Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protocolos de red y acceso para WorkSpaces personal
Como WorkSpace administrador, debe saber cómo administrar las WorkSpaces redes y el acceso, empezando por los protocolos.
## Protocolos para WorkSpaces uso personal
Amazon WorkSpaces admite dos protocolos: PCo IP y DCV. El protocolo que elijas depende de varios factores, como el tipo de dispositivos WorkSpaces desde los que accederán los usuarios, el sistema operativo utilizado, las condiciones de red a las que se enfrentarán los usuarios y si los usuarios necesitan soporte de vídeo bidireccional. WorkSpaces
### Requisitos
Los DCV solo WorkSpaces son compatibles con los siguientes requisitos mínimos.
Requisitos del agente de host:
+ Agente de host de Windows (versión 2.0.0.312 o posterior)
+ Agente de host de Ubuntu (versión 2.1.0.501 o posterior)
+ Agente de host de Amazon Linux 2 (versión 2.0.0.596 o posterior)
+ Agente de host de Rocky Linux versión 2.1.0.1628 o superior
+ Agente de host de Red Hat Enterprise Linux, versión 2.1.0.1628 o posterior
Requisitos del cliente:
+ Cliente nativo de Windows (versión 5.1.0.329 o posterior)
+ Cliente nativo de macOS (versión 5.5.0 o posterior)
+ Cliente de Ubuntu 22.04 versión 2024.x o superior
+ Amazon WorkSpaces Thin Client (para obtener más información, consulte la [documentación de Amazon WorkSpaces Thin Client](https://docs.aws.amazon.com/workspaces-thin-client/))
+ Acceso web
Para obtener más información sobre cómo comprobar la versión de su WorkSpace cliente y la versión del agente de alojamiento, consulte las [preguntas frecuentes](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F).
### Cuándo se debe usar DCV
+ Si necesita una mayor loss/latency tolerancia para adaptarse a las condiciones de la red de sus usuarios finales. Por ejemplo, hay usuarios que acceden a sus redes a WorkSpaces través de distancias globales o utilizan redes poco fiables.
+ Si necesita que sus usuarios se autentiquen con tarjetas inteligentes o que las usen durante la sesión.
+ Si necesita funciones de compatibilidad con cámaras web durante la sesión.
+ Si necesita usar Web Access con el paquete con Windows Server 2022 o Windows Server 2025. WorkSpaces
+ Si necesitas usar Ubuntu. WorkSpaces
+ Si necesita usar Windows 11 BYOL WorkSpaces.
+ Si necesita usar paquetes habilitados para GPU con Windows WorkSpaces .
+ Si necesitas usar paquetes basados en la GPU de Windows (Graphics.g6, Graphics.G4dn y .g4dn) o paquetes basados en la GPU de Ubuntu (Graphics.G4dn y .g4dn). GraphicsPro GraphicsPro
+ Si necesita que sus usuarios WebAuthn se autentiquen durante la YubiKey sesión con autenticadores como Windows Hello.
### Cuándo usar la IP PCo
+ Si desea utilizar los clientes de Linux de iPad o Android.
+ Si utiliza dispositivos de cliente cero de Teradici.
+ Si necesita usar un paquete de Linux para casos en los que no se usen tarjetas inteligentes.
+ Si necesita usarlo WorkSpaces en la región de China (Ningxia)
**nota**
Un directorio puede contener una combinación de PCo IP y DCV WorkSpaces .
Un usuario puede tener una PCo IP y una DCV WorkSpace siempre que ambas WorkSpaces estén ubicadas en directorios separados. El mismo usuario no puede tener una PCo IP y un DCV WorkSpace en el mismo directorio. Para obtener más información sobre la creación de varios WorkSpaces para un usuario, consulte[Creación de varios escritorios de WorkSpaces para un usuario en WorkSpaces Personal](create-multiple-workspaces-for-user.md).
Puede migrar a WorkSpace entre los dos protocolos mediante la función de WorkSpaces migración, que requiere una reconstrucción del WorkSpace. Para obtener más información, consulte [Migrar un WorkSpace archivo en WorkSpaces Personal](migrate-workspaces.md).
Si lo WorkSpace creó con paquetes de PCo IP, puede modificar el protocolo de transmisión para migrar entre los dos protocolos sin necesidad de volver a construirlo y, al mismo tiempo, conservar el volumen raíz. Para obtener más información, consulte [Modificar protocolos](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols).
Para disfrutar de la mejor experiencia con las videoconferencias, le recomendamos que utilice únicamente los paquetes Power PowerPro, GeneralPurpose .4xlarge o GeneralPurpose .8xlarge.
En los siguientes temas se ofrece información adicional sobre cómo administrar las redes y el acceso de Personal: WorkSpaces
# Configurar una VPC para personal WorkSpaces
WorkSpaces lo lanza WorkSpaces en una nube privada virtual (VPC).
