Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Netzwerke für Amazon WorkSpaces Secure Browser
In den folgenden Themen wird erklärt, wie Sie WorkSpaces Secure Browser-Streaming-Instances einrichten, damit Benutzer eine Verbindung zu ihnen herstellen können. Außerdem wird erklärt, wie Sie Ihren WorkSpaces Secure Browser-Streaming-Instances den Zugriff auf VPC-Ressourcen sowie auf das Internet ermöglichen.
**Topics**
+ [Einrichtung einer VPC für Amazon WorkSpaces Secure Browser](general-requirements.md)
+ [Benutzerverbindungen für Amazon WorkSpaces Secure Browser aktivieren](client.md)
# Einrichtung einer VPC für Amazon WorkSpaces Secure Browser
Gehen Sie wie folgt vor, um eine VPC für WorkSpaces Secure Browser einzurichten und zu konfigurieren.
**Topics**
+ [VPC-Anforderungen für Amazon WorkSpaces Secure Browser](vpc-reqs.md)
+ [Eine neue VPC für Amazon WorkSpaces Secure Browser erstellen](create-vpc.md)
+ [Aktivieren des Surfens im Internet für Amazon WorkSpaces Secure Browser](internet-browsing.md)
+ [Bewährte VPC-Methoden für WorkSpaces Secure Browser](vpc-setup-recommendations.md)
+ [Unterstützte Availability Zones für Amazon WorkSpaces Secure Browser](availability-zones.md)
# VPC-Anforderungen für Amazon WorkSpaces Secure Browser
Bei der Erstellung des WorkSpaces Secure Browser-Portals wählen Sie eine VPC in Ihrem Konto aus. Sie wählen auch mindestens zwei Subnetze in zwei verschiedenen Availability Zones aus. Diese VPCs und Subnetze müssen die folgenden Anforderungen erfüllen:
+ Die VPC muss über eine Standardmietdauer verfügen. VPCs mit Dedicated Tenancy werden nicht unterstützt.
+ Aus Gründen der Verfügbarkeit benötigen wir mindestens zwei Subnetze, die in zwei verschiedenen Availability Zones erstellt wurden. Ihre Subnetze müssen über ausreichend IP-Adressen verfügen, um den erwarteten WorkSpaces Secure Browser-Verkehr zu unterstützen. Konfigurieren Sie jedes Ihrer Subnetze mit einer Subnetzmaske, die genügend Client-IP-Adressen für die maximale Anzahl der gleichzeitigen Sitzungen ermöglicht. Weitere Informationen finden Sie unter [Eine neue VPC für Amazon WorkSpaces Secure Browser erstellen](create-vpc.md).
+ Alle Subnetze müssen über eine stabile Verbindung zu allen internen Inhalten verfügen, die sich entweder vor Ort AWS Cloud oder vor Ort befinden und auf die Benutzer mit WorkSpaces Secure Browser zugreifen können.
Wir empfehlen Ihnen, aus Gründen der Verfügbarkeit und der Skalierung drei Subnetze in unterschiedlichen Availability Zones auszuwählen. Weitere Informationen finden Sie unter [Eine neue VPC für Amazon WorkSpaces Secure Browser erstellen](create-vpc.md).
WorkSpaces Secure Browser weist Streaming-Instanzen keine öffentliche IP-Adresse zu, um den Internetzugang zu ermöglichen. Sonst wären Ihre Streaming-Instances über das Internet erreichbar. Daher hat keine Streaming-Instance, die mit Ihrem öffentlichen Subnetz verbunden ist, Internetzugang. Wenn Sie möchten, dass Ihr WorkSpaces Secure Browser-Portal sowohl auf öffentliche Internetinhalte als auch auf private VPC-Inhalte zugreifen kann, führen Sie die Schritte unter aus. [Uneingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser aktivieren (empfohlen)](unrestricted-internet-browsing.md)
# Eine neue VPC für Amazon WorkSpaces Secure Browser erstellen
In diesem Abschnitt wird beschrieben, wie Sie mit dem VPC-Assistenten schnell eine VPC mit öffentlichen und privaten Subnetzen erstellen können. Der Assistent erstellt automatisch ein Internet-Gateway und ein NAT-Gateway und konfiguriert Routing-Tabellen für Ihre Subnetze.
Weitere Informationen zu dieser Konfiguration finden Sie unter [VPC mit öffentlichen und privaten Subnetzen (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html).
**Topics**
+ [Schnelle VPC-Einrichtung (1 Minute)](vpc-step1.md)
+ [Überprüfen Sie Ihre Subnetz-Routing-Tabellen (optional)](vpc-step2.md)
# Schnelle VPC-Einrichtung (1 Minute)
Führen Sie die folgenden Schritte aus, um schnell eine dedizierte VPC für WorkSpaces Secure Browser mit öffentlichen und privaten Subnetzen für den Internetzugang zu erstellen. Wenn Sie eine vorhandene VPC verwenden möchten, überprüfen Sie[VPC-Anforderungen für Amazon WorkSpaces Secure Browser](vpc-reqs.md), ob sie die Anforderungen erfüllt.
