Amazon Workspaces Guía De Administración Amazon Workspaces Guía De Administración

Amazon WorkSpaces Guía de administración Amazon WorkSpaces Guía de administración

Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto o servicio que no sea de Amazon de ninguna manera que pueda causar confusión entre los clientes y que menosprecie o desacredite a Amazon. Todas las demás marcas comerciales que no son propiedad de Amazon son propiedad de sus respectivos propietarios, que pueden o no estar afiliados, conectados o patrocinados por Amazon. Amazon WorkSpaces Guía de administración

Table of Contents

¿Qué es WorkSpaces? ...... 1 Features ...... 1 Architecture ...... 1 Acceso al escritorio WorkSpace ...... 2 Pricing ...... 3 Cómo empezar ...... 3 Primeros pasos: Instalación rápida ...... 4 Antes de empezar ...... 4 Qué hace la instalación rápida ...... 5 Paso 1: Lanzar el WorkSpace ...... 5 Paso 2: Connect al WorkSpace ...... 7 Paso 3: Limpieza (Opcional) ...... 7 Pasos siguientes ...... 8 Redes y acceso ...... 9 Protocolos de Amazon WorkSpaces ...... 9 Requisitos de la VPC ...... 10 Requirements ...... 10 Configurar una VPC con subredes privadas y una gateway NAT ...... 11 Configurar una VPC con subredes públicas ...... 15 Zonas de disponibilidad de WorkSpaces ...... 18 Requisitos de direcciones IP y puertos ...... 19 Puertos de aplicaciones cliente ...... 19 Puertos para Web Access ...... 20 Dominios y direcciones IP para agregar a su lista de permitidos ...... 20 ...... 26 ...... 27 Servidores Health comprobación de estado ...... 27 Servidores de puerta de enlace PCoIP ...... 29 Servidores de gateway WSP ...... 31 Interfaces de red ...... 31 Requisitos de red ...... 35 Dispositivos de confianza ...... 36 Paso 1: Crear los certificados de ...... 37 Paso 2: Implementar certificados de cliente en los dispositivos de confianza ...... 37 Paso 3: Configurar la restricción ...... 38 autenticación con tarjetas inteligentes ...... 38 Requirements ...... 39 Limitations ...... 39 Configuración de directorios ...... 40 Habilitar tarjetas inteligentes para WorkSpaces de Windows ...... 40 Habilitar tarjetas inteligentes para Linux WorkSpaces ...... 42 Acceso a Internet ...... 46 Grupos de seguridad ...... 47 Grupos de control de acceso a direcciones IP ...... 48 Cree un grupo de control de acceso a direcciones IP ...... 49 Para asociar un grupo de control de acceso a direcciones IP a un directorio ...... 49 Para Copiar un grupo de control de acceso ...... 50 Eliminar un grupo de control de acceso a direcciones IP ...... 50 Cliente cero PCoIP ...... 50 Configurar Android para Chromebooks ...... 51 Web Access ...... 51 Paso 1: Para habilitar Web Access en WorkSpaces ...... 52 Paso 2: Configuración del acceso de entrada y salida a puertos de Web Access ...... 52

iii Amazon WorkSpaces Guía de administración

Paso 3: Configurar la directiva de grupo y la directiva de seguridad para permitir que los usuarios inicien sesión ...... 52 Cifrado de puntos de enlace de FIPS ...... 55 Habilitar conexiones SSH ...... 56 Requisitos previos para las conexiones SSH a Amazon Linux WorkSpaces ...... 56 Habilitar conexiones SSH a todos los WorkSpaces de de Amazon Linux en un directorio ...... 57 Habilitar conexiones SSH a un Amazon Linux WorkSpace de específico ...... 58 Connect a un Amazon Linux WorkSpace de mediante Linux o PuTTy ...... 59 Configuración necesaria ...... 60 Configuración de tabla de enrutamiento requerida ...... 60 Componentes del servicio necesarios ...... 60 Directorios ...... 63 Registrar un directorio ...... 64 Actualizar los detalles de directorio ...... 65 Seleccione una unidad organizativa ...... 65 Configurar direcciones IP automáticas ...... 66 Controlar el acceso de los dispositivos ...... 67 Administrar permisos de administrador local ...... 67 Actualizar la cuenta de AD Connector ...... 67 Autenticación multifactor (AD Connector) ...... 68 Actualizar servidores DNS para WorkSpaces ...... 68 Prácticas recomendadas ...... 69 Paso 1: Actualizar la configuración del servidor DNS en WorkSpaces ...... 69 Paso 2: Actualizar la configuración del servidor DNS para Active Directory ...... 71 Paso 3: Pruebe la configuración del servidor DNS actualizado ...... 72 Eliminar directorio ...... 73 Habilitar Amazon WorkDocsAWSMicrosoft AD ...... 74 Configurar la administración de directorios ...... 75 Lanzar un WorkSpace ...... 78 Lanzar medianteAWSGestión de Microsoft AD ...... 79 Antes de empezar ...... 79 Paso 1: Creación de unAWSDirectorio de Microsoft AD ...... 80 Paso 2: Creación de un WorkSpace ...... 81 Paso 3: Connect al WorkSpace ...... 81 Pasos siguientes ...... 82 Lanzar con Simple AD ...... 82 Antes de empezar ...... 83 Paso 1: Creación de un directorio de Simple AD ...... 83 Paso 2: Creación de un WorkSpace ...... 84 Paso 3: Connect al WorkSpace ...... 85 Pasos siguientes ...... 85 Lanzar con AD Connector ...... 86 Antes de empezar ...... 86 Paso 1: Crear un AD Connector ...... 86 Paso 2: Crear un WorkSpace ...... 87 Paso 3: Connect al WorkSpace ...... 88 Pasos siguientes ...... 89 Iniciar con un dominio de confianza ...... 89 Antes de empezar ...... 89 Paso 1: Establezca una relación de confianza ...... 90 Paso 2: Creación de un WorkSpace ...... 90 Paso 3: Connect al WorkSpace ...... 91 Pasos siguientes ...... 91 Administración de usuarios de WorkSpace ...... 93 Administración de usuarios de WorkSp ...... 93 Edición de la información de usuario ...... 93 Adición o eliminación de usuarios ...... 93

iv Amazon WorkSpaces Guía de administración

Envío de un correo electrónico ...... 94 Crear varios escritorios de WorkSpaces para un usuario ...... 94 Personalización del inicio de sesión de los usuarios en sus WorkSpaces ...... 95 Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios ...... 97 Administrar sus WorkSpaces de ...... 100 Administración de Windows WorkSpaces ...... 100 Para instalar la plantilla administrativa de política de grupo ...... 102 Para instalar los archivos de plantilla administrativa de política de grupo ...... 111 Establecer la duración máxima de un ticket Kerberos ...... 120 Configuración del servidor proxy del dispositivo para el acceso a Internet ...... 120 Gestionar sus Amazon Linux WorkSpaces ...... 121 Controlar el comportamiento del agente PCoIP en Amazon Linux WorkSpaces ...... 121 Para habilitar o deshabilitar el redireccionamiento del portapapeles en Amazon Linux WorkSpaces ...... 121 Habilitar o deshabilitar la redirección de entrada de audio para Amazon Linux WorkSpaces ...... 122 Para habilitar o deshabilitar el redireccionamiento de zona horaria en Amazon Linux WorkSpaces 123 Conceder acceso SSH a los administradores de Amazon Linux WorkSpaces ...... 123 Anular el shell predeterminado para Amazon Linux WorkSpaces ...... 124 Proteger repositorios personalizados contra accesos no autorizados ...... 124 Usar el repositorio de Amazon Linux Extras Library ...... 125 Usar tarjetas inteligentes para la autenticación en Linux WorkSpaces ...... 125 Administración del modo de ejecución ...... 125 AutoStop WorkSpaces ...... 125 Modificar el modo de ejecución ...... 126 Comenzar y detener un WorkSpace de tipo AutoS ...... 127 Modificar un escritorio de WorkSpaces ...... 127 Cambios del tamaño del volumen ...... 128 Cambios de tipos de paquetes ...... 129 Etiquetar recursos WorkSpaces ...... 130 Mantenimiento WorkSpace de ...... 131 Ventanas de mantenimiento para WorkSpaces AlwaysOn ...... 132 Ventanas de mantenimiento para WorkSpaces AutoStop ...... 132 Mantenimiento manual ...... 133 Escritorios de WorkSpaces cifrados ...... 133 Prerequisites ...... 134 Limits ...... 135 Información general del cifrado de WorkSpaces conAWS KMS ...... 135 WorkSpaces contexto de cifrado ...... 136 Conceder permiso a WorkSpaces para utilizar una CMK en su nombre ...... 136 Cifrado de un espacio de trabajo ...... 140 Ver WorkSpaces cifrados ...... 140 Reinicio de un espacio de trabajo ...... 140 Reconstrucción de un espacio de trabajo ...... 141 Restaurar un espacio de trabajo ...... 142 Actualización de Workspaces BYOL de Windows 10 ...... 143 Prerequisites ...... 143 Considerations ...... 144 Limitaciones conocidas ...... 144 Resumen de la configuración de clave del Registro ...... 145 Realizar una actualización local ...... 146 Troubleshooting ...... 148 Actualizar el registro de WorkSpace mediante un script de PowerShell ...... 148 Migrar un WorkSpace ...... 149 Límites de migración ...... 150 Casos de migración ...... 150 ¿Qué ocurre durante la migración? ...... 151 Prácticas recomendadas ...... 152

v Amazon WorkSpaces Guía de administración

Troubleshooting ...... 152 Cómo se ve afectada la facturación ...... 153 Migración de un WorkSpace ...... 153 Eliminar WorkSpaces ...... 154 Paquetes e imágenes ...... 155 Crear una imagen y un grupo personalizados ...... 155 Requisitos para crear imágenes personalizadas de Windows ...... 156 Requisitos para crear imágenes personalizadas de Amazon Linux ...... 157 Prácticas recomendadas ...... 157 (Opcional) Paso 1: Especificar un formato de nombre de equipo personalizado para la imagen ..... 158 Paso 2: Ejecutar el comprobador de imágenes ...... 159 Paso 3: Cree una imagen personalizada y un paquete personalizado ...... 166 Qué se incluye con las imágenes personalizadas de Windows WorkSpaces ...... 167 Qué se incluye con las imágenes personalizadas de Amazon Linux WorkSpace ...... 168 Actualizar un paquete personalizado ...... 169 Copiar una imagen personalizada ...... 170 Compartir o dejar de compartir una imagen personalizada ...... 172 Para eliminar un paquete o imagen personalizados ...... 173 Eliminar un paquete ...... 173 Elimina una imagen...... 174 Usar sus propias licencias de escritorio de Windows ...... 174 Requirements ...... 175 Versiones de Windows compatibles con BYOL ...... 176 Agregar Microsoft Office a su imagen BYOL ...... 177 Paso 1: Compruebe la idoneidad de su cuenta para BYOL mediante la consola de Amazon WorkSpaces ...... 180 Paso 2: Habilitar BYOL para su cuenta para BYOL mediante la consola de Amazon WorkSpaces . 181 Paso 3: Ejecutar el script de PowerShell de comprobador de BYOL en una máquina virtual Windows ...... 182 Paso 4: Exportar la máquina virtual desde su entorno de virtualización ...... 183 Paso 5: Importe la máquina virtual como imagen en Amazon EC2 ...... 184 Paso 6: Crear una imagen BYOL con la consola WorkSpaces ...... 184 Paso 7: Cree un paquete personalizado a partir de la imagen de BYOL ...... 185 Paso 8: Registrar un directorio dedicado para WorkSpaces ...... 185 Paso 9: Inicie su BYOL WorkSpaces ...... 186 Monitorice sus WorkSpaces ...... 187 Monitorización con las métricas de CloudWatch ...... 187 Métricas de WorkSpaces ...... 187 Dimensiones de las métricas de WorkSpaces ...... 190 Ejemplo de monitorización ...... 190 Monitorizar mediante CloudWatch Ev ...... 192 Eventos de WorkSpaces ...... 192 Crear una regla para administrar eventos de WorkSpaces ...... 193 Descripción deAWSEventos de inicio de sesión de usuarios de tarjetas inteligentes ...... 194 Eventos de ejemplo paraAWSescenarios de inicio de sesión ...... 195 Continuidad de negocio ...... 199 Redireccionamiento entre regiones ...... 199 Prerequisites ...... 200 Limitations ...... 201 Paso 1: Creación de alias de conexión ...... 202 Paso 2 (Opcional): Compartir un alias de conexión con otra cuenta ...... 202 Paso 3: Asociar alias de conexión con directorios en cada región ...... 203 Paso 4: Configurar el servicio DNS y configurar directivas de enrutamiento DNS ...... 204 Paso 5: Enviar la cadena de conexión a los usuarios de WorkSpaces ...... 207 Qué ocurre durante la redirección entre regiones ...... 207 Desasociar un alias de conexión de un directorio ...... 208 Dejar de compartir un alias de conexión ...... 208

vi Amazon WorkSpaces Guía de administración

Eliminación de un alias de conexión ...... 209 Permisos de IAM para asociar y desasociar alias de conexión ...... 209 Consideraciones de seguridad si deja de utilizar la redirección entre regiones ...... 210 Seguridad ...... 211 Protección de los datos ...... 211 Cifrado en reposo ...... 212 Cifrado en tránsito ...... 212 Administración de identidades y accesos ...... 213 Creación del rol workspaces_DefaultRole ...... 216 Especificar recursos de WorkSpaces en una directiva de IAM ...... 217 Validación de la conformidad ...... 221 Resiliencia ...... 221 Seguridad de la infraestructura ...... 222 Aislamiento de red ...... 222 Aislamiento en hosts físicos ...... 222 Autorización de usuarios corporativos ...... 222 Realizar solicitudes de la API de Amazon WorkSpaces a través de VPC de enlace de interfaz ..... 222 Creación de una política de puntos de enlace de la VPC para Amazon WorkSpaces ...... 224 Connect su red privada a su VPC ...... 224 Administración de actualizaciones ...... 225 Amazon WAM ...... 225 Solución de problemas ...... 226 Habilitación del registro avanzado ...... 226 Solución de problemas específicos ...... 227 No puedo crear un Amazon Linux WorkSpace de porque hay caracteres no válidos en el nombre de usuario ...... 229 He cambiado el shell de mi Amazon Linux WorkSpace de y ahora no puedo aprovisionar una sesión de PCoIP ...... 229 Mi Amazon Linux WorkSpaces no se iniciará ...... 229 A menudo, se producen errores cuando intento iniciar WorkSpaces en mi directorio conectado .... 230 El lanzamiento de WorkSpaces arroja un error interno ...... 230 Cuando intento registrar un directorio, el registro falla y deja el directorio en un estado ERROR .... 230 Mis usuarios no pueden establecer conexión con un WorkSpace de Windows mediante un banner de inicio de sesión interactivo ...... 231 Mis usuarios no pueden conectarse a un Windows WorkSpace ...... 231 Mis usuarios tienen problemas cuando intentan iniciar sesión en WorkSpaces desde WorkSpaces Web Access ...... 232 El cliente de Amazon WorkSpaces muestra durante un rato una pantalla gris «Cargando...» antes de volver a la pantalla de inicio de sesión. No aparece ningún otro mensaje de error...... 232 Mis usuarios reciben el mensaje «Estado de WorkSpace: Insalubres. No hemos podido establecer conexión con WorkSpace. Vuelva a intentarlo en unos minutos"...... 233 Mis usuarios reciben un mensaje similar a este: "Este dispositivo no está autorizado para acceder al WorkSpace. Póngase en contacto con su administrador para obtener ayuda"...... 233 Mis usuarios reciben el mensaje «No hay red. Se perdió la conexión de red. Compruebe su conexión de red o póngase en contacto con el administrador para obtener ayuda.» al intentar conectarse a un WSP WorkSpace ...... 234 El cliente WorkSpaces devuelve a mis usuarios un error de red, pero pueden usar otras aplicaciones habilitadas para red en sus dispositivos ...... 234 Los usuarios de My WorkSpace ven el siguiente mensaje de error: «El dispositivo no puede conectarse al servicio de registro. Compruebe la configuración de red"...... 236 Mis usuarios de cliente cero PCoIP están recibiendo el error “El certificado suministrado no es válido debido a la marca temporal” ...... 236 Las impresoras USB y otros periféricos USB no funcionan para clientes PCoIP cero ...... 236 Mis usuarios omitieron actualizar sus aplicaciones cliente de Windows o macOS y no se les solicita que instalen la versión más reciente ...... 237 Mis usuarios no pueden instalar la aplicación cliente de Android en sus Chromebooks ...... 237 Mis usuarios no reciben correos electrónicos de invitación ni de restablecimiento de contraseña ... 237

vii Amazon WorkSpaces Guía de administración

Mis usuarios no ven la opción "¿Olvidó la contraseña?" en la pantalla de inicio de sesión del cliente ...... 238 Recibo el mensaje "El administrador del sistema ha establecido políticas para evitar esta instalación" cuando intento instalar aplicaciones en un WorkSpace de Windows ...... 238 Ninguna de las instancias de WorkSpaces de mi directorio puede conectarse a Internet ...... 239 Mi escritorio de WorkSpaces ha perdido el acceso a Internet ...... 239 Aparece el error "DNS no disponible" cuando intento conectarme a mi directorio on-premise ...... 239 Aparece el error "Problemas de conectividad detectados" cuando intento conectarme a mi directorio on-premise ...... 239 Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise ...... 240 Mi WorkSpace de Windows entra en estado de reposo cuando se deja inactivo ...... 240 Uno de mis WorkSpaces tiene un estadoUNHEALTHY ...... 241 Mi WorkSpace se bloquea o se reinicia inesperadamente ...... 242 El mismo nombre de usuario tiene más de un WorkSpace, pero el usuario solo puede iniciar sesión en uno de los WorkSpaces ...... 244 Tengo problemas para usar Docker con Amazon WorkSpaces ...... 244 Se producen errores de tipo ThrottlingException en algunas de mis llamadas a la API ...... 245 Cuotas ...... 246 Historial de revisión ...... 248 Actualizaciones anteriores ...... 252 ...... cclv

viii Amazon WorkSpaces Guía de administración Features

¿Qué es Amazon WorkSpaces?

Amazon WorkSpaces permite aprovisionar escritorios virtuales de Microsoft Windows o Amazon Linux basados en la nube para los usuarios, denominadosWorkSpaces de. WorkSpaces elimina la necesidad de adquirir e implementar hardware, así como de instalar software complejo. Puede agregar o eliminar rápidamente a los usuarios en función de las necesidades. Los usuarios tienen acceso a los escritorios virtuales desde diversos dispositivos o navegadores web.

Para obtener más información, consulteAmazon WorkSpaces.

Features

• Seleccione su sistema operativo (Windows o Amazon Linux) y seleccione entre una amplia variedad de configuraciones de hardware, software yAWSRegiones de. Para obtener más información, consultePaquetes Amazon WorkSpacesythe section called “Crear una imagen y un grupo personalizados” (p. 155). • Elija su protocolo: PCoIP o WorkSpaces Streaming Protocol (WSP). Para obtener más información, consulte Protocolos de Amazon WorkSpaces (p. 9) . • Conéctese al escritorio de WorkSpace y retómelo desde donde lo dejó. WorkSpaces proporciona una experiencia de escritorio persistente. • WorkSpaces ofrece flexibilidad de facturación por mes o por hora de los WorkSpaces. Para obtener más información, consultePrecios de WorkSpaces. • Implemente y administre aplicaciones para los WorkSpaces con Amazon WorkSpaces Application Manager (Amazon WAM). • En los escritorios de Windows, puede traer sus propias licencias y aplicaciones, o adquirirlas en laAWSMarketplace for Desktop Apps. • Cree un directorio administrado e independiente para los usuarios o conecte el WorkSpace al directorio local para que los usuarios puedan usar sus credenciales de acceso sin problemas a los recursos corporativos. Para obtener más información, consulte Directorios (p. 63) . • Utilice las mismas herramientas para administrar los escritorios de WorkSpaces que emplea para administrar los escritorios locales. • Utilice la autenticación multifactor (MFA) para obtener más seguridad. • Utilice AWS Key Management Service (AWS KMS) para cifrar los datos en reposo, E/S de disco y las instantáneas de volúmenes. • Controle las direcciones IP desde las que los usuarios pueden acceder a sus escritorios de WorkSpaces.

Architecture

Tanto en Windows como en Amazon Linux WorkSpace está asociado a una nube virtual privada (VPC) y a un directorio en el que se guarda y se administra la información de los WorkSpaces y de los usuarios. Para obtener más información, consulte the section called “Requisitos de la VPC” (p. 10) . Los directorios se administran a través deAWS Directory Service, que ofrece las siguientes opciones: Simple AD, AD Connector oAWSDirectory Service para Microsoft Active Directory, también denominadoAWSManaged Microsoft AD. Para obtener más información, consulte laAWS Directory ServiceGuía de administración.

WorkSpaces utiliza Simple AD, AD Connector oAWSDirectorio de Microsoft AD para autenticar a los usuarios. Los usuarios obtienen acceso a los WorkSpaces mediante una aplicación cliente desde un

1 Amazon WorkSpaces Guía de administración Acceso al escritorio WorkSpace

dispositivo compatible o, en el caso de los WorkSpaces de Windows, un navegador web, e inician sesión con sus credenciales de directorio. La información de inicio de sesión se envía a una gateway de autenticación, que reenvía el tráfico al directorio para el escritorio de WorkSpaces. Una vez que el usuario está autenticado, se inicia el tráfico de streaming a través de la gateway de transmisión.

Las aplicaciones cliente utilizan HTTPS a través del puerto 443 para todas las sesiones de autenticación y la información relacionada. Las aplicaciones cliente utilizan los puertos 4172 (PCoIP) y 4195 (WSP) para la transmisión de píxeles al WorkSpace y los puertos 4172 y 4195 para las comprobaciones de estado de la red. Para obtener más información, consulte Puertos de aplicaciones cliente (p. 19) .

Cada WorkSpace tiene dos interfaces de red elástica asociadas: una interfaz de red para la administración y la transmisión (eth0) y una interfaz de red principal (eth1). La interfaz de red principal tiene una dirección IP proporcionada por la VPC, procedente de las mismas subredes que se utilizan en el directorio. De este modo se garantiza que el tráfico del WorkSpace alcanza el directorio. El acceso a los recursos de la VPC se controla mediante los grupos de seguridad asignados a la interfaz de red principal. Para obtener más información, consulte Interfaces de red (p. 31) .

En el siguiente diagrama se muestra la arquitectura de los WorkSpaces.

Para obtener diagramas de la arquitectura adicionales, consulte la Prácticas recomendadas para la implementación de Amazon WorkSpacesDocumento técnico.

Acceso al escritorio WorkSpace

Puede conectarse a los WorkSpaces con la aplicación cliente para dispositivos compatibles o, en el caso de los WorkSpaces de Windows, con un navegador compatible en un sistema operativo compatible. Note

No puede utilizar un navegador web para conectarse a los WorkSpaces de Amazon Linux.

Hay aplicaciones cliente para las siguientes plataformas y dispositivos:

• Equipos Windows • Equipos macOS • Equipos con Ubuntu Linux 18.04

2 Amazon WorkSpaces Guía de administración Pricing

• Chromebooks • iPads • Dispositivos Android • Tabletas Fire • Cero dispositivos cliente (los dispositivos cliente cero Teradici sólo se admiten con PCoIP).

En equipos con Windows, macOS y Linux, puede utilizar los siguientes navegadores web para conectarse con los WorkSpaces de Windows:

• Chrome 53 y versiones posteriores (solo Windows y macOS) • Firefox 49 y versiones posteriores

Para obtener más información, consulteCliente de WorkSpacesen laGuía del usuario de Amazon WorkSpaces.

Pricing

Después de registrarse enAWSCon, puede comenzar a utilizar los WorkSpaces de forma gratuita utilizando la oferta de la capa gratuita de WorkSpaces. Para obtener más información, consultePrecios de WorkSpaces.

Con los WorkSpaces, paga únicamente por lo que utiliza. Se le factura según el paquete y el número de escritorios de WorkSpaces que lance. Los precios de los WorkSpaces incluyen el uso de Simple AD y AD Connector, pero no el uso deAWSManaged Microsoft AD.

WorkSpaces proporciona facturación por mes o por hora de los WorkSpaces. Con la facturación por horas, paga una tarifa fija de uso ilimitado, que es la mejor opción para los usuarios que utilizan los escritorios de WorkSpaces a tiempo completo. Con la facturación por hora, paga una pequeña cuota mensual por cada WorkSpace, además de una tarifa reducida por cada hora que el escritorio de WorkSpaces se ejecuta. Para obtener más información, consultePrecios de WorkSpaces.

Para obtener más información sobre las regiones admitidas, consultePrecios de WorkSpaces.

Cómo empezar

Para crear un escritorio de WorkSpaces, pruebe con uno de los siguientes tutoriales:

• Introducción a la configuración rápida de WorkSpaces (p. 4) • Lanzar un WorkSpace medianteAWSGestión de Microsoft AD (p. 79) • Lanzar un WorkSpace con Simple AD (p. 82) • Lanzar un WorkSpace mediante AD Connector (p. 86) • Iniciar un WorkSpace con un dominio de confianza (p. 89)

Puede que también desee explorar estos recursos para obtener más información sobre Amazon WorkSpaces:

• Guía de implementación: Aprovisionamiento de escritorios en la nube • Recursos de Amazon WorkSpaces— documentos técnicos, publicaciones de blog, seminarios web, sesiones de re:Invent y mucho más • Preguntas frecuentes sobre Amazon WorkSpaces

3 Amazon WorkSpaces Guía de administración Antes de empezar

Introducción a la configuración rápida de WorkSpaces

En este tutorial, aprenderá a aprovisionar un escritorio virtual basado en la nube de Microsoft Windows o Amazon Linux, conocido comoWorkSpace, mediante WorkSpaces yAWS Directory Service.

En este tutorial se utiliza la opción de configuración rápida para lanzar el escritorio WorkSpace. Esta opción solo está disponible si nunca ha lanzado un escritorio de WorkSpaces. Para otras opciones, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78). Note

La instalación rápida se admite en la siguienteAWSRegiones:

• US East (N. Virginia) • US West (Oregon) • Europe (Ireland) • Asia Pacific (Singapore) • Asia Pacific (Sydney) • Asia Pacific (Tokyo)

Para cambiar tu región, consultaSelección de una región.

Tareas • Antes de empezar (p. 4) • Qué hace la instalación rápida (p. 5) • Paso 1: Lanzar el WorkSpace (p. 5) • Paso 2: Connect al WorkSpace (p. 7) • Paso 3: Limpieza (Opcional) (p. 7) • Pasos siguientes (p. 8)

Antes de empezar

Antes de comenzar, asegúrese de que cumple los siguientes requisitos:

• Debe disponer de unAWSPara crear o administrar un WorkSpace. Los usuarios no necesitanAWSPara conectarse y utilizar los WorkSpaces. • Los WorkSpaces no están disponible en todas las regiones. Verifique las Regiones compatibles ySelección de una regiónpara sus WorkSpaces. Para obtener más información acerca de las regiones admitidas, consultePrecios de los WorkSpacesAWSRegión.

También es útil revisar y comprender los siguientes conceptos antes de continuar:

4 Amazon WorkSpaces Guía de administración Qué hace la instalación rápida

• Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Para obtener más información, consulte Paquetes de Amazon WorkSpaces. • Al iniciar un WorkSpace, debe seleccionar el protocolo (PCoIP o WorkSpaces Streaming Protocol [WSP]) que desea utilizar con el paquete. Para obtener más información, consulte Protocolos de Amazon WorkSpaces (p. 9) . • Cuando se inicia un WorkSpace, debe especificar la información de perfil del usuario, incluido un nombre de usuario y una dirección de correo electrónico. Los usuarios completan sus perfiles especificando una contraseña. La información sobre WorkSpaces y los usuarios se almacena en un directorio. Para obtener más información, consulte Directorios (p. 63) .

Qué hace la instalación rápida

La instalación rápida realiza las siguientes tareas:

• Crea un rol de IAMPara permitir que el servicio de WorkSpaces cree interfaces de red elásticas y muestre los directorios de los WorkSpaces. El nombre de este rol es workspaces_DefaultRole. • Crea una nube virtual privada (VPC). Si desea utilizar una VPC existente en su lugar, asegúrese de que cumple los requisitos indicados enConfigurar una VPC para WorkSpaces (p. 10)Y, a continuación, siga los pasos de uno de los tutoriales que se enumeran enIniciar un escritorio virtual con WorkSpaces (p. 78). Elija el tutorial correspondiente al tipo de Active Directory que desea utilizar. • Establece un directorio de Simple ADEn la VPC. Este directorio de Simple AD se usa para almacenar la información de los usuarios y de los espacios de WorkSpace. El directorio tiene una cuenta de administrador habilitada para Amazon WorkDocs. • Crea las cuentas de usuario especificadas y las añade al directorio. • Crea WorkSpaces. Cada escritorio de WorkSpaces recibe una dirección IP pública para ofrecer acceso a Internet. El modo de ejecución es AlwaysOn. Para obtener más información, consulte Administrar el modo de ejecución de WorkS (p. 125) . • Envía los emails de invitación a los usuarios especificados. Si los usuarios no reciben sus correos electrónicos de invitación, consulteEnvío de un correo electrónico (p. 94).

Note

La primera cuenta de usuario que crea la configuración rápida es su cuenta de usuario administrador. No puede actualizar esta cuenta de usuario desde la consola de WorkSpaces. No comparta con nadie más la información de esta cuenta de administrador. Si desea invitar a otros usuarios para que utilicen WorkSpaces, cree nuevas cuentas de usuario para ellos.

Paso 1: Lanzar el WorkSpace

Con la Configuración rápida, puede lanzar el primer WorkSpace en unos minutos.

Para lanzar un WorkSpace

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. Seleccione Get Started Now. Si no ve este botón, o ya ha iniciado un WorkSpace en esta región o no está utilizando una de las regiones compatibles con la configuración rápida (p. 4). En ese caso, consulteIniciar un escritorio virtual con WorkSpaces (p. 78). 3. En la páginaPrimeros pasos con WorkSpaces, junto aConfiguración rápida de, elijaLanzamiento de.

5 Amazon WorkSpaces Guía de administración Paso 1: Lanzar el WorkSpace

4. ParaPaquetes, seleccione un paquete (hardware y software) para el usuario con el protocolo apropiado (PCoIP o WSP). Para obtener más información acerca de los distintos paquetes públicos disponibles para Amazon WorkSpaces, consultepaquetes de Amazon WorkSpaces.

5. En Enter User Details, complete Username, First Name, Last Name, Email. Note

Si es la primera vez que usa WorkSpaces, le recomendamos que cree un usuario para sí mismo con fines de prueba.

6. Elija Launch WorkSpaces. 7. En la página de confirmación, elija View the WorkSpaces Console. El espacio de WorkSpace tarda unos 20 minutos en iniciarse. Para supervisar el progreso, vaya al panel de navegación izquierdo y elijaDirectorios. Verá un directorio que se está creando con un estado inicial deREQUESTEDy luegoCREATING.

6 Amazon WorkSpaces Guía de administración Paso 2: Connect al WorkSpace

Después de que se haya creado el directorio y tenga un estadoACTIVE, puede elegirWorkSpaces deen el panel de navegación izquierdo para supervisar el progreso del proceso de inicio de WorkSpace. El estado inicial del WorkSpace es PENDING. Cuando el lanzamiento se completa, el estado cambia aAVAILABLEY se envía una invitación a la dirección de correo electrónico que especificaste para cada usuario. Si los usuarios no reciben sus correos electrónicos de invitación, consulteEnvío de un correo electrónico (p. 94).

Paso 2: Connect al WorkSpace

Una vez recibido el correo electrónico de invitación, puede conectarse al WorkSpace utilizando el cliente de su elección. Después de iniciar sesión, el cliente muestra el escritorio de WorkSpaces.

Para conectarse al WorkSpace

1. Si todavía no ha creado las credenciales para el usuario, abra el enlace del correo electrónico de invitación y siga las indicaciones. Recuerde la contraseña que especifique ya que la necesitará para conectarse al WorkSpace. Note

Las contraseñas distinguen entre mayúsculas y minúsculas y debe tener un mínimo de 8 caracteres y un máximo de 64. Las contraseñas deben contener al menos un carácter de cada una de las categorías siguientes: minúsculas (a-z), números (0-9) y el conjunto ~! @#$ %^&*_-+=`|\ () {} []:; "'<>,.? /. 2. Review (Revisar)Clientes WorkSpacesen laGuía del usuario de Amazon WorkSpacesPara obtener más información acerca de los requisitos de cada cliente y, a continuación, realice una de las siguientes operaciones:

• Cuando se le solicite, descargue una de las aplicaciones cliente o inicieWeb Access. • Si no se le solicita y no ha instalado todavía una aplicación cliente, abrahttps:// clients.amazonworkspaces.com/ Descargue una de las aplicaciones cliente o inicieWeb Access.

Note

No puede utilizar un navegador web (Web Access) para conectarse a Amazon Linux WorkSpaces). 3. Inicie el cliente y escriba el código de registro que se incluye en el correo de invitación y elija Register. 4. Cuando se le pida que inicie sesión, introduzca el nombre de usuario y la contraseña y, a continuación, elija Sign In (Iniciar sesión). 5. (Opcional) Cuando se le solicite guardar las credenciales, elija Yes.

Para obtener más información acerca del uso de las aplicaciones cliente, como la configuración de varios monitores o el uso de dispositivos periféricos, consulteClientes WorkSpacesySupport con dispositivos periféricosen laGuía del usuario de Amazon WorkSpaces.

Paso 3: Limpieza (Opcional)

Si ha terminado de usar el WorkSpace que ha creado para este tutorial, puede eliminarlo. Para obtener más información, consulte the section called “Eliminar WorkSpaces” (p. 154) .

7 Amazon WorkSpaces Guía de administración Pasos siguientes

Note

Simple AD se pone a su disposición de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con el directorio de Simple AD durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory ServiceTérminos de Precios de. Para eliminar directorios vacíos, consulteEliminar el directorio de WorkSpaces (p. 73). Si elimina el directorio de Simple AD, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

Pasos siguientes

Puede seguir y personalizar el WorkSpace que acaba de crear. Por ejemplo, puede instalar software y, después, crear un paquete personalizado del WorkSpace. También puede realizar varias tareas administrativas para su directorio WorkSpaces y WorkSpaces. Para obtener más información, consulte la documentación siguiente.

• Crear una imagen y un paquete personalizados de WorkSpaces (p. 155) • Administrar sus WorkSpaces de (p. 100) • Administrar directorios para WorkSpaces (p. 63)

Para crear WorkSpaces adicionales, siga uno de estos pasos:

• Si desea continuar utilizando la VPC y el directorio de Simple AD creados por la instalación rápida, puede agregar WorkSpaces para usuarios adicionales siguiendo los pasos descritos en la secciónPaso 2: Creación de un WorkSpace (p. 84)del tutorial Lanzar un WorkSpace usando Simple AD. • Si necesita usar otro tipo de directorio o si necesita usar un Active Directory existente, consulte el tutorial apropiado enIniciar un escritorio virtual con WorkSpaces (p. 78).

Para obtener más información acerca del uso de las aplicaciones cliente de WorkSpaces, como la configuración de varios monitores o el uso de dispositivos periféricos, consulteClientes WorkSpacesySupport con dispositivos periféricosen laGuía del usuario de Amazon WorkSpaces.

8 Amazon WorkSpaces Guía de administración Protocolos de Amazon WorkSpaces

Redes y acceso para WorkSpaces

Como administrador de WorkSpace, debe saber lo siguiente acerca de las redes y el acceso de WorkSpaces.

Contenido • Protocolos de Amazon WorkSpaces (p. 9) • Configurar una VPC para WorkSpaces (p. 10) • Zonas de disponibilidad de Amazon WorkSpaces (p. 18) • Requisitos de direcciones IP y puertos para WorkSpaces (p. 19) • Requisitos de la red del cliente de Amazon WorkSpaces (p. 35) • Restringir el acceso a WorkSpaces a (p. 36) • Usar tarjetas inteligentes para la autenticación (p. 38) • Proporcionar acceso a Internet desde su WorkSpace (p. 46) • Grupos de seguridad de sus WorkSpaces (p. 47) • Grupos de control de acceso a direcciones IP para sus WorkSpaces (p. 48) • Configurar clientes cero de PCoIP para WorkSpaces (p. 50) • Configurar Android para Chromebooks (p. 51) • Habilitar y configurar Amazon WorkSpaces Web Access (p. 51) • Configurar Amazon WorkSpaces para la autorización FedRAMP o el cumplimiento del DoD SRG (p. 55) • Habilitar conexiones SSH para Linux WorkSpaces (p. 56) • Componentes de servicio y configuración necesarios para WorkSpaces (p. 60)

Protocolos de Amazon WorkSpaces

Amazon WorkSpaces admite dos protocolos: PCoIP y WorkSpaces Streaming Protocol (WSP). El protocolo que elija depende de varios factores, como el tipo de dispositivos desde los que los usuarios accederán a sus WorkSpaces, el sistema operativo que se encuentra en sus WorkSpaces, las condiciones de red que enfrentarán los usuarios y si los usuarios necesitan soporte de vídeo bidireccional.

Cuándo se debe usar PCoIP

• Si desea utilizar los clientes iPad, Android o Linux. • Si utiliza dispositivos de cliente cero Teradici de. • Si necesita usar paquetes basados en GPU (Graphics o GraphicsPro). • Si necesita usar un paquete Linux para casos de uso de tarjetas no inteligentes. • Si necesita usar WorkSpaces en China (Ningxia)Región .

Cuándo usar WSP

• Si necesita mayor tolerancia de pérdida/latencia para admitir las condiciones de red del usuario final. Por ejemplo, tiene usuarios que acceden a sus WorkSpaces a través de distancias globales o que utilizan redes poco fiables.

9 Amazon WorkSpaces Guía de administración Requisitos de la VPC

• Si necesita que sus usuarios se autenticen con tarjetas inteligentes o que utilicen tarjetas inteligentes durante la sesión. • Si necesita capacidades de soporte de cámara web durante la sesión. • Si necesita usar Web Access con el paquete WorkSpaces con Windows Server 2019.

Note

• Un directorio puede tener una mezcla de PCoIP y WSP WorkSpaces en él. • Un usuario puede tener un PCoIP y un WSP WorkSpace siempre y cuando los dos WorkSpaces estén ubicados en directorios independientes. El mismo usuario no puede tener un PCoIP y un WSP WorkSpace en el mismo directorio. Para obtener más información acerca de cómo crear varios WorkSpaces para un usuario, consulteCrear varios escritorios de WorkSpaces para un usuario (p. 94). • Puede migrar un WorkSpace entre los dos protocolos mediante la función de migración de WorkSpaces, que requiere una reconstrucción de WorkSpaces. Para obtener más información, consulte Migrar un WorkSpace (p. 149).

Configurar una VPC para WorkSpaces

WorkSpaces lanza los WorkSpaces en una nube virtual privada (VPC). Sus WorkSpaces deben obtener acceso a Internet para que pueda instalar las actualizaciones en el sistema operativo e implementar aplicaciones utilizando Amazon WorkSpaces Application Manager (Amazon WAM).

Puede crear una VPC con dos subredes privadas para sus WorkSpaces y una gateway NAT en una subred pública. También puede crear una VPC con dos subredes públicas para sus WorkSpaces y asociar una dirección IP elástica a cada WorkSpace. Tip

Para obtener una exploración detallada de las consideraciones de diseño de directorios y nube privada virtual (VPC) para diversos escenarios de implementación, consulte la Prácticas recomendadas para la implementación de Amazon WorkSpacesDocumento técnico.

Contenido • Requirements (p. 10) • Configurar una VPC con subredes privadas y una gateway NAT (p. 11) • Configurar una VPC con subredes públicas (p. 15)

Requirements

Las subredes de su VPC deben residir en diferentes zonas de disponibilidad de la región en la que está iniciando WorkSpaces. Las zonas de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otras zonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única ubicación. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas. Note

Amazon WorkSpaces está disponible en un subconjunto de las zonas de disponibilidad de cada región admitida. Para determinar qué zonas de disponibilidad puede utilizar para las subredes

10 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes privadas y una gateway NAT

de la VPC que está utilizando para WorkSpaces, consulteZonas de disponibilidad de Amazon WorkSpaces (p. 18). Configurar una VPC con subredes privadas y una gateway NAT

Si utiliza AWS Directory Service para crear un directorio de AWS Managed Microsoft o de Simple AD, es recomendable que configure la VPC con una subred pública y dos subredes privadas. Configure el directorio para que los escritorios de WorkSpaces se lancen en las subredes privadas. Para proporcionar acceso a Internet a los WorkSpaces de una subred privada, configure una gateway NAT en la subred pública.

Prerequisites

Si aún no está familiarizado con el trabajo con las VPC y las subredes, le recomendamos leerTamaño de subred Y VPC para direcciones IPv4en laGuía del usuario de Amazon VPCantes de realizar las siguientes tareas.

Tareas • Paso 1: Asignar una dirección IP elástica (p. 12) • Paso 2: Creación de una VPC (p. 12) • Paso 3: Agregar una segunda subred privada (p. 13) • Paso 4: Comprobar y asignar nombres a las tablas de ruteo (p. 14) • Paso 5: Dirigir sus WorkSpaces a las subredes (p. 14)

11 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes privadas y una gateway NAT

Note

Como alternativa al siguiente procedimiento para configurar una VPC con subredes privadas y una gateway NAT, puede seguir los pasos de «Proyecto de inicio» tutorial, que detalla cómo configurar su VPC y su directorio WorkSpaces. En ese tutorial también se explica cómo iniciar WorkSpaces, crear imágenes y paquetes personalizados y realizar otras tareas relacionadas con la administración de WorkSpaces. Paso 1: Asignar una dirección IP elástica

Asigne una dirección IP elástica a la gateway NAT como se muestra a continuación. Si utiliza un método alternativo para proporcionar acceso a Internet, puede omitir este paso.

Para asignar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/. 2. En el panel de navegación, elija Elastic IPs (Direcciones IP elásticas). 3. Elija Allocate Elastic IP address (Asignar dirección IP elástica). 4. En la páginaAsignar dirección IP elástica, paraGrupo de direcciones IPv4 públicas, elijaGrupo de direcciones IPv4 de Amazon,La dirección IPv4 pública que lleva a suAWSaccount, o bienGrupo de direcciones IPv4 propiedad del clienteHaga clic en y luego enAsignar un. 5. Anote la dirección IP elástica y, a continuación, elija Close (Cerrar).

Paso 2: Creación de una VPC

Cree una VPC con una subred pública y dos subredes privadas como se indica a continuación.

Para crear la VPC

a. En IPv4 CIDR block (Bloque CIDR IPv4), introduzca el bloque CIDR de la VPC. Recomendamos que utilice un bloque de CIDR de los intervalos de direcciones IP privadas (no enrutables públicamente) especificados RFC 1918. Por ejemplo, 10.0.0.0/16. Para obtener más información, consulteTamaño de subred Y VPC para direcciones IPv4en laGuía del usuario de Amazon VPC. b. En IPv6 CIDR Block (Bloque CIDR IPv6), deje No IPv6 CIDR Block (Ningún bloque de CIDR IPv6). c. En VPC name (Nombre de la VPC), introduzca un nombre para la VPC. 6. Configure la subred pública de la siguiente manera:

a. En IPv4 CIDR block (Bloque CIDR IPv4), introduzca el bloque CIDR de la subred. Por ejemplo, 10.0.0.0/24. Para obtener más información, consulteTamaño de subred Y VPC para direcciones IPv4en laGuía del usuario de Amazon VPC. b. En Availability Zone (Zona de disponibilidad), deje No preference (Sin preferencia). c. En Public subnet name (Nombre de la subred pública), introduzca un nombre para la subred (por ejemplo, WorkSpaces Public Subnet).

12 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes privadas y una gateway NAT

7. Configure la primera subred privada de la siguiente manera:

a. En Private subnet's IPv4 CIDR (CIDR IPv4 de la subred privada), introduzca el bloque CIDR para la subred. Por ejemplo, 10.0.1.0/24. b. Para realizar una selección adecuada paraZona de disponibilidad, consulteZonas de disponibilidad de Amazon WorkSpaces (p. 18). c. En Private subnet name (Nombre de la subred privada), introduzca un nombre para la subred (por ejemplo, WorkSpaces Private Subnet 1). 8. En Elastic IP Allocation ID, elija la dirección IP elástica que ha creado. Si utiliza un método alternativo para proporcionar acceso a Internet, puede omitir este paso. 9. En Service endpoints (Puntos de enlace de servicio), no haga nada. 10. En Enable DNS hostnames (Habilitar nombres de host DNS), deje Yes (Sí). 11. En Hardware tenancy (Tenencia de hardware), deje Default (Predeterminada). 12. Seleccione Create VPC. Tenga en cuenta que se necesitan varios minutos para configurar la VPC. Una vez creada la VPC, elija Aceptar.

Note

Puede asociar un bloque de CIDR IPv6 a la VPC y las subredes. Sin embargo, si configura sus subredes para que asignen automáticamente direcciones IPv6 a las instancias lanzadas en la subred, no podrá utilizar los paquetes de Graphics. (Sin embargo, puede utilizar paquetes de GraphicsPro). Esta restricción se debe a una limitación de hardware de los tipos de instancia de generaciones anteriores que no son compatibles con IPv6. Para solucionar este problema, puede desactivar temporalmente la configuración de asignación automática de direcciones IPv6 en las subredes de WorkSpaces antes de lanzar los paquetes de Graphics y, a continuación, volver a activar esta configuración (si es necesario) después de lanzar los paquetes de Graphics para que otro paquete reciba las direcciones IP deseadas. De forma predeterminada, la configuración de asignación automática de direcciones IPv6 está desactivada. Para comprobar esta configuración desde la consola de Amazon VPC, en el panel de navegación, elijaSubredes. Seleccione la subred y elija Actions (Acciones), Modify auto-assign IP settings (Modificar la configuración de la asignación automática de IP). Para obtener más información acerca de cómo trabajar con direcciones IPv6, consulteDirecciones IP en su VPCen laGuía del usuario de Amazon VPC. Paso 3: Agregar una segunda subred privada

En el paso anterior, ha creado una VPC con una subred pública y una subred privada. Utilice el siguiente procedimiento para añadir una segunda subred privada.

Para añadir una subred privada

1. En el panel de navegación, elija Subnets. 2. Elija Create Subnet. 3. En Name tag (Etiqueta de nombre), introduzca un nombre para la subred privada (por ejemplo, WorkSpaces Private Subnet 2). 4. En VPC, seleccione la VPC que ha creado. 5. Para realizar una selección adecuada paraZona de disponibilidad, consulteZonas de disponibilidad de Amazon WorkSpaces (p. 18). Asegúrese de seleccionar una zona de disponibilidad diferente de la que seleccionó paraStep 7 (p. 13)Antes. 6. En IPv4 CIDR block (Bloque CIDR IPv4), introduzca el bloque CIDR de la subred. Por ejemplo, 10.0.2.0/24. 7. SeleccionarCrearyClose.

13 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes privadas y una gateway NAT Paso 4: Comprobar y asignar nombres a las tablas de ruteo

Puede verificar y asignar un nombre a las tablas de ruteo para cada subred.

Para comprobar y asignar nombres a las tablas de ruteo

1. En el panel de navegación, elija Subnets (Subredes) y seleccione la subred pública que ha creado.

a. En la pestaña Route Table, elija el ID de la tabla de ruteo (por ejemplo, rtb-12345678). b. Seleccione la tabla de ruteo. En Name (Nombre), elija el icono de edición (lápiz) e introduzca un nombre (por ejemplo, workspaces-public-routetable) y, a continuación, elija la marca de verificación para guardar el nombre. c. En la pestaña Routes (Rutas), compruebe que haya una ruta para el tráfico local y otra que envía el resto del tráfico hacia la gateway de Internet de la VPC. Por ejemplo, debería ver entradas similares a las de la tabla siguiente.

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 igw-12345678

2. En el panel de navegación, elija Subnets (Subredes) y seleccione la primera subred privada que ha creado (por ejemplo, WorkSpaces Private Subnet 1).

a. En la pestaña Route Table (tabla de ruteo), elija el ID de la tabla de ruteo. b. Seleccione la tabla de ruteo. En Name (Nombre), elija el icono de edición (lápiz) e introduzca un nombre (por ejemplo, workspaces-private-routetable) y, a continuación, elija la marca de verificación para guardar el nombre. c. En la pestaña Routes, compruebe que hay una ruta para el tráfico local y otra que envía el resto del tráfico hacia la gateway NAT. Por ejemplo, debería ver entradas similares a las de la tabla siguiente.

Destino Objetivo

10.0.0.0/16 local

0.0.0.0/0 nat-12345678

Note

Para proporcionar acceso a Internet a los WorkSpaces en las subredes privadas, asegúrese de que la gateway NAT está configurada en la subred pública. 3. En el panel de navegación, elija Subnets (Subredes) y seleccione la segunda subred privada que ha creado (por ejemplo, WorkSpaces Private Subnet 2). En la pestaña Route Table (Tabla de enrutamiento), compruebe que la tabla de enrutamiento es la tabla de enrutamiento privada (por ejemplo, workspaces-private-routetable). Si la tabla de ruteo es diferente, elija Edit (Editar) y seleccione esta tabla de ruteo.

Paso 5: Dirigir sus WorkSpaces a las subredes

Para enrutar WorkSpaces a las subredes de la VPC, asegúrese de seleccionar la VPC y las subredes durante el proceso de configuración del directorio WorkSpaces.

14 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes públicas

Para configurar el directorio de WorkSpaces, consulteIniciar un escritorio virtual con WorkSpaces (p. 78)y seleccione el tutorial para el tipo de directorio que desea utilizar (AWSManaged Microsoft AD, Simple AD, AD Connector o una relación de confianza entreAWSEl directorio de AD de Microsoft AD y el dominio local). Configurar una VPC con subredes públicas

Si lo prefiere, puede crear una VPC con dos subredes públicas. Para proporcionar acceso a Internet a WorkSpaces en subredes públicas, configure el directorio para que asigne direcciones IP elásticas automática o manualmente a cada WorkSpace.

Prerequisites

Tareas • Paso 1: Creación de una VPC (p. 15) • Paso 2: Agregar una segunda subred pública (p. 16) • Paso 3: Asignar la dirección IP elástica (p. 16) • Paso 4: Dirigir sus WorkSpaces a las subredes (p. 17)

Paso 1: Creación de una VPC

Cree una VPC con una subred pública como se indica a continuación.

Para crear la VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/. 2. En el panel de navegación, elija VPC Dashboard (Panel de VPC) en la esquina superior izquierda. 3. Elija Launch VPC Wizard (Lanzar el asistente de VPC). 4. Seleccione VPC with a Single Public Subnet (VPC con una sola subred pública) y, a continuación, elija Select (Seleccionar). 5. En IPv4 CIDR block (Bloque CIDR IPv4), introduzca el bloque CIDR de la VPC. Recomendamos que utilice un bloque de CIDR de los intervalos de direcciones IP privadas (no enrutables públicamente) especificados RFC 1918. Por ejemplo, 10.0.0.0/16. Para obtener más información, consulteTamaño de subred Y VPC para direcciones IPv4en laGuía del usuario de Amazon VPC. 6. En IPv6 CIDR Block (Bloque CIDR IPv6), deje No IPv6 CIDR Block (Ningún bloque CIDR IPv6). 7. En VPC name (Nombre de la VPC), introduzca un nombre para la VPC. 8. En Public subnet's IPv4 CIDR (CIDR IPv4 de la subred pública), introduzca el bloque CIDR para la subred. Por ejemplo, 10.0.0.0/24. Para obtener más información, consulteTamaño de subred Y VPC para direcciones IPv4en laGuía del usuario de Amazon VPC. 9. Para realizar una selección adecuada paraZona de disponibilidad, consulteZonas de disponibilidad de Amazon WorkSpaces (p. 18). 10. (Opcional) En Subnet name (Nombre de la subred), introduzca un nombre para la subred. 11. En Service endpoints (Puntos de enlace de servicio), no haga nada. 12. En Enable DNS hostnames (Habilitar nombres de host DNS), deje Yes (Sí). 13. En Hardware tenancy (Tenencia de hardware), deje Default (Predeterminada).

15 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes públicas

14. Seleccione Create VPC. Una vez creada la VPC, elija Aceptar.

Note

En el paso anterior, creó una VPC con una subred pública. Utilice el siguiente procedimiento para añadir una segunda subred pública y asociarla a la tabla de ruteo de la primera subred pública, que tiene una ruta a la gateway de Internet para la VPC.

Para añadir una subred pública

1. En el panel de navegación, elija Subnets. 2. Elija Create Subnet. 3. En Name tag (Etiqueta de nombre), introduzca un nombre para la subred. 4. En VPC, seleccione la VPC que ha creado. 5. Para realizar una selección adecuada paraZona de disponibilidad, consulteZonas de disponibilidad de Amazon WorkSpaces (p. 18). Asegúrese de seleccionar una zona de disponibilidad diferente de la que seleccionó paraStep 9 (p. 15)Antes. 6. En IPv4 CIDR block (Bloque CIDR IPv4), introduzca el bloque CIDR de la subred. Por ejemplo, 10.0.1.0/24. 7. Seleccione Create (Crear). Una vez creada la subred, elija Close (Cerrar). 8. Asocie la nueva subred pública con la tabla de ruteo creada para la primera subred de la siguiente manera:

a. En el panel de navegación, elija Subnets. b. Seleccione la primera subred. c. En la pestaña Route Table (tabla de ruteo), elija el ID de la tabla de ruteo. d. En la pestaña Subnet Associations (Asociaciones de subred), elija Edit subnet associations (Editar asociaciones de subred). e. Active la casilla de verificación de la segunda subred (la subred pública que acaba de crear) y elija Save (Guardar).

Paso 3: Asignar la dirección IP elástica

Puede asignar direcciones IP elásticas (direcciones IP públicas estáticas) a los escritorios de WorkSpaces de forma automática o manual. Para utilizar la asignación automática, consulte Configurar direcciones

16 Amazon WorkSpaces Guía de administración Configurar una VPC con subredes públicas

IP automáticas (p. 66). Para asignar direcciones IP elásticas manualmente, utilice el siguiente procedimiento. Warning

Se recomienda que no modifique la interfaz de red elástica del escritorio de WorkSpaces después de que este se lance. Si ha habilitado la asignación automática de direcciones IP elásticas de nivel de directorio, una dirección IP elástica (del grupo proporcionado por Amazon) se asigna a su escritorio de WorkSpaces cuando este se lanza. Sin embargo, si asocia una dirección IP elástica de su propiedad a un escritorio de WorkSpaces y, a continuación, desvincula esa dirección IP elástica del escritorio, este pierde su dirección IP pública y no obtiene automáticamente una nueva del grupo proporcionado por Amazon. Para asociar una nueva dirección IP pública del grupo proporcionado por Amazon al escritorio de WorkSpaces, debe volver a crear el escritorio de WorkSpaces (p. 141). Si no desea volver a crear el escritorio de WorkSpaces, debe asociar otra dirección IP elástica de su propiedad al escritorio.

Para asignar una dirección IP elástica a un WorkSpace manualmente

Para ver un tutorial de vídeo sobre cómo asignar una dirección IP elástica a un WorkSpace, consulteAWSVideo del Centro de conocimiento de¿Cómo puedo asociar una dirección IP elástica a un WorkSpace?.

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Amplíe la fila (seleccione el icono de la flecha) del WorkSpace y anote el valor de WorkSpace IP (IP de WorkSpace). Esta es la dirección IP privada principal del WorkSpace. 4. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/. 5. En el panel de navegación, elija Elastic IPs (Direcciones IP elásticas). Si no tiene una dirección IP elástica disponible, elijaAsignar dirección IP elásticay elijaGrupo de direcciones IPv4 de AmazonorGrupo de direcciones IPv4 propiedad del clienteHaga clic en y luego enAsignar un. Anote la nueva dirección IP. 6. En el panel de navegación, elija Network Interfaces. 7. Seleccione la interfaz de red de WorkSpace. Para encontrar la interfaz de red de WorkSpace, escriba elWorkSpace IP(que anotó anteriormente enStep 3 (p. 17)) en el cuadro de búsqueda y luego presioneEscriba. LaWorkSpace IPcoincide con el valor de la interfaz de redIP IPv4 privada principalcolumn. Tenga en cuenta que la interfaz de redID DE VPCcoincide con el ID de la VPC de WorkSpaces. 8. Elija Actions (Acciones), Manage IP Addresses (Administrar direcciones IP). Elija Assign new IP (Asignar nueva IP) y, a continuación, elija Yes, Update (Sí, actualizar). Anote la nueva dirección IP. 9. Elija Actions, Associate Address. 10. En la página Associate Elastic IP Address (Asociar dirección IP elástica), elija una dirección IP elástica en Address (Dirección). En Associate to private IP address (Asociar a dirección IP privada), especifique la nueva dirección IP privada y, a continuación, elija Associate Address (Asociar dirección).

Paso 4: Dirigir sus WorkSpaces a las subredes

Para enrutar WorkSpaces a las subredes de la VPC, asegúrese de seleccionar la VPC y las subredes durante el proceso de configuración del directorio WorkSpaces.

Para configurar el directorio de WorkSpaces, consulteIniciar un escritorio virtual con WorkSpaces (p. 78)y seleccione el tutorial para el tipo de directorio que desea utilizar (AWSManaged

17 Amazon WorkSpaces Guía de administración Zonas de disponibilidad de WorkSpaces

Microsoft AD, Simple AD, AD Connector o una relación de confianza entreAWSEl directorio de AD de Microsoft AD y el dominio local).

Zonas de disponibilidad de Amazon WorkSpaces

Al crear una nube privada virtual (VPC) para utilizarla con Amazon WorkSpaces, las subredes de su VPC deben residir en diferentes zonas de disponibilidad de la región en la que está iniciando WorkSpaces. Las zonas de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otras zonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única ubicación. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas.

Una zona de disponibilidad está representada por un código de región seguido de un identificador de letra; por ejemplo, us-east-1a. Para garantizar que los recursos se distribuyen por todas las zonas de disponibilidad de una región, asignamos zonas de disponibilidad de manera independiente a nombres de cada cuenta de AWS. Por ejemplo, es posible que la zona de disponibilidad us-east-1a de su cuenta de AWS no se encuentre en la misma ubicación de us-east-1a que otra cuenta de AWS.

Para coordinar las zonas de disponibilidad entre cuentas, debe usar el ID de AZ, que es un identificador único y constante de una zona de disponibilidad. Por ejemplo, use1-az2 es un ID de zona de disponibilidad para la región us-east-1 y tiene la misma ubicación en cada cuenta de AWS.

La visualización de los ID de zona de disponibilidad le permite determinar la ubicación de los recursos de una cuenta en relación con los recursos de otra cuenta. Por ejemplo, si comparte una subred en la zona de disponibilidad con el ID de zona de disponibilidad use1-az2 con otra cuenta, esta subred se encuentra disponible para esa cuenta en la zona de disponibilidad cuyo ID de zona de disponibilidad es también use1-az2. El ID de zona de disponibilidad para cada VPC y subred aparece en la consola de Amazon VPC.

Amazon WorkSpaces está disponible en un subconjunto de las zonas de disponibilidad para cada región admitida. En la tabla siguiente, se enumeran los ID de AZ que puede usar para cada región de. Para ver la asignación de ID de AZ a zonas de disponibilidad de su cuenta, consulteID de AZ de sus recursosen laAWS RAMGuía del usuario.

Nombre de la región Código de región ID de AZ Admite

US East (N. Virginia) us-east-1 use1-az2, use1-az4, use1- az6

US West (Oregon) us-west-2 usw2-az1, usw2-az2, usw2- az3

Asia Pacific (Mumbai) ap-south-1 aps1-az1, aps1-az2, aps1- az3

Asia Pacific (Seoul) ap-northeast-2 apne2-az1, apne2-az3

Asia Pacific (Singapore) ap-southeast-1 apse1-az1, apse1-az2

Asia Pacific (Sydney) ap-southeast-2 apse2-az1, apse2-az3

Asia Pacific (Tokyo) ap-northeast-1 apne1-az1, apne1-az4

Canada (Central) ca-central-1 cac1-az1, cac1-az2

Europe (Frankfurt) eu-central-1 euc1-az2, euc1-az3

18 Amazon WorkSpaces Guía de administración Requisitos de direcciones IP y puertos

Nombre de la región Código de región ID de AZ Admite

Europe (Ireland) eu-west-1 euw1-az1, euw1-az2, euw1- az3

Europe (London) eu-west-2 euw2-az2, euw2-az3

South America (São Paulo) sa-east-1 sae1-az1, sae1-az3

Para obtener más información acerca de varias zonas de disponibilidad y los ID de AZ, consulteRegiones, zonas de disponibilidad y zonas localesen laGuía del usuario de Amazon EC2 para instancias de Linux.

Requisitos de direcciones IP y puertos para WorkSpaces

Para conectarse a los WorkSpaces, la red a la que están conectados los clientes de WorkSpaces debe tener determinados puertos abiertos para los intervalos de direcciones IP de los diferentesAWS(agrupados en subconjuntos). Estos rangos de direcciones varían en función de la región de AWS. Estos puertos también deben estar abiertos en los firewalls que se ejecuten en el cliente. Para obtener más información acerca deAWSIntervalos de direcciones IP para distintas regiones, consulteAWSRangos de direcciones IPen laReferencia general de Amazon Web Services.

Para obtener un diagrama de la arquitectura, consulte Arquitectura de WorkSpaces. Para obtener diagramas de la arquitectura adicionales, consulte la Prácticas recomendadas para la implementación de Amazon WorkSpacesDocumento técnico. Puertos de aplicaciones cliente

La aplicación cliente de WorkSpaces debe tener acceso de salida en los siguientes puertos:

Puerto 443 (TCP)

Este puerto se utiliza para las actualizaciones, el registro y la autenticación de las aplicaciones cliente. Las aplicaciones cliente de escritorio pueden usar un servidor proxy para el tráfico del puerto 443 (HTTPS). Para habilitar el uso de un servidor proxy, abra la aplicación cliente, elija Advanced Settings, seleccione Use Proxy Server, especifique la dirección y el puerto del servidor proxy, y elija Save.

Este puerto debe estar abierto para los siguientes intervalos de direcciones IP: • El subconjunto AMAZON de la región GLOBAL. • El subconjunto AMAZON de la región en la que se encuentra el espacio de trabajo. • El subconjunto AMAZON de la región us-east-1. • El subconjunto AMAZON de la región us-west-2. • El subconjunto S3 de la región us-west-2. Puerto 4172 y 4195 (UDP y TCP)

Estos puertos se utilizan para las transmisiones del escritorio WorkSpace y las comprobaciones de estado. Las aplicaciones cliente de escritorio no admiten el uso de un servidor proxy para el tráfico de los puertos 4172 y 4195; requieren una conexión directa a los puertos 4172 y 4195. Estos puertos deben estar abiertos para todos los intervalos de direcciones IP PCoIP Gateway y WorkSpaces (WSP) y para todos los servidores de comprobación de estado en la región en la que se encuentre el WorkSpace. Para obtener más información, consulte Servidores Health comprobación

19 Amazon WorkSpaces Guía de administración Puertos para Web Access

de estado (p. 27), Servidores de puerta de enlace PCoIP (p. 29) y Servidores de gateway WSP (p. 31).

Note

Si el firewall utiliza filtrado con estado, se abre automáticamente los puertos efímeros (también conocidos como puertos dinámicos) para permitir la comunicación de retorno. Si el firewall utiliza filtros sin estado, debe abrir los puertos efímeros explícitamente para permitir la comunicación de retorno. El intervalo de puertos efímeros que debe abrirse variará en función de la configuración. Puertos para Web Access

WorkSpaces Web Access debe tener acceso de salida en los siguientes puertos:

Puerto 53 (UDP)

Este puerto se utiliza para acceder a los servidores DNS. Debe estar abierto para las direcciones IP del servidor DNS, de modo que el cliente pueda resolver los nombres de dominio público. Si no se utilizan servidores DNS para resolver nombres de dominio, este puerto es opcional. Puerto 80 (UDP y TCP)

Este puerto se utiliza para las conexiones iniciales a https://clients.amazonworkspaces.com y, a continuación, cambia a HTTPS. Debe estar abierto para todos los intervalos de direcciones IP del subconjunto EC2 de la región en la que se encuentre el WorkSpace. Puerto 443 (UDP y TCP)

Este puerto se utiliza para el registro y la autenticación a través de HTTPS. Debe estar abierto para todos los intervalos de direcciones IP del subconjunto EC2 de la región en la que se encuentre el WorkSpace. Puerto 4195 (UDP y TCP)

Para WorkSpaces que están configurados para WorkSpaces Streaming Protocol (WSP), este puerto se utiliza para transmitir el escritorio de WorkSpaces. El acceso web no admite el uso de un servidor proxy para el tráfico del puerto 4195. Se requieren conexiones directas. Este puerto debe estar abierto para los intervalos de direcciones IP de la puerta de enlace WSP. Para obtener más información, consulte Servidores de gateway WSP (p. 31).

Note

Normalmente, el navegador web selecciona de forma aleatoria un puerto de origen en el intervalo superior para usarlo con el tráfico de streaming. WorkSpaces Web Access no tiene control sobre el puerto que el navegador selecciona, por lo que debe asegurarse de que el tráfico de retorno a este puerto está permitido. Dominios y direcciones IP para agregar a su lista de permitidos

Para que la aplicación cliente de WorkSpaces pueda obtener acceso al servicio WorkSpaces, debe agregar los siguientes dominios y direcciones IP a la lista de permisos en la red desde la que el cliente está tratando de obtener acceso al servicio.

20 Amazon WorkSpaces Guía de administración Dominios y direcciones IP para agregar a su lista de permitidos

Dominios y direcciones IP para agregar a su lista de permitidos

Categoría Dominio o dirección IP

CAPTCHA https://opfcaptcha-prod.s3.amazonaws.com/

Actualización automática del cliente • https://d2td7dqidlhjx7.cloudfront.net/ • En el navegadorAWSRegión GovCloud (EE. UU. Oeste):

https://s3.amazonaws.com/workspacesclient-updates/prod/pdt/windows/ WorkSpacesAppCast.xml

Comprobación de la conectividad https://connectivity.amazonworkspaces.com/

Métricas de dispositivos (para aplicaciones cliente https://device-metrics-us-2.amazon.com/ de WorkSpaces 1.0+ y 2.0+)

Métricas de cliente (para aplicaciones cliente de Dominios: WorkSpaces posteriores 3.0+) • https://skylight-client-ds.us- east-1.amazonaws.com • https://skylight-client-ds.us- west-2.amazonaws.com • https://skylight-client-ds.ap- south-1.amazonaws.com • https://skylight-client-ds.ap- northeast-2.amazonaws.com • https://skylight-client-ds.ap- southeast-1.amazonaws.com • https://skylight-client-ds.ap- southeast-2.amazonaws.com • https://skylight-client-ds.ap- northeast-1.amazonaws.com • https://skylight-client-ds.ca- central-1.amazonaws.com • https://skylight-client-ds.eu- central-1.amazonaws.com • https://skylight-client-ds.eu- west-1.amazonaws.com • https://skylight-client-ds.eu- west-2.amazonaws.com • https://skylight-client-ds.sa- east-1.amazonaws.com • En el navegadorAWSRegión GovCloud (EE. UU. Oeste):

https://skylight-client-ds.us-gov- west-1.amazonaws.com

Servicio de mensajería dinámica (para aplicaciones Dominios: cliente de WorkSpaces posteriores 3.0+) • https://ws-client-service.us- east-1.amazonaws.com

21 Amazon WorkSpaces Guía de administración Dominios y direcciones IP para agregar a su lista de permitidos

Categoría Dominio o dirección IP • https://ws-client-service.us- west-2.amazonaws.com • https://ws-client-service.ap- south-1.amazonaws.com • https://ws-client-service.ap- northeast-2.amazonaws.com • https://ws-client-service.ap- southeast-1.amazonaws.com • https://ws-client-service.ap- southeast-2.amazonaws.com • https://ws-client-service.ap- northeast-1.amazonaws.com • https://ws-client-service.ca- central-1.amazonaws.com • https://ws-client-service.eu- central-1.amazonaws.com • https://ws-client-service.eu- west-1.amazonaws.com • https://ws-client-service.eu- west-2.amazonaws.com • https://ws-client-service.sa- east-1.amazonaws.com

22 Amazon WorkSpaces Guía de administración Dominios y direcciones IP para agregar a su lista de permitidos

Categoría Dominio o dirección IP

Configuración de directorios Autenticación desde el cliente al directorio del cliente antes de iniciar sesión en WorkSpace:

• https://d32i4gd7pg4909.cloudfront.net/prod/ /

Conexiones de los clientes de macOS:

• https://d32i4gd7pg4909.cloudfront.net/

Configuración de directorios de clientes:

• https://d21ui22avrxoh6.cloudfront.net/prod/ /

Gráficos de la página de inicio de sesión de la marca compartida en el nivel del directorio del cliente:

• https://d1cbg795sa4g1u.cloudfront.net/prod/ /

Archivo CSS para el estilo de las páginas de inicio de sesión:

• https://d3s98kk2h6f4oh.cloudfront.net/ • https://dyqsoz7pkju4e.cloudfront.net/

Archivo de JavaScript para las páginas de inicio de sesión:

• EE.UU. Este (Norte de Virginia) () https:// d32i4gd7pg4909.cloudfront.net/ • EE.UU. Oeste (Oregón) (https:// d18af777lco7lp.cloudfront.net/ • Asia-Pacífico (Mumbai) (https:// d78hovzzqqtsb.cloudfront.net/ • Asia-Pacífico (Seúl): https:// dtyv4uwoh7ynt.cloudfront.net/ • Asia-Pacífico (Singapur): https:// d3qzmd7y07pz0i.cloudfront.net/ • Asia-Pacífico (Sídney): https:// dwcpoxuuza83q.cloudfront.net/ • Asia Pacífico (Tokio): https:// d2c2t8mxjhq5z1.cloudfront.net/ • Canadá (Central): https:// d2wfbsypmqjmog.cloudfront.net/ • Europa (Fráncfort): https:// d1whcm49570jjw.cloudfront.net/

23 Amazon WorkSpaces Guía de administración Dominios y direcciones IP para agregar a su lista de permitidos

Categoría Dominio o dirección IP • Europa (Irlanda): https:// d3pgffbf39h4k4.cloudfront.net/ • Europa (Londres): https:// d16q6638mh01s7.cloudfront.net/ • América del Sur (São Paulo) () https:// d2lh2qc5bdoq4b.cloudfront.net/

En el navegadorAWSRegión GovCloud (EE. UU. Oeste):

• Configuración de directorios de clientes:

https://s3.amazonaws.com/workspaces-client- properties/prod/pdt/ • Gráficos de la página de inicio de sesión de la marca compartida en el nivel del directorio del cliente:

https://s3.amazonaws.com/workspaces-client- assets/prod/pdt/ • Archivo CSS para el estilo de las páginas de inicio de sesión:

https://s3.amazonaws.com/workspaces-clients- css/workspaces_v2.css • Archivo de JavaScript para las páginas de inicio de sesión:

No aplicable

Servicio de registro de Forrester https://fls-na.amazon.com/

Servidores de Health de estado (DRP) Servidores Health comprobación de estado (p. 27)

Dependencia de registro (para Web Access y https://s3.amazonaws.com Teradici PCoIP Zero Clients)

Páginas de inicio de sesión del usuario https:// .awsapps.com/ (donde es el dominio del cliente)

En el navegadorAWSRegión GovCloud (EE. UU. Oeste):

https://login.us-gov- home.awsapps.com/directory/

24 Amazon WorkSpaces Guía de administración Dominios y direcciones IP para agregar a su lista de permitidos

Categoría Dominio o dirección IP

Agente de WS Dominios:

• https://ws-broker-service.us- east-1.amazonaws.com • https://ws-broker-service-fips.us- east-1.amazonaws.com • https://ws-broker-service.us- west-2.amazonaws.com • https://ws-broker-service-fips.us- west-2.amazonaws.com • https://ws-broker-service.ap- south-1.amazonaws.com • https://ws-broker-service.ap- northeast-2.amazonaws.com • https://ws-broker-service.ap- southeast-1.amazonaws.com • https://ws-broker-service.ap- southeast-2.amazonaws.com • https://ws-broker-service.ap- northeast-1.amazonaws.com • https://ws-broker-service.ca- central-1.amazonaws.com • https://ws-broker-service.eu- central-1.amazonaws.com • https://ws-broker-service.eu- west-1.amazonaws.com • https://ws-broker-service.eu- west-2.amazonaws.com • https://ws-broker-service.sa- east-1.amazonaws.com • https://ws-broker-service.us-gov- west-1.amazonaws.com • https://ws-broker-service-fips.us-gov- west-1.amazonaws.com

25 Amazon WorkSpaces Guía de administración Dominios y direcciones IP para agregar a su lista de permitidos

Categoría Dominio o dirección IP

Puntos de enlace de la API de WorkSpaces Dominios:

• https://workspaces.us-east-1.amazonaws.com • https://workspaces-fips.us- east-1.amazonaws.com • https://workspaces.us-west-2.amazonaws.com • https://workspaces-fips.us- west-2.amazonaws.com • https://workspaces.ap-south-1.amazonaws.com • https://workspaces.ap- northeast-2.amazonaws.com • https://workspaces.ap- southeast-1.amazonaws.com • https://workspaces.ap- southeast-2.amazonaws.com • https://workspaces.ap- northeast-1.amazonaws.com • https://workspaces.ca-central-1.amazonaws.com • https://workspaces.eu-central-1.amazonaws.com • https://workspaces.eu-west-1.amazonaws.com • https://workspaces.eu-west-2.amazonaws.com • https://workspaces.sa-east-1.amazonaws.com • https://workspaces.us-gov- west-1.amazonaws.com • https://workspaces-fips.us-gov- west-1.amazonaws.com

Dominios y direcciones IP para agregar a la lista de permitidos para PCoIP

Categoría Dominio o dirección IP

Gateway de sesión PCoIP (PSG) Servidores de puerta de enlace PCoIP (p. 29)

Agente de sesiones (PCM) Dominios:

• https://skylight-cm.us-east-1.amazonaws.com • https://skylight-cm-fips.us- east-1.amazonaws.com • https://skylight-cm.us-west-2.amazonaws.com • https://skylight-cm-fips.us- west-2.amazonaws.com • https://skylight-cm.ap-south-1.amazonaws.com • https://skylight-cm.ap- northeast-2.amazonaws.com • https://skylight-cm.ap- southeast-1.amazonaws.com • https://skylight-cm.ap- southeast-2.amazonaws.com

26 Amazon WorkSpaces Guía de administración Servidores Health comprobación de estado

Categoría Dominio o dirección IP • https://skylight-cm.ap- northeast-1.amazonaws.com • https://skylight-cm.ca-central-1.amazonaws.com • https://skylight-cm.eu-central-1.amazonaws.com • https://skylight-cm.eu-west-1.amazonaws.com • https://skylight-cm.eu-west-2.amazonaws.com • https://skylight-cm.sa-east-1.amazonaws.com • https://skylight-cm.us-gov- west-1.amazonaws.com • https://skylight-cm-fips.us-gov- west-1.amazonaws.com

Servidores TURN de Web Access para PCoIP Servidores:

• turn:*.us-east-1.rdn.amazonaws.com • turn:*.us-west-2.rdn.amazonaws.com • Web Access no está disponible en la región Asia Pacífico (Mumbai). • turn:*.ap-northeast-2.rdn.amazonaws.com • turn:*.ap-southeast-1.rdn.amazonaws.com • turn:*.ap-southeast-2.rdn.amazonaws.com • turn:*.ap-northeast-1.rdn.amazonaws.com • turn:*.ca-central-1.rdn.amazonaws.com • turn:*.eu-central-1.rdn.amazonaws.com • turn:*.eu-west-1.rdn.amazonaws.com • turn:*.eu-west-2.rdn.amazonaws.com • turn:*.sa-east-1.rdn.amazonaws.com

Dominios y direcciones IP para agregar a la lista de permisos para WorkSpaces Streaming Protocol (WSP)

Categoría Dominio o dirección IP

Gateway de sesión WSG (WSG) Servidores de gateway WSP (p. 31)

Servidores TURN de Web Access para WSP Servidores de gateway WSP (p. 31)

Servidores Health comprobación de estado

Las aplicaciones cliente de WorkSpaces realizan comprobaciones de estado en los puertos 4172 y 4195. Estas comprobaciones validan si el tráfico TCP o UDP se transmite desde los servidores de WorkSpaces a las aplicaciones cliente. Para que estas comprobaciones se realicen correctamente, las políticas de firewall deben permitir el tráfico saliente a las direcciones IP de los siguientes servidores regionales de comprobación de estado.