Puede crear una VPC con dos subredes privadas para usted WorkSpaces y una puerta de enlace NAT en una subred pública. Como alternativa, puede crear una VPC con dos subredes públicas para usted WorkSpaces y asociar una dirección IP pública o una dirección IP elástica a cada una. WorkSpace
Para obtener más información sobre las consideraciones de diseño de las VPC, consulte [Best Practices for VPCs and Networking in Amazon WorkSpaces Deployments](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf) y [Best Practices for Deployment: WorkSpaces VPC](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html) Design.
**Topics**
+ [Requisitos](#configure-vpc-requirements)
+ [Configurar una VPC con subredes privadas y una gateway NAT](#configure-vpc-nat-gateway)
+ [Configurar una VPC con subredes públicas](#configure-vpc-public-subnets)
## Requisitos
Las subredes de la VPC deben residir en distintas zonas de disponibilidad de la región en la que vaya a realizar el lanzamiento. WorkSpaces Las zonas de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otras zonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única ubicación. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas.
**nota**
Amazon WorkSpaces está disponible en un subconjunto de las zonas de disponibilidad de cada región compatible. Para determinar qué zonas de disponibilidad puede usar para las subredes de la VPC WorkSpaces para las que está utilizando, consulte. [Zonas de disponibilidad en WorkSpaces Personal](azs-workspaces.md)
## Configurar una VPC con subredes privadas y una gateway NAT
Si utiliza Directory Service para crear un Microsoft AWS gestionado o un Simple AD, le recomendamos que configure la VPC con una subred pública y dos subredes privadas. Configure su directorio para lanzarlo WorkSpaces en las subredes privadas. Para proporcionar acceso a Internet WorkSpaces en una subred privada, configure una puerta de enlace NAT en la subred pública.
![\[Configura tu WorkSpaces VPC\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/vpc-configuration-new.png)
**Para crear una VPC con una subred pública y dos subredes privadas**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **Creación de VPC**.
1. En **Recursos para crear** elija **VPC y más**.
1. En **Generación automática de etiquetas de nombre**, ingrese un nombre para la VPC.
1. Para configurar las subredes, haga lo siguiente:
1. En **Number of Availability Zones** (Número de zonas de disponibilidad), elija **1** o **2**, según sus necesidades.
1. Amplíe **Personalice AZs** y elija sus zonas de disponibilidad. De lo contrario AWS , selecciónelas por usted. Para hacer una selección apropiada, consulte [Zonas de disponibilidad en WorkSpaces Personal](azs-workspaces.md).
1. En **Number of public subnets** (Número de subredes públicas), asegúrese de tener una subred pública por zona de disponibilidad.
1. En **Number of private subnets** (Número de subredes privadas), asegúrese de tener al menos una subred privada por zona de disponibilidad.
1. Introduzca un bloque CIDR para cada subred. Para obtener más información, consulte [Tamaño de subred](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) en la *Guía del usuario de Amazon VPC*.
1. Para **Gateways NAT**, elija **1 por AZ**.
1. Seleccione **Creación de VPC**.
**IPv6 Bloques CIDR**
Puede asociar bloques IPv6 CIDR a su VPC y sus subredes, y configurar esas subredes para que IPv6 asignen direcciones automáticamente a las instancias recién lanzadas. En el caso de las subredes creadas por el cliente, la asignación automática de IPv6 direcciones está deshabilitada de forma predeterminada. Para ver o actualizar esta configuración en la consola de Amazon VPC, elija Subredes en el panel de navegación, seleccione la subred de destino y, a continuación, elija **Acciones**, **Modificar** la configuración de IP de asignación automática.
## Configurar una VPC con subredes públicas
Si lo prefiere, puede crear una VPC con dos subredes públicas. Para proporcionar acceso a Internet a las WorkSpaces subredes públicas, configure el directorio para asignar direcciones IP elásticas de forma automática o asigne manualmente una dirección IP elástica a cada una de ellas. WorkSpace
**Topics**
+ [Paso 1: Crear una VPC](#create-vpc-public-subnet)
+ [Paso 2: asigne direcciones IP públicas a su WorkSpaces](#assign-eip)
### Paso 1: Crear una VPC
Cree una VPC con una subred pública como se indica a continuación.
**Para crear la VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleccione **Creación de VPC**.
1. En **Recursos para crear** elija **VPC y más**.
1. En **Generación automática de etiquetas de nombre**, ingrese un nombre para la VPC.
1. Para configurar las subredes, haga lo siguiente:
1. Para **Número de zonas de disponibilidad**, elija **2**.
1. Amplíe **Personalice AZs** y elija sus zonas de disponibilidad. De lo contrario AWS , selecciónelas por usted. Para hacer una selección apropiada, consulte [Zonas de disponibilidad en WorkSpaces Personal](azs-workspaces.md).