**Anmerkung**
Stellen Sie sicher, dass Sie sich in der gewünschten AWS-Region Version befinden. Sie können die Region bei Bedarf in der Konsole ändern.
**So richten Sie schnell eine VPC ein**
1. Öffnen Sie den VPC-Erstellungsassistenten: [VPC mit Ressourcen erstellen](https://console.aws.amazon.com/vpcconsole/home#CreateVpc:createMode=vpcWithResources). Behalten Sie alle Einstellungen als Standard bei, sofern nicht unten anders angegeben:
+ Wählen Sie unter Zu **erstellende Ressource** die Option **VPC und mehr** aus.
+ Wählen Sie für **das Namens-Tag** die Option **Automatisch generieren** aus und geben Sie einen aussagekräftigen Namen für Ihre VPC ein (z. B.). **WSB-VPC**
+ Für den **IPv4 CIDR-Block** verwendet die VPC standardmäßig. **10.0.0.0/16** Sie können bei Bedarf einen anderen IPv4 CIDR-Block angeben.
+ Wählen Sie für **Tenancy** die Option **Standard** (VPCs mit dedizierten Mandanten werden nicht unterstützt).
+ **Wählen Sie für **Anzahl der Availability Zones (AZs)** die Option 2 aus.**
+ Erweitern Sie **Anpassen AZs** und wählen Sie 2 verschiedene Availability Zones aus, die von WorkSpaces Secure Browser unterstützt werden. Eine Liste der unterstützten AZs Optionen finden Sie unter[Unterstützte Availability Zones für Amazon WorkSpaces Secure Browser](availability-zones.md).
+ Wählen Sie für **Anzahl der öffentlichen Subnetze** den Wert **2** aus.
+ **Wählen Sie für **Anzahl der privaten Subnetze** den Wert 2 aus.**
+ **Wenn Sie für **Subnetz-CIDR-Blöcke die CIDR-Blöcke** in Ihren Subnetzen anpassen müssen, erweitern Sie die Option CIDR-Blöcke für Subnetze anpassen.** Stellen Sie sicher, dass jedes Subnetz über ausreichend IP-Adressen für den erwarteten Datenverkehr verfügt.
+ Wählen Sie für **NAT-Gateways** **Regional** aus, um den Internetzugang für private Subnetze in allen Availability Zones zu aktivieren.
+ **Wählen Sie für **VPC-Endpoints** die Option Keine aus.** Wenn Sie direkten S3-Zugriff benötigen, ohne das NAT-Gateway zu verwenden, wählen Sie **S3-Gateway** aus.
+ Lassen Sie für **DNS-Optionen** die **DNS-Optionen** aktiviert (Standard), um eine korrekte Namensauflösung in Ihrer VPC sicherzustellen.
1. Sehen Sie sich den Vorschaufenster an und wählen Sie dann **Create VPC** aus.
**Anmerkung**
Für NAT-Gateways und VPC-Endpunkte fallen zusätzliche Gebühren an. Weitere Informationen finden Sie auf der [VPC-Preisseite.](https://aws.amazon.com/vpc/pricing/)
# Überprüfen Sie Ihre Subnetz-Routing-Tabellen (optional)
Der VPC-Assistent konfiguriert die Routentabellen automatisch für Sie. Wenn Sie Ihre VPC manuell erstellt haben oder die Konfiguration bestätigen möchten, können Sie überprüfen, ob die folgenden Details für Ihre Routing-Tabelle korrekt sind:
+ Die Routing-Tabelle, die dem Subnetz zugeordnet ist, in dem sich das NAT-Gateway befindet, muss eine Route enthalten, die den Internetdatenverkehr zu einem Internet-Gateway leitet. Dadurch wird sichergestellt, dass Ihr NAT-Gateway Zugriff auf das Internet hat.
+ Die Routing-Tabellen, die Ihren privaten Subnetzen zugeordnet sind, müssen so konfiguriert sein, dass der Internetdatenverkehr zum NAT-Gateway geleitet wird. So können die Streaming-Instances innerhalb Ihrer privaten Subnetze mit dem Internet kommunizieren.
**So überprüfen und benennen Sie die Subnetz-Routing-Tabellen**
1. Wählen Sie im Navigationsbereich **Subnetze** und dann ein öffentliches Subnetz aus. Zum Beispiel **WSB-VPC-Subnet-Public1-US-East-1A**.
1. Wählen Sie auf der Registerkarte **Route Table (Routing-Tabelle)** die ID der Routing-Tabelle aus. Zum Beispiel **rtb-12345678**.
