Amazon Workspaces Guia De Administração Amazon Workspaces Guia De Administração

Amazon WorkSpaces Guia de administração Amazon WorkSpaces Guia de administração

As marcas comerciais e imagens de marcas da Amazon não podem ser usadas no contexto de nenhum produto ou serviço que não seja da Amazon, nem de qualquer maneira que possa gerar confusão entre os clientes ou que deprecie ou desprestigie a Amazon. Todas as outras marcas comerciais que não pertencem à Amazon pertencem a seus respectivos proprietários, que podem ou não ser afiliados, patrocinados pela Amazon ou ter conexão com ela. Amazon WorkSpaces Guia de administração

Table of Contents

O que é WorkSpaces? ...... 1 Features ...... 1 Architecture ...... 1 Acesse o WorkSpace ...... 2 Pricing ...... 3 Como começar a usar ...... 3 Conceitos básicos: Instalação rápida ...... 4 Antes de começar ...... 4 O que a Instalação rápida faz ...... 5 Etapa 1: Inicialização do WorkSpace ...... 5 Etapa 2: Connect ao WorkSpace ...... 7 Etapa 3: Limpar (opcional) ...... 7 Próximas etapas ...... 8 Redes e acesso ...... 9 Protocolos para Amazon WorkSpaces ...... 9 Requisitos da VPC ...... 10 Requirements ...... 10 Configurar uma VPC com sub-redes privadas e um gateway NAT ...... 10 Configurar uma VPC com sub-redes públicas ...... 14 Zonas de disponibilidade do WorkSpaces ...... 17 Requisitos de endereço IP e porta ...... 18 Portas para aplicações clientes ...... 19 Portas para o Web Access ...... 19 Domínios e endereços IP para adicionar à sua lista de permissões ...... 20 ...... 25 ...... 26 Servidores de Verificação ...... 26 Servidores de gateway PCoIP ...... 28 Servidores de gateway WSP ...... 30 Interfaces de rede ...... 30 Requisitos de rede ...... 34 Dispositivos confiáveis ...... 35 Etapa 1: Criar certificados ...... 36 Etapa 2: Implementar certificados de cliente nos dispositivos fidedignos ...... 36 Etapa 3: Configurar a restrição ...... 37 Autenticar cartão ...... 37 Requirements ...... 38 Limitations ...... 38 Configuração do diretório ...... 39 Habilitar cartões inteligentes para WorkSpaces do Windows ...... 39 Ativar cartões inteligentes para Linux WorkSpaces ...... 41 Acesso à Internet ...... 45 Grupos de segurança ...... 46 Grupos de controle de acesso IP ...... 47 Criar um grupo de controle de acesso IP ...... 48 Associar um grupo de controle de acesso IP a um diretório ...... 48 Copiar um grupo de controle de acesso IP ...... 48 Excluir um grupo de controle de acesso IP ...... 49 Cliente PCoIP zero ...... 49 Configurar o Android para Chromebooks ...... 50 Web Access ...... 50 Etapa 1: Habilitar o Web Access aos WorkSpaces ...... 50 Etapa 2: Configurar o acesso de entrada e saída às portas do Web Access ...... 51

iii Amazon WorkSpaces Guia de administração

Etapa 3: Configurar a Política de Grupo e as definições de política de segurança para permitir que os utilizadores iniciem sessão ...... 51 Criptografia de endpoints do FIPS ...... 53 Permitir conexões SSH ...... 54 Pré-requisitos para conexões SSH com o Amazon Linux WorkSpaces ...... 55 Permitir conexões SSH para todos os Amazon Linux WorkSpaces em um diretório ...... 56 Permitir conexões SSH para um Amazon Linux WorkSpace específico ...... 56 Connect a um Amazon Linux WorkSpace usando Linux ou PuTTY ...... 57 Configuração necessária ...... 58 Configuração da tabela de roteamento necessária ...... 58 Componentes de serviço necessários ...... 58 Diretórios ...... 61 Registrar um diretório ...... 62 Atualizar detalhes do diretório ...... 63 Selecione uma unidade organizacional ...... 63 Configurar endereços IP automáticos ...... 64 Controlar o acesso de dispositivos ...... 65 Gerenciar permissões de administrador local ...... 65 Atualizar a conta do AD Connector (AD Connector) ...... 66 Autenticação multifator (AD Connector) ...... 66 Atualizar servidores DNS para WorkSpaces ...... 67 Práticas recomendadas ...... 67 Etapa 1: Atualizar as configurações do servidor DNS em seus WorkSpaces ...... 67 Etapa 2: Atualizar as configurações do servidor DNS para o Active Directory ...... 69 Etapa 3: Testar as configurações atualizadas do servidor DNS ...... 70 Excluir um diretório ...... 71 Habilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado ...... 72 Configurar a administração de diretório ...... 73 Ativar um WorkSpace ...... 76 Iniciar usandoAWSGerenciamento do Microsoft AD ...... 77 Antes de começar ...... 77 Etapa 1: Criar umAWSDiretório do Microsoft AD ...... 78 Etapa 2: Crie um WorkSpace ...... 79 Etapa 3: Connect ao WorkSpace ...... 79 Próximas etapas ...... 80 Iniciar usando o Simple AD ...... 80 Antes de começar ...... 81 Etapa 1: Criar um diretório do Simple AD ...... 81 Etapa 2: Crie um WorkSpace ...... 82 Etapa 3: Connect ao WorkSpace ...... 83 Próximas etapas ...... 83 Iniciar usando o AD Connector ...... 84 Antes de começar ...... 84 Etapa 1: Criar um AD Connector ...... 84 Etapa 2: Criar um WorkSpace ...... 85 Etapa 3: Connect ao WorkSpace ...... 86 Próximas etapas ...... 87 Iniciar usando um domínio confiável ...... 87 Antes de começar ...... 87 Etapa 1: Estabelecer um relacionamento de confiança ...... 88 Etapa 2: Criar um WorkSpace ...... 88 Etapa 3: Connect ao WorkSpace ...... 89 Próximas etapas ...... 89 Administrar usuários do WorkSpace ...... 91 Gerenciar usuários de WorkSpaces ...... 91 Edição das informações do usuário ...... 91 Adicionar ou excluir usuários ...... 91

iv Amazon WorkSpaces Guia de administração

Enviar um convite por e-mail ...... 92 Criar vários WorkSpaces para um usuário ...... 92 Personalizar como os usuários fazem login nos WorkSpaces ...... 93 Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace ...... 95 Administrar seus WorkSpaces do ...... 97 Gerenciar WorkSpaces do Windows ...... 97 Instalar o modelo administrativo de políticas de grupo para PCoIP ...... 99 Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP ...... 108 Definir o tempo de vida máximo para um tíquete Kerberos ...... 117 Configurar as configurações do servidor proxy do dispositivo para acesso à Internet ...... 117 Gerencie seus Amazon Linux WorkSpaces ...... 117 Controle o comportamento do agente PCoIP no Amazon Linux WorkSpaces ...... 118 Ativar ou desativar o redirecionamento da área transferência para WorkSpaces do Amazon ...... 118 Ativar ou desativar o redirecionamento de áudio para o Amazon Linux WorkSpaces ...... 119 Ativar ou desativar o redirecionamento do fuso horário para WorkSpaces do Amazon Linux ...... 119 Conceder acesso SSH aos administradores do Amazon Linux WorkSpaces ...... 120 Substituir o shell padrão para o Amazon Linux WorkSpaces ...... 121 Proteja repositórios personalizados contra acesso não autorizado ...... 121 Usar o repositório Amazon Linux Extras Library ...... 121 Usar cartões inteligentes para autenticação no Linux WorkSpaces ...... 122 Gerenciar o modo de execução ...... 122 WorkSpaces do AutoStop ...... 122 Modificar o modo de execução ...... 123 Parar e iniciar um WorkSpace de AutoStop ...... 123 Modificar um WorkSpace ...... 124 Alterar o tamanho do volume ...... 124 Alterar tipos de pacote ...... 126 Marcar recursos do WorkSpaces ...... 127 Manutenção do WorkSpace ...... 128 Janelas de manutenção para WorkSpaces AlwaysOn ...... 129 Janelas de manutenção para WorkSpaces AutoStop ...... 129 Manutenção manual ...... 129 WorkSpaces criptografados ...... 130 Prerequisites ...... 130 Limits ...... 131 Visão geral da criptografia do WorkSpaces usando oAWS KMS ...... 132 contexto de criptografia do WorkSpaces ...... 132 Conceder aos WorkSpaces permissão para usar uma CMK em seu nome ...... 133 Criptografia de um WorkSpace ...... 136 Exibir WorkSpaces criptografados ...... 137 Reinicialização de um WorkSpace ...... 137 Recriação de um WorkSpace ...... 137 Restaurar um WorkSpace ...... 138 Atualização do Windows 10 BYOL WorkSpaces ...... 139 Prerequisites ...... 140 Considerations ...... 140 Limitações conhecidas ...... 141 Resumo das configurações da chave do Registro ...... 141 Realizar uma atualização no local ...... 142 Troubleshooting ...... 144 Atualizar seu registro do WorkSpace usando um script do PowerShell ...... 145 Migrar um WorkSpace ...... 146 Limites de migração ...... 146 Cenários do ...... 147 O que acontece durante a migração ...... 148 Práticas recomendadas ...... 148 Troubleshooting ...... 149

v Amazon WorkSpaces Guia de administração

Como a cobrança é afetada ...... 149 Migrar um WorkSpace ...... 149 Excluir um WorkSpace ...... 150 Pacotes e imagens ...... 152 Criar uma imagem personalizada e um pacote ...... 152 Requisitos para criar imagens personalizadas do Windows ...... 153 Requisitos para criar imagens personalizadas do Amazon Linux ...... 154 Práticas recomendadas ...... 154 (Opcional) Etapa 1: Especificar um formato de nome de computador personalizado para sua imagem ...... 155 Etapa 2: Execute o Verificador de Imagens ...... 156 Etapa 3: Crie uma imagem personalizada e um pacote personalizado ...... 163 O que está incluído nas imagens personalizadas do Windows WorkSpaces ...... 164 O que está incluído nas imagens personalizadas do Amazon Linux WorkSpace ...... 165 Atualizar um pacote personalizado ...... 166 Copiar uma imagem personalizada ...... 167 Compartilhar ou descompartilhar uma imagem personalizada ...... 168 Excluir um pacote ou uma imagem personalizada ...... 170 Excluir um pacote ...... 170 Excluir uma imagem ...... 171 Licenças Traga seu próprio desktop Windows ...... 171 Requirements ...... 172 Versões do Windows compatíveis com BYOL ...... 173 Adicionar o Microsoft Office à sua imagem BYOL ...... 174 Etapa 1: Verifique a elegibilidade de sua conta para BYOL usando o console do Amazon WorkSpaces ...... 177 Etapa 2: Ativar BYOL para sua conta para BYOL usando o console do Amazon WorkSpaces ...... 178 Etapa 3: Executar o script BYOL Checker PowerShell em uma VM do Windows ...... 179 Etapa 4: Exportar a VM a partir do seu ambiente de virtualização ...... 180 Etapa 5: Importe a VM como uma imagem no Amazon EC2 ...... 180 Etapa 6: Criar uma imagem BYOL usando o console do WorkSpaces ...... 181 Etapa 7: Crie um pacote personalizado a partir da imagem BYOL ...... 182 Etapa 8 Registrar um diretório dedicado para o WorkSpaces ...... 182 Etapa 9 Inicie seus WorkSpaces BYOL ...... 183 Monitorar seu WorkSpaces ...... 184 Monitorar com métricas do CloudWatch ...... 184 métricas de WorkSpaces ...... 185 Dimensões para métricas do WorkSpaces ...... 187 Exemplo de monitoramento ...... 187 Monitorar com o CloudWatch Ev ...... 188 Eventos de WorkSpaces ...... 189 Criar uma regra para lidar com eventos de WorkSpaces ...... 190 Noções básicas sobre oAWSEventos de login para usuários de smart card ...... 191 Eventos de exemplo para oAWScenários de início de sessão ...... 192 Continuidade dos negócios ...... 196 Redirecionamento entre regiões ...... 196 Prerequisites ...... 197 Limitations ...... 198 Etapa 1: Criar aliases de conexão ...... 199 (Opcional) Etapa 2: Compartilhar um alias de conexão com outra conta ...... 199 Etapa 3: Associar aliases de conexão a diretórios em cada região ...... 200 Etapa 4: Configurar seu serviço DNS e configurar políticas de roteamento DNS ...... 201 Etapa 5: Enviar a string de conexão para seus usuários do WorkSpaces ...... 204 O que acontece durante o redirecionamento entre regiões ...... 204 Desassocie um alias de conexão de um diretório ...... 205 Descompartilhar um alias de conexão ...... 205 Excluir um alias de conexão ...... 205

vi Amazon WorkSpaces Guia de administração

Permissões do IAM para associar e desassociar aliases de conexão ...... 206 Considerações de segurança se você parar de usar o redirecionamento entre regiões ...... 207 Segurança ...... 208 Proteção de dados ...... 208 Criptografia em repouso ...... 209 Criptografia em trânsito ...... 209 Identity and Access Management ...... 210 Criar a função workspaces_DefaultRole ...... 213 Especificar recursos do WorkSpaces em uma política do IAM ...... 214 Validação de conformidade ...... 218 Resiliência ...... 218 Segurança da infraestrutura ...... 219 Isolamento de rede ...... 219 Isolamento em hosts físicos ...... 219 Autorização dos usuários corporativos ...... 219 Fazer solicitações de API do Amazon WorkSpaces por meio de um endpoint de interface VPC .... 219 Criar uma política de VPC endpoint para o Amazon WorkSpaces ...... 221 Connect sua rede privada à sua VPC ...... 221 Gerenciamento de atualizações ...... 222 Amazon WAM ...... 222 Solução de problemas ...... 223 Habilitar log avançado ...... 223 Solucionar problemas específicos do ...... 224 Não consigo criar um Amazon Linux WorkSpace do porque há caracteres inválidos no nome de usuário ...... 225 Alterei o shell do meu Amazon Linux WorkSpace e agora não consigo provisionar uma sessão PCoIP ...... 226 Meu Amazon Linux WorkSpaces não será iniciado ...... 226 A inicialização de WorkSpaces em meu diretório conectado falha com frequência ...... 227 Falha ao ativar os WorkSpaces com um erro interno ...... 227 Quando tento registrar um diretório, o registro falha e deixa o diretório em um estado ERROR ..... 227 Muitos usuários não conseguem se conectar a um WorkSpace do Windows com um banner de logon interativo ...... 227 Meus usuários não conseguem se conectar a um Windows WorkSpace ...... 228 Meus usuários estão tendo problemas ao tentar fazer login no WorkSpaces pelo WorkSpaces Web Access ...... 229 O cliente do Amazon WorkSpaces exibe uma tela cinza “Carregando...” por um tempo antes de retornar para a tela de login. Nenhuma outra mensagem de erro é exibida...... 229 Meus usuários recebem a mensagem “Status do WorkSpace: Insalubre. Não foi possível conectá-lo ao WorkSpace. Tente novamente em alguns minutos”...... 229 Meus usuários recebem a mensagem “Este dispositivo não está autorizado a acessar o WorkSpace. Entre em contato com o administrador para obter ajuda”...... 230 Meus usuários recebem a mensagem “Sem rede. Conexão de rede perdida. Verifique sua conexão de rede ou entre em contato com o administrador para obter ajuda.” ao tentar se conectar a um WSP WorkSpace ...... 230 O cliente dos WorkSpaces mostra aos usuários um erro de rede, mas eles podem usar outros aplicativos habilitados para rede em seus dispositivos ...... 230 Meus usuários do WorkSpace veem a seguinte mensagem de erro: “O dispositivo não pode se conectar ao serviço de registro. Verifique suas configurações de rede." ...... 232 Meus usuários de cliente zero PCoIP estão recebendo o erro "The supplied certificate is invalid due to timestamp" (O certificado fornecido é inválido devido ao time stamp) ...... 232 Impressoras USB e outros periféricos USB não estão funcionando para clientes zero PCoIP ...... 233 Meus usuários ignoraram a atualização dos aplicativos cliente Windows ou macOS e não foram solicitados a instalar a versão mais recente ...... 233 Meus usuários não conseguem instalar o aplicativo cliente Android em seus Chromebooks ...... 234 Meus usuários não estão recebendo e-mails de convite nem e-mails de redefinição de senha ...... 234 Meus usuários não veem a opção Esqueceu sua senha? na tela de login do cliente ...... 234

vii Amazon WorkSpaces Guia de administração

Recebo a mensagem “The system administrator has set policies to prevent this installation (O administrador de sistema definiu políticas para prevenir essa instalação)” quando tento instalar aplicativos em um WorkSpace do Windows ...... 235 Nenhum dos WorkSpaces no meu diretório consegue se conectar à internet ...... 235 Meu WorkSpace perdeu o acesso à Internet ...... 235 Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório local ...... 236 Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório local ...... 236 Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório local ...... 236 Meu WorkSpace do Windows fica inativo quando permanece ocioso ...... 237 Um dos meus WorkSpaces tem um estado deUNHEALTHY ...... 238 Meu WorkSpace está falhando ou reiniciando de forma inesperada...... 238 O mesmo nome de usuário tem mais de um WorkSpace, mas o usuário só pode fazer login em um dos WorkSpaces ...... 240 Estou tendo problemas para usar o Docker com o Amazon WorkSpaces ...... 241 Recebo erros ThrottlingException em algumas das minhas chamadas de API ...... 241 Cotas ...... 243 Histórico do documento ...... 245 Atualizações anteriores ...... 249 ...... ccli

viii Amazon WorkSpaces Guia de administração Features

O que é o Amazon WorkSpaces?

O Amazon WorkSpaces permite provisionar desktops Microsoft Windows ou Amazon Linux virtuais baseados em nuvem para seus usuários, conhecidos comoWorkSpaces. O WorkSpaces elimina a necessidade de adquirir e implantar hardware e instalar software complexo. Você pode rapidamente adicionar ou remover usuários à medida que suas necessidades mudarem. Os usuários podem acessar suas áreas de trabalho virtuais de vários dispositivos ou navegadores da web.

Para obter mais informações, consulteAmazon WorkSpaces.

Features

• Escolha o sistema operacional (Windows ou Amazon Linux) e selecione entre diversas configurações de hardware, configurações de software eAWSRegiões. Para obter mais informações, consultePacotes do Amazon WorkSpacesethe section called “Criar uma imagem personalizada e um pacote” (p. 152). • Escolha o seu protocolo: PCoIP ou WorkSpaces Streaming Protocol (WSP). Para obter mais informações, consulte Protocolos para Amazon WorkSpaces (p. 9). • Conecte-se ao seu WorkSpace e retome de onde parou. WorkSpaces proporciona uma experiência de área de trabalho persistente. • O WorkSpaces proporciona a flexibilidade de faturamento mensal ou por hora para WorkSpaces. Para obter mais informações, consultePreço do WorkSpaces. • Implante e gerencie aplicativos para seu WorkSpaces do Windows usando o Amazon WorkSpaces Application Manager (Amazon WAM). • Para desktops do Windows, você pode trazer suas próprias licenças e aplicativos ou comprá-los naAWSMarketplace for Desktop Apps. • Crie um diretório independente e gerenciado para seus usuários ou conecte seus WorkSpaces ao seu diretório no local, para que seus usuários possam usar as credenciais existentes deles para obter acesso direto aos recursos corporativos. Para obter mais informações, consulte Diretórios (p. 61). • Use as mesmas ferramentas para gerenciar os WorkSpaces que você usa para gerenciar áreas de trabalho no local. • Use a Multi-Factor Authentication (MFA) para segurança adicional. • Use o AWS Key Management Service (AWS KMS) para criptografar dados em repouso, E/S de disco e snapshots de volumes. • Controle os endereços IP em que os usuários tem permissão para acessar o WorkSpaces.

Architecture

Para WorkSpaces do Windows e do Amazon Linux, cada WorkSpace é associado a uma virtual private cloud (VPC) e um diretório para armazenar e gerenciar informações dos seus WorkSpaces e usuários. Para obter mais informações, consulte the section called “Requisitos da VPC” (p. 10). Os diretórios são gerenciados por meio doAWS Directory Service, que oferece as seguintes opções: Simple AD, AD Connector ouAWSDirectory Service para Microsoft Active Directory, também conhecido comoAWSMicrosoft AD gerenciado pela. Para obter mais informações, consulte o .AWS Directory ServiceGuia de administração.

O WorkSpaces usa o Simple AD, AD Connector ouAWSDiretório do Microsoft AD gerenciado pela para autenticar usuários. Os usuários acessam seus WorkSpaces usando um aplicativo cliente de um

1 Amazon WorkSpaces Guia de administração Acesse o WorkSpace

dispositivo com suporte ou, para WorkSpaces do Windows, um navegador da web, e fazem login usando as credenciais do diretório. As informações de login são enviadas para um gateway de autenticação, que encaminha o tráfego para o diretório do WorkSpace. Depois que o usuário é autenticado, o tráfego de streaming é iniciado por meio do gateway de streaming.

Os aplicativos clientes usam HTTPS na porta 443 para todas as informações relacionadas a autenticação e sessão. Os aplicativos clientes usam a porta 4172 (PCoIP) e a porta 4195 (WSP) para streaming de pixel para o WorkSpace e as portas 4172 e 4195 para verificações de integridade da rede. Para obter mais informações, consulte Portas para aplicações clientes (p. 19).

Cada WorkSpace tem duas interfaces de rede elástica associadas a ele: uma interface de rede para gerenciamento e streaming (eth0) e uma interface de rede primária (eth1). A interface de rede primária tem um endereço IP fornecido pela VPC, das mesmas sub-redes usadas pelo diretório. Isso garante que o tráfego do seu WorkSpace possa facilmente entrar em contato com o diretório. O acesso a recursos na VPC é controlado pelos grupos de segurança atribuídos à interface de rede primária. Para obter mais informações, consulte Interfaces de rede (p. 30).

O diagrama a seguir mostra a arquitetura do WorkSpaces.

Para obter diagramas de arquitetura adicionais, consulte o Melhores práticas para implantar o Amazon WorkSpaces doWhitepaper.

Acesse o WorkSpace

Você pode se conectar aos WorkSpaces usando o aplicativo cliente para um dispositivo com suporte ou, para WorkSpaces do Windows, usando um navegador da Web compatível em um sistema operacional com suporte. Note

Não é possível usar um navegador da web para se conectar aos WorkSpaces do Amazon Linux.

Há aplicativos clientes para os seguintes dispositivos:

• Computadores Windows • Computadores macOS

2 Amazon WorkSpaces Guia de administração Pricing

• Computadores Ubuntu Linux 18.04 • Chromebooks • iPads • Dispositivos Android • Tablets Fire • Dispositivos cliente zero (os dispositivos Teradici zero client são suportados apenas com PCoIP.)

No Windows, macOS e Linux, você pode usar os seguintes navegadores da web para se conectar aos WorkSpaces do Windows:

• Chrome 53 e posterior (somente Windows e macOS) • Firefox 49 e superior

Para obter mais informações, consulteClientes WorkSpacesnoGuia do usuário do Amazon WorkSpaces.

Pricing

Depois de cadastrar-se naAWS, você poderá começar a usar o WorkSpaces gratuitamente usando a oferta de nível gratuito do WorkSpaces. Para obter mais informações, consultePreço do WorkSpaces.

Com o WorkSpaces, você paga somente pelo que for usado. Você é cobrado com base no pacote e no número de WorkSpaces ativados. O preço do WorkSpaces inclui o uso do Simple AD e do AD Connector, mas não o uso doAWSMicrosoft AD gerenciado pela.

O WorkSpaces oferece faturamento mensal ou por hora para WorkSpaces. Com o faturamento mensal, você paga uma taxa fixa para utilização ilimitada, que é melhor para os usuários que utilizam os WorkSpaces em tempo integral. Com o faturamento por hora, você paga uma pequena taxa mensal fixa por WorkSpace, além de uma pequena taxa por hora em que o WorkSpace permanecer em execução. Para obter mais informações, consultePreço do WorkSpaces.

Para obter informações sobre as regiões suportadas, consultePreço do WorkSpaces.

Como começar a usar

Para criar um WorkSpace, tente um dos seguintes tutoriais:

• Comece a usar a Configuração Rápida do WorkSpaces (p. 4) • Iniciar um WorkSpace usandoAWSGerenciamento do Microsoft AD (p. 77) • Ativar um WorkSpace usando o Simple AD (p. 80) • Ativar um WorkSpace usando o AD Connector (p. 84) • Iniciar um WorkSpace usando um domínio confiável (p. 87)

Também é possível explorar esses recursos para saber mais sobre o Amazon WorkSpaces:

• Guia de implementação: Provisione desktops na nuvem • Recursos do Amazon WorkSpaces— whitepapers, postagens em blog, webinars, sessões re:Invent e muito mais • Perguntas frequentes sobre o Amazon WorkSpaces

3 Amazon WorkSpaces Guia de administração Antes de começar

Comece a usar a Configuração Rápida do WorkSpaces

Neste tutorial, você aprenderá a provisionar um desktop virtual do Microsoft Windows ou do Amazon Linux, conhecido como umWorkSpace, usando o WorkSpaces eAWS Directory Service.

Este tutorial usa a opção Instalação rápida para ativar o WorkSpace. Essa opção estará disponível somente se nunca tiver ativado um WorkSpace. Como alternativa, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76). Note

A Instalação rápida é compatível com o seguinteAWSRegiões:

• US East (N. Virginia) • US West (Oregon) • Europe (Ireland) • Asia Pacific (Singapore) • Asia Pacific (Sydney) • Asia Pacific (Tokyo)

Para alterar sua Região, consulteEscolher uma região.

Tarefas • Antes de começar (p. 4) • O que a Instalação rápida faz (p. 5) • Etapa 1: Inicialização do WorkSpace (p. 5) • Etapa 2: Connect ao WorkSpace (p. 7) • Etapa 3: Limpar (opcional) (p. 7) • Próximas etapas (p. 8)

Antes de começar

Antes de começar, certifique-se de que os seguintes requisitos são atendidos:

• Você deve ter umAWSPara criar ou administrar um WorkSpace. Os usuários não precisam de umAWSPara se conectar e usar seus WorkSpaces. • O WorkSpaces não está disponível em todas as regiões. Verifique as regiões suportadas eSelecione uma regiãoPara seus WorkSpaces. Para obter mais informações sobre as regiões compatíveis, consulteDefinição de preço do WorkSpacesAWSRegião.

Também é útil rever e compreender os seguintes conceitos antes de prosseguir:

4 Amazon WorkSpaces Guia de administração O que a Instalação rápida faz

• Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. Para obter mais informações, consulte Pacotes do Amazon WorkSpaces. • Ao iniciar um WorkSpace, você deve selecionar qual protocolo (PCoIP ou WorkSpaces Streaming Protocol [WSP]) você deseja usar com seu pacote. Para obter mais informações, consulte Protocolos para Amazon WorkSpaces (p. 9). • Ao executar um WorkSpace, você deve especificar as informações de perfil do usuário, incluindo um nome de usuário e o endereço de e-mail. Os usuários concluem o perfil ao especificar uma senha. As informações sobre o WorkSpaces e os usuários são armazenadas em um diretório. Para obter mais informações, consulte Diretórios (p. 61).

O que a Instalação rápida faz

A Instalação rápida executa as seguintes tarefas em seu nome:

• Cria uma função do IAMPara permitir que o serviço WorkSpaces crie interfaces de rede elásticas e liste seus diretórios do WorkSpaces. Essa função tem o nome workspaces_DefaultRole. • Cria uma nuvem privada virtual (VPC). Se você quiser usar uma VPC existente, certifique-se de que ela atenda aos requisitos observados emConfigurar uma VPC para WorkSpaces (p. 10)e siga as etapas em um dos tutoriais listados emIniciar uma área de trabalho virtual usando o WorkSpaces (p. 76). Escolha o tutorial que corresponde ao tipo de Active Directory que você deseja usar. • Define um diretório do Simple ADna VPC. Este diretório do Simple AD é usado para armazenar informações do usuário e do WorkSpace. O diretório tem uma conta de administrador e é habilitado para o Amazon WorkDocs. • Cria as contas de usuário especificadas e as adiciona ao diretório do. • Cria WorkSpaces. Cada WorkSpace recebe um endereço IP público para fornecer acesso à Internet. O modo de execução é AlwaysOn. Para obter mais informações, consulte Gerenciar o modo de execução do WorkSpace (p. 122). • Envia convites por e-mail para os usuários especificados. Se seus usuários não receberem seus e-mails de convite, consulteEnviar um convite por e-mail (p. 92).

Note

A primeira conta de usuário criada pela Instalação rápida é sua conta de usuário administrador. Não é possível atualizar essa conta de usuário no WorkSpaces Console do. Não compartilhe as informações dessa conta de administrador com outras pessoas. Se você quiser convidar outros usuários para usar o WorkSpaces, crie novas contas de usuário para eles.

Etapa 1: Inicialização do WorkSpace

Usando a Instalação rápida, você pode ativar seu primeiro WorkSpace em minutos.

Para ativar um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. Escolha Get Started Now. Se este botão não for exibido, ou você já executou um WorkSpace nessa região, ou você não está usando uma das Regiões compatíveis com a Instalação rápida (p. 4). Neste caso, consulteIniciar uma área de trabalho virtual usando o WorkSpaces (p. 76). 3. NoConceitos básicos do WorkSpaces, ao lado deConfiguração rápida do, escolhaExecutar.

5 Amazon WorkSpaces Guia de administração Etapa 1: Inicialização do WorkSpace

4. para oPacotes, selecione um pacote (hardware e software) para o usuário com o protocolo apropriado (PCoIP ou WSP). Para obter mais informações sobre os vários pacotes públicos disponíveis para o Amazon WorkSpaces, consultePacotes do Amazon WorkSpaces.

5. Em Inserir detalhes do usuário, preencha o Nome do usuário, Nome, Sobrenome e E-mail. Note

Se esta for a primeira vez em que você usa o WorkSpaces da primeira vez, recomendamos criar um usuário para você mesmo para fins de teste.

6. Escolha Ativar WorkSpaces. 7. Na página de confirmação, selecione Visualizar o console de WorkSpaces. O WorkSpace leva aproximadamente 20 minutos para ser iniciado. Para monitorar o progresso, vá para o painel de navegação esquerdo e escolhaDiretórios. Você verá um diretório que está sendo criado com um status inicial deREQUESTEDe, em seguidaCREATING.

6 Amazon WorkSpaces Guia de administração Etapa 2: Connect ao WorkSpace

Depois que o diretório tiver sido criado e tiver um status deACTIVE, é possível escolher oWorkSpacesno painel de navegação esquerdo para monitorar o andamento do processo de inicialização do WorkSpace. O status inicial do WorkSpace é PENDING. Quando o lançamento estiver concluído, o status seráAVAILABLEe um convite é enviado para o endereço de e-mail especificado para cada usuário. Se seus usuários não receberem seus e-mails de convite, consulteEnviar um convite por e-mail (p. 92).

Etapa 2: Connect ao WorkSpace

Depois de receber o e-mail de convite, você pode se conectar ao WorkSpace usando o cliente de sua escolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.

Para se conectar ao WorkSpace

1. Se você ainda não configurou credenciais para o usuário, abra o link no e-mail de convite e siga as instruções. Lembre-se da senha que você especificar, pois precisará dela para se conectar ao WorkSpace. Note

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres. As senhas devem conter pelo menos um caractere de cada uma das seguintes categorias: letras minúsculas (z), letras maiúsculas (A — Z), números (0 — 9) e. @#$%^&*_-+=`|\ () {} []:; "'<>,.? /. 2. Review (Revisar)Clientes do WorkSpacesnoGuia do usuário do Amazon WorkSpacesPara obter mais informações sobre os requisitos de cada cliente e, em seguida, execute um dos seguintes procedimentos:

• Quando solicitado, faça download de um dos aplicativos clientes ou ative oWeb Access. • Se não for solicitado e você ainda não tiver instalado um aplicativo cliente, abra ohttps:// clients.amazonworkspaces.com/ e faça download de um dos aplicativos clientes ou ative oWeb Access.

Note

Não é possível usar um navegador da web (Web Access) para se conectar ao WorkSpaces do Amazon Linux. 3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar. 4. Quando solicitado a fazer login, insira o nome do usuário e a senha e selecione Sign In (Fazer login). 5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Sim.

Para obter mais informações sobre como usar os aplicativos cliente, como configurar vários monitores ou usar dispositivos periféricos, consulteClientes do WorkSpaceseSuporte a dispositivos periféricosnoGuia do usuário do Amazon WorkSpaces.

Etapa 3: Limpar (opcional)

Se você tiver terminado de trabalhar com o WorkSpace que criou neste tutorial, poderá excluí-lo. Para obter mais informações, consulte the section called “Excluir um WorkSpace” (p. 150).

7 Amazon WorkSpaces Guia de administração Próximas etapas

Note

O Simple AD é disponibilizado gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório do Simple AD por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory ServiceCondições de preço do. Para excluir diretórios vazios, consulteExcluir o diretório do WorkSpaces (p. 71). Se você excluir seu diretório do Simple AD, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

Próximas etapas

Você pode continuar a personalizar o WorkSpace que acabou de criar. Por exemplo, é possível instalar o software e, em seguida, criar um pacote personalizado do seu WorkSpace. Você também pode executar várias tarefas administrativas para o WorkSpaces e seu diretório WorkSpaces. Para obter mais informações, consulte a documentação a seguir.

• Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152) • Administrar seus WorkSpaces do (p. 97) • Gerenciar diretórios para WorkSpaces (p. 61)

Para criar WorkSpaces adicionais, execute um dos seguintes procedimentos:

• Se você quiser continuar usando a VPC e o diretório Simple AD que foram criados pelo Quick Setup, você pode adicionar WorkSpaces para usuários adicionais seguindo as etapas na seçãoEtapa 2: Crie um WorkSpace (p. 82)do tutorial Ativar um WorkSpace usando o Simple AD. • Se você precisar usar outro tipo de diretório ou se precisar usar um Active Directory existente, consulte o tutorial apropriado emIniciar uma área de trabalho virtual usando o WorkSpaces (p. 76).

Para obter mais informações sobre como usar os aplicativos cliente do WorkSpaces, como configurar vários monitores ou usar dispositivos periféricos, consulteClientes do WorkSpaceseSuporte a dispositivos periféricosnoGuia do usuário do Amazon WorkSpaces.

8 Amazon WorkSpaces Guia de administração Protocolos para Amazon WorkSpaces

Rede e acesso para WorkSpaces Como administrador do WorkSpace, você deve compreender o seguinte sobre os recursos de redes e o acesso ao WorkSpaces.

Tópicos • Protocolos para Amazon WorkSpaces (p. 9) • Configurar uma VPC para WorkSpaces (p. 10) • Zonas de disponibilidade do Amazon WorkSpaces (p. 17) • Requisitos de porta e endereço IP para WorkSpaces (p. 18) • Requisitos de rede cliente do Amazon WorkSpaces (p. 34) • Restringir o acesso dos WorkSpaces a dispositivos (p. 35) • Usar cartões inteligentes para autenticação (p. 37) • Fornecer acesso à Internet a partir do WorkSpace (p. 45) • Grupos de segurança para os WorkSpaces (p. 46) • Grupos de controle de acesso IP de seus WorkSpaces (p. 47) • Configurar clientes zero PCoIP para WorkSpaces (p. 49) • Configurar o Android para Chromebooks (p. 50) • Ativar e configurar o Amazon WorkSpaces Web Access (p. 50) • Configurar o Amazon WorkSpaces para autorização do FedRAMP ou conformidade com o SRG do DoD (p. 53) • Ativar conexões SSH para seus WorkSpaces Linux (p. 54) • Componentes de configuração e serviço necessários para o WorkSpaces (p. 58)

Protocolos para Amazon WorkSpaces

O Amazon WorkSpaces oferece suporte a dois protocolos: PCoIP e WorkSpaces Streaming Protocol (WSP) O protocolo escolhido depende de vários fatores, como o tipo de dispositivos dos quais os usuários acessarão seus WorkSpaces, qual sistema operacional está no WorkSpaces, quais condições de rede os usuários enfrentarão e se os usuários precisam de suporte de vídeo bidirecional.

Quando usar PCoIP

• Se você quiser usar os clientes iPad, Android ou Linux. • Se você usar dispositivos cliente Teradici zero do. • Se você precisar usar pacotes baseados em GPU (Graphics ou GraphicsPro). • Se você precisar usar um pacote Linux para casos de uso não-smart card. • Se você precisar usar o WorkSpaces na China (Ningxia)Região :

Quando usar o WSP

• Se você precisar de maior tolerância a perdas/latência para suportar as condições de rede do usuário final. Por exemplo, você tem usuários que estão acessando seus WorkSpaces em distâncias globais ou usando redes não confiáveis. • Se você precisar que seus usuários se autentiquem com cartões inteligentes ou usem cartões inteligentes em sessão. • Se você precisar de recursos de suporte de webcam na sessão. • Se você precisar usar o Web Access com o pacote WorkSpaces habilitado para Windows Server 2019.

9 Amazon WorkSpaces Guia de administração Requisitos da VPC

Note

• Um diretório pode ter uma mistura de PCoIP e WSP WorkSpaces nele. • Um usuário pode ter um PCoIP e um WSP WorkSpace, desde que os dois WorkSpaces estejam localizados em diretórios separados. O mesmo usuário não pode ter um PCoIP e um WSP WorkSpace no mesmo diretório. Para obter mais informações sobre como criar vários WorkSpaces para um usuário, consulteCriar vários WorkSpaces para um usuário (p. 92). • Você pode migrar um WorkSpace entre os dois protocolos usando o recurso de migração do WorkSpaces, que requer uma reconstrução do WorkSpace. Para obter mais informações, consulte Migrar um WorkSpace (p. 146).

Configurar uma VPC para WorkSpaces

O WorkSpaces ativa seus WorkSpaces em uma Virtual Private Cloud (VPC). Os WorkSpaces devem ter acesso à Internet para que seja possível instalar atualizações no sistema operacional e implantar aplicativos usando o Amazon WorkSpaces Application Manager (Amazon WAM).

É possível criar uma VPC com duas sub-redes privadas para seus WorkSpaces e um gateway NAT em uma sub-rede pública. Como alternativa, é possível criar uma VPC com duas sub-redes públicas para seus WorkSpaces e associar um endereço IP elástico a cada WorkSpace. Tip

Para uma exploração detalhada de diretórios e considerações de design de nuvem privada virtual (VPC) para vários cenários de implantação, consulte o Melhores práticas para implantar o Amazon WorkSpacesWhitepaper.

Tópicos • Requirements (p. 10) • Configurar uma VPC com sub-redes privadas e um gateway NAT (p. 10) • Configurar uma VPC com sub-redes públicas (p. 14)

Requirements

As sub-redes da VPC devem residir em diferentes zonas de disponibilidade na região onde você está iniciando o WorkSpaces. As zonas de disponibilidade são locais distintos que são projetados para serem isolados de falhas em outras zonas de disponibilidade. Ao iniciar as instâncias em Zonas de disponibilidade separadas, você pode proteger seus aplicativos de falha de um único local. Cada sub-rede deve residir inteiramente dentro de uma zona de disponibilidade e não pode abranger áreas. Note

O Amazon WorkSpaces está disponível em um subconjunto das Zonas de disponibilidade em cada região suportada. Para determinar quais zonas de disponibilidade você pode usar para as sub-redes da VPC que você está usando para o WorkSpaces, consulteZonas de disponibilidade do Amazon WorkSpaces (p. 17). Configurar uma VPC com sub-redes privadas e um gateway NAT

Se você usar o AWS Directory Service para criar um Microsoft AD ou um Simple AD gerenciado pela AWS, recomendamos configurar a VPC com uma sub-rede pública e duas sub-redes privadas. Configure seu diretório para ativar os WorkSpaces em sub-redes privadas. Para fornecer acesso à Internet aos WorkSpaces em uma sub-rede privada, configure um gateway NAT na sub-rede pública.

10 Amazon WorkSpaces Guia de administração Configurar uma VPC com sub- redes privadas e um gateway NAT

Prerequisites

Se você ainda não está familiarizado com o trabalho com VPCs e sub-redes, recomendamos a leitura doDimensionamento da VPC e sub-rede para IPv4noGuia do usuário da Amazon VPCantes de executar as seguintes tarefas.

Tarefas • Etapa 1: Alocar um endereço IP elástico (p. 11) • Etapa 2: Criar uma VPC (p. 12) • Etapa 3: Adicionar uma segunda sub-rede privada (p. 13) • Etapa 4: Verifique e nomear as tabelas de rotas do (p. 13) • Etapa 5: Encaminhe seus WorkSpaces para as sub-redes (p. 14)

Note

Como alternativa ao procedimento a seguir para configurar uma VPC com sub-redes privadas e um gateway NAT, siga as etapas do Tutorial “Introdução ao projeto”, que detalha como configurar sua VPC e seu diretório WorkSpaces. Esse tutorial também aborda como iniciar o WorkSpaces, criar imagens e pacotes personalizados e executar outras tarefas relacionadas à administração do WorkSpaces. Etapa 1: Alocar um endereço IP elástico

Aloque um endereço IP elástico para o seu gateway NAT da seguinte maneira. Se você usa um método alternativo para fornecer acesso à Internet, ignore essa etapa.

11 Amazon WorkSpaces Guia de administração Configurar uma VPC com sub- redes privadas e um gateway NAT

Para alocar um endereço IP elástico

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/. 2. No painel de navegação, escolha Elastic IPs. 3. Escolha Allocate Elastic IP address (Alocar endereço IP elástico). 4. NoAlocar endereço IP elástico, para oPool público de endereços IPv4, escolhaPool de endereços IPv4 da Amazon,IPv4 público endereço IPv4 público que você traz para o seuAWSaccount, ouPool de endereços IPv4 de propriedade do clientee depois escolhaAlocar. 5. Anote o endereço IP elástico e escolha Close (Fechar).

Etapa 2: Criar uma VPC

Crie uma VPC com uma sub-rede pública e duas sub-redes privadas da forma a seguir.

Como criar a VPC

a. Em IPv4 CIDR block (Bloco CIDR IPv4), insira o bloco CIDR para a VPC. Recomendamos usar um bloco CIDR dos intervalos de endereços IP privados (não roteáveis publicamente) especificados na RFC 1918. Por exemplo, 10.0.0.0/16. Para obter mais informações, consulteDimensionamento da VPC e sub-rede para IPv4noGuia do usuário da Amazon VPC. b. Em IPv6 CIDR Block (Bloco CIDR IPv6), mantenha No IPv6 CIDR Block (Nenhum bloco CIDR IPv6). c. Em VPC Name (Nome da VPC), insira um nome para a VPC. 6. Configure a sub-rede pública da seguinte forma:

a. Em IPv4 CIDR block (Bloco CIDR IPv4), digite o bloco CIDR para a sub-rede. Por exemplo, 10.0.0.0/24. Para obter mais informações, consulteDimensionamento da VPC e sub-rede para IPv4noGuia do usuário da Amazon VPC. b. Em Availability Zone (Zona de disponibilidade), mantenha No Preference (Sem preferência). c. Em Public subnet name (Nome da sub-rede pública), insira um nome para a sub-rede (por exemplo, WorkSpaces Public Subnet). 7. Configure a primeira sub-rede privada da seguinte forma:

a. Em Private subnet's IPv4 CIDR (CIDR IPv4 da sub-rede privada), insira o bloco CIDR para a sub- rede. Por exemplo, 10.0.1.0/24. b. Para fazer uma seleção apropriada paraZona de disponibilidade, consulteZonas de disponibilidade do Amazon WorkSpaces (p. 17). c. Em Private subnet name (Nome da sub-rede privada), digite um nome para a sub-rede (por exemplo, WorkSpaces Private Subnet 1). 8. Em Elastic IP Allocation ID (ID de alocação do IP elástico), escolha o endereço IP elástico que você criou. Se você usa um método alternativo para fornecer acesso à Internet, ignore essa etapa. 9. Em Service endpoints (Endpoints de serviço), não faça nada. 10. Em Enable DNS hostnames (Habilitar nomes de host de DNS), mantenha Yes (Sim). 11. Em Hardware tenancy (Locação de hardware), mantenha Default (Padrão).

12 Amazon WorkSpaces Guia de administração Configurar uma VPC com sub- redes privadas e um gateway NAT

12. Escolha Criar VPC. A configuração de sua VPC demora alguns minutos. Após a criação da VPC, escolha OK.

Note

É possível associar um bloco CIDR IPv6 à VPC e às sub-redes. No entanto, se você configurar suas sub-redes para atribuir automaticamente endereços IPv6 a instâncias executadas na sub-rede, não será possível usar pacotes Graphics. (No entanto, é possível usar pacotes GraphicsPro.) Essa restrição surge de uma limitação de hardware de tipos de instância da geração anterior que não oferecem suporte ao IPv6. Para contornar esse problema, é possível desabilitar temporariamente a configuração de auto-assign IPv6 addresses (atribuição automática de endereços IPv6) nas sub-redes dos WorkSpaces antes de iniciar pacotes Graphics e, depois, habilitar essa configuração novamente (se necessário) depois de iniciar pacotes Graphics para que todos os outros pacotes recebam os endereços IP desejados. Por padrão, a configuração de auto-assign IPv6 addresses (atribuição automática de endereços IPv6) está desabilitada. Para verificar essa configuração no console da Amazon VPC, no painel de navegação, escolhaSub-redes. Selecione a sub-rede e escolha Actions (Ações), Modify auto- assign IP settings (Modificar configurações de IP de atribuição automática). Para obter mais informações sobre como trabalhar com endereços IPv6, consulteEndereçamento IP na sua VPCnoGuia do usuário da Amazon VPC. Etapa 3: Adicionar uma segunda sub-rede privada

Na etapa anterior, você criou uma VPC com uma sub-rede pública e uma sub-rede privada. Use o procedimento a seguir para adicionar uma segunda sub-rede privada.

Como adicionar uma sub-rede privada

1. No painel de navegação, escolha Subnets (Sub-redes). 2. Selecione Create Subnet. 3. Em Name tag (Tag de nome), insira um nome para a sub-rede privada (por exemplo, WorkSpaces Private Subnet 2). 4. Em VPC, selecione a VPC que você criou. 5. Para fazer uma seleção apropriada paraZona de disponibilidade, consulteZonas de disponibilidade do Amazon WorkSpaces (p. 17). Certifique-se de selecionar uma Zona de disponibilidade diferente da que você selecionou paraStep 7 (p. 12)Mais cedo. 6. Em IPv4 CIDR block (Bloco CIDR IPv4), digite o bloco CIDR para a sub-rede. Por exemplo, 10.0.2.0/24. 7. SelecioneCriareFechar.

Etapa 4: Verifique e nomear as tabelas de rotas do

É possível verificar e nomear as tabelas de rotas para cada sub-rede.

Como verificar e nomear as tabelas de rotas

1. No painel de navegação, escolha Sub-redes e selecione a sub-rede pública que você criou.

a. Na Tabela de rotas, escolha o ID da tabela de rotas (por exemplo, rtb-12345678). b. Selecione a tabela de rotas. Em Name (Nome), escolha o ícone de edição (lápis), insira um nome (como workspaces-public-routetable) e marque a caixa de seleção para salvar o nome.

13 Amazon WorkSpaces Guia de administração Configurar uma VPC com sub-redes públicas

c. Na guia Routes (Rotas), verifique se há uma rota para o tráfego local e outra que envie todo o restante do tráfego para o Internet Gateway da VPC. Por exemplo, você deve ver entradas semelhantes às da tabela a seguir.

Destino Destino

10.0.0.0/16 local

0.0.0.0/0 igw-12345678

2. No painel de navegação, escolha Subnets (Sub-redes) e selecione a primeira sub-rede privada que você criou (por exemplo, WorkSpaces Private Subnet 1).

a. Na Tabela de rotas, escolha o ID da tabela de rotas. b. Selecione a tabela de rotas. Em Name (Nome), escolha o ícone de edição (lápis), insira um nome (como workspaces-private-routetable) e marque a caixa de seleção para salvar o nome. c. Na guia Routes (Rotas), verifique se há uma rota para o tráfego local e outra que envie todo o restante do tráfego para o gateway NAT. Por exemplo, você deve ver entradas semelhantes às da tabela a seguir.

Destino Destino

10.0.0.0/16 local

0.0.0.0/0 nat-12345678

Note

Para fornecer acesso à Internet aos WorkSpaces nas sub-redes privadas, verifique se o gateway NAT está configurado na sub-rede pública. 3. No painel de navegação, escolha Subnets (Sub-redes) e selecione a segunda sub-rede privada que você criou (por exemplo, WorkSpaces Private Subnet 2). Na guia Routes (Rotas), verifique se a tabela de rotas é a privada (por exemplo, workspaces-private-routetable). Se a tabela de rotas for outra, escolha Editar e selecione essa tabela de rotas.

Etapa 5: Encaminhe seus WorkSpaces para as sub-redes

Para rotear seus WorkSpaces para as sub-redes da VPC, certifique-se de selecionar sua VPC e sub-redes durante o processo de configuração do diretório WorkSpaces.

Para configurar o diretório do WorkSpaces, consulteIniciar uma área de trabalho virtual usando o WorkSpaces (p. 76)e selecione o tutorial para o tipo de diretório que você gostaria de usar (AWSMicrosoft AD gerenciado pela, Simple AD, AD Connector ou uma relação de confiança entre oAWSDiretório do Microsoft AD gerenciado pela e o domínio local). Configurar uma VPC com sub-redes públicas

Se preferir, você poderá criar uma VPC com duas sub-redes públicas. Para conceder acesso à Internet aos WorkSpaces em sub-redes públicas, configure o diretório para atribuir endereços IP elásticos automaticamente ou atribua manualmente um endereço IP elástico a cada WorkSpace.

Prerequisites

14 Amazon WorkSpaces Guia de administração Configurar uma VPC com sub-redes públicas

Tarefas • Etapa 1: Criar uma VPC (p. 15) • Etapa 2: Adicionar uma segunda sub-rede pública (p. 16) • Etapa 3: Atribua o endereço IP elástico (p. 16) • Etapa 4: Encaminhe seus WorkSpaces para as sub-redes (p. 17)

Etapa 1: Criar uma VPC

Crie uma VPC com uma sub-rede pública da maneira indicada a seguir.

Como criar a VPC

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/. 2. No painel de navegação, escolha VPC dashboard (Painel da VPC) no canto superior esquerdo. 3. Selecione Launch VPC Wizard (Iniciar o assistente de VPC). 4. Selecione VPC with a Single Public Subnet (VPC com uma única sub-rede pública) e Select (Selecionar). 5. Em IPv4 CIDR block (Bloco CIDR IPv4), insira o bloco CIDR para a VPC. Recomendamos usar um bloco CIDR dos intervalos de endereços IP privados (não roteáveis publicamente) especificados na RFC 1918. Por exemplo, 10.0.0.0/16. Para obter mais informações, consulteDimensionamento da VPC e sub-rede para IPv4noGuia do usuário da Amazon VPC. 6. Em IPv6 CIDR block (Bloco CIDR IPv6), mantenha No IPv6 CIDR Block (Nenhum bloco CIDR IPv6). 7. Em VPC Name (Nome da VPC), insira um nome para a VPC. 8. Em Public subnet's IPv4 CIDR (CIDR IPv4 da sub-rede pública), insira o bloco CIDR da sub-rede. Por exemplo, 10.0.0.0/24. Para obter mais informações, consulteDimensionamento da VPC e sub-rede para IPv4noGuia do usuário da Amazon VPC. 9. Para fazer uma seleção apropriada paraZona de disponibilidade, consulteZonas de disponibilidade do Amazon WorkSpaces (p. 17). 10. (Opcional) Em Subnet name (Nome da sub-rede), insira um nome para a sub-rede. 11. Em Service endpoints (Endpoints de serviço), não faça nada. 12. Em Enable DNS hostnames (Habilitar nomes de host de DNS), mantenha Yes (Sim). 13. Em Hardware tenancy (Locação de hardware), mantenha Default (Padrão). 14. Escolha Criar VPC. Após a criação da VPC, escolha OK.

Note

15 Amazon WorkSpaces Guia de administração Configurar uma VPC com sub-redes públicas

Por padrão, a configuração de auto-assign IPv6 addresses (atribuição automática de endereços IPv6) está desabilitada. Para verificar essa configuração no console da Amazon VPC, no painel de navegação, escolhaSub-redes. Selecione a sub-rede e escolha Actions (Ações), Modify auto- assign IP settings (Modificar configurações de IP de atribuição automática). Para obter mais informações sobre como trabalhar com endereços IPv6, consulteEndereçamento IP na sua VPCnoGuia do usuário da Amazon VPC. Etapa 2: Adicionar uma segunda sub-rede pública

Na etapa anterior, você criou uma VPC com uma sub-rede pública. Use o procedimento a seguir para adicionar uma segunda sub-rede pública e associá-la à tabela de rotas da primeira sub-rede pública, que tem uma rota para o gateway de Internet da VPC.

Como adicionar uma sub-rede pública

1. No painel de navegação, escolha Subnets (Sub-redes). 2. Selecione Create Subnet. 3. Em Name tag (Tag de nome), insira um nome para a sub-rede. 4. Em VPC, selecione a VPC que você criou. 5. Para fazer uma seleção apropriada paraZona de disponibilidade, consulteZonas de disponibilidade do Amazon WorkSpaces (p. 17). Certifique-se de selecionar uma Zona de disponibilidade diferente da que você selecionou paraStep 9 (p. 15)Mais cedo. 6. Em IPv4 CIDR block (Bloco CIDR IPv4), digite o bloco CIDR para a sub-rede. Por exemplo, 10.0.1.0/24. 7. Escolha Create (Criar). Depois que a sub-rede for criada, selecione Close (Fechar). 8. Associe a nova sub-rede pública à tabela de rotas criada para a primeira sub-rede da seguinte maneira:

a. No painel de navegação, escolha Subnets (Sub-redes). b. Selecione a primeira sub-rede. c. Na Tabela de rotas, escolha o ID da tabela de rotas. d. Na guia Subnet Associations (Associações da sub-rede) selecione Edit subnet associations (Editar associações da sub-rede). e. Marque a caixa de seleção para a segunda sub-rede (a sub-rede pública que você acabou de criar) e selecione Save (Salvar).

Etapa 3: Atribua o endereço IP elástico

É possível atribuir endereços IP elásticos (endereços IP públicos estáticos) aos WorkSpaces de forma automática ou manual. Para usar a atribuição automática, consulte Configurar endereços IP automáticos (p. 64). Para atribuir endereços IP elásticos manualmente, use o procedimento a seguir. Warning

Recomendamos que você não modifique a interface de rede elástica do WorkSpace depois que ele é iniciado. Se você ativou a atribuição automática de endereços IP elásticos no nível do diretório, um endereço IP elástico (do grupo fornecido pela Amazon) será atribuído ao WorkSpace quando ele for iniciado. No entanto, se você associar um endereço IP elástico que possui a um WorkSpace e, depois, desassociar esse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereço IP público e não obterá automaticamente um novo do grupo fornecido pela Amazon. Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace, é necessário recriar o WorkSpace (p. 137). Se você não quiser recriar o WorkSpace, será necessário associar outro endereço IP elástico que possui ao WorkSpace.

16 Amazon WorkSpaces Guia de administração Zonas de disponibilidade do WorkSpaces

Como atribuir um endereço IP elástico a um WorkSpace manualmente

Para obter um tutorial de vídeo sobre como atribuir um endereço IP elástico a um WorkSpace, consulte oAWSVídeo do Central de conhecimentoComo associar um endereço IP elástico a um WorkSpace?.

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Expanda a linha (selecione o ícone de seta) para o WorkSpace e observe o valor do WorkSpace IP (IP do WorkSpace). Este é o endereço IP privado primário do WorkSpace. 4. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. 5. No painel de navegação, escolha Elastic IPs. Se você não tiver um endereço IP elástico disponível, escolhaAlocar endereço IP elásticoe escolhaPool de endereços IPv4 da AmazonouPool de endereços IPv4 de propriedade do clientee depois escolhaAlocar. Anote o novo endereço IP. 6. No painel de navegação, selecione Network Interfaces. 7. Selecione a interface de rede para o WorkSpace. Para localizar a interface de rede para o WorkSpace, digite oIP do WorkSpace(que você anotou anteriormente emStep 3 (p. 17)) na caixa de pesquisa e depois pressioneDigite. OIP do WorkSpacecorresponde ao valor da interface de redeIPv4 privado primário IPv4 IP privadocoluna. Observe que a interface de rede doID DA VPCcorresponde ao ID da VPC do WorkSpaces. 8. Escolha Ações, Gerenciar endereços IP. Escolha Assign new IP (Atribuir novo IP) e Yes, Update (Sim, atualizar). Anote o novo endereço IP. 9. Escolha Actions (Ações), Associate Address (Associar endereço). 10. Na página Associate Elastic IP Address (Associar endereço IP elástico), escolha um endereço IP elástico em Address (Endereço). Em Associate to private IP address (Associar ao endereço IP privado), especifique um novo endereço IP privado e selecione Associate Address (Associar endereço).

Etapa 4: Encaminhe seus WorkSpaces para as sub-redes

Para rotear seus WorkSpaces para as sub-redes da VPC, certifique-se de selecionar sua VPC e sub-redes durante o processo de configuração do diretório WorkSpaces.

Zonas de disponibilidade do Amazon WorkSpaces

Ao criar uma nuvem privada virtual (VPC) para uso com o Amazon WorkSpaces, as sub-redes da VPC devem residir em diferentes zonas de disponibilidade na região onde você está iniciando o WorkSpaces. As zonas de disponibilidade são locais distintos que são projetados para serem isolados de falhas em outras zonas de disponibilidade. Ao iniciar as instâncias em Zonas de disponibilidade separadas, você pode proteger seus aplicativos de falha de um único local. Cada sub-rede deve residir inteiramente dentro de uma zona de disponibilidade e não pode abranger áreas.

Uma zona de disponibilidade é representada por um código de região seguido por um identificador de letra, por exemplo, us-east-1a. Para garantir a distribuição de recursos entre as zonas de disponibilidade de uma região, mapeamos as zonas de disponibilidade de forma independente para os nomes de cada conta da AWS. Por exemplo, a zona de disponibilidade da us-east-1a para sua conta da AWS pode não ter o mesmo local que a us-east-1a de outra conta da AWS.

17 Amazon WorkSpaces Guia de administração Requisitos de endereço IP e porta

Para coordenar as zonas de disponibilidade entre contas, você deve usar o ID da AZ que é um identificador exclusivo e consistente para uma zona de disponibilidade. Por exemplo, use1-az2 é um ID de AZ para a região us-east-1 e tem o mesmo local em cada conta da AWS.

A visualização de IDs de AZs permite determinar o local de recursos em uma conta em relação aos recursos em outra conta. Por exemplo, se você compartilhar uma sub-rede na zona de disponibilidade com o ID de AZ use1-az2 com outra conta, essa sub-rede estará disponível para essa conta na zona de disponibilidade cujo ID de AZ também é use1-az2. O ID da AZ de cada VPC e sub-rede é exibido no console da Amazon VPC.

O Amazon WorkSpaces está disponível em um subconjunto das Zonas de disponibilidade para cada região suportada. A tabela a seguir lista os IDs de AZ que podem ser usados para cada região. Para ver o mapeamento de IDs de AZ para zonas de disponibilidade na sua conta, consulteIDs de AZ dos recursosnoAWS RAMGuia do usuário.

Nome da região Código da região IDs de AZ

US East (N. Virginia) us-east-1 use1-az2, use1-az4, use1- az6

US West (Oregon) us-west-2 usw2-az1, usw2-az2, usw2- az3

Asia Pacific (Mumbai) ap-south-1 aps1-az1, aps1-az2, aps1- az3

Asia Pacific (Seoul) ap-northeast-2 apne2-az1, apne2-az3

Asia Pacific (Singapore) ap-southeast-1 apse1-az1, apse1-az2

Asia Pacific (Sydney) ap-southeast-2 apse2-az1, apse2-az3

Asia Pacific (Tokyo) ap-northeast-1 apne1-az1, apne1-az4

Canada (Central) ca-central-1 cac1-az1, cac1-az2

Europe (Frankfurt) eu-central-1 euc1-az2, euc1-az3

Europe (Ireland) eu-west-1 euw1-az1, euw1-az2, euw1- az3

Europe (London) eu-west-2 euw2-az2, euw2-az3

South America (São Paulo) sa-east-1 sae1-az1, sae1-az3

Para obter mais informações sobre zonas de disponibilidade e IDs de AZ, consulteRegiões, zonas de disponibilidade e zonas locaisnoGuia do usuário do Amazon EC2 para instâncias do Linux.

Requisitos de porta e endereço IP para WorkSpaces

Para se conectar aos seus WorkSpaces, a rede à que os cliente do WorkSpaces estão conectados deve ter determinadas portas abertas para os intervalos de endereços IP dos diversosAWSserviços (agrupados em subconjuntos). Esses intervalos de endereços variam de acordo com a região da AWS. Essas mesmas portas também devem estar abertas em qualquer firewall em execução no cliente. Para obter mais

18 Amazon WorkSpaces Guia de administração Portas para aplicações clientes informações sobre oAWSIntervalos de endereços IP para diferentes regiões do, consulteAWSIntervalos de endereços IPnoReferência geral do Amazon Web Services.

Para obter um diagrama de arquitetura, consulte Arquitetura do WorkSpaces. Para obter diagramas de arquitetura adicionais, consulte o Melhores práticas para implantar o Amazon WorkSpacesWhitepaper. Portas para aplicações clientes

O aplicativo cliente do WorkSpaces requer acesso de saída nas seguintes portas:

Porta 443 (TCP)

Essa porta é usada para atualizações, registros e autenticações da aplicação cliente. As aplicações clientes de desktop dão suporte ao uso de um servidor de proxy para o tráfego da porta 443 (HTTPS). Para habilitar o uso de um servidor proxy, abra o aplicativo cliente, escolha Configurações avançadas, selecione Usar servidor de proxy, especifique o endereço e a porta do servidor proxy e escolha Salvar.

Essa porta deve estar aberta para os seguintes intervalos de endereços IP: • O subconjunto AMAZON na região GLOBAL. • O subconjunto AMAZON na região onde o WorkSpace está. • O subconjunto AMAZON na região us-east-1. • O subconjunto AMAZON na região us-west-2. • O subconjunto S3 na região us-west-2. Porta 4172 e 4195 (UDP e TCP)

Essas portas são usadas para o streaming das verificações de integridade e da área de trabalho do WorkSpace. Os aplicativos cliente de desktop não oferecem suporte ao uso de um servidor de proxy para o tráfego das portas 4172 e 4195. Eles exigem uma conexão direta com as portas 4172 e 4195. Essas portas devem estar abertas para os intervalos de endereços IP do gateway PCoIP e do WorkSpaces Streaming Protocol (WSP) e os servidores de verificação de integridade na região onde se encontra o WorkSpace. Para obter mais informações, consulte Servidores de Verificação (p. 26), Servidores de gateway PCoIP (p. 28) e Servidores de gateway WSP (p. 30).

Note

Se o firewall usa filtragem stateful, portas efêmeras (também conhecidas como portas dinâmicas) serão abertas automaticamente para permitir a comunicação de retorno. Se o firewall usar filtragem sem estado, será necessário abrir as portas efêmeras explicitamente para permitir a comunicação de retorno. O intervalo de portas efêmeras necessário que você deve abrir variará dependendo da configuração. Portas para o Web Access

O WorkSpaces Web Access requer acesso de saída para as seguintes portas:

Porta 53 (UDP)

Essa porta é usada para acessar servidores DNS. Ela deve estar aberta para seus endereços IP do servidor DNS para que o cliente possa resolver nomes de domínio público. Esse requisito de porta é opcional se você não estiver usando servidores DNS para resolução de nomes de domínio. Porta 80 (UDP e TCP)

Esta porta é usada para conexões iniciais ao https://clients.amazonworkspaces.com, que migra posteriormente para HTTPS. Ela deve estar aberta para todos os intervalos de endereços IP no subconjunto EC2 na região onde o WorkSpace trabalha.

19 Amazon WorkSpaces Guia de administração Domínios e endereços IP para adicionar à sua lista de permissões

Porta 443 (UDP e TCP)

Essa porta é usada para registros e autenticações usando HTTPS. Ela deve estar aberta para todos os intervalos de endereços IP no subconjunto EC2 na região onde o WorkSpace trabalha. Porta 4195 (UDP e TCP)

Para WorkSpaces configurados para o WorkSpaces Streaming Protocol (WSP), essa porta é usada para streaming da área de trabalho do WorkSpaces. O acesso à Web não oferece suporte ao uso de um servidor de proxy para o tráfego da porta 4195. Conexões diretas são necessárias. Essa porta deve estar aberta para os intervalos de endereços IP do WSP Gateway. Para obter mais informações, consulte Servidores de gateway WSP (p. 30).

Note

Normalmente, o navegador da web seleciona aleatoriamente uma porta de origem no intervalo para usar para streaming de tráfego. O WorkSpaces Web Access não tem controle sobre a porta selecionada pelo navegador. Você deve garantir que o tráfego de retorno para essa porta seja permitido. Domínios e endereços IP para adicionar à sua lista de permissões

Para o aplicativo cliente do WorkSpaces poder acessar o serviço do WorkSpaces, você deve adicionar os seguintes domínios e endereços IP à lista de permissões na rede de onde o cliente está tentando acessar o serviço.

Domínios e endereços IP para adicionar à sua lista de permissões

Categoria Endereço IP ou domínio

CAPTCHA https://opfcaptcha-prod.s3.amazonaws.com/

Atualização automática do cliente • https://d2td7dqidlhjx7.cloudfront.net/ • NoAWSRegião GovCloud (Oeste dos EUA):

https://s3.amazonaws.com/workspacesclient-updates/prod/pdt/windows/ WorkSpacesAppCast.xml

Verificação de conectividade https://connectivity.amazonworkspaces.com/

Métricas do dispositivo (para aplicativos cliente do https://device-metrics-us-2.amazon.com/ WorkSpaces 1.0 e posterior e 2.0 e posterior)

Métricas de cliente (para aplicativos cliente do Domínios: WorkSpaces 3.0 e posterior) • https://skylight-client-ds.us- east-1.amazonaws.com • https://skylight-client-ds.us- west-2.amazonaws.com • https://skylight-client-ds.ap- south-1.amazonaws.com

20 Amazon WorkSpaces Guia de administração Domínios e endereços IP para adicionar à sua lista de permissões

Categoria Endereço IP ou domínio • https://skylight-client-ds.ap- northeast-2.amazonaws.com • https://skylight-client-ds.ap- southeast-1.amazonaws.com • https://skylight-client-ds.ap- southeast-2.amazonaws.com • https://skylight-client-ds.ap- northeast-1.amazonaws.com • https://skylight-client-ds.ca- central-1.amazonaws.com • https://skylight-client-ds.eu- central-1.amazonaws.com • https://skylight-client-ds.eu- west-1.amazonaws.com • https://skylight-client-ds.eu- west-2.amazonaws.com • https://skylight-client-ds.sa- east-1.amazonaws.com • NoAWSRegião GovCloud (Oeste dos EUA):

https://skylight-client-ds.us-gov- west-1.amazonaws.com

Serviço de mensagens dinâmicas (para aplicativos Domínios: cliente do WorkSpaces 3.0 e posterior) • https://ws-client-service.us- east-1.amazonaws.com • https://ws-client-service.us- west-2.amazonaws.com • https://ws-client-service.ap- south-1.amazonaws.com • https://ws-client-service.ap- northeast-2.amazonaws.com • https://ws-client-service.ap- southeast-1.amazonaws.com • https://ws-client-service.ap- southeast-2.amazonaws.com • https://ws-client-service.ap- northeast-1.amazonaws.com • https://ws-client-service.ca- central-1.amazonaws.com • https://ws-client-service.eu- central-1.amazonaws.com • https://ws-client-service.eu- west-1.amazonaws.com • https://ws-client-service.eu- west-2.amazonaws.com • https://ws-client-service.sa- east-1.amazonaws.com

21 Amazon WorkSpaces Guia de administração Domínios e endereços IP para adicionar à sua lista de permissões

Categoria Endereço IP ou domínio

Configurações de diretório Autenticação do cliente para o diretório do cliente antes de fazer login no WorkSpace:

• https://d32i4gd7pg4909.cloudfront.net/prod/ /

Conexões de clientes macOS:

• https://d32i4gd7pg4909.cloudfront.net/

Configurações de diretório do cliente:

• https://d21ui22avrxoh6.cloudfront.net/prod/ /

Gráficos da página de login para marcas conjuntas no nível de diretório do cliente:

• https://d1cbg795sa4g1u.cloudfront.net/prod/ /

Arquivo CSS para estilizar as páginas de login:

• https://d3s98kk2h6f4oh.cloudfront.net/ • https://dyqsoz7pkju4e.cloudfront.net/

Arquivo JavaScript para as páginas de login:

• Leste dos EUA (Norte da Virgínia) — https:// d32i4gd7pg4909.cloudfront.net/ • Oeste dos EUA (Oregon) — https:// d18af777lco7lp.cloudfront.net/ • Ásia-Pacífico (Mumbai) — https:// d78hovzzqqtsb.cloudfront.net/ • Ásia-Pacífico (Seul) — https:// dtyv4uwoh7ynt.cloudfront.net/ • Ásia-Pacífico (Cingapura) — https:// d3qzmd7y07pz0i.cloudfront.net/ • Ásia-Pacífico (Sydney) — https:// dwcpoxuuza83q.cloudfront.net/ • Ásia-Pacífico (Tóquio) — https:// d2c2t8mxjhq5z1.cloudfront.net/ • Canadá (Central) — https:// d2wfbsypmqjmog.cloudfront.net/ • Europa (Frankfurt) — https:// d1whcm49570jjw.cloudfront.net/ • Europa (Irlanda) — https:// d3pgffbf39h4k4.cloudfront.net/ • Europa (Londres) — https:// d16q6638mh01s7.cloudfront.net/

22 Amazon WorkSpaces Guia de administração Domínios e endereços IP para adicionar à sua lista de permissões

Categoria Endereço IP ou domínio • América do Sul (São Paulo) — https:// d2lh2qc5bdoq4b.cloudfront.net/

NoAWSRegião GovCloud (Oeste dos EUA):

• Configurações de diretório do cliente:

https://s3.amazonaws.com/workspaces-client- properties/prod/pdt/ • Gráficos da página de login para marcas conjuntas no nível de diretório do cliente:

https://s3.amazonaws.com/workspaces-client- assets/prod/pdt/ • Arquivo CSS para estilizar as páginas de login:

https://s3.amazonaws.com/workspaces-clients- css/workspaces_v2.css • Arquivo JavaScript para as páginas de login:

Não aplicável

Serviço de registro Forrester https://fls-na.amazon.com/

Servidores de Verificação de Health (DRP) Servidores de Verificação (p. 26)

Dependência de registro (para Web Access e https://s3.amazonaws.com Teradici PCoIP Zero Clients)

Páginas de login do usuário https:// .awsapps.com/ (onde é o domínio do cliente)

NoAWSRegião GovCloud (Oeste dos EUA):

https://login.us-gov-home.awsapps.com/directory/ /(onde é o domínio do cliente)

23 Amazon WorkSpaces Guia de administração Domínios e endereços IP para adicionar à sua lista de permissões

Categoria Endereço IP ou domínio

WS Broker Domínios:

• https://ws-broker-service.us- east-1.amazonaws.com • https://ws-broker-service-fips.us- east-1.amazonaws.com • https://ws-broker-service.us- west-2.amazonaws.com • https://ws-broker-service-fips.us- west-2.amazonaws.com • https://ws-broker-service.ap- south-1.amazonaws.com • https://ws-broker-service.ap- northeast-2.amazonaws.com • https://ws-broker-service.ap- southeast-1.amazonaws.com • https://ws-broker-service.ap- southeast-2.amazonaws.com • https://ws-broker-service.ap- northeast-1.amazonaws.com • https://ws-broker-service.ca- central-1.amazonaws.com • https://ws-broker-service.eu- central-1.amazonaws.com • https://ws-broker-service.eu- west-1.amazonaws.com • https://ws-broker-service.eu- west-2.amazonaws.com • https://ws-broker-service.sa- east-1.amazonaws.com • https://ws-broker-service.us-gov- west-1.amazonaws.com • https://ws-broker-service-fips.us-gov- west-1.amazonaws.com

24 Amazon WorkSpaces Guia de administração Domínios e endereços IP para adicionar à sua lista de permissões

Categoria Endereço IP ou domínio

Endpoints de API do WorkSpaces Domínios:

• https://workspaces.us-east-1.amazonaws.com • https://workspaces-fips.us- east-1.amazonaws.com • https://workspaces.us-west-2.amazonaws.com • https://workspaces-fips.us- west-2.amazonaws.com • https://workspaces.ap-south-1.amazonaws.com • https://workspaces.ap- northeast-2.amazonaws.com • https://workspaces.ap- southeast-1.amazonaws.com • https://workspaces.ap- southeast-2.amazonaws.com • https://workspaces.ap- northeast-1.amazonaws.com • https://workspaces.ca-central-1.amazonaws.com • https://workspaces.eu-central-1.amazonaws.com • https://workspaces.eu-west-1.amazonaws.com • https://workspaces.eu-west-2.amazonaws.com • https://workspaces.sa-east-1.amazonaws.com • https://workspaces.us-gov- west-1.amazonaws.com • https://workspaces-fips.us-gov- west-1.amazonaws.com

Domínios e endereços IP para adicionar à sua lista de permissões para PCoIP

Categoria Endereço IP ou domínio

Gateway de sessão PCoIP (PSG) Servidores de gateway PCoIP (p. 28)

Agente de sessão (PCM) Domínios:

• https://skylight-cm.us-east-1.amazonaws.com • https://skylight-cm-fips.us- east-1.amazonaws.com • https://skylight-cm.us-west-2.amazonaws.com • https://skylight-cm-fips.us- west-2.amazonaws.com • https://skylight-cm.ap-south-1.amazonaws.com • https://skylight-cm.ap- northeast-2.amazonaws.com • https://skylight-cm.ap- southeast-1.amazonaws.com • https://skylight-cm.ap- southeast-2.amazonaws.com

25 Amazon WorkSpaces Guia de administração Servidores de Verificação

Categoria Endereço IP ou domínio • https://skylight-cm.ap- northeast-1.amazonaws.com • https://skylight-cm.ca-central-1.amazonaws.com • https://skylight-cm.eu-central-1.amazonaws.com • https://skylight-cm.eu-west-1.amazonaws.com • https://skylight-cm.eu-west-2.amazonaws.com • https://skylight-cm.sa-east-1.amazonaws.com • https://skylight-cm.us-gov- west-1.amazonaws.com • https://skylight-cm-fips.us-gov- west-1.amazonaws.com

Servidores TURN de Web Access para PCoIP Servidores:

• turn:*.us-east-1.rdn.amazonaws.com • turn:*.us-west-2.rdn.amazonaws.com • O Web Access não está disponível no momento na região da Ásia-Pacífico (Mumbai). • turn:*.ap-northeast-2.rdn.amazonaws.com • turn:*.ap-southeast-1.rdn.amazonaws.com • turn:*.ap-southeast-2.rdn.amazonaws.com • turn:*.ap-northeast-1.rdn.amazonaws.com • turn:*.ca-central-1.rdn.amazonaws.com • turn:*.eu-central-1.rdn.amazonaws.com • turn:*.eu-west-1.rdn.amazonaws.com • turn:*.eu-west-2.rdn.amazonaws.com • turn:*.sa-east-1.rdn.amazonaws.com

Domínios e endereços IP para adicionar à sua lista de permissões para o WorkSpaces Streaming Protocol (WSP)

Categoria Endereço IP ou domínio

Gateway de sessão WSP (WSG) Servidores de gateway WSP (p. 30)

Servidores TURN de Web Access para WSP Servidores de gateway WSP (p. 30)

Servidores de Verificação

Os aplicativos cliente do WorkSpaces executam verificações de integridade nas portas 4172 e 4195. Essas verificações valida se o tráfego TCP ou UDP é transmitido dos servidores do WorkSpaces para os aplicativos cliente. Para que essas verificações sejam concluídas com êxito, suas políticas de firewall devem permitir tráfego de saída para os endereços IP dos servidores de verificação de integridade regional a seguir.