1. Para **Número de subredes públicas**, elija **2**.
1. Para **Number of private subnets** (Número de subredes privadas), elija **0**.
1. Introduzca un bloque CIDR para cada subred pública. Para obtener más información, consulte [Tamaño de subred](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) en la *Guía del usuario de Amazon VPC*.
1. Seleccione **Creación de VPC**.
**IPv6 Bloques CIDR**
Puede asociar bloques IPv6 CIDR a su VPC y sus subredes, y configurar esas subredes para que IPv6 asignen direcciones automáticamente a las instancias recién lanzadas. En el caso de las subredes creadas por el cliente, la asignación automática de IPv6 direcciones está deshabilitada de forma predeterminada. Para ver o actualizar esta configuración en la consola de Amazon VPC, elija Subredes en el panel de navegación, seleccione la subred de destino y, a continuación, elija **Acciones**, **Modificar** la configuración de IP de asignación automática.
### Paso 2: asigne direcciones IP públicas a su WorkSpaces
Puede asignarle direcciones IP públicas de WorkSpaces forma automática o manual. Para utilizar la asignación automática, consulte [Configuración de direcciones IP públicas automáticas en WorkSpaces Personal](automatic-assignment.md). Para asignar direcciones IP públicas manualmente, utilice el siguiente procedimiento.
**Para asignar una dirección IP pública a una de WorkSpace forma manual**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **WorkSpaces**.
1. **Amplíe la fila (elija el icono de flecha) para WorkSpace y anote el valor de WorkSpace IP.** Esta es la dirección IP privada principal del WorkSpace.
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, elige **Elastic IPs**. Si no tiene una dirección IP elástica disponible, elija **Asignar dirección IP elástica** y elija el grupo de direcciones **de Amazon o el grupo de IPv4 direcciones** **propiedad del IPv4 cliente** y, a continuación, elija **Asignar**. Anote la nueva dirección IP.
1. En el panel de navegación, elija **Network Interfaces**.
1. Seleccione la interfaz de red para su WorkSpace. Para encontrar su interfaz de red WorkSpace, introduzca el valor de **WorkSpace IP** (que ha indicado anteriormente) en el cuadro de búsqueda y, a continuación, pulse **Entrar**. El valor **WorkSpace IP** coincide con la IPv4 dirección privada principal de la interfaz de red. Tenga en cuenta que el ID de VPC de la interfaz de red coincide con el ID de su WorkSpaces VPC.
1. Elija **Acciones**, **Administrar direcciones IP**. Elija **Assign new IP (Asignar nueva IP)** y, a continuación, elija **Yes, Update (Sí, actualizar)**. Anote la nueva dirección IP.
1. Elija **Actions**, **Associate Address**.
1. En la página **Associate Elastic IP Address (Asociar dirección IP elástica)**, elija una dirección IP elástica en **Address (Dirección)**. En **Associate to private IP address (Asociar a dirección IP privada)**, especifique la nueva dirección IP privada y, a continuación, elija **Associate Address (Asociar dirección)**.
# Configuración de AWS Global Accelerator (AGA) para WorkSpaces Personal
Puede habilitar AWS Global Accelerator (AGA) en el nivel del directorio de WorkSpaces o para WorkSpaces individuales que ejecuten el protocolo DCV. Cuando está activado, el servicio dirige automáticamente el tráfico de transmisión a través de la ubicación periférica de AWS más cercana y a través de la red global de AWS, de forma redundante y sin congestión. Esto ayuda a ofrecer una experiencia de transmisión más estable y con mayor capacidad de respuesta. El servicio WorkSpaces administra completamente el uso de AGA y está sujeto a los límites de volumen de datos de salida.
**Topics**
+ [Requisitos](#configure-aga-requirements)
+ [Limitaciones](#configure-aga-limitations)
+ [Límites de datos salientes](#configure-aga-outbound-data-limits)
+ [Activación de AGA para un directorio de WorkSpaces](#enabling-aga-directory)
+ [Activación de AGA para WorkSpaces individuales](#enabling-aga-individual)
## Requisitos
+ Los WorkSpaces utilizan un rango de direcciones IPv4 públicas para los puntos de conexión dedicados de AWS Global Accelerator (AGA). Asegúrese de configurar sus políticas de firewall para los dispositivos que accedan a WorkSpaces a través de AGA. Si el firewall bloquea los puntos de conexión de AGA, el tráfico de transmisión de WorkSpaces no se dirigirá a través de AGA. Para obtener más información sobre los rangos de IP de los puntos de conexión de AGA en cada región de AWS, consulte [Servidores de puerta de enlace de DCV](workspaces-port-requirements.md#gateway_WSP).
+ Para acceder a WorkSpaces a través de AGA, los usuarios deben usar las versiones 5.23 o posteriores del cliente de WorkSpaces.
## Limitaciones
+ Solo puede habilitar AGA para WorkSpaces con DCV. Si habilita AGA en el nivel de directorio de WorkSpaces, solo se aplicará a los WorkSpaces con DCV del directorio.