1. Wählen Sie die -Routing-Tabelle aus. Wählen Sie unter **Name** das Bearbeitungssymbol (Stift) aus und geben Sie einen Namen für die Tabelle ein. Geben Sie beispielsweise den Namen **workspacesweb-public-routetable** ein. Wählen Sie dann das Häkchen aus, um den Namen zu speichern.
1. Stellen Sie bei weiterhin markierter öffentlicher Routing-Tabelle auf der Registerkarte **Routen** sicher, dass zwei Routen vorhanden sind: eine für den lokalen Datenverkehr sowie eine weitere, über die der übrige Datenverkehr an das Internet-Gateway für die VPC gesendet wird. In der folgenden Tabelle werden diese beiden Routen beschrieben.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces-web/latest/adminguide/vpc-step2.html)
1. Wählen Sie im Navigationsbereich **Subnetze** aus. Wählen Sie dann ein privates Subnetz aus (z. B.). **WSB-VPC-subnet-private1-us-east-1a**
1. Wählen Sie auf der Registerkarte **Routing-Tabelle** die ID der Routing-Tabelle aus.
1. Wählen Sie die -Routing-Tabelle aus. Wählen Sie unter **Name** das Bearbeitungssymbol (Stift) aus und geben Sie einen Namen für die Tabelle ein. Geben Sie beispielsweise den Namen **WSB-VPC-private-routetable** ein. Wählen Sie dann das Häkchen aus, um den Namen zu speichern.
1. Überprüfen Sie auf der Registerkarte **Routes (Routen)**, ob die Routing-Tabelle die folgenden Routen enthält:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/workspaces-web/latest/adminguide/vpc-step2.html)
1. Wählen Sie im Navigationsbereich **Subnetze** aus. Wählen Sie dann das zweite private Subnetz aus, das Sie erstellt haben (zum Beispiel **WorkSpaces Secure Browser Private Subnet2**).
1. Stellen Sie auf der Registerkarte **Routing-Tabelle** sicher, dass es sich bei der ausgewählten Routing-Tabelle um die private Routing-Tabelle handelt (z. B. **workspacesweb-private-routetable**). Wenn eine andere Routing-Tabelle angezeigt wird, wählen Sie **Bearbeiten** aus und wählen Sie stattdessen Ihre private Routing-Tabelle aus.
# Aktivieren des Surfens im Internet für Amazon WorkSpaces Secure Browser
Sie können wählen, ob Sie uneingeschränktes Surfen im Internet (die empfohlene Option) oder eingeschränktes Surfen im Internet aktivieren möchten.
**Topics**
+ [Uneingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser aktivieren (empfohlen)](unrestricted-internet-browsing.md)
+ [Eingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser aktivieren](restricted-internet-browsing.md)
+ [Anschlüsse für Internetkonnektivität für Amazon WorkSpaces Secure Browser](vpc-connection.md)
# Uneingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser aktivieren (empfohlen)
Gehen Sie folgendermaßen vor, um eine VPC mit einem NAT-Gateway für uneingeschränktes Surfen im Internet zu konfigurieren. Dies gewährt WorkSpaces Secure Browser Zugriff auf Websites im öffentlichen Internet und auf private Websites, die in oder mit Ihrer VPC gehostet werden.
**So konfigurieren Sie eine VPC mit einem NAT-Gateway für uneingeschränktes Surfen im Internet**
Gehen Sie wie folgt vor, wenn Sie möchten, dass Ihr WorkSpaces Secure Browser-Portal sowohl auf öffentliche Internetinhalte als auch auf private VPC-Inhalte zugreifen kann:
**Anmerkung**
Wenn Sie bereits eine VPC konfiguriert haben, führen Sie die folgenden Schritte aus, um Ihrer VPC ein NAT-Gateway hinzuzufügen. Informationen zum Erstellen einer neuen VPC finden Sie unter [Eine neue VPC für Amazon WorkSpaces Secure Browser erstellen](create-vpc.md).
1. Um Ihr NAT-Gateway zu erstellen, führen Sie die Schritte unter [Ein NAT-Gateway erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating) aus. Stellen Sie sicher, dass dieses NAT-Gateway über öffentliche Konnektivität verfügt und sich in einem öffentlichen Subnetz in Ihrer VPC befindet.
1. Sie müssen mindestens zwei private Subnetze in verschiedenen Availability Zones angeben. Die Zuweisung Ihrer Subnetze zu verschiedenen Availability Zones trägt zu einer besseren Verfügbarkeit und Fehlertoleranz bei. Informationen zum Erstellen einer VPC mit privaten Subnetzen finden Sie unter. [Schnelle VPC-Einrichtung (1 Minute)](vpc-step1.md)
**Anmerkung**
Um sicherzustellen, dass jede Streaming-Instance Internetzugang hat, fügen Sie Ihrem WorkSpaces Secure Browser-Portal kein öffentliches Subnetz hinzu.
