定义 WorkSpaces 捆绑包，方法是修改基于服务包的 WorkSpaces，从 WorkSpaces 创建映像，然后用新映像更新捆绑包。然后，您可以使用更新的捆绑包启动新的 WorkSpaces。

**重要**  
当您更新现有 WorkSpaces 所基于的捆绑包时，不会自动更新现有 WorkSpaces。要更新基于您已更新的捆绑包的现有 WorkSpaces，您必须重建 WorkSpaces 或删除并重新创建它们。

**使用控制台更新捆绑包**

1. 连接到基于该服务包的 WorkSpace 并进行所需的更改。例如，您可以应用最新的操作系统和应用程序修补程序并安装其他应用程序。

   或者，您可以创建一个新的 WorkSpace，它具有与用于创建该捆绑包的映像相同的基本软件包（Plus 或 Standard），然后进行更改。

1. 如果您仍连接到 WorkSpace，请通过在 WorkSpaces 客户端应用程序中选择 **Amazon WorkSpaces** 和**断开连接**，来断开连接。

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **WorkSpaces**。

1. 选择 WorkSpace，然后选择 **Actions**、**Create Image**。如果 WorkSpace 的状态为 `STOPPED`，则必须先启动它（选择**操作**，**启动 WorkSpaces**），然后才能选择**操作**、**创建映像**。

1. 输入映像名称和描述，然后选择**创建映像**。在创建映像期间 WorkSpace 不可用。有关映像创建过程的详细信息，请参阅[为 WorkSpaces 个人版创建自定义 WorkSpaces 图片和捆绑包](create-custom-bundle.md)。

1. 在导航窗格中，选择 **Bundles**。

1. 选择相应捆绑包以打开其详细信息页面，然后在**源映像**下选择**编辑**。

1. 在**更新源映像**页面上，选择所创建的映像并选择**更新捆绑包**。

1. 根据需要，更新任何基于该捆绑包的现有 WorkSpaces，方法是重建 WorkSpaces 或删除并重新创建它们。有关更多信息，请参阅 [重建 WorkSpaces 个人版中的 WorkSpace](rebuild-workspace.md)。

**以编程方式更新捆绑包**  
要以编程方式更新捆绑包，请使用 **UpdateWorkspaceBundle** API 操作。有关此操作的更多信息，请参阅《Amazon WorkSpaces API 参考》**中的 [UpdateWorkSpaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceBundle.html)。

# 在 “个 WorkSpaces 人” 中复制自定义镜像
<a name="copy-custom-image"></a>

您可以在区域内或跨AWS区域复制自定义 WorkSpaces 映像。复制映像将导致创建完全相同的映像（具有其自己的唯一标识符）。

只要另一个区域已启用自带许可 (BYOL)，您就可以将 BYOL 映像复制到目标区域。确保为所有相关账户和区域启用 BYOL。

**注意**  
在中国（宁夏）区域，您只能复制同一区域内的映像。  
在 AWS GovCloud (US) Region s 中，要将图像复制到其他地区或从其他AWS地区复制图像，请联系 Supp AWS ort。  
在选择加入区域中，要将图像复制到其他区域，请联系 Su AWS pport。有关选择加入区域的更多信息，请参阅[可用区域](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-available-regions)。

您也可以复制其他AWS账户与您共享的图像。有关共享映像的更多信息，请参阅[共享或取消共享自定义 WorkSpaces 个人版映像](share-custom-image.md)。

在区域内或跨区域复制映像不收取额外费用。但需遵循目标区域中的映像数量配额。有关 Amazon WorkSpaces 配额的更多信息，请参阅[亚马逊 WorkSpaces 配额](workspaces-limits.md)。

**用于复制映像的 IAM 权限**  
如果您使用 IAM 用户复制映像，则该用户必须具有 `workspaces:DescribeWorkspaceImages` 和 `workspaces:CopyWorkspaceImage` 权限。

以下示例策略允许用户将指定的映像复制到指定区域的指定账户中。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:DescribeWorkspaceImages",
        "workspaces:CopyWorkspaceImage"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg"
      ]
    }
  ]
}
```

------

**重要**  
如果您正在创建 IAM 策略，用于为不拥有共享映像的账户复制此类映像，则无法在 ARN 中指定账户 ID。您必须改用账户 ID 的 `*`，如以下示例策略所示。  

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:DescribeWorkspaceImages",
        "workspaces:CopyWorkspaceImage"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:workspaceimage/wsi-a1bcd2efg"
      ]
    }
  ]
}
```
只有当账户拥有要复制的映像时，您才能在 ARN 中指定该账户 ID。

有关使用 IAM 的更多信息，请参阅 [的身份和访问管理 WorkSpaces](workspaces-access-control.md)。

**批量复制映像**  
您可以使用控制台逐个复制映像。要批量复制图像，请使用 **CopyWorkspaceImage** API 操作或 AWS Command Line Interface (AWS CLI) 中的**copy-workspace-image**命令。有关更多信息，请参阅 [ CopyWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CopyWorkspaceImage.html)*Amazon WorkSpaces API 参考*或*AWS CLI命令参考[ copy-workspace-image](https://docs.aws.amazon.com/cli/latest/reference/workspaces/copy-workspace-image.html)*中的。

**重要**  
在复制共享镜像之前，请务必确认该镜像是从正确的AWS账户共享的。要确定图片是否已共享并查看拥有图片的AWS账户 ID，请使用[DescribeWorkSpaceImages](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html)和 [DescribeWorkspaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html)API 操作或中的[describe-workspace-images](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html)和[describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html)命令AWS CLI。

**使用控制台复制映像**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，选择**映像**。

1. 选择映像，然后选择**操作**、**复制映像**。

1. **在 “选择目的地**” 中，选择要将图像复制到的AWS区域。

1. 对于**副本名称**，输入复制映像的新名称，对于**描述**，输入复制映像的描述。

1. （可选）在**标签**下，为复制的映像输入标签。有关更多信息，请参阅 [在 “ WorkSpaces 个人” 中标记资源](tag-workspaces-resources.md)。

1. 选择**复制映像**。

# 共享或取消共享自定义 WorkSpaces 个人版映像
<a name="share-custom-image"></a>

您可以在同一 AWS 区域内的 AWS 账户间共享自定义 WorkSpaces 映像。共享映像后，收件人账户可以根据需要将映像复制到其他 AWS 区域。有关复制映像的更多信息，请参阅[在 “个 WorkSpaces 人” 中复制自定义镜像](copy-custom-image.md)。

**注意**  
在中国（宁夏）区域，您只能复制同一区域内的映像。  
在 AWS GovCloud (US) Region中，要将映像复制到其他 AWS 区域或从此类区域复制映像，请联系 AWS Support。

共享映像不会产生额外的费用。但需遵循 AWS 区域中的映像数量配额。在收件人复制共享映像之前，该映像不会计入收件人账户的配额。有关 Amazon WorkSpaces 配额的更多信息，请参阅 [亚马逊 WorkSpaces 配额](workspaces-limits.md)。

要删除共享映像，您必须首先取消共享映像，然后才能将其删除。

**共享自带许可映像**  
您只能与启用 BYOL 的 AWS 账户共享自带许可 (BYOL) 映像。您想要与其共享 BYOL 映像的 AWS 账户也必须是您组织的一部分（在同一付款人账户下）。

**注意**  
目前，AWS GovCloud（美国西部）和 AWS GovCloud（美国东部）区域不支持跨 AWS 账户共享 BYOL 映像。要在 AWS GovCloud（美国西部）和 AWS GovCloud（美国东部）区域跨账户共享 BYOL 映像，请联系 AWS Support。

**与您共享的映像**  
如果与您共享映像，则您可以复制此类映像。然后，您可以使用共享映像的副本创建用于启动新 WorkSpaces 的捆绑包。

**重要**  
在复制共享映像之前，请务必确认该映像是从正确的 AWS 账户共享的。要以编程方式确定映像是否已共享，请在 AWS 命令行界面 (CLI) 中使用 [DescribeWorkSpaceImages](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html) 和 [DescribeWorkSpaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API 操作或 [describe-workspace-images](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html) 和 [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) 命令。

为与您共享的映像显示的创建日期是该映像最初的创建日期，而不是与您共享映像的日期。

如果映像已与您共享，则您无法与其他账户进一步共享该映像。

**共享映像**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**映像**。

1. 选择映像以打开其详细信息页面。

1. 在映像详细信息页面的**共享账户**部分，选择**添加账户**。

1. 在**添加账户**页面的**添加要与之共享的账户**下，输入要与之共享映像的账户的账户 ID。
**重要**  
在共享映像之前，请确认您正在共享到正确的 AWS 账户 ID。

1. 选择**共享映像**。
**注意**  
要使用共享映像，收件人账户必须先[复制该映像](copy-custom-image.md)。然后，收件人账户可以使用共享映像的副本创建用于启动新 WorkSpaces 的捆绑包。

**停止共享映像**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**映像**。

1. 选择映像以打开其详细信息页面。

1. 在映像详细信息页面的**共享账户**部分，选择要停止共享的 AWS 账户，然后选择**取消共享**。

1. 当系统提示您确认取消共享映像时，选择**取消共享**。
**注意**  
如果要在取消共享映像后将其删除，则必须先取消与其共享的所有账户的共享。

如果您停止共享映像，则收件人账户将无法再复制映像。但是，收件人账户中已存在的共享映像的任何副本都将保留在该账户中，并且可以从这些副本启动新的 WorkSpaces。

**以编程方式共享或取消共享映像**  
要以编程方式共享或取消共享映像，请使用 [UpdateWorkSpaceImagePermission](https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceImagePermission.html) API 操作或 [update-workspace-image-permission](https://docs.aws.amazon.com/cli/latest/reference/workspaces/update-workspace-image-permission.html) AWS Command Line Interface (AWS CLI) 命令。要确定映像是否已共享，请使用 [DescribeWorkSpaceImagePermissions](https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html) API 操作或 [describe-workspace-image-permissions](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html) CLI 命令。

# 删除 WorkSpaces 个人版中的自定义捆绑包或映像
<a name="delete_bundle"></a>

您可以根据需要，删除未使用的自定义捆绑包或自定义映像。

## 删除捆绑包
<a name="delete_bundle_console"></a>

要删除捆绑包，必须先删除基于捆绑包的所有 WorkSpaces。

**使用控制台删除捆绑包**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择 **Bundles**。

1. 选择捆绑包，然后选择**删除**。

1. 当系统提示进行确认时，选择 **Delete（删除）**。

**以编程方式删除捆绑包**  
要以编程方式删除捆绑包，请使用 **DeleteWorkspaceBundle** API 操作。有关更多信息，请参阅《Amazon WorkSpaces API 参考》**中的 [DeleteWorkSpaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteWorkspaceBundle.html)。

**注意**  
确保在删除捆绑包后至少等待 2 小时，然后再创建相同名称的新捆绑包。

## 删除映像
<a name="delete_images"></a>

在删除自定义服务包后，可以删除用于创建或更新该服务包的映像。

要删除映像，您必须先删除与该映像关联的所有捆绑包，或者必须更新这些捆绑包以使用其他源映像。如果映像与其他账户共享，则还必须取消共享。此外，映像不能处于**待处理**或**正在验证**状态。

**使用控制台删除映像**

1. 打开 WorkSpaces 控制台，网址为：[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在导航窗格中，选择**映像**。

1. 选择映像，然后选择**删除**。

1. 当系统提示进行确认时，选择 **Delete（删除）**。

**以编程方式删除映像**  
要以编程方式删除映像，请使用 **DeleteWorkspaceImage** API 操作。有关更多信息，请参阅《Amazon WorkSpaces API 参考》**中的 [DeleteWorkSpaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_DeleteWorkspaceImage.html)。

# 监控 WorkSpaces 个人版
<a name="amazon-workspaces-monitoring"></a>

您可以使用以下功能监控您的 WorkSpaces。

**CloudWatch 指标**  
Amazon WorkSpaces 将有关 WorkSpaces 的数据点发布到 Amazon CloudWatch。利用 CloudWatch，您可以按一组有序的时间序列数据（称为*指标*）来检索关于这些数据点的统计数据。您可使用这些指标来验证您的 WorkSpaces 是否按预期运行。有关更多信息，请参阅 [使用 CloudWatch 指标监控您的 WorkSpaces](cloudwatch-metrics.md)。

**CloudWatch Events**  
当用户登录您的 WorkSpace 时，Amazon WorkSpaces 可以向 Amazon CloudWatch Events 提交事件。这使您能够在事件发生时进行响应。有关更多信息，请参阅 [监控您的 Amazon WorkSpaces 使用情况 EventBridge](cloudwatch-events.md)。

**CloudTrail 日志**  
AWS CloudTrail 提供用户、角色或 AWS 服务在 WorkSpaces 中执行的操作记录。使用 CloudTrail 收集的信息，您可以确定向 WorkSpaces 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。相关详情，请参阅[使用 CloudTrail 记录 WorkSpaces API 调用日志](https://docs.aws.amazon.com/workspaces/latest/api/cloudtrail_logging.html)。AWS CloudTrail 会记录智能卡用户的成功和失败登录事件。有关更多信息，请参阅 [了解智能卡用户的 AWS 登录事件](signin-events.md)。

**CloudWatch 网络监测仪**  
Amazon CloudWatch 网络监测仪可让您了解互联网问题如何影响 AWS 上托管的应用程序与最终用户之间的互联网性能和可用性。您还可使用 CloudWatch 网络监测仪进行以下操作：  
+ 为一个或多个 WorkSpace 目录创建监测仪。
+ 监控互联网性能。
+ 针对最终用户的城市网络（包括其位置和 ASN，通常是互联网服务提供商 (ISP)）及其 WorkSpace 区域之间的问题获取警报。
网络监测仪使用 AWS 从其全球网络足迹中捕获的连接数据来计算面向互联网流量的性能和可用性基准。网络监测仪目前无法为个人最终用户提供互联网性能，但可以在城市和 ISP 级别提供此类性能。

**Amazon S3 访问日志**  
如果您的用户将应用程序设置数据或主文件夹数据存储在 Amazon S3 存储桶中，请考虑查看 Amazon S3 服务器访问日志来监视访问情况。这些日志提供有关对存储桶做出的请求的详细记录。对于许多应用程序而言，服务器访问日志很有用。例如，访问日志信息可能在安全和访问权限审核方面很有用。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的 [mazon S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html)。

# 使用 CloudWatch 自动仪表板监控您的 WorkSpaces 健康状况
<a name="cloudwatch-dashboard"></a>

 WorkSpaces 您可以使用 CloudWatch 自动仪表板进行监控，该仪表板收集原始数据并将其处理为可读的近乎实时的指标。这些指标会保留 15 个月，从而使您能够访问历史信息，并监控您 Web 应用程序或服务的性能。还可以设置特定阈值监视警报，在达到对应阈值时发送通知或采取行动。有关更多信息，请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)。

当您使用您的 AWS 帐户进行配置时， CloudWatch 控制面板会自动创建 WorkSpaces。控制面板允许您监控各个区域的 WorkSpaces 指标，例如其运行状况和绩效。您还可以将控制面板用于以下目的：
+ 识别运行状况不佳的 WorkSpace 实例。
+ 识别 WorkSpace 实例不健康的运行模式、协议和操作系统。
+ 查看一段时间内的关键资源利用率。
+ 识别异常以帮助进行故障排除。

WorkSpaces CloudWatch 所有 AWS 商业区域均提供自动控制面板。

**使用 WorkSpaces CloudWatch 自动控制面板**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，选择**控制面板**。

1. 选择**自动控制面板**选项卡。

1. 选择 **WorkSpaces**。

## 了解您的 WorkSpaces CloudWatch 自动控制面板
<a name="understanding-cloudwatch-dashboard"></a>

 CloudWatch 自动控制面板允许您深入了解 WorkSpaces 资源的性能，并帮助您识别性能问题。

![\[WorkSpaces 客户登录屏幕\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/cw_dashboard_withcallouts.png)


**控制面板由以下功能组成：**

1. 使用时间和日期范围控件查看历史数据。

1. 向自定义仪表板添加 CloudWatch 自定义仪表板视图。

1.  WorkSpaces 通过执行以下操作来监控您的整体运行状况和利用率状态：

   1. 查看已配置的总数 WorkSpaces、连接的用户数、运行状况不佳和运行良好的实例数。 WorkSpace

   1. 查看不健康状况 WorkSpaces 及其不同的变量，例如协议和计算模式。

   1. 将鼠标悬停在折线图上，可以查看一段时间内特定协议和运行模式下运行正常或不健康的 WorkSpace 实例数量。

   1. 选择省略号菜单，然后选择**在指标中查看**，以在时间尺度图表上查看指标。

1. 查看您的连接指标及其不同的变量，例如任何给定时间 WorkSpaces 环境中的连接尝试次数、成功连接次数和连接失败次数。

1. 查看影响用户体验的 InSession 延迟，例如往返时间 (RTT)，以确定连接运行状况和数据包丢失以监控网络运行状况。

1. 查看主机性能和资源利用率，以识别和排查潜在的性能问题。

# 使用 CloudWatch 指标监控您的 WorkSpaces
<a name="cloudwatch-metrics"></a>

WorkSpaces 和 Amazon CloudWatch 均为集成式，因此您可收集并分析性能指标。您可以使用 CloudWatch 控制台、CloudWatch 命令行界面或者通过以编程方式使用 CloudWatch API，来监控这些指标。您还可以使用 CloudWatch 设置警报，让系统在达到某指标的指定阈值时提醒您。

有关使用 CloudWatch 和警报的更多信息，请参阅 [Amazon CloudWatch 用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/)。

**先决条件**  
要获取 CloudWatch 指标，请在 `us-east-1`  区域 `AMAZON` 子网的端口 443 上启用访问。有关更多信息，请参阅 [WorkSpaces 个人的 IP 地址和端口要求](workspaces-port-requirements.md)。

**Topics**
+ [WorkSpaces 指标](#wsp-metrics)
+ [WorkSpaces 指标的维度](#wsp-metric-dimensions)
+ [监控示例](#monitoring_example)

## WorkSpaces 指标
<a name="wsp-metrics"></a>

`AWS/WorkSpaces` 命名空间包括以下指标。


| 指标 | 描述 | 维度 | 统计数据 | 单位 | 
| --- | --- | --- | --- | --- | 
| `Available`1 |  返回正常运行状态的 WorkSpaces 的数量。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `Unhealthy`1 |  返回不正常运行状态的 WorkSpaces 的数量。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `ConnectionAttempt`2 |  连接尝试次数。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `ConnectionSuccess`2 |  成功连接的数量。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `ConnectionFailure`2 |  失败连接的数量。  |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `SessionLaunchTime`2、6 | 发起 WorkSpaces 会话所用的时间量。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 秒（时间） | 
| `InSessionLatency`2、6 | WorkSpaces 客户端和 WorkSpace 之间的往返操作时间。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 毫秒（时间） | 
| `SessionDisconnect`2、6 | 已关闭的连接数，包括用户启动的和失败的连接。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `UserConnected`3 | 用户已连接的 WorkSpaces 数量。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `Stopped` | 已停止的 WorkSpaces 的数量。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `Maintenance`4 | 正在维护的 WorkSpaces 的数量。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `TrustedDeviceValidationAttempt`5、6 | 设备身份验证签名验证尝试次数。 |  `DirectoryId`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `TrustedDeviceValidationSuccess`5、6 | 成功的设备身份验证签名验证次数。 |  `DirectoryId`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `TrustedDeviceValidationFailure`5、6 | 失败的设备身份验证签名验证次数。  |  `DirectoryId`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `TrustedDeviceCertificateDaysBeforeExpiration`6 | 与该目录关联的根证书过期前所剩的天数。 |  `CertificateId`  | Average、Sum、Maximum、Minimum、Data Samples | 计数 | 
| `CPUUsage` | 使用的 CPU 资源所占的百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `MemoryUsage` | 使用的计算机内存百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `RootVolumeDiskUsage` | 卷中已使用根磁盘空间的百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `UserVolumeDiskUsage` | 卷中已使用用户磁盘空间的百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值 | 百分比 | 
| `UDPPacketLossRate`7 | 在客户端和网关之间丢弃的数据包的百分比。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值、数据样本 | 百分比 | 
| `UpTime` | 自上次重启 WorkSpace 以来经过的时间。 |  `DirectoryId` `WorkspaceId` `RunningMode` `Protocol` `ComputeType` `BundleId` `UserName` `ComputerName`  | 平均值、最大值、最小值、数据样本 | 秒 | 

