本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# WorkSpaces Personal 的跨區域重新導向
透過 Amazon WorkSpaces 中的跨區域重新導向功能,您可以使用完整網域名稱 (FQDN) 做為 WorkSpaces 的註冊碼。跨區域重新導向可搭配網域名稱系統 (DNS) 路由政策運作,以在 WorkSpaces 使用者的主要 WorkSpaces 無法使用時,將他們重新導向至替代 WorkSpaces。例如,透過使用 DNS 容錯移轉路由政策,您可以在使用者無法存取主要區域中的 WorkSpaces AWS 時,將使用者連線到指定容錯移轉區域中的 WorkSpaces。
您可以使用跨區域重新導向搭配 DNS 容錯移轉路由政策,以達到區域彈性和高可用性。您也可將此功能用於其他目的,例如流量分配或在維護期間提供替代 WorkSpaces。如果您使用 Amazon Route 53 進行 DNS 設定,則可利用運作狀態檢查來監控 Amazon CloudWatch 警示。
若要使用此功能,您必須在兩個 (或更多) AWS 區域中為使用者設定 WorkSpaces。您也必須建立稱為*連線別名*的特殊 FQDN 型註冊碼。這些連線別名會取代 WorkSpaces 使用者的區域特定註冊碼。(區域特定註冊碼仍然有效;不過,若要讓跨區域重新導向運作,您的使用者必須改用 FQDN 做為其註冊碼。)
若要建立連線別名,請指定*連接字串*,這是 FQDN,例如 `www.example.com` 或 `desktop.example.com`。若要使用此網域進行跨區域重新導向,您必須向網域註冊機構註冊,並為您的網域設定 DNS 服務。
建立連線別名後,您可以將它們與不同區域中的 WorkSpaces 目錄建立*關聯配對*。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。如果主要區域發生中斷,您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。
若要指定主要和容錯移轉區域,您可以在設定 DNS 容錯移轉路由政策時定義區域優先順序 (主要或次要)。
**Topics**
+ [先決條件](#cross-region-redirection-prerequisites)
+ [限制](#cross-region-redirection-limitations)
+ [步驟 1:建立連線別名](#cross-region-redirection-create-connection-aliases)
+ [(選用) 步驟 2:與其他帳戶共用連線別名](#cross-region-redirection-share-connection-alias)
+ [步驟 3:將連線別名與每個區域中的目錄建立關聯](#cross-region-redirection-associate-connection-aliases)
+ [步驟 4:設定您的 DNS 服務並設定 DNS 路由政策](#cross-region-redirection-configure-DNS-routing)
+ [步驟 5:將連接字串傳送給您的 WorkSpaces 使用者](#cross-region-redirection-send-connection-string-to-users)
+ [跨區域重新導向架構圖](#cross-region-redirection-architecture-diagram)
+ [啟動跨區域重新導向](#initiate-cross-region-redirection)
+ [跨區域重新導向期間發生什麼狀況](#cross-region-redirection-what-happens)
+ [取消連線別名與目錄的關聯](#cross-region-redirection-disassociate-connection-alias)
+ [取消共用連線別名](#cross-region-redirection-unshare-connection-alias)
+ [刪除連線別名](#cross-region-redirection-delete-connection-alias)
+ [關聯和取消關聯連線別名的 IAM 許可](#cross-region-redirection-iam)
+ [停止使用跨區域重新導向時的安全性考量](#cross-region-redirection-security-considerations)
## 先決條件
+ 您必須擁有並註冊要在連線別名中當作 FQDN 使用的網域。如果您尚未使用其他網域註冊機構,您可使用 Amazon Route 53 來註冊您的網域。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的[使用 Amazon Route 53 註冊網域名稱](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)。