26 Amazon WorkSpaces Guia de administração Servidores de Verificação

Região Nome do host de verificação de Endereços IP integridade

Leste dos EUA (Norte da drp-iad.amazonworkspaces.com 3.209.215.252 Virgínia) 3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

Oeste dos EUA (Oregon) drp-pdx.amazonworkspaces.com 34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

Asia Pacific (Mumbai) drp- 13.127.57.82 bom.amazonworkspaces.com 13.234.250.73

Asia Pacific (Seoul) drp-icn.amazonworkspaces.com 13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

Ásia-Pacífico (Cingapura) drp-sin.amazonworkspaces.com 3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

Ásia-Pacífico (Sydney) drp-syd.amazonworkspaces.com 3.24.11.127

13.237.232.125

Ásia-Pacífico (Tóquio) drp-nrt.amazonworkspaces.com 18.178.102.247

54.64.174.128

Canada (Central) drp-yul.amazonworkspaces.com 52.60.69.16

52.60.80.237

52.60.173.117

27 Amazon WorkSpaces Guia de administração Servidores de gateway PCoIP

Região Nome do host de verificação de Endereços IP integridade 52.60.201.0

Europe (Frankfurt) drp-fra.amazonworkspaces.com 52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

Europa (Irlanda) drp-dub.amazonworkspaces.com 18.200.177.86

52.48.86.38

54.76.137.224

Europe (London) drp-lhr.amazonworkspaces.com 35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

América do Sul (São Paulo) drp-gru.amazonworkspaces.com 18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWSGovCloud (Oeste dos EUA) drp-pdt.amazonworkspaces.com 52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

Servidores de gateway PCoIP

O WorkSpaces usa o PCoIP para transmitir a sessão da área de trabalho para os clientes pela porta 4172. Para seus servidores de gateway PCoIP, o WorkSpaces usa um pequeno intervalo de endereços IPv4 públicos do Amazon EC2. Isso permite que você defina políticas de firewall mais granulosas para dispositivos que acessam o WorkSpaces. Observe que os clientes do WorkSpaces não oferecem suporte a endereços IPv6 como uma opção de conectividade no momento. Note

Estamos atualizando regularmente nossos intervalos de endereços IP no AWSIntervalos de endereços IP ip-ranges.jsonfile. Para ingerir os intervalos de endereços IP mais

28 Amazon WorkSpaces Guia de administração Servidores de gateway PCoIP

atualizados para o WorkSpaces, procure entradas noip-ranges.jsonarquivo ondeservice: "WORKSPACES_GATEWAYS".

Região Intervalo de endereços IP público

Leste dos EUA (Norte da Virgínia) 3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

Oeste dos EUA (Oregon) 35.80.88.0 - 35.80.95.255

44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

Asia Pacific (Mumbai) 13.126.243.0 - 13.126.243.255

Asia Pacific (Seoul) 3.34.37.0 - 3.34.37.255

3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

Ásia-Pacífico (Cingapura) 18.141.152.0 - 18.141.152.255

18.141.154.0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

Ásia-Pacífico (Sydney) 3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

Ásia-Pacífico (Tóquio) 18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

Canada (Central) 15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

Europe (Frankfurt) 18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

Europa (Irlanda) 3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

Europe (London) 18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

29 Amazon WorkSpaces Guia de administração Servidores de gateway WSP

Região Intervalo de endereços IP público 35.176.32.0 - 35.176.32.255

América do Sul (São Paulo) 18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWSGovCloud (Oeste dos EUA) 52.61.193.0 - 52.61.193.255

Servidores de gateway WSP Important

A partir de junho de 2020, o WorkSpaces transmite a sessão da área de trabalho do WSP WorkSpaces aos clientes pela porta 4195 em vez da porta 4172. Se quiser usar o WSP WorkSpaces, verifique se a porta 4195 está aberta ao tráfego.

O WorkSpaces usa um pequeno intervalo de endereços IPv4 públicos do Amazon EC2 para seus servidores de gateway WSP. Isso permite que você defina políticas de firewall mais granulosas para dispositivos que acessam o WorkSpaces. Observe que os clientes do WorkSpaces não oferecem suporte a endereços IPv6 como uma opção de conectividade no momento.

Região Intervalo de endereços IP público

Leste dos EUA (Norte da Virgínia) 3.227.4.0/22

Oeste dos EUA (Oregon) 34.223.96.0/22

Asia Pacific (Mumbai) 65.1.156.0/22

Asia Pacific (Seoul) 3.35.160.0/22

Ásia-Pacífico (Cingapura) 13.212.132.0/22

Ásia-Pacífico (Sydney) 3.25.248.0/22

Ásia-Pacífico (Tóquio) 3.114.164.0/22

Canada (Central) 3.97.20.0/22

Europe (Frankfurt) 18.192.216.0/22

Europa (Irlanda) 3.248.176.0/22

Europe (London) 18.134.68.0/22

América do Sul (São Paulo) 15.228.64.0/22

AWSGovCloud (Oeste dos EUA) 3.32.139.0/24

Interfaces de rede

Cada WorkSpace tem as seguintes interfaces de rede:

30 Amazon WorkSpaces Guia de administração Interfaces de rede

• A interface de rede primária (eth1) fornece conectividade aos recursos em sua VPC e na Internet, além de ser usada para associar o WorkSpace ao diretório. • A interface de rede de gerenciamento (eth0) é conectada a uma rede de gerenciamento segura do WorkSpaces. Ela é usada para streaming interativo da área de trabalho do WorkSpace para os clientes do WorkSpaces e para permitir que o WorkSpaces gerencie o WorkSpace.

O WorkSpaces seleciona o endereço IP para a interface de rede de gerenciamento de vários intervalos de endereços, de acordo com a região em que os WorkSpaces são criados. Quando um diretório é registrado, o WorkSpaces testa o CIDR da VPC e as tabelas de rotas em sua VPC para determinar se esses intervalos de endereços criarão um conflito. Se um conflito é encontrado em todos os intervalos de endereços disponíveis na região, é exibida uma mensagem de erro e o diretório não é registrado. Se você alterar as tabelas de rotas em sua VPC depois do diretório ser registrado, poderá causar um conflito. Warning

Não modifique nem exclua nenhuma das interfaces de rede anexadas a um WorkSpace. Isso pode fazer com que o WorkSpace fique inacessível ou perca o acesso à Internet. Por exemplo, se você ativou a atribuição automática de endereços IP elásticos (p. 64) no nível do diretório, um endereço IP elástico (do grupo fornecido pela Amazon) será atribuído ao WorkSpace quando ele for iniciado. No entanto, se você associar um endereço IP elástico que possui a um WorkSpace e, depois, desassociar esse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereço IP público e não obterá automaticamente um novo do grupo fornecido pela Amazon. Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace, é necessário recriar o WorkSpace (p. 137). Se você não quiser recriar o WorkSpace, será necessário associar outro endereço IP elástico que possui ao WorkSpace. Intervalos de IP da interface

A tabela a seguir lista os intervalos de endereços IP usados para a interface de rede de gerenciamento. Note

• Se você estiver usando Bring Your Own License (BYOL) Windows WorkSpaces, os intervalos de endereços IP na tabela a seguir não se aplicam. Em vez disso, os WorkSpaces PCoIP BYOL usam o intervalo de endereços IP 54.239.224.0/20 para tráfego de interface de gerenciamento em todos osAWSRegiões. Para o Windows WorkSpaces do WSP BYOL, os intervalos de endereços IP 54.239.224.0/20 e 10.0.0.0/8 aplicam-se em todos osAWSRegiões. (Esses intervalos de endereços IP são usados além do bloco CIDR /16 que você seleciona para tráfego de gerenciamento para seus WorkSpaces BYOL.) • Se você estiver usando o WSP WorkSpaces criado a partir de pacotes públicosO intervalo de endereços IP 10.0.0.0/8 também se aplica ao tráfego da interface de gerenciamento em todos osAWSRegiões, além dos intervalos PCoIP/WSP mostrados na tabela a seguir.

Região Intervalo de endereços IP

Leste dos EUA (Norte da Virgínia) PCOIP/WSP: 172.31.0.0/16, 192.168.0.0/16, 198.19.0/16

WSP: 10.0.0.0/8

Oeste dos EUA (Oregon) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16

WSP: 10.0.0.0/8

31 Amazon WorkSpaces Guia de administração Interfaces de rede

Região Intervalo de endereços IP

Asia Pacific (Mumbai) PCOIP/WSP: 192.168.0.0/16

WSP: 10.0.0.0/8

Asia Pacific (Seoul) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Ásia-Pacífico (Cingapura) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Ásia-Pacífico (Sydney) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16

WSP: 10.0.0.0/8

Ásia-Pacífico (Tóquio) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Canada (Central) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Europe (Frankfurt) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Europa (Irlanda) PCoip/WSP: 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16

WSP: 10.0.0.0/8

Europe (London) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

América do Sul (São Paulo) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

AWSGovCloud (Oeste dos EUA) PCOIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

Porta de interface de gerenciamento

As portas a seguir devem ser abertas na interface de rede de gerenciamento de todos os WorkSpaces:

• TCP de entrada na porta 4172. Usada para o estabelecimento da conexão de streaming no protocolo PCoIP. • UDP de entrada na porta 4172. Usada para o streaming das entradas do usuário no protocolo PCoIP. • TCP de entrada na porta 4489. Isso é usado para acesso usando o cliente web. (O cliente Web Access não é suportado para o protocolo WSP.) • TCP de entrada na porta 8200. Usada para o gerenciamento e a configuração do WorkSpace no protocolo PCoIP.

32 Amazon WorkSpaces Guia de administração Interfaces de rede

• TCP de entrada nas portas 8201-8250. Essas portas são usadas para estabelecer a conexão de streaming e para streaming de entrada do usuário no protocolo WSP. • TCP de saída nas portas 8443 e 9997. Isso é usado para acesso usando o cliente web. (O cliente Web Access não é suportado para o protocolo WSP.) • UDP de saída nas portas 3478, 4172 e 4195. Isso é usado para acesso usando o cliente web. (O cliente Web Access não é suportado para o protocolo WSP.) • UDP de saída na porta 50002 e 55002. Usada para o streaming. Se o seu firewall usa filtragem stateful, as portas efêmeras 50002 e 55002 são automaticamente abertas para permitir a comunicação de retorno. Se o firewall usar filtragem sem estado, será necessário abrir as portas efêmeras 49152 – 65535 para permitir a comunicação de retorno. • TCP de saída na porta 80 para o endereço IP 169.254.169.254 para acesso ao serviço de metadados do EC2. Qualquer proxy HTTP atribuído aos seus WorkSpaces também deve excluir 169.254.169.254. • TCP de saída na porta 1688 para os endereços IP 169.254.169.250 e 169.254.169.251 para conceder acesso ao KMS da Microsoft para ativação do Windows para os WorkSpaces com base em pacotes públicos. Se você estiver usando o Windows WorkSpaces BYOL (Traga sua própria licença), você deve permitir o acesso aos seus próprios servidores KMS para ativação do Windows. • TCP de saída na porta 1688 para o endereço IP 54.239.239.239.239.239.239.239.236.220 para ativação do BYOL WorkSpaces.

Se você estiver usando o Office por meio de um dos pacotes públicos do WorkSpaces, o endereço IP da ativação do Microsoft KMS for Office varia. Para determinar esse endereço IP, localize o endereço IP da interface de gerenciamento do WorkSpace e, em seguida, substitua os dois últimos octetos por64.250. Por exemplo, se o endereço IP da interface de gerenciamento for 192.168.3.5, o endereço IP para ativação do Microsoft KMS Office será 192.168.64.250. • TCP de saída para endereço IP 127.0.0.2 para WSP WorkSpaces quando o host do WorkSpace está configurado para usar um servidor proxy.

Em circunstâncias normais, o serviço do WorkSpaces configura essas portas para os WorkSpaces. Se algum software de segurança ou firewall estiver instalado em um WorkSpace que bloqueia qualquer uma dessas portas, o WorkSpace pode não funcionar corretamente ou pode ser inacessível. Portas de interface principal

Independentemente do tipo de diretório que você tem, as portas a seguir devem ser abertas na interface de rede principal de todos os WorkSpaces:

• Para conectividade com a Internet, as seguintes portas devem ser abertas para saída para todos os destinos e para entrada da VPC de WorkSpaces. É necessário adicioná-las manualmente ao grupo de segurança dos seus WorkSpaces, se você quiser que tenham acesso à Internet. • TCP 80 (HTTP) • TCP 443 (HTTPS) • Para se comunicar com os controladores de diretório, as portas a seguir devem ser abertas entre a VPC dos WorkSpaces e os controladores de diretório. Para um diretório do Simple AD, o grupo de segurança criado peloAWS Directory Serviceterá essas portas configuradas corretamente. Para um diretório do AD Connector, pode ser necessário ajustar o grupo de segurança padrão para que a VPC abra essas portas. • TCP/UDP 53 - DNS • TCP/UDP 88 - autenticação de Kerberos • UDP 123 - NTP • TCP 135 - RPC • UDP 137-138 - Netlogon • TCP 139 - Netlogon

33 Amazon WorkSpaces Guia de administração Requisitos de rede

• TCP/UDP 389 - LDAP • TCP/UDP 445 - SMB • TCP 1024-65535 - Portas dinâmicas para o RPC

Se algum software de segurança ou firewall estiver instalado em um WorkSpace que bloqueia qualquer uma dessas portas, o WorkSpace pode não funcionar corretamente ou pode ser inacessível.

Requisitos de rede cliente do Amazon WorkSpaces

Os usuários do WorkSpaces podem se conectar aos WorkSpaces usando o aplicativo cliente para um dispositivo compatível. Como alternativa, eles podem usar um navegador da Web para se conectar a WorkSpaces que oferecem suporte a esse tipo de acesso. Para obter uma lista de WorkSpaces que oferecem suporte ao acesso por navegador da web, consulte “Qual pacote do Amazon WorkSpaces oferece suporte ao acesso à web?” emAcesso para Cliente, Acesso à Web e Experiência do Usuário. Note

Um navegador da web não pode ser usado para se conectar ao WorkSpaces do Amazon Linux. Important

A partir de 1º de outubro de 2020, os clientes não poderão mais usar o cliente do Amazon WorkSpaces Web Access do para se conectar a WorkSpaces personalizados do Windows 7 nem a WorkSpaces Bring Your Own License (BYOL — Traga sua própria licença) do Windows 7.

Para proporcionar aos usuários uma boa experiência com seus WorkSpaces, verifique se seus dispositivos clientes cumprem os seguintes requisitos de rede:

• O dispositivo cliente deve ter uma conexão de Internet banda larga. Recomendamos planejar um mínimo de 1 Mbps por usuário simultâneo assistindo a uma janela de vídeo de 480p. Dependendo dos requisitos de qualidade do usuário para a resolução de vídeo, pode ser necessária mais largura de banda. • A rede à qual o dispositivo cliente está conectado e qualquer firewall no dispositivo cliente devem ter determinadas portas abertas para os intervalos de endereços IP dos vários serviços da AWS. Para obter mais informações, consulte Requisitos de porta e endereço IP para WorkSpaces (p. 18). • Para obter o melhor desempenho para PCoIP, o tempo de ida e volta (RTT) da rede do cliente até a região em que estão os WorkSpaces deve ser menor que 100 ms. Se o RTT estiver entre 100 ms e 200 ms, o usuário poderá acessar o WorkSpace, mas o desempenho será afetado. Se o RTT estiver entre 200ms e 375ms, o desempenho será reduzido. Se o RTT exceder 375ms, a conexão do cliente do WorkSpaces será encerrada.

Para obter o melhor desempenho do WorkSpaces Streaming Protocol (WSP), o RTT da rede do cliente até a região em que estão os WorkSpaces deve ser menor que 250 ms. Se o RTT estiver entre 250 ms e 400 ms, o usuário poderá acessar o WorkSpace, mas o desempenho será reduzido.

Para verificar o RTT para os váriosAWSRegiões de sua localização, use oVerificação de Health de conexão do Amazon WorkSpaces. • Para usar webcams com WSP, recomendamos uma largura de banda mínima de upload de 1,7 megabits por segundo. • Se os usuários acessarem seus WorkSpaces através de uma rede privada virtual (VPN), a conexão deverá oferecer suporte a uma unidade de transmissão máxima (MTU) de, pelo menos, 1.200 bytes. Note

Não é possível acessar o WorkSpaces por meio de uma VPN conectada à sua Virtual Private Cloud (VPC). Para acessar o WorkSpaces usando uma VPN, a conectividade da Internet (por meio de endereços IP públicos da VPN) é necessária, conforme descrito em Requisitos de porta e endereço IP para WorkSpaces (p. 18).

34 Amazon WorkSpaces Guia de administração Dispositivos confiáveis

• Os clientes exigem acesso HTTPS a recursos do WorkSpaces hospedados pelo serviço e pelo Amazon Simple Storage Service (Amazon S3). Os clientes não são compatíveis com o redirecionamento de proxy no nível de aplicativo. O acesso HTTPS é necessário para que os usuários possam concluir com êxito o registro e acessar seus WorkSpaces. • Para permitir o acesso a partir de dispositivos PCoIP Zero Client, você deve usar um pacote de protocolo PCoIP para WorkSpaces. Também é necessário habilitar o Network Time Protocol (NTP) no Teradici. Para obter mais informações, consulte Configurar clientes zero PCoIP para WorkSpaces (p. 49). • Para clientes 3.0+, se você estiver usando o logon único (SSO) para o Amazon WorkDocs, será necessário seguir as instruções emLogon úniconoAWS Directory ServiceGuia de administração.

É possível verificar se um dispositivo cliente cumpre os requisitos de rede da seguinte forma. Como verificar os requisitos de rede para clientes 3.0+

1. Abra o cliente do WorkSpaces. Se esta for a primeira vez que você abre o cliente, será solicitado que você insira o código de registro que recebeu no e-mail de convite. 2. Dependendo do cliente que você estiver usando, siga um dos procedimentos a seguir.

Se você estiver usando... Faça o seguinte

Clientes Windows ou Linux No canto superior direito do aplicativo cliente, selecione o ícone Network (Rede) .

Cliente para macOS Selecione Connections (Conexões), Network (Rede).

O aplicativo cliente testa a conexão de rede, as portas e o tempo de ida e volta e relata os resultados desses testes. 3. Feche a caixa de diálogo Network (Rede) para retornar à página de login.

Como verificar os requisitos de rede para clientes 1.0+ e 2.0+

1. Abra o cliente do WorkSpaces. Se esta for a primeira vez que você abre o cliente, será solicitado que você insira o código de registro que recebeu no e-mail de convite. 2. Selecione Network (Rede) no canto inferior direito do aplicativo cliente. O aplicativo cliente testa a conexão de rede, as portas e o tempo de ida e volta e relata os resultados desses testes. 3. Escolha Dismiss (Descartar) para voltar para a página de login.

Restringir o acesso dos WorkSpaces a dispositivos

Por padrão, os usuários podem acessar seu WorkSpaces de qualquer dispositivo compatível que esteja conectado à Internet. Se sua empresa limita o acesso a dados corporativos a dispositivos confiáveis (também conhecidos como dispositivos gerenciados), você pode restringir o acesso dos WorkSpaces a dispositivos confiáveis com certificados válidos.

Quando você ativar esse recurso, o WorkSpaces usará autenticação baseada em certificado para determinar se um dispositivo é confiável. Se o aplicativo cliente dos WorkSpaces não conseguir verificar se um dispositivo é confiável, ele bloqueará as tentativas de fazer login ou restabelecer conexão do dispositivo.

35 Amazon WorkSpaces Guia de administração Etapa 1: Criar certificados

Para cada diretório, você pode importar até dois certificados raiz. Se você importar dois certificados raiz, o WorkSpaces os apresentará para o cliente, e o cliente localizará o primeiro certificado correspondente válido que se associa a um dos dois certificados raiz.

Clients Supported

• Android, rodando em sistemas Chrome OS compatíveis com Android ou Android • macOS • Windows

Important

Este recurso não é compatível pelos seguintes clientes:

• Aplicativos cliente WorkSpaces para Linux ou iPad • WorkSpaces Web Access • Clients de terceiros, incluindo, entre outros, o Teradici PCoIP, clientes RDP e aplicativos de área de trabalho remota.

Etapa 1: Criar certificados

Este recurso exige dois tipos de certificados: certificados raiz gerados por uma autoridade de certificação (CA) interna e certificados de cliente que se associam a um certificado raiz.

Requirements

• Os certificados devem ser arquivos codificados por Base64 no formato CRT, CERT ou PEM. • Os certificados devem incluir um nome comum. • O tamanho máximo da cadeia de certificados com suporte é 4. • O WorkSpaces não oferece suporte a mecanismos de revogação de dispositivos, como listas de revogação de certificado (CRL) ou Online Certificate Status Protocol (OCSP), para certificados de cliente. • Use um algoritmo de criptografia forte. Recomendamos SHA256 com RSA, SHA256 com ECDSA, SHA384 com ECDSA ou SHA512 com ECDSA. • Certifique-se de que “uso da chave: Assinatura digital” está presente na chave pública, ou a autenticação do dispositivo falhará mesmo se as chaves públicas e privadas estiverem presentes na máquina e no console do WorkSpaces. • Para macOS, se o certificado do dispositivo estiver na cadeia de chaves do sistema, recomendamos que você autorize o aplicativo cliente dos WorkSpaces a acessar os certificados. Caso contrário, os usuários devem inserir credenciais de cadeia de chaves quando fazem login ou se reconectam.

Etapa 2: Implementar certificados de cliente nos dispositivos fidedignos

Você deve instalar certificados de cliente nos dispositivos confiáveis para seus usuários. Você pode usar a melhor solução para instalar os certificados na sua frota de dispositivos clientes; por exemplo, o System Center Configuration Manager (SCCM) ou o gerenciamento de dispositivos móveis (MDM). Observe que o SCCM e o MDM podem executar uma avaliação de postura de segurança para determinar se os dispositivos atendem às suas políticas corporativas para acessar os WorkSpaces.

Os aplicativos cliente do WorkSpaces pesquisam certificados da seguinte forma:

36 Amazon WorkSpaces Guia de administração Etapa 3: Configurar a restrição

• Android - No Android, procura no chaveiro certificados de cliente. Em sistemas Chrome OS compatíveis com Android, pesquisa certificados de usuário no chaveiro. • macOS - Pesquisa certificados de cliente no porta-chaves. • Windows - Procura certificados de cliente nos armazenamentos de certificados raiz e de usuário.

Etapa 3: Configurar a restrição

Depois que você tiver implementado os certificados do cliente nos dispositivos confiáveis, poderá ativar o acesso restrito no nível de diretório. Isso requer que o aplicativo cliente dos WorkSpaces valide o certificado em um dispositivo antes de permitir que um usuário faça login em um WorkSpace.

Para configurar a restrição

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório e escolha Ações, Atualizar detalhes. 4. Expanda Opções de controle de acesso. 5. Selecione o tipo de dispositivo emPara cada tipo de dispositivo, especifique quais dispositivos podem acessar o WorkSpaces. 6. Importe até dois certificados raiz. Para cada certificado raiz, faça o seguinte:

a. Escolha Import. b. Copie o corpo do certificado no formulário. c. Escolha Import. 7. (Opcional) Especifique se outros tipos de dispositivo têm acesso ao WorkSpaces.

a. Role para baixo até a seção Other Platforms (Outras plataformas). Por padrão, o WorkSpaces Web Access e os clientes Linux são desabilitados e os usuários podem acessar os WorkSpaces em dispositivos iOS, Android, Chromebooks e dispositivos PCoIP zero client. b. Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a serem desativados. c. Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha Bloquear. 8. Escolha Atualizar e sair.

Usar cartões inteligentes para autenticação

O Windows e o Linux WorkSpaces em pacotes WSP (WorkSpaces Streaming Protocol) permitem o uso doCartão de acesso comum (CAC)eVerificação de Identidade Pessoal (PIV)cartões inteligentes para autenticação.

O Amazon WorkSpaces é compatível com o uso de cartões inteligentes paraautenticação pré- sessãoeautenticação em sessão. A autenticação pré-sessão refere-se à autenticação de cartão inteligente que é executada enquanto os usuários estão fazendo login em seus WorkSpaces. Autenticação em sessão refere-se à autenticação que é executada após o login.

Por exemplo, os usuários podem usar cartões inteligentes para autenticação em sessão enquanto trabalham com navegadores da Web e aplicativos. Eles também podem usar cartões inteligentes para ações que exigem permissões administrativas. Por exemplo, se o usuário tiver permissões administrativas em seu Linux WorkSpace, ele poderá usar cartões inteligentes para se autenticar ao executarsudoesudo -iComandos do .

Tópicos

37 Amazon WorkSpaces Guia de administração Requirements

• Requirements (p. 38) • Limitations (p. 38) • Configuração do diretório (p. 39) • Habilitar cartões inteligentes para WorkSpaces do Windows (p. 39) • Ativar cartões inteligentes para Linux WorkSpaces (p. 41)

Requirements

• Um diretório do Active Directory Connector (AD Connector) é necessário para autenticação pré-sessão. O AD Connector usa autenticação mútua de TLS (Transport Layer Security) baseada em certificado para autenticar usuários no Active Directory usando um certificado de cartão inteligente baseado em hardware ou software. Para obter mais informações sobre como configurar seu AD Connector e seu diretório local, consulteConfiguração do diretório (p. 39). • Para usar um cartão inteligente com um Windows ou Linux WorkSpace, o usuário deve usar o cliente Windows do Amazon WorkSpaces versão 3.1.1 ou posterior ou o cliente WorkSpaces macOS versão 3.1.5 ou posterior. Para obter mais informações sobre como usar cartões inteligentes com os clientes Windows e macOS, consulteSupport ao cartão inteligentenoAmazon WorkSpaces Guia do usuário. • A autoridade de certificação raiz e os certificados de cartão inteligente devem atender a determinados requisitos. Para obter mais informações, consulteAtivar autenticação MTLs no AD Connector para uso com cartões inteligentesnoAWS Directory ServiceGuia de administraçãoeRequisitos de certificadona documentação da Microsoft.

Além desses requisitos, os certificados de usuário empregados para autenticação de smart card no Amazon WorkSpaces devem incluir os seguintes atributos: • UPN (UPN) do usuário do AD no campo SubjectAltName (SAN) do certificado. Recomendamos a emissão de certificados de cartão inteligente para o UPN padrão do usuário. • O atributo de uso estendido de chave (EKU) de autenticação de cliente (1.3.6.1.5.5.7.3.2). • O atributo EKU de Logon do Smart Card (1.3.6.1.4.1.311.20.2.2). • Para autenticação pré-sessão, o protocolo OCSP é necessário para verificação de revogação de certificados. Para autenticação em sessão, o OCSP é recomendado, mas não é necessário.

Limitations

• Somente o aplicativo cliente Windows WorkSpaces versão 3.1.1 ou posterior e o aplicativo cliente macOS versão 3.1.5 ou posterior são suportados atualmente para autenticação de smart card. • O aplicativo cliente WorkSpaces Windows 3.1.1 ou posterior oferece suporte a cartões inteligentes somente quando o cliente está sendo executado em uma versão de 64 bits do Windows. • Atualmente, apenas os diretórios do AD Connector são suportados para autenticação de cartão inteligente. • A autenticação em sessão está disponível em todas as regiões em que o WSP é compatível. A autenticação pré-sessão está disponível nas seguintes regiões: • Asia Pacific (Sydney) Region • Asia Pacific (Tokyo) Region • Europe (Ireland) Region • AWSRegião GovCloud (Oeste dos EUA) • US East (N. Virginia) Region • US West (Oregon) Region • Para autenticação em sessão e autenticação pré-sessão no Linux ou Windows WorkSpaces, apenas um cartão inteligente é permitido atualmente por vez.

38 Amazon WorkSpaces Guia de administração Configuração do diretório

• Para autenticação pré-sessão, não há suporte para habilitar a autenticação de cartão inteligente e a autenticação de nome de usuário e senha no mesmo diretório. • Apenas placas CAC e PIV são compatíveis neste momento. Outros tipos de cartões inteligentes baseados em hardware ou software também podem funcionar, mas eles não foram totalmente testados para uso com WSP. • O uso de um cartão inteligente para desbloquear a tela durante uma sessão do Windows ou Linux WorkSpace atualmente não é suportado. Para contornar este problema para WorkSpaces do Windows, consultePara detectar a tela de bloqueio do Windows e desconectar a sessão (p. 39). Para contornar este problema para WorkSpaces Linux, consultePara desativar a tela de bloqueio no Linux WorkSpaces (p. 42).

Configuração do diretório

Para habilitar a autenticação de cartão inteligente, você deve configurar o diretório do AD Connector e o diretório local da seguinte maneira.

Configuração do diretório AD Connector

Antes de começar, verifique se o diretório AD Connector foi configurado conforme descrito emPré- requisitos do AD ConnectornoAWS Directory ServiceGuia de administração. Em particular, certifique-se de que você abriu as portas necessárias em seu firewall.

Para concluir a configuração do diretório AD Connector, siga as instruções emAtivar autenticação MTLs no AD Connector para uso com cartões inteligentesnoAWS Directory ServiceGuia de administração.

Configuração de diretório local

Além de configurar o diretório AD Connector, você também deve certificar-se de que os certificados emitidos para os controladores de domínio para seu diretório local têm o uso de chave estendida (EKU) definido “Autenticação KDC”. Para fazer isso, use o modelo de certificado de autenticação Kerberos padrão do AD DS. Não use um modelo de certificado de Controlador de Domínio ou um modelo de certificado de Autenticação de Controlador de Domínio porque esses modelos não contêm as configurações necessárias para autenticação de cartão inteligente. Habilitar cartões inteligentes para WorkSpaces do Windows

Para obter orientações gerais sobre como habilitar a autenticação de cartão inteligente no Windows, consulteDiretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceirosna documentação da Microsoft.

Para detectar a tela de bloqueio do Windows e desconectar a sessão

Para permitir que os usuários desbloqueem o Windows WorkSpaces habilitados para autenticação pré- sessão de cartão inteligente quando a tela estiver bloqueada, você pode habilitar a detecção de tela de bloqueio do Windows nas sessões dos usuários. Quando a tela de bloqueio do Windows é detectada, a sessão do WorkSpace é desconectada e o usuário pode se reconectar do cliente do WorkSpaces usando seu cartão inteligente.

Você pode habilitar a desconexão da sessão quando a tela de bloqueio do Windows é detectada usando as configurações de diretiva de grupo. Para obter mais informações, consulte Ativar ou desativar sessão de desconexão no bloqueio de tela para WSP (p. 115).

Para habilitar a autenticação em sessão ou pré-sessão

Por padrão, o Windows WorkSpaces não está habilitado para oferecer suporte ao uso de cartões inteligentes para autenticação pré-sessão ou em sessão. Se necessário, você pode habilitar a

39 Amazon WorkSpaces Guia de administração Habilitar cartões inteligentes para WorkSpaces do Windows autenticação em sessão e pré-sessão para o Windows WorkSpaces usando as configurações de Diretiva de Grupo. Para obter mais informações, consulte Habilitar ou desabilitar o redirecionamento do cartão inteligente para WSP (p. 114).

Para usar a autenticação pré-sessão, além de atualizar as configurações de Diretiva de Grupo, você também deve habilitar a autenticação pré-sessão por meio das configurações de diretório do AD Connector. Para obter mais informações, siga as instruções emAtivar autenticação MTLs no AD Connector para uso em cartões inteligentesnoAWS Directory ServiceGuia de administração.

Para permitir que os usuários usem cartões inteligentes em um navegador

Se os usuários estiverem usando o Chrome como navegador, nenhuma configuração especial será necessária para usar cartões inteligentes.

Se os seus utilizadores estiverem a utilizar o Firefox como browser, pode permitir que os utilizadores utilizem cartões inteligentes no Firefox através da Política de Grupo. Você pode usar essesModelos de política de grupo do Firefoxno GitHub

Por exemplo, você pode instalar a versão de 64 bits doOpenSCpara Windows oferecer suporte a PKCS #11 e, em seguida, use a seguinte configuração de diretiva de grupo, ondeNAME_OF_DEVICEé qualquer valor que você deseja usar para identificar PKCS #11, comoOpenSC, e em quePATH_TO_LIBRARY_FOR_DEVICEO é o caminho para o módulo PKCS #11. Esse caminho deve apontar para uma biblioteca com uma extensão DLL, comoC:\Program Files\OpenSC Project \OpenSC\pkcs11\onepin-opensc-pkcs11.dll.

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE

Tip

Se você usa OpenSC, também pode carregar opkcs11para o Firefox executando opkcs11- register.exePrograma. Para executar este programa, faça duplo clique no ficheiro emC: \Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exeOu abra uma janela do prompt de comando e execute o comando a seguir:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"

Para verificar se o OpenSCpkcs11O módulo foi carregado no Firefox, faça o seguinte:

1. Se o Firefox já estiver em execução, feche o. 2. Abra o Firefox. Escolha o botão do menuNo canto superior direito e, em seguida, escolhaOpções. 3. Nosobre:preferênciasNo painel de navegação à esquerda, escolhaPrivacidade & Segurança. 4. UnderCertificados, escolhaDispositivos de segurança. 5. NoGerenciador de dispositivos, você deve verEstrutura de cartão inteligente OpenSC (0,21)na navegação à esquerda, e deve ter os seguintes valores quando você selecioná-lo:

Módulo:OpenSC smartcard framework (0.21)

Caminho:C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc- pkcs11.dll

Troubleshooting

Para obter informações sobre como solucionar problemas de cartões inteligentes, consulteProblemas de certificado e configuraçãona documentação da Microsoft.

40 Amazon WorkSpaces Guia de administração Ativar cartões inteligentes para Linux WorkSpaces

Alguns problemas comuns que podem causar problemas:

• Mapeamento incorreto dos slots para os certificados. • Ter vários certificados no cartão inteligente que podem corresponder ao usuário. Os certificados são correspondidos usando o seguinte critério: • A autoridade de certificação raiz para o certificado. • Oecampos do certificado. • O UPN no assunto do certificado. • Ter vários certificados que têmmsScLoginem seu uso de chave.

Em geral, é melhor ter apenas um certificado para autenticação de cartão inteligente mapeado para o primeiro slot no cartão inteligente.

As ferramentas para gerenciar os certificados e chaves no cartão inteligente (como remover ou remapear certificados e chaves) podem ser específicas do fabricante. Para obter mais informações, consulte a documentação fornecida pelo fabricante dos seus cartões inteligentes. Ativar cartões inteligentes para Linux WorkSpaces Note

Os pacotes do WorkSpaces em WorkSpaces Streaming Protocol (WSP) estão disponíveis apenas noAWSNo momento, região GovCloud (EUA-Oeste). No momento, o Linux WorkSpaces no WSP tem as seguintes limitações:

• Não há suporte para o redirecionamento de área de transferência, entrada de áudio, video-in e fuso horário. • Não oferece suporte a vários monitores. • Você deve usar o aplicativo cliente Windows WorkSpaces para se conectar ao Linux WorkSpaces no WSP.

Para habilitar o uso de cartões inteligentes no Linux WorkSpaces, você precisa incluir um arquivo de certificado de CA raiz no formato PEM na imagem do WorkSpace.

Para obter o certificado da CA raiz do

Você pode obter seu certificado de CA raiz de várias maneiras:

• Você pode usar um certificado CA raiz da CA operado por uma autoridade de certificação de terceiros. • Você pode exportar seu próprio certificado de autoridade de certificação raiz usando o site de inscrição na Web, que éhttp://ip_address/certsrvouhttp://fqdn/certsrv, em queip_addressefqdnO endereço IP e o nome de domínio totalmente qualificado (FQDN) do servidor CA de certificação raiz. Para obter mais informações sobre o uso do site de inscrição na Web, consulteComo exportar um certificado de autoridade de certificação raizna documentação da Microsoft. • Você pode usar o procedimento a seguir para exportar o certificado de autoridade de certificação raiz de um servidor de certificação de autoridade de certificação de raiz que esteja executando os Serviços de Certificados do Active Directory (AD CS). Para obter informações sobre como instalar o AD CS, consulteInstale a Autoridade de certificaçãona documentação da Microsoft.

1. Faça login no servidor de CA raiz usando uma conta de administrador. 2. A partir do Windowsiniciar as, abra uma janela do prompt de comando (iniciar as >Sistema Windows >Prompt de comando). 3. Use o seguinte comando para exportar o certificado CA raiz da CA para um novo arquivo, em querootca.cerÉ o nome do novo arquivo:

41 Amazon WorkSpaces Guia de administração Ativar cartões inteligentes para Linux WorkSpaces

certutil -ca.cert rootca.cer

Para obter mais informações sobre como executar o certutil, consultecertutilna documentação da Microsoft. 4. Use o seguinte comando OpenSSL para converter o certificado CA raiz exportado do formato DER para o formato PEM, em querootcaé o nome do certificado. Para obter mais informações sobre OpenSSL, consultewww.openssl.org.

openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem

Para adicionar seu certificado CA raiz de CA aos WorkSpaces Linux

Para ajudá-lo a habilitar cartões inteligentes, adicionamos oenable_smartcardpara nossos pacotes do Amazon Linux WSP. Esse script executa as seguintes ações:

• Importa o certificado CA raiz da CA para oServiços de segurança de rede (NSS)Banco de dados. • Instala opam_pkcs11para autenticação do Módulo de Autenticação Plugable (PAM). • Executa uma configuração padrão, que inclui a ativaçãopkinitdurante o provisionamento do WorkSpace.

O procedimento a seguir explica como usar oenable_smartcardpara adicionar seu certificado de CA raiz aos WorkSpaces Linux e habilitar cartões inteligentes para seus WorkSpaces Linux.

1. Crie um novo Linux WorkSpace com o protocolo WSP ativado. Ao iniciar o WorkSpace no console do Amazon WorkSpaces, noSelecionar pacotes, certifique-se de selecionarWSPpara o protocolo e, em seguida, selecione um dos pacotes públicos do Amazon Linux 2. 2. No novo WorkSpace, execute o comando a seguir como raiz, em quepem-pathO é o caminho para o arquivo de certificado CA raiz do no formato PEM.

/usr/lib/skylight/enable_smartcard --ca-cert pem-path

Note

Os WorkSpaces do Linux assumem que os certificados nos cartões inteligentes são emitidos para o nome principal de usuário (UPN) padrão do usuário, comosAMAccountName@domain, em quedomainO é um nome de domínio totalmente qualificado (FQDN). Para usar sufixos UPN alternativos,run /usr/lib/skylight/enable_smartcard -- helpPara obter mais informações. O mapeamento para sufixos UPN alternativos é exclusivo para cada usuário. Portanto, esse mapeamento deve ser realizado individualmente no WorkSpace de cada usuário. 3. (Opcional) Por padrão, todos os serviços estão habilitados para usar a autenticação de cartão inteligente no Linux WorkSpaces. Para limitar a autenticação de cartão inteligente a apenas serviços específicos, você deve editar/etc/pam.d/system-auth. Elime o comentário doauthLinha parapam_succeed_if.soe edite a lista de serviços conforme necessário.

Depois doauthestiver descomentada, para permitir que um serviço use a autenticação de cartão inteligente, você deve adicioná-la à lista. Para fazer com que um serviço use apenas autenticação por senha, é necessário removê-lo da lista. 4. (Opcional) O uso de um cartão inteligente para desbloquear a tela não é suportado no momento. Para desativar a tela de bloqueio no Linux WorkSpaces, crie um arquivo chamado/usr/share/ glib-2.0/schemas/10_screensaver.gschema.overrideCom o seguinte conteúdo:

42 Amazon WorkSpaces Guia de administração Ativar cartões inteligentes para Linux WorkSpaces

[org.mate.screensaver] lock-enabled=false

Depois de criar este arquivo, execute este comando:

sudo glib-compile-schemas /usr/share/glib-2.0/schemas/

5. Execute quaisquer personalizações adicionais no WorkSpace. Por exemplo, você pode desejar adicionar uma política de todo o sistema aopermitir que os usuários usem cartões inteligentes no Firefox (p. 43). (Os usuários do Chrome devem habilitar os cartões inteligentes em seus próprios clientes. Para obter mais informações, consulteSupport ao cartão inteligentenoAmazon WorkSpaces Guia do usuário.) 6. Criar uma imagem e um pacote do WorkSpace personalizados (p. 152)do WorkSpace. 7. Use o novo pacote personalizado para iniciar o WorkSpaces para seus usuários.

Para permitir que os usuários usem cartões inteligentes no Firefox

Você pode permitir que seus usuários usem cartões inteligentes no Firefox adicionando uma política SecurityDevices à sua imagem do Linux WorkSpace. Para obter mais informações sobre como adicionar políticas de todo o sistema ao Firefox, consulte oModelos de política Mozillano GitHub

1. No WorkSpace que você está usando para criar sua imagem do WorkSpace, crie um novo arquivo chamadopolicies.jsonem/usr/lib64/firefox/distribution/. 2. No arquivo JSON, adicione a seguinte política SecurityDevices, em queNAME_OF_DEVICEO é qualquer valor que você deseja usar para identificar opkcsMódulo. Por exemplo, você pode desejar usar um valor como"OpenSC":

{ "policies": { "SecurityDevices": { "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so" } } }

Troubleshooting

Para solução de problemas, recomendamos adicionar opkcs11-toolsUtilitário Este utilitário permite executar as seguintes ações:

• Liste cada cartão inteligente. • Liste os slots em cada cartão inteligente. • Liste os certificados em cada cartão inteligente.

Alguns problemas comuns que podem causar problemas:

43 Amazon WorkSpaces Guia de administração Ativar cartões inteligentes para Linux WorkSpaces

• Ter vários certificados que têmmsScLoginem seu uso de chave.

Em geral, é melhor ter apenas um certificado para autenticação de cartão inteligente mapeado para o primeiro slot no cartão inteligente.

As ferramentas para gerenciar os certificados e chaves no cartão inteligente (como remover ou remapear certificados e chaves) podem ser específicas do fabricante. Ferramentas adicionais que você pode usar para trabalhar com cartões inteligentes são:

• opensc-explorer • opensc-tool • pkcs11_inspect • pkcs11_listcerts • pkcs15-tool

Para habilitar o log de depuração

Para solucionar problemas dopam_pkcs11epam-krb5configuração, você pode habilitar o log de depuração.

1. No/etc/pam.d/system-auth-ac, edite oauthe altere anodebugParâmetro depam_pksc11.soparadebug. 2. No/etc/pam_pkcs11/pam_pkcs11.confArquivo, alterardebug = false;paradebug = true;. Odebugse aplica separadamente a cada módulo de mapeador, então você pode precisar alterá-lo diretamente sob a opçãopam_pkcs11e também sob a seção de mapeamento apropriada (por padrão, isso émapper generic). 3. No/etc/pam.d/system-auth-ac, edite oauthe adicione adebugou odebug_sensitiveParâmetro parapam_krb5.so.

Depois de habilitar o log de depuração, o sistema imprimepam_pkcs11depurar mensagens diretamente no terminal ativo. Mensagens depam_krb5estão logados/var/log/secure.

Para verificar para qual nome de usuário um certificado de cartão inteligente mapeia, use o seguintepklogin_finderComando da : sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

Quando solicitado, insira o PIN do cartão inteligente.pklogin_finderemstdouto nome de usuário no certificado de cartão inteligente no formulárioNETBIOS\username. Esse nome de usuário deve corresponder ao nome de usuário do WorkSpace

No Active Directory Domain Services (AD DS), o nome de domínio NetBIOS é o nome de domínio anterior ao Windows 2000. Normalmente (mas nem sempre), o nome de domínio NetBIOS é o subdomínio do nome de domínio DNS (Domain Name System). Por exemplo, se o nome de domínio DNS forexample.com, o nome de domínio NetBIOS é normalmenteEXAMPLE. Se o nome de domínio DNS forcorp.example.com, o nome de domínio NetBIOS é normalmenteCORP.

Por exemplo, para o usuáriommajorno domíniocorp.example.com, a saída depklogin_finderéCORP \mmajor. Note

Se você receber a mensagem"ERROR:pam_pkcs11.c:504: verify_certificate() failed", esta mensagem indica quepam_pkcs11encontrou um certificado no cartão inteligente

44 Amazon WorkSpaces Guia de administração Acesso à Internet

que corresponde aos critérios de nome de usuário, mas que não encadeia a um certificado de CA raiz reconhecido pela máquina. Quando isso acontece,pam_pkcs11emite a mensagem acima e, em seguida, tenta o próximo certificado. Ele só permite autenticação se encontrar um certificado que corresponda ao nome de usuário e encadeia até um certificado de CA raiz reconhecido.

Para solucionar problemas dopam_krb5configuração, você pode invocar manualmentekinitNo modo de depuração com o seguinte comando:

KRB5_TRACE=/dev/stdout kinit -V

Este comando deve obter com êxito um TGT (Kerberos Ticket Grant Ticket). Se falhar, tente adicionar o nome principal Kerberos correto explicitamente ao comando. Por exemplo, para o usuáriommajorno domíniocorp.example.com, use este comando:

KRB5_TRACE=/dev/stdout kinit -V mmajor

Se esse comando for bem-sucedido, o problema provavelmente será no mapeamento do nome de usuário do WorkSpace para o nome principal do Kerberos. Verifique o[appdefaults]/pam/mappingsna seção/etc/krb5.conffile.

Se este comando não for bem-sucedido, mas umkinittiver êxito, verifique a caixa de verificaçãopkinit_configurações relacionadas ao/etc/krb5.conffile. Por exemplo, se o cartão inteligente contiver mais de um certificado, talvez seja necessário fazer alterações nopkinit_cert_match.

Fornecer acesso à Internet a partir do WorkSpace

Os WorkSpaces devem ter acesso à Internet para que seja possível instalar atualizações no sistema operacional e implantar aplicativos. É possível usar uma das opções a seguir para permitir que seus WorkSpaces em uma nuvem privada virtual (VPC) acessem a Internet.

Options

• Inicie seus WorkSpaces em sub-redes privadas e configure um gateway NAT em uma sub-rede pública na VPC. • Inicie seus WorkSpaces em sub-redes públicas e atribua automaticamente ou manualmente endereços IP públicos a eles.

Para obter mais informações sobre essas opções, consulte as seções correspondentes em.Configurar uma VPC para WorkSpaces (p. 10).

Com qualquer uma dessas opções, você deve garantir que o security group para seu WorkSpaces permita o tráfego de saída nas portas 80 (HTTP) e 443 (HTTPS) para todos os destinos (0.0.0.0/0).

Amazon WAM

Se você estiver usando o Amazon WorkSpaces Application Manager (Amazon WAM) para implantar aplicativos em seus WorkSpaces, eles deverão ter acesso à Internet.

Biblioteca de extras do Amazon Linux

Se você usa o repositório do Amazon Linux, os Amazon Linux WorkSpaces do devem ter acesso à Internet ou você deve configurar VPC endpoints para esse repositório e para o repositório principal do Amazon

45 Amazon WorkSpaces Guia de administração Grupos de segurança

Linux. Para obter mais informações, consulte o .Exemplo: Permitir acesso a repositórios da Amazon Linux AMIseção emEndpoints do Amazon S3. Os repositórios da Amazon Linux AMI são buckets do Amazon S3 em cada região. Se desejar que as instâncias em sua VPC acessem os repositórios por meio de um endpoint, crie uma política de endpoint que permita acesso a esses buckets. A política a seguir permite acesso aos repositórios do Amazon Linux.

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ] }

Grupos de segurança para os WorkSpaces

Ao registrar um diretório com o WorkSpaces, ele cria dois security groups, um para controladores do diretório e outro para o WorkSpaces no diretório. O grupo de segurança para controladores de diretório tem um nome que consiste no identificador de diretório seguido por _controllers (por exemplo, d-12345678e1_controllers). O grupo de segurança para WorkSpaces tem um nome que consiste no identificador de diretório seguido por _workspacesMembers (por exemplo, d-123456fc11_workspacesMembers). Warning

Não modifique nem exclua o_controladoresO e a_WorkSpaceMembersGrupos de segurança. Se você modificar ou excluir esses grupos de segurança, seus WorkSpaces não funcionarão corretamente e você não poderá recriar esses grupos e adicioná-los de volta.

Você pode adicionar um grupo de segurança padrão do WorkSpaces a um diretório. Depois que você associar um novo grupo de segurança a um diretório do WorkSpaces, os novos WorkSpaces que você iniciar ou os WorkSpaces existentes que você recriar terão o novo grupo de segurança. Você também pode adicionar esse novo grupo de segurança padrão aos WorkSpaces existentes sem recriá- los (p. 47), conforme explicado mais adiante neste tópico.

Quando você associa vários grupos de segurança a um diretório do WorkSpaces, as regras de cada grupo de segurança são efetivamente agregadas para criar um conjunto de regras. Recomendamos que você condense as regras do grupo de segurança o máximo possível.

Para obter mais informações sobre grupos de segurança, consulte .Grupos de segurança para sua VPCnoGuia do usuário da Amazon VPC.

Como adicionar um grupo de segurança a um diretório do WorkSpaces

46 Amazon WorkSpaces Guia de administração Grupos de controle de acesso IP

5. Escolha Atualizar e sair.

Para adicionar um grupo de segurança a um WorkSpace existente sem recriá-lo, atribua o novo grupo de segurança à interface de rede elástica (ENI) do WorkSpace.

Como adicionar um grupo de segurança a um WorkSpace existente

1. Localize o endereço IP de cada WorkSpace que precisa ser atualizado.

a. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. b. Expanda cada WorkSpace e registre o endereço IP do WorkSpace. 2. Localize a ENI para cada WorkSpace e atualize sua atribuição de grupo de segurança.

a. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. b. Em Rede e segurança, escolha Interfaces de rede. c. Procure o primeiro endereço IP que registrou na etapa 1. d. Selecione a ENI associada ao endereço IP, escolha Ações e selecione Alterar grupos de segurança. e. Selecione o novo grupo de segurança e escolha Salvar. f. Repita esse processo conforme necessário para quaisquer outros WorkSpaces.

Grupos de controle de acesso IP de seus WorkSpaces

O Amazon WorkSpaces permite que você controle quais endereços IP seus WorkSpaces podem ser acessados. Usando grupos de controle baseados em endereços IP, você pode definir e gerenciar grupos de endereços IP confiáveis e permitir que os usuários acessem seus WorkSpaces quando estiverem conectados a uma rede confiável.

Um grupo de controle de acesso IP atua como um firewall virtual que controla os endereços IP de onde os usuários têm permissão para acessar seus WorkSpaces. Para especificar os intervalos de endereços CIDR, adicione regras para seu grupo de controle de acesso IP e, em seguida, associe o grupo com seu diretório. Você pode associar cada grupo de controle de acesso IP com um ou mais diretórios. É possível criar até 100 grupos de controle de acesso IP por Região por.AWSconta. No entanto, é possível associar somente até 25 grupos de controle de acesso IP com um único diretório.

Um grupo de controle de acesso IP padrão é associado a cada diretório. Esse grupo padrão inclui uma regra padrão que permite que os usuários acessem seus WorkSpaces de qualquer lugar. Você não pode modificar o grupo de controle de acesso IP padrão para seu diretório. Se você não associar um grupo de controle de acesso IP com seu diretório, o grupo padrão é usado. Se você associar um grupo de controle de acesso IP com um diretório, o grupo de controle de acesso IP padrão é desassociado.

Para especificar os endereços IP públicos e intervalos de endereços IP para suas redes confiáveis, adicione regras para seus grupos de controle de acesso IP. Se os usuários acessam seus WorkSpaces por meio de um gateway NAT ou VPN, você deve criar regras que permitam o tráfego de endereços IP públicos para o gateway NAT ou VPN. Note

Os grupos de controle de acesso IP não permitem o uso de endereços IP dinâmicos para NATs. Se você estiver usando um NAT, configure-o para usar um endereço IP estático em vez de um endereço IP dinâmico. Verifique se o NAT roteia todo o tráfego UDP por meio do mesmo endereço IP estático durante toda a sessão do WorkSpaces.

47 Amazon WorkSpaces Guia de administração Criar um grupo de controle de acesso IP

Você pode usar esse recurso com o Web Access, clientes zero PCoIP e os aplicativos clientes para macOS, iPad, Windows,Chromebook,E Android. Criar um grupo de controle de acesso IP

Você pode criar um grupo de controle de acesso IP conforme indicado a seguir. Cada grupo de controle de acesso IP pode conter até 10 regras.

Para criar um grupo de controle de acesso IP

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione IP Access Controls (Controles de acesso IP). 3. Escolha Create IP Group (Criar grupo de IP). 4. Na caixa de diálogo Create IP Group (Criar grupo de IP), insira um nome e uma descrição para o grupo e escolha Create (Criar). 5. Selecione o grupo e escolha Edit (Editar). 6. Para cada endereço IP, escolha Add Rule (Adicionar regra). Para Source (Origem), insira o endereço IP ou intervalo de endereços IP. Em Description (Descrição), insira uma descrição. Quando terminar de adicionar regras, escolha Save (Salvar).

Associar um grupo de controle de acesso IP a um diretório

Você pode associar um grupo de controle de acesso IP a um diretório para garantir que os WorkSpaces sejam acessados apenas de redes confiáveis.

Se você associar um grupo de controle de acesso IP, que não tem regras, a um diretório, ele bloqueia todo o acesso a todos os WorkSpaces.

Para associar um grupo de controle de acesso IP a um diretório

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório e escolha Ações, Atualizar detalhes. 4. Expanda IP Access Control Groups (Grupos de controle de acesso IP) e selecione um ou mais grupos de controle de acesso IP. 5. Escolha Atualizar e sair.

Copiar um grupo de controle de acesso IP

Você pode usar um grupo de controle de acesso IP existente como base para a criação de um novo.

Para criar um grupo de controle de acesso IP a partir de um existente

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione IP Access Controls (Controles de acesso IP). 3. Selecione o grupo e escolha Actions (Ações), Copy to New (Copiar para novo). 4. Na caixa de diálogo Copy IP Group (Copiar grupo de IP), insira um nome e uma descrição para o novo grupo e escolha Copy Group (Copiar grupo). 5. (Opcional) Para modificar as regras copiadas do grupo original, selecione o novo grupo e escolha Edit (Editar). Adicione, atualize ou remova regras conforme necessário. Escolha Salvar.

48 Amazon WorkSpaces Guia de administração Excluir um grupo de controle de acesso IP

Excluir um grupo de controle de acesso IP

Você pode excluir uma regra de um grupo de controle de acesso IP a qualquer momento. Se você remover uma regra que foi usada para permitir uma conexão com um WorkSpace, o usuário é desconectado do WorkSpace.

Antes de excluir um grupo de controle de acesso IP, você deve desassociá-lo a partir de qualquer diretório.

Para excluir um grupo de controle de acesso IP

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Para cada diretório associado ao grupo de controle de acesso IP, selecione o diretório e escolha Actions (Ações), Update Details (Atualizar detalhes). Expanda IP Access Control Groups (Grupos de controle de acesso IP), desmarque a caixa de seleção do grupo de controle de acesso IP e escolha Update and Exit (Atualizar e sair). 4. No painel de navegação, selecione IP Access Controls (Controles de acesso IP). 5. Selecione o grupo e escolha Actions (Ações), Delete IP Group (Excluir grupo de IP).

Configurar clientes zero PCoIP para WorkSpaces

Os clientes zero PCoIP são compatíveis apenas com pacotes do WorkSpaces que estão usando o protocolo PCoIP.

Se o dispositivo Zero Client tiver firmware versão 6.0.0 ou posterior, seus usuários poderão se conectar aos seus WorkSpaces diretamente. Quando seus usuários estão se conectando diretamente aos WorkSpaces usando um dispositivo de cliente zero, recomendamos o uso de autenticação multifator (MFA) com seu diretório do WorkSpaces. Para obter mais informações sobre o uso do MFA com o diretório, consulte a documentação a seguir:

• AWS Managed Microsoft AD—Habilitar autenticação multifator paraAWS Managed Microsoft ADnoAWS Directory ServiceGuia de administração • AD Connector—Habilitar autenticação multifator para o AD ConnectornoAWS Directory ServiceGuia de administraçãoeAutenticação multifator (AD Connector) (p. 66) • Domínios confiáveis—Habilitar autenticação multifator paraAWS Managed Microsoft ADnoAWS Directory ServiceGuia de administração • Simple AD— A autenticação multifator não está disponível para o Simple AD.

A partir de 13 de abril de 2021, o PCoIP Connection Manager não é mais suportado para uso com versões de firmware de dispositivo Zero Client entre 4.6.0 e 6.0.0. Se o firmware Zero Client não for a versão 6.0.0 ou posterior, será possível obter o firmware mais recente por meio de uma assinatura do Desktop Access emhttps://www.teradici.com/desktop-access. Important

• No Teradici PCoIP Administrative Web Interface (AWI) ou no Teradici PCoIP Management Console (MC), habilite o Network Time Protocol (NTP). Para o nome DNS do host NTP pool.ntp.org, use e defina a porta do host NTP como 123. Se o NTP não estiver habilitado, seus usuários de cliente zero PCoIP poderão receber erros de falha de certificado, como "The supplied certificate is invalid due to timestamp" (O certificado fornecido é inválido devido ao time stamp). • A partir da versão 20.10.4 do agente PCoIP, o Amazon WorkSpaces desativa o redirecionamento de USB por padrão por meio do registro do Windows. Esta definição de registo afecta o comportamento de periféricos USB quando os utilizadores estão a utilizar

49 Amazon WorkSpaces Guia de administração Configurar o Android para Chromebooks

dispositivos PCoIP cliente zero para ligar aos respetivos WorkSpaces. Para obter mais informações, consulte Impressoras USB e outros periféricos USB não estão funcionando para clientes zero PCoIP (p. 233).

Para obter informações sobre a configuração e a conexão com um dispositivo PCoIP zero client, consultePCoIP Zero ClientnoGuia do usuário do Amazon WorkSpaces. Para obter uma lista de dispositivos PCoIP de cliente zero aprovados, consulteClientes zero PCoIPno site da Teradici.

Configurar o Android para Chromebooks

para oChromebooks que oferecem suporte à instalação de aplicativos AndroidRecomendamos que você use oAplicativo cliente WorkSpaces AndroidEm vez disso.

Alguns Chromebooks lançados antes de 2019 devem estar habilitados para instalar aplicativos Android antes que os usuários possam instalar o aplicativo cliente Android do Amazon WorkSpaces. Para obter mais informações, consulte Sistemas Chrome OS compatíveis com aplicativos Android.

Para gerenciar remotamente a ativação dos Chromebooks de seus usuários para instalar aplicativos Android, consulte Configurar Android em dispositivos Chrome.

Ativar e configurar o Amazon WorkSpaces Web Access

A maioria dos pacotes do WorkSpaces suporta o Amazon WorkSpaces Web Access. Para obter uma lista de WorkSpaces que oferecem suporte ao acesso por navegador da web, consulte “Qual pacote do Amazon WorkSpaces oferece suporte ao Web Access?” emAcesso para Cliente, Acesso à Web e Experiência do Usuário. Note

• O Web Access não está disponível na região da Ásia-Pacífico (Mumbai). • Acesso à Web não está disponível para alguns WorkSpaces do Windows 10 que estão usando o protocolo PCoIP. Se o seu PCoIP WorkSpace for alimentado pelo Windows Server 2019, o Web Access não estará disponível. • Um navegador da web não pode ser usado para se conectar ao WorkSpaces do Amazon Linux.

Important

Você controla o Web Access aos WorkSpaces no nível do diretório. Para cada diretório contendo WorkSpaces que você deseja permitir que os usuários acessem por meio do cliente do Web Access, siga as etapas a seguir.

50 Amazon WorkSpaces Guia de administração Etapa 2: Configurar o acesso de entrada e saída às portas do Web Access

Como ativar o Web Access aos WorkSpaces

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Escolha o diretório apropriado e selecione Actions (Ações), Update Details (Atualizar detalhes). 4. Expanda Opções de controle de acesso e encontre a seção Outras plataformas. 5. Selecione Web Access. 6. Escolha Atualizar e sair.

Etapa 2: Configurar o acesso de entrada e saída às portas do Web Access

O Amazon WorkSpaces Web Access exige acesso de entrada e saída para determinadas portas. Para obter mais informações, consulte Portas para o Web Access (p. 19). Etapa 3: Configurar a Política de Grupo e as definições de política de segurança para permitir que os utilizadores iniciem sessão

O Amazon WorkSpaces conta com uma configuração de tela de logon específica para permitir que os usuários façam login com êxito no cliente Web Access.

Para permitir que os usuários do Web Access façam logon no WorkSpaces, é necessário definir uma configuração de política de grupo e três configurações de política de segurança. Se essas configurações não estiverem definidas corretamente, os usuários podem enfrentar longos tempos de login ou telas pretas ao tentarem fazer logon no WorkSpaces. Para definir essas configurações, use os procedimentos a seguir.

Você pode usar Objetos de Política de Grupo (GPOs) e aplicar configurações para gerenciar WorkSpaces do Windows ou usuários que fazem parte de seu diretório dos WorkSpaces do Windows. É recomendável criar uma unidade organizacional para seus objetos de computador do WorkSpaces e outra para seus objetos de usuário do WorkSpaces.

Para obter informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com GPOs, consulteInstalação das ferramentas de administração do Active DirectorynoAWS Directory ServiceGuia de administração.

Para habilitar o agente de login do WorkSpaces para alternar os usuários

Na maioria dos casos, quando um usuário tenta fazer login em um WorkSpace, o campo nome do usuário é preenchido automaticamente com o nome do usuário. No entanto, se um administrador tiver estabelecido uma conexão RDP com o WorkSpace para realizar tarefas de manutenção, o campo de nome do usuário será preenchido com o nome do administrador.

Para evitar esse problema, desative a configuração da política de grupo Hide entry points for Fast User Switching (Ocultar pontos de entrada para troca rápida de usuários). Ao desativar essa configuração, o agente de login do WorkSpaces pode usar o botão Switch User (Trocar usuário) para preencher o campo de nome do usuário com o nome correto.

51 Amazon WorkSpaces Guia de administração Etapa 3: Configurar a Política de Grupo e as definições de política de segurança para permitir que os utilizadores iniciem sessão WorkSpaces (p. 99)O instalado no domínio, é possível usar o GPO do WorkSpaces para as contas de máquina do WorkSpaces.) 2. Escolha Action (Ação), Edit (Editar) no menu principal. 3. No Editor de gerenciamento de política de grupo, selecione Computer Configuration (Configuração da política), Policies (Políticas), Administrative Templates (Modelos administrativos), System (Sistema) e Logon. 4. Abra a configuração Hide entry points for Fast User Switching (Ocultar pontos de entrada para a troca rápida de usuários). 5. Na caixa de diálogo Hide entry points for Fast User Switching (Ocultar pontos de entrada para a troca rápida de usuários) selecioneDisabled (Desabilitado) e clique em OK.

Como ocultar o último nome de usuário com o qual foi feito logon

Por padrão, a lista de últimos usuários com os quais foi feito logon é exibida em vez do botão Switch User (Trocar de usuário). Dependendo da configuração do WorkSpace, a lista pode não exibir o título Other User (Outro usuário). Quando ocorrer essa situação, se o nome de usuário pré-preenchido não estiver correto, o agente de logon do WorkSpaces não poderá preencher o campo com o nome correto.

Para evitar esse problema, ative a configuração de política de segurançaLogon interativo: Não exibir o último usuário que fez loginouLogon interativo: Não exibir o último nome de usuário(dependendo da versão do Windows que você está usando).

1. Abra a ferramenta de Gerenciamento da política de grupo (gpmc.msc), navegue por ela e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o WorkSpaces. (Se você tem a opção deModelo administrativo de políticas de grupo do WorkSpaces (p. 99)O instalado no domínio, é possível usar o GPO do WorkSpaces para as contas de máquina do WorkSpaces.) 2. Escolha Action (Ação), Edit (Editar) no menu principal. 3. No Editor de gerenciamento de política de grupo, selecione Computer Configuration (Configuração do computador), Windows Settings (Configurações do Windows), Security Settings (Configurações de segurança), Local Policies (Políticas locais) e Security Options (Opções de segurança). 4. Abra uma das seguintes configurações:

• Para o Windows 7 —Logon interativo: Não exibir o último usuário que fez login • Para o Windows 10 —Logon interativo: Não exibir o último nome de usuário 5. Na caixa de diálogo Properties (Propriedades) da configuração, selecione Enabled (Habilitado) e clique em OK.

Como exigir que os usuários pressionem CTRL+ALT+DEL antes de fazer logon

Para o WorkSpaces Web Access, é necessário exigir que os usuários pressionem CTRL+ALT+DEL antes de fazer logon. Exigir que os usuários pressionem CTRL+ALT+DEL antes de fazer logon garante que os eles estejam usando um caminho confiável ao inserir as senhas.

52 Amazon WorkSpaces Guia de administração Criptografia de endpoints do FIPS

4. Abrir oLogon interativo: Não exigir CTRL+ALT+DELConfiguração do. 5. Na guia Local Security Setting (Configuração de segurança local), selecione Disabled (Desativado) e OK.

Como exibir as informações de usuário e de domínio quando a sessão está bloqueada

O agente de logon do WorkSpaces procura o nome de usuário e o domínio. Depois que essa configuração for definida, a tela de bloqueio exibirá o nome completo do usuário (se ele estiver especificado no Active Directory), o nome de domínio e o nome de usuário dele.

Como aplicar as alterações de configuração da política de grupo e da política de segurança

As alterações nas configurações da política de grupo e da política de segurança entram em vigor após a próxima atualização da política de grupo do WorkSpace e depois que a sessão do WorkSpace é reiniciada. Para aplicar as alterações na política de grupo e na política de segurança nos procedimentos anteriores, siga um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolha a opçãoAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insira gpupdate /force.

Configurar o Amazon WorkSpaces para autorização do FedRAMP ou conformidade com o SRG do DoD

Para cumprir com osFederal Risk and Authorization Management Program (FedRAMP)ou oGuia de requisitos de segurança de computação em nuvem (SRG) (Departamento de Defesa) (DoD), você deve configurar o Amazon WorkSpaces para usar a criptografia de endpoint do Federal Information Processing Standards (FIPS) no nível do diretório. Você também deve usar umAWSRegião que tenha autorização do FedRAMP ou esteja em conformidade com o SRG do DoD.

O nível de autorização do FedRAMP (moderado ou alto) ou o nível de impacto do SRG do DoD (2, 4 ou 5) depende dos EUAAWSRegião na qual o Amazon WorkSpaces está sendo usado. Para obter os níveis de autorização do FedRAMP e a conformidade com o SRG do DoD aplicáveis a cada região, consulteAWSServiços em escopo pelo programa de conformidade. Note

Além de usar a criptografia de endpoint FIPS, você também pode criptografar seus WorkSpaces. Para obter mais informações, consulte WorkSpaces criptografados (p. 130).

53 Amazon WorkSpaces Guia de administração Permitir conexões SSH

Requirements

• Você deve criar seus WorkSpaces em umNÓSAWSRegião que tenha autorização do FedRAMP ou esteja em conformidade com o SRG do DoD. • O diretório dos WorkSpaces deve ser configurado para usar o FIPS 140-2 Validated Mode (Modo validado FIPS 140-2) para criptografia de endpoint. Note

Para usar a configuração FIPS 140-2 Validated Mode (Modo validado FIPS 140-2) o diretório dos WorkSpaces deve ser novo ou todos os WorkSpaces existentes no diretório devem usar o FIPS 140-2 Validated Mode para criptografia de endpoint. Caso contrário, você não poderá usar essa configuração e, portanto, os WorkSpaces criados não estarão em conformidade com os requisitos de segurança do FedRAMP ou do DoD. • Os usuários devem acessar seus WorkSpaces de um dos seguintes aplicativos cliente do WorkSpaces: • Windows: 2.4.3 ou posterior • macOS: 2.4.3 ou posterior • Linux: 3.0.0 ou posterior • iOS: 2.4.1 ou posterior • Android: 2.4.1 ou posterior • Tablet Fire: 2.4.1 ou posterior • ChromeOS: 2.4.1 ou posterior

Como usar a criptografia de endpoint do FIPS

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Verifique se o diretório onde você deseja criar WorkSpaces autorizados pelo FedRAMP e em conformidade com o SRG do DoD não tem WorkSpaces existentes associados a ele. Se houver WorkSpaces associados ao diretório e o diretório ainda não estiver habilitado para usar o modo validado FIPS 140-2, encerre os WorkSpaces ou crie um novo diretório. 4. Escolha o diretório que atende aos critérios acima e escolha Actions (Ações), Update Details (Atualizar detalhes). 5. Na página Update Directory Details (Atualizar detalhes do diretório) escolha a seta para expandir a seção Access Control Options (Opções de controle de acesso). 6. Em Endpoint Encryption (Criptografia de endpoint), escolha FIPS 140-2 Validated Mode (Modo validado FIPS 140-2) em vez de TLS Encryption Mode (Standard) [Modo de criptografia TLS (Padrão)]. 7. Escolha Atualizar e sair. 8. Agora, nesse diretório, você poderá criar WorkSpaces autorizados pelo FedRAMP e em conformidade com o SRG do DoD. Para acessar esses WorkSpaces, os usuários devem usar um dos aplicativos cliente de WorkSpaces listados anteriormente na seção Requisitos (p. 54).

Ativar conexões SSH para seus WorkSpaces Linux

Se você ou seus usuários quiser se conectar ao Amazon Linux WorkSpaces usando a linha de comando, habilite conexões SSH. Você pode habilitar conexões SSH para todos os WorkSpaces em um diretório ou para WorkSpaces individuais.