1 WorkSpaces 定期向 WorkSpace 发送状态请求。响应这些请求的 WorkSpace 标记为 `Available`，不响应这些请求的 WorkSpace 标记为 `Unhealthy`。这些指标以每个 WorkSpace 为粒度提供，并且对一个组织内的所有 WorkSpaces 进行汇总。

2 WorkSpaces 记录针对每个 WorkSpace 进行的连接的指标。在用户成功通过 WorkSpaces 客户端进行身份验证并且客户端启动会话后，会发出这些指标。这些指标以每个 WorkSpace 为粒度提供，并且对一个目录内的所有 WorkSpaces 进行汇总。

3 WorkSpaces 定期向 WorkSpace 发送连接状态请求。当用户正在主动使用他们的会话时，他们被报告为已连接。此指标以每个 WorkSpace 为粒度提供，并且对一个组织内的所有 WorkSpaces 进行汇总。

4 此指标适用于以 AutoStop 运行模式配置的 WorkSpaces。如果您已为您的 WorkSpaces 启用了维护，则此指标捕获当前正在维护的 WorkSpaces 数量。此指标以每个 WorkSpace 为粒度提供，描述 WorkSpace 何时进入维护，以及何时移除。

5 如果为目录启用了可信设备功能，则 Amazon WorkSpaces 将使用基于证书的身份验证来确定设备是否可信。当用户尝试访问其 WorkSpaces 时，系统会发出这些指标以指示可信设备身份验证成功或失败。这些指标以每个目录为粒度提供，并且仅适用于 Amazon WorkSpaces Windows 和 macOS 客户端应用程序。

6 在 WorkSpaces Web Access 上不可用。

7 该指标测量平均数据包丢失率。
+ **在 PCoIP 上**：测量从客户端到网关的平均 UDP 数据包丢失率。
**注意**  
这是在网关上测量的。
+ **在 DCV 上**：测量从网关到客户端的 UDP 数据包丢失率。
**注意**  
这是在网关上测量的。

## WorkSpaces 指标的维度
<a name="wsp-metric-dimensions"></a>

要筛选指标数据，请使用以下维度。


| 维度 | 描述 | 
| --- | --- | 
| `DirectoryId` | 筛选指标数据，限定为指定目录中的 WorkSpaces。目录 ID 的形式为 `d-XXXXXXXXXX`。 | 
| `WorkspaceId` | 针对指定的 WorkSpace 筛选指标数据。WorkSpace ID 的形式为 `ws-XXXXXXXXXX`。 | 
| `CertificateId` | 针对与该目录关联的指定根证书筛选指标数据。证书 ID 的形式为 `wsc-XXXXXXXXX`。 | 
| `RunningMode` | 针对指定 WorkSpaces，按其运行模式筛选指标数据。运行模式的形式是“AutoStop”或“AlwaysOn”。 | 
| `BundleId` | 针对指定 WorkSpaces，按协议筛选指标数据。捆绑包的形式为 `wsb-XXXXXXXXXX`。 | 
| `ComputeType` | 针对指定 WorkSpaces，按计算类型筛选指标数据。 | 
| `Protocol` | 针对指定 WorkSpaces，按协议类型筛选指标数据。 | 
| `UserName` |  针对指定 WorkSpaces，按用户名筛选指标数据。  `UserName` 不能由非 ASCII 字符组成，如以下字符：  重音字母：é、à、ö、ñ 等 非拉丁字母 符号：©️、®️、€、£、µ、¥ 等    | 
| `ComputerName` | 针对指定的 WorkSpace 筛选指标数据。参见 [WorkSpaces 计算机名称]( https://docs.aws.amazon.com/workspaces/latest/adminguide/wsp-directory-identify-computer.html)的各种格式。 | 

## 监控示例
<a name="monitoring_example"></a>

以下示例展示了如何使用 AWS CLI 响应 CloudWatch 警报，以及如何确定目录中的哪些 WorkSpaces 遇到了连接故障。

**响应 CloudWatch 警报**

1. 使用 [describe-alarms](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/describe-alarms.html) 命令确定警报适用于哪个目录。

   ```
   aws cloudwatch describe-alarms --state-value "ALARM"
   
   {
     "MetricAlarms": [
       {
         ...
         "Dimensions": [
           {
             "Name": "DirectoryId",
             "Value": "directory_id"
           }
         ],
         ...
       }
     ]
   }
   ```

1. 使用 [describe-workspaces](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html) 命令获取指定目录中的 WorkSpace 列表。

   ```
   aws workspaces describe-workspaces --directory-id directory_id
   
   {
     "Workspaces": [
       {
         ...
         "WorkspaceId": "workspace1_id",
         ...
       },
       {
         ...
         "WorkspaceId": "workspace2_id",
         ...
       },
       {
         ...
         "WorkspaceId": "workspace3_id",
         ...
       }
     ]
   }
   ```

1. 使用 [get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html) 命令获取目录中每个 WorkSpace 的 CloudWatch 指标。

   ```
   aws cloudwatch get-metric-statistics \
   --namespace AWS/WorkSpaces \
   --metric-name ConnectionFailure \
   --start-time 2015-04-27T00:00:00Z \
   --end-time 2015-04-28T00:00:00Z \
   --period 3600 \
   --statistics Sum \
   --dimensions "Name=WorkspaceId,Value=workspace_id"
   
   {
     "Datapoints" : [
       {
         "Timestamp": "2015-04-27T00:18:00Z",
         "Sum": 1.0,
         "Unit": "Count"
       },
       {
         "Timestamp": "2014-04-27T01:18:00Z",
         "Sum": 0.0,
         "Unit": "Count"
       }
     ],
     "Label" : "ConnectionFailure"
   }
   ```

# 监控您的 Amazon WorkSpaces 使用情况 EventBridge
<a name="cloudwatch-events"></a>

您可以使用来自 Amazon 的事件 WorkSpaces 来查看、搜索、下载、存档、分析和响应您的 WorkSpaces成功登录。例如，您可以将事件用于以下目的：
+ 将 WorkSpaces 登录事件存储或存档为日志，以备将来参考，分析日志以寻找模式，然后根据这些模式采取行动。
+ 使用 WAN IP 地址确定用户从何处登录，然后使用策略仅允许用户访问 WorkSpaces 符合事件类型中找到的访问标准的文件或数据`WorkSpaces Access`。
+ 使用分析登录数据并执行自动操作 AWS Lambda。
+ 使用策略控制阻止未经授权的 IP 地址访问文件和应用程序。
+ 找出用于连接的 WorkSpaces 客户端版本 WorkSpaces。

A WorkSpaces mazon 会尽力发布这些事件。近乎实时 EventBridge 地向其发送事件。使用 EventBridge，您可以创建触发程序化操作以响应事件的规则。例如，您可以配置规则，以调用 SNS 主题发送电子邮件通知，或者调用 Lambda 函数执行某些操作。有关更多信息，请参阅 [Amazon EventBridge 用户指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。

## WorkSpaces 访问事件
<a name="workspaces-event-types"></a>

WorkSpaces 当用户成功登录到时，客户端应用程序会发送`WorkSpaces Access`事件 WorkSpace。所有 WorkSpaces 客户端都发送这些事件。

 WorkSpaces 使用 DCV 时发出的事件需要 WorkSpaces 客户端应用程序版本 4.0.1 或更高版本。

事件表示为 JSON 对象。以下是 `WorkSpaces Access` 事件的示例数据。

```
{
    "version": "0",
    "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7",
    "detail-type": "WorkSpaces Access",
    "source": "aws.workspaces",
    "account": "123456789012",
    "time": "2023-04-05T16:13:59Z",
    "region": "us-east-1",
    "resources": [],
    "detail": {
        "clientIpAddress": "192.0.2.3",
        "actionType": "successfulLogin",
        "workspacesClientProductName": "WorkSpacesWebClient",
        "loginTime": "2023-04-05T16:13:37.603Z",
        "clientPlatform": "Windows",
        "directoryId": "domain/d-123456789",
        "clientVersion": "5.7.0.3472",
        "workspaceId": "ws-xyskdga"
    }
}
```特定于事件的字段

`clientIpAddress`  
客户端应用程序的 WAN IP 地址。对于 PCo IP 零客户端，这是 Teradici 身份验证客户端的 IP 地址。

`actionType`  
此值始终为 `successfulLogin`。

`workspacesClientProductName`  
以下值区分大小写。  
+ `WorkSpaces Desktop client` - Windows、macOS 和 Linux 客户端
+ `Amazon WorkSpaces Mobile client` - iOS 客户端
+ `WorkSpaces Mobile Client` - Android 客户端
+ `WorkSpaces Chrome Client` - Chromebook 客户端
+ `WorkSpacesWebClient` - Web Access 客户端
+ `AmazonWorkSpacesThinClient`— Amazon WorkSpaces 瘦客户机设备
+ `Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell Wyse PCoIP Client ` - 零客户端

`loginTime`  
用户登录的时间 WorkSpace。

`clientPlatform`  
+ `Android`
+ `Chrome`
+ `iOS`
+ `Linux`
+ `OSX`
+ `Windows`
+ `Teradici PCoIP Zero Client and Tera2`
+ `Web`

`directoryId`  
的目录标识符 WorkSpace。必须在目录标识符前面加上 `domain/`。例如 `"domain/d-123456789"`。

`clientVersion`  
用于连接的客户端版本 WorkSpaces。

`workspaceId`  
 WorkSpace 的标识符。

## 创建用于处理 WorkSpaces 事件的规则
<a name="create-event-rule"></a>

使用以下步骤创建用于处理 WorkSpaces事件的规则。

**先决条件**

要接收电子邮件通知，请创建 Amazon Simple Notification Service 主题。

1. [在 v3/home 上打开亚马逊 SNS 控制台。https://console.aws.amazon.com/sns/](https://console.aws.amazon.com/sns/v3/home)

1. 在导航窗格中，选择**主题**。

1. 选择**创建主题**。

1. 对于**类型**，选择**标准**。

1. 对于 **Name**（名称），请为主题输入一个名称。

1. 选择**创建主题**。

1. 选择**创建订阅**。

1. 对于**协议**，选择**电子邮件**。

1. 对于 **Endpoint**（端点），请输入接收通知的电子邮件地址。

1. 选择**创建订阅**。

1. 您将收到电子邮件消息，其主题行为：AWS Notification - Subscription Confirmation。请按照说明确认订阅。

**创建用于处理 WorkSpaces 事件的规则**

1. 打开 Amazon EventBridge 控制台，网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。

1. 选择 **Create rule**（创建规则）。

1. 对于 **Name**（名称），请为规则输入一个名称。

1. 对于**规则类型**，选择**具有事件模式的规则**。

1. 选择**下一步**。

1. 对于 **Event pattern**（事件模式），执行以下操作：

   1. 对于**事件源**，选择 **AWS 服务**。

   1. 对于 **AWS 服务**，选择 **WorkSpaces**。

   1. 对于**事件类型**，选择**WorkSpaces访问权限**。

   1. 默认情况下，我们会就每个事件发送通知。如果愿意，您可以创建一种事件模式来筛选特定客户端或 WorkSpaces 的事件。

1. 选择**下一步**。

1. 按以下操作指定目标：

   1. 对于 **Target types**（目标类型），选择 **AWS 服务**。

   1. 对于 **Select a target**（选择一个目标），选择 **SNS topic**（SNS 主题）。

   1. 对于**主题**，选择您为通知创建的 SNS 主题。

1. 选择**下一步**。

1. （可选）向规则添加标签。

1. 选择**下一步**。

1. 选择 **Create rule**（创建规则）。

# 了解智能卡用户的 AWS 登录事件
<a name="signin-events"></a>

AWS CloudTrail 记录智能卡用户的成功和失败登录事件。这包括每次提示用户解决特定凭证问题或因素时捕获的登录事件，以及该特定凭证验证请求的状态。用户只有在完成所有必需的凭证质疑后才能登录，这会导致系统记录 `UserAuthentication` 事件日志。

下表记录了每个登录 CloudTrail 事件的名称及其用途。


| 事件名称 | 活动目的 | 
| --- | --- | 
| `CredentialChallenge` |  通知 AWS 登录已请求用户解决特定的凭据质疑，并指定所需的凭证（例如 SMARTCARD）。`CredentialType`  | 
| `CredentialVerification` |  通知用户已尝试解决特定 `CredentialChallenge` 请求，并指定该凭证是成功还是失败。  | 
| `UserAuthentication` |  通知用户受到质疑的所有身份验证要求均已成功完成，并且用户已成功登录。当用户未能成功完成所需的凭证质疑时，不会记录 `UserAuthentication` 事件日志。  | 

下表捕获了特定登录事件中包含的其他有用 CloudTrail 事件数据字段。


| 事件名称 | 活动目的 | 登录事件的适用性 | 示例值 | 
| --- | --- | --- | --- | 
| `AuthWorkflowID` |  关联整个登录序列中发出的所有事件。对于每位用户登录， AWS 登录可发出多个事件。  |  `CredentialChallenge`, `CredentialVerification`, `UserAuthentication`  |  “AuthWorkflowID”：“9de74b32-8362-4a01-a524-de21df59fd83”  | 
| `CredentialType` |  通知用户已尝试解决特定 `CredentialChallenge` 请求，并指定该凭证是成功还是失败。  |  `CredentialChallenge`, `CredentialVerification`, `UserAuthentication`  |  CredentialType“: “智能卡”（今天可能的值：智能卡）  | 
| `LoginTo` |  通知用户受到质疑的所有身份验证要求均已成功完成，并且用户已成功登录。当用户未能成功完成所需的凭证质疑时，不会记录 `UserAuthentication` 事件日志。  |  `UserAuthentication`  |  LoginTo“:” https://skylight.local”  | 

## AWS 登录场景的示例事件
<a name="example-event-signin"></a>

以下示例显示了不同登录场景的预期 CloudTrail 事件顺序。

**Topics**
+ [使用智能卡进行身份验证时成功登录](#successful-signin)
+ [仅使用智能卡进行身份验证时登录失败](#failed-signin)

### 使用智能卡进行身份验证时成功登录
<a name="successful-signin"></a>

以下事件序列捕获了成功登录智能卡的示例。

**CredentialChallenge**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:29Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialChallenge", 
    "awsRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "65551a6d-654a-4be8-90b5-bbfef7187d3a",
    "eventID": "fb603838-f119-4304-9fdc-c0f947a82116",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialChallenge": "Success"
    }
}
```

**成功 CredentialVerification**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:39Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5",
    "eventID": "84c0a2ff-413f-4d0f-9108-f72c90a41b6c",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "509318101470",
    "serviceEventDetails": {
        CredentialVerification": "Success"
    }
}
```

**成功 UserAuthentication**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:39Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "UserAuthentication", 
    "awsRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", 
        "LoginTo": "https://skylight.local", 
        "CredentialType": "SMARTCARD"
    },
    "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", 
    "eventID": "acc0dba8-8e8b-414b-a52d-6b7cd51d38f6", 
    "readOnly": false,
    "eventType": "AwsServiceEvent", 
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        UserAuthentication": "Success"
    }
}
```

### 仅使用智能卡进行身份验证时登录失败
<a name="failed-signin"></a>

以下事件序列捕获了登录智能卡失败的示例。

**CredentialChallenge**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:06Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialChallenge", 
    "awaRegion": "us-east-1", 
    "sourceIPAddress": "AWS Internal", 
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "73eb499d-91a8-4c18-9c5d-281fd45ab50a",
    "eventID": "f30a50ec-71cf-415a-a5ab-e287edc800da",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialChallenge": "Success"
    }
}
```