**重要**
您必須擁有所有必要的權利,才能使用任何與 Amazon WorkSpaces 搭配使用的網域名稱。您同意網域名稱不違反或侵犯任何第三方的合法權利,或以其他方式違反適用法律。
您的網域名稱總長度不得超過 255 個字元。如需有關網域名稱的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的 [DNS 網域名稱格式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DomainNameFormat.html)。
跨區域重新導向適用於公用網域名稱和私有 DNS 區域中的網域名稱。如果您使用私有 DNS 區域,則必須提供與包含 WorkSpaces 的虛擬私有雲端 (VPC) 的虛擬私有網路 (VPN)。如果 WorkSpaces 使用者嘗試從公用網際網路使用私有 FQDN,WorkSpaces 用戶端應用程式會傳回下列錯誤訊息:
`"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."`
+ 您必須設定 DNS 服務並設定必要的 DNS 路由政策。跨區域重新導向會與您的 DNS 路由政策搭配使用,視需要重新導向 WorkSpaces 使用者。
+ 在您要設定跨區域重新導向的每個主要和容錯移轉區域中,為您的使用者建立 WorkSpaces。請確定您在每個區域的每個 WorkSpaces 目錄中使用相同的使用者名稱。若要讓您的 Active Directory 使用者資料保持同步,我們建議您使用 AD Connector 指向您已為使用者設定 WorkSpaces 的每個區域中的相同 Active Directory。如需建立 WorkSpaces 的詳細資訊,請參閱[啟動 WorkSpaces](launch-workspaces-tutorials.md)。
**重要**
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫,則只能註冊主要區域中的目錄,以便與 Amazon WorkSpaces 搭配使用。嘗試在複寫的區域中註冊目錄以搭配 Amazon WorkSpaces 使用將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
完成跨區域重新導向的設定時,您必須確定 WorkSpaces 使用者使用 FQDN 型註冊碼,而不是其主要區域的區域型註冊碼 (例如 `WSpdx+ABC12D`)。若要執行此操作,您必須使用 [步驟 5:將連接字串傳送給您的 WorkSpaces 使用者](#cross-region-redirection-send-connection-string-to-users) 中的程序,傳送包含 FQDN 連接字串的電子郵件給他們。
**注意**
如果您在 WorkSpaces 主控台中建立使用者,而不是在 Active Directory 中建立使用者,則每當您啟動新的 WorkSpace 時,WorkSpaces 都會自動將邀請電子郵件傳送給您的使用者,其中包含區域型註冊碼。這表示當您在容錯移轉區域中為使用者設定 WorkSpaces 時,使用者也會自動接收這些容錯移轉 WorkSpaces 的電子郵件。您需要指示使用者忽略包含區域型註冊碼的電子郵件。
## 限制
+ 跨區域重新導向不會自動檢查與主要區域的連線是否失敗,然後將您的 WorkSpaces 容錯移轉至其他區域。換句話說,不會發生自動容錯移轉。
若要實作自動容錯移轉案例,您必須使用其他機制搭配跨區域重新導向。例如,您可以使用 Amazon Route 53 容錯移轉 DNS 路由政策搭配 Route 53 運作狀態檢查,以監控主要區域中的 CloudWatch 警示。如果主要區域已觸發 CloudWatch 警示,您的 DNS 容錯移轉路由政策則會將 WorkSpaces 使用者重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。
+ 只有 3.0.9 版或更新版本的 Linux、macOS 和 Windows WorkSpaces 用戶端應用程式支援跨區域重新導向。您也可以使用跨區域重新導向搭配 Web Access。
+ 跨區域重新導向適用於所有[AWS 可使用 Amazon WorkSpaces 的區域](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/),但 AWS GovCloud (US) Region和中國 (寧夏) 區域除外。
## 步驟 1:建立連線別名
使用相同的 AWS 帳戶,在您要設定跨區域重新導向的每個主要和容錯移轉區域中建立連線別名。
**若要建立連線別名**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取 WorkSpaces 的主要 AWS 區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向**之下,選擇**建立連線別名**。
1. 在**連接字串**中,輸入 FQDN,例如 `www.example.com` 或 `desktop.example.com`。連接字串最多可以是 255 個字元。其只能包含字母 (A-Z 和 a-z)、數字 (0-9) 和下列字元: .-