27 Amazon WorkSpaces Guía de administración Servidores Health comprobación de estado

Región El nombre del host de Direcciones IP comprobación de estado

EE.UU. Este (Norte de Virginia) drp-iad.amazonworkspaces.com 3.209.215.252

3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

EE.UU. Oeste (Oregón) drp-pdx.amazonworkspaces.com 34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

Asia Pacific (Mumbai) drp- 13.127.57,82 bom.amazonworkspaces.com 13.234.250.73

Asia Pacific (Seoul) drp-icn.amazonworkspaces.com 13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

Asia Pacífico (Singapur) drp-sin.amazonworkspaces.com 3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

Asia Pacífico (Sídney) drp-syd.amazonworkspaces.com 3.24.11.127

13.237.232.125

Asia Pacífico (Tokio) drp-nrt.amazonworkspaces.com 18.178.102.247

54.64.174.128

Canada (Central) drp-yul.amazonworkspaces.com 52.60.69.16

52.60.80.237

52.60.173.117

28 Amazon WorkSpaces Guía de administración Servidores de puerta de enlace PCoIP

Región El nombre del host de Direcciones IP comprobación de estado 52.60.201.0

Europe (Frankfurt) drp-fra.amazonworkspaces.com 52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

Europa (Irlanda) drp-dub.amazonworkspaces.com 18.200.177.86

52.48.86.38

54.76.137.224

Europe (London) drp-lhr.amazonworkspaces.com 35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

América del Sur (São Paulo) drp-gru.amazonworkspaces.com 18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWSGovCloud (EE. UU. Oeste) drp-pdt.amazonworkspaces.com 52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

Servidores de puerta de enlace PCoIP

WorkSpaces utiliza PCoIP para transmitir la sesión de escritorio a los clientes a través del puerto 4172. Para sus servidores de gateway de PCoIP, WorkSpaces utiliza un pequeño rango de direcciones IPv4 públicas de Amazon EC2. Esto permite establecer políticas de firewall más completas para los dispositivos que obtienen acceso a WorkSpaces. Tenga en cuenta que los clientes de WorkSpaces no admiten direcciones IPv6 como opción de conectividad en este momento. Note

Actualizamos regularmente nuestros rangos de direcciones IP en el AWSRangos de direcciones IP ip-ranges.jsonfile. Para incorporar los intervalos de direcciones IP más actualizados

29 Amazon WorkSpaces Guía de administración Servidores de puerta de enlace PCoIP

para WorkSpaces, busque entradas en elip-ranges.jsonarchivo dondeservice: "WORKSPACES_GATEWAYS".

Región Intervalo de direcciones IP públicas

EE.UU. Este (Norte de Virginia) 3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

EE.UU. Oeste (Oregón) 35.80.88.0 - 35.80.95.255

44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

Asia Pacific (Mumbai) 13.126.243.0 - 13.126.243.255

Asia Pacific (Seoul) 3.34.37.0 - 3.34.37.255

3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

Asia Pacífico (Singapur) 18.141.152,0 - 18.141.152.255

18.141.154,0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

Asia Pacífico (Sídney) 3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

Asia Pacífico (Tokio) 18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

Canada (Central) 15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

Europe (Frankfurt) 18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

Europa (Irlanda) 3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

Europe (London) 18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

30 Amazon WorkSpaces Guía de administración Servidores de gateway WSP

Región Intervalo de direcciones IP públicas 35.176.32.0 - 35.176.32.255

América del Sur (São Paulo) 18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWSGovCloud (EE. UU. Oeste) 52.61.193.0 - 52.61.193.255

Servidores de gateway WSP Important

A partir de junio de 2020, WorkSpaces transmite la sesión de escritorio de WSP WorkSpaces a clientes a través del puerto 4195 en lugar del puerto 4172. Si desea usar WSP WorkSpaces, asegúrese de que el puerto 4195 esté abierto para el tráfico.

WorkSpaces utiliza un pequeño rango de direcciones IPv4 públicas de Amazon EC2 para sus servidores de gateway de WSP. Esto permite establecer políticas de firewall más completas para los dispositivos que obtienen acceso a WorkSpaces. Tenga en cuenta que los clientes de WorkSpaces no admiten direcciones IPv6 como opción de conectividad en este momento.

Región Intervalo de direcciones IP públicas

EE.UU. Este (Norte de Virginia) 3.227.4.0/22

EE.UU. Oeste (Oregón) 34.223.96.0/22

Asia Pacific (Mumbai) 65.1.156.0/22

Asia Pacific (Seoul) 3.35.160.0/22

Asia Pacífico (Singapur) 13.212.132.0/22

Asia Pacífico (Sídney) 3.25.248.0/22

Asia Pacífico (Tokio) 3.114.164.0/22

Canada (Central) 3.97.20.0/22

Europe (Frankfurt) 18.192.216.0/22

Europa (Irlanda) 3.248.176.0/22

Europe (London) 18.134.68.0/22

América del Sur (São Paulo) 15.228.64.0/22

AWSGovCloud (EE. UU. Oeste) 3.32.139.0/24

Interfaces de red

Cada WorkSpace tiene las interfaces de red siguientes:

31 Amazon WorkSpaces Guía de administración Interfaces de red

• La interfaz de red principal (eth1) proporciona conectividad a los recursos que están dentro de la VPC, además de los que están en Internet, y se utiliza para unir el escritorio de WorkSpaces al directorio. • La interfaz de red de administración (eth0) está conectada a una red de administración segura de WorkSpaces. Se utiliza para la transmisión interactiva del escritorio de WorkSpace paces a los clientes de WorkSpaces y permitir a WorkSpaces administrar el WorkSpaces.

WorkSpaces selecciona la dirección IP de la interfaz de red de administración desde varios rangos de direcciones en función de la región en la que se crean los WorkSpaces. Cuando se registra un directorio, WorkSpaces prueba el CIDR de VPC y las tablas de ruteo de la VPC para determinar si estos rangos de direcciones generan algún conflicto. Si se encuentra un conflicto en todos los rangos de direcciones disponibles en la región, se muestra un mensaje de error y el directorio no se registra. Si cambia las tablas de ruteo en la VPC después de registrar el directorio, puede provocar un conflicto. Warning

No modifique ni elimine ninguna de las interfaces de red asociadas a un escritorio de WorkSpaces. Si lo hace, podría provocar que el escritorio de WorkSpaces estuviera inaccesible o que perdiera el acceso a Internet. Por ejemplo, si ha habilitado la asignación automática de direcciones IP elásticas (p. 66) en el nivel de directorio, una dirección IP elástica (del grupo proporcionado por Amazon) se asigna a su escritorio de WorkSpaces cuando se lanza. Sin embargo, si asocia una dirección IP elástica de su propiedad a un escritorio de WorkSpaces y, a continuación, desvincula esa dirección IP elástica del escritorio, este pierde su dirección IP pública y no obtiene automáticamente una nueva del grupo proporcionado por Amazon. Para asociar una nueva dirección IP pública del grupo proporcionado por Amazon al escritorio de WorkSpaces, debe volver a crear el escritorio de WorkSpaces (p. 141). Si no desea volver a crear el escritorio de WorkSpaces, debe asociar otra dirección IP elástica de su propiedad al escritorio. Interfaz de administración de intervalos IP

En la siguiente tabla se muestran los rangos de direcciones IP para la interfaz de red de administración. Note

• Si está utilizando Bring Your Own License (BYOL), no se aplican los rangos de direcciones IP de la tabla siguiente. En su lugar, PCoIP BYOL WorkSpaces utiliza el rango de direcciones IP 54.239.224.0/20 para el tráfico de interfaz de administración en todos losAWSRegiones. Para los WorkSpaces de Windows WSP BYOL, se aplican los rangos de direcciones IP 54.239.224.0/20 y 10.0.0.0/8 en todos losAWSRegiones. (Estos rangos de direcciones IP se utilizan además del bloque /16 CIDR que seleccione para el tráfico de administración de sus WorkSpaces BYOL). • Si está utilizando WSP WorkSpaces creados a partir de paquetes públicos, el intervalo de direcciones IP 10.0.0.0/8 también se aplica para el tráfico de interfaz de administración en todos losAWSRegiones, además de los rangos PCoIP/WSP que se muestran en la siguiente tabla.

Región Rango de direcciones IP

EE.UU. Este (Norte de Virginia) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16, 198.19.0.0/16

WSP: 10.0.0.0/8

EE.UU. Oeste (Oregón) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16

WSP: 10.0.0.0/8

32 Amazon WorkSpaces Guía de administración Interfaces de red

Región Rango de direcciones IP

Asia Pacific (Mumbai) PCoip/WSP: 192.168.0.0/16

WSP: 10.0.0.0/8

Asia Pacific (Seoul) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Asia Pacífico (Singapur) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Asia Pacífico (Sídney) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16

WSP: 10.0.0.0/8

Asia Pacífico (Tokio) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Canada (Central) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Europe (Frankfurt) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Europa (Irlanda) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16

WSP: 10.0.0.0/8

Europe (London) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

América del Sur (São Paulo) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

AWSGovCloud (EE. UU. Oeste) PCoip/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Puertos de interfaces de administración

Los siguientes puertos deben estar abiertos en la interfaz de red de administración de todos los espacios de trabajo:

• TCP de entrada en el puerto 4172. Se utiliza para establecer la conexión de streaming en el protocolo PCoIP. • UDP de entrada en el puerto 4172. Se utiliza para realizar streaming de la entrada del usuario en el protocolo PCoIP. • TCP de entrada en el puerto 4489. Se usa para el acceso mediante el cliente web. (El cliente de Acceso Web no es compatible con el protocolo WSP).

33 Amazon WorkSpaces Guía de administración Interfaces de red

• TCP de entrada en el puerto 8200. Se utiliza para la administración y la configuración del WorkSpace en el protocolo PCoIP. • TCP de entrada en los puertos 8201-8250. Estos puertos se utilizan para establecer la conexión de streaming y para transmitir la entrada del usuario en el protocolo WSP. • TCP de salida en los puertos 8443 y 9997. Se usa para el acceso mediante el cliente web. (El cliente de Acceso Web no es compatible con el protocolo WSP). • UDP de salida en los puertos 3478, 4172 y 4195. Se usa para el acceso mediante el cliente web. (El cliente de Acceso Web no es compatible con el protocolo WSP). • UDP de salida en los puertos 50002 y 55002. Se utiliza para streaming. Si el firewall utiliza filtrado con estado, se abre automáticamente los puertos efímeros 50002 y 55002 para permitir la comunicación de retorno. Si el firewall utiliza filtros sin estado, debe abrir los puertos efímeros 49152 - 65535 para permitir la comunicación de retorno. • TCP de salida en el puerto 80 a una dirección IP 169.254.169.254 para el acceso al servicio de metadatos de EC2. Cualquier proxy HTTP asignado a sus WorkSpaces debe excluir 169.254.169.254. • TCP de salida en el puerto 1688 a direcciones IP 169.254.169.250 y 169.254.169.251 para permitir el acceso a la activación de Workspaces. Si está utilizando BYOL (BYOL) Windows WorkSpaces, debe permitir el acceso a sus propios servidores KMS para la activación de Windows. • TCP de salida en el puerto 1688 a dirección IP 54.239.236.220 para permitir el acceso a la activación de Office para BYOL WorkSpaces.

Si utiliza Office a través de uno de los paquetes públicos de WorkSpaces, la dirección IP para la activación de Microsoft KMS para Office varía. Para determinar esa dirección IP, busque la dirección IP de la interfaz de administración de WorkSpace y, a continuación, reemplace los dos últimos octetos por64.250. Por ejemplo, si la dirección IP de la interfaz de administración es 192.168.3.5, la dirección IP para la activación de Microsoft KMS Office es 192.168.64.250. • TCP saliente a la dirección IP 127.0.0.2 para WSP WorkSpaces cuando el host WorkSpace Spaces está configurado para utilizar un servidor proxy.

En circunstancias normales, el servicio WorkSpaces configura estos puertos para los WorkSpaces. Si hay instalado un software de seguridad o un firewall en un espacio de trabajo que bloquea alguno de estos puertos, es posible que el espacio de trabajo no funcione correctamente o sea inaccesible. Puertos de interfaces principales

Con independencia del tipo de directorio que tenga, los siguientes puertos deben estar abiertos en la interfaz de red principal de todos los espacios de trabajo:

• Para conectarse a Internet, los siguientes puertos deben estar abiertos en dirección de salida a todos los destinos y en dirección de entrada desde la VPC de WorkSpaces. Debe añadirlos manualmente al grupo de seguridad de los WorkSpaces si desea que obtengan acceso a Internet. • TCP 80 (HTTP) • TCP 443 (HTTPS) • Para comunicarse con los controladores del directorio, los siguientes puertos deben estar abiertos entre la VPC de WorkSpaces y los controladores de directorio. Para un directorio de Simple AD, el grupo de seguridad creado porAWS Directory Servicetendrán estos puertos configurados correctamente. Para el directorio AD Connector, puede que tenga que ajustar el grupo de seguridad predeterminado de la VPC para abrir estos puertos. • TCP/UDP 53: DNS • TCP/UDP 88: autenticación de Kerberos • UDP 123: NTP • TCP 135: RPC • UDP 137-138: Netlogon

34 Amazon WorkSpaces Guía de administración Requisitos de red

• TCP 139: Netlogon • TCP/UDP 389: LDAP • TCP/UDP 445: SMB • TCP 1024-65535: puertos dinámicos para RPC

Si hay instalado un software de seguridad o un firewall en un espacio de trabajo que bloquea alguno de estos puertos, es posible que el espacio de trabajo no funcione correctamente o sea inaccesible.

Requisitos de la red del cliente de Amazon WorkSpaces

Los usuarios de WorkSpaces pueden conectarse a los WorkSpaces mediante la aplicación cliente de un dispositivo compatible. De forma alternativa, pueden usar un navegador web para conectarse a los WorkSpaces que admiten esta forma de acceso. Para obtener una lista de WorkSpaces que admiten el acceso de navegador web, consulte «Qué paquetes de Amazon WorkSpaces admiten el acceso web?» inAcceso de clientes, acceso web y experiencia de usuario. Note

No se puede utilizar un navegador web para conectarse con los WorkSpaces de Amazon Linux. Important

A partir del 1 de octubre de 2020, los clientes ya no podrán usar el cliente de Amazon WorkSpaces Web Access para conectarse a WorkSpaces personalizados de Windows 7 o a WorkSpaces Bring Your Own License (BYOL) de Windows 7.

Para proporcionar a los usuarios una buena experiencia con los escritorios de WorkSpaces, compruebe que sus dispositivos cliente cumplen los siguientes requisitos de red:

• El dispositivo cliente debe tener una conexión a Internet de banda ancha. Recomendamos planificar un mínimo de 1 Mbps por usuario simultáneo que vea una ventana de vídeo de 480p. En función de los requisitos de calidad de usuario para la resolución de vídeo, es posible que se requiera más ancho de banda. • La red a la que está conectado el dispositivo cliente y cualquier firewall que esté en el propio dispositivo cliente deben tener abiertos determinados puertos en los rangos de direcciones IP de diversos servicios de AWS. Para obtener más información, consulte Requisitos de direcciones IP y puertos para WorkSpaces (p. 19) . • Para obtener el mejor desempeño de PCoIP, el tiempo de ida y vuelta (RTT) de la red del cliente a la región en la que están los WorkSpaces debe ser inferior a 100 ms. Si el RTT está entre 100 ms y 200 ms, el usuario puede obtener acceso al WorkSpace, pero el desempeño se ve afectado. Si el RTT está entre 200 ms y 375 ms, el desempeño se reduce. Si el RTT supera los 375ms, se finaliza la conexión de cliente de WorkSpaces.

Para obtener el mejor desempeño de WorkSpaces Streaming Protocol (WSP), el RTT de la red del cliente a la región en la que están los WorkSpaces debe ser inferior a 250 ms. Si el RTT está entre 250 ms y 400 ms, el usuario puede obtener acceso al WorkSpace, pero el desempeño se reduce.

Para comprobar el RTT a los diversosAWSRegiones desde su ubicación, utilice elComprobación del estado de conexión de Amazon WorkSpaces. • Para usar cámaras web con WSP, recomendamos un ancho de banda mínimo de 1,7 megabits por segundo. • Si los usuarios van a obtener acceso a un WorkSpace a través de una red privada virtual (VPN), la conexión debe permitir una unidad de transmisión máxima (MTU) de 1.200 bytes como mínimo.

35 Amazon WorkSpaces Guía de administración Dispositivos de confianza

Note

No se puede acceder a WorkSpaces a través de una VPN conectada a la nube virtual privada (VPC). Para acceder a WorkSpaces mediante una VPN, se requiere conectividad a Internet (a través de las direcciones IP públicas de la VPN), tal como se describe en Requisitos de direcciones IP y puertos para WorkSpaces (p. 19). • Los clientes requieren acceso HTTPS a los recursos de WorkSpaces que aloja el servicio y Amazon Simple Storage Service (Amazon S3). Los clientes no admiten el redireccionamiento proxy en el nivel de aplicaciones. Se requiere acceso HTTPS para que los usuarios puedan completar correctamente el registro y obtener acceso a los WorkSpaces. • Para permitir el acceso desde dispositivos de cliente PCoIP zero, debe usar un paquete de protocolo PCoIP para WorkSpaces. También debe habilitar el protocolo de tiempo de red (NTP) en Teradici. Para obtener más información, consulte Configurar clientes cero de PCoIP para WorkSpaces (p. 50) . • Para clientes 3.0+, si utiliza el inicio de sesión único (SSO) para Amazon WorkDocs, debe seguir las instrucciones deInicio de sesión únicoen laAWS Directory ServiceGuía de administración.

Puede verificar si un dispositivo cliente satisface los requisitos de red como sigue. Para verificar los requisitos de red para clientes 3.0+

1. Abra su cliente de WorkSpaces. Si es la primera vez que abra el cliente, se le pedirá que introduzca el código de registro que recibió en el email de invitación. 2. En función del cliente que esté utilizando, realice una de las siguientes acciones.

Si utiliza... Haga lo siguiente

Clientes Windows o Linux En la esquina superior derecha de la aplicación cliente, seleccione el icono Network (Red) .

Cliente macOS Elija Connections (Conexiones), Network (Red).

La aplicación cliente prueba la conexión de red, los puertos y el tiempo de ida y vuelta y notifica los resultados de estas pruebas. 3. Cierre el cuadro de diálogo Network (Red) para volver a la página de inicio de sesión.

Para verificar los requisitos de red para clientes 1.0+ y 2.0+

1. Abra su cliente de WorkSpaces. Si es la primera vez que abra el cliente, se le pedirá que introduzca el código de registro que recibió en el email de invitación. 2. Elija Network (Red) en la esquina inferior derecha de la aplicación cliente. La aplicación cliente prueba la conexión de red, los puertos y el tiempo de ida y vuelta y notifica los resultados de estas pruebas. 3. Elija Dismiss para volver a la página de inicio de sesión.

Restringir el acceso a WorkSpaces a

De forma predeterminada, los usuarios pueden obtener acceso a WorkSpaces desde cualquier dispositivo compatible conectado a Internet. Si en su organización se limita el acceso a datos corporativos a los dispositivos de confianza (también conocidos como dispositivos administrados), puede restringir el acceso a WorkSpaces a los dispositivos de confianza con certificados válidos.

36 Amazon WorkSpaces Guía de administración Paso 1: Crear los certificados de

Al habilitar esta característica, WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Si la aplicación cliente de WorkSpaces no puede verificar si un dispositivo es de confianza, bloquea los intentos de iniciar sesión o de reconectar desde el dispositivo.

Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, WorkSpaces presenta ambos al cliente y este busca el primer certificado coincidente válido que llega hasta uno de los certificados raíz.

Cliente admitidos

• Android, que se ejecuta en sistemas Android o Chrome OS compatibles con Android • macOS • Windows

Important

Esta característica no es compatible con los siguientes clientes:

• Aplicaciones cliente de WorkSpaces para Linux o iPad • WorkSpaces Web Access • Cliente de terceros, entre ellos Teradici PCoIP, clientes RDP y aplicaciones de escritorio remoto.

Paso 1: Crear los certificados de

Esta característica requiere dos tipos de certificados: certificados raíz generados por una entidad de certificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.

Requirements

• Los certificados deben ser archivos de certificado codificados en Base64, con formato CRT, CERT o PEM. • Los certificados deben incluir un Nombre común. • La longitud máxima que se admite para una cadena de certificados es 4. • WorkSpaces no admite actualmente los mecanismos de revocación de dispositivos, por ejemplo, listas de revocación de certificados (CRL) u Online Certificate Status Protocol (OCSP), para los certificados de cliente. • Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA384 con ECDSA o SHA512 con ECDSA. • Asegúrese de que «uso de clave: Firma digital» está presente en la clave pública; de lo contrario, se producirá un error en la autenticación del dispositivo incluso si las claves públicas y privadas están presentes en el equipo y en la consola de WorkSpaces. • Con sistemas operativos Mac, si el dispositivo está en el llavero del sistema, recomendamos que autorice a la aplicación cliente de WorkSpaces el acceso a los certificados. De lo contrario, los usuarios tendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.

Paso 2: Implementar certificados de cliente en los dispositivos de confianza

Debe instalar los certificados de cliente en los dispositivos de confianza para sus usuarios. Puede utilizar la solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, System

37 Amazon WorkSpaces Guía de administración Paso 3: Configurar la restricción

Center Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que SCCM y MDM pueden; opcionalmente, realizar una evaluación para determinar si los dispositivos cumplen las políticas de su organización para el acceso a WorkSpaces.

Las aplicaciones cliente de WorkSpaces buscan certificados de la siguiente manera:

• Android - En Android, busca en el llavero certificados de cliente. En los sistemas Chrome OS compatibles con Android, busca certificados de usuario en el llavero. • macOS: busca certificados de cliente en el llavero. • Windows: busca los certificados de cliente en los almacenes de certificados de usuario y raíz.

Paso 3: Configurar la restricción

Una vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir el acceso restringido en el nivel de directorio. Esto requiere que la aplicación cliente de WorkSpaces valide el certificado en un dispositivo para permitir que un usuario inicie sesión en WorkSpaces.

Para configurar la restricción

1. Abra la consola de WorkSpaces desdehttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Amplíe Access Control Options. 5. Seleccione el tipo de dispositivo enPara cada tipo de dispositivo, especifique qué dispositivos pueden acceder a WorkSpaces. 6. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:

a. Elija Import (Importar). b. Copie el cuerpo del certificado en el formulario. c. Elija Import (Importar). 7. (Opcional) Especifique si otros tipos de dispositivos tienen acceso a los WorkSpaces.

a. Desplácese hacia abajo hasta la sección Other platforms (Otras plataformas). De forma predeterminada, los clientes de WorkSpaces Web Access y los clientes Linux están deshabilitados y los usuarios acceden a los WorkSpaces desde sus dispositivos de iOS, Android y Chromebooks, así como sus dispositivos de cliente cero de PCoIP. b. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar. c. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija Block. 8. Elija Update and Exit.

Usar tarjetas inteligentes para la autenticación

Los paquetes de Windows y Linux WorkSpaces en WorkSpaces Streaming Protocol (WSP) permiten el uso deTarjeta de acceso común (CAC)yVerificación de identidad personal (PIV)tarjetas inteligentes para la autenticación.

Amazon WorkSpaces admite el uso de tarjetas inteligentes tanto paraautenticación previa a la sesiónyautenticación en sesión. La autenticación previa a la sesión se refiere a la autenticación con tarjeta inteligente que se realiza mientras los usuarios inician sesión en sus WorkSpaces. La autenticación en sesión hace referencia a la autenticación que se realiza después de iniciar sesión.

38 Amazon WorkSpaces Guía de administración Requirements

Por ejemplo, los usuarios pueden usar tarjetas inteligentes para la autenticación durante la sesión mientras trabajan con navegadores web y aplicaciones. También pueden usar tarjetas inteligentes para acciones que requieren permisos administrativos. Por ejemplo, si el usuario tiene permisos administrativos en su Linux WorkSpace, puede usar tarjetas inteligentes para autenticarse cuando ejecutasudoysudo - icommands.

Contenido • Requirements (p. 39) • Limitations (p. 39) • Configuración de directorios (p. 40) • Habilitar tarjetas inteligentes para WorkSpaces de Windows (p. 40) • Habilitar tarjetas inteligentes para Linux WorkSpaces (p. 42)

Requirements

• Se requiere un directorio Conector de Active Directory (AD Connector) para la autenticación previa a la sesión. AD Connector utiliza la autenticación mutua basada en certificados de seguridad de la capa de transporte (TLS mutua) para autenticar a los usuarios en Active Directory mediante un certificado de tarjeta inteligente basado en hardware o software. Para obtener más información acerca de cómo configurar AD Connector y su directorio local, consulteConfiguración de directorios (p. 40). • Para utilizar una tarjeta inteligente con un WorkSpace Windows o Linux, el usuario debe utilizar el cliente de Windows de Amazon WorkSpaces versión 3.1.1 o posterior o el cliente de WorkSpaces macOS versión 3.1.5 o posterior. Para obtener más información acerca del uso de tarjetas inteligentes con los clientes Windows y macOS, consulteSupport con tarjetas inteligentesen laGuía del usuario de Amazon WorkSpaces. • La CA raíz y los certificados de tarjeta inteligente deben cumplir ciertos requisitos. Para obtener más información, consulteHabilitar la autenticación MTLs en AD Connector para su uso con tarjetas inteligentesen laAWS Directory ServiceGuía de administraciónyRequisitos del certificadoen la documentación de Microsoft.

Además de estos requisitos, los certificados de usuario empleados para la autenticación con tarjeta inteligente en Amazon WorkSpaces deben incluir los siguientes atributos: • UPN (UPN) del userPrincipalName de AD en el campo SubjectName (SAN) del certificado. Recomendamos emitir certificados de tarjeta inteligente para el UPN predeterminado del usuario. • El atributo de uso extendido de clave (EKU) de autenticación de cliente (1.3.6.1.5.5.7.3.2). • El atributo EKU de inicio de sesión con tarjeta inteligente (1.3.6.1.4.1.311.20.2.2). • Para la autenticación previa a la sesión, se requiere el protocolo de estado de certificados en línea (OCSP) Para la autenticación durante la sesión, se recomienda OCSP, pero no es necesario.

Limitations

• Sólo la aplicación cliente Windows WorkSpaces versión 3.1.1 o posterior y la aplicación cliente de macOS versión 3.1.5 o posterior son compatibles actualmente para la autenticación con tarjeta inteligente. • La aplicación cliente de Windows WorkSpaces 3.1.1 o posterior admite tarjetas inteligentes sólo cuando el cliente se ejecuta en una versión de 64 bits de Windows. • Actualmente, sólo se admiten directorios de AD Connector para la autenticación con tarjeta inteligente. • La autenticación en sesión está disponible en todas las regiones donde se admite WSP. La autenticación previa a la sesión está disponible en las siguientes regiones: • Asia Pacific (Sydney) Region

39 Amazon WorkSpaces Guía de administración Configuración de directorios

• Asia Pacific (Tokyo) Region • Europe (Ireland) Region • AWSRegión de GovCloud (EE. UU. Oeste) • US East (N. Virginia) Region • US West (Oregon) Region • Para la autenticación durante la sesión y la autenticación previa a la sesión en Linux o Windows WorkSpaces, solo se permite actualmente una tarjeta inteligente a la vez. • Para la autenticación previa a la sesión, actualmente no se admite habilitar la autenticación con tarjeta inteligente y la autenticación de nombre de usuario y contraseña en el mismo directorio. • Por el momento, solo se admiten las tarjetas CAC y PIV. Otros tipos de tarjetas inteligentes basadas en hardware o software también podrían funcionar, pero no se han probado completamente para su uso con WSP. • Actualmente no se admite el uso de una tarjeta inteligente para desbloquear la pantalla durante una sesión de Windows o Linux WorkSpace. Para evitar este problema para Windows WorkSpaces, consultePara detectar la pantalla de bloqueo de Windows y desconectar la sesión (p. 40). Para evitar este problema para WorkSpaces de Linux, consultePara deshabilitar la pantalla de bloqueo en Linux WorkSpaces (p. 44).

Configuración de directorios

Para habilitar la autenticación con tarjeta inteligente, debe configurar el directorio de AD Connector y el directorio local de la siguiente manera.

Configuración del directorio de AD Connector

Antes de comenzar, asegúrese de que el directorio de AD Connector se haya configurado como se describe enRequisitos previos de AD Connectoren laAWS Directory ServiceGuía de administración. En particular, asegúrese de haber abierto los puertos necesarios en su firewall.

Para terminar de configurar el directorio de AD Connector, siga las instrucciones deHabilitar la autenticación MTLs en AD Connector para su uso con tarjetas inteligentesen laAWS Directory ServiceGuía de administración.

Configuración del directorio local

Además de configurar el directorio AD Connector, también debe asegurarse de que los certificados emitidos a los controladores de dominio para el directorio local tienen establecido el uso de clave extendida (EKU) «Autenticación KDC». Para ello, utilice la plantilla de certificado de autenticación de Kerberos predeterminada de Active Directory Domain Services. No utilice una plantilla de certificado de controlador de dominio ni una plantilla de certificado de autenticación de controlador de dominio porque esas plantillas no contienen la configuración necesaria para la autenticación con tarjeta inteligente. Habilitar tarjetas inteligentes para WorkSpaces de Windows

Para obtener instrucciones generales sobre cómo habilitar la autenticación con tarjeta inteligente en Windows, consulteDirectrices para habilitar el inicio de sesión con tarjeta inteligente con entidades emisoras de certificados de tercerosen la documentación de Microsoft.

Para detectar la pantalla de bloqueo de Windows y desconectar la sesión

Para permitir que los usuarios desbloqueen Windows WorkSpaces que están habilitados para la autenticación previa a la sesión con tarjeta inteligente cuando la pantalla está bloqueada, puede habilitar la detección de pantalla de bloqueo de Windows en las sesiones de los usuarios. Cuando se detecta la

40 Amazon WorkSpaces Guía de administración Habilitar tarjetas inteligentes para WorkSpaces de Windows pantalla de bloqueo de Windows, se desconecta la sesión de WorkSpace paces y el usuario puede volver a conectarse desde el cliente de WorkSpaces mediante su tarjeta inteligente.

Puede habilitar la desconexión de la sesión cuando se detecta la pantalla de bloqueo de Windows mediante la configuración de directiva de grupo. Para obtener más información, consulte Habilitar o deshabilitar sesión de desconexión en bloqueo de pantalla para WSP (p. 119).

Para habilitar la autenticación durante la sesión o previa a la sesión

De forma predeterminada, Windows WorkSpaces no está habilitado para admitir el uso de tarjetas inteligentes para la autenticación previa a la sesión o durante la sesión. Si es necesario, puede habilitar la autenticación en sesión y previa a la sesión para Windows WorkSpaces mediante la configuración de directiva de grupo. Para obtener más información, consulte Habilite o deshabilite la redirección de tarjetas inteligentes para WSP (p. 118).

Para utilizar la autenticación previa a la sesión, además de actualizar la configuración de directiva de grupo, también debe habilitar la autenticación previa a la sesión a través de la configuración de directorio de AD Connector. Para obtener más información, siga las instrucciones enHabilitar la autenticación MTLs en AD Connector para su uso en tarjetas inteligentesen laAWS Directory ServiceGuía de administración.

Para permitir que los usuarios utilicen tarjetas inteligentes en un explorador

Si tus usuarios utilizan Chrome como navegador, no se requiere ninguna configuración especial para usar tarjetas inteligentes.

Si tus usuarios usan Firefox como navegador, puedes habilitar a tus usuarios para usar tarjetas inteligentes en Firefox a través de la directiva de grupo. Puede usar estosPolicy template de Firefoxen GitHub.

Por ejemplo, puede instalar la versión de 64 bits deOpenSCpara que Windows admita PKCS #11 y, a continuación, utilice la siguiente configuración de directiva de grupo, dondeNAME_OF_DEVICEes el valor que desee usar para identificar PKCS #11, comoOpenSC, y dondePATH_TO_LIBRARY_FOR_DEVICEes la ruta al módulo PKCS #11. Esta ruta debe apuntar a una biblioteca con una extensión.DLL, comoC: \Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll.

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE

Tip

Si utiliza OpenSC, también puede cargar elpkcs11en Firefox ejecutando elpkcs11- register.exePrograma. Para ejecutar este programa, haga doble clic en el archivo enC: \Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe, o abra una ventana del símbolo del sistema y ejecute el siguiente comando:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"

Para verificar que el archivo OpenSCpkcs11En Firefox, haga lo siguiente:

1. Si Firefox ya se está ejecutando, ciérrelo. 2. Abra Firefox. Seleccione el botón de menúEn la esquina superior derecha y, a continuación, elijaOpciones. 3. En la páginaacerca de:preferenciasEn el panel de navegación izquierdo, elijaSeguridad y privacidad. 4. UNDERCertificados, elijaDispositivos de seguridad. 5. En el navegadorAdministrador de dispositivos, debería verMarco de tarjetas inteligentes OpenSC (0.21)en la navegación izquierda, y debería tener los siguientes valores al seleccionarlo:

41 Amazon WorkSpaces Guía de administración Habilitar tarjetas inteligentes para Linux WorkSpaces

Módulo:OpenSC smartcard framework (0.21)

Ruta:C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc- pkcs11.dll

Troubleshooting

Para obtener información sobre cómo solucionar problemas con las tarjetas inteligentes, consulteProblemas de certificación y configuraciónen la documentación de Microsoft.

Algunos problemas comunes que pueden causar problemas:

• Asignación incorrecta de las ranuras a los certificados. • Tener varios certificados en la tarjeta inteligente que pueden coincidir con el usuario. Los certificados se coinciden con los siguientes criterios: • La CA raíz del certificado. • Laydel certificado. • El UPN en el asunto del certificado. • Tener varios certificados que tienenmsScLoginen su uso clave.

En general, es mejor tener un solo certificado para la autenticación con tarjeta inteligente que esté asignado a la primera ranura de la tarjeta inteligente.

Las herramientas para administrar los certificados y claves de la tarjeta inteligente (como quitar o reasignar los certificados y claves) pueden ser específicas del fabricante. Para obtener más información, consulte la documentación facilitada por el fabricante de las tarjetas inteligentes. Habilitar tarjetas inteligentes para Linux WorkSpaces Note

Los paquetes de Linux WorkSpaces en WorkSpaces Streaming Protocol (WSP) sólo están disponibles en elAWSGovCloud (EE.UU. Oeste) Región en este momento. En la actualidad, Linux WorkSpaces en WSP tienen las siguientes limitaciones:

• No se admite la redirección de Portapapeles, entrada de audio, entrada de vídeo ni zona horaria. • No se admiten varios monitores. • Debe utilizar la aplicación cliente Windows WorkSpaces para conectarse a Linux WorkSpaces en WSP.

Para habilitar el uso de tarjetas inteligentes en Linux WorkSpaces, debe incluir un archivo de certificado de CA raíz en el formato PEM en la imagen de WorkSpace paces.

Para obtener el certificado de CA raíz

Puede obtener el certificado de CA raíz de varias maneras:

• Puede utilizar un certificado de CA raíz operado por una entidad de certificación de terceros. • Puede exportar su propio certificado de CA raíz mediante el sitio Web Inscripción, que eshttp://ip_address/certsrvorhttp://fqdn/certsrv, dondeip_addressyfqdnson la dirección IP y el nombre de dominio completo (FQDN) del servidor de CA de certificación raíz. Para obtener más información acerca del uso del sitio de inscripción en Web, consulteCómo exportar un certificado de entidad emisora de certificados raízen la documentación de Microsoft.

42 Amazon WorkSpaces Guía de administración Habilitar tarjetas inteligentes para Linux WorkSpaces

• Puede utilizar el siguiente procedimiento para exportar el certificado de CA raíz desde un servidor de certificación de CA raíz que ejecuta Servicios de certificados de Active Directory (AD CS). Para obtener información acerca de cómo instalar AD CS, consulte.Instalar la entidad de certificaciónen la documentación de Microsoft.

1. Inicie sesión en el servidor de CA raíz con una cuenta de administrador. 2. Desde Windowsinicia, abra una ventana del símbolo del sistema (inicia >Sistema Windows >Símbolo del sistema). 3. Utilice el siguiente comando para exportar el certificado de CA raíz a un nuevo archivo, donderootca.ceres el nombre del nuevo archivo:

certutil -ca.cert rootca.cer

Para obtener más información acerca de cómo ejecutar certutil, consultecertutilen la documentación de Microsoft. 4. Utilice el siguiente comando OpenSSL para convertir el certificado de CA raíz exportado del formato DER al formato PEM, donderootcaes el nombre del certificado. Para obtener más información acerca de OpenSSL, consultewww.openssl.org.

openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem

Para agregar el certificado de CA raíz a los WorkSpaces de Linux

Para ayudarle a habilitar las tarjetas inteligentes, hemos agregado elenable_smartcarda nuestros paquetes WSP de Amazon Linux. Este script realiza las siguientes acciones:

• Importa el certificado de CA raíz enServicios de seguridad de redes (NSS)Base de datos. • Instala elpam_pkcs11para la autenticación del módulo de autenticación conectable (PAM). • Realiza una configuración predeterminada, que incluye habilitarpkinitdurante el aprovisionamiento de WorkSpace

En el siguiente procedimiento, se explica cómo utilizar laenable_smartcardpara agregar su certificado de CA raíz a sus WorkSpaces de Linux y habilitar tarjetas inteligentes para sus WorkSpaces de Linux.

1. Cree un nuevo espacio de WorkSpace Linux con el protocolo WSP habilitado. Al iniciar WorkSpace en la consola de Amazon WorkSpaces, en la pestañaSeleccionar paquetes, asegúrese de seleccionarWSPpara el protocolo y, a continuación, seleccione uno de los paquetes públicos de Amazon Linux 2. 2. En el nuevo WorkSpace, ejecute el siguiente comando como raíz, dondepem-pathEs la ruta al archivo de certificado de CA raíz en formato PEM.

/usr/lib/skylight/enable_smartcard --ca-cert pem-path

Note

Linux WorkSpaces supone que los certificados de las tarjetas inteligentes se emiten para el nombre principal de usuario (UPN) predeterminado del usuario, comosAMAccountName@domain, dondedomainEs un nombre de dominio completo (FQDN). Para utilizar sufijos UPN alternativos,run /usr/lib/skylight/enable_smartcard -- helpPara obtener más información, consulte. La asignación de sufijos UPN alternativos es única para cada usuario. Por lo tanto, esa asignación debe realizarse individualmente en WorkSpace de cada usuario.

43 Amazon WorkSpaces Guía de administración Habilitar tarjetas inteligentes para Linux WorkSpaces

3. (Opcional) De forma predeterminada, todos los servicios están habilitados para usar autenticación con tarjeta inteligente en Linux WorkSpaces. Para limitar la autenticación con tarjeta inteligente sólo a servicios específicos, debe editar/etc/pam.d/system-auth. Anule el comentario deauthLínea parapam_succeed_if.soy edite la lista de servicios según sea necesario.

After elauth, para permitir que un servicio use la autenticación con tarjeta inteligente, debe agregarla a la lista. Para hacer que un servicio utilice sólo la autenticación de contraseña, debe quitarla de la lista. 4. (Opcional) El uso de una tarjeta inteligente para desbloquear la pantalla no es compatible actualmente. Para deshabilitar la pantalla de bloqueo en Linux WorkSpaces, cree un archivo llamado/usr/share/ glib-2.0/schemas/10_screensaver.gschema.overrideCon el siguiente contenido:

[org.mate.screensaver] lock-enabled=false

Después de crear este archivo, ejecute este comando:

sudo glib-compile-schemas /usr/share/glib-2.0/schemas/

5. Realice cualquier personalización adicional en WorkSpace. Por ejemplo, es posible que desee agregar una directiva de todo el sistema apermitir a los usuarios usar tarjetas inteligentes en Firefox (p. 44). (Los usuarios de Chrome deben habilitar las tarjetas inteligentes en sus propios clientes. Para obtener más información, consulteSupport con tarjetas inteligentesen laGuía del usuario de Amazon WorkSpaces.) 6. Crear una imagen y un paquete de WorkSpace personalizados (p. 155)El espacio de trabajo. 7. Utilice el nuevo paquete personalizado para lanzar WorkSpaces para los usuarios.

Para permitir que los usuarios usen tarjetas inteligentes en Firefox

Puede permitir que sus usuarios usen tarjetas inteligentes en Firefox agregando una directiva SecurityDevices a su imagen de Linux WorkSpace. Para obtener más información acerca de cómo agregar políticas de todo el sistema a Firefox, consulte laPolicy templates (Plantillasen GitHub.

1. En WorkSpace que utiliza para crear la imagen de WorkSpaces, cree un nuevo archivo llamadopolicies.jsonin/usr/lib64/firefox/distribution/. 2. En el archivo JSON, añada la siguiente política de SecurityDevices, dondeNAME_OF_DEVICEEs el valor que desea utilizar para identificar lapkcsmódulo. Por ejemplo, es posible que desee utilizar un valor como"OpenSC":

{ "policies": { "SecurityDevices": { "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so" } } }

Troubleshooting

Para solucionar problemas, se recomienda agregar elpkcs11-toolsUtilidad. Esta utilidad le permite realizar las siguientes acciones:

• Enumera cada tarjeta inteligente. • Enumere las ranuras de cada tarjeta inteligente.

44 Amazon WorkSpaces Guía de administración Habilitar tarjetas inteligentes para Linux WorkSpaces

• Enumere los certificados de cada tarjeta inteligente.

Algunos problemas comunes que pueden causar problemas:

En general, es mejor tener un solo certificado para la autenticación con tarjeta inteligente que esté asignado a la primera ranura de la tarjeta inteligente.

Las herramientas para administrar los certificados y claves de la tarjeta inteligente (como quitar o reasignar los certificados y claves) pueden ser específicas del fabricante. Las herramientas adicionales que puede utilizar para trabajar con tarjetas inteligentes son:

• opensc-explorer • opensc-tool • pkcs11_inspect • pkcs11_listcerts • pkcs15-tool

Para habilitar el registro de depuración de

Para solucionar problemas depam_pkcs11ypam-krb5, puede habilitar el registro de depuración.

1. En el navegador/etc/pam.d/system-auth-ac, edite elauthy cambie elnodebugParámetro depam_pksc11.soDe adebug. 2. En el navegador/etc/pam_pkcs11/pam_pkcs11.conf, cambiardebug = false;De adebug = true;. Ladebugse aplica por separado a cada módulo del asignador, por lo que es posible que deba cambiarlo directamente bajo el parámetropam_pkcs11y también bajo la sección correspondiente del asignador (por defecto, esto esmapper generic). 3. En el navegador/etc/pam.d/system-auth-ac, edite elauthy agregue eldebugo eldebug_sensitiveParapam_krb5.so.

Después de habilitar el registro de depuración, el sistema imprimepam_pkcs11mensajes de depuración directamente en el terminal activo. Mensajes desdepam_krb5han iniciado sesión/var/log/secure.

Para comprobar a qué nombre de usuario se asigna un certificado de tarjeta inteligente, utilice el siguientepklogin_finderComando de la : sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

Cuando se le solicite, escriba el PIN de tarjeta inteligente.pklogin_finderLas salidas enstdoutel nombre de usuario en el certificado de tarjeta inteligente en el formularioNETBIOS\username. Este nombre de usuario debe coincidir con el WorkSpace de usuario del

En Active Directory Domain Services (AD DS), el nombre de dominio NetBIOS es el nombre de dominio anterior a Windows 2000. Normalmente (pero no siempre), el nombre de dominio NetBIOS es el subdominio del nombre de dominio del Sistema de nombres de dominio (DNS). Por ejemplo, si el nombre

45 Amazon WorkSpaces Guía de administración Acceso a Internet

de dominio DNS esexample.com, el nombre de dominio NetBIOS suele serEXAMPLE. Si el nombre de dominio DNS escorp.example.com, el nombre de dominio NetBIOS suele serCORP.

Por ejemplo, para el usuariommajoren el dominiocorp.example.com, la salida depklogin_finderesCORP\mmajor. Note

Si recibe el mensaje"ERROR:pam_pkcs11.c:504: verify_certificate() failed", este mensaje indica quepam_pkcs11ha encontrado un certificado en la tarjeta inteligente que coincide con los criterios de nombre de usuario pero que no se conecta a un certificado de CA raíz reconocido por el equipo. Cuando eso suceda,pam_pkcs11emite el mensaje anterior y luego intenta el siguiente certificado. Permite la autenticación solo si encuentra un certificado que coincida con el nombre de usuario y cadenas hasta un certificado de CA raíz reconocido.

Para solucionar problemas depam_krb5, puede invocar manualmentekinitEn modo de depuración con el siguiente comando:

KRB5_TRACE=/dev/stdout kinit -V

Este comando debe obtener correctamente un Ticket de concesión de tickets de Kerberos (TGT). Si falla, intente agregar explícitamente el nombre principal de Kerberos correcto al comando. Por ejemplo, para el usuariommajoren el dominiocorp.example.comUtilice este comando:

KRB5_TRACE=/dev/stdout kinit -V mmajor

Si este comando se realiza correctamente, lo más probable es que el problema se produzca en la asignación del nombre de usuario de WorkSpace al nombre principal de Kerberos. Compruebe la[appdefaults]/pam/mappingsen la sección/etc/krb5.conffile.

Si este comando no tiene éxito, pero unkinitno tiene éxito, compruebe elpkinit_configuraciones relacionadas en el/etc/krb5.conffile. Por ejemplo, si la tarjeta inteligente contiene más de un certificado, es posible que deba realizar cambios enpkinit_cert_match.

Proporcionar acceso a Internet desde su WorkSpace

Sus WorkSpaces deben obtener acceso a Internet para que pueda instalar las actualizaciones en el sistema operativo e implementar las aplicaciones. Puede utilizar una de las siguientes opciones para permitir que sus WorkSpaces en una nube privada virtual (VPC) obtengan acceso a Internet.

Options

• Lance sus WorkSpaces en subredes privadas y configure una gateway NAT en una subred pública de su VPC. • Lance sus WorkSpaces en subredes públicas y asigne automáticamente o manualmente direcciones IP públicas a sus WorkSpaces.

Para obtener más información acerca de estas opciones, consulte las secciones correspondientes enConfigurar una VPC para WorkSpaces (p. 10).

Con cualquiera de estas opciones, debe asegurarse de que el grupo de seguridad para los escritorios de WorkSpaces permite el tráfico saliente en los puertos 80 (HTTP) y 443 (HTTPS) para todos los destinos (0.0.0.0/0).

46 Amazon WorkSpaces Guía de administración Grupos de seguridad

Amazon WAM

Si utiliza Amazon WorkSpaces Application Manager (Amazon WAM) para implementar aplicaciones en WorkSpaces, estos deben tener acceso a Internet.

Biblioteca de extras de Amazon Linux

Si utiliza el repositorio de Amazon Linux, los WorkSpaces de Amazon Linux deben tener acceso a Internet o bien se deben configurar puntos de enlace de la VPC a este repositorio y al repositorio principal de Amazon Linux. Para obtener más información, consulte laEjemplo: Habilitar acceso a repositorios de la AMI de Amazon LinuxsecciónPuntos de enlace para Amazon S3. Los repositorios de AMI de Amazon Linux son buckets de Amazon S3 en cada región. Si desea que las instancias de su VPC obtengan acceso a los repositorios a través de un punto de enlace, puede crear una política de puntos de enlace que permita el acceso a estos buckets. La siguiente política permite obtener acceso a los repositorios de Amazon Linux.

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }

Grupos de seguridad de sus WorkSpaces

Cuando registra un directorio con WorkSpaces, crea dos grupos de seguridad: uno para los controladores del directorio y otro para los WorkSpaces del directorio. El grupo de seguridad de los controladores de directorio tiene un nombre que consta del identificador de directorio seguido de _controllers (por ejemplo, d-12345678e1_controllers). El grupo de seguridad de WorkSpaces tiene un nombre que consta del identificador de directorio seguido de _workspacesMembers (por ejemplo, d-123456FC11_workspacesMembers). Warning

No modifique ni elimine el_controladoresy la_Espacios de trabajoMiembrosGrupos de seguridad. Si modifica o elimina estos grupos de seguridad, su escritorio de WorkSpaces no funcionará correctamente y no podrá volver a crear y añadir estos grupos.

Puede agregar un grupo de seguridad predeterminado de WorkSpaces a un directorio. Después de asociar un nuevo grupo de seguridad a un directorio de WorkSpaces, los nuevos WorkSpaces que inicie o los WorkSpaces existentes que vuelva a crear tendrán el nuevo grupo de seguridad. También puede agregar este nuevo grupo de seguridad predeterminado a WorkSpaces existentes sin volverlos a crear (p. 48), como se explica más adelante en este tema.

Al asociar varios grupos de seguridad a un directorio de Workspaces, las reglas de cada grupo de seguridad se agregan de manera eficiente para crear un conjunto de reglas. Recomendamos condensar las reglas de grupo de seguridad tanto como sea posible.

47 Amazon WorkSpaces Guía de administración Grupos de control de acceso a direcciones IP

Para obtener más información acerca de los grupos de seguridad, consulte .Grupos de seguridad de su VPCen laGuía del usuario de Amazon VPC.

Para agregar un grupo de seguridad a un directorio de WorkSpaces

1. Abra la consola de WorkSpaceshttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y elija Actions, Update Details. 4. Amplíe Security Group y seleccione un grupo de seguridad. 5. Elija Update and Exit.

Para agregar un grupo de seguridad a un escritorio de WorkSpaces existente sin volver a crearlo, asigne el nuevo grupo de seguridad a la interfaz de red elástica (ENI) del escritorio de WorkSpaces.

Para agregar un grupo de seguridad a un WorkSpace existente

1. Busque la dirección IP de cada escritorio de WorkSpaces que deba actualizarse.

a. Abra la consola de WorkSpaceshttps://console.aws.amazon.com/workspaces/. b. Expanda cada escritorio de WorkSpaces y registre su dirección IP de WorkSpaces. 2. Busque el ENI de cada escritorio de WorkSpaces y actualice su asignación de grupo de seguridad.

a. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/. b. En Red y seguridad, elija Interfaces de red. c. Busque la primera dirección IP que registró en el paso 1. d. Seleccione el ENI asociado a la dirección IP, elija Acciones, y, a continuación, elija Cambiar grupos de seguridad. e. Seleccione el nuevo grupo de seguridad y elija Guardar. f. Repita este proceso según sea necesario para todos los demás escritorios de WorkSpaces.

Grupos de control de acceso a direcciones IP para sus WorkSpaces

Amazon WorkSpaces le permite controlar las direcciones IP desde las que se puede acceder a WorkSpaces. Mediante los grupos de control basados en direcciones IP, puede definir y administrar grupos de direcciones IP de confianza y permitir que los usuarios tengan acceso a sus WorkSpaces cuando estén conectados a una red de confianza.

Un grupo de control de acceso a direcciones IP actúa como un firewall virtual que controla las direcciones IP desde las que los usuarios pueden tener acceso a sus escritorios de WorkSpaces. Para especificar los intervalos de direcciones CIDR, añada reglas al grupo de control de acceso a direcciones IP y, a continuación, asocie el grupo a su directorio. Puede asociar cada grupo de control de acceso a direcciones IP a uno o varios directorios. Puede crear hasta 100 grupos de control de acceso a direcciones IP por región.AWSaccount. Sin embargo, solo puede asociar un máximo de 25 grupos de control de acceso a direcciones IP a cada directorio.

A cada directorio se asocia un grupo de control de acceso a direcciones IP predeterminado. Este grupo predeterminado incluye una regla predeterminada que permite a los usuarios acceder a sus WorkSpaces desde cualquier lugar. No puede modificar el grupo de control de acceso a direcciones IP predeterminado para su directorio. Si no asocia un grupo de control de acceso a direcciones IP a su directorio, se utiliza

48 Amazon WorkSpaces Guía de administración Cree un grupo de control de acceso a direcciones IP el grupo predeterminado. Si asocia un grupo de control de acceso a direcciones IP a un directorio, se desvincula el grupo predeterminado.

Para especificar las direcciones IP públicas y los intervalos de direcciones IP para sus redes de confianza, añada reglas a sus grupos de control de acceso a direcciones IP. Si los usuarios tienen acceso a los WorkSpaces a través de una gateway NAT o VPN, debe crear reglas que permitan el tráfico desde las direcciones IP públicas para la gateway NAT o VPN. Note

Los grupos de control de acceso IP no permiten utilizar direcciones IP dinámicas con NAT. Si utiliza una NAT, configúrela para que use una dirección IP estática en lugar de una dinámica. Asegúrese de que la NAT direcciona todo el tráfico UDP a través de la misma dirección IP estática mientras dura la sesión de WorkSpaces.

Puede utilizar esta característica con Web Access, clientes cero PCoIP y las aplicaciones cliente en macOS, iPad, Windows,Chromebook,Android y Android. Cree un grupo de control de acceso a direcciones IP

Puede crear un grupo de control de acceso a direcciones IP como sigue. Cada grupo de control de acceso a direcciones IP puede contener hasta 10 reglas.

Para crear un grupo de control de acceso a direcciones IP

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione IP Access Controls (Controles de acceso a direcciones IP). 3. Elija Create IP Group (Crear grupo de IP). 4. En el cuadro de diálogo Create IP Group (Crear grupo de IP), introduzca un nombre y una descripción para el grupo, y elija Create (Crear). 5. Seleccione el grupo y elija Edit (Editar). 6. Para cada dirección IP, elija Add Rule (Añadir regla). En Source (Origen), introduzca la dirección IP o el intervalo de direcciones IP. En Description (Descripción), escriba una descripción. Cuando haya acabado de añadir reglas, elija Save (Guardar).

Para asociar un grupo de control de acceso a direcciones IP a un directorio

Puede asociar un grupo de control de acceso a direcciones IP a un directorio para asegurarse de que solo se tenga acceso a los escritorios de WorkSpaces desde redes de confianza.

Si asocia un grupo de control de acceso a direcciones IP que no tiene reglas a un directorio, se bloquea todo el acceso a todos los escritorios de WorkSpaces.

Para asociar un grupo de control de acceso a direcciones IP a un directorio

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y elija Actions, Update Details. 4. Expanda IP Access Control Groups (Grupos de control de acceso a direcciones IP) y seleccione uno o varios grupos. 5. Elija Update and Exit.

49 Amazon WorkSpaces Guía de administración Para Copiar un grupo de control de acceso

Para Copiar un grupo de control de acceso

Puede utilizar un grupo de control de acceso a direcciones IP existente como punto de partida para crear un nuevo grupo de control de acceso a direcciones IP.

Para crear un grupo de control de acceso a direcciones IP a partir de uno existente

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione IP Access Controls (Controles de acceso a direcciones IP). 3. Seleccione el grupo y elija Actions (Acciones), Copy to New (Copiar en nuevo). 4. En el cuadro de diálogo Copy IP Group (Copiar grupo de IP), escriba un nombre y una descripción para el nuevo grupo, y elija Copy Group (Copiar grupo). 5. (Opcional) Para modificar las reglas copiadas del grupo original, seleccione el nuevo grupo y elija Edit (Editar). Añada, actualice o elimine reglas según sea necesario. Elija Save (Guardar).

Eliminar un grupo de control de acceso a direcciones IP

Puede eliminar una regla de un grupo de control de acceso a direcciones IP en cualquier momento. Si elimina una regla que se utilizó para permitir una conexión a un escritorio de WorkSpaces, el usuario se desconecta del escritorio de WorkSpaces.

Para poder eliminar un grupo de control de acceso a direcciones IP, debe desvincularlo de todos los directorios.

Para eliminar un grupo de control de acceso a direcciones IP

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Para cada directorio asociado al grupo de control de acceso a direcciones IP, seleccione el directorio y haga clic en Actions (Acciones), Update Details (Actualizar detalles). Expanda IP Access Control Groups (Grupos de control de acceso a direcciones IP), desactive la casilla del grupo de control de acceso a direcciones IP y, a continuación, seleccione Update and Exit (Actualizar y salir). 4. En el panel de navegación, seleccione IP Access Controls (Controles de acceso a direcciones IP). 5. Seleccione el grupo y elija Actions (Acciones), Delete IP Group (Eliminar grupo de IP).

Configurar clientes cero de PCoIP para WorkSpaces

Los clientes cero de PCoIP sólo son compatibles con paquetes de WorkSpaces que utilizan el protocolo PCoIP.

Si el dispositivo de cliente cero tiene firmware versión 6.0.0 o posterior, los usuarios pueden conectarse a sus WorkSpaces directamente. Cuando los usuarios se conectan directamente a sus WorkSpaces mediante un dispositivo cliente cero, se recomienda utilizar la autenticación multifactor (MFA) con el directorio WorkSpaces. Para obtener más información sobre cómo usar MFA con el directorio, consulte la siguiente documentación:

• AWS Managed Microsoft AD—Habilitar la autenticación multifactor paraAWS Managed Microsoft ADen laAWS Directory ServiceGuía de administración

50 Amazon WorkSpaces Guía de administración Configurar Android para Chromebooks

• Conector de AD—Habilitar la autenticación multifactor para AD Connectoren laAWS Directory ServiceGuía de administraciónyAutenticación multifactor (AD Connector) (p. 68) • Dominios fiables—Habilitar la autenticación multifactor paraAWS Managed Microsoft ADen laAWS Directory ServiceGuía de administración • AD sencillo— Multi-Factor Authentication no puede utilizarse con Simple AD.

A partir del 13 de abril de 2021, PCoIP Connection Manager ya no es compatible con versiones de firmware de dispositivos cliente cero entre 4.6.0 y 6.0.0. Si el firmware de cliente cero no puede utilizarse con la versión 6.0.0 o posterior, puede obtener el firmware más reciente a través de una suscripción a Desktop Access enhttps://www.teradici.com/desktop-access. Important

• En la Administrative Web Interface (AWI, interfaz web administrativa) de Teradici PCoIP o en la Management Console (MC, consola de administración) de Teradici PCoIP, asegúrese de habilitar el Network Time Protocol (NTP, protocolo de tiempo en redes). Para el nombre DNS del host NTP, utilice pool.ntp.org y establezca el puerto host NTP como 123. Si NTP no está habilitado, los usuarios del cliente cero PCoIP podrían recibir errores de certificado, como “El certificado suministrado no es válido debido a la marca temporal”. • A partir de la versión 20.10.4 del agente PCoIP, Amazon WorkSpaces deshabilita la redirección USB de forma predeterminada a través del Registro de Windows. Esta configuración del Registro afecta al comportamiento de los periféricos USB cuando los usuarios utilizan dispositivos cliente cero PCoIP para conectarse a sus WorkSpaces. Para obtener más información, consulte Las impresoras USB y otros periféricos USB no funcionan para clientes PCoIP cero (p. 236) .

Para obtener información acerca de cómo configurar y conectar con un dispositivo de cliente cero PCoIP, consulteCliente cero PCoIPen laGuía del usuario de Amazon WorkSpaces. Para obtener una lista de los dispositivos cliente cero de PCoIP aprobados, consulteClientes cero PCoIPen el sitio web de Teradici.

Configurar Android para Chromebooks

La versión 2.4.13 es la versión final de la aplicación cliente Amazon WorkSpaces Chromebook. Debido a que Google está eliminando gradualmente la compatibilidad con Chrome Apps, no habrá más actualizaciones en la aplicación cliente de escritorios de WorkSpaces Chromebook y su uso no será compatible.

ParaChromebooks compatibles con la instalación de aplicaciones AndroidEn este caso, recomendamos usar laAplicación cliente para Android de WorkSpacesEn su lugar,

Algunos Chromebooks lanzados antes de 2019 deben estar habilitados para instalar aplicaciones Android antes de que los usuarios puedan instalar la aplicación cliente de Android de Amazon WorkSpaces. Para obtener más información, consulte Chrome OS Systems Supporting Android Apps.

Para administrar de forma remota la habilitación para que los Chromebooks de los usuarios instalen aplicaciones Android, consulte Set up Android on Chrome devices.

Habilitar y configurar Amazon WorkSpaces Web Access

La mayoría de paquetes de WorkSpaces admiten Amazon WorkSpaces Web Access. Para obtener una lista de WorkSpaces que admiten el acceso de navegador web, consulte «Qué paquetes de Amazon WorkSpaces admiten Web Access?» inAcceso de clientes, acceso web y experiencia de usuario.

51 Amazon WorkSpaces Guía de administración Paso 1: Para habilitar Web Access en WorkSpaces

Note

• Web Access no está disponible actualmente en la región Asia-Pacífico (Mumbai). • Web Access no está disponible para algunos WorkSpaces de Windows 10 que utilizan el protocolo PCoIP. Si su PCoIP WorkSpace funciona con Windows Server 2019, Web Access no está disponible. • No se puede utilizar un navegador web para conectarse con los WorkSpaces de Amazon Linux.

Important

Puede controlar el acceso web a los WorkSpaces en el nivel de directorio. Para cada directorio que contenga WorkSpaces al que desee permitir el acceso de los usuarios a través del cliente de Web Access, siga estos pasos.

Para habilitar Web Access en WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Elija el directorio apropiado y, a continuación, elija Actions (Acciones), Update Details (Actualizar detalles). 4. Amplíe Access Control Options y busque la sección Other Platforms. 5. Elija Web Access. 6. Elija Update and Exit.

Paso 2: Configuración del acceso de entrada y salida a puertos de Web Access

Amazon WorkSpaces Web Access requiere acceso de entrada y salida en determinados puertos. Para obtener más información, consulte Puertos para Web Access (p. 20). Paso 3: Configurar la directiva de grupo y la directiva de seguridad para permitir que los usuarios inicien sesión

Amazon WorkSpaces utiliza una configuración de pantalla de inicio de sesión específica para permitir a los usuarios iniciar sesión correctamente desde su cliente Web Access.

Para permitir a los usuarios de Web Access iniciar sesión en sus WorkSpaces, debe configurar una opción de política de grupo y tres opciones de política de seguridad. Si estas opciones no se configuran correctamente, los usuarios podrían tener que esperar largo tiempo hasta que se inicie la sesión o encontrarse con una pantalla negra al intentar iniciar sesión en sus WorkSpaces. Para configurar estas opciones, utilice los procedimientos siguientes.

52 Amazon WorkSpaces Guía de administración Paso 3: Configurar la directiva de grupo y la directiva de seguridad para permitir que los usuarios inicien sesión

Puede utilizar objetos de directiva de grupo (GPO) para aplicar la configuración cuando administre WorkSpaces de Windows o usuarios que formen parte del directorio de los WorkSpaces de Windows. Recomendamos que cree una unidad organizativa para los objetos de equipo de WorkSpaces y otra para los objetos de usuario de WorkSpaces.

Para obtener información sobre el uso de las herramientas de administración de Active Directory para trabajar con GPO, consulteInstalar las herramientas de administración de Active Directoryen laAWS Directory ServiceGuía de administración.

Para permitir al agente de inicio de sesión de WorkSpaces cambiar a los usuarios

En la mayoría de los casos, cuando un usuario intenta iniciar sesión en un WorkSpace, el campo de nombre de usuario se rellena previamente con el nombre de ese usuario. Sin embargo, si un administrador ha establecido una conexión RDP en el WorkSpace para realizar tareas de mantenimiento, el campo de nombre de usuario se rellenará con el nombre del administrador en su lugar.

Para evitar este problema, deshabilite la opción de política de grupo Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario). Cuando se desactiva esta opción, el agente de inicio de sesión de WorkSpaces puede usar el botón Switch User (Cambiar de usuario) para rellenar el campo de nombre de usuario con el nombre correcto.

1. Abra la herramienta Administración de directivas de grupo (gpmc.msc), desplácese hasta un GPO del nivel de dominio o controlador de dominio del directorio que utilice para WorkSpaces y selecciónelo. (Si tiene laPlantilla administrativa de directiva de grupo de WorkSpaces (p. 102)instalado en su dominio, puede utilizar el GPO de WorkSpaces con las cuentas del equipo de WorkSpaces). 2. Elija Action, Edit en el menú principal. 3. En el editor de administración de políticas de grupo, elija Computer Configuration (Configuración de equipo), Policies (Políticas), Administrative Templates (Plantillas administrativas), System (Sistema) y Logon (Inicio de sesión). 4. Abra la configuración de Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario). 5. En el cuadro de diálogo Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario), elija Disabled (Deshabilitado) y, a continuación, elija OK (Aceptar).

Para ocultar el último nombre de usuario que ha iniciado sesión

De forma predeterminada, se muestra la lista de los últimos usuarios que han iniciado sesión en lugar del botón Switch User (Cambiar usuario). Dependiendo de la configuración del WorkSpace, podría ser que en la lista no apareciese el icono Other User (Otro usuario). Si ocurre esta situación y el nombre de usuario rellenado previamente no es correcto, el agente de inicio de sesión de WorkSpaces no puede rellenar el campo con el nombre correcto.

Para evitar este problema, active la configuración de política de seguridadInicio de sesión interactivo: No mostrar el último usuario conectadoorInicio de sesión interactivo: No mostrar el apellido del usuario(dependiendo de la versión de Windows que estés usando).

1. Abra la herramienta Administración de directivas de grupo (gpmc.msc), desplácese hasta un GPO del nivel de dominio o controlador de dominio del directorio que utilice para WorkSpaces y selecciónelo. (Si tiene laPlantilla administrativa de directiva de grupo de WorkSpaces (p. 102)instalado en su dominio, puede utilizar el GPO de WorkSpaces con las cuentas del equipo de WorkSpaces). 2. Elija Action, Edit en el menú principal. 3. En el editor de administración de políticas de grupo, elija Computer Configuration (Configuración del equipo), Windows Settings (Configuración de Windows), Security Settings (Configuración de seguridad), Local Policies (Políticas locales) y Security Options (Opciones de seguridad). 4. Abra una de las siguientes opciones de configuración:

53 Amazon WorkSpaces Guía de administración Paso 3: Configurar la directiva de grupo y la directiva de seguridad para permitir que los usuarios inicien sesión

• Para Windows 7:Inicio de sesión interactivo: No mostrar el último usuario conectado • Para Windows 10:Inicio de sesión interactivo: No mostrar el apellido del usuario 5. En el cuadro de diálogo Properties (Propiedades) de la configuración, elija Enabled (Habilitado) y, a continuación, elija OK (Aceptar).

Para que sea obligatorio que los usuarios pulsen CTRL+ALT+SUPR con el fin de iniciar sesión

Para WorkSpaces Web Access, es preciso requerir que los usuarios pulsen CTRL+ALT+SUPR con el fin de iniciar sesión. Requerir que los usuarios pulsen CTRL+ALT+SUPR con el fin de iniciar sesión garantiza que utilicen una ruta de acceso de confianza al introducir sus contraseñas.

1. Abra la herramienta Administración de directivas de grupo (gpmc.msc), desplácese hasta un GPO del nivel de dominio o controlador de dominio del directorio que utilice para WorkSpaces y selecciónelo. (Si tiene laPlantilla administrativa de directiva de grupo de WorkSpaces (p. 102)instalado en su dominio, puede utilizar el GPO de WorkSpaces con las cuentas del equipo de WorkSpaces). 2. Elija Action, Edit en el menú principal. 3. En el editor de administración de políticas de grupo, elija Computer Configuration (Configuración del equipo), Windows Settings (Configuración de Windows), Security Settings (Configuración de seguridad), Local Policies (Políticas locales) y Security Options (Opciones de seguridad). 4. Abra el iconoInicio de sesión interactivo: No requerir CTRL+ALT+SUPRconfiguración de. 5. En la pestaña Local Security Setting (Opción de seguridad local), elija Disabled (Deshabilitado) y, a continuación, seleccione OK (Aceptar).

Para mostrar la información de dominio y usuario cuando la sesión está bloqueada

El agente de inicio de sesión de WorkSpaces busca el nombre y el dominio del usuario. Después de configurar esta opción, la pantalla de bloqueo mostrará el nombre completo del usuario (si se ha especificado en Active Directory), su nombre de dominio y su nombre de usuario.

1. Abra la herramienta Administración de directivas de grupo (gpmc.msc), desplácese hasta un GPO del nivel de dominio o controlador de dominio del directorio que utilice para WorkSpaces y selecciónelo. (Si tiene laPlantilla administrativa de directiva de grupo de WorkSpaces (p. 102)instalado en su dominio, puede utilizar el GPO de WorkSpaces con las cuentas del equipo de WorkSpaces). 2. Elija Action, Edit en el menú principal. 3. En el editor de administración de políticas de grupo, elija Computer Configuration (Configuración del equipo), Windows Settings (Configuración de Windows), Security Settings (Configuración de seguridad), Local Policies (Políticas locales) y Security Options (Opciones de seguridad). 4. Abra el iconoInicio de sesión interactivo: Mostrar información del usuario cuando la sesión está bloqueadaconfiguración de. 5. En la pestaña Local Security Setting (Configuración de seguridad local) elija User display name, domain and user names (Nombre para mostrar de usuario, nombres de dominio y de usuario) y, a continuación, elija OK (Aceptar).

Para aplicar los cambios de configuración de política de grupo y política de seguridad

El cambio de configuración de las opciones Group Policy (Política de grupo) y Security Policy (Política de seguridad) surtirá efecto cuando vuelva a actualizarse la política de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de política de grupo y política de seguridad de los procedimientos anteriores, siga uno de estos procedimientos:

• Reinicie el WorkSpace (en la consola de Amazon WorkSpaces, seleccione el WorkSpace paces y, a continuación, elijaActions,Reboot WorkSpaces).

54 Amazon WorkSpaces Guía de administración Cifrado de puntos de enlace de FIPS

• En el símbolo del sistema administrativo, introduzca gpupdate /force.

Configurar Amazon WorkSpaces para la autorización FedRAMP o el cumplimiento del DoD SRG

Para cumplir con lasFederal Risk and Authorization Management Program (FedRAMP)o elGuía de requisitos de seguridad de informática en la nube (SRG) del Departamento de Defensa (DoD), debe configurar Amazon WorkSpaces para que utilice el cifrado del punto de enlace de los estándares federales de procesamiento de información (FIPS) en el nivel de directorio. También debe utilizarAWSRegión que tiene autorización del FedRAMP o que cumple con la SRG del DoD.

El nivel de autorización del FedRAMP (moderado o alto) o el nivel de impacto de la SRG del DoD (2, 4 o 5) depende delAWSRegión en la que se utiliza Amazon WorkSpaces. Para conocer los niveles de autorización del FedRAMP y conformidad con la SRG del DoD que se aplican a cada región, consulteAWSServicios en el ámbito del programa de conformidad. Note

Además de utilizar el cifrado de endpoints FIPS, también puede cifrar WorkSpaces. Para obtener más información, consulte Escritorios de WorkSpaces cifrados (p. 133).

Requirements

• Debe crear sus WorkSpaces en unUS AWSRegión que tiene autorización del FedRAMP o que cumple con la SRG del DoD. • El directorio de WorkSpaces debe configurarse para utilizar el modo validado FIPS 140-2 para el cifrado de puntos de enlace. Note

Para utilizar la configuración FIPS 140-2 Validated Mode (Modo validado de FIPS 140-2), el directorio de WorkSpaces debe ser nuevo o todos los WorkSpaces existentes del directorio deben utilizar FIPS 140-2 Validated Mode (Modo validado FIPS 140-2) para el cifrado de puntos de enlace. De lo contrario, no puede utilizar esta configuración y, por lo tanto, los WorkSpaces que cree no cumplirán con los requisitos de seguridad del FedRAMP o DoD. • Los usuarios deben obtener acceso a sus escritorios de WorkSpaces desde una de las siguientes aplicaciones cliente de WorkSpaces: • Windows 2.4.3 o posterior • macOS 2.4.3 o posterior • Linux: 3.0.0 o posterior • iOS 2.4.1 o posterior • Android: 2.4.1 o posterior • Fire Tablet: 2.4.1 o posterior • ChromeOS: 2.4.1 o posterior

Para utilizar el cifrado de punto de enlace de FIPS

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios).

55 Amazon WorkSpaces Guía de administración Habilitar conexiones SSH

3. Compruebe que el directorio en el que desea crear escritorios de WorkSpaces autorizados por FedRAMP y compatibles con la SRG del DoD no tiene ningún WorkSpaces asociado. Si hay escritorios de WorkSpaces asociados al directorio y el directorio aún no está habilitado para utilizar el modo validado FIPS 140-2, termine los WorkSpaces o cree un nuevo directorio. 4. Elija el directorio que cumpla los criterios anteriores y, a continuación, elija Actions (Acciones),Update Details(Actualizar detalles). 5. En la página Update Directory Details(Actualizar detalles del directorio) elija la flecha para ampliar la sección Access Control Options (Acceder a las opciones de control) . 6. En Endpoint Encryption, elija FIPS 140-2 Validated Mode en lugar de TLS Encryption Mode (Standard). 7. Elija Update and Exit. 8. Ahora puede crear escritorios de WorkSpaces desde este directorio que estén autorizados por FedRAMP y que cumplan con la SRG del DoD. Para obtener acceso a estos espacios de trabajo, los usuarios deben utilizar una de las aplicaciones cliente de WorkSpaces indicadas anteriormente en la sección Requisitos (p. 55) .

Habilitar conexiones SSH para Linux WorkSpaces

Si usted o sus usuarios desean conectarse a sus WorkSpaces de Amazon Linux mediante la línea de comandos, puede habilitar las conexiones SSH. Puede habilitar conexiones SSH a todos los WorkSpaces de un directorio o a los WorkSpaces individuales de un directorio.

Para habilitar las conexiones SSH, crea un nuevo grupo de seguridad o actualiza un grupo de seguridad existente y añade una regla para permitir el tráfico de entrada con este fin. Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Después de crear o actualizar su grupo de seguridad, sus usuarios y otras personas pueden usar PuTTy u otros terminales para conectarse desde sus dispositivos a sus Amazon Linux WorkSpaces.

Para ver un tutorial de vídeo, consulte¿Cómo puedo conectarme a mis Amazon WorkSpaces de Linux mediante SSH?en elAWSCentro de conocimiento

Contenido • Requisitos previos para las conexiones SSH a Amazon Linux WorkSpaces (p. 56) • Habilitar conexiones SSH a todos los WorkSpaces de de Amazon Linux en un directorio (p. 57) • Habilitar conexiones SSH a un Amazon Linux WorkSpace de específico (p. 58) • Connect a un Amazon Linux WorkSpace de mediante Linux o PuTTy (p. 59)

Requisitos previos para las conexiones SSH a Amazon Linux WorkSpaces

• Habilitación del tráfico SSH de entrada en un WorkSpace: para añadir una regla para permitir el tráfico SSH de entrada en uno o varios WorkSpaces de, asegúrese de que tiene las direcciones IP públicas o privadas de los dispositivos que requieren conexiones SSH a su WorkSpaces. Por ejemplo, puede especificar las direcciones IP públicas de dispositivos fuera de su nube virtual privada (VPC) o la dirección IP privada de otra instancia EC2 en la misma VPC que su WorkSpace.