**已失败 CredentialVerification**  

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "509318101470",
        "arn": "",
        "accountId": "509318101470",
        "accessKeyId": ""
    },
    "eventTime": "2021-07-30T17:23:13Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb",
        "CredentialType": "SMARTCARD"
    },
    "requestID": "051ca316-0b0d-4d38-940b-5fe5794fda03",
    "eventID": "4e6fbfc7-0479-48da-b7dc-e875155a8177",
    "readOnly": false,
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "eventCategory": "Management", 
    "recipientAccountId": "509318101470", 
    "serviceEventDetails": {
        CredentialVerification": "Failure"
    }
}
```

# 使用 CloudFormation 模板创建自定义 CloudWatch 仪表板
<a name="cloudformation-templates"></a>

AWS 提供了可用于为其创建自定义 CloudWatch 仪表板的 CloudFormation 模板 WorkSpaces。从以下 CloudFormation 模板选项中进行选择，以便在 CloudFormation 控制台 WorkSpaces 中为您创建自定义仪表板。

## 开始之前要考虑的事项
<a name="before-starting-custom-cw-templates"></a>

在开始使用自定义 CloudWatch 仪表板之前，请考虑以下几点：
+ 使用与要监控的已部署仪表板 AWS 区域 相同 WorkSpaces 的方式创建仪表板。
+ 您也可以使用 CloudWatch 控制台创建自定义仪表板。
+ 费用可能与自定义 CloudWatch 仪表板有关。有关定价的信息，请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing)

## 帮助台控制面板
<a name="help-desk-dashboard"></a>

服务台仪表板显示特定指标的以下指标 WorkSpace：
+ CPU 使用率
+ 内存使用量
+ 会话中延迟
+ 根卷
+ 用户卷
+ 数据包丢失
+ 磁盘使用量

以下是帮助台控制面板的示例。

![\[的示例帮助台仪表板 CloudWatch。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/help-desk.png)


完成以下步骤以 CloudWatch 使用创建自定义仪表板 CloudFormation。

1. 在@@ [CloudFormation 控制台中打开 “创建堆栈” 页面](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_helpdesk_dashboard.yaml)。此链接打开页面，其中预先填充了帮助台自定义 CloudWatch控制面板模板的 Amazon S3 存储桶位置。

1. 在**创建堆栈**页面上查看默认选项。请注意，**Amazon S3 网址**字段已预先填充了 CloudFormation 模板的 Amazon S3 存储桶位置。

1. 选择**下一步**。

1. 在**堆栈名称**文本框中，输入堆栈名称。

   堆栈名称是帮助您从堆栈列表中查找特定堆栈的标识符。堆栈名称只能包含字母数字字符（区分大小写）和连字符。该名称必须以字母字符开头，且不得超过 128 个字符。

1. 在**DashboardName**文本框中，输入您要为仪表板命名的名称。

   控制面板名称只能包含字母数字、破折号（`–`）和下划线（`_`）。

1. 选择**下一步**。

1. 在**配置堆栈选项**页面上，查看默认选项，然后选择**下一步**。

1. 向下滚动到**转换可能需要访问功能**，然后选中复选框进行确认。然后选择 S **ub** mit 以创建堆栈和自定义 CloudWatch控制面板。
**重要**  
费用可能与自定义 CloudWatch 仪表板有关。有关定价的信息，请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing)

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在左侧导航窗格中，选择**控制面板**。

1. 在**自定义控制面板**下，选择带有您之前在此过程中输入的控制面板名称的控制面板。

1. 使用服务台示例模板，输入 UserName WorkSpace 以监控其数据。

## Connection Insights 控制面板
<a name="connection-insights-dashboard"></a>

Connection Insights 控制面板显示连接到您的客户端版本、平台和 IP 地址 WorkSpaces。通过此控制面板，您可以更好地了解用户的连接方式，以便可以使用过时的客户端主动通知用户。动态变量允许您监控 IP 地址或特定目录的详细信息。

以下是 Connection Insights 控制面板的示例。

![\[的示例连接见解仪表板 CloudWatch。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/connection-insights.png)


完成以下步骤以 CloudWatch 使用创建自定义仪表板 CloudFormation。

1. 在@@ [CloudFormation 控制台中打开 “创建堆栈” 页面](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_connection_insights_dashboard.yaml)。此链接打开页面，其中预先填充了 Connection Insights 自定义 CloudWatch 控制面板模板的 Amazon S3 存储桶位置。

1. 在**创建堆栈**页面上查看默认选项。请注意，**Amazon S3 网址**字段已预先填充了 CloudFormation 模板的 Amazon S3 存储桶位置。

1. 选择**下一步**。

1. 在**堆栈名称**文本框中，输入堆栈名称。

   堆栈名称是帮助您从堆栈列表中查找特定堆栈的标识符。堆栈名称只能包含字母数字字符（区分大小写）和连字符。该名称必须以字母字符开头，且不得超过 128 个字符。

1. 在**DashboardName**文本框中，输入您要为仪表板命名的名称。输入其他相关的 CloudWatch 访问组设置信息。

   控制面板名称只能包含字母数字、破折号（`–`）和下划线（`_`）。

1. 在下方 **LogRetention**，输入您想要保留的天数。 LogGroup 

1. 在下 **SetupEventBridge**，选择是否要部署 EventBridge 规则以获取 WorkSpaces 访问日志。

1. 在下方 **WorkSpaceAccessLogsName**，输入包含 CloudWatch LogGroup WorkSpaces 访问日志的名称。

1. 选择**下一步**。

1. 在**配置堆栈选项**页面上，查看默认选项，然后选择**下一步**。

1. 向下滚动到**转换可能需要访问功能**，然后选中复选框进行确认。然后选择 S **ub** mit 以创建堆栈和自定义 CloudWatch控制面板。
**重要**  
费用可能与自定义 CloudWatch 仪表板有关。有关定价的信息，请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing)

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在左侧导航窗格中，选择**控制面板**。

1. 在**自定义控制面板**下，选择带有您之前在此过程中输入的控制面板名称的控制面板。

1. 现在，你可以使用 Connec WorkSpace tion Insights 控制面板监控自己的数据。

## Internet Monitoring 控制面板
<a name="cloudwatch-internet-monitoring-dashboard"></a>

Internet 监控控制面板显示有关您的用户用于加入其 WorkSpaces 实例的互联网服务提供商 (ISP) 的详细信息。它提供了有关城市、州、ASN、网络名称、连接数量 WorkSpaces、性能和体验分数的详细信息。您还可以使用特定的 IP 地址来获取从特定位置连接的用户的详细信息。部署 CloudWatch 互联网监控器以获取 ISP 的数据信息。有关更多信息，请参阅[使用 Amazon CloudWatch 互联网监视器](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.html)。

以下是 Internet Monitoring 控制面板的示例。

![\[的 Internet 监控仪表板示例 CloudWatch。\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/cw-internet-monitor.png)


**要在中创建自定义仪表板， CloudWatch 请使用 CloudFormation**
**注意**  
在创建自定义控制面板之前，请务必使用互联网监视器创建 CloudWatch 互联网监视器。有关更多信息，请参阅[使用控制台在 Amazon CloudWatch Internet Monitor 中创建监控器](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/CloudWatch-IM-get-started.create.html)

1. 在@@ [CloudFormation 控制台中打开 “创建堆栈” 页面](https://console.aws.amazon.com/cloudformation/home#/stacks/new?stackName=YourStackName&templateURL=https://cfn-templates-global-prod-iad.s3.us-east-1.amazonaws.com/cfn-templates/workspaces_cloudwatch_internet_monitor_dashboard.yaml)。此链接将打开预先填充互联网监控自定义 CloudWatch 控制面板模板的 Amazon S3 存储桶位置的页面。

1. 在**创建堆栈**页面上查看默认选项。请注意，**Amazon S3 网址**字段已预先填充了 CloudFormation 模板的 Amazon S3 存储桶位置。

1. 选择**下一步**。

1. 在**堆栈名称**文本框中，输入堆栈名称。

   堆栈名称是帮助您从堆栈列表中查找特定堆栈的标识符。堆栈名称只能包含字母数字字符（区分大小写）和连字符。该名称必须以字母字符开头，且不得超过 128 个字符。

1. 在**DashboardName**文本框中，输入您要为仪表板命名的名称。输入其他相关的 CloudWatch 访问组设置信息。

   控制面板名称只能包含字母数字、破折号（`–`）和下划线（`_`）。

1. 在下方 **ResourcesToMonitor**，输入您已为其启用互联网监控的目录的目录 ID。

1. 在下方 **MonitorName**，输入要使用的互联网监视器的名称。

1. 选择**下一步**。

1. 在**配置堆栈选项**页面上，查看默认选项，然后选择**下一步**。

1. 向下滚动到**转换可能需要访问功能**，然后选中复选框进行确认。然后选择 S **ub** mit 以创建堆栈和自定义 CloudWatch控制面板。
**重要**  
费用可能与自定义 CloudWatch 仪表板有关。有关定价的信息，请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing)

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在左侧导航窗格中，选择**控制面板**。

1. 在**自定义控制面板**下，选择带有您之前在此过程中输入的控制面板名称的控制面板。

1. 现在，您可以使用 “互联网监控” 控制面板监控您的 WorkSpace数据。

# WorkSpaces 个人版的业务连续性
<a name="business-continuity"></a>

Amazon WorkSpaces 基于 AWS 全球基础设施而构建，该基础设施分为 AWS 区域和可用区。这些区域和可用区在物理隔离和数据冗余方面提供了故障恢复能力。有关更多信息，请参阅 [Amazon WorkSpaces 中的故障恢复能力](disaster-recovery-resiliency.md)。

Amazon WorkSpaces 还提供跨区域重定向，该功能可与域名系统 (DNS) 路由策略配合使用，以便在用户的主 WorkSpaces 不可用时将其重定向到备用 WorkSpaces。例如，通过使用 DNS 故障转移路由策略，您可以在用户无法访问主区域中的 WorkSpaces 时，将他们连接到指定故障转移区域中的 WorkSpaces。

您可以使用跨区域重定向来实现区域故障恢复能力和高可用性。您也可以将其用于其他目的，例如，流量分配或在维护期间提供备用 WorkSpaces。如果您使用 Amazon Route 53 进行 DNS 配置，则可以利用监控 Amazon CloudWatch 警报的运行状况检查。

Amazon WorkSpaces 多区域韧性可在辅助 WorkSpace 区域中提供自动化的冗余虚拟桌面基础设施，并可在由于中断而无法访问主区域时，简化将用户重定向到辅助区域的流程。

您可以将 WorkSpaces 多区域韧性与跨区域重定向结合使用，在辅助 WorkSpace 区域部署冗余的虚拟桌面基础设施，并设计跨区域故障转移策略，为中断事件做好准备。您也可以将该解决方案用于其他目的，例如，流量分配或在维护期间提供备用 WorkSpaces。如果您使用 Route 53 进行 DNS 配置，则可以利用监控 CloudWatch 警报的运行状况检查。

**Topics**
+ [个人版跨区域重定向 WorkSpaces](cross-region-redirection.md)
+ [个人多区域弹性 WorkSpaces](multi-region-resilience.md)

# 个人版跨区域重定向 WorkSpaces
<a name="cross-region-redirection"></a>

借助 Amazon 的跨区域重定向功能 WorkSpaces，您可以使用完全限定的域名 (FQDN) 作为您的注册码。 WorkSpaces跨区域重定向与您的域名系统 (DNS) 路由策略配合使用，可在主域名系统 (DNS) 路由策略 WorkSpaces 不可用 WorkSpaces 时将您的 WorkSpaces 用户重定向到替代方案。例如，通过使用 DNS 故障转移路由策略，当用户无法访问主 AWS 区域 WorkSpaces 中的用户时，您可以将他们连接到您指定的故障转移区域。 WorkSpaces 

您可以使用跨区域重定向和 DNS 故障转移路由策略，实现区域灾难恢复能力和高可用性。您也可以将此功能用于其他目的，例如流量分配或 WorkSpaces 在维护期间提供替代方案。如果您使用 Amazon Route 53 进行 DNS 配置，则可以利用监控亚马逊 CloudWatch 警报的运行状况检查。

要使用此功能，您必须 WorkSpaces 为两个（或更多） AWS 区域的用户进行设置。您还必须创建称为*连接别名* 的基于 FQDN 的特殊注册码。这些连接别名会替换您的用户特定于区域的注册码。 WorkSpaces （特定于区域的注册码仍然有效；但是，要使跨区域重定向运行，您的用户必须改用 FQDN 作为注册码。）

要创建连接别名，您需指定一个*连接字符串*，该字符串是您的 FQDN，如 `www.example.com` 或 `desktop.example.com`。要使用此域进行跨区域重定向，您必须向域注册商注册它并为您的域配置 DNS 服务。

创建连接别名后，将其与不同区域的 WorkSpaces 目录关联以创建*关联对*。每个关联对都有一个主区域和一个或多个故障转移区域。如果主区域发生中断，则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的路由策略。 WorkSpaces 

要指定您的主区域和故障转移区域，您需在配置 DNS 故障转移路由策略时，定义区域优先级（主区域或辅助区域）。

**Topics**
+ [前提条件](#cross-region-redirection-prerequisites)
+ [限制](#cross-region-redirection-limitations)
+ [步骤 1：创建连接别名](#cross-region-redirection-create-connection-aliases)
+ [（可选）步骤 2：与其他账户共享连接别名](#cross-region-redirection-share-connection-alias)
+ [步骤 3：将连接别名与每个区域的目录相关联](#cross-region-redirection-associate-connection-aliases)
+ [步骤 4：配置您的 DNS 服务并设置 DNS 路由策略](#cross-region-redirection-configure-DNS-routing)
+ [步骤 5：向您的 WorkSpaces 用户发送连接字符串](#cross-region-redirection-send-connection-string-to-users)
+ [跨区域重定向架构图](#cross-region-redirection-architecture-diagram)
+ [启动跨区域重定向](#initiate-cross-region-redirection)
+ [跨区域重定向期间会发生什么](#cross-region-redirection-what-happens)
+ [取消连接别名与目录的关联](#cross-region-redirection-disassociate-connection-alias)
+ [取消共享连接别名](#cross-region-redirection-unshare-connection-alias)
+ [删除连接别名](#cross-region-redirection-delete-connection-alias)
+ [用于关联和取消关联连接别名的 IAM 权限](#cross-region-redirection-iam)
+ [停止使用跨区域重定向后的安全注意事项](#cross-region-redirection-security-considerations)

## 前提条件
<a name="cross-region-redirection-prerequisites"></a>
+ 您必须拥有并注册要在连接别名中用作 FQDN 的域。如果您尚未使用其他域注册商，则可以使用 Amazon Route 53 注册您的域。有关更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[使用 Amazon Route 53 注册域名](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。
**重要**  
您必须拥有所有必要的权限才能使用与Amazon一起使用的任何域名 WorkSpaces。您同意，该域名不会违反或侵犯任何第三方的合法权利，也不会以其他方式违反适用法律。

  域名总长度不能超过 255 个字符。有关域名的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的 [DNS 域名格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DomainNameFormat.html)。

  跨区域重定向既适用于公有域名，也适用于私有 DNS 区域中的域名。如果您使用的是私有 DNS 区域，则必须提供虚拟专用网络 (VPN) 与包含您的虚拟私有云 (VPC) 的连接 WorkSpaces。如果您的 WorkSpaces 用户尝试使用来自公共互联网的私有 FQDN，则 WorkSpaces 客户端应用程序会返回以下错误消息：

  `"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."`
+ 您必须设置 DNS 服务并配置必要的 DNS 路由策略。跨区域重定向与您的 DNS 路由策略配合使用，可根据需要重定向您的 WorkSpaces 用户。
+ 在要设置跨区域重定向的每个主区域和故障转移区域中， WorkSpaces 为用户创建。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。为了保持您的 Active Directory 用户数据同步，我们建议您使用 AD Connector 指向您 WorkSpaces 为用户设置的每个区域中的同一个活动目录。有关创建的更多信息 WorkSpaces，请参阅 [Launch WorkSpaces](launch-workspaces-tutorials.md)。
**重要**  
如果您将 AWS 托管 Microsoft AD 目录配置为多区域复制，则只能注册主区域中的目录以供亚马逊 WorkSpaces使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。在复制的区域 WorkSpaces 内，亚马逊不支持使用 AWS 托管 Microsoft AD 进行多区域复制。

  完成跨区域重定向的设置后，必须确保您的 WorkSpaces 用户使用的是基于 FQDN 的注册码，而不是其主区域的基于区域的注册码（例如）。`WSpdx+ABC12D`为此，您必须按照[步骤 5：向您的 WorkSpaces 用户发送连接字符串](#cross-region-redirection-send-connection-string-to-users)中的步骤操作，向他们发送一封包含 FQDN 连接字符串的电子邮件。
**注意**  
如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户，则每当您启动新用户时，都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码的邀请电子邮件。 WorkSpace这意味着，当您在故障转移区域 WorkSpaces 为用户进行设置时，您的用户还将自动收到有关这些故障转移的电子邮件 WorkSpaces。您需要指示您的用户忽略含有基于区域的注册码的电子邮件。

## 限制
<a name="cross-region-redirection-limitations"></a>
+ 跨区域重定向不会自动检查与主区域的连接是否失败，然后会使您无法转移 WorkSpaces 到另一个区域。换句话说，自动故障转移不会发生。

  要实施自动故障转移场景，您必须将其他机制与跨区域重定向结合使用。例如，您可以将 Amazon Route 53 故障转移 DNS 路由策略与监控主区域 CloudWatch 警报的 Route 53 运行状况检查配对。如果触发了主区域的 CloudWatch 警报，则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的策略。 WorkSpaces 
+ 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows 客户端应用程序支持跨区域重定向。 WorkSpaces 您也可以将跨区域重定向与 Web Access 配合使用。
+ 除了 AWS GovCloud (US) Region s 和中国（宁夏）[AWS 地区外，所有 WorkSpaces 支持 Amazon](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 的地区都支持跨区域重定向。

## 步骤 1：创建连接别名
<a name="cross-region-redirection-create-connection-aliases"></a>

使用同一个 AWS 账户，在要设置跨区域重定向的每个主区域和故障转移区域中创建连接别名。

**创建连接别名**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. <a name="step_select_region_create_alias"></a>在控制台的右上角，为您的选择主要 AWS 区域。 WorkSpaces

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向**下，选择**创建连接别名**。