+ No puede habilitar AGA para un directorio (o los WorkSpaces del directorio) que tenga habilitados los grupos de control de acceso a FIPS y direcciones IP. Debe deshabilitar los grupos de control de acceso a FIPS o direcciones IP antes de habilitar AGA en el directorio.
## Límites de datos salientes
A continuación se muestran los límites de volumen de datos aplicables a los paquetes de WorkSpaces.
+ **Paquetes Value, Standard y Performance:** incluyen 20 GB de datos salientes de AGA por usuario y mes.
+ **Paquetes Power, PowerPro y Graphics:** incluyen 50 GB de datos salientes de AGA por usuario y mes.
Estos límites de datos salientes pretenden cubrir el uso de datos de los usuarios que transmiten desde sus WorkSpaces. Más allá de los límites, el servicio WorkSpaces puede restringir el uso de AGA y desviar el tráfico de WorkSpaces fuera de AGA según cada caso particular.
## Activación de AGA para un directorio de WorkSpaces
Puede configurar los ajustes de AGA en el nivel de directorio. Los ajustes se aplicarán a todos los WorkSpaces con DCV del directorio, a menos que los anulen los WorkSpaces individuales.
**Cómo habilitar AGA en un directorio**
1. Abra la consola de WorkSpaces en [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. En la columna **ID de directorio**, seleccione el ID del directorio para el que desea configurar los ajustes de AGA.
1. En la página Detalles del directorio, desplácese hacia abajo hasta la sección de configuración de AWS Global Accelerator (AGA) y seleccione **Editar**.
1. Elija **Activar AGA (automático)**.
1. **Usar siempre TCP con AGA** está seleccionado de forma predeterminada. Si anula la selección, el cliente de WorkSpaces determinará si se utiliza TCP o UDP con AGA en función de la configuración del protocolo de transmisión DCV de sus clientes.
1. Seleccione **Guardar**.
Después de habilitar AGA para un directorio de WorkSpaces, los WorkSpaces con DCV del directorio utilizarán AGA para la transmisión a partir de la siguiente sesión. No es necesario reiniciar.
## Activación de AGA para WorkSpaces individuales
Puede configurar los ajustes de AGA para WorkSpaces individuales, lo que anula los ajustes heredados del directorio al que están asociados los WorkSpaces.
**Cómo activar AGA para WorkSpaces individuales**
1. Abra la consola de WorkSpaces en [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **WorkSpaces**, **Personal**.
1. En la columna **ID de WorkSpace**, elija el ID de WorkSpace del WorkSpace para el que desee configurar los ajustes de AGA.
1. En la página Detalles de WorkSpaces, desplácese hacia abajo hasta la sección de configuración de AWS Global Accelerator (AGA) y seleccione **Editar**.
1. Seleccione **Anular manualmente las configuraciones de AGA para este WorkSpace**.
1. Elija **Activar AGA (automático)**.
1. **Usar siempre TCP con AGA** está seleccionado de forma predeterminada. Si anula la selección, el cliente de WorkSpaces determinará si se utiliza TCP o UDP con AGA en función de la configuración del protocolo de transmisión DCV de sus clientes.
1. Seleccione **Guardar**.
# Zonas de disponibilidad en WorkSpaces Personal
Al crear una nube privada virtual (VPC) para utilizarla con Amazon WorkSpaces, las subredes de la VPC deben residir en distintas zonas de disponibilidad de la región en la que vaya a lanzar WorkSpaces. Las zonas de disponibilidad son ubicaciones diferentes diseñadas para quedar aisladas en caso de error en otras zonas de disponibilidad. Al lanzar instancias en distintas zonas de disponibilidad, puede proteger sus aplicaciones de los errores que se produzcan en una única ubicación. Cada subred debe residir enteramente en una zona de disponibilidad y no puede abarcar otras zonas.
Una zona de disponibilidad está representada por un código de región seguido de un identificador de letra; por ejemplo, `us-east-1a`. Para garantizar que los recursos se distribuyen por todas las zonas de disponibilidad de una región, asignamos zonas de disponibilidad de manera independiente a nombres de cada cuenta de AWS. Por ejemplo, es posible que la zona de disponibilidad `us-east-1a` de su cuenta de AWS no se encuentre en la misma ubicación de `us-east-1a` que otra cuenta de AWS.
Para coordinar las zonas de disponibilidad entre cuentas, debe usar el *ID de AZ*, que es un identificador único y constante de una zona de disponibilidad. Por ejemplo, `use1-az2` es un ID de zona de disponibilidad para la región `us-east-1` y tiene la misma ubicación en cada cuenta de AWS.