Si tiene previsto conectarse a un WorkSpace desde su dispositivo local, puede usar la frase de búsqueda «what is my IP address» (cuál es mi dirección IP) en un navegador de Internet o usar el siguiente servicio: Comprobar IP.

56 Amazon WorkSpaces Guía de administración Habilitar conexiones SSH a todos los WorkSpaces de de Amazon Linux en un directorio

• Conexión a un WorkSpace: se requiere la siguiente información para iniciar una conexión SSH desde un dispositivo a un Amazon Linux WorkSpace de. • El nombre NetBIOS del dominio de Active Directory al que está conectado. • Su nombre de usuario de WorkSpace. • La dirección IP pública o privada del WorkSpace al que desea conectarse.

Privado: Si su VPC está conectada a una red corporativa y tiene acceso a dicha red, puede especificar la dirección IP privada del WorkSpace.

Público Si su WorkSpace tiene una dirección IP pública, puede usar la consola de WorkSpaces para buscar la dirección IP pública, tal como se describe en el siguiente procedimiento.

Para buscar las direcciones IP del Amazon Linux WorkSpace de al que desea conectarse y su nombre de usuario

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. En la lista de WorkSpaces, elija el WorkSpace en el que desea habilitar conexiones SSH. 4. En la columna Running mode (Modo de ejecución), confirme que el estado de los WorkSpaces es Available (Disponible). 5. Haga clic en la flecha situada a la izquierda del nombre de WorkSpace para mostrar el resumen insertado y tenga en cuenta la siguiente información:

• La WorkSpace IP (IP del WorkSpace). Esta es la dirección IP privada del WorkSpace.

La dirección IP privada es necesaria para obtener la interfaz de red elástica asociada al WorkSpace. La interfaz de red es necesaria para recuperar información como el grupo de seguridad o la dirección IP pública asociados al WorkSpace. • El Username (Nombre de usuario) del WorkSpace. Este es el nombre de usuario que especifica para conectarse al WorkSpace. 6. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/. 7. En el panel de navegación, elija Network Interfaces. 8. En el cuadro de búsqueda, escriba la WorkSpace IP (IP del WorkSpace) que anotó en el paso 5. 9. Seleccione la interfaz de red asociada a la WorkSpace IP (IP del WorkSpace). 10. Si su WorkSpace tiene una dirección IP pública, se muestra en la columna IPv4 Public IP (IP pública IPv4). Anote esta dirección IP pública, si procede.

Para encontrar el nombre NetBIOS del dominio de Active Directory al que está conectado

1. Abra el iconoAWS Directory Serviceconsola de en.https://console.aws.amazon.com/ directoryservicev2/. 2. En la lista de directorios, haga clic en el enlace Directory ID (ID de directorio) del directorio para el WorkSpace. 3. En la sección Directory details (Detalles del directorio), anote el Directory NetBIOS name (Nombre NetBIOS del directorio).

Habilitar conexiones SSH a todos los WorkSpaces de de Amazon Linux en un directorio

Para habilitar las conexiones SSH a todos los WorkSpaces de de un directorio, haga lo siguiente.

57 Amazon WorkSpaces Guía de administración Habilitar conexiones SSH a un Amazon Linux WorkSpace de específico

Para crear un grupo de seguridad con una regla que permita el tráfico SSH de entrada en todos los WorkSpaces de Amazon Linux de un directorio

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/. 2. En el panel de navegación, elija Security Groups. 3. Elija Create Security Group (Crear grupo de seguridad). 4. Escriba un nombre y, de forma opcional, una descripción para su grupo de seguridad. 5. En VPC, elija la VPC que incluya los WorkSpaces en los que desee habilitar las conexiones SSH. 6. En la pestaña Inbound (Entrada), elija Add Rule (Añadir regla) y haga lo siguiente:

• En Tipo, seleccione SSH. • En Protocol (Protocolo), TCP se especifica automáticamente al elegir SSH. • En Port Range (Rango de puertos), 22 se especifica automáticamente al elegir SSH. • En Source (Fuente), elija My IP (Mi IP) o Custom (Personalizado) y especifique una sola dirección IP o un rango de direcciones IP en notación CIDR. Por ejemplo, si su dirección IPv4 es 203.0.113.25, especifique 203.0.113.25/32 para mostrar la dirección IPv4 única en notación CIDR. Si su empresa asigna direcciones de un rango, especifíquelo; por ejemplo, 203.0.113.0/24. • En Description (Descripción) (opcional), escriba una descripción para la regla. 7. Seleccione Create (Crear).

Habilitar conexiones SSH a un Amazon Linux WorkSpace de específico

Para habilitar las conexiones SSH a un Amazon Linux WorkSpace de específico, haga lo siguiente.

Para agregar una regla a un grupo de seguridad existente para permitir el tráfico SSH de entrada en un Amazon Linux WorkSpace de

1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/. 2. En el panel de navegación, en Network & Security (Red y seguridad), seleccione Network Interfaces (Interfaces de red). 3. En la barra de búsqueda, escriba la dirección IP privada del WorkSpace en el que desea habilitar conexiones SSH. 4. En la columna Security groups (Grupos de seguridad), haga clic en el enlace para el grupo de seguridad. 5. En la pestaña Inbound (Entrada), seleccione Edit (Editar). 6. Elija Add Rule (Añadir regla) y, a continuación, haga lo siguiente:

58 Amazon WorkSpaces Guía de administración Connect a un Amazon Linux WorkSpace de mediante Linux o PuTTy Connect a un Amazon Linux WorkSpace de mediante Linux o PuTTy

Después de crear o actualizar su grupo de seguridad y añadir la regla requerida, sus usuarios y otras personas pueden usar Linux o PuTTy para conectarse desde sus dispositivos a sus WorkSpaces. Note

Antes de completar cualquiera de los siguientes procedimientos, asegúrese de que tiene lo siguiente:

• El nombre NetBIOS del dominio de Active Directory al que está conectado. • El nombre de usuario que usa para conectarse al WorkSpace. • La dirección IP pública o privada del WorkSpace al que desea conectarse.

Para obtener instrucciones sobre cómo obtener esta información, consulte la sección «Requisitos previos de las conexiones SSH a Amazon Linux WorkSpaces de» que se ha expuesto anteriormente en este tema.

Para conectarse a un Amazon Linux WorkSpace de mediante Linux

1. Abra el símbolo del sistema como administrador e introduzca el siguiente comando. En Nombre de NetBIOS, Nombre de usuario e IP del WorkSpace, escriba los valores aplicables.

ssh "NetBIOS_NAME\Username"@WorkSpaceIP

A continuación, mostramos un ejemplo del comando SSH donde:

• El NetBIOS_NAME es AnyCompany • El Nombre de usuario es janedoe • La IP del WorkSpace es 203.0.113.25

ssh "anycompany\janedoe"@203.0.113.25

2. Cuando se le pida, introduzca la misma contraseña que usa al autenticarse con el cliente de WorkSpaces (su contraseña de Active Directory).

Para conectarse a un Amazon Linux WorkSpace de mediante PuTTy

1. Abra PuTTY. 2. En el cuadro de diálogo PuTTY Configuration (Configuración de PuTTY), haga lo siguiente:

• En Host Name (or IP address) [Nombre de host (o dirección IP)], escriba el siguiente comando. Reemplace los valores por el nombre de NetBIOS del dominio de Active Directory al que está conectado, el nombre de usuario que usa para conectarse a WorkSpace y la dirección IP del WorkSpace al que desea conectarse.

NetBIOS_NAME\Username@WorkSpaceIP

• En Puerto, escriba 22. • En Connection type (Tipo de conexión), elija SSH.

59 Amazon WorkSpaces Guía de administración Configuración necesaria

Para ver un ejemplo del comando SSH, consulte el paso 1 en el procedimiento anterior. 3. Elija Open. 4. Cuando se le pida, introduzca la misma contraseña que usa al autenticarse con el cliente de WorkSpaces (su contraseña de Active Directory).

Componentes de servicio y configuración necesarios para WorkSpaces

Como administrador de instancias de WorkSpaces, debe saber lo siguiente acerca de la configuración y los componentes de servicio necesarios. Configuración de tabla de enrutamiento requerida

Le recomendamos que no modifique la tabla de ruteo de nivel de sistema operativo de una instancia de WorkSpaces. El servicio WorkSpaces requiere las rutas preconfiguradas de esta tabla para monitorear el estado del sistema y actualizar los componentes del sistema. Si es necesario cambiar la tabla de enrutamiento para su organización, póngase en contacto conAWSSupport o suAWSantes de aplicar cualquier cambio. Componentes del servicio necesarios

En Windows WorkSpaces, los componentes del servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, su instancia de WorkSpaces no funcionará correctamente.

Si el software antivirus está instalado en el WorkSpace, asegúrese de que no interfiere con los componentes del servicio instalados en las siguientes ubicaciones. Important

A partir del 29 de marzo de 2021, actualizaremos el agente PCoIP de 32 bits a 64 bits. Para Windows WorkSpaces que utilizan el protocolo PCoIP, esto significa que la ubicación de los archivos Teradici cambia deC:\Program Files (x86)\TeradiciDe aC:\Program Files \Teradici. Estas actualizaciones del agente PCoIP se producirán en oleadas durante nuestras ventanas de mantenimiento regulares, lo que significa que algunos de sus WorkSpaces podrían estar utilizando el agente de 32 bits y algunos podrían estar usando el agente de 64 bits durante esta transición. Si ha configurado reglas de firewall, exclusiones de software antivirus (en el lado del cliente y del host), opciones de objeto de directiva de grupo (GPO) o opciones para Microsoft System Center Configuration Manager (SCCM), Microsoft Endpoint Configuration Manager o herramientas de administración de configuración similares basadas en el al agente de 32 bits, también debe agregar la ruta completa al agente de 64 bits a esa configuración. Si está filtrando las rutas a cualquier componente PCoIP de 32 bits, asegúrese de agregar las rutas a las versiones de 64 bits de los componentes. Debido a que es posible que los WorkSpaces no se actualicen todos al mismo tiempo, no reemplace la ruta de 32 bits por la ruta de 64 bits o que algunos de los WorkSpaces no funcionen. Por ejemplo, si estás basando tus exclusiones o filtros de comunicación enC:\Program Files (x86)\Teradici\PCoIP Agent \bin\pcoip_server_win32.exe, también debe agregarC:\Program Files\Teradici \PCoIP Agent\bin\pcoip_server.exe. Del mismo modo, si está basando sus exclusiones o filtros de comunicaciones enC:\Program Files (x86)\Teradici\PCoIP Agent\bin \pcoip_agent.exe, también debe agregarC:\Program Files\Teradici\PCoIP Agent \bin\pcoip_agent.exe.

60 Amazon WorkSpaces Guía de administración Componentes del servicio necesarios

Cambio de servicio abiter PCoIP— Tenga en cuenta que el servicio de árbitro PCoIP (C: \Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe) se elimina cuando sus WorkSpaces se actualizan para utilizar el agente de 64 bits. Clientes cero PCoIP y dispositivos USB— A partir de la versión 20.10.4 del agente PCoIP, Amazon WorkSpaces deshabilita la redirección USB de forma predeterminada a través del Registro de Windows. Esta configuración del Registro afecta al comportamiento de los periféricos USB cuando los usuarios utilizan dispositivos cliente cero PCoIP para conectarse a sus WorkSpaces. Para obtener más información, consulte Las impresoras USB y otros periféricos USB no funcionan para clientes PCoIP cero (p. 236).

• C:\Program Files\Amazon • C:\Program Files\Teradici • C:\Program Files (x86)\Teradici • C:\ProgramData\Amazon • C:\ProgramData\Teradici

En Amazon Linux WorkSpaces, los componentes del servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, su instancia de WorkSpaces no funcionará correctamente. Note

Realizar cambios en archivos que no sean/etc/pcoip-agent/pcoip-agent.confpuede hacer que sus WorkSpaces dejen de funcionar y puede que requiera que los reconstruya. Para obtener información acerca de cómo modificar/etc/pcoip-agent/pcoip-agent.conf, consulteGestionar sus Amazon Linux WorkSpaces (p. 121).

• /etc/dhcp/dhclient.conf • /etc/logrotate.d/pcoip-agent • /etc/logrotate.d/pcoip-server • /etc/os-release • /etc/pam.d/pcoip • /etc/pam.d/pcoip-session • /etc/pcoip-agent • /etc/profile.d/system-restart-check.sh • /etc/X11/default-display-manager • /etc/yum/pluginconf.d/halt_os_update_check.conf • /lib/systemd/system/pcoip.service • /lib/systemd/system/pcoip-agent.service • /lib64/security/pam_self.so • /usr/bin/pcoip-fne-view-license • /usr/bin/pcoip-list-licenses • /usr/bin/pcoip-validate-license • /usr/lib/firewalld/services/pcoip-agent.xml • /usr/lib/modules-load.d/usb-vhci.conf • /usr/lib/pcoip-agent • /usr/lib/skylight • /usr/lib/systemd/system/pcoip.service • /usr/lib/systemd/system/pcoip.service.d/ • /usr/lib/systemd/system/skylight-agent.service

61 Amazon WorkSpaces Guía de administración Componentes del servicio necesarios

• /usr/lib/tmpfiles.d/pcoip-agent.conf • /usr/lib/yum-plugins/halt_os_update_check.py • /usr/sbin/pcoip-agent • /usr/sbin/pcoip-register-host • /usr/sbin/pcoip-support-bundler • /usr/share/doc/pcoip-agent • /usr/share/pcoip-agent • /usr/share/selinux/packages/pcoip-agent.pp • /usr/share/X11 • /var/crash/pcoip-agent • /var/lib/pcoip-agent • /var/lib/skylight • /var/log/pcoip-agent • /var/log/skylight

62 Amazon WorkSpaces Guía de administración

Administrar directorios para WorkSpaces

WorkSpaces utiliza un directorio para almacenar y administrar la información de los usuarios y los WorkSpaces. Puede utilizar una de las siguientes opciones:

• AD Connector – use el Microsoft Active Directory local existente. Los usuarios pueden iniciar sesión en los escritorios de WorkSpaces con sus credenciales locales y tener acceso a los recursos locales de los escritorios de WorkSpaces. • AWS Managed Microsoft AD— cree un Microsoft Active Directory alojado enAWS. • Simple AD - cree un directorio compatible con Microsoft Active Directory basado en Samba 4 y alojado enAWS. • Confianza cruzada — cree una relación de confianza entreAWS Managed Microsoft ADDirectorio y su dominio local.

Para encontrar tutoriales sobre cómo configurar estos directorios y lanzar WorkSpaces, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78). Tip

Después de crear un directorio, llevará a cabo la mayoría de las tareas administrativas del directorio con herramientas como las herramientas de administración de Active Directory. Puede realizar algunas tareas de administración de directorios con la consola de WorkSpaces y otras utilizando la política de grupo. Para obtener más información acerca de la administración de usuarios y grupos, consulte Administración de usuarios de WorkSp (p. 93) y Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75). Note

• En la actualidad, los directorios compartidos no son compatibles con Amazon WorkSpaces. • Si configura suAWSDirectorio de Microsoft AD administrado para replicación multiregión, sólo se puede registrar el directorio de la región principal para su uso con Amazon WorkSpaces. Los intentos de registrar el directorio en una región replicada para utilizarlo con Amazon WorkSpaces fallarán. Replicación de varias regiones conAWSNo se admite el uso de Microsoft AD administrado con Amazon WorkSpaces en regiones replicadas. • Simple AD y AD Connector están disponibles de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con su directorio de Simple AD o AD Connector durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory ServiceTérminos de Precios de.

Para eliminar directorios vacíos, consulteEliminar el directorio de WorkSpaces (p. 73). Si elimina el directorio de Simple AD o AD Connector, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

Contenido • Registrar un directorio con WorkSpaces (p. 64) • Actualizar los detalles de directorio para los WorkSpaces (p. 65)

63 Amazon WorkSpaces Guía de administración Registrar un directorio

• Actualización de servidores DNS de Amazon WorkSpaces (p. 68) • Eliminar el directorio de WorkSpaces (p. 73) • Habilitar Amazon WorkDocsAWSMicrosoft AD (p. 74) • Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75)

Registrar un directorio con WorkSpaces

Para permitir que WorkSpaces utilice unAWS Directory Service, debe registrarlo en WorkSpaces. Después de registrar un directorio, puede lanzar en él escritorios de WorkSpaces.

Requirements

Para registrar un directorio para su uso con WorkSpaces, debe cumplir los requisitos siguientes:

• El directorio que desea registrar para su uso con Amazon WorkSpaces debe estar presente en todas las subredes de nube privada virtual (VPC) en las que desee iniciar WorkSpaces. • Si utiliza AD Connector, el AD Connector debe estar conectado directamente a las subredes de la misma VPC que se utilizará para las implementaciones de WorkSpaces. • Si utilizaAWS Managed Microsoft ADo Simple AD, el directorio puede estar en una subred privada dedicada, siempre y cuando el directorio tenga acceso a la VPC donde se encuentran los WorkSpaces.

Para obtener más información acerca de la VPC y del diseño de directorios, consulte la Prácticas recomendadas para la implementación de Amazon WorkSpacesDocumento técnico. Note

Simple AD y AD Connector están disponibles de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con su directorio de Simple AD o AD Connector durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory ServiceTérminos de Precios de. Para eliminar directorios vacíos, consulteEliminar el directorio de WorkSpaces (p. 73). Si elimina el directorio de Simple AD o AD Connector, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

Para anular el registrar de un directorio

• En la actualidad, los directorios compartidos no son compatibles con Amazon WorkSpaces. • Si las recetasAWS Managed Microsoft ADse ha configurado para la replicación multiregión, solo se puede registrar el directorio de la región principal para utilizarlo con Amazon WorkSpaces. Los intentos de registrar el directorio en una región replicada para utilizarlo con Amazon WorkSpaces fallarán. Replicación de varias regiones conAWS Managed Microsoft ADno es compatible con Amazon WorkSpaces dentro de regiones replicadas. 5. Seleccione dos subredes de la VPC que no estén en la misma zona de disponibilidad. Estas subredes se utilizarán para iniciar WorkSpaces. Para obtener más información, consulte Zonas de disponibilidad de Amazon WorkSpaces (p. 18) . 6. En Enable Self Service Permissions (Habilitar permisos de autoservicio), elija Yes (Sí) para permitir a los usuarios que reconstruyan sus WorkSpaces, cambien el tamaño del volumen, tipo de computación

64 Amazon WorkSpaces Guía de administración Actualizar los detalles de directorio

y modo de ejecución. Habilitar puede afectar la cantidad que paga por Amazon WorkSpaces. En caso contrario, elija No. 7. ParaHabilitar Amazon WorkDocs, elijaSíPara registrar el directorio para su uso con Amazon WorkDocs oNoDe lo contrario, . Note

Esta opción solo se muestra si Amazon WorkDocs está disponible en la región y si no está utilizandoAWS Managed Microsoft AD. Si utilizaAWS Managed Microsoft AD, termine de registrar su directorio y, a continuación, consulteHabilitar Amazon WorkDocsAWSMicrosoft AD (p. 74). 8. Elija Register. Inicialmente el valor de Registered es REGISTERING. Una vez completado el registro, el valor es Yes.

Cuando termine de utilizar el directorio con WorkSpaces, puede anular su registro. Tenga en cuenta que debe anular el registro de un directorio si quiere eliminarlo. Si desea anular el registro y eliminar un directorio, primero debe buscar y suprimir todas las aplicaciones y los servicios que están registrados en el directorio. Para obtener más información, consulteEliminar su directorioen laAWS Directory ServiceGuía de administración.

Para anular el registro de un directorio

Actualizar los detalles de directorio para los WorkSpaces

Puede completar las siguientes tareas de administración de directorios con la consola de WorkSpaces.

Tareas • Seleccione una unidad organizativa (p. 65) • Configurar direcciones IP automáticas (p. 66) • Controlar el acceso de los dispositivos (p. 67) • Administrar permisos de administrador local (p. 67) • Actualizar la cuenta de AD Connector (p. 67) • Autenticación multifactor (AD Connector) (p. 68)

Seleccione una unidad organizativa

Las cuentas de la máquina de WorkSpace están en la unidad organizativa predeterminada (OU) del directorio de WorkSpaces. En principio, las cuentas de la máquina se guardan en la unidad organizativa Computers del directorio al que está conectado el directorio de AD Connector. Puede seleccionar otras unidades organizativas del directorio o directorio conectado, o bien especificar una en un dominio de destino independiente. Tenga en cuenta que solo puede seleccionar una unidad organizativa por directorio.

65 Amazon WorkSpaces Guía de administración Configurar direcciones IP automáticas

Una vez seleccionada una nueva unidad, las cuentas de la máquina de todos los WorkSpaces que se crean o recompilan se guardan en la unidad organizativa recién seleccionada.

Para seleccionar una unidad organizativa

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Expanda Target Domain and Organizational Unit. 5. Para encontrar una OU, puede escribir todo o parte de su nombre y elegir Search OU. También puede elegir List all OU para enumerar todas las OU. 6. Seleccione la OU y elija Update and Exit. 7. (Opcional) Recompile el WorkSpace existente para actualizar la OU. Para obtener más información, consulte Reconstrucción de un espacio de trabajo (p. 141) .

Para especificar un dominio de destino y unidad organizativa

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Expanda Target Domain and Organizational Unit. 5. En Selected OU, escriba el nombre LDAP del dominio y OU de destino y, a continuación, elija Update and Exit. Por ejemplo, OU=WorkSpaces_machines,DC=machines,DC=example,DC=com. 6. (Opcional) Recompile el WorkSpace existente para actualizar la OU. Para obtener más información, consulte Reconstrucción de un espacio de trabajo (p. 141) .

Configurar direcciones IP automáticas

Después de habilitar la asignación automática de direcciones IP elásticas, a cada escritorio de WorkSpaces que lance se le asigna una dirección IP elástica (una dirección IP pública estática) del grupo proporcionado por Amazon de direcciones IP elásticas. Estas direcciones IP elásticas permiten a los escritorios de WorkSpaces en subredes públicas obtener acceso a Internet. Los escritorio de WorkSpaces que ya existen antes de habilitar la asignación automática no reciben una dirección IP elástica hasta que se vuelven a crear.

Tenga en cuenta que no necesita habilitar la asignación automática de direcciones IP elásticas si sus escritorios de WorkSpaces están en subredes privadas y ha configurado una gateway NAT para la nube privada virtual (VPC) o si sus escritorios de WorkSpaces están en subredes públicas y ha asignado manualmente direcciones IP elásticas. Para obtener más información, consulte Configurar una VPC para WorkSpaces (p. 10) . Warning

Si asocia una dirección IP elástica de su propiedad a un escritorio de WorkSpaces y, a continuación, desvincula esa dirección IP elástica del escritorio, este pierde su dirección IP pública y no obtiene automáticamente una nueva del grupo proporcionado por Amazon. Para asociar una nueva dirección IP pública del grupo proporcionado por Amazon al escritorio de WorkSpaces, debe volver a crear el escritorio de WorkSpaces (p. 141). Si no desea volver a crear el escritorio de WorkSpaces, debe asociar otra dirección IP elástica de su propiedad al escritorio.

Para configurar direcciones IP elásticas

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/.

66 Amazon WorkSpaces Guía de administración Controlar el acceso de los dispositivos

2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio de los escritorios de WorkSpaces. 4. Elija Actions, Update Details. 5. Amplíe Access to Internet y seleccione Enable o Disable. 6. Elija Update (Actualizar).

Controlar el acceso de los dispositivos

Puede especificar los tipos de dispositivos que tienen acceso a WorkSpaces. Además puede limitar el acceso a WorkSpaces a los dispositivos de confianza (también conocidos como dispositivos administrados).

Para controlar el acceso de los dispositivos a WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Amplíe Access Control Options y busque la sección Other Platforms. De forma predeterminada, los clientes de WorkSpaces Web Access y los clientes Linux están deshabilitados y los usuarios acceden a los WorkSpaces desde sus dispositivos de iOS, Android y Chromebooks, así como sus dispositivos de cliente cero de PCoIP. 5. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija Block. 6. (Opcional) También puede restringir el acceso exclusivamente a los dispositivos de confianza. Para obtener más información, consulte Restringir el acceso a WorkSpaces a (p. 36) . 7. Elija Update and Exit.

Administrar permisos de administrador local

Puede especificar si los usuarios son administradores locales en los WorkSpaces, lo que les permite instalar aplicaciones y modificar la configuración de los WorkSpaces. Los usuarios son los administradores locales de forma predeterminada. Si modifica esta opción, el cambio se aplicará a todos los WorkSpaces que cree y a los que recompile.

Para modificar los permisos de administrador local

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Expanda Local Administrator Setting. 5. Para garantizar que los usuarios son administradores locales, elija Enable. En caso contrario, elija Disable (Deshabilitar). 6. Elija Update and Exit.

Actualizar la cuenta de AD Connector

Puede actualizar la cuenta de AD Connector que se utiliza para leer usuarios y grupos y unir las cuentas de la máquina WorkSpaces de con el directorio de AD Connector.

67 Amazon WorkSpaces Guía de administración Autenticación multifactor (AD Connector)

Para actualizar la cuenta de AD Connector

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Expanda Update AD Connector Account. 5. Escriba el nombre de usuario y la contraseña para la nueva cuenta. 6. Elija Update and Exit.

Autenticación multifactor (AD Connector)

Puede habilitar la autenticación multifactor (MFA) para el directorio de AD Connector. Para obtener más información acerca de cómo usar la multi-factor authentication conAWS Directory Service, consulteHabilitar la autenticación multifactor para AD ConnectoryRequisitos previos de AD Connector. Note

• Su servidor RADIUS puede ser alojado porAWSo puede ser local. • Los nombres de usuario deben coincidir entre Active Directory y el servidor RADIUS.

Para habilitar la autenticación multifactor

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y después elija Actions, Update Details. 4. Amplíe Multi-Factor Authentication y, a continuación, seleccione Enable Multi-Factor Authentication. 5. En RADIUS server IP address(es), escriba las direcciones IP de los puntos de enlace del servidor RADIUS separadas por comas o escriba la dirección IP del balanceador de carga del servidor RADIUS. 6. En Port, escriba el puerto que el servidor RADIUS utiliza para las comunicaciones. La red local debe permitir el tráfico entrante procedente del puerto de servidor RADIUS (UDP:1812) de AD Connector. 7. En Shared secret code y Confirm shared secret code, escriba del código secreto compartido del servidor RADIUS. 8. En Protocol, elija el protocolo del servidor RADIUS. 9. En Server timeout, escriba el tiempo, en segundos, que hay que esperar a que el servidor RADIUS responda. Este valor debe estar entre 1 y 50. 10. En Max retries, escriba el número de veces que se intenta la comunicación con el servidor RADIUS. Este valor debe estar entre 0 y 10. 11. Elija Update and Exit.

La autenticación multifactor está disponible cuando RADIUS status está Enabled. Aunque la autenticación multifactor esté configurada, los usuarios no pueden iniciar sesión en los escritorios de WorkSpaces.

Actualización de servidores DNS de Amazon WorkSpaces

Si necesita actualizar las direcciones IP del servidor DNS para Active Directory después de iniciar WorkSpaces, también debe actualizar WorkSpaces con la nueva configuración del servidor DNS.

68 Amazon WorkSpaces Guía de administración Prácticas recomendadas

Puede actualizar sus WorkSpaces con la nueva configuración de DNS de una de las siguientes formas:

• Actualizar la configuración de DNS en WorkSpacesAntesactualizar la configuración DNS para Active Directory. • Reconstruya los WorkSpacesDespuésactualizar la configuración DNS para Active Directory.

Recomendamos actualizar la configuración DNS en WorkSpaces antes de actualizar la configuración DNS en Active Directory (como se explica enPaso 1 (p. 69)del siguiente procedimiento).

Si desea reconstruir WorkSpaces en su lugar, actualice una de las direcciones IP del servidor DNS en su Active Directory (Paso 2 (p. 71)) y luego siga el procedimiento enReconstrucción de un espacio de trabajo (p. 141)Para reconstruir sus WorkSpaces. Una vez que haya reconstruido sus WorkSpaces, siga el procedimiento que se describe enPaso 3 (p. 72)para probar las actualizaciones del servidor DNS. Después de completar ese paso, actualice la dirección IP del segundo servidor DNS en Active Directory y, a continuación, vuelva a crear WorkSpaces. Asegúrese de seguir el procedimiento enPaso 3 (p. 72)para probar la segunda actualización del servidor DNS. Como se señala en elPrácticas recomendadas de (p. 69), le recomendamos que actualice las direcciones IP del servidor DNS de una en una. Prácticas recomendadas

Cuando actualice la configuración del servidor DNS, le recomendamos las siguientes prácticas recomendadas:

• Para evitar desconexiones e inaccesibilidad de los recursos de dominio, se recomienda realizar actualizaciones del servidor DNS durante horas de baja actividad o durante un período de mantenimiento planificado. • No inicie ningún WorkSpaces nuevo durante los 15 minutos anteriores y los 15 minutos posteriores a cambiar la configuración del servidor DNS. • Al actualizar la configuración del servidor DNS, cambie una dirección IP del servidor DNS a la vez. Compruebe que la primera actualización es correcta antes de actualizar la segunda dirección IP. Recomendamos realizar el siguiente procedimiento (Paso 1 (p. 69),Paso 2 (p. 71), yPaso 3 (p. 72)) dos veces para actualizar las direcciones IP de una a la vez.

Paso 1: Actualizar la configuración del servidor DNS en WorkSpaces

En el siguiente procedimiento, se hace referencia a los valores de dirección IP del servidor DNS actual y nuevo de la siguiente manera:

• Direcciones IP de DNS actuales:OldIP1,OldIP2 • Nuevas direcciones IP de DNS:NewIP1,NewIP2

Note

Si es la segunda vez que realiza este procedimiento, reemplaceOldIP1porOldIP2yNewIP1porNewIP2. Actualizar la configuración del servidor DNS para Windows WorkSpaces

Si tiene varios WorkSpaces, puede implementar la siguiente actualización del Registro en WorkSpaces aplicando un objeto de directiva de grupo (GPO) en la unidad organizativa de Active Directory para sus

69 Amazon WorkSpaces Guía de administración Paso 1: Actualizar la configuración del servidor DNS en WorkSpaces

WorkSpaces. Para obtener más información acerca de cómo trabajar con GPO, veaAdministración de Windows WorkSpaces (p. 100).

Puede realizar estas actualizaciones mediante el Editor del Registro o mediante Windows PowerShell. En esta sección se describen ambos procedimientos.

Para actualizar la configuración del Registro DNS mediante el Editor del Registro

1. En Windows WorkSpace, abra el cuadro de búsqueda de Windows y escribaregistry editorPara abrir el Editor del Registro (regedit.exe). 2. Cuando se le pregunte "¿Desea permitir que esta aplicación realice cambios en su dispositivo?", elija Sí. 3. En Editor del Registro, vaya a la siguiente entrada del Registro:

HKEY_LOCAL_MACHINE\ SOFTWARE\ 4. Abra el iconoDomainJoindnsClave del Registro. ActualizaciónOldIP1porNewIP1Haga clic en y luego enOK. 5. Cierre el Editor del Registro. 6. Reinicie el WorkSpace o reinicie el servicio SkylightWorkspaceConfigService. Note

Después de reiniciar el servicio SkylightWorkspaceConfigService, el adaptador de red puede tardar hasta 1 minuto en reflejar el cambio. 7. Continúe enPaso 2 (p. 71)y actualice la configuración del servidor DNS en Active Directory para reemplazarOldIP1porNewIP1.

Para actualizar la configuración del Registro DNS mediante PowerShell

El siguiente procedimiento utiliza comandos de PowerShell para actualizar el registro y reiniciar el servicio SkylightWorkspaceConfigService.

1. En Windows WorkSpace, abra el cuadro de búsqueda de Windows y escribapowershell. Elija Ejecutar como administrador. 2. Cuando se le pregunte "¿Desea permitir que esta aplicación realice cambios en su dispositivo?", elija Sí. 3. En la ventana de PowerShell, ejecute el siguiente comando para recuperar las direcciones IP del servidor DNS actual.

Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS

Debería recibir la siguiente salida.

DomainJoinDns : OldIP1,OldIP2 PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon \SkyLight PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon PSChildName : SkyLight PSDrive : HKLM PSProvider : Microsoft.PowerShell.Core\Registry

4. En la ventana de PowerShell, ejecute el siguiente comando para cambiarOldIP1De aNewIP1. Asegúrate de salirOldIP2como es por ahora.

Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"

70 Amazon WorkSpaces Guía de administración Paso 2: Actualizar la configuración del servidor DNS para Active Directory

5. Ejecute el comando siguiente para reiniciar el servicio SkylightWorkSpaceConfigService.

restart-service -Name SkyLightWorkspaceConfigService

Note

Después de reiniciar el servicio SkylightWorkspaceConfigService, el adaptador de red puede tardar hasta 1 minuto en reflejar el cambio. 6. Continúe enPaso 2 (p. 71)y actualice la configuración del servidor DNS en Active Directory para reemplazarOldIP1porNewIP1.

Actualizar la configuración del servidor DNS para Linux WorkSpaces

Si tiene más de un Linux WorkSpace, recomendamos que utilice una solución de administración de la configuración para distribuir y aplicar la política. Por ejemplo, puede utilizarAWS OpsWorks for Chef Automate,AWS OpsWorks for Puppet Enterprise, o bienAnsible.

Para actualizar la configuración del servidor DNS en un WorkSpace de Linux

1. En su escritorio de Linux WorkSpace, abra una ventana del terminal (Aplicaciones >Herramientas del sistema >Terminal MATE). 2. Utilice el siguiente comando Linux para editar el/etc/dhcp/dhclient.conffile. Debe tener privilegios de usuario raíz para editar este archivo. O convertirse en root mediante el uso desudo -i, o ejecute todos los comandos consudoComo se muestra.

sudo vi /etc/dhcp/dhclient.conf

En el navegador/etc/dhcp/dhclient.confEn, verá el siguiente archivo:prepend, dondeOldIP1yOldIP2son las direcciones IP de los servidores DNS.

prepend domain-name-servers OldIP1, OldIP2; # skylight

3. ReemplazarOldIP1porNewIP1, y dejarOldIP2como es por ahora. 4. Guarde los cambios en/etc/dhcp/dhclient.conf. 5. Reinicie el WorkSpace. 6. Continúe enPaso 2 (p. 71)y actualice la configuración del servidor DNS en Active Directory para reemplazarOldIP1porNewIP1.

Paso 2: Actualizar la configuración del servidor DNS para Active Directory

En este paso, actualizará la configuración del servidor DNS para Active Directory. Como se señala en elPrácticas recomendadas de (p. 69), le recomendamos que actualice las direcciones IP del servidor DNS de una en una.

Para actualizar la configuración del servidor DNS para Active Directory, consulte la siguiente documentación en elAWS Directory ServiceGuía de administración:

• Conector de AD: Actualización de la dirección de DNS AD Connector • AWSMicrosoft AD administrado: Configure programas de envío condicionales DNS para su dominio local • AD sencillo: Configuración de DNS

71 Amazon WorkSpaces Guía de administración Paso 3: Pruebe la configuración del servidor DNS actualizado

Después de actualizar la configuración del servidor DNS, vaya aPaso 3 (p. 72). Paso 3: Pruebe la configuración del servidor DNS actualizado

Después de completarPaso 1 (p. 69)yPaso 2 (p. 71), siga el procedimiento siguiente para comprobar que la configuración actualizada del servidor DNS funciona como se esperaba.

En el siguiente procedimiento, se hace referencia a los valores de dirección IP del servidor DNS actual y nuevo de la siguiente manera:

• Direcciones IP de DNS actuales:OldIP1,OldIP2 • Nuevas direcciones IP de DNS:NewIP1,NewIP2

Note

Si es la segunda vez que realiza este procedimiento, reemplaceOldIP1porOldIP2yNewIP1porNewIP2. Probar la configuración actualizada del servidor DNS para Windows WorkSpaces

1. Apague elOldIP1Servidor DNS. 2. Inicie sesión en un Windows WorkSpace. 3. En el menú Inicio de Windows, elija Sistema de Windows, y, a continuación, elija Símbolo del sistema. 4. Ejecute el comando siguiente, dondeAD_Namees el nombre de su Active Directory (por ejemplo,corp.example.com).

nslookup AD_Name

LanslookupDebería devolver la siguiente salida. (Si es la segunda vez que realiza este procedimiento, debería verNewIP2En lugar deOldIP2.)

Server: Full_AD_Name Address: NewIP1

Name: AD_Name Addresses: OldIP2 NewIP1

5. Si el resultado no es lo que esperaba o si recibe algún error, repitaPaso 1 (p. 69). 6. Espere una hora y confirme que no se ha informado de ningún problema con el usuario. Verifique queNewIP1está recibiendo consultas DNS y respondiendo con respuestas. 7. Después de comprobar que el primer servidor DNS funciona correctamente, repitaPaso 1 (p. 69)para actualizar el segundo servidor DNS, esta vez reemplazandoOldIP2porNewIP2. A continuación, repita los pasos 2 y 3.

Probar la configuración actualizada del servidor DNS para Linux WorkSpaces

1. Apague elOldIP1Servidor DNS. 2. Inicie sesión en un WorkSpace Linux. 3. En su escritorio de Linux WorkSpace, abra una ventana del terminal (Aplicaciones >Herramientas del sistema >Terminal MATE).

72 Amazon WorkSpaces Guía de administración Eliminar directorio

4. Las direcciones IP del servidor DNS devueltas en la respuesta DHCP se escriben en el/etc/ resolv.confEn WorkSpace. Ejecute el comando siguiente para ver el contenido del/etc/ resolv.conf file.

cat /etc/resolv.conf

Debería ver los siguientes datos de salida. (Si es la segunda vez que realiza este procedimiento, debería verNewIP2En lugar deOldIP2.)

; This file is generated by Amazon WorkSpaces ; Modifying it can make your WorkSpace inaccessible until reboot options timeout:2 attempts:5 ; generated by /usr/sbin/dhclient-script search region.compute.internal nameserver NewIP1 nameserver OldIP2 nameserver WorkSpaceIP

Note

Si realiza modificaciones manuales en el/etc/resolv.conf, esos cambios se pierden cuando se reinicia WorkSpace. 5. Si el resultado no es lo que esperaba o si recibe algún error, repitaPaso 1 (p. 69). 6. Las direcciones IP del servidor DNS reales se almacenan en el archivo/etc/dhcp/ dhclient.conffile. Para ver el contenido de este archivo, ejecute el siguiente comando:

sudo cat /etc/dhcp/dhclient.conf

Debería ver los siguientes datos de salida. (Si es la segunda vez que realiza este procedimiento, debería verNewIP2En lugar deOldIP2.)

# This file is generated by Amazon WorkSpaces # Modifying it can make your WorkSpace inaccessible until rebuild prepend domain-name-servers NewIP1, OldIP2; # skylight

7. Espere una hora y confirme que no se ha informado de ningún problema con el usuario. Verifique queNewIP1está recibiendo consultas DNS y respondiendo con respuestas. 8. Después de comprobar que el primer servidor DNS funciona correctamente, repitaPaso 1 (p. 69)para actualizar el segundo servidor DNS, esta vez reemplazandoOldIP2porNewIP2. A continuación, repita los pasos 2 y 3.

Eliminar el directorio de WorkSpaces

Puede eliminar el directorio de los WorkSpaces si ya no están en uso por otros WorkSpaces ni aplicaciones como Amazon WorkDocs, Amazon WorkMail o Amazon Chime. Tenga en cuenta que debe anular el registro de un directorio si quiere eliminarlo. Note

Simple AD y AD Connector están disponibles de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con su directorio de Simple AD o AD Connector durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory ServiceTérminos de Precios de. Si elimina el directorio de Simple AD o AD Connector, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

73 Amazon WorkSpaces Guía de administración Habilitar Amazon WorkDocsAWSMicrosoft AD

Qué ocurre cuando se elimina un directorio

Cuando un Simple AD oAWS Directory Service for Microsoft Active DirectorySe elimina todos los datos y las instantáneas del directorio se eliminan y no se pueden recuperar. Una vez que se elimina el directorio, las instancias de Amazon EC2 que se unen al directorio permanecen intactas. No se puede, sin embargo, utilizar las credenciales del directorio para iniciar sesión en estas instancias. Es necesario iniciar sesión en estas instancias con una cuenta de usuario que sea local para la instancia.

Cuando se elimina un directorio de AD Connector, su directorio local permanece intacto. Las instancias de Amazon EC2 que se unen al directorio también permanecen intactas y permanecen unidas a su directorio local. Puede seguir utilizando las credenciales del directorio para iniciar sesión en estas instancias.

Para eliminar un directorio

1. Elimine todos los WorkSpaces del directorio. Para obtener más información, consulte Eliminar WorkSpaces (p. 154) . 2. Busque y elimine todas las aplicaciones y servicios que están registrados en el directorio. Para obtener más información, consulteEliminar su directorioen laAWS Directory ServiceGuía de administración. 3. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 4. En el panel de navegación, elija Directories (Directorios). 5. Seleccione el directorio y elija Actions, Deregister. 6. Cuando se le pida que confirme, elija Deregister. 7. Seleccione el directorio de nuevo y elija Actions, Delete. 8. Cuando se le pida confirmación, seleccione Delete (Eliminar). Note

La eliminación de asignaciones de aplicaciones a veces puede llevar más tiempo del esperado. Si recibe el siguiente mensaje de error, compruebe que ha quitado todas las asignaciones de aplicaciones y, a continuación, espere entre 30 y 60 minutos antes de intentar eliminar el directorio de nuevo:

An Error Has Occurred Cannot delete the directory because it still has authorized applications. Additional directory details can be viewed at the Directory Service console.

9. (Opcional) Después de eliminar todos los recursos de la nube virtual privada (VPC) para el directorio, puede eliminarla y liberar la dirección IP elástica utilizada para la gateway NAT. Para obtener más información, consulteEliminar su VPCyUso de direcciones IP elásticasen laGuía del usuario de Amazon VPC. 10. (Opcional) Para eliminar paquetes e imágenes personalizados que no vaya a volver a usar, consulte Eliminar un paquete o una imagen personalizada de WorkSpaces (p. 173).

Habilitar Amazon WorkDocsAWSMicrosoft AD

Si utilizaAWSPuede habilitar Amazon WorkDocs para su directorio gestionado por Microsoft AD con Amazon WorkSpaces, ya sea a través de la consola de Amazon WorkDocs o laAWS Directory Serviceconsola de . Note

Amazon WorkDocs no está disponible en todos losAWSRegiones en las que Amazon WorkSpaces está disponible. Para obtener más información, consultePrecios Amazon WorkDocs s.

74 Amazon WorkSpaces Guía de administración Configurar la administración de directorios

Para habilitar WorkDocs a través de la consola de Amazon WorkDocs

1. Abra la consola Amazon WorkDocs en.https://console.aws.amazon.com/zocalo/. 2. Elija Crear un nuevo sitio de WorkDocs. 3. En Standard Setup, elija Launch. 4. Seleccione el directorio y cree el nombre del sitio. 5. Especifique el usuario que administrará el sitio de WorkDocs. Puede utilizar el administrador o cualquier usuario creado en el directorio.

Para obtener más información, consulteIntroducción aAWSMicrosoft ADen laGuía de administración Amazon WorkDocs s.

Para habilitar WorkDocs a través de la consola AWS Directory Service

1. Abra el iconoAWS Directory Serviceconsola de en.https://console.aws.amazon.com/ directoryservicev2/. 2. En el panel de navegación, elija Directories (Directorios). 3. En la página Directories (Directorios), elija el directorio. 4. En la página Directory details (Detalles del directorio), seleccione la pestaña Application management (Administración de aplicaciones). 5. En la sección Application access URL (URL de acceso a aplicaciones), si no se ha asignado una URL de acceso al directorio, se mostrará el botón Create (Crear). Escriba un alias de directorio y elija Create (Crear). Para obtener más información, consulteCreación de una URL de accesoen laAWS Directory ServiceGuía de administración. 6. En la sección Application access URL (URL de acceso a la aplicación), elija Enable (Habilitar) para habilitar el inicio de sesión único para Amazon WorkDocs. Para obtener más información, consulteInicio de sesión únicoen laAWS Directory ServiceGuía de administración.

Configurar las herramientas de administración de Active Directory para WorkSpaces

Llevará a cabo la mayoría de las funciones administrativas del directorio WorkSpaces con herramientas de administración de directorios, como las herramientas de administración de Active Directory. Sin embargo, utilizará la consola de WorkSpaces para realizar algunas tareas relacionadas con el directorio. Para obtener más información, consulte Administrar directorios para WorkSpaces (p. 63) .

Si crea un directorio conAWSCon Microsoft AD administrado o Simple AD que incluya cinco o más escritorios de WorkSpaces, es recomendable que centralice la administración en una instancia de Amazon EC2. Aunque puede instalar las herramientas de administración de directorios en un escritorio de WorkSpace, una solución más sólida es utilizar una instancia de Amazon EC2.

Configurar las herramientas de administración de Active Directory

1. Lance una instancia de Windows de Amazon y únala al directorio de WorkSpaces con una de las siguientes opciones:

• Si aún no dispone de una instancia de Windows de Amazon EC2, puede unir la instancia al dominio de directorios cuando lance la instancia. Para obtener más información, consulteCómo unir fácilmente una instancia EC2 de Windowsen laAWS Directory ServiceGuía de administración. • Si ya tiene una instancia de Amazon EC2 Windows existente, puede unirla a su directorio manualmente. Para obtener más información, consulteAgregar manualmente una instancia de Windowsen laAWS Directory ServiceGuía de administración.

75 Amazon WorkSpaces Guía de administración Configurar la administración de directorios

2. Instale las herramientas de administración de Active Directory en la instancia de Windows de Amazon EC2. Para obtener más información, consulteInstalar las herramientas de administración de Active Directoryen laAWS Directory ServiceGuía de administración. Note

Cuando instale las Herramientas de administración de Active Directory, asegúrese de seleccionarAdministración de políticas de grupoPara instalar el editor de administración de políticas de grupo (gpmc.msc).

Cuando termine de instalarse la función, las herramientas Active Directory estarán disponibles en lainiciaMenú enHerramientas administrativas de Windows. 3. Ejecute las herramientas como administrador del directorio del modo siguiente:

a. En Windowsiniciamenú, abrirHerramientas administrativas de Windows. b. Mantenga presionada la tecla Mayús, haga clic con el botón derecho en el acceso directo de la herramienta que desea utilizar y seleccioneEjecutar como usuario diferente. c. Escriba el nombre de usuario y la contraseña del administrador. Con Simple AD, el nombre de usuario esAdministratory conAWSAdministrador de Microsoft AD, el administrador esAdmin.

A partir de ahora, puede realizar las tareas de administración de directorios con las herramientas de Active Directory que ya conoce. Por ejemplo, puede utilizar la herramienta de Usuarios y equipos de Active Directory para añadir y eliminar usuarios, promocionar un usuario a administrador del directorio o restablecer una contraseña de usuario. Tenga en cuenta que debe haber iniciado sesión en la instancia de Windows como un usuario con permisos para administrar usuarios en el directorio.

Para promocionar un usuario a administrador del directorio Note

Este procedimiento solo se aplica a los directorios creados con Simple AD, noAWSAD administrada. Para directorios creados conAWSAD administrado, consulteAdministrar usuarios y grupos enAWSMicrosoft AD administradaen laAWS Directory ServiceGuía de administración.

1. Abra la herramienta Usuarios y equipos de Active Directory. 2. Vaya a la carpeta Users del dominio y seleccione el usuario que desea promocionar. 3. Elija Action, Properties. 4. En el navegadornombreDeUsuarioPropiedades, seleccioneMiembro de. 5. Añada el usuario a los siguientes grupos y seleccione OK.

• Administradores • Administradores de dominio • Administradores de empresas • Propietarios del creador de directiva de grupo • Administradores de esquemas

Para agregar o eliminar usuarios

Puede crear nuevos usuarios desde la consola de Amazon WorkSpaces únicamente durante el proceso de inicio de WorkSpace, pero no puede eliminar usuarios a través de la consola de Amazon WorkSpaces. La mayoría de las tareas de administración de usuarios, incluida la administración de grupos de usuarios, deben realizarse a través del directorio.

76 Amazon WorkSpaces Guía de administración Configurar la administración de directorios

Important

Tenga en cuenta que antes de eliminar a un usuario, debe eliminar el escritorio de WorkSpaces asignado a ese usuario. Para obtener más información, consulte Eliminar WorkSpaces (p. 154) .

El proceso que utilice para administrar usuarios y grupos depende del tipo de directorio que utilice.

• Si utilizaAWSMicrosoft AD administrado, consulteAdministrar usuarios y grupos enAWSMicrosoft AD administradaen laAWS Directory ServiceGuía de administración. • Si utiliza Simple AD, consulteAdministrar usuarios y grupos en Simple ADen laAWS Directory ServiceGuía de administración. • Si utiliza Microsoft Active Directory a través de AD Connector o una relación de confianza, puede administrar los usuarios y grupos utilizando Active Directory.

Para restablecer una contraseña de usuario

Cuando restablezca la contraseña de un usuario, no configure User must change password at next logon. Si lo hace, los usuarios no podrán conectarse a los escritorios de WorkSpaces. En lugar de eso, asigne una contraseña temporal segura a cada usuario y pídales que la cambien manualmente desde el espacio de trabajo la próxima vez que inicie sesión. Note

Si está utilizando AD Connector o si sus usuarios están en elAWSRegión GovCloud (EE.UU.- Oeste), sus usuarios no podrán restablecer sus propias contraseñas. (El¿Has olvidado la contraseña?En la pantalla de inicio de sesión de la aplicación cliente de WorkSpaces no estará disponible).

77 Amazon WorkSpaces Guía de administración

Iniciar un escritorio virtual con WorkSpaces

Con WorkSpaces, puede aprovisionar escritorios virtuales de Microsoft Windows o Amazon Linux basados en la nube para los usuarios, denominadosWorkSpaces de. Note

LaNombre del equipomostrado para un WorkSpace en la consola de Amazon WorkSpaces varía según el tipo de WorkSpaces que haya iniciado (Linux o Windows). El nombre del equipo para un WorkSpace puede tener uno de estos formatos:

• Linux: A-1xxxxxxxxxxxx • Windows: IP-Cxxxxxxo WSAMZN-xxxxxxxo EC2AMAZ-xxxxxxx

Para Windows WorkSpaces, el formato del nombre del equipo viene determinado por el tipo de paquete y, en el caso de WorkSpaces creados a partir de paquetes públicos o de paquetes personalizados basados en imágenes públicas, por el momento en que se crearon las imágenes públicas. A partir del 22 de junio de 2020, Windows WorkSpaces lanzado desde paquetes públicos tienen el WSAMZN-xxxxxxxpara los nombres de sus equipos en lugar del IP-Cxxxxxxformato. Para los paquetes personalizados basados en una imagen pública, si la imagen pública se creó antes del 22 de junio de 2020, los nombres de los equipos se encuentran en el EC2AMAZ-xxxxxxxformato. Si la imagen pública se creó a partir del 22 de junio de 2020, los nombres de los equipos se encuentran en el WSAMZN-xxxxxxxformato. Para los paquetes Bring Your Own License (BYOL), ya sea el modelo DESKTOP-xxxxxxxo el EC2AMAZ-xxxxxxxse utiliza de forma predeterminada para los nombres de los equipos. Si ha especificado un formato personalizado para los nombres de equipo en los paquetes personalizados o BYOL, el formato personalizado reemplaza estos valores predeterminados. Para especificar un formato personalizado, consulteCrear una imagen y un paquete personalizados de WorkSpaces (p. 155). Importante: si cambia el nombre del equipo de un WorkSpace a través de la configuración del sistema de Windows, ya no podrá acceder a WorkSpace.

WorkSpaces utiliza un directorio para almacenar y administrar la información de los usuarios y los WorkSpaces. Puede elegir cualquiera de las opciones siguientes:

• Cree un directorio de AD sencillo. • Crear un AWS Directory Service para Microsoft Active Directory, también denominado AWS Managed Microsoft AD. • Conectarse con un Microsoft Active Directory existente a través del conector de Active Directory. • Crear una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio local.

Note

78 Amazon WorkSpaces Guía de administración Lanzar medianteAWSGestión de Microsoft AD

WorkSpaces fallarán. Replicación entre regiones conAWSNo se admite el uso de Microsoft AD administrado con Amazon WorkSpaces en regiones replicadas. • Simple AD y AD Connector están disponibles de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con su directorio de Simple AD o AD Connector durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory ServicePrecios de Precios.

En los siguientes tutoriales se muestra cómo lanzar un WorkSpace mediante las opciones de servicio de directorio compatibles.

Tutoriales • Lanzar un WorkSpace medianteAWSGestión de Microsoft AD (p. 79) • Lanzar un WorkSpace con Simple AD (p. 82) • Lanzar un WorkSpace mediante AD Connector (p. 86) • Iniciar un WorkSpace con un dominio de confianza (p. 89)

Lanzar un WorkSpace medianteAWSGestión de Microsoft AD

WorkSpaces permite aprovisionar escritorios de Windows basados en la nube para sus usuarios, conocidos como escritoriosWorkSpaces de.

WorkSpaces utiliza directorios para almacenar y administrar la información de los usuarios y los WorkSpaces. Para el directorio, puede elegir entre Simple AD, AD Connector o AWS Directory Service para Microsoft Active Directory, también denominado AWS Managed Microsoft AD. Además, puede establecer una relación de confianza entre el directorio de AWS Managed Microsoft AD y el dominio local.

En este tutorial, se lanza un WorkSpace que utiliza AWS Managed Microsoft AD. Para encontrar tutoriales que utilicen las otras opciones, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78).

Tareas • Antes de empezar (p. 79) • Paso 1: Creación de unAWSDirectorio de Microsoft AD (p. 80) • Paso 2: Creación de un WorkSpace (p. 81) • Paso 3: Connect al WorkSpace (p. 81) • Pasos siguientes (p. 82)

Antes de empezar

• WorkSpaces no está disponible en todas las regiones. Compruebe las regiones que son compatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de las regiones admitidas, consultePrecios de WorkSpaces porAWSRegión. • Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Un paquete es una combinación de un sistema operativo, capacidad informática, almacenamiento y recursos de software. Para obtener más información, consulte Paquetes de Amazon WorkSpaces.

79 Amazon WorkSpaces Guía de administración Paso 1: Creación de unAWSDirectorio de Microsoft AD

• Cuando cree un directorio con AWS Directory Service o lance un WorkSpace, debe crear o seleccionar una nube virtual privada configurada con una subred pública y dos subredes privadas. Para obtener más información, consulte Configurar una VPC para WorkSpaces (p. 10) .

Paso 1: Creación de unAWSDirectorio de Microsoft AD

Primero cree un directorio de AWS Managed Microsoft AD. AWS Directory Service crea dos servidores de directorios, uno en cada una de las subredes privadas de la VPC. Tenga en cuenta que en el directorio no hay usuarios inicialmente. En el siguiente paso agregará un usuario cuando lance el escritorio de WorkSpaces. Note

Para crear un directorio de AWS Managed Microsoft AD

a. En Organization name (Nombre de la organización), escriba un nombre para el directorio que sea único en la organización (por ejemplo, «mi-directorio-de-demostración»). Este nombre debe tener al menos cuatro caracteres, incluir caracteres alfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion. b. En Directory DNS (DNS de directorio), escriba el nombre completo del directorio (por ejemplo, «workspaces.demo.com»). Important

Si necesita actualizar el servidor DNS después de iniciar WorkSpaces, siga el procedimiento que se describe enActualización de servidores DNS de Amazon WorkSpaces (p. 68)para asegurarse de que sus WorkSpaces se actualicen correctamente. c. En NetBIOS name (Nombre de NetBIOS), escriba un nombre abreviado para el directorio (por ejemplo, «workspaces»). d. En Admin password (Contraseña de administrador) y Confirm password (Confirmar contraseña), escriba una contraseña para la cuenta del administrador del directorio. Para obtener más información acerca de los requisitos de contraseña, consulteCreación de suAWSDirectorio de Microsoft ADen laAWS Directory ServiceGuía de administración. e. (Opcional) En Description (Descripción), escriba una descripción del directorio. f. En VPC, seleccione la VPC que ha creado. g. En Subnets, seleccione las dos subredes privadas (con los bloques CIDR 10.0.1.0/24 y 10.0.2.0/24). h. Elija Next Step (Paso siguiente).

80 Amazon WorkSpaces Guía de administración Paso 2: Creación de un WorkSpace

5. Seleccione Create Microsoft AD. 6. Seleccione Done (Listo). El estado inicial del directorio es Creating. Cuando la creación del directorio se completa, el estado cambia a Active.

Paso 2: Creación de un WorkSpace

Ahora que ha creado un directorio de AWS Managed Microsoft AD, ya puede crear un WorkSpace.

Para crear un escritorio WorkSpace

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Elija Launch WorkSpaces. 4. En la páginaSeleccionar un directorio, elija el directorio que acaba de crear y, a continuación, elijaPaso siguiente. WorkSpaces registra el directorio. 5. En la página Identify Users, agregue un nuevo usuario al directorio del modo siguiente:

a. Complete Username, First Name, Last Name y Email. Utilice una dirección de correo electrónico a la que tenga acceso. b. Seleccione Create Users. c. Elija Next Step (Paso siguiente). 6. En la página Select Bundle, seleccione un paquete y después elija Next Step. 7. En la página WorkSpaces Configuration, elija un modo de ejecución y después elija Next Step. 8. En la página Review & Launch WorkSpaces, elija Launch WorkSpaces. El estado inicial del WorkSpace es PENDING. Cuando el lanzamiento ha terminado, el estado es AVAILABLE y se envía una invitación a la dirección de correo electrónico que especificó para el usuario. Note

Los correos electrónicos de invitación no se envían si el usuario ya existe en Active Directory. En su lugar, asegúrese de enviar manualmente al usuario un correo electrónico de invitación. Para obtener más información, consulte Envío de un correo electrónico (p. 94) . 9. (Opcional) Si Amazon WorkDocs se admite en la región, puede habilitar Amazon WorkDocs para todos los usuarios del directorio. Para obtener más información, consulte Habilitar Amazon WorkDocsAWSMicrosoft AD (p. 74) . Para obtener más información acerca de Amazon WorkDocs, consulteAmazon WorkDocs Driveen laGuía de administración de Amazon WorkDocs.

Paso 3: Connect al WorkSpace

Después de recibir el correo electrónico de invitación, puede conectarse al WorkSpace utilizando el cliente de su elección. Después de iniciar sesión, el cliente muestra el escritorio de WorkSpaces.

Para conectarse al WorkSpace

1. Abra el enlace del correo electrónico de invitación. Cuando se le solicite, especifique una contraseña y active el usuario. Recuerde esta contraseña, ya que la necesitará para iniciar sesión en el WorkSpace. Note

81 Amazon WorkSpaces Guía de administración Pasos siguientes

2. Review (Revisar)Cliente de WorkSpacesen laGuía del usuario de Amazon WorkSpacesPara obtener más información acerca de los requisitos de cada cliente y, a continuación, realice una de las acciones siguientes:

• Cuando se le solicite, descargue una de las aplicaciones cliente o inicie Web Access. • Si no se le solicita y no ha instalado una aplicación cliente todavía, abrahttps:// clients.amazonworkspaces.com/ y descargue una de las aplicaciones cliente o inicie Web Access.

Note

No puede utilizar un navegador web (Web Access) para conectarse a Amazon Linux WorkSpaces. 3. Inicie el cliente y escriba el código de registro que se incluye en el correo de invitación y elija Register. 4. Cuando le pidan que inicie sesión, escriba el nombre de usuario y la contraseña, y haga clic en Sign In (Iniciar sesión). 5. (Opcional) Cuando se le solicite guardar las credenciales, elija Yes.

Pasos siguientes

Puede seguir y personalizar el WorkSpace que acaba de crear. Por ejemplo, puede instalar software y, después, crear un paquete personalizado del WorkSpace. También puede realizar varias tareas administrativas para su directorio WorkSpaces y WorkSpaces. Si ya ha terminado con él, puede eliminarlo. Para obtener más información, consulte la documentación siguiente.

• Crear una imagen y un paquete personalizados de WorkSpaces (p. 155) • Administrar sus WorkSpaces de (p. 100) • Administrar directorios para WorkSpaces (p. 63) • Eliminar WorkSpaces (p. 154)

Para obtener más información acerca del uso de las aplicaciones cliente de WorkSpaces, como la configuración de varios monitores o el uso de dispositivos periféricos, consulteCliente de WorkSpacesySupport con dispositivos periféricosen laGuía del usuario de Amazon WorkSpaces.

Lanzar un WorkSpace con Simple AD

WorkSpaces permite aprovisionar escritorios de Microsoft Windows basados en la nube para sus usuarios, conocidos comoWorkSpaces de.

En este tutorial, se lanza un escritorio de WorkSpaces que utiliza AD sencillo. Para encontrar tutoriales que utilicen las otras opciones, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78).

Tareas • Antes de empezar (p. 83) • Paso 1: Creación de un directorio de Simple AD (p. 83) • Paso 2: Creación de un WorkSpace (p. 84) • Paso 3: Connect al WorkSpace (p. 85)

82 Amazon WorkSpaces Guía de administración Antes de empezar

• Pasos siguientes (p. 85)

Antes de empezar

• Simple AD no está disponible en todas las regiones. Verifique las regiones compatibles ySelección de una regiónpara el directorio de Simple AD. Para obtener más información acerca de las regiones admitidas para Simple AD, consulteDisponibilidad por región deAWSDirectory Service. • Los WorkSpaces no están disponible en todas las regiones. Compruebe las regiones que son compatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de las regiones admitidas, consultePrecios de los WorkSpacesAWSRegión. • Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Un paquete es una combinación de un sistema operativo, capacidad informática, almacenamiento y recursos de software. Para obtener más información, consulte Paquetes de Amazon WorkSpaces. • Cuando cree un directorio con AWS Directory Service o lance un WorkSpace, debe crear o seleccionar una nube virtual privada configurada con una subred pública y dos subredes privadas. Para obtener más información, consulte Configurar una VPC para WorkSpaces (p. 10) .

Paso 1: Creación de un directorio de Simple AD

Cree un directorio de Simple AD. AWS Directory Service crea dos servidores de directorios, uno en cada una de las subredes privadas de la VPC. Tenga en cuenta que en el directorio no hay usuarios inicialmente. Agregará un usuario en el siguiente paso al crear el escritorio de WorkSpaces. Note

Simple AD se pone a su disposición de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con el directorio de Simple AD durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory ServicePrecios de Precios de. Para eliminar directorios vacíos, consulteEliminar el directorio de WorkSpaces (p. 73). Si elimina el directorio de Simple AD, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

Para crear un directorio de AD sencillo

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. SeleccionarConfiguración de Directorio,AD sencillo, ySiguiente. 4. Configure el directorio del modo siguiente:

a. En Organization name (Nombre de la organización), escriba un nombre para el directorio que sea único en la organización (por ejemplo, mi-directorio-de-ejemplo). Este nombre debe tener al menos cuatro caracteres, incluir caracteres alfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion. b. ParaNombre de DNS del directorio, escriba el nombre completo del directorio (por ejemplo, ejemplo.com). Important

Si necesita actualizar el servidor DNS después de iniciar sus WorkSpaces, siga el procedimiento deActualización de servidores DNS de Amazon WorkSpaces (p. 68)para asegurarse de que sus WorkSpaces se actualicen correctamente. c. En NetBIOS name (Nombre de NetBIOS), escriba un nombre abreviado para el directorio (por ejemplo, «ejemplo»).

83 Amazon WorkSpaces Guía de administración Paso 2: Creación de un WorkSpace

d. En Admin password (Contraseña de administrador) y Confirm password (Confirmar contraseña), escriba una contraseña para la cuenta del administrador del directorio. Para obtener más información acerca de los requisitos de contraseña, consulteCómo crear un directorio de Microsoft ADen laAWS Directory ServiceGuía de administración. e. (Opcional) En Description (Descripción), escriba una descripción del directorio. f. ParaTamaño del directorio, elijaPequeña. g. En VPC, seleccione la VPC que ha creado. h. En Subnets, seleccione las dos subredes privadas (con los bloques CIDR 10.0.1.0/24 y 10.0.2.0/24). i. Seleccione Siguiente. 5. SeleccionarCreación de directorio. 6. El estado inicial del directorio es Requested y luego Creating. Cuando la creación del directorio se completa (esto podría tardar unos minutos), el estado cambia aActive.

Qué ocurre durante la creación de directorios

WorkSpaces realiza las siguientes tareas en su nombre:

• Crea un rol de IAM que permite al servicio de WorkSpaces crear interfaces de red elásticas y mostrar los directorios de WorkSpaces. El nombre de este rol es workspaces_DefaultRole. • Establece un directorio de AD sencillo en la VPC que se usa para almacenar la información de los usuarios y de los WorkSpaces. El directorio tiene una cuenta de administrador con el nombre de usuario Administrator y la contraseña especificada. • Crea dos grupos de seguridad: uno para los controladores del directorio y otro para los WorkSpaces del directorio.

Paso 2: Creación de un WorkSpace

Ahora ya puede lanzar el WorkSpace.

Para crear un WorkSpace para un usuario

a. En Directory, elija el directorio que ha creado. b. ParaHabilitar permisos de autoservicio de, elijaSíorNoe introduzca una descripción. c. En Enable Amazon WorkDocs, seleccione Yes. Note

Esta opción solo está disponible si Amazon WorkDocs también lo está en la región seleccionada. d. Elija Next Step (Paso siguiente). WorkSpaces registra el directorio de Simple AD. 5. En la página Identify Users, agregue un nuevo usuario al directorio del modo siguiente:

a. Complete Username, First Name, Last Name y Email. Utilice una dirección de correo electrónico a la que tenga acceso. b. Seleccione Create Users. c. Elija Next Step (Paso siguiente).

84 Amazon WorkSpaces Guía de administración Paso 3: Connect al WorkSpace

6. En la página Select Bundle, seleccione un paquete y después elija Next Step. 7. En la página WorkSpaces Configuration, elija un modo de ejecución y después elija Next Step. 8. En la página Review & Launch WorkSpaces, elija Launch WorkSpaces. El estado inicial del WorkSpace es PENDING. Cuando el lanzamiento se completa (esto puede tardar hasta 20 minutos), el estado cambia aAVAILABLEy se envía una invitación a la dirección de correo electrónico que especificaste para el usuario. Note

Paso 3: Connect al WorkSpace

Para conectarse al WorkSpace

1. Abra el enlace del correo electrónico de invitación. Cuando se lo soliciten, escriba una contraseña y active el usuario. Recuerde esta contraseña, ya que la necesitará para iniciar sesión en el WorkSpace. Note

Las contraseñas distinguen entre mayúsculas y minúsculas y debe tener un mínimo de 8 caracteres y un máximo de 64. Las contraseñas deben contener al menos un carácter de cada una de las categorías siguientes: minúsculas (a-z), mayúsculas (A-Z), números (0-9) y ~! @#$%^&*_-+=`|\ () {} []:; "'<>,.? /. 2. Review (Revisar)Cliente de WorkSpacesen laGuía del usuario de Amazon WorkSpacesPara obtener más información acerca de los requisitos de cada cliente y, a continuación, lleve a cabo alguna de las siguientes operaciones:

• Cuando se le solicite, descargue una de las aplicaciones cliente o inicieWeb Access. • Si no se le solicita y no ha instalado una aplicación cliente todavía, abrahttps:// clients.amazonworkspaces.com/ y descargue una de las aplicaciones cliente o inicieWeb Access.

Note

Pasos siguientes

Puede seguir y personalizar el WorkSpace que acaba de crear. Por ejemplo, puede instalar software y, después, crear un paquete personalizado del WorkSpace. También puede realizar varias tareas administrativas para su directorio WorkSpaces y WorkSpaces. Si ya ha terminado con él, puede eliminarlo. Para obtener más información, consulte la documentación siguiente.

• Crear una imagen y un paquete personalizados de WorkSpaces (p. 155)

85 Amazon WorkSpaces Guía de administración Lanzar con AD Connector

• Administrar sus WorkSpaces de (p. 100) • Administrar directorios para WorkSpaces (p. 63) • Eliminar WorkSpaces (p. 154)

Para obtener más información acerca del uso de las aplicaciones cliente de WorkSpaces, como la configuración de varios monitores o el uso de dispositivos periféricos, consulteCliente de WorkSpacesySupport con dispositivos periféricosen laGuía del usuario de Amazon WorkSpaces.

Lanzar un WorkSpace mediante AD Connector

WorkSpaces le permite aprovisionar escritorios de Microsoft Windows basados en la nube virtuales, conocidos comoWorkSpaces de.

En este tutorial, se lanza un escritorio de WorkSpaces que utiliza AD Connector. Para encontrar tutoriales que utilicen las otras opciones, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78).

Tareas • Antes de empezar (p. 86) • Paso 1: Crear un AD Connector (p. 86) • Paso 2: Crear un WorkSpace (p. 87) • Paso 3: Connect al WorkSpace (p. 88) • Pasos siguientes (p. 89)

Antes de empezar

• Los WorkSpaces no están disponible en todas las regiones. Compruebe las regiones que son compatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de las regiones admitidas, consultePrecios de WorkSpacesAWSRegión. • Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Un paquete es una combinación de un sistema operativo, capacidad informática, almacenamiento y recursos de software. Para obtener más información, consulte Paquetes de Amazon WorkSpaces. • Cree una cloud virtual privada al menos con dos subredes privadas. Para obtener más información, consulte Configurar una VPC para WorkSpaces (p. 10) . La VPC debe estar conectada a la red local a través de una conexión de red privada virtual (VPN) o de AWS Direct Connect. Para obtener más información, consulteRequisitos previos de AD Connectoren laAWS Directory ServiceGuía de administración. • Proporcione acceso a Internet desde el WorkSpace. Para obtener más información, consulte Proporcionar acceso a Internet desde su WorkSpace (p. 46) .

Paso 1: Crear un AD Connector Note

AD Connector se pone a su disposición de forma gratuita para utilizarlo con WorkSpaces. Si no se utiliza WorkSpaces con el directorio de AD Connector durante 30 días consecutivos, este

86 Amazon WorkSpaces Guía de administración Paso 2: Crear un WorkSpace

directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory Servicetérminos de precios. Para eliminar directorios vacíos, consulteEliminar el directorio de WorkSpaces (p. 73). Si elimina el directorio de AD Connector, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

Para crear una instancia de AD Connector

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Elija Set up Directory, Create AD Connector. 4. En Organization name (Nombre de la organización), escriba un nombre para el directorio que sea único en la organización (por ejemplo, mi-directorio-de-ejemplo). Este nombre debe tener al menos cuatro caracteres, incluir caracteres alfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion. 5. En Connected directory DNS (DNS de directorio conectado), escriba el nombre completo del directorio local (por ejemplo, «ejemplo.com»). 6. En Connected directory NetBIOS name (Nombre de NetBIOS de directorio conectado), escriba el nombre abreviado del directorio local (por ejemplo, «ejemplo»). 7. En Connector account username (Nombre de usuario de cuenta de conector), escriba el nombre de usuario de un usuario del directorio local. El usuario debe tener permisos para leer usuarios y grupos, crear objetos del equipo y unir equipos al dominio. 8. En Connector account password (Contraseña de cuenta de conector) y en Confirm password (Confirmar contraseña), escriba la contraseña de la cuenta de usuario local. 9. En DNS address (Dirección DNS), escriba la dirección IP de al menos un servidor DNS del directorio local. Important

Si necesita actualizar la dirección IP del servidor DNS después de iniciar sus WorkSpaces, siga el procedimiento que se describe enActualización de servidores DNS de Amazon WorkSpaces (p. 68)para asegurarse de que sus WorkSpaces se actualicen correctamente. 10. (Opcional) En Description (Descripción), escriba una descripción del directorio. 11. Mantenga Size en Small. 12. En VPC, seleccione la VPC. 13. En Subnets, seleccione las subredes. Los servidores DNS que especifique deben ser accesibles desde cada subred. 14. Elija Next Step (Paso siguiente). 15. Elija Create AD Connector. Se tarda unos minutos en conectar a su directorio. El estado inicial del directorio es Requested y luego Creating. Cuando la creación del directorio se completa, el estado cambia a Active.

Paso 2: Crear un WorkSpace

Ahora ya puede lanzar WorkSpaces para uno o varios usuarios del directorio local.

Para iniciar un espacio de trabajo para un usuario existente

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Elija Launch WorkSpaces. 4. En Directory, elija el directorio que ha creado.

87 Amazon WorkSpaces Guía de administración Paso 3: Connect al WorkSpace

5. (Opcional) Si es la primera vez que lanza un WorkSpace Docs en este directorio, y Amazon WorkDocs se admite en la región, puede habilitar o deshabilitar Amazon WorkDocs para todos los usuarios del directorio. Para obtener más información acerca de Amazon WorkDocs, consulteAmazon WorkDocsen laGuía de administración de Amazon WorkDocs. 6. Seleccione Siguiente. WorkSpaces registra el AD Connector. 7. Seleccione uno o varios usuarios existentes en su directorio local. No añada nuevos usuarios a un directorio local a través de la consola de WorkSpaces.

Para buscar a los usuarios que va a seleccionar, escriba todo o parte del nombre del usuario y elija Search (Buscar) o Show All Users (Mostrar todos los usuarios). Tenga en cuenta que no puede seleccionar un usuario que no tenga dirección de correo electrónico.

Después de seleccionar a los usuarios, elija Add Selected y, a continuación, elija Next Step. 8. En Select Bundle, elija el paquete de WorkSpace predeterminado que se utilizará para los WorkSpaces. En Assign WorkSpace Bundles, puede elegir otro paquete distinto para un WorkSpace individual, si es necesario. Cuando haya terminado, seleccione Next Step. 9. Elija un modo de ejecución para los Workspaces y después, Next Step. Para obtener más información, consulte Administrar el modo de ejecución de WorkS (p. 125) . 10. Elija Launch WorkSpaces. El estado inicial del WorkSpace es PENDING. Cuando el lanzamiento se completa, el estado cambia a AVAILABLE. 11. Envíe invitaciones a la dirección de correo electrónico de cada usuario. (Estas invitaciones no se envían automáticamente si se utiliza AD Connector). Para obtener más información, consulte Envío de un correo electrónico (p. 94) .

Paso 3: Connect al WorkSpace

Puede conectarse al escritorio WorkSpace utilizando el cliente de su elección. Después de iniciar sesión, el cliente muestra el escritorio de WorkSpaces.

Para conectarse al WorkSpace

1. Abra el enlace del correo electrónico de invitación. 2. Review (Revisar)Clientes WorkSpacesen laGuía del usuario de Amazon WorkSpacesPara obtener más información acerca de los requisitos de cada cliente y, a continuación, realice una de las siguientes operaciones:

Note

Como está utilizando AD Connector, los usuarios no podrán restablecer sus propias contraseñas. (La opción ¿Olvidó la contraseña? de la pantalla de inicio de sesión de la aplicación cliente

88 Amazon WorkSpaces Guía de administración Pasos siguientes

de WorkSpaces no estará disponible). Para obtener información acerca de cómo restablecer las contraseñas de usuario, consulte Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75). Pasos siguientes

Puede seguir y personalizar el WorkSpace que acaba de crear. Por ejemplo, puede instalar software y, después, crear un paquete personalizado del WorkSpace. También puede realizar varias tareas administrativas para su directorio WorkSpaces y WorkSpaces. Si ya ha terminado con él, puede eliminarlo. Para obtener más información, consulte la documentación siguiente.