1. 对于**连接字符串**，输入 FQDN，例如 `www.example.com` 或 `desktop.example.com`。连接字符串最大长度为 255 个字符。它只能包含字母（A-Z 和 a-z）、数字（0-9）和以下字符：.-
**重要**  
创建连接字符串后，它始终与您的 AWS 账户关联。您无法使用其他账户重新创建相同的连接字符串，即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。

1. （可选）在**标签**下，指定要与连接别名关联的任意标签。

1. 选择**创建连接别名**。

1. 重复这些步骤，但是在中[Step 2](#step_select_region_create_alias)，请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域，请对每个故障转移区域重复这些步骤。请务必使用同一个 AWS 帐户在每个故障转移区域中创建连接别名。

## （可选）步骤 2：与其他账户共享连接别名
<a name="cross-region-redirection-share-connection-alias"></a>

您可以与同一 AWS 地区的另一个 AWS 账户共享连接别名。与另一个账户共享连接别名将向该账户授予权限，以便仅将该别名与该账户在同一区域中拥有的目录关联或取消关联。只有拥有连接别名的账户才能删除该别名。

**注意**  
一个连接别名只能与每个 AWS 区域的一个目录相关联。如果您与其他 AWS 账户共享连接别名，则只有一个账户（您的账户或共享账户）可以将该别名与该地区的目录相关联。

**与其他 AWS 账户共享连接别名**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，选择要与其他账户共享连接别名的 AWS 区域。 AWS 

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向关联**下，选择连接字符串，然后选择**操作**、**共享/取消共享连接别名**。

   您也可以从详细信息页面共享连接别名的别名。为此，请在**共享账户**下，选择**共享连接别名**。

1. 在 “**共享/取消共享连接别名**” 页面的 “**与账户共享**” 下，输入您要在此区域中与之共享连接别名的 AWS 账户 ID。 AWS 

1. 选择**共享**。

## 步骤 3：将连接别名与每个区域的目录相关联
<a name="cross-region-redirection-associate-connection-aliases"></a>

将相同的连接别名与两个或更多区域中的 WorkSpaces 目录相关联可在目录之间创建关联对。每个关联对都有一个主区域和一个或多个故障转移区域。

例如，如果您的主要区域是美国西部（俄勒冈）区域，则可以将美国西部（俄勒冈）地区的 WorkSpaces 目录与美国东部（弗吉尼亚北部）地区的目录配对。 WorkSpaces 如果主区域发生中断，则跨区域重定向将与您的 DNS 故障转移路由策略以及您在美国西部（俄勒冈）区域实施的任何运行状况检查结合使用，以将您的用户重定向到 WorkSpaces 您在美国东部（弗吉尼亚北部）区域为他们设置的区域。有关跨区域重定向体验的更多信息，请参阅[跨区域重定向期间会发生什么](#cross-region-redirection-what-happens)。

**注意**  
如果您的 WorkSpaces 用户距离故障转移区域很远（例如，数千英里之外），则他们的 WorkSpaces 体验可能比平时响应不佳。要查看从您所在地前往各个 AWS 地区的往返时间 (RTT)，请使用 A [mazon Connection Healt WorkSpaces h](https://clients.amazonworkspaces.com/Health.html) Check。

**将连接别名与目录关联**

每个 AWS 区域只能将一个连接别名与一个目录相关联。如果您与其他 AWS 账户共享了连接别名，则只有一个账户（您的账户或共享账户）可以将该别名与该地区的目录相关联。

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. <a name="step_select_region_associate_alias"></a>在控制台的右上角，为您的选择主要 AWS 区域。 WorkSpaces

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向关联**下，选择连接字符串，然后选择**操作**、**关联/取消关联**。

   您也可以将连接别名与连接别名详细信息页面上的目录相关联。为此，请在**关联的目录**下，选择**关联目录**。

1. 在 “**关联/取消关联**” 页面的 “**关联到目录**” 下，选择要与该区域的连接别名关联的目录。 AWS 
**注意**  
如果您将 AWS 托管 Microsoft AD 目录配置为多区域复制，则只有主区域中的目录可以与 Amazon WorkSpaces 一起使用。尝试在 Amazon 的复制区域中使用该目录 WorkSpaces 将失败。在复制的区域 WorkSpaces 内，亚马逊不支持使用 AWS 托管 Microsoft AD 进行多区域复制。

1. 选择**关联 **。

1. 重复这些步骤，但是在中[Step 2](#step_select_region_associate_alias)，请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域，请对每个故障转移区域重复这些步骤。请务必将相同的连接别名与每个故障转移区域中的目录相关联。

## 步骤 4：配置您的 DNS 服务并设置 DNS 路由策略
<a name="cross-region-redirection-configure-DNS-routing"></a>

创建连接别名和连接别名关联对后，您可以为连接字符串中使用的域配置 DNS 服务。为此，您可以使用任何 DNS 服务提供商。如果您还没有首选 DNS 服务提供商，则可使用 Amazon Route 53。有关更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[将 Amazon Route 53 配置为 DNS 服务](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html)。

为域配置 DNS 服务后，您必须设置要用于跨区域重定向的 DNS 路由策略。例如，您可以使用 Amazon Route 53 运行状况检查来确定您的用户是否可以在特定区域连接到他们 WorkSpaces 。如果您的用户无法连接，则您可以使用 DNS 故障转移策略将 DNS 流量从一个区域路由到另一个区域。

有关选择 DNS 路由策略的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[选择路由策略](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。有关 Amazon Route 53 运行状况检查的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的 [Amazon Route 53 如何检查资源的运行状况](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)。

在设置 DNS 路由策略时，您需要*连接别名与主区域中的 WorkSpaces 目录之间的关联的连接标识符*。您还需要一个或多个故障转移区域中连接别名和 WorkSpaces 目录之间关联的连接标识符。

**注意**  
连接标识符与连接别名 ID **不同**。连接别名 ID 以 `wsca-` 开头。

**查找连接别名关联的连接标识符**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. <a name="step_select_region_connection_id"></a>在控制台的右上角，为您的选择主要 AWS 区域。 WorkSpaces

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向关联**下，选择连接字符串文本 (FQDN)，以查看连接别名详细信息页面。

1. 在连接别名详细信息页面的**关联的目录**下，记下为**连接标识符**显示的值。

1. 重复这些步骤，但是在中[Step 2](#step_select_region_connection_id)，请务必为您的选择故障转移区域 WorkSpaces。如果您有多个故障转移区域，请重复这些步骤，查找每个故障转移区域的连接标识符。

**示例：使用 Route 53 设置 DNS 故障转移路由策略**

以下示例为您所在域设置了公有托管区。但是，您可以设置公有或私有托管区。有关设置托管区的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[使用托管区](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-working-with.html)。

此示例还使用了故障转移路由策略。您可以将其他路由策略类型用于跨区域重定向策略。有关选择 DNS 路由策略的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[选择路由策略](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。

在 Route 53 中设置故障转移路由策略时，需要针对主区域进行运行状况检查。有关在 Route 53 中创建运行状况检查的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)以及[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。

如果您想在 Route 53 运行状况检查中使用 Amazon CloudWatch 警报，则还需要设置 CloudWatch 警报来监控主区域中的资源。有关的更多信息 CloudWatch，请参阅 [Amazon 是什么 CloudWatch？](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) 在《*亚马逊 CloudWatch 用户指南》*中。有关 Route 53 如何在其运行状况检查中使用 CloudWatch 警报的更多信息，请参阅 *Amazon Route 53 开发者指南中的 Route 53* [如何确定[监控 CloudWatch 警报的运行状况检查的状态和监控](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch)警 CloudWatch 报](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch)。

要在 Route 53 中设置 DNS 故障转移路由策略，您首先需要为您的域创建一个托管区。

1. 打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

1. 在导航窗格中，选择**托管区**，然后选择**创建托管区**。

1. 在**已创建的托管区**页面上，在**域名**下输入您的域名（例如 `example.com`）。

1. 在**类型**下，选择**公有托管区**。

1. 选择**创建托管区域**。

然后为您的主区域创建运行状况检查。

1. 打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

1. 在导航窗格中，选择**运行状况检查**，然后选择**创建运行状况检查**。

1. 在**配置运行状况检查**页面上，输入运行状况检查的名称。

1. **在要监控的内容**中，选择**终端节点**、**其他运行状况检查的状态（计算的运行状况检查）****或 CloudWatch 警报状态**。

1. 根据您在上一步中选择的内容，配置您的运行状况检查，然后选择**下一步**。

1. 在**在运行状况检查失败时收到通知**页面上，对于**创建警报**，选择**是**或**否**。

1. 选择**创建运行状况检查**。

在创建运行状况检查后，您可以创建 DNS 故障转移记录。

1. 打开 Route 53 控制台，网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。

1. 在导航窗格中，选择 **Hosted zones（托管区域）**。

1. 在**托管区**页面上，选择您的域名。

1. 在域名的详细信息页面上，选择**创建记录**。

1. 在**选择路由策略**页面上，选择**故障转移**，然后选择**下一步**。

1. 在**配置记录**页面的**基本配置**下，对于**记录名称**，输入您的子域名。例如，如果您的 FQDN 是 `desktop.example.com`，请输入 **desktop**。
**注意**  
如果要使用根域，请将**记录名称**留空。但是，我们建议您使用子域名，例如`desktop`或`workspaces`，除非您已将该域名设置为仅用于您 WorkSpaces的。

1. 对于**记录类型**，选择 **TXT - 用于验证电子邮件发件人和应用程序特定的值**。

1. 将 **TTL 秒**设置保留为默认值。

1. 在 “**要添加的故障切换记录**” 下*your\$1domain\$1name*，选择 “**定义故障切换记录**”。

现在，您需要为主区域和故障转移区域设置故障转移记录。

**示例：为您的主区域设置故障转移记录**

1. 在**定义故障转移记录**对话框中，对于**值/流量路由至**，选择 **IP 地址或其他值（具体取决于记录类型）**。

1. 这时，将打开一个框供您输入示例文本条目。输入您主区域的连接别名关联的连接标识符。

1. 对于**故障转移记录类型**，选择**主**。

1. 在**运行状况检查**中，选择您为主区域创建的运行状况检查。

1. 对于**记录 ID**，输入描述以识别此记录。

1. 选择**定义故障转移记录**。您的新故障转移记录将显示在**要添加的故障转移记录**下*your\$1domain\$1name*。

**示例：为您的故障转移区域设置故障转移记录**

1. 在 “**要添加的故障切换记录**” 下*your\$1domain\$1name*，选择 “**定义故障切换记录**”。

1. 在**定义故障转移记录**对话框中，对于**值/流量路由至**，选择 **IP 地址或其他值（具体取决于记录类型）**。

1. 这时，将打开一个框供您输入示例文本条目。输入故障转移区域的连接别名关联的连接标识符。

1. 对于**故障转移记录类型**，选择**辅助**。

1. （可选）对于**运行状况检查**，输入您为故障转移区域创建的运行状况检查。

1. 对于**记录 ID**，输入描述以识别此记录。

1. 选择**定义故障转移记录**。您的新故障转移记录将显示在**要添加的故障转移记录**下*your\$1domain\$1name*。

如果您为主区域设置的运行状况检查失败，则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您的故障转移区域。Route 53 继续监控您的主要区域的运行状况检查，当您的主区域的运行状况检查不再失败时，Route 53 会自动将您的 WorkSpaces 用户重定向回主区域 WorkSpaces 中的用户。

有关创建 DNS 记录的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[使用 Amazon Route 53 控制台创建记录](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。有关配置 DNS TXT 记录的更多信息，请参阅《Amazon Route 53 开发人员指南》**中的 [TXT 记录类型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat)。

## 步骤 5：向您的 WorkSpaces 用户发送连接字符串
<a name="cross-region-redirection-send-connection-string-to-users"></a>

要确保在中断期间根据需要重定向用户，您必须 WorkSpaces 将连接字符串 (FQDN) 发送给您的用户。如果您已经向 WorkSpaces 用户发布了基于区域的注册码（例如`WSpdx+ABC12D`），则这些代码仍然有效。但是，要使跨区域重定向起作用，您的 WorkSpaces 用户在 WorkSpaces 客户端应用程序 WorkSpaces 中注册时必须使用连接字符串作为注册码。

**重要**  
如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户，则每当您启动新用户时，都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码（例如`WSpdx+ABC12D`）的邀请电子邮件。 WorkSpace即使您已经设置了跨区域重定向，自动发送的新版邀请电子邮件也 WorkSpaces 包含此基于区域的注册码，而不是您的连接字符串。  
要确保您的 WorkSpaces 用户使用的是连接字符串而不是基于区域的注册码，您必须按照以下步骤向他们发送另一封包含连接字符串的电子邮件。

**向您的 WorkSpaces 用户发送连接字符串**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，为您的选择主要 AWS 区域。 WorkSpaces

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 在该**WorkSpaces**页面上，使用搜索框搜索要向其发送邀请的用户，然后 WorkSpace 从搜索结果中选择相应的用户。 WorkSpace 一次只能选择一个。

1. 依次选择 **Actions (操作)** 和 **Invite User (邀请用户)**。

1. 在**邀请用户加入他们的 WorkSpaces**页面上，您将看到一个要发送给用户的电子邮件模板。

1. （可选）如果有多个连接别名与您的 WorkSpaces 目录相关联，请从 Connection **别名字符串列表中选择您希望用户使用的连接字符串**。电子邮件模板将更新以显示您选择的字符串。

1. 使用您自己的电子邮件应用程序，复制电子邮件模板文本，并将其粘贴到要发送给用户的电子邮件中。在电子邮件应用程序中，您可以根据需要修改文本。当邀请电子邮件准备就绪之后，将其发送给用户。

## 跨区域重定向架构图
<a name="cross-region-redirection-architecture-diagram"></a>

下图描述了跨区域重定向的部署过程。

![\[跨区域重定向\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/Doppel-admin-LT-MRR.png)


**注意**  
跨区域重定向只能推动跨区域故障转移和回退。它不利于 WorkSpaces 在辅助区域中创建和维护，也不允许跨区域数据复制。 WorkSpaces 在主区域和次要区域中，都应分开管理。

## 启动跨区域重定向
<a name="initiate-cross-region-redirection"></a>

发生中断时，您可以手动更新 DNS 记录，也可以使用基于运行状况检查的自动路由策略，从而确定故障转移区域。建议您遵循[使用 Amazon Route 53 创建灾难恢复机制](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)中概述的灾难恢复方法。

## 跨区域重定向期间会发生什么
<a name="cross-region-redirection-what-happens"></a>

在区域故障转移期间，您的 WorkSpaces 用户将与主区域 WorkSpaces 的用户断开连接。当他们尝试重新连接时，会收到以下错误消息：

`We can't connect to your WorkSpace. Check your network connection, and then try again.`

然后，系统会提示您的用户重新登录。如果他们使用 FQDN 作为注册码，则当他们再次登录时，您的 DNS 故障转移路由策略会将他们重定向到您在故障转移区域中为他们设置的路由策略。 WorkSpaces 

**注意**  
在某些情况下，用户在再次登录时可能无法重新连接。如果出现这种情况，他们必须关闭并重新启动 WorkSpaces 客户端应用程序，然后尝试再次登录。

## 取消连接别名与目录的关联
<a name="cross-region-redirection-disassociate-connection-alias"></a>

只有拥有目录的账户才能取消连接别名与该目录的关联。

如果您已与另一个账户共享连接别名，并且该账户已将连接别名与该账户拥有的目录关联，则必须使用该账户，取消连接别名与该目录的关联。

**取消连接别名与目录的关联**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，选择包含要取消关联的连接别名的 AWS 区域。

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向关联**下，选择连接字符串，然后选择**操作**、**关联/取消关联**。

   您也可以取消连接别名与连接别名详细信息页面的关联。为此，请在**关联的目录**下，选择**取消关联**。

1. 在**关联/取消关联**页面上，选择**取消关联**。

1. 在要求您确认取消关联的对话框中，选择**取消关联**。

## 取消共享连接别名
<a name="cross-region-redirection-unshare-connection-alias"></a>

只有连接别名的所有者才能取消共享该别名。如果您取消与某个账户共享连接别名，则该账户将无法再将该连接别名与目录相关联。

**取消共享连接别名**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，选择包含要取消共享的连接别名的 AWS 区域。

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向关联**下，选择连接字符串，然后选择**操作**、**共享/取消共享连接别名**。

   您也可以取消连接别名与连接别名详细信息页面的共享。为此，请在**共享账户**下选择**取消共享**。

1. 在**共享/取消共享连接别名**页面上，选择**取消共享**。

1. 在要求您确认取消共享连接别名的对话框中，选择**取消共享**。

## 删除连接别名
<a name="cross-region-redirection-delete-connection-alias"></a>

只有当连接别名归您的账户所有且未与目录关联时，您才能删除该别名。

如果您已与另一个账户共享连接别名，并且该账户已将连接别名与该账户拥有的目录关联，则该账户必须先取消连接别名与目录的关联，然后您才能删除该别名。

**重要**  
创建连接字符串后，它始终与您的 AWS 账户关联。您无法使用其他账户重新创建相同的连接字符串，即使您从原始账户中删除了连接字符串的所有实例也是如此。连接字符串针对您的账户进行了全局保留。

**警告**  
**如果您不再使用 FQDN 作为 WorkSpaces 用户的注册码，则必须采取某些预防措施来防止出现潜在的安全问题。**有关更多信息，请参阅 [停止使用跨区域重定向后的安全注意事项](#cross-region-redirection-security-considerations)。

**删除连接别名**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，选择包含要删除的连接别名的 AWS 区域。

1. 在导航窗格中，选择 **Account Settings (账户设置)**。

1. 在**跨区域重定向关联**下，选择连接字符串，然后选择**删除**。

   您也可以从连接别名详细信息页面删除连接别名。为此，请在页面右上角，选择**删除**。
**注意**  
如果禁用**删除**按钮，请确保您是别名的所有者，并确保该别名未与目录关联。

1. 在要求您确认删除的对话框中，选择**删除**。

## 用于关联和取消关联连接别名的 IAM 权限
<a name="cross-region-redirection-iam"></a>

如果您使用 IAM 用户关联或取消关联连接别名，则该用户必须拥有 `workspaces:AssociateConnectionAlias` 和 `workspaces:DisassociateConnectionAlias` 的权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
```