Para habilitar conexões SSH, crie um novo grupo de segurança ou atualize um existente e adicione uma regra para permitir o tráfego de entrada para essa finalidade. Os security groups atuam como firewall

54 Amazon WorkSpaces Guia de administração Pré-requisitos para conexões SSH com o Amazon Linux WorkSpaces para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Depois de criar ou atualizar seu grupo de segurança, os usuários e outras pessoas podem usar o PuTTy ou outros terminais para se conectar ao Amazon Linux WorkSpaces nos próprios dispositivos.

Para obter um tutorial em vídeo, consulteComo posso me conectar ao Amazon WorkSpaces do Linux usando SSH?noAWSCentro de conhecimento da.

Tópicos • Pré-requisitos para conexões SSH com o Amazon Linux WorkSpaces (p. 55) • Permitir conexões SSH para todos os Amazon Linux WorkSpaces em um diretório (p. 56) • Permitir conexões SSH para um Amazon Linux WorkSpace específico (p. 56) • Connect a um Amazon Linux WorkSpace usando Linux ou PuTTY (p. 57)

Pré-requisitos para conexões SSH com o Amazon Linux WorkSpaces

• Habilitar tráfego de entrada SSH para um WorkSpace — Para adicionar uma regra e permitir o tráfego de entrada SSH para um ou mais Amazon Linux WorkSpaces, tenha endereços IP público ou privado dos dispositivos que exigem conexões SSH para o WorkSpaces. Por exemplo, você pode especificar os endereços IP públicos de dispositivos fora da nuvem privada virtual (VPC) ou o endereço IP privado de outra instância do EC2 na mesma VPC que o WorkSpace.

Se você pretende se conectar ao WorkSpace usando seu dispositivo local, você pode usar a frase de pesquisa “qual é o endereço IP” em um navegador da Internet ou o seguinte serviço: Verificar IP. • Conectar-se a um WorkSpace — As informações a seguir são necessárias para iniciar uma conexão SSH de um dispositivo para um Amazon Linux WorkSpace. • O nome de NetBIOS do domínio do Active Directory ao qual você está conectado. • O nome de usuário do WorkSpace. • O endereço IP público ou privado do WorkSpace ao qual você quer se conectar.

privado: Se sua VPC estiver conectada a uma rede corporativa e você tiver acesso a essa rede, você pode especificar o endereço IP privado do WorkSpace.

Público: Se o WorkSpace tiver um endereço IP público, você pode usar o console do WorkSpaces para localizar o endereço IP público, conforme descrito no procedimento a seguir.

Para localizar o nome de usuário e os endereços IP do Amazon Linux WorkSpace ao qual você quer se conectar

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Na lista de WorkSpaces, selecione aquele para o qual você quer habilitar conexões SSH. 4. Na coluna Running mode (Modo de execução), confirme se o status do WorkSpace é Available (Disponível). 5. Clique na seta à esquerda do nome do WorkSpace para exibir o resumo em linha e observe as seguintes informações:

• O WorkSpace IP (IP do WorkSpace). Este é o endereço IP privado do WorkSpace.

O endereço IP privado é necessário para obter a interface de rede elástica associada ao WorkSpace. A interface de rede é necessária para recuperar informações, como o grupo de segurança ou endereço IP público associado ao WorkSpace.

55 Amazon WorkSpaces Guia de administração Permitir conexões SSH para todos os Amazon Linux WorkSpaces em um diretório

• O Username (Nome de usuário) do WorkSpace. Este é o nome de usuário que você especifica para se conectar ao WorkSpace. 6. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. 7. No painel de navegação, selecione Network Interfaces. 8. Na caixa de pesquisa, digite o WorkSpace IP (IP do WorkSpace) anotado na etapa 5. 9. Selecione a interface de rede associada ao WorkSpace IP (IP do WorkSpace). 10. Se o seu WorkSpace tiver um endereço IP público, ele será exibido na coluna IPv4 Public IP (IP público do IPv4). Anote esse endereço, se necessário.

Para encontrar o nome de NetBIOS do domínio do Active Directory ao qual você está conectado

1. Abrir oAWS Directory ServiceConsole do em.https://console.aws.amazon.com/directoryservicev2/. 2. Na lista de diretórios, clique no link Directory ID (ID do diretório) para o WorkSpace. 3. Na seção Directory details (Detalhes do diretório), anote o Directory NetBIOS name (Nome do diretório NetBIOS).

Permitir conexões SSH para todos os Amazon Linux WorkSpaces em um diretório

Para habilitar conexões SSH para todos os Amazon Linux WorkSpaces em um diretório, siga estas etapas.

Para criar um grupo de segurança com uma regra que permita o tráfego SSH de entrada para todos os WorkSpaces do Amazon Linux WorkSpaces em um diretório

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. 2. No painel de navegação, selecione Grupos de segurança. 3. Escolha Create Security Group. 4. Digite um nome e, se quiser, uma descrição para seu grupo de segurança. 5. Em VPC, selecione a VPC que obtenha o WorkSpaces para o qual você quer habilitar conexões SSH. 6. Na guia Inbound (Entrada), selecione Add Rule (Adicionar regra) e siga estas etapas:

• Para Tipo, escolha SSH. • Para Protocol (Protocolo), o TCP é especificado automaticamente quando você seleciona SSH. • Para Port Range (Intervalo de portas), 22 é especificada automaticamente quando você seleciona SSH. • Em Source (Origem), selecione My IP (Meu IP) ou Custom (Personalizado) e especifique um único endereço de IP ou um intervalo na notação CIDR. Por exemplo, se o endereço IPv4 for 203.0.113.25, especifique 203.0.113.25/32 para listar esse único endereço IPv4 em notação CIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como 203.0.113.0/24. • Em Description (Descrição), digite uma descrição para a regra. Essa etapa é opcional. 7. Escolha Create (Criar).

Permitir conexões SSH para um Amazon Linux WorkSpace específico

Para habilitar conexões SSH para um Amazon Linux WorkSpace específico, siga estas etapas.

56 Amazon WorkSpaces Guia de administração Connect a um Amazon Linux WorkSpace usando Linux ou PuTTY

Para adicionar uma regra a um grupo de segurança existente que permita o tráfego SSH de entrada para um Amazon Linux WorkSpace específico

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. 2. No painel de navegação, em Network & Security (Rede e segurança), selecione Network Interfaces (Interfaces de rede). 3. Na barra de pesquisa, digite o endereço IP privado do WorkSpace para o qual você quer habilitar conexões SSH. 4. Na coluna Security groups (Grupos de segurança), clique em um link para o grupo de segurança. 5. Na guia Entrada, escolha Editar. 6. Selecione Add Rule (Adicionar regra) e faça o seguinte:

Connect a um Amazon Linux WorkSpace usando Linux ou PuTTY

Depois de criar ou atualizar seu grupo de segurança e adicionar a regra necessária, os usuários e outras pessoas podem usar o Linux ou PuTTY para se conectar aos seus WorkSpaces nos próprios dispositivos. Note

Antes de concluir qualquer um dos procedimentos a seguir, verifique se você tem o seguinte:

• O nome de NetBIOS do domínio do Active Directory ao qual você está conectado. • O nome de usuário que você usa para se conectar ao WorkSpace. • O endereço IP público ou privado do WorkSpace ao qual você quer se conectar.

Para obter instruções sobre como obter essas informações, consulte “Pré-requisitos para conexões SSH para o Amazon Linux WorkSpaces”, anteriormente neste tópico.

Para se conectar a um Amazon Linux WorkSpace usando o Linux

1. Abra o prompt de comando como administrador e insira o seguinte comando. Em NetBIOS name (Nome do NetBIOS), Username (Nome de usuário) e WorkSpace IP (IP de WorkSpace), digite os valores aplicáveis.

ssh "NetBIOS_NAME\Username"@WorkSpaceIP

Veja a seguir um exemplo do comando SSH onde:

• O NetBIOS_NAME é "anycompany"

57 Amazon WorkSpaces Guia de administração Configuração necessária

• The Username (Nome de usuário) é "janedoe" • O WorkSpace IP (IP do WorkSpace) é 203.0.113.25.

ssh "anycompany\janedoe"@203.0.113.25

2. Quando solicitado, insira a mesma senha que você usa ao autenticar com o cliente do WorkSpaces (sua senha do Active Directory).

Para se conectar a um Amazon Linux WorkSpace usando PuTTY

1. Abra o PuTTY. 2. Na caixa de diálogo PuTTY Configuration (Configuração PuTTy), siga estas etapas:

• Para Host Name (or IP address) [Nome de host (ou endereço IP)], insira o seguinte comando. Substitua os valores pelo nome de NetBIOS do domínio do Active Directory ao qual você está conectado, pelo nome de usuário usado para se conectar ao WorkSpace e pelo endereço IP do WorkSpace ao qual deseja conectar-se.

NetBIOS_NAME\Username@WorkSpaceIP

• Em Port (Porta), insira 22. • Para Connection type (Tipo de conexão), escolha SSH.

Para um exemplo do comando SSH, consulte a etapa 1 no procedimento anterior. 3. Escolha Abrir. 4. Quando solicitado, insira a mesma senha que você usa ao autenticar com o cliente do WorkSpaces (sua senha do Active Directory).

Componentes de configuração e serviço necessários para o WorkSpaces

Como administrador de um WorkSpace, você deve compreender o seguinte sobre a configuração necessária e os componentes de serviço. Configuração da tabela de roteamento necessária

Recomendamos que você não modifique a tabela de roteamento no nível do sistema operacional para um WorkSpace. O serviço WorkSpaces requer que as rotas pré-configuradas nesta tabela monitorem o estado do sistema e atualizem os componentes do sistema. Se forem necessárias alterações à tabela de roteamento para sua organização, entre em contato comAWSSupport ou o seuAWSantes de aplicar quaisquer alterações. Componentes de serviço necessários

No Windows WorkSpaces, os componentes de serviço são instalados nos locais a seguir. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, o WorkSpace não funcionará corretamente.

Se houver um software antivírus instalado no WorkSpace, verifique se ele não interfere com os componentes de serviço instalados nos locais a seguir.

58 Amazon WorkSpaces Guia de administração Componentes de serviço necessários

Important

A partir de 29 de março de 2021, atualizaremos o agente PCoIP de 32 bits para 64 bits. Para Windows WorkSpaces que estão usando o protocolo PCoIP, isso significa que o local dos arquivos Teradici muda deC:\Program Files (x86)\TeradiciparaC:\Program Files \Teradici. Essas atualizações do agente PCoIP ocorrerão em ondas durante nossas janelas de manutenção regulares, o que significa que alguns de seus WorkSpaces podem estar usando o agente de 32 bits e alguns podem estar usando o agente de 64 bits durante essa transição. Se tiver configurado regras de firewall, exclusões de software antivírus (no lado do cliente e no lado do host), definições de Objeto de Política de Grupo (GPO) ou definições para o Microsoft System Center Configuration Manager (SCCM), Microsoft Endpoint Configuration Manager ou ferramentas de gestão de configuração semelhantes baseadas no para o agente de 32 bits, você também deve adicionar o caminho completo para o agente de 64 bits para essas configurações. Se você estiver filtrando os caminhos para qualquer componente PCoIP de 32 bits, certifique-se de adicionar os caminhos às versões de 64 bits dos componentes. Como os WorkSpaces podem não ser atualizados ao mesmo tempo, não substitua o caminho de 32 bits pelo caminho de 64 bits ou alguns dos WorkSpaces podem não funcionar. Por exemplo, se você estiver baseando suas exclusões ou filtros de comunicação emC:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe, também é preciso adicionarC:\Program Files \Teradici\PCoIP Agent\bin\pcoip_server.exe. Da mesma forma, se você estiver baseando suas exclusões ou filtros de comunicação emC:\Program Files (x86)\Teradici \PCoIP Agent\bin\pcoip_agent.exe, também é preciso adicionarC:\Program Files \Teradici\PCoIP Agent\bin\pcoip_agent.exe. Alteração do serviço abiter PCoIP— Esteja ciente de que o serviço árbitro PCoIP (C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe) é removido quando os WorkSpaces são atualizados para usar o agente de 64 bits. PCoIP zero clientes e dispositivos USB— A partir da versão 20.10.4 do agente PCoIP, o Amazon WorkSpaces desativa o redirecionamento de USB por padrão por meio do registro do Windows. Esta definição de registo afecta o comportamento de periféricos USB quando os utilizadores estão a utilizar dispositivos PCoIP cliente zero para ligar aos respetivos WorkSpaces. Para obter mais informações, consulte Impressoras USB e outros periféricos USB não estão funcionando para clientes zero PCoIP (p. 233).

• C:\Program Files\Amazon • C:\Program Files\Teradici • C:\Program Files (x86)\Teradici • C:\ProgramData\Amazon • C:\ProgramData\Teradici

No Amazon Linux WorkSpaces, os componentes de serviço são instalados nos locais a seguir. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, o WorkSpace não funcionará corretamente. Note

Fazer alterações em arquivos que não sejam/etc/pcoip-agent/pcoip-agent.confpode fazer com que seus WorkSpaces parem de funcionar e pode exigir que você os reconstrua. Para obter informações sobre como modificar/etc/pcoip-agent/pcoip-agent.conf, consulteGerencie seus Amazon Linux WorkSpaces (p. 117).

• /etc/dhcp/dhclient.conf • /etc/logrotate.d/pcoip-agent • /etc/logrotate.d/pcoip-server • /etc/os-release • /etc/pam.d/pcoip

59 Amazon WorkSpaces Guia de administração Componentes de serviço necessários

• /etc/pam.d/pcoip-session • /etc/pcoip-agent • /etc/profile.d/system-restart-check.sh • /etc/X11/default-display-manager • /etc/yum/pluginconf.d/halt_os_update_check.conf • /lib/systemd/system/pcoip.service • /lib/systemd/system/pcoip-agent.service • /lib64/security/pam_self.so • /usr/bin/pcoip-fne-view-license • /usr/bin/pcoip-list-licenses • /usr/bin/pcoip-validate-license • /usr/lib/firewalld/services/pcoip-agent.xml • /usr/lib/modules-load.d/usb-vhci.conf • /usr/lib/pcoip-agent • /usr/lib/skylight • /usr/lib/systemd/system/pcoip.service • /usr/lib/systemd/system/pcoip.service.d/ • /usr/lib/systemd/system/skylight-agent.service • /usr/lib/tmpfiles.d/pcoip-agent.conf • /usr/lib/yum-plugins/halt_os_update_check.py • /usr/sbin/pcoip-agent • /usr/sbin/pcoip-register-host • /usr/sbin/pcoip-support-bundler • /usr/share/doc/pcoip-agent • /usr/share/pcoip-agent • /usr/share/selinux/packages/pcoip-agent.pp • /usr/share/X11 • /var/crash/pcoip-agent • /var/lib/pcoip-agent • /var/lib/skylight • /var/log/pcoip-agent • /var/log/skylight

60 Amazon WorkSpaces Guia de administração

Gerenciar diretórios para WorkSpaces

O WorkSpaces usa um diretório para armazenar e gerenciar informações para seu WorkSpaces e usuários. Você pode usar uma das opções a seguir:

• AD Connector – use seu Microsoft Active Directory existente no local. Os usuários podem entrar em seus WorkSpaces usando suas credenciais no local e acessar os recursos no local dos seus WorkSpaces. • AWS Managed Microsoft AD— Cria um Microsoft Active Directory hospedado noAWS. • Simple AD — crie um diretório compatível com o Microsoft Active Directory, com tecnologia Samba 4 e hospedado noAWS. • Confiança cruzada — crie um relacionamento de confiança entre oAWS Managed Microsoft ADe seu domínio local.

Para assistir a tutoriais que demonstram como configurar esses diretórios e ativar os WorkSpaces, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76). Tip

Depois de criar um diretório, você executará a maioria das tarefas de administração de diretório com ferramentas como as ferramentas de administração do Active Directory. Você pode executar algumas tarefas de administração de diretório usando o console do WorkSpaces e outras tarefas usando Política de Grupo. Para obter mais informações sobre como gerenciar usuários e grupos, consulte Gerenciar usuários de WorkSpaces (p. 91) e Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73). Note

• Diretórios compartilhados não são compatíveis com o Amazon WorkSpaces no momento. • Se você configurar oAWSDiretório gerenciado do Microsoft AD para replicação em várias regiões, somente o diretório na região principal pode ser registrado para uso com o Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas. • O Simple AD e o AD Connector são disponibilizados gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório Simple AD ou AD Connector por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory ServiceTermos de preço do.

Para excluir diretórios vazios, consulteExcluir o diretório do WorkSpaces (p. 71). Se você excluir o diretório do Simple AD ou do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

Tópicos

61 Amazon WorkSpaces Guia de administração Registrar um diretório

• Registrar um diretório com o WorkSpaces (p. 62) • Atualizar os detalhes do diretório do WorkSpaces (p. 63) • Atualizar servidores DNS para o Amazon WorkSpaces (p. 67) • Excluir o diretório do WorkSpaces (p. 71) • Habilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado (p. 72) • Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73)

Registrar um diretório com o WorkSpaces

Para permitir que o WorkSpaces use umAWS Directory ServiceDiretório do, você deve registrá-lo com o WorkSpaces. Depois de registrar um diretório, você pode ativar os WorkSpaces no diretório.

Requirements

Para registrar um diretório para usar com o WorkSpaces, ele deve atender aos seguintes requisitos:

• O diretório que você deseja registrar para uso com o Amazon WorkSpaces deve estar presente em todas as sub-redes de nuvem privada virtual (VPC) em que você deseja iniciar o WorkSpaces. • Se você estiver usando o AD Connector, o AD Connector deve ser conectado diretamente às sub-redes da mesma VPC que será usada para implantações do WorkSpaces. • Se você estiver usandoAWS Managed Microsoft ADou Simple AD, seu diretório pode estar em uma sub-rede privada dedicada, desde que o diretório tenha acesso à VPC onde os WorkSpaces estão localizados.

Para obter mais informações sobre o diretório e o design da VPC, consulte o Melhores práticas para implantar o Amazon WorkSpacesWhitepaper. Note

O Simple AD e o AD Connector são disponibilizados gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório Simple AD ou AD Connector por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory ServiceTermos de preço do. Para excluir diretórios vazios, consulteExcluir o diretório do WorkSpaces (p. 71). Se você excluir o diretório do Simple AD ou do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

Para registrar um diretório

• Diretórios compartilhados não são compatíveis com o Amazon WorkSpaces no momento. • Se suas receitasAWS Managed Microsoft ADfoi configurado para replicação de várias regiões, somente o diretório na região principal pode ser registrado para uso com o Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWS Managed Microsoft ADnão é suportado para uso com o Amazon WorkSpaces em regiões replicadas.

62 Amazon WorkSpaces Guia de administração Atualizar detalhes do diretório

5. Selecione duas sub-redes da VPC que não estejam na mesma zona de disponibilidade. Essas sub- redes serão usadas para iniciar seus WorkSpaces. Para obter mais informações, consulte Zonas de disponibilidade do Amazon WorkSpaces (p. 17). 6. Para Enable Self Service Permissions (Habilitar permissões de autoatendimento), selecione Yes (Sim) para habilitar os usuários a recriar seus WorkSpaces, alterar o tamanho do volume, o tipo de computação e o modo de execução. A habilitação pode afetar o quanto você paga pelo Amazon WorkSpaces. Caso contrário, selecione No (Não). 7. para oHabilitar o Amazon WorkDocs, escolhaSimPara registrar o diretório para usar com o Amazon WorkDocs ouNãoCaso contrário, . Note

Essa opção será exibida somente se o Amazon WorkDocs estiver disponível na região e se você não estiver usandoAWS Managed Microsoft AD. Se você estiver usandoAWS Managed Microsoft ADPara concluir o registro do diretório e consulteHabilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado (p. 72). 8. Escolha Register. Inicialmente, o valor de Registrado é REGISTERING. Depois de concluir o registro, o valor é Yes.

Ao terminar de usar o diretório com o WorkSpaces, você pode cancelar o registro. Você deve cancelar o registro de um diretório para poder excluí-lo. Se você quiser cancelar o registro e excluir um diretório, é necessário primeiro localizar e remover todos os aplicativos e serviços que estão registrados no diretório. Para obter mais informações, consulteExcluir seu diretórionoAWS Directory ServiceGuia de administração.

Para cancelar o registro de um diretório

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório. 4. Escolha Actions e Deregister. 5. Quando a confirmação for solicitada, escolha Cancelar registro. Cancelado o registro, o valor de Registrado é No.

Atualizar os detalhes do diretório do WorkSpaces

Você pode concluir as seguintes tarefas de gerenciamento de diretório usando o console do WorkSpaces.

Tarefas • Selecione uma unidade organizacional (p. 63) • Configurar endereços IP automáticos (p. 64) • Controlar o acesso de dispositivos (p. 65) • Gerenciar permissões de administrador local (p. 65) • Atualizar a conta do AD Connector (AD Connector) (p. 66) • Autenticação multifator (AD Connector) (p. 66)

Selecione uma unidade organizacional

As contas da máquina de WorkSpace ficam na unidade organizacional (UO) padrão para o diretório WorkSpaces. Inicialmente, as contas da máquina de WorkSpaces serão colocados na UO dos

63 Amazon WorkSpaces Guia de administração Configurar endereços IP automáticos computadores de seu diretório ou do diretório ao qual o AD Connector está conectado. Você pode selecionar outra UO em seu diretório ou no diretório conectado ou especificar um UO em outro domínio de destino. Observe que você só pode selecionar uma UO por diretório.

Depois de selecionar uma nova UO, as contas de máquina para todos os WorkSpaces criados ou recriados após essa configuração ser alterada são colocadas na UO recém-selecionada.

Como selecionar uma unidade organizacional

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione seu diretório e escolha Ações, Atualizar detalhes. 4. Expanda Domínio de destino e unidade organizacional. 5. Para localizar uma UO, você pode digitar todo ou parte do nome da UO e escolher Pesquisar UO. Você também pode escolher Listar todas as UOs para listar todas as unidades organizacionais. 6. Selecione a UO e escolha Atualizar e sair. 7. (Opcional) Reconstrua os WorkSpaces existentes para atualizar a UO. Para obter mais informações, consulte Recriação de um WorkSpace (p. 137).

Como especificar um domínio de destino e uma unidade organizacional

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione seu diretório e escolha Ações, Atualizar detalhes. 4. Expanda Domínio de destino e unidade organizacional. 5. Em UO selecionada, digite o nome distinto LDAP completo para o domínio de destino e a UO e, em seguida, escolha Atualizar e sair. Por exemplo, OU=WorkSpaces_machines,DC=machines,DC=example,DC=com. 6. (Opcional) Reconstrua os WorkSpaces existentes para atualizar a UO. Para obter mais informações, consulte Recriação de um WorkSpace (p. 137).

Configurar endereços IP automáticos

Depois de habilitar a atribuição automática de endereços IP elásticos, a cada WorkSpace ativado é atribuído um endereço IP elástico (um endereço IP público estático) do grupo de endereços IP elásticos fornecido pela Amazon. Esses endereços IP elásticos permitem que os WorkSpaces em sub-redes públicas acessem a Internet. Os WorkSpaces que já existiam antes da ativação da atribuição automática não recebem um endereço IP elástico até que sejam recriados.

Observe que não será necessário habilitar a atribuição automática de endereços IP elásticos se os WorkSpaces estiverem em sub-redes privadas e você tiver configurado um gateway NAT para a nuvem privada virtual (VPC) ou se os WorkSpaces estiverem em sub-redes públicas e você tiver atribuído manualmente endereços IP elásticos. Para obter mais informações, consulte Configurar uma VPC para WorkSpaces (p. 10). Warning

Se você associar um endereço IP elástico que possui a um WorkSpace e, depois, desassociar esse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereço IP público e não obterá automaticamente um novo do grupo fornecido pela Amazon. Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace, é necessário recriar o

64 Amazon WorkSpaces Guia de administração Controlar o acesso de dispositivos

WorkSpace (p. 137). Se você não quiser recriar o WorkSpace, será necessário associar outro endereço IP elástico que possui ao WorkSpace.

Como configurar endereços IP elásticos

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório dos WorkSpaces. 4. Escolha Ações, Atualizar detalhes. 5. Expanda Acesso à Internet e selecione Ativar ou Desativar. 6. Escolha Update.

Controlar o acesso de dispositivos

Você pode especificar os tipos de dispositivos que têm acesso aos WorkSpaces. Além disso, você pode restringir o acesso aos WorkSpaces a dispositivos confiáveis (também conhecidos como dispositivos gerenciados).

Para controlar o acesso de dispositivos aos WorkSpaces

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório e escolha Ações, Atualizar detalhes. 4. Expanda Opções de controle de acesso e encontre a seção Outras plataformas. Por padrão, o WorkSpaces Web Access e os clientes Linux são desabilitados e os usuários podem acessar os WorkSpaces em dispositivos iOS, Android, Chromebooks e dispositivos PCoIP zero client. 5. Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a serem desativados. Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha Bloquear. 6. (Opcional) Você também pode restringir o acesso a somente dispositivos confiáveis. Para obter mais informações, consulte Restringir o acesso dos WorkSpaces a dispositivos (p. 35). 7. Escolha Atualizar e sair.

Gerenciar permissões de administrador local

Você pode especificar se os usuários são administradores locais em seus WorkSpaces, o que permite instalar aplicativos e modificar configurações nos WorkSpaces. Os usuários são administradores locais por padrão. Se você modificar essa configuração, a alteração se aplicará a todos os novos WorkSpaces que você criar e a todos que você recriar.

Para modificar permissões de administrador local

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione seu diretório e escolha Ações, Atualizar detalhes. 4. Expanda Configuração do administrador local. 5. Para garantir que os usuários sejam administradores locais, escolha Ativar. Caso contrário, escolha Disable. 6. Escolha Atualizar e sair.

65 Amazon WorkSpaces Guia de administração Atualizar a conta do AD Connector (AD Connector)

Atualizar a conta do AD Connector (AD Connector)

Você pode atualizar a conta do AD Connector usada para ler usuários e grupos e incluir contas de máquina do WorkSpaces no seu diretório do AD Connector.

Para atualizar a conta do AD Connector

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione seu diretório e escolha Ações, Atualizar detalhes. 4. Expanda Atualizar a conta do AD Connector. 5. Digite o nome do usuário e a senha da nova conta. 6. Escolha Atualizar e sair.

Autenticação multifator (AD Connector)

Você pode habilitar a autenticação multifator (MFA) para o diretório do AD Connector. Para obter mais informações sobre o uso da autenticação multifator com oAWS Directory Service, consulteHabilitar autenticação multifator para AD ConnectorePré-requisitos do AD Connector. Note

• Seu servidor RADIUS pode ser hospedado peloAWSou pode ser no local. • Os nomes de usuário devem corresponder entre o Active Directory e o servidor RADIUS.

Como habilitar a autenticação multifator

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione seu diretório e escolha Ações, Atualizar detalhes. 4. Expanda Multi-factor Authentication e, em seguida, selecione Ativar Multi-factor Authentication. 5. Em Endereço(s) IP do servidor RADIUS, digite os endereços IP de seus endpoints do servidor RADIUS separados por vírgulas ou digite o endereço IP do seu load balancer do servidor RADIUS. 6. Em Porta, digite a porta que o servidor RADIUS está usando para comunicações. Sua rede no local deve permitir tráfego de entrada pela porta do servidor RADIUS padrão (UDP: 1812) do AD Connector. 7. Em Código de segredo compartilhado e Confirmar código de segredo compartilhado, digite o código de segredo compartilhado para o servidor RADIUS. 8. Em Protocolo, escolha o protocolo para o seu servidor RADIUS. 9. Em Tempo-limite do servidor, digite o tempo de espera, em segundos, para o servidor RADIUS responder. Esse valor deve ser entre 1 e 50. 10. Em Máximo de tentativas, digite o número de tentativas de comunicação com o servidor RADIUS. Esse valor deve ser entre 0 e 10. 11. Escolha Atualizar e sair.

A Multi-factor Authentication fica disponível quando o Status RADIUS está Ativado. Embora a Multi-factor Authentication esteja sendo configurada, os usuários não podem fazer login nos seus WorkSpaces.

66 Amazon WorkSpaces Guia de administração Atualizar servidores DNS para WorkSpaces

Atualizar servidores DNS para o Amazon WorkSpaces

Se você precisar atualizar os endereços IP do servidor DNS para o Active Directory após iniciar o WorkSpaces, também deverá atualizar os WorkSpaces com as novas configurações do servidor DNS.

Você pode atualizar seus WorkSpaces com as novas configurações de DNS de uma das seguintes formas:

• Atualizar as configurações de DNS no WorkSpacesAntesactualizar as definições de DNS para o Active Directory. • Recriar os WorkSpacesDepoisactualizar as definições de DNS para o Active Directory.

Recomendamos atualizar as configurações de DNS nos WorkSpaces antes de atualizar as configurações de DNS no Active Directory (conforme explicado emEtapa 1 (p. 67)do procedimento a seguir).

Se desejar recriar os WorkSpaces, atualize um dos endereços IP do servidor DNS no Active Directory (Etapa 2 (p. 69)) e, depois, siga o procedimento emRecriação de um WorkSpace (p. 137)Para recriar seus WorkSpaces. Depois de recriar seus WorkSpaces, siga o procedimento emEtapa 3 (p. 70)para testar as atualizações do servidor DNS. Depois de concluir essa etapa, atualize o endereço IP do segundo servidor DNS no Active Directory e reconstrua seus WorkSpaces novamente. Certifique-se de seguir o procedimento emEtapa 3 (p. 70)para testar sua segunda atualização do servidor DNS. Conforme observado noMelhores práticas (p. 67), recomendamos atualizar seus endereços IP do servidor DNS um de cada vez. Práticas recomendadas

Ao atualizar as configurações do servidor DNS, recomendamos as seguintes práticas recomendadas:

• Para evitar desconexões e inacessibilidade de recursos de domínio, recomendamos vivamente executar atualizações do servidor DNS durante horas fora de pico ou durante um período de manutenção planejado. • Não inicie nenhum novo WorkSpaces durante os 15 minutos antes e os 15 minutos depois de alterar as configurações do servidor DNS. • Ao atualizar as configurações do servidor DNS, altere um endereço IP do servidor DNS por vez. Verifique se a primeira atualização está correta antes de atualizar o segundo endereço IP. Recomendamos realizar o seguinte procedimento (Etapa 1 (p. 67),Etapa 2 (p. 69), eEtapa 3 (p. 70)) duas vezes para atualizar os endereços IP um de cada vez.

Etapa 1: Atualizar as configurações do servidor DNS em seus WorkSpaces

No procedimento a seguir, os valores de endereço IP do servidor DNS atual e novo são referidos da seguinte forma:

• Endereços IP do DNS:OldIP1,OldIP2 • Novos endereços IP do DNS:NewIP1,NewIP2

Note

Se esta for a segunda vez que você está executando este procedimento, substituaOldIP1porOldIP2eNewIP1porNewIP2.

67 Amazon WorkSpaces Guia de administração Etapa 1: Atualizar as configurações do servidor DNS em seus WorkSpaces

Atualizar as configurações do servidor DNS para Windows WorkSpaces

Se tiver vários WorkSpaces, pode implementar a seguinte actualização de registo para o WorkSpaces aplicando um GPO (Objeto de Política de Grupo) na OU do Active Directory para o WorkSpaces. Para obter mais informações sobre como trabalhar com GPOs, consulteGerenciar WorkSpaces do Windows (p. 97).

Você pode fazer essas atualizações usando o Editor do Registro ou usando o Windows PowerShell. Ambos os procedimentos são descritos nesta seção.

Para atualizar as configurações do Registro DNS usando o Editor do Registro

1. No Windows WorkSpace, abra a caixa de pesquisa do Windows e digiteregistry editorPara abrir o Editor de Registro (regedit.exe). 2. Quando perguntado “Deseja permitir que este aplicativo faça alterações no seu dispositivo?”, escolha Sim. 3. No Editor do Registro, navegue para a seguinte entrada do Registro:

HKEY_LOCAL_AL_MACHINE\ MACHINE 4. Abrir oDomainJoinDNSChave do registro. AtualizaçãoOldIP1porNewIP1E, depois, escolhaOK. 5. Feche o Editor de Registro. 6. Reinicie o WorkSpace ou reinicie o serviço SkylightWorkSpaceConnecfigService. Note

Depois de reiniciar o serviço SkylightWorkSpaceConnecfigService, pode demorar até 1 minuto para que o adaptador de rede reflita a alteração. 7. Vá paraEtapa 2 (p. 69)e atualize as configurações do servidor DNS no Active Directory para substituirOldIP1porNewIP1.

Para atualizar as configurações de registro DNS usando o PowerShell

O procedimento a seguir usa comandos do PowerShell para atualizar seu registro e reiniciar o serviço SkylightworkspaceconfigService.

1. No Windows WorkSpace, abra a caixa de pesquisa do Windows e digitepowershell. Escolha Executar como administrador. 2. Quando perguntado “Deseja permitir que este aplicativo faça alterações no seu dispositivo?”, escolha Sim. 3. Na janela do PowerShell, execute o seguinte comando para recuperar os endereços IP do servidor DNS atual.

Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS

Você deve receber a seguinte saída.

DomainJoinDns : OldIP1,OldIP2 PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon \SkyLight PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon PSChildName : SkyLight PSDrive : HKLM PSProvider : Microsoft.PowerShell.Core\Registry

4. Na janela do PowerShell, execute o seguinte comando para alterar oOldIP1paraNewIP1. Certifique- se de sairOldIP2como é por agora.

68 Amazon WorkSpaces Guia de administração Etapa 2: Atualizar as configurações do servidor DNS para o Active Directory

Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"

5. Execute o seguinte comando para reiniciar o serviço SkylightworkSpaceConnecfigService.

restart-service -Name SkyLightWorkspaceConfigService

Note

Depois de reiniciar o serviço SkylightWorkSpaceConnecfigService, pode demorar até 1 minuto para que o adaptador de rede reflita a alteração. 6. Vá paraEtapa 2 (p. 69)e atualize as configurações do servidor DNS no Active Directory para substituirOldIP1porNewIP1.

Atualizar as configurações do servidor DNS para Linux WorkSpaces

Se você tiver mais de um WorkSpace Linux, recomendamos que você use uma solução de gerenciamento de configuração para distribuir e aplicar a política. Por exemplo, você pode usar oAWS OpsWorks for Chef Automate,AWS OpsWorks for Puppet Enterprise, ouAnsible.

Para atualizar as configurações do servidor DNS em um WorkSpace

1. No WorkSpace Linux, abra uma janela do Terminal (Aplicativos >Ferramentas do sistema >Terminal MATE). 2. Use o seguinte comando do Linux para editar o/etc/dhcp/dhclient.conffile. Você deve ter privilégios de usuário root para editar este arquivo. Ou se tornar raiz usando o comandosudo -iou executar todos os comandos comsudoComo mostrado.

sudo vi /etc/dhcp/dhclient.conf

No/etc/dhcp/dhclient.conf, você verá o seguinteprepend, ondeOldIP1eOldIP2são os endereços IP dos seus servidores DNS.

prepend domain-name-servers OldIP1, OldIP2; # skylight

3. SubstituirOldIP1porNewIP1, e deixeOldIP2como é por agora. 4. Salve as alterações no/etc/dhcp/dhclient.conf. 5. Reinicialize o WorkSpace. 6. Vá paraEtapa 2 (p. 69)e atualize as configurações do servidor DNS no Active Directory para substituirOldIP1porNewIP1.

Etapa 2: Atualizar as configurações do servidor DNS para o Active Directory

Nesta etapa, você atualiza as configurações do servidor DNS para o Active Directory. Conforme observado noMelhores práticas (p. 67), recomendamos atualizar seus endereços IP do servidor DNS um de cada vez.

Para atualizar as configurações do servidor DNS para o Active Directory, consulte a documentação a seguir na seçãoAWS Directory ServiceGuia de administração:

• AD Connector: Atualizar o endereço DNS para o AD Connector

69 Amazon WorkSpaces Guia de administração Etapa 3: Testar as configurações atualizadas do servidor DNS

• AWSMicrosoft AD gerenciado: Configurar encaminhadores condicionais de DNS para o domínio no local • Simple AD: Configurar o DNS

Depois de atualizar as configurações do servidor DNS, vá paraEtapa 3 (p. 70). Etapa 3: Testar as configurações atualizadas do servidor DNS

Depois de concluirEtapa 1 (p. 67)eEtapa 2 (p. 69), use o procedimento a seguir para verificar se as configurações atualizadas do servidor DNS estão funcionando conforme o esperado.

No procedimento a seguir, os valores de endereço IP do servidor DNS atual e novo são referidos da seguinte forma:

• Endereços IP do DNS:OldIP1,OldIP2 • Novos endereços IP do DNS:NewIP1,NewIP2

Note

Se esta for a segunda vez que você está executando este procedimento, substituaOldIP1porOldIP2eNewIP1porNewIP2. Testar as configurações atualizadas do servidor DNS para Windows WorkSpaces

1. Encerre oOldIP1Servidor DNS. 2. Faça login em um Windows WorkSpace. 3. No menu Start (Iniciar) do Windows, escolha Windows System (Sistema Windows) e selecione Command Prompt (Prompt de comando). 4. Execute o seguinte comando, ondeAD_Nameé o nome do seu Active Directory (por exemplo,corp.example.com).

nslookup AD_Name

Onslookupdeve retornar a seguinte saída. (Se esta é a segunda vez que você está executando este procedimento, você deve verNewIP2No lugar deOldIP2.)

Server: Full_AD_Name Address: NewIP1

Name: AD_Name Addresses: OldIP2 NewIP1

5. Se a saída não for o que você esperava ou se você receber algum erro, repitaEtapa 1 (p. 67). 6. Aguarde uma hora e confirme que nenhum problema de usuário foi relatado. Verificar seNewIP1está recebendo consultas DNS e respondendo com respostas. 7. Depois de verificar se o primeiro servidor DNS está funcionando corretamente, repitaEtapa 1 (p. 67)para atualizar o segundo servidor DNS, desta vez substituindoOldIP2porNewIP2. Em seguida, repita as Etapas 2 e 3.

Testar as configurações atualizadas do servidor DNS para Linux WorkSpaces

1. Encerre oOldIP1Servidor DNS.

70 Amazon WorkSpaces Guia de administração Excluir um diretório

2. Faça login em um WorkSpace Linux. 3. No WorkSpace Linux, abra uma janela do Terminal (Aplicativos >Ferramentas do sistema >Terminal MATE). 4. Os endereços IP do servidor DNS retornados na resposta DHCP são gravados no local/etc/ resolv.confno WorkSpace. Execute o seguinte comando para visualizar o conteúdo do/etc/ resolv.conf file.

cat /etc/resolv.conf

Você deve ver a saída a seguir. (Se esta é a segunda vez que você está executando este procedimento, você deve verNewIP2No lugar deOldIP2.)

; This file is generated by Amazon WorkSpaces ; Modifying it can make your WorkSpace inaccessible until reboot options timeout:2 attempts:5 ; generated by /usr/sbin/dhclient-script search region.compute.internal nameserver NewIP1 nameserver OldIP2 nameserver WorkSpaceIP

Note

Se você fizer modificações manuais no/etc/resolv.conf, essas alterações serão perdidas quando o WorkSpace for reiniciado. 5. Se a saída não for o que você esperava ou se você receber algum erro, repitaEtapa 1 (p. 67). 6. Os endereços IP do servidor DNS reais são armazenados no/etc/dhcp/dhclient.conffile. Para ver o conteúdo deste arquivo, execute o seguinte comando.

sudo cat /etc/dhcp/dhclient.conf

Você deve ver a saída a seguir. (Se esta é a segunda vez que você está executando este procedimento, você deve verNewIP2No lugar deOldIP2.)

# This file is generated by Amazon WorkSpaces # Modifying it can make your WorkSpace inaccessible until rebuild prepend domain-name-servers NewIP1, OldIP2; # skylight

7. Aguarde uma hora e confirme que nenhum problema de usuário foi relatado. Verificar seNewIP1está recebendo consultas DNS e respondendo com respostas. 8. Depois de verificar se o primeiro servidor DNS está funcionando corretamente, repitaEtapa 1 (p. 67)para atualizar o segundo servidor DNS, desta vez substituindoOldIP2porNewIP2. Em seguida, repita as Etapas 2 e 3.

Excluir o diretório do WorkSpaces

Você pode excluir o diretório dos seus WorkSpaces se ele não estiver mais sendo usado por outros WorkSpaces ou aplicativos, como Amazon WorkDocs, Amazon WorkMail ou Amazon Chime. Você deve cancelar o registro de um diretório para poder excluí-lo. Note

O Simple AD e o AD Connector são disponibilizados gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório Simple AD ou AD Connector

71 Amazon WorkSpaces Guia de administração Habilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado

por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory ServiceTermos de preço do. Se você excluir o diretório do Simple AD ou do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

O que acontece quando você exclui um diretório

Quando um Simple AD ouAWS Directory Service for Microsoft Active DirectoryDiretório do é excluído, todos os dados e snapshots do diretório são excluídos e não podem ser recuperados. Após a exclusão do diretório, todas as instâncias do Amazon EC2 agregadas ao diretório permanecem intactas. No entanto, você não pode usar as credenciais do diretório para fazer login nessas instâncias. Em tais instâncias, você deve fazer login com uma conta de usuário local para a instância.

Quando um diretório do AD Connector é excluído, seu diretório local permanece intacto. Todas as instâncias do Amazon EC2 agregadas ao diretório também continuam intactas e permanecem agregadas ao diretório local. Você ainda pode usar as credenciais do diretório para fazer login nessas instâncias.

Como excluir um diretório

1. Exclua todos os WorkSpaces no diretório. Para obter mais informações, consulte Excluir um WorkSpace (p. 150). 2. Localize e remova todos os aplicativos e serviços registrados no diretório. Para obter mais informações, consulteExcluir seu diretórionoAWS Directory ServiceGuia de administração. 3. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 4. No painel de navegação, selecione Directories (Diretórios). 5. Selecione o diretório e escolha Ações, Cancelar o registro. 6. Quando a confirmação for solicitada, escolha Cancelar registro. 7. Selecione o diretório novamente e escolha Ações, Excluir. 8. Quando a confirmação for solicitada, escolha Excluir. Note

A remoção de atribuições de aplicativo às vezes pode levar mais tempo do que o esperado. Se você receber a seguinte mensagem de erro, verifique se removeu todas as atribuições de aplicativo e aguarde de 30 a 60 minutos antes de tentar excluir o diretório novamente:

An Error Has Occurred Cannot delete the directory because it still has authorized applications. Additional directory details can be viewed at the Directory Service console.

9. (Opcional) Depois de excluir todos os recursos na rede virtual privada (VPC) para seu diretório, você pode excluir a VPC e liberar o endereço IP elástico usado para o gateway NAT. Para obter mais informações, consulteExcluir sua VPCeTrabalhar com endereços IP elásticosnoGuia do usuário do Amazon VPC. 10. (Opcional) Para excluir todos os pacotes personalizados e imagens que não serão mais usados, consulte Excluir um pacote ou imagem do WorkSpaces personalizado (p. 170).

Habilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado

Se você estiver usandoAWSGerenciado o Microsoft AD com o Amazon WorkSpaces, você pode habilitar o Amazon WorkDocs para seu diretório por meio do console do Amazon WorkDocs ou doAWS Directory Serviceconsole do .

72 Amazon WorkSpaces Guia de administração Configurar a administração de diretório

Note

O Amazon WorkDocs não está disponível em todos osAWSRegiões onde o Amazon WorkSpaces está disponível. Para obter mais informações, consulteDefinição de preço do Amazon WorkDocs.

Para habilitar o WorkDocs por meio do console do Amazon WorkDocs

1. Abra o console do Amazon WorkDocs emhttps://console.aws.amazon.com/zocalo/. 2. Escolha Create a new WorkDocs Site (Criar novo site do WorkDocs). 3. Em Standard Setup (Configuração padrão), escolha Launch (Iniciar). 4. Selecione o diretório e crie o nome do site. 5. Especifique o usuário que administrará o site do WorkDocs. Você pode usar o administrador ou qualquer usuário criado no diretório.

Para obter mais informações, consulteConceitos básicos doAWSMicrosoft AD gerenciadonoGuia de administração do Amazon WorkDocs.

Para habilitar o WorkDocs por meio do console do AWS Directory Service

1. Abrir oAWS Directory Serviceconsole do em.https://console.aws.amazon.com/directoryservicev2/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Na página Directories (Diretórios), escolha o diretório. 4. Na página Directory details (Detalhes do diretório), selecione a guia Application management (Gerenciamento de aplicativos). 5. Na seção Application access URL (URL de acesso ao aplicativo), se um URL de acesso não tiver sido atribuído ao diretório, o botão Create (Criar) será exibido. Digite um alias do diretório e escolha Create (Criar). Para obter mais informações, consulteCriar uma URL de acessonoAWS Directory ServiceGuia de administração. 6. Na seção Application access URL (URL de acesso ao aplicativo), selecione Enable (Habilitar) para habilitar o logon único do Amazon WorkDocs. Para obter mais informações, consulteLogon úniconoAWS Directory ServiceGuia de administração.

Configurar as ferramentas de administração do Active Directory para o WorkSpaces

Você executará a maioria das tarefas administrativas para o seu diretório de WorkSpaces com ferramentas de gerenciamento de diretório, como as ferramentas de administração do Active Directory. No entanto, você usará o console do WorkSpaces para executar algumas tarefas relacionadas a diretórios. Para obter mais informações, consulte Gerenciar diretórios para WorkSpaces (p. 61).

Se você criar um diretório comAWSMicrosoft AD ou Simple AD que inclui cinco ou mais WorkSpaces, recomendamos centralizar a administração em uma instância do Amazon EC2. Embora seja possível instalar as ferramentas de gerenciamento de diretório em um WorkSpace, usar uma instância do Amazon EC2 é uma solução mais robusta.

Para configurar as ferramentas de administração do Active Directory

1. Execute uma instância Windows do Amazon EC2 e associe-a ao seu diretório do WorkSpaces usando uma das seguintes opções:

• Se você ainda não tiver uma instância Windows do Amazon EC2, poderá associar a instância ao domínio do diretório ao ativar a instância do. Para obter mais informações, consulteAssocie continuamente uma instância do EC2 do WindowsnoAWS Directory ServiceGuia de administração.

73 Amazon WorkSpaces Guia de administração Configurar a administração de diretório

• Se você já tiver uma instância do Windows do Amazon EC2 existente, poderá associá-la ao seu diretório manualmente. Para obter mais informações, consulteAdicionar uma instância do WindowsnoAWS Directory ServiceGuia de administração. 2. Instale as ferramentas de administração do Active Directory na instância Windows do Amazon EC2. Para obter mais informações, consulteInstalação das ferramentas de administração do Active DirectorynoAWS Directory ServiceGuia de administração. Note

Ao instalar as Ferramentas de Administração do Active Directory, certifique-se de que também selecionaGerenciamento de políticas de grupoPara instalar o editor de gerenciamento de políticas de grupo (gpmc.msc).

Quando a instalação do recurso for concluída, as ferramentas do Active Directory estarão disponíveis noiniciar asemFerramentas Administrativas do Windows. 3. Execute as ferramentas como um administrador do diretório da seguinte forma:

a. No Windowsiniciar asmenu, abrirFerramentas Administrativas do Windows. b. Mantenha a tecla Shift pressionada, clique com o botão direito no atalho da ferramenta que você deseja usar e selecioneExecutar como usuário diferente. c. Digite o nome do usuário e a senha do administrador. Com o Simple AD, o nome do usuário éAdministratore comAWSMicrosoft AD gerenciado, o administrador éAdmin.

Agora você pode executar tarefas de administração de diretório usando as ferramentas do Active Directory que você já conhece. Por exemplo, você pode usar a ferramenta Usuários e Computadores do Active Directory para adicionar e remover usuários, promover a administrador do diretório ou redefinir a senha de um usuário. Observe que você deve estar conectado à sua instância do Windows como um usuário que tem permissões para gerenciar usuários no diretório.

Como promover um usuário a administrador de diretório Note

Este procedimento se aplica somente a diretórios criados com o Simple AD, nãoAWSAD gerenciado. Para diretórios criados comAWSAD gerenciado, consulteGerenciar usuários e grupos noAWSMicrosoft ADnoAWS Directory ServiceGuia de administração.

1. Abra a ferramenta Usuários e Computadores do Active Directory. 2. Navegue até a pasta Usuários em seu domínio e selecione o usuário a ser promovido. 3. Selecione Ação, Propriedades. 4. NousernameProperties, escolhaMembro. 5. Adicione o usuário aos seguintes grupos e selecione OK.

• Administrators • Domain Admins • Enterprise Admins • Group Policy Creator Owners • Schema Admins

Para adicionar ou remover usuários

Você pode criar usuários usando o console do Amazon WorkSpaces somente durante o processo de execução de um WorkSpace, e não é possível excluir usuários usando o console do Amazon WorkSpaces. A maioria das tarefas de gerenciamento de usuários, incluindo o gerenciamento de grupos de usuários, devem ser realizadas por meio do diretório.

74 Amazon WorkSpaces Guia de administração Configurar a administração de diretório

Important

Antes de remover um usuário, é necessário excluir o WorkSpace atribuído a ele. Para obter mais informações, consulte Excluir um WorkSpace (p. 150).

O processo usado para gerenciar usuários e grupos depende de qual tipo de diretório você está usando.

• Se você estiver usandoAWSMicrosoft AD, consulteGerenciar usuários e grupos noAWSMicrosoft ADnoAWS Directory ServiceGuia de administração. • Se você estiver usando o Simple AD, consulteGerenciar usuários e grupos no Simple ADnoAWS Directory ServiceGuia de administração. • Se você usar o Microsoft Active Directory por meio do AD Connector ou um relacionamento de confiança, você pode gerenciar usuários e grupos usando o Active Directory.

Para redefinir uma senha do usuário

Quando você redefinir a senha de um usuário existente, não defina Usuário deve alterar a senha no próximo login. Caso contrário, os usuários não poderão se conectar aos seus WorkSpaces. Em vez disso, atribua uma senha temporária segura a cada usuário e instrua-os a alterá-la manualmente de dentro do WorkSpace na próxima vez que fizerem login. Note

Se você estiver usando o AD Connector ou se seus usuários estiverem noAWSRegião GovCloud (Oeste dos EUA), seus usuários não poderão redefinir suas próprias senhas. (OEsqueceu a senha?Na tela de login do aplicativo cliente do WorkSpaces não estará disponível.)

75 Amazon WorkSpaces Guia de administração

Iniciar uma área de trabalho virtual usando o WorkSpaces

Com o WorkSpaces, você pode provisionar desktops virtuais do Microsoft Windows ou do Amazon Linux baseados na nuvem para seus usuários, conhecidos comoWorkSpaces. Note

ONome do Computermostrado para um WorkSpace no console do Amazon WorkSpaces varia, dependendo do tipo de WorkSpace que você iniciou (Linux ou Windows). O nome do computador para um WorkSpace pode estar em um destes formatos:

• Linux: A-1xxxxxxxx • Windows: IP-Cxxxxxxou WSAMZN-xxxxxxxou EC2AMAZ-xxxxxxx

Para Windows WorkSpaces, o formato do nome do computador é determinado pelo tipo de pacote e, no caso dos WorkSpaces criados a partir de pacotes públicos ou de pacotes personalizados baseados em imagens públicas, quando as imagens públicas foram criadas. A partir de 22 de junho de 2020, o Windows WorkSpaces lançado a partir de pacotes públicos tem oxxxxxxxpara seus nomes de computador em vez do IP-Cxxxxxxformat. Para pacotes personalizados baseados em uma imagem pública, se a imagem pública foi criada antes de 22 de junho de 2020, os nomes dos computadores estão no EC2AMAZ-xxxxxxxformat. Se a imagem pública foi criada em ou após 22 de junho de 2020, os nomes do computador estão no WSAMZN-xxxxxxxformat. Para Traga sua própria licença (BYOL) pacotes, ou o DESKTOP-xxxxxxxou o EC2AMAZ-xxxxxxxé usado para os nomes do computador por padrão. Se você especificou um formato personalizado para os nomes de computador em seus pacotes personalizados ou BYOL, seu formato personalizado substituirá esses padrões. Para especificar um formato personalizado, consulteCrie uma imagem e um pacote personalizados do WorkSpaces (p. 152). Importante— se você alterar o nome do computador de um WorkSpace por meio das configurações do sistema Windows, não poderá mais acessar o WorkSpace.

O WorkSpaces usa um diretório para armazenar e gerenciar informações para seu WorkSpaces e usuários. Você pode realizar uma das seguintes ações:

• Crie um diretório do Simple AD. • Crie um AWS Directory Service para Microsoft Active Directory, também conhecido como Microsoft AD gerenciado pela AWS. • Conecte-se a um Microsoft Active Directory existente usando o Active Directory Connector. • Crie uma relação de confiança entre o diretório do Microsoft AD gerenciado pela AWS e o domínio no local.

Note

76 Amazon WorkSpaces Guia de administração Iniciar usandoAWSGerenciamento do Microsoft AD

WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas. • O Simple AD e o AD Connector são disponibilizados gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório Simple AD ou AD Connector por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory ServiceDefinição de preço do.

Os tutoriais a seguir mostram como iniciar um WorkSpace usando as opções de serviço de diretório com suporte.

Tutoriais • Iniciar um WorkSpace usandoAWSGerenciamento do Microsoft AD (p. 77) • Ativar um WorkSpace usando o Simple AD (p. 80) • Ativar um WorkSpace usando o AD Connector (p. 84) • Iniciar um WorkSpace usando um domínio confiável (p. 87)

Iniciar um WorkSpace usandoAWSGerenciamento do Microsoft AD

O WorkSpaces permite provisionar desktops Windows virtuais, baseados em nuvem, para seus usuários, conhecidos comoWorkSpaces.

O WorkSpaces usa diretórios para armazenar e gerenciar informações para seu WorkSpaces e usuários. Para seu diretório, você pode escolher entre o Simple AD, o AD Connector ou o AWS Directory Service para o Microsoft Active Directory, também conhecido como Microsoft AD gerenciado pela AWS. Além disso, você pode estabelecer um relacionamento de confiança entre o diretório do Microsoft AD gerenciado pela AWS e o domínio no local.

Neste tutorial, iniciamos um WorkSpace que usa o Microsoft AD gerenciado pela AWS. Para tutoriais que usam as outras opções, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76).

Tarefas • Antes de começar (p. 77) • Etapa 1: Criar umAWSDiretório do Microsoft AD (p. 78) • Etapa 2: Crie um WorkSpace (p. 79) • Etapa 3: Connect ao WorkSpace (p. 79) • Próximas etapas (p. 80)

Antes de começar

77 Amazon WorkSpaces Guia de administração Etapa 1: Criar umAWSDiretório do Microsoft AD

• Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. O pacote é uma combinação de sistema operacional e recursos de armazenamento, computação e software. Para obter mais informações, consulte Pacotes do Amazon WorkSpaces. • Ao criar um diretório usando o AWS Directory Service ou ativar um WorkSpace, você deve criar ou selecionar uma Virtual Private Cloud configurada com uma sub-rede pública e duas sub-redes privadas. Para obter mais informações, consulte Configurar uma VPC para WorkSpaces (p. 10).

Etapa 1: Criar umAWSDiretório do Microsoft AD

Primeiro, crie um diretório do Microsoft AD gerenciado pela AWS. O AWS Directory Service cria dois servidores de diretório, um em cada uma das sub-redes privadas de sua VPC. Observe que inicialmente não há usuários no diretório. Você adicionará um usuário na próxima etapa ao ativar o WorkSpace. Note

• Diretórios compartilhados não são compatíveis para uso com o Amazon WorkSpaces no momento. • Se suas receitasAWSO diretório gerenciado do Microsoft AD foi configurado para replicação de várias regiões, somente o diretório na região principal pode ser registrado para uso com o Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

Para criar um diretório do Microsoft AD gerenciado pela AWS

a. Em Organization name (Nome da organização), insira um nome de organização exclusivo para o seu diretório (por exemplo, my-demo-directory). Esse nome deve ter pelo menos quatro caracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferente de um hífen. b. Em Directory DNS (DNS do diretório), insira o nome do diretório totalmente qualificado (por exemplo, workspaces.demo.com). Important

Se você precisar atualizar seu servidor DNS após iniciar o WorkSpaces, siga o procedimento emAtualizar servidores DNS para o Amazon WorkSpaces (p. 67)para garantir que seus WorkSpaces sejam atualizados corretamente. c. Em NetBIOS name (Nome NetBIOS), insira um nome curto para o diretório (por exemplo, workspaces). d. Em Admin password (Senha do administrador) e Confirm password (Confirmar senha), insira uma senha para a conta do administrador do diretório. Para obter mais informações sobre os requisitos de senha, consulteCrie seuAWSDiretório do Microsoft ADnoAWS Directory ServiceGuia de administração. e. (Opcional) Em Description (Descrição), insira uma descrição para a política. f. Em VPC, selecione a VPC que você criou. g. Em Sub-redes, selecione as duas sub-redes privadas (com os blocos CIDR 10.0.1.0/24 e 10.0.2.0/24). h. Escolha Next Step.

78 Amazon WorkSpaces Guia de administração Etapa 2: Crie um WorkSpace

5. Escolha Criar Microsoft AD. 6. Escolha Done (Concluído). O status inicial do diretório é Creating. Quando a criação de diretórios estiver completa, o status será Active.

Etapa 2: Crie um WorkSpace

Agora que você criou um diretório do Microsoft AD gerenciado pela AWS, já pode criar um WorkSpace.

Para criar um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Escolha Ativar WorkSpaces. 4. NoSelecionar um diretório, escolha o diretório que você criou e, em seguida, escolhaPróxima etapa. O WorkSpaces registra seu diretório. 5. Na página Identificar usuários, adicione um novo usuário ao seu diretório da seguinte forma:

a. Preencha o Nome do usuário, Nome, Sobrenome e E-mail. Use um endereço de e-mail ao qual você tenha acesso. b. Escolha Criar usuários. c. Escolha Next Step. 6. Na página Selecionar pacote, selecione um pacote e, em seguida, escolha Próxima etapa. 7. Na página Configuração de WorkSpaces, escolha um modo de execução e selecione Próxima etapa. 8. Na página Revisar e ativar WorkSpaces, escolha Ativar WorkSpaces. O status inicial do WorkSpace é PENDING. Ao terminar de ativar os WorkSpaces, o status é AVAILABLE e um convite é enviado ao endereço de e-mail que você especificou para o usuário. Note

Os emails de convite não são enviados se o usuário já existir no Active Directory. Em vez disso, certifique-se de enviar manualmente um email de convite ao usuário. Para obter mais informações, consulte Enviar um convite por e-mail (p. 92). 9. (Opcional) Se o Amazon WorkDocs for compatível na região, você poderá habilitar o Amazon WorkDocs para todos os usuários no diretório. Para obter mais informações, consulte Habilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado (p. 72). Para obter mais informações sobre o Amazon WorkDocs, consulteAmazon WorkDocs DrivenoGuia de administração do Amazon WorkDocs.

Etapa 3: Connect ao WorkSpace

Depois de receber o e-mail de convite, você pode se conectar ao seu WorkSpace usando o cliente de sua escolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.

Para se conectar ao WorkSpace

1. Abra o link no e-mail de convite. Quando solicitado, especifique uma senha e ative o usuário. Lembre- se dessa senha, pois você precisará dela para fazer login em seu WorkSpace. Note

79 Amazon WorkSpaces Guia de administração Próximas etapas

2. Review (Revisar)Clientes do WorkSpacesnoGuia do usuário do Amazon WorkSpacesPara obter mais informações sobre os requisitos de cada cliente e, em seguida, faça o seguinte:

• Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access. • Se não for solicitado e você ainda não tiver instalado um aplicativo cliente, abra ohttps:// clients.amazonworkspaces.com/ e faça download de um dos aplicativos clientes ou ative o Web Access.

Note

Não é possível usar um navegador da web (Web Access) para se conectar ao Amazon Linux WorkSpaces. 3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar. 4. Quando solicitado a fazer login, insira o nome do usuário e a senha e escolha Sign In (Fazer login). 5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Sim.

Próximas etapas

Você pode continuar a personalizar o WorkSpace que acabou de criar. Por exemplo, é possível instalar o software e, em seguida, criar um pacote personalizado do seu WorkSpace. Você também pode executar várias tarefas administrativas para o WorkSpaces e seu diretório WorkSpaces. Se você terminar o trabalho com o WorkSpace, poderá excluí-lo. Para obter mais informações, consulte a documentação a seguir.

• Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152) • Administrar seus WorkSpaces do (p. 97) • Gerenciar diretórios para WorkSpaces (p. 61) • Excluir um WorkSpace (p. 150)

Ativar um WorkSpace usando o Simple AD

O WorkSpaces permite provisionar áreas de trabalho Microsoft Windows virtuais, baseadas na nuvem, para seus usuários, conhecidas comoWorkSpaces.

Neste tutorial, ativamos um WorkSpace que usa o Simple AD. Para tutoriais que usam as outras opções, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76).

Tarefas • Antes de começar (p. 81) • Etapa 1: Criar um diretório do Simple AD (p. 81) • Etapa 2: Crie um WorkSpace (p. 82) • Etapa 3: Connect ao WorkSpace (p. 83)

80 Amazon WorkSpaces Guia de administração Antes de começar

• Próximas etapas (p. 83)

Antes de começar

• O Simple AD não está disponível em todas as regiões. Verifique as regiões suportadas eSelecione uma regiãopara seu diretório do Simple AD. Para obter mais informações sobre as regiões compatíveis para o Simple AD, consulteDisponibilidade de região para oAWSDirectory Service. • O WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveis e selecione uma região para seus WorkSpaces. Para obter mais informações sobre as regiões compatíveis, consulteDefinição de preço do WorkSpacesAWSRegião. • Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. O pacote é uma combinação de sistema operacional e recursos de armazenamento, computação e software. Para obter mais informações, consulte Pacotes do Amazon WorkSpaces. • Ao criar um diretório usando o AWS Directory Service ou ativar um WorkSpace, você deve criar ou selecionar uma Virtual Private Cloud configurada com uma sub-rede pública e duas sub-redes privadas. Para obter mais informações, consulte Configurar uma VPC para WorkSpaces (p. 10).

Etapa 1: Criar um diretório do Simple AD

Crie um diretório do Simple AD. O AWS Directory Service cria dois servidores de diretório, um em cada uma das sub-redes privadas de sua VPC. Observe que inicialmente não há usuários no diretório. Você adicionará um usuário na próxima etapa ao criar o WorkSpace. Note

O Simple AD é disponibilizado gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório do Simple AD por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory Servicetermos de preço do. Para excluir diretórios vazios, consulteExcluir o diretório do WorkSpaces (p. 71). Se você excluir seu diretório do Simple AD, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

Para criar um diretório do Simple AD

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. SelecioneConfigurar diretório,Simple AD, ePróximo. 4. Configure o diretório da seguinte forma:

a. Em Organization name (Nome da organização), insira um nome de organização exclusivo para seu diretório (por exemplo, my-example-directory). Esse nome deve ter pelo menos quatro caracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferente de um hífen. b. para oNome do DNS do diretório, insira o nome do diretório totalmente qualificado (por exemplo, example.com). Important

81 Amazon WorkSpaces Guia de administração Etapa 2: Crie um WorkSpace

d. Em Admin password (Senha do administrador) e Confirm password (Confirmar senha), insira uma senha para a conta do administrador do diretório. Para obter mais informações sobre os requisitos de senha, consulteComo Criar um diretório do Microsoft ADnoAWS Directory ServiceGuia de administração. e. (Opcional) Em Description (Descrição), insira uma descrição para a política. f. para oTamanho do diretório, escolhaPequeno. g. Em VPC, selecione a VPC que você criou. h. Em Sub-redes, selecione as duas sub-redes privadas (com os blocos CIDR 10.0.1.0/24 e 10.0.2.0/24). i. Escolha Next. 5. SelecioneCriar diretório. 6. O status inicial do diretório é Requested e, em seguida, Creating. Quando a criação de diretórios estiver completa (isso pode levar alguns minutos), o status seráActive.

O que acontece durante a criação do diretório

O WorkSpaces executa as seguintes tarefas em seu nome:

• Cria uma função do IAM para permitir que o serviço WorkSpaces crie interfaces de rede elásticas e liste seus diretórios do WorkSpaces. Essa função tem o nome workspaces_DefaultRole. • Configura um diretório do Simple AD na VPC que é usado para armazenar informações do usuário e do WorkSpace. O diretório tem uma conta de administrador com o nome de usuário Administrador e a senha especificada. • Cria dois security groups, um para controladores do diretório e outro para os WorkSpaces no diretório.

Etapa 2: Crie um WorkSpace

Agora você está pronto para ativar o WorkSpace.

Para criar um WorkSpace para um usuário

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Escolha Ativar WorkSpaces. 4. Na página Selecionar um diretório, faça o seguinte:

a. Em Diretório, escolha o diretório que você criou. b. para oAtivar permissões de autoatendimento, escolhaSimouNãoe insira uma descrição. c. Em Ativar o Amazon WorkDocs, selecione Sim. Note

Essa opção só estará disponível se o Amazon WorkDocs estiver disponível na região selecionada. d. Escolha Next Step. O WorkSpaces registra seu diretório do Simple AD. 5. Na página Identificar usuários, adicione um novo usuário ao seu diretório da seguinte forma:

82 Amazon WorkSpaces Guia de administração Etapa 3: Connect ao WorkSpace

7. Na página Configuração de WorkSpaces, escolha um modo de execução e selecione Próxima etapa. 8. Na página Revisar e ativar WorkSpaces, escolha Ativar WorkSpaces. O status inicial do WorkSpace é PENDING. Quando o lançamento estiver concluído (isso pode levar até 20 minutos), o status seráAVAILABLEe um convite será enviado para o endereço de e-mail que você especificou para o usuário. Note

Etapa 3: Connect ao WorkSpace

Depois de receber o e-mail de convite, você pode se conectar ao seu WorkSpace usando o cliente de sua escolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.

Para se conectar ao WorkSpace

1. Abra o link no e-mail de convite. Quando solicitado, insira uma senha e ative o usuário. Lembre-se dessa senha, pois você precisará dela para fazer login em seu WorkSpace. Note

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres. As senhas devem conter pelo menos um caractere de cada uma das seguintes categorias: letras minúsculas (a — z), letras maiúsculas (A — Z), números (0 — 9) e ~! @#$%^&*_-+=`|\ () {} []:; "'<>,.? /. 2. Review (Revisar)Clientes do WorkSpacesnoGuia do usuário do Amazon WorkSpacesPara obter mais informações sobre os requisitos de cada cliente e, em seguida, faça o seguinte:

• Quando solicitado, faça download de um dos aplicativos clientes ou ative oWeb Access. • Se não for solicitado e você ainda não tiver instalado um aplicativo cliente, abrahttps:// clients.amazonworkspaces.com/ e faça download de um dos aplicativos clientes ou ative oWeb Access.

Note

Não é possível usar um navegador da web (Web Access) para se conectar ao WorkSpaces do Amazon Linux. 3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar. 4. Quando solicitado a fazer login, insira o nome do usuário e a senha e escolha Sign In (Fazer login). 5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Sim.

Próximas etapas

Você pode continuar a personalizar o WorkSpace que acabou de criar. Por exemplo, é possível instalar o software e, em seguida, criar um pacote personalizado do seu WorkSpace. Você também pode executar várias tarefas administrativas para o WorkSpaces e seu diretório WorkSpaces. Se você terminar o trabalho com o WorkSpace, poderá excluí-lo. Para obter mais informações, consulte a documentação a seguir.

• Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152) • Administrar seus WorkSpaces do (p. 97)

83 Amazon WorkSpaces Guia de administração Iniciar usando o AD Connector

• Gerenciar diretórios para WorkSpaces (p. 61) • Excluir um WorkSpace (p. 150)

Ativar um WorkSpace usando o AD Connector

O WorkSpaces permite provisionar áreas de trabalho Microsoft Windows virtuais, baseadas na nuvem, para seus usuários, conhecidas comoWorkSpaces.

Neste tutorial, ativamos um WorkSpace que usa o AD Connector. Para tutoriais que usam as outras opções, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76).

Tarefas • Antes de começar (p. 84) • Etapa 1: Criar um AD Connector (p. 84) • Etapa 2: Criar um WorkSpace (p. 85) • Etapa 3: Connect ao WorkSpace (p. 86) • Próximas etapas (p. 87)

Antes de começar

• O WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveis e selecione uma região para seus WorkSpaces. Para obter mais informações sobre as regiões compatíveis, consulteDefinição de preço do WorkSpacesAWSRegião. • Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. O pacote é uma combinação de sistema operacional e recursos de armazenamento, computação e software. Para obter mais informações, consulte Pacotes do Amazon WorkSpaces. • Crie uma Virtual Private Cloud com pelo menos duas sub-redes privadas. Para obter mais informações, consulte Configurar uma VPC para WorkSpaces (p. 10). A VPC deve estar conectada à sua rede no local por meio de uma conexão de rede privada virtual (VPN) ou AWS Direct Connect. Para obter mais informações, consultePré-requisitos do AD ConnectornoAWS Directory ServiceGuia de administração. • Conceda acesso à Internet no WorkSpace. Para obter mais informações, consulte Fornecer acesso à Internet a partir do WorkSpace (p. 45).

Etapa 1: Criar um AD Connector Note

O AD Connector é disponibilizado gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório AD Connector por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory ServiceDefinição de preço do.

84 Amazon WorkSpaces Guia de administração Etapa 2: Criar um WorkSpace

Para excluir diretórios vazios, consulteExcluir o diretório do WorkSpaces (p. 71). Se você excluir o diretório do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

Como criar um AD Connector

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Escolha Configurar diretório, Criar AD Connector. 4. Em Organization name (Nome da organização), insira um nome de organização exclusivo para seu diretório (por exemplo, my-example-directory). Esse nome deve ter pelo menos quatro caracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferente de um hífen. 5. Em Connected directory DNS (DNS do diretório conectado), insira o nome de seu diretório local totalmente qualificado (por exemplo, example.com). 6. Em Connected directory NetBIOS name (Nome NetBIOS do diretório conectado), insira o nome curto de seu diretório local (por exemplo, example). 7. Em Connector account username (Nome do usuário da conta do Connector), insira o nome de usuário de um usuário em seu diretório local. O usuário deve ter permissões para ler usuários e grupos, criar objetos de computador e inserir computadores no domínio. 8. Em Connector account password (Senha da conta do Connector) e Confirm password (Confirmar senha), insira a senha para a conta de usuário local. 9. Em DNS address (Endereço DNS), insira o endereço IP de pelo menos um servidor DNS em seu diretório local. Important

Se você precisar atualizar o endereço IP do servidor DNS após iniciar o WorkSpaces, siga o procedimento emAtualizar servidores DNS para o Amazon WorkSpaces (p. 67)para garantir que seus WorkSpaces sejam atualizados corretamente. 10. (Opcional) Em Description (Descrição), insira uma descrição para a política. 11. Mantenha Tamanho como Pequeno. 12. Em VPC, selecione sua VPC. 13. Em Sub-redes, selecione as sub-redes. Os servidores DNS que você especificou devem ser acessíveis em cada sub-rede. 14. Escolha Next Step. 15. Escolha Criar AD Connector. A conexão do diretório leva vários minutos. O status inicial do diretório é Requested e, em seguida, Creating. Quando a criação de diretórios estiver completa, o status será Active.

Etapa 2: Criar um WorkSpace

Agora você está pronto para ativar os WorkSpaces para um ou mais usuários em seu diretório no local.

Como iniciar um WorkSpace para um usuário existente

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Escolha Ativar WorkSpaces. 4. Em Diretório, escolha o diretório que você criou. 5. (Opcional) Se esta for a primeira vez que você executa um WorkSpace nesse diretório, e o Amazon WorkDocs tiver suporte na região, você poderá habilitar ou desabilitar o Amazon WorkDocs para todos

85 Amazon WorkSpaces Guia de administração Etapa 3: Connect ao WorkSpace

os usuários no diretório. Para obter mais informações sobre o Amazon WorkDocs, consulteAmazon WorkDocs DrivenoGuia de administração do Amazon WorkDocs. 6. Escolha Next. O WorkSpaces registra seu AD Connector. 7. Selecione um ou mais usuários existentes do seu diretório no local. Não adicione novos usuários a um diretório no local por meio do console do WorkSpaces.

Para encontrar os usuários a serem selecionados, insira todo o nome ou parte do nome do usuário e escolha Search (Pesquisar) ou Show All Users (Mostrar todos os usuários). Observe que não é possível selecionar um usuário que não tenha um endereço de e-mail.