**重要**
建立連線字串後,該字串一律會與您的 AWS 帳戶建立關聯。即使您從原始帳戶中刪除連接字串的所有執行個體,也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。
1. (選用) 在**標籤**下,指定要與連線別名產生關聯的任何標籤。
1. 選擇**建立連線別名**。
1. 重複這些步驟,但務必在 [Step 2](#step_select_region_create_alias) 中選取 WorkSpaces 的容錯移轉區域。如果您有多個容錯移轉區域,請為每個容錯移轉區域重複這些步驟。請務必使用相同的 AWS 帳戶,在每個容錯移轉區域中建立連線別名。
## (選用) 步驟 2:與其他帳戶共用連線別名
您可以與相同 AWS 區域中的另一個 AWS 帳戶共用連線別名。與另一個帳戶共享連線別名會授予該帳戶的許可,您只能將該別名與相同區域中該帳戶擁有的目錄建立關聯或解除關聯。只有擁有連線別名的帳戶才能刪除別名。
**注意**
連線別名只能與每個 AWS 區域的一個目錄建立關聯。如果您與其他 AWS 帳戶共用連線別名,則只有一個帳戶 (您的帳戶或共用帳戶) 可以將別名與該區域中的目錄建立關聯。
**與其他 AWS 帳戶共用連線別名**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取您要與其他 AWS 帳戶共用連線別名 AWS 的區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向關聯**底下,選取連接字串,然後選擇**動作**、**共用/取消共用連線別名**。
您也可以從連線別名的詳細資訊頁面共用別名。若要這麼做,請在**共用帳戶**下,選擇**共用連線別名**。
1. 在**共用/取消共用連線別名**頁面**的與帳戶共用**下,輸入您要在此 AWS 區域中與之共用連線別名 AWS 的帳戶 ID。
1. 選擇**共用**。
## 步驟 3:將連線別名與每個區域中的目錄建立關聯
將相同的連線別名與兩個或多個區域中的 WorkSpaces 目錄建立關聯,會在不同的目錄之間建立關聯配對。每個關聯配對都有一個主要區域和一或多個容錯移轉區域。
例如,如果主要區域是美國西部 (奧勒岡) 區域,您可以將美國西部 (奧勒岡) 區域中的 WorkSpaces 目錄與美國東部 (維吉尼亞北部) 區域中的 WorkSpaces 目錄配對。如果主要區域發生中斷,則跨區域重新導向會搭配 DNS 容錯移轉路由政策和您在美國西部 (奧勒岡) 區域進行的任何運作狀態檢查運作,以將使用者重新導向至您在美國東部 (維吉尼亞北部) 區域中為他們設定的 WorkSpaces。如需有關跨區域重新導向體驗的詳細資訊,請參閱 [跨區域重新導向期間發生什麼狀況](#cross-region-redirection-what-happens)。
**注意**
如果 WorkSpaces 使用者與容錯移轉區域相距很遠 (例如,距離數千英里),其 WorkSpaces 體驗可能比平常的回應更慢。若要檢查從您所在位置到各個 AWS 區域的往返時間 (RTT),請使用 [Amazon WorkSpaces 連線運作狀態檢查](https://clients.amazonworkspaces.com/Health.html)。
**若要建立連線別名與目錄的關聯**
每個 AWS 區域只能將連線別名與一個目錄建立關聯。如果您已與其他 AWS 帳戶共用連線別名,則只有一個帳戶 (您的帳戶或共用帳戶) 可以將別名與該區域中的目錄建立關聯。
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取 WorkSpaces 的主要 AWS 區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向關聯**底下,選取連接字串,然後選擇**動作**、**關聯/取消關聯**。
您也可以從連線別名的詳細資訊頁面,建立連線別名與目錄的關聯。若要這麼做,請在**關聯的目錄**下選擇**關聯目錄**。
1. 在**關聯/取消關聯**頁面上,在與**目錄建立關聯**下,選取您要在此 AWS 區域中將連線別名與 建立關聯的目錄。
**注意**
如果您將 AWS Managed Microsoft AD 目錄設定為多區域複寫,則只有主要區域中的目錄可以與 Amazon WorkSpaces 搭配使用。嘗試使用所複寫區域中的目錄搭配 Amazon WorkSpaces 將會失敗。不支援在複寫區域中搭配 Amazon WorkSpaces 使用 AWS Managed Microsoft AD 的多區域複寫。
1. 選擇**關聯**。
1. 重複這些步驟,但務必在 [Step 2](#step_select_region_associate_alias) 中選取 WorkSpaces 的容錯移轉區域。如果您有多個容錯移轉區域,請為每個容錯移轉區域重複這些步驟。務必將相同的連線別名與每個容錯移轉區域中的目錄產生關聯。