------

**重要**  
如果您正在创建 IAM 策略来关联或取消关联不拥有连接别名的账户的连接别名，则无法在 ARN 中指定账户 ID。您必须改用账户 ID 的 `*`，如以下示例策略所示。  

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
```
只有当账户拥有要关联或取消关联的连接别名时，您才能在 ARN 中指定该账户 ID。

有关使用 IAM 的更多信息，请参阅 [的身份和访问管理 WorkSpaces](workspaces-access-control.md)。

## 停止使用跨区域重定向后的安全注意事项
<a name="cross-region-redirection-security-considerations"></a>

如果您不再使用 FQDN 作为 WorkSpaces 用户的注册码，则必须采取以下预防措施来防止出现潜在的安全问题：
+ 请务必向 WorkSpaces 用户发放其 WorkSpaces 目录中特定于区域的注册码（例如`WSpdx+ABC12D`），并指示他们停止使用 FQDN 作为注册码。
+ **如果您仍然拥有该域**，请务必更新您的 DNS TXT 记录以删除该域，这样它就不会在网络钓鱼攻击中遭到利用。如果您从 DNS TXT 记录中删除此域名，而您的 WorkSpaces 用户尝试使用 FQDN 作为注册码，则他们的连接尝试将无害地失败。
+ **如果您不再拥有该域名**，则您的 WorkSpaces 用户**必须**使用其区域特定的注册码。如果他们继续尝试使用 FQDN 作为注册码，则系统可能会将其连接尝试重定向到恶意站点。

# 个人多区域弹性 WorkSpaces
<a name="multi-region-resilience"></a>

Amazon WorkSpaces 多区域弹性 (MRR) 使您能够在主区域因中断性事件而无法访问时将用户重定向到辅助 WorkSpaces 区域，而无需您的用户在登录到备用区域时切换注册码。 WorkSpaces待机 WorkSpaces 是 Amazon WorkSpaces 多区域弹性的一项功能，可简化备用部署的创建和管理。在辅助区域设置用户目录后，在主区域中选择要 WorkSpace 为其创建备用目录的用户目录。 WorkSpace 系统会自动将主 WorkSpace 捆绑包映像镜像到次要区域。然后，它会在您的辅助区域自动 WorkSpace 配置新的备用服务器

Amazon WorkSpaces 多区域弹性建立在跨区域重定向的基础上，利用 DNS 运行状况检查和故障转移功能。它允许您使用完全限定的域名 (FQDN) 作为 WorkSpaces 注册码。当您的用户登录时 WorkSpaces，您可以根据您的 FQDN 域名系统 (DNS) 策略将他们重定向到支持的 WorkSpaces 区域。如果您使用 Amazon Route 53，我们建议您在为其设计跨区域重定向策略时使用运行状况检查来监控亚马逊 CloudWatch 警报。 WorkSpaces有关更多信息，请参阅《Amazon Route 53 开发人员指南》**中的[创建 Amazon Route 53 运行状况检查和配置 DNS 故障转移](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)。

数据复制是备用模式的一项附加功能 WorkSpaces ，可将数据从主区域单向复制到辅助区域。启用数据复制后，系统和用户卷的 EBS 快照每 12 小时拍摄一次。多区域韧性会定期检查是否有新的快照。找到快照后，它会启动到辅助区域的副本。当副本到达辅助区域时，它们被用来更新辅助区域 WorkSpace。

**Topics**
+ [前提条件](#multi-region-resilience-prerequisites)
+ [限制](#multi-region-resilience-limitations)
+ [配置您的多区域弹性备用模式 WorkSpace](#multi-region-resilience-congfigurations)
+ [创建备用副本 WorkSpace](#create-standby-workspace)
+ [管理待机 WorkSpace](#manage-standby-workspace)
+ [删除备用副本 WorkSpace](#delete-standby-workspace)
+ [备用单向数据复制 WorkSpaces](#one-way-data-replication)
+ [计划预留 Amazon EC2 容量以备恢复](#mrr-ec2-recovery)

## 前提条件
<a name="multi-region-resilience-prerequisites"></a>
+ 在创建备用 WorkSpaces 服务器之前，您必须为主区域中的用户创建 WorkSpaces。有关创建的更多信息 WorkSpaces，请参阅[为 WorkSpaces 个人版创建目录](launch-workspaces-tutorials.md)。
+ 要在待机状态下启用数据复制 WorkSpaces，您应该将自我管理的 Active Directory 或 AWS 托管 Microsoft AD 配置为复制到备用区域。有关更多信息，请参阅[创建您的 AWS 托管 Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)和[添加复制区域](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/multi-region-add-region.html)。
+ 确保在主服务器上更新网络依赖驱动程序 NVMe，例如 ENA 和 PV 驱动程序 WorkSpaces。您应该至少每 6 个月更新一次。有关更多信息，请参阅[安装或升级弹性网络适配器（ENA）驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[Windows 实例的AWS NVMe 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)以及[升级 Windows 实例上的 PV 驱动程序](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)。
+ 确保定期将 EC2 Config、 EC2 Launc EC2 h 和 Launch V2 代理更新到最新版本。您应该至少每 6 个月更新一次。有关更多信息，请参阅[更新 EC2 Config 并 EC2启动](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)。
+ 为了保障正确的数据复制，请确保主区域和辅助区域中的 Active Directory 与 FQDN、OU 和用户 SID 同步。
+ 备用服务器的默认配额（限制） WorkSpaces 为 0。在创建备用副本之前，您需要申请增加服务配额 WorkSpace。有关更多信息，请参阅 [亚马逊 WorkSpaces 配额](workspaces-limits.md)。
+ 确保使用[客户管理的密钥对主密钥](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)和备用密钥进行加密 WorkSpaces。您可以使用单区域密钥或[多区域密钥来加密您的主密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)和备用 WorkSpaces密钥。

## 限制
<a name="multi-region-resilience-limitations"></a>
+ 待机模式 WorkSpaces 仅复制主卷的捆绑映像， WorkSpaces 但不会从主卷复制系统卷（驱动器 C）或用户卷（驱动器 D） WorkSpaces。要将系统卷（驱动器 C）或用户卷（驱动器 D）从主卷复制 WorkSpaces 到备用卷 WorkSpaces，必须启用数据复制。
+ 您不能直接修改、重建、恢复或迁移备用副本 WorkSpace。
+ 跨区域重定向的故障转移由您的 DNS 设置控制。要实施自动故障转移场景，您必须将其他机制与跨区域重定向结合使用。例如，您可以将 Amazon Route 53 故障转移 DNS 路由策略与监控主区域 CloudWatch 警报的 Route 53 运行状况检查配对。如果在主区域中调用 CloudWatch 警报，则您的 DNS 故障转移路由策略会将您的 WorkSpaces 用户重定向到您在故障转移区域中为他们设置的策略。 WorkSpaces 
+ 数据复制只有一种方式，即将数据从主区域复制到辅助区域。在待机 WorkSpaces 故障转移期间，您可以在 12 到 24 小时之间访问数据和应用程序。中断后，手动备份您在辅助服务器上创建的所有数据 WorkSpace 并注销。我们建议将您的工作保存到外部驱动器（例如网络驱动器）中，以便您可以从主驱动器访问数据 WorkSpace。
+ 数据复制不支持 S AWS imple AD。
+ 在备用模式下启用数据复制时 WorkSpaces，将每 12 小时拍摄一次主卷 WorkSpaces （包括根卷和系统卷）的 EBS 快照。特定数据卷的初始快照已满，后续快照为增量快照。因此，给定对象的第一次复制 WorkSpace 将比后续复制花费更长的时间。快照是按内部计划启动的 WorkSpaces ，您无法控制时间。
+ 如果主域 WorkSpace 和备用域使用同一个域 WorkSpace 加入，我们建议您只 WorkSpace 在给定的时间点连接到主域 WorkSpace 或备用域控制器，以免失去与域控制器的连接。
+ 如果您将您的配置 AWS Managed Microsoft AD 为多区域复制，则只能注册主区域中的目录以供使用 WorkSpaces。如果您尝试在复制区域中注册该目录以供使用 WorkSpaces，则该目录将失败。 AWS Managed Microsoft AD 不支持在复制的区域 WorkSpaces 内使用多区域复制。
+ 如果您已经设置了跨区域重定向，并在不使用备用区域的情况下 WorkSpaces 在主区域和次要区域中创建了跨区域重定向 WorkSpaces，则无法将辅助区域 WorkSpace 中的现有重定向直接转换为备用 WorkSpace 区域。相反，您需要关闭辅助区域 WorkSpace 中的，在主区域中选择要 WorkSpace 为其创建备用副本的区域，然后使用备用创建备 WorkSpaces 用副本 WorkSpace。 WorkSpace 
+ 中断后，手动备份您在辅助服务器上创建的所有数据 WorkSpace 并注销。我们建议将您的工作保存到外部驱动器（例如网络驱动器）中，以便您可以从主驱动器访问数据 WorkSpace。
+ WorkSpaces 多区域弹性目前在以下区域可用：
  + 美国东部（弗吉尼亚州北部）区域
  + 美国西部（俄勒冈州）区域
  + 欧洲地区（法兰克福）区域
  + 欧洲地区（爱尔兰）区域
+ WorkSpaces 只有版本 3.0.9 或更高版本的 Linux、macOS 和 Windows 客户端应用程序支持多区域弹性。 WorkSpaces 您也可以将多区域韧性与 Web Access 结合使用。
+ WorkSpaces 多区域弹性支持 Windows 和自带许可证 (BYOL)。 WorkSpaces它不支持亚马逊 Linux 2、Ubuntu、Red Hat Enterprise Linux、 GeneralPurpose .4xlarge、. GeneralPurpose 8xlarge 或支持 GPU WorkSpaces （例如 Graphics G6、Graphics.g4dn 或.g4dn）。 GraphicsPro
+ 故障转移或故障恢复完成后，请等待 15 到 30 分钟，然后再连接到您的 WorkSpace。

## 配置您的多区域弹性备用模式 WorkSpace
<a name="multi-region-resilience-congfigurations"></a>

**配置您的多区域弹性备用副本 WorkSpace**

1. 在主区域和辅助区域中设置用户目录。确保在每个区域的每个 WorkSpaces 目录中使用相同的用户名。

   为了保持您的 Active Directory 用户数据同步，我们建议您使用 AD Connector 指向您 WorkSpaces 为用户设置的每个区域中的同一个活动目录。有关创建目录的更多信息，请参阅[向注册目录 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)。
**重要**  
如果您将 AWS Managed Microsoft AD 目录配置为多区域复制，则只能注册主区域中的目录以供使用 WorkSpaces。尝试在复制的区域中注册目录以供使用 WorkSpaces 将失败。 AWS Managed Microsoft AD 不支持在复制的区域 WorkSpaces 内使用多区域复制。

1.  WorkSpaces 为主区域的用户创建。有关创建的更多信息 WorkSpaces，请参阅[启动 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html)。

1.  WorkSpace 在辅助区域创建备用副本。有关创建备用副本的更多信息 WorkSpace，请参阅[创建备用实例 WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/multi-region-resilience.html#create-standby-workspace)。

1. 创建连接字符串（FQDN），并将其与主区域和辅助区域中的用户目录相关联。

   您必须在账户中启用跨区域重定向，因为备用数据库建立在跨区域重 WorkSpaces 定向的基础上。按照 [Amazon 跨区域重定向](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-create-connection-aliases)说明中的步骤 1-3 进行操作。 WorkSpaces

1. 配置 DNS 服务并设置 DNS 路由策略。

   您必须设置 [DNS 服务并配置必要的 DNS 路由策略](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-configure-DNS-routing)。跨区域重定向与您的 DNS 路由策略配合使用，可根据需要重定向您的 WorkSpaces 用户。

1. 设置完跨区域重定向后，您必须向用户发送一封包含 FQDN 连接字符串的电子邮件。有关更多信息，请参阅[步骤 5：向您的 WorkSpaces 用户发送连接字符串](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html#cross-region-redirection-send-connection-string-to-users)。确保您的 WorkSpaces 用户使用的是基于 FQDN 的注册码，而不是其主要区域的基于区域的注册码（例如 WSpdx \$1 ABC12 D）。
**重要**  
如果您在 WorkSpaces 控制台中创建用户而不是在 Active Directory 中创建用户，则每当您启动新用户时，都会 WorkSpaces 自动向您的用户发送一封包含基于区域的注册码的邀请电子邮件。 WorkSpace这意味着，当你 WorkSpaces 为次要区域的用户进行设置时，你的用户也将自动收到这些辅助区域的电子邮件 WorkSpaces。您需要指示您的用户忽略含有基于区域的注册码的电子邮件。
特定于区域的注册码仍然有效；但是，要使跨区域重定向运行，您的用户必须改用 FQDN 作为注册码。

## 创建备用副本 WorkSpace
<a name="create-standby-workspace"></a>

在创建备用副本之前 WorkSpace，请确保已完成先决条件，包括在主区域和次要区域中创建用户目录、在主区域 WorkSpaces 为用户进行配置、在账户中配置跨区域重定向以及通过服务配额请求提高待机 WorkSpaces 限制。

**创建备用副本 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，为您的选择主要 AWS 区域。 WorkSpaces

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择 WorkSpace 要为其创建备用副 WorkSpace 本的。

1. 选择 “**操作**”，然后选择 “**创建待机**” WorkSpace。

1. 选择要在其中创建备用副本的次要区域 WorkSpace，然后选择 “**下一步**”。

1. 选择辅助区域中的用户目录，然后选择**下一步**。

1. （可选）添加加密密钥、启用数据加密和管理标签。
   + 要添加加密密钥，请在“输入加密密钥”下方输入该密钥。
   + 要启用数据复制，请选择**启用数据复制**。然后，选中复选框以确认您批准额外每月收费。
   + 要添加新标签，请选择**添加新标签**。

   然后选择**下一步**。
**注意**  
如果原始文件已加密， WorkSpace 则会预填充此字段。但是，您可以选择将其替换为自己的加密密钥。
更新数据复制状态需要花几分钟时间。
使用主数据库的快照成功更新备用数据库 WorkSpace 后 WorkSpace，您可以在**恢复**快照下找到快照的时间戳。

1. 查看待机模式的设置 WorkSpaces ，然后选择**创建**。
**注意**  
要查看您的待机信息 WorkSpaces，请前往主要 WorkSpace 详情页面。
备用磁盘 WorkSpace 仅复制主卷的捆绑映像， WorkSpace 但不会从主卷复制系统卷（驱动器 C）或用户卷（驱动器 D） WorkSpaces。默认情况下，数据复制处于关闭状态。要将系统卷（驱动器 C）或用户卷（驱动器 D）从主卷复制 WorkSpaces 到备用卷 WorkSpaces，必须启用数据复制。

## 管理待机 WorkSpace
<a name="manage-standby-workspace"></a>

您不能直接修改、重建、恢复或迁移备用副本 WorkSpace。

**为备用服务器启用数据复制 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 前往您的主要区域，选择主 WorkSpace ID。

1. 向下滚动到 “待机 WorkSpace ” 部分，然后选择 “**编辑待机” WorkSpace**。

1. 选择**启用数据复制**。然后，选中复选框以确认您批准额外每月收费。然后，选择**保存**。

**注意**  
待机模式 WorkSpaces 无法休眠。如果您停止待机模式 WorkSpace，它不会保留您未保存的工作。我们建议用户在退出待机状态 WorkSpaces之前务必保存所做的工作。
要在待机状态下启用数据复制 WorkSpaces，您应该将自我管理的 Active Directory 或 AWS 托管 Microsoft AD 配置为复制到备用区域。要设置您的目录，请按照 “使用[亚马逊 WorkSpaces 和 AWS 目录服务构建业务连续性演练” 部分的步骤 1 至 3 或参阅在亚马逊使用](https://aws.amazon.com/blogs/desktop-and-application-streaming/building-for-business-continuity-with-amazon-workspaces-and-aws-directory-services/#:~:text=Region(s).-,Walkthrough,-Step%201%3A%20Provision)[多区域 AWS 托管 Active D](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/using-multi-region-aws-managed-active-directory-with-amazon-workspaces.html) irectory。 WorkSpaces只有 AWS 托管 Microsoft AD 的企业版支持多区域复制。
更新数据复制状态需要花几分钟时间。
使用主数据库的快照成功更新备用数据库 WorkSpace 后 WorkSpace，您可以在**恢复**快照下找到快照的时间戳。

## 删除备用副本 WorkSpace
<a name="delete-standby-workspace"></a>

您可以像终止常规备用 WorkSpace 服务器一样终止备用副本 WorkSpace。

**删除备用副本 WorkSpace**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在控制台的右上角，为您的选择主要 AWS 区域。 WorkSpaces

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择待机模式 WorkSpace 并选择**删除**。删除备用数据库大约需要 5 分钟 WorkSpace。删除期间，备用服务器的状态 WorkSpace 将设置为 “**正在终止**”。删除完成后，备用数据库将从控制台 WorkSpace 消失。

**注意**  
删除备用数据库 WorkSpace 是一项永久性操作，无法撤消。备用 WorkSpace 用户的数据不会保留，因此会被销毁。如需有关备份用户数据的帮助，请联系 Supp AWS ort。

## 备用单向数据复制 WorkSpaces
<a name="one-way-data-replication"></a>

在多区域韧性中启用数据复制允许您将数据从主区域复制到辅助区域。在稳定状态下，多区域弹性 WorkSpaces 每 12 小时捕获一次主系统的快照（C 盘）和数据（D 盘）的快照。这些快照将传输到辅助区域并用于更新备用区域 WorkSpaces。默认情况下，待机状态的数据复制处于禁用状态 WorkSpaces。

为备用数据库启用数据复制后 WorkSpaces，特定数据卷的初始快照即已完成，而后续快照为增量快照。因此，给定对象的第一次复制 WorkSpace 将比后续复制花费更长的时间。快照是在预先确定的时间间隔内 WorkSpaces 触发的，用户无法控制时间。

![\[备用单向数据复制 WorkSpaces\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/Doppel-admin-LT-one-way.png)


在故障转移期间，当用户被重定向到辅助区域时，他们可以访问其备 WorkSpaces 用区域，其中包含保存 12 到 24 小时的数据和应用程序。当用户使用备用模式时 WorkSpaces，多区域弹性不会强迫他们退出备用数据库 WorkSpaces 或使用主区域的快照更新备 WorkSpaces 用副本。

中断后，用户在注销备用服务器 WorkSpaces 之前，应手动备份他们在辅助设备上创建的所有数据 WorkSpaces。当他们再次登录时，他们将被定向到主区域及其主区域 WorkSpaces。

## 计划预留 Amazon EC2 容量以备恢复
<a name="mrr-ec2-recovery"></a>

默认情况下，Amazon 多区域韧性（MRR）依赖于 Amazon EC2 按需池。如果特定的 Amazon EC2 实例类型无法支持您的恢复，则 MRR 将自动尝试重复纵向扩展实例，直到找到可用的实例类型，但在极端情况下，实例可能并不总是可用。要提高最关键实例类型的可用性，请联系 Supp WorkSpaces ort AWS ，我们将协助您进行容量规划。

# WorkSpaces 个人版问题疑难解答
<a name="amazon-workspaces-troubleshooting"></a>

以下信息可以帮助您解决您的问题 WorkSpaces。

## 启用高级日志记录
<a name="advanced-logging"></a>

为了帮助解决您的用户可能遇到的问题，您可以在任何 Amazon WorkSpaces 客户端上启用高级登录。

高级日志记录将生成包含诊断信息和调试级别详细信息（包括详细的性能数据）的日志文件。对于 1.0\$1 和 2.0\$1 的客户端，这些高级日志文件会自动上传到中的数据库。 AWS

**注意**  
要 AWS 查看高级日志文件并获得有关 WorkSpaces 客户问题的技术支持，请联系 AWS 支持。有关更多信息，请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

### 为 Web Access 启用高级日志记录
<a name="logging-web-access"></a>

**为 Web Access 启用高级日志记录**

1. 打开您的亚马逊 WorkSpaces 网络访问客户端。

1. 在 WorkSpaces 登录页面的顶部，选择**诊断日志**。

1. 在弹出对话框中，确保已启用**诊断日志记录**。

1. 对于**日志级别**，请选择**高级日志记录**。

**在 Google Chrome、Microsoft Edge 和 Firefox 中访问日志文件**

1. 打开浏览器上的上下文（右键单击）菜单或按键盘上的 **Ctrl** \$1 **Shift** \$1 **I**（或者对于 Mac，按 **command** \$1 **option** \$1 **I**），打开开发人员工具面板。

1. 在开发人员工具面板中，选择**控制台**选项卡以查找日志文件。

**在 Safari 中访问日志文件**

1. 依次选择 **Safari**、**设置**。

1. 在**设置**窗口中，选择**高级**选项卡。

1. **在菜单栏中选择“显示开发”菜单**。

1. 从菜单栏的**开发**选项卡中，选择**开发** > **显示 Web 检查器**。

1. 在 Safari Web 检查器面板中，选择**控制台**选项卡以查找日志文件。

### 为 4.0\$1 客户端启用高级日志记录
<a name="logging-new-clients"></a>

**Topics**

Windows 客户端日志存储在以下位置：

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs`

**为 Windows 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开命令提示符应用程序。

1. 启动带有`-l3`标志的 WorkSpaces 客户端。

   `c:`

   `cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"`

   `workspaces.exe -l3`
**注意**  
如果 WorkSpaces 是为一个用户而不是所有用户安装的，请使用以下命令：  
`c:`  
`cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"`  
`workspaces.exe -l3`

**Topics**

macOS 客户端日志存储在以下位置：

`~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs`

**为 macOS 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开终端。

1. 运行如下命令。

   `open -a workspaces --args -l3`

**Topics**

**为 Android 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开 Android 客户端菜单。

1. 选择**支持**。

1. 选择**日志记录设置**。

1. 选择**启用高级日志记录**。

**要在启用高级日志记录后检索 Android 客户端的日志，请执行以下操作：**
+ 选择**提取日志**，将压缩后的日志保存在本地。

**Topics**

Linux 客户端日志存储在以下位置：

`~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs`

**为 Linux 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开终端。

1. 运行如下命令。

   `/opt/workspacesclient/workspacesclient -l3`

### 为 3.0 客户端启用高级日志记录
<a name="logging-new-clients"></a>

**Topics**

Windows 客户端日志存储在以下位置：

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs`

**为 Windows 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开命令提示符应用程序。

1. 启动带有`-l3`标志的 WorkSpaces 客户端。

   `c:`

   `cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"`

   `workspaces.exe -l3`
**注意**  
如果 WorkSpaces 是为一个用户而不是所有用户安装的，请使用以下命令：  
`c:`  
`cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"`  
`workspaces.exe -l3`

**Topics**

macOS 客户端日志存储在以下位置：

`~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs`

**为 macOS 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开终端。

1. 运行如下命令。

   `open -a workspaces --args -l3`

**Topics**

**为 Android 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开 Android 客户端菜单。

1. 选择**支持**。

1. 选择**日志记录设置**。

1. 选择**启用高级日志记录**。

**要在启用高级日志记录后检索 Android 客户端的日志，请执行以下操作：**
+ 选择**提取日志**，将压缩后的日志保存在本地。

**Topics**

Linux 客户端日志存储在以下位置：

`~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs`

**为 Linux 客户端启用高级日志记录**

1. 关闭亚马逊 WorkSpaces 客户端。

1. 打开终端。

1. 运行如下命令。

   `/opt/workspacesclient/workspacesclient -l3`

### 为 1.0\$1 和 2.0\$1 客户端启用高级日志记录
<a name="logging-legacy-clients"></a>

1. 打开 WorkSpaces 客户端。

1. 选择客户端应用程序右上角的齿轮图标。

1. 选择 **Advanced Settings (高级设置)**。

1. 选中 **Enable Advanced Logging (启用高级日志记录)** 复选框。

1. 选择**保存**。

Windows 客户端日志存储在以下位置：

`%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs`

macOS 客户端日志存储在以下位置：

`~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0`

## 排查特定问题
<a name="troubleshooting-specific-issues"></a>

以下信息可以帮助您解决与您的特定问题有关的问题 WorkSpaces。

**Topics**
+ [我无法创建 Amazon Linux， WorkSpace 因为用户名中有无效字符](#linux_workspace_provision_fail_username)
+ [我为我的 Amazon Linux WorkSpace 更换了外壳，现在我无法配置 PCo IP 会话](#linux_workspace_provision_fail_shell_override)
+ [我的 Amazon Linux WorkSpaces 无法启动](#linux_workspace_provision_fail_pcoip_agent_upgrade)
+ [WorkSpaces 在我连接的目录中启动经常失败](#provision_fail)
+ [启动 WorkSpaces 失败并出现内部错误](#launch-failure-ipv6)
+ [当我尝试注册目录时，注册失败并使该目录处于 ERROR 状态](#cannot-register-directory)
+ [我的用户无法使用交互式登录横 WorkSpace 幅连接到 Windows](#logon_banner)
+ [我的用户无法连接到 Windows WorkSpace](#gpo_security_user_rights)
+ [我的用户在尝试 WorkSpaces 从 WorkSpaces Web Access 登录时遇到了问题](#byol_logon_issues)
+ [在返回登录屏幕之前，Amazon WorkSpaces 客户端会显示灰色的 “正在加载...” 屏幕一段时间。不显示其他错误消息。](#loading_screen)
+ [我的用户收到消息 “WorkSpace 状态：不健康。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”](#unhealthy_cant_connect)
+ [我的用户会收到消息 “此设备无权访问 WorkSpace. 请联系您的管理员寻求帮助。”](#device_not_authorized)
+ [我的用户在尝试连接到 WSP WorkSpace 时收到消息 “无网络。网络连接中断。请检查网络连接 尝试连接 DCV 时 WorkSpace](#no_network)
+ [WorkSpaces 客户端给我的用户带来了网络错误，但他们可以在自己的设备上使用其他支持网络的应用程序](#network_error)
+ [我的 WorkSpace 用户看到以下错误消息：“设备无法连接到注册服务。请检查网络设置。”](#registration_service_failure)
+ [我 PCo的 IP zero 客户端用户收到错误 “由于时间戳的原因，提供的证书无效”](#pcoip_zero_client_ntp)
+ [USB 打印机和其他 USB 外围设备不适用于 PCo IP 零客户端](#pcoip_zero_client_usb)
+ [我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程，并且没有收到安装最新版本的提示](#client_update_skipped)
+ [我的用户无法在其 Chromebook 上安装 Android 客户端应用程序](#install_android_chromebook)
+ [我的用户没有收到邀请电子邮件或密码重置电子邮件](#welcome_emails)
+ [我的用户在客户端登录屏幕上看不到“忘记密码？”选项](#forgot_password)
+ [当我尝试在 Windows 上安装应用程序时，我收到 “系统管理员已设置策略来阻止此安装” 的消息 WorkSpace](#msi_wont_install)
+ [我的目录 WorkSpaces 中没有可以连接到互联网](#no_internet)
+ [我的 WorkSpace 已经失去了互联网接入](#lost_internet_access)
+ [当我尝试连接我的本地目录时收到一条“DNS unavailable”错误](#dns_unavailable)
+ [在尝试连接到我的本地目录时，我收到一条“Connectivity issues detected”错误](#connectivity_issues_detected)
+ [在尝试连接到我的本地目录时，我收到一条“SRV record”错误](#srv_record_not_found)
+ [我的 Windows 闲置时会 WorkSpace 进入睡眠状态](#windows_workspace_sleeps_when_idle)
+ [我的其中 WorkSpaces 一个状态为 `UNHEALTHY`](#unhealthy)
+ [我的 WorkSpace 意外崩溃或重启](#crash_web_access)
+ [同一个用户名有多个用户名 WorkSpace，但用户只能登录其中一个 WorkSpaces](#multiple_workspaces_same_username)
+ [我在亚马逊上使用 Docker 时遇到了问题 WorkSpaces](#docker_support)
+ [我的一些 API 调用收到了 ThrottlingException 错误](#throttled-api-calls)
+ [当我 WorkSpace 让它在后台运行时，我的连接一直处于断开状态](#workspaces-disconnecting)
+ [SAML 2.0 联合身份验证不起作用。我的用户无权直播其 WorkSpaces 桌面。](#saml-federation-not-working)
+ [我的用户每 60 分钟就会断开一次 WorkSpaces 会话连接。](#disconnected-workspace)
+ [我的用户在使用 SAML 2.0 身份提供商 (IdP) 启动的流程进行联合时会收到重定向 URI 错误，或者我的用户在联合到 IdP 后每次尝试从 WorkSpaces 客户端登录时，都会启动客户端应用程序的另一个实例。](#invalid-redirect-uri)
+ [我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时，他们会收到一条消息：“出了点问题：启动你的应用程序时出错 WorkSpace”。](#federating-error-message)
+ [我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时会收到 “无法验证标签” 的消息。](#unable-to-validate-tags)
+ [我的用户会收到消息“客户端和服务器无法通信，因为它们没有共同的算法”。](#no-common-algorithm)
+ [我的麦克风或网络摄像头无法在 Windows 上运行 WorkSpaces。](#microphone-not-working)
+ [我的用户无法使用基于证书的身份验证登录，当他们连接到桌面会话时，系统会在 WorkSpaces 客户端或 Windows 登录屏幕上提示他们输入密码。](#cert-based-auth-troubleshooting)
+ [我正在尝试做一些需要 Windows 安装介质但 WorkSpaces 不提供安装介质的事情。](#install-media-troubleshooting)
+ [我想 WorkSpaces 使用在不支持的 WorkSpaces 地区创建的现有 AWS 托管目录启动。](#unsupported-regions-troubleshooting)
+ [我想在 Amazon Linux 2 上更新 Firefox。](#firefox_al2)
+ [我的用户可以使用 WorkSpaces 客户端重置密码，而忽略上配置的细粒度密码策略 (FFGP) 设置。 AWS Managed Microsoft AD](#password-setting-mad)
+ [我的用户在尝试 Windows/Linux WorkSpace 使用 Web Acces OS/platform s 访问时收到错误消息 WorkSpace “这无权访问你的”](#os-authorized-access)
+ [我的用户在连接到 WorkSpace 处于停止状态的用户后显示 AutoStop WorkSpace 为运行状况不佳](#autostop-unhealthy)
+ [登录后，Gnome 在 WorkSpaces Ubuntu 捆绑包上崩溃](#gnome-crashes-ubuntu)

### 我无法创建 Amazon Linux， WorkSpace 因为用户名中有无效字符
<a name="linux_workspace_provision_fail_username"></a>

对于亚马逊 Linux WorkSpaces，用户名：
+ 最多可包含 20 个字符
+ 可以包含能够以 UTF-8 表示的字母、空格和数字
+ 可包含以下特殊字符：\$1 .-\$1
+ 不能以短划线符号 (-) 作为用户名的开头第一个字符

**注意**  
这些限制不适用于 Windows WorkSpaces。Windows WorkSpaces 支持对用户名中的所有字符使用 @ 和-符号。

### 我为我的 Amazon Linux WorkSpace 更换了外壳，现在我无法配置 PCo IP 会话
<a name="linux_workspace_provision_fail_shell_override"></a>

要覆盖 Linux 的默认外壳 WorkSpaces，请参见[替换亚马逊 Linux 的默认外壳 WorkSpaces](manage_linux_workspace.md#linux_shell)。

### 我的 Amazon Linux WorkSpaces 无法启动
<a name="linux_workspace_provision_fail_pcoip_agent_upgrade"></a>

从 2020 年 7 月 20 日起，亚马逊 Linux WorkSpaces 将使用新的许可证书。这些新证书仅与 IP 代理的 2.14.1.1、2.14.7、2.14.9 和 20.10.6 或更高版本兼容。 PCo

如果您使用 PCo的 IP 代理版本不受支持，则必须将其升级到最新版本 (20.10.6)，该版本包含与新证书兼容的最新修复和性能改进。如果您不在 7 月 20 日之前进行这些升级，则您的 Linux WorkSpaces 会话配置将失败，您的最终用户将无法连接到他们的 WorkSpaces。

**将 PCo IP 代理升级到最新版本**

1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

1. 在导航窗格中，请选择 **WorkSpaces**。

1. 选择你的 Linux WorkSpace，然后选择 “**操作**”、“**重启**” 来重启它 WorkSpaces。如果 WorkSpace 状态为`STOPPED`，则必须选择 “**操作**”、“ WorkSpaces先**启动**”，然后等到其状态变为`AVAILABLE`后才能重新启动它。

1. <a name="step_maintenance_mode"></a> WorkSpace 在您重新启动且其状态为`AVAILABLE`，我们建议您在执行此升级`ADMIN_MAINTENANCE`时 WorkSpace 将的状态更改为。完成后，将的状态更改 WorkSpace 为`AVAILABLE`。有关 `ADMIN_MAINTENANCE` 模式的更多信息，请参阅[手动维护](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html#admin-maintenance)。

   要将 a 的状态更改 WorkSpace 为`ADMIN_MAINTENANCE`，请执行以下操作：

   1. 选择， WorkSpace 然后选择 “**操作**”、“**修改” WorkSpace**。

   1. 选择 **Modify State**。

   1. 对于**预期状态**，请选择 **ADMIN\$1MAINTENANCE**。

   1. 选择 **Modify**(修改)。

1.  WorkSpace 通过 SSH 连接到你的 Linux。有关更多信息，请参阅 [WorkSpaces 在 WorkSpaces 个人版中为你的 Linux 启用 SSH 连接](connect-to-linux-workspaces-with-ssh.md)。

1. 要更新 PCo IP 代理，请运行以下命令：

   ```
   sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6
   ```

1. 要验证代理版本并确认更新成功，请运行以下命令：

   ```
   rpm -q pcoip-agent-standard
   ```

   验证命令应产生以下结果：

   ```
   pcoip-agent-standard-20.10.6-1.el7.x86_64
   ```

1. 断开与的连接 WorkSpace ，然后重新启动它。

1. 如果您将的状态设置为[Step 4](#step_maintenance_mode)，请重复[Step 4](#step_maintenance_mode)并将 “**预期状态**” 设置为`AVAILABLE`。 WorkSpace `ADMIN_MAINTENANCE`

如果您的 Linux 在升级 PCo IP 代理后 WorkSpace 仍然无法启动，请联系 Supp AWS ort。

### WorkSpaces 在我连接的目录中启动经常失败
<a name="provision_fail"></a>

验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动一个 Amazon EC2 实例并将该实例加入您的目录中，然后使用两个 DNS 服务器的 IP 地址来验证此连接。

### 启动 WorkSpaces 失败并出现内部错误
<a name="launch-failure-ipv6"></a>

检查您的子网是否配置为自动为在子网中启动的实例分配 IPv6 地址。要检查此设置，请打开 Amazon VPC 控制台，选择子网，然后依次选择**子网操作**、**修改自动分配 IP 设置**。如果启用此设置，则无法 WorkSpaces 使用 “性能” 或 “显卡” 捆绑包启动。相反，请在启动实例时禁用此设置并手动指定 IPv6 地址。

### 当我尝试注册目录时，注册失败并使该目录处于 ERROR 状态
<a name="cannot-register-directory"></a>

如果您尝试注册已配置为用于多区域复制的 AWS 托管 Microsoft AD 目录，则可能会出现此问题。尽管可以成功注册主区域中的目录以供使用 Amazon WorkSpaces，但尝试在复制区域中注册该目录会失败。在复制的区域 WorkSpaces 内，亚马逊不支持使用 AWS 托管 Microsoft AD 进行多区域复制。

### 我的用户无法使用交互式登录横 WorkSpace 幅连接到 Windows
<a name="logon_banner"></a>

如果使用交互式登录消息来显示登录横幅，则会阻止用户访问他们的 Windows。 WorkSpaces PCoIP WorkSpaces 当前不支持交互式登录消息组策略设置。将移 WorkSpaces 至未应用**Interactive logon: Message text for users attempting to log on**组策略的组织单位 (OU)。DCV 支持登录消息 WorkSpaces，用户在接受登录横幅后必须重新登录。

### 我的用户无法连接到 Windows WorkSpace
<a name="gpo_security_user_rights"></a>

我的用户在尝试连接自己的 Windows 时收到以下错误 WorkSpaces：