• Crear una imagen y un paquete personalizados de WorkSpaces (p. 155) • Administrar sus WorkSpaces de (p. 100) • Administrar directorios para WorkSpaces (p. 63) • Eliminar WorkSpaces (p. 154)

Iniciar un WorkSpace con un dominio de confianza

WorkSpaces permite aprovisionar escritorios de Microsoft Windows basados en la nube para sus usuarios, conocidos comoWorkSpaces de.

En este tutorial, se lanza un escritorio WorkSpace que utiliza una relación de confianza. Para encontrar tutoriales que utilicen las otras opciones, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78).

Tareas • Antes de empezar (p. 89) • Paso 1: Establezca una relación de confianza (p. 90) • Paso 2: Creación de un WorkSpace (p. 90) • Paso 3: Connect al WorkSpace (p. 91) • Pasos siguientes (p. 91)

Antes de empezar

• Iniciar WorkSpaces con cuentas de usuario en un dominio de confianza independiente funciona conAWSAdministrado Microsoft AD cuando se configura con una relación de confianza con el directorio local. Sin embargo, WorkSpaces con Simple AD o AD Connector no puede iniciar WorkSpaces para usuarios desde un dominio de confianza. • WorkSpaces no está disponible en todas las regiones. Compruebe las regiones que son compatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de las regiones admitidas, consultePrecios de WorkSpacesAWSRegión.

89 Amazon WorkSpaces Guía de administración Paso 1: Establezca una relación de confianza

• Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Un paquete es una combinación de capacidad informática, almacenamiento y recursos de software. Para obtener más información, consulte Paquetes de Amazon WorkSpaces. • Cuando cree un directorio con AWS Directory Service o lance un WorkSpace, debe crear o seleccionar una nube virtual privada configurada con una subred pública y dos subredes privadas. Para obtener más información, consulte Configurar una VPC para WorkSpaces (p. 10).

Paso 1: Establezca una relación de confianza

Para establecer la relación de confianza

1. Configure AWS Managed Microsoft AD en la nube virtual privada (VPC). Para obtener más información, consulteCreación de suAWSDirectorio de Microsoft ADen laAWS Directory ServiceGuía de administración. Note

• En la actualidad, los directorios compartidos no son compatibles con Amazon WorkSpaces. • Si las recetasAWSEl directorio administrado de Microsoft AD se ha configurado para la replicación de varias regiones, solo se puede registrar el directorio de la región principal para su uso con Amazon WorkSpaces. Los intentos de registrar el directorio en una región replicada para utilizarlo con Amazon WorkSpaces fallarán. Replicación de varias regiones conAWSAdministrado Microsoft AD no es compatible con Amazon WorkSpaces en regiones replicadas. 2. Cree una relación de confianza entre AWS Managed Microsoft AD y el dominio local. Asegúrese de que la confianza se configura de manera bidireccional. Para obtener más información, consulteTutorial: Creación de una relación de confianzaAWSAdministrador de Microsoft AD y su dominio localen laAWS Directory ServiceGuía de administración.

Se puede utilizar una relación de confianza bidireccional o bidireccional para realizar la administración y la autenticación con WorkSpaces y para que WorkSpaces pueda aprovisionarse con arreglo a los usuarios y grupos locales. Para obtener más información, consulteImplemente Amazon WorkSpaces mediante un dominio de recursos de confianza unidireccional conAWSDirectory Service. Paso 2: Creación de un WorkSpace

Después de establecer una relación de confianza entre AWS Managed Microsoft AD y el dominio local de Microsoft Active Directory, puede aprovisionar WorkSpaces para los usuarios en el dominio local.

Tenga en cuenta que deberá asegurarse de que la configuración de GPO se replique en los dominios antes de poder aplicarla a los WorkSpaces.

Para iniciar espacios de trabajos para usuarios en un dominio local de confianza

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Elija Launch WorkSpaces. 4. En la página Select a Directory, elija el directorio que acaba de registrar y, a continuación, elija Next Step. 5. En la página Identify Users, haga lo siguiente:

a. En Select trust from forest, seleccione la relación de confianza que ha creado. b. Seleccione los usuarios del dominio local y, a continuación, elija Add Selected.

90 Amazon WorkSpaces Guía de administración Paso 3: Connect al WorkSpace

c. Elija Next Step (Paso siguiente). 6. Seleccione el paquete que se va a utilizar para WorkSpaces y, a continuación, elija Next Step. 7. Elija el modo de ejecución, elija la configuración de cifrado y configure las etiquetas. Cuando haya terminado, seleccione Next Step. 8. Elija Launch WorkSpaces. Tenga en cuenta que los espacios de trabajo podrían tardar hasta 20 minutos en estar disponibles y hasta 40 minutos si está habilitado el cifrado. El estado inicial del WorkSpace es PENDING. Cuando el lanzamiento se completa, el estado cambia a AVAILABLE. 9. Envíe invitaciones a la dirección de correo electrónico de cada usuario. (Estas invitaciones no se envían automáticamente si se utiliza una relación de confianza). Para obtener más información, consulte Envío de un correo electrónico (p. 94).

Paso 3: Connect al WorkSpace

Una vez recibido el correo electrónico de invitación, puede conectarse al WorkSpace. Los usuarios pueden introducir los nombres de usuario como username, corp\username o corp.example.com\username).

Para conectarse al WorkSpace

Las contraseñas distinguen entre mayúsculas y minúsculas y debe tener un mínimo de 8 caracteres y un máximo de 64. Las contraseñas deben contener al menos un carácter de cada una de las categorías siguientes: minúsculas (a-z), mayúsculas (A-Z), números (0-9) y ~! @#$%^&*_-+=`|\ () {} []:; "'<>,.? /. 2. Review (Revisar)Cliente de WorkSpacesen laGuía del usuario de Amazon WorkSpacesPara obtener más información acerca de los requisitos de cada cliente y, a continuación, lleve a cabo alguna de las siguientes operaciones:

Note

No puede utilizar un navegador web (Web Access) para conectarse a los WorkSpaces de Amazon Linux. 3. Inicie el cliente y escriba el código de registro que se incluye en el correo de invitación y elija Register. 4. Cuando le pidan que inicie sesión, escriba el nombre de usuario y la contraseña, y haga clic en Sign In (Iniciar sesión). 5. (Opcional) Cuando se le solicite guardar las credenciales, elija Yes.

Pasos siguientes

Puede seguir y personalizar el WorkSpace que acaba de crear. Por ejemplo, puede instalar software y, después, crear un paquete personalizado del WorkSpace. También puede realizar varias tareas administrativas para su directorio WorkSpaces y WorkSpaces. Si ya ha terminado con él, puede eliminarlo. Para obtener más información, consulte la documentación siguiente.

• Crear una imagen y un paquete personalizados de WorkSpaces (p. 155)

91 Amazon WorkSpaces Guía de administración Pasos siguientes

• Administrar sus WorkSpaces de (p. 100) • Administrar directorios para WorkSpaces (p. 63) • Eliminar WorkSpaces (p. 154)

Para obtener más información acerca del uso de las aplicaciones cliente de WorkSpaces, como la configuración de varios monitores o el uso de dispositivos periféricos, consulteCliente de WorkSpacesySupport con dispositivos periféricosen laGuía del usuario de Amazon WorkSpaces.

92 Amazon WorkSpaces Guía de administración Administración de usuarios de WorkSp

Administración de usuarios de WorkSpace

Cada escritorio de WorkSpaces se asigna a un único usuario y no se puede compartir entre varios usuarios. De forma predeterminada, solo se permite un escritorio de WorkSpaces por usuario y directorio.

Contenido • Administración de usuarios de WorkSp (p. 93) • Crear varios escritorios de WorkSpaces para un usuario (p. 94) • Personalización del inicio de sesión de los usuarios en sus WorkSpaces (p. 95) • Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios (p. 97)

Administración de usuarios de WorkSp

Como administrador de WorkSpaces, puede realizar las siguientes tareas de administración de usuarios de WorkSpaces. Edición de la información de usuario

Puede utilizar la consola de WorkSpaces para modificar la siguiente información de un WorkSpace: Note

Esta característica solo está disponible si usaAWSAdministración de Microsoft AD o Simple AD. Si utiliza Microsoft Active Directory a través de AD Connector o una relación de confianza, puede administrar los usuarios y grupos utilizando Active Directory.

Para editar la información de usuario

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione un usuario y elija Actions, Edit User. 4. Actualice First Name, Last Name, Email según sea necesario. 5. Elija Update (Actualizar).

Adición o eliminación de usuarios

Puede crear nuevos usuarios desde la consola de Amazon WorkSpaces solo durante el proceso de lanzamiento de WorkSpace paces y no puede eliminar usuarios a través de la consola de Amazon WorkSpaces. La mayoría de las tareas de administración de usuarios, incluida la administración de grupos de usuarios, deben realizarse a través del directorio.

93 Amazon WorkSpaces Guía de administración Envío de un correo electrónico

Para añadir o eliminar usuarios y grupos

Para poder añadir, eliminar o administrar usuarios y grupos, debe hacerlo a través del directorio. Llevará a cabo la mayoría de las funciones administrativas del directorio WorkSpaces con herramientas de administración de directorios, como las herramientas de administración de Active Directory. Para obtener más información, consulte Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75) . Important

Tenga en cuenta que antes de eliminar a un usuario, debe eliminar el escritorio de WorkSpaces asignado a ese usuario. Para obtener más información, consulte Eliminar WorkSpaces (p. 154) .

El proceso que utilice para administrar usuarios y grupos depende del tipo de directorio que utilice.

• Si utilizaAWSAdministración de Microsoft AD, consulteAdministrar usuarios y grupos enAWSAdministración de Microsoft ADen laAWS Directory ServiceGuía de administración. • Si utiliza Simple AD, consulte.Administrar usuarios y grupos en Simple ADen laAWS Directory ServiceGuía de administración. • Si utiliza Microsoft Active Directory a través de AD Connector o una relación de confianza, puede administrar los usuarios y grupos utilizando Active Directory.

Envío de un correo electrónico

Puede enviar un correo electrónico de invitación a un usuario manualmente si es necesario. Note

Si utiliza AD Connector o un dominio de confianza, los correos electrónicos de invitación no se enviarán automáticamente a sus usuarios, por lo que debe enviarlos manualmente. Los correos electrónicos de invitación tampoco se envían automáticamente si el usuario ya existe en Active Directory.

Para volver a enviar un correo electrónico de invitación

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. En la página WorkSpaces utilice el cuadro de búsqueda para buscar el usuario al que desea enviar una invitación y, a continuación, seleccione el WorkSpace correspondiente en los resultados de la búsqueda. Solo puede seleccionar un WorkSpace a la vez. 4. Seleccione Actions (Acciones), Invite User (Invitar usuario). 5. Copie el texto del correo electrónico y péguelo en el correo electrónico que va a enviar al usuario utilizando su propia aplicación de correo electrónico. Puede modificar el texto si lo desea. Cuando el correo electrónico de invitación esté listo, envíelo al usuario.

Crear varios escritorios de WorkSpaces para un usuario

De forma predeterminada, solo puede crear un escritorio de WorkSpaces por usuario y directorio. Sin embargo, si es necesario, puede crear más de un escritorio de WorkSpaces para un usuario, dependiendo de la configuración del directorio.

94 Amazon WorkSpaces Guía de administración Personalización del inicio de sesión de los usuarios en sus WorkSpaces

• Si solo tiene un directorio para sus escritorios de WorkSpaces, cree varios nombres de usuario para el usuario. Por ejemplo, un usuario llamado Mary Major puede tener mmajor1, mmajor2, etc. como nombres de usuario. Cada nombre de usuario se asocia a un escritorio de WorkSpace paces diferente en el mismo directorio, pero los escritorios de WorkSpaces tienen el mismo código de registro, siempre y cuando los escritorios de WorkSpaces se creen en el mismo directorio en el mismo directorioAWSRegión . • Si tiene varios directorios para su escritorio de WorkSpaces, cree los escritorios de WorkSpaces para el usuario en directorios distintos. Puede utilizar el mismo nombre de usuario en los directorios o puede utilizar diferentes nombres de usuario en los directorios. Los escritorios de WorkSpaces tendrán códigos de registro diferentes.

Tip

Para que pueda localizar fácilmente todos los escritorios de WorkSpaces creados para un usuario, utilice el mismo nombre de usuario base para cada WorkSpace. Por ejemplo, si tiene un usuario llamado Mary Major con el nombre de usuario de Active Directory mmajor, cree WorkSpaces para ella con nombres de usuario como mmajor, mmajor1, mmajor2, mmajor3 u otras variantes, como mmajor_windows o mmajor_linux. Siempre que todos los WorkSpaces tengan el mismo nombre de usuario base inicial (mmajor), puede ordenar el nombre de usuario en la consola de WorkSpaces para agrupar todos los WorkSpaces de ese usuario. Important

• Un usuario puede tener un PCoIP y un WSP WorkSpace siempre y cuando los dos WorkSpaces estén ubicados en directorios independientes. El mismo usuario no puede tener un PCoIP y un WSP WorkSpace en el mismo directorio. • Si está configurando varios WorkSpaces para utilizarlos con la redirección entre regiones, debe configurar WorkSpaces en diferentes directorios en diferentesAWSRegiones, y debe utilizar los mismos nombres de usuario en cada directorio. Para obtener más información acerca de la redirección entre regiones, consulte.Redirección entre regiones para Amazon WorkSpaces (p. 199).

Para cambiar entre WorkSpaces, el usuario inicia sesión con el nombre de usuario y el código de registro asociados a un WorkSpaces concreto. Si el usuario está utilizando la versión 3.0 o posterior de las aplicaciones cliente de WorkSpaces para Windows, macOS o Linux, puede asignar nombres diferentes a los escritorios de WorkSpaces yendo a Configuración, Administrar la información de inicio de sesión en la aplicación cliente.

Personalización del inicio de sesión de los usuarios en sus WorkSpaces

Personalice el acceso de los usuarios a las instancias de WorkSpaces utilizando identificadores uniformes de recursos (URI) para proporcionar una experiencia de inicio de sesión simplificada que se integre en los flujos de trabajo que ya existen en su organización. Por ejemplo, puede generar automáticamente un URI de inicio de sesión que registre a los usuarios utilizando el código de registro de sus WorkSpaces. Como resultado:

• Los usuarios pueden omitir el proceso de registro manual. • Sus nombres de usuario se escriben automáticamente en la página de inicio de sesión del cliente de sus WorkSpaces. • Si la organización utiliza multi-factor authentication (MFA), los nombres de usuario y los códigos de MFA se rellenan automáticamente en la página de inicio de sesión del cliente.

95 Amazon WorkSpaces Guía de administración Personalización del inicio de sesión de los usuarios en sus WorkSpaces

El acceso URI funciona con códigos de registro basados en regiones (por ejemplo,WSpdx +ABC12D) y códigos de registro basados en el nombre de dominio completo (FQDN) (por ejemplo,desktop.example.com). Para obtener más información acerca de cómo crear y utilizar códigos de registro basados en FQDN, consulteRedirección entre regiones para Amazon WorkSpaces (p. 199).

Puede configurar acceso mediante URI a los WorkSpaces para las aplicaciones cliente en los siguientes dispositivos compatibles:

• Equipos Windows • Equipos macOS • Equipos con Ubuntu Linux 18.04 • iPads • Dispositivos Android

Para utilizar URI para obtener acceso a sus escritorios de WorkSpaces, los usuarios deben instalar primero la aplicación cliente para su dispositivo abriendohttps://clients.amazonworkspaces.com/ y siguiendo las instrucciones.

El acceso a los URI puede hacerse con los navegadores Firefox y Chrome en equipos Windows y macOS, con el navegador Firefox en equipos Ubuntu Linux 18.04 y con los navegadores Internet Explorer y Microsoft Edge en equipos Windows. Para obtener más información acerca de los clientes de WorkSpaces, consulteCliente de WorkSpacesen laGuía del usuario de Amazon WorkSpaces. Note

En los dispositivos Android, el acceso de URI solo funciona con el navegador Firefox, no con el navegador Google Chrome.

Para configurar el acceso a los WorkSpaces mediante URI, utilice cualquiera de los formatos de URI que se describen en la siguiente tabla. Note

Si el componente de datos de su URI incluye cualquiera de los siguientes caracteres reservados, le recomendamos que utilice la codificación de porcentaje en el componente de datos para evitar la ambigüedad: @ : / ? & = Por ejemplo, si tiene nombres de usuario que incluyan cualquiera de estos caracteres, debe usar la codificación de porcentaje en los nombres de usuario del URI. Para obtener más información, consulteIdentificador uniforme de recursos (URI): Sintaxis genérica.

Sintaxis admitida Descripción workspaces:// Abre la aplicación cliente de WorkSpaces. (Nota: la aplicación cliente de Linux no permite utilizar el propio directorio workspaces://). workspaces://@registrationcode Registra un usuario mediante su código de registro de WorkSpaces. También muestra la página de inicio de sesión del cliente. workspaces:// Registra un usuario mediante su código de registro de username@registrationcode WorkSpaces. También escribe automáticamente el nombre de usuario en el campo username (nombre de usuario) de la página de inicio de sesión del cliente.

96 Amazon WorkSpaces Guía de administración Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios

Sintaxis admitida Descripción

workspaces:// Registra un usuario mediante su código de registro de username@registrationcode? WorkSpaces. También rellena automáticamente el nombre MFACode=mfa de usuario en el campo username (nombre de usuario) y el código de multi-factor authentication (MFA) en el campo MFA code (Código MFA) de la página de inicio de sesión del cliente.

workspaces://@registrationcode? Registra un usuario mediante su código de registro de MFACode=mfa WorkSpaces. También rellena automáticamente el código de multi-factor authentication (MFA) en el campo MFA code (Código MFA) de la página de inicio de sesión del cliente.

Note

Si los usuarios abren un enlace URI cuando ya están conectados a una instancia de WorkSpace desde un cliente Windows, se abre una nueva sesión de WorkSpaces y la sesión original de WorkSpaces permanece abierta. Si los usuarios abren un enlace URI cuando están conectados a una instancia de WorkSpace desde un cliente macOS, iPad o Android, no se abre ninguna sesión nueva y solo permanece abierta la sesión original de WorkSpaces.

Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios

En WorkSpaces, puede habilitar capacidades de gestión de WorkSpace de autoservicio para sus usuarios, a fin de que les proporcionen un mayor control sobre su experiencia. También puede reducir su carga de trabajo del equipo de soporte de TI para WorkSpaces. Al habilitar capacidades de autoservicio, los usuarios pueden realizar una o varias de las siguientes tareas directamente desde su cliente de WorkSpaces:

• Almacene en caché sus credenciales en su cliente. Esto les permite volver a conectarse a su WorkSpace sin tener que volver a escribir sus credenciales. • Reinicie (reinicie) su WorkSpace. • Aumente el tamaño de los volúmenes raíz y de usuario en su escritorio de WorkSpaces. • Cambie el tipo de cómputo (paquete) de su WorkSpace. • Cambie el modo de ejecución de su escritorio de WorkSpaces. • Reconstruya su WorkSpace.

Cliente admitidos

• Android, que se ejecuta en sistemas Android o Chrome OS compatibles con Android • Linux • macOS • Windows

Para habilitar capacidades de gestión de autoservicio para sus usuarios

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios).

97 Amazon WorkSpaces Guía de administración Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios

3. Seleccione el directorio y elija Actions, Update Details. 4. Amplíe User Self-Service Permissions (Permisos de autoservicio de usuario). Habilite o deshabilite las siguientes opciones según sea necesario para determinar las tareas de gestión de WorkSpace que los usuarios pueden realizar desde su cliente:

• Recuerde de mí: los usuarios pueden elegir si desean almacenar en caché sus credenciales en su cliente seleccionando la casilla de verificaciónRecuerde MeorMantenerme conectadoEn la pantalla de inicio de sesión. Las credenciales se almacenan en caché solo en RAM. Cuando los usuarios eligen almacenar en caché sus credenciales, pueden volver a conectarse a sus WorkSpaces sin tener que volver a escribir sus credenciales. Para controlar el tiempo que los usuarios pueden almacenar en caché sus credenciales, consulte Establecer la duración máxima de un ticket Kerberos (p. 120). • Reiniciar WorkSpace desde cliente— Los usuarios pueden reiniciar (reiniciar) su WorkSpace. Al reiniciar, el usuario se desconecta de su WorkSpace, se cierra y se reinicia. Esto no afecta a los datos de usuario, el sistema operativo y la configuración del sistema. • Aumentar tamaño de volumen: los usuarios pueden ampliar los volúmenes raíz y de usuario en su WorkSpace a un tamaño especificado sin tener que ponerse en contacto con el soporte de TI. Los usuarios pueden aumentar el tamaño del volumen raíz (para Windows, la unidad C:; para Linux, /) hasta 175 GB y el tamaño del volumen de usuario (para Windows, la unidad D:; para Linux, /home) hasta 100 GB. Los volúmenes raíz y de usuario de WorkSpace se presentan en grupos establecidos que no se pueden cambiar. Los grupos disponibles son [Raíz (GB), Usuario (GB)]: [80, 10], [80, 50], [80, 100], [de 175 a 2000, de 100 a 2000]. Para obtener más información, consulte Modificar un escritorio de WorkSpaces (p. 127) .

Para un WorkSpace recién creado, los usuarios deben esperar 6 horas antes de que puedan aumentar el tamaño de estas unidades. Después de eso, solo podrán hacerlo una vez en un periodo de 6 horas. Cuando el aumento del tamaño de un volumen está en curso, los usuarios pueden realizar la mayoría de las tareas en su escritorio de WorkSpaces. Las tareas que no pueden realizar son: cambiar su tipo de cómputo de WorkSpace, cambiar su modo de ejecución de WorkSpace, reiniciar su WorkSpace o reconstruir su WorkSpace. Una vez finalizado el proceso, será necesario reiniciar el WorkSpace para que los cambios surtan efecto. Este proceso puede tardar hasta una hora. Note

Si los usuarios aumentan el tamaño de volumen en su WorkSpace, esto aumenta la tarifa de facturación para su WorkSpace. • Cambiar el tipo de cálculo: los usuarios pueden cambiar su WorkSpace entre los tipos de cómputos (paquetes). Para un WorkSpace recién creado, los usuarios deben esperar 6 horas antes de que puedan cambiar a otro paquete. Después de eso, pueden cambiar a un paquete más grande solo una vez en un periodo de 6 horas, o bien a un paquete más pequeño una vez en un periodo de 30 días. Cuando el cambio de un tipo de cómputo de WorkSpace está en curso, los usuarios están desconectados de su WorkSpace y no pueden usarlo o cambiarlo. El WorkSpace se reinicia automáticamente durante el proceso de cambio de tipo de cálculo. Este proceso puede tardar hasta una hora. Note

Si los usuarios cambian su tipo de cómputos de WorkSpace, esto cambia la tarifa de facturación para su WorkSpace. • Cambiar el modo de ejecución— los usuarios pueden cambiar su WorkSpace entre la ventana deAlwaysOnyAutoStopmodos de ejecución. Para obtener más información, consulte Administrar el modo de ejecución de WorkS (p. 125) . Note

Si los usuarios cambian el modo de ejecución de su WorkSpace, esto cambia la tarifa de facturación para su WorkSpace. 98 Amazon WorkSpaces Guía de administración Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios

• Reconstruir WorkSpace desde el cliente: los usuarios pueden reconstruir el sistema operativo de un WorkSpace a su estado original. Al reconstruirse un WorkSpace, el volumen de usuario (unidad D:) vuelve a crearse desde la última copia de seguridad. Como las copias de seguridad se completan cada 12 horas, los datos de los usuarios pueden tener una antigüedad máxima de 12 horas. Para un WorkSpace recién creado, los usuarios deben esperar 12 horas antes de que puedan reconstruir su WorkSpace. Cuando la reconstrucción de un tipo de cómputo de WorkSpace está en curso, los usuarios están desconectados de su WorkSpace y no pueden usarlo o cambiarlo. Este proceso puede tardar hasta una hora. 5. Elija Update (Actualizar) o Update and Exit (Actualizar y salir).

99 Amazon WorkSpaces Guía de administración Administración de Windows WorkSpaces

Administrar sus WorkSpaces de

Puede administrar los WorkSpaces con la consola de WorkSpaces.

Para realizar tareas de administración de directorios, consultethe section called “Configurar la administración de directorios” (p. 75).

Contenido • Administración de Windows WorkSpaces (p. 100) • Gestionar sus Amazon Linux WorkSpaces (p. 121) • Administrar el modo de ejecución de WorkS (p. 125) • Modificar un escritorio de WorkSpaces (p. 127) • Etiquetar recursos WorkSpaces (p. 130) • Mantenimiento WorkSpace de (p. 131) • Escritorios de WorkSpaces cifrados (p. 133) • Reinicio de un espacio de trabajo (p. 140) • Reconstrucción de un espacio de trabajo (p. 141) • Restaurar un espacio de trabajo (p. 142) • Actualización de Workspaces BYOL de Windows 10 (p. 143) • Migrar un WorkSpace (p. 149) • Eliminar WorkSpaces (p. 154)

Administración de Windows WorkSpaces

Puede utilizar objetos de directiva de grupo (GPO) para aplicar la configuración cuando administre WorkSpaces de Windows o usuarios que formen parte del directorio de los WorkSpaces de Windows. Note

Las instancias de Linux no cumplen la política de grupo. Para obtener más información sobre la administración de Amazon Linux WorkSpaces, consulteGestionar sus Amazon Linux WorkSpaces (p. 121).

Recomendamos que cree una unidad organizativa para los objetos de equipo de WorkSpaces y otra para los objetos de usuario de WorkSpaces.

Para utilizar la configuración de política de grupo específica de Amazon WorkSpaces, debe instalar la plantilla administrativa de la política de grupo para el protocolo o protocolos que esté utilizando, ya sea PCoIP o el protocolo de streaming de WorkSpaces. Warning

La configuración de las políticas de grupo puede afectar a la experiencia de los usuarios de WorkSpace de la siguiente manera:

• La implementación de un mensaje de inicio de sesión interactivo que muestre un anuncio de inicio de sesión impide que los usuarios tengan acceso a WorkSpaces. Actualmente

100 Amazon WorkSpaces Guía de administración Administración de Windows WorkSpaces

WorkSpaces no admite la configuración de política de grupo del mensaje de inicio de sesión interactivos. • Deshabilitar el almacenamiento extraíble a través de la configuración de la política de grupo provoca un error de inicio de sesión que hará que los usuarios inicien sesión en perfiles de usuario temporales sin acceso a la unidad D. • La eliminación de usuarios del grupo local Usuarios de escritorio remoto mediante la configuración de directiva de grupo impide que esos usuarios puedan autenticarseA través de las aplicaciones cliente de WorkSpaces. Para obtener más información sobre esta opción de configuración de la política de grupo, consultePermitir inicio de sesión a través de Servicios de Escritorio remotoen la documentación de Microsoft. • Si quita el grupo Usuarios integrado de la listaPermitir inicio de sesión localmente, los usuarios de PCoIP WorkSpaces no podrán conectarse a sus WorkSpaces a través de las aplicaciones cliente de WorkSpaces. Los WorkSpaces de PCoIP tampoco recibirán actualizaciones del software del agente PCoIP. Las actualizaciones del agente PCoIP pueden contener soluciones de seguridad y otras correcciones, o bien habilitar nuevas características para sus WorkSpaces. Para obtener más información acerca de cómo trabajar con esta política de seguridad, consultePermitir inicio de sesión localmenteen la documentación de Microsoft. • La configuración de la política de grupo se puede usar para restringir el acceso de unidad. Si configura los ajustes de la política de grupo para restringir el acceso a la unidad C o a la unidad D, los usuarios no podrán acceder a sus WorkSpaces. Para que no se produzca este problema, asegúrese de que sus usuarios pueden tener acceso a la unidad C y a la unidad D. • La función de entrada de audio de WorkSpaces requiere acceso de inicio de sesión local dentro de WorkSpace. La característica de entrada de audio está habilitada de forma predeterminada para Windows WorkSpaces. Sin embargo, si tiene una configuración de directiva de grupo que restringe el inicio de sesión local de los usuarios en sus WorkSpaces, la entrada de audio no funcionará en WorkSpaces. Si quita esa configuración de directiva de grupo, la función de entrada de audio se habilita después del siguiente reinicio de WorkSpace. Para obtener más información sobre esta opción de configuración de la política de grupo, consultePermitir inicio de sesión localmenteen la documentación de Microsoft.

Para obtener más información acerca de cómo habilitar o deshabilitar el redireccionamiento de entrada de audio, consulteHabilitar o deshabilitar la redirección de entrada de audio para PCoIP (p. 108)orHabilitar o deshabilitar la redirección de entrada de audio para WSP (p. 116). • Uso de la directiva de grupo para establecer el plan de energía de Windows enBalanceadoorAhorro de energíapuede hacer que sus WorkSpaces se duerman cuando están inactivos. Recomendamos encarecidamente usar la directiva de grupo para establecer el plan de energía de Windows enAlto rendimiento. Para obtener más información, consulte Mi WorkSpace de Windows entra en estado de reposo cuando se deja inactivo (p. 240). • Algunas configuraciones de políticas de grupo obligan a los usuarios a cerrar sesión cuando se desconectan de una sesión. Todas las aplicaciones que los usuarios tengan abiertas en sus WorkSpaces se cierran.

Para obtener información sobre el uso de las herramientas de administración de Active Directory para trabajar con GPO, consulte Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75).

Contenido • Para instalar la plantilla administrativa de política de grupo (p. 102) • Configurar la compatibilidad con impresoras para PCoIP (p. 105) • Para habilitar o deshabilitar el redireccionamiento del portapapeles en PCoIP (p. 106) • Establecer el tiempo de espera de reanudación de sesión para PCoIP (p. 107) • Habilitar o deshabilitar la redirección de entrada de audio para PCoIP (p. 108)

101 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

• Para deshabilitar la redirección de zona horaria (p. 108) • Configurar configuración de seguridad PCoIP (p. 109) • Habilitar la redirección USB para YubiKey U2F (p. 110) • Instalar los archivos de plantilla administrativa de directiva de grupo para el protocolo de transmisión de WorkSpaces (WSP) (p. 111) • Configurar compatibilidad con impresoras para WSP (p. 112) • Para habilitar o deshabilitar el redireccionamiento del portapapeles en WSP (p. 113) • Establecer el tiempo de espera de reanudación de sesión para WSP (p. 114) • Habilitar o deshabilitar la redirección de entrada de vídeo para WSP (p. 115) • Habilitar o deshabilitar la redirección de entrada de audio para WSP (p. 116) • Para deshabilitar la redirección de zona horaria (p. 117) • Habilite o deshabilite la redirección de tarjetas inteligentes para WSP (p. 118) • Habilitar o deshabilitar sesión de desconexión en bloqueo de pantalla para WSP (p. 119) • Establecer la duración máxima de un ticket Kerberos (p. 120) • Configuración del servidor proxy del dispositivo para el acceso a Internet (p. 120)

Para instalar la plantilla administrativa de política de grupo

Para utilizar la configuración de directiva de grupo específica de Amazon WorkSpaces al utilizar el protocolo PCoIP, debe agregar la plantilla administrativa de directiva de grupo adecuada a la versión del agente PCoIP (de 32 bits o de 64 bits) que se está utilizando para WorkSpaces. Note

Si tiene una combinación de WorkSpaces con agentes de 32 bits y 64 bits, puede utilizar las plantillas administrativas de directiva de grupo para agentes de 32 bits y la configuración de directiva de grupo se aplicará a los agentes de 32 y 64 bits. Cuando todos los WorkSpaces utilizan el agente de 64 bits, puede cambiar a utilizar la plantilla administrativa para los agentes de 64 bits.

Para determinar si los WorkSpaces tienen el agente de 32 bits o el agente de 64 bits

1. Inicie sesión en un WorkSpace y, a continuación, abra el Administrador de tareas seleccionandoVista,Enviar Ctrl + Alt + Eliminaro haciendo clic con el botón derecho en la barra de tareas y eligiendoAdministrador de tareas. 2. En el Administrador de tareas, vaya a la páginaDetalles de, haga clic con el botón derecho en los encabezados de columna y elijaSeleccione Column. 3. En el navegadorSeleccione Column, seleccione, seleccionePlataformaHaga clic en y luego enACEPTAR. 4. En la páginaDetalles de, busquepcoip_agent.exey, a continuación, compruebe su valor en el cuadroPlataformaPara determinar si el agente de PCoIP es de 32 bits o 64 bits. (Es posible que vea una combinación de componentes de WorkSpaces de 32 bits y 64 bits; esto es normal).

Instalar la plantilla administrativa de directiva de grupo para PCoIP (32 bits)

Para utilizar la configuración de política de grupo específica de WorkSpaces cuando se utiliza el protocolo PCoIP con el agente de PCoIP de 32 bits, debe instalar la plantilla administrativa de la política de grupo para PCoIP. Realice el siguiente procedimiento en una instancia de WorkSpace o Amazon EC2 espacio de trabajo de administración de directorios que esté unido al directorio.

102 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

Para obtener más información acerca de cómo trabajar con archivos.adm, consulteRecomendaciones para administrar archivos de plantilla administrativa (.adm) de directiva de grupoen la documentación de Microsoft.

Para instalar la plantilla administrativa de política de grupo

1. En un WorkSpace de Windows en ejecución, haga una copia del archivo pcoip.adm del directorio C: \Program Files (x86)\Teradici\PCoIP Agent\configuration. 2. En una instancia de administración de Amazon EC2 unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc) y desplácese hasta la unidad organizativa del dominio que contiene las cuentas del equipo de WorkSpaces. 3. Abra el menú contextual (haga clic con el botón derecho) de la unidad organizativa de la cuenta de la máquina y elija Create a GPO in this domain, and link it here. 4. En el cuadro de diálogo Nuevo GPO, escriba un nombre descriptivo para el objeto de directiva de grupo, como Directivas del equipo de WorkSpaces y deje GPO de inicio de origen establecido en (ninguno). Seleccione OK. 5. Abra el menú contextual (con el botón derecho del ratón) del nuevo GPO y elija Editar. 6. En el editor de administración de políticas de grupo, elija Computer Configuration, Policies y Administrative Templates. Elija Action, Add/Remove Templates en el menú principal. 7. En el cuadro de diálogo Add/Remove Templates, elija Add, seleccione el archivo pcoip.adm copiado previamente y elija Open, Close. 8. Cierre el editor de administración de políticas de grupo. A partir de ahora, puede utilizar este objeto de directiva de grupo para modificar la configuración de política de grupo específica de WorkSpaces.

Para comprobar que el archivo de plantilla administrativa está instalado correctamente

1. En una instancia de administración de Amazon EC2 unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc) y diríjase al objeto de WorkSpaces de escritorio de WorkSpaces y selecciónelo. Elija Action, Edit en el menú principal. 2. En el editor de administración de políticas de grupo, elija Computer Configuration, Policies, Administrative Templates, Classic Administrative Templates y PCoIP Session Variables. 3. A partir de ahora, puede usar esteVariables de sesión PCoIPObjeto de política de grupo para modificar la configuración de política de grupo específica de Amazon WorkSpaces cuando se utilizan PCoIP. Note

Instalar la plantilla administrativa de directiva de grupo para PCoIP (64 bits)

Para utilizar la configuración de política de grupo específica de WorkSpaces cuando se utiliza el protocolo PCoIP, debe agregar la plantilla administrativa de la política de grupo.PCoIP.admxyPCoIP.admlpara PCoIP al almacén central del controlador de dominio para el directorio WorkSpaces. Para obtener más información acerca de.admxy.admlarchivos, consulteCómo crear y administrar el almacén central para plantillas administrativas de directiva de grupo en Windows.

El siguiente procedimiento describe cómo crear el almacén central y agregarle los archivos de plantilla administrativa. Realice el siguiente procedimiento en una instancia de WorkSpace Amazon EC2 administración de directorios que esté unido al directorio de WorkSpaces.

103 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

Para instalar los archivos de plantilla administrativa de política de grupo

1. En un WorkSpace de Windows en ejecución, haga una copia del objeto dePCoIP.admxyPCoIP.admlen el archivoC:\Program Files\Teradici\PCoIP Agent \configuration\policyDefinitionsdirectorio. LaPCoIP.admlestá en el archivoen- USsubcarpeta de ese directorio. 2. En una instancia de WorkSpace de administración Amazon EC2 directorios unido al directorio de WorkSpaces, abra el Explorador de archivos de Windows y, en la barra de direcciones, escriba el nombre de dominio completo (FQDN) de su organización, como\\example.com. 3. Abra la carpeta sysvol. 4. Abra la carpeta con la herramientaFQDNNombre de. 5. Abra la carpeta Policies. Ahora debería estar en\\FQDN\sysvol\FQDN\Policies. 6. Si no existe todavía, cree una carpeta llamadaPolicyDefinitions. 7. Abra la carpeta PolicyDefinitions. 8. Copie laPCoIP.admxen el archivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder. 9. Cree una carpeta con el nombreen-USen laPolicyDefinitionsfolder. 10. Abra la carpeta en-US. 11. Copie laPCoIP.admlen el archivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en- USfolder.

Para comprobar que los archivos de plantilla administrativa están instalados correctamente

1. En una instancia de administración de Amazon EC2 unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc). 2. Expanda el bosque (Bosque:FQDN). 3. ExpandaDominios. 4. Expanda su FQDN (por ejemplo,example.com). 5. ExpandaObjetos de política de grupo. 6. SelectPolítica de dominio predeterminada, abra el menú contextual (haga clic con el botón derecho) y elijaEditar. Note

Si el dominio que realiza la copia de seguridad de WorkSpaces es unAWS Managed Microsoft AD, no puede utilizar la directiva de dominio predeterminada para crear el GPO. En su lugar, debe crear y vincular el GPO bajo el contenedor de dominio que tiene privilegios delegados. Cuando crea un directorio conAWS Managed Microsoft AD,AWS Directory Servicecrea unnombreDeDominioEn la unidad organizativa (OU) de la raíz del dominio. El nombre de esta OU se basa en el nombre NetBIOS que escribió cuando creó el directorio. Si no especificó un nombre NetBIOS, este será de forma predeterminada la primera parte del nombre de DNS del directorio (por ejemplo, en el caso decorp.example.com, el nombre NetBIOS escorp). Para crear el GPO, en lugar de seleccionarPolítica de dominio predeterminada, seleccione lanombreDeDominioOU (o cualquier unidad organizativa bajo esa), abra el menú contextual (haga clic con el botón derecho) y elijaCrear un GPO en este dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 7. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas, yVariables de sesión PCoIP. 8. A partir de ahora, puede usar esteVariables de sesión PCoIPObjeto de política de grupo para modificar la configuración de política de grupo específica de WorkSpaces cuando se utilizan PCoIP.

104 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

Note

Para que el usuario pueda ignorar la configuración, elijaValores predeterminados de administrador anulables; de lo contrario, elijaValores predeterminados de administrador no anulables.

Configurar la compatibilidad con impresoras para PCoIP

De forma predeterminada, WorkSpaces habilita la impresión remota básica, que ofrece capacidades de impresión limitadas, ya que utiliza un controlador genérico de impresora en el lado del host para garantizar la compatibilidad de la impresión.

La impresión remota avanzada para clientes de Windows le permite utilizar características específicas de su impresora, como la impresión a doble cara, pero necesita que se instale el controlador de impresora compatible en el lado del host.

La impresión remota se implementa como un canal virtual. La impresión remota no funciona si los canales virtuales están deshabilitados.

Puede utilizar la configuración de la política de grupo para configurar la compatibilidad con impresoras según sea necesario en los WorkSpaces de Windows.

Para configurar la compatibilidad con impresoras

Para permitir que el usuario pueda anular la configuración, seleccione Overridable Administration Defaults (Valores predeterminados de administración anulables); para no permitirlo, seleccione Not Overridable Administration Defaults (Valores predeterminados de administración no anulables). 3. Abra la configuración de Configure remote printing. 4. En el cuadro de diálogo Configure remote printing (Configurar impresión remota), realice una de las acciones siguientes: • Para habilitar la impresión remota avanzada, seleccione Enabled (Habilitada) y, a continuación, en Options (Opciones), Configure remote printing (Configurar impresión remota), seleccione Basic and Advanced printing for Windows clients (Impresión básica y avanzada para clientes de Windows). Para utilizar de forma automática la impresora predeterminada actual del ordenador del cliente, seleccione Automatically set default printer (Establecer automáticamente la impresora predeterminada). • Para deshabilitar la impresión, seleccione Enabled (Habilitada) y, a continuación, en Options (Opciones), Configure remote printing (Configurar impresión remota), elija Printing disabled (Impresión deshabilitada). 5. Seleccione OK. 6. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

• Reinicie el WorkSpace (en la consola de Amazon WorkSpaces, seleccione el WorkSpace y, a continuación, elijaActions,WorkSpaces). • En el símbolo del sistema administrativo, introduzcagpupdate /force.

105 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

De forma predeterminada, el redireccionamiento automático a la impresora local está deshabilitado. Puede utilizar la configuración de política de grupo para habilitar esta característica de modo que la impresora local se establezca como la impresora predeterminada cada vez que se conecte a su WorkSpace. Note

El redireccionamiento de impresoras locales no está disponible en Amazon Linux WorkSpaces.

Para habilitar el redireccionamiento automático a la impresora local

• Impresión básica y avanzada para clientes Windows • Impresión básica 5. SelectConfigurar automáticamente la impresora predeterminadaHaga clic en y luego enACEPTAR. 6. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Para habilitar o deshabilitar el redireccionamiento del portapapeles en PCoIP

De forma predeterminada, WorkSpaces admite el redireccionamiento del portapapeles. Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica.

Para habilitar o deshabilitar el redireccionamiento del portapapeles

106 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

4. En el cuadro de diálogo Configure clipboard redirection (Configurar redirección del portapapeles), elija Enabled (Habilitado) y, a continuación, elija una de las siguientes opciones de configuración para determinar la dirección en la que se permite el redireccionamiento al portapapeles. Elija OK (Aceptar) cuando haya terminado.

• Deshabilitado en ambas direcciones • Agente habilitado solo para cliente (WorkSpace para equipo local) • Cliente habilitado solo para agente (equipo local para WorkSpace) • Habilitado en ambas direcciones 5. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Limitación conocida

Con el redireccionamiento del portapapeles habilitado en el WorkSpace, si copia contenido con más de 890 KB desde una aplicación de Microsoft Office, la aplicación podría volverse lenta o dejar de responder durante un máximo de 5 segundos. Establecer el tiempo de espera de reanudación de sesión para PCoIP

Cuando se utilizan aplicaciones cliente de WorkSpaces, una interrupción de la conexión de red produce la desconexión de una sesión activa. Esto puede ser debido a eventos como, por ejemplo, cerrar la tapa del portátil o la pérdida de la conexión de red inalámbrica. Las aplicaciones cliente de WorkSpaces para Windows y macOS intentan automáticamente conectar de nuevo la sesión si, trascurrido un tiempo, se recupera la conexión de red. El tiempo de espera predeterminado para reanudar la sesión es de 20 minutos, pero puede modificar ese valor para espacios de trabajo que se controlan mediante la configuración de políticas de grupo de su dominio.

Para establecer el valor del tiempo de espera para reanudar la sesión automático

• Reinicie el WorkSpace (en la consola de Amazon WorkSpaces, seleccione el WorkSpace y, a continuación, elijaActions,WorkSpaces).

107 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

• En el símbolo del sistema administrativo, introduzcagpupdate /force.

Habilitar o deshabilitar la redirección de entrada de audio para PCoIP

De forma predeterminada, Amazon WorkSpaces admite la redirección de datos desde un micrófono local. Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica. Note

Si tiene una configuración de directiva de grupo que restringe el inicio de sesión local de los usuarios en sus WorkSpaces, la entrada de audio no funcionará en sus WorkSpaces. Si quita esa configuración de directiva de grupo, la función de entrada de audio se habilita después del siguiente reinicio de WorkSpace. Para obtener más información sobre esta opción de configuración de la política de grupo, consultePermitir inicio de sesión localen la documentación de Microsoft.

Para habilitar o deshabilitar la redirección de entrada de audio

Para deshabilitar la redirección de zona horaria

De forma predeterminada, la hora de un WorkSpace se establece de forma que refleje la zona horaria del cliente que se está utilizando para conectarse al WorkSpace. Este comportamiento se controla mediante la redirección de zona horaria. Es posible que desee desactivar la redirección de zona horaria por diversas razones:

• Su empresa quiere que todos los empleados trabajen en la misma zona horaria (aunque algunos empleados estén en otras zonas horarias). • Ha programado tareas en un WorkSpace que están destinadas a ejecutarse a una hora determinada de una zona horaria específica. • Los usuarios que viajan mucho desean mantener sus WorkSpaces en una única zona horaria por coherencia y por sus preferencias personales.

108 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica.

Para deshabilitar la redirección de zona horaria

La zona horaria de WorkSpaces ahora es estática y ya no refleja la zona horaria de los equipos cliente. Configurar configuración de seguridad PCoIP

Para PCoIP, los datos en tránsito se cifran mediante el cifrado TLS 1.2 y la firma de solicitudes Sigv4. El protocolo PCoIP utiliza tráfico UDP cifrado, con cifrado AES, para la transmisión de píxeles. La conexión de streaming, que utiliza el puerto 4172 (TCP y UDP), se cifra mediante el uso de cifradores AES-128 y AES-256, pero el cifrado es de 128 bits por defecto. Puede cambiar este valor predeterminado a 256 bits utilizando la opciónConfigurar configuración de seguridad PCoIPConfiguración de política de grupo

También puede utilizar esta configuración de directiva de grupo para modificar el modo de seguridad TLS y bloquear determinados conjuntos de cifrado. Una explicación detallada de estos ajustes y de los conjuntos de cifrado admitidos se proporciona en elConfigurar configuración de seguridad PCoIPCuadro de diálogo Directiva de grupo.

Para establecer la configuración de seguridad PCoIP

109 Amazon WorkSpaces Guía de administración Para instalar la plantilla administrativa de política de grupo

4. En el navegadorConfigurar configuración de seguridad PCoIP, seleccione, seleccioneEnabled (Habilitado). Para establecer el cifrado predeterminado para el tráfico de streaming en 256 bits, vaya a la páginaCifrados de cifrado de datos PCoIPy seleccioneSólo AES-256-GCM. 5. (Opcional) Ajuste elModo de seguridad TLSy, a continuación, enumerar los conjuntos de cifrado que desee bloquear. Para obtener más información sobre esta configuración, consulte las descripciones que se proporcionan en laConfigurar configuración de seguridad PCoIPCuadro de diálogo. 6. Seleccione OK. 7. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Habilitar la redirección USB para YubiKey U2F Note

Amazon WorkSpaces admite actualmente la redirección USB solo para YubiKey U2F. Es posible que otros tipos de dispositivos USB se redirijan, pero no son compatibles y pueden no funcionar correctamente.

Para habilitar la redirección USB para YubiKey U2F

1. Asegúrese de que ha instalado la versión más recientePlantilla administrativa de directiva de grupo de WorkSpaces para PCoIP (32 bits) (p. 102)orPlantilla administrativa de directiva de grupo de WorkSpaces para PCoIP (64 bits) (p. 103). 2. En una instancia de administración de Amazon EC2 unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc) y vaya aVariables de sesión PCoIP. 3. Para que el usuario pueda ignorar la configuración, elijaValores predeterminados de administrador anulables. De lo contrario, elijaValores predeterminados de administrador no anulables. 4. Abra el iconoActivar/desactivar USB en la sesión PCOIPconfiguración de Configuración de 5. SeleccionarEnabled (Habilitado)Haga clic en y luego enACEPTAR. 6. Abra el iconoConfigurar reglas de dispositivo permitidas y no permitidas de PCoIP USBconfiguración de Configuración de 7. SeleccionarEnabled (Habilitado), y enIntroduzca la tabla de autorización USB (máximo diez reglas), configure las reglas de lista de permisos del dispositivo USB.

• Regla de autorización - 110500407. Este valor es una combinación de un ID de proveedor (VID) y un ID de producto (PID). El formato de una combinación VID/PID es 1xxxxyyyy, donde xxxx es el VID en formato hexadecimal y yyy es el PID en formato hexadecimal. Para este ejemplo, 1050 es el VID y 0407 es el PID. Para obtener más valores YubiKey USB, consulteYubiKey USB ID Valores. 8. EnIntroduzca la tabla de autorización USB (máximo diez reglas), configure las reglas de la lista de bloqueo del dispositivo USB.

• ParaRegla de no autorización, establezca una cadena vacía. Esto significa que sólo se permiten los dispositivos USB de la lista de autorización.

Note

Puede definir un máximo de 10 reglas de autorización USB y un máximo de 10 reglas de no autorización de USB. Utilice el carácter de barra vertical (|) para separar varias reglas. Para

110 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

obtener más información sobre las reglas de autorización/no autorización, consulteAgente estándar de Teradici PCoIP para Windows. 9. Seleccione OK. 10. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Una vez que la configuración surta efecto, todos los dispositivos USB compatibles podrán ser redirigidos a WorkSpaces a menos que las restricciones se configuren a través de la configuración de reglas de dispositivo USB. Instalar los archivos de plantilla administrativa de directiva de grupo para el protocolo de transmisión de WorkSpaces (WSP)

Para utilizar la configuración de política de grupo específica de WorkSpaces cuando se utiliza el protocolo de transmisión de WorkSpaces (WSP), debe agregar la plantilla administrativa de la política de grupo.wsp.admxywsp.admlpara WSP en el almacén central del controlador de dominio para el directorio WorkSpaces. Para obtener más información acerca de.admxy.admlarchivos, consulteCómo crear y administrar el almacén central para plantillas administrativas de directiva de grupo en Windows.

Para instalar los archivos de plantilla administrativa de política de grupo

1. En un WorkSpace de Windows en ejecución, haga una copia del objeto dewsp.admxywsp.admlen el archivoC:\Program Files\Amazon\WSPdirectorio. 2. En una instancia de WorkSpace de administración Amazon EC2 directorios unido al directorio de WorkSpaces, abra el Explorador de archivos de Windows y, en la barra de direcciones, escriba el nombre de dominio completo (FQDN) de su organización, como\\example.com. 3. Abra la carpeta sysvol. 4. Abra la carpeta con la herramientaFQDNNombre de. 5. Abra la carpeta Policies. Ahora debería estar en\\FQDN\sysvol\FQDN\Policies. 6. Si no existe todavía, cree una carpeta llamadaPolicyDefinitions. 7. Abra la carpeta PolicyDefinitions. 8. Copie lawsp.admxen el archivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder. 9. Cree una carpeta con el nombreen-USen laPolicyDefinitionsfolder. 10. Abra la carpeta en-US. 11. Copie lawsp.admlen el archivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en- USfolder.

Para comprobar que los archivos de plantilla administrativa están instalados correctamente

1. En una instancia de administración de Amazon EC2 unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc).

111 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

2. Expanda el bosque (Bosque:FQDN). 3. ExpandaDominios. 4. Expanda su FQDN (por ejemplo,example.com). 5. ExpandaObjetos de política de grupo. 6. SelectPolítica de dominio predeterminada, abra el menú contextual (haga clic con el botón derecho) y elijaEditar. Note

Si el dominio que realiza la copia de seguridad de WorkSpaces es unAWS Managed Microsoft AD, no puede utilizar la directiva de dominio predeterminada para crear el GPO. En su lugar, debe crear y vincular el GPO bajo el contenedor de dominio que tiene privilegios delegados. Cuando crea un directorio conAWS Managed Microsoft AD,AWS Directory Servicecrea unNombre de su dominioEn la unidad organizativa (OU) de la raíz del dominio. El nombre de esta OU se basa en el nombre NetBIOS que escribió cuando creó el directorio. Si no especificó un nombre NetBIOS, este será de forma predeterminada la primera parte del nombre de DNS del directorio (por ejemplo, en el caso decorp.example.com, el nombre NetBIOS escorp). Para crear el GPO, en lugar de seleccionarPolítica de dominio predeterminada, seleccione laNombre de su dominioOU (o cualquier unidad organizativa bajo esa), abra el menú contextual (haga clic con el botón derecho) y elijaCrear un GPO en este dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 7. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 8. A partir de ahora, puede usar esteWSPObjeto de política de grupo para modificar la configuración de política de grupo específica de WorkSpaces cuando se utiliza WSP.

Configurar compatibilidad con impresoras para WSP

La impresión remota avanzada para clientes de Windows (no disponible para WSP) le permite utilizar características específicas de su impresora, como la impresión a doble cara, pero necesita que se instale el controlador de impresora compatible en el lado del host.

La impresión remota se implementa como un canal virtual. La impresión remota no funciona si los canales virtuales están deshabilitados.

Puede utilizar la configuración de la política de grupo para configurar la compatibilidad con impresoras según sea necesario en los WorkSpaces de Windows.

Para configurar la compatibilidad con impresoras

112 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

4. ExpandaDominios. 5. Expanda su FQDN (por ejemplo,example.com). 6. ExpandaObjetos de política de grupo. 7. SelectPolítica de dominio predeterminada, abra el menú contextual (haga clic con el botón derecho) y elijaEditar. Note

Si el dominio que realiza la copia de seguridad de WorkSpaces es unAWS Managed Microsoft AD, no puede utilizar la directiva de dominio predeterminada para crear el GPO. En su lugar, seleccione lanombreDeDominioOU (o cualquier unidad organizativa bajo esa), abra el menú contextual (haga clic con el botón derecho) y elijaCrear un GPO en este dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 8. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 9. Abra la configuración de Configure remote printing. 10. En el cuadro de diálogo Configure remote printing (Configurar impresión remota), realice una de las acciones siguientes: • Para habilitar el redireccionamiento de impresoras locales, elijaEnabled (Habilitado)y, a continuación, paraOpciones de impresión, elijaBásica. Para utilizar de forma automática la impresora predeterminada actual del equipo cliente, seleccioneAsignar impresora predeterminada local al host remoto. • Para desactivar la impresión, elijaDeshabilitada. 11. Seleccione OK. 12. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Para habilitar o deshabilitar el redireccionamiento del portapapeles en WSP

De forma predeterminada, WorkSpaces admite la redirección bidireccional (copiar/pegar) del portapapeles. Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica.

Para habilitar o deshabilitar el redireccionamiento del portapapeles en los WorkSpaces de Windows

1. Asegúrese de que la versión más recientePlantilla administrativa de política de grupo de WorkSpaces (p. 111)está instalado en el almacén central del controlador de dominio para el directorio WorkSpaces. 2. En una instancia de administración de Amazon EC2 unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc). 3. Expanda el bosque (Bosque:FQDN). 4. ExpandaDominios. 5. Expanda su FQDN (por ejemplo,example.com). 6. ExpandaObjetos de política de grupo.

113 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

7. SelectPolítica de dominio predeterminada, abra el menú contextual (haga clic con el botón derecho) y elijaEditar. Note

Si el dominio que realiza la copia de seguridad de WorkSpaces es unAWS Managed Microsoft AD, no puede utilizar la directiva de dominio predeterminada para crear el GPO. En su lugar, seleccione lanombreDeDominioOU (o cualquier unidad organizativa bajo esa), abra el menú contextual (haga clic con el botón derecho) y elijaCrear un GPO en este dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 8. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 9. Abra el iconoActivar/deshabilitar la redireccionamiento del portapapelesconfiguración de Configuración de 10. En el navegadorActivar/deshabilitar la redireccionamiento del portapapeles, seleccione, seleccioneEnabled (Habilitado)orDeshabilitada. 11. Seleccione OK. 12. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Limitación conocida

Cuando se utilizan aplicaciones cliente de WorkSpaces, una interrupción de la conexión de red produce la desconexión de una sesión activa. Esto puede ser debido a eventos como, por ejemplo, cerrar la tapa del portátil o la pérdida de la conexión de red inalámbrica. Las aplicaciones cliente de WorkSpaces para Windows y macOS intentan automáticamente conectar de nuevo la sesión si, trascurrido un tiempo, se recupera la conexión de red. El tiempo de espera predeterminado para reanudar la sesión es de 20 minutos (1200 segundos), pero puede modificar ese valor para WorkSpaces que se controlan mediante la configuración de política de grupo del dominio.

Para establecer el valor del tiempo de espera para reanudar la sesión automático

114 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

7. SelectPolítica de dominio predeterminada, abra el menú contextual (haga clic con el botón derecho) y elijaEditar. Note

Si el dominio que realiza la copia de seguridad de WorkSpaces es unAWS Managed Microsoft AD, no puede utilizar la directiva de dominio predeterminada para crear el GPO. En su lugar, seleccione lanombreDeDominioOU (o cualquier unidad organizativa bajo esa), abra el menú contextual (haga clic con el botón derecho) y elijaCrear un GPO en este dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 8. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 9. Abra el iconoActivar/desactivar la reconexión automáticaconfiguración de Configuración de 10. En el navegadorActivar/desactivar la reconexión automática, elijaEnabled (Habilitado)y, a continuación, establezcaTiempo de espera para volver a conectar (segundos)al tiempo de espera deseado en segundos. 11. Seleccione OK. 12. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Habilitar o deshabilitar la redirección de entrada de vídeo para WSP

De forma predeterminada, WorkSpaces admite la redirección de datos desde una cámara local. Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica.

Para habilitar o deshabilitar el redireccionamiento de entrada de vídeo en Windows WorkSpaces

115 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 8. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 9. Abra el iconoActivar/desactivar la redirección de entrada de vídeoconfiguración de Configuración de 10. En el navegadorActivar/desactivar la redirección de entrada de vídeo, elijaEnabled (Habilitado)orDeshabilitada. 11. Seleccione OK. 12. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Habilitar o deshabilitar la redirección de entrada de audio para WSP

De forma predeterminada, WorkSpaces admite la redirección de datos desde un micrófono local. Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica.

Para habilitar o deshabilitar el redireccionamiento de entrada de audio en Windows WorkSpaces

116 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

12. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Para deshabilitar la redirección de zona horaria

Si es necesario, en los WorkSpaces de Windows puede utilizar la configuración de la política de grupo para deshabilitar esta característica.

Para deshabilitar el redireccionamiento de zona horaria en Windows WorkSpaces

117 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

La zona horaria de WorkSpaces ahora es estática y ya no refleja la zona horaria de los equipos cliente. Habilite o deshabilite la redirección de tarjetas inteligentes para WSP

De forma predeterminada, Amazon WorkSpaces no está habilitado para admitir el uso de tarjetas inteligentes paraautenticación previa a la sesiónorautenticación en sesión. La autenticación previa a la sesión se refiere a la autenticación con tarjeta inteligente que se realiza mientras los usuarios inician sesión en sus WorkSpaces. La autenticación en sesión hace referencia a la autenticación que se realiza después de iniciar sesión.

Si es necesario, puede habilitar la autenticación previa a la sesión y durante la sesión para Windows WorkSpaces mediante la configuración de directiva de grupo. La autenticación previa a la sesión también debe habilitarse a través de la configuración del directorio de AD Connector mediante la opciónEnableClientAuthenticationo la acción de la APIenable-client-authentication AWS CLIcomando. Para obtener más información, consulteHabilitar la autenticación de tarjeta inteligente para AD Connectoren laAWS Directory ServiceGuía de administración. Note

Para habilitar el uso de tarjetas inteligentes con Windows WorkSpaces, se requieren pasos adicionales. Para obtener más información, consulte Usar tarjetas inteligentes para la autenticación (p. 38).

Para habilitar o deshabilitar el redireccionamiento de tarjetas inteligentes en Windows WorkSpaces

118 Amazon WorkSpaces Guía de administración Para instalar los archivos de plantilla administrativa de política de grupo

8. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 9. Abra el iconoActivar/desactivar la redirección de tarjetas inteligentesconfiguración de Configuración de 10. En el navegadorActivar/desactivar la redirección de tarjetas inteligentes, elijaEnabled (Habilitado)orDeshabilitada. 11. Seleccione OK. 12. El cambio realizado en la opción Directiva de grupo se aplicará la siguiente vez que se reinicie la sesión de WorkSpace. Para aplicar el cambio de política de grupo, reinicie el WorkSpace (en la consola de Amazon WorkSpaces, seleccione el WorkSpace y, a continuación, elijaActions,WorkSpaces).

Habilitar o deshabilitar sesión de desconexión en bloqueo de pantalla para WSP

Si es necesario, puede desconectar las sesiones de WorkSpaces de los usuarios cuando se detecte la pantalla de bloqueo de Windows. Para volver a conectarse desde el cliente de WorkSpaces, los usuarios pueden usar sus contraseñas o sus tarjetas inteligentes para autenticarse, dependiendo del tipo de autenticación que se haya habilitado para sus WorkSpaces.

Esta configuración de política de grupo está deshabilitada de forma predeterminada. Si es necesario, puede habilitar la desconexión de la sesión cuando se detecta la pantalla de bloqueo de Windows para Windows WorkSpaces mediante la configuración de directiva de grupo. Note

• Esta configuración solo está disponible en la configuración de políticas de grupo en elAWSRegión GovCloud (EE. UU. Oeste) en este momento. • Esta configuración de directiva de grupo se aplica a las sesiones autenticadas con contraseña y autenticadas con tarjeta inteligente. • Para habilitar el uso de tarjetas inteligentes con Windows WorkSpaces, se requieren pasos adicionales. Para obtener más información, consulte Usar tarjetas inteligentes para la autenticación (p. 38).

Para habilitar o deshabilitar la sesión de desconexión en el bloqueo de pantalla de Windows WorkSpaces

119 Amazon WorkSpaces Guía de administración Establecer la duración máxima de un ticket Kerberos

dominio y vincularlo aquí. Para obtener más información acerca denombreDeDominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 8. En el editor de administración de políticas de grupo, elijaConfiguración de equipo,Políticas,Plantillas administrativas,Amazon, yWSP. 9. Abra el iconoActivar/desactivar la sesión de desconexión en el bloqueo de pantallaconfiguración de Configuración de 10. En el navegadorActivar/desactivar la sesión de desconexión en el bloqueo de pantalla, elijaEnabled (Habilitado)orDeshabilitada. 11. Seleccione OK. 12. El cambio de configuración de la opción Directiva de grupo surtirá efecto cuando vuelva a actualizarse la directiva de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

Establecer la duración máxima de un ticket Kerberos

Si no ha deshabilitado la opciónRecuérdemede Windows WorkSpaces, los usuarios de WorkSpace paces pueden usar la funciónRecuérdemeorMantenerme conectadoen su aplicación cliente de WorkSpaces para guardar sus credenciales. Esta característica permite a los usuarios conectarse fácilmente a sus WorkSpaces mientras la aplicación cliente permanece en ejecución. Como máximo, las credenciales se guardarán en caché de forma segura durante el período de vida máximo de los tickets de Kerberos.

Si el WorkSpace utiliza un directorio de AD Connector, puede modificar la duración máxima de los vales Kerberos de los usuarios de WorkSpaces siguiendo los pasos que se indican en Vigencia máxima del vale de usuario en la documentación de Microsoft Windows.

Para habilitar o deshabilitar la función Remember Me (Recordarme) consulte Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios (p. 97). Configuración del servidor proxy del dispositivo para el acceso a Internet

De forma predeterminada, la aplicación cliente Windows WorkSpaces utiliza el servidor proxy especificado en la configuración del sistema operativo del dispositivo para el tráfico HTTPS (puerto 443). Las aplicaciones cliente de Amazon WorkSpaces utilizan el puerto HTTPS para las actualizaciones, el registro y la autenticación. Note

• En las conexiones de streaming de escritorio que se establecen con el WorkSpace, es necesario que los puertos 4172 y 4195 estén habilitados para no tener que atravesar el servidor proxy. • Los servidores proxy que requieren autenticación con un nombre de usuario y contraseña no son compatibles.

Puede configurar la configuración del servidor proxy del dispositivo para Windows WorkSpaces a través de la Directiva de grupo siguiendo los pasos que se indican enConfigurar el proxy del dispositivo y la conectividad a Interneten la documentación de Microsoft.

Para obtener más información sobre cómo configurar la configuración de proxy en la aplicación cliente de WorkSpaces, consulteServidor proxyen laGuía del usuario de Amazon WorkSpaces.

120 Amazon WorkSpaces Guía de administración Gestionar sus Amazon Linux WorkSpaces

Gestionar sus Amazon Linux WorkSpaces

Al igual que con los WorkSpaces de Windows, Amazon Linux WorkSpaces están unidos al dominio, de manera que puede utilizar grupos y usuario de Active Directory para:

• Administrar Amazon Linux WorkSpaces • Proporcionar acceso a dichos WorkSpaces a los usuarios

Dado que las instancias de Linux no cumplen la política de grupo, recomendamos que utilice una solución de administración de la configuración para distribuir y aplicar la política. Por ejemplo, puede utilizarAWS OpsWorks for Chef Automate,AWS OpsWorks for Puppet Enterprise, o bienAnsible. Note

Los paquetes de Linux WorkSpaces en WorkSpaces Streaming Protocol (WSP) solo están disponibles en elAWSRegión GovCloud (EE. UU. Oeste). Actualmente, los WorkSpaces de Linux en WSP tienen las siguientes limitaciones:

Controlar el comportamiento del agente PCoIP en Amazon Linux WorkSpaces

El comportamiento del agente de PCoIP se controla mediante la configuración del archivo pcoip- agent.conf, que se encuentra en el directorio /etc/pcoip-agent/. Para implementar y aplicar cambios en la política, utilice una solución de administración de la configuración que sea compatible con Amazon Linux. Los cambios surtirán efecto cuando se inicie el agente. Al reiniciar el agente, finalizarán las conexiones abiertas y se reiniciará el administrador de ventanas. Para aplicar cualquier cambio, recomendamos reiniciar WorkSpace. Note

Si realiza cambios incorrectos o no admitidos en elpcoip-agent.conf, puede hacer que su WorkSpace deje de funcionar. Si el WorkSpace de deja de funcionar, es posible que debaPara conectarse al WorkSpace (p. 56)Para revertir los cambios, o bien es posible que debaReconversión del WorkSpace (p. 141).

En las secciones siguientes se describe cómo habilitar o deshabilitar determinadas características. Para obtener una lista completa de los ajustes disponibles, ejecuteman pcoip-agent.confdesde el terminal en cualquier Amazon Linux WorkSpace. Note

El redireccionamiento de la impresora local en Linux WorkSpaces. Para habilitar o deshabilitar el redireccionamiento del portapapeles en Amazon Linux WorkSpaces

De forma predeterminada, WorkSpaces admite el redireccionamiento del portapapeles. Utilice el agente de PCoIP conf para deshabilitar esta característica si es necesario. Esta configuración surte efecto al reiniciar WorkSpace.

121 Amazon WorkSpaces Guía de administración Habilitar o deshabilitar la redirección de entrada de audio para Amazon Linux WorkSpaces

Note

La redirección del portapapeles no se admite actualmente en la aplicación cliente WorkSpaces Linux ni en Linux WorkSpaces mediante WSP.

Para habilitar o deshabilitar el redireccionamiento del portapapeles en Amazon Linux WorkSpaces

1. Abra el archivo pcoip-agent.conf en un editor con privilegios elevados mediante el siguiente comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Añada la siguiente línea al final del archivo.

pcoip.server_clipboard_state = X

Donde los valores posibles de X son:

0: deshabilitado en ambas direcciones

1: habilitado en ambas direcciones

2 — Habilitado el cliente al agente solamente (permitir copiar y pegar sólo desde el dispositivo cliente local en el escritorio host remoto)

3 — Sólo agente habilitado para el cliente (permitir copiar y pegar sólo desde el escritorio host remoto en el dispositivo cliente local)

Note

La redirección del portapapeles se implementa como un canal virtual. Si los canales virtuales están deshabilitados, la redirección del portapapeles no funciona. Para habilitar canales virtuales, consulteCanales virtuales PCoIPen la documentación de Teradici. Habilitar o deshabilitar la redirección de entrada de audio para Amazon Linux WorkSpaces

De forma predeterminada, WorkSpaces admite la redirección de entrada de audio. Utilice el agente de PCoIP conf para deshabilitar esta característica si es necesario. Esta configuración surte efecto al reiniciar WorkSpace. Note

La redirección de entrada de audio no se admite actualmente en Linux WorkSpaces con WSP.

Para habilitar o deshabilitar la redirección de entrada de audio para Amazon Linux WorkSpaces

1. Abra el archivo pcoip-agent.conf en un editor con privilegios elevados mediante el siguiente comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Añada la siguiente línea al final del archivo.

pcoip.enable_audio = X

122 Amazon WorkSpaces Guía de administración Para habilitar o deshabilitar el redireccionamiento de zona horaria en Amazon Linux WorkSpaces

Donde los valores posibles de X son:

0: deshabilitado

1: habilitado

Para habilitar o deshabilitar el redireccionamiento de zona horaria en Amazon Linux WorkSpaces

Si es necesario, en los WorkSpaces de Linux puede utilizar la conf del agente PCoIP para deshabilitar esta característica. Esta configuración surte efecto al reiniciar WorkSpace. Note

La redirección de zona horaria no se admite actualmente en Linux WorkSpaces con WSP.

Para habilitar o deshabilitar el redireccionamiento de zona horaria en Amazon Linux WorkSpaces

1. Abra el archivo pcoip-agent.conf en un editor con privilegios elevados mediante el siguiente comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Añada la siguiente línea al final del archivo.

pcoip.enable_timezone_redirect= X

Donde los valores posibles de X son:

0: deshabilitado

1: habilitado

Conceder acceso SSH a los administradores de Amazon Linux WorkSpaces

De forma predeterminada, solo los usuarios y las cuentas asignadas del grupo de administradores del dominio pueden conectarse con los WorkSpaces de Amazon Linux mediante SSH.

123 Amazon WorkSpaces Guía de administración Anular el shell predeterminado para Amazon Linux WorkSpaces

Recomendamos que cree un grupo de administradores dedicado para los administradores de WorkSpaces de Amazon Linux en Active Directory.

Para habilitar el acceso sudo para los miembros del grupo de Active Directory Linux_WorkSpaces_Admins

1. Edite el archivo sudoers mediante visudo, como se muestra en el siguiente ejemplo.

[example\username@workspace-id ~]$ sudo visudo

2. Añada la siguiente línea.

%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

Después de crear el grupo de administradores dedicado, siga los pasos que se indican a continuación para habilitar el inicio de sesión para los miembros de dicho grupo.

Para habilitar el inicio de sesión para los miembros del grupo de Active Directory Linux_WorkSpaces_Admins

1. Edite /etc/security/access.conf con privilegios elevados.

[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf

2. Añada la siguiente línea.

+:(example\Linux_WorkSpaces_Admins):ALL

Para obtener más información sobre la activación de conexiones SSH, consulte Habilitar conexiones SSH para Linux WorkSpaces (p. 56). Anular el shell predeterminado para Amazon Linux WorkSpaces

Para anular el shell predeterminado de los WorkSpaces de Linux, le recomendamos que edite el archivo ~/.bashrc del usuario. Por ejemplo, para utilizar Z shell en lugar del shell de Bash, añada las siguientes líneas a /home/username/.bashrc. export SHELL=$(which zsh) [ -n "$SSH_TTY" ] && exec $SHELL

Note

Después de realizar este cambio, debe reiniciar WorkSpace o cerrar sesión en WorkSpace (no solo desconectarse) y volver a iniciar sesión para que el cambio surta efecto. Proteger repositorios personalizados contra accesos no autorizados

Para controlar el acceso a los repositorios personalizados, le recomendamos que utilice las características de seguridad integradas en Amazon Virtual Private Cloud (Amazon VPC) en lugar de utilizar contraseñas.

124 Amazon WorkSpaces Guía de administración Usar el repositorio de Amazon Linux Extras Library

Por ejemplo, utilice las listas de control de acceso (ACL) y los grupos de seguridad. Para obtener más información sobre el uso de estas características, consulteSeguridaden laGuía del usuario de Amazon VPC.

Si tiene que utilizar contraseñas para proteger sus repositorios, asegúrese de crear sus archivos de definición del repositorio de yum tal y como se muestra en los Archivos de definición del repositorio en la documentación de Fedora. Usar el repositorio de Amazon Linux Extras Library

Con Amazon Linux le permite utilizar la biblioteca Extras para instalar actualizaciones de software y de aplicaciones en sus instancias. Para obtener información sobre el uso de la biblioteca Extras, consulteBiblioteca Extras (Amazon Linux)en laGuía del usuario de Amazon EC2 para instancias de Linux. Note

Si utiliza el repositorio de Amazon Linux, los WorkSpaces de deben tener acceso a Internet o bien se deben configurar puntos de enlace de nube virtual privada (VPC) para este repositorio y para el repositorio principal de Amazon Linux. Para obtener más información, consulte Proporcionar acceso a Internet desde su WorkSpace (p. 46) . Usar tarjetas inteligentes para la autenticación en Linux WorkSpaces

Los paquetes de Linux WorkSpaces en WorkSpaces Streaming Protocol (WSP) permiten el uso deTarjeta de acceso común (CAC)yVerificación de identidad personal (PIV)tarjetas inteligentes para la autenticación. Para obtener más información, consulte Usar tarjetas inteligentes para la autenticación (p. 38).

Administrar el modo de ejecución de WorkS

LaModo de ejecucióndetermina su disponibilidad inmediata y el modo en que debe pagarse (mensual u hora). Puede elegir entre los siguientes modos de ejecución cuando cree el Workspace:

• AlwaysOn: se utiliza si se paga una tarifa mensual fija por el uso ilimitado de los espacios de trabajo. Este modo es la mejor opción para los usuarios que utilizan su espacio de trabajo a tiempo completo como escritorio principal. • AutoStop: se utiliza si los espacios de trabajo se pagan por horas. Con este modo, el escritorio de WorkSpaces se detiene después de un periodo especificado de desconexión y se guarda el estado de las aplicaciones y los datos.

Para obtener más información, consultePrecios de WorkSpaces. AutoStop WorkSpaces

Para establecer la hora de parada automática, seleccione WorkSpace en la consola de Amazon WorkSpaces, elijaActions,Modificación de las propiedades del modo de ejecucióny, a continuación, establezcaTiempo AutoStop (horas). De forma predeterminada,Tiempo AutoStop (horas)se establece en 1 hora, lo que significa que WorkSpace se detiene automáticamente una hora después de desconectar el WorkSpace.

Una vez desconectado un WorkSpace y expirado el período de tiempo de AutoStop, es posible que el WorkSpace tarde varios minutos adicionales en detenerse automáticamente. Sin embargo, la facturación se detiene tan pronto como caduque el período de tiempo de AutoStop y no se le cobrará por ese tiempo adicional.

125 Amazon WorkSpaces Guía de administración Modificar el modo de ejecución

Cuando sea posible, el estado del escritorio se guarda en el volumen raíz del espacio de trabajo. El Workspace se reanuda cuando un usuario inicia sesión, y todos los documentos abiertos y los programas en ejecución se mantienen en el estado en que se guardaron.

AutoStop GraphicsPRO WorkSpaces no conservan el estado de los datos y programas cuando se detienen. Para GraphicsPro WorkSpaces, recomendamos guardar el trabajo cuando haya terminado de usarlos cada vez.

Para Traiga su propia licencia (BYOL) AutoStop WorkSpaces, un gran número de inicios de sesión simultáneos podría aumentar considerablemente el tiempo de disponibilidad de WorkSpaces. Si espera que muchos usuarios inicien sesión en su BYOL AutoStop WorkSpaces al mismo tiempo, consulte a su administrador de cuentas para obtener asesoramiento. Important

AutoStop WorkSpaces se detienen automáticamente sólo si los WorkSpaces están desconectados.