La visualización de los ID de zona de disponibilidad le permite determinar la ubicación de los recursos de una cuenta en relación con los recursos de otra cuenta. Por ejemplo, si comparte una subred en la zona de disponibilidad con el ID de zona de disponibilidad `use1-az2` con otra cuenta, esta subred se encuentra disponible para esa cuenta en la zona de disponibilidad cuyo ID de zona de disponibilidad es también `use1-az2`. El ID de zona de disponibilidad para cada VPC y subred aparece en la consola de Amazon VPC.
Amazon WorkSpaces solo está disponible en un subconjunto de las zonas de disponibilidad de cada región compatible. En la siguiente tabla, se enumeran los ID de AZ que puede usar para cada región. Para ver la asignación de ID de AZ a las zonas de disponibilidad de su cuenta, consulte [ID de AZ de sus recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) en la *Guía del usuario de AWS RAM*.
| Nombre de región | Código de región | ID de AZ admitidos |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | use1-az2, use1-az4, use1-az6 |
| Oeste de EE. UU. (Oregón) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 |
| Asia-Pacífico (Bombay) | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 |
| Asia-Pacífico (Seúl) | ap-northeast-2 | apne2-az1, apne2-az3 |
| Asia-Pacífico (Singapur) | ap-southeast-1 | apse1-az1, apse1-az2 |
| Asia-Pacífico (Sídney) | ap-southeast-2 | apse2-az1, apse2-az3 |
| Asia-Pacífico (Tokio) | ap-northeast-1 | apne1-az1, apne1-az4 |
| Canadá (centro) | ca-central-1 | cac1-az1, cac1-az2 |
| Europa (Fráncfort) | eu-central-1 | euc1-az2, euc1-az3 |
| Europa (Irlanda) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 |
| Europa (Londres) | eu-west-2 | euw2-az2, euw2-az3 |
| Europa (París) | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 |
| América del Sur (São Paulo) | sa-east-1 | sae1-az1, sae1-az3 |
| África (Ciudad del Cabo) | af-south-1 | afs1-az1, afs1-az2, afs1-az3 |
| Israel (Tel Aviv) | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 |
| AWS GovCloud (EE. UU. Oeste) | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 |
Para obtener más información sobre las zonas de disponibilidad y los ID de AZ, consulte [Regiones y zonas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) en la *Guía del usuario de Amazon EC2*.
# Requisitos de dirección IP y puerto para WorkSpaces Personal
Para conectarse a la suya WorkSpaces, la red a la que estén conectados sus WorkSpaces clientes debe tener ciertos puertos abiertos a los rangos de direcciones IP de los distintos AWS servicios (agrupados en subconjuntos). Estos rangos de direcciones varían según la AWS región. Estos puertos también deben estar abiertos en los firewalls que se ejecuten en el cliente. Para obtener más información sobre los rangos de direcciones AWS IP de las distintas regiones, consulte [AWS Intervalos de direcciones IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) en *Referencia general de Amazon Web Services*.
Para ver diagramas de arquitectura adicionales, consulte [Best Practices for Deplying Amazon WorkSpaces](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html).
## Puertos de aplicaciones cliente
La aplicación WorkSpaces cliente requiere acceso saliente en los siguientes puertos:
Puerto 53 (UDP)
Este puerto se utiliza para acceder a los servidores DNS. Debe estar abierto para las direcciones IP del servidor DNS, de modo que el cliente pueda resolver los nombres de dominio público. Si no se utilizan servidores DNS para resolver nombres de dominio, este puerto es opcional.
Puerto 443 (UDP y TCP)
Este puerto se utiliza para las actualizaciones, el registro y la autenticación de las aplicaciones cliente. Las aplicaciones cliente de escritorio pueden usar un servidor proxy para el tráfico del puerto 443 (HTTPS). Para habilitar el uso de un servidor proxy, abra la aplicación cliente, elija **Advanced Settings**, seleccione **Use Proxy Server**, especifique la dirección y el puerto del servidor proxy, y elija **Save**.
Este puerto debe estar abierto para los siguientes intervalos de direcciones IP:
+ El subconjunto `AMAZON` de la región `GLOBAL`.
+ El `AMAZON` subconjunto de la región en la que WorkSpace se encuentra.
+ El subconjunto `AMAZON` de la región `us-east-1`.
+ El subconjunto `AMAZON` de la región `us-west-2`.
+ El subconjunto `S3` de la región `us-west-2`.
Puerto 4172 (UDP y TCP)
Este puerto se utiliza para transmitir el WorkSpace escritorio y comprobar el estado de la PCo IP WorkSpaces. Este puerto debe estar abierto a la puerta de enlace PCo IP y a los servidores de comprobación de estado de la región en la que WorkSpace se encuentra. Para obtener más información, consulte [Servidores de comprobación de estado](#health_check) y [PCoServidores de puerta de enlace IP](#gateway_IP).