## 步驟 4:設定您的 DNS 服務並設定 DNS 路由政策
建立連線別名和連線別名關聯配對之後,您可以接著為您在連接字串中使用的網域設定 DNS 服務。您可以為此目的使用任何 DNS 服務供應商。如果您還沒有偏好的 DNS 服務供應商,您可以使用 Amazon Route 53。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的[設定 Amazon Route 53 做為 DNS 服務](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html)。
為網域設定 DNS 服務之後,您必須設定要用於跨區域重新導向的 DNS 路由政策。例如,您可以使用 Amazon Route 53 運作狀態檢查來判斷使用者是否可以連線到特定區域中的 WorkSpaces。如果您的使用者無法連線,您可使用 DNS 容錯移轉政策,將 DNS 流量從一個區域路由傳送到另一個區域。
如需有關選擇 DNS 路由政策的資訊,請參閱《Amazon Route 53 開發人員指南》**中的[選擇路由政策](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。如需有關 Amazon Route 53 運作狀態檢查的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的 [Amazon Route 53 如何檢查資源的運作狀態](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)。
當您設定 DNS 路由政策時,您需要*連線識別碼*進行連線別名與主要區域中 WorkSpaces 目錄之間的關聯。您也需要連線別名與容錯移轉區域中 WorkSpaces 目錄之間關聯的連線識別碼。
**注意**
連線識別碼與連線別名 ID **不同**。連線別名 ID 的開頭為 `wsca-`。
**若要尋找連線別名關聯的連線識別碼**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取 WorkSpaces 的主要 AWS 區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向關聯**下,選取連接字串文字 (FQDN) 以檢視連線別名詳細資訊頁面。
1. 在連線別名的詳細資訊頁面上,於**關聯的目錄**之下,記下針對**連線識別碼**所顯示的值。
1. 重複這些步驟,但務必在 [Step 2](#step_select_region_connection_id) 中選取 WorkSpaces 的容錯移轉區域。如果您有多個容錯移轉區域,請重複這些步驟以尋找每個容錯移轉區域的連線識別碼。
**範例:使用 Route 53 設定 DNS 容錯移轉路由政策**
下列範例會為您的網域設定公用託管區域。不過,您可以設定公用或私有託管區域。如需有關設定託管區域的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的[使用託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-working-with.html)。
此範例也會使用容錯移轉路由政策。您可以針對跨區域重新導向策略使用其他路由政策類型。如需有關選擇 DNS 路由政策的資訊,請參閱《Amazon Route 53 開發人員指南》**中的[選擇路由政策](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html)。
當您在 Route 53 中設定容錯移轉路由政策時,主要區域需要進行運作狀態檢查。如需在 Route 53 中建立運作狀態檢查的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的[建立 Amazon Route 53 運作狀態檢查及設定 DNS 容錯移轉](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html)和[建立、更新及刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
如果您想要使用 Amazon CloudWatch 警示搭配 Route 53 運作狀態檢查,則也需要設定 CloudWatch 警示來監控主要區域中的資源。如需 CloudWatch 的詳細資訊,請參閱《Amazon CloudWatch 使用者指南》**中的[什麼是 Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)。如需有關 Route 53 如何在其運作狀態檢查中使用 CloudWatch 警示的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的 [Route 53 如何判斷用於監控 CloudWatch 警示的運作狀態檢查的狀態](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch)和[監控 CloudWatch 警示](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch)。