Depois de selecionar os usuários, escolha Adicionar selecionado e, em seguida, escolha Próxima etapa. 8. Em Selecionar pacote, escolha o pacote padrão do WorkSpace para ser usado nos WorkSpaces. Em Atribuir pacotes de WorkSpaces, você pode escolher outro pacote para um WorkSpace individual, se necessário. Quando terminar, escolha Próxima etapa. 9. Escolha um modo de execução para os seus WorkSpaces e selecione Próxima etapa. Para obter mais informações, consulte Gerenciar o modo de execução do WorkSpace (p. 122). 10. Escolha Ativar WorkSpaces. O status inicial do WorkSpace é PENDING. Quando a ativação estiver concluída, o status será AVAILABLE. 11. Envie convites para o endereço de e-mail de cada usuário. (Esses convites não serão enviados automaticamente se você estiver usando o AD Connector.) Para obter mais informações, consulte Enviar um convite por e-mail (p. 92).

Etapa 3: Connect ao WorkSpace

Você pode se conectar ao seu WorkSpace usando o cliente de sua escolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.

Para se conectar ao WorkSpace

1. Abra o link no e-mail de convite. 2. Review (Revisar)Clientes do WorkSpacesnoGuia do usuário do Amazon WorkSpacesPara obter mais informações sobre os requisitos para cada cliente e, em seguida, execute uma das coisas a seguir:

• Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access. • Se não for solicitado e você ainda não tiver instalado um aplicativo cliente, abrahttps:// clients.amazonworkspaces.com/ e faça download de um dos aplicativos clientes ou ative o Web Access.

Note

Como você está usando o AD Connector, seus usuários não poderão redefinir suas próprias senhas. (A opção Esqueceu sua senha? na tela de login do aplicativo cliente do WorkSpaces não

86 Amazon WorkSpaces Guia de administração Próximas etapas

estará disponível.) Para obter informações sobre como redefinir senhas de usuários, consulte Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73). Próximas etapas

Você pode continuar a personalizar o WorkSpace que acabou de criar. Por exemplo, é possível instalar o software e, em seguida, criar um pacote personalizado do seu WorkSpace. Você também pode executar várias tarefas administrativas para o WorkSpaces e seu diretório WorkSpaces. Se você terminar o trabalho com o WorkSpace, poderá excluí-lo. Para obter mais informações, consulte a documentação a seguir.

• Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152) • Administrar seus WorkSpaces do (p. 97) • Gerenciar diretórios para WorkSpaces (p. 61) • Excluir um WorkSpace (p. 150)

Iniciar um WorkSpace usando um domínio confiável

O WorkSpaces permite provisionar desktops Microsoft Windows virtuais, baseados em nuvem, para seus usuários, conhecidos comoWorkSpaces.

Neste tutorial, ativamos um WorkSpace que usa um relacionamento de confiança. Para tutoriais que usam as outras opções, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76).

Tarefas • Antes de começar (p. 87) • Etapa 1: Estabelecer um relacionamento de confiança (p. 88) • Etapa 2: Criar um WorkSpace (p. 88) • Etapa 3: Connect ao WorkSpace (p. 89) • Próximas etapas (p. 89)

Antes de começar

• A inicialização do WorkSpaces com contas de usuário em um domínio confiável separado funciona comAWSGerenciado Microsoft AD quando ele é configurado com uma relação de confiança para o diretório local. No entanto, o WorkSpaces usando o Simple AD ou o AD Connector não pode iniciar o WorkSpaces para usuários de um domínio confiável. • O WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveis e selecione uma região para seus WorkSpaces. Para obter mais informações sobre as regiões compatíveis, consulteDefinição de preço do WorkSpacesAWSRegião.

87 Amazon WorkSpaces Guia de administração Etapa 1: Estabelecer um relacionamento de confiança

• Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. Pacote é uma combinação de recursos de armazenamento, computação e software. Para obter mais informações, consulte Pacotes do Amazon WorkSpaces. • Ao criar um diretório usando o AWS Directory Service ou ativar um WorkSpace, você deve criar ou selecionar uma Virtual Private Cloud configurada com uma sub-rede pública e duas sub-redes privadas. Para obter mais informações, consulte Configurar uma VPC para WorkSpaces (p. 10).

Etapa 1: Estabelecer um relacionamento de confiança

Para configurar o relacionamento de confiança

1. Configure o Microsoft AD gerenciado pela AWS na sua virtual private cloud (VPC). Para obter mais informações, consulteCrie seuAWSDiretório do Microsoft AD gerenciado pelanoAWS Directory ServiceGuia de administração. Note

• Diretórios compartilhados não são compatíveis com o uso com o Amazon WorkSpaces no momento. • Se suas receitasAWSO diretório gerenciado do Microsoft AD foi configurado para replicação de várias regiões, somente o diretório na região principal pode ser registrado para uso com o Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas. 2. Crie uma relação de confiança entre o Microsoft AD gerenciado pela AWS e o domínio no local. Verifique se a confiança está configurada bidirecionalmente. Para obter mais informações, consulteTutorial: Crie um relacionamento de confiança entre seuAWSMicrosoft AD gerenciado e seu domínio localnoAWS Directory ServiceGuia de administração.

Uma confiança unidirecional ou bidirecional pode ser usada para gerenciar e autenticar com o WorkSpaces, e para que o WorkSpaces possa ser provisionado para usuários e grupos no local. Para obter mais informações, consulteImplante o Amazon WorkSpaces usando um domínio de recurso de confiança unidirecional comAWSDirectory Service. Etapa 2: Criar um WorkSpace

Depois de estabelecer uma relação de confiança entre o Microsoft AD gerenciado pela AWS e o domínio no local do Microsoft Active Directory, você pode provisionar o WorkSpaces para usuários no domínio local.

Observe que você deve garantir que as configurações do GPO sejam replicadas entre domínios antes de aplicá-las ao WorkSpaces.

Como iniciar o WorkSpaces para usuários em um domínio local confiável

1. Abra o console do WorkSpaces emhttps://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Escolha Ativar WorkSpaces. 4. Na página Selecionar um diretório, escolha o diretório recém-registrado e, em seguida, selecione Próxima etapa. 5. Na página Identificar usuários, faça o seguinte:

a. Em Selecionar confiança da floresta, selecione o relacionamento de confiança que você criou.

88 Amazon WorkSpaces Guia de administração Etapa 3: Connect ao WorkSpace

b. Selecione os usuários no domínio no local e, em seguida, escolha Adicionar selecionado. c. Escolha Next Step. 6. Selecione o pacote a ser usado nos WorkSpaces e, em seguida, escolha Próxima etapa. 7. Escolha o modo de execução, escolha as configurações de criptografia e configure as tags. Quando terminar, escolha Próxima etapa. 8. Escolha Ativar WorkSpaces. Observe que pode levar até 20 minutos para os WorkSpaces se tornarem disponíveis e até 40 minutos se a criptografia estiver habilitada. O status inicial do WorkSpace é PENDING. Quando a ativação estiver concluída, o status será AVAILABLE. 9. Envie convites para o endereço de e-mail de cada usuário. (Esses convites não serão enviados automaticamente se você estiver usando um relacionamento de confiança.) Para obter mais informações, consulte Enviar um convite por e-mail (p. 92).

Etapa 3: Connect ao WorkSpace

Depois de receber o e-mail de convite, você pode se conectar ao seu WorkSpace. Os usuários poderão inserir os nomes de usuário como username, corp\username ou corp.example.com\username).

Para se conectar ao WorkSpace

1. Abra o link no e-mail de convite. Quando solicitado, insira uma senha e ative o usuário. Lembre-se dessa senha, pois você precisará dela para fazer login em seu WorkSpace. Note

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres. As senhas devem conter pelo menos um caractere de cada uma das seguintes categorias: letras minúsculas (a — z), letras maiúsculas (A — Z), números (0 — 9) e ~! @#$%^&*_-+=`|\ () {} []:; "'<>,.? /. 2. Review (Revisar)Clientes do WorkSpacesnoAmazon WorkSpaces Guia do usuárioPara obter mais informações sobre os requisitos para cada cliente e, em seguida, faça o seguinte:

• Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access. • Se não for solicitado e você ainda não tiver instalado um aplicativo cliente, abrahttps:// clients.amazonworkspaces.com/ e faça download de um dos aplicativos clientes ou ative o Web Access.

Note

Não é possível usar um navegador da web (Web Access) para se conectar ao WorkSpaces do Amazon Linux. 3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar. 4. Quando solicitado a fazer login, insira o nome do usuário e a senha e escolha Sign In (Fazer login). 5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Sim.

Próximas etapas

Você pode continuar a personalizar o WorkSpace que acabou de criar. Por exemplo, é possível instalar o software e, em seguida, criar um pacote personalizado do seu WorkSpace. Você também pode executar várias tarefas administrativas para o WorkSpaces e seu diretório WorkSpaces. Se você terminar o trabalho com o WorkSpace, poderá excluí-lo. Para obter mais informações, consulte a documentação a seguir.

• Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152)

89 Amazon WorkSpaces Guia de administração Próximas etapas

• Administrar seus WorkSpaces do (p. 97) • Gerenciar diretórios para WorkSpaces (p. 61) • Excluir um WorkSpace (p. 150)

90 Amazon WorkSpaces Guia de administração Gerenciar usuários de WorkSpaces

Administrar usuários do WorkSpace

A cada WorkSpace é atribuído um único usuário e não pode ser compartilhado por vários usuários. Por padrão, somente um WorkSpace por usuário por diretório é permitido.

Tópicos • Gerenciar usuários de WorkSpaces (p. 91) • Criar vários WorkSpaces para um usuário (p. 92) • Personalizar como os usuários fazem login nos WorkSpaces (p. 93) • Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace (p. 95)

Gerenciar usuários de WorkSpaces

Como administrador do WorkSpaces, é possível executar as tarefas a seguir para gerenciar usuários do WorkSpaces. Edição das informações do usuário

Você pode usar o console do WorkSpaces para editar as informações de usuário de um WorkSpace. Note

Esse recurso estará disponível somente se você usar oAWSMicrosoft AD gerenciado ou Simple AD. Se você usar o Microsoft Active Directory por meio do AD Connector ou um relacionamento de confiança, você pode gerenciar usuários e grupos usando o Active Directory.

Como editar as informações do usuário

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione um usuário e escolha Ações, Editar usuário. 4. Atualize os campos Nome, Sobrenome e E-mail, conforme necessário. 5. Escolha Update.

Adicionar ou excluir usuários

É possível criar usuários usando o console do Amazon WorkSpaces somente durante o processo de execução de um WorkSpace e não é possível excluir usuários usando o console do Amazon WorkSpaces. A maioria das tarefas de gerenciamento de usuários, incluindo o gerenciamento de grupos de usuários, devem ser realizadas por meio do diretório.

Como adicionar ou excluir usuários e grupos

Para adicionar, excluir ou gerenciar usuários e grupos, é necessário fazer isso em todo o diretório. Você executará a maioria das tarefas administrativas para o seu diretório de WorkSpaces com ferramentas de gerenciamento de diretório, como as ferramentas de administração do Active Directory. Para obter

91 Amazon WorkSpaces Guia de administração Enviar um convite por e-mail

mais informações, consulte Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73). Important

Antes de remover um usuário, é necessário excluir o WorkSpace atribuído a ele. Para obter mais informações, consulte Excluir um WorkSpace (p. 150).

O processo usado para gerenciar usuários e grupos depende de qual tipo de diretório você está usando.

• Se você estiver usando oAWSMicrosoft AD gerenciado pela, consulteGerenciar usuários e grupos noAWSMicrosoft AD gerenciado pelanoAWS Directory ServiceGuia de administração. • Se você estiver usando o Simple AD, consulteGerenciar usuários e grupos no Simple ADnoAWS Directory ServiceGuia de administração. • Se você usar o Microsoft Active Directory por meio do AD Connector ou um relacionamento de confiança, você pode gerenciar usuários e grupos usando o Active Directory.

Enviar um convite por e-mail

Você pode enviar um convite por e-mail a um usuário manualmente, se necessário. Note

Se você estiver usando o AD Connector ou um domínio confiável, os e-mails de convite não serão enviados automaticamente para os usuários, portanto, será necessário enviá-los manualmente. Os emails de convite também não são enviados automaticamente se o usuário já existir no Active Directory.

Como reenviar um convite por e-mail

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Na página WorkSpaces, use a caixa de pesquisa para pesquisar o usuário ao qual você deseja enviar um convite e selecione o WorkSpace correspondente nos resultados da pesquisa. É possível selecionar apenas um WorkSpace por vez. 4. Escolha Actions (Ações), Invite User (Convidar usuário). 5. Copie o texto do corpo do e-mail e cole em um e-mail para o usuário usando a sua própria aplicação de e-mail. É possível modificar o corpo do texto, se desejar. Quando o convite por e-mail estiver pronto, envie-o para o usuário.

Criar vários WorkSpaces para um usuário

Por padrão, você pode criar apenas um WorkSpace por usuário por diretório. No entanto, se necessário, você poderá criar mais de um WorkSpace para um usuário, dependendo da configuração do diretório.

• Se você tiver apenas um diretório para os WorkSpaces, crie vários nomes de usuário para o usuário. Por exemplo, um usuário chamado Mary Major pode ter mmajor1, mmajor2 e assim por diante como nomes de usuário. Cada nome de usuário é associado a um WorkSpace diferente no mesmo diretório, mas os WorkSpaces têm o mesmo código de registro, desde que os WorkSpaces sejam todos criados no mesmo diretório no mesmoAWSRegião : • Se você tiver vários diretórios para seus WorkSpaces, crie os WorkSpaces para o usuário em diretórios separados. Você pode usar o mesmo nome de usuário nos diretórios ou nomes de usuário diferentes nos diretórios. Os WorkSpaces terão códigos de registro diferentes.

92 Amazon WorkSpaces Guia de administração Personalizar como os usuários fazem login nos WorkSpaces

Tip

Para poder localizar facilmente todos os WorkSpaces criados para um usuário, use o mesmo nome de usuário básico para cada WorkSpace. Por exemplo, se você tiver um usuário chamado Mary Major com o nome de usuário mmajor do Active Directory, crie WorkSpaces para ela com nomes de usuário como mmajor, mmajor1, mmajor2, mmajor3 ou outras variantes, como mmajor_windows ou mmajor_linux. Desde que todos os WorkSpaces tenham o mesmo nome de usuário base inicial (mmajor), você poderá classificar o nome de usuário no console do WorkSpaces para agrupar todos os WorkSpaces desse usuário juntos. Important

• Um usuário pode ter um PCoIP e um WSP WorkSpace, desde que os dois WorkSpaces estejam localizados em diretórios separados. O mesmo usuário não pode ter um PCoIP e um WSP WorkSpace no mesmo diretório. • Se você estiver configurando vários WorkSpaces para uso com o redirecionamento entre regiões, deverá configurar os WorkSpaces em diferentes diretórios em diferentesAWSRegiões e você deve usar os mesmos nomes de usuário em cada diretório. Para obter mais informações sobre o redirecionamento entre regiões, consulteRedirecionamento entre regiões para Amazon WorkSpaces (p. 196).

Para alternar entre os WorkSpaces, o usuário faz login com o nome de usuário e o código de registro associados a um determinado Workspace. Se o usuário estiver usando uma versão 3.0+ dos aplicativos cliente de WorkSpaces para Windows, macOS ou Linux, o usuário poderá atribuir nomes diferentes aos WorkSpaces acessando Configurações, Gerenciar informações de login no aplicativo cliente.

Personalizar como os usuários fazem login nos WorkSpaces

Personalize o acesso de seus usuários aos WorkSpaces usando identificadores de recursos uniformes (URIs) para proporcionar uma experiência de login simplificada que se integra aos fluxos de trabalho existentes em sua organização. Por exemplo, gere automaticamente URIs de login que registram seus usuários usando o código de registro do WorkSpaces. Como resultado:

• Os usuários podem ignorar o processo de registro manual. • Seus nomes de usuário serão automaticamente inseridos na página de login do cliente do WorkSpaces. • Se a autenticação multifator (MFA) for usada em sua organização, os nomes de usuário e os códigos de MFA serão inseridos automaticamente na página de login do cliente.

O acesso URI funciona com ambos os códigos de registro baseados na região (por exemplo,WSpdx +ABC12D) e códigos de registro baseados em nome de domínio totalmente qualificado (FQDN) (por exemplo,desktop.example.com). Para obter mais informações sobre como criar e usar códigos de registro baseados em FQDN, consulteRedirecionamento entre regiões para Amazon WorkSpaces (p. 196).

Você pode configurar o acesso de URI aos WorkSpaces para aplicativos clientes nos seguintes dispositivos compatíveis:

• Computadores Windows • Computadores macOS • Computadores Ubuntu Linux 18.04

93 Amazon WorkSpaces Guia de administração Personalizar como os usuários fazem login nos WorkSpaces

• iPads • Dispositivos Android

Para usar URIs para acessar seus WorkSpaces, os usuários devem primeiro instalar o aplicativo cliente no dispositivo abrindo ohttps://clients.amazonworkspaces.com/ e seguindo as instruções.

O acesso de URI tem suporte nos navegadores Firefox e Chrome em computadores Windows e macOS, no navegador Firefox em computadores Ubuntu Linux 18.04 e nos navegadores Internet Explorer e Microsoft Edge em computadores Windows. Para obter mais informações sobre clientes do WorkSpaces, consulteClients WorkSpacesnoGuia do usuário do Amazon WorkSpaces. Note

Em dispositivos Android, o acesso ao URI funciona apenas com o navegador Firefox e não com o navegador Google Chrome.

Para configurar o acesso de URI aos WorkSpaces, use qualquer um dos formatos de URI descritos na tabela a seguir. Note

Se o componente de dados de seu URI incluir qualquer um dos seguintes caracteres reservados, recomendamos usar a codificação em percentual no componente de dados para evitar ambiguidade: @ : / ? & = Por exemplo, se tiver nomes de usuário que incluam qualquer um desses caracteres, você deverá codificar em percentual esses nomes de usuário em seu URI. Para obter mais informações, consulteURI (Uniform Resource Identifier): Sintaxe genérica.

Sintaxe não compatível Descrição workspaces:// Abre o aplicativo cliente do WorkSpaces. (Observação: não há suporte para o uso de workspaces:// por si só no aplicativo cliente Linux.) workspaces://@registrationcode Registra um usuário usando seu código de registro do WorkSpaces. Também exibe a página de login do cliente. workspaces:// Registra um usuário usando seu código de registro do username@registrationcode WorkSpaces. Também insere automaticamente o nome de usuário no campo username na página de login do cliente. workspaces:// Registra um usuário usando seu código de registro do username@registrationcode? WorkSpaces. Também insere automaticamente o nome de MFACode=mfa usuário no campo username (nome de usuário) e o código de autenticação multifator (MFA) no campo MFA code (Código MFA) na página de login do cliente. workspaces://@registrationcode? Registra um usuário usando seu código de registro do MFACode=mfa WorkSpaces. Também insere automaticamente o código de autenticação multifator (MFA) no campo MFA code (Código MFA) na página de login do cliente.

Note

Se os usuários abrirem um link de URI quando já estiverem conectados a um WorkSpace usando um cliente Windows, uma nova sessão do WorkSpaces será aberta, e sua sessão original do

94 Amazon WorkSpaces Guia de administração Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace

WorkSpaces permanecerá aberta Se os usuários abrirem um link de URI quando estiverem conectados a um WorkSpace usando um cliente macOS, iPad ou Android, nenhuma nova sessão será aberta; somente a sessão original do WorkSpaces permanecerá aberta.

Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace

No WorkSpaces, você pode habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace para fornecer mais controle sobre sua experiência. Ele também pode reduzir a carga de trabalho da equipe de suporte de TI para WorkSpaces. Ao habilitar recursos de autoatendimento, os usuários podem executar uma ou mais das seguintes tarefas diretamente no cliente do WorkSpaces:

• Armazene em cache as credenciais dos usuários no seu cliente. Com isso, eles podem se reconectar ao WorkSpace sem precisar digitar as credenciais novamente. • Reinicie (reinicie) seu WorkSpace. • Aumente o tamanho dos volumes raiz e do usuário no WorkSpace. • Altere o tipo de computação (pacote) do WorkSpace. • Alterne o modo de execução do WorkSpace. • Recrie o WorkSpace.

Clients Supported

• Android, rodando em sistemas Chrome OS compatíveis com Android ou Android • Linux • macOS • Windows

Para habilitar recursos de gerenciamento de autoatendimento para seus usuários

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório e escolha Actions (Ações), Update Details (Atualizar detalhes). 4. Expanda User Self-Service Permissions (Permissões de autoatendimento do usuário). Habilite ou desabilite as seguintes opções, conforme necessário para determinar as tarefas de gerenciamento do WorkSpace que os usuários podem executar no cliente:

• Lembre-se de mim— Os usuários podem optar por armazenar as credenciais em cache no cliente selecionando aLembre-se de mimouMantenha-me conectadoNa tela de login. As credenciais são armazenadas em cache na RAM apenas. Quando os usuários optam por armazenar as credenciais em cache, eles podem reconectar aos WorkSpaces sem precisar digitar novamente as informações de login. Para controlar por quanto tempo os usuários podem armazenar em cache suas credenciais, consulte Definir o tempo de vida máximo para um tíquete Kerberos (p. 117). • Reiniciar o WorkSpace do cliente— Os usuários podem reiniciar (reinicializar) seu WorkSpace. A reinicialização desconecta o usuário do WorkSpace, desliga-o e reinicia-o. Os dados de usuário, o sistema operacional e as configurações do sistema não são afetados. • Aumentar volume— os usuários podem expandir os volumes raiz no WorkSpace para um tamanho específico sem precisar contatar o suporte de TI. Os usuários podem aumentar o tamanho do volume raiz (para Windows, a unidade C:; para Linux, /) até 175 GB e o tamanho do volume do usuário (para Windows, unidade D:; para Linux, /home) até 100 GB. A raiz e os volumes do usuário do WorkSpace estão grupos definidos que não podem ser alterados. Os grupos disponíveis são

95 Amazon WorkSpaces Guia de administração Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace

[Raiz(GB), Usuário(GB)]: [80, 10], [80, 50], [80, 100], [175 a 2.000, 100 a 2.000]. Para obter mais informações, consulte Modificar um WorkSpace (p. 124).

Para um WorkSpace recém-criado, os usuários devem esperar 6 horas antes de poder aumentar o tamanho dessas unidades. Depois disso, eles podem solicitar aumento uma vez em um período de 6 horas. Enquanto o aumento de volume está em andamento, os usuários podem executar a maioria das tarefas no WorkSpace. As tarefas que eles não pode executar são: alterar o tipo de computação do WorkSpace, alternar o modo de execução do WorkSpace, reiniciar o WorkSpace ou recriar o WorkSpace. Quando o processo for finalizado, o WorkSpace deverá ser reinicializado para que as alterações entrem em vigor. Esse processo pode levar até uma hora. Note

Se os usuários aumentam o volume no WorkSpace, aumentarão a taxa de faturamento para o WorkSpace. • Alterar o tipo de computação— os usuários podem alternar o WorkSpace entre os tipos de computação (pacotes) do WorkSpace. Para um WorkSpace recém-criado, os usuários devem esperar 6 horas para que possam alternar para outro pacote. Depois disso, eles podem mudar para um pacote maior somente uma vez em um período de 6 horas, ou para um pacote menor uma vez em um período de 30 dias. Quando uma alteração do tipo de computação do WorkSpace está em andamento, os usuários são desconectados do WorkSpace, e não podem usar ou alterar o WorkSpace. O WorkSpace é reinicializado automaticamente durante o processo de alteração do tipo de computação. Esse processo pode levar até uma hora. Note

Se os usuários alterarem o tipo de computação do WorkSpace, alterarão a taxa de faturamento para o WorkSpace. • Switch running mode— Os usuários podem alternar a conta do WorkSpace entre oAlwaysOneAutoStopmodos de execução. Para obter mais informações, consulte Gerenciar o modo de execução do WorkSpace (p. 122). Note

Se os usuários alterarem o modo de execução do WorkSpace, alterarão a taxa de faturamento para o WorkSpace. • Reconstruir o WorkSpace a partir do cliente— os usuários podem recriar o sistema operacional de um WorkSpace para seu estado original. Quando um WorkSpace é recriado, o volume do usuário (D:) é recriado a partir do backup mais recente. Como os backups são concluídos a cada 12 horas, os dados dos usuários podem ter até 12 horas. Para um WorkSpace recém-criado, os usuários devem esperar 12 horas para que possam recriar o WorkSpace. Quando uma recriação do WorkSpace está em andamento, os usuários são desconectados do WorkSpace e não podem usar ou fazer alterações no WorkSpace. Esse processo pode levar até uma hora. 5. Selecione Update (Atualizar) ou Update and Exit (Atualizar e sair).

96 Amazon WorkSpaces Guia de administração Gerenciar WorkSpaces do Windows

Administrar seus WorkSpaces do É possível administrar seus WorkSpaces usando o console WorkSpaces.

Para executar tarefas de administração de diretórios, consultethe section called “Configurar a administração de diretório” (p. 73).

Tópicos • Gerenciar WorkSpaces do Windows (p. 97) • Gerencie seus Amazon Linux WorkSpaces (p. 117) • Gerenciar o modo de execução do WorkSpace (p. 122) • Modificar um WorkSpace (p. 124) • Marcar recursos do WorkSpaces (p. 127) • Manutenção do WorkSpace (p. 128) • WorkSpaces criptografados (p. 130) • Reinicialização de um WorkSpace (p. 137) • Recriação de um WorkSpace (p. 137) • Restaurar um WorkSpace (p. 138) • Atualização do Windows 10 BYOL WorkSpaces (p. 139) • Migrar um WorkSpace (p. 146) • Excluir um WorkSpace (p. 150)

Gerenciar WorkSpaces do Windows

Você pode usar Objetos de Política de Grupo (GPOs) e aplicar configurações para gerenciar WorkSpaces do Windows ou usuários que fazem parte de seu diretório dos WorkSpaces do Windows. Note

As instâncias do Linux não seguem a política de grupo. Para obter informações sobre o gerenciamento dos WorkSpaces do Amazon Linux, consulteGerencie seus Amazon Linux WorkSpaces (p. 117).

É recomendável criar uma unidade organizacional para seus objetos de computador do WorkSpaces e outra para seus objetos de usuário do WorkSpaces.

Para usar as configurações de política de grupo específicas do Amazon WorkSpaces, é necessário instalar o modelo administrativo de políticas de grupo para o protocolo ou protocolos que você está usando, PCoIP ou WSP (WorkSpaces Streaming Protocol). Warning

As configurações de Política de Grupo podem afetar a experiência dos usuários do WorkSpace da seguinte maneira:

• A implementação de uma mensagem de logon interativa para exibir um banner de logon impede que os usuários consigam acessar os WorkSpaces. A configuração de política de grupo de mensagem de logon interativa não é compatível com o WorkSpaces atualmente. • Desabilitar o armazenamento removível por meio das configurações de Política de Grupo causa uma falha de login que faz com que os usuários sejam conectados a um perfil temporário sem acesso à unidade D. • Remover usuários do grupo local Usuários de Área de Trabalho Remota por meio das configurações de Diretiva de Grupo impede que esses usuários sejam capazes de

97 Amazon WorkSpaces Guia de administração Gerenciar WorkSpaces do Windows

autenticarPor meio dos aplicativos cliente do WorkSpaces. Para obter mais informações sobre essa configuração de políticas de grupo, consultePermitir logon através dos Serviços de Área de Trabalho Remotana documentação da Microsoft. • Se você remover o grupo Usuários interno doPermitir logon localmente, os usuários do PCoIP WorkSpaces não poderão se conectar aos seus WorkSpaces por meio dos aplicativos cliente do WorkSpaces. Seus WorkSpaces PCoIP também não receberão atualizações para o software do agente PCoIP. As atualizações do agente PCoIP podem conter segurança e outras correções, ou podem habilitar novos recursos para seus WorkSpaces. Para obter mais informações sobre como trabalhar com essa política de segurança, consulte.Permitir logon localmentena documentação da Microsoft. • As configurações de política de grupo podem ser usadas para restringir o acesso à unidade. Se você definir as configurações de Política de Grupo para restringir o acesso à unidade C ou à unidade D, os usuários não poderão acessar seus WorkSpaces. Para evitar que esse problema ocorra, verifique se os usuários podem acessar as unidades C e D. • O recurso de entrada de áudio do WorkSpaces requer acesso de logon local dentro do WorkSpace. O recurso de entrada de áudio é ativado por padrão para WorkSpaces do Windows. No entanto, se você tiver uma configuração de diretiva de grupo que restringe o logon local dos usuários em seus WorkSpaces, a entrada de áudio não funcionará em seus WorkSpaces. Se você remover essa configuração de Diretiva de Grupo, o recurso de entrada de áudio será habilitado após a próxima reinicialização do WorkSpace. Para obter mais informações sobre essa configuração de políticas de grupo, consultePermitir logon localmentena documentação da Microsoft.

Para obter mais informações sobre como habilitar ou desabilitar o redirecionamento de entrada de áudio, consulteAtivar ou desativar o redirecionamento de entrada de áudio para PCoIP (p. 104)ouHabilitar ou desabilitar o redirecionamento de entrada de áudio para WSP (p. 113). • Utilizar a Política de Grupo para definir o plano de energia do Windows comobalanceadoouEconomia de energiapode fazer com que seus WorkSpaces fiquem inativos. É altamente recomendável usar a Diretiva de Grupo para definir o plano de energia do Windows comoAlto desempenho. Para obter mais informações, consulte Meu WorkSpace do Windows fica inativo quando permanece ocioso (p. 237). • Algumas configurações de Política de Grupo forçam os usuários a fazer logoff quando eles são desconectados de uma sessão. Quaisquer aplicativos que os usuários tenham aberto em seus WorkSpaces são fechados.

Para obter informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com GPOs, consulte Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73).

Tópicos • Instalar o modelo administrativo de políticas de grupo para PCoIP (p. 99) • Configurar suporte de impressora para PCoIP (p. 101) • Habilitar ou desabilitar o redirecionamento da área de transferência para P (p. 103) • Definir o tempo limite de retomada da sessão para PCoIP (p. 104) • Ativar ou desativar o redirecionamento de entrada de áudio para PCoIP (p. 104) • Desativar o redirecionamento do fuso horário para PCoIP (p. 105) • Configure as configurações de segurança PCoIP (p. 106) • Ativar redirecionamento USB para YubiKey U2F (p. 107) • Instale os arquivos de modelo administrativo de políticas de grupo para o WorkSpaces Streaming Protocol (WSP) (p. 108) • Configurar suporte de impressora para WSP (p. 109) • Habilitar ou desabilitar o redirecionamento da área de transferência (p. 110)

98 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

• Definir o tempo limite de retomada da sessão para o WSP (p. 111) • Ativar ou desativar o redirecionamento de entrada de vídeo para WSP (p. 112) • Habilitar ou desabilitar o redirecionamento de entrada de áudio para WSP (p. 113) • Desativar o redirecionamento do fuso horário do WSP (p. 113) • Habilitar ou desabilitar o redirecionamento do cartão inteligente para WSP (p. 114) • Ativar ou desativar sessão de desconexão no bloqueio de tela para WSP (p. 115) • Definir o tempo de vida máximo para um tíquete Kerberos (p. 117) • Configurar as configurações do servidor proxy do dispositivo para acesso à Internet (p. 117)

Instalar o modelo administrativo de políticas de grupo para PCoIP

Para usar as configurações de Política de Grupo específicas do Amazon WorkSpaces ao usar o protocolo PCoIP, você deve adicionar o modelo administrativo de Política de Grupo apropriado à versão do agente PCoIP (32 ou 64 bits) que está sendo usado para seus WorkSpaces. Note

Se tiver uma combinação de WorkSpaces com agentes de 32 bits e 64 bits, poderá utilizar os modelos administrativos de Política de Grupo para agentes de 32 bits e as definições de Política de Grupo serão aplicadas a agentes de 32 bits e 64 bits. Quando todos os WorkSpaces estiverem usando o agente de 64 bits, você pode alternar para usar o modelo administrativo para agentes de 64 bits.

Para determinar se o WorkSpaces tem o agente de 32 bits ou o agente de 64 bits

1. Faça logon em um WorkSpace e, em seguida, abra o Gerenciador de Tarefas escolhendoExibir,Enviar Ctrl + Alt + Excluirou clicando com o botão direito do mouse na barra de tarefas e escolhendoGerenciador de tarefas. 2. No Gerenciador de Tarefas, vá para oDetalhes, clique com o botão direito do mouse nos cabeçalhos da coluna e selecioneSelecionar colunas. 3. NoSelecionar colunas, selecionePlataformae, depois, escolhaOK. 4. NoDetalhes, localizepcoip_agent.exee, em seguida, verifique seu valor na caixaPlataformaPara determinar se o agente de PCoIP é de 32 ou 64 bits. (Você pode ver uma combinação de componentes do WorkSpaces de 32 bits e 64 bits; isso é normal.)

Instalar o modelo administrativo de diretiva de grupo para PCoIP (32 bits)

Para usar as configurações de política de grupo específicas do WorkSpaces ao usar o protocolo PCoIP com o agente PCoIP de 32 bits, é necessário instalar o modelo administrativo de políticas de grupo para PCoIP. Execute o procedimento a seguir em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada a seu diretório.

Para obter mais informações sobre como trabalhar com arquivos.adm, consulte.Recomendações para gerenciar arquivos de modelo administrativo (.adm) de Diretiva de Grupona documentação da Microsoft.

Como instalar o modelo administrativo de políticas de grupo para PCoIP

1. Em um WorkSpace do Windows em execução, faça uma cópia do arquivo pcoip.adm no diretório C: \Program Files (x86)\Teradici\PCoIP Agent\configuration. 2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc)

99 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

e navegue até a unidade organizacional no domínio que contém suas contas de máquina do WorkSpaces. 3. Abra o menu de contexto (clique com o botão direito do mouse) da unidade organizacional da conta da máquina e escolha Criar um GPO neste domínio e vinculá-lo aqui. 4. Na caixa de diálogo Novo GPO, digite um nome descritivo para o GPO, como WorkSpaces Machine Policies (Políticas da máquina de WorkSpaces), e deixe GPO de Início de Origem definido como (nenhum). Escolha OK. 5. Abra o menu de contexto (clique com o botão direito do mouse) do novo GPO e selecione Editar. 6. No Editor de gerenciamento de Política de grupo, escolha Configuração do computador, Políticas e Modelos administrativos. Escolha Ação, Adicionar/remover modelos no menu principal. 7. Na caixa de diálogo Adicionar/remover modelos, escolha Adicionar, selecione o arquivo pcoip.adm copiado anteriormente e, em seguida, escolha Abrir, Fechar. 8. Feche o editor de gerenciamento de políticas de grupo. Agora você pode usar esse GPO para modificar as configurações de políticas de grupo específicas para o WorkSpaces.

Para verificar se o arquivo de modelo administrativo está instalado corretamente

1. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc) e navegue até e selecione o GPO do WorkSpaces para suas contas de máquina do WorkSpaces. Escolha Action (Ação), Edit (Editar) no menu principal. 2. No Editor de gerenciamento de Política de grupo, escolha Configuração do computador, Políticas, Modelos administrativos, Modelos administrativos clássicos e Variáveis de sessão de PCoIP. 3. Agora é possível usar esseVariáveis de sessão PCoIPPara modificar as configurações de política de grupo específicas do Amazon WorkSpaces ao usar PCoIP. Note

Instalar o modelo administrativo de diretiva de grupo para PCoIP (64 bits)

Para usar as configurações de política de grupo específicas do WorkSpaces ao usar o protocolo PCoIP, é necessário adicionar o modelo administrativo de políticas de grupoPCoIP.admxePCoIP.admlpara PCoIP para o Armazenamento Central do controlador de domínio para o diretório WorkSpaces. Para obter mais informações sobre.admxe.admlarquivos, consulteComo criar e gerenciar o armazenamento central para modelos administrativos de diretiva de grupo no Windows.

O procedimento a seguir descreve como criar o armazenamento central e adicionar os arquivos de modelo administrativo a ele. Execute o procedimento a seguir em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada a seu diretório do WorkSpaces.

Como instalar os arquivos de modelo administrativo de políticas de grupo para PCoIP

1. Em um WorkSpace do Windows em execução, faça uma cópia doPCoIP.admxePCoIP.admlarquivos no arquivoC:\Program Files\Teradici\PCoIP Agent\configuration \policyDefinitionsDiretório. OPCoIP.admlestá no arquivoen-USsubpasta desse diretório. 2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra o Explorador de Arquivos do Windows e, na barra de endereço, insira o nome de domínio totalmente qualificado (FQDN) da organização, como\\example.com. 3. Abra a pasta sysvol. 4. Abra a pasta com oFQDNNome da UO

100 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

5. Abra a pasta Policies. Agora, você deve estar em\\FQDN\sysvol\FQDN\Policies. 6. Se ainda não existir, crie uma pasta chamadaPolicyDefinitions. 7. Abra a pasta PolicyDefinitions. 8. Copie oPCoIP.admxno arquivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder. 9. Crie uma pasta chamadaen-USnoPolicyDefinitionsfolder. 10. Abra a pasta en-US. 11. Copie oPCoIP.admlno arquivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en- USfolder.

Para verificar se os arquivos de modelo administrativo estão instalados corretamente

1. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc). 2. Expanda a floresta (Floresta:FQDN). 3. AmpliarDomínios do. 4. Expanda seu FQDN (por exemplo,example.com). 5. AmpliarObjetos de políticas de. 6. SelectPolítica de domínio padrãoAbra o menu de contexto (clique com o botão direito do mouse) e selecioneEdite. Note

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, você deve criar e vincular o GPO no contêiner de domínio que tenha privilégios delegados. Quando você cria um diretório comAWS Managed Microsoft AD,AWS Directory Servicecria umseunome de domínioUO (unidade organizacional) sob a raiz do domínio. O nome dessa UO é baseado no nome NetBIOS digitado quando você criou seu diretório. Se você não especificar um nome NetBIOS, será usado como padrão a primeira parte do nome DNS do diretório (por exemplo, no caso decorp.example.com, o nome NetBIOS écorp). Para criar seu GPO, em vez de selecionarPolítica de domínio padrão, selecione oseunome de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 7. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template, eVariáveis de sessão PCoIP. 8. Agora é possível usar esseVariáveis de sessão PCoIPPara modificar as configurações de política de grupo específicas do WorkSpaces ao usar PCoIP. Note

Para permitir que o usuário substitua suas configurações, escolhaPadrões do Administrador Sobrepugnáveis; caso contrário, escolhaPadrões do Administrador Não Sobrescritáveis.

Configurar suporte de impressora para PCoIP

Por padrão, o WorkSpaces habilita a impressão remota básica, com recursos de impressão limitados, pois usa um driver de impressora genérico no lado do host para garantir a impressão compatível.

A impressão remota avançada para clientes Windows permite que você use recursos específicos da impressora, como impressão de dois lados, mas exige a instalação do driver de impressora correspondente no lado do host.

101 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

A impressão remota é implementada como um canal virtual. Se os canais virtuais estiverem desabilitados, a impressão remota não funcionará.

Para WorkSpaces do Windows, você pode usar as configurações da política de grupo para configurar o suporte à impressora, se necessário.

Como configurar o suporte à impressora

Para permitir que o usuário substitua a configuração, escolha Overridable Administrator Defaults (Padrões de administrador substituíveis). Caso contrário, escolha Not Overridable Administrator Defaults (Padrões de administrador não substituíveis). 3. Abra a configuração Configure remote printing (Configurar impressão remota). 4. Na caixa de diálogo Configure remote printing (Configurar impressão remota), execute um dos seguintes procedimentos: • Para permitir a impressão remota avançada, selecione Enabled (Habilitado) e, em Options (Opções), Configure remote printing (Configurar impressão remota), selecione Basic and Advanced printing for Windows clients (Impressão básica e avançada para clientes Windows). Para usar automaticamente a impressora padrão do computador cliente, selecione Automatically set default printer (Definir impressora padrão automaticamente). • Para desabilitar a impressão, selecione Enabled (Habilitado) e, em Options (Opções), Configure remote printing (Configurar impressão remota), selecione Printing disabled (Impressão desabilitada). 5. Escolha OK. 6. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Por padrão, o redirecionamento automático da impressora local é desabilitado. Você pode usar as configurações de política de grupo para habilitar esse recurso para que sua impressora local seja definida como a impressora padrão sempre que você se conectar ao WorkSpace. Note

O redirecionamento à impressora local não está disponível para WorkSpaces do Amazon Linux.

Como ativar o redirecionamento automático da impressora local

102 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

• Impressão básica e avançada para clientes Windows • Impressão básica 5. SelectDefinir automaticamente a impressora padrãoe, depois, escolhaOK. 6. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Habilitar ou desabilitar o redirecionamento da área de transferência para P

Por padrão, o WorkSpaces oferece suporte ao redirecionamento da área transferência Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

Para habilitar ou desabilitar o redirecionamento da área de transferência

• Desabilitado em ambas as direções • Apenas agente para cliente habilitado (WorkSpace para computador local) • Apenas cliente para agente habilitado (computador local para WorkSpace) • Habilitado em ambas as direções 5. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

103 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Limitação conhecida

Com o redirecionamento da área de transferência habilitado no WorkSpace, se você copiar conteúdo com mais de 890 KB de um aplicativo do Microsoft Office, o aplicativo poderá ficar lento ou não responder por até 5 segundos. Definir o tempo limite de retomada da sessão para PCoIP

Ao usar as aplicações cliente do WorkSpaces, uma interrupção na conectividade de rede causa a desconexão de uma sessão ativa. Isso pode ser causado por eventos como o fechamento a tampa do notebook ou a perda de sua conexão de rede sem fio. Os aplicativos cliente do WorkSpaces para Windows e macOS tentarão reconectar a sessão automaticamente se a conectividade de rede for restabelecer dentro de um determinado período de tempo. O tempo limite padrão para retomada de sessão é 20 minutos, mas você pode modificar esse valor para WorkSpaces que são controlados pelas configurações de políticas de grupo do domínio.

Com definir o valor de tempo limite de retomada de sessão automático

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Ativar ou desativar o redirecionamento de entrada de áudio para PCoIP

Por padrão, o Amazon WorkSpaces oferece suporte ao redirecionamento de dados de um microfone local. Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

104 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

Note

Se você tiver uma configuração de diretiva de grupo que restringe o logon local dos usuários em seus WorkSpaces, a entrada de áudio não funcionará em seus WorkSpaces. Se você remover essa configuração de Diretiva de Grupo, o recurso de entrada de áudio será habilitado após a próxima reinicialização do WorkSpace. Para obter mais informações sobre essa configuração de políticas de grupo, consultePermitir logon localmentena documentação da Microsoft.

Para ativar ou desativar o redirecionamento da entrada de áudio

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Desativar o redirecionamento do fuso horário para PCoIP

Por padrão, a hora no WorkSpace é definida para espelhar o fuso hora do cliente que está sendo usado para se conectar ao WorkSpace. Esse comportamento é controlado por meio do redirecionamento do fuso horário. Talvez você queira desativar a direção do fuso horário por diversos motivos:

• A sua empresa quer que todos os funcionários trabalhem em um determinado fuso horário (mesmo que alguns funcionários estejam em outros fusos horários). • Você tem tarefas agendadas em um WorkSpace que devem executadas em um determinado horário em um fuso horário específico. • Os usuários que viajam muito querem manter os WorkSpaces em um mesmo fuso horário por motivos de consistência e preferência pessoal.

Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

Como desativar a direção do fuso horário

105 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc) e navegue atéVariáveis de sessão PCoIP.

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force. 7. Defina o fuso horário dos WorkSpaces de acordo com o fuso horário desejado.

O fuso horário dos WorkSpaces agora é estático e não mais espelha o fuso horário das máquinas clientes. Configure as configurações de segurança PCoIP

Para PCoIP, os dados em trânsito são criptografados usando a criptografia TLS 1.2 e a assinatura de solicitação SigV4. O protocolo PCoIP usa o tráfego UDP criptografado, com criptografia AES, para streaming de pixels. A conexão de streaming, usando a porta 4172 (TCP e UDP), é criptografada usando cifras AES-128 e AES-256, mas o padrão de criptografia é 128 bits. Você pode alterar esse padrão para 256 bits usando oConfigure Security SettingsDefinição de políticas de grupo.

Também pode utilizar esta definição de política de grupo para modificar o modo de segurança TLS e para bloquear determinados conjuntos de cifras. Uma explicação detalhada dessas configurações e dos conjuntos de cifras suportados é fornecida noConfigure Security SettingsPolítica de grupo.

Para definir as configurações de segurança PCoIP

106 Amazon WorkSpaces Guia de administração Instalar o modelo administrativo de políticas de grupo para PCoIP

7. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Ativar redirecionamento USB para YubiKey U2F Note

Atualmente, o Amazon WorkSpaces oferece suporte a redirecionamento USB somente para YubiKey U2F. Outros tipos de dispositivos USB podem ser redirecionados, mas eles não são suportados e podem não funcionar corretamente.

Para ativar o redirecionamento USB para YubiKey U2F

1. Certifique-se de que você tenha instalado o mais recenteModelo administrativo de Política de Grupo do WorkSpaces para PCoIP (32 bits) (p. 99)ouModelo administrativo de Política de Grupo do WorkSpaces para PCoIP (64 bits) (p. 100). 2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc) e navegue atéVariáveis de sessão PCoIP. 3. Para permitir que o usuário substitua a configuração, escolhaPadrões do Administrador Sobrepugnáveis. Caso contrário, escolhaPadrões do Administrador Não Sobrescritáveis. 4. Abrir oAtivar/desativar USB na sessão PCOIPConfigurações da Configurações da 5. SelecioneEnabled (Habilitado)e, depois, escolhaOK. 6. Abrir oConfigurar regras de dispositivo permitido e não permitido PCoIP USBConfigurações da Configurações da 7. SelecioneEnabled (Habilitado), e emDigite a tabela de autorização USB (máximo de dez regras), configure as regras da lista de permissões do dispositivo USB.

• Regra de autorização - 110500407. Esse valor é uma combinação de um ID de fornecedor (VID) e um ID de produto (PID). O formato para uma combinação VID/PID é 1xxxxyyyy, onde xxxx é o VID no formato hexadecimal e yyyy é o PID no formato hexadecimal. Para este exemplo, 1050 é o VID e 0407 é o PID. Para obter mais valores YubiKey USB, consulteValores de ID USB YubiKey. 8. EmDigite a tabela de autorização USB (máximo de dez regras), configure as regras da sua lista de bloqueios de dispositivos USB.

• para oRegra de não autorização, defina uma string vazia. Isso significa que apenas os dispositivos USB na lista de autorizações são permitidos.

Note

Você pode definir um máximo de 10 regras de autorização USB e um máximo de 10 regras de não-autorização USB. Use o caractere de barra vertical (|) para separar várias regras. Para obter informações detalhadas sobre as regras de autorização/desautorização, consulteAgente Padrão Teradici PCoIP para Windows. 9. Escolha OK. 10. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

107 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Depois que a configuração entrar em vigor, todos os dispositivos USB suportados poderão ser redirecionados para o WorkSpaces, a menos que as restrições sejam configuradas por meio da configuração de regras de dispositivo USB. Instale os arquivos de modelo administrativo de políticas de grupo para o WorkSpaces Streaming Protocol (WSP)

Para usar as configurações de política de grupo específicas do WorkSpaces ao usar o WSP (WorkSpaces Streaming Protocol), é necessário adicionar o modelo administrativo de políticas de grupowsp.admxewsp.admlpara WSP para o armazenamento central do controlador de domínio para o diretório WorkSpaces. Para obter mais informações sobre.admxe.admlarquivos, consulteComo criar e gerenciar o armazenamento central para modelos administrativos de diretiva de grupo no Windows.

Como instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

1. Em um WorkSpace do Windows em execução, faça uma cópia dowsp.admxewsp.admlarquivos no arquivoC:\Program Files\Amazon\WSPDiretório. 2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra o Explorador de Arquivos do Windows e, na barra de endereço, insira o nome de domínio totalmente qualificado (FQDN) da organização, como\\example.com. 3. Abra a pasta sysvol. 4. Abra a pasta com oFQDNNome da UO 5. Abra a pasta Policies. Agora, você deve estar em\\FQDN\sysvol\FQDN\Policies. 6. Se ainda não existir, crie uma pasta chamadaPolicyDefinitions. 7. Abra a pasta PolicyDefinitions. 8. Copie owsp.admxno arquivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitionsfolder. 9. Crie uma pasta chamadaen-USnoPolicyDefinitionsfolder. 10. Abra a pasta en-US. 11. Copie owsp.admlno arquivo\\FQDN\sysvol\FQDN\Policies\PolicyDefinitions\en- USfolder.

Para verificar se os arquivos de modelo administrativo estão instalados corretamente

1. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc). 2. Expanda a floresta (Floresta:FQDN). 3. AmpliarDomínios do. 4. Expanda seu FQDN (por exemplo,example.com). 5. AmpliarObjetos de políticas de.

108 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

6. SelectPolítica de domínio padrãoAbra o menu de contexto (clique com o botão direito do mouse) e selecioneEdite. Note

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, você deve criar e vincular o GPO no contêiner de domínio que tenha privilégios delegados. Quando você cria um diretório comAWS Managed Microsoft AD,AWS Directory Servicecria umNome da UOUO (unidade organizacional) sob a raiz do domínio. O nome dessa UO é baseado no nome NetBIOS digitado quando você criou seu diretório. Se você não especificar um nome NetBIOS, será usado como padrão a primeira parte do nome DNS do diretório (por exemplo, no caso decorp.example.com, o nome NetBIOS écorp). Para criar seu GPO, em vez de selecionarPolítica de domínio padrão, selecione oNome da UOUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 7. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 8. Agora é possível usar esseWSPPara modificar as configurações de política de grupo específicas do WorkSpaces ao usar o WSP.

Configurar suporte de impressora para WSP

A impressão remota avançada para clientes Windows (não disponível para WSP) permite que você use recursos específicos da impressora, como impressão de dois lados, mas requer a instalação do driver de impressora correspondente no lado do host.

A impressão remota é implementada como um canal virtual. Se os canais virtuais estiverem desabilitados, a impressão remota não funcionará.

Para WorkSpaces do Windows, você pode usar as configurações da política de grupo para configurar o suporte à impressora, se necessário.

Como configurar o suporte à impressora

1. Certifique-se de que o mais recenteModelo administrativo de políticas de grupo dos WorkSpaces para WSP (p. 108)está instalado no Armazenamento Central do controlador de domínio para o diretório WorkSpaces. 2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc). 3. Expanda a floresta (Floresta:FQDN). 4. AmpliarDomínios do. 5. Expanda seu FQDN (por exemplo,example.com). 6. AmpliarObjetos de políticas de. 7. SelectPolítica de domínio padrãoAbra o menu de contexto (clique com o botão direito do mouse) e selecioneEdite. Note

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, selecione oseunome

109 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 8. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 9. Abra a configuração Configure remote printing (Configurar impressão remota). 10. Na caixa de diálogo Configure remote printing (Configurar impressão remota), execute um dos seguintes procedimentos: • Para ativar o redirecionamento da impressora local, escolhaEnabled (Habilitado)e, em seguida, paraOpções de impressão, escolhaBasic. Para usar automaticamente a impressora padrão do computador cliente, selecioneMapear a impressora padrão local para o host remoto. • Para desativar a impressão, escolhaDesabilitado. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Habilitar ou desabilitar o redirecionamento da área de transferência

Por padrão, o WorkSpaces oferece suporte a redirecionamento de área de transferência bidirecional (copiar/colar). Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

Para ativar ou desativar o redirecionamento da área transferência para WorkSpaces do Windows

110 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

9. Abrir oAtivar/desativar redirecionamento da área de transferênciaConfigurações da Configurações da 10. NoAtivar/desativar redirecionamento da área de transferência, escolhaEnabled (Habilitado)ouDesabilitado. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Limitação conhecida

Ao usar as aplicações cliente do WorkSpaces, uma interrupção na conectividade de rede causa a desconexão de uma sessão ativa. Isso pode ser causado por eventos como o fechamento a tampa do notebook ou a perda de sua conexão de rede sem fio. Os aplicativos cliente do WorkSpaces para Windows e macOS tentarão reconectar a sessão automaticamente se a conectividade de rede for restabelecer dentro de um determinado período de tempo. O tempo limite padrão para retomada de sessão é 20 minutos (1200 segundos), mas você pode modificar esse valor para WorkSpaces que são controlados pelas configurações de políticas de grupo do domínio.

Com definir o valor de tempo limite de retomada de sessão automático

111 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

10. NoAtivar/desativar a reconexão automática, escolhaEnabled (Habilitado)e, em seguida, definaTempo limite de reconexão (segundos)para o tempo limite desejado em segundos. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Ativar ou desativar o redirecionamento de entrada de vídeo para WSP

Por padrão, o WorkSpaces oferece suporte ao redirecionamento de dados de uma câmera local. Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

Para ativar ou desativar o redirecionamento de vídeo para WorkSpaces do Windows

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, selecione oseunome de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 8. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 9. Abrir oAtivar/desativar o redirecionamento de entrada de vídeoConfigurações da Configurações da 10. NoAtivar/desativar o redirecionamento de entrada de vídeo, escolhaEnabled (Habilitado)ouDesabilitado. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

112 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP Habilitar ou desabilitar o redirecionamento de entrada de áudio para WSP

Por padrão, o WorkSpaces oferece suporte ao redirecionamento de dados de um microfone local. Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

Para ativar ou desativar o redirecionamento de entrada de áudio para WorkSpaces do Windows

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, selecione oseunome de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 8. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 9. Abrir oAtivar/desativar o redirecionamento de entrada de áudioConfigurações da Configurações da 10. NoAtivar/desativar o redirecionamento de entrada de áudio, escolhaEnabled (Habilitado)ouDesabilitado. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

Desativar o redirecionamento do fuso horário do WSP

• A sua empresa quer que todos os funcionários trabalhem em um determinado fuso horário (mesmo que alguns funcionários estejam em outros fusos horários).

113 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP

• Você tem tarefas agendadas em um WorkSpace que devem executadas em um determinado horário em um fuso horário específico. • Os usuários que viajam muito querem manter os WorkSpaces em um mesmo fuso horário por motivos de consistência e preferência pessoal.

Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo para desabilitar esse recurso.

Para desativar o redirecionamento do fuso horário para WorkSpaces do Windows

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, selecione oseunome de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 8. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 9. Abrir oHabilitar ou desabilitar o redirecionamento doConfigurações da Configurações da 10. NoHabilitar ou desabilitar o redirecionamento do, escolhaDesabilitado. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force. 13. Defina o fuso horário dos WorkSpaces de acordo com o fuso horário desejado.

O fuso horário dos WorkSpaces agora é estático e não mais espelha o fuso horário das máquinas clientes. Habilitar ou desabilitar o redirecionamento do cartão inteligente para WSP

Por padrão, o Amazon WorkSpaces não está habilitado para oferecer suporte ao uso de smart cards paraautenticação pré-sessãoouautenticação em sessão. A autenticação pré-sessão refere-se à

114 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP autenticação de cartão inteligente que é executada enquanto os usuários estão fazendo login em seus WorkSpaces. Autenticação em sessão refere-se à autenticação que é executada após o login.

Se necessário, você pode habilitar a autenticação pré-sessão e em sessão para o Windows WorkSpaces usando as configurações de Diretiva de Grupo. A autenticação pré-sessão também tem de ser activada através das definições de directório do AD Connector utilizando a opçãoEnableClientAuthenticationAção de API ou oenable-client-authentication AWS CLIcomando. Para obter mais informações, consulteAtivar autenticação de cartão inteligente para o AD ConnectornoAWS Directory ServiceGuia de administração. Note

Para habilitar o uso de cartões inteligentes com o Windows WorkSpaces, etapas adicionais são necessárias. Para obter mais informações, consulte Usar cartões inteligentes para autenticação (p. 37).

Para ativar ou desativar o redirecionamento do cartão inteligente para WorkSpaces do Windows

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, selecione oseunome de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 8. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 9. Abrir oAtivar/desativar o redirecionamento de cartão inteligenteConfigurações da Configurações da 10. NoAtivar/desativar o redirecionamento de cartão inteligente, escolhaEnabled (Habilitado)ouDesabilitado. 11. Escolha OK. 12. A alteração da configuração de políticas de grupo entra em vigor após a sessão do WorkSpace ser reiniciada. Para aplicar a alteração de política de grupo, reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces).

Ativar ou desativar sessão de desconexão no bloqueio de tela para WSP

Se necessário, você pode desconectar as sessões do WorkSpaces dos usuários quando a tela de bloqueio do Windows for detectada. Para se reconectar do cliente do WorkSpaces, os usuários podem usar suas

115 Amazon WorkSpaces Guia de administração Instalar os arquivos de modelo administrativo de políticas de grupo para o WSP senhas ou cartões inteligentes para se autenticar, dependendo do tipo de autenticação habilitado para seus WorkSpaces.

Essa configuração de políticas de grupo é desabilitada por padrão. Se necessário, você pode habilitar a desconexão da sessão quando a tela de bloqueio do Windows for detectada para o Windows WorkSpaces usando as configurações de Diretiva de Grupo. Note

• Essa configuração de políticas de grupo está disponível somente na caixa de diálogoAWSNo momento, região GovCloud (EUA-Oeste). • Essa configuração de diretiva de grupo se aplica a sessões autenticadas por senha e autenticadas por smart card. • Para habilitar o uso de cartões inteligentes com o Windows WorkSpaces, etapas adicionais são necessárias. Para obter mais informações, consulte Usar cartões inteligentes para autenticação (p. 37).

Para ativar ou desativar a sessão de desconexão na tela do Windows WorkSpaces

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, selecione oseunome de domínioUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oseunome de domínioUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 8. No editor de gerenciamento de políticas de grupo, escolhaConfiguração do Computer,Políticas,Template,Amazon, eWSP. 9. Abrir oAtivar/desativar sessão de desconexão no bloqueio de telaConfigurações da Configurações da 10. NoAtivar/desativar sessão de desconexão no bloqueio de tela, escolhaEnabled (Habilitado)ouDesabilitado. 11. Escolha OK. 12. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insiragpupdate /force.

116 Amazon WorkSpaces Guia de administração Definir o tempo de vida máximo para um tíquete Kerberos

Definir o tempo de vida máximo para um tíquete Kerberos

Se você não tiver desabilitado a opçãoLembre-se de Mimdo Windows WorkSpaces, os usuários do WorkSpace podem usar o recursoLembre-se de MimouMantenha-me conectadoem seu aplicativo cliente do WorkSpaces para salvar suas credenciais. Esse recurso permite que os usuários se conectem facilmente aos WorkSpaces enquanto o aplicativo cliente permanece em execução. As credenciais são armazenadas em cache com segurança até o tempo de vida máximo dos tíquetes Kerberos.

Se o WorkSpace usar um diretório do AD Connector, você poderá modificar o tempo de vida máximo dos tíquetes Kerberos para os usuários dos WorkSpaces por meio da política de grupos seguindo as etapas em Tempo de vida máximo para um tíquete de usuário na documentação do Microsoft Windows.

Para habilitar ou desabilitar o recurso Remember Me (Lembrar de mim), consulte Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace (p. 95). Configurar as configurações do servidor proxy do dispositivo para acesso à Internet

Por padrão, o aplicativo cliente Windows WorkSpaces usa o servidor proxy especificado nas configurações do sistema operacional do dispositivo para tráfego HTTPS (porta 443). Os aplicativos cliente do Amazon WorkSpaces usam a porta HTTPS para atualizações, registro e autenticação. Note

• As conexões de streaming do desktop para o WorkSpace exigem a ativação das portas 4172 e 4195, e não passam pelo servidor proxy. • Os servidores proxy que exigem autenticação com um nome de usuário e senha não são suportados.

Você pode configurar as configurações do servidor proxy de dispositivo para o Windows WorkSpaces por meio da Diretiva de Grupo seguindo as etapas emConfigurar configurações de proxy de dispositivo e conectividade com a Internetna documentação da Microsoft.

Para obter mais informações sobre como configurar as configurações de proxy no aplicativo cliente do Windows WorkSpaces, consulteServidor de proxynoGuia do usuário do Amazon WorkSpaces.

Gerencie seus Amazon Linux WorkSpaces

Como ocorre com os WorkSpaces do Windows, os WorkSpaces do são associados ao domínio, permitindo que você use usuários e grupos do Active Directory para:

• Administrar seus Amazon Linux WorkSpaces • Fornecer acesso a esses WorkSpaces para usuários

Como as instâncias do Linux não seguem a política de grupo, recomendamos que você use uma solução de gerenciamento de configuração para distribuir e aplicar a política. Por exemplo, você pode usar oAWS OpsWorks for Chef Automate,AWS OpsWorks for Puppet Enterprise, ouAnsible. Note

WorkSpaces do Linux em WorkSpaces Streaming Protocol (WSP) estão disponíveis somente noAWSRegião GovCloud (Oeste dos EUA) no momento.

117 Amazon WorkSpaces Guia de administração Controle o comportamento do agente PCoIP no Amazon Linux WorkSpaces

No momento, os WorkSpaces do Linux no WSP têm as seguintes limitações:

• Não há suporte para o redirecionamento de área de transferência, entrada de áudio, video-in e fuso horário. • Não há suporte para vários monitores. • Você deve usar o aplicativo cliente Windows WorkSpaces para se conectar ao Linux WorkSpaces no WSP.

Controle o comportamento do agente PCoIP no Amazon Linux WorkSpaces

O comportamento do agente PCoIP é controlado pelas definições de configuração no arquivo pcoip- agent.conf, que está localizado no diretório /etc/pcoip-agent/. Para implantar e aplicar as alterações à política, use uma solução de gerenciamento de configuração que seja compatível com o Amazon Linux. Todas as alterações entram em vigor quando o agente é iniciado. Quando você reinicia o agente, todas as conexões abertas são encerradas, e o gerenciador de janelas é reiniciado. Para aplicar quaisquer alterações, recomendamos a reinicialização do WorkSpace. Note

Se você fizer alterações incorretas ou não suportadas nopcoip-agent.conf, você pode fazer com que o WorkSpace pare de funcionar. Se o WorkSpace parar de funcionar, talvez seja necessárioComo conectar ao WorkSpace usando o SSH (p. 54)Para reverter as alterações ou talvez seja necessárioRecriar o WorkSpace (p. 137).

As seções a seguir descrevem como ativar ou desativar determinados recursos. Para obter uma lista completa das configurações disponíveis, execute oman pcoip-agent.confa partir do terminal em qualquer Amazon Linux WorkSpace. Note

O redirecionamento da impressora local não está disponível para WorkSpaces do Linux. Ativar ou desativar o redirecionamento da área transferência para WorkSpaces do Amazon

Por padrão, o WorkSpaces oferece suporte ao redirecionamento da área transferência Use a configuração do agente PCoIP para desativar esse recurso, se necessário. Essa configuração entra em vigor quando você reinicializa o WorkSpace. Note

No momento, não há suporte ao redirecionamento da área transferência no aplicativo cliente WorkSpaces Linux ou em WorkSpaces do Linux usando o WSP.

Para ativar ou desativar o redirecionamento da área transferência para WorkSpaces do Amazon Linux

1. Abra o arquivo pcoip-agent.conf em um editor com direitos elevados usando o seguinte comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Adicione a linha a seguir ao final do arquivo.

pcoip.server_clipboard_state = X

118 Amazon WorkSpaces Guia de administração Ativar ou desativar o redirecionamento de áudio para o Amazon Linux WorkSpaces

Onde os possíveis valores de X são:

0 - Desativado em ambas as direções

1 - Ativado em ambas as direções

2 — Cliente habilitado somente para agente (permitir copiar e colar somente do dispositivo cliente local para a área de trabalho do host remoto)

3 — Agente habilitado somente para cliente (permitir copiar e colar somente da área de trabalho do host remoto para o dispositivo cliente local)

Note

O redirecionamento da área transferência é implementado como um canal virtual. Se os canais virtuais estiverem desabilitados, o redirecionamento da área transferência não funcionará. Para habilitar canais virtuais, consulteCanais virtuais PCoIPna documentação do Teradici. Ativar ou desativar o redirecionamento de áudio para o Amazon Linux WorkSpaces

Por padrão, o WorkSpaces oferece suporte ao redirecionamento de entrada de áudio. Use a configuração do agente PCoIP para desativar esse recurso, se necessário. Essa configuração entra em vigor quando você reinicializa o WorkSpace. Note

O redirecionamento de entrada de áudio não é suportado atualmente no Linux WorkSpaces usando WSP.

Para ativar ou desativar o redirecionamento de áudio para o Amazon Linux WorkSpaces

1. Abra o arquivo pcoip-agent.conf em um editor com direitos elevados usando o seguinte comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Adicione a linha a seguir ao final do arquivo.

pcoip.enable_audio = X

Onde os possíveis valores de X são:

0 - Desativado

1 - Ativado

Ativar ou desativar o redirecionamento do fuso horário para WorkSpaces do Amazon Linux

119 Amazon WorkSpaces Guia de administração Conceder acesso SSH aos administradores do Amazon Linux WorkSpaces

Se necessário para WorkSpaces do Linux, você pode usar o PCoIP Agent conf para desativar esse recurso. Essa configuração entra em vigor quando você reinicializa o WorkSpace. Note

No momento, não há suporte ao redirecionamento do fuso horário em WorkSpaces do Linux usando WSP.

Para ativar ou desativar o redirecionamento do fuso horário para WorkSpaces do Amazon Linux

1. Abra o arquivo pcoip-agent.conf em um editor com direitos elevados usando o seguinte comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Adicione a linha a seguir ao final do arquivo.

pcoip.enable_timezone_redirect= X

Onde os possíveis valores de X são:

0 - Desativado

1 - Ativado

Conceder acesso SSH aos administradores do Amazon Linux WorkSpaces

Por padrão, somente contas e usuários atribuídos no grupo Domain Admins podem se conectar ao Amazon Linux WorkSpaces usando o SSH.

Recomendamos que você crie um grupo de administradores dedicados para os administradores do Amazon Linux WorkSpaces no Active Directory.

Para ativar o acesso sudo para membros do grupo Linux_Workspaces_Admins do Active Directory

1. Edite o arquivo sudoers usando visudo, conforme mostrado no exemplo a seguir:

[example\username@workspace-id ~]$ sudo visudo

2. Adicione a seguinte linha.

%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

Depois de criar o grupo de administradores dedicados, siga estas etapas para ativar o login para os membros do grupo.

120 Amazon WorkSpaces Guia de administração Substituir o shell padrão para o Amazon Linux WorkSpaces

Para ativar o login para membros do grupo Linux_WorkSpaces_Admins do Active Directory

1. Edite /etc/security/access.conf com direitos elevados.

[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf

2. Adicione a seguinte linha.

+:(example\Linux_WorkSpaces_Admins):ALL

Para obter mais informações sobre como habilitar conexões SSH, consulte Ativar conexões SSH para seus WorkSpaces Linux (p. 54). Substituir o shell padrão para o Amazon Linux WorkSpaces

Para substituir o shell padrão para WorkSpaces do Linux, recomendamos que você edite o arquivo ~/.bashrc do usuário. Por exemplo, para usar Z shell em vez do shell Bash, adicione as seguintes linhas a /home/username/.bashrc. export SHELL=$(which zsh) [ -n "$SSH_TTY" ] && exec $SHELL

Note

Depois de fazer essa alteração, você deve reinicializar o WorkSpace ou fazer logoff do WorkSpace (não apenas desconectar) e, em seguida, fazer login novamente para que a alteração entre em vigor. Proteja repositórios personalizados contra acesso não autorizado

Para controlar o acesso aos seus repositórios personalizados, recomendamos usar os recursos de segurança integrados no Amazon Virtual Private Cloud (Amazon VPC) em vez de usar senhas. Por exemplo, use listas de controle de acesso (ACLs) de rede e grupos de segurança. Para obter mais informações sobre esses recursos, consulteSegurançanoGuia do usuário da Amazon VPC.

Se você deve usar senhas para proteger seus repositórios, certifique-se de criar arquivos de definição de repositório yum conforme mostrado em Arquivos de definição de repositório na documentação do Fedora. Usar o repositório Amazon Linux Extras Library

Com o Amazon Linux, você pode usar a biblioteca de extras para instalar atualizações de aplicativo e software em suas instâncias. Para obter informações sobre como usar a biblioteca de extras, consulteBiblioteca de extras (Amazon Linux)noGuia do usuário do Amazon EC2 para instâncias do Linux. Note

Se você usa o repositório do Amazon Linux, os WorkSpaces do devem ter acesso à Internet ou você deve configurar virtual private cloud (VPC) endpoints para esse repositório e para o repositório principal do Amazon Linux. Para obter mais informações, consulte Fornecer acesso à Internet a partir do WorkSpace (p. 45).

121 Amazon WorkSpaces Guia de administração Usar cartões inteligentes para autenticação no Linux WorkSpaces Usar cartões inteligentes para autenticação no Linux WorkSpaces

Os WorkSpaces do Linux em WorkSpaces Streaming Protocol (WSP) permitem o uso doCartão de acesso comum (CAC)eVerificação de Identidade Pessoal (PIV)cartões inteligentes para autenticação. Para obter mais informações, consulte Usar cartões inteligentes para autenticação (p. 37).

Gerenciar o modo de execução do WorkSpace

OModo de execuçãoO de um WorkSpace determina sua disponibilidade imediata e como você paga por ele (mensalmente ou por hora). Você pode escolher entre os seguintes modos de execução ao criar o WorkSpace:

• AlwaysOn— use quando estiver pagando uma taxa fixa mensal para uso ilimitado de WorkSpaces. Esse modo é melhor para usuários que usam o WorkSpace em tempo integral como a principal área de trabalho. • AutoStop— use quando estiver pagando pelo WorkSpaces por hora. Com esse modo, os WorkSpaces param após um determinado período de desconexão e o estado dos aplicativos e dos dados é salvo.

Para obter mais informações, consultePreços do WorkSpaces. WorkSpaces do AutoStop

Para definir o tempo de parada automática, selecione o WorkSpace no console do Amazon WorkSpaces, escolhaAções,Modificação das propriedades do modo de execuçãoe, em seguida, definaTempo AutoStop (horas). Por padrão, oTempo AutoStop (horas)é definido como 1 hora, o que significa que o WorkSpace é interrompido automaticamente 1 hora após o WorkSpace ter sido desconectado.

Depois que um WorkSpace for desconectado e o período de tempo de AutoStop expirar, pode levar vários minutos adicionais para que o WorkSpace seja interrompido automaticamente. No entanto, a cobrança é interrompida assim que o período de tempo de AutoStop expirar, e você não será cobrado por esse tempo adicional.

Quando possível, o estado da área de trabalho é salvo no volume raiz do WorkSpace. O WorkSpace reinicia quando um usuário faz login e todos os documentos abertos e programas em execução retornam ao estado salvo.

AutoStop GraphicsPro WorkSpaces não preserva o estado dos dados e programas quando eles param. Para os WorkSpaces do GraphicsPro, recomendamos salvar seu trabalho quando terminar de usá-los de cada vez.

Para o AutoStop WorkSpaces BYOL (Bring Your Own License), um grande número de logins simultâneos pode resultar em um aumento significativo do tempo para que o WorkSpaces esteja disponível. Se você espera que muitos usuários façam login em seu BYOL AutoStop WorkSpaces ao mesmo tempo, consulte seu gerente de conta para obter conselhos. Important

O AutoStop WorkSpaces será interrompido automaticamente somente se os WorkSpaces forem desconectados.

Um WorkSpace é desconectado somente nas seguintes circunstâncias:

• Se o usuário se desconectar manualmente do WorkSpace ou sair do aplicativo cliente do Amazon WorkSpaces.

122 Amazon WorkSpaces Guia de administração Modificar o modo de execução

• Se o dispositivo cliente estiver desligado. • Se não houver conexão entre o dispositivo cliente e o WorkSpace por mais de 20 minutos.

Como prática recomendada, os usuários do AutoStop WorkSpace devem se desconectar manualmente de seus WorkSpaces quando terminarem de usá-los todos os dias. Para desconectar manualmente, escolhaDesconexão do WorkSpaceouSaia do Amazon WorkSpacesdoAmazon WorkSpacesNos aplicativos cliente WorkSpaces para Linux, macOS ou Windows. Para Android ou iPad, escolhaDesconectardo menu da barra lateral.

O AutoStop WorkSpaces pode não ser interrompido automaticamente nas seguintes situações

• Se o dispositivo cliente estiver bloqueado, em modo de suspensão ou de outra forma inativo (por exemplo, a tampa do laptop está fechada) em vez de desligar, o aplicativo WorkSpaces ainda pode estar em execução em segundo plano. Enquanto o aplicativo WorkSpaces ainda estiver em execução, o WorkSpace pode não ser desconectado e, portanto, o WorkSpace pode não ser interrompido automaticamente. • O WorkSpaces só pode detectar desconexão quando os usuários usam clientes WorkSpaces. Se os usuários estão usando clientes de terceiros, o WorkSpaces pode não conseguir detectar a desconexão e, portanto, os WorkSpaces podem não parar automaticamente e a cobrança pode não ser suspensa.