Un WorkSpace se desconecta únicamente en las siguientes circunstancias:

• Si el usuario se desconecta manualmente de WorkSpace o sale de la aplicación cliente de Amazon WorkSpaces. • Si el dispositivo cliente está apagado. • Si no hay conexión entre el dispositivo cliente y el WorkSpace durante más de 20 minutos.

Como práctica recomendada, los usuarios de AutoStop WorkSpace deben desconectarse manualmente de sus WorkSpaces cuando terminen de usarlos cada día. Para desconectarse manualmente, elijaDesconexión WorkSpaceorSalga Amazon WorkSpacesdesde lasAmazon WorkSpacesEn las aplicaciones de cliente de WorkSpaces para Linux, macOS o Windows. Para Android o iPad, eligeDesconectaren el menú de la barra lateral.

Es posible que AutoStop WorkSpaces no se detenga automáticamente en las siguientes situaciones

• Si el dispositivo cliente solo está bloqueado, reposo o inactivo (por ejemplo, la tapa del portátil está cerrada) en lugar de apagarlo, es posible que la aplicación WorkSpaces siga ejecutándose en segundo plano. Mientras la aplicación WorkSpaces siga en ejecución, es posible que WorkSpace paces no se desconecte y, por lo tanto, es posible que WorkSpace no se detenga automáticamente. • WorkSpaces puede detectar desconexión únicamente cuando los usuarios utilizan clientes de WorkSpaces. Si los usuarios utilizan clientes de terceros, es posible que WorkSpaces no detecte desconexión y, por lo tanto, puede que los espacios de trabajo no se detengan automáticamente y no se suspenda la facturación.

Modificar el modo de ejecución

Puede cambiar el modo de ejecución en cualquier momento.

Para modificar el modo de ejecución de un escritorio de WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el escritorio de WorkSpaces que se va a modificar y elija Actions (Acciones), Modify Running Mode Properties (Modificar propiedades del modo de ejecución). 4. Seleccione el nuevo modo de ejecución, AlwaysOn o AutoStop y, a continuación, elija Modify.

126 Amazon WorkSpaces Guía de administración Comenzar y detener un WorkSpace de tipo AutoS

Para modificar el modo de ejecución de un WorkSpace utilizando la herramientaAWS CLI

Usarmodificar-espacio de trabajocomando. Comenzar y detener un WorkSpace de tipo AutoS

Cuando los WorkSpaces AutoStop están desconectados, se paran automáticamente transcurrido un periodo especificado de desconexión y se suspende la facturación por hora. Para optimizar los costos aún más, puede suspender manualmente los cargos por hora asociados a los WorkSpaces de tipo AutoStop. El escritorio de WorkSpaces se detiene y se guardan todas las aplicaciones y los datos para la próxima vez que un usuario inicie sesión en el escritorio de WorkSpaces.

Cuando un usuario vuelve a conectarse a un espacio de trabajo parado, se reanuda donde se haya quedado, normalmente en menos de 90 segundos.

Puede reiniciar (reiniciar) WorkSpaces AutoStop que están disponibles o en un estado de error.

Para parar un espacio de trabajo de tipo AutoStop

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el escritorio de WorkSpaces que se va a detener y elija Actions (Acciones), Stop WorkSpaces (Detener WorkSpaces). 4. Cuando se le pida que confirme, elija Stop.

Para iniciar un espacio de trabajo de tipo AutoStop

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione los que desea iniciar y elija Actions, Start WorkSpaces. 4. Cuando se le pida que confirme, elija Start.

Para eliminar los costos fijos de la infraestructura asociados a los escritorios de WorkSpaces AutoStop, elimine el escritorio de WorkSpaces de su cuenta. Para obtener más información, consulte Eliminar WorkSpaces (p. 154).

Para detener e iniciar un WorkSpace de tipo AutoStop utilizando la herramientaAWS CLI

Usarstop-workspacesyworkspaces de iniciocommands.

Modificar un escritorio de WorkSpaces

Después de lanzar un escritorio de WorkSpaces, puede modificar su configuración de dos maneras:

• Puede cambiar el tamaño de su volumen raíz (para Windows, unidad C; para Linux, /) y su volumen de usuario (para Windows, unidad D; para Linux /home). • Puede cambiar su tipo de computación para seleccionar un nuevo paquete.

El estado de modificación actual de un WorkSpace se muestra en laEstadoen la consola de WorkSpaces. Los valores posibles de State (Estado) son Modifying Compute (Modificación del equipo), Modifying Storage (Modificación del almacenamiento) y None (Ninguno).

Si desea modificar un WorkSpace, este debe tener el estado AVAILABLE o STOPPED. Si se modifica el tamaño del volumen, no se puede cambiar el tipo de cálculo al mismo tiempo, y viceversa.

127 Amazon WorkSpaces Guía de administración Cambios del tamaño del volumen

Si se cambia el tamaño del volumen o el tipo de cálculo de un WorkSpace, se modificará también la tarifa de facturación.

Para permitir que los usuarios puedan modificar sus volúmenes y tipos de cálculo por sí mismos, consulte Habilite capacidades de gestión de WorkSpace de autoservicio para sus usuarios (p. 97). Cambios del tamaño del volumen

Puede aumentar el tamaño de los volúmenes raíz y de usuario de un escritorio de WorkSpaces hasta un máximo de 2000 GB cada uno. Los volúmenes raíz y de usuario de WorkSpace se presentan en grupos establecidos que no se pueden cambiar. Los grupos disponibles son:

[Raíz (GB), Usuario (GB)]

[80, 10]

[80, 50]

[80, 100]

[de 175 a 2000, de 100 a 2000]

Puede expandir los volúmenes raíz y de usuario si están cifrados o no cifrados y puede expandir ambos volúmenes una vez en un período de 6 horas. Sin embargo, no puede aumentar el tamaño de los volúmenes raíz y de usuario al mismo tiempo. Para obtener más información, consulte Limitaciones para aumentar volúmenes (p. 129). Note

Al ampliar un volumen para un WorkSpace, WorkSpaces amplía automáticamente la partición del volumen dentro de Windows o Linux. Una vez finalizado el proceso, tendrá que reiniciar WorkSpace para que los cambios surtan efecto.

Para asegurarse de que se conservan los datos, no se puede reducir el tamaño del volumen raíz ni de los volúmenes de usuario después de lanzar un Workspace. En su lugar, asegúrese de especificar los tamaños mínimos para estos volúmenes al lanzar un escritorio de WorkSpaces. Puede lanzar un escritorio de WorkSpaces de tipo Value, Standard, Performance, Power o PowerPro con un mínimo de 80 GB para el volumen raíz y de 10 GB para el volumen de usuario. Puede lanzar un escritorio de WorkSpaces de tipo Graphics o GraphicsPro con un mínimo de 100 GB para el volumen raíz y 100 GB para el volumen de usuario.

Cuando hay una operación en curso para aumentar el tamaño de disco de un WorkSpace, los usuarios pueden realizar la mayoría de las tareas en su WorkSpace. Sin embargo, no pueden cambiar el tipo de proceso del WorkSpace, cambiar el modo de ejecución del WorkSpace, reconstruir el WorkSpace ni reiniciar (reiniciar) el escritorio de WorkSpaces. Note

Si desea que los usuarios puedan usar sus WorkSpaces mientras el aumento del tamaño del disco está en curso, asegúrese de que los WorkSpaces tengan un estado deAVAILABLElugar deSTOPPEDantes de cambiar el tamaño de los volúmenes de WorkSpaces. Si los WorkSpaces sonSTOPPED, no se pueden iniciar mientras el aumento del tamaño del disco está en curso.

En la mayoría de los casos, el proceso para aumentar el tamaño del disco puede tardar hasta dos horas. Sin embargo, si está modificando los tamaños de volumen para un gran número de WorkSpaces, el proceso puede tardar mucho más. Si tiene un gran número de WorkSpaces para modificar, le recomendamos que se ponga en contacto conAWS SupportPara obtener ayuda.

128 Amazon WorkSpaces Guía de administración Cambios de tipos de paquetes

Limitaciones para aumentar los volúmenes

• Solo se puede cambiar el tamaño de los volúmenes SSD. • Al iniciar un WorkSpace, debe esperar 6 horas antes de poder modificar los tamaños de sus volúmenes. • No se puede aumentar el tamaño de los volúmenes raíz y de usuario al mismo tiempo. Para aumentar el volumen raíz, primero debe cambiar el volumen de usuario a 100 GB. Después de realizar ese cambio, puede actualizar el volumen raíz a cualquier valor entre 175 y 2000 GB. Después de cambiar el volumen raíz a cualquier valor entre 175 y 2000 GB, puede actualizar el volumen del usuario a cualquier valor entre 100 y 2000 GB. Note

Si desea aumentar ambos volúmenes, debe esperar entre 20 y 30 minutos para que finalice la primera operación antes de poder comenzar la segunda operación. • A menos que el escritorio de WorkSpaces sea del tipo Graphics o GraphicsPRO, el volumen raíz no puede ser inferior a 175 GB cuando el volumen de usuario sea de 100 GB. Los escritorios de WorkSpaces del tipo Graphics y GraphicsPRO pueden tener los volúmenes de usuario y raíz establecidos en un mínimo de 100 GB. • Si el volumen de usuario es de 50 GB, no podrá actualizar el volumen raíz a un tamaño distinto de 80 GB. Si el volumen raíz es de 80 GB, el volumen de usuario solo puede ser de 10, 50 o 100 GB.

Para cambiar los tamaños de volumen de un escritorio de WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el WorkSpace y elija Actions, Modify WorkSpace. 4. Para aumentar el tamaño del volumen raíz o del usuario, elija Modify Volume Sizes (Modificar tamaños de volumen) y escriba los nuevos valores. 5. Elija Modify. 6. Cuando termine de aumentar el tamaño del disco, debeReinicio del espacio de trabajo (p. 140)Para que los cambios surtan efecto. Para evitar la pérdida de datos, asegúrese de que el usuario guarda los archivos abiertos antes de reiniciar el WorkSpace.

Para cambiar los tamaños de volumen de un escritorio de WorkSpaces

Usarmodificar-espacio de trabajocon el comandoRootVolumeSizeGiborUserVolumeSizeGibpropiedad. Cambios de tipos de paquetes

Puede cambiar un escritorio de WorkSpaces entre los paquetes Value, Standard, Performance, Power y PowerPro. Para obtener más información acerca de estos tipos de paquetes, consultePaquetes Amazon WorkSpaces. Note

No se puede cambiar el tipo de proceso de Graphics y GraphicsPro WorkSpaces.

Cuando solicita un cambio de paquete, WorkSpaces reinicia el escritorio de WorkSpaces con el nuevo paquete. WorkSpaces conserva el sistema operativo, las aplicaciones, los datos y la configuración de almacenamiento del escritorio de WorkSpaces.

Puede solicitar un paquete más grande una vez cada 6 horas o un paquete más pequeño una vez cada 30 días. En el caso de un escritorio de WorkSpaces lanzado por primera vez, debe esperar 6 horas para poder solicitar un paquete de mayor tamaño.

129 Amazon WorkSpaces Guía de administración Etiquetar recursos WorkSpaces

Cuando el cambio de un tipo de cómputo de WorkSpace está en curso, los usuarios están desconectados de su WorkSpace y no pueden usarlo o cambiarlo. El WorkSpace se reinicia automáticamente durante el proceso de cambio de tipo de cálculo. Important

Para evitar la pérdida de datos, asegúrese de que los usuarios guardan los documentos abiertos y otros archivos de la aplicación antes de cambiar el tipo de cálculo del WorkSpace.

El proceso para cambiar el tipo de cálculo puede tardar hasta una hora.

Para cambiar el tipo de grupo de un escritorio de WorkSpaces

Usarmodificar-espacio de trabajocon el comandoComputeTypeNamepropiedad.

Etiquetar recursos WorkSpaces

Puede organizar y administrar los recursos de WorkSpaces asignando sus propios metadatos a cada recurso en forma de etiquetas. Especificará una clave y un valor para cada etiqueta. Una clave puede ser una categoría general, como "proyecto", "propietario" o "entorno", con valores específicos asociados. El uso de las etiquetas es una forma sencilla y potente de administrarAWSPara organizar los datos, incluidos los datos de facturación.

Cuando agrega etiquetas a un recurso existente, esas etiquetas no aparecen en el informe de asignación de costos hasta el primer día del mes siguiente. Por ejemplo, si agrega etiquetas a un escritorio de WorkSpace existente el 15 de julio, las etiquetas no aparecerán en el informe de asignación de costos hasta el 1 de agosto. Para obtener más información, consulte Uso de etiquetas de asignación de costos en la Guía del usuario de AWS Billing and Cost Management. Note

Para ver las etiquetas de recursos de WorkSpaces en el Cost Explorer, debe activar las etiquetas que ha aplicado a los recursos de WorkSpaces siguiendo las instrucciones deActivación de etiquetas de asignación de costos definidas por el usuarioen laAWS Billing and Cost ManagementGuía del usuario de. Aunque las etiquetas aparecen 24 horas después de la activación, los valores asociados a esas etiquetas pueden tardar de 4 a 5 días en aparecer en el Cost Explorer. Además, para que aparezcan y proporcionen datos de costes en el Cost Explorer, los recursos de WorkSpaces que se hayan etiquetado deben incurrir en cargos durante ese tiempo. El Cost Explorer solo muestra los datos de costes desde el momento en que se activaron las etiquetas y en adelante. No hay datos históricos disponibles en este momento.

Recursos que se pueden etiquetar

• Al crear etiquetas en los siguientes recursos: WorkSpaces, imágenes importadas y grupos de control de acceso de IP. • Puede añadir etiquetas a los recursos existentes de los siguientes tipos: WorkSpaces, directorios registrados, paquetes personalizados, imágenes y grupos de control de acceso de IP.

130 Amazon WorkSpaces Guía de administración Mantenimiento WorkSpace de

Restricciones de las etiquetas

• Número máximo de etiquetas por recurso: 50 • Longitud máxima de la clave: 127 caracteres Unicode • Longitud máxima del valor: 255 caracteres Unicode • Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Los caracteres permitidos son letras, espacios y números representables en UTF-8, además de los siguientes caracteres especiales: + - =. _:/@. No utilice espacios anteriores o posteriores. • No utilice laaws:oraws:workspaces:Los prefijos de los nombres o valores de las etiquetas, porque están reservados paraAWSUso. Los nombres y valores de etiquetas que tienen estos prefijos no se pueden editar.

Para actualizar las etiquetas de un recurso existente desde la consola (directorios, WorkSpaces o grupos de control de acceso de IP).

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija uno de los siguientes tipos de recursos: Directorios,WorkSpaces de, o bienControles de acceso IP. 3. Seleccione el recurso y elija Actions (Acciones), Manage Tags (Administrar etiquetas). 4. Realice una o más de las siguientes acciones:

• Para actualizar una etiqueta, modifique los valores Key y Value. • Para agregar una etiqueta, elija Add Tag y, a continuación, modifique los valores Key y Value. • Para eliminar una etiqueta, elija el icono de eliminación (X) situado junto a la etiqueta. 5. Cuando termine de actualizar las etiquetas, elija Save.

Para actualizar las etiquetas de un recurso existente desde la consola de (imágenes o paquetes)

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija uno de los siguientes tipos de recursos: PaquetesorImágenes. 3. Elija el recurso para abrir su página de detalles. 4. En Tags (Etiquetas), elija Manage tags (Administrar etiquetas). 5. Realice una o más de las siguientes acciones:

• Para actualizar una etiqueta, modifique los valores Key y Value. • Para agregar una etiqueta, elijaAñadir nueva etiquetay, a continuación, edite los valores deClave deyValor. • Para eliminar una etiqueta, elijaRemoveJunto a la etiqueta. 6. Cuando termine de actualizar las etiquetas, elijaGuarde los cambios.

Para actualizar las etiquetas de un recurso existente desde la AWS CLI

Utilice los comandos create-tags y delete-tags.

Mantenimiento WorkSpace de

Le recomendamos que mantenga los escritorios de WorkSpaces de forma periódica. WorkSpaces programa periodos de mantenimiento por defecto para los WorkSpaces. Durante el periodo de

131 Amazon WorkSpaces Guía de administración Ventanas de mantenimiento para WorkSpaces AlwaysOn mantenimiento, el escritorio de WorkSpaces instala actualizaciones importantes de Amazon WorkSpaces y se reinicia según sea necesario. Si están disponibles, las actualizaciones del sistema operativo también se instalan desde el servidor de actualización del sistema operativo que se han configurado en el escritorio de WorkSpaces. Durante el mantenimiento, puede que sus escritorios de WorkSpaces no estén disponibles. Note

De forma predeterminada, los escritorios de WorkSpaces en Windows están configurados para recibir actualizaciones de Windows Update. Para configurar sus propios mecanismos de actualización automática para Windows, consulte la documentación de Windows Server Update Services (WSUS) y Configuration Manager. Ventanas de mantenimiento para WorkSpaces AlwaysOn

Para los escritorios de WorkSpaces AlwaysOn, el periodo de mantenimiento se determina en función de la configuración del sistema operativo. La opción predeterminada es un periodo de cuatro horas, desde las 12 de la noche hasta las 4 de la madrugada, en la zona horaria del WorkSpace, todos los domingos por la mañana. De forma predeterminada, la zona horaria de un escritorio de WorkSpace AlwaysOn es la zona horaria de laAWSRegión para el WorkSpace. Sin embargo, si se conecta desde otra región y la redirección de zona horaria está habilitada, y después se desconecta, la zona horaria del escritorio de WorkSpaces se actualiza a la zona horaria de la región desde la que se ha conectado.

Puede deshabilitar la redirección de zona horaria en Windows WorkSpaces (p. 108) mediante la política de grupo. PuedeDeshabilitar la redirección de zona horaria para Linux WorkSpaces (p. 123)mediante el uso de PCoIP Agent conf.

En las áreas de trabajo (WorkSpaces) de Windows, puede configurar el periodo de mantenimiento a través de la política de grupo; consulte Configuración de directivas de grupo para actualizaciones automáticas. No puede configurar el periodo de mantenimiento para escritorios de WorkSpaces de Linux. Ventanas de mantenimiento para WorkSpaces AutoStop

Los escritorios de WorkSpaces AutoStop se inician automáticamente una vez al mes para instalar las actualizaciones importantes. A partir del tercer lunes del mes y durante un máximo de dos semanas, el periodo de mantenimiento está abierto cada día desde las 12 de la mañana hasta las 5 de la madrugada, en la zona horaria delAWSRegión para el WorkSpace. Se puede realizar el mantenimiento de los escritorios de WorkSpaces cualquier día dentro del periodo de mantenimiento.

Durante el periodo de tiempo en el que WorkSpace está en proceso de mantenimiento, el estado de WorkSpace se establece en MAINTENANCE.

Aunque no puede modificar la zona horaria utilizada para mantener el escritorio de WorkSpaces AutoStop, puede desactivar el periodo de mantenimiento del escritorio de WorkSpaces AutoStop de la siguiente manera. Si deshabilita el modo de mantenimiento, sus escritorios de WorkSpaces no se reiniciarán y no pasarán al estado MAINTENANCE.

Para deshabilitar el modo de mantenimiento

132 Amazon WorkSpaces Guía de administración Mantenimiento manual

5. Para habilitar las actualizaciones automáticas, elija Enabled. Si prefiere administrar las actualizaciones de forma manual, elija Disabled (Deshabilitadas). 6. Elija Update and Exit.

Mantenimiento manual

Si lo prefiere, puede mantener sus escritorios de WorkSpaces siguiendo su propia programación. Cuando realice tareas de mantenimiento, le recomendamos que cambie el estado del escritorio de WorkSpaces a ADMIN_MAINTENANCE. Cuando haya terminado, cambie el estado del escritorio de WorkSpaces a AVAILABLE.

Cuando un escritorio de WorkSpaces está en modo ADMIN_MAINTENANCE, se producen los siguientes comportamientos:

• El escritorio de WorkSpaces no responde a las solicitudes reiniciar, detener, iniciar o volver a compilar. • Los usuarios no pueden iniciar sesión en el escritorio de WorkSpaces. • Un escritorio de WorkSpaces AutoStop no entra en modo de hibernación.

Para cambiar el estado del escritorio de WorkSpaces mediante la consola Note

Para cambiar el estado de un escritorio de WorkSpaces, el escritorio debe tener el estado AVAILABLE. La opción Modify State (Modificar estado) no está disponible cuando el escritorio de WorkSpaces tiene el estado STOPPED.

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el escritorio de WorkSpace y elija Actions (Acciones), Modify WorkSpace (Modificar escritorio de WorkSpaces). 4. Elija Modify State (Modificar estado). En Intended State (Estado deseado), seleccione ADMIN_MAINTENANCE o AVAILABLE. 5. Elija Modify.

Para cambiar el estado del escritorio de WorkSpaces mediante la AWS CLI

Utilice el comando modify-workspace-state.

Escritorios de WorkSpaces cifrados

WorkSpaces está integrado con elAWS Key Management Service(AWS KMS). Esto le permite cifrar volúmenes de almacenamiento de WorkSpaces a través de claves maestras de cliente (CMK). Cuando se lanza un WorkSpace, se puede cifrar el volumen raíz (en Microsoft Windows, la unidad C, en Linux, /) y el volumen de usuario (en Windows, la unidad D, en Linux, /home). De este modo, se garantiza el cifrado de los datos almacenados en reposo, la E/S de disco en el volumen y las instantáneas creadas a partir de los volúmenes. Note

Además de cifrar sus WorkSpaces, también puede usar el cifrado de endpoints FIPS en determinadosAWSRegiones de Estados Unidos. Para obtener más información, consulte

133 Amazon WorkSpaces Guía de administración Prerequisites

Configurar Amazon WorkSpaces para la autorización FedRAMP o el cumplimiento del DoD SRG (p. 55) .

Contenido • Prerequisites (p. 134) • Limits (p. 135) • Información general del cifrado de WorkSpaces conAWS KMS (p. 135) • WorkSpaces contexto de cifrado (p. 136) • Conceder permiso a WorkSpaces para utilizar una CMK en su nombre (p. 136) • Cifrado de un espacio de trabajo (p. 140) • Ver WorkSpaces cifrados (p. 140)

Prerequisites

Necesita una CMK de AWS KMS para poder comenzar el proceso de cifrado. Este CMK puede ser el AWSCMK administrada porpara Amazon WorkSpaces (aws/workspaces) o una simétricaCMK administrada por el cliente.

• AWSCMK administrada por— La primera vez que lanza un WorkSpace de WorkSpaces sin cifrar desde la consola de WorkSpaces de una región, Amazon WorkSpaces crea automáticamente unaAWSCMK administrada poraws/workspaces) en la cuenta. Puede seleccionar estaAWSPara cifrar los volúmenes raíz y de usuario de su escritorio de WorkSpaces. Para obtener más información, consulte Información general del cifrado de WorkSpaces conAWS KMS (p. 135).

Puede ver estoAWSCMK administrado por, incluidas sus políticas y concesiones, y puede realizar un seguimiento de su uso enAWS CloudTrail, pero no puede usar ni administrar este CMK. Amazon WorkSpaces crea y administra este CMK. Solo Amazon WorkSpaces puede usar esta CMK y WorkSpaces solo puede usarla para cifrar los recursos de WorkSpaces de su cuenta.

AWSLas CMK administradas por Amazon WorkSpaces, se rotan cada tres años. Para obtener más información, consulte .Rotación de claves maestras de clienteen laAWS Key Management ServiceGuía para desarrolladores. • CMK administrada por el clienteSi lo prefiere, puede seleccionar una CMK administrada por el cliente simétrico que haya creado utilizandoAWS KMS. Puede consultar, usar y administrar esta CMK, incluida la configuración de sus políticas. Para obtener más información acerca de la creación de CMK, consulteCreación de clavesen laAWS Key Management ServiceGuía para desarrolladores. Para obtener más información acerca de la creación de CMK utilizando laAWS KMSAPI, consulteUso de clavesen laAWS Key Management ServiceGuía para desarrolladores.

Los CMK administrados por el cliente no se rotan automáticamente a menos que decida habilitar la rotación automática de claves. Para obtener más información, consulte .Rotación de claves maestras de clienteen laAWS Key Management ServiceGuía para desarrolladores.

Important

Cuando gire CMK, debe mantener el CMK original y el nuevo CMK habilitados para queAWS KMSpuede descifrar los WorkSpaces que cifró el CMK original. Si no desea mantener el CMK original habilitado, debe volver a crear sus WorkSpaces y cifrarlos con el nuevo CMK.

Debe cumplir los requisitos siguientes para utilizar una CMK de AWS KMS para cifrar los WorkSpaces:

• El CMK debe ser simétrico. Amazon WorkSpaces no admite CMK asimétricas. Para obtener información sobre cómo distinguir entre CMK simétricas y asimétricas, consulteIdentificación de CMK simétricas y asimétricasen laAWS Key Management ServiceGuía para desarrolladores.

134 Amazon WorkSpaces Guía de administración Limits

• La CMK debe estar habilitada. Para determinar si una CMK está habilitada, consulteVisualización de detalles de CMKen laAWS Key Management ServiceGuía para desarrolladores. • Debe contar con los permisos y políticas correctos asociados a la CMK. Para obtener más información, consulte Parte 2: Conceder a los administradores de WorkSpaces permisos adicionales por medio de una política (p. 137).

Limits

• No se puede cifrar un escritorio de WorkSpaces existente. Debe cifrar un escritorio de WorkSpaces al lanzarlo. • No se permite la creación de una imagen personalizada desde un espacio de trabajo cifrado. • No está permitido deshabilitar el cifrado de un espacio de trabajo cifrado. • El aprovisionamiento de los espacios de trabajo que tengan habilitado el cifrado de volumen raíz en el momento de iniciarse puede tardar hasta una hora. • Para reiniciar o volver a compilar un WorkSpace cifrado, primero asegúrese de que la CMK de AWS KMS está habilitada; de lo contrario, el WorkSpace no se podría utilizar. Para determinar si una CMK está habilitada, consulteVisualización de detalles de CMKen laAWS Key Management ServiceGuía para desarrolladores.

Información general del cifrado de WorkSpaces conAWS KMS

Al crear escritorios de WorkSpaces con volúmenes cifrados, WorkSpaces utiliza Amazon Elastic Block Store (Amazon EBS) para crear y administrar los volúmenes. Amazon EBS cifra los volúmenes con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. Tanto Amazon EBS como Amazon WorkSpaces utilizan su CMK para trabajar con los volúmenes cifrados. Para obtener más información sobre el cifrado de volúmenes de EBS, consulteCifrado de Amazon EBSen laGuía del usuario de instancias de Amazon EC2.

Al lanzar WorkSpaces con volúmenes cifrados, el proceso completo funciona de este modo:

1. Especifique la CMK que se usará para el cifrado, así como el usuario y el directorio del escritorio de WorkSpace. Esta acción crea unaconcesiónque permite a WorkSpaces usar su CMK solo para este escritorio de WorkSpaces; es decir, únicamente para el WorkSpace asociado con el usuario y el directorio especificados. 2. WorkSpaces crea un volumen de EBS cifrado para el WorkSpace y especifica la CMK que se usará, así como el usuario y el directorio del volumen. Esta acción crea una concesión que permite a Amazon EBS usar su CMK solo para este WorkSpace y volumen; es decir, únicamente para el escritorio de WorkSpaces asociado con el usuario y el directorio especificados, y solo para el volumen especificado. 3. Amazon EBS solicita una clave de datos de volumen que está cifrada con su CMK y especifica el identificador de seguridad (SID) del usuario de Active Directory y el SID del escritorio de WorkSpace SpacesAWS Directory Serviceasí como el ID de volumen de Amazon EBS comocontexto de cifrado (p. 136). 4. AWS KMScrea una clave de datos, la cifra con su CMK y, a continuación, envía la clave de datos cifrada a Amazon EBS. 5. WorkSpaces utiliza Amazon EBS para adjuntar el volumen cifrado a su WorkSpace. Amazon EBS envía la clave de datos cifrada aAWS KMScon un Decrypty especifica el SID del usuario del escritorio de WorkSpace Spaces, el ID de directorio y el ID de volumen, que se utiliza como contexto de cifrado.

135 Amazon WorkSpaces Guía de administración WorkSpaces contexto de cifrado

6. AWS KMSutiliza su CMK para descifrar la clave de datos y, a continuación, envía la clave de datos en texto no cifrado a Amazon EBS. 7. Amazon EBS utiliza la clave de datos en texto no cifrado para cifrar todos los datos que se envían a los volúmenes cifrados y se reciben de ellos. Amazon EBS mantiene la clave de datos en texto no cifrado en la memoria mientras el volumen está adjuntado al escritorio de WorkSpace. 8. Amazon EBS almacena la clave de datos cifrada (recibida enStep 4 (p. 135)) con los metadatos de volumen para usarla en el futuro si reinicia o reconstruye el escritorio de WorkSpace. 9. Cuando utiliza laAWS Management Consolepara eliminar un WorkSpace (o utilice la herramientaTerminateWorkspacesEn la API de WorkSpaces), WorkSpaces y Amazon EBS retiran las concesiones que les permitían utilizar su CMK para ese WorkSpace.

WorkSpaces contexto de cifrado

WorkSpaces no usa su CMK directamente para operaciones criptográficas (comoEncrypt,Decrypt,GenerateDataKey, etc.), lo que significa que WorkSpaces no envía solicitudes aAWS KMSque incluyen unacontexto de cifrado. Sin embargo, cuando Amazon EBS solicita una clave de datos cifrada para los volúmenes cifrados de sus WorkSpaces (Step 3 (p. 135)en laInformación general del cifrado de WorkSpaces conAWS KMS (p. 135)) y cuando solicita una copia de texto sin formato de esa clave de datos (Step 5 (p. 135)), incluye el contexto de cifrado en la solicitud.

El contexto de cifrado proporciona la información autenticada adicional (AAD) que AWS KMS usa para garantizar la integridad de los datos. El contexto de cifrado también se escribe en suAWS CloudTrailLos archivos de registro de, lo que puede ayudarle a entender por qué se usó una determinada CMK de. Amazon EBS usa lo siguiente para el contexto de cifrado:

• El identificador de seguridad (SID) del usuario de Active Directory que está asociado al escritorio de WorkSpace • El ID del directorio de AWS Directory Service que está asociado al escritorio de WorkSpaces • El ID del volumen cifrado de Amazon EBS

El siguiente ejemplo muestra una representación JSON del contexto de cifrado que utiliza Amazon EBS:

{ "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]", "aws:ebs:id": "vol-1234abcd" }

Conceder permiso a WorkSpaces para utilizar una CMK en su nombre

Puede proteger los datos de WorkSpace en elAWSCMK administrada para WorkSpaces (aws/workspaces) o una CMK administrada por el cliente. Si utiliza una CMK administrada por el cliente, deberá conceder permiso a WorkSpaces para utilizar la CMK en nombre de los administradores de WorkSpaces de su cuenta. LaAWSLa CMK administrada por WorkSpaces tiene los permisos necesarios de forma predeterminada.

Para preparar una CMK administrada por el cliente para usarla con WorkSpaces, siga el siguiente procedimiento.

1. Agregue a los administradores de WorkSpaces a la lista de los usuarios de claves en la política de claves de CMK (p. 137) 2. Conceder a los administradores de WorkSpaces permisos adicionales con una política de IAM (p. 137)

136 Amazon WorkSpaces Guía de administración Conceder permiso a WorkSpaces para utilizar una CMK en su nombre

Los administradores de WorkSpaces también necesitan permiso para utilizar WorkSpaces. Para obtener más información acerca de estos permisos, consulteAdministración de identidades y accesos para WorkSpaces (p. 213). Parte 1: Agregar administradores de WorkSpaces a como usuarios clave

Para otorgar a los administradores de WorkSpaces los permisos que necesitan, utilice laAWS Management Consoleo elAWS KMSAPI.

Para agregar administradores de WorkSpaces como usuarios de claves para una CMK (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms. 2. Para cambiar la región de AWS, utilice el Region selector (Selector de regiones) en la esquina superior derecha de la página. 3. En el panel de navegación, elija Customer managed keys (Claves administradas por el cliente). 4. Elija el alias o el ID de clave de la CMK administrada por el cliente que prefiera. 5. Seleccione la pestaña Key policy (Política de claves). UNDERUsuarios clave, elijaAdd. 6. En la lista de usuarios y funciones de IAM, seleccione a los usuarios y los roles que corresponden a los administradores de WorkSpaces y, a continuación, elijaAdd.

Para agregar administradores de WorkSpaces como usuarios de claves para una CMK (API)

1. Utilice la operación GetKeyPolicy para obtener la política de claves existente y, a continuación, guarde el documento de políticas en un archivo. 2. Abra el documento de políticas en el editor de textos que prefiera. Agregue los usuarios y los roles de IAM que corresponden a los administradores de WorkSpaces a las declaraciones de política quedar permiso a los usuarios clave. A continuación, guarde el archivo. 3. Utilice la operación PutKeyPolicy para aplicar la política de claves a la CMK.

Parte 2: Conceder a los administradores de WorkSpaces permisos adicionales por medio de una política

Si selecciona una CMK administrada por el cliente para utilizarla para el cifrado, debe establecer políticas de IAM que permitan a Amazon WorkSpaces utilizar la CMK en nombre de un usuario de IAM de su cuenta que lance escritorios de WorkSpaces cifrados. Ese usuario necesita también permiso para utilizar Amazon WorkSpaces. Para obtener más información sobre la creación y edición de políticas de usuario de IAM, consulteAdministración de políticas de IAMen laIAM User GuideyAdministración de identidades y accesos para WorkSpaces (p. 213).

El cifrado de WorkSpaces requiere un acceso limitado a la CMK. A continuación, se muestra una política de claves de ejemplo que puede utilizar. Esta política separa a las entidades principales que pueden administrar la CMK de AWS KMS de aquellas que pueden usarla. Antes de utilizar esta política de claves de ejemplo, reemplace el ID de la cuenta de ejemplo y el nombre de usuario de IAM por valores reales de su cuenta.

La primera instrucción coincide con la política de claves predeterminada de AWS KMS. Le da permiso a su cuenta para usar políticas de IAM para controlar el acceso a la CMK. Las declaraciones segunda

137 Amazon WorkSpaces Guía de administración Conceder permiso a WorkSpaces para utilizar una CMK en su nombre y tercera definen quéAWSLos principales pueden administrar y utilizar la clave, respectivamente. La cuarta declaración permiteAWSque se integran conAWS KMSPara utilizar la clave en nombre del principal especificado. Esta declaración habilitaAWSPara crear y administrar concesiones. La instrucción usa un elemento de condición que limita las concesiones en la CMK a las realizadas porAWSen nombre de los usuarios de su cuenta. Note

Si los administradores de WorkSpaces utilizan elAWS Management ConsolePara crear escritorios de WorkSpaces con volúmenes cifrados, los administradores necesitan permiso para elaborar listas de alias y claves (la"kms:ListAliases"y"kms:ListKeys"permisos). Si los administradores de WorkSpaces utilizan únicamente la API de Amazon WorkSpaces (no la consola), puede omitir la"kms:ListAliases"y"kms:ListKeys"permisos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ]

138 Amazon WorkSpaces Guía de administración Conceder permiso a WorkSpaces para utilizar una CMK en su nombre

}

La política de IAM para un usuario o rol que cifre un WorkSpace debe incluir los permisos de uso de la CMK administrada por el cliente, así como el acceso a los WorkSpaces. Para otorgar permisos de WorkSpaces a un usuario o rol de IAM, puede asociar la siguiente política de ejemplo al usuario o rol de IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ] }

El usuario necesita la siguiente política de IAM para usarAWS KMS. Proporciona al usuario acceso de solo lectura a la CMK junto con la capacidad de crear concesiones.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }

Si desea especificar el CMK en la directiva, utilice una directiva de IAM similar a la siguiente. Reemplace el ARN de CMK de ejemplo por uno válido.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us- west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow",

139 Amazon WorkSpaces Guía de administración Cifrado de un espacio de trabajo

"Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

Cifrado de un espacio de trabajo

Para cifrar un escritorio WorkSpace

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. Elija Launch WorkSpaces y complete los tres primeros pasos. 3. En el paso WorkSpaces Configuration, haga lo siguiente:

a. Seleccione los volúmenes que desea cifrar: Root Volume (Volumen raíz),Volumen de usuarioo ambos volúmenes. b. ParaClave de cifrado, seleccione unaAWS KMSCMK, ya sea elAWSCMK administrado por Amazon WorkSpaces o una CMK creada por usted. La CMK que seleccione debe ser simétrica. Amazon WorkSpaces no admite CMK asimétricas. c. Elija Next Step (Paso siguiente). 4. Elija Launch WorkSpaces.

Ver WorkSpaces cifrados

Para ver los volúmenes y WorkSpaces que se han cifrado desde la consola de WorkSpaces, elijaWorkSpaces deEn la barra de navegación de la izquierda. La columna Volume Encryption muestra si cada espacio de trabajo tiene habilitado o deshabilitado el cifrado. Para ver qué volúmenes específicos se han cifrado, expanda la entrada WorkSpace para ver el campo Encrypted Volumes.

Reinicio de un espacio de trabajo

Ocasionalmente, es posible que deba reiniciar (reiniciar) un WorkSpace manualmente. Al reiniciar un WorkSpace, este se cierra y se vuelve a iniciar. Para evitar la pérdida de datos, asegúrese de que el usuario guarda los documentos abiertos y otros archivos de la aplicación antes de reiniciar el WorkSpace. Esto no afecta a los datos de usuario, el sistema operativo y la configuración del sistema. Warning

Para reiniciar un escritorio de WorkSpaces cifrado, primero asegúrese de que la CMK de AWS KMS está habilitada; de lo contrario, el escritorio de WorkSpaces no se puede utilizar. Para determinar si una CMK está habilitada, consulteVisualización de detalles de CMKen laAWS Key Management ServiceGuía para desarrolladores.

Para reiniciar un espacio de trabajo

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione los WorkSpaces que desea volver a arrancar y elija Actions, Reboot WorkSpaces. 4. Cuando se le pida confirmación, elija Reboot WorkSpaces.

140 Amazon WorkSpaces Guía de administración Reconstrucción de un espacio de trabajo

Para reiniciar un espacio de trabajo a través de laAWS CLI

Usarreinicio de workspacescomando.

Reconstrucción de un espacio de trabajo

Si es necesario, puede volver a crear un escritorio de WorkSpaces. Esto vuelve a crear el volumen raíz, el volumen del usuario y la elastic network interface primaria.

La reconstrucción de un espacio de trabajo tiene las siguientes consecuencias:

• El volumen raíz (para Microsoft Windows, unidad C; para Linux,/) se actualiza con la imagen más reciente del paquete desde el que se creó el WorkSpace. Se perderán todas las aplicaciones que se instalaron o la configuración del sistema que se cambió después de crear el escritorio de WorkSpaces. • El volumen de usuario (para Microsoft Windows, la unidad D; para Linux, /home) se vuelve a crear a partir de la instantánea más reciente. El contenido actual del volumen de usuario se sobrescribe.

Las instantáneas automáticas para su uso al volver a crear un escritorio de WorkSpaces se programan cada 12 horas. Estas instantáneas del volumen de usuario se toman independientemente del estado del escritorio de WorkSpace. Cuando eligeActions,Reconstrucción/Restaurar WorksWorkSpaceSe muestra la fecha y la hora de la instantánea más reciente. • Se vuelve a crear la interfaz de red elástica principal. El escritorio de WorkSpaces recibe una nueva dirección IP privada.

Important

Después del 14 de enero de 2020, los WorkSpaces creados a partir de un paquete público de Windows 7 ya no se pueden volver a generar. Quizá sea buena idea considerar la posibilidad de migrar sus WorkSpaces de Windows 7 a Windows 10. Para obtener más información, consulte Migrar un WorkSpace (p. 149).

Puede volver a crear un WorkSpace únicamente si se cumplen las siguientes condiciones:

• El WorkSpace debe tener un estado deAVAILABLE,ERROR,UNHEALTHY,STOPPED, o bienREBOOTING. Para reconstruir un espacio de trabajo en la ventanaREBOOTING, debe usar elReconstruir WorkSpaceso la operación de la APIreconstruir-espacios de trabajo AWS CLIcomando. • Debe existir una instantánea del volumen de usuario.

Para reconstruir un espacio de trabajo Warning

Para volver a crear un escritorio de WorkSpaces cifrado, primero asegúrese de que la CMK de AWS KMS está habilitada; de lo contrario, el escritorio de WorkSpaces no se puede utilizar. Para determinar si una CMK está habilitada, consulteVisualización de detalles de CMKen laAWS Key Management ServiceGuía para desarrolladores.

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione los WorkSpaces que desea volver a compilar y elija Actions (Acciones), Rebuild/Restore WorkSpaces (Reconstruir/Restaurar WorkSpaces). 4. Seleccione laRebuild WorkSpaceopción. 5. SeleccionarReconstrucción/Restaurar WorksWorkSpace.

141 Amazon WorkSpaces Guía de administración Restaurar un espacio de trabajo

Para reconstruir un espacio de trabajo utilizando la herramientaAWS CLI

Usarreconstruir-espacios de trabajocomando.

Troubleshooting

Si vuelve a generar una instancia de WorkSpace después de cambiar en Active Directory el atributo de nombre sAMAccountName del usuario, puede recibir el siguiente mensaje de error:

"ErrorCode": "InvalidUserConfiguration.Workspace" "ErrorMessage": "The user was either not found or is misconfigured."

Para evitar este problema, recupere el atributo de nombre original del usuario y, a continuación, vuelva a iniciar la reconstrucción o cree una nueva instancia de WorkSpace para ese usuario.

Restaurar un espacio de trabajo

Si es necesario, puede restaurar un escritorio de WorkSpaces a su último estado correcto conocido. Esto vuelve a crear el volumen raíz y el volumen de usuario en función de las instantáneas más recientes de estos volúmenes que se crearon cuando el escritorio de WorkSpaces estaba en buen estado.

La restauración de un espacio de trabajo tiene las siguientes consecuencias:

• El volumen raíz (para Microsoft Windows, unidad C; para Linux,/) se restaura a la instantánea más reciente. Se perderán todas las aplicaciones que se instalaron o la configuración del sistema que se modificó después de crear la instantánea más reciente. • El volumen de usuario (para Microsoft Windows, la unidad D; para Linux, /home) se vuelve a crear a partir de la instantánea más reciente. El contenido actual del volumen de usuario se sobrescribe.

Cuando se toman instantáneas

Las instantáneas del volumen raíz y de usuario se toman de la siguiente manera. Cuando eligeActions,Reconstrucción/Restaurar WorksWorkSpaceSe muestra la fecha y la hora de las instantáneas más recientes.

• Después de crear por primera vez un WorkSpace— Normalmente, las instantáneas iniciales de los volúmenes raíz y de usuario se toman poco después de crear un WorkSpace (a menudo en un plazo de 30 minutos). En algunosAWSRegiones, las instantáneas iniciales pueden tardar varias horas después de crear un WorkSpace.

Si un WorkSpace no funciona antes de que se tomen las instantáneas iniciales, no se puede restaurar el WorkSpace. En ese caso, puede probarReconstrucción del espacio de trabajo (p. 141)O póngase en contactoAWSSupport para la asistencia. • Durante el uso regularLas instantáneas automáticas para su uso al restaurar un WorkSpace se programan cada 12 horas. Si el escritorio de WorkSpaces está en buen estado, las instantáneas del volumen raíz y del volumen de usuario se crean al mismo tiempo. Si el escritorio de WorkSpaces está en mal estado, estas instantáneas no se crean. • Después de restaurar un WorkSpace: cuando restaura un WorkSpace, se toman nuevas instantáneas poco después de que finalice la restauración (a menudo en un plazo de 30 minutos). En algunosAWSRegiones, estas instantáneas pueden tardar varias horas después de restaurar un WorkSpace.

Después de restaurar un WorkSpace, si el WorkSpace no funciona antes de que se puedan tomar nuevas instantáneas, el WorkSpace no se puede restaurar de nuevo. En ese caso, puede

142 Amazon WorkSpaces Guía de administración Actualización de Workspaces BYOL de Windows 10

probarReconstrucción del espacio de trabajo (p. 141)O póngase en contactoAWSSupport para la asistencia.

Puede restaurar un WorkSpace únicamente si se cumplen las siguientes condiciones:

• El WorkSpace debe tener un estado deAVAILABLE,ERROR,UNHEALTHY, o bienSTOPPED. • Deben existir instantáneas de los volúmenes raíz y de usuario.

Para restaurar un WorksSpace

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el espacio de trabajo que desea restaurar y elija Actions (Acciones), Rebuild/Restore WorkSpace (Reconstruir/Restaurar WorkSpace). 4. Seleccione laRestauración WorkSpaceopción. 5. SeleccionarReconstrucción/Restaurar WorksWorkSpace.

Para restaurar un espacio de trabajo a través de laAWS CLI

Usarrestore-workspacecomando.

Actualización de Workspaces BYOL de Windows 10

En los WorkSpaces Bring-Your-Own-License (BYOL) de Windows 10, puede actualizar a una versión más reciente de Windows 10 mediante el proceso de actualización in situ. Siga las instrucciones de este tema para hacerlo.

El proceso de actualización in situ se aplica únicamente a los WorkSpaces BYOL de Windows 10. Important

No ejecute Sysprep en un WorkSpace actualizado. Si lo hace, podría producirse un error que impide que Sysprep termine. Si planea ejecutar Sysprep, hágalo solo en un WorkSpace que no se haya actualizado.

Contenido • Prerequisites (p. 143) • Considerations (p. 144) • Limitaciones conocidas (p. 144) • Resumen de la configuración de clave del Registro (p. 145) • Realizar una actualización local (p. 146) • Troubleshooting (p. 148) • Actualizar el registro de WorkSpace mediante un script de PowerShell (p. 148)

Prerequisites

• Si ha aplazado o puesto en pausa las actualizaciones de Windows 10 mediante la política de grupo o con System Center Configuration Manager (SCCM), habilite las actualizaciones del sistema operativo para los Workspaces de Windows 10.

143 Amazon WorkSpaces Guía de administración Considerations

• Si el Workspace es de tipo AutoStop, cámbielo a un Workspace AlwaysOn antes de que se realice el proceso de actualización in situ para que no se detenga automáticamente mientras se aplican las actualizaciones. Para obtener más información, consulte Modificar el modo de ejecución (p. 126). Si prefiere mantener el escritorio de WorkSpaces establecido en AutoStop, cambie el tiempo de AutoStop a tres horas o más mientras se realiza la actualización. • El proceso de actualización in situ vuelve a crear el perfil de usuario realizando una copia de un perfil especial denominado Default User (Usuario predeterminado) (C:\Users\Default). No utilice este perfil de usuario predeterminado para realizar personalizaciones. Se recomienda realizar cualquier personalización en el perfil de usuario a través de objetos de política de grupo (GPO) en su lugar. Las personalizaciones realizadas a través de los GPO se pueden modificar o revertir de forma sencilla y son menos propensas a errores. • El proceso de actualización in situ puede realizar una copia de seguridad y volver a crear un solo perfil de usuario. Si tiene varios perfiles de usuario en la unidad D, elimine todos los perfiles excepto el que necesite.

Considerations

El proceso de actualización local utiliza dos scripts de registro (enable-inplace-upgrade.ps1 y update-pvdrivers.ps1) para realizar los cambios necesarios en el escritorio de WorkSpaces que permiten ejecutar el proceso de Windows Update. Estos cambios implican la creación de un perfil de usuario (temporal) en la unidad C en lugar de en la unidad D. Si ya existe un perfil de usuario en la unidad D, los datos de ese perfil de usuario original permanecen en la unidad D.

De forma predeterminada, el escritorio de WorkSpaces crea el perfil de usuario en D:\Users\%USERNAME %. El script enable-inplace-upgrade.ps1 configura Windows para crear un nuevo perfil de usuario en C:\Users\%USERNAME% y redirige las carpetas del shell de usuario a D:\Users\%USERNAME%. Este nuevo perfil de usuario se crea cuando un usuario se registra por primera vez.

Después de la actualización local, tiene la opción de dejar sus perfiles de usuario en la unidad C para permitir a los usuarios utilizar el proceso de Windows Update para actualizar sus equipos en el futuro. Sin embargo, tenga en cuenta que el escritorio de WorkSpaces con perfiles almacenados en la unidad C no se puede migrar ni volver a crear sin perder todos los datos del perfil de usuario a no ser que realice una copia de seguridad y los restaure usted mismo. Si decide dejar los perfiles en la unidad C, puede utilizar la clave del Registro UserShellFoldersRedirection para redirigir las carpetas del shell de usuario a la unidad D, como se explica más adelante en este tema.

Para asegurarse de que puede volver a crear o migrar escritorios de WorkSpaces y evitar posibles problemas con la redirección de carpetas del shell de usuario, le recomendamos que elija restaurar los perfiles de usuario en la unidad D después de la actualización local. Para ello, utilice la clave del Registro PostUpgradeRestoreProfileOnD, como se explica más adelante en este tema. Limitaciones conocidas

• El cambio de ubicación del perfil de usuario de la unidad D a la unidad C no se produce cuando se vuelven a crear o se migran escritorios de WorkSpaces. Si realiza una actualización local en un escritorio de WorkSpaces de Windows 10 BYOL y, a continuación, lo vuelve a crear o lo migra, el nuevo escritorio de WorkSpaces tendrá el perfil de usuario en la unidad D. Warning

Si deja el perfil de usuario en la unidad C después de la actualización local, los datos del perfil de usuario almacenados en la unidad C se perderán cuando se vuelvan a crear o migrar los escritorios a no ser que haga una copia de seguridad manual de los datos del perfil de usuario antes de realizar estas operaciones y, a continuación, restaure manualmente los datos del perfil de usuario después de volver a crear o migrar los escritorios.

144 Amazon WorkSpaces Guía de administración Resumen de la configuración de clave del Registro

• Si su paquete de BYOL predeterminado contiene una imagen que se basa en una versión anterior de Windows 10, debe realizar la actualización local de nuevo después de volver a crear o migrar el escritorio de WorkSpaces.

Resumen de la configuración de clave del Registro

Para habilitar el proceso de actualización local y especificar dónde desea que se ubique el perfil de usuario después de la actualización, debe establecer varias claves del Registro.

Ruta de registro: HKL M:\Software\Amazon\WorkSpacesConfig\enable -inplace-upgrade.ps1

Clave del Registro Tipo Valores

Habilitado DWORD 0— (Predeterminado) Deshabilita la actualización local

1— Permite la actualización local

PostUpgradeRestoreProfileOnD DWORD 0— (Predeterminado) No intenta restaurar la ruta del perfil de usuario después de la actualización in situ

1— Restaura la ruta del perfil de usuario (ProfileImagePath) después de la actualización local

UserShellFoldersRedirection DWORD 0— No habilita la redirección de carpetas de shell de usuario

1— (Predeterminado) Habilita la redirección de carpetas de shell de usuario aD:\Users\ %USERNAME%después de que el perfil de usuario se regenere enC:\Users\%USERNAME%

NoReboot DWORD 0— (Predeterminado) Permite controlar cuándo se produce un reinicio después de modificar el registro para el perfil de usuario

1— No permite que el script reinicie el WorkSpace después de modificar el registro para el perfil de usuario

Ruta de registro: HKL M:\Software\Amazon\WorkSpacesConfig\update -pvdrivers.ps1

Clave del Registro Tipo Valores

Habilitado DWORD 0— (Predeterminado) DeshabilitaAWSActualizar controladores PV

1— HabilitaAWSActualizar controladores PV

145 Amazon WorkSpaces Guía de administración Realizar una actualización local

Realizar una actualización local

Para habilitar las actualizaciones de Windows locales en los escritorios de WorkSpaces BYOL, debe establecer determinadas claves del Registro, como se describe en el procedimiento siguiente. También debe establecer ciertas claves del Registro para indicar la unidad (C o D) en la que desea que se ubiquen los perfiles de usuario una vez finalizadas las actualizaciones locales.

Puede realizar estos cambios en el Registro manualmente. Si tiene que actualizar varios escritorios de WorkSpaces, puede utilizar la política de grupo o SCCM para insertar un script de PowerShell. Para obtener un script de PowerShell de ejemplo, consulte Actualizar el registro de WorkSpace mediante un script de PowerShell (p. 148).

Para realizar una actualización in situ de Windows 10

1. Anote qué versión de Windows se está ejecutando actualmente en el escritorio de WorkSpaces de Windows 10 BYOL que está actualizando y, a continuación, reinícielo. 2. Actualice las siguientes claves del Registro del sistema de Windows para cambiar los datos del valor de Habilitado de 0 a 1. Estos cambios en el registro permiten que se realicen actualizaciones in situ del Workspace.

• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1 • HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update-pvdrivers.ps1

Note

Si estas claves no existen, reinicie el Workspace. Las claves deben añadirse cuando se reinicia el sistema.

(Opcional) Si utiliza un flujo de trabajo administrado como secuencias de tareas de SCCM para realizar la actualización, establezca el siguiente valor de clave en 1 para evitar que el equipo se reinicie:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace- upgrade.ps1\NoReboot 3. Decida en qué unidad desea que se ubiquen los perfiles de usuario después del proceso de actualización local (para obtener más información, consulte Considerations (p. 144)) y establezca las claves del Registro de la siguiente manera:

• Configuración si desea el perfil de usuario en la unidad C después de la actualización:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nombre de la clave: PostUpgradeRestoreProfileOnD

Clave: 0

Nombre de la clave: UserShellFoldersRedirection

Clave: 1

• Configuración si desea el perfil de usuario en la unidad D después de la actualización:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nombre de la clave: PostUpgradeRestoreProfileOnD

Clave: 1

146 Amazon WorkSpaces Guía de administración Realizar una actualización local

Nombre de la clave: UserShellFoldersRedirection

Clave: 0 4. Después de guardar los cambios en el registro, reinicie el Workspace de nuevo para que se apliquen los cambios. Note

Tras el reinicio, se crea un nuevo perfil de usuario al iniciar sesión en el Workspace. Es posible que vea iconos de marcador de posición en el menú Inicio. Este comportamiento se resuelve automáticamente después de que se haya completado la actualización in situ.

Asegúrese de que el valor de la clave siguiente está establecido en 1, lo que desbloquea el escritorio de WorkSpaces para la actualización:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace- upgrade.ps1\profileImagePathDeleted 5. Realice la actualización in situ. Puede utilizar el método que prefiera; por ejemplo, SCCM, ISO o Windows Update (WU). En función de la versión de Windows 10 original y del número de aplicaciones instaladas, este proceso puede tardar entre 40 y 120 minutos. 6. Una vez finalizado el proceso de actualización, confirme que la versión de Windows se ha actualizado. Note

Si se produce un error en la actualización in situ, Windows restaura automáticamente la versión de Windows 10 que existía antes de iniciar la actualización. Para obtener más información sobre solución de problemas, consulte la documentación de Microsoft.

(Opcional) Para confirmar que los scripts de actualización se han ejecutado correctamente, verifique que el valor de la clave siguiente se ha establecido en 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace- upgrade.ps1\scriptExecutionComplete 7. Si ha modificado el modo de ejecución del escritorio de WorkSpaces estableciéndolo en AlwaysOn o cambiando el periodo de tiempo de AutoStop para que el proceso de actualización local pueda ejecutarse sin interrupción, vuelva a establecer el modo de ejecución en la configuración original. Para obtener más información, consulte Modificar el modo de ejecución (p. 126).

Si no ha establecido la clave del Registro PostUpgradeRestoreProfileOnD en 1, Windows regenera el perfil de usuario y lo coloca en C:\Users\%USERNAME% después de la actualización local, para que no tenga que realizar los pasos anteriores de nuevo en las futuras actualizaciones locales de Windows 10. De forma predeterminada, el script enable-inplace-upgrade.ps1 redirige las siguientes carpetas del shell a la unidad D:

• D:\Users\%USERNAME%\Downloads • D:\Users\%USERNAME%\Desktop • D:\Users\%USERNAME%\Favorites • D:\Users\%USERNAME%\Music • D:\Users\%USERNAME%\Pictures • D:\Users\%USERNAME%\Videos • D:\Users\%USERNAME%\Documents • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

147 Amazon WorkSpaces Guía de administración Troubleshooting

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs \Startup • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates

Si redirige las carpetas del shell a otras ubicaciones de WorkSpaces, realice las operaciones necesarias en los WorkSpaces después de las actualizaciones in situ. Troubleshooting

Si se produce algún problema con la actualización, puede comprobar los siguientes elementos para solucionarlo:

• Logs de Windows, que se encuentran, de forma predeterminada, en las ubicaciones siguientes:

C:\Program Files\Amazon\WorkSpacesConfig\Logs\

C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED • Visor de eventos de Windows

Registros de Windows > Aplicación > Origen: Amazon WorkSpaces

Tip

Durante el proceso de actualización in situ, si observa que algunos iconos de acceso directo del escritorio ya no funcionan, se debe a que WorkSpaces mueve los perfiles de usuario de la unidad D a la unidad C para prepararse para la actualización. Cuando finalice la actualización, los accesos directos funcionarán según lo previsto. Actualizar el registro de WorkSpace mediante un script de PowerShell

Puede utilizar el siguiente ejemplo de script de PowerShell para actualizar el registro de los Workspaces con objeto de permitir las actualizaciones in situ. Siga el Realizar una actualización local (p. 146), pero utilice este script para actualizar el Registro en cada escritorio de WorkSpaces.

# AWS WorkSpaces 1.28.20 # Enable In-Place Update Sample Scripts # These registry keys and values will enable scripts to execute on the next reboot of the WorkSpace.

$scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1") $wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig" $Enabled = 1 $script:ErrorActionPreference = "Stop" foreach ($scriptName in $scriptlist) { $scriptRegKey = "$wsConfigRegistryRoot\$scriptName"

try { if (-not(Test-Path $scriptRegKey))

148 Amazon WorkSpaces Guía de administración Migrar un WorkSpace

{ Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled." New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } else { Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled) { Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty - Path $scriptRegKey).Enabled)'" } } } catch { write-host "Stopping script, the following error was encountered:" `r`n$_ - ForegroundColor Red break } }

Migrar un WorkSpace

Puede migrar un WorkSpace de un paquete a otro, conservando los datos del volumen de usuario. A continuación, se muestran ejemplos de casos:

• Puede migrar WorkSpaces desde la experiencia de escritorio de Windows 7 a la de Windows 10. • Puede migrar WorkSpaces desde el protocolo PCoIP al protocolo de transmisión de WorkSpaces (WSP). • Puede migrar WorkSpaces desde el paquete WorkSpaces de 32 bits de Microsoft Office en Windows Server 2016 al paquete WorkSpaces de 64 bits de Microsoft Office en Windows Server 2019. • Puede migrar WorkSpaces de un paquete público o personalizado a otro. Por ejemplo, puede migrar desde paquetes habilitados para GPU (Graphics and GraphicsPRO) hasta paquetes no habilitados para GPU, y viceversa.

Para obtener más información sobre los paquetes de Amazon WorkSpaces, consulteImágenes y paquetes de WorkSpace (p. 155).

El proceso de migración vuelve a crear el WorkSpace utilizando un nuevo volumen raíz de la imagen del paquete de destino y el volumen de usuario de la última instantánea disponible del WorkSpace original. Se genera un nuevo perfil de usuario durante la migración para una mejor compatibilidad. Se cambia el nombre del perfil de usuario antiguo y, a continuación, ciertos archivos del perfil de usuario antiguo se transfieren al nuevo perfil de usuario. (Para obtener más información sobre lo que se transfiere, consulte ¿Qué ocurre durante la migración? (p. 151).)

El proceso de migración tarda hasta una hora por cada WorkSpace. Al iniciar el proceso de migración, se crea un nuevo WorkSpace. Si se produce un error que impide una migración correcta, el WorkSpace original se recupera y se devuelve a su estado original y el nuevo WorkSpace se cancela.

Contenido

149 Amazon WorkSpaces Guía de administración Límites de migración

• Límites de migración (p. 150) • Casos de migración (p. 150) • ¿Qué ocurre durante la migración? (p. 151) • Prácticas recomendadas (p. 152) • Troubleshooting (p. 152) • Cómo se ve afectada la facturación (p. 153) • Migración de un WorkSpace (p. 153)

Límites de migración

• No puede migrar a un paquete de experiencia de escritorio de Windows 7 público o personalizado. Tampoco puede migrar a paquetes de Windows 7 Bring Your Own License (BYOL). • Puede migrar BYOL WorkSpaces solo a otros paquetes BYOL. Para migrar un WorkSpace BYOL de PCoIP a WSP, primero debe crear un paquete BYOL con el protocolo WSP. A continuación, puede migrar su PCoIP BYOL WorkSpaces a ese paquete WSP BYOL. • No puede migrar un WorkSpace creado a partir de paquetes públicos o personalizados a un paquete BYOL. • Los paquetes de gráficos y GraphicsPro sólo están disponibles para el protocolo PCoIP en este momento, por lo que Graphics y GraphicsPro WorkSpaces no se pueden migrar a WSP todavía. • Actualmente no se admite la migración de WorkSpaces de Linux. • EnAWSEn las regiones que admiten más de un idioma, puede migrar WorkSpaces entre paquetes de idiomas. • Los paquetes de origen y destino deben ser diferentes. (Sin embargo, en las regiones que admiten más de un idioma, puede migrar al mismo paquete de Windows 10 siempre que los idiomas sean diferentes). Si desea actualizar WorkSpace utilizando el mismo paquete, vuelva a generar el WorkSpace (p. 141). • No puede migrar escritorios de WorkSpaces entre regiones. • En algunos casos, si la migración no puede realizarse correctamente, es posible que no reciba un mensaje de error y que parezca que el proceso de migración no se inició. Si el paquete de un WorkSpace permanece igual una hora después de intentar la migración, la migración no se ha realizado correctamente. En contacto con elAWS SupportCenterPara obtener ayuda.

Casos de migración

En la siguiente tabla se muestran las situaciones de migración disponibles:

SO de origen SO de destino ¿Disponible?

Paquete público o personalizado Paquete público o personalizado Sí de Windows 7 de Windows 10

Paquete personalizado de Paquete público de Windows 7 No Windows 7

Paquete personalizado de Paquete personalizado de No Windows 7 Windows 7

Paquete público de Windows 7 Paquete personalizado de No Windows 7

Paquete público o personalizado Paquete público o personalizado No de Windows 10 de Windows 7

150 Amazon WorkSpaces Guía de administración ¿Qué ocurre durante la migración?

SO de origen SO de destino ¿Disponible?

Paquete personalizado de Paquete público de Windows 10 No Windows 10

Paquete público o personalizado Paquete personalizado de Sí de Windows 10 Windows 10

Paquete BYOL de Windows 7 Paquete BYOL de Windows 7 No

Paquete BYOL de Windows 7 Paquete BYOL de Windows 10 Sí

Paquete BYOL de Windows 10 Paquete BYOL de Windows 7 No

Paquete BYOL de Windows 10 Paquete BYOL de Windows 10 Sí

Paquete de Windows 10 público Paquete de Windows 10 Sí público

Paquete de Windows 10 Paquete de Windows 10 público Sí público con Windows Server 2016

Note

El acceso web no está disponible para la rama PCoIP del paquete de Windows 10 pública con Windows Server 2019. Important

El paquete Windows 10 plus público con Windows Server 2016 incluye Microsoft Office 2016 y Trend Micro Worry-Free Business Security Services. El paquete Windows 10 plus público con Windows Server 2019 incluye solo Microsoft Office 2019 y no incluye Trend Micro Services. ¿Qué ocurre durante la migración?

Durante la migración, se conservan los datos del volumen de usuario (unidad D), pero se pierden todos los datos del volumen raíz (unidad C). Esto significa que no se conserva ninguna de las aplicaciones, configuraciones ni cambios instalados en el registro. Se cambia el nombre de la carpeta de perfil de usuario anterior con el sufijo .NotMigrated y se crea un nuevo perfil de usuario.

El proceso de migración vuelve a crear la unidad D basándose en la última instantánea del volumen de usuario original. Durante el primer arranque del nuevo WorkSpace, el proceso de migración mueve la carpeta original D:\Users\%USERNAME% a una carpeta denominada D:\Users\%USERNAME %MMddyyTHHmmss%.NotMigrated. El nuevo sistema operativo genera una nueva carpeta D:\Users\ %USERNAME%\.

Después de crear el nuevo perfil de usuario, los archivos de las siguientes carpetas de shell de usuario se mueven del perfil antiguo .NotMigrated al nuevo perfil:

• D:\Users\%USERNAME%\Desktop • D:\Users\%USERNAME%\Documents • D:\Users\%USERNAME%\Downloads • D:\Users\%USERNAME%\Favorites • D:\Users\%USERNAME%\Music • D:\Users\%USERNAME%\Pictures

151 Amazon WorkSpaces Guía de administración Prácticas recomendadas

• D:\Users\%USERNAME%\Videos

Important

El proceso de migración intenta transferir los archivos del perfil de usuario antiguo al nuevo perfil. Los archivos que no se transfirieron durante la migración permanecen en la carpeta D:\Users\ %USERNAME%MMddyyTHHmmss%.NotMigrated. Si la migración se realiza correctamente, puede ver qué archivos se transfirieron en C:\Program Files\Amazon\WorkspacesConfig\Logs \MigrationLogs. Puede transferir manualmente cualquier archivo que no se haya movido automáticamente. De forma predeterminada, los paquetes públicos tienen la indexación de búsqueda local deshabilitada. Si lo habilita, el valor predeterminado es buscarC:\Usersy noD:\Users, por lo que también debes ajustar eso. Si ha establecido la indexación de búsqueda local específicamente enD:\Users\usernamey no aD:\Users, es posible que la indexación de búsqueda local no funcione después de la migración para cualquier archivo de usuario que se encuentre en elD:\Users\%USERNAME%MMddyyTHHmmss%.NotMigratedfolder.

Las etiquetas asignadas al WorkSpace original se conservan durante la migración, al igual que el modo de ejecución del WorkSpace. Sin embargo, el nuevo WorkSpace obtiene un nuevo ID de WorkSpace, nombre de equipo y dirección IP. Prácticas recomendadas

Antes de migrar un WorkSpace, haga lo siguiente:

• Realice una copia de seguridad de los datos importantes de la unidad C en otra ubicación. Todos los datos de la unidad C se borrarán durante la migración. • Asegúrese de que el WorkSpace que se está migrando tiene al menos 12 horas de antigüedad, para asegurarse de que se ha creado una instantánea del volumen de usuario. En la páginaMigrar WorkSpacesEn la consola de Amazon WorkSpaces, puede consultar la hora de la última instantánea. Los datos creados después de la última instantánea se pierden durante la migración. • Para evitar posibles pérdidas de datos, asegúrese de que los usuarios desconecten sus WorkSpaces y no vuelvan a iniciar sesión hasta que finalice el proceso de migración. Tenga en cuenta que WorkSpaces no se puede migrar cuando están en modo ADMIN_MAINTENANCE. • Asegúrese de que los WorkSpaces que desea migrar tienen un estado de AVAILABLE, STOPPED, o ERROR. • Asegúrese de que dispone de suficientes direcciones IP para los WorkSpaces que está migrando. Durante la migración, se asignarán nuevas direcciones IP para los WorkSpaces. • Si utiliza secuencias de comandos para migrar WorkSpaces, hágalo en lotes de no más de 25 WorkSpaces a la vez.

Troubleshooting

• Si los usuarios le informan de que faltan archivos después de la migración, compruebe si sus archivos de perfil de usuario no se movieron durante el proceso de migración. Puede ver qué archivos se han movido en C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs. Los archivos que no se han movido se ubicarán en la carpeta D:\Users\%USERNAME%MMddyyTHHmmss %.NotMigrated. Puede transferir manualmente cualquier archivo que no se haya movido automáticamente. • Si utiliza la API para migrar WorkSpaces y la migración no se realiza correctamente, no se utilizará el ID de WorkSpace de destino devuelto por la API y el WorkSpace seguirá teniendo el ID de WorkSpace original.

152 Amazon WorkSpaces Guía de administración Cómo se ve afectada la facturación

• Si una migración no se finaliza correctamente, compruebe el Active Directory para ver si se limpió en consecuencia. Es posible que tenga que eliminar manualmente WorkSpaces que ya no necesite.

Cómo se ve afectada la facturación

Durante el mes en el que se produce la migración, se le cargan los importes prorrateados tanto para el WorkSpace nuevo como para el WorkSpace original. Por ejemplo, si migra el escritorio de WorkSpaces A al escritorio de WorkSpaces B el 10 de mayo, se le cobrará por el escritorio de WorkSpaces A del 1 de mayo al 10 de mayo y se le cobrará por el escritorio de WorkSpaces B del 11 de mayo al 30 de mayo. Note

Si va a migrar un WorkSpace a un tipo de paquete diferente (por ejemplo, de Performance a Power o Value a Standard), el tamaño del volumen raíz (unidad C) y del volumen de usuario (unidad D) podría aumentar durante el proceso de migración. Si es necesario, el volumen raíz aumenta para que coincida con el tamaño predeterminado del volumen raíz para el nuevo paquete. Sin embargo, si ya había especificado un tamaño diferente (mayor o menor) para el volumen de usuario que el predeterminado para el paquete original, ese mismo tamaño de volumen de usuario se conservará durante el proceso de migración. De lo contrario, el proceso de migración utiliza el tamaño de volumen de usuario de WorkSpace de origen y el tamaño de volumen de usuario predeterminado para el nuevo paquete. Migración de un WorkSpace

Puede migrar WorkSpaces a través de la consola de Amazon WorkSpaces, laAWS CLIo la API de Amazon WorkSpaces.

Para migrar un WorkSpace

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el WorkSpace y elija Actions (Acciones), Migrate WorkSpaces (Migrar WorkSpaces). 4. En Select Target Bundle (Seleccionar paquete de destino), seleccione el paquete al que desea migrar su WorkSpace. Note

Para migrar un WorkSpace BYOL de PCoIP a WSP, primero debe crear un paquete BYOL con el protocolo WSP. A continuación, puede migrar su PCoIP BYOL WorkSpaces a ese paquete WSP BYOL. 5. En Assign WorkSpace Bundle (Asignar paquete de WorkSpace), elija el paquete de destino para cada usuario de WorkSpace. Warning

Para cada WorkSpace, tome nota de la hora de instantánea que aparece en la lista. Los cambios realizados en el volumen de usuario después de la hora de instantánea de la lista se descartan durante el proceso de migración. 6. Elija Migrate WorkSpaces (Migrar WorkSpaces).

Un nuevo WorkSpace con un estado dePENDINGAparecerá en la consola de Amazon WorkSpaces. Cuando finaliza la migración, se elimina el WorkSpace original y el estado del nuevo WorkSpace se establece como AVAILABLE. 7. (Opcional) Para eliminar los paquetes e imágenes personalizados que ya no necesite, consulte Eliminar un paquete o una imagen personalizada de WorkSpaces (p. 173).

153 Amazon WorkSpaces Guía de administración Eliminar WorkSpaces

Para migrar WorkSpaces a través delAWS CLI, utilice elmigrar-espacio de trabajocomando. Para migrar WorkSpaces a través de la API de Amazon WorkSpaces, consulteMigrateWorkSpaceen laReferencia de la API Amazon WorkSpaces Space.

Eliminar WorkSpaces

Cuando ya no necesite una WorkSpace, puede eliminarlo. También puede eliminar los recursos relacionados. Warning

Eliminar un WorkSpace es una acción permanente y no se puede deshacer. Los datos del usuario del Workspace no se conservan y se destruyen. Para obtener ayuda para realizar el backup de los datos de usuario, póngase en contactoAWSSupport. Note

Simple AD y AD Connector están disponibles de forma gratuita para su uso con WorkSpaces. Si no se utiliza WorkSpaces con su directorio Simple AD o AD Connector durante 30 días consecutivos, este directorio se anulará automáticamente para su uso con Amazon WorkSpaces y se le cobrará por este directorio según laAWS Directory Servicetérminos de precios. Para eliminar directorios vacíos, consulteEliminar el directorio de WorkSpaces (p. 73). Si elimina el directorio de Simple AD o AD Connector, siempre puede crear uno nuevo cuando desee volver a utilizar WorkSpaces.

Para eliminar WorkSpaces

Puede eliminar un WorkSpace que esté en cualquier estado exceptoSUSPENDED.

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione el WorkSpace y elija Actions, Remove WorkSpaces. 4. Cuando se le pida confirmación, seleccione Remove WorkSpaces. La eliminación de un WorkSpace puede tardar aproximadamente 5 minutos. Durante la eliminación, el estado del WorkSpace se establece enTERMINATING. Cuando la eliminación se completa, el estado cambia aTERMINATEDAntes de que el WorkSpace desaparezca de la consola de. 5. (Opcional) Para eliminar paquetes e imágenes personalizados que no vaya a volver a usar, consulte Eliminar un paquete o una imagen personalizada de WorkSpaces (p. 173). 6. (Opcional) Una vez eliminados todos los escritorios WorkSpaces de un directorio, puede eliminar el directorio. Para obtener más información, consulte Eliminar el directorio de WorkSpaces (p. 73). 7. (Opcional) Después de eliminar todos los recursos de la nube virtual privada (VPC) para el directorio, puede eliminarla y liberar la dirección IP elástica utilizada para la gateway NAT. Para obtener más información, consulteEliminar su VPCyUso de direcciones IP elásticasen laAmazon VPC User Guide.

Para eliminar WorkSpace utilizando la herramientaAWS CLI

Usarterminados-workspacescomando.

154 Amazon WorkSpaces Guía de administración Crear una imagen y un grupo personalizados

Imágenes y paquetes de WorkSpace

Un paquete de WorkSpace es una combinación de un sistema operativo, capacidad informática, almacenamiento y recursos de software. Cuando lanza un escritorio de WorkSpaces, puede seleccionar el paquete que se adapte a sus necesidades. Los paquetes predeterminados disponibles para los escritorios de WorkSpaces se denominan paquetes públicos. Para obtener más información acerca de los distintos paquetes públicos disponibles para los escritorios de WorkSpaces, consultePaquetes Amazon WorkSpaces.

Si ha lanzado un escritorio de WorkSpace Spaces de Windows o y lo ha personalizado, puede crear una imagen personalizada a partir de ese escritorio.

Una imagen personalizada solo contiene el sistema operativo, el software y la configuración del escritorio de WorkSpaces. Un paquete personalizado es una combinación de esa imagen personalizada y el hardware desde el que se puede lanzar un escritorio de WorkSpaces.

Después de crear una imagen personalizada, puede crear un grupo personalizado que combine la imagen personalizada del escritorio de WorkSpace y la configuración de computación y almacenamiento subyacente que seleccione. A continuación, puede especificar este paquete personalizado cuando lance nuevos escritorios de WorkSpaces para asegurarse de que estos tienen la misma configuración (hardware y software).

Si necesita realizar actualizaciones de software o instalar software adicional en los escritorios de WorkSpaces, puede actualizar el paquete personalizado y utilizarlo para volver a crear los escritorios de WorkSpaces.

Contenido • Crear una imagen y un paquete personalizados de WorkSpaces (p. 155) • Actualizar un paquete de WorkSpaces personalizado (p. 169) • Copiar una imagen personalizada de WorkSpaces (p. 170) • Compartir o dejar de compartir una imagen personalizada de WorkSpaces (p. 172) • Eliminar un paquete o una imagen personalizada de WorkSpaces (p. 173) • Usar sus propias licencias de escritorio de Windows (p. 174)

Crear una imagen y un paquete personalizados de WorkSpaces

Si ha lanzado un escritorio de WorkSpace Spaces de Windows o y lo ha personalizado, puede crear una imagen personalizada y paquetes personalizados a partir de ese escritorio de WorkSpaces.

Después de crear una imagen personalizada, puede crear un paquete personalizado que combine la imagen personalizada y la configuración de computación y almacenamiento subyacente que seleccione. A continuación, puede especificar este paquete personalizado cuando lance nuevos escritorios de WorkSpaces para asegurarse de que estos tienen la misma configuración (hardware y software).