若要在 Route 53 中設定 DNS 容錯移轉路由政策,您必須先為網域建立託管區域。
1. 請在 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇**託管區域**,然後選擇**建立託管區域**。
1. 在**已建立的託管區域**頁面上,在**網域名稱**之下輸入您的網域名稱 (例如 `example.com`)。
1. 在**類型**之下,選擇**公共託管區域**。
1. 選擇**建立託管區域**。
然後針對主要區域建立運作狀態檢查。
1. 請在 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇**運作狀態檢查**,然後選擇**建立運作狀態檢查**。
1. 在**設定運作狀態檢查**頁面上,輸入運作狀態檢查的名稱。
1. 針對**要監控的內容**,選取**端點**、**其他運作狀態檢查的狀態 (計算的運作狀態檢查)** 或 **CloudWatch 警示的狀態**。
1. 根據您在上一個步驟中選取的項目,設定運作狀態檢查,然後選擇**下一步**。
1. 在**運作狀態檢查失敗時收到通知**頁面上,針對**建立警示**,選擇**是**或**否**。
1. 選擇**建立運作狀態檢查**。
建立運作狀態檢查之後,您可以建立 DNS 容錯移轉記錄。
1. 請在 [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/) 開啟 Route 53 主控台。
1. 在導覽窗格中,選擇 **Hosted zones (託管區域)**。
1. 在**託管區域**頁面上,選取您的網域名稱。
1. 在您網域名稱的詳細資訊頁面上,選擇**建立記錄**。
1. 在**選擇路由政策**頁面上選取**容錯移轉**,然後選擇**下一步**。
1. 在**設定記錄**頁面的**基本組態**下,針對**記錄名稱**,輸入您的子網域名稱。例如,如果您的 FQDN 是 `desktop.example.com`,請輸入 **desktop**。
**注意**
如果您想要使用根網域,請將**記錄名稱**保留空白。不過,我們建議使用子網域,例如 `desktop` 或 `workspaces`,除非您已設定僅供 WorkSpaces 使用的網域。
1. 針對**記錄類型**,選取 **TXT - 用於驗證電子郵件寄件者和應用程式特定值**。
1. 將 **TTL 秒數**設定保留為預設值。
1. 在**要新增至 {{your\_domain\_name}} 的容錯移轉記錄**下,選擇**定義容錯移轉記錄**。
現在,您需要針對主要和容錯移轉區域設定容錯移轉記錄。
**範例:設定主要區域的容錯移轉記錄**
1. 在**定義容錯移轉記錄**對話方塊中,針對**值/路由傳送流量至**,選取**取決於記錄類型的 IP 地址或其他值**。
1. 隨即開啟一個方塊,供您輸入範例文字項目。輸入主要區域之連線別名關聯的連線識別碼。
1. 針對**容錯移轉記錄類型**,選取**主要**。
1. 針對**運作狀態檢查**,選取您為主要區域建立的運作狀態檢查。
1. 針對**記錄 ID**,輸入用於識別此記錄的描述。
1. 選擇**定義容錯移轉記錄**。您的新容錯移轉記錄會出現在**要新增至 {{your\_domain\_name}} 的容錯移轉記錄**之下。
**範例:設定容錯移轉區域的容錯移轉記錄**
1. 在**要新增至 {{your\_domain\_name}} 的容錯移轉記錄**下,選擇**定義容錯移轉記錄**。
1. 在**定義容錯移轉記錄**對話方塊中,針對**值/路由傳送流量至**,選取**取決於記錄類型的 IP 地址或其他值**。
1. 隨即開啟一個方塊,供您輸入範例文字項目。輸入容錯移轉區域之連線別名關聯的連線識別碼。
1. 針對**容錯移轉記錄類型**,選取**次要**。
1. (選用) 針對**運作狀態檢查**,輸入您為容錯移轉區域建立的運作狀態檢查。
1. 針對**記錄 ID**,輸入用於識別此記錄的描述。
1. 選擇**定義容錯移轉記錄**。您的新容錯移轉記錄會出現在**要新增至 {{your\_domain\_name}} 的容錯移轉記錄**之下。
如果您為主要區域設定的運作狀態檢查失敗,您的 DNS 容錯移轉路由政策會將 WorkSpaces 使用者重新導向至您的容錯移轉區域。Route 53 會繼續監控主要區域的運作狀態檢查,而當主要區域的運作狀態檢查不再失敗時,Route 53 就會自動將 WorkSpaces 使用者重新導向至主要區域中的 WorkSpaces。
如需有關建立 DNS 記錄的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的[使用 Amazon Route 53 主控台建立記錄](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html)。如需有關設定 DNS TXT 記錄的詳細資訊,請參閱《Amazon Route 53 開發人員指南》**中的 [TXT 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat)。