Modificar o modo de execução

Você pode alternar entre os modos de execução a qualquer momento.

Para modificar o modo de execução de um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione o WorkSpace para modificar e escolha Actions (Ações), Modify Running Mode Properties (Modificar propriedades do modo de execução). 4. Selecione o novo modo de execução, AlwaysOn ou AutoStop e, em seguida, escolha Modificar.

Para modificar o modo de execução de um WorkSpace usando oAWS CLI

Usar amodificar-propriedades do espaço de trabalhocomando. Parar e iniciar um WorkSpace de AutoStop

Se os WorkSpaces de AutoStop são desconectados, eles são automaticamente interrompidos após um determinado período de desconexão e a cobrança por hora é suspensa. Para otimizar ainda mais os custos, você pode suspender manualmente as cobranças por hora associadas a WorkSpaces de AutoStop. O WorkSpace será interrompido, e todos os aplicativos e dados serão salvos para a próxima vez que um usuário fizer login no WorkSpace.

Quando um usuário se conectar novamente a um WorkSpace interrompido, ele será retomado no ponto em que parou, normalmente em menos de 90 segundos.

Você pode reiniciar (reiniciar) WorkSpaces de WorkSpaces AutoStop que estão disponíveis ou em estado de erro.

Como interromper um WorkSpace de AutoStop

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/.

123 Amazon WorkSpaces Guia de administração Modificar um WorkSpace

2. No painel de navegação, selecione WorkSpaces. 3. Selecione o WorkSpace a ser interrompido e escolha Actions (Ações), Stop WorkSpaces (Parar WorkSpaces). 4. Quando a confirmação for solicitada, escolha Parar.

Como iniciar um WorkSpace de AutoStop

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione os WorkSpaces a serem iniciados e escolha Ações, Iniciar WorkSpaces. 4. Quando a confirmação for solicitada, escolha Iniciar.

Para remover os custos de infraestrutura fixos associados a WorkSpaces AutoStop, remova o WorkSpace da sua conta. Para obter mais informações, consulte Excluir um WorkSpace (p. 150).

Para parar e iniciar um WorkSpace de AutoStop usando oAWS CLI

Usar astop-workspacesestart-workspacesComandos do .

Modificar um WorkSpace

Depois de iniciar um WorkSpace, é possível modificar a configuração de duas maneiras:

• Você pode alterar o tamanho de seu volume raiz (para Windows, unidade C; para Linux, /) e seu volume de usuário (para Windows, unidade D; para Linux /home). • Você pode alterar seu tipo de computação para selecionar um novo pacote.

O estado de modificação atual de um WorkSpace é exibido naEstadono console do WorkSpaces. Os possíveis valores para State (Estado) são Modifying Compute (Modificar computação), Modifying Storage (Modificar armazenamento) e None (Nenhum).

Se você quiser modificar um WorkSpace, ele deverá ter um status de AVAILABLE ou STOPPED. Ao modificar o tamanho do volume, não é possível alterar o tipo de computação ao mesmo tempo e vice- versa.

Alterar o tamanho do volume ou o tipo de computação de um WorkSpace alterará a taxa de faturamento do WorkSpace.

Para permitir que os usuários modifiquem os volumes e os tipos de computação, consulte Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace (p. 95). Alterar o tamanho do volume

Você pode aumentar o tamanho da raiz e os volumes do usuário para um WorkSpace em até 2000 GB cada um. A raiz e os volumes do usuário do WorkSpace estão grupos definidos que não podem ser alterados. Os grupos disponíveis são:

[Raiz (GB), Usuário (GB)]

[80, 10]

124 Amazon WorkSpaces Guia de administração Alterar o tamanho do volume

[Raiz (GB), Usuário (GB)]

[80, 50]

[80, 100]

[175 a 2000, 100 a 2000]

É possível expandir os volumes raiz e do usuário, sejam eles criptografados ou não, e é possível expandir ambos os volumes uma vez em um período de 6 horas. No entanto, não é possível aumentar o tamanho dos volumes raiz e do usuário ao mesmo tempo. Para obter mais informações, consulte Limitações para aumentar volumes (p. 125). Note

Ao expandir um volume para um WorkSpace, o WorkSpaces estende automaticamente a partição do volume no Windows ou no Linux. Quando o processo for finalizado, será necessário reinicializar o WorkSpace para que as alterações entrem em vigor.

Para garantir que os dados sejam preservados, não é possível diminuir o tamanho da raiz e os volumes do usuário ou depois que você iniciar um WorkSpace. Em vez disso, certifique-se de especificar os tamanhos mínimos para esses volumes ao iniciar um WorkSpace. É possível iniciar um WorkSpace Value, Standard, Performance, Power ou PowerPro com no mínimo 80 GB para o volume raiz e 10 GB para o volume do usuário. É possível iniciar um WorkSpace Graphics ou GraphicsPro com no mínimo 100 GB para o volume raiz e 100 GB para o volume do usuário.

Enquanto o aumento do tamanho em disco do WorkSpace está em andamento, os usuários podem executar a maioria das tarefas no WorkSpace. No entanto, eles não podem alterar o tipo de computação do WorkSpace, alternar o modo de execução do WorkSpace, recriar o WorkSpace nem reiniciar o WorkSpace. Note

Se você quiser que seus usuários possam usar seus WorkSpaces enquanto o aumento do tamanho do disco estiver em andamento, verifique se os WorkSpaces têm um status deAVAILABLEEm vez deSTOPPEDantes de redimensionar os volumes dos WorkSpaces. Se os WorkSpaces foremSTOPPED, eles não podem ser iniciados enquanto o aumento do tamanho do disco estiver em andamento.

Na maioria dos casos, o processo de aumento do tamanho do disco pode levar até duas horas. No entanto, se você estiver modificando os tamanhos de volume para um grande número de WorkSpaces, o processo pode demorar significativamente mais tempo. Se você tiver um grande número de WorkSpaces para modificar, recomendamos entrar em contato com oAWS SupportPara obter ajuda.

Limitações para aumentar volumes

• É possível redimensionar somente volumes SSD. • Ao iniciar um WorkSpace, é necessário aguardar seis horas para poder modificar os tamanhos de seus volumes. • Não é possível aumentar o tamanho dos volumes raiz e do usuário ao mesmo tempo. Para aumentar o volume raiz, é necessário primeiro alterar o volume do usuário para 100 GB. Depois que essa alteração for feita, será possível atualizar o volume raiz para qualquer valor entre 175 e 2.000 GB. Depois que o volume raiz foi alterado para qualquer valor entre 175 e 2.000 GB, é possível atualizar o volume do usuário ainda mais, para qualquer valor entre 100 e 2.000 GB. Note

Se você quiser aumentar os dois volumes, é necessário esperar 20 a 30 minutos para que a primeira operação seja concluída antes de iniciar a segunda operação.

125 Amazon WorkSpaces Guia de administração Alterar tipos de pacote

• A menos que o WorkSpace seja um WorkSpace Graphics ou GraphicsPro, o volume raiz não pode ser inferior a 175 GB quando o volume do usuário é de 100 GB. Os WorkSpaces Graphics e GraphicsPro podem ter os volumes raiz e do usuário definidos para 100 GB no mínimo. • Se o volume do usuário for 50 GB, não será possível atualizar o volume raiz para qualquer valor que não seja 80 GB. Se o volume raiz for 80 GB, o volume do usuário só poderá ser 10, 50 ou 100 GB.

Como alterar os tamanhos de volume de um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione o WorkSpace e escolha Actions, Modify WorkSpace. 4. Para aumentar o tamanho do volume raiz ou do volume do usuário, escolha Modify Volume Sizes (Modificar tamanhos de volume) e insira o novo valor. 5. Selecione Modify. 6. Quando o aumento do tamanho do disco for finalizado, será necessárioReinicialização do WorkSpace (p. 137)Para que as alterações entrem em vigor. Para evitar a perda de dados, o usuário deve salvar todos os arquivos abertos antes de reiniciar o WorkSpace.

Como alterar os tamanhos de volume de um WorkSpace

Usar amodificar-propriedades do espaço de trabalhocom o comandoRootVolumeSizeGibouUserVolumeSizeGibpropriedade. Alterar tipos de pacote

Você pode alternar um WorkSpace entre os pacotes Value, Standard, Performance, Power e PowerPro. Para obter mais informações sobre esses tipos de pacote, consultePacotes do Amazon WorkSpaces. Note

Não é possível alterar o tipo de computação para Graphics e GraphicsPro WorkSpaces.

Ao solicitar uma troca de pacote, o WorkSpaces reinicializará o WorkSpace usando o novo pacote. O WorkSpaces preserva o sistema operacional, os aplicativos, os dados e as configurações de armazenamento para o WorkSpace.

É possível solicitar um pacote maior uma vez em um período de 6 horas ou um pacote menor uma vez a cada 30 dias. Para um WorkSpace recém-lançado, você deverá esperar 6 horas antes de solicitar um pacote maior.

Quando uma alteração do tipo de computação do WorkSpace está em andamento, os usuários são desconectados do WorkSpace, e não podem usar ou alterar o WorkSpace. O WorkSpace é reinicializado automaticamente durante o processo de alteração do tipo de computação. Important

Para evitar a perda de dados, os usuários devem salvar todos os documentos abertos e outros arquivos de aplicativos antes de alterar o tipo de computação do WorkSpace.

O processo de alteração do tipo de computação pode levar até uma hora.

Como alterar o tipo de pacote de um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/.

126 Amazon WorkSpaces Guia de administração Marcar recursos do WorkSpaces

2. No painel de navegação, selecione WorkSpaces. 3. Selecione o WorkSpace e escolha Actions, Modify WorkSpace. 4. Para trocar o pacote, escolha Change Compute Type (Alterar tipo de computação) e selecione o novo tipo de pacote. 5. Selecione Modify.

Como alterar o tipo de pacote de um WorkSpace

Usar amodificar-propriedades do espaço de trabalhocom o comandoComputeTypeNamepropriedade.

Marcar recursos do WorkSpaces

Você pode organizar e gerenciar os recursos do WorkSpaces atribuindo seus próprios metadados a cada recurso na forma de tags. Você especifica uma chave e um valor para cada tag. Uma chave pode ser uma categoria geral, como "projeto", "proprietário" ou "ambiente", com valores específicos associados. O uso de tags é uma forma simples, mas eficiente, de gerenciarAWSOs recursos do e organizar os dados, incluindo dados de faturamento.

Quando você adicionar tags a um recurso existente, essas tags não serão exibidas no relatório de alocação de custos até o primeiro dia do mês seguinte. Por exemplo, se você adicionar tags a um WorkSpace existente em 15 de julho, elas serão exibidas no relatório de alocação de custos em 1º de agosto. Para obter mais informações, consulte Usar tags de alocação de custos no Guia do usuário do AWS Billing and Cost Management. Note

Para exibir as tags de recurso do WorkSpaces no Cost Explorer, você deve ativar as tags aplicadas aos recursos do WorkSpaces seguindo as instruções emComo ativar tags de alocação de custos definidas pelo usuárionoAWS Billing and Cost ManagementGuia do usuário do. Embora as marcas apareçam 24 horas após a ativação, pode levar de 4 a 5 dias para que os valores associados a essas marcas apareçam no Cost Explorer. Além disso, para aparecer e fornecer dados de custo no Cost Explorer, os recursos do WorkSpaces que foram marcados devem incorrer em cobranças durante esse período. O Cost Explorer mostra apenas os dados de custo a partir do momento em que as tags foram ativadas e em diante. Nenhum dado histórico está disponível no momento.

Recursos que podem ser marcados

• Você pode adicionar tags aos recursos a seguir ao criá-los: WorkSpaces, imagens importadas e grupos de controle de acesso IP. • Você pode adicionar tags a recursos existentes dos seguintes tipos: WorkSpaces, diretórios registrados, pacotes personalizados, imagens e grupos de controle de acesso IP.

Restrições de tags

• Número máximo de tags por recurso: 50 • Comprimento máximo da chave: 127 caracteres Unicode • Comprimento máximo de valor: 255 caracteres Unicode • As chaves e os valores de tags diferenciam maiúsculas de minúsculas. Os caracteres permitidos são letras, espaços e números representáveis em UTF-8, além dos seguintes caracteres especiais: + - =. _:/ @. Não use espaços no início nem no final.

127 Amazon WorkSpaces Guia de administração Manutenção do WorkSpace

• Não use oaws:ouaws:workspaces:Os prefixos no nome nem no valor das suas tags, pois eles são reservados paraAWSUso do. Não é possível editar nem excluir nomes ou valores de tag com esses prefixos.

Para atualizar as tags de um recurso existente usando o console (diretórios, WorkSpaces ou grupos de controle de acesso IP)

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, escolha um dos seguintes tipos de recurso: Diretórios,WorkSpaces, ouControles de acesso IP. 3. Escolha o recurso e selecione Actions (Ações), Manage Tags (Gerenciar tags). 4. Faça uma ou mais das coisas a seguir:

• Para atualizar uma tag, edite os valores de Chave e Valor. • Para adicionar uma tag, escolha Adicionar tag e, em seguida, edite os valores de Chave e Valor. • Para excluir uma tag, escolha o ícone de exclusão (X) ao lado da tag. 5. Ao finalizar a atualização de tags, escolha Salvar.

Para atualizar as tags de um recurso existente usando o console do (imagens ou pacotes)

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, escolha um dos seguintes tipos de recurso: Pacotes doouImagens. 3. Escolha o recurso para abrir sua página de detalhes. 4. Em Tags, selecione Manage tags (Gerenciar tags). 5. Faça uma ou mais das coisas a seguir:

• Para atualizar uma tag, edite os valores de Chave e Valor. • Para adicionar uma tag, escolhaAdicionar nova tage, em seguida, edite os valores deKey (Chave)eValor. • Para excluir uma tag, selecioneRemoverAo lado da tag. 6. Ao finalizar a atualização de tags, escolhaSalvar alterações.

Para atualizar as tags de um recurso existente usando a AWS CLI

Use os comandos create-tags e delete-tags.

Manutenção do WorkSpace

Recomendamos que você faça manutenção de seus WorkSpaces regularmente. O WorkSpaces agenda janelas de manutenção padrão para seus WorkSpaces. Durante a janela de manutenção, o WorkSpace instala atualizações importantes no Amazon WorkSpaces e reinicia conforme necessário. Se disponíveis, as atualizações do sistema operacional também serão instaladas no servidor de atualização do sistema operacional que o WorkSpace está configurado para usar. Durante a manutenção, os WorkSpaces podem ficar indisponíveis. Note

Por padrão, os WorkSpaces do Windows são configurados para receber atualizações do Windows Update. Para configurar seus próprios mecanismos de atualização automática para o Windows, consulte a documentação do Windows Server Update Services (WSUS) e do Configuration Manager.

128 Amazon WorkSpaces Guia de administração Janelas de manutenção para WorkSpaces AlwaysOn

Janelas de manutenção para WorkSpaces AlwaysOn

Para WorkSpaces AlwaysOn, a janela de manutenção é determinada pelas configurações do sistema operacional. O padrão é um período de quatro horas das 0h às 4h, no fuso horário do WorkSpace, todo domingo de manhã. Por padrão, o fuso horário de um WorkSpace AlwaysOn é o fuso horário daAWSRegião do WorkSpace. No entanto, se você se conectar de outra região com o redirecionamento de fuso horário habilitado e se desconectar, o fuso horário do WorkSpace será atualizado para o fuso horário da região em que estiver conectado.

É possível desativar o redirecionamento do fuso horário para WorkSpaces do Windows (p. 105) usando a política de grupo. Você podeDesativar o redirecionamento do fuso horário para WorkSpaces (p. 119)usando o PCoIP Agent conf.

Para WorkSpaces do Windows, é possível configurar a janela de manutenção usando políticas de grupo. Consulte Definir configurações de políticas de grupo para atualizações automáticas. Não é possível configurar a janela de manutenção para WorkSpaces do Linux. Janelas de manutenção para WorkSpaces AutoStop

Os WorkSpaces AutoStop são executados automaticamente uma vez por mês para instalar atualizações importantes. A partir da terceira segunda-feira de cada mês, e por até duas semanas, a janela de manutenção abre todo dia das 0h às 5h, no fuso horário doAWSRegião do WorkSpace. A manutenção do WorkSpace pode ser feita em qualquer dia da janela de manutenção.

Durante o período em que o WorkSpace está passando por manutenção, o estado do WorkSpace é definido como MAINTENANCE.

Embora não seja possível modificar o fuso horário usado para manter os WorkSpaces AutoStop, é possível desativar a janela de manutenção dos WorkSpaces AutoStop conforme mostrado a seguir. Se você desabilitar o modo de manutenção, seus WorkSpaces não serão reinicializados e não entrarão no estado MAINTENANCE.

Como desabilitar o modo de manutenção

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório e escolha Actions (Ações), Update Details (Atualizar detalhes). 4. Expanda Modo de manutenção. 5. Para habilitar as atualizações automáticas, escolha Enabled (Ativado). Se você preferir gerenciar as atualizações manualmente, escolha Disabled (Desativado). 6. Escolha Atualizar e sair.

Manutenção manual

Se preferir, você pode fazer a manutenção de seus WorkSpaces em seu próprio cronograma. Quando você executar tarefas de manutenção, recomendamos que altere o estado do WorkSpace para ADMIN_MAINTENANCE. Ao concluir, altere o estado do WorkSpace para AVAILABLE.

Quando um WorkSpace está no modo ADMIN_MAINTENANCE, ocorre o seguinte comportamento:

• O WorkSpace não responde a solicitações de reinicialização, interrupção, inicialização ou recriação. • Os usuários não conseguem fazer login no WorkSpace. • Um AutoStop WorkSpace não entra em hibernação.

129 Amazon WorkSpaces Guia de administração WorkSpaces criptografados

Para alterar o estado do WorkSpace usando o console Note

Para alterar o estado de um WorkSpace, o WorkSpace deve ter um status de AVAILABLE. A configuração Modify State (Modificar estado) não estará disponível quando um WorkSpace tiver um status STOPPED.

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione seu WorkSpace e escolha Actions (Ações), Modify WorkSpace (Modificar WorkSpace). 4. Selecione Modify State (Modificar estado). Em Intended State (Estado pretendido), escolha ADMIN_MAINTENANCE ou AVAILABLE. 5. Selecione Modify.

Para alterar o estado do WorkSpace usando a AWS CLI

Use o comando modify-workspace-state.

WorkSpaces criptografados

O WorkSpaces é integrado aoAWS Key Management Service(AWS KMS). Isso permite que você criptografe volumes de armazenamento de WorkSpaces usando as chaves mestras do cliente (CMKs). Quando você executa um WorkSpace, é possível criptografar o volume raiz (para Microsoft Windows, a unidade C: e, para Linux, /) e o volume do usuário (para Windows, a unidade D: e, para Linux, /home). Isso garante que os dados armazenados em repouso, E/S do disco para o volume e snapshots criados a partir dos volumes sejam todos criptografados. Note

Além de criptografar seus WorkSpaces, você também pode usar a criptografia de endpoint FIPS em determinadosAWSRegiões dos EUA. Para obter mais informações, consulte Configurar o Amazon WorkSpaces para autorização do FedRAMP ou conformidade com o SRG do DoD (p. 53).

Tópicos • Prerequisites (p. 130) • Limits (p. 131) • Visão geral da criptografia do WorkSpaces usando oAWS KMS (p. 132) • contexto de criptografia do WorkSpaces (p. 132) • Conceder aos WorkSpaces permissão para usar uma CMK em seu nome (p. 133) • Criptografia de um WorkSpace (p. 136) • Exibir WorkSpaces criptografados (p. 137)

Prerequisites

Você precisa de uma CMK do AWS KMS antes de iniciar o processo de criptografia. Este CMK pode ser o AWSCMK gerenciada pelapara o Amazon WorkSpaces (aws/workspaces) ou umaCMK gerenciada pelo cliente.

130 Amazon WorkSpaces Guia de administração Limits

• AWSCMK gerenciada pela— Na primeira vez que você executa um WorkSpace não criptografado no console do WorkSpaces em uma região, o Amazon WorkSpaces cria automaticamente umaAWSCMK gerenciada (aws/workspaces) em sua conta da. Você pode selecionar esteAWSO gerenciado pela CMK para criptografar o usuário e os volumes raiz do seu WorkSpace. Para obter mais detalhes, consulte Visão geral da criptografia do WorkSpaces usando oAWS KMS (p. 132).

Você pode visualizar esseAWSA CMK gerenciada, incluindo as políticas e concessões, e pode rastrear o uso emAWS CloudTrail, mas você não pode usar ou gerenciar esse CMK. O Amazon WorkSpaces cria e gerencia esse CMK. Somente o Amazon WorkSpaces pode usar essa CMK e os WorkSpaces podem usá-la somente para criptografar recursos do WorkSpaces em sua conta.

AWSAs CMKs gerenciadas, incluindo as compatíveis com o Amazon WorkSpaces, são alternadas a cada três anos. Para obter mais detalhes, consulte .Mudança de chaves mestras de clientenoAWS Key Management ServiceGuia do desenvolvedor. • CMK gerenciada pelo clienteComo alternativa, é possível selecionar uma CMK simétrica gerenciada pelo cliente que você criou usando oAWS KMS. É possível exibir, usar e gerenciar essa CMK, incluindo a configuração das políticas. Para obter mais informações sobre a criação de CMKs, consulteCriação de chavesnoAWS Key Management ServiceGuia do desenvolvedor. Para obter mais informações sobre a criação de CMKs usando oAWS KMSAPI, consulte oTrabalhar com chavesnoAWS Key Management ServiceGuia do desenvolvedor.

Os CMKs gerenciados pelo cliente não são rodados automaticamente, a menos que você decida ativar a rotação automática de chaves. Para obter mais detalhes, consulte .Mudança de chaves mestras de clientenoAWS Key Management ServiceGuia do desenvolvedor.

Important

Quando você gira CMKs, você deve manter o CMK original e o novo CMK habilitado para queAWS KMSpode descriptografar os WorkSpaces que o CMK original criptografou. Se você não quiser manter o CMK original ativado, você deve recriar seus WorkSpaces e criptografá-los usando o novo CMK.

Você deve atender aos seguintes requisitos para usar uma CMK do AWS KMS a fim de criptografar os WorkSpaces:

• O CMK deve ser simétrico. O Amazon WorkSpaces não oferece suporte a CMKs assimétricas. Para obter informações sobre a distinção entre CMKs simétricas e assimétricas, consulteIdentificar CMKs simétricas e assimétricasnoAWS Key Management ServiceGuia do desenvolvedor. • A CMK deve estar habilitada. Para determinar se uma CMK está habilitada, consulteExibir detalhes da CMKnoAWS Key Management ServiceGuia do desenvolvedor. • Você deve ter as permissões e políticas corretas associadas ao CMK. Para obter mais informações, consulte Parte 2: Conceder aos administradores de WorkSpaces permissões adicionais usando uma política do IAM (p. 134).

Limits

• Não é possível criptografar um WorkSpace existente. Você deve criptografar um WorkSpace ao iniciá-lo. • Não há suporte para a criação de uma imagem personalizada de um WorkSpace criptografado. • Não há suporte para desabilitar a criptografia de um WorkSpace criptografado atualmente. • WorkSpaces iniciados com criptografia de volume raiz habilitada podem levar até uma hora para provisionar. • Para reiniciar ou recriar um WorkSpace criptografado, primeiro verifique se a CMK do AWS KMS está habilitada; caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma CMK está habilitada, consulteExibir detalhes da CMKnoAWS Key Management ServiceGuia do desenvolvedor.

131 Amazon WorkSpaces Guia de administração Visão geral da criptografia do WorkSpaces usando oAWS KMS Visão geral da criptografia do WorkSpaces usando oAWS KMS

Ao criar WorkSpaces com volumes criptografados, o WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O Amazon EBS criptografa seus volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. O Amazon EBS e o Amazon WorkSpaces usam sua CMK para trabalhar com os volumes criptografados. Para obter mais informações sobre a criptografia de volume do EBS, consulteAmazon EBS EncriptaçãonoGuia do usuário do Amazon EC2 para instâncias do Windows.

Quando você executa WorkSpaces com volumes criptografados, o processo completo funciona desta forma:

1. Você especifica a CMK a ser usada para criptografia, bem como o usuário e o diretório para o WorkSpace. Esta ação cria umconcederO permite ao WorkSpaces usar sua CMK apenas para esse WorkSpace — ou seja, apenas para o WorkSpace associado com o usuário e o diretório especificados. 2. O WorkSpaces cria um volume do EBS criptografado para o WorkSpace e especifica a CMK a ser usada, bem como o usuário e o diretório do volume. Essa ação cria uma concessão que permite ao Amazon EBS usar sua CMK apenas para esse WorkSpace e volume—ou seja, apenas para o WorkSpace associado com o usuário e o diretório especificados, e apenas para o volume especificado. 3. O Amazon EBS solicita uma chave de dados do volume que é criptografada com sua CMK e especifica o SID (SID) do usuário do WorkSpace e oAWS Directory ServiceID do diretório, bem como o ID do volume do Amazon EBS como ocontexto de criptografia (p. 132). 4. AWS KMSO cria uma nova chave de dados, criptografa a mesma com sua CMK e, em seguida, envia a chave de dados criptografada para o Amazon EBS. 5. O WorkSpaces usa o Amazon EBS para anexar o volume criptografado ao WorkSpace. O Amazon EBS envia a chave de dados criptografada aoAWS KMScom um Decrypte especifica o SID do usuário do WorkSpace, o ID do diretório e o ID do volume, que é usado como contexto de criptografia. 6. AWS KMSO usa sua CMK para descriptografar a chave de dados e envia a chave de dados de texto simples para o Amazon EBS. 7. O Amazon EBS usa a chave de dados de texto simples para criptografar todos os dados enviados e recebidos do volume criptografado. O Amazon EBS mantém a chave de dados de texto simples na memória enquanto o volume está conectado ao WorkSpace. 8. O Amazon EBS armazena a chave de dados criptografada (recebida noStep 4 (p. 132)) com os metadados do volume para uso futuro, caso você reinicialize ou recrie o WorkSpace. 9. Quando você usa oAWS Management Consolepara remover um WorkSpace (ou use oTerminateWorkspacesNa API do WorkSpaces), o WorkSpaces e o Amazon EBS retiram as concessões que os permitiam usar sua CMK para esse WorkSpace. contexto de criptografia do WorkSpaces

O WorkSpaces não usa seu CMK diretamente para operações criptográficas (comoEncrypt,Decrypt,GenerateDataKey, etc.), o que significa que o WorkSpaces não envia solicitações paraAWS KMSque incluem umacontexto de criptografia. No entanto, quando o Amazon EBS solicita uma chave de dados criptografada para os volumes criptografados de seus WorkSpaces (Step 3 (p. 132)noVisão geral da criptografia do WorkSpaces usando oAWS KMS (p. 132)) e quando solicita uma cópia em texto simples dessa chave de dados (Step 5 (p. 132)), ele inclui o contexto de criptografia na solicitação.

O contexto de criptografia fornece dados autenticados adicionais (AAD) que o AWS KMS usa para garantir a integridade dos dados. O contexto de criptografia também é gravado em seuAWS CloudTrailOs arquivos

132 Amazon WorkSpaces Guia de administração Conceder aos WorkSpaces permissão para usar uma CMK em seu nome de log do, o que pode ajudá-lo a entender por que uma determinada CMK foi usada. O Amazon EBS usa o seguinte como contexto de criptografia:

• O identificador de segurança (SID) do usuário do Active Directory que é associado ao WorkSpace • O ID do diretório do AWS Directory Service que é associado ao WorkSpace • O ID do volume criptografado

O exemplo a seguir mostra uma representação JSON do contexto de criptografia que o Amazon EBS usa:

{ "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]", "aws:ebs:id": "vol-1234abcd" }

Conceder aos WorkSpaces permissão para usar uma CMK em seu nome

Você pode proteger seus dados do WorkSpace naAWSCMK gerenciada pelo WorkSpaces (aws/ workspaces) ou um CMK gerenciada pelo cliente. Se você usa uma CMK gerenciada pelo cliente, será necessário conceder permissão ao WorkSpaces para usar a CMK em nome dos administradores de WorkSpaces em sua conta. OAWSO CMK gerenciado pelo WorkSpaces tem as permissões necessárias por padrão.

Para preparar para uso com o WorkSpaces a sua CMK gerenciada pelo cliente, use o procedimento a seguir.

1. Adicione seus administradores de WorkSpaces à lista de usuários de chave na política de chaves da CMK (p. 133) 2. Conceder aos administradores de WorkSpaces permissões adicionais com uma política do IAM (p. 134)

Os administradores de WorkSpaces também precisam de permissão para usar o WorkSpaces. Para obter mais informações sobre essas permissões, acesseGerenciamento de identidade e acesso para o WorkSpaces (p. 210). Parte 1: Adicionar administradores do WorkSpaces como usuários-chave

Para conceder aos administradores de WorkSpaces as permissões que eles exigem, você pode usar oAWS Management Consoleou oAWS KMSAPI. Para adicionar administradores de WorkSpaces como usuários de chave de uma CMK (console)

1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms. 2. Para alterar a região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página. 3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas de cliente). 4. Escolha o ID de chave ou alias da CMK gerenciada pelo cliente de sua preferência. 5. Selecione a guia Key policy (Política de chaves). Sob oPrincipais usuários, escolhaAdicionar.

133 Amazon WorkSpaces Guia de administração Conceder aos WorkSpaces permissão para usar uma CMK em seu nome

6. Na lista de usuários e funções do IAM, selecione os usuários e as funções que correspondem aos seus administradores de WorkSpaces e, em seguida, escolhaAdicionar.

Para adicionar administradores de WorkSpaces como usuários de chave de uma CMK (API)

1. Use a operação GetKeyPolicy para obter a política de chaves existente e salve o documento em um arquivo. 2. Abra o documento de política no editor de texto de sua preferência. Adicione os usuários e as funções do IAM que correspondem aos seus administradores de WorkSpaces às declarações de política que odar permissão aos principais usuários. Salve o arquivo. 3. Use a operação PutKeyPolicy para aplicar a política de chaves à CMK.

Parte 2: Conceder aos administradores de WorkSpaces permissões adicionais usando uma política do IAM

Se você selecionar uma CMK gerenciada pelo cliente a ser usada para criptografia, será necessário estabelecer políticas do IAM que permitem ao Amazon WorkSpaces usar a CMK em nome de um usuário do IAM em sua conta que executa WorkSpaces criptografados. Esse usuário também precisa de permissão para usar o Amazon WorkSpaces. Para obter mais informações sobre como criar e editar políticas de usuário do IAM, consulteGerenciamento de políticas do InoIAM User GuideeGerenciamento de identidade e acesso para o WorkSpaces (p. 210).

A criptografia de WorkSpaces requer acesso limitado à CMK. Veja a seguir um exemplo de política de chaves que pode ser usada. Essa política separa os principais que podem gerenciar a CMK do AWS KMS daqueles que podem usá-la. Antes de usar esse exemplo de política de chaves, substitua o exemplo de ID da conta e o nome de usuário do IAM pelos valores reais da sua conta.

A primeira declaração está em conformidade com a política de chaves do AWS KMS padrão. Isso concede à sua conta permissão para usar políticas do IAM para controlar o acesso à CMK. A segunda e terceira afirmações definem qualAWSOs principais podem gerenciar e usar a chave, respectivamente. A quarta declaração permiteAWSque são integrados aoAWS KMSPara usar a chave em nome do principal especificado. Esta instrução permite que oAWSServiços para criar e gerenciar concessões. A declaração usa um elemento de condição que limita as concessões no CMK àquelas feitas peloAWSserviços em nome de usuários em sua conta. Note

Se os administradores do WorkSpaces usarem oAWS Management ConsolePara criar WorkSpaces com volumes criptografados, os administradores precisam de permissão para listar aliases e chaves (a"kms:ListAliases"e"kms:ListKeys"Permissões). Se os seus administradores de WorkSpaces usam apenas a API do Amazon WorkSpaces (não com o console), você pode omitir a"kms:ListAliases"e"kms:ListKeys"Permissões

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [

134 Amazon WorkSpaces Guia de administração Conceder aos WorkSpaces permissão para usar uma CMK em seu nome

"kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ] }

A política do IAM para um usuário ou uma função que está criptografando um WorkSpace deve incluir permissões na CMK gerenciada pelo cliente, além de acesso ao WorkSpaces. Para conceder permissões de WorkSpaces a um usuário ou uma função do IAM, é possível anexar o exemplo de política a seguir ao usuário ou à função do IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ]

135 Amazon WorkSpaces Guia de administração Criptografia de um WorkSpace

}

A política do IAM a seguir é exigida pelo usuário para usar oAWS KMS. Ela concede ao usuário acesso somente leitura à CMK juntamente com a capacidade de criar concessões.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ] }

Se você quiser especificar o CMK em sua política, use uma política do IAM semelhante à seguinte. Substitua o ARN da CMK por um válido.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us- west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

Criptografia de um WorkSpace

Para criptografar um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. Escolha Ativar WorkSpaces e conclua as três primeiras etapas. 3. Para a etapa Configuração de WorkSpaces, faça o seguinte:

a. Selecione os volumes a serem criptografados: Volume do dispositivo raiz,Volume do usuário, ou ambos os volumes. b. para oChave de criptografia, selecione umaAWS KMSCMK, ou oAWSCMK gerenciado pelo Amazon WorkSpaces ou por uma CMK criada por você. O CMK selecionado deve ser simétrica. O Amazon WorkSpaces não oferece suporte a CMKs assimétricas. c. Escolha Next Step. 4. Escolha Ativar WorkSpaces.

136 Amazon WorkSpaces Guia de administração Exibir WorkSpaces criptografados

Exibir WorkSpaces criptografados

Para ver quais WorkSpaces e volumes foram criptografados no console do WorkSpaces, selecioneWorkSpacesNa barra de navegação à esquerda. A coluna Criptografia de volume mostra se cada WorkSpace tem a criptografia habilitada ou não. Para ver quais volumes específicos foram criptografados, expanda a entrada WorkSpace e veja o campo Volumes criptografados.

Reinicialização de um WorkSpace

Ocasionalmente, você pode precisar reinicializar (reiniciar) um WorkSpace manualmente. A reinicialização de um WorkSpace desconecta o usuário e, em seguida, executa um desligamento e uma reinicialização do WorkSpace. Para evitar a perda de dados, o usuário deve salvar todos os documentos abertos e outros arquivos de aplicativos antes de reiniciar o WorkSpace. Os dados de usuário, o sistema operacional e as configurações do sistema não são afetados. Warning

Para reiniciar um WorkSpace criptografado, primeiro verifique se a CMK do AWS KMS está habilitada. Caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma CMK está habilitada, consulteExibir detalhes da CMKnoAWS Key Management ServiceGuia do desenvolvedor.

Como reiniciar um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione os WorkSpaces a serem reinicializados e escolha Ações, Reinicializar WorkSpaces. 4. Quando a confirmação for solicitada, escolha Reinicializar WorkSpaces.

Como reiniciar um WorkSpace usando oAWS CLI

Usar areinicializar-workspacescomando.

Recriação de um WorkSpace

Se necessário, você pode recriar um WorkSpace. Isso recria o volume raiz, o volume do usuário e a elastic network interface primária.

Recriar um WorkSpace causa o seguinte:

• O volume raiz (para Microsoft Windows, unidade C; para Linux,/) é atualizado com a imagem mais recente do pacote de onde o WorkSpace foi criado. Todos os aplicativos que foram instalados ou as configurações do sistema que foram alteradas após a criação do WorkSpace serão perdidos. • O volume do usuário (para Microsoft Windows, a unidade D; para Linux, /home) é recriado a partir do snapshot mais recente. O conteúdo atual do volume do usuário é substituído.

Os snapshots automáticos para uso durante a recriação de um WorkSpace são programados a cada 12 horas. Esses snapshots do volume do usuário são obtidos independentemente da integridade do WorkSpace. Quando você escolher oAções,Recriar/Restaurar o WorkSpaceA data e a hora do snapshot mais recente será mostrada. • A interface de rede elástica principal é recriada. O WorkSpace recebe um novo endereço IP privado.

137 Amazon WorkSpaces Guia de administração Restaurar um WorkSpace

Important

Depois de 14 de janeiro de 2020, os WorkSpaces criados de um pacote público do Windows 7 não podem mais ser recriados. Talvez você queira considerar a migração dos WorkSpaces do Windows 7 para o Windows 10. Para obter mais informações, consulte Migrar um WorkSpace (p. 146).

Você pode recriar um WorkSpace somente se as seguintes condições forem atendidas:

• O WorkSpace deve ter um estado deAVAILABLE,ERROR,UNHEALTHY,STOPPED, ouREBOOTING. Para recriar um WorkSpace noREBOOTING, você deve usar oRebuildWorkSpacesOperação da API ou oreconstruir espaços de trabalho AWS CLIcomando. • Um instantâneo do volume do usuário deve existir.

Como recriar um WorkSpace Warning

Para recriar um WorkSpace criptografado, primeiro verifique se a CMK do AWS KMS está habilitada. Caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma CMK está habilitada, consulteExibir detalhes da CMKnoAWS Key Management ServiceGuia do desenvolvedor.

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione o WorkSpace a ser recriado e escolha Actions (Ações), Rebuild/Restore WorkSpace (Recriar/Restaurar Workspace). 4. Selecione oRecriar WorkSpaceopção. 5. SelecioneRecriar/Restaurar o WorkSpace.

Como recriar um WorkSpace usando oAWS CLI

Usar areconstruir espaços de trabalhocomando.

Troubleshooting

Se você recriar um WorkSpace após alterar o atributo de nomenclatura de usuário sAMAccountName do usuário no Active Directory, você poderá receber a seguinte mensagem de erro:

"ErrorCode": "InvalidUserConfiguration.Workspace" "ErrorMessage": "The user was either not found or is misconfigured."

Para contornar esse problema, reverta para o atributo de nomenclatura de usuário original e reinicie a recriação, ou crie um WorkSpace para esse usuário.

Restaurar um WorkSpace

Se necessário, você pode restaurar um WorkSpace para seu último estado íntegro conhecido. Isso recriará o volume raiz e o volume do usuário com base nos snapshots mais recentes desses volumes que foram criados quando o WorkSpace estava íntegro.

Restaurar um WorkSpace causa o seguinte:

• O volume raiz (para Microsoft Windows, unidade C; para Linux,/) é restaurado para o snapshot mais recente. Todos os aplicativos que foram instalados ou as configurações do sistema que foram alteradas após a criação do snapshot mais recente são perdidos.

138 Amazon WorkSpaces Guia de administração Atualização do Windows 10 BYOL WorkSpaces

• O volume do usuário (para Microsoft Windows, a unidade D; para Linux, /home) é recriado a partir do snapshot mais recente. O conteúdo atual do volume do usuário é substituído.

Quando snapshots são tirados

Os snapshots do volume raiz e do usuário são feitos da seguinte forma. Quando você escolher oAções,Recriar/Restaurar o WorkSpaceA data e a hora dos snapshots mais recentes serão mostradas.

• Depois que um WorkSpace é criado pela primeira vez— Normalmente, os snapshots iniciais dos volumes raiz e usuário são obtidos logo após a criação de um WorkSpace (geralmente em 30 minutos). Em algunsAWSRegiões, pode levar várias horas para que os snapshots iniciais sejam tirados após a criação de um WorkSpace.

Se um WorkSpace não estiver íntegro antes que os snapshots iniciais sejam tirados, o WorkSpace não poderá ser restaurado. Nesse caso, você pode tentarRecriação do WorkSpace (p. 137)Ou entre em contatoAWSSupport para assistência. • Durante o uso regular— Os snapshots automáticos para uso durante a restauração de um WorkSpace são programados a cada 12 horas. Se o WorkSpace estiver íntegro, os snapshots do volume raiz e do volume do usuário serão criados ao mesmo tempo. Se o WorkSpace não estiver íntegro, esses snapshots não serão criados. • Depois que um WorkSpace foi restaurado— quando você restaura um WorkSpace, novos snapshots são obtidos logo após a conclusão da restauração (geralmente em 30 minutos). Em algunsAWSRegiões, pode levar várias horas para que esses snapshots sejam tirados depois que um WorkSpace for restaurado.

Depois que um WorkSpace for restaurado, se o WorkSpace não estiver íntegro antes que novos snapshots possam ser feitos, o WorkSpace não poderá ser restaurado novamente. Nesse caso, você pode tentarRecriação do WorkSpace (p. 137)Ou entre em contatoAWSSupport para assistência.

Você pode restaurar um WorkSpace somente se as seguintes condições forem atendidas:

• O WorkSpace deve ter um estadoAVAILABLE,ERROR,UNHEALTHY, ouSTOPPED. • Devem existir snapshots dos volumes raiz e do usuário.

Como restaurar um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione o WorkSpace a ser restaurado e escolha Actions (Ações), Rebuild/Restore WorkSpace (Recriar/Restaurar WorkSpace). 4. Selecione oRestaurar WorkSpaceopção. 5. SelecioneRecriar/Restaurar o WorkSpace.

Como restaurar um WorkSpace usando oAWS CLI

Usar arestore-espaço de trabalhocomando.

Atualização do Windows 10 BYOL WorkSpaces

Nos WorkSpaces Windows 10 Bring Your Own License (BYOL – Traga sua própria licença), é possível atualizar para uma versão mais recente do Windows 10 usando o processo de atualização no local. Siga as instruções neste tópico para fazer a atualização.

139 Amazon WorkSpaces Guia de administração Prerequisites

O processo de atualização no local se aplica apenas aos WorkSpaces BYOL do Windows 10. Important

Não execute o Sysprep em um WorkSpace atualizado. Se você fizer isso, poderá ocorrer um erro que impede a conclusão do Sysprep. Se você planeja executar o Sysprep, faça isso apenas em um WorkSpace que não foi atualizado.

Tópicos • Prerequisites (p. 140) • Considerations (p. 140) • Limitações conhecidas (p. 141) • Resumo das configurações da chave do Registro (p. 141) • Realizar uma atualização no local (p. 142) • Troubleshooting (p. 144) • Atualizar seu registro do WorkSpace usando um script do PowerShell (p. 145)

Prerequisites

• Se você tiver adiado ou pausado as atualizações do Windows 10 usando políticas de grupo ou o System Center Configuration Manager (SCCM), habilite as atualizações do sistema operacional para os WorkSpaces do Windows 10. • Se o WorkSpace for um WorkSpace AutoStop, altere-o para um WorkSpace AlwaysOn antes do processo de atualização local para que ele não seja interrompido automaticamente enquanto as atualizações são aplicadas. Para obter mais informações, consulte Modificar o modo de execução (p. 123). Se você preferir manter o WorkSpace definido como AutoStop, altere o tempo de AutoStop para três horas ou mais durante a atualização. • O processo de atualização local recria o perfil do usuário fazendo uma cópia de um perfil especial chamado Default User (C:\Users\Default). Não use esse perfil de usuário padrão para fazer personalizações. Recomendamos fazer personalizações no perfil do usuário por meio de GPOs (Objetos de política de grupo). As personalizações feitas por meio de GPOs podem ser facilmente modificadas ou revertidas e são menos propensas a erros. • O processo de atualização no local pode fazer backup e recriar apenas um perfil de usuário. Se você tiver vários perfis de usuário na unidade D, exclua todos os perfis, exceto aquele que você precisa.

Considerations

O processo de atualização in-loco usa dois scripts de registro (enable-inplace-upgrade.ps1 e update-pvdrivers.ps1) para fazer as alterações necessárias nos WorkSpaces que permitem que o processo do Windows Update seja executado. Essas alterações envolvem a criação de um perfil de usuário (temporário) na unidade C em vez de na unidade D. Se já existir um perfil de usuário na unidade D, os dados nesse perfil original permanecerão na unidade D.

Por padrão, os WorkSpaces criam o perfil de usuário no D:\Users\%USERNAME%. O script enable- inplace-upgrade.ps1 configura o Windows para criar um perfil de usuário em C:\Users\%USERNAME % e redireciona as pastas do shell do usuário para D:\Users\%USERNAME%. Esse perfil de usuário é criado quando um usuário faz login pela primeira vez.

Após a atualização in-loco, você tem a opção de deixar seus perfis de usuário na unidade C para permitir que seus usuários utilizem o processo do Windows Update para atualizar seus computadores no futuro. No entanto, esteja ciente de que os WorkSpaces com perfis armazenados na unidade C não podem ser reconstruídos nem migrados sem que ocorra a perda de todos os dados no perfil do usuário, a menos que você faça backup e restaure esses dados por conta própria. Se você decidir deixar os perfis na unidade

140 Amazon WorkSpaces Guia de administração Limitações conhecidas

C, poderá usar a chave de registro UserShellFoldersRedirection para redirecionar as pastas do shell do usuário para a unidade D, conforme explicado mais adiante neste tópico.

Para garantir que você possa recriar ou migrar seus WorkSpaces e evitar possíveis problemas com o redirecionamento da pasta do shell do usuário, recomendamos que você opte por restaurar seus perfis de usuário para a unidade D após a atualização in-loco. É possível fazer isso usando a chave de registro PostUpgradeRestoreProfileOnD conforme explicado mais adiante neste tópico. Limitações conhecidas

• A alteração da localização do perfil do usuário da unidade D para a unidade C não ocorre durante as reconstruções ou migrações do WorkSpace. Se você executar uma atualização in-loco em um WorkSpace BYOL do Windows 10 e, depois, reconstruí-lo ou migrá-lo, o novo WorkSpace terá o perfil de usuário na unidade D. Warning

Se você deixar o perfil de usuário na unidade C após a atualização in-loco, os dados do perfil armazenados na unidade C serão perdidos durante reconstruções ou migrações, a menos que você faça backup manualmente dos dados do perfil de usuário antes de recriar ou migrar e, depois, restaure manualmente os dados do perfil após executar o processo de recriação ou migração. • Além disso, se o seu pacote BYOL contiver a imagem baseada em uma versão anterior do Windows 10, será necessário executar a atualização in-loco novamente depois de recriar ou migrar o WorkSpace.

Resumo das configurações da chave do Registro

Para habilitar o processo de atualização in-loco e especificar o local do perfil de usuário após a atualização, é necessário definir uma série de chaves do registro.

Caminho de registro: HKL M:\Software\Amazon\WorkSpacesConfig\enable -inplace-upgrade.ps1

Chave do registro Type Valores

Enabled DWORD 0— (padrão) desativa a atualização in-loco

1— permite a atualização in-loco

PostUpgradeRestoreProfileOnD DWORD 0— (padrão) não tenta restaurar o caminho do perfil do usuário após a atualização in-loco

1— Restaura o caminho do perfil do usuário (ProfileImagePath) após a atualização in-loco

UserShellFoldersRedirection DWORD 0— Não habilita o redirecionamento de pastas do shell do usuário

1— (Padrão) Habilita o redirecionamento de pastas do shell do usuário paraD:\Users\ %USERNAME%depois que o perfil de usuário é gerado novamente noC:\Users\%USERNAME%

141 Amazon WorkSpaces Guia de administração Realizar uma atualização no local

Chave do registro Type Valores

NoReboot DWORD 0— (padrão) permite controlar quando ocorre uma reinicialização após modificar o registro para o perfil de usuário

1— Não permite que o script reinicialize o WorkSpace após modificar o registro para o perfil de usuário

Caminho de registro: HKL M:\Software\Amazon\WorkSpacesConfig\update -pvdrivers.ps1

Chave do registro Type Valores

Enabled DWORD 0— (Padrão) DesativaAWSAtualização de drivers de PV

1— Ativa oAWSAtualização de drivers de PV

Realizar uma atualização no local

Para habilitar atualizações in-loco do Windows em seus WorkSpaces BYOL, é necessário definir determinadas chaves do registro, conforme descrito no procedimento a seguir. Também é preciso definir determinadas chaves do registo para indicar a unidade (C ou D) onde os perfis de usuário deverão estar depois de concluídas as atualizações in-loco.

É possível fazer essas alterações de registro manualmente. Se você tiver vários WorkSpaces para atualizar, poderá usar a política de grupo ou o SCCM para enviar um script do PowerShell. Para obter um exemplo de script do PowerShell, consulte Atualizar seu registro do WorkSpace usando um script do PowerShell (p. 145).

Para executar uma atualização local do Windows 10

1. Anote a versão do Windows atualmente em execução nos WorkSpaces BYOL do Windows 10 que você está atualizando e, depois, reinicialize-os. 2. Atualize as seguintes chaves do registro do sistema Windows para alterar os dados de valor de Enabled (Habilitado) de 0 para 1. Essas alterações no registro permitem atualizações locais para o WorkSpace.

• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1 • HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update-pvdrivers.ps1

Note

Se essas chaves não existirem, reinicie o WorkSpace. As chaves devem ser adicionadas quando o sistema for reiniciado.

(Opcional) Se você estiver usando um fluxo de trabalho gerenciado, como as sequências de tarefas do SCCM, para realizar a atualização, defina o seguinte valor de chave como 1 para impedir que o computador seja reinicializado:

142 Amazon WorkSpaces Guia de administração Realizar uma atualização no local

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace- upgrade.ps1\NoReboot 3. Decida em qual unidade os perfis de usuário deverão estar após o processo de atualização in-loco (para obter mais informações, consulte Considerations (p. 140)) e defina as chaves de registo da seguinte forma:

• Configurações se o local do perfil de usuário precisar ser a unidade C após a atualização:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nome da chave: PostUpgradeRestoreProfileOnD

Chave-valor: 0

Nome da chave: UserShellFoldersRedirection

Chave-valor: 1

• Configurações se o local do perfil de usuário precisar ser a unidade D após a atualização:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nome da chave: PostUpgradeRestoreProfileOnD

Chave-valor: 1

Nome da chave: UserShellFoldersRedirection

Chave-valor: 0 4. Depois de salvar as alterações no registro, reinicie o WorkSpace novamente para que as alterações sejam aplicadas. Note

Após a reinicialização, ao fazer login no WorkSpace um novo perfil de usuário será criado. É possível ver os ícones de espaço reservado no menu Start (Iniciar). Esse comportamento é resolvido automaticamente após a conclusão da atualização no local.

(Opcional) Confirme que o valor da chave a seguir está configurado como 1. Isso desbloqueia o WorkSpace para atualizar:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace- upgrade.ps1\profileImagePathDeleted 5. Execute a atualização local. Você pode usar qualquer método que desejar, como SCCM, ISO ou Windows Update (WU). Dependendo da sua versão original do Windows 10 e de quantos aplicativos foram instalados, esse processo poderá levar entre 40 e 120 minutos. 6. Depois que o processo de atualização for concluído, confirme se a versão do Windows foi atualizada. Note

Se a atualização local falhar, o Windows reverterá automaticamente para usar a versão do Windows 10 anterior à atualização. Para obter mais informações sobre a solução de problemas, consulte a documentação da Microsoft.

(Opcional) Para confirmar que os scripts de atualização foram executados com êxito, verifique se o seguinte valor da chave está configurado como 1:

143 Amazon WorkSpaces Guia de administração Troubleshooting

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace- upgrade.ps1\scriptExecutionComplete 7. Se você modificou o modo de execução do WorkSpace definindo-o como AlwaysOn ou alterando o tempo de AutoStop para que o processo de atualização in-loco possa ser executado sem interrupção, restaure as configurações originais do modo de execução. Para obter mais informações, consulte Modificar o modo de execução (p. 123).

Se você não tiver definido a chave do registro PostUpgradeRestoreProfileOnD como 1, o perfil do usuário será gerado novamente pelo Windows e colocado em C:\Users\%USERNAME% após a atualização in- loco, para que você não precise passar pelas etapas acima novamente para futuras atualizações in-loco do Windows 10. Por padrão, o script enable-inplace-upgrade.ps1 redireciona as seguintes pastas do shell para a unidade D:

• D:\Users\%USERNAME%\Downloads • D:\Users\%USERNAME%\Desktop • D:\Users\%USERNAME%\Favorites • D:\Users\%USERNAME%\Music • D:\Users\%USERNAME%\Pictures • D:\Users\%USERNAME%\Videos • D:\Users\%USERNAME%\Documents • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs \Startup • D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates

Se você redirecionar as pastas do shell para outros locais em seu WorkSpaces, execute as operações necessárias nos WorkSpaces após as atualizações locais. Troubleshooting

Se você tiver problemas com a atualização, verifique os seguintes itens para auxiliar na solução de problemas:

• Logs do Windows, que, por padrão, estão localizados nos seguintes locais:

C:\Program Files\Amazon\WorkSpacesConfig\Logs\

C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED • Visualizador de eventos do Windows

Logs do Windows > Aplicativo > Fonte: Amazon WorkSpaces

Tip

Se, durante o processo, você vir que alguns atalhos de ícone na área de trabalho não funcionam mais, isso acontece porque o WorkSpaces move os perfis de usuário localizados na unidade D

144 Amazon WorkSpaces Guia de administração Atualizar seu registro do WorkSpace usando um script do PowerShell

para a unidade C a fim de se preparar para a atualização. Depois de concluída a atualização, os atalhos funcionarão conforme o esperado. Atualizar seu registro do WorkSpace usando um script do PowerShell

Você pode usar o seguinte exemplo de script do PowerShell para atualizar o registro no seu WorkSpaces para habilitar as atualizações locais. Siga o Realizar uma atualização no local (p. 142), mas use este script para atualizar o registro em cada WorkSpace.

# AWS WorkSpaces 1.28.20 # Enable In-Place Update Sample Scripts # These registry keys and values will enable scripts to execute on the next reboot of the WorkSpace.

$scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1") $wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig" $Enabled = 1 $script:ErrorActionPreference = "Stop" foreach ($scriptName in $scriptlist) { $scriptRegKey = "$wsConfigRegistryRoot\$scriptName"

try { if (-not(Test-Path $scriptRegKey)) { Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled." New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } else { Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled) { Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty - Path $scriptRegKey).Enabled)'" } } } catch { write-host "Stopping script, the following error was encountered:" `r`n$_ - ForegroundColor Red break } }

145 Amazon WorkSpaces Guia de administração Migrar um WorkSpace

Migrar um WorkSpace

É possível migrar um WorkSpace de um pacote para outro, mantendo os dados no volume do usuário. Veja a seguir exemplos de cenário:

• Você pode migrar WorkSpaces da experiência de desktop do Windows 7 para a experiência de desktop do Windows 10. • Você pode migrar WorkSpaces do protocolo PCoIP para o WorkSpaces Streaming Protocol (WSP). • Você pode migrar o WorkSpaces do pacote WorkSpaces de 32 bits do Microsoft Office no Windows Server 2016 para o pacote de 64 bits do Microsoft Office no Windows Server 2019-Powered WorkSpaces. • É possível migrar os WorkSpaces de um pacote público ou personalizado para outro. Por exemplo, você pode migrar de pacotes habilitados para GPU (Graphics and GraphicsPro) para pacotes não habilitados para GPU e vice-versa.

Para obter mais informações sobre os pacotes do Amazon WorkSpaces, consultePacotes e imagens do WorkSpace (p. 152).

O processo de migração recria o WorkSpace usando um novo volume raiz da imagem do pacote de destino e o volume do usuário do último snapshot disponível do WorkSpace original. Um novo perfil de usuário é gerado durante a migração para melhor compatibilidade. O perfil de usuário antigo é renomeado e, depois, determinados arquivos no perfil de usuário antigo são movidos para o novo perfil de usuário. (Para obter detalhes sobre o que é movido, consulte O que acontece durante a migração (p. 148).)

O processo de migração leva até uma hora por WorkSpace. Ao iniciar o processo de migração, um WorkSpace é criado. Se ocorrer um erro que impeça a migração bem-sucedida, o WorkSpace original será recuperado e retornado ao seu estado original e o novo WorkSpace será encerrado.

Sumário • Limites de migração (p. 146) • Cenários do (p. 147) • O que acontece durante a migração (p. 148) • Práticas recomendadas (p. 148) • Troubleshooting (p. 149) • Como a cobrança é afetada (p. 149) • Migrar um WorkSpace (p. 149)

Limites de migração

• Não é possível migrar para um pacote de experiência de desktop do Windows 7 público ou personalizado. Você também não pode migrar para pacotes do Windows 7 Traga sua própria licença (BYOL). • É possível migrar WorkSpaces BYOL somente para outros pacotes BYOL. Para migrar um BYOL WorkSpace de PCoIP para WSP, primeiro você deve criar um pacote BYOL com o protocolo WSP. Em seguida, você pode migrar seu PCoIP BYOL WorkSpaces para esse pacote WSP BYOL. • Não é possível migrar um WorkSpace criado de pacotes públicos ou personalizados para um pacote BYOL. • Os pacotes de gráficos e GraphicsPro estão disponíveis apenas para o protocolo PCoIP no momento, portanto, Graphics e GraphicsPro WorkSpaces ainda não podem ser migrados para o WSP.

146 Amazon WorkSpaces Guia de administração Cenários do

• A migração do Linux WorkSpaces não tem suporte no momento. • DentroAWSAs regiões que oferecem suporte a mais de um idioma, você pode migrar WorkSpaces entre pacotes de idiomas. • Os pacotes de origem e destino devem ser diferentes. (No entanto, em regiões que oferecem suporte a mais de um idioma, é possível migrar para o mesmo pacote do Windows 10, desde que os idiomas sejam diferentes.) Se você quiser atualizar o WorkSpace usando o mesmo pacote, recrie o WorkSpace (p. 137). • Não é possível migrar WorkSpaces entre regiões. • Em alguns casos, se não for possível concluir a migração com êxito, talvez você não receba uma mensagem de erro e pode parecer que o processo de migração não foi iniciado. Se o pacote do WorkSpace permanecer o mesmo uma hora após a tentativa de migração, é sinal de que a migração não foi feita com êxito. Entre em contato comAWS SupportCentroPara obter ajuda.

Cenários do

A tabela a seguir mostra quais cenários de migração estão disponíveis:

SO de origem SO de destino Disponível?

Pacote público ou personalizado Pacote público ou personalizado Sim do Windows 7 do Windows 10

Pacote personalizado do Pacote público do Windows 7 Não Windows 7

Pacote personalizado do Pacote personalizado do Não Windows 7 Windows 7

Pacote público do Windows 7 Pacote personalizado do Não Windows 7

Pacote público ou personalizado Pacote público ou personalizado Não do Windows 10 do Windows 7

Pacote personalizado do Pacote público do Windows 10 Não Windows 10

Pacote público ou personalizado Pacote personalizado do Sim do Windows 10 Windows 10

Pacote BYOL do Windows 7 Pacote BYOL do Windows 7 Não

Pacote BYOL do Windows 7 Pacote BYOL do Windows 10 Sim

Pacote BYOL do Windows 10 Pacote BYOL do Windows 7 Não

Pacote BYOL do Windows 10 Pacote BYOL do Windows 10 Sim

Pacote do Windows 10 público Pacote do Windows 10 público Sim com Windows Server 2016 habilitado para Windows Server 2013

Pacote público do Windows 10 Pacote público do Windows 10 Sim com tecnologia do Windows com tecnologia do Windows Server 2009 Server 2016

147 Amazon WorkSpaces Guia de administração O que acontece durante a migração

Note

O acesso à Web não está disponível para a ramificação PCoIP do pacote público Windows 10 com tecnologia Windows Server 2019-Powered. Important

O pacote público Windows 10 plus com tecnologia Windows Server 2016 inclui o Microsoft Office 2016 e o Trend Micro Worry-Free Business Security Services. O pacote Public Windows 10 plus com tecnologia Windows Server 2019 inclui apenas o Microsoft Office 2019 e não inclui o Trend Micro Services. O que acontece durante a migração

Durante a migração, os dados no volume do usuário (unidade D) são preservados, mas todos os dados no volume raiz (unidade C) são perdidos. Isso significa que nenhum dos aplicativos instalados, configurações e alterações no registro são preservados. A pasta de perfil de usuário antiga é renomeada com o sufixo .NotMigrated e um perfil de usuário é criado. O processo de migração recria a unidade D com base no último snapshot do volume do usuário original. Durante a primeira inicialização do novo WorkSpace, o processo de migração move a pasta D: \Users\%USERNAME% original para uma pasta chamada D:\Users\%USERNAME%MMddyyTHHmmss %.NotMigrated. Uma nova pasta D:\Users\%USERNAME%\ é gerada pelo novo sistema operacional. Depois que o perfil de usuário é criado, os arquivos nas seguintes pastas do shell de usuário são movidos do perfil .NotMigrated antigo para o novo perfil:

• D:\Users\%USERNAME%\Desktop • D:\Users\%USERNAME%\Documents • D:\Users\%USERNAME%\Downloads • D:\Users\%USERNAME%\Favorites • D:\Users\%USERNAME%\Music • D:\Users\%USERNAME%\Pictures • D:\Users\%USERNAME%\Videos

Important

O processo de migração tenta mover os arquivos do perfil de usuário antigo para o novo perfil. Todos os arquivos que não foram movidos durante a migração permanecem na pasta D:\Users \%USERNAME%MMddyyTHHmmss%.NotMigrated. Se a migração for bem-sucedida, você poderá ver quais arquivos foram movidos em C:\Program Files\Amazon\WorkspacesConfig \Logs\MigrationLogs. É possível mover manualmente todos os arquivos que não foram movidos automaticamente. Por padrão, os pacotes públicos têm indexação de pesquisa local desabilitada. Se você fosse habilitá-lo, o padrão é pesquisarC:\Userse nãoD:\Users, então você precisa ajustar isso também. Se você definiu a indexação de pesquisa local especificamente paraD:\Users \usernamee não paraD:\Users, então a indexação de pesquisa local pode não funcionar após a migração para quaisquer arquivos de usuário que estejam noD:\Users\%USERNAME %MMddyyTHHmmss%.NotMigratedfolder. Todas as tags atribuídas ao WorkSpace original são transferidas durante a migração e o modo de execução do WorkSpace é preservado. No entanto, o novo WorkSpace obtém um novo ID do WorkSpace, nome do computador e endereço IP. Práticas recomendadas

Antes de migrar um WorkSpace, faça o seguinte:

148 Amazon WorkSpaces Guia de administração Troubleshooting

• Faça backup de todos os dados importantes na unidade C para outro local. Todos os dados na unidade C são apagados durante a migração. • Verifique se o WorkSpace que está sendo migrado tem pelo menos 12 horas, para garantir que um snapshot do volume do usuário tenha sido criado. NoMigrar WorkSpacesNo console do Amazon WorkSpaces, é possível ver a hora do último snapshot. Todos os dados criados após o último snapshot são perdidos durante a migração. • Para evitar possíveis perdas de dados, os usuários devem sair dos WorkSpaces e não fazer login novamente até que o processo de migração seja concluído. Observe que os WorkSpaces não poderão ser migrados quando estiverem no modo ADMIN_MAINTENANCE. • Verifique se os WorkSpaces que deseja migrar têm um status AVAILABLE, STOPPED ou ERROR. • Verifique se você tem endereços IP suficientes para os WorkSpaces que está migrando. Durante a migração, novos endereços IP serão alocados para o WorkSpaces. • Se você estiver usando scripts para migrar WorkSpaces, migre-os em lotes de até 25 WorkSpaces por vez.

Troubleshooting

• Se os usuários relatarem arquivos ausentes após a migração, verifique se seus arquivos de perfil de usuário não foram movidos durante o processo de migração. É possível ver quais arquivos foram movidos em C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs. Os arquivos que não foram movidos estarão localizados na pasta D:\Users\%USERNAME %MMddyyTHHmmss%.NotMigrated. É possível mover manualmente todos os arquivos que não foram movidos automaticamente. • Se você estiver usando a API para migrar WorkSpaces e a migração não tiver êxito, o ID do WorkSpace de destino retornado pela API não será usado e o WorkSpace ainda terá o ID original. • Se uma migração não for concluída com êxito, verifique o Active Directory para ver se ele foi limpo adequadamente. Talvez seja necessário remover manualmente os WorkSpaces que não são mais necessários.

Como a cobrança é afetada

Durante o mês em que ocorre a migração, são cobrados valores pro-rata para os WorkSpaces novos e originais. Por exemplo, se migrar o WorkSpace A para o WorkSpace B em 10 de maio, você será cobrado pelo WorkSpace A de 1º a 10 de maio e pelo WorkSpace B de 11 a 30 de maio. Note

Se você estiver migrando um WorkSpace para um tipo de pacote diferente (por exemplo, de Desempenho para Energia ou Valor para Padrão), o tamanho do volume raiz (unidade C) e do volume do usuário (unidade D) podem aumentar durante o processo de migração. Se necessário, o volume raiz aumentará para corresponder ao tamanho padrão do volume raiz para o novo pacote. No entanto, se você já tiver especificado um tamanho (maior ou menor) para o volume do usuário diferente do padrão para o pacote original, esse mesmo tamanho de volume de usuário será mantido durante o processo de migração. Caso contrário, o processo de migração usará o tamanho maior do volume do usuário do WorkSpace de origem e o tamanho padrão do volume do usuário para o novo pacote. Migrar um WorkSpace

É possível migrar os WorkSpaces por meio do console do Amazon WorkSpaces, oAWS CLIou a API do Amazon WorkSpaces.

149 Amazon WorkSpaces Guia de administração Excluir um WorkSpace

Como migrar um WorkSpace

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione seu WorkSpace e escolha Actions (Ações), Migrate WorkSpaces (Migrar WorkSpaces). 4. Em Select Target Bundle (Selecionar pacote de destino), selecione o pacote para o qual você deseja migrar o WorkSpace. Note

Para migrar um BYOL WorkSpace de PCoIP para WSP, primeiro você deve criar um pacote BYOL com o protocolo WSP. Em seguida, você pode migrar seu PCoIP BYOL WorkSpaces para esse pacote WSP BYOL. 5. Em Assign WorkSpace Bundle (Atribuir pacote de WorkSpaces), escolha o pacote de destino para cada usuário do WorkSpace. Warning

Para cada WorkSpace, anote a hora do snapshot listado. Todas as alterações feitas no volume do usuário após o horário do snapshot listado são descartadas durante o processo de migração. 6. Escolha Migrate WorkSpaces (Migrar WorkSpaces).

Um novo WorkSpace com o statusPENDINGO será exibido no console do Amazon WorkSpaces. Quando a migração for concluída, o WorkSpace original será encerrado e o status do novo WorkSpace será definido como AVAILABLE. 7. (Opcional) Para excluir quaisquer pacotes personalizados e imagens que não são mais necessários, consulte Excluir um pacote ou imagem do WorkSpaces personalizado (p. 170).

Para migrar WorkSpaces por meio doAWS CLI, use omigrar-workspacecomando. Para migrar os WorkSpaces por meio da API do Amazon WorkSpaces, consulteMigrateWorkSpacenoReferência da API do Amazon WorkSpaces.

Excluir um WorkSpace

Quando não precisar mais de um WorkSpace, você poderá excluí-lo. Você também pode excluir os recursos relacionados. Warning

A exclusão de um WorkSpace é uma ação permanente e não pode ser desfeita. Os dados do usuário do WorkSpace não são persistidos e são destruídos. Para obter ajuda para fazer backup dos dados do usuário, entre em contatoAWSSupport. Note

O Simple AD e o AD Connector são disponibilizados gratuitamente para uso com o WorkSpaces. Se não houver nenhum WorkSpaces sendo usado com seu diretório Simple AD ou AD Connector por 30 dias consecutivos, esse diretório será automaticamente cancelado para uso com o Amazon WorkSpaces, e você será cobrado por esse diretório de acordo com oAWS Directory Servicecondições de preço do. Para excluir diretórios vazios, consulteExcluir o diretório do WorkSpaces (p. 71). Se você excluir o diretório do Simple AD ou do AD Connector, sempre poderá criar um novo quando quiser começar a usar o WorkSpaces novamente.

150 Amazon WorkSpaces Guia de administração Excluir um WorkSpace

Para excluir um WorkSpace

Você pode excluir um WorkSpace que esteja em qualquer estado, excetoSUSPENDED.

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione seu WorkSpace e escolha Ações, Remover WorkSpaces. 4. Quando a confirmação for solicitada, escolha Remover WorkSpaces. A exclusão de um WorkSpace demora aproximadamente 5 minutos. Durante a exclusão, o status do WorkSpace é definido comoTERMINATING. Quando a exclusão estiver completa, o status será definido brevemente comoTERMINATEDAntes que o WorkSpace desapareça do console do. 5. (Opcional) Para excluir todos os pacotes personalizados e imagens que não serão mais usados, consulte Excluir um pacote ou imagem do WorkSpaces personalizado (p. 170). 6. (Opcional) Depois de excluir todos os WorkSpaces em um diretório, você pode excluir o diretório. Para obter mais informações, consulte Excluir o diretório do WorkSpaces (p. 71). 7. (Opcional) Depois de excluir todos os recursos na rede virtual privada (VPC) para seu diretório, você pode excluir a VPC e liberar o endereço IP elástico usado para o gateway NAT. Para obter mais informações, consulteExcluir sua VPCeTrabalhar com endereços IP elásticosnoAmazon VPC User Guide.

Para excluir um WorkSpace usando oAWS CLI

Usar aTerminar workspacescomando.

151 Amazon WorkSpaces Guia de administração Criar uma imagem personalizada e um pacote

Pacotes e imagens do WorkSpace

O pacote do WorkSpace é uma combinação de sistema operacional e recursos de armazenamento, computação e software. Quando você ativar um WorkSpace, selecione o pacote que atenda às suas necessidades. Os pacotes padrão disponíveis para os WorkSpaces são chamados de pacotes públicos. Para obter mais informações sobre os vários pacotes públicos disponíveis para o WorkSpaces, consultePacotes do Amazon WorkSpaces.

Se você iniciou um WorkSpace do Windows ou do e o personalizou, será possível criar uma imagem personalizada nesse WorkSpace.

Uma imagem personalizada contém apenas o sistema operacional, o software e as configurações do WorkSpace. Um pacote personalizado é uma combinação dessa imagem personalizada com o hardware onde o WorkSpace pode ser executado.

Depois de criar uma imagem personalizada, será possível criar um pacote personalizado que combine a imagem personalizada do WorkSpace e a configuração de computação e armazenamento subjacente selecionada. Depois, você pode especificar esse pacote personalizado ao iniciar novos WorkSpaces para garantir que eles tenham a mesma configuração consistente (hardware e software).

Se você precisa realizar atualizações de software ou instalar software adicional em seus WorkSpaces, atualize seu pacote personalizado e recrie os WorkSpaces.

Tópicos • Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152) • Atualizar um pacote personalizado do WorkSpaces (p. 166) • Copiar uma imagem personalizada do WorkSpaces (p. 167) • Compartilhar ou descompartilhar uma imagem personalizada do WorkSpaces (p. 168) • Excluir um pacote ou imagem do WorkSpaces personalizado (p. 170) • Licenças Traga seu próprio desktop Windows (p. 171)

Crie uma imagem e um pacote personalizados do WorkSpaces

Se você iniciou um WorkSpace do Windows ou do e o personalizou, será possível criar uma imagem personalizada e pacotes personalizados desse WorkSpace.

Depois de criar uma imagem personalizada, será possível criar um pacote personalizado que combine a imagem personalizada e a configuração de computação e armazenamento subjacente selecionada. Depois, você pode especificar esse pacote personalizado ao iniciar novos WorkSpaces para garantir que eles tenham a mesma configuração consistente (hardware e software).

É possível usar a mesma imagem personalizada para criar vários pacotes personalizados selecionando diferentes opções de computação e armazenamento para cada pacote. Important

• Se você planeja criar uma imagem em um WorkSpace do Windows 10, observe que a criação de imagens não é compatível com os sistemas do Windows 10 que foram atualizados de uma

152 Amazon WorkSpaces Guia de administração Requisitos para criar imagens personalizadas do Windows

versão do Windows 10 para uma versão mais recente do Windows 10 (uma atualização de recurso/versão do Windows). No entanto, as atualizações cumulativas ou de segurança do Windows são compatíveis com o processo de criação de imagens do WorkSpaces. • Depois de 14 de janeiro de 2020, as imagens não podem ser criadas de pacotes públicos do Windows 7. Talvez você queira considerar a migração dos WorkSpaces do Windows 7 para o Windows 10. Para obter mais informações, consulte Migrar um WorkSpace (p. 146). • Pacotes de gráficos e GraphicsPro não estão disponíveis atualmente na região da Ásia-Pacífico (Mumbai).

Os pacotes personalizados custam o mesmo que os pacotes públicos pelos quais são criados. Para obter mais informações sobre definição de preços, consulte.Definição de preços Amazon WorkSpaces.