155 Amazon WorkSpaces Guía de administración Requisitos para crear imágenes personalizadas de Windows

Puede utilizar la misma imagen personalizada para crear varios grupos personalizados seleccionando diferentes opciones de computación y almacenamiento para cada grupo. Important

• Si tiene previsto crear una imagen desde un escritorio de WorkSpaces en Windows 10, tenga en cuenta que la creación de imágenes no es compatible con sistemas Windows 10 que se hayan actualizado de una versión de Windows 10 a una versión más reciente de Windows 10 (una actualización de características o versión de Windows). Sin embargo, las actualizaciones acumulativas o de seguridad de Windows son compatibles con el proceso de creación de imágenes de WorkSpaces. • Después del 14 de enero de 2020, no se pueden crear imágenes desde paquetes públicos de Windows 7. Quizá sea buena idea considerar la posibilidad de migrar sus WorkSpaces de Windows 7 a Windows 10. Para obtener más información, consulte Migrar un WorkSpace (p. 149) . • Los paquetes de gráficos y de GraphicsPro no están disponibles actualmente en la región Asia Pacífico (Mumbai).

Los paquetes personalizados cuestan igual que los paquetes públicos desde los que se crean. Para obtener más información acerca de los precios, consultePrecios de Amazon WorkSpaces.

Contenido • Requisitos para crear imágenes personalizadas de Windows (p. 156) • Requisitos para crear imágenes personalizadas de Amazon Linux (p. 157) • Prácticas recomendadas (p. 157) • (Opcional) Paso 1: Especificar un formato de nombre de equipo personalizado para la imagen (p. 158) • Paso 2: Ejecutar el comprobador de imágenes (p. 159) • Paso 3: Cree una imagen personalizada y un paquete personalizado (p. 166) • Qué se incluye con las imágenes personalizadas de Windows WorkSpaces (p. 167) • Qué se incluye con las imágenes personalizadas de Amazon Linux WorkSpace (p. 168)

Requisitos para crear imágenes personalizadas de Windows

• El estado del WorkSpace debe ser Available (Disponible) y su estado de modificación, None (Ninguno). • Todas las aplicaciones y perfiles de usuario de las imágenes de WorkSpaces deben ser compatibles con Microsoft Sysprep. • Todas las aplicaciones que se van a incluir en la imagen deben estar instaladas en la unidad C. • El perfil de usuario debe existir, debe estar ubicado en D:\Users\username y el tamaño total (archivos y datos) debe ser inferior a 10 GB. • La unidad C debe tener al menos 12 GB de espacio disponible. • Todos los servicios de aplicaciones que se ejecuten en el escritorio WorkSpaces deben utilizar una cuenta de sistema local en lugar de las credenciales de usuario de dominio. Por ejemplo, no puede haber una instalación de Microsoft SQL Server Express en ejecución con las credenciales de un usuario del dominio. • El WorkSpace no debe estar cifrado. Actualmente no se admite la creación de imágenes desde un escritorio de WorkSpaces cifrado. • Los siguientes componentes son necesarios en una imagen. Sin estos componentes, los escritorios de WorkSpaces que lance desde la imagen no funcionarán correctamente:

156 Amazon WorkSpaces Guía de administración Requisitos para crear imágenes personalizadas de Amazon Linux

• Windows PowerShell versión 3.0 o posterior • Servicios de Escritorio remoto • AWSControladores PV • Administración remota de Windows (WinRM) • Agentes y controladores de Teradici PCoIP • Agentes y controladores de STXHD • AWSCertificados y WorkSpaces • Agente de Skylight

Requisitos para crear imágenes personalizadas de Amazon Linux

• El estado del WorkSpace debe ser Available (Disponible) y su estado de modificación, None (Ninguno). • Todas las aplicaciones que se incluyen en la imagen deben estar instaladas fuera del volumen de usuario (el directorio /home). • El volumen raíz (/) no puede estar más lleno del 97%. • El WorkSpace no debe estar cifrado. Actualmente no se admite la creación de imágenes desde un escritorio de WorkSpaces cifrado. • Los siguientes componentes son necesarios en una imagen. Sin estos componentes, los escritorios de WorkSpaces que lance desde la imagen no funcionarán correctamente: • Cloud-init • Agentes y controladores de Teradici PCoIP • Agente de Skylight

Prácticas recomendadas

Antes de crear una imagen de WorkSpaces, haga lo siguiente:

• Utilice una VPC independiente que no esté conectada al entorno de producción. • Implemente el escritorio de WorkSpaces en una subred privada y use una instancia NAT para el tráfico saliente. • Utilice un directorio Simple AD pequeño. • Utilice el tamaño de volumen más pequeño para el escritorio de WorkSpaces de origen y, a continuación, ajuste el tamaño del volumen según sea necesario al crear el paquete personalizado. • Instale todas las actualizaciones del sistema operativo (excepto las actualizaciones de características o versiones de Windows) y todas las actualizaciones de aplicaciones en el escritorio de WorkSpaces. Para obtener más información, consulte la nota importante (p. 156) al principio de este tema. • Elimine los datos almacenados en la memoria caché del WorkSpace que no deban incluirse en el paquete (por ejemplo, el historial de navegación, los archivos almacenados en caché y las cookies del navegador). • Elimine los valores de configuración del escritorio de WorkSpaces que no debería incluirse en el paquete (por ejemplo, perfiles de correo electrónico). • Cambie a la configuración de direcciones IP dinámicas que utiliza DHCP. • Asegúrese de que no ha superado la cuota de imágenes de escritorio de WorkSpaces permitidas en una región. De forma predeterminada, se permiten 40 imágenes de escritorio de WorkSpace por región. Si ha alcanzado esta cuota, los nuevos intentos de crear una imagen producirán un error. Para solicitar un aumento de cuota, utilice laFormulario Límites de WorkSpaces S.

157 Amazon WorkSpaces Guía de administración (Opcional) Paso 1: Especificar un formato de nombre de equipo personalizado para la imagen

• Asegúrese de que no intenta crear una imagen desde un escritorio de WorkSpaces cifrado. Actualmente no se admite la creación de imágenes desde un escritorio de WorkSpaces cifrado. • Si ejecuta algún software de antivirus en el escritorio de WorkSpaces, desactívelo mientras intenta crear una imagen. • Si tiene un firewall habilitado en su escritorio de WorkSpaces, asegúrese de que no está bloqueando los puertos necesarios. Para obtener más información, consulte Requisitos de direcciones IP y puertos para WorkSpaces (p. 19) . • Para los escritorios de WorkSpaces de Windows, no configure ningún objeto de política de grupo (GPO) antes de crear la imagen. • Para los escritorios de WorkSpaces de Windows, no personalice el perfil de usuario predeterminado (C:\Users\Default) antes de crear una imagen. Se recomienda realizar personalizaciones en el perfil de usuario a través de los GPO y aplicarlas después de la creación de la imagen. Los GPO se pueden modificar o revertir de manera sencilla y, por lo tanto, son menos propensos a errores que las personalizaciones realizadas en el perfil de usuario predeterminado. • Para los escritorios de WorkSpaces de Linux, consulte también el documento técnico "Prácticas recomendadas para preparar sus imágenes de Amazon WorkSpaces para Linux". • Si desea utilizar tarjetas inteligentes en Linux WorkSpaces con el Protocolo de transmisión de WorkSpaces (WSP) habilitado, consulteUsar tarjetas inteligentes para la autenticación (p. 38)para conocer las personalizaciones que debe realizar en su Linux WorkSpace antes de crear su imagen.

(Opcional) Paso 1: Especificar un formato de nombre de equipo personalizado para la imagen

Para los WorkSpaces iniciados desde las imágenes personalizadas o BYOL (BYOL), puede especificar un prefijo personalizado para el formato de nombre del equipo en lugar de utilizar el comandoFormato de nombre de equipo predeterminado (p. 78). Para especificar un prefijo personalizado, siga el procedimiento adecuado para el tipo de imagen.

Para especificar un formato de nombre de equipo personalizado para imágenes personalizadas

1. En el WorkSpace que está utilizando para crear una imagen personalizada de, abraC:\ProgramData \Amazon\EC2-Windows\Launch\Sysprep\Unattend.xmlen el Bloc de notas u otro editor de texto. Para obtener más información acerca de cómo trabajar con laUnattend.xml, consulteArchivos de respuesta (unattend.xml)en la documentación de Microsoft. Note

Para acceder a la unidad C: desde el Explorador de archivos de Windows en su WorkSpace, escribaC:\en la barra de direcciones. 2. En el navegadorAsegúrese de quese establece en un asterisco (*). Sise establece en cualquier otro valor, la configuración de nombre de equipo personalizada se ignorará. Para obtener más información sobre laConfiguración de, consulteNombre del equipoen la documentación de Microsoft. 3. En el navegadorsección, establezcayPara sus valores preferidos.

Durante Sysprep, los valores que especifique parayse concatenan juntos, y los primeros 7 caracteres de la cadena combinada se utilizan para crear el nombre del equipo. Por ejemplo, si especificaAmazon.com: parayEC2: para, los nombres de los equipos de WorkSpaces creados a partir de su paquete personalizado comenzarán con EC2AMAZ-xxxxxxx.

158 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

Note

LayValores válidos en laSysprep ignora. 4. Guarde los cambios en el archivo Unattend.xml.

Para especificar un formato de nombre de equipo personalizado para las imágenes BYOL

1. OpenC:\Program Files\Amazon\Ec2ConfigService\Sysprep2008.xmlen el Bloc de notas u otro editor de texto. 2. En el navegadorsección, descomentario*y asegúrese de quese establece en un asterisco (*). Sise establece en cualquier otro valor, la configuración de nombre de equipo personalizada se ignorará. Para obtener más información sobre laConfiguración de, consulteNombre del equipoen la documentación de Microsoft. 3. En el navegadorsección, establezcayPara sus valores preferidos.

LayValores válidos en laSysprep ignora. 4. Guarde los cambios en el archivo Sysprep2008.xml.

Paso 2: Ejecutar el comprobador de imágenes Note

El comprobador de imágenes solo está disponible para los escritorios de WorkSpaces de Windows. Si crea una imagen desde los escritorios de WorkSpaces de Linux, vaya a Paso 3: Cree una imagen personalizada y un paquete personalizado (p. 166).

Para confirmar que los escritorios de WorkSpaces de Windows cumplen los requisitos para la creación de imágenes, le recomendamos que ejecute el comprobador de imágenes. El comprobador de imágenes realiza una serie de pruebas en el escritorio de WorkSpaces que desea utilizar para crear la imagen y proporciona orientación sobre cómo resolver cualquier problema que encuentre. Important

• El escritorio de WorkSpaces debe pasar todas las pruebas ejecutadas por el comprobador de imágenes para poder usarlo para la creación de imágenes. • Antes de ejecutar el comprobador de imágenes, compruebe que las actualizaciones acumulativas y de seguridad de Windows más recientes estén instaladas en su escritorio de WorkSpaces. • El Comprobador de imágenes no comprueba el tamaño del perfil de usuario para Windows 10 WorkSpaces. Si tiene un WorkSpace de trabajo de Windows 10, asegúrese de que el tamaño del perfil de usuario sea inferior a 10 GB.

159 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

Para obtener el comprobador de imágenes, realice una de las siguientes acciones:

• Reinicio del WorkSpace (p. 140). El comprobador de imágenes se descarga automáticamente durante el reinicio y se instala en C:\Program Files\Amazon\ImageChecker.exe. • Descargue el comprobador de imágenes de Amazon WorkSpaces desdehttps:// tools.amazonworkspaces.com/ImageChecker.zip y extraiga laImageChecker.exefile. Copie este archivo en C:\Program Files\Amazon\.

Para ejecutar el comprobador de imágenes

1. Abra el archivo C:\Program Files\Amazon\ImageChecker.exe. 2. En el cuadro de diálogo Amazon WorkSpaces Image Checker (Comprobador de imágenes de Amazon WorkSpaces), elija Run (Ejecutar). 3. Tras completarse cada prueba, puede ver el estado de la prueba.

Para cualquier prueba con el estado FAILED (Error), elija Info (Información) para mostrar información sobre cómo resolver el problema que provocó el error. Para obtener más información acerca de cómo resolver estos problemas, consulte Sugerencias para resolver los problemas detectados por el comprobador de imágenes (p. 160).

Si alguna prueba muestra el estado WARNING (Advertencia), elija el botón Fix all Warnings (Solucionar todos los mensajes de advertencia).

La herramienta genera un archivo de registro de salida en el mismo directorio donde está ubicado el comprobador de imágenes. De forma predeterminada, este archivo se encuentra en C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log. Tip

No elimine este archivo de registro. Si se produce un problema, este archivo de registro puede ser útil para solucionar problemas. 4. Si corresponde, resuelva los problemas que causen errores y advertencias de prueba y repita el proceso de ejecución del comprobador de imágenes hasta que el escritorio de WorkSpaces pase todas las pruebas. Todos los errores y advertencias deben resolverse antes de poder crear una imagen. 5. Después de que su escritorio de WorkSpaces supere todas las pruebas, verá el mensaje Validation Successful (Validación exitosa). Ahora está listo para crear un paquete personalizado.

Sugerencias para resolver los problemas detectados por el comprobador de imágenes

Además de consultar las siguientes sugerencias para resolver los problemas detectados por el comprobador de imágenes, asegúrese de revisar el archivo de registro del comprobador de imágenes en C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log.

PowerShell versión 3.0 o posterior debe estar instalado

Instale la versión más reciente de Microsoft Windows PowerShell. Important

La política de ejecución de PowerShell para un escritorio de WorkSpaces debe establecerse para permitir scripts RemoteSigned. Para comprobar la política de ejecución, ejecute el comando de PowerShell Get-ExecutionPolicy. Si la política de ejecución no está establecida en Unrestricted o RemoteSigned, ejecute el comando Set-ExecutionPolicy —ExecutionPolicy RemoteSigned para

160 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

cambiar el valor de la política de ejecución. La configuración RemoteSigned permite la ejecución de scripts en Amazon WorkSpaces, lo que es necesario para crear una imagen. Solo las unidades C y D pueden estar presentes

Solo las unidades C y D pueden estar presentes en un escritorio de WorkSpaces que se utiliza para la creación de imágenes. Elimine todas las demás unidades, incluidas las unidades virtuales. No se puede detectar ningún reinicio pendiente debido a las actualizaciones de Windows

• El proceso Crear imagen no se puede ejecutar hasta que se haya reiniciado Windows para finalizar la instalación de actualizaciones acumulativas o de seguridad. Reinicie Windows para aplicar estas actualizaciones y asegúrese de que no sea necesario instalar otras actualizaciones acumulativas o de seguridad de Windows pendientes. • La creación de imágenes no es compatible con los sistemas de Windows 10 que se han actualizado de una versión de Windows 10 a otra más reciente (una actualización de características o de versión de Windows). Sin embargo, las actualizaciones acumulativas o de seguridad de Windows son compatibles con el proceso de creación de imágenes de WorkSpaces.

El archivo Sysprep debe existir y no puede estar en blanco

Si hay problemas con su archivo Sysprep, póngase en contacto con elAWS SupportCenterPara reparar su EC2Config o EC2Launch. El tamaño del perfil de usuario debe ser inferior a 10 GB

El perfil de usuario (D:\Users\username) debe ser inferior a 10 GB en total. Elimine los archivos según sea necesario para reducir el tamaño del perfil de usuario. La unidad C debe tener suficiente espacio libre

Debe tener al menos 12 GB de espacio libre en la unidad C. Elimine los archivos según sea necesario para liberar espacio en la unidad C. No se puede ejecutar ningún servicio en una cuenta de dominio

Para ejecutar el proceso Crear imagen, no se puede ejecutar ningún servicio en el escritorio de WorkSpaces en una cuenta de dominio. Todos los servicios deben ejecutarse en una cuenta local.

Para ejecutar servicios en una cuenta local

1. Abra C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log y busque la lista de servicios que se ejecutan en una cuenta de dominio. 2. En el cuadro de búsqueda de Windows, escriba services.msc para abrir el Administrador de servicios de Windows. 3. En Iniciar sesión como, busque los servicios que se ejecutan en cuentas de dominio. (Los servicios que se ejecutan como Sistema local, Servicio local o Servicio de red no interfieren con la creación de imágenes). 4. Seleccione un servicio que se esté ejecutando en una cuenta de dominio y, a continuación, elija Acción, Propiedades. 5. Abra la pestaña Iniciar sesión. En Iniciar sesión como, elija Cuenta de sistema local. 6. Seleccione OK.

Amazon WorkSpaces Application Manager (Amazon WAM) debe estar instalado

Si ha utilizado Amazon WAM para asignar aplicaciones a sus usuarios, debeconfigurar el instalador de Amazon WAM en su WorkSpace. Cuando haya terminado, laAmazon WAMAparecerá en el escritorio de WorkSpace.

161 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

El escritorio de WorkSpaces debe estar configurado para utilizar DHCP

Debe configurar todos los adaptadores de red en el escritorio de WorkSpaces para utilizar DHCP en lugar de direcciones IP estáticas.

Para configurar todos los adaptadores de red para utilizar DHCP

1. En el cuadro de búsqueda de Windows, escriba control panel para abrir el Panel de control. 2. Elija Redes e Internet. 3. Elija Centro de redes y recursos compartidos. 4. Elija Cambiar configuración del adaptador y seleccione un adaptador. 5. Elija Cambiar la configuración de esta conexión. 6. En la pestaña Redes seleccione Protocolo de Internet versión 4 (TCP/IPv4) y, a continuación, elija Propiedades. 7. En el cuadro de diálogo Propiedades del Protocolo de Internet versión 4 (TCP/IPv4), seleccione Obtener una dirección IP automáticamente. 8. Seleccione OK. 9. Repita este proceso para todos los adaptadores de red en el escritorio de WorkSpaces.

Los servicios de Escritorio remoto deben estar habilitados

El proceso Crear imagen requiere que los servicios de Escritorio remoto estén habilitados.

Para habilitar Servicios de Escritorio remoto

1. En el cuadro de búsqueda de Windows, escriba services.msc para abrir el Administrador de servicios de Windows. 2. En la columna Nombre, busque Servicios de Escritorio remoto. 3. Seleccione Servicios de Escritorio remoto y, a continuación, elija Acción, Propiedades. 4. En la pestaña General, para Tipo de inicio, elija Manual o Automático. 5. Seleccione OK.

Debe existir un perfil de usuario

El escritorio de WorkSpaces que utiliza para crear imágenes debe tener un perfil de usuario (D:\Users \username). Si esta prueba produce un error, póngase en contacto con laAWS SupportCenterpara obtener ayuda.

La ruta de la variable de entorno debe estar configurada correctamente

La ruta de la variable de entorno para el equipo local carece de entradas para System32 y para Windows PowerShell. Estas entradas son necesarias para que se ejecute Crear imagen.

Para configurar la ruta de la variable de entorno

1. En el cuadro de búsqueda de Windows, escriba environment variables y después elija Editar las variables de entorno del sistema. 2. En el cuadro de diálogo Propiedades del sistema, abra la pestaña Avanzadas y elija Variables de entorno. 3. En el cuadro de diálogo Variables de entorno, en Variables de sistema, seleccione la entrada Ruta y, a continuación, elija Editar. 4. Elija Nueva y agregue la siguiente ruta:

C:\Windows\System32

162 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

5. Vuelva a elegir Nueva y agregue la siguiente ruta:

C:\Windows\System32\WindowsPowerShell\v1.0\ 6. Seleccione OK. 7. Reinicie el escritorio de WorkSpaces. Tip

El orden en que aparecen los elementos en la ruta de la variable de entorno es importante. Para determinar el orden correcto, es posible que desee comparar la ruta de la variable de entorno del escritorio de WorkSpaces con una de una instancia del escritorio de WorkSpaces recién creada o de una nueva instancia de Windows.

El instalador de módulos de Windows debe estar habilitado

El proceso Crear imagen requiere que el servicio Instalador de módulos de Windows esté habilitado.

Para habilitar el servicio Instalador de módulos de Windows

1. En el cuadro de búsqueda de Windows, escriba services.msc para abrir el Administrador de servicios de Windows. 2. En la columna Nombre, busque Instalador de módulos de Windows. 3. Seleccione Instalador de módulos de Windows y, a continuación, elija Acción, Propiedades. 4. En la pestaña General, para Tipo de inicio, elija Manual o Automático. 5. Seleccione OK.

El agente de Amazon SSM debe estar deshabilitado

El proceso Crear imagen requiere que el servicio del agente de Amazon SSM esté deshabilitado.

Para desactivar el servicio del agente de Amazon SSM

1. En el cuadro de búsqueda de Windows, escriba services.msc para abrir el Administrador de servicios de Windows. 2. En la columna Nombre, busque Agente de Amazon SSM. 3. Seleccione Agente de Amazon SSM y, a continuación, elija Acción, Propiedades. 4. En la pestaña General, para Tipo de inicio, elija Deshabilitado. 5. Seleccione OK.

SSL3 y TLS versión 1.2 deben estar habilitados

Para configurar SSL/TLS para Windows, consulte Habilitación de TLS 1.2 en la documentación de Microsoft Windows.

Solo puede existir un perfil de usuario en el escritorio de WorkSpaces

Solo puede haber un perfil de usuario de escritorio de WorkSpaces (D:\Users\username) en el escritorio de WorkSpaces que esté utilizando para crear imágenes. Elimine los perfiles de usuario que no pertenezcan al usuario previsto del escritorio de WorkSpaces.

Para que la creación de imágenes funcione, su escritorio de WorkSpaces solo puede tener tres perfiles de usuario:

• El perfil de usuario del usuario previsto del escritorio de WorkSpaces (D:\Users\username)

163 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

• El perfil de usuario predeterminado (también conocido como perfil predeterminado) • El perfil de usuario administrador

Si hay perfiles de usuario adicionales, puede eliminarlos a través de las propiedades avanzadas del sistema en el Panel de control de Windows.

Para eliminar un perfil de usuario

1. Para acceder a las propiedades avanzadas del sistema, siga uno de estos procedimientos:

• Pulse tecla de Windows+Pausa Inter y, a continuación, elija Configuración avanzada del sistema en el panel izquierdo del cuadro de diálogo Panel de control > Sistema y seguridad > Sistema. • En el cuadro de búsqueda de Windows, escriba control panel. En el Panel de control, elija Sistema y seguridad después elija Sistema y, a continuación, elija Configuración avanzada del sistema en el panel izquierdo del cuadro de diálogo Panel de control > Sistema y seguridad > Sistema. 2. En el cuadro de diálogo Propiedades del sistema, en la pestaña Avanzadas, elija Configuración en Perfiles de usuario. 3. Si se muestra algún perfil distinto del perfil de administrador, el perfil predeterminado y el perfil del usuario del escritorio de WorkSpaces previsto, seleccione ese perfil adicional y elija Eliminar. 4. Cuando se le pregunte si desea eliminar el perfil, elija Sí. 5. Si es necesario, repita los pasos 3 y 4 para eliminar cualquier otro perfil que no pertenezca al escritorio de WorkSpaces. 6. Elija Aceptar dos veces y cierre el Panel de control. 7. Reinicie el escritorio de WorkSpaces.

Ningún paquete de AppX puede estar en un estado por etapas

Uno o más paquetes de AppX están en un estado por etapas. Esto puede provocar un error de Sysprep durante la creación de la imagen.

Para eliminar todos los paquetes de AppX por etapas

1. En el cuadro de búsqueda de Windows, escriba powershell. Elija Ejecutar como administrador. 2. Cuando se le pregunte "¿Desea permitir que esta aplicación realice cambios en su dispositivo?", elija Sí. 3. En la ventana de Windows PowerShell, escriba los siguientes comandos para mostrar todos los paquetes de AppX por etapas y pulse Intro después de cada uno.

$workSpaceUserName = $env:username

$allAppxPackages = Get-AppxPackage -AllUsers

$packages = $allAppxPackages | Where-Object { ` (($_.PackageUserInformation -like "*S-1-5-18*" -and ! ($_.PackageUserInformation -like "*$workSpaceUserName*")) -and ` ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or ` ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and ` $_.PackageUserInformation -like "*Staged*") }

164 Amazon WorkSpaces Guía de administración Paso 2: Ejecutar el comprobador de imágenes

4. Escriba el siguiente comando para eliminar todos los paquetes de AppX por etapas y pulse Intro.

$packages | Remove-AppxPackage -ErrorAction SilentlyContinue

5. Vuelva a ejecutar el comprobador de imágenes. Si esta prueba sigue produciendo un error, escriba los siguientes comandos para eliminar todos los paquetes de AppX y pulse Intro después de cada uno.

Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue

Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue

Windows no se debe haber actualizado desde una versión anterior

La creación de imágenes no se admite en los sistemas de Windows que se han actualizado de una versión de Windows 10 a otra más reciente (una actualización de características o de versión de Windows).

Para crear imágenes, utilice un escritorio de WorkSpaces que no haya sido sometido a una actualización de características o de versión de Windows.

El recuento de rearmados de Windows no debe ser 0

La característica "rearmar" le permite ampliar el periodo de activación de la versión de prueba de Windows. El proceso Crear imagen requiere que el recuento de rearmados sea un valor distinto de 0.

Para comprobar el recuento de rearmados de Windows

1. En el menú Inicio de Windows, elija Sistema de Windows, y, a continuación, elija Símbolo del sistema. 2. En la ventana del símbolo del sistema, escriba el siguiente comando y, a continuación, pulse Intro.

cscript C:\Windows\System32\slmgr.vbs /dlv

Para restablecer el recuento de rearmados en un valor distinto de 0, consulte Ejecutar Sysprep (Generalize) en una instalación de Windows en la documentación de Microsoft Windows.

Otros consejos de solución de problemas

Si su escritorio de WorkSpaces supera todas las pruebas ejecutadas por el comprobador de imágenes, pero aún no puede crear una imagen desde el escritorio de WorkSpaces, compruebe los siguientes problemas:

• Asegúrese de que el escritorio de WorkSpaces no está asignado a un usuario dentro de un grupo Invitados del dominio. Para comprobar si hay alguna cuenta de dominio, ejecute el siguiente comando de PowerShell.

Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "* $env:USERDOMAIN*" }

• Sólo para Windows 7 WorkSpaces: Si se producen problemas mientras se está copiando el perfil de usuario durante la creación de la imagen, compruebe los siguientes problemas: • Las rutas de perfil largas pueden provocar errores de creación de imágenes. Asegúrese de que las rutas de acceso de todas las carpetas dentro del perfil de usuario tienen menos de 261 caracteres. • Asegúrese de conceder permisos completos en la carpeta de perfil al sistema y a todos los paquetes de aplicaciones.

165 Amazon WorkSpaces Guía de administración Paso 3: Cree una imagen personalizada y un paquete personalizado

• Si algún archivo del perfil de usuario está bloqueado por un proceso o se está utilizando durante la creación de la imagen, es posible que se produzca un error al copiar el perfil. • Algunos objetos de política de grupo (GPO) restringen el acceso a la huella digital del certificado RDP cuando lo solicitan el servicio EC2Config o los scripts EC2Launch durante la configuración de la instancia de Windows. Antes de intentar crear una imagen, mueva el escritorio de WorkSpaces a una nueva unidad organizativa (OU) con herencia bloqueada y ningún GPO aplicado. • Asegúrese de que el servicio Administración remota de Windows (WinRM) está configurado para iniciarse automáticamente. Haga lo siguiente: 1. En el cuadro de búsqueda de Windows, escriba services.msc para abrir el Administrador de servicios de Windows. 2. En la columna Nombre, busque Administración remota de Windows (WS-Management). 3. Seleccione Administración remota de Windows (WS-Management) y, a continuación, elija Acción y Propiedades. 4. En la pestaña General, para Tipo de inicio, elija Automático. 5. Seleccione OK.

Paso 3: Cree una imagen personalizada y un paquete personalizado

Después de validar la imagen de escritorio de WorkSpaces, puede continuar con la creación de la imagen personalizada y el paquete personalizado.

Para crear una imagen personalizada y un grupo personalizado

1. Si aún está conectado al escritorio de WorkSpace, desconéctese seleccionandoAmazon WorkSpacesyDesconectarEn la aplicación cliente de WorkSpaces. 2. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 3. En el panel de navegación, seleccione WorkSpaces. 4. Seleccione el WorkSpace y elija Actions, Create Image. Si el estado del WorkSpace esSTOPPED, debe iniciarlo primero (elijaActions,Iniciar WorkSpaces) antes de que pueda elegirActions,Crear imagen. 5. Aparece un mensaje en el que se le pide que reinicie (reinicie) el escritorio de WorkSpace antes de continuar. Al reiniciar el escritorio de WorkSpace paces de Amazon WorkSpaces, se actualiza la versión más reciente.

Reinicie su WorkSpace; para ello, cierre el mensaje y siga los pasos que se indican enReinicio de un espacio de trabajo (p. 140). Cuando haya terminado, repitaStep 4 (p. 166)de este procedimiento, pero esta vez elijaSiguienteCuando aparezca el mensaje de reinicio. Para crear una imagen, el estado del escritorio de WorkSpace debe serAVAILABLEy su estado de modificación debe serNone (Ninguno). 6. Escriba un nombre y una descripción de la imagen que le ayuden a identificarla y, a continuación, elija Create Image (Crear imagen). Mientras se crea la imagen, el estado del escritorio de WorkSpacesSUSPENDEDy el WorkSpace no está disponible. 7. En el panel de navegación, elija Images. La imagen se habrá completado cuando el estado del escritorio de WorkSpaces cambie aDisponible(esto puede tardar hasta 45 minutos). 8. Seleccione la imagen y elijaActions,Crear paquete. Note

Para crear un paquete mediante programación, utilice el métodoCreateWorkspaceBundleAcción de la API. Para obtener más información, consulteCreateWorkspaceBundleen laReferencia de API de Amazon WorkSpaces. 9. Introduzca un nombre y una descripción para el paquete y, a continuación, haga lo siguiente:

166 Amazon WorkSpaces Guía de administración Qué se incluye con las imágenes personalizadas de Windows WorkSpaces

• ParaTipo de hardware de paquetePara ello, elija el hardware que desea utilizar al lanzar el escritorio de WorkSpaces desde este paquete personalizado. • ParaConfiguración de almacenamiento, seleccione una de las combinaciones predeterminadas para el volumen raíz y el tamaño del volumen del usuario, o seleccioneCustom (Personalizado)y, a continuación, escriba valores (hasta 2000 GB) paraTamaño del volumen raízyTamaño del volumen de usuario.

Las combinaciones de tamaño disponibles predeterminadas para el volumen raíz (para Microsoft Windows, elC, para Linux,/) y el volumen de usuario (para Windows, elDunidad; para Linux, /home) son los siguientes: • Raíz: 80 GB, Usuario: 10 GB, 50 GB o 100 GB • Raíz: 175 GB, Usuario: 100 GB • Solo para los escritorios de WorkSpaces de Graphics y Graphics Raíz: 100 GB, Usuario: 100 GB

Puede ampliar los volúmenes raíz y de usuario hasta un máximo de 2000 GB cada uno. Note

Qué se incluye con las imágenes personalizadas de Windows WorkSpaces

Cuando se crea una imagen desde un escritorio de WorkSpaces de Windows 7 o 10, se incluye todo el contenido de la unidad C.

Para los escritorios de WorkSpaces de Windows 10, el perfil de usuario en D:\Users\username no se incluye en la imagen personalizada.

Para los escritorios de WorkSpaces de Windows 7, se incluye todo el contenido del perfil de usuario en D: \Users\username, excepto lo siguiente:

• Contactos • Descargas • Música • Imágenes • Juegos guardados • Vídeos • Podcasts • Máquinas virtuales • .virtualbox

167 Amazon WorkSpaces Guía de administración Qué se incluye con las imágenes personalizadas de Amazon Linux WorkSpace

• Tracing • appdata\local\temp • appdata\roaming\apple computer\mobilesync\ • appdata\roaming\apple computer\logs\ • appdata\roaming\apple computer\itunes\iphone software updates\ • appdata\roaming\macromedia\flash player\macromedia.com\support\flashplayer\sys\ • appdata\roaming\macromedia\flash player\#sharedobjects\ • appdata\roaming\adobe\flash player\assetcache\ • appdata\roaming\microsoft\windows\recent\ • appdata\roaming\microsoft\office\recent\ • appdata\roaming\microsoft office\live meeting • appdata\roaming\microsoft shared\livemeeting shared\ • appdata\roaming\mozilla\firefox\crash reports\ • appdata\roaming\mcafee\common framework\ • appdata\local\microsoft\feeds cache • appdata\local\microsoft\windows\temporary internet files\ • appdata\local\microsoft\windows\history\ • appdata\local\microsoft\internet explorer\domstore\ • appdata\local\microsoft\internet explorer\imagestore\ • appdata\locallow\microsoft\internet explorer\iconcache\ • appdata\locallow\microsoft\internet explorer\domstore\ • appdata\locallow\microsoft\internet explorer\imagestore\ • appdata\local\microsoft\internet explorer\recovery\ • appdata\local\mozilla\firefox\profiles\

Qué se incluye con las imágenes personalizadas de Amazon Linux WorkSpace

Cuando se crea una imagen a partir de un escritorio de Amazon Linux WorkSpace de, se elimina todo el contenido del volumen de usuario (/home). Se incluye el contenido del volumen raíz (/), excepto las siguientes carpetas y claves, que se eliminan:

• /tmp • /var/spool/mail • /var/tmp • /var/lib/dhcp • /var/lib/cloud • /var/cache • /var/backups • /etc/sudoers.d • /etc/udev/rules.d/70-persistent-net.rules • /etc/network/interfaces.d/50-cloud-init.cfg • /etc/security/access.conf • /var/log/amazon/ssm

168 Amazon WorkSpaces Guía de administración Actualizar un paquete personalizado

• /var/log/pcoip-agent • /var/log/skylight • /var/lock/.skylight.domain-join.lock • /var/lib/skylight/domain-join-status • /var/lib/skylight/configuration-data • /var/lib/skylight/config-data.json • /inicio

Las claves siguientes se destruyen durante la creación de la imagen personalizada:

• /etc/ssh/ssh_host_*_key • /etc/ssh/ssh_host_*_key.pub • /var/lib/skylight/tls.* • /var/lib/skylight/private.key • /var/lib/skylight/public.key

Actualizar un paquete de WorkSpaces personalizado

Puede actualizar un paquete de escritorios de WorkSpaces personalizado modificando un escritorio de WorkSpaces basado en el paquete, creando una imagen del escritorio de WorkSpaces y actualizando el paquete con la nueva imagen. Puede lanzar escritorios de WorkSpaces nuevos usando el paquete actualizado. Important

Los WorkSpaces existentes no se actualizan automáticamente al actualizar el paquete en el que se basan. Para actualizar WorkSpaces existentes basados en un paquete que ha actualizado, debe volver a generar los WorkSpaces o eliminarlos y volver a crearlos.

Para actualizar un paquete con la consola

1. Conéctese a un escritorio de WorkSpaces basado en el paquete y realice los cambios que desee. Por ejemplo, puede aplicar las revisiones más recientes del sistema operativo y las aplicaciones, así como instalar otras aplicaciones.

También puede crear un escritorio de WorkSpaces nuevo con el mismo paquete de software de referencia (Plus o Standard) como la imagen utilizada para crear el paquete y hacer cambios. 2. Si aún está conectado al escritorio de WorkSpace, desconéctese seleccionandoAmazon WorkSpacesyDesconectarEn la aplicación cliente de WorkSpaces. 3. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 4. En el panel de navegación, seleccione WorkSpaces. 5. Seleccione el WorkSpace y elija Actions, Create Image. Si el estado del WorkSpace esSTOPPED, debe iniciarlo primero (elijaActions,Iniciar WorkSpaces) antes de que pueda elegirActions,Crear imagen. 6. Escriba un nombre y una descripción para la imagen y, a continuación, elija Create Image (Crear imagen). El escritorio de WorkSpaces no está disponible mientras se crea la imagen. Para obtener información detallada sobre el proceso de creación de imágenes, consulteCrear una imagen y un paquete personalizados de WorkSpaces (p. 155). 7. En el panel de navegación, elija Bundles.

169 Amazon WorkSpaces Guía de administración Copiar una imagen personalizada

8. Elija el paquete para abrir su página de detalles y, a continuación, enImagen de origen, elijaEditar. 9. En la páginaActualización de la imagen de origenSeleccione la imagen que ha creado y elijaPaquete de actualización. 10. Según sea necesario, actualice los WorkSpaces existentes que se basen en el paquete volviéndolos a generar o elimínelos y vuelva a crearlos. Para obtener más información, consulte Reconstrucción de un espacio de trabajo (p. 141) .

Para actualizar un paquete mediante programación

Para actualizar un paquete mediante programación, utilice laUpdateWorkspaceBundleAcción de la API. Para obtener más información, consulteUpdateWorkspaceBundleen laReferencia de API de Amazon WorkSpaces.

Copiar una imagen personalizada de WorkSpaces

Puede copiar una imagen personalizada de WorkSpaces dentro o entreAWSRegiones de. La copia de una imagen produce una imagen idéntica con su propio identificador único.

Puede copiar una imagen Bring Your Own License (BYOL) en otra región siempre que la región de destino esté habilitada para BYOL. Note

En la región China (Ningxia), sólo puede copiar imágenes dentro de la misma región. En el navegadorAWSRegión GovCloud (EE.UU. Oeste), para copiar imágenes desde y hacia otrosAWSRegiones de, contactar conAWSSupport.

También puede copiar una imagen que ha compartido con ustedAWSaccount. Para obtener más información acerca de las imágenes compartidas, consulteCompartir o dejar de compartir una imagen personalizada de WorkSpaces (p. 172).

No se aplican cargos adicionales por copiar una imagen de una región a otra. Sin embargo, se aplica la cuota del número de imágenes en la región de destino. Para obtener más información acerca de las cuotas de Amazon WorkSpaces, consulteCuotas de Amazon WorkSpaces (p. 246).

Permisos de IAM para copiar una imagen

Si utiliza un usuario de IAM para copiar una imagen, dicho usuario debe tener permisos paraworkspaces:DescribeWorkspaceImagesyworkspaces:CopyWorkspaceImage.

La siguiente política de ejemplo permite al usuario copiar la imagen especificada en la cuenta especificada de la región especificada.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:DescribeWorkspaceImages", "workspaces:CopyWorkspaceImage" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg" ] } ]

170 Amazon WorkSpaces Guía de administración Copiar una imagen personalizada

}

Important

Si está creando una directiva de IAM para copiar imágenes compartidas para cuentas que no son propietarias de las imágenes, no puede especificar un ID de cuenta en el ARN. En su lugar, debe usar*Para obtener el ID de la cuenta, tal y como se muestra en la siguiente política de ejemplo de.

Puede especificar un ID de cuenta en el ARN solo cuando esa cuenta posee las imágenes que se van a copiar.

Para obtener más información acerca de cómo trabajar con IAM, consulteAdministración de identidades y accesos para WorkSpaces (p. 213).

Crear imágenes de copia de

Puede copiar imágenes una por una mediante la consola. Para copiar imágenes de forma masiva, utilice la herramientaCopyWorkspaceImageOperación API o lacopy-workspace-imageComando de laAWS Command Line Interface(AWS CLI). Para obtener más información, consulteCopyWorkspaceImageen laReferencia de API de Amazon WorkSpaceso consultecopiar-espacio de trabajoen laAWS CLIReferencia de los comandos de la. Important

Antes de copiar una imagen compartida, asegúrese de verificar que se ha compartido desde elAWSaccount. Para determinar si se ha compartido una imagen y ver laAWSEl ID de la cuenta que posee una imagen, utilice laDescribeWorkspaceImagesyDescribeWorkspaceImagePermisosOperaciones de la API o ladescribe-workspace imagesydescribe-workspace-image-permissionsComandos de en laAWS CLI.

Para copiar una imagen con la consola

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Images. 3. Seleccione la imagen y elijaActions,Copiar imagen. 4. ParaSeleccionar destino, seleccione la casillaAWSRegión en la que desea copiar la imagen. 5. ParaNombre de la copiaIntroduzca el nuevo nombre para la imagen copiada yDescripciónIntroduzca una descripción para la imagen copiada. 6. (Opcional) EnTags (Etiquetas):Introduzca las etiquetas para la imagen copiada. Para obtener más información, consulte Etiquetar recursos WorkSpaces (p. 130) .

171 Amazon WorkSpaces Guía de administración Compartir o dejar de compartir una imagen personalizada

7. SeleccionarCopiar imagen.

Compartir o dejar de compartir una imagen personalizada de WorkSpaces

Puede compartir imágenes de WorkSpaces personalizadas entre cuentas de AWS en la misma región de AWS. Después de compartir una imagen, la cuenta del destinatario puede copiar la imagen en otras regiones de AWS según sea necesario. Para obtener más información acerca de cómo copiar imágenes, consulteCopiar una imagen personalizada de WorkSpaces (p. 170). Note

No se aplican cargos adicionales por compartir una imagen. Sin embargo, la cuota del número de imágenes en laAWSSe aplica la región. Una imagen compartida no cuenta en la cuota de la cuenta del destinatario hasta que el destinatario copia la imagen. Para obtener más información acerca de las cuotas de Amazon WorkSpaces, consulteCuotas de Amazon WorkSpaces (p. 246).

Para eliminar una imagen compartida, debe dejar de compartir la imagen antes de poder eliminarla.

Comparta imágenes de Bring Your Own

Solo puede compartir imágenes de Bring Your Own License (BYOL) conAWSque están habilitadas para BYOL. La cuenta de AWS con la que desea compartir imágenes BYOL también debe formar parte de su organización (en la misma cuenta de pagador). Note

Compartir imágenes BYOL a través deAWSActualmente no se admite en laAWSRegión GovCloud (EE.UU. Oeste). Para compartir imágenes BYOL entre cuentas en elAWSRegión GovCloud (EE.UU. Oeste), póngase en contacto conAWSSupport.

Imágenes compartidas contigo

Si las imágenes se comparten con usted, puede copiarlas. A continuación, puede usar las copias de las imágenes compartidas para crear paquetes para lanzar nuevos escritorios de WorkSpaces. Important

Antes de copiar una imagen compartida, asegúrese de verificar que se ha compartido desde elAWSaccount. Para determinar mediante programación si una imagen se ha compartido, utilice la herramientaDescribeWorkspaceImagesyDescribeWorkspaceImagePermisosOperaciones de la API o ladescribe-workspace imagesydescribe-workspace-image-permissionsComandos de en laAWSInterfaz de línea de comandos (CLI).

La fecha de creación que se muestra para una imagen que se ha compartido con usted es la fecha en que se creó originalmente la imagen, no la fecha en que la imagen se compartió con usted.

Si se ha compartido una imagen con usted, no puede compartir esa imagen con otras cuentas.

Para compartir una imagen

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/.

172 Amazon WorkSpaces Guía de administración Para eliminar un paquete o imagen personalizados

2. En el panel de navegación, elija Images. 3. Elija la imagen para abrir su página de detalles. 4. En la página de detalles de la imagen, en elCuentas compartidassección de, elijaAgregar cuenta. 5. En la páginaAgregar cuentapágina, enAñadir cuenta con la que compartirPara ello, escriba el ID de la cuenta de con la que desea compartir la imagen. Important

Antes de compartir la imagen, confirme que comparte con laAWSID de la cuenta de. 6. SeleccionarCompartir imagen. Note

Para usar la imagen compartida, la cuenta del destinatario debe primeroCopiar la imagen (p. 170). La cuenta del destinatario puede usar su copia de la imagen compartida para crear paquetes para lanzar nuevos escritorios de WorkSpaces.

Para detener el uso compartido de una imagen

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Images. 3. Elija la imagen para abrir su página de detalles. 4. En la página de detalles de la imagen, en elCuentas compartidas, seleccione la casilla de verificaciónAWSCon la que desea dejar de compartir y, a continuación, elijaDejar de compartir. 5. Cuando se le pida confirmar que no comparte la imagen, elijaDejar de compartir. Note

Si desea eliminar la imagen después de dejar de compartirla, primero debe dejar de compartirla de todas las cuentas con las que se ha compartido.

Después de dejar de compartir una imagen, la cuenta del destinatario no puede hacer copias de la imagen. Sin embargo, las copias de imágenes compartidas que ya están en la cuenta del destinatario permanecen en esa cuenta y los nuevos escritorios de WorkSpaces se pueden lanzar desde esas copias.

Para compartir o dejar de compartir imágenes mediante programación

Para compartir o dejar de compartir imágenes mediante programación, utilice la herramientaUpdateWorkspaceImagePermissionOperación API o laupdate-espacio de trabajo imagen- permiso AWS Command Line Interface(AWS CLI). Para determinar si se ha compartido una imagen, utilice la herramientaDescribeWorkspaceImagePermisosOperación de la API o ladescribe-workspace-image- permissionsComando de la CLI.

Eliminar un paquete o una imagen personalizada de WorkSpaces

Puede eliminar paquetes personalizados o imágenes personalizadas que no utilice según lo necesite. Eliminar un paquete

Para eliminar un paquete, primero debe eliminar todos los escritorios de WorkSpaces que se basan en el paquete.

173 Amazon WorkSpaces Guía de administración Elimina una imagen.

Para eliminar un paquete con la consola

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Bundles. 3. Seleccione el paquete y elijaEliminar. 4. Cuando se le pida confirmación, seleccione Delete (Eliminar).

Para eliminar un paquete mediante programación

Para eliminar un paquete mediante programación, utilice laDeleteWorkspaceBundleAcción de la API. Para obtener más información, consulteDeleteWorkspaceBundleen laReferencia de API de Amazon WorkSpaces. Elimina una imagen.

Después de eliminar un paquete personalizado, puede eliminar la imagen que usó para crearlo o actualizarlo.

Para eliminar una imagen, primero debe eliminar los paquetes asociados a la imagen o actualizar esos paquetes para poder usar otra imagen de origen. También debe dejar de compartir la imagen si se comparte con otras cuentas. La imagen tampoco puede estar en laPendienteorValidaciónestado.

Para eliminar una imagen con la consola

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Images. 3. Seleccione la imagen y elijaEliminar. 4. Cuando se le pida confirmación, seleccione Delete (Eliminar).

Para eliminar una imagen mediante programación

Para eliminar una imagen mediante programación, utilice laDeleteWorkspaceImageAcción de la API. Para obtener más información, consulteDeleteWorkspaceImageen laReferencia de API de Amazon WorkSpaces.

Usar sus propias licencias de escritorio de Windows

Si su acuerdo de licencia con Microsoft lo permite, puede utilizar las licencias de escritorio de Windows 10 Enterprise o Windows 10 Pro para los escritorios de WorkSpaces. Para ello, debe traer su propia licencia (BYOL) y proporcionar una licencia de Windows 10 que cumpla con los siguientes requisitos. Para obtener más información acerca del uso del software de Microsoft enAWS, consulteAmazon Web Services y Microsoft.

Para cumplir con los términos de licencia de Microsoft, AWS ejecuta BYOL WorkSpaces en un hardware dedicado a usted en la nube de AWS. Si trae su licencia, podrá ofrecer una experiencia uniforme a los usuarios. Para obtener más información, consultePrecios de WorkSpaces. Important

La creación de imágenes no es compatible con los sistemas de Windows 10 que se han actualizado de una versión de Windows 10 a otra más reciente (una actualización de

174 Amazon WorkSpaces Guía de administración Requirements

características o de versión de Windows). Sin embargo, las actualizaciones acumulativas o de seguridad de Windows son compatibles con el proceso de creación de imágenes de WorkSpaces.

Contenido • Requirements (p. 175) • Versiones de Windows compatibles con BYOL (p. 176) • Agregar Microsoft Office a su imagen BYOL (p. 177) • Paso 1: Compruebe la idoneidad de su cuenta para BYOL mediante la consola de Amazon WorkSpaces (p. 180) • Paso 2: Habilitar BYOL para su cuenta para BYOL mediante la consola de Amazon WorkSpaces (p. 181) • Paso 3: Ejecutar el script de PowerShell de comprobador de BYOL en una máquina virtual Windows (p. 182) • Paso 4: Exportar la máquina virtual desde su entorno de virtualización (p. 183) • Paso 5: Importe la máquina virtual como imagen en Amazon EC2 (p. 184) • Paso 6: Crear una imagen BYOL con la consola WorkSpaces (p. 184) • Paso 7: Cree un paquete personalizado a partir de la imagen de BYOL (p. 185) • Paso 8: Registrar un directorio dedicado para WorkSpaces (p. 185) • Paso 9: Inicie su BYOL WorkSpaces (p. 186)

Requirements

Antes de comenzar, verifique lo siguiente:

• El acuerdo de licencia de Microsoft permite que Windows se ejecute en un entorno de alojamiento virtual. • Si va a utilizar paquetes no habilitados para GPU (paquetes distintos de Graphics y GraphicsPro), compruebe que va a utilizar un mínimo de 200 escritorios de WorkSpaces por región. Estos 200 escritorios de WorkSpaces pueden ser cualquier combinación de AlwaysOn y AutoStop. Utilizar un mínimo de 200 escritorios de WorkSpaces por región es un requisito para ejecutar WorkSpaces en un hardware dedicado. Es obligatorio ejecutar WorkSpaces en un hardware dedicado para cumplir con los requisitos de las licencias de Microsoft. El hardware dedicado se aprovisiona en elAWSPara que su VPC pueda permanecer en el contrato de arrendamiento predeterminado.

Si tiene previsto usar grupos habilitados para GPU (Graphics y GraphicsPro), verifique que va a ejecutar un mínimo de 4 escritorios de WorkSpaces habilitados para GPU del tipo AlwaysOn o 20 del tipo AutoStop en una región al mes en hardware dedicado. Note

• Los paquetes de gráficos y GraphicsPRO sólo se pueden crear para el protocolo PCoIP en este momento. • En este momento, los paquetes de Graphics y GraphicsPro no están disponibles en la región Asia-Pacífico (Mumbai). • WorkSpaces puede usar una interfaz de administración en el rango de direcciones IP /16. La interfaz de administración está conectada a una red de administración segura de WorkSpaces que se utiliza para realizar streaming interactivo. Esto permite a WorkSpaces a administrar los WorkSpaces. Para obtener más información, consulte Interfaces de red (p. 31) . Para este fin, debe reservar una máscara de red /16 en al menos uno de los siguientes intervalos de direcciones IP: • 10.0.0.0/8 • 100.64.0.0/10 • 172.16.0.0/12

175 Amazon WorkSpaces Guía de administración Versiones de Windows compatibles con BYOL

• 192.168.0.0/16 • 198.18.0.0/15 Note

• A medida que adopta el servicio WorkSpaces, los intervalos de direcciones IP disponibles en la interfaz de administración cambian con frecuencia. Para determinar qué intervalos están disponibles actualmente, ejecute lalist-available-management-cidr-rangos AWS Command Line Interface(AWS CLI). • Además del bloque /16 CIDR que seleccione, el rango de direcciones IP 54.239.224.0/20 se utiliza para el tráfico de interfaz de administración en todos losAWSRegiones. • Asegúrese de haber abierto los puertos de interfaz de administración necesarios para la activación de Microsoft Windows y Microsoft Office KMS para BYOL WorkSpaces. Para obtener más información, consulte Puertos de interfaces de administración (p. 33) . • Tiene una máquina virtual (VM) que ejecuta una versión de 64 bits compatible de Windows. Para obtener una lista de versiones compatibles, consulte la siguiente sección de este tema, Versiones de Windows compatibles con BYOL (p. 176). La máquina virtual también debe cumplir los requisitos siguientes: • El sistema operativo Windows debe activarse en los servidores de administración clave. • El sistema operativo Windows debe tener English (United States) [Inglés (Estados Unidos)] como idioma principal. • No se puede instalar en la máquina virtual ningún software más allá de lo que se incluye con Windows. Puede agregar software adicional, como una solución antivirus, al crear una imagen personalizada más adelante. • No personalice el perfil de usuario predeterminado (C:\Users\Default) ni realice otras personalizaciones antes de crear una imagen. Todas las personalizaciones deben realizarse después de la creación de la imagen. Se recomienda realizar cualquier personalización en el perfil de usuario a través de objetos de política de grupo (GPO) y aplicarlos después de la creación de la imagen. Esto se debe a que las personalizaciones realizadas a través de los GPO se pueden modificar o revertir de forma sencilla y son menos propensas a errores que las personalizaciones realizadas en el perfil de usuario predeterminado. • Debe crear una cuenta WorkSpaces_BYOL con acceso de administrador local antes de compartir la imagen. La contraseña de esta cuenta puede ser necesaria más adelante, así que anótela. • La máquina virtual debe estar en un solo volumen con un tamaño máximo de 70 GB y al menos 10 GB de espacio libre. Si también planea suscribirse a Microsoft Office para obtener su imagen BYOL, la máquina virtual debe estar en un solo volumen con un tamaño máximo de 70 GB y al menos 20 GB de espacio libre. • La máquina virtual debe ejecutar Windows PowerShell versión 4 o posterior. • Asegúrese de haber instalado los parches (revisiones) más recientes de Microsoft Windows antes de ejecutar la secuencia de comandos de comprobador de BYOL enPaso 3: Ejecutar el script de PowerShell de comprobador de BYOL en una máquina virtual Windows (p. 182).

Note

Para BYOL AutoStop WorkSpaces, un gran número de inicios de sesión simultáneos podría aumentar considerablemente el tiempo de disponibilidad de WorkSpaces. Si espera que muchos usuarios inicien sesión en su BYOL AutoStop WorkSpaces al mismo tiempo, consulte a su administrador de cuentas para obtener asesoramiento. Versiones de Windows compatibles con BYOL

Su máquina virtual debe ejecutar una de las siguientes versiones de Windows:

• Windows 10 versión 1809 (actualización de octubre de 2018)

176 Amazon WorkSpaces Guía de administración Agregar Microsoft Office a su imagen BYOL

• Windows 10 versión 1903 (actualización de mayo de 2019) • Windows 10 versión 1909 (actualización de noviembre de 2019) • Windows 10 versión 2004 (actualización de mayo de 2020) • Windows 10 versión 20H2 (actualización de octubre de 2020)

Todas las versiones de SO compatibles admiten todos los tipos de computación disponibles en laAWSRegión en la que está utilizando WorkSpaces. No se garantiza el funcionamiento de las versiones de Windows a las que Microsoft ya no ofrece soporte. Estas versiones no son compatibles conAWSSupport. Note

Las versiones de Windows 10 N no son compatibles con BYOL en este momento. Agregar Microsoft Office a su imagen BYOL

Durante el proceso de ingestión de imágenes BYOL, si está utilizando Windows 10, tiene la opción de suscribirse a Microsoft Office Professional 2016 (32 bits) o 2019 (64 bits) a través deAWS. Si elige esta opción, Office está preinstalado en la imagen BYOL y se incluye en cualquier WorkSpaces que inicie desde esta imagen.

Si decide suscribirse a Office a través deAWS, se aplicarán cargos adicionales. Para obtener más información, consultePrecios de WorkSpaces. Important

• Si Microsoft Office ya está instalado en la máquina virtual que está utilizando para crear la imagen BYOL, debe desinstalarla de la máquina virtual si desea suscribirse a Office a través deAWS. • Si planea suscribirse a Office a través deAWS, asegúrese de que la máquina virtual tenga al menos 20 GB de espacio libre en disco.

Si decide suscribirse a Office, el proceso de ingestión de imágenes BYOL tarda un mínimo de 3 horas.

Para obtener más información sobre cómo suscribirse a Office durante el proceso de ingestión de BYOL, consultePaso 6: Crear una imagen BYOL con la consola WorkSpaces (p. 184).

Configuración del idioma de Office

Elegimos el idioma utilizado para su suscripción a Office en función de laAWSRegión en la que está realizando su ingestión de imágenes BYOL. Por ejemplo, si está realizando la ingestión de imágenes BYOL en la región de Asia Pacífico (Tokio), su suscripción a Office tiene el japonés como idioma.

De forma predeterminada, instalamos varios paquetes de idioma de Office utilizados con frecuencia en sus WorkSpaces. Si el paquete de idioma que desea no está instalado, puede descargar paquetes de idioma adicionales de Microsoft. Para obtener más información, consultePaquete de accesorios de idioma para Officeen la documentación de Microsoft.

Para cambiar el idioma de Office, dispone de varias opciones: Opción 1: Permitir que los usuarios individuales personalicen su configuración de idioma de Office

Los usuarios individuales pueden ajustar la configuración de idioma de Office en sus WorkSpaces. Para obtener más información, consulteAgregar un idioma de edición o creación o establecer preferencias de idioma en Officeen la documentación de Microsoft.

177 Amazon WorkSpaces Guía de administración Agregar Microsoft Office a su imagen BYOL

Opción 2: Utilice plantillas administrativas de GPO (.admx/.adml) para aplicar la configuración predeterminada de idioma de Office para todos los usuarios de WorkSpaces

Puede utilizar la configuración de Objeto de directiva de grupo (GPO) para aplicar la configuración predeterminada de idioma de Office para los usuarios de WorkSpaces. Note

Los usuarios de WorkSpaces no podrán anular la configuración de idioma aplicada a través de GPO.

Para obtener más información acerca del uso de GPO para establecer el idioma de Office, consultePersonalizar la configuración de idioma y la configuración de Officeen la documentación de Microsoft. Office 2016 y Office 2019 usan la misma configuración de GPO (etiquetada con Office 2016).

Para trabajar con GPO, debe instalar las herramientas de administración de Active Directory. Para obtener información sobre el uso de las herramientas de administración de Active Directory para trabajar con GPO, consulte Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75).

Antes de configurar las opciones de directiva de Office 2016 u Office 2019, debe descargar elArchivos de plantilla administrativa (.admx/.adml) para OfficeDesde el Centro de descarga de Microsoft. Después de descargar los archivos de plantilla administrativa, debe agregar eloffice16.admxyoffice16.admlen el almacén central del controlador de dominio para el directorio de WorkSpaces. (Eloffice16.admxyoffice16.admlse aplican a Office 2016 y Office 2019.) Para obtener más información acerca de cómo trabajar con.admxy.admlarchivos, consulteCómo crear y administrar el almacén central para plantillas administrativas de directiva de grupo en Windowsen la documentación de Microsoft.

En el siguiente procedimiento se describe cómo crear el almacén central y agregarle los archivos de plantilla administrativa. Realice el siguiente procedimiento en una instancia de Amazon EC2 o un WorkSpace de administración de directorios que esté unido al directorio de WorkSpaces.

Para instalar los archivos de plantilla administrativa de política de grupo para Office

1. Descarga deArchivos de plantilla administrativa (.admx/.adml) para OfficeDesde el Centro de descarga de Microsoft. 2. En una instancia de Amazon EC2 o un WorkSpace de administración de directorios unido al directorio de WorkSpaces, abra el Explorador de archivos de Windows y, en la barra de direcciones, escriba el nombre de dominio completo (FQDN) de su organización, como\\example.com. 3. Abra la carpeta SYSVOL. 4. Abra la carpeta con elFQDNNombre. 5. Abra la carpeta Policies. Ahora debería estar en\\FQDN\SYSVOL\FQDN\Policies. 6. Si no existe todavía, cree una carpeta con el nombre dePolicyDefinitions. 7. Abra la carpeta PolicyDefinitions. 8. Copie eloffice16.admxen el archivo\\FQDN\SYSVOL\FQDN\Policies \PolicyDefinitionsfolder. 9. Cree una carpeta denominadaen-USen laPolicyDefinitionsfolder. 10. Abra la carpeta en-US. 11. Copie eloffice16.admlen el archivo\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions \en-USfolder.

Para configurar la configuración de idioma del GPO para Office

1. En la instancia de WorkSpace o Amazon EC2 de administración de directorios que esté unido al directorio de WorkSpaces, abra la herramienta Administración de políticas de grupo (gpmc.msc).

178 Amazon WorkSpaces Guía de administración Agregar Microsoft Office a su imagen BYOL

2. Expanda el bosque (Bosque:FQDN). 3. ExpandaDominios de. 4. Expanda su FQDN (por ejemplo,example.com). 5. Seleccione su FQDN, abra el menú contextual (haga clic con el botón derecho) o abra laAccióny elijaCrear un GPO en este dominio y vincularlo aquí. 6. Asigne un nombre a su GPO (por ejemplo,Office). 7. Seleccione su GPO, abra el menú contextual (haga clic con el botón derecho) o abra laAccióny elijaEditar. 8. En el editor de administración de políticas de grupo, elijaConfiguración del usuario,Políticas,Definiciones de directiva de plantilla administrativa (archivos ADMX) recuperadas del equipo local,Microsoft Office 2016, yPreferencias de idioma. Note

Office 2016 y Office 2019 usan la misma configuración de GPO (etiquetada con Office 2016). Si no veDefiniciones de directiva de plantilla administrativa (archivos ADMX) recuperadas del equipo localUNDERConfiguración del usuario,Políticas, eloffice16.admxyoffice16.admlno están instalados correctamente en el controlador de dominio. 9. UNDERPreferencias de idioma, especifique el idioma que desee para los ajustes siguientes. Asegúrese de fijar cada ajuste en.Enabled (Habilitado)y después, enOpciones, seleccione el idioma que desee. SeleccionarOKpara guardar cada configuración.

• Idioma de visualización >Mostrar ayuda en • Idioma de visualización >Mostrar menús y cuadros de diálogo en • Edición de idiomas >Idioma de edición principal 10. Cierre la herramienta de administración de políticas de grupo cuando haya terminado. 11. Los cambios de configuración de la opción Directiva de grupo surtirán efecto cuando vuelva a actualizarse la política de grupo de WorkSpace y después de reiniciar la sesión de WorkSpace. Para aplicar los cambios de la directiva de grupo, realice una de las siguientes acciones:

• Reinicie el WorkSpace (en la consola de Amazon WorkSpaces, seleccione el WorkSpace y, a continuación, elijaActions,Reboot WorkSpaces). • En el símbolo del sistema administrativo, introduzca gpupdate /force.

Opción 3: Actualizar la configuración del Registro de idioma de Office en WorkSpaces

Para establecer la configuración de idioma de Office a través del Registro, actualice la siguiente configuración del Registro:

• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Office\ 16.0\ Common\ LanguageSources\ UILanguage • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Office\ 16.0\ Common\ LanguageSources\ HelpGuage

Para esta configuración, agregue un valor de clave DWORD con el Id. de configuración regional (LCID) correspondiente de Office. Por ejemplo, el LCID para inglés (US) es 1033. Dado que los LCID son valores decimales, debe establecer la propiedadBasepara el valor DWORD aDecimal. Para obtener una lista de los LCID de Office, consulteIdentificadores de idioma y valores de Id. de OptionState en Office 2016en la documentación de Microsoft.

179 Amazon WorkSpaces Guía de administración Paso 1: Compruebe la idoneidad de su cuenta para BYOL mediante la consola de Amazon WorkSpaces

Puede aplicar esta configuración del Registro a sus WorkSpaces mediante la configuración de GPO o una secuencia de comandos de inicio de sesión.

Para obtener más información acerca del uso de la configuración de idioma de Office, consultePersonalizar la configuración de idioma y la configuración de Officeen la documentación de Microsoft.

Agregar Office a sus WorkSpaces existentes

También puede añadir una suscripción a Office a sus escritorios de WorkSpaces existentes. Después de crear un paquete BYOL con Office instalado, puede usar la característica de migración de WorkSpaces para migrar sus WorkSpaces existentes al paquete BYOL suscrito a Office. Para obtener más información, consulte Migrar un WorkSpace (p. 149) .

Migrar entre versiones de Microsoft Office

Para migrar de Office 2016 a Office 2019 o de Office 2019 a Office 2016, debe crear un paquete BYOL suscrito a la versión de Office a la que desea migrar. A continuación, utilice la característica de migración de WorkSpaces para migrar los WorkSpaces existentes que están suscritos a Office al paquete BYOL suscrito a la versión de Office a la que desea migrar.

Por ejemplo, para migrar de Office 2016 a Office 2019, cree un paquete BYOL suscrito a Office 2019. A continuación, utilice la característica de migración de WorkSpaces para migrar los WorkSpaces existentes que están suscritos a Office 2016 al paquete BYOL suscrito a Office 2019.

Para obtener más información acerca del proceso de migración, consulteMigrar un WorkSpace (p. 149).

Cancelar la suscripción de Office

Para cancelar la suscripción de Office, debe crear un paquete BYOL que no esté suscrito a Office. A continuación, utilice la característica de migración de WorkSpaces para migrar sus WorkSpaces existentes al paquete BYOL que no está suscrito a Office. Para obtener más información, consulte Migrar un WorkSpace (p. 149) .

Actualizaciones de Office

Si se ha suscrito a Office a través deAWS, las actualizaciones de Office se incluyen como parte de las actualizaciones habituales de Windows. Para mantenerse al día en todos los parches y actualizaciones de seguridad, le recomendamos que actualice periódicamente sus imágenes base BYOL. Paso 1: Compruebe la idoneidad de su cuenta para BYOL mediante la consola de Amazon WorkSpaces

Antes de que pueda habilitar su cuenta para BYOL, debe pasar por un proceso de verificación para confirmar su elegibilidad para BYOL. Hasta que pase por este proceso, elHabilitar BYOLno estará disponible en la consola de Amazon WorkSpaces. Note

El proceso de verificación tarda al menos un día laborable y puede tardar más si desea vincular dos o más habilitados para BYOLAWSpara que utilicen el mismo hardware subyacente.

Para comprobar la idoneidad de su cuenta para BYOL mediante la consola de Amazon WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elijaConfiguración de cuentay después, enBring-Your-Own-License (BYOL), elijaVer la configuración de BYOL de WorkSpaces. Si su cuenta no cumple actualmente los

180 Amazon WorkSpaces Guía de administración Paso 2: Habilitar BYOL para su cuenta para BYOL mediante la consola de Amazon WorkSpaces

requisitos de BYOL, un mensaje proporciona orientación sobre los siguientes pasos. Para comenzar a trabajar, contacte con suAWSgerente de cuenta o representante de ventas, o póngase en contacto con elAWS SupportCenter. Su contacto verificará su elegibilidad para BYOL.

Para determinar su elegibilidad para BYOL, su contacto necesitará cierta información de usted. Por ejemplo, puede que se le pida que responda a las preguntas siguientes.

• ¿Ha revisado y aceptado elRequisitos de BYOL (p. 175)¿Lista anterior? • En el queAWS¿Necesitas activar tu cuenta para BYOL? • ¿Cuántos WorkSpaces BYOL planea implementar porAWS¿Región? • ¿Cuál es tu plan de ascenso? • ¿Está comprando WorkSpaces a un distribuidor? • ¿Qué tipos de paquetes necesita para BYOL? • ¿Tiene su organización alguna otraAWScuentas habilitadas para BYOL en la misma región? En caso afirmativo, ¿desea vincular estas cuentas para que utilicen el mismo hardware subyacente?

Si las cuentas están vinculadas, el número total de WorkSpaces implementados en estas cuentas se agrega para determinar su elegibilidad para BYOL. Tenga en cuenta que la vinculación de las cuentas llevará más tiempo. Si quieres vincular las cuentas, prepárate para proporcionar los números de cuenta a tu contacto. 3. Una vez confirmada su aptitud para BYOL, puede continuar con el siguiente paso, en el que habilita BYOL para su cuenta en la consola de Amazon WorkSpaces.

Paso 2: Habilitar BYOL para su cuenta para BYOL mediante la consola de Amazon WorkSpaces

Para habilitar BYOL para su cuenta, debe especificar una interfaz de red de administración. Esta interfaz está conectada a una red de administración segura de Amazon WorkSpaces. Se utiliza para la transmisión interactiva del escritorio de WorkSpace a los clientes de Amazon WorkSpaces y permitir a Amazon WorkSpaces administrar el WorkSpace. Note

Los pasos de este procedimiento para habilitar BYOL para su cuenta solo deben llevarse a cabo una vez por cuenta y por región.

Para habilitar BYOL para su cuenta mediante la consola de Amazon WorkSpaces

Si no ve elHabilitar BYOLEsto significa que su cuenta no cumple actualmente los requisitos de BYOL. Para obtener más información, consulte Paso 1: Compruebe la idoneidad de su cuenta para BYOL mediante la consola de Amazon WorkSpaces (p. 180) . 4. En Bring Your Own License (BYOL) (Traiga su propia licencia), en el área Management network interface IP address range (Rango de direcciones IP de interfaz de red de administración), elija un rango de direcciones IP y, a continuación, elija Display available CIDR blocks (Mostrar bloques de CIDR disponibles).

En Amazon WorkSpaces busca y muestra rangos de direcciones IP disponibles como bloques IPv4 Classless Inter-Domain Routing (CIDR), dentro del intervalo que especifique. Si requiere un rango de direcciones IP específico, puede editar el rango de búsqueda.

181 Amazon WorkSpaces Guía de administración Paso 3: Ejecutar el script de PowerShell de comprobador de BYOL en una máquina virtual Windows

Important

Después de especificar un intevalo de direcciones IP, no puede modificarlo. Asegúrese de especificar un intervalo de direcciones IP que no entre en conflicto con los intervalos que utiliza su red interna. Si tiene alguna pregunta acerca del rango de especificar, contacte con suAWSgerente de cuenta o representante de ventas, o póngase en contacto con elAWS SupportCenterantes de proceder. 5. Elija el bloque de CIDR que desee en la lista de resultados y, a continuación, elija Enable BYOL (Habilitar BYOL).

Este proceso puede tardar varias horas. Mientras WorkSpaces habilita su cuenta para BYOL, vaya al paso siguiente.

Paso 3: Ejecutar el script de PowerShell de comprobador de BYOL en una máquina virtual Windows

Después de habilitar BYOL para su cuenta, debe confirmar que su máquina virtual cumple los requisitos para BYOL. Para ello, siga estos pasos para descargar y ejecutar el script de PowerShell de WorkSpaces BYOL Checker. El script realiza una serie de pruebas sobre la máquina virtual que tiene previsto usar para crear su imagen. Important

La máquina virtual debe superar todas las pruebas antes de que pueda usarla para BYOL.

Para descargar el script de comprobador de BYOL

Antes de que descargue y ejecute el script de comprobador de BYOL, verifique que las últimas actualizaciones de seguridad de Windows están instaladas en su máquina virtual. Mientras se ejecuta este script, deshabilita el servicio Windows Update.

1. Descargue el archivo .zip del script del comprobador de BYOL de https:// tools.amazonworkspaces.com/BYOLChecker.zip en la carpeta Downloads. 2. En la carpeta Downloads, cree una carpeta BYOL. 3. Extraiga los archivos de BYOLChecker.zip y cópielos en la carpeta Downloads\BYOL. 4. Elimine la carpeta Downloads\BYOLChecker.zip para que solo queden los archivos extraídos.

Siga estos pasos para ejecutar el script de comprobador de BYOL.

Para ejecutar el script de comprobador de BYOL

1. Desde el escritorio de Windows, abra Windows PowerShell. Elija el botón Start (Inicio) de Windows, haga clic con el botón derecho en Windows PowerShell y elija Run as administrator (Ejecutar como administrador). Si el control de cuentas de usuario le pide que elija si desea que PowerShell realice cambios en su dispositivo, elija Yes (Sí). 2. En el símbolo del sistema de PowerShell, cambie al directorio donde está ubicado el script del comprobador de BYOL. Por ejemplo, si el script se encuentra en laDownloads\BYOLEn el directorio, escriba el siguiente comando y pulseEscriba:

cd C:\Users\username\Downloads\BYOL

182 Amazon WorkSpaces Guía de administración Paso 4: Exportar la máquina virtual desde su entorno de virtualización

3. Escriba el siguiente comando para actualizar la política de ejecución de PowerShell en el equipo. Esto le permite que el script de comprobador de BYOL ejecute:

Set-ExecutionPolicy Unrestricted 4. Cuando se le pida que confirme si desea cambiar la política de ejecución de PowerShell, escriba A para especificar Sí a todo. 5. Escriba el comando siguiente para ejecutar el script de comprobador de BYOL:

.\BYOLChecker.ps1 6. Si aparece una notificación de seguridad, pulse la tecla R para ejecutar una vez. 7. En el navegadorValidación de imágenes de WorkSpaces, elijaIniciar pruebas. 8. Tras completarse cada prueba, puede ver el estado de la prueba. Para cualquier prueba con el estado FAILED (Error), elija Info (Información) para mostrar información sobre cómo resolver el problema que provocó el error. Si alguna prueba muestra el estado WARNING (Advertencia), elija el botón Fix all Warnings (Solucionar todos los mensajes de advertencia). 9. Si procede, resuelva los problemas que provoquen errores y advertencias de prueba y repita los pasos Step 7 (p. 183) y Step 8 (p. 183) hasta que la máquina virtual supere todas las pruebas. Deben resolverse todos los errores y advertencias antes de que exporte la máquina virtual. 10. El comprobador del script de BYOL genera dos archivos de registro, BYOLPrevalidationlogYYYY- MM-DD_HHmmss.txt y ImageInfo.text. Estos archivos se encuentran en el directorio que contiene los archivos de script del comprobador de BYOL. Tip

No elimine estos archivos. Si se produce un problema, es posible que resulten útiles para solucionarlo. 11. Después de que su máquina virtual pase todas las pruebas, aparecerá el mensaje Validation Successful (Validación exitosa). Revise los ajustes de configuración regional de la máquina virtual que se muestran en la herramienta. Para actualizar los ajustes de configuración regionales, siga estas instrucciones en la documentación de Microsoft y ejecute de nuevo el script del comprobador de BYOL. 12. Apague la máquina virtual y cree una instantánea de la misma. 13. Vuelva a iniciar la máquina virtual. Elija Run Sysprep (Ejecutar Sysprep). Si Sysprep se ejecuta correctamente, la máquina virtual que exportó después deStep 12 (p. 183)Puede importarse a Amazon Elastic Compute Cloud (Amazon EC2). De lo contrario, revise los registros de Sysprep, vuelva a la instantánea tomada en Step 12 (p. 183), resuelva los problemas notificados, realice una nueva instantánea y vuelva a ejecutar el script del comprobador de BYOL.

El motivo más común por el que se produce un error en Sysprep es que no están desinstalados los Modern AppX Packages para todos los usuarios. Use el cmdlet Remove-AppxPackage de PowerShell para eliminar los AppX Packages. 14. Después de haber creado de forma satisfactoria la imagen, puede eliminar la cuenta WorkSpaces_BYOL.

Paso 4: Exportar la máquina virtual desde su entorno de virtualización

Para crear una imagen para BYOL, primero debe exportar la máquina virtual desde su entorno de virtualización. La máquina virtual debe estar en un solo volumen con un tamaño máximo de 70 GB y al menos 10 GB de espacio libre. Para obtener más información, consulte la documentación para su entorno de virtualización y Exportar la máquina virtual desde el entorno de virtualización en la Guía del usuario de VM Import/Export.

183 Amazon WorkSpaces Guía de administración Paso 5: Importe la máquina virtual como imagen en Amazon EC2 Paso 5: Importe la máquina virtual como imagen en Amazon EC2

Después de exportar su máquina virtual, revise los requisitos de importación de sistemas operativos Windows desde una máquina virtual. Realice las acciones necesarias. Para obtener más información, consulte Requisitos de VM Import/Export. Note

No se admite la importación de una máquina virtual con un disco cifrado. Si ha optado por el cifrado predeterminado para volúmenes de Amazon Elastic Block Store (Amazon EBS), debe anular la selección de esa opción antes de importar su máquina virtual.

Importe su máquina virtual en Amazon EC2 como una imagen de máquina de Amazon (AMI). Utilice uno de los siguientes métodos:

• Utilice el comando import-image en la AWS CLI. Para obtener más información, consulteImport-imageen laAWS CLIReferencia de los comandos de la. • Use la operación de la API ImportImage. Para obtener más información, consulteImportImageen laReferencia de la API de Amazon EC2.