1. Aktualisieren Sie die Routing-Tabelle, die ihren privaten Subnetzen zugeordnet ist, um internetgebundenen Datenverkehr zum NAT-Gateway zu leiten. So können die Streaming-Instances innerhalb Ihrer privaten Subnetze mit dem Internet kommunizieren. Informationen dazu, wie Sie eine Routing-Tabelle einem privaten Subnetz zuordnen, finden Sie in den Schritten unter [Routing-Tabellen konfigurieren](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).
# Eingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser aktivieren
Die empfohlene Netzwerkkonfiguration eines WorkSpaces Secure Browser-Portals besteht darin, private Subnetze mit NAT-Gateway zu verwenden, sodass das Portal sowohl im öffentlichen Internet als auch in privaten Inhalten surfen kann. Weitere Informationen finden Sie unter [Uneingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser aktivieren (empfohlen)](unrestricted-internet-browsing.md). Möglicherweise müssen Sie jedoch die ausgehende Kommunikation von einem WorkSpaces Secure Browser-Portal zum Internet mithilfe eines Webproxys steuern. Wenn Sie beispielsweise einen Webproxy als Gateway zum Internet verwenden, können Sie präventive Sicherheitskontrollen implementieren, wie z. B. die Zulassung von Domänen und Inhaltsfilterung. Dies kann auch die Bandbreitennutzung reduzieren und die Netzwerkleistung verbessern, indem häufig aufgerufene Ressourcen wie Webseiten oder Softwareupdates lokal zwischengespeichert werden. In einigen Anwendungsfällen verfügen Sie möglicherweise über private Inhalte, auf die nur über einen Webproxy zugegriffen werden kann.
Möglicherweise sind Sie bereits mit der Konfiguration von Proxyeinstellungen auf verwalteten Geräten oder mit dem Image Ihrer virtuellen Umgebungen vertraut. Dies stellt jedoch eine Herausforderung dar, wenn Sie nicht die Kontrolle über das Gerät haben (z. B. wenn Benutzer Geräte verwenden, die nicht dem Unternehmen gehören oder von diesem verwaltet werden), oder wenn Sie das Image für Ihre virtuelle Umgebung verwalten müssen. Mit WorkSpaces Secure Browser können Sie Proxyeinstellungen mithilfe der im Webbrowser integrierten Chrome-Richtlinien festlegen. Sie können dies tun, indem Sie einen HTTP-Ausgangsproxy für WorkSpaces Secure Browser einrichten.
Diese Lösung basiert auf einem empfohlenen VPC-Proxy-Setup für ausgehende Verbindungen. [Die Proxy-Lösung basiert auf dem Open-Source-HTTP-Proxy Squid.](http://www.squid-cache.org/) Anschließend konfiguriert sie mithilfe der WorkSpaces Secure Browser-Einstellungen das WorkSpaces Secure Browser-Portal für die Verbindung mit dem Proxyendpunkt. Weitere Informationen finden Sie unter [So richten Sie einen ausgehenden VPC-Proxy mit Domain-Whitelisting](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) und Inhaltsfilterung ein.
Diese Lösung bietet Ihnen die folgenden Vorteile:
+ Ein ausgehender Proxy, der eine Gruppe von auto-scaling Amazon EC2 EC2-Instances umfasst, die von einem Netzwerk-Loadbalancer gehostet werden. Proxy-Instances befinden sich in einem öffentlichen Subnetz, und jede von ihnen ist mit einer Elastic IP verbunden, sodass sie Zugriff auf das Internet haben.
+ Ein WorkSpaces Secure Browser-Portal, das in privaten Subnetzen bereitgestellt wird. Sie müssen das NAT-Gateway nicht konfigurieren, um den Internetzugang zu aktivieren. Stattdessen konfigurieren Sie Ihre Browserrichtlinie so, dass der gesamte Internetverkehr über den ausgehenden Proxy läuft. Wenn Sie Ihren eigenen Proxy verwenden möchten, ist die Einrichtung des WorkSpaces Secure Browser-Portals ähnlich.
**Topics**
+ [Architektur für eingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser](restricted-architecture.md)
+ [Voraussetzungen für eingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser](restricted-prerequisites.md)
+ [HTTP-Proxy für ausgehenden Datenverkehr für Amazon WorkSpaces Secure Browser](restricted-setup.md)
+ [Fehlerbehebung bei eingeschränktem Surfen im Internet für Amazon WorkSpaces Secure Browser](restricted-troubleshooting.md)
# Architektur für eingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser
Im Folgenden finden Sie ein Beispiel für ein typisches Proxy-Setup in Ihrer VPC. Die Amazon EC2 EC2-Proxyinstanz befindet sich in öffentlichen Subnetzen und ist mit Elastic IP verknüpft, sodass sie Zugriff auf das Internet haben. Ein Network Load Balancer hostet eine Auto Scaling-Gruppe von Proxy-Instances. Dadurch wird sichergestellt, dass Proxyinstanzen automatisch skaliert werden können und der Network Load Balancer der einzige Proxy-Endpunkt ist, der von WorkSpaces Secure Browser-Sitzungen genutzt werden kann.