Tópicos • Requisitos para criar imagens personalizadas do Windows (p. 153) • Requisitos para criar imagens personalizadas do Amazon Linux (p. 154) • Práticas recomendadas (p. 154) • (Opcional) Etapa 1: Especificar um formato de nome de computador personalizado para sua imagem (p. 155) • Etapa 2: Execute o Verificador de Imagens (p. 156) • Etapa 3: Crie uma imagem personalizada e um pacote personalizado (p. 163) • O que está incluído nas imagens personalizadas do Windows WorkSpaces (p. 164) • O que está incluído nas imagens personalizadas do Amazon Linux WorkSpace (p. 165)

Requisitos para criar imagens personalizadas do Windows

• O status do WorkSpace deve ser Disponível e seu estado de modificação deve ser Nenhum. • Todos os aplicativos e perfis de usuário em imagens de WorkSpaces devem ser compatíveis com o Microsoft Sysprep. • Todos os aplicativos a serem incluídos na imagem devem ser instalados na unidade C. • O perfil do usuário deve existir, deve estar localizado em D:\Users\username e seu tamanho total (arquivos e dados) deve ser menor do que 10 GB. • A unidade C deve ter pelo menos 12 GB de espaço disponível. • Todos os serviços de aplicativos em execução no WorkSpace devem usar uma conta do sistema local, em vez de credenciais de usuário de domínio. Por exemplo, você não pode ter uma instalação do Microsoft SQL Server Express em execução com as credenciais de um usuário do domínio. • O WorkSpace não deve ser criptografado. A criação de imagem a partir de um WorkSpace criptografado não tem suporte no momento. • Os componentes a seguir são necessários em uma imagem. Sem esses componentes, os WorkSpaces iniciados a partir da imagem não funcionarão corretamente: • Windows PowerShell versão 3.0 ou posterior • Serviços de desktop remoto • AWSDrivers PV • Gerenciamento remoto do Windows (WinRM) • Agentes e drivers do Teradici PCoIP • Agentes e drivers do STXHD • AWSCertificados do WorkSpaces • Agente do Skylight

153 Amazon WorkSpaces Guia de administração Requisitos para criar imagens personalizadas do Amazon Linux Requisitos para criar imagens personalizadas do Amazon Linux

• O status do WorkSpace deve ser Disponível e seu estado de modificação deve ser Nenhum. • Todos os aplicativos a serem incluídos na imagem devem ser instalados fora do volume do usuário (o diretório /home). • O volume raiz (/) deve estar com menos de 97% de sua capacidade ocupada. • O WorkSpace não deve ser criptografado. A criação de imagem a partir de um WorkSpace criptografado não tem suporte no momento. • Os componentes a seguir são necessários em uma imagem. Sem esses componentes, os WorkSpaces iniciados a partir da imagem não funcionarão corretamente: • Cloud-init • Agentes e drivers do Teradici PCoIP • Agente do Skylight

Práticas recomendadas

Antes de criar uma imagem de um WorkSpace, faça o seguinte:

• Use uma VPC separada que não esteja conectada ao ambiente de produção. • Implante o WorkSpace em uma sub-rede privada e use uma instância NAT para tráfego de saída. • Use um pequeno diretório do Simple AD. • Use o menor tamanho de volume para o WorkSpace de origem e ajuste o tamanho do volume conforme necessário ao criar o pacote personalizado. • Instale todas as atualizações do sistema operacional (exceto as atualizações de recurso/versão do Windows) e todas as atualizações de aplicativos no WorkSpace. Para obter mais informações, consulte a Observação importante (p. 152) no início deste tópico. • Exclua os dados em cache no WorkSpace que não devem ser incluídos no pacote (por exemplo, histórico de navegador, arquivos em cache e cookies do navegador). • Exclua as definições de configuração do WorkSpace que não devem ser incluídas no pacote (por exemplo, perfis de e-mail). • Alterne para configurações de endereço IP dinâmico usando DHCP. • Não exceda sua cota para imagens do WorkSpace permitidas em uma região. Por padrão, são permitidas 40 imagens do WorkSpace por região. Se você atingiu essa cota, ocorrerão falhas em novas tentativas de criar uma imagem. Para solicitar um aumento na cota, use oformulário Limites do WorkSpaces. • Verifique se não está tentando criar uma imagem a partir de um WorkSpace criptografado. A criação de imagem a partir de um WorkSpace criptografado não tem suporte no momento. • Se você estiver executando qualquer software antivírus no WorkSpace, desative-o enquanto estiver tentando criar uma imagem. • Se você tiver um firewall habilitado no WorkSpace, certifique-se de que ele não esteja bloqueando nenhuma porta necessária. Para obter mais informações, consulte Requisitos de porta e endereço IP para WorkSpaces (p. 18). • Para WorkSpaces do Windows, não configure GPOs (Objetos de política de grupo) antes da criação da imagem. • Para WorkSpaces do Windows, não personalize o perfil do usuário padrão (C:\Users\Default) antes de criar uma imagem. Recomendamos fazer personalizações no perfil do usuário por meio de GPOs

154 Amazon WorkSpaces Guia de administração (Opcional) Etapa 1: Especificar um formato de nome de computador personalizado para sua imagem

e aplicá-los após a criação da imagem. Os GPOs podem ser facilmente modificados ou revertidos e, portanto, são menos propensos a erros do que as personalizações feitas no perfil do usuário padrão. • Para WorkSpaces Linux, consulte também o whitepaper “Melhores práticas para preparar seus Amazon WorkSpaces para imagens Linux”. • Se você quiser usar cartões inteligentes no Linux WorkSpaces com o WorkSpaces Streaming Protocol (WSP) ativado, consulteUsar cartões inteligentes para autenticação (p. 37)para as personalizações que você deve fazer no seu Linux WorkSpace antes de criar sua imagem.

(Opcional) Etapa 1: Especificar um formato de nome de computador personalizado para sua imagem

Para os WorkSpaces iniciados a partir de suas imagens personalizadas ou BYOL (Bring Your Own License), você pode especificar um prefixo personalizado para o formato de nome do computador em vez de usar oFormato padrão do nome do computador (p. 76). Para especificar um prefixo personalizado, siga o procedimento apropriado para o tipo de imagem.

Para especificar um formato de nome de computador personalizado para imagens personalizadas

1. No WorkSpace que você está usando para criar sua imagem personalizada, abra oC:\ProgramData \Amazon\EC2-Windows\Launch\Sysprep\Unattend.xmlno Bloco de Notas ou em outro editor de texto. Para obter mais informações sobre como trabalhar com oUnattend.xml, consulteArquivos de resposta (unattend.xml)na documentação da Microsoft. Note

Para acessar a unidade C: a partir do Explorador de Arquivos do Windows no WorkSpace, digiteC:\na barra de endereços. 2. No, verifique seé definido como um asterisco (*). Seestiver definido como qualquer outro valor, as definições de nome de computador personalizadas serão ignoradas. Para obter mais informações sobre o, consulteNomeComputadorna documentação da Microsoft. 3. Noseção, definaePara os valores de preferência.

Durante o Sysprep, os valores que você especifica paraesão concatenados juntos, e os primeiros 7 caracteres da cadeia combinada são usados para criar o nome do computador. Por exemplo, se você especificarAmazon.comparaeEC2para, os nomes de computador para os WorkSpaces criados a partir de seu pacote personalizado começarão com EC2AMAZ-xxxxxxx. Note

OeValor do nosão ignoradas pelo Sysprep. 4. Salve as alterações no arquivo Unattend.xml.

Para especificar um formato de nome de computador personalizado para imagens BYOL

1. AbertoC:\Program Files\Amazon\Ec2ConfigService\Sysprep2008.xmlno Bloco de Notas ou em outro editor de texto.

155 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

2. Noseção, uncomment*e verifique seé definido como um asterisco (*). Seestiver definido como qualquer outro valor, as definições de nome de computador personalizadas serão ignoradas. Para obter mais informações sobre o, consulteNomeComputadorna documentação da Microsoft. 3. Noseção, definaePara os valores de preferência.

OeValor do nosão ignoradas pelo Sysprep. 4. Salve as alterações no arquivo Sysprep2008.xml.

Etapa 2: Execute o Verificador de Imagens Note

O Verificador de Imagens está disponível apenas para WorkSpaces do Windows. Se você estiver criando uma imagem de um WorkSpace do Linux, vá para Etapa 3: Crie uma imagem personalizada e um pacote personalizado (p. 163).

Para confirmar se o WorkSpace do Windows atende aos requisitos de criação de imagem, recomendamos executar o Verificador de Imagens. O Verificador de Imagens executa uma série de testes no WorkSpace que você deseja usar para criar a imagem e fornece orientações sobre como resolver quaisquer problemas encontrados. Important

• O WorkSpace deve passar em todos os testes executados pelo Verificador de Imagens para que você possa usá-lo para criação de imagem. • Antes de executar o Verificador de Imagens, verifique se as atualizações cumulativas e de segurança do Windows mais recentes estão instaladas no WorkSpace. • O Verificador de imagens não verifica o tamanho do perfil de usuário para Windows 10 WorkSpaces. Se você tiver um Windows 10 WorkSpace, verifique se o tamanho do perfil de usuário é inferior a 10 GB.

Para obter o Verificador de Imagens, siga um destes procedimentos:

• Reinicializar o WorkSpace (p. 137). O Verificador de imagens é baixado automaticamente durante a reinicialização e instalado em C:\Program Files\Amazon\ImageChecker.exe. • Faça download do Amazon WorkSpaces Image Checker emhttps://tools.amazonworkspaces.com/ ImageChecker.zip e extraia oImageChecker.exefile. Copie esse arquivo em C:\Program Files \Amazon\.

Como executar o Verificador de Imagens

1. Abra o arquivo C:\Program Files\Amazon\ImageChecker.exe.

156 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

2. Na caixa de diálogo Amazon WorkSpaces Image Checker (Verificador de imagens do Amazon WorkSpaces) escolha Run (Executar). 3. Após a conclusão de cada teste, você pode visualizar o status do teste.

Para qualquer teste com o status FAILED (Com falha), selecione Info (Informações) para exibir informações sobre como resolver o problema que provocou a falha. Para obter mais informações sobre como resolver esses problemas, consulte Dicas para resolver problemas detectados pelo Verificador de imagens (p. 157).

Se algum teste exibir o status WARNING (Aviso), selecione o botão Fix all warnings (Corrigir todos os avisos).

A ferramenta gera um arquivo de log de saída no mesmo diretório onde o Verificador de Imagens está localizado. Por padrão, esse arquivo está localizado em C:\Program Files\Amazon \ImageChecker_yyyyMMddhhmmss.log. Tip

Não exclua esse arquivo de log. Se ocorrer um problema, esse arquivo de log poderá ser útil na solução de problemas. 4. Se aplicável, resolva quaisquer problemas que causem falhas de teste e avisos e repita o processo de execução do Verificador de Imagens até que o WorkSpace passe em todos os testes. Todas as falhas e avisos devem ser resolvidos para que você possa criar uma imagem. 5. Depois que o WorkSpace passar em todos os testes, você verá a mensagem Validation Successful (Validação bem-sucedida). Agora você está pronto para criar um pacote personalizado.

Dicas para resolver problemas detectados pelo Verificador de imagens

Além de consultar as dicas a seguir para resolver problemas detectados pelo Verificador de imagens, verifique o arquivo de log do Verificador de imagens em C:\Program Files\Amazon \ImageChecker_yyyyMMddhhmmss.log.

O PowerShell versão 3.0 ou posterior deve ser instalado

Instale a versão mais recente do Microsoft Windows PowerShell. Important

A política de execução do PowerShell para um WorkSpace deve ser definida para permitir scripts RemoteSigned. Para verificar a política de execução, execute o comando Get-ExecutionPolicy do PowerShell. Se a política de execução não estiver definida como Unrestricted (Irrestrito) ou RemoteSigned, execute o comando Set-ExecutionPolicy —ExecutionPolicy RemoteSigned para alterar o valor da política de execução. A configuração RemoteSigned permite a execução de scripts no Amazon WorkSpaces, o que é necessário para criar uma imagem.

Somente as unidades C e D podem estar presentes

Somente as unidades C e D podem estar presentes em um WorkSpace que é usado para criação de imagens. Remova todas as outras unidades, incluindo unidades virtuais.

Nenhuma reinicialização pendente devido às atualizações do Windows pode ser detectada

• O processo de criação de imagem não pode ser executado até que o Windows tenha sido reiniciado para concluir a instalação de atualizações de segurança ou cumulativas. Reinicie o Windows para aplicar essas atualizações e certifique-se de que nenhuma outra atualização de segurança ou cumulativa do Windows precise ser instalada.

157 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

• Não há suporte para a criação de imagens nos sistemas Windows 10 que foram atualizados de uma versão do Windows 10 para uma mais recente (uma atualização de recurso/versão do Windows). No entanto, as atualizações cumulativas ou de segurança do Windows são compatíveis com o processo de criação de imagens do WorkSpaces.

O arquivo Sysprep deve existir e não pode estar em branco

Se houver problemas com o arquivo Sysprep, entre em contato com oAWS SupportCentroPara reparar seu EC2Config ou EC2Launch.

O tamanho do perfil do usuário deve ser inferior a 10 GB

O perfil do usuário (D:\Users\username) deve ter menos de 10 GB no total. Remova os arquivos conforme necessário para reduzir o tamanho do perfil do usuário.

A unidade C deve ter espaço livre suficiente

Você deve ter pelo menos 12 GB de espaço livre na unidade C. Remova os arquivos conforme necessário para liberar espaço na unidade C.

Nenhum serviço pode estar em execução em uma conta de domínio

Para executar o processo de criação de imagem, nenhum serviço no WorkSpace pode estar em execução em uma conta de domínio. Todos os serviços devem estar em execução em uma conta local.

Como executar serviços em uma conta local

1. Abra C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log e localize a lista de serviços que estão em execução em uma conta de domínio. 2. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços do Windows. 3. Em Log On As (Fazer login como), procure os serviços que estão em execução em contas de domínio. (Os serviços executados como Local System (Sistema local), Local Service (Serviço local) ou Network Service (Serviço de rede) não interferem na criação de imagens.) 4. Selecione um serviço que esteja em execução em uma conta de domínio e escolha Action (Ação), Properties (Propriedades). 5. Abra a guia Log On (Fazer login). Em Log on as (Fazer login como), escolha Local System account (Conta do sistema local). 6. Escolha OK.

O Amazon WorkSpaces Application Manager (Amazon WAM) deve ser instalado

Se você usou o Amazon WAM para atribuir aplicativos aos seus usuários, deveráconfigurar o instalador do Amazon WAM em seu WorkSpace. Quando terminar, oAmazon WAMO atalho do será exibido na área de trabalho do WorkSpace.

O WorkSpace deve ser configurado para usar DHCP

É necessário configurar todos os adaptadores de rede no WorkSpace para usar DHCP em vez de endereços IP estáticos.

Como definir todos os adaptadores de rede para usar DHCP

1. Na caixa de pesquisa do Windows, digite control panel para abrir o Painel de Controle.

158 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

2. Escolha Rede e Internet. 3. Escolha Central de Rede e Compartilhamento. 4. Escolha Alterar as configurações do adaptador e selecione um adaptador. 5. Escolha Alterar as configurações desta conexão. 6. Na guia Rede selecione Protocolo TCP/IP Versão 4 (TCP/IPv4) e, depois, escolha Propriedades. 7. Na caixa de diálogo Propriedades de Protocolo TCP/IP Versão 4 (TCP/IPv4) selecione Obter um endereço IP automaticamente. 8. Escolha OK. 9. Repita esse processo para todos os adaptadores de rede no WorkSpace.

Os Serviços de área de trabalho remota devem estar habilitados

O processo de criação de imagem requer que os Serviços de área de trabalho remota sejam habilitados.

Como habilitar os Serviços de área de trabalho remota

1. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços do Windows. 2. Na coluna Name (Nome) localize Remote Desktop Services (Serviços de área de trabalho remota). 3. Selecione Remote Desktop Services (Serviços de área de trabalho remota) e, depois, escolha Action (Ação), Properties (Propriedades). 4. Na guia General (Geral), em Startup type (Tipo de inicialização), escolha Manual ou Automatic (Automático). 5. Escolha OK.

Deve existir um perfil do usuário

O WorkSpace que você está usando para criar imagens deve ter um perfil do usuário (D:\Users \username). Se falhar nesse teste, entre em contato com oAWS SupportCentroPara obter ajuda.

O caminho da variável de ambiente deve ser configurado corretamente

O caminho da variável de ambiente para a máquina local não tem entradas para System32 e Windows PowerShell. Essas entradas são necessárias para a execução do processo de criação de imagem.

Como configurar o caminho da variável de ambiente

1. Na caixa de pesquisa do Windows, insira environment variables e escolha Edit the system environment variables (Editar as variáveis de ambiente do sistema). 2. Na caixa de diálogo System Properties (Propriedades do sistema), abra a guia Advanced (Avançado) e escolha Environment Variables (Variáveis de ambiente). 3. Na caixa de diálogo Environment Variables (Variáveis de ambiente), em System variables (Variáveis de sistema), selecione a entrada Path (Caminho) e escolha Edit (Editar). 4. Escolha New (Novo) e adicione o seguinte caminho:

C:\Windows\System32 5. Escolha New (Novo) novamente e adicione o seguinte caminho:

C:\Windows\System32\WindowsPowerShell\v1.0\ 6. Escolha OK. 7. Reinicie o WorkSpace.

159 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

Tip

A ordem em que os itens aparecem no caminho da variável de ambiente é importante. Para determinar a ordem correta, convém comparar o caminho da variável de ambiente do WorkSpace com um de um WorkSpace recém-criado ou uma nova instância do Windows.

O instalador de módulos do Windows deve estar habilitado

O processo de criação de imagem requer que o serviço Instalador de módulos do Windows esteja habilitado.

Como habilitar o serviço Instalador de módulos do Windows

1. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços do Windows. 2. Na coluna Name (Nome), localize Windows Modules Installer (Instalador de módulos do Windows). 3. Selecione Windows Modules Installer (Instalador de módulos do Windows) e, depois, escolha Action (Ação), Properties (Propriedades). 4. Na guia General (Geral), em Startup type (Tipo de inicialização), escolha Manual ou Automatic (Automático). 5. Escolha OK.

O Amazon SSM Agent deve ser desativado

O processo de criação de imagem requer que o serviço Amazon SSM Agent seja desativado.

Como desativar o serviço Amazon SSM Agent

1. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços do Windows. 2. Na coluna Name (Nome), localize o Amazon SSM Agent. 3. Selecione Amazon SSM Agent e, depois, escolha Action (Ação), Properties (Propriedades). 4. Na guia General (Geral), em Startup type (Tipo de inicialização), escolha Disabled (Desativado). 5. Escolha OK.

O SSL3 e o TLS versão 1.2 devem estar habilitados

Para configurar o SSL/TLS para Windows, consulte Como habilitar o TLS 1.2 na documentação do Microsoft Windows. Somente um perfil do usuário pode existir no WorkSpace

Só pode haver um perfil do usuário dos WorkSpaces (D:\Users\username) no WorkSpace que você está usando para criar imagens. Exclua todos os perfis do usuário que não pertençam ao usuário pretendido do WorkSpace.

Para que a criação de imagens funcione, o WorkSpace pode ter apenas três perfis do usuário:

• O perfil do usuário pretendido do WorkSpace (D:\Users\username) • O perfil do usuário padrão (também conhecido como perfil padrão) • O perfil do usuário Administrador

Se houver perfis do usuário adicionais, será possível excluí-los por meio das propriedades avançadas do sistema no Painel de Controle do Windows.

160 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

Como excluir um perfil do usuário

1. Para acessar as propriedades avançadas do sistema, siga um destes procedimentos:

• Pressione a tecla Windows+Pause Break e escolha Advanced system settings (Configurações avançadas do sistema) no painel esquerdo da caixa de diálogo Control Panel (Painel de Controle) > System and Security (Sistema e Segurança) > System (Sistema). • Na caixa de pesquisa do Windows, digite control panel. No Painel de Controle, escolha System and Security (Sistema e Segurança), escolha System (Sistema) e, depois, selecione Advanced system settings (Configurações avançadas do sistema) no painel esquerdo da caixa de diálogo Control Panel (Painel de Controle) > System and Security (Sistema e Segurança) > System (Sistema). 2. Na caixa de diálogo System Properties (Propriedades do sistema) na guia Advanced (Avançado) escolha Settings (Configurações) em User Profiles (Perfis do usuário). 3. Se estiver listado qualquer perfil que não seja o Administrador, o perfil padrão e o perfil do usuário do WorkSpaces pretendido, selecione esse perfil adicional e escolha Delete (Excluir). 4. Quando perguntado se deseja excluir o perfil, escolha Yes (Sim). 5. Se necessário, repita as Etapas 3 e 4 para remover quaisquer outros perfis que não pertençam ao WorkSpace. 6. Escolha OK duas vezes e feche o Painel de Controle. 7. Reinicie o WorkSpace.

Nenhum pacote AppX pode estar em um estado de preparo

Um ou mais pacotes AppX estão em um estado de preparo. Isso pode causar um erro de Sysprep durante a criação da imagem.

Como remover todos os pacotes do AppX preparados

1. Na caixa de pesquisa do Windows, digite powershell. Escolha Executar como administrador. 2. Quando perguntado “Deseja permitir que este aplicativo faça alterações no seu dispositivo?”, escolha Sim. 3. Na janela do Windows PowerShell, digite os seguintes comandos para listar todos os pacotes do AppX preparados e pressione Enter após cada um.

$workSpaceUserName = $env:username

$allAppxPackages = Get-AppxPackage -AllUsers

$packages = $allAppxPackages | Where-Object { ` (($_.PackageUserInformation -like "*S-1-5-18*" -and ! ($_.PackageUserInformation -like "*$workSpaceUserName*")) -and ` ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or ` ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and ` $_.PackageUserInformation -like "*Staged*") }

4. Digite o comando a seguir para remover todos os pacotes AppX preparados e pressione Enter.

$packages | Remove-AppxPackage -ErrorAction SilentlyContinue

161 Amazon WorkSpaces Guia de administração Etapa 2: Execute o Verificador de Imagens

5. Execute o Verificador de imagens novamente. Se este teste ainda falhar, digite os comandos a seguir para remover todos os pacotes AppX e pressione Enter após cada um.

Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue

Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue

O Windows não pode ter sido atualizado de uma versão anterior

Não há suporte para a criação de imagens nos sistemas Windows que foram atualizados de uma versão do Windows 10 para uma mais recente (atualização de um recurso/versão do Windows).

Para criar imagens, use um WorkSpace que não tenha sido submetido a uma atualização de recurso/ versão do Windows.

A contagem de rearmação do Windows não deve ser 0

O recurso rearmar permite que você estenda o período de ativação para a versão de avaliação do Windows. O processo de criação de imagem requer que a contagem de rearmação seja um valor diferente de 0.

Como verificar a contagem de rearmação do Windows

1. No menu Start (Iniciar) do Windows, escolha Windows System (Sistema Windows) e selecione Command Prompt (Prompt de comando). 2. Na janela Command Prompt (Prompt de comando), digite o comando a seguir e depois pressione Enter.

cscript C:\Windows\System32\slmgr.vbs /dlv

Para redefinir a contagem de rearmação como um valor diferente de 0, consulte Sysprep (Generalize) uma instalação do Windows na documentação do Microsoft Windows. Outras dicas de solução de

Se o WorkSpace passar em todos os testes executados pelo Verificador de imagens, mas você ainda não conseguir criar uma imagem a partir do WorkSpace, verifique os seguintes problemas:

• Certifique-se de que o WorkSpace não esteja atribuído a um usuário dentro de um grupo Convidados do domínio. Para verificar se existem contas de domínio, execute o comando do PowerShell a seguir.

Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "* $env:USERDOMAIN*" }

• Somente para Windows 7 WorkSpaces: Se ocorrerem problemas enquanto o perfil do usuário estiver sendo copiado durante a criação da imagem, verifique os seguintes problemas: • Caminhos de perfil longos podem causar erros de criação de imagem. Certifique-se de que os caminhos de todas as pastas dentro do perfil do usuário tenham menos de 261 caracteres. • Certifique-se de conceder permissões totais na pasta de perfil para o sistema e todos os pacotes de aplicativos. • Se algum arquivo no perfil do usuário estiver bloqueado por um processo ou estiver em uso durante a criação da imagem, poderá ocorrer uma falha na cópia do perfil. • Alguns GPOs (Objetos de política de grupo) restringem o acesso à impressão digital do certificado RDP quando ela é solicitada pelo serviço EC2Config ou pelos scripts EC2Launch durante a configuração da

162 Amazon WorkSpaces Guia de administração Etapa 3: Crie uma imagem personalizada e um pacote personalizado

instância do Windows. Antes de tentar criar uma imagem, mova o WorkSpace para uma nova unidade organizacional (UO) com herança bloqueada e nenhum GPO aplicado. • Verifique se o serviço Gerenciamento Remoto do Windows (WinRM) está configurado para ser iniciado automaticamente. Faça o seguinte: 1. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços do Windows. 2. Na coluna Nome localize Gerenciamento Remoto do Windows (WS-Management). 3. Selecione Gerenciamento Remoto do Windows (WS-Management) e escolha Ação, Propriedades. 4. Na guia Geral, em Tipo de inicialização, escolha Automático. 5. Escolha OK.

Etapa 3: Crie uma imagem personalizada e um pacote personalizado

Depois de validar a imagem do WorkSpace, é possível prosseguir com a criação da imagem e do pacote personalizados.

Como criar uma imagem e um pacote personalizados

1. Se você ainda estiver conectado ao WorkSpace, desconecte-se escolhendoAmazon WorkSpaceseDesconectarNo aplicativo cliente do WorkSpaces. 2. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 3. No painel de navegação, selecione WorkSpaces. 4. Selecione o WorkSpace e escolha Actions (Ações), Create Image (Criar imagem). Se o status do WorkSpace forSTOPPED, você deve iniciá-lo primeiro (escolhaAções,Iniciar WorkSpaces) antes de poder escolherAções,Criar imagem. 5. Uma mensagem é exibida, solicitando que você reinicie (reinicie) o WorkSpace antes de continuar. Reiniciar o WorkSpace atualiza o software Amazon WorkSpaces para a versão mais recente.

Reinicie o WorkSpace fechando a mensagem e siga as etapas emReinicialização de um WorkSpace (p. 137). Quando terminar, repita.Step 4 (p. 163)deste procedimento, mas desta vez escolherPróximoQuando a mensagem de reinicialização for exibida. Para criar uma imagem, o status do WorkSpace deve serAVAILABLEe seu estado de modificação deve serNenhum. 6. Insira um nome de imagem e uma descrição que o ajudarão a identificar a imagem e escolha Create Image (Criar imagem). Enquanto a imagem estiver sendo criada, o status do WorkSpace éSUSPENDEDE o WorkSpace não está disponível. 7. No painel de navegação, selecione Images (Imagens). A imagem é concluída quando o status do WorkSpace muda paraDisponível(Isso pode levar até 45 minutos). 8. Selecione a imagem personalizada e escolhaAções,Criar pacote. Note

Para criar um pacote de forma programática, use oCreateWorkspaceBundleAção de API. Para obter mais informações, consulteCreateWorkSpaceBundlenoReferência da API do Amazon WorkSpaces. 9. Insira o nome de um pacote e uma descrição. Depois, faça o seguinte:

• para oTipo de hardware do pacoteEscolha o hardware a ser usado ao iniciar o WorkSpaces a partir desse pacote personalizado. • para oConfigurações de armazenamento, selecione uma das combinações padrão para o volume raiz e o tamanho do volume do usuário ou selecioneCustom (Personalizado)e insira valores (até 2000 GB) paraTamanho do volume raizeTamanho do volume do usuário.

163 Amazon WorkSpaces Guia de administração O que está incluído nas imagens personalizadas do Windows WorkSpaces

As combinações de tamanho disponíveis padrão para o volume raiz (para o Microsoft Windows, oC, para Linux,/) e o volume do usuário (para Windows, oD; para Linux, /home) são os seguintes: • Raiz: 80 GB, Usuário: 10 GB, 50 GB ou 100 GB • Raiz: 175 GB, usuário: 100 GB • Somente para WorkSpaces Graphics e GraphicsPro: Raiz: 100 GB, usuário: 100 GB

Também é possível expandir os volumes raiz e do usuário para até 2.000 GB cada um. Note

Para garantir que os dados sejam preservados, não é possível diminuir o tamanho da raiz e os volumes do usuário ou depois que você iniciar um WorkSpace. Em vez disso, certifique- se de especificar os tamanhos mínimos para esses volumes ao iniciar um WorkSpace. É possível iniciar um WorkSpace Value, Standard, Performance, Power ou PowerPro com no mínimo 80 GB para o volume raiz e 10 GB para o volume do usuário. É possível iniciar um WorkSpace Graphics ou GraphicsPro com no mínimo 100 GB para o volume raiz e 100 GB para o volume do usuário. 10. SelecioneCriar pacote. 11. Para confirmar que seu pacote foi criado, escolhaPacotese verifique se o pacote está listado.

O que está incluído nas imagens personalizadas do Windows WorkSpaces

Ao criar uma imagem a partir de um WorkSpace do Windows 7 ou 10, todo o conteúdo da unidade C é incluído.

Para WorkSpaces do o Windows 10, o perfil do usuário em D:\Users\username não é incluído na imagem personalizada.

Para WorkSpaces do Windows 7, todo o conteúdo do perfil do usuário em D:\Users\username é incluído, exceto os seguintes itens:

• Contatos • Downloads • Música • Imagens • Jogos salvos • Vídeos • Podcasts • Máquinas virtuais • .virtualbox • Rastreamento • appdata\local\temp • appdata\roaming\apple computer\mobilesync\ • appdata\roaming\apple computer\logs\ • appdata\roaming\apple computer\itunes\iphone software updates\ • appdata\roaming\macromedia\flash player\macromedia.com\support\flashplayer\sys\ • appdata\roaming\macromedia\flash player\#sharedobjects\

164 Amazon WorkSpaces Guia de administração O que está incluído nas imagens personalizadas do Amazon Linux WorkSpace

• appdata\roaming\adobe\flash player\assetcache\ • appdata\roaming\microsoft\windows\recent\ • appdata\roaming\microsoft\office\recent\ • appdata\roaming\microsoft office\live meeting • appdata\roaming\microsoft shared\livemeeting shared\ • appdata\roaming\mozilla\firefox\crash reports\ • appdata\roaming\mcafee\common framework\ • appdata\local\microsoft\feeds cache • appdata\local\microsoft\windows\temporary internet files\ • appdata\local\microsoft\windows\history\ • appdata\local\microsoft\internet explorer\domstore\ • appdata\local\microsoft\internet explorer\imagestore\ • appdata\locallow\microsoft\internet explorer\iconcache\ • appdata\locallow\microsoft\internet explorer\domstore\ • appdata\locallow\microsoft\internet explorer\imagestore\ • appdata\local\microsoft\internet explorer\recovery\ • appdata\local\mozilla\firefox\profiles\

O que está incluído nas imagens personalizadas do Amazon Linux WorkSpace

Quando você cria uma imagem a partir de um WorkSpace do Amazon Linux, todo o conteúdo do volume do usuário (/home) é removido. O conteúdo do volume raiz (/) é incluído, exceto as seguintes pastas e chaves, que são removidas:

• /tmp • /var/spool/mail • /var/tmp • /var/lib/dhcp • /var/lib/cloud • /var/cache • /var/backups • /etc/sudoers.d • /etc/udev/rules.d/70-persistent-net.rules • /etc/network/interfaces.d/50-cloud-init.cfg • /etc/security/access.conf • /var/log/amazon/ssm • /var/log/pcoip-agent • /var/log/skylight • /var/lock/.skylight.domain-join.lock • /var/lib/skylight/domain-join-status • /var/lib/skylight/configuration-data • /var/lib/skylight/config-data.json

165 Amazon WorkSpaces Guia de administração Atualizar um pacote personalizado

• /home

As seguintes chaves são destruídas durante a criação da imagem personalizada:

• /etc/ssh/ssh_host_*_key • /etc/ssh/ssh_host_*_key.pub • /var/lib/skylight/tls.* • /var/lib/skylight/private.key • /var/lib/skylight/public.key

Atualizar um pacote personalizado do WorkSpaces

É possível atualizar um pacote de WorkSpaces personalizados existente modificando um WorkSpace com base no pacote, criando uma imagem do WorkSpace e atualizando o pacote com a nova imagem. Você pode ativar novos WorkSpaces usando o pacote atualizado. Important

Os WorkSpaces existentes não são atualizados automaticamente quando você atualiza o pacote no qual eles são baseados. Para atualizar os WorkSpaces existentes baseados em um pacote que você atualizou, você deve recriar os WorkSpaces ou excluí-los e recriá-los.

Para atualizar um pacote usando o console

1. Conecte-se a um WorkSpace com base no pacote e faça as alterações desejadas. Por exemplo, você pode aplicar os patches mais recentes do sistema operacional e dos aplicativos e instalar aplicativos adicionais.

Você também pode criar um WorkSpace com o mesmo pacote de software base (Plus ou Standard) que a imagem usada para criar o pacote e fazer alterações. 2. Se você ainda estiver conectado ao WorkSpace, desconecte-se escolhendoAmazon WorkSpaceseDesconectarNo aplicativo cliente dos WorkSpaces. 3. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 4. No painel de navegação, selecione WorkSpaces. 5. Selecione o WorkSpace e escolha Actions (Ações), Create Image (Criar imagem). Se o status do WorkSpace forSTOPPED, você deve iniciá-lo primeiro (escolhaAções,Iniciar WorkSpaces) antes de poder escolherAções,Criar imagem. 6. Insira um nome de imagem e uma descrição, e escolha Create Image (Criar imagem). O WorkSpace permanece indisponível enquanto a imagem está sendo criada. Para obter informações detalhadas sobre o processo de criação de imagens, consulte.Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152). 7. No painel de navegação, selecione Pacotes. 8. Escolha o pacote para abrir sua página details e, depois, emImagem de origem, escolhaEdite. 9. NoAtualizar imagem de origemSelecione a imagem que você criou e escolhaPacote de atualização. 10. Conforme necessário, atualize todos os WorkSpaces existentes baseados no pacote recriando os WorkSpaces ou excluindo-os e recriando-os. Para obter mais informações, consulte Recriação de um WorkSpace (p. 137).

Para atualizar um pacote programaticamente

166 Amazon WorkSpaces Guia de administração Copiar uma imagem personalizada

Para atualizar um pacote de forma programática, use oUpdateWorkspaceBundleAção de API. Para obter mais informações, consulteUpdateWorkSpaceBundlenoReferência da API do Amazon WorkSpaces.

Copiar uma imagem personalizada do WorkSpaces

É possível copiar uma imagem personalizada do WorkSpaces em ou entreAWSRegiões. A cópia de uma imagem resulta na criação de uma imagem idêntica, mas com seu próprio identificador exclusivo.

É possível copiar uma imagem BYOL (Bring Your Own License) para outra região, desde que a região de destino esteja habilitada para BYOL. Note

Na região da China (Ningxia), você pode copiar imagens somente dentro da mesma região. NoAWSRegião GovCloud (EUA-Oeste), para copiar imagens de e para outrosAWSRegiões, contato com oAWSSupport.

Também é possível copiar uma imagem compartilhada com você por outroAWSconta. Para obter mais informações sobre imagens compartilhadas, consulte.Compartilhar ou descompartilhar uma imagem personalizada do WorkSpaces (p. 168).

Não há cobrança adicional para a cópia de imagens dentro ou entre regiões. No entanto, é aplicada a cota de número de imagens na região de destino. Para obter mais informações sobre cotas de Amazon WorkSpaces, consulte.Cotas do Amazon WorkSpaces (p. 243).

Permissões do IAM para copiar uma imagem

Se você usar um usuário do IAM para copiar uma imagem, o usuário deverá ter permissões paraworkspaces:DescribeWorkspaceImageseworkspaces:CopyWorkspaceImage.

A política de exemplo a seguir permite que o usuário copie a imagem especificada para a conta especificada na região especificada.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:DescribeWorkspaceImages", "workspaces:CopyWorkspaceImage" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg" ] } ] }

Important

Se você estiver criando uma política do IAM para copiar imagens compartilhadas para contas que não possuem as imagens, não será possível especificar um ID de conta no ARN. Em vez disso, você deve usar*Para obter o ID da conta, conforme mostrado na política de exemplo a seguir.

{ "Version": "2012-10-17",

167 Amazon WorkSpaces Guia de administração Compartilhar ou descompartilhar uma imagem personalizada

"Statement": [ { "Effect": "Allow", "Action": [ "workspaces:DescribeWorkspaceImages", "workspaces:CopyWorkspaceImage" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:workspaceimage/wsi-a1bcd2efg" ] } ] }

Você pode especificar um ID de conta no ARN somente quando essa conta possui as imagens a serem copiadas.

Para obter mais informações sobre como trabalhar com o IAM, consulte.Gerenciamento de identidade e acesso para o WorkSpaces (p. 210).

Criar cópia de imagens

É possível copiar imagens uma a uma usando o console. Para copiar imagens em massa, use oCopyWorkspaceImageOperação da API ou docopy-workspace-imageComando da noAWS Command Line Interface(AWS CLI). Para obter mais informações, consulteCopyworkSpaceImagenoReferência da API do Amazon WorkSpacesou consultecopiar-imagem-espaço de trabalhonoAWS CLIReferência de comandos da. Important

Antes de copiar uma imagem compartilhada, verifique se ela foi compartilhada a partir doAWSconta. Para determinar se uma imagem foi compartilhada e ver oAWSO ID da conta que possui uma imagem, use oDescribeWorkSpaceImageseDescribeWorkSpaceImagePermissionsOperações de API ou odescribe-workspace imagens-edescribe-workspace-image-permissõesComandos do noAWS CLI.

Para copiar uma imagem usando o console

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Images (Imagens). 3. Selecione a imagem personalizada e escolhaAções,Copiar imagem. 4. para oSelecionar destino, selecione oAWSRegião para a qual você deseja copiar a imagem. 5. para oNome da cópiaDigite o novo nome da imagem copiada e, por meio doDescriçãoDigite uma descrição para a imagem copiada. 6. (Opcional) EmTagsInsira as tags da imagem copiada. Para obter mais informações, consulte Marcar recursos do WorkSpaces (p. 127). 7. SelecioneCopiar imagem.

Compartilhar ou descompartilhar uma imagem personalizada do WorkSpaces

É possível compartilhar imagens personalizadas do WorkSpaces entre contas da AWS dentro da mesma região da AWS. Após compartilhar uma imagem, a conta do destinatário poderá copiar a imagem para

168 Amazon WorkSpaces Guia de administração Compartilhar ou descompartilhar uma imagem personalizada outras regiões da AWS conforme necessário. Para obter mais informações sobre como copiar imagens, consulte.Copiar uma imagem personalizada do WorkSpaces (p. 167). Note

Na região da China (Ningxia), você pode copiar imagens somente dentro da mesma região. NoAWSRegião GovCloud (EUA-Oeste), para copiar imagens de e para outrosAWSRegiões, contato com oAWSSupport.

Não há cobranças adicionais pelo compartilhamento de uma imagem. No entanto, a cota de número de imagens naAWSA região se aplica. Uma imagem compartilhada não conta na cota da conta do destinatário até que o destinatário copie a imagem. Para obter mais informações sobre cotas de Amazon WorkSpaces, consulte.Cotas do Amazon WorkSpaces (p. 243).

Para excluir uma imagem compartilhada, você deve cancelar o compartilhamento da imagem antes de excluí-la.

Compartilhar as imagens da License

Você pode compartilhar imagens Bring Your Own License (BYOL) somente com oAWSque estão habilitadas para BYOL. A conta da AWS com a qual deseja compartilhar imagens de BYOL também deve fazer parte da sua organização (na mesma conta do pagante). Note

Compartilhando imagens BYOLAWSAs contas não são compatíveis no momento naAWSRegião GovCloud (EUA-Oeste). Para compartilhar imagens BYOL entre contas noAWSRegião GovCloud (EUA-Oeste), entre em contato com oAWSSupport.

Imagens compartilhadas com você

Se as imagens forem compartilhadas com você, você poderá copiá-las. Você pode usar as cópias das imagens compartilhadas para criar pacotes e executar novos WorkSpaces. Important

Antes de copiar uma imagem compartilhada, verifique se ela foi compartilhada a partir doAWSconta. Para determinar programaticamente se uma imagem foi compartilhada, use oDescribeWorkSpaceImageseDescribeWorkSpaceImagePermissionsOperações de API ou odescribe-workspace imagens-edescribe-workspace-image-permissõesComandos do noAWSInterface da linha de comando (CLI).

A data de criação mostrada para uma imagem que foi compartilhada com você é a data em que a imagem foi criada originalmente, e não a data em que a imagem foi compartilhada com você.

Se uma imagem foi compartilhada com você, não será possível compartilhar essa imagem com outras contas.

Para compartilhar uma imagem

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Images (Imagens). 3. Escolha a imagem para abrir sua página details. 4. Na página de detalhes da imagem, naContas compartilhadasSeção, selecioneAdicionar conta. 5. NoAdicionar contapágina, emAdicionar conta com a qual compartilharInsira o ID da conta com a qual você deseja compartilhar a imagem.

169 Amazon WorkSpaces Guia de administração Excluir um pacote ou uma imagem personalizada

Important

Antes de compartilhar a imagem, confirme se você está compartilhando com oAWSID da conta da. 6. SelecioneCompartilhar imagem. Note

Para usar a imagem compartilhada, a conta do destinatário deve primeiroCopie a imagem (p. 167). Dessa forma, a conta de destinatário poderá usar sua cópia da imagem compartilhada para criar pacotes e executar novos WorkSpaces.

Para cancelar o compartilhamento de uma imagem

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Images (Imagens). 3. Escolha a imagem para abrir sua página details. 4. Na página de detalhes da imagem, naContas compartilhadas, selecione oAWSCom a qual você deseja interromper o compartilhamento e escolhaunshare. 5. Quando solicitado a confirmar o descompartilhamento da imagem, escolhaunshare. Note

Se você quiser excluir a imagem depois de descompartilhá-la, primeiro você deve descompartilhá-la de todas as contas com as quais ela foi compartilhada.

Após interromper o compartilhamento de imagens, a conta de destinatário não poderá mais fazer cópias dessa imagem. No entanto, todas as cópias de imagens compartilhadas que já estão na conta de destinatário permanecerão nessa conta e novos WorkSpaces poderão ser executados com essas cópias.

Para compartilhar ou cancelar o compartilhamento de imagens programaticamente

Para compartilhar ou cancelar o compartilhamento de imagens programaticamente, use oUpdateWorkSpaceImagePermissionOperação da API ou doupdate-workspace-image-permissão AWS Command Line Interface(AWS CLI). Para determinar se uma imagem foi compartilhada, use oDescribeWorkSpaceImagePermissionsOperação da API ou dodescribe-workspace-image- permissõesComando da CLI.

Excluir um pacote ou imagem do WorkSpaces personalizado

É possível excluir pacotes personalizados ou imagens personalizadas não utilizados, conforme necessário. Excluir um pacote

Para excluir um pacote, você deve primeiro excluir todos os WorkSpaces que estão de acordo com o pacote.

Para excluir um pacote usando o console

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Pacotes.

170 Amazon WorkSpaces Guia de administração Excluir uma imagem

3. Selecione o pacote e escolhaExcluir. 4. Quando a confirmação for solicitada, escolha Excluir.

Para excluir um pacote programaticamente

Para excluir um pacote de forma programática, use oDeleteWorkspaceBundleAção de API. Para obter mais informações, consulteDeleteWorkSpaceBundlenoReferência da API do Amazon WorkSpaces. Excluir uma imagem

Depois de excluir um pacote personalizado, é possível excluir a imagem que usou para criar ou atualizar o pacote.

Para excluir uma imagem, você deve primeiro excluir todos os pacotes associados à imagem ou atualizar esses pacotes para usar outra imagem de origem. Também é necessário cancelar o compartilhamento da imagem, caso ela seja compartilhada com outras contas. A imagem também não pode estar noPendenteouValidatingEstado.

Para excluir uma imagem usando o console

Para excluir uma imagem programaticamente

Para excluir uma imagem de forma programática, use oDeleteWorkspaceImageAção de API. Para obter mais informações, consulteDeleteWorkSpaceImagenoReferência da API do Amazon WorkSpaces.

Licenças Traga seu próprio desktop Windows

Se o seu acordo de licenciamento com a Microsoft permitir, será possível usar as licenças de desktop do Windows 10 Enterprise ou do Windows 10 Pro nos WorkSpaces. Para fazer isso, é necessário trazer sua própria licença do Windows (BYOL) e fornecer uma licença do Windows 10 que atenda aos requisitos a seguir. Para obter mais informações sobre como usar o software da Microsoft em.AWS, consulteAmazon Web Services e Microsoft.

Para permanecer em conformidade com os termos de licenciamento da Microsoft, a AWS executa o WorkSpaces BYOL em um hardware dedicado a você na Nuvem AWS. Ao trazer sua própria licença, você pode proporcionar uma experiência consistente para os seus usuários. Para obter mais informações, consultePreço do WorkSpaces. Important

Não há suporte para a criação de imagens nos sistemas Windows 10 que foram atualizados de uma versão do Windows 10 para uma mais recente (uma atualização de recurso/versão do Windows). No entanto, as atualizações cumulativas ou de segurança do Windows são compatíveis com o processo de criação de imagens do WorkSpaces.

Tópicos • Requirements (p. 172)

171 Amazon WorkSpaces Guia de administração Requirements

• Versões do Windows compatíveis com BYOL (p. 173) • Adicionar o Microsoft Office à sua imagem BYOL (p. 174) • Etapa 1: Verifique a elegibilidade de sua conta para BYOL usando o console do Amazon WorkSpaces (p. 177) • Etapa 2: Ativar BYOL para sua conta para BYOL usando o console do Amazon WorkSpaces (p. 178) • Etapa 3: Executar o script BYOL Checker PowerShell em uma VM do Windows (p. 179) • Etapa 4: Exportar a VM a partir do seu ambiente de virtualização (p. 180) • Etapa 5: Importe a VM como uma imagem no Amazon EC2 (p. 180) • Etapa 6: Criar uma imagem BYOL usando o console do WorkSpaces (p. 181) • Etapa 7: Crie um pacote personalizado a partir da imagem BYOL (p. 182) • Etapa 8 Registrar um diretório dedicado para o WorkSpaces (p. 182) • Etapa 9 Inicie seus WorkSpaces BYOL (p. 183)

Requirements

Antes de começar, verifique o seguinte:

• Seu contrato de licenciamento da Microsoft permite que o Windows seja executado em um ambiente de host virtual. • Se você pretende usar pacotes não habilitados para GPU (pacotes que não sejam Graphics e GraphicsPro), verifique se usará, no mínimo, 200 WorkSpaces por região. Esses 200 WorkSpaces podem ser qualquer combinação de WorkSpaces AlwaysOn e AutoStop. Usar, no mínimo, 200 WorkSpaces por região é um requisito para executar seus WorkSpaces em hardware dedicado. É necessário executar seus WorkSpaces em hardware dedicado para estar em conformidade com os requisitos de licenciamento da Microsoft. O hardware dedicado é provisionado noAWSPara que sua VPC possa permanecer na locação padrão.

Se planeja usar pacotes habilitados para GPU (Graphics and GraphicsPro), verifique se você executará um mínimo de 4 WorkSpaces AlwaysOn ou 20 AutoStop habilitados para GPU em uma região por mês em um hardware dedicado. Note

• Os pacotes gráficos e GraphicsPro podem ser criados apenas para o protocolo PCoIP no momento. • Os pacotes GraphicsPro e GraphicsPro não estão disponíveis atualmente na região da Ásia- Pacífico (Mumbai). • O WorkSpaces pode usar uma interface de gerenciamento no intervalo de endereço IP /16. A interface de gerenciamento é conectada a uma rede de gerenciamento do WorkSpaces do segura usada para streaming interativo. Isso permite que o WorkSpaces gerencie os WorkSpaces. Para obter mais informações, consulte Interfaces de rede (p. 30). É necessário reservar uma máscara de rede /16 de pelo menos um dos seguintes intervalos de endereços IP para este fim: • 10.0.0.0/8 • 100.64.0.0/10 • 172.16.0.0/12 • 192.168.0.0/16 • 198.18.0.0/15 Note

• À medida que você adotar o serviço do WorkSpaces, os intervalos de endereços IP da interface de gerenciamento disponíveis mudam com frequência. Para determinar quais

172 Amazon WorkSpaces Guia de administração Versões do Windows compatíveis com BYOL

intervalos estão disponíveis no momento, execute o comando list-available-management- cidr-ranges da AWS Command Line Interface (AWS CLI). • Além do bloco CIDR /16 selecionado, o intervalo de endereços IP 54.239.224.0/20 é usado para tráfego de interface de gerenciamento em todos osAWSRegiões. • Certifique-se de ter aberto as portas de interface de gerenciamento necessárias para a ativação do Microsoft Windows e do Microsoft Office KMS para o BYOL WorkSpaces. Para obter mais informações, consulte Porta de interface de gerenciamento (p. 32). • Você tem uma máquina virtual (VM) que executa uma versão de 64 bits do Windows. Para obter uma lista de versões compatíveis, consulte a próxima seção deste tópico, Versões do Windows compatíveis com BYOL (p. 173). A VM também deve atender a estes requisitos: • O sistema operacional Windows precisa estar ativado em relação aos servidores de gerenciamento de chaves. • O sistema operacional Windows deve ter English (United States) [inglês (Estados Unidos)] como o idioma principal. • Nenhum software além dos fornecidos com o Windows pode ser instalado na VM. Você pode adicionar outros softwares, como uma solução antivírus, ao criar uma imagem personalizada posteriormente. • Não personalize o perfil do usuário padrão (C:\Users\Default) nem faça outras personalizações antes de criar uma imagem. Todas as personalizações devem ser feitas após a criação da imagem. Recomendamos fazer personalizações no perfil do usuário por meio de GPOs (Objetos de política de grupo) e aplicá-los após a criação da imagem. Isso ocorre porque as personalizações feitas por meio de GPOs podem ser facilmente modificadas ou revertidas e são menos propensas a erros do que as personalizações feitas no perfil do usuário padrão. • É necessário criar uma conta WorkSpaces_BYOL com acesso de administrador local antes de compartilhar a imagem. A senha para essa conta pode ser necessária mais tarde, portanto, anote-a. • A VM deve estar em um único volume com um tamanho máximo de 70 GB e pelo menos 10 GB de espaço livre. Se você também pretende assinar o Microsoft Office para sua imagem BYOL, a VM deve estar em um único volume com um tamanho máximo de 70 GB e, no mínimo, 20 GB de espaço livre. • Sua VM deve executar o Windows PowerShell versão 4 ou posterior. • Certifique-se de ter instalado os patches mais recentes do Microsoft Windows antes de executar o script BYOL noEtapa 3: Executar o script BYOL Checker PowerShell em uma VM do Windows (p. 179).

Note

Para BYOL AutoStop WorkSpaces, um grande número de logins simultâneos pode resultar em um aumento significativo do tempo para que o WorkSpaces esteja disponível. Se você espera que muitos usuários façam login em seu BYOL AutoStop WorkSpaces ao mesmo tempo, consulte seu gerente de conta para obter conselhos. Versões do Windows compatíveis com BYOL

A VM deve executar uma das seguintes versões do Windows:

• Windows 10 versão 1809 (atualização de outubro de 2018) • Windows 10 versão 1903 (atualização de maio de 2019) • Windows 10 versão 1909 (atualização de novembro de 2019) • Windows 10 versão 2004 (atualização de maio de 2020) • Windows 10 versão 20H2 (atualização de outubro de 2020)

Todas as versões de sistema operacionais compatíveis oferecem suporte a todos os tipos de computação disponíveis noAWSRegião onde você está usando o WorkSpaces. As versões do Windows que não têm mais suporte da Microsoft não têm garantia de funcionamento e não têm suporte doAWSSupport.

173 Amazon WorkSpaces Guia de administração Adicionar o Microsoft Office à sua imagem BYOL

Note

As versões do Windows 10 N não são suportadas para BYOL neste momento. Adicionar o Microsoft Office à sua imagem BYOL

Durante o processo de ingestão de imagem BYOL, se estiver a utilizar o Windows 10, tem a opção de subscrever o Microsoft Office Professional 2016 (32 bits) ou 2019 (64 bits) através doAWS. Se você escolher essa opção, o Office será pré-instalado em sua imagem BYOL e incluído em todos os WorkSpaces que você iniciar a partir dessa imagem.

Se optar por subscrever o Office através doAWS, cobranças adicionais serão aplicadas. Para obter mais informações, consultePreço do WorkSpaces. Important

• Se o Microsoft Office já estiver instalado na VM que você está usando para criar sua imagem BYOL, você deve desinstalá-lo da VM se quiser se inscrever no Office por meio deAWS. • Se pretende subscrever o Office através doAWS, verifique se a VM tem pelo menos 20 GB de espaço livre em disco.

Se você optar por assinar o Office, o processo de ingestão de imagens BYOL leva no mínimo 3 horas.

Para obter detalhes sobre como assinar o Office durante o processo de ingestão de BYOL, consulteEtapa 6: Criar uma imagem BYOL usando o console do WorkSpaces (p. 181).

Configurações do idioma do Office

Escolhemos o idioma utilizado para a sua subscrição do Office com base naAWSRegião onde você está executando sua ingestão de imagem BYOL. Por exemplo, se você estiver executando sua ingestão de imagem BYOL na região Ásia-Pacífico (Tóquio), sua assinatura do Office tem o japonês como idioma.

Por padrão, instalamos vários pacotes de idiomas do Office usados com freqüência em seus WorkSpaces. Se o pacote de idiomas que pretende não estiver instalado, pode transferir pacotes de idiomas adicionais da Microsoft. Para obter mais informações, consultePacote de acessórios de idioma para o Officena documentação da Microsoft.

Para alterar o idioma do Office, você tem várias opções:

Opção 1: Permitir que usuários individuais personalizem suas configurações de idioma do Office

Usuários individuais podem ajustar as configurações de idioma do Office em seus WorkSpaces. Para obter mais informações, consulteAdicionar um idioma de edição ou criação ou definir preferências de idioma no Officena documentação da Microsoft.

Opção 2: Usar modelos administrativos de GPO (.admx/.adml) para impor configurações de idioma padrão do Office para todos os usuários do WorkSpaces

Você pode usar as configurações de Objeto de Diretiva de Grupo (GPO) para impor as configurações padrão de idioma do Office para seus usuários do WorkSpaces. Note

Os usuários do WorkSpaces não poderão substituir as configurações de idioma impostas por meio do GPO.

174 Amazon WorkSpaces Guia de administração Adicionar o Microsoft Office à sua imagem BYOL

Para obter mais informações sobre como usar GPO para definir o idioma do Office, consultePersonalizar configuração de idioma e configurações para o Officena documentação da Microsoft. O Office 2016 e o Office 2019 usam as mesmas configurações de GPO (rotuladas com o Office 2016).

Para trabalhar com GPOs, você deve instalar as ferramentas de administração do Active Directory. Para obter informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com GPOs, consulte Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73).

Antes de configurar as configurações de política do Office 2016 ou do Office 2019, você deve baixar oarquivos de modelo administrativo (.admx/.adml) para o OfficeNo Microsoft Download Center. Depois de transferir os ficheiros de modelo administrativo, tem de adicionar ooffice16.admxeoffice16.admlpara o armazenamento central do controlador de domínio para o diretório WorkSpaces. (Ooffice16.admxeoffice16.admlse aplicam ao Office 2016 e ao Office 2019.) Para obter mais informações sobre como trabalhar com o.admxe.admlarquivos, consulteComo criar e gerenciar o armazenamento central para modelos administrativos de diretiva de grupo no Windowsna documentação da Microsoft.

O procedimento a seguir descreve como criar o Armazenamento Central e adicionar os arquivos de modelo administrativos a ele. Execute o procedimento a seguir em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada a seu diretório do WorkSpaces.

Para instalar os arquivos de modelo administrativo de políticas de grupo para o Office

1. Fazer download doarquivos de modelo administrativo (.admx/.adml) para o OfficeNo Microsoft Download Center. 2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra o Explorador de Arquivos do Windows e, na barra de endereços, insira o nome de domínio totalmente qualificado (FQDN) da organização, como\\example.com. 3. Abra a pasta SYSVOL. 4. Abra a pasta com oFQDNNome. 5. Abra a pasta Policies. Agora você deve estar em\\FQDN\SYSVOL\FQDN\Policies. 6. Se ainda não existir, crie uma pasta chamadaPolicyDefinitions. 7. Abra a pasta PolicyDefinitions. 8. Copie ooffice16.admxpara o arquivo\\FQDN\SYSVOL\FQDN\Policies \PolicyDefinitionsfolder. 9. Criar uma pasta chamadaen-USnoPolicyDefinitionsfolder. 10. Abra a pasta en-US. 11. Copie ooffice16.admlpara o arquivo\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions \en-USfolder.

Para configurar as definições de idioma do GPO para o Office

1. Em seu WorkSpace de administração de diretório ou uma instância do Amazon EC2 associada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo (gpmc.msc). 2. Expanda a floresta (Floresta:FQDN). 3. AmpliarDomínios. 4. Expanda seu FQDN (por exemplo,example.com). 5. Selecione o FQDN, abra o menu de contexto (clique com o botão direito do mouse) ou abra oAçãoe escolhaCriar um GPO neste domínio e vinculá-lo aqui. 6. Nomeie seu GPO (por exemplo,Office).

175 Amazon WorkSpaces Guia de administração Adicionar o Microsoft Office à sua imagem BYOL

7. Selecione o GPO, abra o menu de contexto (clique com o botão direito do mouse) ou abra oAçãoe escolhaEdite. 8. No editor de gerenciamento de políticas de grupo, selecioneConfiguração do usuário,Políticas,Definições de Política de Modelo Administrativo (arquivos ADMX) recuperadas do computador local,Microsoft Office 2016, ePreferências do idioma. Note

O Office 2016 e o Office 2019 usam as mesmas configurações de GPO (rotuladas com o Office 2016). Se você não virDefinições de Política de Modelo Administrativo (arquivos ADMX) recuperadas do computador localUnderConfiguração do usuário,Políticas, ooffice16.admxeoffice16.admlnão estão instalados corretamente no controlador de domínio. 9. UnderPreferências do idioma, especifique o idioma desejado para as configurações a seguir. Defina cada configuração comoEnabled (Habilitado)e, emOpções, selecione o idioma desejado. SelecioneOKpara salvar cada configuração.

• Linguagem do >Exibir ajuda no • Linguagem do >Exibir menus e caixas de diálogo no • Editar linguagens >Idioma de edição primária 10. Feche a ferramenta de gerenciamento de políticas de grupo quando você terminar. 11. As alterações nas configurações da política de grupo entram em vigor após a próxima atualização do WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e selecioneAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insira gpupdate /force.

Opção 3: Atualizar as configurações de registro de idioma do Office em seus WorkSpaces

Para definir as definições de idioma do Office através do registo, actualize as seguintes definições de registo:

• HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Office\ 16.0\ Common\ LanguageResources\ UILLanguage • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Office\ 16.0\ Common\ LanguageResources\ HelpLanguage

Para essas configurações, adicione um valor de chave DWORD com o ID de localidade do Office (LCID) apropriado. Por exemplo, o LCID para inglês (EUA) é 1033. Como os LCIDs são valores decimais, você deve definir a propriedadeBasepara o valor DWORDDecimal. Para obter uma lista dos LCIDs do Office, consulteIdentificadores de idioma e valores de ID OptionState no Office 2016na documentação da Microsoft.

Você pode aplicar essas configurações de registro ao WorkSpaces por meio de configurações de GPO ou de um script de logon.

Para obter mais informações sobre como trabalhar com as configurações de idioma do Office, consultePersonalizar configuração de idioma e configurações para o Officena documentação da Microsoft.

Adicione o Office aos seus WorkSpaces BYOL existentes

Você também pode adicionar uma assinatura do Office para seus WorkSpaces BYOL existentes. Depois de criar um pacote BYOL com o Office instalado, você pode usar o recurso de migração do WorkSpaces

176 Amazon WorkSpaces Guia de administração Etapa 1: Verifique a elegibilidade de sua conta para BYOL usando o console do Amazon WorkSpaces para migrar seus WorkSpaces BYOL existentes para o pacote BYOL que está inscrito no Office. Para obter mais informações, consulte Migrar um WorkSpace (p. 146).

Migrar entre versões do Microsoft Office

Para migrar do Office 2016 para o Office 2019 ou do Office 2019 para o Office 2016, você deve criar um pacote BYOL que esteja inscrito na versão do Office para a qual deseja migrar. Em seguida, utilize a funcionalidade de migração do WorkSpaces para migrar os WorkSpaces BYOL existentes que estão inscritos no Office para o pacote BYOL que está subscrito para a versão do Office para a qual pretende migrar.

Por exemplo, para migrar do Office 2016 para o Office 2019, crie um pacote BYOL que esteja inscrito no Office 2019. Em seguida, use o recurso de migração do WorkSpaces para migrar seus WorkSpaces BYOL existentes que estão inscritos no Office 2016 para o pacote BYOL que está inscrito no Office 2019.

Para obter mais informações sobre o processo de migração, consulteMigrar um WorkSpace (p. 146).

Cancelar a assinatura do Office

Para cancelar a assinatura do Office, você deve criar um pacote BYOL que não está inscrito no Office. Em seguida, use o recurso de migração do WorkSpaces para migrar seus WorkSpaces BYOL existentes para o pacote BYOL que não está inscrito no Office. Para obter mais informações, consulte Migrar um WorkSpace (p. 146).

Atualizações do Office

Se você se inscreveu no Office por meio doAWS, as atualizações do Office são incluídas como parte de suas atualizações regulares do Windows. Para se manter atualizado sobre todos os patches e atualizações de segurança, recomendamos que você atualize periodicamente suas imagens base BYOL. Etapa 1: Verifique a elegibilidade de sua conta para BYOL usando o console do Amazon WorkSpaces

Antes de habilitar sua conta para BYOL, você deve passar por um processo de verificação para confirmar sua elegibilidade para BYOL. Até que você passe por esse processo, oPermitir BYOLnão estará disponível no console do Amazon WorkSpaces. Note

O processo de verificação leva pelo menos um dia útil e pode demorar mais se você quiser vincular dois ou mais habilitados para BYOL-AWScontas juntas para que eles usem o mesmo hardware subjacente.

Para verificar a elegibilidade de sua conta para BYOL usando o console do Amazon WorkSpaces

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecioneConfigurações da contae, emTraga sua própria licença (BYOL), escolhaExibir configurações BYOL do WorkSpaces. Se sua conta não estiver qualificada para BYOL, uma mensagem apresenta orientações para as próximas etapas. Para começar, entre em contato com oAWSgerente de conta ou representante de vendas, ou entre em contato com oAWS SupportCentro. Seu contato verificará sua elegibilidade para BYOL.

Para determinar sua elegibilidade para BYOL, seu contato precisará de certas informações de você. Por exemplo, você poderá ser solicitado a responder às seguintes perguntas.

• Você revisou e aceitou osBYOL Re (p. 172)listado anteriormente? • Em queAWSRegiões você precisa ativar sua conta para BYOL?

177 Amazon WorkSpaces Guia de administração Etapa 2: Ativar BYOL para sua conta para BYOL usando o console do Amazon WorkSpaces

• Quantos WorkSpaces BYOL você planeja implantar porAWSRegião? • Qual é o seu plano de ramp-up? • Você está comprando WorkSpaces de um revendedor? • Quais tipos de pacote você precisa para o BYOL? • A sua organização tem outrasAWShabilitadas para BYOL na mesma região? Em caso afirmativo, você deseja vincular essas contas para que elas usem o mesmo hardware subjacente?

Se as contas estiverem vinculadas, o número total de WorkSpaces implantados nessas contas será agregado para determinar sua elegibilidade para BYOL. Esteja ciente de que vincular as contas levará mais tempo. Se você quiser vincular as contas, esteja pronto para fornecer os números de conta ao seu contato. 3. Depois que sua qualificação for confirmada para BYOL, você poderá prosseguir para a próxima etapa, na qual você habilita o BYOL para sua conta no console do Amazon WorkSpaces.

Etapa 2: Ativar BYOL para sua conta para BYOL usando o console do Amazon WorkSpaces

Para habilitar o BYOL na sua conta, você deve especificar uma interface de rede de gerenciamento. Essa interface está conectada a uma rede de gerenciamento do Amazon WorkSpaces segura do. Ela é usada para streaming interativo da área de trabalho do WorkSpace para os clientes do Amazon WorkSpaces e para permitir que o Amazon WorkSpaces gerencie o WorkSpace. Note

As etapas neste procedimento para habilitar o BYOL na sua conta precisam ser realizadas somente uma vez por conta, por região.

Para habilitar o BYOL na sua conta usando o console do Amazon WorkSpaces

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecioneConfigurações da contae, emTraga sua própria licença (BYOL), escolhaExibir configurações BYOL do WorkSpaces. 3. NoConfigurações da contapágina, emTraga sua própria licença (BYOL), escolhaPermitir BYOL.

Se você não vir oPermitir BYOLEla significa que sua conta não está qualificada para BYOL. Para obter mais informações, consulte Etapa 1: Verifique a elegibilidade de sua conta para BYOL usando o console do Amazon WorkSpaces (p. 177). 4. Em Bring Your Own License (BYOL) (Traga sua própria licença), na área Management network interface IP address range (Intervalo de endereços IP da rede de gerenciamento), escolha um intervalo de endereços IP e selecione Display available CIDR blocks (Exibir blocos CIDR disponíveis).

O Amazon WorkSpaces pesquisa e exibe os intervalos de endereços IP disponíveis como blocos de roteamento sem classe entre domínios (CIDR) IPv4, no intervalo que você especificar. Se você precisar de um intervalo de endereços IP determinado, pode editar o intervalo de pesquisa. Important

Depois de especificar um intervalo de endereços IP, você não poderá modificá-lo. Lembre- se de especificar um intervalo de endereços IP que não entre em conflito com os intervalos usados em sua rede interna. Em caso de dúvidas sobre qual intervalo especificar, entre em contato com oAWSgerente de conta ou representante de vendas, ou entre em contato com oAWS SupportCentroantes de prosseguir. 5. Escolha o bloco CIDR que você deseja na lista de resultados e, em seguida, escolha Enable BYOL (Ativar BYOL).

178 Amazon WorkSpaces Guia de administração Etapa 3: Executar o script BYOL Checker PowerShell em uma VM do Windows

Esse processo pode levar várias horas. Enquanto o WorkSpaces está habilitando conta para BYOL, vá para a próxima etapa.

Etapa 3: Executar o script BYOL Checker PowerShell em uma VM do Windows

Depois de habilitar o BYOL para a sua conta, você deve confirmar se a VM atende aos requisitos de BYOL. Para fazer isso, execute estas etapas para fazer download e executar o script PowerShell do WorkSpaces BYOL Checker. O script executa uma série de testes na VM que você planeja usar para criar sua imagem. Important

A VM deve passar em todos os testes para que você possa usá-la para BYOL.

Para fazer o download do script BYOL Checker

Antes de fazer download e executar o script BYOL Checker, verifique se as atualizações de segurança do Windows mais recentes estão instaladas na sua VM. Enquanto o script é executado, ele desativa o serviço Windows Update.

1. Faça download do arquivo .zip do script do BYOL Checker de https://tools.amazonworkspaces.com/ BYOLChecker.zip para a pasta Downloads. 2. Na pasta Downloads, crie uma pasta BYOL. 3. Extraia os arquivos de BYOLChecker.zip e copie-os na pasta Downloads\BYOL. 4. Exclua a pasta Downloads\BYOLChecker.zip para que apenas os arquivos extraídos permaneçam.

Realize essas etapas para executar o script BYOL Checker.

Para executar o script BYOL Checker

1. Na área de trabalho do Windows, abra o Windows PowerShell. Selecione o botão Start (Iniciar) no Windows, clique com o botão direito em Windows PowerShell (PowerShell do Windows) e selecione Run as administrator (Executar como administrador). Se você for solicitado pelo Controle de conta de usuário a escolher se deseja permitir que o PowerShell faça alterações no seu dispositivo, selecione Yes (Sim). 2. No prompt de comando do PowerShell, altere para o diretório onde o script do BYOL Checker está localizado. Por exemplo, se o script estiver localizado noDownloads\BYOL, insira o comando a seguir e pressioneDigite:

cd C:\Users\username\Downloads\BYOL 3. Insira o comando a seguir para atualizar a política de execução do PowerShell no computador. Isso permite que o script BYOL Checker execute:

Set-ExecutionPolicy Unrestricted 4. Quando solicitado a confirmar se deseja alterar a política de execução do PowerShell, insira A para indicar Sim para todos. 5. Insira o comando a seguir para executar o script BYOL Checker.

.\BYOLChecker.ps1 6. Se uma notificação de segurança for exibida, pressione a tecla R para executar uma vez. 7. NoValidação de imagem do Work, escolhaComeço de testes.

179 Amazon WorkSpaces Guia de administração Etapa 4: Exportar a VM a partir do seu ambiente de virtualização

8. Após a conclusão de cada teste, você pode visualizar o status do teste. Para qualquer teste com o status FAILED (Com falha), selecione Info (Informações) para exibir informações sobre como resolver o problema que provocou a falha. Se algum teste exibir o status WARNING (Aviso), selecione o botão Fix all warnings (Corrigir todos os avisos). 9. Se aplicável, resolva qualquer problema que causam avisos e falhas de teste e repita Step 7 (p. 179) e Step 8 (p. 180) até que a VM passe em todos os testes. Todas as falhas e avisos devem ser resolvidos antes de exportar a VM. 10. O script do BYOL Checker gera dois arquivos de registro, BYOLPrevalidationlogYYYY-MM- DD_HHmmss.txt e ImageInfo.text. Esses arquivos estão localizados no diretório que contém os arquivos do script BYOL Checker. Tip

Não exclua esses arquivos. Se ocorrer algum problema, eles poderão ajudar a resolver. 11. Depois que sua VM é aprovada em todos os testes, você recebe a mensagem Validation Successful (Validação bem-sucedida). Revise as configurações regionais da VM exibidas na ferramenta. Para atualizar as configurações regionais, siga estas instruções na documentação da Microsoft e execute o script BYOL Checker novamente. 12. Desligue a VM e crie um snapshot dela. 13. Inicie a VM novamente. Escolha Run Sysprep (Executar o Sysprep). Se o Sysprep for bem-sucedido, a VM exportada apósStep 12 (p. 180)O pode ser importado para o Amazon Elastic Compute Cloud (Amazon EC2). Caso contrário, revise os logs do Sysprep, reverta para o snapshot criado em Step 12 (p. 180), resolva os problemas relatados, crie um snapshot e execute o script do BYOL Checker novamente.

O motivo mais comum para o Sysprep falhar é que os pacotes Modern AppX não estão desinstalados para todos os usuários. Use o cmdlet Remove-AppxPackage do PowerShell para remover os pacotes AppX. 14. Depois de criar sua imagem com êxito, você pode remover a conta WorkSpaces_BYOL.

Etapa 4: Exportar a VM a partir do seu ambiente de virtualização

Para criar uma imagem para BYOL, você deve primeiro exportar a VM do seu ambiente de virtualização. A VM deve estar em um único volume com um tamanho máximo de 70 GB e pelo menos 10 GB de espaço livre. Para obter mais informações, consulte a documentação do seu ambiente de virtualização e exporte sua VM a partir do ambiente de virtualização no guia do usuário sobre importação e exportação da VM. Etapa 5: Importe a VM como uma imagem no Amazon EC2

Depois de exportar a VM, analise os requisitos de importação de sistemas operacionais Windows de uma VM. Tome ações conforme necessário. Para obter mais informações, consulte Requisitos do VM Import/ Export. Note

A importação de uma VM com um disco criptografado não é compatível. Se você optou pela criptografia padrão dos volumes do Amazon Elastic Block Store (Amazon EBS), será necessário desmarcar essa opção antes de importar sua VM.

Importe sua VM para o Amazon EC2 como uma Imagem de máquina da Amazon (AMI). Use um dos seguintes métodos:

180 Amazon WorkSpaces Guia de administração Etapa 6: Criar uma imagem BYOL usando o console do WorkSpaces

• Use o comando import-image com a AWS CLI. Para obter mais informações, consulteImportação de imagemnoAWS CLIReferência de comandos da. • Use a operação de API ImportImage. Para obter mais informações, consulteImportImagenoReferência de API do Amazon EC2.

Para obter mais informações, consulte Como importar uma VM como uma imagem no guia do usuário sobre importação e exportação de VM. Etapa 6: Criar uma imagem BYOL usando o console do WorkSpaces

Realize essas etapas para criar uma imagem BYOL do WorkSpaces. Note

Para executar este procedimento, verifique se você tem oAWS Identity and Access ManagementPermissões (IAM) para:

• Chamar WorkSpacesImportWorkspaceImage. • Chamar o Amazon EC2DescribeImagesNa imagem do Amazon EC2 que você deseja usar para criar a imagem BYOL. • Chamar o Amazon EC2ModifyImageAttributeNa imagem do Amazon EC2 que você deseja usar para criar a imagem BYOL. Certifique-se de que as permissões de execução na imagem do Amazon EC2 não estejam restritas. A imagem deve ser compartilhável durante todo o processo de criação da imagem BYOL.