En el PCo caso de IP WorkSpaces, las aplicaciones cliente de escritorio no admiten el uso de un servidor proxy ni el descifrado mediante TLS ni la inspección del tráfico del puerto 4172 en UDP (para el tráfico de escritorio). Necesitan una conexión directa a los puertos 4172.
Puerto 4195 (UDP y TCP)
Este puerto se utiliza para transmitir el WorkSpace escritorio y comprobar el estado del DCV. WorkSpaces Este puerto debe estar abierto a los rangos de direcciones IP de la puerta de enlace DCV y a los servidores de comprobación de estado de la región en la que WorkSpace se encuentra. Para obtener más información, consulte [Servidores de comprobación de estado](#health_check) y [Servidores de puerta de enlace de DCV](#gateway_WSP).
Para DCV WorkSpaces, la aplicación cliente WorkSpaces Windows (versión 5.1 y superior) y la aplicación cliente macOS (versión 5.4 y superior) admiten el uso de servidores proxy HTTP para el tráfico TCP del puerto 4195, pero no se recomienda el uso de un proxy. No se admiten el descifrado ni la inspección por TLS. Para obtener más información, consulte **Configurar los ajustes del servidor proxy del dispositivo para el acceso a Internet** en [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy) WorkSpaces, [Amazon Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) y [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).
**nota**
Si el firewall utiliza filtros con estado, los puertos efímeros (también conocidos como puertos dinámicos) se abren automáticamente para permitir la comunicación de retorno. Si el firewall utiliza filtros sin estado, debe abrir los puertos efímeros explícitamente para permitir la comunicación de retorno. El intervalo de puertos efímeros que debe abrirse variará en función de la configuración.
La función de servidor proxy no es compatible con el tráfico UDP. Si eliges usar un servidor proxy, las llamadas a la API que la aplicación cliente realiza a los WorkSpaces servicios de Amazon también se envían mediante proxy. Tanto las llamadas a la API como el tráfico de escritorio deben pasar por el mismo servidor proxy.
La aplicación WorkSpaces cliente primero intenta transmitir mediante UDP (QUIC) para obtener un rendimiento óptimo. Si la red del cliente solo permite el TCP, se utilizará el TCP. El cliente WorkSpaces web se conectará a través del puerto TCP 4195 o 443. Si el puerto 4195 está bloqueado, el cliente solo intentará conectarse a través del puerto 443.
## Puertos para Acceso web
WorkSpaces El acceso web requiere acceso saliente a los siguientes puertos:
Puerto 53 (UDP)
Este puerto se utiliza para acceder a los servidores DNS. Debe estar abierto para las direcciones IP del servidor DNS, de modo que el cliente pueda resolver los nombres de dominio público. Si no se utilizan servidores DNS para resolver nombres de dominio, este puerto es opcional.
Puerto 80 (UDP y TCP)
Este puerto se utiliza para las conexiones iniciales a `https://clients.amazonworkspaces.com` y, a continuación, cambia a HTTPS. Debe estar abierto a todos los rangos de direcciones IP del `EC2` subconjunto de la región en la que WorkSpace se encuentra.
Puerto 443 (UDP y TCP)
Este puerto se utiliza para el registro y la autenticación a través de HTTPS. Debe estar abierto a todos los rangos de direcciones IP del `EC2` subconjunto de la región en la que WorkSpace se encuentra.
Puerto 4195 (UDP y TCP)
Si WorkSpaces están configurados para DCV, este puerto se utiliza para transmitir el tráfico de WorkSpaces escritorio. Este puerto debe estar abierto para los siguientes intervalos de direcciones IP de la puerta de enlace de DCV. Para obtener más información, consulte [Servidores de puerta de enlace de DCV](#gateway_WSP).
El acceso web a DCV admite el uso de un servidor proxy para el tráfico TCP del puerto 4195, pero no se recomienda. Para obtener más información, consulte **Configurar los ajustes del servidor proxy del dispositivo para el acceso a Internet** en [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy) WorkSpaces, [Amazon Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) o [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).
**nota**
Si el firewall utiliza filtros con estado, los puertos efímeros (también conocidos como puertos dinámicos) se abren automáticamente para permitir la comunicación de retorno. Si el firewall utiliza filtros sin estado, debe abrir los puertos efímeros explícitamente para permitir la comunicación de retorno. El intervalo de puertos efímeros que debe abrirse variará en función de la configuración.
La aplicación WorkSpaces cliente primero intenta transmitir mediante UDP (QUIC) para obtener un rendimiento óptimo. Si la red del cliente solo permite el TCP, se utilizará el TCP. El cliente WorkSpaces web se conectará a través del puerto TCP 4195 o 443. Si el puerto 4195 está bloqueado, el cliente solo intentará conectarse a través del puerto 443.
Por lo general, el navegador web selecciona aleatoriamente un puerto de origen en el rango alto para usarlo en el tráfico de streaming. WorkSpaces Web Access no controla el puerto que selecciona el navegador. Debe asegurarse de que el tráfico de retorno a este puerto esté permitido.