Para obtener más información, consulte Importación de una VM como una imagen en la Guía del usuario de VM Import/Export. Paso 6: Crear una imagen BYOL con la consola WorkSpaces

Siga estos pasos para crear una imagen de WorkSpaces de BYOL. Note

Para realizar este procedimiento, verifique que tieneAWS Identity and Access Management(IAM) permisos para:

• Llamar WorkSpacesImportWorkspaceImage. • Llamar a Amazon EC2DescribeImagesEn la imagen de Amazon EC2 que desea usar para crear la imagen BYOL. • Llamar a Amazon EC2ModifyImageAttributeEn la imagen de Amazon EC2 que desea usar para crear la imagen BYOL. Asegúrese de que los permisos de inicio en la imagen de Amazon EC2 no estén restringidos. La imagen debe ser compartida a lo largo del proceso de creación de la imagen BYOL.

Para obtener un ejemplo de política de IAM específica de BYOL WorkSpaces, consulteAdministración de identidades y accesos para WorkSpaces (p. 213). Para obtener más información acerca de cómo trabajar con permisos de IAM, consulteCambio de los permisos de un usuario de IAMen laGuía del usuario de IAM. Para crear un paquete de Graphics o GraphicsPro a partir de su imagen, contacte conAWS SupportCenterPara añadir su cuenta a la lista de permitidos. Después de que su cuenta esté en la lista de permitidos, puede usar laAWS CLI import-workspace-imagepara ingerir la imagen Graphics o GraphicsPro. Para obtener más información, consulteimport-espacio de trabajo imagen-en laAWS CLIReferencia de los comandos de la.

Para crear una imagen de la máquina virtual Windows

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/.

184 Amazon WorkSpaces Guía de administración Paso 7: Cree un paquete personalizado a partir de la imagen de BYOL

2. En el panel de navegación, elija Images. 3. SeleccionarCrear imagen BYOL. 4. En la páginaCrear imagen BYOL, haga lo siguiente:

• ParaID AMI, elija la opciónConsola de EC2y elija la imagen de Amazon EC2 que importó tal como se describe en la sección anterior (Paso 5: Importe la máquina virtual como imagen en Amazon EC2 (p. 184)). El nombre de la imagen debe empezar por ami-, y debe ir seguido del identificador de la AMI (por ejemplo, ami-1234567e). • ParaNombre de la imagenEscriba un nombre único para la imagen. • ParaDescripción, escriba una descripción para ayudarle a identificar rápidamente la imagen. • ParaTipo de instancia, elija el tipo de paquete correspondiente (Normal,Gráficos, o bienGraphicsPRO), dependiendo del protocolo que desee utilizar para la imagen, ya sea PCoIP o WorkSpaces Streaming Protocol (WSP). Para los paquetes no habilitados para GPU (paquetes distintos de Graphics o GraphicsPro), elija Regular. Note

Los gráficos y las imágenes de GraphicsPRO sólo se pueden crear para el protocolo PCoIP en este momento. • (Opcional) ParaSeleccionar aplicaciones, elija la versión de Microsoft Office a la que desea suscribirse. Para obtener más información, consulte Agregar Microsoft Office a su imagen BYOL (p. 177) . • (Opcional) ParaTags (Etiquetas):, elijaAñada una etiquetapara asociar etiquetas con esta imagen. Para obtener más información, consulte Etiquetar recursos WorkSpaces (p. 130) . 5. SeleccionarCrear imagen BYOL.

Mientras se está creando la imagen, su estado en laImágenesde la consola aparece comoPendiente. El proceso de ingestión de BYOL dura un mínimo de 90 minutos. Si también se ha suscrito a Office, espere que el proceso tome un mínimo de 3 horas.

Si la validación de imágenes no se realiza correctamente, la consola muestra un código de error. Cuando se complete la creación de imágenes, el estado cambiará a Available (Disponible).

Paso 7: Cree un paquete personalizado a partir de la imagen de BYOL

Tras crearse su imagen de BYOL, puede usar la imagen para crear un paquete personalizado. Para obtener información, consulte Crear una imagen y un paquete personalizados de WorkSpaces (p. 155). Paso 8: Registrar un directorio dedicado para WorkSpaces

Para utilizar imágenes de BYOL para WorkSpaces, debe registrar un directorio con este fin.

Para registrar un directorio de WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, elija Directories (Directorios). 3. Seleccione el directorio y elija Actions (Acciones), Register (Registrar). 4. En el cuadro de diálogo Register directory (Registrar directorio), en Enable Dedicated WorkSpaces (Habilitar WorkSpaces dedicados), elija Yes (Sí). 5. Elija Register.

185 Amazon WorkSpaces Guía de administración Paso 9: Inicie su BYOL WorkSpaces

Si ya ha registrado unAWS Managed Microsoft ADO un directorio de AD Connector para WorkSpaces que no se ejecuta en un hardware dedicado, puede configurar un nuevoAWS Managed Microsoft ADo el directorio de AD Connector para este propósito. También puede anular el registro del directorio y, a continuación, volverlo a registrar como directorio para WorkSpaces dedicados. Para ello, siga estos pasos. Note

Solo puede realizar este procedimiento si no se asocia ninguna instancia de WorkSpaces al directorio.

Para anular el registro de un directorio y volverlo a registrar para WorkSpaces dedicados

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. Termine los WorkSpaces existentes. 3. En el panel de navegación, elija Directories (Directorios). 4. Seleccione el directorio y elija Actions, Deregister. 5. Cuando se le pida que confirme, elija Deregister. 6. Seleccione de nuevo el directorio y elija Actions (Acciones), Register (Registrar). 7. En el cuadro de diálogo Register directory (Registrar directorio), en Enable Dedicated WorkSpaces (Habilitar WorkSpaces dedicados), elija Yes (Sí). 8. Elija Register.

Paso 9: Inicie su BYOL WorkSpaces

Después de registrar un directorio para WorkSpaces dedicados, puede lanzar su WorkSpaces BYOL en este directorio. Para obtener información acerca de cómo lanzar WorkSpaces, consulte Iniciar un escritorio virtual con WorkSpaces (p. 78).

186 Amazon WorkSpaces Guía de administración Monitorización con las métricas de CloudWatch

Monitorice sus WorkSpaces

Puede usar las siguientes características para monitorizar sus WorkSpaces.

Métricas de CloudWatch

Amazon WorkSpaces publica puntos de datos en Amazon CloudWatch sobre sus WorkSpaces. CloudWatch le permite recuperar las estadísticas sobre estos puntos de datos como un conjunto ordenado de datos de serie temporal denominadosMétricas de. Puede utilizar estas métricas para comprobar que sus WorkSpaces funcionen de acuerdo con lo esperado. Para obtener más información, consulte Monitorice sus WorkSpaces mediante las métricas de CloudWatch (p. 187). CloudWatch Events

Amazon WorkSpaces puede enviar eventos a Amazon CloudWatch Events cuando los usuarios inicien sesión de WorkSpace. Esto le permite responder al producirse el evento. Para obtener más información, consulte Monitorización de sus WorkSpaces mediante CloudWatch (p. 192). Registros de CloudTrail

AWS CloudTrailproporciona un registro de las medidas adoptadas por un usuario, un rol o una instancia deAWSen WorkSpaces. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a WorkSpaces, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc. Para obtener más información, consulteRegistro de llamadas al API de WorkSpaces mediante CloudTrail.AWS CloudTrailregistra los eventos de inicio de sesión correctos y fallidos para los usuarios de tarjetas inteligentes. Para obtener más información, consulte Descripción deAWSEventos de inicio de sesión de usuarios de tarjetas inteligentes (p. 194).

Monitorice sus WorkSpaces mediante las métricas de CloudWatch

WorkSpaces y Amazon CloudWatch están integrados, por lo que puede recopilar y analizar las métricas de rendimiento. Puede supervisar estas métricas mediante la consola de CloudWatch, la interfaz de línea de comandos de CloudWatch o mediante programación mediante la API de CloudWatch. CloudWatch también le permite establecer alarmas cuando alcance un umbral especificado para una métrica.

Para obtener más información sobre el uso de CloudWatch y las alarmas, consulte laGuía del usuario de Amazon CloudWatch.

Prerequisites

Para obtener las métricas de CloudWatch, habilite el acceso en el puerto 443 en laAMAZONEl subconjunto de laus-east-1 Región . Para obtener más información, consulte Requisitos de direcciones IP y puertos para WorkSpaces (p. 19) .

Contenido • Métricas de WorkSpaces (p. 187) • Dimensiones de las métricas de WorkSpaces (p. 190) • Ejemplo de monitorización (p. 190)

Métricas de WorkSpaces

El espacio de nombres de AWS/WorkSpaces incluye las siguientes métricas.

187 Amazon WorkSpaces Guía de administración Métricas de WorkSpaces

Métrica Descripción Dimensiones Estadísticas Unidades

1 Available El número de DirectoryId Promedio, Recuento instancias de mínimo, máximo, WorkSpaces WorkspaceId suma, muestras que devuelven de datos un estado de funcionamiento correcto.

1 Unhealthy El número de DirectoryId Promedio, Recuento instancias de mínimo, máximo, WorkSpaces WorkspaceId suma, muestras que devuelven de datos un estado de funcionamiento incorrecto.

2,5 ConnectionAttempt El número de DirectoryId Promedio, Recuento intentos de mínimo, máximo, conexión. WorkspaceId suma, muestras de datos

2,5 ConnectionSuccess El número de DirectoryId Promedio, Recuento conexiones mínimo, máximo, realizadas WorkspaceId suma, muestras correctamente. de datos

2,5 ConnectionFailure El número de DirectoryId Promedio, Recuento conexiones que mínimo, máximo, han producido un WorkspaceId suma, muestras error. de datos

2 SessionLaunchTime La cantidad de DirectoryId Promedio, Segundo tiempo que se mínimo, máximo, (tiempo) tarda en iniciar WorkspaceId suma, muestras una sesión de de datos WorkSpaces.

2 InSessionLatency El tiempo de ida DirectoryId Promedio, Milisegundo y vuelta entre mínimo, máximo, (tiempo) el cliente de WorkspaceId suma, muestras WorkSpaces y de datos la instancia de WorkSpaces.

2 SessionDisconnect El número de DirectoryId Promedio, Recuento conexiones que mínimo, máximo, se cerraron, WorkspaceId suma, muestras incluidas las de datos iniciadas por el usuario y las que produjeron un error.

3 UserConnected El número de DirectoryId Promedio, Recuento instancias de mínimo, máximo, WorkSpaces que WorkspaceId

188 Amazon WorkSpaces Guía de administración Métricas de WorkSpaces

Métrica Descripción Dimensiones Estadísticas Unidades tienen un usuario suma, muestras conectado. de datos

Stopped El número de DirectoryId Promedio, Recuento instancias de mínimo, máximo, WorkSpaces que WorkspaceId suma, muestras se han detenido. de datos

4 Maintenance El número de DirectoryId Promedio, Recuento instancias de mínimo, máximo, WorkSpaces que WorkspaceId suma, muestras se encuentran en de datos mantenimiento.

6 TrustedDeviceValidationAttemptNúmero de DirectoryId Promedio, Recuento intentos de mínimo, máximo, validación suma, muestras de firma de de datos autenticación de dispositivo.

6 TrustedDeviceValidationSuccessEl número de DirectoryId Promedio, Recuento validaciones mínimo, máximo, de firma de suma, muestras autenticación de datos de dispositivos realizadas correctamente.

6 TrustedDeviceValidationFailureNúmero de DirectoryId Promedio, Recuento validaciones mínimo, máximo, de firma de suma, muestras autenticación de datos de dispositivo fallidas.

TrustedDeviceCertificateDaysBeforeExpirationQuedan días CertificateId Promedio, Recuento antes de que mínimo, máximo, caduque el suma, muestras certificado raíz de datos asociado con el directorio.

1WorkSpaces envía periódicamente solicitudes de estado a los espacios de WorkSpace. Una instancia de WorkSpaces se marca como Available cuando responde a estas solicitudes y como Unhealthy cuando no responde a estas solicitudes. Estas métricas se ofrecen para cada instancia de WorkSpaces y también para todas las instancias de WorkSpaces de una organización.

2WorkSpaces registra métricas de las conexiones realizadas a cada instancia de WorkSpace. Estas métricas se emiten después de que un usuario se haya autenticado correctamente a través del cliente de WorkSpaces y tras iniciar una sesión. Las métricas se ofrecen para cada instancia de WorkSpaces y también para todas las instancias de WorkSpaces de un directorio.

3WorkSpaces envía periódicamente solicitudes de estado de conexión a los espacios WorkSpace. Los usuarios se registran como conectados cuando utilizan activamente sus sesiones. Esta métrica se

189 Amazon WorkSpaces Guía de administración Dimensiones de las métricas de WorkSpaces ofrece para cada instancia de WorkSpaces y también para todas las instancias de WorkSpaces de una organización.

4 Esta métrica se aplica a las instancias de WorkSpaces configuradas con el modo de funcionamiento AutoStop. Si ha habilitado el mantenimiento para sus instancias de WorkSpaces, esta métrica obtiene el número de instancias de WorkSpaces que se encuentran actualmente en mantenimiento. Esta métrica se ofrece para cada instancia de WorkSpaces e indica cuándo una instancia de WorkSpace se sometió a mantenimiento y cuándo se eliminó.

5Esta métrica se emite actualmente sólo para PCoIP WorkSpaces.

6Si la característica de dispositivos de confianza se habilita para el directorio, Amazon WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Cuando los usuarios intentan acceder a sus WorkSpaces, estas métricas se emiten para indicar una autenticación de dispositivo de confianza correcta o fallida. Estas métricas se ofrecen para cada instancia de directorio y solo para las aplicaciones cliente de Amazon WorkSpaces para Windows y macOS. Dimensiones de las métricas de WorkSpaces

Para filtrar los datos de las métricas, use las siguientes dimensiones.

Dimensión Descripción

DirectoryId Filtra los datos de métricas en las instancias de WorkSpaces en el directorio especificado. El formato del ID de directorio es d-XXXXXXXXXX.

WorkspaceId Filtra los datos de métricas en la instancia de WorkSpaces especificada. El formato del ID de WorkSpace esws-XXXXXXXXXX.

CertificateId Filtra los datos de métricas en el certificado raíz especificado asociado al directorio. El formato del ID de certificado eswsc-XXXXXXXXX.

Ejemplo de monitorización

El siguiente ejemplo ilustra cómo usar la instancia deAWS CLIPara responder a una alarma de CloudWatch y determinar qué WorkSpaces de un directorio han experimentado errores de conexión.

Para responder a una alarma de CloudWatch

1. Determine a qué directorio se aplica la alarma usando el comando describe-alarms.

aws cloudwatch describe-alarms --state-value "ALARM"

{ "MetricAlarms": [ { ... "Dimensions": [ { "Name": "DirectoryId", "Value": "directory_id" } ],

190 Amazon WorkSpaces Guía de administración Ejemplo de monitorización

... } ] }

2. Obtenga la lista de los WorkSpaces en el directorio especificado con el comando describeworkspaces.

aws workspaces describe-workspaces --directory-id directory_id

{ "Workspaces": [ { ... "WorkspaceId": "workspace1_id", ... }, { ... "WorkspaceId": "workspace2_id", ... }, { ... "WorkspaceId": "workspace3_id", ... } ] }

3. Obtenga las métricas de CloudWatch para cada espacio de trabajo del directorio mediante la herramientaget-metric-statisticscomando.

aws cloudwatch get-metric-statistics \ --namespace AWS/WorkSpaces \ --metric-name ConnectionFailure \ --start-time 2015-04-27T00:00:00Z \ --end-time 2015-04-28T00:00:00Z \ --period 3600 \ --statistics Sum \ --dimensions "Name=WorkspaceId,Value=workspace_id"

{ "Datapoints" : [ { "Timestamp": "2015-04-27T00:18:00Z", "Sum": 1.0, "Unit": "Count" }, { "Timestamp": "2014-04-27T01:18:00Z", "Sum": 0.0, "Unit": "Count" } ], "Label" : "ConnectionFailure" }

191 Amazon WorkSpaces Guía de administración Monitorizar mediante CloudWatch Ev

Monitorización de sus WorkSpaces mediante CloudWatch

Puede utilizar eventos de eventos de Amazon CloudWatch Events para ver, buscar, descargar, archivar, analizar y responder a los inicios de sesión correctos en sus WorkSpaces. Por ejemplo, puede utilizar eventos para lo siguiente:

• Almacenar o archivar los eventos de inicio de sesión de WorkSpaces como registros para futura referencia, analizar los registros para buscar patrones y realizar acciones basadas en esos patrones. • Utilizar la dirección IP de WAN para determinar desde dónde inician sesión los usuarios y utilizar políticas para permitir que los usuarios solo puedan acceder a los archivos o datos de WorkSpaces que cumplan los criterios de acceso que se encuentran en el tipo de evento CloudWatch de WorkSpaces Access. • Analizar los datos de inicio de sesión, que están disponibles casi en tiempo real, y realizar acciones automatizadas medianteAWS Lambda. • Utilizar los controles de las políticas para bloquear el acceso a los archivos y aplicaciones desde direcciones IP no autorizadas.

Para obtener más información acerca de los eventos, consulte laGuía del usuario de Amazon CloudWatch Events. Eventos de WorkSpaces

Las aplicaciones cliente de WorkSpaces envían eventos de acceso a Eventos de CloudWatch cuando un usuario inicia sesión correctamente en un WorkSpaces. Todos los clientes de WorkSpaces envían estos eventos. Note

• Los eventos se emiten en la medida de lo posible. • Los eventos emitidos para WorkSpaces mediante el protocolo de transmisión de WorkSpaces (WSP) requieren la versión 4.0.1 de la aplicación cliente WorkSpaces o posterior.

Los eventos se representan como objetos JSON. El siguiente es un ejemplo de los datos de un evento WorkSpaces Access.

{ "version": "0", "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7", "detail-type": "WorkSpaces Access", "source": "aws.workspaces", "account": "123456789012", "time": "2018-07-01T17:53:06Z", "region": "us-east-1", "resources": [], "detail": { "clientIpAddress": "192.0.2.3", "actionType": "successfulLogin", "workspacesClientProductName": "WorkSpaces Desktop client", "loginTime": "2018-07-01T17:52:51.595Z", "clientPlatform": "Windows", "directoryId": "domain/d-123456789", "workspaceId": "ws-xyskdga" }

192 Amazon WorkSpaces Guía de administración Crear una regla para administrar eventos de WorkSpaces

}

Campos específicos del evento clientIpAddress

La dirección IP de WAN de la aplicación cliente. Para los clientes cero PCoIP, esta es la dirección IP del cliente de autenticación de Teradici. actionType

Este valor siempre es successfulLogin. workspacesClientProductName

Estos valores distinguen entre mayúsculas y minúsculas • WorkSpaces Desktop clientWindows, macOS y Linux Client • Amazon WorkSpaces Mobile clientCliente iOS • WorkSpaces Mobile Client— Android Client • WorkSpaces Chrome ClientCliente de Chromebook • WorkSpaces Web ClientCliente de Web Access • Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell Wyse PCoIP Client Sin cliente loginTime

La hora a la que el usuario inició sesión en el WorkSpace. clientPlatform • Android • Chrome • iOS • Linux • OSX • Windows • Teradici PCoIP Zero Client and Tera2 • Web directoryId

El identificador del directorio para el WorkSpace. Debe anteponer el identificador de directorio condomain/. Por ejemplo, "domain/d-123456789". workspaceId

El identificador del WorkSpace.

Crear una regla para administrar eventos de WorkSpaces

Utilice el siguiente procedimiento para crear una regla de Eventos de CloudWatch que controle los eventos de WorkSpaces.

Para crear una regla que controle eventos de WorkSpaces

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/. 2. En el panel de navegación, seleccione Events.

193 Amazon WorkSpaces Guía de administración Descripción deAWSEventos de inicio de sesión de usuarios de tarjetas inteligentes

3. Elija Create rule. 4. En Event Source, haga lo siguiente:

a. Elija Event Pattern (Patrón de eventos) y Build event pattern to match events by service (Crear patrón de eventos para buscar eventos coincidentes por servicio) (el valor predeterminado). b. En Service Name (Nombre del servicio), elija WorkSpaces (WorkSpaces). c. En Event Type (Tipo de evento), elija WorkSpaces Access (Acceso a WorkSpaces). 5. En Targets (Destinos), elija Add target (Añadir destino) y, a continuación, elija el servicio que va a actuar cuando se detecte un evento de WorkSpaces. Proporcione la información que este servicio requiera. 6. Seleccione Configure details. En Rule definition (Definición de regla), escriba un nombre y una descripción. 7. Elija Create rule.

Descripción deAWSEventos de inicio de sesión de usuarios de tarjetas inteligentes

AWS CloudTrailregistra los eventos de inicio de sesión correctos y fallidos para los usuarios de tarjetas inteligentes. Esto incluye eventos de inicio de sesión que se capturan cada vez que se solicita a un usuario que resuelva un desafío o factor de credenciales específico, así como el estado de esa solicitud de verificación de credenciales en particular. Un usuario inicia sesión solo después de completar todos los desafíos de credenciales requeridos, lo que da como resultado unUserAuthenticationevento que se está registrando.

La siguiente tabla captura cada uno de los nombres de eventos de inicio de sesión de CloudTrail y sus propósitos.

Nombre de evento Fin del evento

CredentialChallenge Notifica queAWSel inicio de sesión ha solicitado que el usuario resuelva un desafío de credenciales específico y especifica elCredentialTypeque se requiere (por ejemplo, SMARTCARD).

CredentialVerificationNotifica que el usuario ha intentado resolver unCredentialChallengey especifica si esa credencial se ha realizado correctamente o ha fallado.

UserAuthentication Notifica que todos los requisitos de autenticación con los que se ha desafiado el usuario se han completado correctamente y que el usuario ha iniciado sesión correctamente. Cuando los usuarios no logran completar correctamente los desafíos de credenciales requeridos, noUserAuthenticationse registra el evento.

La siguiente tabla captura campos de datos de eventos útiles adicionales contenidos en eventos específicos de CloudTrail de inicio de sesión.

Nombre de Fin del evento Aplicación de eventos de Valores de ejemplo evento inicio de sesión de

AuthWorkflowIDCorrelaciona todos los CredentialChallenge, «AuthworkFlowID»: eventos emitidos en toda CredentialVerification, «9de74b32-8362-4a01- una secuencia de inicio de UserAuthentication a524-de21df59fd83"

194 Amazon WorkSpaces Guía de administración Eventos de ejemplo paraAWSescenarios de inicio de sesión

Nombre de Fin del evento Aplicación de eventos de Valores de ejemplo evento inicio de sesión de sesión. Para cada inicio de sesión de usuario, varios eventos pueden ser emitidos porAWSIniciar sesión

CredentialTypeNotifica que el usuario CredentialChallenge, CredentialType»: ha intentado resolver CredentialVerification, «SMARTCARD» (valores unCredentialChallengey UserAuthentication posibles hoy: especifica si esa SMARTCARD) credencial se ha realizado correctamente o ha fallado.

LoginTo Notifica que todos los UserAuthentication «LogInto»: "https:// requisitos de autenticación skylight.local» con los que se ha desafiado el usuario se han completado correctamente y que el usuario ha iniciado sesión correctamente. Cuando los usuarios no logran completar correctamente los desafíos de credenciales requeridos, noUserAuthenticationse registra el evento.

Eventos de ejemplo paraAWSescenarios de inicio de sesión

Los siguientes ejemplos muestran la secuencia esperada de eventos de CloudTrail para diferentes escenarios de inicio de sesión.

Contenido • Inicio de sesión exitoso cuando se autentica con tarjeta inteligente (p. 195) • Error al iniciar sesión al autenticarse con solo una tarjeta inteligente (p. 197)

Inicio de sesión exitoso cuando se autentica con tarjeta inteligente

La siguiente secuencia de eventos captura un ejemplo de un inicio de sesión con tarjeta inteligente exitoso.

CredentialChallenge

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "",

195 Amazon WorkSpaces Guía de administración Eventos de ejemplo paraAWSescenarios de inicio de sesión

"accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:29Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialChallenge", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", "CredentialType": "SMARTCARD" }, "requestID": "65551a6d-654a-4be8-90b5-bbfef7187d3a", "eventID": "fb603838-f119-4304-9fdc-c0f947a82116", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialChallenge": "Success" } }

Verificación de credenciales satisfactoria

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:39Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialVerification", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", "CredentialType": "SMARTCARD" }, "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", "eventID": "84c0a2ff-413f-4d0f-9108-f72c90a41b6c", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialVerification": "Success" } }

196 Amazon WorkSpaces Guía de administración Eventos de ejemplo paraAWSescenarios de inicio de sesión

Autenticación de usuarios

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:39Z", "eventSource": "signin.amazonaws.com", "eventName": "UserAuthentication", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", "LoginTo": "https://skylight.local", "CredentialType": "SMARTCARD" }, "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", "eventID": "acc0dba8-8e8b-414b-a52d-6b7cd51d38f6", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { UserAuthentication": "Success" } }

Error al iniciar sesión al autenticarse con solo una tarjeta inteligente

La siguiente secuencia de eventos captura un ejemplo de inicio de sesión con tarjeta inteligente fallido.

CredentialChallenge

197 Amazon WorkSpaces Guía de administración Eventos de ejemplo paraAWSescenarios de inicio de sesión

"awaRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb", "CredentialType": "SMARTCARD" }, "requestID": "73eb499d-91a8-4c18-9c5d-281fd45ab50a", "eventID": "f30a50ec-71cf-415a-a5ab-e287edc800da", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialChallenge": "Success" } }

Verificación de credenciales con errores

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:13Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialVerification", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb", "CredentialType": "SMARTCARD" }, "requestID": "051ca316-0b0d-4d38-940b-5fe5794fda03", "eventID": "4e6fbfc7-0479-48da-b7dc-e875155a8177", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialVerification": "Failure" } }

198 Amazon WorkSpaces Guía de administración Redireccionamiento entre regiones

Continuidad de negocio de Amazon WorkSpaces

Amazon WorkSpaces se basa en laAWSinfraestructura global, que se organiza enAWSRegiones y zonas de disponibilidad. Estas regiones y zonas de disponibilidad proporcionan resistencia tanto en términos de aislamiento físico como de redundancia de datos. Para obtener más información, consulte Resiliencia en Amazon WorkSpaces (p. 221).

Amazon WorkSpaces también proporciona redirección entre regiones, una característica que funciona con las políticas de enrutamiento del sistema de nombres de dominio (DNS) para redirigir a los usuarios de WorkSpaces a escritorios de WorkSpaces alternativos cuando sus escritorios de WorkSpaces principales no estén disponibles. Por ejemplo, mediante las directivas de enrutamiento de conmutación por error de DNS, puede conectar a los usuarios a WorkSpaces en la región de conmutación por error especificada cuando no puedan acceder a sus WorkSpaces en la región principal.

Puede utilizar la redirección entre regiones para lograr resiliencia regional y alta disponibilidad. También puede utilizarlo para otros fines, como la distribución de tráfico o proporcionar WorkSpaces alternativos durante los períodos de mantenimiento. Si utiliza Amazon Route 53 para su configuración DNS, puede aprovechar las comprobaciones de estado que supervisan las alarmas de Amazon CloudWatch.

Contenido • Redirección entre regiones para Amazon WorkSpaces (p. 199)

Redirección entre regiones para Amazon WorkSpaces

Con la característica de redireccionamiento entre regiones de Amazon WorkSpaces, puede utilizar un nombre de dominio completo (FQDN) como código de registro de WorkSpaces. La redirección entre regiones funciona con las políticas de direccionamiento del Sistema de nombres de dominio (DNS) para redirigir a los usuarios de WorkSpaces a WorkSpaces alternativos cuando sus WorkSpaces principales no están disponibles. Por ejemplo, mediante las directivas de enrutamiento de conmutación por error de DNS, puede conectar a los usuarios a WorkSpaces en la conmutación por error especificadaAWSRegión en la que no pueden acceder a sus WorkSpaces en la región principal.

Puede utilizar la redirección entre regiones junto con las directivas de enrutamiento de conmutación por error de DNS para lograr resistencia regional y alta disponibilidad. También puede utilizar esta función para otros fines, como la distribución de tráfico o proporcionar WorkSpaces alternativos durante los períodos de mantenimiento. Si utiliza Amazon Route 53 para su configuración DNS, puede aprovechar las comprobaciones de estado que supervisan las alarmas de Amazon CloudWatch.

Para utilizar esta característica, debe configurar WorkSpaces para los usuarios en dos (o más) regiones de AWS. También debe crear códigos de registro basados en FQDNs denominadosAlias de conexión. Estos alias de conexión reemplazan los códigos de registro específicos de la región para los usuarios de WorkSpaces. (Los códigos de registro específicos de la región siguen siendo válidos; sin embargo, para que funcione la redirección entre regiones, los usuarios deben utilizar el FQDN en su lugar como código de registro.)

Para crear un alias de conexión, especifique unCadena de conexión, que es su FQDN, comowww.example.comordesktop.example.com. Para utilizar este dominio para la redirección entre regiones, debe registrarlo con un registrador de dominios y configurar el servicio DNS para su dominio.

199 Amazon WorkSpaces Guía de administración Prerequisites

Después de crear los alias de conexión, se asocian con los directorios de WorkSpaces en regiones diferentes para crear pares de asociación. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error. Si se produce una interrupción en la región principal, las políticas de direccionamiento de conmutación por error a nivel de DNS redirigen a los usuarios de WorkSpaces a los escritorios de WorkSpaces que ha configurado para ellos en la región de conmutación por error.

Para designar las regiones principal y de conmutación por error, defina la prioridad de región (principal o secundaria) al configurar las directivas de enrutamiento de conmutación por error DNS.

Contenido • Prerequisites (p. 200) • Limitations (p. 201) • Paso 1: Creación de alias de conexión (p. 202) • Paso 2 (Opcional): Compartir un alias de conexión con otra cuenta (p. 202) • Paso 3: Asociar alias de conexión con directorios en cada región (p. 203) • Paso 4: Configurar el servicio DNS y configurar directivas de enrutamiento DNS (p. 204) • Paso 5: Enviar la cadena de conexión a los usuarios de WorkSpaces (p. 207) • Qué ocurre durante la redirección entre regiones (p. 207) • Desasociar un alias de conexión de un directorio (p. 208) • Dejar de compartir un alias de conexión (p. 208) • Eliminación de un alias de conexión (p. 209) • Permisos de IAM para asociar y desasociar alias de conexión (p. 209) • Consideraciones de seguridad si deja de utilizar la redirección entre regiones (p. 210)

Prerequisites

• Debe poseer y registrar el dominio que desea utilizar como FQDN en sus alias de conexión. Si aún no utiliza otro registrador de dominio, puede utilizar Amazon Route 53 para registrar su dominio. Para obtener más información, consulteRegistro de nombres de dominio usando Amazon Route 53en laAmazon Route 53 Developer. Important

Debe disponer de todos los derechos necesarios para utilizar cualquier nombre de dominio que utilice junto con Amazon WorkSpaces. Usted acepta que el nombre de dominio no viola ni infringe los derechos legales de terceros ni infringe de ninguna otra manera la ley aplicable.

La longitud total del nombre de dominio no puede superar los 255 caracteres. Para obtener más información sobre los nombres de dominio, consulte.Formato de nombres de dominio DNSen laAmazon Route 53 Developer.

La redirección entre regiones funciona tanto con nombres de dominio públicos como con nombres de dominio en zonas DNS privadas. Si utiliza una zona DNS privada, debe proporcionar una conexión de red privada virtual (VPN) a la nube virtual privada (VPC) que contiene WorkSpaces. Si los usuarios de WorkSpaces intentan utilizar un FQDN privado desde Internet público, las aplicaciones cliente de WorkSpaces devuelven el siguiente mensaje de error:

"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help." • Debe configurar el servicio DNS y configurar las directivas de enrutamiento DNS necesarias. La redirección entre regiones funciona junto con las directivas de enrutamiento DNS para redirigir a los usuarios de WorkSpaces según sea necesario.

200 Amazon WorkSpaces Guía de administración Limitations

• En cada región principal y de conmutación por error en la que desee configurar la redirección entre regiones, cree WorkSpaces para los usuarios. Asegúrese de utilizar los mismos nombres de usuario en cada directorio de WorkSpaces de cada región. Para mantener los datos de usuario de Active Directory sincronizados, se recomienda utilizar AD Connector para señalar el mismo Active Directory en cada región en la que haya configurado WorkSpaces para sus usuarios. Para obtener más información sobre la creación de WorkSpaces, consulte.Iniciar WorkSpaces (p. 78). Important

Si configura suAWSDirectorio de Microsoft AD administrado para replicación multiregión, sólo se puede registrar el directorio de la región principal para su uso con Amazon WorkSpaces. Los intentos de registrar el directorio en una región replicada para utilizarlo con Amazon WorkSpaces fallarán. Replicación de varias regiones conAWSNo se admite el uso de Microsoft AD administrado con Amazon WorkSpaces en regiones replicadas.

Cuando haya terminado de configurar la redirección entre regiones, debe asegurarse de que los usuarios de WorkSpaces utilicen el código de registro basado en FQDNN en lugar del código de registro basado en la región (por ejemplo,WSpdx+ABC12D) para su región primaria. Para ello, debe enviarles un correo electrónico con la cadena de conexión FQDN mediante el procedimiento dePaso 5: Enviar la cadena de conexión a los usuarios de WorkSpaces (p. 207). Note

Si crea usuarios en la consola de WorkSpaces en lugar de crearlos en Active Directory, WorkSpaces envía automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en región cada vez que inicie un nuevo WorkSpace. Esto significa que cuando configure WorkSpaces para sus usuarios en la región de conmutación por error, los usuarios también recibirán automáticamente correos electrónicos para estos WorkSpaces de conmutación por error. Deberá indicar a sus usuarios que ignoren los correos electrónicos con códigos de registro basados en la región.

Limitations

• La redirección entre regiones no comprueba automáticamente si las conexiones a la región principal han fallado y, a continuación, los WorkSpaces pasan a otra región. En otras palabras, la conmutación por error automática no ocurre.

Para implementar un escenario de conmutación por error automático, debe utilizar algún otro mecanismo junto con la redirección entre regiones. Por ejemplo, puede utilizar una política de enrutamiento DNS de conmutación por error de Amazon Route 53 junto con una comprobación de estado de Route 53 que supervise una alarma de CloudWatch en la región principal. Si se activa la alarma de CloudWatch en la región principal, la política de direccionamiento de conmutación por error a nivel de DNS redirige a los usuarios de WorkSpaces a los WorkSpaces que ha configurado para ellos en la región de conmutación por error. • Cuando utiliza la redirección entre regiones, los datos de usuario no se conservan entre WorkSpaces en regiones distintas. Para garantizar que los usuarios puedan acceder a sus archivos desde distintas regiones, le recomendamos que configure Amazon WorkDocs para los usuarios de WorkSpaces, si Amazon WorkDocs es compatible con las regiones principal y de conmutación por error. Para obtener más información sobre Amazon WorkDocs, consulte.Amazon WorkDocs Driveen laGuía de administración de Amazon WorkDocs. Para obtener más información acerca de cómo habilitar Amazon WorkDocs para los usuarios de WorkSpace, consulte.Registrar un directorio con WorkSpaces (p. 64)yHabilitar Amazon WorkDocsAWSMicrosoft AD (p. 74). Para obtener información sobre cómo los usuarios de WorkSpaces pueden configurar Amazon WorkDocs en sus WorkSpaces, consulteIntegrar con WorkDocsen laGuía del usuario de Amazon WorkSpaces. • La redirección entre regiones solo se admite en la versión 3.0.9 o posterior de las aplicaciones cliente Linux, macOS y Windows WorkSpaces.

201 Amazon WorkSpaces Guía de administración Paso 1: Creación de alias de conexión

• La redireccionamiento entre regiones está disponible en todos los AWSRegiones en las que Amazon WorkSpaces está disponible, a excepción de laAWSGovCloud (EE. UU. Oeste) y China (Ningxia)

Paso 1: Creación de alias de conexión

Usar el mismoAWSPara crear alias de conexión en cada región principal y de conmutación por error en la que desee configurar la redirección entre regiones.

Para crear un alias de conexión

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione laAWSRegión de WorkSpaces. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta). 4. UNDERRedireccionamiento entre regiones, elijaCrear alias de conexión. 5. ParaCadena de conexión, introduzca un FQDN, comowww.example.comordesktop.example.com. Una cadena de conexión puede tener un máximo de 255 caracteres. Puede incluir solo letras (A-Z y a- z), números (0-9) y los siguientes caracteres: .- Important

Después de crear una cadena de conexión, siempre se asocia con suAWSaccount. No puede volver a crear la misma cadena de conexión con una cuenta diferente aunque elimine todas las instancias de la misma de la cuenta original. La cadena de conexión está reservada globalmente para su cuenta. 6. (Opcional) EnEtiquetasPara especificar las etiquetas que desee asociar con el alias de conexión, especifique las etiquetas que desee asociar. 7. SeleccionarCrear alias de conexión. 8. Repita estos pasos, pero en.Step 2 (p. 202)Asegúrese de seleccionar la región de conmutación por error para los WorkSpaces. Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de usar el mismoAWSpara crear el alias de conexión en cada región de conmutación por error.

Paso 2 (Opcional): Compartir un alias de conexión con otra cuenta

Puede compartir un alias de conexión con otra cuenta de AWS en la misma región de AWS. Al compartir un alias de conexión con otra cuenta se concede permiso a esa cuenta para asociar o desasociar dicho alias con un directorio propiedad de esa cuenta solo en la misma región. Solo la cuenta que posee un alias de conexión puede eliminarlo. Note

Un alias de conexión se puede asociar con un solo directorio por región de AWS. Si comparte un alias de conexión con otra cuenta de AWS, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias con un directorio de esa región.

Para compartir un alias de conexión con otroAWSaccount

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione la casillaAWSEn la que desea compartir el alias de conexión con otroAWSaccount. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

202 Amazon WorkSpaces Guía de administración Paso 3: Asociar alias de conexión con directorios en cada región

4. UNDERAsociaciones de redireccionamiento entre regionesSeleccione la cadena de conexión y, a continuación, elijaActions,Compartir/no compartir alias de conexión.

También puede compartir un alias desde la página de detalles del alias de conexión. Para ello, enCuenta compartida, elijaCompartir alias de conexión. 5. En la páginaCompartir/no compartir alias de conexiónpágina, enCompartir con una cuentaPara ello, introduzca elAWSID de cuenta con el que desea compartir el alias de conexión en esteAWSRegión . 6. Elija Share.

Paso 3: Asociar alias de conexión con directorios en cada región

Al asociar el mismo alias de conexión con un directorio de WorkSpaces en dos o más regiones se crea un par de asociación entre los directorios. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error.

Por ejemplo, si la región principal es la región EE. UU. Oeste (Oregón), puede emparejar el directorio WorkSpaces en la región EE. UU. Oeste (Oregón) con un directorio WorkSpaces en la región EE. UU. Este (Norte de Virginia). Si se produce una interrupción en la región principal, la redirección entre regiones funciona junto con las directivas de enrutamiento de conmutación por error de DNS y las comprobaciones de estado que haya implementado en la región EE.UU. Oeste (Oregón) para redirigir a los usuarios a los WorkSpaces que haya configurado para ellos en la región EE.UU. Este (Norte de Virginia). Para obtener más información acerca de la experiencia de redireccionamiento entre regiones, consulte.Qué ocurre durante la redirección entre regiones (p. 207). Note

Si los usuarios de WorkSpaces se encuentran a una distancia significativa de la región de conmutación por error (por ejemplo, a miles de millas de distancia), su experiencia de WorkSpaces puede ser menos receptiva de lo habitual. Para comprobar el tiempo de ida y vuelta (RTT) a los diversosAWSRegiones desde su ubicación, utilice elComprobación del estado de conexión de Amazon WorkSpaces.

Para asociar un alias de conexión a un directorio

Puede asociar un alias de conexión con un solo directorio por región de AWS. Si ha compartido un alias de conexión con otra cuenta de AWS, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias con un directorio de esa región.

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione laAWSRegión de WorkSpaces. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta). 4. UNDERAsociaciones de redireccionamiento entre regionesSeleccione la cadena de conexión y, a continuación, elijaActions,Asociar/desasociar.

También puede asociar un alias de conexión a un directorio desde la página de detalles del alias de conexión. Para ello, enDirectorio asociado, elijaDirectorio de asociados. 5. En la páginaAsociar/desasociarpágina, BajoAsociar a un directorio, seleccione el directorio con el que desea asociar su alias de conexión en esteAWSRegión . Note

Si configura suAWSDirectorio de Microsoft AD administrado para replicación multiregión, sólo se puede utilizar el directorio de la región principal con Amazon WorkSpaces. Los intentos de utilizar el directorio en una región replicada con Amazon WorkSpaces fallarán. Replicación

203 Amazon WorkSpaces Guía de administración Paso 4: Configurar el servicio DNS y configurar directivas de enrutamiento DNS

de varias regiones conAWSNo se admite el uso de Microsoft AD administrado con Amazon WorkSpaces en regiones replicadas. 6. Elija Associate. 7. Repita estos pasos, pero en.Step 2 (p. 203)Asegúrese de seleccionar la región de conmutación por error para los WorkSpaces. Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de asociar el mismo alias de conexión con un directorio en cada región de conmutación por error.

Paso 4: Configurar el servicio DNS y configurar directivas de enrutamiento DNS

Después de crear los alias de conexión y los pares de asociación de alias de conexión, puede configurar el servicio DNS para el dominio que ha utilizado en las cadenas de conexión. Puede utilizar cualquier proveedor de servicios DNS para este propósito. Si aún no tiene un proveedor de servicios DNS preferido, puede utilizar Amazon Route 53. Para obtener más información, consulteConfiguración de Amazon Route 53 como servicio DNSen laAmazon Route 53 Developer.

Después de configurar el servicio DNS para el dominio, debe configurar las directivas de enrutamiento DNS que desea utilizar para la redirección entre regiones. Por ejemplo, puede utilizar las comprobaciones de estado de Amazon Route 53 para determinar si los usuarios pueden conectarse a sus WorkSpaces en una región determinada. Si los usuarios no pueden conectarse, puede usar una directiva de conmutación por error de DNS para enrutar el tráfico DNS de una región a otra.

Para obtener más información sobre cómo elegir la política de enrutamiento de DNS, consulte.Elección de una política de enrutadoen laAmazon Route 53 Developer. Para obtener más información sobre las comprobaciones de estado de Amazon Route 53, consulte.Cómo comprueba Amazon Route 53 el estado de los recursosen laAmazon Route 53 Developer.

Cuando configure sus directivas de enrutamiento DNS, necesitará elidentificador de conexiónpara la asociación entre el alias de conexión y el directorio WorkSpaces en la región principal. También necesitará el identificador de conexión para la asociación entre el alias de conexión y el directorio WorkSpaces en su región o regiones de conmutación por error. Note

El identificador de conexión esnoigual que el ID de alias de conexión. El ID de alias de conexión comienza conwsca-.

Para encontrar el identificador de conexión de una asociación de alias de conexión

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione laAWSRegión de WorkSpaces. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta). 4. UNDERAsociaciones de redireccionamiento entre regiones, seleccione el texto de la cadena de conexión (el FQDN) para ver la página de detalles del alias de conexión. 5. En la página de detalles del alias de conexión, enDirectorio asociadoTome nota del valor que se muestra paraIdentificador de conexión. 6. Repita estos pasos, pero en.Step 2 (p. 204)Asegúrese de seleccionar la región de conmutación por error para los WorkSpaces. Si tiene más de una región de conmutación por error, repita estos pasos para buscar el identificador de conexión para cada región de conmutación por error.

204 Amazon WorkSpaces Guía de administración Paso 4: Configurar el servicio DNS y configurar directivas de enrutamiento DNS

Ejemplo: Para configurar una directiva de enrutamiento de conmutación por error de DNS mediante Route 53

En el ejemplo siguiente se configura una zona hospedada pública para el dominio. Sin embargo, puede configurar una zona hospedada pública o privada. Para obtener más información sobre la configuración de una zona hospedada, consulte.Uso de zonas alojadasen laAmazon Route 53 Developer.

En este ejemplo también se utiliza una directiva de enrutamiento de conmutación por error. Puede utilizar otros tipos de directivas de enrutamiento para la estrategia de redirección entre regiones. Para obtener más información sobre cómo elegir la política de enrutamiento de DNS, consulte.Elección de una política de enrutadoen laAmazon Route 53 Developer.

Cuando está configurando una directiva de enrutamiento de conmutación por error en Route 53, se requiere una comprobación de estado para la región principal. Para obtener más información sobre cómo crear una comprobación de estado en Route 53, consulteCreación de comprobaciones de estado de Amazon Route 53 y configuración de la conmutación por error a nivel de DNSyCreación, actualización y eliminación de comprobaciones de estadoen laAmazon Route 53 Developer.

Si desea utilizar una alarma de Amazon CloudWatch con su comprobación de estado de Route 53, también deberá configurar una alarma de CloudWatch para supervisar los recursos de su región principal. Para obtener más información sobre CloudWatch, consulte¿Qué es Amazon CloudWatch?en laGuía del usuario de Amazon CloudWatch. Para obtener más información acerca de cómo Route 53 utiliza las alarmas de CloudWatch en sus comprobaciones de estado, consulte.Cómo determina Route 53 el estado de las comprobaciones de estado que monitorizan las alarmas de CloudWatchySupervisión de una alarma de CloudWatchen laAmazon Route 53 Developer.

Para configurar una directiva de enrutamiento de conmutación por error de DNS en Route 53, primero debe crear una zona alojada para su dominio.

1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/. 2. En el panel de navegación, seleccioneZonas hospedadasHaga clic en y luego enCrear zona alojada. 3. En la páginaCreación de zona alojada, escriba su nombre de dominio (comoexample.com) enDomain name (Nombre del dominio). 4. UNDERTipo, elijaZona hospedada pública. 5. SeleccionarCrear zona alojada.

A continuación, cree una comprobación de estado para su región principal.

1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/. 2. En el panel de navegación, seleccioneComprobaciones de estadoHaga clic en y luego enCrea una comprobación de estado.. 3. En la páginaConfigurar comprobación de estado, escriba un nombre para su comprobación de estado. 4. ParaQué se debe monitorizar, seleccionePunto de enlace,Estado de las comprobaciones de estado (comprobaciones de estado calculadas), o bienEstado de la alarma de CloudWatch. 5. Dependiendo de lo que haya seleccionado en el paso anterior, configure la comprobación de estado y, a continuación, elijaSiguiente. 6. En la páginaRecibir notificaciones cuando falle la comprobación de estadoPágina, paraCrear alarma, elijaSíorNo. 7. SeleccionarCrea una comprobación de estado..

Una vez creada la comprobación de estado, podrá crear los registros de conmutación por error a nivel de DNS.

1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/. 2. En el panel de navegación, elija Hosted zones (Zonas alojadas).

205 Amazon WorkSpaces Guía de administración Paso 4: Configurar el servicio DNS y configurar directivas de enrutamiento DNS

3. En la páginaZonas hospedadas, seleccione su nombre de dominio. 4. En la página de detalles del nombre de dominio, elijaCrear registro. 5. En la páginaCómo elegir una política de direccionamientoPágina, seleccioneConmutación por error enHaga clic en y luego enSiguiente. 6. En la páginaConfigurar registrospágina, enConfiguración básica, paraNombre del registro, ingrese su nombre de subdominio. Por ejemplo, si su FQDN esdesktop.example.com, introduzcadesktop. Note

Si desea utilizar el dominio raíz, dejeNombre del registroEn blanco. No obstante, le recomendamos que utilice un subdominio, comodesktoporworkspaces, a menos que haya configurado el dominio únicamente para su uso con WorkSpaces. 7. ParaTipo de registroPara ello, seleccioneTXT: se utiliza para verificar remitentes de correo electrónico y valores específicos de la aplicación. 8. Deje elSegundos TTTLen el valor predeterminado. 9. UNDERRegistros de conmutación por error para agregar anombre_dominio, elijaDefinir registro de conmutación por error.

Ahora necesita configurar los registros de conmutación por error para las regiones principal y de conmutación por error.

Ejemplo: Para configurar el registro de conmutación por error para su región principal

1. En el navegadorDefinir registro de conmutación por errorCuadro de diálogo, paraValor/ruta de destino del tráficoPara ello, seleccioneDirección IP u otro valor en función del tipo de registro. 2. Se abre un cuadro para que escriba las entradas de texto de ejemplo. Introduzca el identificador de conexión para la asociación de alias de conexión para su región principal. 3. ParaTipo de registro de conmutación por error, elijaPrimary. 4. ParaComprobación de estado, seleccione una comprobación de estado que haya creado para su región principal. 5. ParaID de registroIntroduzca una descripción para identificar este registro. 6. SeleccionarDefinir registro de conmutación por error. El nuevo registro de conmutación por error aparece enRegistros de conmutación por error para agregar anombre_dominio.

Ejemplo: Para configurar el registro de conmutación por error para su región de conmutación por error

1. UNDERRegistros de conmutación por error para agregar anombre_dominio, elijaDefinición de registro de conmutación por error. 2. En el navegadorDefinición de registro de conmutación por errorCuadro de diálogo, paraValor/ruta de destino del tráficoPara ello, seleccioneDirección IP u otro valor en función del tipo de registro. 3. Se abre un cuadro para que escriba las entradas de texto de ejemplo. Introduzca el identificador de conexión para la asociación de alias de conexión para la región de conmutación por error. 4. ParaTipo de registro de conmutación por error, elijaSecundaria. 5. (Opcional) ParaComprobación de estado, introduzca una comprobación de estado que ha creado para su región de conmutación por error. 6. ParaID de registroIntroduzca una descripción para identificar este registro. 7. SeleccionarDefinición de registro de conmutación por error. El nuevo registro de conmutación por error aparece enRegistros de conmutación por error para agregar anombre_dominio.

Si se produce un error en la comprobación de estado que ha configurado para la región principal, la política de direccionamiento de conmutación por error a nivel de DNS redirige a los usuarios de WorkSpaces

206 Amazon WorkSpaces Guía de administración Paso 5: Enviar la cadena de conexión a los usuarios de WorkSpaces a la región de conmutación por error. Route 53 sigue supervisando la comprobación de estado de la región principal y, cuando la comprobación de estado de la región principal ya no falla, Route 53 redirige automáticamente a los usuarios de WorkSpaces a sus WorkSpaces en la región principal.

Para obtener más información sobre la creación de registros de DNS, consulte.Crear registros mediante la consola de Amazon Route 53en laAmazon Route 53 Developer. Para obtener más información acerca de la configuración de registros TXT de DNS, consulteTipo de registro TXTen laAmazon Route 53 Developer. Paso 5: Enviar la cadena de conexión a los usuarios de WorkSpaces

Para asegurarse de que los WorkSpaces de los usuarios se redirijan según sea necesario durante una interrupción, debe enviar la cadena de conexión (FQDN) a los usuarios. Si ya ha emitido códigos de registro basados en la región (por ejemplo,WSpdx+ABC12D) a los usuarios de WorkSpaces, esos códigos siguen siendo válidos. Sin embargo, para que funcione la redirección entre regiones, los usuarios de WorkSpaces deben utilizar la cadena de conexión como código de registro al registrar sus WorkSpaces en la aplicación cliente WorkSpaces. Important

Si crea usuarios en la consola de WorkSpaces en lugar de crearlos en Active Directory, WorkSpaces envía automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en región (por ejemplo,WSpdx+ABC12D) cada vez que inicie un espacio de WorkSpace nuevo. Incluso si ya ha configurado la redirección entre regiones, el correo electrónico de invitación que se envía automáticamente para los nuevos WorkSpaces contiene este código de registro basado en regiones en lugar de la cadena de conexión. Para asegurarse de que los usuarios de WorkSpaces utilizan la cadena de conexión en lugar del código de registro basado en la región, debe enviarles otro correo electrónico con la cadena de conexión mediante el procedimiento siguiente.

Para enviar la cadena de conexión a los usuarios de WorkSpaces

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione laAWSRegión de WorkSpaces. 3. En el panel de navegación, seleccione WorkSpaces. 4. En la páginaWorkSpaces deUtilice el cuadro de búsqueda para buscar el usuario al que desea enviar una invitación y, a continuación, seleccione el WorkSpace correspondiente en los resultados de la búsqueda. Solo puede seleccionar un WorkSpace a la vez. 5. Seleccione Actions (Acciones), Invite User (Invitar usuario). 6. En la páginaInvitar usuarios a sus WorkSpacesEn la página, verá una plantilla de correo electrónico para enviársela a los usuarios. 7. (Opcional) Si hay más de un alias de conexión asociado al directorio de WorkSpaces, seleccione la cadena de conexión que desea que los usuarios utilicen en la lista desplegableCadena de alias de conexiónlista. La plantilla de correo electrónico se actualiza para mostrar la cadena que ha elegido. 8. Copie el texto de la plantilla de correo electrónico y péguelo en un correo electrónico a los usuarios utilizando su propia aplicación de correo electrónico. En su aplicación de correo electrónico, puede modificar el texto según sea necesario. Cuando el correo electrónico de invitación esté listo, envíelo a los usuarios.

Qué ocurre durante la redirección entre regiones

En caso de interrupción, los usuarios de WorkSpaces se desconectan de sus WorkSpaces en la región principal. Cuando intentan volver a conectarse, reciben el siguiente mensaje de error:

207 Amazon WorkSpaces Guía de administración Desasociar un alias de conexión de un directorio

We can't connect to your WorkSpace. Check your network connection, and then try again.

A continuación, se le pedirá a los usuarios que inicien sesión nuevamente. Si utilizan el FQDN como código de registro, cuando vuelven a iniciar sesión, las políticas de direccionamiento de conmutación por error a nivel de DNS las redirigen a los escritorios de WorkSpaces que ha configurado para ellos en la región de conmutación por error. Note

En algunos casos, es posible que los usuarios no puedan volver a conectarse cuando vuelvan a iniciar sesión. Si se produce este comportamiento, deben cerrar y reiniciar la aplicación cliente de WorkSpaces y, a continuación, intentar iniciar sesión de nuevo. Desasociar un alias de conexión de un directorio

Sólo la cuenta que posee un directorio puede desasociar un alias de conexión del directorio.

Si ha compartido un alias de conexión con otra cuenta de y ha asociado el alias de conexión con un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para desasociar el alias de conexión del directorio.

Para desasociar un alias de conexión de un directorio

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione la casillaAWSRegión que contiene el alias de conexión que desea desasociar. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta). 4. UNDERAsociaciones de redireccionamiento entre regionesSeleccione la cadena de conexión y, a continuación, elijaActions,Asociar/desasociar.

También puede disociar un alias de conexión de la página de detalles del alias de conexión. Para ello, enDirectorio asociado, elijaDisassociate. 5. En la páginaAsociar/desasociarPágina, elijaDisassociate. 6. En el cuadro de diálogo que le pide que confirme la desasociación, elijaDisassociate.

Dejar de compartir un alias de conexión

Sólo el propietario de un alias de conexión puede dejar de compartir el alias. Si deja de compartir un alias de conexión con una cuenta, esa cuenta ya no podrá asociar el alias de conexión a un directorio.

Para dejar de compartir un alias de conexión

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione la casillaAWSRegión que contiene el alias de conexión que desea dejar de compartir. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta). 4. UNDERAsociaciones de redireccionamiento entre regionesSeleccione la cadena de conexión y, a continuación, elijaActions,Compartir/no compartir alias de conexión.

También puede dejar de compartir un alias de conexión desde la página de detalles del alias de conexión. Para ello, enCuenta compartida, elijaDejar de compartir. 5. En la páginaCompartir/no compartir alias de conexiónPágina, elijaDejar de compartir. 6. En el cuadro de diálogo que le pide que confirme la anulación de compartir el alias de conexión, elijaDejar de compartir.

208 Amazon WorkSpaces Guía de administración Eliminación de un alias de conexión

Eliminación de un alias de conexión

Puede eliminar un alias de conexión solo si es propiedad de su cuenta y si no está asociado a un directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, esa cuenta debe desasociar primero el alias de conexión del directorio antes de poder eliminar el alias de conexión. Important

Después de crear una cadena de conexión, siempre está asociada a suAWSaccount. No puede volver a crear la misma cadena de conexión con una cuenta diferente aunque elimine todas las instancias de la misma de la cuenta original. La cadena de conexión está reservada globalmente para su cuenta. Warning

Si ya no va a utilizar un FQDN como código de registro para los usuarios de WorkSpaces, debe tomar ciertas precauciones para evitar posibles problemas de seguridad. Para obtener más información, consulte Consideraciones de seguridad si deja de utilizar la redirección entre regiones (p. 210).

Para eliminar un alias de conexión

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En la esquina superior derecha de la consola, seleccione la casillaAWSRegión que contiene el alias de conexión que desea eliminar. 3. En el panel de navegación, elija Account Settings (Configuración de cuenta). 4. UNDERAsociaciones de redireccionamiento entre regionesSeleccione la cadena de conexión y, a continuación, elijaEliminar.

También puede eliminar un alias de conexión de la página de detalles del alias de conexión. Para ello, elija.Eliminaren la esquina superior derecha de la página. Note

Si el archivo deEliminarestá deshabilitado, asegúrese de que usted es el propietario del alias y asegúrese de que el alias no está asociado a un directorio. 5. En el cuadro de diálogo que le pide que confirme la eliminación, elijaEliminar.

Permisos de IAM para asociar y desasociar alias de conexión

Si utiliza un usuario de IAM para asociar o desasociar alias de conexión, el usuario debe tener permisos paraworkspaces:AssociateConnectionAliasyworkspaces:DisassociateConnectionAlias.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ],

209 Amazon WorkSpaces Guía de administración Consideraciones de seguridad si deja de utilizar la redirección entre regiones

"Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }

Important

Si está creando una directiva de IAM para asociar o desasociar alias de conexión para cuentas que no poseen los alias de conexión, no puede especificar un ID de cuenta en el ARN. En su lugar, debe usar*Para obtener el ID de cuenta, tal y como se muestra en la siguiente política de ejemplo de.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ] }

Puede especificar un ID de cuenta en el ARN sólo cuando esa cuenta posee el alias de conexión que se va a asociar o desasociar.

Para obtener más información sobre cómo trabajar con IAM, consulteAdministración de identidades y accesos para WorkSpaces (p. 213). Consideraciones de seguridad si deja de utilizar la redirección entre regiones

Si ya no va a utilizar un FQDN como código de registro para los usuarios de WorkSpaces, debe tomar las siguientes precauciones para evitar posibles problemas de seguridad:

• Asegúrese de emitir a los usuarios de WorkSpaces el código de registro específico de la región (por ejemplo,WSpdx+ABC12D) para su directorio WorkSpaces e indicarles que dejen de usar el FQDN como código de registro. • Si aún eres propietario de este dominio, asegúrese de actualizar el registro TXT de DNS para eliminar este dominio de modo que no se pueda explotar en un ataque de phishing. Si quita este dominio del registro TXT DNS y los usuarios de WorkSpaces intentan utilizar el FQDN como código de registro, sus intentos de conexión fallarán de forma inofensiva. • Si ya no eres propietario de este dominio, los usuarios de WorkSpacesdebeutilizar su código de registro específico de la región. Si continúan intentando usar el FQDN como código de registro, sus intentos de conexión podrían redirigirse a un sitio malicioso.

210 Amazon WorkSpaces Guía de administración Protección de los datos

Seguridad en Amazon WorkSpaces

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube – AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los Programas de conformidad de AWS . Para obtener más información acerca de los programas de conformidad que se aplican a WorkSpaces, consulteAWSServicios de conformidad. • Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartida cuando se utiliza WorkSpaces. Muestra cómo configurar WorkSpaces para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otrosAWSServicios de WorkSpaces que le ayudan a supervisar y proteger los recursos de.

Contenido • Protección de datos en Amazon WorkSpaces (p. 211) • Administración de identidades y accesos para WorkSpaces (p. 213) • Validación de conformidad para Amazon WorkSpaces (p. 221) • Resiliencia en Amazon WorkSpaces (p. 221) • Seguridad de la infraestructura en Amazon WorkSpaces (p. 222) • Administración de actualizaciones en WorkSpaces (p. 225)

Protección de datos en Amazon WorkSpaces

LaAWS Modelo de responsabilidad compartidase aplica a la protección de datos en Amazon WorkSpaces. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS . Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración de los servicios de AWS que utiliza usted. Para obtener más información acerca de la privacidad de los datos, consulte las Preguntas frecuentes sobre la privacidad de datos. Para obtener información acerca de la protección de datos en Europa, consulte la publicación de blog The AWS Shared Responsability Model and GDPR en el Blog de seguridad de AWS.

Para fines de protección de datos, recomendamos proteger Cuenta de AWS y configurar cuentas de usuario individuales conAWS Identity and Access Management(IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir con sus obligaciones laborales. También le recomendamos proteger sus datos de las siguientes formas:

211 Amazon WorkSpaces Guía de administración Cifrado en reposo

• Utilice Multi-Factor Authentication (MFA) con cada cuenta. • Utilice SSL/TLS para comunicarse con los recursos de AWS. Le recomendamos TLS 1.2 o una versión posterior. • Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. • Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados de los servicios de AWS. • Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que le ayuden a detectar y proteger los datos personales almacenados en Amazon S3. • Si necesita módulos criptográficos validados FIPS 140-2 cuando accede a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de enlace de FIPS. Para obtener más información acerca de los puntos de enlace de FIPS disponibles, consulte Estándar de procesamiento de la información federal (FIPS) 140-2.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el campo Name (Nombre). Esto incluye cuando trabaje con WorkSpaces u otrosAWSutilizando la consola, API,AWS CLI, o bienAWSSDK de. Los datos que ingresa en etiquetas o campos de formato libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Para obtener más información acerca del cifrado de WorkSpaces y FIPS, consulteConfigurar Amazon WorkSpaces para la autorización FedRAMP o el cumplimiento del DoD SRG (p. 55). Cifrado en reposo

Puede cifrar los volúmenes de almacenamiento de sus escritorios de WorkSpaces utilizando las claves maestras del cliente (CMK) de AWS Key Management Service. Para obtener más información, consulte Escritorios de WorkSpaces cifrados (p. 133).

Al crear escritorios de WorkSpaces con volúmenes cifrados, WorkSpaces utiliza Amazon Elastic Block Store (Amazon EBS) para crear y administrar los volúmenes. EBS cifra los volúmenes con una clave de datos que utiliza el algoritmo estándar de la industria AES-256. Para obtener más información, consulteCifrado de Amazon EBSen laGuía del usuario de Amazon EC2 para instancias de Windows. Cifrado en tránsito

Para PCoIP, los datos en tránsito se cifran mediante el cifrado TLS 1.2 y la firma de solicitudes Sigv4. El protocolo PCoIP utiliza tráfico UDP cifrado, con cifrado AES, para los píxeles de streaming. La conexión de streaming, utilizando el puerto 4172 (TCP y UDP), se cifra mediante cifrado AES-128 y AES-256, pero el cifrado es de 128 bits. Puede cambiar este valor predeterminado a 256 bits, ya sea mediante el comandoConfigurar la configuración de seguridad de PCoIPConfiguración de directiva de grupo para Windows WorkSpaces, o modificando laConfiguración de seguridad PCoIPen lapcoip-agent.confpara Amazon Linux WorkSpaces.

Para obtener más información sobre la administración de directivas de grupo para Amazon WorkSpaces, consulteConfigurar configuración de seguridad PCoIP (p. 109)inAdministración de Windows WorkSpaces (p. 100). Para obtener más información acerca de la modificación de lapcoip-agent.conf, consulteControlar el comportamiento del agente PCoIP en Amazon Linux WorkSpaces (p. 121)yConfiguración de seguridad PCoIPen la documentación de Teradici.

Para WorkSpaces Streaming Protocol (WSP), los datos de transmisión y control en tránsito se cifran mediante el cifrado DTLS 1.2 para el tráfico UDP y el cifrado TLS 1.2 para el tráfico TCP, con cifrado AES-256.

212 Amazon WorkSpaces Guía de administración Administración de identidades y accesos

Administración de identidades y accesos para WorkSpaces

De forma predeterminada, los usuarios de IAM no tienen permisos para los recursos y las operaciones de WorkSpaces. Para permitir a los usuarios de IAM administrar recursos de WorkSpaces, debe crear una política de IAM que les conceda explícitamente los permisos y asociar la política a los usuarios o grupos de IAM que necesitan esos permisos. Para obtener más información acerca de las políticas de IAM, consultePolíticas y permisosen laGuía del usuario de IAMGuía.

WorkSpaces también crea un rol de IAM para permitir que el servicio WorkSpaces acceda a los recursos necesarios. Note

Amazon WorkSpaces no permite aprovisionar credenciales de IAM en un WorkSpace (por ejemplo, con un perfil de instancia).

Para obtener más información acerca de IAM, consulteIdentity and Access Management (IAM)y laGuía del usuario de IAM. Encontrará claves de contexto de condición, acciones y recursos específicos de WorkSpaces para utilizarlos en las políticas de permisos de IAM enClaves de condición, recursos y acciones de Amazon WorkSpacesen laGuía del usuario de IAM.

Para obtener una herramienta que le ayude a crear políticas de IAM, consulte la AWSgenerador de políticas. También puede utilizar laSimulador de directivas de IAMPara comprobar si una política permitiría o denegaría una solicitud específica deAWS.

Example 1: Realizar todas las tareas WorkSpaces

La siguiente instrucción de política concede a un usuario de IAM permiso para realizar todas las tareas de WorkSpaces, incluida la creación y administración de directorios. También concede permiso para ejecutar el procedimiento de configuración rápida. Important

Aunque Amazon WorkSpaces es totalmente compatible con elActionyResourcecuando se utiliza la API y las herramientas de línea de comandos, para utilizar Amazon WorkSpaces desde elAWS Management Console, un usuario de IAM debe tener permisos para las siguientes acciones y recursos:

• Acciones:»workspaces:*" y "ds:*" • Recursos: "Resource": "*"

En el ejemplo de política siguiente se muestra cómo permitir que un usuario de IAM utilice Amazon WorkSpaces desde laAWS Management Console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy",

213 Amazon WorkSpaces Guía de administración Administración de identidades y accesos

"kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }

Example 2: Realizar tareas específicas del espacio de trabajo

La siguiente instrucción de política concede a un usuario de IAM permiso para realizar solamente tareas específicas de WorkSpaces, como lanzar y eliminar WorkSpaces. En la instrucción de política, la acción ds:* concede permisos amplios: un control absoluto sobre todos los objetos de Directory Services de la cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PutRolePolicy" ], "Resource": "*" } ] }

Para conceder también al usuario la capacidad de habilitar Amazon WorkDocs para los usuarios de WorkSpaces, añada laworkdocsLa operación que se muestra en el ejemplo siguiente.

{ "Version": "2012-10-17", "Statement": [

214 Amazon WorkSpaces Guía de administración Administración de identidades y accesos

{ "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }

Para conceder también al usuario la capacidad de utilizar el Asistente de lanzamiento de WorkSpaces, añada las operaciones kms que se muestran en el siguiente ejemplo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

Example 3: Realizar todas las tareas de WorkSpaces para BYOL WorkSpaces

La siguiente instrucción de directiva otorga a un usuario de IAM permiso para realizar todas las tareas de WorkSpaces, incluidas las tareas de Amazon EC2 necesarias para crear WorkSpaces de Bring Your Own License (BYOL).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeImages", "ec2:ModifyImageAttribute", "ec2:DescribeInternetGateways",

215 Amazon WorkSpaces Guía de administración Creación del rol workspaces_DefaultRole

"ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }

Creación del rol workspaces_DefaultRole

Para poder registrar un directorio con la API, debe crear el rol workspaces_DefaultRole, si aún no existe.

Para crear el rol workspaces_DefaultRole

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https:// console.aws.amazon.com/iam/. 2. En el panel de navegación de la izquierda, seleccione Roles. 3. Elija Create role. 4. UNDERSeleccione el tipo de entidad de confianza, elijaOtroAWSaccount. 5. En Account ID (ID de cuenta), escriba el ID de la cuenta sin guiones ni espacios. 6. En Options (Opciones), no especifique multi-factor authentication (MFA). 7. Seleccione Next (Siguiente): Permisos. 8. En la páginaAdjuntar directivas de permisos, seleccione laAWSPolíticas administradas porAmazonWorkSpacesServiceAccessyAmazonWorkSpacesSelfServiceAccess. 9. UNDERDefinir límite de permisosSe recomienda que no utilice un límite de permisos debido a la posibilidad de conflictos con las políticas asociadas al rol workspaces_DefaultRole. Estos conflictos podrían bloquear ciertos permisos necesarios para el rol. 10. Seleccione Next (Siguiente): Tags (Etiquetas). 11. En la página Add tags (optional) [Agregar etiquetas (opcional)], añada las etiquetas que correspondan. 12. Seleccione Next (Siguiente): Consulte. 13. En la páginaReview (Revisar)Página, paraNombre de rol, introduzcaworkspaces_DefaultRole. 14. (Opcional) En Role description (Descripción del rol), escriba una descripción. 15. Elija Create Role. 16. En la página Summary (Resumen) del rol workspaces_DefaultRole, seleccione la pestaña Trust relationships (Relaciones de confianza). 17. En la pestaña Trust relationships (Relaciones de confianza), elija Edit trust relationship (Editar relación de confianza). 18. En la página Edit Trust Relationship (Editar relación de confianza), sustituya la instrucción de política existente por la siguiente instrucción.

216 Amazon WorkSpaces Guía de administración Especificar recursos de WorkSpaces en una directiva de IAM

{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

19. Elija Update Trust Policy.

Especificar recursos de WorkSpaces en una directiva de IAM

Para especificar un recurso de WorkSpaces en el cuadroResourceEl elemento de la instrucción de la política, utilice el nombre de recurso de Amazon (ARN) del recurso. Puede controlar el acceso a los recursos de WorkSpaces permitiendo o denegando permisos para utilizar las acciones de la API especificadas en laActionde su declaración de política de IAM. WorkSpaces define ARN para WorkSpaces, paquetes, grupos IP y directorios. ARN de espacio de trabajo

Los ARN de WorkSpace tienen la sintaxis que se muestra en el ejemplo siguiente. arn:aws:workspaces:region:account_id:workspace/workspace_identifier region

La región en la que se encuentra el WorkSpace (por ejemplo, us-east-1). id_cuenta

El ID de laAWS, sin guiones (por ejemplo,123456789012). identificador_espacio_trabajo

El ID del WorkSpace (por ejemplo, ws-a1bcd2efg).

Este es el formato del elemento Resource de una instrucción de política que identifica un WorkSpace específico:

"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

Puede utilizar*Para especificar todos los WorkSpaces que pertenecen a una cuenta específica de una determinada región. ARN de la imagen

Los ARN de la imagen de WorkSpace tienen la sintaxis que se muestra en el ejemplo siguiente. arn:aws:workspaces:region:account_id:workspaceimage/image_identifier

217 Amazon WorkSpaces Guía de administración Especificar recursos de WorkSpaces en una directiva de IAM region

La región en la que se encuentra la imagen de WorkSpace (por ejemplo,us-east-1). id_cuenta

El ID de laAWS, sin guiones (por ejemplo,123456789012). identificador_paquete

El ID de la imagen de WorkSpace (por ejemplo,wsi-a1bcd2efg).

Este es el formato de laResourceelemento de una instrucción de política que identifica una imagen específica.

"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"

Puede utilizar*comodín para especificar todas las imágenes que pertenecen a una cuenta específica en una región concreta. ARN de paquete

Los ARN de los paquetes tienen la sintaxis que se muestra en el siguiente ejemplo. arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier region

La región en la que se encuentra el WorkSpace (por ejemplo, us-east-1). id_cuenta

El ID de laAWS, sin guiones (por ejemplo,123456789012). identificador_paquete

El ID del paquete de WorkSpace (por ejemplo, wsb-a1bcd2efg).

Este es el formato del elemento Resource de una instrucción de política que identifica un paquete específico.

"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

Puede utilizar*comodín para especificar todos los paquetes que pertenecen a una cuenta específica en una región específica. ARN de grupo de IP

Los ARN de los grupos de IP tienen la sintaxis que se muestra en el ejemplo siguiente. arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier region

La región en la que se encuentra el WorkSpace (por ejemplo, us-east-1). id_cuenta

El ID de laAWS, sin guiones (por ejemplo,123456789012).

218 Amazon WorkSpaces Guía de administración Especificar recursos de WorkSpaces en una directiva de IAM grupoip_identificador

ID del grupo de IP (por ejemplo, wsipg-a1bcd2efg).

Este es el formato del elemento Resource de una instrucción de política que identifica un grupo de IP específico.

"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

Puede utilizar*comodín para especificar todos los grupos de IP que pertenecen a una cuenta específica en una región específica. ARN de directorio

Los ARN de los directorios tienen la sintaxis que se muestra en el ejemplo siguiente. arn:aws:workspaces:region:account_id:directory/directory_identifier region

La región en la que se encuentra el WorkSpace (por ejemplo, us-east-1). id_cuenta

El ID de laAWS, sin guiones (por ejemplo,123456789012). directorio_identificador

ID del directorio (por ejemplo, d-12345a67b8).

Este es el formato del elemento Resource de una instrucción de política que identifica un directorio específico.

"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

Puede utilizar*comodín para especificar todos los directorios que pertenecen a una cuenta específica en una región específica. ARN del alias de la conexión

Los alias de ARN la sintaxis que se muestra en el ejemplo siguiente. arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier region

La región en la que se encuentra el alias de conexión (por ejemplo,us-east-1). id_cuenta

El ID de laAWS, sin guiones (por ejemplo,123456789012). connectionalias_identifier

El ID del alias de conexión (por ejemplo,wsca-12345a67b8).

Este es el formato de laResourceelemento de una instrucción de política que identifica un alias de conexión específico.

219 Amazon WorkSpaces Guía de administración Especificar recursos de WorkSpaces en una directiva de IAM

"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"

Puede utilizar*comodín para especificar todos los alias de conexión que pertenecen a una cuenta específica de una determinada región. Acciones de la API sin compatibilidad con los permisos de nivel de recursos

No puede especificar el ARN de un recurso con las siguientes acciones de API:

• AssociateIpGroups • CreateIpGroup • CreateTags • DeleteTags • DeleteWorkspaceImage • DescribeAccount • DescribeAccountModifications • DescribeTags • DescribeWorkspaceDirectories • DescribeWorkspaceImages • DescribeWorkspaces • DescribeWorkspacesConnectionStatus • DisassociateIpGroups • ImportWorkspaceImage • ListAvailableManagementCidrRanges • ModifyAccount

En el caso de las acciones de la API que no admiten los permisos a nivel de recursos, debe especificar la instrucción de recursos que se muestra en el ejemplo siguiente.

"Resource": "*"

Acciones de API que no admiten restricciones a nivel de cuenta en recursos compartidos

Para las siguientes acciones de API, no puede especificar un ID de cuenta en el ARN del recurso cuando el recurso no es propiedad de la cuenta:

• AssociateConnectionAlias • CopyWorkspaceImage • DisassociateConnectionAlias

Para estas acciones de API, puede especificar un ID de cuenta en el ARN de recursos solo cuando esa cuenta posee los recursos sobre los que se debe actuar. Cuando la cuenta no posee los recursos, debe especificar*Para obtener el ID de cuenta de, tal y como se muestra en el ejemplo siguiente.

"arn:aws:workspaces:region:*:resource_type/resource_identifier"

220 Amazon WorkSpaces Guía de administración Validación de la conformidad

Validación de conformidad para Amazon WorkSpaces

Auditores externos evalúan la seguridad y la conformidad de Amazon WorkSpaces en distintosAWSProgramas de conformidad Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.

Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos, consulte AWS Services in Scope by Compliance Program (Servicios en el ámbito de programas de conformidad). Para obtener información general, consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte Descarga de informes en AWS Artifact.

Para obtener más información acerca de WorkSpaces y FedRAMP, consulteConfigurar Amazon WorkSpaces para la autorización FedRAMP o el cumplimiento del DoD SRG (p. 55).

Su responsabilidad de conformidad al utilizar WorkSpaces se determina en función de la confidencialidad de los datos, los objetivos de conformidad de su empresa, así como de la legislación y los reglamentos aplicables.AWSproporciona los siguientes recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS. • Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA : en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA. • Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector y ubicación. • Evaluación de recursos con reglasen la AWS Config Guía para desarrolladores–AWS Config; evalúa en qué medida las configuraciones de los recursos cumplen las prácticas internas, las directrices del sector y las normativas. • AWS Security Hub: este servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sector de seguridad.

Resiliencia en Amazon WorkSpaces

La infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulte Infraestructura global de AWS.

Amazon WorkSpaces también proporciona redirección entre regiones, una característica que funciona con las políticas de enrutamiento de conmutación por error del sistema de nombres de dominio (DNS) para redirigir a los usuarios de WorkSpaces a escritorios de WorkSpaces alternativos en otroAWSRegione cuando sus escritorios de WorkSpaces principales no están disponibles. Para obtener más información, consulte Redirección entre regiones para Amazon WorkSpaces (p. 199).

221 Amazon WorkSpaces Guía de administración Seguridad de la infraestructura

Seguridad de la infraestructura en Amazon WorkSpaces

Como servicio gestionado, Amazon WorkSpaces está protegido por laAWSProcedimientos de seguridad de red globales de que se describen enAmazon Web Services Información general de los procesos de seguridadDocumento técnico.

UtilizaAWSPara obtener acceso a WorkSpaces a través de la red. Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior. Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que estén asociados a una entidad principal de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes. Aislamiento de red

Una nube virtual privada (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Puede implementar sus escritorios de WorkSpaces en una subred privada de la VPC. Para obtener más información, consulte Configurar una VPC para WorkSpaces (p. 10) .

Para permitir únicamente el tráfico de intervalos de direcciones específicos (por ejemplo, de la red corporativa), actualice el grupo de seguridad de la VPC o utilice un grupo de control de acceso IP (p. 48).

Puede restringir el acceso a escritorios de WorkSpaces a dispositivos de confianza con certificados válidos. Para obtener más información, consulte Restringir el acceso a WorkSpaces a (p. 36) . Aislamiento en hosts físicos

Los diferentes escritorios de WorkSpaces que se encuentran en el mismo host físico están aislados entre sí a través del hipervisor. Es como si estuvieran en hosts físicos distintos. Cuando se elimina un escritorio de WorkSpaces, el hipervisor limpia la memoria asignada (la establece en cero) antes de asignarla a un nuevo escritorio de WorkSpaces. Autorización de usuarios corporativos

Con WorkSpaces, los directorios se administran a través deAWS Directory Service. Puede crear un directorio administrado independiente para los usuarios. O bien, puede realizar la integración con el entorno de Active Directory existente para que los usuarios puedan usar sus credenciales actuales para obtener acceso fácilmente a los recursos corporativos. Para obtener más información, consulte Administrar directorios para WorkSpaces (p. 63) .

Para controlar aún más el acceso a sus escritorios de WorkSpaces, utilice la autenticación multifactor. Para obtener más información, consulteCómo habilitar la autenticación multifactor paraAWSServicios. Realizar solicitudes de la API de Amazon WorkSpaces a través de VPC de enlace de interfaz

Puede conectarse directamente a los puntos finales de la API de Amazon WorkSpaces a través de unPunto de enlace de interfaz deen su nube virtual privada (VPC) en lugar de conectarse a través de

222 Amazon WorkSpaces Guía de administración Realizar solicitudes de la API de Amazon WorkSpaces a través de VPC de enlace de interfaz

Internet. Cuando se utiliza un punto de enlace de interfaz de la VPC, la comunicación entre la VPC y la API de Amazon WorkSpaces se realiza en su totalidad y de forma segura dentro de laAWSRed de. Note

Esta función solo se puede utilizar para conectarse a los puntos de enlace de la API de WorkSpaces. Para conectarse a WorkSpaces mediante los clientes de WorkSpaces, se requiere conectividad a Internet, tal como se describe en Requisitos de direcciones IP y puertos para WorkSpaces (p. 19).

Compatibilidad con endpoints de API de Amazon WorkSpacesAmazon Virtual Private CloudPuntos de enlace de interfaz de (Amazon VPC) basados en AWS PrivateLink . Cada punto de enlace de la VPC se representa mediante una o varias interfaces de red (que también se conocen como «interfaces de red elástica» o «ENI») con direcciones IP privadas de las subredes de la VPC.

El punto de enlace de interfaz de la VPC conecta la VPC directamente con el punto de enlace de la API de Amazon WorkSpaces sin necesidad de gateway de Internet, dispositivos NAT, conexiones de VPN ni conexiones deAWS Direct ConnectConexión de. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con el punto de enlace de la API de Amazon WorkSpaces.

Puede crear un punto de enlace de interfaz para conectarse a Amazon WorkSpaces con la opciónAWS Management ConsoleorAWS Command Line Interface(AWS CLI). Para obtener instrucciones, consulte Creación de un punto de enlace de interfaz.

Después de crear un extremo de VPC, puede usar los comandos de la CLI de ejemplo siguientes que utilizan la propiedadendpoint-urlpara especificar los extremos de la interfaz en el extremo de la API de Amazon WorkSpaces: aws workspaces copy-workspace-image --endpoint- url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint- url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint- url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

Si habilita los nombres de host DNS privados para el punto de enlace de la VPC, no necesita especificar la URL del punto de enlace. El nombre de host DNS de la API de Amazon WorkSpaces que utilizan de forma predeterminada la CLI y Amazon WorkSpaces SDK (https://api.workspaces.Región.amazonaws.com) se resuelve en el punto de enlace de la VPC.

El punto de enlace de la API de Amazon WorkSpaces admite puntos de enlace de la VPC en todosAWSRegiones en las queAmazon VPCyAmazon WorkSpacesestán disponibles. Amazon WorkSpaces admite realizar llamadas a todos susAPI públicasdentro de su VPC.

Para obtener más información AWS PrivateLink , consulte AWS PrivateLink Documentación de. Para obtener información sobre el precio de los puntos de enlace de la VPC, consulte Precios de VPC. Para obtener más información sobre la VPC y los puntos de enlace, visite Amazon VPC.

Para ver una lista de los puntos de enlace de la API de Amazon WorkSpaces por región, consultePuntos de enlace de la API de WorkSpaces (p. 26). Note

Endpoints de API de Amazon WorkSpaces con AWS PrivateLink no son compatibles con los puntos de enlace de la API de Amazon WorkSpaces de Federal Information Processing Standard (FIPS).

223 Amazon WorkSpaces Guía de administración Creación de una política de puntos de enlace de la VPC para Amazon WorkSpaces Creación de una política de puntos de enlace de la VPC para Amazon WorkSpaces

Puede crear una política para los puntos de enlace de Amazon VPC para Amazon WorkSpaces para especificar lo siguiente:

• La entidad principal que puede realizar acciones. • Las acciones que se pueden realizar. • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información, consulte Controlar el acceso a servicios con puntos de enlace de la VPC en la Guía del usuario de Amazon VPC. Note

Las políticas de punto de enlace de la VPC no son compatibles con los puntos de enlace de Amazon WorkSpaces de Federal Information Processing Standard (FIPS).

En el ejemplo siguiente, la política de puntos de enlace de la VPC especifica que todos los usuarios que tienen acceso al punto de enlace de interfaz de la VPC pueden invocar el punto de enlace alojado en Amazon WorkSpaces denominadows-f9abcdefg.

{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws- f9abcdefg", "Principal": "*" } ] }

En este ejemplo, se deniegan las siguientes acciones:

• Invocar otros puntos de enlace alojados en Amazon WorkSpaces nows-f9abcdefg. • Realizar acciones en un recurso que no sea el especificado (ID de WorkSpace: ws-f9abcdefg).

Note

En este ejemplo, los usuarios pueden realizar otras acciones de la API de Amazon WorkSpaces desde fuera de la VPC. Para restringir las llamadas a la API a las llamadas desde dentro de la VPC, consulteAdministración de identidades y accesos para WorkSpaces (p. 213)Para obtener información sobre el uso de políticas basadas en identidad para controlar el acceso a los puntos de enlace de la API de Amazon WorkSpaces. Connect su red privada a su VPC

Para llamar a la API de Amazon WorkSpaces a través de la VPC, tiene que conectarse desde una instancia que está dentro de la VPC o conectar su red privada a la VPC a través deAWS Virtual Private Network(AWS VPN) oAWS Direct Connect. Para obtener información, consulteConexiones de VPNen laGuía del usuario de Amazon Virtual Private Cloud. Para obtener más información sobreAWS Direct Connect, consulteCreación de una conexiónen laAWS Direct ConnectGuía del usuario.

224 Amazon WorkSpaces Guía de administración Administración de actualizaciones

Administración de actualizaciones en WorkSpaces

Le recomendamos que aplique parches al sistema operativo y a las aplicaciones, los actualice periódicamente y los proteja en WorkSpaces. Puede configurar sus escritorios de WorkSpaces para que los actualice WorkSpaces durante un periodo de mantenimiento definido o puede actualizarlos usted mismo. Para obtener más información, consulte Mantenimiento WorkSpace de (p. 131) .

Para las aplicaciones de sus escritorios de WorkSpaces, puede utilizar los servicios de actualización automática proporcionados o seguir las recomendaciones para instalar las actualizaciones proporcionadas por el proveedor de la aplicación. Amazon WAM

Amazon WorkSpaces Application Manager (Amazon WAM) ofrece una manera rápida, flexible y segura de implementar y administrar las aplicaciones para sus escritorios de WorkSpaces de Windows. Para obtener más información, consulte laGuía de administración de Amazon WAM.

225 Amazon WorkSpaces Guía de administración Habilitación del registro avanzado

Solución de problemas de WorkSpaces

La siguiente información puede ayudarle a solucionar problemas de WorkSpaces.

Habilitación del registro avanzado

Para ayudar a los usuarios a solucionar los problemas que puedan experimentar, puede habilitar el registro avanzado en cualquier cliente de Amazon WorkSpaces.

El registro avanzado genera archivos de registro que contienen información de diagnóstico y detalles de depuración, incluidos datos detallados de rendimiento. Para los clientes 1.0+ y 2.0+, estos archivos de registro avanzado se cargan automáticamente en una base de datos enAWS. Note

TenerAWSPara revisar los archivos de registro generados por el registro avanzado y para recibir soporte técnico para problemas con los clientes de WorkSpaces, póngase en contacto conAWSSupport con Para obtener más información, consulte el Centro de soporte de AWS. Para habilitar el registro avanzado en los clientes 3.0+

Los registros de clientes de Windows se almacenan en la siguiente ubicación:

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

Para habilitar el registro avanzado en los clientes de Windows

1. Cierre el cliente de Amazon WorkSpaces. 2. Abra la aplicación del símbolo del sistema. 3. Inicie el cliente de WorkSpaces con el indicador -l3.

cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

workspaces.exe -l3 Note

Si WorkSpaces está instalado para un usuario y no para todos los usuarios, utilice los siguientes comandos: c: cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces" workspaces.exe -l3

Los registros de clientes de macOS se almacenan en la siguiente ubicación:

226 Amazon WorkSpaces Guía de administración Solución de problemas específicos

~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

Para habilitar el registro avanzado en los clientes de macOS

1. Cierre el cliente de Amazon WorkSpaces. 2. Abra Terminal. 3. Ejecute el comando siguiente.

open -a workspaces --args -l3

Los registros de clientes de Linux se almacenan en la siguiente ubicación:

~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

Para habilitar el registro avanzado de clientes de Linux

1. Cierre el cliente de Amazon WorkSpaces. 2. Abra Terminal. 3. Ejecute el comando siguiente.

/opt/workspacesclient/workspacesclient -l3

Para habilitar el registro avanzado de clientes 1.0+ y 2.0+

1. Abra el cliente de WorkSpaces. 2. Seleccione el icono con forma de engranaje que se encuentra en la esquina superior derecha de la aplicación cliente. 3. Elija Advanced Settings (Configuración avanzada). 4. Seleccione la casilla de verificación Enable Advanced Logging (Habilitar el registro avanzado). 5. Seleccione Save.

Los registros de clientes de Windows se almacenan en la siguiente ubicación:

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

Los registros de clientes de macOS se almacenan en la siguiente ubicación:

~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

Solución de problemas específicos

La siguiente información puede ayudarle a solucionar problemas específicos con sus instancias de WorkSpaces.

Problemas • No puedo crear un Amazon Linux WorkSpace de porque hay caracteres no válidos en el nombre de usuario (p. 229) • He cambiado el shell de mi Amazon Linux WorkSpace de y ahora no puedo aprovisionar una sesión de PCoIP (p. 229) • Mi Amazon Linux WorkSpaces no se iniciará (p. 229)

227 Amazon WorkSpaces Guía de administración Solución de problemas específicos

• A menudo, se producen errores cuando intento iniciar WorkSpaces en mi directorio conectado (p. 230) • El lanzamiento de WorkSpaces arroja un error interno (p. 230) • Cuando intento registrar un directorio, el registro falla y deja el directorio en un estado ERROR (p. 230) • Mis usuarios no pueden establecer conexión con un WorkSpace de Windows mediante un banner de inicio de sesión interactivo (p. 231) • Mis usuarios no pueden conectarse a un Windows WorkSpace (p. 231) • Mis usuarios tienen problemas cuando intentan iniciar sesión en WorkSpaces desde WorkSpaces Web Access (p. 232) • El cliente de Amazon WorkSpaces muestra durante un rato una pantalla gris «Cargando...» antes de volver a la pantalla de inicio de sesión. No aparece ningún otro mensaje de error. (p. 232) • Mis usuarios reciben el mensaje «Estado de WorkSpace: Insalubres. No hemos podido establecer conexión con WorkSpace. Vuelva a intentarlo en unos minutos". (p. 233) • Mis usuarios reciben un mensaje similar a este: "Este dispositivo no está autorizado para acceder al WorkSpace. Póngase en contacto con su administrador para obtener ayuda". (p. 233) • Mis usuarios reciben el mensaje «No hay red. Se perdió la conexión de red. Compruebe su conexión de red o póngase en contacto con el administrador para obtener ayuda.» al intentar conectarse a un WSP WorkSpace (p. 234) • El cliente WorkSpaces devuelve a mis usuarios un error de red, pero pueden usar otras aplicaciones habilitadas para red en sus dispositivos (p. 234) • Los usuarios de My WorkSpace ven el siguiente mensaje de error: «El dispositivo no puede conectarse al servicio de registro. Compruebe la configuración de red". (p. 236) • Mis usuarios de cliente cero PCoIP están recibiendo el error “El certificado suministrado no es válido debido a la marca temporal” (p. 236) • Las impresoras USB y otros periféricos USB no funcionan para clientes PCoIP cero (p. 236) • Mis usuarios omitieron actualizar sus aplicaciones cliente de Windows o macOS y no se les solicita que instalen la versión más reciente (p. 237) • Mis usuarios no pueden instalar la aplicación cliente de Android en sus Chromebooks (p. 237) • Mis usuarios no reciben correos electrónicos de invitación ni de restablecimiento de contraseña (p. 237) • Mis usuarios no ven la opción "¿Olvidó la contraseña?" en la pantalla de inicio de sesión del cliente (p. 238) • Recibo el mensaje "El administrador del sistema ha establecido políticas para evitar esta instalación" cuando intento instalar aplicaciones en un WorkSpace de Windows (p. 238) • Ninguna de las instancias de WorkSpaces de mi directorio puede conectarse a Internet (p. 239) • Mi escritorio de WorkSpaces ha perdido el acceso a Internet (p. 239) • Aparece el error "DNS no disponible" cuando intento conectarme a mi directorio on-premise (p. 239) • Aparece el error "Problemas de conectividad detectados" cuando intento conectarme a mi directorio on-premise (p. 239) • Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise (p. 240) • Mi WorkSpace de Windows entra en estado de reposo cuando se deja inactivo (p. 240) • Uno de mis WorkSpaces tiene un estadoUNHEALTHY (p. 241) • Mi WorkSpace se bloquea o se reinicia inesperadamente (p. 242) • El mismo nombre de usuario tiene más de un WorkSpace, pero el usuario solo puede iniciar sesión en uno de los WorkSpaces (p. 244) • Tengo problemas para usar Docker con Amazon WorkSpaces (p. 244) • Se producen errores de tipo ThrottlingException en algunas de mis llamadas a la API (p. 245)

228 Amazon WorkSpaces Guía de administración No puedo crear un Amazon Linux WorkSpace de porque hay caracteres no válidos en el nombre de usuario No puedo crear un Amazon Linux WorkSpace de porque hay caracteres no válidos en el nombre de usuario

Para Amazon Linux WorkSpaces, los nombres de usuario:

• Pueden contener un máximo de 20 caracteres • Pueden contener letras, espacios y números representables en UTF-8 • Pueden incluir los siguientes caracteres especiales: _ .-# • No pueden comenzar con un símbolo de guion (-) como primer carácter del nombre de usuario

Note

Estas limitaciones no afectan a los WorkSpaces de Windows. Los WorkSpaces de Windows admiten los símbolos @ y - en todos los caracteres del nombre de usuario. He cambiado el shell de mi Amazon Linux WorkSpace de y ahora no puedo aprovisionar una sesión de PCoIP

Para anular el shell predeterminado de los WorkSpaces de Linux, consulte Anular el shell predeterminado para Amazon Linux WorkSpaces (p. 124). Mi Amazon Linux WorkSpaces no se iniciará

A partir del 20 de julio de 2020, Amazon Linux WorkSpaces utilizará nuevos certificados de licencia. Estos nuevos certificados sólo son compatibles con las versiones 2.14.1.1, 2.14.7, 2.14.9 y 20.10.6 o posterior del agente PCoIP.

Si utiliza una versión no compatible del agente PCoIP, debe actualizarla a la versión más reciente (20.10.6), que tiene las correcciones más recientes y mejoras de rendimiento compatibles con los nuevos certificados. Si no realiza estas actualizaciones antes del 20 de julio, el aprovisionamiento de sesiones para Linux WorkSpaces fallará y los usuarios finales no podrán conectarse a sus WorkSpaces.

Para actualizar el agente PCoIP a la versión más reciente

1. Abra la consola de WorkSpaces enhttps://console.aws.amazon.com/workspaces/. 2. En el panel de navegación, seleccione WorkSpaces. 3. Seleccione su Linux WorkSpace y reinicie eligiendoActions,Reiniciar WorkSpaces. Si el estado de WorkSpace esSTOPPED, debe elegirActions,Iniciar WorkSpacesprimero y esperar hasta que su estado seaAVAILABLEantes de que puedas reiniciarlo. 4. Después de que su WorkSpace se haya reiniciado y su estado seaAVAILABLEPor último, recomendamos que cambie el estado del escritorio de WorkSpace aADMIN_MAINTENANCEmientras realiza esta actualización. Cuando haya terminado, cambie el estado del escritorio de WorkSpace aAVAILABLE. Para obtener más información acerca deADMIN_MAINTENANCE, consulteMantenimiento manual.

Para cambiar el estado de un WorkSpaceADMIN_MAINTENANCE, realice una de las siguientes opciones:

a. Seleccione el WorkSpace y elija Actions, Modify WorkSpace.

229 Amazon WorkSpaces Guía de administración A menudo, se producen errores cuando intento iniciar WorkSpaces en mi directorio conectado

b. Elija Modify State (Modificar estado). c. ParaEstado previsto, seleccioneADMIN_MAINTENANCE. d. Elija Modify. 5. Connect a su WorkSpace a través de SSH. Para obtener más información, consulte Habilitar conexiones SSH para Linux WorkSpaces (p. 56). 6. Para actualizar el agente PCoIP, ejecute el comando siguiente:

sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6

7. Para comprobar la versión del agente y confirmar que la actualización se realizó correctamente, ejecute el siguiente comando:

rpm -q pcoip-agent-standard

El comando de verificación debe producir el siguiente resultado:

pcoip-agent-standard-20.10.6-1.el7.x86_64

8. Desconecte del WorkSpace y reinicie de nuevo. 9. Si establece el estado de WorkSpaceADMIN_MAINTENANCEinStep 4 (p. 229), repitaStep 4 (p. 229)y establecerEstado previstoDe aAVAILABLE.

Si su Linux WorkSpace sigue sin iniciarse después de actualizar el agente PCoIP, póngase en contacto conAWSSupport con A menudo, se producen errores cuando intento iniciar WorkSpaces en mi directorio conectado

Compruebe que se puede obtener acceso a los dos servidores DNS o controladores de dominio del directorio on-premise desde cada una de las subredes que especificó cuando se conectó al directorio. Para comprobar la conectividad, puede iniciar una instancia de Amazon EC2 en cada subred y vincular la instancia al directorio utilizando las direcciones IP de los dos servidores DNS. El lanzamiento de WorkSpaces arroja un error interno

Compruebe si las subredes están configuradas para asignar direcciones IPv6 automáticamente a las instancias lanzadas en la subred. Para comprobar esta configuración, abra la consola de Amazon VPC, seleccione la subred y elijaAcciones de subred,Modificar la configuración de IP de asignación automática. Si este valor está habilitado, no puede lanzar WorkSpaces con los paquetes Performance o Graphics. En su lugar, desactive esta configuración y especifique las direcciones IPv6 manualmente cuando lance las instancias. Cuando intento registrar un directorio, el registro falla y deja el directorio en un estado ERROR

Este problema puede producirse si está intentando registrar unAWSDirectorio administrado de Microsoft AD configurado para la reproducción de varias regiones. Aunque el directorio de la región principal se puede registrar correctamente para su uso con Amazon WorkSpaces, se produce un error al intentar registrar el directorio en una región replicada. Replicación de varias regiones conAWSNo se admite el uso de Microsoft AD administrado con Amazon WorkSpaces en regiones replicadas.

230 Amazon WorkSpaces Guía de administración Mis usuarios no pueden establecer conexión con un WorkSpace de Windows mediante un banner de inicio de sesión interactivo Mis usuarios no pueden establecer conexión con un WorkSpace de Windows mediante un banner de inicio de sesión interactivo

Si se ha implementado un mensaje de inicio de sesión interactivo para mostrar un banner de inicio de sesión, este impedirá que los usuarios obtengan acceso a los WorkSpaces de Windows. Actualmente WorkSpaces no admite la configuración de políticas de grupo de mensajes de inicio de sesión interactivos. Mueva los WorkSpaces a una unidad organizativa (OU) en la que no se aplique la directiva de grupo Interactive logon: Message text for users attempting to log on. Mis usuarios no pueden conectarse a un Windows WorkSpace

Mis usuarios reciben el siguiente error cuando intentan conectarse a sus Windows WorkSpaces:

"An error occurred while launching your WorkSpace. Please try again."

Este error se produce a menudo cuando el WorkSpace no puede cargar el escritorio de Windows con PCoIP. Compruebe lo siguiente:

• Este mensaje aparece si el servicio PCoIP Standard Agent para Windows no está en ejecución. Conéctese mediante RDP para comprobar que el servicio está en ejecución, que está configurado para iniciarse automáticamente y que puede comunicarse a través de la interfaz de administración (eth0).

• Si el agente PCoIP está desinstalado, reinicie el WorkSpace a través de la consola de Amazon WorkSpaces para instalarlo de nuevo automáticamente.

• También puede recibir este error en el cliente de Amazon WorkSpaces después de un largo retraso si laGrupo de seguridad WorkSpaces (p. 47)se modificó para restringir el tráfico saliente. La restricción del tráfico saliente impide que Windows se comunique con los controladores de directorio para iniciar sesión. Asegúrese de que los grupos de seguridad permiten que los WorkSpaces se comuniquen con los controladores de directorio en todos los puertos necesarios (p. 19) a través de la interfaz de red principal.

Otra causa de este error está relacionada con la directiva de grupo de asignación de derechos de usuario. Si la siguiente política de grupo está configurada incorrectamente, impide que los usuarios puedan tener acceso a sus Windows WorkSpaces:

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Políticas locales/ Asignación de derechos de usuario

• Política incorrecta:

Política: Acceda a este equipo desde la red

Configuración de: Domain name (Nombre del dominio)\ Equipos de dominio

GPO ganador: Permitir acceso a archivos • Política correcta:

Política: Acceda a este equipo desde la red

231 Amazon WorkSpaces Guía de administración Mis usuarios tienen problemas cuando intentan iniciar sesión en WorkSpaces desde WorkSpaces Web Access

Configuración de: Domain name (Nombre del dominio)\ Usuarios de dominio

GPO ganador: Permitir acceso a archivos

Note

Esta configuración de política debe aplicarse a Usuarios de dominio en lugar de Equipos de dominio.

Para obtener más información, consulte Acceder a este equipo desde la configuración de política de seguridad de red y Configurar opciones de política de seguridad en la documentación de Microsoft Windows. Mis usuarios tienen problemas cuando intentan iniciar sesión en WorkSpaces desde WorkSpaces Web Access

Amazon WorkSpaces utiliza una configuración de pantalla de inicio de sesión específica para permitir a los usuarios iniciar sesión correctamente desde su cliente Web Access.

A partir del 1 de octubre de 2020, los clientes ya no podrán usar el cliente Amazon WorkSpaces Web Access para conectarse a WorkSpaces personalizados de Windows 7 o a WorkSpaces Bring Your Own License (BYOL) de Windows 7. El cliente de Amazon WorkSpaces muestra durante un rato una pantalla gris «Cargando...» antes de volver a la pantalla de inicio de sesión. No aparece ningún otro mensaje de error.

Este comportamiento suele indicar que el cliente de los WorkSpaces puede autenticarse a través del puerto 443, pero no puede establecer una conexión de streaming a través del puerto 4172 (PCoIP) o el puerto 4195 (WSP). Esta situación puede producirse cuando no se cumplen los requisitos previos de la red (p. 19). Los problemas en el lado del cliente suelen provocar que se produzcan errores en la comprobación de red del cliente. Para ver qué comprobaciones de estado están registrando errores, haga clic en el icono de comprobación de red (normalmente tiene la forma de un triángulo rojo con un signo de exclamación en la esquina inferior derecha de la pantalla de inicio de sesión para clientes 2.0+ o el icono de reden la esquina superior derecha de los más de 3.0+ clientes). Note

La causa más común de este problema es que hay un proxy o un firewall del lado del cliente que impide el acceso a través del puerto 4172 o 4195 (TCP y UDP). Si se produce un error en esta comprobación de estado, examine la configuración del firewall local.

232 Amazon WorkSpaces Guía de administración Mis usuarios reciben el mensaje «Estado de WorkSpace: Insalubres. No hemos podido establecer conexión con WorkSpace. Vuelva a intentarlo en unos minutos". Si la comprobación de red se supera correctamente, es posible que haya un problema con la configuración de red del WorkSpace. Por ejemplo, una regla de Firewall de Windows podría bloquear el puerto UDP 4172 o 4195 de la interfaz de administración. Connect al WorkSpace utilizando un cliente de Protocolo de escritorio remoto (RDP)para verificar que WorkSpace cumple con los requisitos necesariosrequisitos de los puertos (p. 19). Mis usuarios reciben el mensaje «Estado de WorkSpace: Insalubres. No hemos podido establecer conexión con WorkSpace. Vuelva a intentarlo en unos minutos".

Este error normalmente indica que el servicio SkyLightWorkSpacesConfigService no responde a las comprobaciones de estado.

Si acaba de reiniciar o iniciar WorkSpace, espere unos minutos e inténtelo de nuevo.

Si WorkSpace lleva algún tiempo ejecutándose y sigue apareciendo este error, conéctese mediante RDP para verificar que el servicio SkyLightWorkSpacesConfigService:

• está en ejecución.

• está configurado para iniciarse automáticamente.

• puede comunicarse a través de la interfaz de administración (eth0).

• no lo está bloqueando un software antivirus de terceros.

Mis usuarios reciben un mensaje similar a este: "Este dispositivo no está autorizado para acceder al WorkSpace. Póngase en contacto con su administrador para obtener ayuda".

Este error indica que los grupos de control de acceso de IP (p. 48) están configurados en el directorio WorkSpace, pero la dirección IP del cliente no está en la lista blanca.

Compruebe la configuración del directorio. Confirme que la dirección IP pública desde la que el usuario se conecta permite el acceso al WorkSpace.

233 Amazon WorkSpaces Guía de administración Mis usuarios reciben el mensaje «No hay red. Se perdió la conexión de red. Compruebe su conexión de red o póngase en contacto con el administrador para obtener Mis usuariosayuda.» reciben al intentar conectarseel mensaje a un WSP WorkSpace «No hay red. Se perdió la conexión de red. Compruebe su conexión de red o póngase en contacto con el administrador para obtener ayuda.» al intentar conectarse a un WSP WorkSpace

Si se produce este error y los usuarios no tienen problemas de conectividad, asegúrese de que el puerto 4195 esté abierto en los firewalls de la red. Para WorkSpaces que utilizan WorkSpaces Streaming Protocol (WSP), el puerto utilizado para transmitir la sesión del cliente se cambió de 4172 a 4195. El cliente WorkSpaces devuelve a mis usuarios un error de red, pero pueden usar otras aplicaciones habilitadas para red en sus dispositivos

Las aplicaciones cliente de WorkSpaces utilizan el acceso a los recursos en laAWSEn la nube, y requiere una conexión que proporcione al menos 1 Mbps de ancho de banda de descarga. Si el dispositivo tiene una conexión intermitente a la red, la aplicación cliente de WorkSpaces podría informar de un problema con la red.

WorkSpaces aplica el uso de certificados digitales emitidos por Amazon Trust Services desde mayo de 2018. Amazon Trust Services ya se considera una CA raíz de confianza en los sistemas operativos admitidos por WorkSpaces. Si la lista de la CA raíz del sistema operativo no está actualizada, el dispositivo no podrá conectarse a WorkSpaces y el cliente devolverá un error de red.

Para reconocer problemas de conexión debidos a errores de certificado

• Clientes cero PCoIP: aparece el siguiente mensaje de error.

Failed to connect. The server provided a certificate that is invalid. See below for details: - The supplied certificate is invalid due to timestamp - The supplied certificate is not rooted in the devices local certificate store

• Otros clientes: las comprobaciones de estado fallan con un triángulo de advertencia rojo paraInternet.

Para resolver errores de certificado • Aplicación cliente de Windows (p. 234) • Clientes cero PCoIP (p. 235) • Otras aplicaciones cliente (p. 235)

Aplicación cliente de Windows

Utilice una de las siguientes soluciones para errores de certificado.

Solución 1: Actualizar la aplicación cliente

Descargue e instale la aplicación cliente Windows más reciente desdeDescargas de clientes Amazon WorkSpaces. Durante la instalación, la aplicación cliente garantiza que el sistema operativo confía en los certificados emitidos por Amazon Trust Services.

234 Amazon WorkSpaces Guía de administración El cliente WorkSpaces devuelve a mis usuarios un error de red, pero pueden usar otras aplicaciones habilitadas para red en sus dispositivos Solución 2: Agregar Amazon Trust Services a la lista local de CA raíz

1. Abra https://www.amazontrust.com/repository/. 2. Descargue el certificado de Starfield en formato DER (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92). 3. Abra Microsoft Management Console. (Desde el símbolo del sistema, ejecute mmc). 4. Seleccione File (Archivo), Add/Remove Snap-in (Añadir/quitar complemento), Certificates (Certificados), Add (Añadir). 5. En la página Certificates snap-in C(Complemento de certificados), seleccione Computer account (Cuenta del equipo) y haga clic en Next (Siguiente). Mantenga el valor predeterminado, Local computer (Equipo local). Elija Finalizar. Seleccione OK. 6. En Certificates (Local Computer) [Certificados (Equipo local)], expanda Trusted Root Certification Authorities (Entidades de certificación raíz de confianza). Seleccione Action (Acción), All Tasks (Todas las tareas), Import (Importar). 7. Siga el asistente para importar el certificado que ha descargado. 8. Salga y reinicie la aplicación cliente WorkSpaces.

Solución 3: Implemente Amazon Trust Services como entidad de certificación de confianza mediante la directiva de grupo

Agregue el certificado Starfield a las entidades de certificación raíz de confianza para el dominio mediante la directiva de grupo. Para obtener más información, consulte Use Policy to Distribute Certificates. Clientes cero PCoIP

Para conectarse directamente a un WorkSpace mediante la versión de firmware 6.0 o posterior, descargue e instale el certificado emitido por Amazon Trust Services.

Para agregar Amazon Trust Services como entidad de certificación raíz de confianza

1. Abra https://certs.secureserver.net/repository/. 2. Descargue el certificado en Starfield Certificate Chain (Cadena de certificado de Starfield) con la huella digital 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58. 3. Cargue el certificado al cliente cero. Para obtener más información, consulte Uploading Certificates en la documentación de Teradici.

Otras aplicaciones cliente

Agregue el certificado de Starfield (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) desde Amazon Trust Services. Para obtener más información acerca de cómo agregar una entidad de certificación raíz, consulte la siguiente documentación:

• Android: Agregar y eliminar certificados • Sistema operativo Chrome: Administrar certificados de cliente en dispositivos Chrome • macOS e iOS: Instalación de un certificado raíz de CA en su dispositivo de prueba

235 Amazon WorkSpaces Guía de administración Los usuarios de My WorkSpace ven el siguiente mensaje de error: «El dispositivo no puede conectarse al servicio de registro. Compruebe la configuración de red". Los usuarios de My WorkSpace ven el siguiente mensaje de error: «El dispositivo no puede conectarse al servicio de registro. Compruebe la configuración de red".

Cuando se produce un error en el servicio de registro, los usuarios de WorkSpace pueden ver el siguiente mensaje de error en laComprobación del HealthPágina: «Su dispositivo no puede conectarse al servicio de registro de WorkSpaces. No podrá registrar el dispositivo en WorkSpaces. Compruebe la configuración de red".

Este error se produce cuando la aplicación cliente de WorkSpaces no puede ponerse en contacto con el servicio de registro. Normalmente, esto ocurre cuando el directorio de WorkSpaces se ha eliminado. Para solucionar este error, asegúrese de que el código de registro es válido y corresponde a un directorio que se está ejecutando en laAWSNube. Mis usuarios de cliente cero PCoIP están recibiendo el error “El certificado suministrado no es válido debido a la marca temporal”

Si el NTP no está habilitado en Teradici, los usuarios de cliente cero PCoIP podrían recibir errores de certificado. Para configurar el NTP, consulte Configurar clientes cero de PCoIP para WorkSpaces (p. 50). Las impresoras USB y otros periféricos USB no funcionan para clientes PCoIP cero

A partir de la versión 20.10.4 del agente PCoIP, Amazon WorkSpaces deshabilita la redirección USB de forma predeterminada a través del Registro de Windows. Esta configuración del Registro afecta al comportamiento de los periféricos USB cuando los usuarios utilizan dispositivos cliente cero PCoIP para conectarse a sus WorkSpaces.

Si sus WorkSpaces utilizan la versión 20.10.4 o posterior del agente PCoIP, los dispositivos periféricos USB no funcionarán con los dispositivos cliente cero PCoIP hasta que haya habilitado la redirección USB. Note

Si utiliza controladores de impresora virtual de 32 bits, también debe actualizar esos controladores a sus versiones de 64 bits.

Para habilitar la redirección USB de los dispositivos de cliente cero PCoIP

Le recomendamos que inserte estos cambios en el Registro en los escritorios de WorkSpaces a través de la directiva de grupo. Para obtener más información, consulteConfiguración del agenteyAjustes configurablesen la documentación de Teradici.

1. Establezca el siguiente valor de clave del Registro en 1 (habilitado):

KeyPath =HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Teradici\ PCoIP\ pcoip_admin

KeyName =pcoip.enable_usb

KeyType = DWORD

KeyValue = 1

236 Amazon WorkSpaces Guía de administración Mis usuarios omitieron actualizar sus aplicaciones cliente de Windows o macOS y no se les solicita que instalen la versión más reciente 2. Establezca el siguiente valor de clave del Registro en 1 (habilitado):

KeyPath =HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Teradici\ PCoIP\ pcoip_admin_defaults

KeyName =pcoip.enable_usb

KeyType = DWORD

KeyValue = 1 3. Si aún no lo ha hecho, cierre sesión en el WorkSpace y, a continuación, vuelva a iniciar sesión. Ahora los dispositivos USB deberían funcionar.

Mis usuarios omitieron actualizar sus aplicaciones cliente de Windows o macOS y no se les solicita que instalen la versión más reciente

Cuando los usuarios omiten actualizaciones a la aplicación cliente de Amazon WorkSpaces Windows, elSkipThisVersionCuando se establece una nueva versión del cliente, ya no se les solicita que actualicen sus clientes cuando se publica una nueva versión del cliente. Para actualizar a la versión más reciente, puede editar el registro como se describe enActualice la aplicación cliente WorkSpaces de Windows a una versión más actualen laGuía del usuario de Amazon WorkSpaces. También puede ejecutar el siguiente comando de PowerShell:

Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces \WinSparkle" -Name "SkipThisVersion"

Cuando los usuarios omiten actualizaciones de la aplicación cliente de Amazon WorkSpaces macOS, elSUSkippedVersionCuando se establece una nueva versión del cliente, ya no se les solicita que actualicen sus clientes cuando se publica una nueva versión del cliente. Para actualizar a la versión más reciente, puede restablecer esta preferencia según se detalla enActualice la aplicación cliente WorkSpaces de macOS a una versión más actualen laGuía del usuario de Amazon WorkSpaces. Mis usuarios no pueden instalar la aplicación cliente de Android en sus Chromebooks

ParaChromebooks compatibles con la instalación de aplicaciones Android, le recomendamos que utilice elAplicación cliente para Android de WorkSpacesEn su lugar,

En algunos casos, es posible que tenga que habilitar los Chromebooks de los usuarios para instalar aplicaciones Android. Para obtener más información, consulte Configurar Android para Chromebooks (p. 51). Mis usuarios no reciben correos electrónicos de invitación ni de restablecimiento de contraseña

Los usuarios no reciben automáticamente correos electrónicos de bienvenida o de restablecimiento de contraseña para escritorios de WorkSpaces creados con AD Connector o un dominio de confianza. Los

237 Amazon WorkSpaces Guía de administración Mis usuarios no ven la opción "¿Olvidó la contraseña?" en la pantalla de inicio de sesión del cliente correos electrónicos de invitación tampoco se envían automáticamente si el usuario ya existe en Active Directory.

Para enviar de forma manual correos electrónicos de bienvenida a estos usuarios, consulte Envío de un correo electrónico (p. 94).

Para restablecer las contraseñas de usuario, consulte Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75). Mis usuarios no ven la opción "¿Olvidó la contraseña?" en la pantalla de inicio de sesión del cliente

Si utiliza AD Connector o un dominio de confianza, los usuarios no podrán restablecer sus propias contraseñas. (La opción ¿Olvidó la contraseña? de la pantalla de inicio de sesión de la aplicación cliente de WorkSpaces no estará disponible). Para obtener información acerca de cómo restablecer las contraseñas de usuario, consulte Configurar las herramientas de administración de Active Directory para WorkSpaces (p. 75). Recibo el mensaje "El administrador del sistema ha establecido políticas para evitar esta instalación" cuando intento instalar aplicaciones en un WorkSpace de Windows

Puede abordar este problema modificando la configuración de la política de grupo de Windows Installer. Para implementar esta política en varios WorkSpaces de su directorio, aplique esta configuración a un objeto de política de grupo vinculado a la unidad organizativa (OU) de los WorkSpaces desde una instancia EC2 unida al dominio. Si utiliza AD Connector, puede realizar estos cambios desde un controlador de dominio. Para obtener más información acerca del uso de las herramientas de administración de Active Directory para trabajar con objetos de directivas de grupo, consulteInstalar las herramientas de administración de Active Directoryen laAWS Directory ServiceGuía de administración.

El siguiente procedimiento muestra cómo ajustar la configuración de Windows Installer del objeto de política de grupo de WorkSpaces.

1. Asegúrese de que la versión más recientePlantilla administrativa de Directiva de grupo de WorkSpaces (p. 102)está instalado en su dominio. 2. Abra la herramienta de administración de políticas de grupo en su cliente de WorkSpace de Windows y diríjase al objeto de políticas de grupo de WorkSpaces de las cuentas de su equipo de WorkSpaces. A continuación, selecciónelo. En el menú principal, elija Action (Acción), Edit (Editar). 3. En el editor de administración de políticas de grupo, elija Computer Configuration (Configuración del equipo), Policies (Políticas), Administrative Templates (Plantillas administrativas), Classic Administrative Templates (Plantillas administrativas clásicas), Windows Components (Componentes de Windows), Windows Installer. 4. Abra la configuración Turn Off Windows Installer (Desactivar Windows Installer). 5. En el cuadro de diálogo Turn Off Windows Installer (Desactivar Windows Installer), cambie Not Configured (No configurado) a Enabled (Habilitado) y, a continuación, establezca Disable Windows Installer (Deshabilitar Windows Installer) en Never (Nunca). 6. Seleccione OK. 7. Para aplicar los cambios de política de grupo, realice una de las siguientes acciones:

238 Amazon WorkSpaces Guía de administración Ninguna de las instancias de WorkSpaces de mi directorio puede conectarse a Internet

• Reinicie el WorkSpace (en la consola de WorkSpaces, seleccione el WorkSpace y, a continuación, elijaActions,Reiniciar WorkSpaces). • En el símbolo del sistema administrativo, introduzca gpupdate /force.

Ninguna de las instancias de WorkSpaces de mi directorio puede conectarse a Internet

Las instancias de WorkSpaces no pueden comunicarse con Internet de forma predeterminada. Para que tengan conexión a Internet, debe proporcionarles acceso de manera explícita. Para obtener más información, consulte Proporcionar acceso a Internet desde su WorkSpace (p. 46). Mi escritorio de WorkSpaces ha perdido el acceso a Internet

Si su escritorio de WorkSpaces ha perdido el acceso a Internet y no puede conectarse a él mediante RDP, este problema probablemente se deba a la pérdida de la dirección IP pública del escritorio. Si ha habilitado la asignación automática de direcciones IP elásticas (p. 66) de nivel de directorio, una dirección IP elástica (del grupo proporcionado por Amazon) se asigna a su escritorio de WorkSpaces cuando este se lanza. Sin embargo, si asocia una dirección IP elástica de su propiedad a un escritorio de WorkSpaces y, a continuación, desvincula esa dirección IP elástica del escritorio, este pierde su dirección IP pública y no obtiene automáticamente una nueva del grupo proporcionado por Amazon.

Para asociar una nueva dirección IP pública del grupo proporcionado por Amazon al escritorio de WorkSpaces, debe volver a crear el escritorio de WorkSpaces (p. 141). Si no desea volver a crear el escritorio de WorkSpaces, debe asociar otra dirección IP elástica de su propiedad al escritorio.

Se recomienda no modificar la interfaz de red elástica de un escritorio de WorkSpaces después de lanzar el escritorio. Después de asignar una dirección IP elástica a un escritorio de WorkSpaces, este conserva la misma dirección IP pública (a menos que se vuelva a crear el escritorio, en cuyo caso obtiene una nueva dirección IP pública). Aparece el error "DNS no disponible" cuando intento conectarme a mi directorio on-premise

Cuando se conecta al directorio en las instalaciones aparece un mensaje de error similar al siguiente.

DNS unavailable (TCP port 53) for IP: dns-ip-address

AD Connector debe poder comunicarse con los servidores DNS locales a través de TCP y UDP en el puerto 53. Asegúrese de que los grupos de seguridad y los firewalls on-premise permiten la comunicación TCP y UDP a través de dicho puerto. Aparece el error "Problemas de conectividad detectados" cuando intento conectarme a mi directorio on-premise

Cuando se conecta al directorio en las instalaciones aparece un mensaje de error similar al siguiente.

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address

239 Amazon WorkSpaces Guía de administración Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise

Kerberos/authentication unavailable (TCP port 88) for IP: ip-address Please ensure that the listed ports are available and retry the operation.

AD Connector debe poder comunicarse con los controladores de dominio locales a través de TCP y UDP en los siguientes puertos. Asegúrese de que los grupos de seguridad y firewall locales permiten la comunicación TCP y UDP a través de dichos puertos:

• 88 (Kerberos) • 389 (LDAP)

Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise

Cuando se conecta al directorio en las instalaciones, aparece un mensaje de error similar a los siguientes:

SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address

AD Connector necesita obtener el_ldap._tcp.dns-domain-namey_kerberos._tcp.dns-domain- nameRegistros SRV al conectarse a su directorio. Este error aparece si el servicio no puede obtener estos registros de los servidores DNS que especificó al conectarse a su directorio. Asegúrese de que los servidores DNS contienen estos registros SRV. Para obtener más información, consulte Registros de recursos SRV en Microsoft TechNet. Mi WorkSpace de Windows entra en estado de reposo cuando se deja inactivo

Para resolver este problema, conéctese al WorkSpace y cambie el plan de energía a High performance (Alto rendimiento) mediante el procedimiento que se indica a continuación:

1. En WorkSpace, abraPanel de controly, después, elijaHardwareo elijaHardware y sonido(el nombre puede diferir, dependiendo de la versión de Windows). 2. En Power Options (Opciones de energía), seleccione Choose a power plan (Elegir un plan de energía). 3. En el navegadorElija o personalice un plan de energía, elija laAlto rendimientoy, a continuación, elijaCambiar la configuración del plan. • Si la opción de elegir la opciónAlto rendimientoEl plan de energía está deshabilitado, elijaCambiar la configuración que no está disponible actualmentey, a continuación, elija elAlto rendimientoPlan de alimentación. • Si el archivo deAlto rendimientoSi el plan no es visible, elija la flecha situada a la derecha deMostrar planes adicionalespara mostrarlo, o elijaCrear un plan de alimentaciónEn el panel de navegación izquierdo, elijaAlto rendimientoAsigna un nombre al plan de energía y, a continuación, elijaSiguiente. 4. En la páginaCambie la configuración del plan: Alto rendimiento, asegúrese de queDesactivar la pantallay (si están disponibles)Poner la computadora en suspensiónestán configurados enNunca. 5. Si ha realizado algún cambio en el plan de alto rendimiento, elijaGuarde los cambios(o elijaCrearsi estás creando un nuevo plan).

Si los pasos anteriores no resuelven el problema, haga lo siguiente:

1. En WorkSpace, abraPanel de controly, después, elijaHardwareo elijaHardware y sonido(el nombre puede diferir, dependiendo de la versión de Windows).

240 Amazon WorkSpaces Guía de administración Uno de mis WorkSpaces tiene un estadoUNHEALTHY

2. En Power Options (Opciones de energía), seleccione Choose a power plan (Elegir un plan de energía). 3. En el panel Choose or customize a power plan (Elegir o personalizar un plan de energía), seleccione el enlace Change plan settings (Cambiar la configuración del plan) situado a la derecha del plan de energía High performance (Alto rendimiento) y, a continuación, elija el enlace Change advanced power settings (Cambiar la configuración avanzada de energía). 4. En la lista de opciones de configuración que aparece en el cuadro de diálogo Power Options (Opciones de energía), elija el signo más situado a la izquierda de Hard disk (Disco duro) para mostrar las opciones pertinentes. 5. Compruebe que el valor Turn off hard disk after (Apagar disco duro tras) para Plugged in (Con corriente alterna) es superior al valor de On battery (Con batería) (el valor predeterminado son 20 minutos). 6. Elija el signo más que aparece a la izquierda de PCI Express (PCI Express) y haga lo mismo para Link State Power Management (Administración de energía del estado de vínculos). 7. Compruebe que la configuración de Link State Power Management (Administración de energía del estado de vínculos) está establecida en Off (Desactivada). 8. Elija OK (Aceptar) (o Apply (Aplicar) si ha cambiado alguna configuración) para cerrar el cuadro de diálogo. 9. Si ha cambiado algún valor, elija Guardar cambios en el panel Change settings for the plan (Cambiar configuración del plan).

Uno de mis WorkSpaces tiene un estadoUNHEALTHY

El servicio WorkSpaces envía periódicamente solicitudes de estado a los espacios de WorkSpace. Si un espacio de trabajo no responde a estas solicitudes, se le asignará el estado UNHEALTHY. Las causas más comunes de este problema son:

• Una aplicación del WorkSpace está bloqueando los puertos de red, lo que impide que el WorkSpace pueda responder a la solicitud de estado. • Un uso elevado de la CPU impide que el espacio de trabajo pueda responder a tiempo a la solicitud de estado. • El nombre de equipo del espacio de trabajo se ha modificado. Esto impide que se establezca un canal seguro entre WorkSpaces y el WorkSpace.

Puede intentar solucionar esta situación a través de los siguientes métodos:

• Reinicie el WorkSpace desde la consola de WorkSpaces. • Conéctese al escritorio de WorkSpaces en mal estado utilizando el siguiente procedimiento, algo que solo debe utilizarse para solucionar problemas:

1. Conéctese a un WorkSpace que funcione correctamente y que se encuentre en el mismo directorio que el que no funciona. 2. En el espacio de trabajo que funciona bien, utilice el Protocolo de escritorio remoto (RDP) para conectarse al espacio de trabajo en mal estado utilizando la dirección IP de este último. Según la gravedad de los problemas, tal vez no pueda conectarse al escritorio en mal estado. 3. En el escritorio de WorkSpaces con problemas, asegúrese de que se cumplen los requisitos mínimos de los puertos (p. 19). • Asegúrese de que el servicio SkyLightWorkSpacesConfigService puede responder a las comprobaciones de estado. Para solucionar este problema, consulteMis usuarios reciben el mensaje «Estado de WorkSpace: Insalubres. No hemos podido establecer conexión con WorkSpace. Vuelva a intentarlo en unos minutos". (p. 233). • Reconstruya el WorkSpace desde la consola de WorkSpaces Como al recompilar el WorkSpace de trabajo podría producirse una pérdida de información, esta opción solo debe utilizarse si todos los demás intentos para solucionar el problema no han tenido éxito.

241 Amazon WorkSpaces Guía de administración Mi WorkSpace se bloquea o se reinicia inesperadamente

Mi WorkSpace se bloquea o se reinicia inesperadamente

Si su WorkSpace configurado para PCoIP se bloquea o se reinicia repetidamente y los registros de errores o los volcados de memoria indican que hay problemas conspacedeskHookKmode.sysorspacedeskHookUmode.dllSi recibe los siguientes mensajes de error, es posible que tenga que deshabilitar Web Access en el WorkSpace:

The kernel power manager has initiated a shutdown transition. Shutdown reason: Kernel API

The computer has rebooted from a bugcheck.

Note

• Estos pasos de solución de problemas no son aplicables a WorkSpaces configurados para WorkSpaces Streaming Protocol (WSP). Sólo se aplican a WorkSpaces configurados para PCoIP. • Únicamente debe deshabilitar Web Access si no va a permitir que los usuarios utilicen Web Access.

Para deshabilitar Web Access en el WorkSpace, debe configurar una directiva de grupo y modificar dos opciones del Registro. Para obtener información sobre el uso de las herramientas de administración de Active Directory para trabajar con objetos de directivas de grupo, consulteInstalar las herramientas de administración de Active Directoryen laAWS Directory ServiceGuía de administración.

Paso 1: Establezca una directiva de grupo para deshabilitar Web Access en el nivel del directorio

Debe realizar estos cambios desde un PCoIP WorkSpace en lugar de un controlador de dominio porque el servicio de aplicaciones hospedadas STXHD debe estar presente.

1. Edite el grupo de seguridad utilizado por WorkSpaces para permitir conexiones RDP. Para obtener más información, consulte¿Cómo me conecto a mi WorkSpace mediante RDP?. 2. Utilice RDP para conectarse a un WorkSpace. Asegúrese de que está utilizando una cuenta de usuario que tiene permisos en el dominio para crear y modificar GPO. Si utiliza Simple AD para el directorio de WorkSpace, el nombre de usuario esAdministrator. Si utiliza Microsoft AD, el nombre de usuario del administrador esAdmin. 3. Instale las Herramientas de administración de Active Directory (RSAT) para obtener la herramienta Editor de administración de directivas de grupo. Para instalar estas herramientas, consulteInstalar las herramientas de administración de Active Directoryen laAWS Directory ServiceGuía de administración.

También puede instalar estas herramientas ejecutando el siguiente comando de Windows PowerShell como administrador:

Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS- Tools,RSAT-DNS-Server

4. Abra el Editor de administración de directivas de grupo (gpmc.msc) y busque la directiva de objetos de directiva de grupo (GPO) en el nivel del controlador de dominio del directorio. Note

Si el dominio que realiza la copia de seguridad de WorkSpaces es unAWS Managed Microsoft AD, no puede utilizar la directiva de dominio predeterminada para crear el GPO.

242 Amazon WorkSpaces Guía de administración Mi WorkSpace se bloquea o se reinicia inesperadamente

En su lugar, debe crear y vincular el GPO bajo el contenedor de dominio que tiene privilegios delegados. Cuando crea un directorio conAWS Managed Microsoft AD,AWS Directory Servicecrea unnombrede dominioLa unidad organizativa (OU) de la raíz del dominio. El nombre de esta OU se basa en el nombre NetBIOS que escribió cuando creó el directorio. Si no especificó un nombre NetBIOS, de forma predeterminada será la primera del nombre del DNS del directorio (por ejemplo, en el caso decorp.example.com, el nombre NetBIOS escorp). Para crear el GPO, en lugar de seleccionarPolítica de dominio predeterminada, seleccione lanombrede dominioOU (o cualquier OU bajo esa), abra el menú contextual (haga clic con el botón derecho) y elijaCrear un GPO en este dominio y vincularlo aquí. Para obtener más información sobre elnombrede dominioOU, consulteQué se creaen laAWS Directory ServiceGuía de administración. 5. Elija Action (Acción), Edit (Editar). 6. Desplácese a la siguiente opción:

Configuración del equipo\ Directivas\ Configuración de Windows\ Configuración de seguridad\ Servicios del sistema\ STXHD Hosted Application Service 7. En el cuadro de diálogo STXHD Hosted Application Service Properties (Propiedades del servicio de aplicaciones hospedado STXHD), en la pestaña Configuración de directiva de seguridad, seleccione la casilla Definir esta configuración de directiva. 8. En Seleccionar el modo de inicio del servicio, elija Deshabilitado. 9. Seleccione OK. 10. Evite que el equipo se reinicie hasta que haya terminado de editar el Registro (paso 2).

Paso 2: Edite el Registro para deshabilitar Web Access

Le recomendamos que inserte estos cambios en el Registro a través de GPO.

1. Establezca el siguiente valor de clave del Registro en 1 (habilitado):

KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update- webaccess.ps1

KeyName = RebootCount

KeyType = DWORD

KeyValue = 1 2. Establezca el siguiente valor de clave del Registro en 4 (deshabilitado):

KeyPath = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spacedeskHookKmode

KeyName = Start

KeyType = DWORD

KeyValue = 4 3. Reinicie el equipo.

243 Amazon WorkSpaces Guía de administración El mismo nombre de usuario tiene más de un WorkSpace, pero el usuario solo puede iniciar sesión en uno de los WorkSpaces El mismo nombre de usuario tiene más de un WorkSpace, pero el usuario solo puede iniciar sesión en uno de los WorkSpaces

Si elimina un usuario de Active Directory (AD) sin eliminar primero su WorkSpace y, a continuación, agrega el usuario de nuevo a Active Directory y crea un nuevo WorkSpace para ese usuario, el mismo nombre de usuario tendrá ahora dos WorkSpaces en el mismo directorio. Sin embargo, si el usuario intenta conectarse a su WorkSpace original, recibirá el siguiente error:

"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

Además, las búsquedas del nombre de usuario en la consola de Amazon WorkSpaces devuelven únicamente el nuevo WorkSpace, aunque aún existan ambos. (Puede encontrar el WorkSpace original buscando el ID de WorkSpace en lugar del nombre de usuario).

Este comportamiento también se puede producir si cambia el nombre de un usuario de Active Directory sin eliminar primero su WorkSpace. Si vuelve a cambiar su nombre de usuario por el nombre de usuario original y crea un nuevo WorkSpace para el usuario, el mismo nombre de usuario tendrá dos WorkSpaces en el directorio.

Este problema se produce porque Active Directory utiliza el identificador de seguridad (SID) del usuario, en lugar del nombre de usuario, para identificar de forma exclusiva al usuario. Cuando se elimina y se vuelve a crear un usuario en Active Directory, se le asigna un nuevo SID, incluso aunque su nombre de usuario siga siendo el mismo. Durante las búsquedas de un nombre de usuario, la consola de Amazon WorkSpaces utiliza el SID para buscar coincidencias en Active Directory. Los clientes de Amazon WorkSpaces utilizan también el SID para identificar a los usuarios cuando se conectan a WorkSpaces.

Para resolver este problema, siga uno de estos pasos:

• Si este problema se produjo porque el usuario se eliminó y se volvió a crear en Active Directory, es posible que pueda restaurar el objeto del usuario eliminado original si tiene habilitada la característica Papelera de reciclaje en Active Directory. Si puede restaurar el objeto del usuario original, asegúrese de que el usuario pueda conectarse a su WorkSpace original. Si es el caso, puede eliminar el nuevo WorkSpace (p. 154) después de realizar una copia de seguridad y transferir manualmente los datos de usuario del nuevo WorkSpace al WorkSpace original (si es necesario). • Si no puede restaurar el objeto del usuario original, elimine el WorkSpace original del usuario (p. 154). El usuario debería poder conectarse a su nuevo WorkSpace y usarlo en su lugar. Asegúrese de realizar una copia de seguridad y transferir manualmente los datos de usuario del WorkSpace original al nuevo WorkSpace. Warning

Eliminar un WorkSpace es una acción permanente y no se puede deshacer. Los datos del usuario del Workspace no se conservan y se destruyen. Para obtener ayuda para realizar copias de seguridad de los datos de usuario, póngase enAWSSupport con

Tengo problemas para usar Docker con Amazon WorkSpaces

WorkSpaces de Windows

La virtualización anidada (incluido el uso de Docker) no es compatible con Windows WorkSpaces. Para obtener más información, consulte laDocumentación de Docker.

244 Amazon WorkSpaces Guía de administración Se producen errores de tipo ThrottlingException en algunas de mis llamadas a la API

WorkSpaces de Linux

Para usar Docker en Linux WorkSpaces, asegúrese de que los bloques CIDR utilizados por Docker no se superpongan con los bloques CIDR utilizados en las dos interfaces de red elásticas (ENI) asociadas con WorkSpace. Si tiene problemas con el uso de Docker en Linux WorkSpaces, póngase en contacto con Docker para obtener ayuda. Se producen errores de tipo ThrottlingException en algunas de mis llamadas a la API

La tasa predeterminada permitida para las llamadas a la API de WorkSpaces es una tasa constante de dos llamadas por segundo, con una tasa de «ráfaga» máxima permitida de cinco llamadas a la API por segundo. En la siguiente tabla se muestra cómo funciona el límite de la tasa de ráfaga en las solicitudes de API.

Segundo Número de Número Detalles solicitudes neto de enviadas solicitudes permitidas

1 0 5 Durante el primer segundo (segundo 1), se permiten cinco solicitudes, hasta alcanzar la tasa de ráfaga máxima de cinco llamadas por segundo.

2 2 5 Como en el segundo 1 se emitieron dos o menos llamadas, la capacidad de ráfaga completa de cinco llamadas sigue estando disponible.

3 5 5 Como en el segundo 2 solo se emitieron dos llamadas, la capacidad de ráfaga completa de cinco llamadas sigue estando disponible.

4 2 2. Como en el segundo 3 se utilizó toda la capacidad de ráfaga, solo está disponible la tasa constante de dos llamadas por segundo.

5 3 2 Como no hay más capacidad de ráfaga, solo se permiten dos llamadas en este momento. Esto significa que una de las tres llamadas a la API estará restringida. La única llamada restringida responderá tras un breve retraso.

6 0 1 Como una de las llamadas del segundo 5 está intentándose de nuevo en el segundo 6, solo hay capacidad para una llamada más en el segundo 6, ya que el límite de la tasa constante es de dos llamadas por segundo.

7 0 3 Ahora que ya no hay más llamadas a la API restringidas en la cola, el límite de la tasa continúa aumentando hasta alcanzar el límite de la tasa de ráfaga, que es de cinco llamadas.

8 0 5 Como no se emitieron llamadas en el segundo 7, se permite el número máximo de solicitudes.

9 0 5 Aunque no se emitieron llamadas en el segundo 8, el límite de la tasa no aumenta por encima de cinco.

245 Amazon WorkSpaces Guía de administración

Cuotas de Amazon WorkSpaces

Amazon WorkSpaces proporciona diferentes recursos que puede utilizar en su cuenta en una región determinada, incluidos WorkSpaces, imágenes, paquetes, directorios, alias de conexión y grupos de control IP. Cuando cree su cuenta de Amazon Web Services, estableceremos las cuotas predeterminadas (también denominadas «límites») de la cantidad de recursos que puede crear.

A continuación, se indican las cuotas predeterminadas de WorkSpaces para suAWSaccount. Puede utilizar elConsola de Service Quotaspara ver las Service Quotas predeterminadas oaumento de la cuota de solicitudpara las cuotas ajustables.

Para obtener más información, consulteVer las cuotas de servicioySolicitud de aumento de cuotaEn la Service Quotas oGuía del usuario.

Recurso Valor predeterminado Descripción Ajustable

WorkSpaces 1 El número máximo de Sí WorkSpaces en esta cuenta en la región actual.

Graphics WorkSpaces 0 El número máximo de Sí WorkSpaces de esta cuenta en la región actual.

GraphicsPro paces 0 El número máximo Sí de WorkSpaces de GraphicsPro en esta cuenta en la región actual.

Imágenes 40 El número máximo Sí de imágenes de esta cuenta en la región actual.

Paquetes 50 El número máximo No de paquetes de esta cuenta en la región actual. Esta cuota se aplica únicamente a los paquetes personalizados, no a los paquetes públicos.

Alias de conexión 20 El número máximo de No alias de conexión de esta cuenta en la región actual.

Directorios 50 El número máximo No de directorios que puede registrarse para su uso con Amazon

246 Amazon WorkSpaces Guía de administración

Recurso Valor predeterminado Descripción Ajustable WorkSpaces en esta cuenta en la región actual.

Grupos de control de 100 El número máximo No acceso a direcciones IP de grupos de control de acceso IP en esta cuenta en la región actual.

Reglas por grupo de 10 El número máximo de No control de acceso a reglas por grupo de direcciones IP control de acceso IP en esta cuenta en la región actual.

Grupos de control de 25 El número máximo de No acceso a direcciones IP grupos de control de por directorio acceso IP por directorio en esta cuenta en la región actual.

247 Amazon WorkSpaces Guía de administración

Historial de revisiones de WorkSpaces

En la siguiente tabla se describen los cambios importantes en el servicio WorkSpaces y en laGuía de administración de Amazon WorkSpacesa partir del 1 de enero de 2018. Actualizamos la documentación con frecuencia para dar cuenta de los comentarios que nos envía.

Para obtener notificaciones sobre estas actualizaciones, puede suscribirse a la fuente RSS de WorkSpaces.

update-history-change update-history-description update-history-date

Compatibilidad con la cámara Amazon WorkSpaces ahora 5 de abril de 2021 web de Amazon WorkSpaces admite audio-vídeo (AV) en tiempo real al redirigir sin problemas la entrada de vídeo de la cámara web local a escritorios de Windows WorkSpaces mediante el protocolo de transmisión de WorkSpaces (WSP).

Compatibilidad con tarjetas Ahora puede utilizar la aplicación 5 de abril de 2021 inteligentes de Amazon cliente de Amazon WorkSpaces WorkSpaces con la aplicación macOS con tarjetas inteligentes cliente WorkSpaces macOS de tarjeta de acceso común (CAC) y verificación de identidad personal (PIV). La compatibilidad con tarjetas inteligentes está disponible en WorkSpaces mediante el protocolo de transmisión de WorkSpaces (WSP).

API de administración Las API de gestión de paquetes 15 de marzo de 2021 de paquetes de Amazon de Amazon WorkSpaces ya WorkSpaces están disponibles. Estas acciones de API admiten operaciones de creación, eliminación y asociación de imágenes para paquetes de WorkSpaces.

Lanzamiento de Amazon Amazon WorkSpaces está 8 de marzo de 2021 WorkSpaces en la región Asia disponible en la región Asia Pacífico (Mumbai) Pacífico (Mumbai).

Protocolo de transmisión de El protocolo de transmisión 1 de diciembre de 2020 WorkSpaces (WSP) de WorkSpaces (WSP) ahora está disponible tanto para WorkSpaces basados en Windows Server 2016 como para WorkSpaces basados en Windows 10 en todos los tipos de

248 Amazon WorkSpaces Guía de administración

paquetes excepto para Graphics y GraphicsPro. WSP también está disponible para Linux WorkSpaces en laAWSRegión GovCloud (EE.UU. Oeste)

Tarjetas inteligentes Amazon WorkSpaces ahora 1 de diciembre de 2020 admite la autenticación de tarjeta inteligente previa a la sesión (inicio de sesión) y durante la sesión en Windows y Linux WorkSpaces en elAWSRegión GovCloud (EE.UU. Oeste)

Compartir imágenes Ahora puede compartir imágenes 1 de octubre de 2020 personalizadas de WorkSpaces personalizadas enAWSCuentas. Después de compartir una imagen, la cuenta del destinatario puede copiar la imagen y usarla para crear paquetes para iniciar nuevos WorkSpaces.

Redireccionamiento entre Ahora, puede usar la redirección 10 de septiembre de 2020 regiones entre regiones, una característica que funciona con sus directivas de enrutamiento del sistema de nombres de dominio (DNS) para redirigir a los usuarios a escritorios de WorkSpaces alternativos cuando sus WorkSpaces principales no están disponibles.

Suscribirse a Microsoft Office Ahora puede suscribirse a 3 de septiembre de 2020 2016 o 2019 para BYOL Microsoft Office Professional WorkSpaces 2016 o 2019 proporcionado porAWSen WorkSpaces de Bring Your Own License (BYOL).

BYOL Automatización en China Puede usar la automatización de 2 de abril de 2020 (Ningxia) BYOL (BYOL) para simplificar el proceso de utilización de sus licencias de escritorio de Windows 10 para sus WorkSpaces en China (Ningxia).

249 Amazon WorkSpaces Guía de administración

Comprobador de imágenes La herramienta Comprobador de 30 de marzo de 2020 imágenes le ayuda a determinar si su Windows WorkSpace cumple los requisitos para la creación de imágenes. El comprobador de imágenes realiza una serie de pruebas en el escritorio de WorkSpaces que desea utilizar para crear la imagen y proporciona orientación sobre cómo resolver cualquier problema que encuentre.

Migrar WorkSpaces La función de migración de 9 de enero de 2020 Amazon WorkSpaces le permite migrar un WorkSpace de un paquete a otro, conservando al mismo tiempo los datos del volumen de usuario. Puede utilizar esta característica para migrar WorkSpaces desde la experiencia de escritorio de Windows 7 a la de Windows 10. También puede utilizar esta característica para migrar WorkSpaces de un paquete público o personalizado a otro.

Integración de PrivateLink para Puede conectarse directamente a 25 de noviembre de 2019 API de Amazon WorkSpaces los puntos de enlace de la API de Amazon WorkSpaces a través de un punto de enlace de interfaz en su Virtual Private Cloud (VPC) en lugar de conectarse por Internet. Cuando se utiliza un punto de enlace de tipo interfaz de la VPC, la comunicación entre la VPC y la API de Amazon WorkSpaces se realiza exclusivamente y con total seguridad dentro de laAWSRed

Cliente de Linux para Amazon Los usuarios pueden usar ahora 25 de noviembre de 2019 WorkSpaces el cliente Linux para obtener acceso a sus escritorios de WorkSpaces.

Lanzamiento de Amazon Amazon WorkSpaces está 13 de noviembre de 2019 WorkSpaces en China (Ningxia) disponible en la región China (Ningxia)

Restaurar WorkSpaces al último Puede utilizar la función de 18 de septiembre de 2019 estado correcto conocido restauración para revertir un WorkSpace a su último estado correcto conocido.

250 Amazon WorkSpaces Guía de administración

Cifrado de puntos de enlace de Para cumplir con el Programa 12 de septiembre de 2019 FIPS federal de administración de riesgos y autorizaciones (FedRAMP) o la Guía de requisitos de seguridad (SRG) de informática en la nube del Departamento de Defensa (DoD), puede configurar Amazon WorkSpaces para utilizar el cifrado de puntos de enlace del Estándar federal de procesamiento de la información (FIPS) en el nivel de directorio.

Copiar imágenes de WorkSpaces Puede copiar las imágenes 27 de junio de 2019 dentro de la misma región o en otras regiones.

Capacidades de gestión de Puede habilitar capacidades 19 de noviembre de 2018 WorkSpace de autoservicio para de gestión de WorkSpace de usuarios autoservicio para sus usuarios, a fin de que les proporcionen un mayor control sobre su experiencia.

Automation de BYOL Puede usar la automatización 16 de noviembre de 2018 de Bring-Your-Own-License (BYOL) para simplificar el proceso de utilización de las licencias de escritorio de Windows 7 y Windows 10 para sus WorkSpaces.

Grupos de PowerPro y Los paquetes PowerPro y 18 de octubre de 2018 GraphicsPro GraphicsPro ahora están disponibles para WorkSpaces.

Monitorizar los inicios de sesión Puede usar eventos de Amazon 17 de septiembre de 2018 correctos de WorkSpace CloudWatch Events para monitorizar los inicios de sesión correctos de WorkSpace y responder a ellos.

Acceso web para WorkSpaces Ahora los usuarios pueden 24 de agosto de 2018 de Windows 10 utilizar el cliente Web Access para acceder a un WorkSpace con las versiones para escritorio de Windows 10.

Inicio de sesión con URI Puede utilizar identificadores 31 de julio de 2018 uniformes de recursos (URI) para proporcionar a los usuarios acceso a sus WorkSpaces.

Amazon Linux WorkSpaces Puede aprovisionar Amazon 26 de junio de 2018 Linux WorkSpaces para los usuarios.

251 Amazon WorkSpaces Guía de administración Actualizaciones anteriores

Grupos de control de acceso a Puede controlar las direcciones 30 de abril de 2018 direcciones IP IP desde las que los usuarios tienen acceso a sus escritorios de WorkSpaces.

Actualizaciones de in situ Puede actualizar sus escritorios 9 de marzo de 2018 de WorkSpaces BYOL de Windows 10 a una versión más reciente de Windows 10.

Actualizaciones anteriores

En la tabla siguiente se describen los cambios importantes realizados en el servicio Amazon WorkSpaces y su documentación antes del 1 de enero de 2018.

Cambio Descripción Fecha

Opciones de computación Puede cambiar sus escritorios de WorkSpaces 22 de flexibles entre los paquetes Value, Standard, Performance y diciembre de Power 2017

Almacenamiento configurable Puede configurar el tamaño de los volúmenes raíz 22 de y de usuario de sus escritorios de WorkSpaces diciembre de cuando los lance y aumentar el tamaño de estos 2017 volúmenes más adelante.

Controlar el acceso de los Puede especificar los tipos de dispositivos que 19 de junio de dispositivos tienen acceso a WorkSpaces. Además puede 2017 limitar el acceso a WorkSpaces a los dispositivos de confianza (también conocidos como dispositivos administrados).

Confianzas entre bosques Puede establecer una relación de confianza entre 9 de febrero de su AWS Managed Microsoft AD y el dominio 2017 local de Microsoft Active Directory y aprovisionar después WorkSpaces para los usuarios en el dominio local.

Paquetes de Windows Server WorkSpaces dispone de paquetes con tecnología 29 de 2016 Windows Server 2016 que incluyen una noviembre de experiencia de escritorio de Windows 10. 2016

Web Access Puede obtener acceso a los WorkSpaces de 18 de Windows desde un navegador web mediante noviembre de WorkSpaces Web Access. 2016

Espacios de trabajo por horas Puede configurar los espacios de trabajo para que 18 de agosto la facturación se realice por horas. de 2016

BYOL de Windows 10 Puede traer su propia licencia de Windows 10 21 de julio de Desktop a WorkSpaces (BYOL). 2016

Compatibilidad del etiquetado Puede usar etiquetas para administrar y controlar 17 de mayo de los WorkSpaces. 2016

Registros guardados Cada vez que introduce un nuevo código de 28 de enero de registro, el cliente de WorkSpaces lo guarda. De 2016

252 Amazon WorkSpaces Guía de administración Actualizaciones anteriores

Cambio Descripción Fecha este modo, resulta más sencillo cambiar entre espacios de trabajo de diferentes directorios o regiones.

BYOL de Windows 7Cliente de Puede traer su propia licencia de Windows 7 1 de octubre de ChromebookCifrado de espacios Desktop a WorkSpaces (BYOL), utilice el cliente de 2015 de trabajo Chromebook,y use cifrado de WorkSpace.

Supervisión de CloudWatch Se añadió información sobre la monitorización de 28 de abril de CloudWatch 2015

Reconexión automática de Se ha añadido información sobre la característica 31 de marzo de sesiones de reconexión automática de sesiones en las 2015 aplicaciones cliente de escritorio de WorkSpaces.

Direcciones IP públicas Puede asignar automáticamente una dirección IP 23 de enero de pública a sus WorkSpaces. 2015

Lanzamiento de WorkSpaces en WorkSpaces está disponible en la región Asia 15 de enero de Asia Pacífico (Singapur) Pacífico (Singapur) 2015

Se ha añadido el paquete Value, El paquete Value está disponible, el hardware del 6 de noviembre se ha actualizado el paquete paquete Standard se ha actualizado y Microsoft de 2014 Standard y se ha agregado Office Office 2013 está disponible en los paquetes Plus. 2013

Compatibilidad con imágenes y Puede crear una imagen de un WorkSpace que 28 de octubre paquetes haya personalizado y, a continuación, crear un de 2014 paquete personalizado del WorkSpace a partir de la imagen.

Compatibilidad con el cliente cero Puede obtener acceso a los dispositivos de cliente 15 de octubre PCoIP cero PCoIP de WorkSpaces. de 2014

Lanzamiento de WorkSpaces en WorkSpaces está disponible en la región Asia 26 de agosto Asia Pacífico (Tokio) Pacífico (Tokio) de 2014

Compatibilidad con impresoras Puede habilitar la compatibilidad con las 26 de agosto locales impresoras locales en los WorkSpaces. de 2014

Autenticación multifactor Puede utilizar la autenticación multifactor en los 11 de agosto directorios conectados. de 2014

Compatibilidad con OU Puede seleccionar una unidad organizativa 7 de julio de predeterminadas y con el (OU) predeterminada en la que se ubiquen las 2014 dominio de destino cuentas de equipo de los WorkSpace y un dominio independiente en el que se creen dichas cuentas.

Añadir grupos de seguridad Puede añadir un grupo de seguridad a sus 7 de julio de instancias de WorkSpaces. 2014

Lanzamiento de WorkSpaces en WorkSpaces está disponible en la región Asia 15 de mayo de Asia Pacífico (Sídney) Pacífico (Sídney). 2014

Lanzamiento de WorkSpaces en WorkSpaces está disponible en la región UE 5 de mayo de Europa (Irlanda) (Irlanda) 2014

253 Amazon WorkSpaces Guía de administración Actualizaciones anteriores

Cambio Descripción Fecha

Versión beta pública WorkSpaces está disponible como versión beta 25 de marzo de pública. 2014

254 Amazon WorkSpaces Guía de administración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

cclv