Para ver um exemplo de política do IAM específica para BYOL WorkSpaces, consulteGerenciamento de identidade e acesso para o WorkSpaces (p. 210). Para obter mais informações sobre como trabalhar com permissões do IAM, consulteAlteração das permissões de um usuário do IAMnoGuia do usuário do IAM. Para criar um pacote Graphics ou GraphicsPro usando sua imagem, entre em contato com oAWS SupportCentroPara adicionar sua conta à lista de permissões. Depois que sua conta estiver na lista de permissões, você poderá usar oAWS CLI import-workspace-imagepara ingerir a imagem Graphics ou GraphicsPro. Para obter mais informações, consulteimportação-imagem-espaço de trabalhonoAWS CLIReferência de comandos da.

Para criar uma imagem a partir da VM do Windows

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Images (Imagens). 3. SelecioneCriar imagem do BYOL. 4. NoCriar imagem do BYOL, faça o seguinte:

• para oID DA AMI, escolha a opçãoConsole do EC2E selecione a imagem do Amazon EC2 do que você importou, conforme descrito na seção anterior (Etapa 5: Importe a VM como uma imagem no Amazon EC2 (p. 180)). O nome da imagem deve começar com ami- e ser seguido pelo identificador da AMI (por exemplo, ami-1234567e). • para oNome da imagem, insira um nome exclusivo para a imagem. • para oDescrição, insira uma descrição que ajude a identificar rapidamente a imagem. • para oTipo de instânciaEscolha o tipo de pacote apropriado (Comum,Gráficos, ouGraphicsPro), dependendo do protocolo que você deseja usar para sua imagem, PCoIP ou WorkSpaces Streaming Protocol (WSP). Para pacotes não habilitados para GPU (pacotes que não sejam Graphics ou GraphicsPro), selecione Regular.

181 Amazon WorkSpaces Guia de administração Etapa 7: Crie um pacote personalizado a partir da imagem BYOL

Note

Gráficos e imagens GraphicsPro podem ser criadas apenas para o protocolo PCoIP no momento. • (Optional) ParaSelecionar aplicativosEscolha qual versão do Microsoft Office você deseja se inscrever. Para obter mais informações, consulte Adicionar o Microsoft Office à sua imagem BYOL (p. 174). • (Optional) ParaTags, escolhaAdicionar nova tagpara associar tags a esta imagem. Para obter mais informações, consulte Marcar recursos do WorkSpaces (p. 127). 5. SelecioneCriar imagem do BYOL.

Durante a criação da imagem, o status da imagem noImagensda consola aparece comoPendente. O processo de ingestão de BYOL leva no mínimo 90 minutos. Se você também se inscreveu no Office, espere que o processo leve um mínimo de 3 horas.

Se a validação da imagem não for bem-sucedida, o console exibirá um código de erro. Quando a criação da imagem estiver concluída, o status muda para Available (Disponível).

Etapa 7: Crie um pacote personalizado a partir da imagem BYOL

Depois que sua imagem de BYOL estiver criada, você pode usá-la para criar um pacote personalizado. Para obter mais informações, consulte Crie uma imagem e um pacote personalizados do WorkSpaces (p. 152). Etapa 8 Registrar um diretório dedicado para o WorkSpaces

Para usar imagens de BYOL para WorkSpaces, você deve registrar um diretório para essa finalidade.

Para registrar um diretório para o WorkSpaces

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione Directories (Diretórios). 3. Selecione o diretório e escolha Actions (Ações), Register (Registro). 4. Na caixa de diálogo Register directory (Diretório de registro), em Enable Dedicated WorkSpaces (Habilitar WorkSpaces dedicados), selecione Yes (Sim). 5. Escolha Register.

Se você já tiver registrado umAWS Managed Microsoft ADOu um diretório do AD Connector para WorkSpaces que não sejam executados em hardware dedicado, você pode configurar um novoAWS Managed Microsoft ADou diretório AD Connector para esta finalidade. Você também pode cancelar o registro do diretório e, em seguida, registrar novamente como um diretório dedicado para WorkSpaces. Para fazer isso, siga estas etapas. Note

Você só pode executar esse procedimento se não houver WorkSpaces associadas ao diretório.

Para cancelar o registro de um diretório e registrar novamente para WorkSpaces dedicados

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/.

182 Amazon WorkSpaces Guia de administração Etapa 9 Inicie seus WorkSpaces BYOL

2. Encerre os WorkSpaces existentes. 3. No painel de navegação, selecione Directories (Diretórios). 4. Selecione o diretório e escolha Ações, Cancelar o registro. 5. Quando a confirmação for solicitada, escolha Cancelar registro. 6. Selecione o diretório novamente e selecione Actions (Ações), Register (Registro). 7. Na caixa de diálogo Register directory (Diretório de registro), em Enable Dedicated WorkSpaces (Habilitar WorkSpaces dedicados), selecione Yes (Sim). 8. Escolha Register.

Etapa 9 Inicie seus WorkSpaces BYOL

Depois de registrar um diretório dedicado para WorkSpaces, você pode iniciar seu WorkSpace BYOL nesse diretório. Para obter informações sobre como iniciar WorkSpaces, consulte Iniciar uma área de trabalho virtual usando o WorkSpaces (p. 76).

183 Amazon WorkSpaces Guia de administração Monitorar com métricas do CloudWatch

Monitorar seu WorkSpaces

Saiba mais sobre os recursos a seguir para monitorar seu WorkSpaces.

Métricas do CloudWatch

O Amazon WorkSpaces publica pontos de dados no Amazon CloudWatch sobre seu WorkSpaces. O CloudWatch permite recuperar estatísticas sobre esses pontos de dados como um conjunto ordenado de dados de séries temporais, conhecidos comométricas. Você pode usar essas métricas para verificar se o WorkSpaces está funcionando conforme o esperado. Para obter mais informações, consulte Monitorar seu WorkSpaces usando métricas do CloudWatch (p. 184). CloudWatch Events

O Amazon WorkSpaces pode enviar eventos ao Amazon CloudWatch Events quando os usuários fazem login no WorkSpace. Isso permite que você responda quando o evento ocorrer. Para obter mais informações, consulte Monitorar seu WorkSpaces usando o CloudWatch Ev (p. 188). Logs do CloudTrail

AWS CloudTrailO fornece um registro das ações executadas por um usuário, uma função ou umAWSno WorkSpaces. Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o WorkSpaces, o endereço IP no qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais. Para obter mais informações, consulteRegistro de chamadas de API do WorkSpaces usando o CloudTrail.AWS CloudTrailregistra eventos de início de sessão bem-sucedidos e malsucedidos para utilizadores de smart card. Para obter mais informações, consulte Noções básicas sobre oAWSEventos de login para usuários de smart card (p. 191).

Monitorar seu WorkSpaces usando métricas do CloudWatch

O WorkSpaces e o Amazon CloudWatch são integrados, então é possível reunir e analisar métricas de desempenho. Você pode monitorar essas métricas usando o console do CloudWatch, a interface de linha de comando do CloudWatch ou usar a API do CloudWatch de maneira programática. O CloudWatch também permite que você defina alarmes quando alcança um limite especificado para uma métrica.

Para obter mais informações sobre o uso do CloudWatch e dos alarmes, consulte oGuia do usuário do Amazon CloudWatch.

Prerequisites

Para obter as métricas do CloudWatch, habilite o acesso na porta 443 naAMAZONSubconjunto nous- east-1 Região : Para obter mais informações, consulte Requisitos de porta e endereço IP para WorkSpaces (p. 18).

Tópicos • métricas de WorkSpaces (p. 185) • Dimensões para métricas do WorkSpaces (p. 187)

184 Amazon WorkSpaces Guia de administração métricas de WorkSpaces

• Exemplo de monitoramento (p. 187) métricas de WorkSpaces

O namespace AWS/WorkSpaces inclui as métricas a seguir.

Métrica Descrição Dimensões Estatísticas Unidades

1 Available O número de DirectoryId Média, soma, Contagem WorkSpaces que máximo, mínimo, retornaram um WorkspaceId amostragens de status saudável. dados

1 Unhealthy O número de DirectoryId Média, soma, Contagem WorkSpaces máximo, mínimo, que retornaram WorkspaceId amostragens de um status não dados saudável.

2,5 ConnectionAttempt O número de DirectoryId Média, soma, Contagem tentativas de máximo, mínimo, conexão. WorkspaceId amostragens de dados

2,5 ConnectionSuccess O número de DirectoryId Média, soma, Contagem conexões bem- máximo, mínimo, sucedidas. WorkspaceId amostragens de dados

2,5 ConnectionFailure O número de DirectoryId Média, soma, Contagem conexões com máximo, mínimo, falha. WorkspaceId amostragens de dados

2 SessionLaunchTime O tempo DirectoryId Média, soma, Segundos necessário máximo, mínimo, (tempo) para iniciar WorkspaceId amostragens de uma sessão de dados WorkSpaces.

2 InSessionLatency O tempo de ida DirectoryId Média, soma, Milissegundos e volta entre máximo, mínimo, (tempo) o cliente do WorkspaceId amostragens de WorkSpaces e o dados WorkSpace.

2 SessionDisconnect O número de DirectoryId Média, soma, Contagem conexões que máximo, mínimo, foram fechadas, WorkspaceId amostragens de incluindo dados conexões com falha e iniciadas pelo usuário.

3 UserConnected O número de DirectoryId Média, soma, Contagem WorkSpaces que máximo, mínimo, WorkspaceId

185 Amazon WorkSpaces Guia de administração métricas de WorkSpaces

Métrica Descrição Dimensões Estatísticas Unidades têm um usuário amostragens de conectado. dados

Stopped O número de DirectoryId Média, soma, Contagem Espaços de máximo, mínimo, trabalho que WorkspaceId amostragens de estão parados. dados

4 Maintenance O número DirectoryId Média, soma, Contagem de Espaços máximo, mínimo, de trabalho WorkspaceId amostragens de que estão em dados manutenção.

6 TrustedDeviceValidationAttemptO número de DirectoryId Média, soma, Contagem tentativas de máximo, mínimo, validação de amostragens de assinatura de dados autenticação de dispositivo.

6 TrustedDeviceValidationSuccessO número de DirectoryId Média, soma, Contagem validações bem- máximo, mínimo, sucedidas de amostragens de assinatura de dados autenticação de dispositivo.

6 TrustedDeviceValidationFailureO número de DirectoryId Média, soma, Contagem validações de máximo, mínimo, assinatura de amostragens de autenticação de dados dispositivo com falha.

TrustedDeviceCertificateDaysBeforeExpirationDias restantes CertificateId Média, soma, Contagem antes do máximo, mínimo, certificado raiz amostragens de associado ao dados diretório expirar.

1O WorkSpaces envia periodicamente solicitações de status para um WorkSpace. Um WorkSpace é marcado com Available quando responde a essas solicitações e com Unhealthy quando falha em responder a essas solicitações. Essas métricas estão disponíveis em nível de granularidade por WorkSpace e também são agrupadas para todos os WorkSpaces em uma organização.

2O WorkSpaces registra métricas em conexões feitas com cada WorkSpace. Essas métricas são emitidas depois que um usuário é autenticado com êxito por meio do cliente do WorkSpaces e o cliente inicia a sessão. As métricas estão disponíveis em nível de granularidade por WorkSpace e também são agrupadas para todos os WorkSpaces em um diretório.

3O WorkSpaces envia periodicamente solicitações de status de conexão para um WorkSpace. Os usuários são reportados como conectados quando estão utilizando ativamente suas sessões. Essa métrica está disponível em granularidade por WorkSpace e também são agrupadas para todos os WorkSpaces em uma organização.

186 Amazon WorkSpaces Guia de administração Dimensões para métricas do WorkSpaces

4 Esta métrica se aplica a WorkSpaces configurados com modo em execução AutoStop. Se você tem a manutenção habilitada para o WorkSpaces, esta métrica captura o número de WorkSpaces que estão atualmente em manutenção. Essa métrica está disponível em granularidade por WorkSpace, que descreve quando um WorkSpace entrou em manutenção e quando foi removido.

5Essa métrica é emitida atualmente apenas para WorkSpaces PCoIP.

6Se o recurso de dispositivos confiáveis estiver ativado para o diretório, o Amazon WorkSpaces usará autenticação baseada em certificado para determinar se um dispositivo é confiável. Quando os usuários tentam acessar seus WorkSpaces, essas métricas são emitidas para indicar autenticação de dispositivo confiável bem-sucedida ou com falha. Essas métricas estão disponíveis em granularidade por diretório e somente para os aplicativos cliente Windows e macOS do Amazon WorkSpaces. Dimensões para métricas do WorkSpaces

Para filtrar os dados das métricas, use as dimensões a seguir.

Dimensão Descrição

DirectoryId Filtra os dados de métrica para o WorkSpaces no diretório especificado. O formato do ID do diretório é d-XXXXXXXXXX.

WorkspaceId Filtra os dados de métrica para o WorkSpace especificado. O formato do ID do WorkSpace éws- XXXXXXXXXX.

CertificateId Filtra os dados de métrica para o certificado raiz especificado associado ao diretório. O formato do ID do certificado éwsc-XXXXXXXXX.

Exemplo de monitoramento

O exemplo a seguir demonstra como você pode usar oAWS CLIPara responder a um alarme do CloudWatch e determinar quais WorkSpaces em um diretório passaram por falhas de conexão.

Para responder a um alarme do CloudWatch

1. Determine o diretório ao qual o alarme se aplica usando o comando describe-alarms.

aws cloudwatch describe-alarms --state-value "ALARM"

{ "MetricAlarms": [ { ... "Dimensions": [ { "Name": "DirectoryId", "Value": "directory_id" } ], ... } ] }

187 Amazon WorkSpaces Guia de administração Monitorar com o CloudWatch Ev

2. Obtenha a lista de WorkSpaces no diretório especificado usando o comando describe-workspaces.

aws workspaces describe-workspaces --directory-id directory_id

{ "Workspaces": [ { ... "WorkspaceId": "workspace1_id", ... }, { ... "WorkspaceId": "workspace2_id", ... }, { ... "WorkspaceId": "workspace3_id", ... } ] }

3. Obtenha as métricas do CloudWatch para cada WorkSpace no diretório usando oget-metric- statisticscomando.

aws cloudwatch get-metric-statistics \ --namespace AWS/WorkSpaces \ --metric-name ConnectionFailure \ --start-time 2015-04-27T00:00:00Z \ --end-time 2015-04-28T00:00:00Z \ --period 3600 \ --statistics Sum \ --dimensions "Name=WorkspaceId,Value=workspace_id"

{ "Datapoints" : [ { "Timestamp": "2015-04-27T00:18:00Z", "Sum": 1.0, "Unit": "Count" }, { "Timestamp": "2014-04-27T01:18:00Z", "Sum": 0.0, "Unit": "Count" } ], "Label" : "ConnectionFailure" }

Monitorar seu WorkSpaces usando o CloudWatch Ev

Você pode usar eventos do Amazon CloudWatch Events para visualizar, pesquisar, fazer download, arquivar, analisar e responder a logins bem-sucedidos em seu WorkSpaces. Por exemplo, é possível usar eventos para as seguintes finalidades:

188 Amazon WorkSpaces Guia de administração Eventos de WorkSpaces

• Armazenar ou arquivar eventos de login do WorkSpaces como logs para referência futura, analisar os logs para procurar padrões e tomar medidas com base nesses padrões. • Usar o endereço IP da WAN para determinar de onde os usuários estão conectados e usar políticas para permitir que os usuários acessem somente arquivos ou dados do WorkSpaces que atendam aos critérios de acesso encontrados no tipo de evento do CloudWatch de WorkSpaces Access. • Analisar os dados de login, que estão disponíveis quase que em tempo real, e executar ações automatizadas usando oAWS Lambda. • Usar controles de política para bloquear o acesso a arquivos e aplicativos de endereços IP não autorizados.

Para obter mais informações sobre eventos, consulte oAmazon CloudWatch Events Guia do usuário. Eventos de WorkSpaces

Os aplicativos cliente do WorkSpaces enviam eventos do WorkSpaces Access ao CloudWatch Events quando um usuário faz login com êxito em um WorkSpace. Todos os clientes do WorkSpaces do enviam esses eventos. Note

• Eventos são emitidos com base no melhor esforço. • Os eventos emitidos para o WorkSpaces usando o WorkSpaces Streaming Protocol (WSP) exigem o aplicativo cliente WorkSpaces versão 4.0.1 ou posterior.

Os eventos são representados como objetos JSON. A seguir, um exemplo de dados para um evento de WorkSpaces Access.

{ "version": "0", "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7", "detail-type": "WorkSpaces Access", "source": "aws.workspaces", "account": "123456789012", "time": "2018-07-01T17:53:06Z", "region": "us-east-1", "resources": [], "detail": { "clientIpAddress": "192.0.2.3", "actionType": "successfulLogin", "workspacesClientProductName": "WorkSpaces Desktop client", "loginTime": "2018-07-01T17:52:51.595Z", "clientPlatform": "Windows", "directoryId": "domain/d-123456789", "workspaceId": "ws-xyskdga" } }

Campos específicos de eventos clientIpAddress

O endereço IP da WAN do aplicativo cliente. Para clientes zero PCoIP, este é o endereço IP do cliente de autenticação Teradici. actionType

Esse valor é sempre successfulLogin.

189 Amazon WorkSpaces Guia de administração Criar uma regra para lidar com eventos de WorkSpaces workspacesClientProductName

Os valores a seguir diferenciam maiúsculas de minúsculas. • WorkSpaces Desktop client— clientes Windows, macOS e Linux • Amazon WorkSpaces Mobile client— Cliente iOS • WorkSpaces Mobile Client— clientes Android • WorkSpaces Chrome Client— clientes Chromebook • WorkSpaces Web Client— Cliente Web Access • Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell Wyse PCoIP Client — Zero Client loginTime

A hora em que o usuário se conectou ao WorkSpace. clientPlatform • Android • Chrome • iOS • Linux • OSX • Windows • Teradici PCoIP Zero Client and Tera2 • Web directoryId

O identificador do diretório do WorkSpace. Você deve preceder o identificador de diretório comdomain/. Por exemplo, "domain/d-123456789". workspaceId

O identificador do WorkSpace.

Criar uma regra para lidar com eventos de WorkSpaces

Use o procedimento a seguir para criar uma regra do CloudWatch Events para lidar com os eventos do WorkSpaces.

Para criar uma regra para lidar com eventos de WorkSpaces

1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/. 2. No painel de navegação, selecione Events. 3. Selecione Create rule (Criar regra). 4. Em Origem do evento, faça o seguinte:

a. Selecione Event Pattern (Padrão de evento) e, em seguida, Build event pattern to match events by service (Criar padrão de eventos para corresponder a eventos por serviço) (o padrão). b. Em Service Name (Nome do serviço), selecione WorkSpaces. c. Em Event Type (Tipo de evento), selecione WorkSpaces Access (Acesso dos WorkSpaces).

190 Amazon WorkSpaces Guia de administração Noções básicas sobre oAWSEventos de login para usuários de smart card

5. Em Targets (Destinos), selecioneAdd target (Adicionar destino) e depois escolha o serviço que deverá agir quando um evento do WorkSpaces for detectado. Forneça as informações necessárias para este serviço. 6. Escolha Configure details (Configurar detalhes). Em Rule definition (Definição de regra), insira um nome e uma descrição. 7. Selecione Create rule (Criar regra).

Noções básicas sobre oAWSEventos de login para usuários de smart card

AWS CloudTrailregistra eventos de início de sessão bem-sucedidos e malsucedidos para utilizadores de smart card. Isso inclui eventos de logon que são capturados sempre que um usuário é solicitado a resolver um desafio ou fator de credencial específico, bem como o status dessa solicitação de verificação de credencial específica. Um usuário está conectado somente depois de concluir todos os desafios de credencial necessários, o que resulta em umUserAuthenticationevento sendo registrado.

A tabela a seguir captura cada um dos nomes de evento do CloudTrail de login e suas finalidades.

Nome do evento Finalidade do evento

CredentialChallenge Notifica queAWSO login solicitou que o usuário resolva um desafio de credencial específico e especifica oCredentialTypeque é necessário (por exemplo, SMARTCARD).

CredentialVerificationNotifica que o usuário tentou resolver umCredentialChallengee especifica se essa credencial foi bem-sucedida ou falhou.

UserAuthentication Notifica que todos os requisitos de autenticação com os quais o usuário foi desafiado foram concluídos com êxito e que o usuário foi conectado com êxito. Quando os usuários não conseguem concluir com êxito os desafios de credencial necessários, não háUserAuthenticationé registrado.

A tabela a seguir captura campos de dados de eventos úteis adicionais contidos em eventos específicos do CloudTrail de login.

Nome do Finalidade do evento Aplicabilidade de evento de Exemplos de valores evento login

AuthWorkflowIDCorrelaciona todos os CredentialChallenge, “AuthWorkFlowid”: eventos emitidos em toda CredentialVerification, “9de74b32-8362-4a01- uma sequência de início UserAuthentication a524-de21df59fd83" de sessão. Para cada login de usuário, vários eventos podem ser emitidos peloAWSLogin.

CredentialTypeNotifica que o usuário CredentialChallenge, CredentialType”: tentou resolver CredentialVerification, “SMARTCARD” (valores umCredentialChallengee UserAuthentication possíveis hoje: especifica se essa SMARTCARD) credencial foi bem-sucedida ou falhou.

191 Amazon WorkSpaces Guia de administração Eventos de exemplo para oAWScenários de início de sessão

Nome do Finalidade do evento Aplicabilidade de evento de Exemplos de valores evento login

LoginTo Notifica que todos os UserAuthentication “LogInto”: "https:// requisitos de autenticação skylight.local” com os quais o usuário foi desafiado foram concluídos com êxito e que o usuário foi conectado com êxito. Quando os usuários não conseguem concluir com êxito os desafios de credencial necessários, não háUserAuthenticationé registrado.

Eventos de exemplo para oAWScenários de início de sessão

Os exemplos a seguir mostram a seqüência esperada de eventos do CloudTrail para diferentes cenários de login.

Tópicos • Início de sessão bem-sucedido ao autenticar com cartão inteligente (p. 192) • Falha no início de sessão ao autenticar com apenas um cartão inteligente (p. 194)

Início de sessão bem-sucedido ao autenticar com cartão inteligente

A seguinte sequência de eventos captura um exemplo de um início de sessão de smart card bem- sucedido.

Credenciais Challenge

192 Amazon WorkSpaces Guia de administração Eventos de exemplo para oAWScenários de início de sessão

"CredentialType": "SMARTCARD" }, "requestID": "65551a6d-654a-4be8-90b5-bbfef7187d3a", "eventID": "fb603838-f119-4304-9fdc-c0f947a82116", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialChallenge": "Success" } }

Verificação bem-sucedida de credenciais

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:39Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialVerification", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", "CredentialType": "SMARTCARD" }, "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", "eventID": "84c0a2ff-413f-4d0f-9108-f72c90a41b6c", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialVerification": "Success" } }

Autenticação bem-

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": ""

193 Amazon WorkSpaces Guia de administração Eventos de exemplo para oAWScenários de início de sessão

}, "eventTime": "2021-07-30T17:23:39Z", "eventSource": "signin.amazonaws.com", "eventName": "UserAuthentication", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "6602f256-3b76-4977-96dc-306a7283269e", "LoginTo": "https://skylight.local", "CredentialType": "SMARTCARD" }, "requestID": "81869203-1404-4bf2-a1a4-3d30aa08d8d5", "eventID": "acc0dba8-8e8b-414b-a52d-6b7cd51d38f6", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { UserAuthentication": "Success" } }

Falha no início de sessão ao autenticar com apenas um cartão inteligente

A seguinte sequência de eventos captura um exemplo de falha no início de sessão de smart card.

Credenciais Challenge

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:06Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialChallenge", "awaRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb", "CredentialType": "SMARTCARD" }, "requestID": "73eb499d-91a8-4c18-9c5d-281fd45ab50a", "eventID": "f30a50ec-71cf-415a-a5ab-e287edc800da", "readOnly": false, "eventType": "AwsServiceEvent",

194 Amazon WorkSpaces Guia de administração Eventos de exemplo para oAWScenários de início de sessão

"managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialChallenge": "Success" } }

Falha de credencialVerification

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown", "principalId": "509318101470", "arn": "", "accountId": "509318101470", "accessKeyId": "" }, "eventTime": "2021-07-30T17:23:13Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialVerification", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "73dfd26b-f812-4bd2-82e9-0b2abb358cdb", "CredentialType": "SMARTCARD" }, "requestID": "051ca316-0b0d-4d38-940b-5fe5794fda03", "eventID": "4e6fbfc7-0479-48da-b7dc-e875155a8177", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "509318101470", "serviceEventDetails": { CredentialVerification": "Failure" } }

195 Amazon WorkSpaces Guia de administração Redirecionamento entre regiões

Continuidade dos negócios do Amazon WorkSpaces

O Amazon WorkSpaces foi criado noAWSinfra-estrutura global, que é organizada emAWSRegiões e zonas de disponibilidade. Essas regiões e zonas de disponibilidade fornecem resiliência em termos de isolamento físico e redundância de dados. Para obter mais informações, consulte Resiliência no Amazon WorkSpaces (p. 218).

O Amazon WorkSpaces também fornece redirecionamento entre regiões, um recurso que funciona com as políticas de roteamento do Domain Name System (DNS) para redirecionar os usuários do WorkSpaces para o WorkSpaces alternativo quando os WorkSpaces principal não estão disponíveis. Por exemplo, usando políticas de roteamento de failover de DNS, você pode conectar seus usuários ao WorkSpaces em sua região de failover especificada quando eles não podem acessar seus WorkSpaces na região primária.

Você pode usar o redirecionamento entre regiões para obter resiliência regional e alta disponibilidade. Você também pode usá-lo para outros fins, como distribuição de tráfego ou fornecimento de WorkSpaces alternativos durante períodos de manutenção. Se você usar o Amazon Route 53 para sua configuração de DNS, poderá aproveitar as verificações de saúde que monitoram os alarmes do Amazon CloudWatch.

Tópicos • Redirecionamento entre regiões para Amazon WorkSpaces (p. 196)

Redirecionamento entre regiões para Amazon WorkSpaces

Com o recurso de redirecionamento entre regiões no Amazon WorkSpaces, você pode usar um nome de domínio totalmente qualificado (FQDN) como o código de registro para o WorkSpaces. O redirecionamento entre regiões funciona com as políticas de roteamento do Domain Name System (DNS) para redirecionar os usuários do WorkSpaces para o WorkSpaces alternativo quando o WorkSpaces principal não estiver disponível. Por exemplo, usando políticas de roteamento de failover de DNS, você pode conectar seus usuários ao WorkSpaces no failover especificadoAWSRegião quando eles não podem acessar seus WorkSpaces na Região principal.

Você pode usar o redirecionamento entre regiões juntamente com suas políticas de roteamento de failover de DNS para obter resiliência regional e alta disponibilidade. Você também pode usar esse recurso para outros fins, como distribuição de tráfego ou fornecimento de WorkSpaces alternativos durante períodos de manutenção. Se você usar o Amazon Route 53 para sua configuração de DNS, poderá aproveitar as verificações de saúde que monitoram os alarmes do Amazon CloudWatch.

Para usar esse recurso, é necessário configurar o WorkSpaces para seus usuários em duas (ou mais) regiões da AWS. Também é necessário criar códigos de registro especiais baseados em FQDN denominadosAliases de conexão. Esses aliases de conexão substituem os códigos de registro específicos da região para os usuários do WorkSpaces. (Os códigos de registro específicos da região permanecem válidos; no entanto, para que o redirecionamento entre regiões funcione, seus usuários devem usar o FQDN como código de registro.)

Para criar um alias de conexão, você especifica umString de conexão, que é o seu FQDN, comowww.example.comoudesktop.example.com. Para usar esse domínio para redirecionamento entre regiões, você deve registrá-lo com um registrador de domínio e configurar o serviço DNS para seu domínio.

196 Amazon WorkSpaces Guia de administração Prerequisites

Após criar os aliases de conexão, associe-os aos diretórios do WorkSpaces em diferentes regiões para criar pares de associação. Cada par de associação tem uma região principal e uma ou mais regiões de failover. Caso ocorra uma interrupção na região principal, as políticas de roteamento de failover de DNS redirecionarão os usuários do WorkSpaces para o WorkSpaces que você configurou para eles na região de failover.

Para designar suas Regiões principal e de failover, defina a prioridade Região (primária ou secundária) ao configurar suas políticas de roteamento de failover de DNS.

Tópicos • Prerequisites (p. 197) • Limitations (p. 198) • Etapa 1: Criar aliases de conexão (p. 199) • (Opcional) Etapa 2: Compartilhar um alias de conexão com outra conta (p. 199) • Etapa 3: Associar aliases de conexão a diretórios em cada região (p. 200) • Etapa 4: Configurar seu serviço DNS e configurar políticas de roteamento DNS (p. 201) • Etapa 5: Enviar a string de conexão para seus usuários do WorkSpaces (p. 204) • O que acontece durante o redirecionamento entre regiões (p. 204) • Desassocie um alias de conexão de um diretório (p. 205) • Descompartilhar um alias de conexão (p. 205) • Excluir um alias de conexão (p. 205) • Permissões do IAM para associar e desassociar aliases de conexão (p. 206) • Considerações de segurança se você parar de usar o redirecionamento entre regiões (p. 207)

Prerequisites

• Você deve possuir e registrar o domínio que deseja usar como FQDN em seus aliases de conexão. Se você não estiver usando outro registrador de domínio, pode usar o Amazon Route 53 para registrar o domínio. Para obter mais informações, consulteRegistrar novos nomes de domínio com o Amazon Route 53noGuia do desenvolvedor do Amazon Route 53. Important

Você deve ter todos os direitos necessários para usar qualquer nome de domínio usado em conjunto com o Amazon WorkSpaces. Você concorda que o nome de domínio não viola ou infringe os direitos legais de terceiros ou de outra forma viola a lei aplicável.

O comprimento total do seu nome de domínio não pode exceder 255 caracteres. Para obter mais informações sobre nomes de domínio, consulteFormato de nome de domínio DNSnoGuia do desenvolvedor do Amazon Route 53.

O redirecionamento entre regiões funciona com nomes de domínio público e nomes de domínio em zonas DNS privadas. Se você estiver usando uma zona DNS privada, deverá fornecer uma conexão de rede privada virtual (VPN) à nuvem privada virtual (VPC) que contém o WorkSpaces. Se os usuários do WorkSpaces tentarem usar um FQDN privado da Internet pública, os aplicativos cliente do WorkSpaces retornarão a seguinte mensagem de erro:

"We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help." • Você deve configurar seu serviço DNS e configurar as políticas de roteamento DNS necessárias. O redirecionamento entre regiões funciona em conjunto com suas políticas de roteamento DNS para redirecionar seus usuários do WorkSpaces conforme necessário.

197 Amazon WorkSpaces Guia de administração Limitations

• Em cada região principal e de failover na qual deseja configurar o redirecionamento entre regiões, crie o WorkSpaces para os usuários. Certifique-se de usar os mesmos nomes de usuário em cada diretório do WorkSpaces em cada região. Para manter seus dados de usuário do Active Directory sincronizados, recomendamos usar o AD Connector para apontar para o mesmo Active Directory em cada região onde você configurou o WorkSpaces para seus usuários. Para obter mais informações sobre como criar WorkSpaces, consulteIniciar WorkSpaces (p. 76). Important

Se você configurar oAWSDiretório gerenciado do Microsoft AD para replicação em várias regiões, somente o diretório na região principal pode ser registrado para uso com o Amazon WorkSpaces. As tentativas de registrar o diretório em uma região replicada para uso com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

Quando terminar de configurar o redirecionamento entre regiões, verifique se os usuários do WorkSpaces estão usando o código de registro baseado em FQDN em vez do código de registro baseado em região (por exemplo,WSpdx+ABC12D) para sua Região primária. Para fazer isso, você deve enviar-lhes um email com a seqüência de conexão FQDN usando o procedimento emEtapa 5: Enviar a string de conexão para seus usuários do WorkSpaces (p. 204). Note

Se você criar seus usuários no console do WorkSpaces em vez de criá-los no Active Directory, o WorkSpaces enviará automaticamente um e-mail de convite aos usuários com um código de registro baseado na região sempre que você iniciar um novo WorkSpace. Isso significa que quando você configura o WorkSpaces para seus usuários na Região de failover, seus usuários também receberão e-mails automaticamente para esses WorkSpaces de failover. Você precisará instruir seus usuários a ignorarem e-mails com códigos de registro baseados na região.

Limitations

• O redirecionamento entre regiões não verifica automaticamente se as conexões com a Região principal falharam e, em seguida, faz o failover dos WorkSpaces para outra Região. Em outras palavras, o failover automático não ocorre.

Para implementar um cenário de failover automático, você deve usar algum outro mecanismo em conjunto com o redirecionamento entre regiões. Por exemplo, você pode usar uma política de roteamento DNS de failover do Amazon Route 53 emparelhada com uma verificação de saúde do Route 53 que monitora um alarme do CloudWatch na região principal. Se o alarme do CloudWatch na região principal for acionado, a política de roteamento de failover de DNS redirecionará os usuários do WorkSpaces para o WorkSpaces que você configurou para eles na região de failover. • Quando você está usando o redirecionamento entre regiões, os dados do usuário não são persistidos entre o WorkSpaces em regiões diferentes. Para garantir que os usuários possam acessar seus arquivos de diferentes regiões, recomendamos que você configure o Amazon WorkDocs para seus usuários do WorkSpaces, se o Amazon WorkDocs for compatível com suas Regiões principal e de failover. Para obter mais informações sobre o Amazon WorkDocs, consulteAmazon WorkDocs DrivenoGuia de administração do Amazon WorkDocs. Para obter mais informações sobre como habilitar o Amazon WorkDocs para os usuários do WorkSpace, consulteRegistrar um diretório com o WorkSpaces (p. 62)eHabilitar o Amazon WorkDocs paraAWSMicrosoft AD gerenciado (p. 72). Para obter informações sobre como os usuários do WorkSpaces podem configurar o Amazon WorkDocs em seus WorkSpaces, consulteIntegrar ao WorkDocsnoGuia do usuário do Amazon WorkSpaces. • O redirecionamento entre regiões é suportado somente na versão 3.0.9 ou posterior dos aplicativos cliente Linux, macOS e Windows WorkSpaces.

198 Amazon WorkSpaces Guia de administração Etapa 1: Criar aliases de conexão

• O redirecionamento entre regiões AWSRegiões onde o Amazon WorkSpaces está disponível, exceto para oAWSRegion GovCloud (EUA-Oeste) e China (Ningxia)

Etapa 1: Criar aliases de conexão

Usando o mesmoAWS, crie aliases de conexão em cada região principal e de failover na qual deseja configurar o redirecionamento entre regiões.

Para criar um alias de conexão

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione oAWSRegião dos WorkSpaces. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderRedirecionamento entre regiões, escolhaCriar alias de conexão. 5. para oString de conexão, insira um FQDN, comowww.example.comoudesktop.example.com. Uma string de conexão pode ter no máximo 255 caracteres. Ele pode incluir somente letras (A-Z e a- z), números (0 a 9) e os seguintes caracteres: .- Important

Depois de criar uma cadeia de ligação, ela é sempre associada com oAWSconta. Não é possível recriar a mesma string de conexão com uma conta diferente, mesmo que você exclua todas as instâncias da conta original. A cadeia de ligação está reservada globalmente para a sua conta. 6. (Opcional) EmTags, especifique as tags que você deseja associar ao alias de conexão. 7. SelecioneCriar alias de conexão. 8. Repita essas etapas, mas emStep 2 (p. 199)Selecione a região de failover para seus WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para cada região de failover. Certifique-se de usar o mesmoAWSpara criar o alias de conexão em cada região de failover.

(Opcional) Etapa 2: Compartilhar um alias de conexão com outra conta

É possível compartilhar um alias de conexão com outra conta da AWS na mesma região da AWS. Compartilhar um alias de conexão com outra conta concede a essa conta permissão para associar ou desassociar o alias de um diretório de propriedade da conta, apenas na mesma região. Somente a conta que possui um alias de conexão pode excluir o alias. Note

Um alias de conexão pode ser associado a apenas um diretório por região da AWS. Se você compartilhar um alias de conexão com outra conta da AWS, somente uma conta (a sua conta ou a conta compartilhada) poderá associar o alias a um diretório nessa região.

Para compartilhar um alias de conexão com outroAWSaccount

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione a caixa de seleçãoAWSRegion na qual você deseja compartilhar o alias de conexão com outroAWSconta. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderAssociações de redirecionamento entre regiões, selecione a string de conexão e escolhaAções,Compartilhar/descompartilhar o alias de conexão.

199 Amazon WorkSpaces Guia de administração Etapa 3: Associar aliases de conexão a diretórios em cada região

Você também pode compartilhar um alias na página de detalhes do alias de conexão. Para isso, emConta compartilhada, escolhaCompartilhar alias de conexão. 5. NoCompartilhar/descompartilhar o alias de conexãopágina, emCompartilhar com uma conta, insira aAWSID de conta com a qual você deseja compartilhar seu alias de conexão nesteAWSRegião : 6. Escolha Share.

Etapa 3: Associar aliases de conexão a diretórios em cada região

Associar o mesmo alias de conexão a um diretório do WorkSpaces em duas ou mais regiões cria um par de associação entre os diretórios. Cada par de associação tem uma região principal e uma ou mais regiões de failover.

Por exemplo, se a região principal for Oeste dos EUA (Oregon), você poderá emparelhar o diretório do WorkSpaces na região Oeste dos EUA (Oregon) com um diretório do WorkSpaces na região Leste dos EUA (Norte da Virgínia). Se ocorrer uma interrupção na Região principal, o redirecionamento entre regiões funciona em conjunto com suas políticas de roteamento de failover de DNS e quaisquer verificações de integridade que você colocou em prática na Região Oeste dos EUA (Oregon) para redirecionar seus usuários para os WorkSpaces que você configurou para eles na região Leste dos EUA (Norte da Virgínia). Para obter mais informações sobre a experiência de redirecionamento entre regiões, consulte oO que acontece durante o redirecionamento entre regiões (p. 204). Note

Se os usuários do WorkSpaces estiverem localizados a uma distância significativa da Região de failover (por exemplo, a milhares de quilômetros de distância), a experiência do WorkSpaces pode ser menos responsiva do que o habitual. Para verificar o tempo de ida e volta (RTT) para os váriosAWSRegiões de sua localização, use oVerificação de Health de conexão do Amazon WorkSpaces.

Para associar um alias de conexão a um diretório

É possível associar um alias de conexão com apenas um diretório por região da AWS. Se você tiver compartilhado um alias de conexão com outra conta da AWS, somente uma conta (a sua conta ou a conta compartilhada) poderá associar o alias a um diretório nessa região.

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione oAWSRegião dos WorkSpaces. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderAssociações de redirecionamento entre regiões, selecione a string de conexão e escolhaAções,Associar/desassociar.

Você também pode associar um alias de conexão a um diretório na página de detalhes do alias de conexão. Para isso, emDiretório associado, escolhaDiretório de associar. 5. NoAssociar/desassociarpágina, emAssociar a um diretório, selecione o diretório ao qual você deseja associar seu alias de conexão nesteAWSRegião : Note

Se você configurar oAWSDiretório gerenciado do Microsoft AD para replicação de várias regiões, somente o diretório na região principal pode ser usado com o Amazon WorkSpaces. As tentativas de usar o diretório em uma região replicada com o Amazon WorkSpaces falharão. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas.

200 Amazon WorkSpaces Guia de administração Etapa 4: Configurar seu serviço DNS e configurar políticas de roteamento DNS

6. Escolha Associar. 7. Repita essas etapas, mas emStep 2 (p. 200)Selecione a região de failover para seus WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para cada região de failover. Certifique-se de associar o mesmo alias de conexão a um diretório em cada região de failover.

Etapa 4: Configurar seu serviço DNS e configurar políticas de roteamento DNS

Depois de criar os aliases de ligação e os pares de associação de alias de ligação, pode configurar o serviço DNS para o domínio que utilizou nas cadeias de ligação. Você pode usar qualquer provedor de serviços DNS para esse fim. Se você não tiver um provedor de serviços DNS preferido, pode usar o Amazon Route 53. Para obter mais informações, consulteConfigurar o Amazon Route 53 como serviço DNSnoGuia do desenvolvedor do Amazon Route 53.

Depois de configurar o serviço DNS para o seu domínio, tem de configurar as políticas de encaminhamento DNS que pretende utilizar para o redireccionamento entre regiões. Por exemplo, você pode usar as verificações de saúde do Amazon Route 53 para determinar se os usuários podem se conectar aos WorkSpaces em uma determinada região. Se os usuários não conseguirem se conectar, você poderá usar uma política de failover de DNS para rotear seu tráfego DNS de uma região para outra.

Para obter mais informações sobre como escolher sua política de roteamento de DNS, consulteEscolher uma política de roteamentonoGuia do desenvolvedor do Amazon Route 53. Para obter mais informações sobre as verificações de integridade do Amazon Route 53, consulteComo o Amazon Route 53 verifica a integridade dos seus recursosnoGuia do desenvolvedor do Amazon Route 53.

Quando você estiver configurando suas políticas de roteamento DNS, você precisará doidentificador de conexãopara a associação entre o alias de conexão e o diretório WorkSpaces na Região primária. Você também precisará do identificador de conexão para a associação entre o alias de conexão e o diretório WorkSpaces na região ou regiões de failover. Note

O identificador de conexão énãoo mesmo que o ID de alias de conexão. O ID do alias de conexão começa comwsca-.

Para encontrar o identificador de conexão de uma associação de aliases de conexão

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione oAWSRegião dos WorkSpaces. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderAssociações de redirecionamento entre regiões, selecione o texto da string de conexão (o FQDN) para exibir a página de detalhes do alias de conexão. 5. Na página de detalhes do alias de conexão, emDiretório associado, anote o valor exibido paraIdentificador de conexão. 6. Repita essas etapas, mas emStep 2 (p. 201)Selecione a região de failover para seus WorkSpaces. Se você tiver mais de uma Região de failover, repita essas etapas para localizar o identificador de conexão para cada Região de failover.

Exemplo: Para configurar uma política de roteamento de failover de DNS usando o Route 53

O exemplo a seguir configura uma zona hospedada pública para o domínio. No entanto, você pode configurar uma zona hospedada pública ou privada. Para obter mais informações sobre como configurar uma zona hospedada, consulteTrabalhar com zonas hospedadasnoGuia do desenvolvedor do Amazon Route 53.

201 Amazon WorkSpaces Guia de administração Etapa 4: Configurar seu serviço DNS e configurar políticas de roteamento DNS

Este exemplo também usa uma política de roteamento de failover. Você pode usar outros tipos de política de roteamento para sua estratégia de redirecionamento entre regiões. Para obter mais informações sobre como escolher sua política de roteamento de DNS, consulteEscolher uma política de roteamentonoGuia do desenvolvedor do Amazon Route 53.

Quando você está configurando uma política de roteamento de failover no Route 53, é necessária uma verificação de integridade para a Região primária. Para obter mais informações sobre como criar uma verificação de integridade no Route 53, consulteCriar verificações de integridade do Amazon Route 53 e configurar o failover de DNSeCriar, atualizar e excluir verificações de integridadenoGuia do desenvolvedor do Amazon Route 53.

Se você quiser usar um alarme do Amazon CloudWatch com sua verificação de saúde do Route 53, também será necessário configurar um alarme do CloudWatch para monitorar os recursos em sua região principal. Para obter mais informações sobre o CloudWatch, consulteO que é o Amazon CloudWatch?noGuia do usuário do Amazon CloudWatch. Para obter mais informações sobre como o Route 53 usa alarmes do CloudWatch nas verificações de integridade, consulteComo o Route 53 determina o status das verificações de integridade que monitoram alarmes do CloudWatcheMonitorar um alarme do CloudWatchnoGuia do desenvolvedor do Amazon Route 53.

Para configurar uma política de roteamento de failover de DNS no Route 53, primeiro você precisa criar uma zona hospedada para seu domínio.

1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/. 2. No painel de navegação, selecioneZonas hospedadase, depois, escolhaCriar zona hospedada. 3. NoCriada zona hospedada, insira o nome de seu domínio (comoexample.com) UNDERNome de domínio. 4. UnderTipo, escolhaZona hospedada pública. 5. SelecioneCriar zona hospedada.

Em seguida, crie uma verificação de integridade para sua região principal.

1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/. 2. No painel de navegação, selecioneVerificações de integridadee, depois, escolhaCriar verificação de integridade. 3. NoConfigurar verificação de integridade, insira um nome para sua verificação de saúde. 4. para oO que monitorar, selecioneEndpoint,Estatuto dos outros controlos de integridade (verificação de integridade calculada), ouEstado do alarme do CloudWatch. 5. Dependendo do que você selecionou na etapa anterior, configure sua verificação de saúde e escolhaPróximo. 6. NoReceber notificação quando a verificação de integridade falhar, paraCriar alarme, escolhaYes (Sim)ouNo (Não). 7. SelecioneCriar verificação de integridade.

Depois de criar a verificação de integridade, você poderá criar os registros de failover de DNS.

1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/. 2. No painel de navegação, escolha Hosted zones (Zonas hospedadas). 3. NoZonas hospedadas, selecione o nome de seu domínio. 4. Na página de detalhes do nome de domínio, escolhaCriar registro. 5. NoEscolher política de roteamento, selecioneFailover doe, depois, escolhaPróximo. 6. NoConfigurar registrospágina, emConfiguração básica, paraNome de registro, insira seu nome de subdomínio. Por exemplo, se seu FQDN fordesktop.example.com, insiradesktop.

202 Amazon WorkSpaces Guia de administração Etapa 4: Configurar seu serviço DNS e configurar políticas de roteamento DNS

Note

Se desejar usar o domínio raiz, deixeNome de registroEm branco. No entanto, recomendamos usar um subdomínio, comodesktopouworkspaces, a menos que você tenha configurado o domínio exclusivamente para uso com seus WorkSpaces. 7. para oTipo de registro, selecioneTXT — Usado para verificar remetentes de e-mail e para valores específicos do aplicativo. 8. Deixe aTTL segundosno padrão. 9. UnderRegistros de failover a serem adicionadosseu_domain_name, escolhaDefinir registro de failover.

Agora você precisa configurar os registros de failover para suas Regiões principal e de failover.

Exemplo: Para configurar o registro de failover para sua região principal

1. NoDefinir registro de failover, paraValor/rotear tráfego para, selecioneEndereço IP ou outro valor dependendo do tipo de registro. 2. Uma caixa é aberta para que você insira suas entradas de texto de amostra. Informe o identificador de conexão para a associação de alias de conexão para sua Região principal. 3. para oTipo de registro de failover, escolhaPrimary. 4. para oVerificação de integridade, selecione uma verificação de saúde que você criou para sua Região principal. 5. para oID de registro, insira uma descrição para identificar esse registro. 6. SelecioneDefinir registro de failover. Seu novo registro de failover aparece emRegistros de failover a serem adicionadosseu_domain_name.

Exemplo: Para configurar o registro de failover para sua região de failover

1. UnderRegistros de failover a serem adicionadosseu_domain_name, escolhaDefinir registro de failover. 2. NoDefinir registro de failover, paraValor/rotear tráfego para, selecioneEndereço IP ou outro valor dependendo do tipo de registro. 3. Uma caixa é aberta para que você insira suas entradas de texto de amostra. Informe o identificador de conexão para a associação de alias de conexão para sua Região de failover. 4. para oTipo de registro de failover, escolhasecundário. 5. (Opcional) ParaVerificação de integridade, insira uma verificação de saúde que você criou para sua Região de failover. 6. para oID de registro, insira uma descrição para identificar esse registro. 7. SelecioneDefinir registro de failover. Seu novo registro de failover aparece emRegistros de failover a serem adicionadosseu_domain_name.

Caso ocorra uma falha na verificação de integridade definida na região principal, a política de roteamento de failover de DNS redirecionará os usuários do WorkSpaces para a região de failover. O Route 53 continua monitorando a verificação de integridade da região principal e, quando a verificação de integridade da região principal não falhar mais, o Route 53 redireciona automaticamente os usuários do WorkSpaces de volta para os WorkSpaces na região principal.

Para obter mais informações sobre como criar registros de DNS, consulteCriar registros usando o console do Amazon Route 53noGuia do desenvolvedor do Amazon Route 53. Para obter mais informações sobre a configuração de registros TXT de DNS, consulteTipo de registro TXTnoGuia do desenvolvedor do Amazon Route 53.

203 Amazon WorkSpaces Guia de administração Etapa 5: Enviar a string de conexão para seus usuários do WorkSpaces Etapa 5: Enviar a string de conexão para seus usuários do WorkSpaces

Para garantir que os WorkSpaces de seus usuários serão redirecionados conforme necessário durante uma interrupção, você deve enviar a string de conexão (FQDN) para seus usuários. Se você já tiver emitido códigos de registro baseados na região (por exemplo,WSpdx+ABC12D) para seus usuários do WorkSpaces, esses códigos permanecem válidos. No entanto, para que o redirecionamento entre regiões funcione, os usuários do WorkSpaces devem usar a string de conexão como código de registro ao registrar seus WorkSpaces no aplicativo cliente do WorkSpaces. Important

Se você criar seus usuários no console do WorkSpaces em vez de criá-los no Active Directory, o WorkSpaces enviará automaticamente um email de convite aos usuários com um código de registro baseado na região (por exemplo,WSpdx+ABC12D) sempre que você iniciar um novo WorkSpace. Mesmo que você já tenha configurado o redirecionamento entre regiões, o email de convite enviado automaticamente para novos WorkSpaces contém esse código de registro baseado na região em vez da cadeia de conexão. Para garantir que os usuários do WorkSpaces estejam usando a cadeia de conexão em vez do código de registro baseado na região, você deve enviar outro email com a cadeia de conexão usando o procedimento abaixo.

Para enviar a string de conexão aos usuários do WorkSpaces

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione oAWSRegião dos WorkSpaces. 3. No painel de navegação, selecione WorkSpaces. 4. NoWorkSpaces, use a caixa de pesquisa para pesquisar um usuário ao qual você deseja enviar um convite e selecione o WorkSpace correspondente nos resultados da pesquisa. É possível selecionar apenas um WorkSpace por vez. 5. Escolha Actions (Ações), Invite User (Convidar usuário). 6. NoConvidar usuários para seus WorkSpaces, você verá um modelo de e-mail a ser enviado para seus usuários. 7. (Opcional) Se houver mais de um alias de conexão associado ao diretório do WorkSpaces, selecione a string de conexão que você deseja que seus usuários usem no menu suspensoString de aliases. O modelo de email é atualizado para exibir a string escolhida. 8. Copie o texto do modelo de e-mail e cole em um e-mail para os usuários usando a sua própria aplicação de e-mail. No seu aplicativo de e-mail, você pode modificar o texto conforme necessário. Quando o convite por e-mail estiver pronto, envie-o para seus usuários.

O que acontece durante o redirecionamento entre regiões

Em caso de interrupção, os usuários do WorkSpaces serão desconectados de seus WorkSpaces na região principal. Quando eles tentam reconectar, recebem a seguinte mensagem de erro:

We can't connect to your WorkSpace. Check your network connection, and then try again.

Em seguida, os usuários são solicitados a fazer login novamente. Se eles estiverem usando o FQDN como código de registro, quando fizerem login novamente, as políticas de roteamento de failover de DNS redirecionam para o WorkSpaces que você configurou para eles na região de failover.

204 Amazon WorkSpaces Guia de administração Desassocie um alias de conexão de um diretório

Note

Em alguns casos, os usuários talvez não seja possível reconectar quando fizerem login novamente. Se esse comportamento ocorrer, eles devem fechar e reiniciar o aplicativo cliente WorkSpaces e, em seguida, tente fazer logon novamente. Desassocie um alias de conexão de um diretório

Somente a conta que possui um diretório pode desassociar um alias de conexão do diretório.

Se você compartilhou um alias de conexão com outra conta e tiver associado o alias de conexão a um diretório de propriedade da conta, essa conta deverá ser usada para desassociar o alias de conexão do diretório.

Para desassociar um alias de conexão de um diretório

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione a caixa de seleçãoAWSRegion que contenha o alias de conexão que você deseja dissociar. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderAssociações de redirecionamento entre regiões, selecione a string de conexão e escolhaAções,Associar/desassociar.

Você também pode dissociar um alias de conexão da página de detalhes do alias de conexão. Para isso, emDiretório associado, escolhaDesassociar. 5. NoAssociar/desassociar, selecioneDesassociar. 6. Na caixa de diálogo que solicita que você confirme a dissociação, escolhaDesassociar.

Descompartilhar um alias de conexão

Somente o proprietário de um alias de conexão pode cancelar o compartilhamento do alias. Se você cancelar o compartilhamento de um alias de conexão com uma conta, essa conta não poderá mais associar o alias de conexão a um diretório.

Para cancelar o compartilhamento de um alias de conexão

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione a caixa de seleçãoAWSRegion que contenha o alias de conexão que você deseja cancelar o compartilhamento. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderAssociações de redirecionamento entre regiões, selecione a string de conexão e escolhaAções,Compartilhar/descompartilhar o alias de conexão.

Você também pode cancelar o compartilhamento de um alias de conexão na página de detalhes do alias de conexão. Para isso, emConta compartilhada, escolhaunshare. 5. NoCompartilhar/descompartilhar o alias de conexão, selecioneunshare. 6. Na caixa de diálogo que solicita que você confirme o descompartilhamento do alias de conexão, escolhaunshare.

Excluir um alias de conexão

Você pode excluir um alias de conexão somente se ele for de sua conta e se ele não estiver associado a um diretório.

205 Amazon WorkSpaces Guia de administração Permissões do IAM para associar e desassociar aliases de conexão

Se você compartilhou um alias de conexão com outra conta e essa conta tiver associado o alias de conexão a um diretório de propriedade dessa conta, essa conta deve primeiro desassociar o alias de conexão do diretório antes que você possa excluir o alias de conexão. Important

Depois de criar uma cadeia de ligação, ela é sempre associada à suaAWSconta. Não é possível recriar a mesma string de conexão com uma conta diferente, mesmo que você exclua todas as instâncias da conta original. A cadeia de ligação está reservada globalmente para a sua conta. Warning

Se você não estiver mais usando um FQDN como o código de registro para seus usuários do WorkSpaces, você deve tomar certas precauções para evitar possíveis problemas de segurança. Para obter mais informações, consulte Considerações de segurança se você parar de usar o redirecionamento entre regiões (p. 207).

Para excluir um alias de conexão

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No canto superior direito do console, selecione a caixa de seleçãoAWSRegion que contenha o alias de conexão que você deseja excluir. 3. No painel de navegação, selecione Account Settings (Configurações da conta). 4. UnderAssociações de redirecionamento entre regiões, selecione a string de conexão e escolhaExcluir.

Você também pode excluir um alias de conexão da página de detalhes do alias de conexão. Para isso, escolhaExcluirNo canto superior direito da página. Note

Se oExcluirestiver desativado, certifique-se de que você é o proprietário do alias e certifique- se de que o alias não está associado a um diretório. 5. Na caixa de diálogo que solicita que você confirme a exclusão, escolhaExcluir.

Permissões do IAM para associar e desassociar aliases de conexão

Se você usar um usuário do IAM para associar ou desassociar aliases de conexão, o usuário deverá ter permissões paraworkspaces:AssociateConnectionAliaseworkspaces:DisassociateConnectionAlias.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }

206 Amazon WorkSpaces Guia de administração Considerações de segurança se você parar de usar o redirecionamento entre regiões

Important

Se você estiver criando uma política do IAM para associar ou desassociar aliases de conexão para contas que não possuem os aliases de conexão, não será possível especificar um ID de conta no ARN. Em vez disso, você deverá usar*Para o ID da conta, conforme mostrado no exemplo de política a seguir.

Você pode especificar um ID de conta no ARN somente quando essa conta possui o alias de conexão a ser associado ou desassociado.

Para obter mais informações sobre como trabalhar com o IAM, consulteGerenciamento de identidade e acesso para o WorkSpaces (p. 210). Considerações de segurança se você parar de usar o redirecionamento entre regiões

Se você não estiver mais usando um FQDN como o código de registro para seus usuários do WorkSpaces, você deve tomar as seguintes precauções para evitar possíveis problemas de segurança:

• Certifique-se de emitir os seus usuários do WorkSpaces o código de registro específico da região (por exemplo,WSpdx+ABC12D) para seu diretório do WorkSpaces e instrua-os a parar de usar o FQDN como seu código de registro. • Se você ainda possui este domínio, certifique-se de atualizar seu registro TXT DNS para remover esse domínio para que ele não possa ser explorado em um ataque de phishing. Se você remover esse domínio do registro TXT DNS e os usuários do WorkSpaces tentarem usar o FQDN como código de registro, suas tentativas de conexão falharão inofensivamente. • Se você não possui mais este domínio, seus usuários do WorkSpacesdeveusar seu código de registro específico da região. Se eles continuarem tentando usar o FQDN como código de registro, suas tentativas de conexão podem ser redirecionadas para um site mal-intencionado.

207 Amazon WorkSpaces Guia de administração Proteção de dados

Segurança no Amazon WorkSpaces

A segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de um datacenter e de uma arquitetura de rede criados para atender aos requisitos das organizações com as maiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidade compartilhada descreve isso como a segurança da nuvem e a segurança na nuvem:

• Segurança da nuvem: a AWS é responsável pela proteção da infraestrutura que executa produtos da AWS na Nuvem AWS. A AWS também fornece serviços que podem ser usados com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos Programas de conformidade da AWS. Para saber mais sobre os programas de conformidade que se aplicam ao WorkSpaces, consulteAWSServiços da no escopo pelo programa de conformidade. • Segurança na nuvem — Sua responsabilidade é determinada pelo serviço da AWS que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e os regulamentos aplicáveis

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o WorkSpaces. Ela mostra como configurar o WorkSpaces para atender aos objetivos de segurança e conformidade. Você também aprende a usar outrosAWSServiços da que ajudam a monitorar e proteger os recursos do WorkSpaces.

Tópicos • Proteção de dados no Amazon WorkSpaces (p. 208) • Gerenciamento de identidade e acesso para o WorkSpaces (p. 210) • Validação de conformidade do Amazon WorkSpaces (p. 218) • Resiliência no Amazon WorkSpaces (p. 218) • Segurança da infraestrutura no Amazon WorkSpaces (p. 219) • Gerenciamento de atualizações no WorkSpaces (p. 222)

Proteção de dados no Amazon WorkSpaces

OAWS Modelo de responsabilidade compartilhadase aplica à proteção de dados no Amazon WorkSpaces. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS . Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos serviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulte as Perguntas frequentes sobre privacidade de dados. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and GDPR no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja o Conta da AWS e configurar contas de usuário individuais comAWS Identity and Access Management(IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

208 Amazon WorkSpaces Guia de administração Criptografia em repouso

• Use uma autenticação multifator (MFA) com cada conta. • Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2 ou posterior. • Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail. • Use as soluções de criptografia da AWS com todos os controles de segurança padrão nos produtos da AWS. • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3. • Se forem necessários módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linhas de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável nunca colocar informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Name (Nome). Isso inclui quando você trabalha com WorkSpaces ou outrosAWSusando o console, API,AWS CLI, ouAWSSDKs. Quaisquer dados inseridos em marcações ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se você fornecer um URL para um servidor externo, recomendemos fortemente que não sejam incluídas informações de credenciais no URL para validar a solicitação a esse servidor.

Para obter mais informações sobre o WorkSpaces e a criptografia de endpoint FIPS, consulteConfigurar o Amazon WorkSpaces para autorização do FedRAMP ou conformidade com o SRG do DoD (p. 53). Criptografia em repouso

Você pode criptografar volumes de armazenamento de WorkSpaces usando as chaves mestres de clientes (CMK) do AWS Key Management Service. Para obter mais informações, consulte WorkSpaces criptografados (p. 130).

Quando você cria WorkSpaces com volumes criptografados, o WorkSpaces usa o Amazon Elastic Block Store (Amazon EBS) para criar e gerenciar esses volumes. O EBS criptografa os volumes com uma chave de dados usando o algoritmo AES-256 padrão do setor. Para obter mais informações, consulteAmazon EBS encryptionnoAmazon EC2 ide for Windows Instances. Criptografia em trânsito

Para PCoIP, os dados em trânsito são criptografados usando a criptografia TLS 1.2 e a assinatura de solicitação SigV4. O protocolo PCoIP usa tráfego UDP criptografado, com criptografia AES, para pixels de streaming. A conexão de streaming, usando a porta 4172 (TCP e UDP), é criptografada usando cifras AES-128 e AES-256, mas o padrão de criptografia é 128 bits. Você pode alterar esse padrão para 256 bits, usando oConfigure Settings Security SettingsConfiguração de diretiva de grupo para Windows WorkSpaces ou modificando a configuraçãoConfigurações de segurança do PCoIPnopcoip- agent.confpara o Amazon Linux WorkSpaces.

Para saber mais sobre a administração de políticas de grupo para o Amazon WorkSpaces, consulteConfigure as configurações de segurança PCoIP (p. 106)emGerenciar WorkSpaces do Windows (p. 97). Para saber mais sobre como modificar opcoip-agent.conf, consulteControle o comportamento do agente PCoIP no Amazon Linux WorkSpaces (p. 118)eConfigurações de segurança do PCoIPna documentação do Teradici.

Para o WorkSpaces Streaming Protocol (WSP), o streaming e o controle de dados em trânsito são criptografados usando criptografia DTLS 1.2 para tráfego UDP e criptografia TLS 1.2 para tráfego TCP, com cifras AES-256.

209 Amazon WorkSpaces Guia de administração Identity and Access Management

Gerenciamento de identidade e acesso para o WorkSpaces

Por padrão, os usuários do IAM não têm permissões para recursos e operações do WorkSpaces. Para permitir que os usuários do IAM gerenciem os recursos do WorkSpaces, você deve criar uma política do IAM que conceda permissões a eles explicitamente e anexar a política aos usuários ou grupos do IAM que exigem essas permissões. Para obter mais informações sobre políticas do IAM, consultePolíticas e permissõesnoGuia do usuário do IAMGuia.

O WorkSpaces também cria uma função do IAM para permitir que o serviço do WorkSpaces acesse os recursos necessários. Note

O Amazon WorkSpaces não oferece suporte ao provisionamento de credenciais do IAM em um WorkSpace (como com um perfil de instância).

Para obter mais informações sobre o IAM, consulteIdentity and Access Management (IAM)O e aGuia do usuário do IAM. É possível encontrar recursos, ações e chaves de contexto de condição específicos do WorkSpaces para uso nas políticas de permissão do IAM emAções, recursos e chaves de condição do Amazon WorkSpacesnoGuia do usuário do IAM.

Para obter uma ferramenta que ajuda a criar políticas do IAM, consulte o AWSGerador de políticas. Você também pode usar oIAM Policy SimulatorPara testar se uma política permite ou nega uma solicitação específica aoAWS.

Example 1: Executar todas as tarefas do WorkSpaces

A seguinte declaração de política concede a um usuário do IAM permissão para executar todas as tarefas do WorkSpaces, incluindo a criação e o gerenciamento de diretórios. Ela também concede permissão para executar o procedimento de configuração rápida. Important

Embora o Amazon WorkSpaces seja totalmente compatível com oActioneResourceao usar a API e as ferramentas de linha de comando, para usar o Amazon WorkSpaces a partir doAWS Management Console, um usuário do IAM deve ter permissões para as seguintes ações e recursos:

• Ações:”workspaces:*" e "ds:*" • Recursos: "Resource": "*"

O exemplo de política a seguir mostra como permitir que um usuário do IAM use o Amazon WorkSpaces noAWS Management Console.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole",

210 Amazon WorkSpaces Guia de administração Identity and Access Management

"iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }

Example 2: Executar tarefas específicas do WorkSpace

A seguinte declaração de política concede a um usuário do IAM permissão para executar tarefas específicas do WorkSpace-, como iniciar e remover WorkSpaces. Na declaração de política, a ação ds:* concede permissões amplas - controle total sobre todos os objetos do Directory Services na conta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PutRolePolicy" ], "Resource": "*" } ] }

Para também conceder ao usuário a capacidade de habilitar o Amazon WorkDocs para usuários no WorkSpaces, adicione oworkdocsmostrada no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ {

211 Amazon WorkSpaces Guia de administração Identity and Access Management

"Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }

Para também conceder ao usuário a capacidade de usar o assistente de inicialização do WorkSpaces, adicione as operações kms conforme exibido no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ] }

Example 3: Executar todas as tarefas do WorkSpaces para BYOL WorkSpaces

A seguinte declaração de política concede a um usuário do IAM permissão para executar todas as tarefas do WorkSpaces, incluindo as tarefas do Amazon EC2 necessárias para criar WorkSpaces Bring Your Own License (BYOL).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeImages", "ec2:ModifyImageAttribute", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups",

212 Amazon WorkSpaces Guia de administração Criar a função workspaces_DefaultRole

"ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" } ] }

Criar a função workspaces_DefaultRole

Antes de registrar um diretório usando a API, você deverá criar a função workspaces_DefaultRole, caso ela ainda não exista.

Como criar a função workspaces_DefaultRole

1. Faça login no AWS Management Console e abra o console do IAM em https:// console.aws.amazon.com/iam/. 2. No painel de navegação à esquerda, escolha Roles (Funções). 3. Selecione Create role. 4. UnderSelecionar tipo de entidade confiável, escolhaOutroAWSaccount. 5. Em Account ID (ID da conta), insira seu ID de conta sem hífens ou espaços. 6. Em Options (Opções), não especifique a autenticação multifator (MFA). 7. Selecione Next (Próximo): Permissions 8. NoAnexe políticas de permissões, selecione a caixa de seleçãoAWSPolíticas gerenciadas doAmazonWorkSpacesServiceAccesseAmazonWorkSpacesSelfServiceAccess. 9. UnderDefinir limite de permissõesRecomendamos que você não use um limite de permissões devido ao potencial para conflitos com as políticas que estão anexadas à função workspaces_DefaultRole. Tais conflitos podem bloquear determinadas permissões necessárias para a função. 10. Selecione Next (Próximo): Tags. 11. Na página Add tags (optional) (Adicionar tags (opcional)), adicione tags se necessário. 12. Selecione Next (Próximo): Análise. 13. Na página Review (Revisar), em Role name (Nome da função), insira workspaces_DefaultRole. 14. (Opcional ) Em Role description (Descrição da função), insira uma descrição. 15. Selecione Create Role. 16. Na página Summary (Resumo) da função workspaces_DefaultRole, escolha a guia Trust relationships (Relações de confiança). 17. Na guia Trust relationships (Relações de confiança), escolha Edit trust relationship (Editar relação de confiança). 18. Na página Edit Trust Relationship (Editar relação de confiança), substitua a declaração de política existente pela declaração a seguir.

213 Amazon WorkSpaces Guia de administração Especificar recursos do WorkSpaces em uma política do IAM

{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

19. Escolha Update Trust Policy.

Especificar recursos do WorkSpaces em uma política do IAM

Para especificar um recurso do WorkSpaces naResourceda declaração de política, use o nome de recurso da Amazon (ARN) do recurso. Você controla o acesso aos seus recursos do WorkSpaces permitindo ou negando permissões para usar as ações de API especificadas noActionelemento de sua declaração de política do IAM. O WorkSpaces define ARNs para WorkSpaces, pacotes, grupos IP e diretórios. ARN do WorkSpace

Um ARN do WorkSpace tem a sintaxe mostrada no exemplo a seguir. arn:aws:workspaces:region:account_id:workspace/workspace_identifier region

A região em que o WorkSpace está (por exemplo, us-east-1). account_id

O ID daAWS, sem hifens (por exemplo,123456789012). workspace_identifier

O ID do WorkSpace (por exemplo, ws-a1bcd2efg).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um WorkSpace específico.

"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

Você pode usar o*caractere curinga para especificar todos os WorkSpaces que pertencem a uma conta específica em determinada região. ARN da imagem

Um ARN de imagem do WorkSpace tem a sintaxe mostrada no exemplo a seguir. arn:aws:workspaces:region:account_id:workspaceimage/image_identifier

214 Amazon WorkSpaces Guia de administração Especificar recursos do WorkSpaces em uma política do IAM region

A região em que a imagem do WorkSpace está (por exemplo,us-east-1). account_id

O ID daAWS, sem hifens (por exemplo,123456789012). bundle_identifier

O ID da imagem do WorkSpace (por exemplo,wsi-a1bcd2efg).

Veja a seguir o formato daResourcede uma declaração de política que identifica uma imagem específica.

"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"

Você pode usar o*caractere curinga para especificar todas as imagens que pertencem a uma conta específica em determinada região. ARN de pacote

Um ARN de pacote tem a sintaxe mostrada no exemplo a seguir. arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier region

A região em que o WorkSpace está (por exemplo, us-east-1). account_id

O ID daAWS, sem hifens (por exemplo,123456789012). bundle_identifier

O ID do pacote do WorkSpace (por exemplo, wsb-a1bcd2efg).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um pacote específico.

"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

Você pode usar o*curinga para especificar todos os pacotes que pertencem a uma conta específica em determinada região. ARN do grupo de IP

Um ARN de grupo IP tem a sintaxe mostrada no exemplo a seguir. arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier region

A região em que o WorkSpace está (por exemplo, us-east-1). account_id

O ID daAWS, sem hifens (por exemplo,123456789012).

215 Amazon WorkSpaces Guia de administração Especificar recursos do WorkSpaces em uma política do IAM ipgroup_identifier

O ID do grupo de IP (por exemplo, wsipg-a1bcd2efg).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um grupo de IP específico.

"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

Você pode usar o*caractere curinga para especificar todos os grupos de IP que pertencem a uma conta específica em determinada região. ARN do diretório

Um ARN de diretório tem a sintaxe mostrada no exemplo a seguir. arn:aws:workspaces:region:account_id:directory/directory_identifier region

A região em que o WorkSpace está (por exemplo, us-east-1). account_id

O ID daAWS, sem hifens (por exemplo,123456789012). directory_identifier

O ID do diretório (por exemplo, d-12345a67b8).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um diretório específico.

"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

Você pode usar o*caractere curinga para especificar todos os diretórios que pertencem a uma conta específica em determinada região. O ARN do alias de conexão

Um ARN do alias de conexão tem a sintaxe mostrada no exemplo a seguir. arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier region

A Região em que o alias de conexão está (por exemplo,us-east-1). account_id

O ID daAWS, sem hifens (por exemplo,123456789012). connectionalias_identifier

O ID do alias da conexão (por exemplo,wsca-12345a67b8).

216 Amazon WorkSpaces Guia de administração Especificar recursos do WorkSpaces em uma política do IAM

Veja a seguir o formato daResourcede uma declaração de política que identifica um alias de conexão específico.

"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"

Você pode usar o*caractere curinga para especificar todos os aliases de conexão que pertencem a uma conta específica em determinada região. Ações de API sem suporte para permissões em nível de recurso

Você não pode especificar um ARN de recurso com as seguintes ações de API:

• AssociateIpGroups • CreateIpGroup • CreateTags • DeleteTags • DeleteWorkspaceImage • DescribeAccount • DescribeAccountModifications • DescribeTags • DescribeWorkspaceDirectories • DescribeWorkspaceImages • DescribeWorkspaces • DescribeWorkspacesConnectionStatus • DisassociateIpGroups • ImportWorkspaceImage • ListAvailableManagementCidrRanges • ModifyAccount

Para ações de API que não oferecem suporte a permissões no nível de recurso, é necessário especificar a instrução de recurso mostrada no exemplo a seguir.

"Resource": "*"

Ações de API que não suportam restrições em nível de conta em recursos compartilhados

Para as seguintes ações de API, não é possível especificar um ID de conta no ARN de recurso quando o recurso não pertence à conta:

• AssociateConnectionAlias • CopyWorkspaceImage • DisassociateConnectionAlias

Para essas ações de API, você pode especificar um ID de conta no ARN de recurso somente quando essa conta possui os recursos a serem utilizados. Quando a conta não possui os recursos, você deve especificar*Para o ID da conta da, conforme mostrado no exemplo a seguir.

217 Amazon WorkSpaces Guia de administração Validação de conformidade

"arn:aws:workspaces:region:*:resource_type/resource_identifier"

Validação de conformidade do Amazon WorkSpaces

Auditores de terceiros avaliam a segurança e a conformidade do Amazon WorkSpaces como parte de váriosAWSProgramas de conformidade. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.

Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulte Serviços da AWS no escopo por programa de conformidade. Para obter informações gerais, consulte Programas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria externa usando o AWS Artifact. Para obter mais informações, consulte Fazer download de relatórios no AWS Artifact.