## 步驟 5:將連接字串傳送給您的 WorkSpaces 使用者
若要確保在中斷期間會視需要重新導向使用者的 WorkSpaces,您必須將連接字串 (FQDN) 傳送給使用者。如果您已經向 WorkSpaces 使用者發行了區域型註冊碼 (例如 `WSpdx+ABC12D`),這些註冊碼仍然有效。不過,若要讓跨區域重新導向運作,WorkSpaces 使用者在 WorkSpaces 用戶端應用程式中註冊 WorkSpaces 時,必須使用連接字串做為其註冊碼。
**重要**
如果您在 WorkSpaces 主控台中建立使用者,而不是在 Active Directory 中建立使用者,則每當您啟動新的 WorkSpace 時,WorkSpaces 都會自動將邀請電子郵件傳送給您的使用者,其中包含區域型註冊碼 (例如 `WSpdx+ABC12D`)。即使您已經設定了跨區域重新導向,自動為新的 WorkSpaces 傳送的邀請電子郵件也包含此區域型註冊碼,而不包含您的連接字串。
若要確保您的 WorkSpaces 使用者使用連接字串而非區域型註冊碼,您必須使用下列程序,向他們傳送另一封含有連接字串的電子郵件。
**若要將連接字串傳送給您的 WorkSpaces 使用者**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取 WorkSpaces 的主要 AWS 區域。
1. 在導覽窗格中,選擇 **WorkSpaces**。
1. 在 **WorkSpaces** 頁面上,使用搜尋方塊來搜尋您要傳送邀請的使用者,然後從搜尋結果中選取對應的 WorkSpace。您一次只能選取一個 WorkSpace。
1. 選擇**動作**、**邀請使用者**。
1. 在**邀請使用者前往其 WorkSpaces** 頁面上,您會看到要傳送給使用者的電子郵件範本。
1. (選用) 如果有多個連線別名與您的 WorkSpaces 目錄相關聯,請從**連線別名字串**清單中選取您希望使用者使用的連接字串。電子郵件範本會更新,以顯示您所選擇的字串。
1. 複製電子郵件範本文字,並使用您自己的電子郵件應用程式將其貼到給使用者的電子郵件中。在電子郵件應用程式中,您可以視需要修改內文。邀請電子郵件準備就緒時,請將其傳送給您的使用者。
## 跨區域重新導向架構圖
下圖說明跨區域重新導向的部署程序。
**注意**
跨區域重新導向只會促進跨區域容錯移轉和備用。它無法協助在次要區域中建立和維護 WorkSpaces,也不允許跨區域資料複寫。主要和次要區域中的 WorkSpaces 應分別管理。
## 啟動跨區域重新導向
如果發生中斷,您可以手動更新 DNS 記錄,或根據運作狀態檢查使用自動路由政策,以決定容錯移轉區域。我們建議您遵循[使用 Amazon Route 53 建立災難復原機制中概述的災難復原](https://aws.amazon.com/blogs/networking-and-content-delivery/creating-disaster-recovery-mechanisms-using-amazon-route-53/)機制。
## 跨區域重新導向期間發生什麼狀況
在區域容錯移轉期間,您的 WorkSpaces 使用者會與主要區域中的 WorkSpaces 中斷連線。當他們嘗試重新連線時,他們會收到下列錯誤訊息:
`We can't connect to your WorkSpace. Check your network connection, and then try again.`
然後系統會提示使用者再次登入。如果他們使用 FQDN 做為註冊碼,當他們再次登入時,您的 DNS 容錯移轉路由政策會將它們重新導向至您在容錯移轉區域中為他們設定的 WorkSpaces。
**注意**
在某些情況下,使用者可能無法於再次登入時重新連線。如果發生此行為,他們必須關閉並重新啟動 WorkSpaces 用戶端應用程式,然後嘗試再次登入。
## 取消連線別名與目錄的關聯
只有擁有目錄的帳戶才能取消連線別名與目錄的關聯。
如果您已與其他帳戶共用連線別名,且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯,則該帳戶必須用於取消連線別名與目錄的關聯。
**若要取消連線別名與目錄的關聯**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取包含您要取消關聯的連線別名 AWS 的區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向關聯**底下,選取連接字串,然後選擇**動作**、**關聯/取消關聯**。
您也可以從連線別名詳細資訊頁面取消連線別名的關聯。若要這麼做,請在**關聯的目錄**下選擇**取消關聯**。
1. 在**關聯/取消關聯**頁面上,選擇**取消關聯**。
1. 在要求您確認取消關聯的對話方塊中,選擇**取消關聯**。