```
"An error occurred while launching your WorkSpace. Please try again."
```

当 WorkSpace 无法使用 PCo IP 加载 Windows 桌面时，通常会发生此错误。请检查以下事项：
+ 如果适用于 Windows 的 PCo IP 标准代理服务未运行，则会显示此消息。[使用 RDP 进行连接](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)，以验证服务是否正在运行，是否设置为自动启动，以及是否可以通过管理界面 (eth0) 进行通信。
+ 如果 PCo IP 代理已卸载，请 WorkSpace 通过 Amazon WorkSpaces 控制台重启以自动重新安装。
+ 如果修改[WorkSpaces安全组](amazon-workspaces-security-groups.md)以限制出站流量，则长时间延迟后，您也可能会在 Amazon WorkSpaces 客户端上收到此错误。限制出站流量会阻止 Windows 与您的目录控制器通信而导致无法进行登录。确认您的安全组 WorkSpaces 允许您通过主网络接口与所有[必需端口](workspaces-port-requirements.md)上的目录控制器通信。

此错误的另一个原因与用户权限分配组策略有关。如果以下组策略配置不正确，则会阻止用户访问他们的 Windows WorkSpaces：

**Computer Configuration\$1Windows Settings\$1Security Settings\$1Local Policies\$1User Rights Assignment (计算机配置\$1Windows 设置\$1安全设置\$1本地策略\$1用户权限分配)**
+ **不正确的策略：**

  策略：**Access this computer from the network (从网络访问此计算机)**

  设置:*Domain name*\$1 域计算机

  获胜 GPO：允许文件访问
+ **正确的策略：**

  策略：**Access this computer from the network (从网络访问此计算机)**

  设置:*Domain name*\$1 域用户

  获胜 GPO：允许文件访问

**注意**  
此策略设置应该应用于 **Domain Users (域用户)** 而不是 **Domain Computers (域计算机)**。

有关更多信息，请参阅 Microsoft Windows 文档中的[从网络访问此计算机 - 安全策略设置](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network)和[配置安全策略设置](https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)。

### 我的用户在尝试 WorkSpaces 从 WorkSpaces Web Access 登录时遇到了问题
<a name="byol_logon_issues"></a>

Amazon WorkSpaces 依靠特定的登录屏幕配置来使用户能够成功地从 Web Access 客户端登录。

要使 Web Access 用户能够登录他们的 WorkSpaces，必须配置一个组策略设置和三个安全策略设置。如果这些设置配置不正确，则用户在尝试登录时可能会遇到登录时间过长或黑屏的情况 WorkSpaces。要配置这些设置，请参阅 [为 WorkSpaces 个人启用和配置 WorkSpaces Web 访问权限](web-access.md)。

**重要**  
从 2020 年 10 月 1 日起，客户将无法再使用亚马逊 WorkSpaces Web Access 客户端连接到 Windows 7 自定义版 WorkSpaces 或 Windows 7 自带许可证 (BYOL) WorkSpaces。

### 在返回登录屏幕之前，Amazon WorkSpaces 客户端会显示灰色的 “正在加载...” 屏幕一段时间。不显示其他错误消息。
<a name="loading_screen"></a>

此行为通常表示 WorkSpaces 客户端可以通过端口 443 进行身份验证，但无法通过端口 4172 (PCoIP) 或端口 4195 (DCV) 建立流媒体连接。当未满足[网络先决条件](workspaces-port-requirements.md)时，可能会发生此情况。客户端的问题通常导致客户端的网络检查失败。要查看哪些运行状况检查失败，请选择网络检查图标（通常是 2.0\$1 客户端登录屏幕右下角带有感叹号的红色三角形，或 3.0\$1 客户端右上角的网络图标 ![\[Network icon\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/images/network-icon.png)）。

**注意**  
此问题的最常见原因是客户端防火墙或代理阻止通过端口 4172 或 4195（TCP 和 UDP）进行访问。如果此运行状况检查失败，请检查您的本地防火墙设置。

如果网络检查通过，则的网络配置可能存在问题 WorkSpace。例如，Windows 防火墙规则可能会阻止管理界面上的端口 UDP 4172 或 4195。[ WorkSpace 使用远程桌面协议 (RDP) 客户端连接](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)到，以验证是否 WorkSpace 满足必要的[端口要求](workspaces-port-requirements.md)。

### 我的用户收到消息 “WorkSpace 状态：不健康。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”
<a name="unhealthy_cant_connect"></a>

此错误通常表示 SkyLightWorkSpacesConfigService 服务未响应运行状况检查。

如果您刚刚重新启动或启动 WorkSpace，请等待几分钟，然后重试。

如果 WorkSpace 已经运行了一段时间，但您仍然看到此错误，请[使用 RDP 进行连接](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)以验证该 SkyLightWorkSpacesConfigService 服务：
+ 正在运行。
+ 设置为自动启动。
+ 可以通过管理界面 (eth0) 进行通信。
+ 未被任何第三方防病毒软件阻止。

### 我的用户会收到消息 “此设备无权访问 WorkSpace. 请联系您的管理员寻求帮助。”
<a name="device_not_authorized"></a>

此错误表示可能发生以下情况之一：
+ [IP 访问控制组](amazon-workspaces-ip-access-control-groups.md)是在 WorkSpace 目录上配置的，但客户端 IP 地址未列入许可名单。

  检查您的目录上的设置。确认用户连接的公有 IP 地址允许访问 WorkSpace。
+ 在访问控制下，不允许将设备的操作系统作为可信设备，或者您的设备在使用**可信设备**选项时未安装正确的证书。通过执行以下操作，将您的设备类型添加为可信设备：

  1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

  1. 在导航窗格中，选择**目录**。

  1. 选择您要使用的目录。

  1. 向下滚动到**访问控制选项**，然后选择**编辑**。

  1. 在**可信设备**下，对于要允许访问的设备类型，在下拉列表中选择**全部允许**。如果要仅选择安装了客户端证书的设备，请选择**可信设备**。

  1. 如果您在上一步中选择了**可信设备**，请确保已导入至少一个根证书，并且已在客户端上安装了由根证书颁发机构（CA）颁发的客户端证书。有关创建、部署和导入根证书的更多信息，请参阅[将 WorkSpaces 个人版访问限定于受信任设备](trusted-devices.md)。

  1. 选择**保存**。
+ 您的设备类型未被授予访问权限 WorkSpaces。通过执行以下操作，授予对您的设备类型的访问权限：

  1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。

  1. 在导航窗格中，选择**目录**。

  1. 选择您要使用的目录。

  1. 向下滚动到**其他平台**，然后选择**编辑**。

  1. 从以下设备类型中选出您想要授予 WorkSpaces 访问权限的设备。
     + ChromeOS
     + iOS
     + Linux
     + Web Access
     + 零客户端

  1. 选择**保存**。



### 我的用户在尝试连接到 WSP WorkSpace 时收到消息 “无网络。网络连接中断。请检查网络连接 尝试连接 DCV 时 WorkSpace
<a name="no_network"></a>

如果出现此错误并且您的用户没有连接问题，请确保网络防火墙上已打开端口 4195。为了 WorkSpaces 使用 DCV，用于流式传输客户端会话的端口已从 4172 更改为 4195。

### WorkSpaces 客户端给我的用户带来了网络错误，但他们可以在自己的设备上使用其他支持网络的应用程序
<a name="network_error"></a>

 WorkSpaces 客户端应用程序依赖于对 AWS云端资源的访问，并且需要至少提供 1 Mbps 下载带宽的连接。如果设备间歇性地连接到网络，则 WorkSpaces 客户端应用程序可能会报告网络问题。

WorkSpaces 自 2018 年 5 月起，强制使用亚马逊信任服务颁发的数字证书。在 WorkSpaces 支持的操作系统上，Amazon Trust Services 已经是受信任的根 CA。如果操作系统的根 CA 列表不是最新的，则设备无法连接， WorkSpaces 并且客户端会出现网络错误。

**识别由于证书失败造成的连接问题**
+ PCoIP 零客户端-显示以下错误消息。