![\[WorkSpaces Sichere Browser-Architektur\]](http://docs.aws.amazon.com/de_de/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)
# Voraussetzungen für eingeschränktes Surfen im Internet für Amazon WorkSpaces Secure Browser
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
+ Sie benötigen eine bereits bereitgestellte VPC mit öffentlichen und privaten Subnetzen, die sich über mehrere Availability Zones () AZs verteilen. Weitere Informationen zur Einrichtung Ihrer VPC-Umgebung finden Sie unter [Standard VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html).
+ Sie benötigen einen einzigen Proxy-Endpunkt, auf den von privaten Subnetzen aus zugegriffen werden kann, in denen WorkSpaces Secure Browser-Sitzungen gespeichert sind (z. B. der DNS-Name des Network Load Balancers). Wenn Sie Ihren vorhandenen Proxy verwenden möchten, stellen Sie sicher, dass er auch über einen einzigen Endpunkt verfügt, auf den von Ihren privaten Subnetzen aus zugegriffen werden kann.
# HTTP-Proxy für ausgehenden Datenverkehr für Amazon WorkSpaces Secure Browser
Gehen Sie folgendermaßen vor, um einen HTTP-Ausgangsproxy für WorkSpaces Secure Browser einzurichten.
1. Um einen beispielhaften ausgehenden Proxy für Ihre VPC bereitzustellen, folgen Sie den Schritten unter [So richten Sie einen ausgehenden VPC-Proxy mit Domain-Whitelisting](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) und Inhaltsfilterung ein.
1. Folgen Sie den Schritten unter „Installation (einmalige Einrichtung)“, um die Vorlage für Ihr Konto bereitzustellen. CloudFormation Stellen Sie sicher, dass Sie die richtige VPC und Subnetze als CloudFormation Vorlagenparameter auswählen.
1. Suchen Sie nach der Bereitstellung den CloudFormation Ausgabeparameter **OutboundProxyDomain**und. **OutboundProxyPort** Dies ist der DNS-Name und -Port Ihres Proxys.
1. Wenn Sie bereits einen eigenen Proxy haben, überspringen Sie diesen Schritt und verwenden Sie den DNS-Namen und -Port Ihres Proxys.
1. Wählen Sie in der WorkSpaces Secure Browser-Konsole Ihr Portal aus und klicken Sie dann auf **Bearbeiten**.
1. Wählen Sie in den **Netzwerkverbindungsdetails** die VPC und die privaten Subnetze aus, die Zugriff auf den Proxy haben.
1. Fügen Sie in den **Richtlinieneinstellungen** mithilfe eines JSON-Editors die folgende ProxySettings Richtlinie hinzu. Das `ProxyServer` Feld sollte den DNS-Namen und -Port Ihres Proxys enthalten. Weitere Informationen zur ProxySettings Richtlinie finden Sie unter [ProxySettings](https://chromeenterprise.google/policies/#ProxySettings).
```
{
"chromePolicies":
{
...
"ProxySettings": {
"value": {
"ProxyMode": "fixed_servers",
"ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
"ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
}
},
}
}
```
1. In Ihrer WorkSpaces Secure Browser-Sitzung sehen Sie, dass der Proxy auf Chrome angewendet **ist. Chrome verwendet die Proxyeinstellungen Ihres Administrators**.
1. Gehen Sie zu chrome: //policy und dann zum **Chrome-Tab „Richtlinien**“, um zu bestätigen, dass die Richtlinie angewendet wird.
1. Stellen Sie sicher, dass Ihre WorkSpaces Secure Browser-Sitzung erfolgreich Internetinhalte ohne NAT-Gateway durchsuchen kann. Stellen Sie in den CloudWatch Protokollen sicher, dass die Squid-Proxyzugriffsprotokolle aufgezeichnet wurden.
# Fehlerbehebung bei eingeschränktem Surfen im Internet für Amazon WorkSpaces Secure Browser
Wenn Ihre WorkSpaces Secure Browser-Sitzung nach Anwendung der Chrome-Richtlinie immer noch nicht auf das Internet zugreifen kann, gehen Sie wie folgt vor, um Ihr Problem zu lösen:
+ Stellen Sie sicher, dass der Proxy-Endpunkt von den privaten Subnetzen aus zugänglich ist, in denen sich Ihr WorkSpaces Secure Browser-Portal befindet. Erstellen Sie dazu eine EC2-Instance im privaten Subnetz und testen Sie die Verbindung von der privaten EC2-Instance zu Ihrem Proxy-Endpunkt.
+ Stellen Sie sicher, dass der Proxy über Internetzugang verfügt.
+ Stellen Sie sicher, dass die Chrome-Richtlinie korrekt ist.
+ Bestätigen Sie die folgende Formatierung für das `ProxyServer` Feld der Richtlinie:`:`. Das Präfix sollte kein `http://` oder `https://` enthalten.