## 取消共用連線別名
只有連線別名的擁有者可以取消共用別名。如果您取消與某個帳戶共用連線別名,該帳戶就無法再將連線別名與目錄產生關聯。
**若要取消共用連線別名**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取包含您要取消共用之連線別名 AWS 的區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向關聯**底下,選取連接字串,然後選擇**動作**、**共用/取消共用連線別名**。
您也可以從連線別名詳細資訊頁面取消共用連線別名。若要這麼做,請在**共用帳戶**底下選擇**取消共用**。
1. 在**共用/取消共用連線別名**頁面上,選擇**取消共用**。
1. 在要求您確認取消共用連線別名的對話方塊中,選擇**取消共用**。
## 刪除連線別名
只有在連線別名由您的帳戶擁有且並未與目錄相關聯時,您才可以刪除連線別名。
如果您已與其他帳戶共用連線別名,且該帳戶已將連線別名與該帳戶擁有的目錄建立關聯,則該帳戶必須先取消連線別名與目錄的關聯,您才能刪除連線別名。
**重要**
建立連線字串後,該字串一律會與您的 AWS 帳戶建立關聯。即使您從原始帳戶中刪除連接字串的所有執行個體,也無法使用不同的帳戶重新建立相同的連接字串。連接字串會全域保留給您的帳戶使用。
**警告**
**如果您不再使用 FQDN 做為 WorkSpaces 使用者的註冊碼,則必須採取某些預防措施以防止潛在的安全性問題。**如需詳細資訊,請參閱[停止使用跨區域重新導向時的安全性考量](#cross-region-redirection-security-considerations)。
**若要刪除連線別名**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在主控台的右上角,選取包含您要刪除之連線別名 AWS 的區域。
1. 在導覽窗格中,選擇 **Account Settings (帳戶設定)**。
1. 在**跨區域重新導向關聯**底下,選取連接字串,然後選擇**刪除**。
您也可以從連線別名詳細資訊頁面刪除連線別名。若要這麼做,請選擇頁面右上角的**刪除**。
**注意**
如果已停用**刪除**按鈕,請確定您是別名的擁有者,並確定別名與目錄沒有關聯。
1. 在要求您要確認刪除的對話方塊中,選擇**刪除**。
## 關聯和取消關聯連線別名的 IAM 許可
如果您使用 IAM 使用者來建立或取消連線別名的關聯,該使用者必須具有 `workspaces:AssociateConnectionAlias` 和 `workspaces:DisassociateConnectionAlias` 的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:AssociateConnectionAlias",
"workspaces:DisassociateConnectionAlias"
],
"Resource": [
"arn:aws:workspaces:{{us-east-1}}:{{123456789012}}:connectionalias/{{wsca-a1bcd2efg}}"
]
}
]
}
```
------
**重要**
如果您要建立 IAM 政策來針對不擁有連線別名的帳戶,建立或取消連線別名的關聯,則無法在 ARN 中指定帳戶 ID。您必須改為使用 `*` 帳戶 ID,如下列範例政策所示。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:AssociateConnectionAlias",
"workspaces:DisassociateConnectionAlias"
],
"Resource": [
"arn:aws:workspaces:{{us-east-1}}:*:connectionalias/{{wsca-a1bcd2efg}}"
]
}
]
}
```
只有當該帳戶擁有要關聯或取消關聯的連線別名時,您才可以在 ARN 中指定帳戶 ID。
如需使用 IAM 的詳細資訊,請參閱 [適用於 WorkSpaces 的身分和存取管理](workspaces-access-control.md)。
## 停止使用跨區域重新導向時的安全性考量
如果您不再使用 FQDN 做為 WorkSpaces 使用者的註冊碼,則必須採取下列預防措施以防止潛在的安全性問題:
+ 務必向 WorkSpaces 使用者發出其 WorkSpaces 目錄的區域特定註冊碼 (例如 `WSpdx+ABC12D`),並指示他們停止使用 FQDN 做為其註冊碼。
+ **如果您仍然擁有此網域**,務必更新 DNS TXT 記錄以移除此網域,使其無法在網路釣魚攻擊中遭到利用。如果您從 DNS TXT 記錄中移除此網域,而且 WorkSpaces 使用者嘗試使用 FQDN 做為其註冊碼,則他們的連線嘗試將會失敗,但不會造成任何損害。
+ **如果您不再擁有此網域**,您的 WorkSpaces 使用者**必須**使用其區域特定註冊碼。如果他們繼續嘗試使用 FQDN 做為註冊碼,則可能會將其連線嘗試重新導向至惡意網站。