## Dominios y direcciones IP para agregar a la lista de permitidos
Para que la aplicación WorkSpaces cliente pueda acceder al WorkSpaces servicio, debe agregar los siguientes dominios y direcciones IP a la lista de dominios permitidos en la red desde la que el cliente intenta acceder al servicio.
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Dominio o dirección IP |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com |
| Actualización automática del cliente | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de mensajería dinámica (para aplicaciones cliente de 3.0 WorkSpaces o más) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Páginas de inicio de sesión del usuario | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) *directory\$1id*https://.awsapps.com/ **directory id** es el dominio del cliente. En las regiones (EE. UU. Oeste) y AWS GovCloud (EE. UU. Este): AWS GovCloud https://login.us-gov-home.awsapps.com/directory/*directory id*/ **directory id** es el dominio del cliente. |
| Agente de WS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos de conexión para el inicio de sesión único (SSO) de SAML | Dominios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
**Dominios y direcciones IP para añadir a tu lista de direcciones IP permitidas PCo**
| Categoría | Dominio o dirección IP |
| --- | --- |
| PCoPuerta de enlace de sesión IP (PSG) | [PCoServidores de puerta de enlace IP](#gateway_IP) |
| Agente de sesiones (PCM) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
**Dominios y direcciones IP para añadir a la lista de permitidos de DCV**
| Categoría | Dominio o dirección IP |
| --- | --- |
| Puerta de enlace de sesión DCV (WSG) | [Servidores de puerta de enlace de DCV](#gateway_WSP) |
| Servidores TURN de Web Access para DCV | [Servidores de puerta de enlace de DCV](#gateway_WSP) |
## Servidores de comprobación de estado
Las aplicaciones WorkSpaces cliente realizan comprobaciones de estado en los puertos 4172 y 4195. Estas comprobaciones validan si el tráfico TCP o UDP fluye desde los WorkSpaces servidores a las aplicaciones cliente. Para que estas comprobaciones se realicen correctamente, las políticas de firewall deben permitir el tráfico saliente a las direcciones IP de los siguientes servidores regionales de comprobación de estado.
| Region | El nombre del host de comprobación de estado | Direcciones IP |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | IPv4: drp-iad.amazonworkspaces.com IPv6: drp-workspaces.us-east-1.api.aws | IPv4: 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6: 2600:1 de 18:74 y 9:4400: :/56 |
| Oeste de EE. UU. (Oregón) | IPv4: drp-pdx.amazonworkspaces.com IPv6: drp-workspaces.us-west-2.api.aws | IPv4: 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6: 2600:1 de 14:278:5700: :/56 |
| Asia-Pacífico (Mumbai) | IPv4: drp-bom.amazonworkspaces.com IPv6: drp-workspaces.ap-south-1.api.aws | IPv4: 13.127.57.82 13,234250,73 IPv6: 2406: da1a: 502:b800: :/56 |
| Asia-Pacífico (Seúl) | IPv4: drp-icn.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-2.api.aws | IPv4: 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6: 2406: da12: c8c: 4900: /56 |
| Asia-Pacífico (Singapur) | IPv4: drp-sin.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-1.api.aws | IPv4: 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6: 2406: da 18:991:4 a 00: :/56 |
| Asia-Pacífico (Sídney) | IPv4: drp-syd.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-2.api.aws | IPv4: 3.24.11.127 13.237.232.125 IPv6: 2406:da1c:9b 5:9 d00: :/56 |
| Asia-Pacífico (Tokio) | IPv4: drp-nrt.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-1.api.aws | IPv4: 18.178.102.247 54.64.174.128 IPv6: 2406: da 14:785:5300: :/56 |
| Canadá (centro) | IPv4: drp-yul.amazonworkspaces.com IPv6: drp-workspaces.ca-central-1.api.aws | IPv4: 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6: 2600:1 de 11:759:d900: :/56 |
| Europa (Fráncfort) | IPv4: drp-fra.amazonworkspaces.com IPv6: drp-workspaces.eu-central-1.api.aws | IPv4: 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6: 2a05: d014: b5c: 500: /56 |
| Europa (Irlanda) | IPv4: drp-dub.amazonworkspaces.com IPv6: drp-workspaces.eu-west-1.api.aws | IPv4: 18.200.177.86 52.48.86.38 54.76.137.224 IPv6: 2a05:d 018:10 caf:400: :/56 |