+ Navigieren Sie in der WorkSpaces Secure Browser-Sitzung in Chrome zu chrome: //policy und stellen Sie sicher, dass die ProxySettings Richtlinie erfolgreich angewendet wurde.
# Anschlüsse für Internetkonnektivität für Amazon WorkSpaces Secure Browser
Jede WorkSpaces Secure Browser-Streaming-Instance verfügt über eine Kundennetzwerkschnittstelle, die Konnektivität zu den Ressourcen in Ihrer VPC sowie zum Internet bietet, wenn private Subnetze mit NAT-Gateway eingerichtet sind.
Für die Internetkonnektivität müssen die folgenden Ports für alle Ziele geöffnet sein. Wenn Sie eine veränderte oder benutzerdefinierte Sicherheitsgruppe verwenden, müssen Sie die erforderlichen Regeln manuell hinzufügen. Weitere Informationen finden Sie unter [Regeln zu Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules.html).
**Anmerkung**
Dies gilt für ausgehenden Datenverkehr.
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 8.433
# Bewährte VPC-Methoden für WorkSpaces Secure Browser
Die folgenden Empfehlungen können Ihnen dabei helfen, Ihre VPC effektiver und sicherer zu konfigurieren.
**VPC-Gesamtkonfiguration**
+ Stellen Sie sicher, dass Ihre VPC-Konfiguration Ihre Skalierungsanforderungen erfüllen kann.
+ Stellen Sie sicher, dass Ihre WorkSpaces Secure Browser-Dienstkontingente (auch als Limits bezeichnet) ausreichend sind, um Ihren voraussichtlichen Bedarf zu decken. Um eine Erhöhung des Kontingents zu beantragen, können Sie die Service Quotas Quotas-Konsole unter verwenden [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/). Informationen zu den Standardkontingenten für WorkSpaces Secure Browser finden Sie unter[Verwaltung von Servicekontingenten für Ihr Portal im Amazon WorkSpaces Secure Browser](request-service-quota.md).
+ Wenn Sie planen, Ihren Streaming-Sitzungen Zugang zum Internet zu gewähren, empfehlen wir Ihnen, eine VPC mit einem NAT-Gateway in einem öffentlichen Subnetz zu konfigurieren.
**Elastic-Network-Schnittstellen**
+ Jede WorkSpaces Secure Browser-Sitzung benötigt während der Streaming-Dauer eine eigene elastic network interface. WorkSpaces Secure Browser erstellt so viele [elastische Netzwerkschnittstellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENIs) wie die maximal gewünschte Kapazität Ihrer Flotte entspricht. Standardmäßig ist das Limit ENIs für jede Region 5000. Weitere Informationen finden Sie unter [Netzwerkschnittstellen](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis).
Wenn Sie Kapazität für sehr große Bereitstellungen planen, z. B. Tausende gleichzeitiger Streaming-Sitzungen, sollten Sie die Anzahl ENIs berücksichtigen, die für Ihre Spitzennutzung erforderlich sein könnte. Wir empfehlen, dass Sie Ihr ENI-Limit auf oder über dem für Ihr Webportal konfigurierten maximalen Limit für die gleichzeitige Nutzung halten.
**Subnets**
+ Denken Sie bei der Entwicklung Ihres Plans zur Erhöhung der Benutzerzahl daran, dass für jede WorkSpaces Secure Browser-Sitzung eine eindeutige Client-IP-Adresse aus Ihren konfigurierten Subnetzen erforderlich ist. Daher bestimmt die Größe des Client-IP-Adressraums, der in Ihren Subnetzen konfiguriert ist, die Anzahl der Benutzer, die gleichzeitig streamen können.
+ Wir empfehlen, jedes Subnetz mit einer Subnetzmaste zu konfigurieren, die genügend Client-IP-Adressen für die maximale Anzahl der erwarteten gleichzeitigen Benutzer ermöglicht. Überlegen Sie außerdem, ob Sie im Hinblick auf das erwartete Wachstum zusätzliche IP-Adressen hinzufügen. Weitere Informationen finden Sie unter [VPC und Subnet-Sizing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) für. IPv4
+ Aus Gründen der Verfügbarkeit und Skalierung empfehlen wir, in jeder einzelnen Availability Zone, die WorkSpaces Secure Browser in Ihrer gewünschten Region unterstützt, ein Subnetz zu konfigurieren. Weitere Informationen finden Sie unter [Eine neue VPC für Amazon WorkSpaces Secure Browser erstellen](create-vpc.md).
+ Zudem muss sichergestellt sein, dass auf die für Ihre Webanwendungen erforderlichen Netzwerkressourcen über Ihre Subnetze zugegriffen werden kann.
**Sicherheitsgruppen**
+ Verwenden Sie Sicherheitsgruppen, um zusätzliche Zugriffssteuerung für Ihre VPC bereitzustellen.