  ```
  Failed to connect. The server provided a certificate that is invalid. See below for details:
  - The supplied certificate is invalid due to timestamp
  - The supplied certificate is not rooted in the devices local certificate store
  ```
+ 其他客户端 - 运行状况检查失败，出现**互联网**红色警告三角形。

**Topics**
+ [Windows 客户端应用程序](#certificate-issues-windows)
+ [PCoIP 零客户端](#certificate-issues-zero-clients)
+ [其他客户端应用程序](#certificate-issues-other)

#### Windows 客户端应用程序
<a name="certificate-issues-windows"></a>

使用以下解决方案之一处理证书问题。

**解决方案 1：更新客户端应用程序**  
从 [https://clients.amazonworkspaces.com/](https://clients.amazonworkspaces.com/)下载并安装最新的 Windows 客户端应用程序。在安装过程中，客户端应用程序确保由 Amazon Trust Services 发布了您的操作系统信任证书。

**解决方案 2：将 Amazon Trust Services 添加到本地根 CA 列表**

1. 打开 [https://www.amazontrust.com/repository/](https://www.amazontrust.com/repository/)。

1. 下载 DER 格式的 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。

1. 打开 Microsoft 管理控制台。（从命令提示符中，运行 **mmc**。）

1. 依次选择**文件**、**添加/删除管理单元**、**证书**和**添加**。

1. 在**证书管理单元**页面上，选择**计算机账户**，然后选择**下一步**。保留默认值**本地计算机**。选择**结束**。选择**确定**。

1. 展开**证书 (本地计算机)**，然后选择**受信任的根证书颁发机构**。依次选择**操作**、**所有任务**和**导入**。

1. 按照向导的说明，导入下载的证书。

1. 退出并重新启动 WorkSpaces 客户端应用程序。

**解决方案 3：使用组策略部署 Amazon Trust Services 作为可信 CA**  
使用组策略将 Starfield 证书添加到该域的可信根目录 CAs 中。有关更多信息，请参阅[使用策略来分配证书](https://docs.microsoft.com/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772491(v=ws.11))。

#### PCoIP 零客户端
<a name="certificate-issues-zero-clients"></a>

要直接连接 WorkSpace 使用固件版本 6.0 或更高版本，请下载并安装亚马逊信任服务颁发的证书。

**添加 Amazon Trust Services 作为可信根 CA**

1. 打开 [https://certs.secureserver.net/repository/](https://certs.secureserver.net/repository/)。

1. 在 **Starfield Certificate Chain (Starfield 证书链)** 中下载具有指纹 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的证书。

1. 上传证书至 zero 客户端。有关更多信息，请参阅 Teradici 文档中的[上传证书](https://www.teradici.com/web-help/TER1504003/6.0/default.htm#05_Managing/04_UploadCertificate.htm)。

#### 其他客户端应用程序
<a name="certificate-issues-other"></a>

从 [Amazon Trust Services](https://www.amazontrust.com/repository/) 添加 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。有关如何添加根 CA 的更多信息，请参阅以下文档：
+ Android：[添加和删除证书](https://support.google.com/nexus/answer/2844832)
+ Chrome OS：[管理 Chrome 设备上的客户端证书](https://support.google.com/chrome/a/answer/6080885)
+ macOS 和 iOS：[在测试设备上安装 CA 根证书](https://developer.apple.com/library/content/qa/qa1948/_index.html#/apple_ref/doc/uid/DTS40017603-CH1-SECINSTALLING)

### 我的 WorkSpace 用户看到以下错误消息：“设备无法连接到注册服务。请检查网络设置。”
<a name="registration_service_failure"></a>

当注册服务出现故障时，您的 WorkSpace 用户可能会在 Connection Healt **h Check** 页面上看到以下错误消息：“您的设备无法连接到 WorkSpaces 注册服务。您将无法使用注册您的设备 WorkSpaces。请检查网络设置。”

当 WorkSpaces 客户端应用程序无法访问注册服务时，就会发生此错误。通常，当 WorkSpaces 目录被删除时，就会发生这种情况。要解决此错误，请确保注册码有效且与 AWS 云端的运行目录相对应。

### 我 PCo的 IP zero 客户端用户收到错误 “由于时间戳的原因，提供的证书无效”
<a name="pcoip_zero_client_ntp"></a>

如果未在 Teradici 中启用网络时间协议 (NTP)，则您 PCo的 IP 零客户端用户可能会收到证书失败错误。要设置 NTP，请参阅[为 WorkSpaces 个人版设置 PCoIP 零客户端](set-up-pcoip-zero-client.md)。

### USB 打印机和其他 USB 外围设备不适用于 PCo IP 零客户端
<a name="pcoip_zero_client_usb"></a>

从 PCo IP 代理的 20.10.4 版本开始，亚马逊默认 WorkSpaces 禁用通过 Windows 注册表进行的 USB 重定向。当您的用户使用 PCo IP 零客户端设备连接到 USB 外围设备时，此注册表设置会影响 USB 外围设备的行为 WorkSpaces。

 WorkSpaces 如果您使用的是 20.10.4 或更高版本 PCo的 IP 代理，则在启用 USB 重定向之前，USB 外围设备将无法与 PCo IP 零客户端设备配合使用。

**注意**  
如果您使用的是 32 位虚拟打印机驱动程序，则还必须将这些驱动程序更新到 64 位版本。

**为 PCo IP 零客户端设备启用 USB 重定向**

我们建议您 WorkSpaces 通过组策略将这些注册表更改推送到您的注册表中。有关更多信息，请参阅 Teradici 文档中的[配置代理](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/)和[可配置的设置](https://www.teradici.com/web-help/pcoip_agent/standard_agent/windows/20.10/admin-guide/configuring/configuring/#enabledisable-usb-in-the-pcoip-session)。

1. 将以下注册表项值设置为 1（已启用）：

   KeyPath = **HKEY\$1LOCAL\$1MACHINE\$1 SOFTWARE\$1 Policies\$1 Teradici\$1 IP\$1 pcoip\$1admin PCo**

   KeyName = **pcoip.enable\$1usb**

   KeyType = **DWORD**

   KeyValue = **1**

1. 将以下注册表项值设置为 1（已启用）：

   KeyPath = **HKEY\$1LOCAL\$1MACHINE\$1 软件\$1 Policies\$1 Teradici\$1 IP\$1 pcoip\$1admin\$1defaul** ts PCo

   KeyName = **pcoip.enable\$1usb**

   KeyType = **DWORD**

   KeyValue = **1**

1. 如果您尚未这样做，请注销 WorkSpace，然后重新登录。您的 USB 设备现在应该可以运行了。

### 我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程，并且没有收到安装最新版本的提示
<a name="client_update_skipped"></a>

当用户跳过对 Amazon WorkSpaces Windows 客户端应用程序的更新时，会设置**SkipThisVersion**注册表项，并且在新版本的客户端发布时不再提示他们更新客户端。要更新到最新版本，您可以按照《*亚马逊 WorkSpaces 用户指南*[》中将 WorkSpaces Windows 客户端应用程序更新到新版本](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup)中所述编辑注册表。您也可以运行以下 PowerShell 命令：

```
Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"
```

当用户跳过对 Amazon WorkSpaces macOS 客户端应用程序的更新时，会设置`SUSkippedVersion`首选项，并且在新版本的客户端发布时不再提示他们更新客户端。要更新到最新版本，您可以按照《*亚马逊 WorkSpaces 用户*指南[》中将 WorkSpaces macOS 客户端应用程序更新到新版本](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup)中所述重置此首选项。

### 我的用户无法在其 Chromebook 上安装 Android 客户端应用程序
<a name="install_android_chromebook"></a>

版本 2.4.13 是亚马逊 WorkSpaces Chromebook 客户端应用程序的最终版本。由于[谷歌正在逐步停止对Chrome应用程序的支持](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html)，因此Chro WorkSpaces mebook客户端应用程序将不会有进一步的更新，也不支持其使用。

对于[支持安装安卓应用程序的 Chromeb](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps) ook，我们建议改用[ WorkSpaces 安卓客户端应用程序](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html)。

在某些情况下，您可能需要启用用户的 Chromebook 以安装 Android 应用程序。有关更多信息，请参阅 [为 WorkSpaces 个人版 Chromebook 设置 Android](set-up-android-chromebook.md)。

### 我的用户没有收到邀请电子邮件或密码重置电子邮件
<a name="welcome_emails"></a>

用户不会自动收到使用 AD Connector WorkSpaces 或可信域创建的欢迎电子邮件或密码重置电子邮件。如果用户已经位于 Active Directory 中，系统也不会自动发送邀请电子邮件。

要手动向这些用户发送欢迎电子邮件，请参阅 [发送邀请电子邮件](manage-workspaces-users.md#send-invitation)。

要重置用户密码，请参阅[为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

### 我的用户在客户端登录屏幕上看不到“忘记密码？”选项
<a name="forgot_password"></a>

如果您使用的是 AD Connector 或受信任域，则您的用户将无法重置自己的密码。（**忘记密码？** WorkSpaces 客户端应用程序登录屏幕上的选项将不可用。） 有关如何重置用户密码的信息，请参阅[为 WorkSpaces 个人设置 Active Directory 管理工具](directory_administration.md)。

### 当我尝试在 Windows 上安装应用程序时，我收到 “系统管理员已设置策略来阻止此安装” 的消息 WorkSpace
<a name="msi_wont_install"></a>

您可以通过修改 Windows 安装程序组策略设置来解决此问题。要将此策略部署到目录 WorkSpaces 中的多个，请将此设置应用于从已加入域的 EC2 实例链接到 WorkSpaces 组织单位 (OU) 的组策略对象。如果您使用 AD Connector，则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息，请参阅《AWS Directory Service 管理指南》**中的[安装 Active Directory 管理工具](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html)。

以下过程说明如何为 WorkSpaces 组策略对象配置 Windows 安装程序设置。

1. 确保您的域中安装了最新的 [WorkSpaces 组策略管理模板](group_policy.md#gp_install_template)。

1. 在 Windows WorkSpace 客户端上打开组策略管理工具，导航到 WorkSpaces 计算机帐户的 WorkSpaces 组策略对象并将其选中。从主菜单中，依次选择 **Action (操作)** 和 **Edit (编辑)**。

1. 在组策略管理编辑器中，依次选择**计算机配置**、**策略**、**管理模板**、**经典管理模板**、**Windows 组件**、**Windows 安装程序**。

1. 打开 **Turn Off Windows Installer (关闭 Windows 安装程序)** 设置。

1. 在 **Turn Off Windows Installer (关闭 Windows 安装程序)** 对话框中，将 **Not Configured (未配置)** 更改为 **Enabled (已启用)**，然后将 **Disable Windows Installer (禁用 Windows 安装程序)** 设置为 **Never (从不)**。

1. 选择**确定**。

1. 要应用组策略更改，请执行下列操作之一：
   + 重新启动 WorkSpace （在 WorkSpaces 控制台中，选择 WorkSpace，然后选择**操作**，**重新启动 WorkSpaces**）。
   + 从管理命令提示符下，输入 **gpupdate /force**。

### 我的目录 WorkSpaces 中没有可以连接到互联网
<a name="no_internet"></a>

WorkSpaces 默认情况下无法与互联网通信。您必须显式提供互联网访问。有关更多信息，请参阅 [为 WorkSpaces 个人版提供互联网访问权限](amazon-workspaces-internet-access.md)。

### 我的 WorkSpace 已经失去了互联网接入
<a name="lost_internet_access"></a>

如果您无法访问互联网，并且无法[使用 RDP 连接到](https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/)互联网，则此问题可能是由于的公有 IP 地址丢失所致。 WorkSpace WorkSpace WorkSpace如果您在目录级别[启用了弹性 IP 地址的自动分配](automatic-assignment.md)，则会在启动[弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)（来自亚马逊提供的地址池） WorkSpace 时分配给您。但是，如果您将自己拥有的弹性 IP 地址关联到 WorkSpace，然后又将该弹性 IP 地址与解除关联 WorkSpace，则该弹性 IP 地址将 WorkSpace 丢失其公有 IP 地址，并且不会自动从亚马逊提供的池中获取新的 IP 地址。

要将亚马逊提供的资源池中的新公有 IP 地址与相关联 WorkSpace，您必须[重新构建](rebuild-workspace.md)。 WorkSpace如果您不想重建 WorkSpace，则必须将您拥有的另一个弹性 IP 地址与关联起来 WorkSpace。

我们建议您不要在启动 WorkSpace后修改的 elastic network 接口。 WorkSpace 将弹性 IP 地址分配给后 WorkSpace， WorkSpace 会保留相同的公有 IP 地址（除非重建，在这种情况下，它将获得新的公有 IP 地址）。 WorkSpace 

### 当我尝试连接我的本地目录时收到一条“DNS unavailable”错误
<a name="dns_unavailable"></a>

在连接您的本地目录时，您收到类似于以下内容的错误消息。

```
DNS unavailable (TCP port 53) for IP: dns-ip-address
```

AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。

### 在尝试连接到我的本地目录时，我收到一条“Connectivity issues detected”错误
<a name="connectivity_issues_detected"></a>

在连接您的本地目录时，您收到类似于以下内容的错误消息。

```
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
Please ensure that the listed ports are available and retry the operation.
```

AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信：
+ 88 (Kerberos)
+ 389 (LDAP)

### 在尝试连接到我的本地目录时，我收到一条“SRV record”错误
<a name="srv_record_not_found"></a>

在连接您的本地目录时，您收到类似于以下一项或多项内容的错误消息。

```
SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address
```

在连接您的目录时，AD Connector 需要获取 `_ldap._tcp.dns-domain-name` 和 `_kerberos._tcp.dns-domain-name` SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录，则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息，请参阅 Microsoft TechNet 上的 [SRV 资源记录](https://technet.microsoft.com/en-us/library/cc961719.aspx)。

### 我的 Windows 闲置时会 WorkSpace 进入睡眠状态
<a name="windows_workspace_sleeps_when_idle"></a>

要解决此问题，请使用以下步骤连接到 WorkSpace 并将电源计划更改为 “**高性能**”：

1. 从中 WorkSpace打开 “**控制面板”**，然后选择 “**硬件**” 或 “**硬件和声音**”（名称可能会有所不同，具体取决于你的 Windows 版本）。

1. 在 **Power Options (电源选项)** 下，选择 **Choose a power plan (选择电源计划)**。

1. 在**选择或自定义电源计划**窗格中，选择**高性能**电源计划，然后选择**更改计划设置**。
   + 如果**高性能**电源计划选项被禁用，请选择**更改当前不可用的设置**，然后选择**高性能**电源计划。
   + 如果看不到**高性能**计划，请选择**显示其他计划**右侧的箭头以显示它，或者在左侧导航栏中选择**创建电源计划**，选择**高性能**，为电源计划命名，然后选择**下一步**。

1. 在**更改计划的设置: 高性能**页面上，确保将**关闭显示屏**和（如果可用）**将计算机置于睡眠状态**设置为**从不**。

1. 如果您对高性能计划进行了任何更改，请选择**保存更改**（或选择**创建**，如果要创建新计划的话）。

如果上述步骤无法解决该问题，请执行以下操作：

1. 从中 WorkSpace打开 “**控制面板”**，然后选择 “**硬件**” 或 “**硬件和声音**”（名称可能会有所不同，具体取决于你的 Windows 版本）。

1. 在 **Power Options (电源选项)** 下，选择 **Choose a power plan (选择电源计划)**。

1. 在**选择或自定义电源计划**窗格中，选择**高性能**电源计划右侧的**更改计划设置**链接，然后选择**更改高级电源设置**链接。

1. 在 **Power Options (高级选项)** 对话框中的设置列表中，选择 **Hard disk (硬盘)** 左侧的加号以显示相关设置。

1. 验证 **Plugged in (已插入)** 的 **Turn off hard disk after (在多长时间后关闭硬盘)** 值是否大于 **On battery (使用电池)** 的值（默认值为 20 分钟）。

1. 选择 **PCI Express** 左侧的加号，然后为 **Link State Power Management (链路状态电源管理)** 执行相同的操作。

1. 验证 **Link State Power Management (链路状态电源管理)** 设置是否为 **Off (关闭)**。

1. 选择 **OK (确定)**（如果您更改了任何设置，则选择 **Apply (应用)**）以关闭对话框。

1. 在 **Change settings for the plan (更改计划的设置)** 窗格中，如果您更改了任何设置，请选择 **Save changes (保存更改)**。

### 我的其中 WorkSpaces 一个状态为 `UNHEALTHY`
<a name="unhealthy"></a>

该 WorkSpaces 服务会定期向 a 发送状态请求 WorkSpace。A WorkSpace 在无法响应这些请求`UNHEALTHY`时会被标记。导致此问题的常见原因包括：
+ 上的应用程序 WorkSpace 正在阻塞网络端口，这使无法响应状态请求。 WorkSpace 
+ CPU 使用率过高导致无法及时响应状态请求。 WorkSpace 
+ 的计算机名称 WorkSpace 已更改。这可以防止在 WorkSpaces 和之间建立安全通道 WorkSpace。

您可以尝试使用以下方法来纠正这种状况：
+  WorkSpace 从 WorkSpaces 控制台重新启动。
+  WorkSpace 使用以下步骤连接到运行状况不佳的服务器，该步骤应仅用于故障排除：

  1. Connect 连接到与运行状况不佳 WorkSpace者位于同一目录 WorkSpace 中的操作服务器。

  1. 从操作开始 WorkSpace，使用远程桌面协议 (RDP)， WorkSpace 使用不健康用户的 IP 地址连接到运行状况不佳的服务器。 WorkSpace根据问题的严重程度，您可能无法连接到不健康的服务器 WorkSpace。

  1. 如果运行状况不 WorkSpace佳，请确认满足最低[端口要求](workspaces-port-requirements.md)。
+ 确保 SkyLightWorkSpacesConfigService 服务可以响应运行状况检查。要排查此问题，请参阅[我的用户收到消息 “WorkSpace 状态：不健康。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”](#unhealthy_cant_connect)。
+  WorkSpace 从 WorkSpaces 控制台重建。由于重建 WorkSpace 可能会导致数据丢失，因此只有在所有其他更正问题的尝试均未成功的情况下，才应使用此选项。

### 我的 WorkSpace 意外崩溃或重启
<a name="crash_web_access"></a>

如果您的 PCo IP WorkSpace 配置反复崩溃或重新启动，并且错误日志或崩溃转储指向`spacedeskHookKmode.sys`或有问题`spacedeskHookUmode.dll`，或者如果您收到以下错误消息，则可能需要禁用 Web 访问权限： WorkSpace

```
The kernel power manager has initiated a shutdown transition.
Shutdown reason: Kernel API
```

```
The computer has rebooted from a bugcheck.
```

**注意**  
这些故障排除步骤不适用于为 WorkSpaces DCV 配置的步骤。它们仅适用于为 WorkSpaces PCo IP 配置的。
仅当您不允许用户使用 Web 访问时，才应禁用 Web 访问。

要禁用对的 Web 访问 WorkSpace，必须禁用 WorkSpaces 目录中的 Web 访问并重新启动 WorkSpace。

### 同一个用户名有多个用户名 WorkSpace，但用户只能登录其中一个 WorkSpaces
<a name="multiple_workspaces_same_username"></a>

如果您在 Active Directory (AD) 中删除用户而不先将其删除， WorkSpace 然后将该用户添加回 Active Directory WorkSpace 并为该用户创建一个新用户，那么同一个用户名现在将在同一个目录 WorkSpaces 中包含两个用户名。但是，如果用户尝试连接到其原始设备 WorkSpace，他们将收到以下错误：

```
"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."
```

此外，在 Amazon WorkSpaces 控制台中搜索用户名时只会返回新的用户名 WorkSpace，尽管两者 WorkSpaces 仍然存在。（您可以 WorkSpace 通过搜索 WorkSpace ID 而不是用户名来找到原件。）

如果您在 Active Directory 中重命名用户而不先将其删除，也会发生这种情况 WorkSpace。如果您随后将他们的用户名改回原来的用户名 WorkSpace 并为该用户创建一个新的用户名，则同一个用户名将在目录 WorkSpaces 中包含两个用户名。

出现此问题的原因是 Active Directory 使用用户的安全标识符 (SID)（而不是用户名）以唯一标识用户。当删除某个用户并在 Active Directory 中重新创建此用户时，即使用户的用户名保持不变，也会为该用户分配一个新的 SID。在搜索用户名的过程中，Amazon WorkSpaces 控制台使用 SID 在 Active Directory 中搜索匹配项。当用户连接时，Amazon WorkSpaces 客户端还使用 SID 来识别用户 WorkSpaces。

要解决此问题，请执行下列操作之一：
+ 如果由于在 Active Directory 中删除了用户并在其中重新创建了该用户而发生了此问题，并且[在 Active Directory 中启用了回收站功能](https://docs.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-)，则您可能能够还原原始的已删除的用户对象。如果您能够恢复原始用户对象，请确保该用户可以连接到其原始对象 WorkSpace。如果可以，您可以在手动备份并将任何用户数据从[新数据传输 WorkSpace 到原始数据 WorkSpace （如果需要） WorkSpace后删除](delete-workspaces.md)新数据。
+ 如果您无法恢复原始用户对象，[请删除该用户的原始](delete-workspaces.md)对象 WorkSpace。用户应该能够连接并使用他们的新 WorkSpace 版本。请务必手动备份并将所有用户数据从原始数据传输 WorkSpace 到新数据 WorkSpace。
**警告**  
删除 WorkSpace 是一项永久性操作，无法撤消。 WorkSpace 用户的数据不会持续存在并被销毁。要获取有关备份用户数据的帮助，请联系 AWS Support。

### 我在亚马逊上使用 Docker 时遇到了问题 WorkSpaces
<a name="docker_support"></a>

**窗户 WorkSpaces**  
Windows WorkSpaces 不支持嵌套虚拟化（包括使用 Docker）。有关更多信息，请参阅 [Docker 文档](https://docs.docker.com/docker-for-windows/troubleshoot/#running-docker-desktop-in-nested-virtualization-scenarios)。

**Linu WorkSpaces**  
要在 Linux 上使用 Docker WorkSpaces，请确保 Docker 使用的 CIDR 块不与与关联的两个弹性网络接口 (ENIs) 中使用的 CIDR 块重叠。 WorkSpace如果你在 Linux 上使用 Docker 时遇到问题 WorkSpaces，请联系 Docker 寻求帮助。

### 我的一些 API 调用收到了 ThrottlingException 错误
<a name="throttled-api-calls"></a>

 WorkSpaces API 调用的默认允许速率为每秒两次 API 调用的恒定速率，允许的最大 “突发” 速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。


| 秒 | 发送的请求数 | 允许的 Net 请求数 | Details | 
| --- | --- | --- | --- | 
|  1  |  0  |  5  |  第一秒（第 1 秒）内允许发出五个请求，最高突发速率为每秒五次调用。  | 
|  2  |  2  |  5  |  由于在第 1 秒中发出的调用未超过两次，所以五次调用的完整突发容量仍然可用。  | 
|  3  |  5  |  5  |  由于在第 2 秒中发出的调用只有两次，所以五次调用的完整突发容量仍然可用。  | 
|  4  |  2  |  2  |  因为在第 3 秒中使用了完整突发容量，所以只有每秒两次调用这一恒定速率可用。  | 
|  5  |  3  |  2  |  由于没有剩余的突发容量，此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后，受到限制的调用将发出响应。  | 
|  6  |  0  |  1  |  由于第 5 秒中的某次调用在第 6 秒中进行了重试，因此，根据每秒两次调用的恒定速率限制，第 6 秒中仅剩余一次额外调用的容量。  | 
|  7  |  0  |  3  |  现在，队列中不再有任何受限制的 API 调用，速率限制继续增加，直至达到五次调用的突发速率限制。  | 
|  8  |  0  |  5  |  由于在第 7 秒内没有发出调用，因此允许发送最大数量的请求。  | 
|  9  |  0  |  5  |  即使在第 8 秒没有发出任何调用，速率限制也不会增加到五次以上。  | 

### 当我 WorkSpace 让它在后台运行时，我的连接一直处于断开状态
<a name="workspaces-disconnecting"></a>

对于 Mac 用户，请查看 Power Nap 功能是否已开启。如果它处于开启状态，请将其关闭。要关闭 Power Nap，请打开终端并运行以下命令：