Para obter mais informações sobre WorkSpaces e FedRAMP, consulteConfigurar o Amazon WorkSpaces para autorização do FedRAMP ou conformidade com o SRG do DoD (p. 53).

Sua responsabilidade de conformidade ao usar o WorkSpaces é determinada pela confidencialidade dos dados, pelos objetivos de conformidade da empresa e pelos regulamentos e leis aplicáveis.AWSA fornece os seguintes recursos para ajudar com a conformidade:

• Guias de início rápido de segurança e conformidade: esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em conformidade e segurança na AWS. • Whitepaper Arquitetura para segurança e conformidade com a HIPAA: esse whitepaper descreve como as empresas podem usar a AWS para criar aplicações em conformidade com a HIPAA. • Recursos de conformidade da AWS: essa coleção de manuais e guias pode ser aplicada a seu setor e local. • Avaliar recursos com regrasno AWS Config Guia do desenvolvedor–AWS Config; avalia até que ponto suas configurações de recursos estão em conformidade com práticas internas, diretrizes do setor e regulamentações. • AWS Security Hub: esse serviço da AWS fornece uma visão abrangente do estado de sua segurança na AWS que ajuda você a verificar sua conformidade com padrões e práticas recomendadas de segurança do setor.

Resiliência no Amazon WorkSpaces

A infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, altas taxas de transferência e redes altamente redundantes. Com as zonas de disponibilidade, você pode projetar e operar aplicativos e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Para obter mais informações sobre regiões da AWS e zonas de disponibilidade, consulte AWS Infraestrutura global.

O Amazon WorkSpaces também oferece redirecionamento entre regiões, um recurso que funciona com as políticas de roteamento de failover do Domain Name System (DNS) para redirecionar os usuários do WorkSpaces para o WorkSpaces alternativo em outroAWSRegião quando os WorkSpaces principais não estão disponíveis. Para obter mais informações, consulte Redirecionamento entre regiões para Amazon WorkSpaces (p. 196).

218 Amazon WorkSpaces Guia de administração Segurança da infraestrutura

Segurança da infraestrutura no Amazon WorkSpaces

Como um serviço gerenciado, o Amazon WorkSpaces é protegido peloAWSProcedimentos de segurança de rede global da descritos na seçãoAmazon Web Services: Visão geral dos processos de segurançaWhitepaper.

Você usa oAWSAs chamadas de API publicadas pela para acessar o WorkSpaces pela rede. Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ou posterior. Os clientes também devem ter suporte a conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações. Isolamento de rede

Uma nuvem virtual privada (VPC) é uma rede virtual na área isolada logicamente na Nuvem AWS. Você pode implantar o WorkSpaces em uma sub-rede privada na VPC. Para obter mais informações, consulte Configurar uma VPC para WorkSpaces (p. 10).

Para permitir o tráfego somente em intervalos de endereços específicos (por exemplo, da rede corporativa), atualize o grupo de segurança para a VPC ou use um grupo de controle de acesso IP (p. 47).

Você pode restringir o acesso ao WorkSpace a dispositivos confiáveis com certificados válidos. Para obter mais informações, consulte Restringir o acesso dos WorkSpaces a dispositivos (p. 35). Isolamento em hosts físicos

WorkSpaces diferentes no mesmo host físico são isolados uns dos outros por meio do hipervisor. É como se estivessem em hosts físicos separados. Quando um WorkSpace é excluído, a memória alocada para ele será removida (definida como 0) pelo hipervisor antes de ser alocada para outro WorkSpace. Autorização dos usuários corporativos

Com o WorkSpaces, os diretórios são gerenciados peloAWS Directory Service. É possível criar um diretório gerenciado autônomo para os usuários. Ou é possível integrar com seu ambiente do Active Directory existente para que os usuários possam usar suas credenciais atuais para obter acesso contínuo aos recursos corporativos. Para obter mais informações, consulte Gerenciar diretórios para WorkSpaces (p. 61).

Para controlar ainda mais o acesso aos WorkSpaces, use a autenticação multifator. Para obter mais informações, consulteComo habilitar a autenticação multifator para oAWSServiços. Fazer solicitações de API do Amazon WorkSpaces por meio de um endpoint de interface VPC

Você pode se conectar diretamente aos endpoints de API do Amazon WorkSpaces por meio de umEndpoint de interface daNa sua nuvem privada virtual (VPC) em vez de se conectar pela Internet.

219 Amazon WorkSpaces Guia de administração Fazer solicitações de API do Amazon WorkSpaces por meio de um endpoint de interface VPC

Quando você usa um endpoint de interface de VPC, a comunicação entre a VPC e o endpoint de API do Amazon WorkSpaces é realizada inteiramente e com segurança no âmbito daAWSrede. Note

Esse recurso pode ser usado somente para conexão com endpoints de API do WorkSpaces. Para se conectar ao WorkSpaces usando os clientes do WorkSpaces, é necessária conectividade com a Internet, conforme descrito em Requisitos de porta e endereço IP para WorkSpaces (p. 18).

Suporte para endpoints de API do Amazon WorkSpacesAmazon Virtual Private CloudEndpoints VPC interface (Amazon S3) que são fornecidos pelo AWS PrivateLink . Cada VPC endpoint é representado por uma ou mais interfaces de rede (também conhecidas como interfaces de rede elástica ou ENIs) com endereços IP privados nas sub-redes da VPC.

O endpoint de interface VPC conecta sua VPC diretamente ao endpoint de API do Amazon WorkSpaces sem um gateway de Internet, dispositivo NAT, conexão VPN ouAWS Direct ConnectConexão. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com o endpoint de API do Amazon WorkSpaces.

Você pode criar um endpoint de interface para se conectar ao Amazon WorkSpaces com oAWS Management ConsoleouAWS Command Line Interface(AWS CLI) Comandos da. Para obter instruções, consulte Criar um endpoint de interface.

Depois de criar um endpoint da VPC, você pode usar o exemplo de comandos da CLI a seguir do que usam oendpoint-urlpara especificar endpoints de interface para o endpoint da API do Amazon WorkSpaces: aws workspaces copy-workspace-image --endpoint- url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com aws workspaces delete-workspace-image --endpoint- url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com aws workspaces describe-workspace-bundles --endpoint- url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

Se você habilitar nomes de hosts DNS privados para seu VPC endpoint, não precisará especificar a URL do endpoint. O nome de host DNS da API do Amazon WorkSpaces que a CLI e o Amazon WorkSpaces SDK usam por padrão (https://api.workspaces.Região.amazonaws.com) resolve para seu VPC endpoint.

O endpoint de API do Amazon WorkSpaces oferece suporte a endpoints de VPC em todos osAWSRegiões em que oAmazon VPCeAmazon WorkSpacesEstão disponíveis. O Amazon WorkSpaces oferece suporte a chamadas para todos os seusAPIs públicasdentro de sua VPC.

Para saber mais a respeito AWS PrivateLink , consulte o AWS PrivateLink Documentação do. Para obter o preço dos VPC endpoints, consulte a Definição de preço da VPC. Para saber mais sobre VPC e endpoints, consulte Amazon VPC.

Para ver uma lista de endpoints de API do Amazon WorkSpaces por região, consulteEndpoints de API do WorkSpaces (p. 25). Note

Endpoints de API do Amazon WorkSpaces com AWS PrivateLink Não oferecem suporte a endpoints de API do padrão Federal Information Processing Standard (FIPS) do Amazon WorkSpaces.

220 Amazon WorkSpaces Guia de administração Criar uma política de VPC endpoint para o Amazon WorkSpaces Criar uma política de VPC endpoint para o Amazon WorkSpaces

Você pode criar uma política para endpoints VPC S3 para o Amazon WorkSpaces para especificar o seguinte:

• O principal que pode executar ações. • As ações que podem ser executadas. • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC. Note

As políticas de VPC endpoint não recebem suporte para endpoints do Padrão Federal Information Processing Standard (FIPS - Padrão Amazon WorkSpaces informações federal) do

O exemplo de política de VPC endpoint a seguir especifica que todos os usuários com acesso ao endpoint de interface VPC têm permissão para invocar o endpoint hospedado do Amazon WorkSpaces chamadows-f9abcdefg.

{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws- f9abcdefg", "Principal": "*" } ] }

Neste exemplo, as seguintes ações são negadas:

• Invocar endpoints hospedados no Amazon WorkSpaces que não sejam ows-f9abcdefg. • Executar uma ação em qualquer recurso além da especificada (ID do WorkSpace: ws-f9abcdefg).

Note

Neste exemplo, os usuários ainda podem realizar outras ações da API do Amazon WorkSpaces de fora da VPC. Para restringir chamadas de API àquelas da VPC, consulteGerenciamento de identidade e acesso para o WorkSpaces (p. 210)Para obter informações sobre o uso de políticas baseadas em identidade para controlar o acesso aos endpoints de API do Amazon WorkSpaces. Connect sua rede privada à sua VPC

Para chamar a API do Amazon WorkSpaces por meio da VPC, você precisa se conectar de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando oAWS Virtual Private Network(AWS VPN) ouAWS Direct Connect. Para obter mais informações, consulteConexões VPNnoGuia do usuário da Amazon Virtual Private Cloud. Para obter informações sobre oAWS Direct Connect, consulteComo criar uma conexãonoAWS Direct ConnectGuia do usuário.

221 Amazon WorkSpaces Guia de administração Gerenciamento de atualizações

Gerenciamento de atualizações no WorkSpaces

Recomendamos corrigir, atualizar e proteger regularmente o sistema operacional e os aplicativos no WorkSpaces. Você pode configurar o WorkSpaces para ser atualizado pelo WorkSpaces durante uma janela de manutenção regular ou você mesmo pode atualizá-lo. Para obter mais informações, consulte Manutenção do WorkSpace (p. 128).

Para aplicativos no WorkSpaces, você pode usar todos os serviços de atualização automática fornecidos ou seguir as recomendações para instalar atualizações fornecidas pelo provedor do aplicativo. Amazon WAM

O Amazon WorkSpaces Application Manager (Amazon WAM) oferece uma maneira rápida, flexível e segura de implantar e gerenciar aplicativos para o Windows WorkSpaces. Para obter mais informações, consulte o .Guia de administração do Amazon WAM.

222 Amazon WorkSpaces Guia de administração Habilitar log avançado

Solucionar problemas do WorkSpaces

As informações a seguir podem ajudá-lo a solucionar problemas com seus WorkSpaces.

Habilitar log avançado

Para ajudar a solucionar problemas que seus usuários possam enfrentar, habilite o registro em log avançado em qualquer cliente do Amazon WorkSpaces.

O registro em log avançado gera arquivos de log que contêm informações de diagnóstico e detalhes no nível da depuração, incluindo dados de desempenho detalhados. Para os clientes 1.0+ e 2.0+, esses arquivos de log avançados são automaticamente carregados em um banco de dados noAWS. Note

Para terAWSAnalise os arquivos de log que são gerados pelo registro em log avançado e para receber suporte técnico para problemas com seus clientes do WorkSpaces, entre em contato com oAWSSupport. Para obter mais informações, consulte o Support Center do AWS. Como habilitar o registro em log avançado para clientes do 3.0 e posterior

Os logs de cliente no Windows são armazenados no local a seguir:

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

Como habilitar o log avançado para clientes no Windows

1. Feche o cliente do Amazon WorkSpaces. 2. Abra o aplicativo de prompt de comando. 3. Inicie o cliente do WorkSpaces com o sinalizador -l3.

cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

workspaces.exe -l3 Note

Se o WorkSpaces estiver instalado para um usuário e não para todos os usuários, use os seguintes comandos: c: cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces" workspaces.exe -l3

Os logs do cliente no macOS são armazenados no local a seguir:

~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

223 Amazon WorkSpaces Guia de administração Solucionar problemas específicos do

Como habilitar o registro em log avançado para clientes no macOS

1. Feche o cliente do Amazon WorkSpaces. 2. Abra o terminal. 3. Execute o seguinte comando.

open -a workspaces --args -l3

Os logs de cliente no Linux são armazenados no local a seguir:

~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

Como habilitar o log avançado para clientes no Linux

1. Feche o cliente do Amazon WorkSpaces. 2. Abra o terminal. 3. Execute o seguinte comando.

/opt/workspacesclient/workspacesclient -l3

Como habilitar o log avançado para clientes do 1.0 e posterior e do 2.0 e posterior

1. Abra o cliente do WorkSpaces. 2. Escolha o ícone de engrenagem no canto superior direito do aplicativo cliente. 3. Escolha Advanced Settings. 4. Marque a caixa de seleção Enable Advanced Logging (Habilitar o registro em log avançado). 5. Escolha Salvar.

Os logs de cliente no Windows são armazenados no local a seguir:

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

Os logs do cliente no macOS são armazenados no local a seguir:

~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

Solucionar problemas específicos do

As informações a seguir podem ajudar você a solucionar problemas específicos com seu WorkSpaces.

Problemas • Não consigo criar um Amazon Linux WorkSpace do porque há caracteres inválidos no nome de usuário (p. 225) • Alterei o shell do meu Amazon Linux WorkSpace e agora não consigo provisionar uma sessão PCoIP (p. 226) • Meu Amazon Linux WorkSpaces não será iniciado (p. 226) • A inicialização de WorkSpaces em meu diretório conectado falha com frequência (p. 227) • Falha ao ativar os WorkSpaces com um erro interno (p. 227) • Quando tento registrar um diretório, o registro falha e deixa o diretório em um estado ERROR (p. 227)

224 Amazon WorkSpaces Guia de administração Não consigo criar um Amazon Linux WorkSpace do porque há caracteres inválidos no nome de usuário

• Muitos usuários não conseguem se conectar a um WorkSpace do Windows com um banner de logon interativo (p. 227) • Meus usuários não conseguem se conectar a um Windows WorkSpace (p. 228) • Meus usuários estão tendo problemas ao tentar fazer login no WorkSpaces pelo WorkSpaces Web Access (p. 229) • O cliente do Amazon WorkSpaces exibe uma tela cinza “Carregando...” por um tempo antes de retornar para a tela de login. Nenhuma outra mensagem de erro é exibida. (p. 229) • Meus usuários recebem a mensagem “Status do WorkSpace: Insalubre. Não foi possível conectá-lo ao WorkSpace. Tente novamente em alguns minutos”. (p. 229) • Meus usuários recebem a mensagem “Este dispositivo não está autorizado a acessar o WorkSpace. Entre em contato com o administrador para obter ajuda”. (p. 230) • Meus usuários recebem a mensagem “Sem rede. Conexão de rede perdida. Verifique sua conexão de rede ou entre em contato com o administrador para obter ajuda.” ao tentar se conectar a um WSP WorkSpace (p. 230) • O cliente dos WorkSpaces mostra aos usuários um erro de rede, mas eles podem usar outros aplicativos habilitados para rede em seus dispositivos (p. 230) • Meus usuários do WorkSpace veem a seguinte mensagem de erro: “O dispositivo não pode se conectar ao serviço de registro. Verifique suas configurações de rede." (p. 232) • Meus usuários de cliente zero PCoIP estão recebendo o erro "The supplied certificate is invalid due to timestamp" (O certificado fornecido é inválido devido ao time stamp) (p. 232) • Impressoras USB e outros periféricos USB não estão funcionando para clientes zero PCoIP (p. 233) • Meus usuários ignoraram a atualização dos aplicativos cliente Windows ou macOS e não foram solicitados a instalar a versão mais recente (p. 233) • Meus usuários não conseguem instalar o aplicativo cliente Android em seus Chromebooks (p. 234) • Meus usuários não estão recebendo e-mails de convite nem e-mails de redefinição de senha (p. 234) • Meus usuários não veem a opção Esqueceu sua senha? na tela de login do cliente (p. 234) • Recebo a mensagem “The system administrator has set policies to prevent this installation (O administrador de sistema definiu políticas para prevenir essa instalação)” quando tento instalar aplicativos em um WorkSpace do Windows (p. 235) • Nenhum dos WorkSpaces no meu diretório consegue se conectar à internet (p. 235) • Meu WorkSpace perdeu o acesso à Internet (p. 235) • Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório local (p. 236) • Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório local (p. 236) • Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório local (p. 236) • Meu WorkSpace do Windows fica inativo quando permanece ocioso (p. 237) • Um dos meus WorkSpaces tem um estado deUNHEALTHY (p. 238) • Meu WorkSpace está falhando ou reiniciando de forma inesperada. (p. 238) • O mesmo nome de usuário tem mais de um WorkSpace, mas o usuário só pode fazer login em um dos WorkSpaces (p. 240) • Estou tendo problemas para usar o Docker com o Amazon WorkSpaces (p. 241) • Recebo erros ThrottlingException em algumas das minhas chamadas de API (p. 241)

Não consigo criar um Amazon Linux WorkSpace do porque há caracteres inválidos no nome de usuário

Para o Amazon Linux WorkSpaces, os nomes de usuários:

225 Amazon WorkSpaces Guia de administração Alterei o shell do meu Amazon Linux WorkSpace e agora não consigo provisionar uma sessão PCoIP

• Podem conter 20 caracteres no máximo • Podem conter letras, espaços e números que são representáveis em UTF-8 • Podem incluir os seguintes caracteres especiais: _.-# • Não é possível começar com um símbolo de traço (-) como o primeiro caractere do nome de usuário

Note

Essas limitações não se aplicam aos WorkSpaces do Windows. Os WorkSpaces do Windows são compatíveis com os símbolos @ e - para todos os caracteres no nome de usuário. Alterei o shell do meu Amazon Linux WorkSpace e agora não consigo provisionar uma sessão PCoIP

Para substituir o shell padrão para WorkSpaces do Linux, consulte Substituir o shell padrão para o Amazon Linux WorkSpaces (p. 121). Meu Amazon Linux WorkSpaces não será iniciado

A partir de 20 de julho de 2020, o Amazon Linux WorkSpaces usará novos certificados de licença. Esses novos certificados são compatíveis somente com as versões 2.14.1.1, 2.14.7, 2.14.9 e 20.10.6 ou posterior do agente PCoIP.

Se estiver a utilizar uma versão não suportada do agente PCoIP, tem de actualizá-la para a versão mais recente (20.10.6), que tem as correcções mais recentes e melhoramentos de desempenho compatíveis com os novos certificados. Se você não fizer essas atualizações até 20 de julho, o provisionamento de sessão para seus WorkSpaces Linux falhará e seus usuários finais não poderão se conectar aos WorkSpaces.

Como atualizar o agente PCoIP para a versão mais recente

1. Abra o console do WorkSpaces em.https://console.aws.amazon.com/workspaces/. 2. No painel de navegação, selecione WorkSpaces. 3. Selecione seu Linux WorkSpace e reinicialize-o escolhendoAções,Reinicializar WorkSpaces. Se o status do WorkSpace forSTOPPED, é necessário selecionarAções,WorkSpacesprimeiro e aguarde até que seu status sejaAVAILABLEantes que você possa reinicializá-lo. 4. Depois que o WorkSpace for reinicializado e seu status forAVAILABLERecomendamos que você altere o status do WorkSpace paraADMIN_MAINTENANCEenquanto você estiver executando essa atualização. Ao concluir, altere o status do WorkSpace paraAVAILABLE. Para obter mais informações sobreADMIN_MAINTENANCE, consulteManutenção manual.

Como alterar o status de um WorkSpace paraADMIN_MAINTENANCE, faça o seguinte:

a. Selecione o WorkSpace e escolha Actions, Modify WorkSpace. b. Selecione Modify State (Modificar estado). c. para oEstado, selecioneADMIN_MAINTENANCE. d. Selecione Modify. 5. Connect ao seu WorkSpace do Linux por meio de SSH. Para obter mais informações, consulte Ativar conexões SSH para seus WorkSpaces Linux (p. 54). 6. Para atualizar o agente PCoIP, execute o seguinte comando:

sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6

226 Amazon WorkSpaces Guia de administração A inicialização de WorkSpaces em meu diretório conectado falha com frequência

7. Para verificar a versão do agente e confirmar se a atualização foi bem-sucedida, execute o seguinte comando:

rpm -q pcoip-agent-standard

O comando de verificação deve produzir o seguinte resultado:

pcoip-agent-standard-20.10.6-1.el7.x86_64

8. Desconecte-se do WorkSpace e reinicialize-o novamente. 9. Se você definir o status do WorkSpace comoADMIN_MAINTENANCEemStep 4 (p. 226), repitaStep 4 (p. 226)e setEstadoparaAVAILABLE.

Se o seu Linux WorkSpace ainda não conseguir iniciar depois de atualizar o agente PCoIP, entre em contato comAWSSupport. A inicialização de WorkSpaces em meu diretório conectado falha com frequência

Verifique se os dois servidores DNS ou controladores de domínio em seu diretório local são acessíveis a partir de cada uma das sub-redes que você especificou quando se conectou ao seu diretório. É possível verificar essa conectividade executando uma instância do Amazon EC2 em cada sub-rede e associando a instância ao seu diretório, usando os endereços IP dos dois servidores DNS. Falha ao ativar os WorkSpaces com um erro interno

Verifique se suas sub-redes estão configuradas para atribuir automaticamente endereços IPv6 a instâncias ativadas na sub-rede. Para verificar essa configuração, abra o console da Amazon VPC, selecione sua sub-rede e escolhaAções de sub-rede,Modificar configurações IP de atribuição automática. Se essa configuração for ativada, não será possível ativar os WorkSpaces usando o pacote Performance nem Graphics. Em vez disso, desative essa configuração e especifique endereços IPv6 manualmente ao ativar suas instâncias. Quando tento registrar um diretório, o registro falha e deixa o diretório em um estado ERROR

Esse problema pode ocorrer se você estiver tentando registrar umAWSDiretório gerenciado do Microsoft AD que foi configurado para replicação multirregional. Embora o diretório na região principal possa ser registrado com êxito para uso com o Amazon WorkSpaces, a tentativa de registrar o diretório em uma região replicada falha. Replicação de várias regiões comAWSO Microsoft AD gerenciado não é compatível para uso com o Amazon WorkSpaces em regiões replicadas. Muitos usuários não conseguem se conectar a um WorkSpace do Windows com um banner de logon interativo

Se uma mensagem de logon interativa foi implementada para exibir um banner de logon, isso impede que os usuários consigam acessar os WorkSpaces do Windows. A configuração de política de grupo de mensagem de logon interativa não é compatível com o WorkSpaces atualmente. Mova o WorkSpaces para

227 Amazon WorkSpaces Guia de administração Meus usuários não conseguem se conectar a um Windows WorkSpace uma unidade organizacional (UO) na qual a Política de grupo Interactive logon: Message text for users attempting to log on não é aplicada. Meus usuários não conseguem se conectar a um Windows WorkSpace

Meus usuários recebem o seguinte erro quando tentam se conectar aos seus WorkSpaces do Windows:

"An error occurred while launching your WorkSpace. Please try again."

Esse erro geralmente ocorre quando o WorkSpace não consegue carregar a área de trabalho do Windows usando PCoIP. Verifique o seguinte:

• Esta mensagem aparece se o serviço PCoIP Standard Agent for Windows não estiver em execução. Conecte-se usando RDP para verificar se o serviço está em execução, que está definido para iniciar automaticamente e que pode se comunicar pela interface de gerenciamento (eth0).

• Se o agente PCoIP tiver sido desinstalado, reinicie o WorkSpace por meio do console do Amazon WorkSpaces para reinstalá-lo automaticamente.

• Você também pode receber esse erro no cliente do Amazon WorkSpaces após um longo atraso se oSecurity group dos WorkSpaces (p. 46)foi modificado para restringir o tráfego de saída. Restringir o tráfego de saída impede que o Windows se comunique com os controladores de diretório para login. Verifique se os grupos de segurança permitem que os WorkSpaces se comuniquem com os controladores do diretório em todas as portas obrigatórias (p. 18) pela interface de rede primária.

Outra causa deste erro está relacionada à Política de grupo de atribuição de direitos de usuário. Se a seguinte política de grupo estiver configurada incorretamente, ela impedirá que os usuários acessem seus WorkSpaces do Windows:

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais \Atribuição de direitos de usuário)

• Política incorreta:

Política: Acessar este computador a partir da rede

Configuração: Nome de domínio\ Computadores de domínio

GPO vencedor: Permitir acesso a arquivos • Política correta:

Política: Acessar este computador a partir da rede

Configuração: Nome de domínio\ Usuários de domínio

GPO vencedor: Permitir acesso a arquivos

Note

Esta definição de política deve ser aplicada a Domain users (Usuários do domínio) em vez de Domain Computers (Computadores do domínio).

228 Amazon WorkSpaces Guia de administração Meus usuários estão tendo problemas ao tentar fazer login no WorkSpaces pelo WorkSpaces Web Access

Para obter mais informações, consulte Acessar este computador pela rede – configuração de política de segurança e Definir configurações de política de segurança na documentação do Microsoft Windows. Meus usuários estão tendo problemas ao tentar fazer login no WorkSpaces pelo WorkSpaces Web Access

O Amazon WorkSpaces conta com uma configuração de tela de login específica para permitir que os usuários façam login com êxito no cliente Web Access.

A partir de 1º de outubro de 2020, os clientes não poderão mais usar o cliente Amazon WorkSpaces Web Access do para se conectar a WorkSpaces personalizados do Windows 7 nem a WorkSpaces Bring Your Own License (BYOL — Traga sua própria licença) do Windows 7. O cliente do Amazon WorkSpaces exibe uma tela cinza “Carregando...” por um tempo antes de retornar para a tela de login. Nenhuma outra mensagem de erro é exibida.

Esse comportamento geralmente indica que o cliente do WorkSpaces pode autenticar pela porta 443, mas não pode estabelecer uma conexão de streaming pela porta 4172 (PCoIP) nem pela porta 4195 (WSP). Esta situação pode ocorrer quando os pré-requisitos da rede (p. 18) não são atendidos. Problemas no lado do cliente geralmente impedem que a verificação de rede no cliente seja executada com êxito. Para ver quais verificações de integridade estão falhando, escolha o ícone de verificação de rede (geralmente um triângulo vermelho com um ponto de exclamação no canto inferior direito da tela de login para clientes mais de 2 ou o ícone de redeNo canto superior direito dos clientes do 3.0+). Note

A causa mais comum desse problema é um firewall ou proxy do lado do cliente que impede o acesso pela porta 4172 ou 4195 (TCP e UDP). Se esta verificação de integridade falhar, verifique as configurações de firewall locais.

Se a verificação de rede for aprovada, pode haver um problema com a configuração da rede do WorkSpace. Por exemplo, uma regra do Windows Firewall pode bloquear a porta UDP 4172 ou 4195 na interface de gerenciamento. Connect ao WorkSpace usando um cliente Remote Desktop Protocol (RDP)para verificar se o WorkSpace atende aosRequisitos de porta (p. 18). Meus usuários recebem a mensagem “Status do WorkSpace: Insalubre. Não foi possível conectá-lo ao WorkSpace. Tente novamente em alguns minutos”.

Esse erro indica que o serviço SkyLightWorkSpacesConfigService não está respondendo às verificações de integridade.

229 Amazon WorkSpaces Guia de administração Meus usuários recebem a mensagem “Este dispositivo não está autorizado a acessar o WorkSpace. Entre em contato com o administrador para obter ajuda”. Se você acabou de reiniciar ou iniciar o WorkSpace, espere alguns minutos e tente novamente.

Se o WorkSpace estiver sendo executado por algum tempo e esse erro persistir, conecte-se usando o RDP para verificar que o serviço SkyLightWorkSpacesConfigService:

• Está em execução.

• Está definido para iniciar automaticamente.

• Pode se comunicar pela interface de gerenciamento (eth0).

• Não está bloqueado por um software antivírus de terceiros.

Meus usuários recebem a mensagem “Este dispositivo não está autorizado a acessar o WorkSpace. Entre em contato com o administrador para obter ajuda”.

Esse erro indica que os grupos de controle de acesso IP (p. 47) estão configurados no diretório do WorkSpace, mas o endereço IP do cliente não está na lista de permissões.

Verifique as configurações no diretório. Confirme se o endereço IP público do qual o usuário está se conectando permite o acesso ao WorkSpace. Meus usuários recebem a mensagem “Sem rede. Conexão de rede perdida. Verifique sua conexão de rede ou entre em contato com o administrador para obter ajuda.” ao tentar se conectar a um WSP WorkSpace

Se esse erro ocorrer e seus usuários não tiverem problemas de conectividade, verifique se a porta 4195 está aberta nos firewalls da rede. Para WorkSpaces usando o WorkSpaces Streaming Protocol (WSP), a porta usada para transmitir a sessão do cliente foi alterada de 4172 para 4195. O cliente dos WorkSpaces mostra aos usuários um erro de rede, mas eles podem usar outros aplicativos habilitados para rede em seus dispositivos

As aplicações clientes de WorkSpaces contam com acesso a recursos noAWSNuvem e exigem uma conexão que forneça download de banda larga de, pelo menos, 1 Mbps. Se o dispositivo tiver uma conexão intermitente com a rede, o aplicativo cliente dos WorkSpaces poderá relatar um problema com a rede.

O WorkSpaces impõe o uso de certificados digitais emitidos pelo Amazon Trust Services em maio de 2018. O Amazon Trust Services já é uma CA raiz confiável nos sistemas operacionais compatíveis com o WorkSpaces. Se a lista de Root CA do sistema operacional não estiver atualizada, o dispositivo não poderá se conectar aos WorkSpaces e o cliente gerará um erro de rede.

230 Amazon WorkSpaces Guia de administração O cliente dos WorkSpaces mostra aos usuários um erro de rede, mas eles podem usar outros aplicativos habilitados para rede em seus dispositivos Para reconhecer problemas de conexão devido a falhas de certificado

• Clientes zero PCoIP — a seguinte mensagem de erro é exibida:

Failed to connect. The server provided a certificate that is invalid. See below for details: - The supplied certificate is invalid due to timestamp - The supplied certificate is not rooted in the devices local certificate store

• Outros clientes — as verificações de integridade falham com um triângulo de aviso vermelho paraInternet.

Para resolver falhas de certificado • Aplicativo cliente Windows (p. 231) • Clientes zero PCoIP (p. 231) • Outros aplicativos cliente (p. 232)

Aplicativo cliente Windows

Use uma das seguintes soluções para falhas de certificado.

Solução 1: Atualizar o aplicativo cliente

Faça download do aplicativo cliente para Windows mais recente e instale-o emDownloads de clientes do Amazon WorkSpaces. Durante a instalação, o aplicativo cliente garante que seu sistema operacional confie em certificados emitidos pelo Amazon Trust Services.

Solução 2: Adicionar Amazon Trust Services à lista local de autoridades de certificação raiz

1. Acesse https://www.amazontrust.com/repository/. 2. Faça download do certificado Starfield no formato DER (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92). 3. Abra o Console de Gerenciamento Microsoft. (No prompt de comando, execute mmc.) 4. Selecione File (Arquivo), Add/Remove Snap-in (Adicionar/Remover snap-in), Certificates (Certificados) e Add (Adicionar). 5. Na página Certificates snap-in (Snap-in de certificados), selecione Computer account (Conta de computador) e Next (Avançar). Mantenha o padrão, Local computer (Computador local). Escolha Finish. Escolha OK. 6. Expanda Certificates (Local Computer) [Certificados (computador local)] e selecione Trusted Root Certification Authorities (Autoridades de certificação raiz confiáveis). Selecione Action (Ação), All Tasks (Todas as tarefas) e Import (Importar). 7. Siga o assistente para importar o certificado que você obteve por download. 8. Saia e reinicie o aplicativo cliente dos WorkSpaces.

Solução 3: Implantar o Amazon Trust Services como uma CA confiável usando a política de grupo

Adicione o certificado Starfield às CAs raiz confiáveis do domínio usando a política de grupo. Para obter mais informações, consulte Usar política para distribuir certificados. Clientes zero PCoIP

Para se conectar diretamente a um WorkSpace usando firmware versão 6.0 ou posterior, baixe e instale o certificado emitido pelo Amazon Trust Services.

231 Amazon WorkSpaces Guia de administração Meus usuários do WorkSpace veem a seguinte mensagem de erro: “O dispositivo não pode se conectar ao serviço de registro. Verifique suas configurações de rede." Para adicionar o Amazon Trust Services como uma CA raiz confiável

1. Abra https://certs.secureserver.net/repository/. 2. Faça o download do certificado em Starfield Certificate Chain (Cadeia de certificado Starfield) com a impressão digital 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58. 3. Carregue o certificado para o cliente zero. Para obter mais informações, consulte Upload de certificados na documentação do Teradici.

Outros aplicativos cliente

Adicione o certificado Starfield (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) no Amazon Trust Services. Para obter mais informações sobre como adicionar uma CA raiz, consulte a seguinte documentação:

• Android: Adicionar e remover certificados • Sistema operacional Chrome: Gerenciar certificados de cliente em dispositivos Chrome • MacOS e iOS: Instalar o certificado raiz de uma autoridade de certificação em seu dispositivo de teste

Meus usuários do WorkSpace veem a seguinte mensagem de erro: “O dispositivo não pode se conectar ao serviço de registro. Verifique suas configurações de rede."

Quando ocorre uma falha no serviço de registro, os usuários de WorkSpace podem ver a seguinte mensagem de erro noVerificação Health doPágina: “Seu dispositivo não consegue se conectar ao serviço de registro dos WorkSpaces. Não será possível registrar seu dispositivo no WorkSpaces. Please check your network settings."

Esse erro ocorre quando o aplicativo cliente dos WorkSpaces não consegue entrar em contato com o serviço de registro. Isso costuma ocorrer quando o diretório de WorkSpaces foi excluído. Para resolver esse erro, verifique se o código de registro é válido e corresponde a um diretório em execução noAWSNuvem. Meus usuários de cliente zero PCoIP estão recebendo o erro "The supplied certificate is invalid due to timestamp" (O certificado fornecido é inválido devido ao time stamp)

Se o Network Time Protocol (NTP) não estiver habilitado no Teradici, seus usuários de cliente zero PCoIP poderão receber erros de falha de certificado. Para configurar o NTP, consulte Configurar clientes zero PCoIP para WorkSpaces (p. 49).

232 Amazon WorkSpaces Guia de administração Impressoras USB e outros periféricos USB não estão funcionando para clientes zero PCoIP Impressoras USB e outros periféricos USB não estão funcionando para clientes zero PCoIP

A partir da versão 20.10.4 do agente PCoIP, o Amazon WorkSpaces desativa o redirecionamento de USB por padrão por meio do registro do Windows. Esta definição de registo afecta o comportamento de periféricos USB quando os utilizadores estão a utilizar dispositivos PCoIP cliente zero para ligar aos respetivos WorkSpaces.

Se os WorkSpaces estiverem usando a versão 20.10.4 ou posterior do agente PCoIP, os dispositivos periféricos USB não funcionarão com dispositivos cliente zero PCoIP até que você tenha ativado o redirecionamento USB. Note

Se você estiver usando drivers de impressora virtual de 32 bits, você também deve atualizar esses drivers para suas versões de 64 bits.

Para habilitar o redirecionamento USB para dispositivos clientes PCoIP zero do

Recomendamos que você envie essas alterações de registro para seus WorkSpaces por meio da política de grupo. Para obter mais informações, consulteConfigurar o agenteeConfigurações configuráveisna documentação do Teradici.

1. Defina o valor de chave de registro a seguir como 1 (ativado):

KeyPath =HKEY_LOCAL_MACHINE\ SOFTWARE\ SOFTWARE\ Policiais\ PCoIP\ pcoip_admin

KeyName =pcoip.enable_usb

KeyType = DWORD

KeyValue = 1 2. Defina o valor de chave de registro a seguir como 1 (ativado):

KeyPath =HKEY_LOCAL_MACHINE\ SOFTWARE\ SOFTWARE\ Policiais\ PCoIP\ pcoip_admin_defaults

KeyName =pcoip.enable_usb

KeyType = DWORD

KeyValue = 1 3. Se você ainda não tiver feito isso, faça login no WorkSpace e faça login novamente. Seus dispositivos USB agora devem funcionar.

Meus usuários ignoraram a atualização dos aplicativos cliente Windows ou macOS e não foram solicitados a instalar a versão mais recente

Quando os usuários ignoram atualizações para o aplicativo cliente Windows do Amazon WorkSpaces, oSkipThisVersionChave de registro é definida e eles não são mais solicitados a atualizar seus clientes quando uma nova versão do cliente é lançada. Para atualizar para a versão mais recente, é possível editar o registro conforme descrito emAtualizar o aplicativo cliente para Windows do WorkSpaces para uma

233 Amazon WorkSpaces Guia de administração Meus usuários não conseguem instalar o aplicativo cliente Android em seus Chromebooks versão mais recentenoGuia do usuário do Amazon WorkSpaces. Também é possível executar o seguinte comando do PowerShell:

Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces \WinSparkle" -Name "SkipThisVersion"

Quando os usuários ignoram atualizações para o aplicativo cliente do Amazon WorkSpaces macOS, oSUSkippedVersionA preferência é definida e eles não são mais solicitados a atualizar seus clientes quando uma nova versão do cliente é lançada. Para atualizar para a versão mais recente, é possível redefinir essa preferência, conforme descrito emAtualizar o aplicativo cliente para macOS do WorkSpaces para uma versão mais recentenoGuia do usuário do Amazon WorkSpaces. Meus usuários não conseguem instalar o aplicativo cliente Android em seus Chromebooks

A versão 2.4.13 é a versão final do aplicativo cliente Chromebook do Amazon WorkSpaces. Como o Google está eliminando gradualmente o suporte aos aplicativos do Chrome, não haverá atualizações adicionais para o aplicativo cliente do Chromebook para o WorkSpaces e não haverá suporte ao seu uso. para oChromebooks que oferecem suporte à instalação de aplicativos Android, recomendamos usar oAplicativo cliente WorkSpaces AndroidEm vez disso.

Em alguns casos, talvez seja necessário habilitar os Chromebooks de seus usuários para instalar aplicativos Android. Para obter mais informações, consulte Configurar o Android para Chromebooks (p. 50). Meus usuários não estão recebendo e-mails de convite nem e-mails de redefinição de senha

Os usuários não recebem e-mails de boas-vindas nem de redefinição de senha automaticamente para WorkSpaces criados usando o AD Connector ou um domínio confiável. Os emails de convite também não são enviados automaticamente se o usuário já existir no Active Directory.

Para enviar manualmente e-mails de boas-vindas a esses usuários, consulte Enviar um convite por e- mail (p. 92).

Para redefinir senhas de usuário, consulte Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73). Meus usuários não veem a opção Esqueceu sua senha? na tela de login do cliente

Se você estiver usando o AD Connector ou um domínio confiável, seus usuários não poderão redefinir suas próprias senhas. (A opção Esqueceu sua senha? na tela de login do aplicativo cliente do WorkSpaces não estará disponível.) Para obter informações sobre como redefinir senhas de usuários, consulte Configurar as ferramentas de administração do Active Directory para o WorkSpaces (p. 73).

234 Amazon WorkSpaces Guia de administração Recebo a mensagem “The system administrator has set policies to prevent this installation (O administrador de sistema definiu políticas para prevenir essa instalação)” quando tento instalar Recebo a mensagemaplicativos em um “The WorkSpace system do Windows administrator has set policies to prevent this installation (O administrador de sistema definiu políticas para prevenir essa instalação)” quando tento instalar aplicativos em um WorkSpace do Windows

Você pode resolver esse problema modificando a configuração de política de grupo do Windows Installer. Para implantar essa política em vários WorkSpaces no diretório, aplique essa configuração a um objeto de política de grupo vinculado à unidade organizacional (UO) do WorkSpaces em uma instância do EC2 associada ao domínio. Se você estiver usando o AD Connector, poderá fazer essas alterações por um controlador de domínio. Para obter mais informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com objetos de política de grupo, consulteInstalação das ferramentas de administração do Active DirectorynoAWS Directory ServiceGuia de administração.

O seguinte procedimento mostra como definir a configuração do Windows Installer para o objeto de política de grupo do WorkSpaces.

1. Certifique-se de que o mais recenteModelo administrativo de políticas de grupo do WorkSpaces (p. 99)O está instalado em seu domínio. 2. Abra a ferramenta de gerenciamento de políticas de grupo em seu cliente de WorkSpace do Windows e navegue até e selecione o objeto de políticas de grupo dos WorkSpaces para suas contas de máquina dos WorkSpaces. No menu principal, escolha Action (Ação), Edit (Editar). 3. No editor de gerenciamento de política de grupo, selecione Computer Configuration (Configuração do computador), Policies (Políticas), Administrative Templates (Modelos administrativos), Classic Administrative Templates (Modelos administrativos clássicos), Windows Components (Componentes do Windows) e Windows Installer. 4. Abra a configuração Turn Off Windows Installer (Desativar o Windows Installer). 5. Na caixa de diálogo Turn Off Windows Installer (Desativar o Windows Installer), altere Not Configured (Não configurado) para Enabled (Habilitado) e defina Disable Windows Installer (Desativar o Windows Installer) como Never (Nunca). 6. Escolha OK. 7. Para aplicar as alterações de política de grupo, execute um destes procedimentos: • Reinicialize o WorkSpace (no console do WorkSpaces, selecione o WorkSpace e escolhaAções,Reinicializar WorkSpaces). • Em um prompt de comando administrativo, insira gpupdate /force.

Nenhum dos WorkSpaces no meu diretório consegue se conectar à internet

O WorkSpaces não consegue se comunicar com a internet por padrão. Você deve fornecer explicitamente o acesso à internet. Para obter mais informações, consulte Fornecer acesso à Internet a partir do WorkSpace (p. 45). Meu WorkSpace perdeu o acesso à Internet

Se o WorkSpace perdeu o acesso à Internet e você não conseguir se conectar ao WorkSpace usando o RDP, esse problema provavelmente é causado pela perda do endereço IP público do WorkSpace. Se você ativou a atribuição automática de endereços IP elásticos (p. 64) no nível do diretório, um endereço

235 Amazon WorkSpaces Guia de administração Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório local

IP elástico (do grupo fornecido pela Amazon) será atribuído ao WorkSpace quando ele for iniciado. No entanto, se você associar um endereço IP elástico que possui a um WorkSpace e, depois, desassociar esse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereço IP público e não obterá automaticamente um novo do grupo fornecido pela Amazon.

Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace, é necessário recriar o WorkSpace (p. 137). Se você não quiser recriar o WorkSpace, será necessário associar outro endereço IP elástico que possui ao WorkSpace.

Recomendamos que você não modifique a interface de rede elástica de um WorkSpace após ele ser iniciado. Depois que um endereço IP elástico for atribuído a um WorkSpace, o WorkSpace mantém o mesmo endereço IP público, a menos que o WorkSpace seja recriado, caso em que ele obtém um novo endereço IP público. Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório local

Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório local.

DNS unavailable (TCP port 53) for IP: dns-ip-address

O AD Connector deve conseguir se comunicar com seus servidores DNS locais por meio de TCP e UDP na porta 53. Verifique se seus grupos de segurança e firewalls locais permitem a comunicação de TCP e UDP por essa porta. Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu diretório local

Você recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório local.

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address Kerberos/authentication unavailable (TCP port 88) for IP: ip-address Please ensure that the listed ports are available and retry the operation.

O AD Connector deve conseguir se comunicar com seus controladores de domínio locais por meio de TCP e UDP nas seguintes portas. Verifique se seus grupos de segurança e firewalls locais permitem a comunicação de TCP e UDP por estas portas:

• 88 (Kerberos) • 389 (LDAP)

Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório local

Você recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando se conecta ao seu diretório local.

SRV record for LDAP does not exist for IP: dns-ip-address

236 Amazon WorkSpaces Guia de administração Meu WorkSpace do Windows fica inativo quando permanece ocioso

SRV record for Kerberos does not exist for IP: dns-ip-address

O AD Connector precisa obter o_ldap._tcp.dns-domain-namee_kerberos._tcp.dns-domain- nameSRV registra quando se conecta ao seu diretório. Você receberá esse erro se o serviço não conseguir obter esses registros dos servidores DNS que você especificou ao se conectar ao seu diretório. Certifique-se de que os seus servidores DNS contenham esses registros de SRV. Para obter mais informações, consulte Registros de recursos SRV no Microsoft TechNet. Meu WorkSpace do Windows fica inativo quando permanece ocioso

Para resolver esse problema, conecte-se ao WorkSpace e altere o plano de alimentação para Alto desempenho usando o seguinte procedimento:

1. No WorkSpace, abraPainel de controlee, depois, selecioneHardwareou escolhaHardware e som(o nome pode ser diferente, dependendo da sua versão do Windows). 2. Em Opções de Energia, selecione Escolher um plano de energia. 3. NoEscolha ou personalize um plano de energia, selecione oAlta performancee, em seguida, escolhaAlterar configurações do plano. • Se a opção para escolher a opçãoAlta performanceO plano de energia estiver desabilitado, selecioneAlterar configurações que estão indisponíveis no momentoe, em seguida, escolha oAlta performancePlano de energia. • Se oAlta performanceO plano não estiver visível, escolha a seta à direita doMostrar planos adicionaispara exibi-lo, ou escolhaCriar um plano de energiaNa barra de navegação à esquerda, selecioneAlta performance, dê um nome ao plano de energia e, em seguida, escolhaPróximo. 4. NoAlterar as configurações do plano: Alta performance, verifique seDesligue o monitore (se disponível)Colocar o computador em modo de suspensãosão definidos comoNunca. 5. Se você fez alguma alteração no plano de alto desempenho, escolhaSalve as alterações(ou escolhaCriarse você estiver criando um novo plano).

Se as etapas anteriores não resolverem o problema, faça o seguinte:

1. No WorkSpace, abraPainel de controlee, depois, selecioneHardwareou escolhaHardware e som(o nome pode ser diferente, dependendo da sua versão do Windows). 2. Em Opções de Energia, selecione Escolher um plano de energia. 3. No painel Escolher ou personalizar um plano de energia, selecione o link Alterar configurações do plano à direita do plano de energia Alto desempenho e, em seguida, selecione o link Alterar configurações de energia avançadas. 4. Na caixa de diálogo Opções de energia, na lista de configurações, escolha o sinal de mais à esquerda de Disco rígido para exibir as configurações relevantes. 5. Verifique se o valor de Desligar o disco rígido após para Na tomada é maior que o valor de Na bateria (o valor padrão é de 20 minutos). 6. Selecione o sinal de mais à esquerda de PCI Express e faça o mesmo para Gerenciamento de Energia do Estado da Conexão. 7. Verifique se as configurações de Gerenciamento de Energia do Estado da Conexão estão no modo Desligado. 8. Selecione OK (ou Aplicar se você alterou qualquer configuração) para fechar a caixa de diálogo. 9. No painel Alterar configurações do plano, se você alterou qualquer configuração, selecione Salvar alterações.

237 Amazon WorkSpaces Guia de administração Um dos meus WorkSpaces tem um estado deUNHEALTHY

Um dos meus WorkSpaces tem um estado deUNHEALTHY O serviço do WorkSpaces envia periodicamente solicitações de status ao WorkSpace. Um WorkSpace é marcado como UNHEALTHY quando ele não responde a essas solicitações. As causas comuns para esse problema são:

• Um aplicativo no WorkSpace está bloqueando as portas de rede, impedindo que o WorkSpace responda à solicitação de status. • O alto nível de utilização da CPU está impedindo que o WorkSpace responda à solicitação de status em tempo hábil. • O nome do computador do WorkSpace foi alterado. Isso impede que um canal seguro seja estabelecido entre o WorkSpaces e o WorkSpace.

Você pode tentar corrigir a situação usando os seguintes métodos:

• Reinicie o WorkSpace do console do WorkSpaces. • Conecte-se ao WorkSpace não íntegro usando o procedimento a seguir, que deve ser usado apenas para fins de solução de problemas:

1. Conecte-se a um WorkSpace operacional no mesmo diretório que o WorkSpace não íntegro. 2. No WorkSpace operacional, use o Remote Desktop Protocol (RDP) para se conectar ao WorkSpace não íntegro usando o endereço IP do WorkSpace não íntegro. Dependendo da extensão do problema, talvez você não consiga se conectar ao WorkSpace não íntegro. 3. No WorkSpace não íntegro, confirme se os requisitos mínimos de porta (p. 18) são atendidos. • Certifique-se de que o serviço SkyLightWorkSpacesConfigService pode responder a verificações de saúde. Para resolver esse problema, consulteMeus usuários recebem a mensagem “Status do WorkSpace: Insalubre. Não foi possível conectá-lo ao WorkSpace. Tente novamente em alguns minutos”. (p. 229). • Recria o WorkSpace do console do WorkSpaces. Como a recriação de um WorkSpace pode causar uma perda de dados, essa opção deve ser usada somente se todas as outras tentativas para corrigir o problema não tenham tido bom êxito.

Meu WorkSpace está falhando ou reiniciando de forma inesperada.

Se o WorkSpace configurado para PCoIP está falhando ou reiniciando repetidamente e os logs de erro ou os despejos de memória estiverem apontando para problemas com ospacedeskHookKmode.sysouspacedeskHookUmode.dllOu, se estiver recebendo as seguintes mensagens de erro, talvez seja necessário desabilitar o Web Access do WorkSpace:

The kernel power manager has initiated a shutdown transition. Shutdown reason: Kernel API

The computer has rebooted from a bugcheck.

Note

• Essas etapas de solução de problemas não são aplicáveis ao WorkSpaces configurados para o WorkSpaces Streaming Protocol (WSP). Eles são aplicáveis somente aos WorkSpaces configurados para PCoIP.

238 Amazon WorkSpaces Guia de administração Meu WorkSpace está falhando ou reiniciando de forma inesperada.

• Você deve desativar o Web Access somente se não estiver permitindo que os usuários utilizem o Web Access.

Para desabilitar o Web Access do WorkSpace, é necessário definir uma política de grupo e modificar duas configurações de registro. Para obter informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com objetos de política de grupo, consulteInstalação das ferramentas de administração do Active DirectorynoAWS Directory ServiceGuia de administração.

Etapa 1: Definir uma política de grupo para desabilitar o Web Access no nível do diretório

Você deve fazer essas alterações de um WorkSpace PCoIP em vez de um controlador de domínio porque o serviço de aplicativo hospedado STXHD deve estar presente.

1. Edite o grupo de segurança usado pelo WorkSpaces para permitir conexões RDP. Para obter mais informações, consulteComo conecto-me ao WorkSpace usando o RDP?. 2. Use o RDP para se conectar a um WorkSpace. Certifique-se de que está a utilizar uma conta de utilizador que tenha permissões no domínio para criar e modificar GPOs. Se você estiver usando o Simple AD para o diretório do WorkSpace, o nome de usuário seráAdministrator. Se você estiver usando o Microsoft AD, o nome de usuário do administrador éAdmin. 3. Instale as Ferramentas de Administração do Active Directory (RSAT) para obter a ferramenta Editor de Gerenciamento de Diretiva de Grupo. Para instalar essas ferramentas, consulteInstalação das ferramentas de administração do Active DirectorynoAWS Directory ServiceGuia de administração.

Você também pode instalar essas ferramentas executando o seguinte comando do Windows PowerShell como administrador:

Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS- Tools,RSAT-DNS-Server

4. Abra o Editor de Gerenciamento de Política de Grupo (gpmc.msc) e localize a política do Objeto de Política de Grupo (GPO) no nível do controlador de domínio do diretório. Note

Se o domínio que apoia o WorkSpaces for umAWS Managed Microsoft AD, você não pode usar a diretiva de domínio padrão para criar seu GPO. Em vez disso, você deve criar e vincular o GPO no contêiner de domínio que tenha privilégios delegados. Quando você cria um diretório comAWS Managed Microsoft AD,AWS Directory Servicecria umSEUDOmainNameUnidade organizacional (OU) sob a raiz do domínio. O nome dessa UO é baseado no nome NetBIOS digitado quando você criou seu diretório. Se você não especificar um nome NetBIOS, a primeira parte do nome DNS do diretório será adotada como padrão (por exemplo, no caso decorp.example.com, o nome NetBIOS écorp). Para criar seu GPO, em vez de selecionarPolítica de domínio padrão, selecione oSEUDOmainNameUO (ou qualquer UO sob essa), abra o menu de contexto (clique com o botão direito do mouse) e escolhaCriar um GPO neste domínio e vinculá-lo aqui. Para obter mais informações sobre oSEUDOmainNameUO, consulteO que é criadonoAWS Directory ServiceGuia de administração. 5. Selecione Action (Ação), Edit (Editar). 6. Navegue até a seguinte configuração:

Computer Configuration\ Policies\ Windows Settings\ Security Settings\ System Services\ STXHD Hosted Application Service 7. Na caixa de diálogo STXHD Hosted Application Service Properties (Propriedades do serviço de aplicativos hospedados no STXHD) na guia Security Policy Setting (Configuração da política de segurança), marque a caixa de seleção Define this policy setting (Definir esta configuração de política).

239 Amazon WorkSpaces Guia de administração O mesmo nome de usuário tem mais de um WorkSpace, mas o usuário só pode fazer login em um dos WorkSpaces

8. Em Select Service Startup Mode (Selecionar modo de inicialização do serviço), selecione Disabled (Desativado). 9. Escolha OK. 10. Impeça que a máquina reinicie até que você termine de editar o registro (Etapa 2).

Etapa 2: Editar o registro para desabilitar o Web Access

Recomendamos que você envie essas alterações de registro pelo GPO.

1. Defina o valor de chave de registro a seguir como 1 (ativado):

KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update- webaccess.ps1

KeyName = RebootCount

KeyType = DWORD

KeyValue = 1 2. Defina o valor de chave de registro a seguir como 4 (desativado):

KeyPath = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spacedeskHookKmode

KeyName = Start

KeyType = DWORD

KeyValue = 4 3. Reinicie a máquina.

O mesmo nome de usuário tem mais de um WorkSpace, mas o usuário só pode fazer login em um dos WorkSpaces

Se você excluir um usuário no Active Directory (AD) sem antes excluir o WorkSpace dele e, depois, adicionar o usuário de volta ao Active Directory e criar um WorkSpace para ele, o mesmo nome de usuário terá dois WorkSpaces no mesmo diretório. No entanto, se o usuário tentar se conectar ao WorkSpace original, ele receberá o seguinte erro:

"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

Além disso, as pesquisas pelo nome de usuário no console do Amazon WorkSpaces retornam apenas o novo WorkSpace, mesmo que ambos os WorkSpaces ainda existam. (É possível encontrar o WorkSpace original pesquisando o ID do WorkSpace em vez do nome de usuário.)

Esse comportamento também poderá ocorrer se você renomear um usuário no Active Directory sem antes excluir o WorkSpace dele. Se você alterar o nome de usuário de volta para o original e criar um WorkSpace para o usuário, o mesmo nome de usuário terá dois WorkSpaces no diretório.

Esse problema ocorre porque o Active Directory usa o identificador de segurança (SID) do usuário, em vez do nome de usuário, para identificar exclusivamente o usuário. Quando um usuário é excluído e recriado no Active Directory, ele recebe um novo SID, mesmo que seu nome de usuário permaneça o mesmo. Nas pesquisas por um nome de usuário, o console do Amazon WorkSpaces usa o SID para pesquisar

240 Amazon WorkSpaces Guia de administração Estou tendo problemas para usar o Docker com o Amazon WorkSpaces correspondências no Active Directory. Os clientes do Amazon WorkSpaces também usam o SID para identificar usuários quando eles estão se conectando ao WorkSpaces.

Para resolver esse problema, execute um dos seguintes procedimentos:

• Se o problema ocorreu porque o usuário foi excluído e recriado no Active Directory, talvez seja possível restaurar o objeto do usuário original excluído caso o recurso Lixeira no Active Directory esteja habilitado. Se conseguir restaurar o objeto do usuário original, verifique se o usuário consegue se conectar ao WorkSpace original. Se ele conseguir, você poderá excluir o novo WorkSpace (p. 150) após fazer backup e transferir manualmente todos os dados do usuário do novo WorkSpace para o WorkSpace original (se necessário). • Se não for possível restaurar o objeto do usuário original, exclua o WorkSpace original do usuário (p. 150). O usuário deve ser capaz de se conectar ao seu novo WorkSpace e utilizá-lo. Faça backup e transfira manualmente todos os dados do usuário do WorkSpace original para o novo WorkSpace. Warning

Estou tendo problemas para usar o Docker com o Amazon WorkSpaces

WorkSpaces do Windows

A virtualização aninhada (incluindo o uso do Docker) não é compatível com o Windows WorkSpaces. Para obter mais informações, consulte o .Documentação do Docker.

WorkSpaces

Para usar o Docker no Linux WorkSpaces, certifique-se de que os blocos CIDR usados pelo Docker não se sobreponham aos blocos CIDR usados nas duas interfaces elásticas de rede (ENIs) associadas ao WorkSpace. Se você encontrar problemas com o uso do Docker no Linux WorkSpaces, entre em contato com o Docker para obter assistência. Recebo erros ThrottlingException em algumas das minhas chamadas de API

A taxa padrão permitida para chamadas de API do WorkSpaces é uma taxa constante de duas chamadas de API por segundo, com uma taxa máxima de “intermitência” permitida de cinco chamadas de API por segundo. A tabela a seguir mostra como o limite da taxa de intermitência funciona para solicitações de API.

Segundo Número de Solicitações Detalhes solicitações líquidas enviadas permitidas

1 0 5 Durante o primeiro segundo (segundo 1), cinco solicitações são permitidas, até a taxa máxima de intermitência de cinco chamadas por segundo.

2 2 5 Como duas ou menos chamadas foram emitidas no segundo 1, a capacidade de intermitência total de cinco chamadas ainda está disponível.

241 Amazon WorkSpaces Guia de administração Recebo erros ThrottlingException em algumas das minhas chamadas de API

Segundo Número de Solicitações Detalhes solicitações líquidas enviadas permitidas

3 5 5 Como apenas duas chamadas foram emitidas no segundo 2, a capacidade de intermitência total de cinco chamadas ainda está disponível.

4 2 2 Como a capacidade de intermitência total foi usada no segundo 3, apenas a taxa constante de duas chamadas por segundo está disponível.

5 3 2 Como não há capacidade de intermitência restante, apenas duas chamadas são permitidas no momento. Isso significa que uma das três chamadas de API é limitada. A chamada limitada responderá após um curto atraso.

6 0 1 Como uma das chamadas do segundo 5 está sendo repetida no segundo 6, há capacidade para apenas uma chamada adicional no segundo 6 devido ao limite de taxa constante de duas chamadas por segundo.

7 0 3 Agora que não há mais nenhuma chamada de API limitada na fila, o limite da taxa continuará a aumentar, até o limite de taxa de intermitência de cinco chamadas.

8 0 5 Como nenhuma chamada foi emitida no segundo 7, o número máximo de solicitações é permitido.

9 0 5 Embora nenhuma chamada tenha sido emitida no segundo 8, o limite de taxa não aumenta acima de cinco.

242 Amazon WorkSpaces Guia de administração

Cotas do Amazon WorkSpaces

O Amazon WorkSpaces fornece recursos diferentes que você pode usar em sua conta em uma determinada região, incluindo WorkSpaces, imagens, pacotes, diretórios, aliases de conexão e grupos de controle IP. Ao criar sua conta da Amazon Web Services, definimos cotas padrão (também conhecidos como limites) no número de recursos que podem ser criados.

Veja a seguir as cotas padrão do WorkSpaces para oAWSconta. Você pode usar oConService Quotaspara exibir as Service Quotas padrão ou paraaumentos de cotapara quotas ajustáveis.

Para obter mais informações, consulteExibir cotas de serviçoeSolicitar um aumento de cotaNo Guia do usuário do Service Quotas.

Recurso Padrão Descrição Ajustável

WorkSpaces 1 O número máximo de Sim WorkSpaces nesta conta na região atual.

WorkSpaces gráficos 0 O número máximo de Sim WorkSpaces gráficos nesta conta na região atual.

WorkSpaces 0 O número máximo Sim GraphicsPro de WorkSpaces do GraphicsPro nesta conta na região atual.

Imagens 40 O número máximo de Sim imagens nesta conta na região atual.

Pacotes 50 O número máximo de Não pacotes nesta conta na região atual. Essa cota só se aplica a pacotes personalizados, não a pacotes públicos.

Aliases de conexão 20 O número máximo de Não aliases de conexão nessa conta na região atual.

Diretórios 50 O número máximo de Não diretórios que podem ser registrados para uso com o Amazon WorkSpaces nesta conta na região atual.

Grupos de controle de 100 O número máximo de Não acesso IP grupos de controle de acesso IP nessa conta na região atual.

243 Amazon WorkSpaces Guia de administração

Recurso Padrão Descrição Ajustável

Regras por grupo de 10 O número máximo de Não controle de acesso de regras por grupo de IP controle de acesso IP nessa conta na região atual.

Grupos de controle 25 O número máximo de Não de acesso de IP por grupos de controle de diretório acesso IP por diretório nesta conta na região atual.

244 Amazon WorkSpaces Guia de administração

Histórico de documentos do WorkSpaces

A tabela a seguir descreve as mudanças importantes no serviço WorkSpaces e na documentação doGuia de administração do Amazon WorkSpacesa partir de 1 de janeiro de 2018. Também atualizamos a documentação com frequência para abordar os comentários enviados por você.

Para receber notificações sobre essas atualizações, se inscreva no feed RSS do WorkSpaces.

update-history-change update-history-description update-history-date

Suporte para webcam do Agora, o Amazon WorkSpaces 5 de abril de 2021 Amazon WorkSpaces oferece suporte a áudio- vídeo (AV) em tempo real redirecionando diretamente a entrada de vídeo da webcam local para desktops Windows WorkSpaces usando o WorkSpaces Streaming Protocol (WSP).

Suporte para smart cards do Agora você pode usar o 5 de abril de 2021 Amazon WorkSpaces com o aplicativo cliente do Amazon aplicativo cliente para macOS do WorkSpaces macOS com cartões WorkSpaces inteligentes CAC (Common Access Card) e verificação de identidade pessoal (PIV). O suporte para cartão inteligente está disponível no WorkSpaces usando o WorkSpaces Streaming Protocol (WSP).

APIs de gerenciamento de As APIs de gerenciamento de 15 de março de 2021 pacotes do Amazon WorkSpaces pacotes do Amazon WorkSpaces agora estão disponíveis. Essas ações de API oferecem suporte a operações de criação, exclusão e associação de imagem para pacotes do WorkSpaces.

Amazon WorkSpaces lançado na O Amazon WorkSpaces está 8 de março de 2021 Ásia-Pacífico (Mumbai) disponível na região Ásia- Pacífico (Mumbai).

WorkSpaces Streaming Protocol O WorkSpaces Streaming 1º de dezembro de 2020 (WSP) Protocol (WSP) agora está disponível para WorkSpaces baseados em licença incluída (Windows Server 2016) e BYOL Windows 10 em todos os tipos de pacotes, exceto Graphics e GraphicsPro. O WSP também está disponível para WorkSpaces

245 Amazon WorkSpaces Guia de administração

Linux noAWSRegião GovCloud (EUA-Oeste).

Cartões inteligentes O Amazon WorkSpaces agora 1º de dezembro de 2020 oferece suporte à autenticação de smart card pré-sessão (login) e em sessão no Windows e Linux WorkSpaces noAWSRegião GovCloud (EUA-Oeste).

Compartilhar imagens Agora é possível compartilhar 1º de outubro de 2020 personalizadas imagens personalizadas do WorkSpaces entreAWSContas. Após compartilhar uma imagem, a conta do destinatário poderá copiar a imagem e usá-la para criar pacotes para iniciar novos WorkSpaces.

Redirecionamento entre regiões Agora você pode usar o 10 de setembro de 2020 redirecionamento entre regiões, um recurso que funciona com as políticas de roteamento do Domain Name System (DNS) para redirecionar os usuários para o WorkSpaces alternativo quando os WorkSpaces principais não estiverem disponíveis.

Inscrever-se no Microsoft Office Agora você pode se inscrever 3 de setembro de 2020 2016 ou 2019 para BYOL no Microsoft Office Professional WorkSpaces 2016 ou 2019 fornecido pelaAWSNo WorkSpaces Traga sua própria licença do Windows (BYOL).

Automação BYOL na China É possível usar a automação do 2 de abril de 2020 (Ningxia) Bring Your Own License (BYOL — Traga sua própria licença) para simplificar o processo de uso de licenças de desktop do Windows 10 para o WorkSpaces na China.

Verificador de imagens A ferramenta Verificador de 30 de março de 2020 Imagens ajuda a determinar se o Windows WorkSpace atende aos requisitos de criação de imagem. O Verificador de Imagens executa uma série de testes no WorkSpace que você deseja usar para criar a imagem e fornece orientações sobre como resolver quaisquer problemas encontrados.

246 Amazon WorkSpaces Guia de administração

Migrar WorkSpaces O recurso de migração do 9 de janeiro de 2020 Amazon WorkSpaces permite migrar um WorkSpace de um pacote para outro, mantendo os dados no volume do usuário. É possível usar esse recurso para migrar os WorkSpaces da experiência de desktop do Windows 7 para a experiência de desktop do Windows 10. Também é possível usar esse recurso para migrar os WorkSpaces de um pacote público ou personalizado para outro.

Integração do PrivateLink para Você pode se conectar 25 de novembro de 2019 APIs do Amazon WorkSpaces diretamente a endpoints de API do Amazon WorkSpaces por meio de um endpoint de interface na sua Virtual Private Cloud (VPC) em vez de se conectar pela Internet. Quando você usa um endpoint de interface de VPC, a comunicação entre a VPC e o endpoint de API do Amazon WorkSpaces é realizada inteiramente e com segurança na regiãoAWSrede.

Cliente Linux para Amazon Os usuários agora podem usar o 25 de novembro de 2019 WorkSpaces cliente Linux para acessar seus WorkSpaces.

Amazon WorkSpaces lançado na O Amazon WorkSpaces está 13 de novembro de 2019 China (Ningxia) disponível na região China (Ningxia).

Restaurar WorkSpaces para o É possível usar o recurso de 18 de setembro de 2019 último estado íntegro conhecido restauração para reverter um WorkSpace para seu último estado íntegro conhecido.

Criptografia de endpoints do Para cumprir o Programa Federal 12 de setembro de 2019 FIPS de gerenciamento de risco e autorização do FedRAMP (Federal Risk and Authorization Management Program) ou o Guia de requisitos de segurança de computação em nuvem (SRG), você pode configurar o Amazon WorkSpaces para usar a criptografia de endpoint FIPS (Federal Information Processing Standards) no nível de diretório.

247 Amazon WorkSpaces Guia de administração

Copiar imagens do WorkSpace Você pode copiar suas imagens 27 de junho de 2019 na mesma região ou entre regiões.

Recursos de gerenciamento de Você pode habilitar os 19 de novembro de 2018 autoatendimento para os seus recursos de gerenciamento de usuários do WorkSpace autoatendimento para os seus usuários do WorkSpace para fornecer mais controle sobre sua experiência.

Automação do BYOL É possível usar a automação do 16 de novembro de 2018 Bring Your Own License (BYOL – Traga sua própria licença) para simplificar o processo de uso de licenças de desktop do Windows 7 e Windows 10 para o WorkSpaces.

Pacotes PowerPro e GraphicsPro Os pacotes PowerPro e 18 de outubro de 2018 GraphicsPro agora estão disponíveis para WorkSpaces.

Monitorar logins bem-sucedidos Você pode usar eventos de 17 de setembro de 2018 no WorkSpace eventos do Amazon CloudWatch Events para monitorar e responder a logins bem- sucedidos no WorkSpace.

Web Access para Windows 10 Os usuários agora podem usar o 24 de agosto de 2018 WorkSpaces cliente Web Access para acessar um WorkSpace executando a experiência de desktop do Windows 10.

Login de URI Você pode usar identificadores 31 de julho de 2018 de recursos uniforme (URIs) para fornecer aos usuários acesso a seus WorkSpaces.

Amazon Linux WorkSpaces Você pode provisionar o Amazon 26 de junho de 2018 Linux WorkSpaces para seus usuários.

Grupos de controle de acesso IP Você pode controlar os 30 de abril de 2018 endereços IP de onde os usuários podem acessar seus WorkSpaces.

Atualizações do no local Você pode atualizar o Windows 9 de março de 2018 10 BYOL WorkSpaces para uma versão mais recente do Windows 10.

248 Amazon WorkSpaces Guia de administração Atualizações anteriores

Atualizações anteriores

A tabela a seguir descreve adições importantes feitas ao serviço do Amazon WorkSpaces e em seu conjunto de documentação definidas antes de 1º de janeiro de 2018.

Alteração Descrição Data

Opções flexíveis de computação Você pode alternar seus WorkSpaces entre os 22 de pacotes Value, Standard, Performance e Power dezembro de 2017

Armazenamento configurável Você pode configurar o tamanho da raiz e volumes 22 de de usuário para seus WorkSpaces quando eles dezembro de forem iniciados, e aumentar o tamanho desses 2017 volumes posteriormente.

Controlar o acesso de Você pode especificar os tipos de dispositivos 19 de junho de dispositivos que têm acesso aos WorkSpaces. Além disso, 2017 você pode restringir o acesso aos WorkSpaces a dispositivos confiáveis (também conhecidos como dispositivos gerenciados).

Confiança entre florestas É possível estabelecer uma relação de confiança 9 de fevereiro entre o Microsoft AD gerenciado pela AWS e o de 2017 domínio local do Microsoft Active Directory e, assim, provisionar WorkSpaces para usuários no domínio no local.

Pacotes do Windows Server O WorkSpaces oferece pacotes que incluem uma 29 de 2016 experiência de desktop do Windows 10, promovida novembro de pelo Windows Server 2016. 2016

Web Access Você pode acessar seus WorkSpaces do Windows 18 de a partir de um navegador da web usando o novembro de WorkSpaces Web Access. 2016

WorkSpaces por hora Você pode configurar os WorkSpaces para que os 18 de agosto usuários sejam cobradas por hora. de 2016

Windows 10 BYOL Você pode trazer sua licença do Windows 10 para 21 de julho de desktop para WorkSpaces (BYOL). 2016

Suporte a marcação Você pode usar tags para gerenciar e monitorar 17 de maio de seus WorkSpaces. 2016

Registros salvos Sempre que você insere um novo código de 28 de janeiro registro, o cliente de WorkSpaces o armazena. de 2016 Isso facilita a alternância entre WorkSpaces em diferentes diretórios ou regiões.

Windows 7 BYOLCliente Você pode trazer sua licença do Windows 7 para 1 de outubro de ChromebookCriptografia do desktop para WorkSpaces (BYOL)Use o cliente 2015 WorkSpace Chromebook,e use a criptografia do WorkSpace.

Monitorar CloudWatch Adicionadas informações sobre o monitoramento 28 de abril de do CloudWatch. 2015

249 Amazon WorkSpaces Guia de administração Atualizações anteriores

Alteração Descrição Data

Reconexão automática da Adição de informações sobre o recurso de 31 de março de sessão reconexão automática de sessão nas aplicações 2015 cliente de desktop de WorkSpaces.

Endereços IP públicos É possível atribuir automaticamente um endereço 23 de janeiro IP público aos WorkSpaces. de 2015

WorkSpaces lançados na Ásia- WorkSpaces está disponível na região Ásia- 15 de janeiro Pacífico (Singapura) Pacífico (Cingapura). de 2015

Adição do pacote Value, O pacote Value está disponível, o hardware do 6 de novembro atualizações do pacote Standard, pacote Standard foi atualizado e o Microsoft Office de 2014 adição do Office 2013 2013 está disponível em pacotes Plus.

Suporte a imagens e pacotes É possível criar uma imagem a partir do 28 de outubro WorkSpace que você personalizou e um pacote do de 2014 WorkSpace personalizado a partir da imagem.

Suporte ao cliente PCoIP zero Você pode acessar dispositivos cliente PCoIP zero 15 de outubro do WorkSpaces. de 2014

WorkSpaces lançados na Ásia- WorkSpaces está disponível na região Ásia- 26 de agosto Pacífico (Tóquio) Pacífico (Tóquio). de 2014

Suporte a impressora local É possível habilitar o suporte a impressora local 26 de agosto para os WorkSpaces. de 2014

Autenticação multifator É possível usar a autenticação multifator em 11 de agosto diretórios conectados. de 2014

Suporte à UO padrão e suporte a É possível selecionar uma unidade organizacional 7 de julho de domínio de destino (UO) padrão na qual as contas de máquina 2014 do WorkSpace são colocadas, e um domínio separado no qual as contas de máquina do WorkSpace são criadas.

Adição de grupos de segurança É possível adicionar um security group aos 7 de julho de WorkSpaces. 2014

WorkSpaces lançados na Ásia- WorkSpaces está disponível na região Ásia- 15 de maio de Pacífico (Sydney) Pacífico (Sydney). 2014

WorkSpaces lançados na Europa WorkSpaces está disponível na região Europa 5 de maio de (Irlanda) (Irlanda). 2014

Beta público O WorkSpaces está disponível como beta público. 25 de março de 2014

250 Amazon WorkSpaces Guia de administração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

ccli