Mit Sicherheitsgruppen, die zu Ihrer VPC gehören, können Sie den Netzwerkverkehr zwischen WorkSpaces Secure Browser-Streaming-Instances und Netzwerkressourcen steuern, die von Webanwendungen benötigt werden. Stellen Sie sicher, dass die Sicherheitsgruppen Zugriff auf die Netzwerkressourcen bieten, die von Ihren Webanwendungen benötigt werden.
# Unterstützte Availability Zones für Amazon WorkSpaces Secure Browser
Wenn Sie eine Virtual Private Cloud (VPC) für die Verwendung mit WorkSpaces Secure Browser erstellen, müssen sich die Subnetze Ihrer VPC in verschiedenen Availability Zones in der Region befinden, in der Sie Secure Browser starten. WorkSpaces Availability Zones sind unabhängige Standorte, die so aufgebaut sind, dass sie von Fehlern in anderen Availability Zones nicht betroffen sind. Indem Instances in separaten Availability Zones gestartet werden, können Sie Ihre Anwendungen vor den Fehlern eines einzelnen Standorts schützen. Jedes Subnetz muss sich vollständig innerhalb einer Availability Zone befinden und darf nicht mehrere Zonen umfassen. Wir empfehlen, für jede unterstützte AZ in der gewünschten Region ein Subnetz zu konfigurieren, um maximale Ausfallsicherheit zu erzielen
Eine Availability Zone wird durch einen Regionscode gefolgt von einem Buchstaben als Bezeichner angegeben, z. B. `us-east-1a`. Um sicherzustellen, dass Ressourcen auf die Availability Zones einer Region verteilt sind, ordnen wir Availability Zones einzeln Namen für jedes AWS -Konto zu. So befindet sich die Availability Zone `us-east-1a` für Ihr AWS -Konto möglicherweise nicht im selben Ort wie `us-east-1a` für ein anderes AWS -Konto.
Um die Availability Zones kontenübergreifend zu koordinieren, müssen Sie die *AZ-ID* verwenden, die eine eindeutige und konsistente Kennung für eine Availability Zone ist. Dies `use1-az2` ist beispielsweise eine AZ-ID für die `us-east-1` Region, die in jedem Konto denselben Standort hat. AWS
Wenn Sie AZ IDs anzeigen, können Sie den Standort der Ressourcen in einem Konto im Verhältnis zu den Ressourcen in einem anderen Konto bestimmen. Wenn Sie beispielsweise ein Subnetz in der Availability Zone mit der AZ-ID `use1-az2` mit einem anderen Konto teilen, steht dieses Subnetz dem Konto in der Availability Zone zur Verfügung, dessen AZ-ID ebenfalls `use1-az2` ist. Die AZ-ID für jede VPC und jedes Subnetz wird in der Amazon VPC-Konsole angezeigt.
WorkSpaces Secure Browser ist in einer Untergruppe der Availability Zones für jede unterstützte Region verfügbar. In der folgenden Tabelle sind die AZs aufgeführt IDs , die Sie für jede Region verwenden können. Informationen zur Zuordnung von AZ IDs zu Availability Zones in Ihrem Konto finden Sie unter [AZ IDs for Your Resources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) im *AWS RAM Benutzerhandbuch*.
| Name der Region | Regionscode | Unterstützt A-Z IDs |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | use1-az1, use1-az2, use1-az4, use1-az5, use1-az6 |
| USA West (Oregon) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 |
| Asien-Pazifik (Mumbai) | ap-south-1 | aps1-az1, aps1-az3 |
| Asien-Pazifik (Singapur) | ap-southeast-1 | apse1-az1, apse1-az2, apse1-az3 |
| Asien-Pazifik (Sydney) | ap-southeast-2 | apse2-az1, apse2-az2, apse2-az3 |
| Asien-Pazifik (Tokio) | ap-northeast-1 | apne1-az1, apne1-az2, apne1-az4 |
| Canada (Central) | ca-central-1 | cac1-az1, cac1-az2, cac1-az4 |
| Europe (Frankfurt) | eu-central-1 | euc1-az2, euc1-az2, euc1-az3 |
| Europa (Irland) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 |
| Europa (London) | eu-west-2 | euw2-az1, euw2-az2 |
Weitere Informationen zu Availability Zones und AZ IDs finden Sie unter [Regionen, Availability Zones und Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) im *Amazon EC2 EC2-Benutzerhandbuch*.
# Benutzerverbindungen für Amazon WorkSpaces Secure Browser aktivieren
WorkSpaces Secure Browser ist so konfiguriert, dass Streaming-Verbindungen über das öffentliche Internet weitergeleitet werden. Eine Internetverbindung ist erforderlich, um Benutzer zu authentifizieren und die Webressourcen bereitzustellen, die WorkSpaces Secure Browser zum Funktionieren benötigt. Sie müssen die in [Zulässige Domains für Amazon WorkSpaces Secure Browser](allowed.md) aufgelisteten Domains zulassen, um diesen Datenverkehr zuzulassen.