```
defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES
```

### SAML 2.0 联合身份验证不起作用。我的用户无权直播其 WorkSpaces 桌面。
<a name="saml-federation-not-working"></a>

出现此问题的原因可能是为 SAML 2.0 联合身份验证 IAM 角色嵌入的内联策略不包含从目录 Amazon 资源名称 (ARN) 进行流式传输的权限。IAM 角色由正在访问 WorkSpaces 目录的联合用户担任。编辑角色权限以包含目录 ARN，并确保用户在目录 WorkSpace 中有。有关更多信息，请参阅 [SAML 2.0 身份验证和使用](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html) S [AML 2.0 联合进行故障排除](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)。 AWS

### 我的用户每 60 分钟就会断开一次 WorkSpaces 会话连接。
<a name="disconnected-workspace"></a>

如果您已将 SAML 2.0 身份验证配置为 WorkSpaces，则可能需要配置 IdP 在身份验证响应中作为 SAML 属性 AWS 传递的信息，具体取决于您的身份提供商 (IdP)。这包括配置 **Attribute (属性)** 元素，并将 `SessionDuration` 属性设置为 `https://aws.amazon.com/SAML/Attributes/SessionDuration`。

`SessionDuration` 指定用户的联合流会话在需要重新进行身份验证之前可保持活动状态的最长时间。虽然 `SessionDuration` 是可选属性，但建议您将它包含在 SAML 身份验证响应中。如果您未指定此属性，则会话持续时间将默认为 60 分钟。

要解决此问题，请配置 IdP 以在 SAML 身份验证响应中包含 `SessionDuration` 值，并根据需要设置该值。有关更多信息，请参阅[步骤 5：为 SAML 身份验证响应创建断言](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth)。

### 我的用户在使用 SAML 2.0 身份提供商 (IdP) 启动的流程进行联合时会收到重定向 URI 错误，或者我的用户在联合到 IdP 后每次尝试从 WorkSpaces 客户端登录时，都会启动客户端应用程序的另一个实例。
<a name="invalid-redirect-uri"></a>

出现此错误的原因是中继状态 URL 无效。确保您的 IdP 联合设置中的中继状态正确，并且在目录属性中为 IdP 联合身份验证正确配置了用户访问 URL 和中继状态参数名称。 WorkSpaces 如果它们有效但问题仍然存在，请联系 Su AWS pport。有关更多信息，请参阅[设置 SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml)。

### 我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时，他们会收到一条消息：“出了点问题：启动你的应用程序时出错 WorkSpace”。
<a name="federating-error-message"></a>

查看适用于联合身份验证的 SAML 2.0 断言。**SAML Subject NameID** 值必须与用户名匹配 WorkSpaces ，并且通常与 Active Direct **or AMAccount y** 用户的 “名称” 属性相同。此外，**属性**设置为的`PrincipalTag:Email`属性元素`https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`必须与 WorkSpaces 目录中定义的 WorkSpaces 用户的电子邮件地址相匹配。有关更多信息，请参阅[设置 SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml)。

### 我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时会收到 “无法验证标签” 的消息。
<a name="unable-to-validate-tags"></a>

查看联合身份验证的 SAML 2.0 断言中的 `PrincipalTag` 属性值，例如 `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`。标签值可能包括字符 `_ . : / = + - @`、字母、数字和空格的组合。有关更多信息，请参阅 [IAM 中的标签规则和。 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)

### 我的用户会收到消息“客户端和服务器无法通信，因为它们没有共同的算法”。
<a name="no-common-algorithm"></a>

如果您未启用 TLS 1.2，则可能会出现此问题。

### 我的麦克风或网络摄像头无法在 Windows 上运行 WorkSpaces。
<a name="microphone-not-working"></a>

打开“开始”菜单，查看您的隐私设置
+ **开始** > **设置** > **隐私** > **相机**
+ **开始** > **设置** > **隐私** > **麦克风**

如果它们已关闭，请将其打开。

或者， WorkSpaces 管理员可以根据需要创建组策略对象 (GPO) 来启用麦克风和/或网络摄像头。

### 我的用户无法使用基于证书的身份验证登录，当他们连接到桌面会话时，系统会在 WorkSpaces 客户端或 Windows 登录屏幕上提示他们输入密码。
<a name="cert-based-auth-troubleshooting"></a>

会话基于证书的身份验证失败。如果问题仍然存在，则基于证书的身份验证失败可能是由以下问题之一导致的：
+ 不支持 WorkSpaces 或客户端。使用最新 WorkSpaces 的 Windows 客户端应用程序的 DCV 捆绑包 WorkSpaces 上的 Windows 支持基于证书的身份验证。
+ 在 WorkSpaces 目录上启用基于证书的身份验证后，需要重新启动。 WorkSpaces 
+ WorkSpaces 无法与 AWS 私有 CA证书通信或 AWS 私有 CA 未颁发证书。检查 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) 以确定是否已颁发证书。有关更多信息，请参阅 [管理基于证书的身份验证](certificate-based-authentication.md#manage-cert-based-auth)。
+ 域控制器没有用于智能卡登录的域控制器证书，或者该证书已过期。有关更多信息，请参阅[先决条件](certificate-based-authentication.md#cert-based-auth-prerequesites)中的步骤 7，“*使用域控制器证书配置域控制器以对智能卡用户进行身份验证*”。
+ 该证书不可信。有关更多信息，请参阅[先决条件](certificate-based-authentication.md#cert-based-auth-prerequesites)中的步骤 7，“*将 CA 发布到 Active Directory*”。在域控制器上运行 `certutil –viewstore –enterprise NTAuth` 以确认 CA 已发布。
+ 缓存中有一个证书，但是该用户的属性已更改，从而使该证书失效。在证书 支持 到期（24 小时）之前，请联系以清除缓存。有关更多信息，请参阅 [支持 中心](https://console.aws.amazon.com/support/home#/)。
+ `UserPrincipalName`SAML 属性的格式格式不正确或无法解析为用户的实际域。 userPrincipalName 有关更多信息，请参阅[先决条件](certificate-based-authentication.md#cert-based-auth-prerequesites)中的步骤 1。
+ 您的 SAML 断言中的（可选）`ObjectSid` 属性与 SAML\$1Subject `NameID` 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配。确认您的 SAML 联合身份验证中的属性映射是正确的，并且您的 SAML 身份提供者正在同步 Active Directory 用户的 SID 属性。
+ 有些组策略设置会修改智能卡登录的默认 Active Directory 设置，或者在从智能卡读卡器中移除智能卡时执行操作。除了上面列出的错误之外，这些设置还可能会导致其他意外行为。基于证书的身份验证向实例操作系统提供虚拟智能卡，并在登录完成后将其删除。检查[智能卡的主组策略设置](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#primary-group-policy-settings-for-smart-cards)以及[其他智能卡组策略设置和注册表项](https://learn.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-group-policy-and-registry-settings#additional-smart-card-group-policy-settings-and-registry-keys)，包括智能卡删除行为。
+ 私有 CA 的 CRL 分发点不在线，也无法从 WorkSpaces 或域控制器访问。有关更多信息，请参阅[先决条件](certificate-based-authentication.md#cert-based-auth-prerequesites)中的步骤 5。
+ 要检查域或林 CAs 中是否存在任何陈旧内容，请在 CA `PKIVIEW.msc` 上运行以进行验证。如果有陈旧的 CAs，请使用 `PKIVIEW.msc` mmc 手动将其删除。
+ 要检查 Active Directory 复制是否正常以及域中是否存在过时的域控制器，请运行 `repadmin /replsum`。

其他故障排除步骤包括查看 WorkSpaces 实例 Windows 事件日志。要检查登录失败的常见事件是 Windows 安全日志中的[事件 4625：登录账户失败](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625)。

如果问题仍然存在，请与联系 支持。有关更多信息，请参阅 [支持 中心](https://console.aws.amazon.com/support/home#/)。

### 我正在尝试做一些需要 Windows 安装介质但 WorkSpaces 不提供安装介质的事情。
<a name="install-media-troubleshooting"></a>

 如果您使用的是 AWS提供的公共捆绑包，则可以在需要时使用 Amazon EC2 提供的 Windows 服务器操作系统安装媒体 EBS 快照。

 根据这些快照创建 EBS 卷，将其附加到 Amazon EC2，然后根据需要将文件传输到文件 WorkSpace 所在的位置。如果你在 BYOL 上使用 Windows 10 WorkSpaces 并且需要安装媒体，则需要准备自己的安装媒体。有关更多信息，请参阅[使用安装介质添加 Windows 组件](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/windows-optional-components.html#adding-windows-components-console)。由于您无法将 EBS 卷直接连接到 WorkSpace，因此您需要将其连接到 Amazon EC2 实例并复制文件。

### 我想 WorkSpaces 使用在不支持的 WorkSpaces 地区创建的现有 AWS 托管目录启动。
<a name="unsupported-regions-troubleshooting"></a>

要 WorkSpaces 使用当前不支持的地区的目录启动 Amazon WorkSpaces，请按照以下步骤操作。

**注意**  
如果您在运行 AWS Command Line Interface 命令时收到错误，请确保您使用的是最新 AWS CLI 版本。有关更多信息，请参阅[确认您运行的是最新版 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html#general-latest)。

#### 步骤 1：创建与您账户中另一个 VPC 的虚拟私有云 (VPC) 对等连接
<a name="w2aac11c37b7c93b7"></a>

1. 创建与不同区域内的 VPC 之间的 VPC 对等连接。有关更多信息，请参阅[使用 VPCs 同一账户和不同区域进行创建](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html#same-account-different-region)。

1. 接受 VPC 对等连接。有关更多信息，请参阅[接受 VPC 对等连接](https://docs.aws.amazon.com/vpc/latest/peering/accept-vpc-peering-connection.html)。

1. 激活 VPC 对等连接后，您可以使用 Amazon VPC 控制台 AWS CLI、或 API 查看您的 VPC 对等连接。

#### 步骤 2：更新两个区域中 VPC 对等连接的路由表
<a name="w2aac11c37b7c93b9"></a>

 更新您的路由表以开启通过 IPv4 或与对等 VPC 的通信 IPv6。有关更多信息，请参阅[为 VPC 对等连接更新路由表](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-routing.html)。

#### 第 3 步：创建 AD Connector 并注册亚马逊 WorkSpaces
<a name="w2aac11c37b7c93c11"></a>

1.  要查看 AD Connector 先决条件，请参阅 [AD Connector 先决条件](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)。

1.  通过 AD Connector 连接现有目录。有关更多信息，请参阅[创建 AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_ad_connector.html)。

1. 当 AD Connector 状态更改为**活动**时，打开 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservice)，然后为您的**目录 ID** 选择超链接。

1. 对于 AWS 应用程序和服务，请选择 **Amazon WorkSpaces** 以开启对该目录的 WorkSpaces 访问权限。

1. 向注册目录 WorkSpaces。有关更多信息，请参阅[向注册目录 WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/register-deregister-directory.html)。

### 我想在 Amazon Linux 2 上更新 Firefox。
<a name="firefox_al2"></a>

#### 步骤 1：检查自动更新是否已启用
<a name="w2aac11c37b7c95b3"></a>

要验证是否已启用自动更新，请在上运行命令`systemctl status *os-update-mgmt.timer | grep enabled`。 WorkSpace在输出中，应该有两行显示有 `enabled` 字样。

#### 步骤 2：启动更新
<a name="w2aac11c37b7c95b5"></a>

Firefox 通常会在维护时段内自动更新 Amazon Linux 2 WorkSpaces 以及系统中的所有其他软件包。但是，这取决于 WorkSpaces 您使用的类型。
+ 因为 AlwaysOn WorkSpaces，每周维护时段为星期日 00:00 到 04h00，所在时区为。 WorkSpace
+ 对于 AutoStop WorkSpaces. 从每月的第三个星期一开始，在长达两周的时间内，维护窗口的开放时间为每天大约 00:00 到 05h00，与该地区的时区相同。 AWS WorkSpace

有关维护时段的更多信息，请参阅[ WorkSpace 维护](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html)。

您也可以通过重启 WorkSpace并在 15 分钟后重新连接来启动即时更新周期。您也可以通过输入 `sudo yum update` 来启动更新。要启动仅适用于 Firefox 的更新，请输入 `sudo yum install firefox`。

 如果您无法配置对 Amazon Linux 2 存储库的访问权，并且更喜欢使用 Mozilla 构建的二进制文件安装 Firefox，请参阅 Mozilla 支持页面上的[从 Mozilla 版本安装 Firefox](https://support.mozilla.org/en-US/kb/install-firefox-linux#w_install-firefox-from-mozilla-builds)。建议完全卸载 RPM 打包版本的 Firefox，以确保您不会错误地运行过时的版本。您可以通过运行命令 `sudo yum remove firefox` 将其卸载。

您也可以通过在另一台计算机上运行命令 `yumdownloader firefox`，从 Amazon Linux 2 存储库下载所需的 RPM 软件包。然后，将存储库侧加载到 WorkSpaces，在那里你可以使用类似`sudo yum install firefox-102.11.0-2.amzn2.0.1.x86_64.rpm`的标准`YUM`命令来安装它们。

**注意**  
确切的文件名将根据软件包版本而变化。

#### 步骤 3：验证 Firefox 存储库是否已使用
<a name="w2aac11c37b7c95b7"></a>

亚马逊 Linux Extras 会自动为亚马逊 Linux 2 WorkSpaces 提供 Firefox 更新。2023 年 7 月 31 日之后 WorkSpaces 创建的亚马逊 Linux 2 已经激活 Firefox Extra 存储库。要验证您是否 WorkSpace 正在使用 Firefox Extra 存储库，请运行以下命令。

```
yum repolist | grep amzn2extra-firefox
```

如果使用了 Firefox Extra 存储库，则命令输出应类似于 `amzn2extra-firefox/2/x86_64 Amazon Extras repo for firefox 10`。如果未使用 Firefox Extra 存储库，则它将为空。如果未使用 Firefox Extra 存储库，您可以尝试使用以下命令手动启用它：

```
sudo amazon-linux-extras install firefox
```

如果 Firefox Extra 存储库激活仍然失败，请检查您的互联网访问并确保您的 VPC 端点未配置。要继续 WorkSpaces 通过 YUM 存储库接收亚马逊 Linux 2 的 Firefox 更新，请确保 WorkSpaces 您能够访问亚马逊 Linux 2 存储库。有关在不访问互联网的情况下访问 Amazon Linux 2 存储库的更多信息，请参阅[这篇知识中心文章](https://repost.aws/knowledge-center/ec2-al1-al2-update-yum-without-internet)。

### 我的用户可以使用 WorkSpaces 客户端重置密码，而忽略上配置的细粒度密码策略 (FFGP) 设置。 AWS Managed Microsoft AD
<a name="password-setting-mad"></a>

如果您的用户的 WorkSpaces 客户端与关联 AWS Managed Microsoft AD，则他们必须使用默认的复杂性设置重置密码。

 此默认复杂度密码区分大小写，且长度必须介于 8 到 64 个字符之间。该密码必须包含下列每种类别中的至少一个字符：
+ 小写字符 (a-z)
+ 大写字符 (A-Z)
+ 数字 (0-9)
+ 非字母数字字符 (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)

确保该密码不包含不可打印的 unicode 字符，例如空格、回车符、换行符和空字符。

如果您的组织要求您强制执行 FFGP WorkSpaces，请联系您的 Active Directory 管理员，直接从 Active Directory（而非 WorkSpaces 客户端）重置用户的密码。

### 我的用户在尝试 Windows/Linux WorkSpace 使用 Web Acces OS/platform s 访问时收到错误消息 WorkSpace “这无权访问你的”
<a name="os-authorized-access"></a>

您的用户尝试使用的操作系统版本与 WorkSpaces Web Access 不兼容。确保在 WorkSpace 目录的 “**其他平台**” 设置下启用 Web Access。有关启用您 WorkSpace的 Web 访问权限的更多信息，请参阅[为 WorkSpaces 个人启用和配置 WorkSpaces Web 访问权限](web-access.md)。

### 我的用户在连接到 WorkSpace 处于停止状态的用户后显示 AutoStop WorkSpace 为运行状况不佳
<a name="autostop-unhealthy"></a>

您的用户可能正在使用已知会在从休眠状态恢复时导致网络接口问题的软件。例如，如果安装 WorkSpace 了 NPCAP 1.1 应用程序，请更新到 1.2 或更高版本以解决此问题。

### 登录后，Gnome 在 WorkSpaces Ubuntu 捆绑包上崩溃
<a name="gnome-crashes-ubuntu"></a>

如果使用`ubuntu`用户名启动， WorkSpace 则会与默认存在的`ubuntu`用户发生冲突。这将导致 Gnome 崩溃，并可能引发其他性能下降问题。为避免出现此问题，请在配置 Ubuntu WorkSpaces 时不要指定`ubuntu`用户名。

# 个人版中的 WorkSpaces DCV 主机代理版本
<a name="workspaces-release-notes"></a>

DCV 主机代理是在您的 WorkSpace内部运行的主机代理。它将你的像素流式传输 WorkSpace 到客户端应用程序，并包括会话中的功能，例如双向音频和视频以及打印。有关 DCV 的更多信息，请参阅 [Amazon WorkSpaces 协议。](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html)

建议将您的主机代理软件更新为最新版本。您可以手动重启 WorkSpaces 以更新 DCV 主机代理。DCV Host Agent 还会在常规 WorkSpaces 默认维护时段内自动更新。有关维护时段的更多信息，请参阅[WorkSpace 维护](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html)。其中一些功能需要最新的 WorkSpaces 客户端版本。有关最新客户端版本的更多信息，请参阅[WorkSpaces 客户端](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html)。



下表描述了 Personal 版 DCV 主机代理的每个版本的 WorkSpaces 变化。


| 发布版本 | 日期 | 更改 | 
| --- | --- | --- | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2026年1月26日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 10 月 1 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 8 月 30 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 7 月 7 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 5 月 1 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 4 月 10 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2025 年 3 月 19 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 11 月 19 日 | 缺陷修复和性能改进。 | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 10 月 31 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 8 月 19 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 7 月 29 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 5 月 15 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 2 月 29 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 2 月 22 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2024 年 1 月 11 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 11 月 16 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 10 月 13 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 8 月 18 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 6 月 30 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 6 月 8 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 5 月 16 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 2023 年 5 月 8 日 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/workspaces-release-notes.html)  | 



**注意**  
有关如何检查主机代理版本的信息，请参阅[最新版本的 DCV 支持哪些客户端和主机操作系统？](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20What%20client%20and%20host%20operating%20systems%20are%20supported%20by%20the%20latest%20version%20of%20WSP%3F)。
有关如何更新主机代理版本的信息，请参阅[如果我已经有 DCV WorkSpace，如何更新](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20If%20I%20already%20have%20a%20WSP%20WorkSpace%2C%20how%20do%20I%20update%20it%3F)？ 。
有关 DCV macOS 客户端版本发行说明，[请参阅《用户指南](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx-release-notes)》中 WorkSpaces macOS 客户端应用程序部分的发行说明。 WorkSpaces 
有关 DCV Windows 客户端版本发行说明，请参阅《 WorkSpaces 用户指南》中 WorkSpaces Windows 客户端应用程序部分的[发行说明](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows-release-notes)。