Die folgenden Themen enthalten Informationen darüber, wie Benutzerverbindungen mit WorkSpaces Secure Browser aktiviert werden.
**Topics**
+ [Anforderungen an IP-Adresse und Port für Amazon WorkSpaces Secure Browser](address.md)
+ [Zulässige Domains für Amazon WorkSpaces Secure Browser](allowed.md)
# Anforderungen an IP-Adresse und Port für Amazon WorkSpaces Secure Browser
Für den Zugriff auf WorkSpaces Secure Browser-Instances benötigen Benutzergeräte ausgehenden Zugriff auf die folgenden Ports:
+ Port 443 (TCP)
+ Port 443 wird für die HTTPS-Kommunikation zwischen -Benutzergeräten und Streaming-Instances verwendet, wenn die Internet-Endpunkte verwendet werden. Wenn Endbenutzer während Streaming-Sitzungen im Internet surfen, wählt der Web-Browser normalerweise einen Quell-Port im höheren Bereich für das Streamen von Datenverkehr aus. Sie müssen sicherstellen, dass zu diesem Port zurückfließender Datenverkehr zulässig ist.
+ Dieser Port muss für die erforderlichen Domains geöffnet sein, die unter [Zulässige Domains für Amazon WorkSpaces Secure Browser](allowed.md) aufgeführt sind.
+ AWS veröffentlicht seine aktuellen IP-Adressbereiche, einschließlich der Bereiche, in die das Session Gateway und die CloudFront Domänen möglicherweise aufgelöst werden, im JSON-Format. Weitere Informationen zum Herunterladen der JSON-Datei und zur Anzeige der aktuellen Bereiche finden Sie unter [AWS -IP-Adressbereiche](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html). Oder, wenn Sie verwenden AWS Tools for Windows PowerShell, können Sie mit dem **Get-AWSPublicIpAddressRange** PowerShell Befehl auf dieselben Informationen zugreifen. Weitere Informationen finden Sie unter [Abfragen der öffentlichen IP-Adressbereiche für AWS](https://aws.amazon.com/blogs/developer/querying-the-public-ip-address-ranges-for-aws/).
+ (Optional) Port 53 (UDP)
+ Port 53 wird für die Kommunikation zwischen den Benutzergeräten der und Ihren DNS-Servern verwendet.
+ Dieser Port ist optional, wenn Sie keine DNS-Server für die Domänennamenauflösung verwenden.
+ Der Port muss für die IP-Adressen Ihrer DNS-Server geöffnet sein, damit öffentliche Domain-Namen aufgelöst werden können.
# Zulässige Domains für Amazon WorkSpaces Secure Browser
Damit Benutzer über ihren lokalen Browser auf Webportale zugreifen können, müssen Sie die folgenden Domänen zur Zulassungsliste des Netzwerks hinzufügen, von dem aus der Benutzer versucht, auf den Service zuzugreifen.
Ersetzen Sie den Wert in der folgenden Tabelle *\$1region\$1* durch den Code der Region, die das Webportal betreibt. Zum Beispiel s3. *\$1region\$1*.amazonaws.com sollte s3.eu-west-1.amazonaws.com sein für ein Webportal in der Region Europa (Irland). Eine Liste der Regionscodes finden Sie unter [Amazon WorkSpaces Secure Browser Endpoints and Quotas.](https://docs.aws.amazon.com/general/latest/gr/workspacesweb.html)
****
| Kategorie | Domain oder IP-Adresse |
| --- | --- |
| WorkSpaces Sichere Browser-Streaming-Assets | s3. *\$1region\$1*.amazonaws.com s3.amazonaws.com Appstream 2. *\$1region\$1*.aws.amazon.com \$1.amazonappstream.com \$1.shortbread.aws.dev |
| WorkSpaces Statische Ressourcen im sicheren Browser | \$1.workspaces-web.com di5ry4hb4263e.cloudfront.net |
| WorkSpaces Sichere Browser-Authentifizierung | \$1.auth. *\$1region\$1*.amazoncognito.com kognitive Identität. *\$1region\$1*.amazonaws.com Cognito-IDP. *\$1region\$1*.amazonaws.com \$1.cloudfront.net |
| WorkSpaces Metriken und Berichte für sichere Browser | \$1.execute-api. *\$1region\$1*.amazonaws.com unagi-na.amazon.com |
Abhängig von Ihrem konfigurierten Identitätsanbieter müssen Sie möglicherweise auch zusätzlicher Domains auf die Zulassungsliste setzen. Lesen Sie in der Dokumentation Ihres IdP nach, welche Domains Sie zulassen müssen, damit WorkSpaces Secure Browser diesen Anbieter verwenden kann. Wenn Sie IAM Identity Center verwenden, finden Sie weitere Informationen unter [Voraussetzungen für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html).