| Europa (Londres) | IPv4: drp-lhr.amazonworkspaces.com IPv6: drp-workspaces.eu-west-2.api.aws | IPv4: 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6: 2a05: d01c: 263: f400: :/56 |
| Europa (París) | IPv4: drp-cdg.amazonworkspaces.com IPv6: drp-workspaces.eu-west-3.api.aws | IPv4: 51.17.52.90 51,17109231 51,16190,43 IPv6: 2a05:d 012:16:8600: :/56 |
| América del Sur (São Paulo) | IPv4: drp-gru.amazonworkspaces.com IPv6: drp-workspaces.sa-east-1.api.aws | IPv4: 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6: 2600:1 f1e:bbf:fa00: :/56 |
| África (Ciudad del Cabo) | IPv4: drp-cpt.amazonworkspaces.com/ IPv6: drp-workspaces.af-south-1.api.aws | IPv4: 13.244.128.155 13,245,205255 13,245216116 IPv6: 2406: da 11:685:2400: :/56 |
| Israel (Tel Aviv) | IPv4: drp-tlv.amazonworkspaces.com/ IPv6: drp-workspaces.il-central-1.api.aws | IPv4: 51.17.52.90 51,17109231 51,16190,43 IPv6: 2a05: d025: c78:fc00: :/56 |
| AWS GovCloud (US-Oeste) | IPv4: drp-pdt.amazonworkspaces.com IPv6: drp-workspaces. us-gov-west-1.api.aws | IPv4: 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6: 2600:1 f 12:28 f:af00: :/56 |
| AWS GovCloud (EEUU-Este) | IPv4: drp-osu.amazonworkspaces.com IPv6: drp-workspaces. us-gov-east-1.api.aws | IPv4: 18.253.251,70 18,254,0118 IPv6: 2600:1 f15:a 45:3e00::/56 |
## PCoServidores de puerta de enlace IP
WorkSpaces utiliza PCoIP para transmitir la sesión de escritorio a los clientes a través del puerto 4172. Para sus servidores de puerta de enlace PCoIP, WorkSpaces utiliza un pequeño rango de direcciones AND públicas de Amazon EC2 IPv4 . IPv6 Esto permite establecer políticas de firewall más detalladas para los dispositivos que obtienen acceso a WorkSpaces. Tenga en cuenta que el WorkSpaces cliente prioriza las IPv6 conexiones cuando es compatible y se puede acceder a las IPv6 puertas de enlace. Si no IPv6 está disponible, vuelve a. IPv4
| Region | Código de región | Intervalo de direcciones IP públicas |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | 3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600:1f32:8000::/39 |
| Oeste de EE. UU. (Oregón) | us-west-2 | 35.80.88.0 - 35.80.95.255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600:1f32:4000::/39 |
| Asia-Pacífico (Mumbai) | ap-south-1 | 13.126.243.0 - 13.126.243.255 2406:da32:a000::/40 |
| Asia-Pacífico (Seúl) | ap-northeast-2 | 3.34.37.0 - 3.34.37.255 3.34.38.0 - 3.34.39.255 13.124.247.0 - 13.124.247.255 2406:da32:2000::/40 |
| Asia-Pacífico (Singapur) | ap-southeast-1 | 18.141.152,0 - 18.141.152.255 18.141.154,0 - 18.141.155.255 52.76.127.0 - 52.76.127.255 2406:da32:8000::/40 |
| Asia-Pacífico (Sídney) | ap-southeast-2 | 3.25.43.0 - 3.25.43.255 3.25.44.0 - 3.25.45.255 54.153.254.0 - 54.153.254.255 2406:da32:c000::/40 |
| Asia-Pacífico (Tokio) | ap-northeast-1 | 18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406:da32:4000::/40 |
| Canadá (centro) | ca-central-1 | 15.223.100.0 - 15.223.100.255 15.223.102.0 - 15.223.103.255 35.183.255.0 - 35.183.255.255 2600:1f32:1000::/40 |
| Europa (Fráncfort) | eu-central-1 | 18.156.52.0 - 18.156.52.255 18.156.54.0 - 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05:d032:4000::/40 |
| Europa (Irlanda) | eu-west-1 | 3.249.28.0 - 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05:d032:8000::/40 |
| Europa (Londres) | eu-west-2 | 18.132.21.0 - 18.132.21.255 18.132.22.0 - 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05:d032:c000::/40 |
| Europa (París) | eu-west-3 | 51.44.204.0-51.44.207.255 |
| América del Sur (São Paulo) | sa-east-1 | 18.230.103.0 - 18.230.103.255 18.230.104.0 - 18.230.105.255 54.233.204.0 - 54.233.204.255 2600:1f32:e000::/40 |
| África (Ciudad del Cabo) | af-south-1 | 13.246.120.0 - 13.246.123.255 2406:da32:1000::/40 |
| Israel (Tel Aviv) | il-central-1 | 51.17.28.0-51.17.31.255 2a05:d032:5000::/40 |
| AWS GovCloud (US-Oeste) | us-gov-west-1 | 52.61.193.0 - 52.61.193.255 2600:1f32:2000::/40 |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | 18.254.140.0 - 18.254.143.255 2600:1f32:5000::/40 |
## Servidores de puerta de enlace de DCV
**importante**
A partir de junio de 2020, WorkSpaces transmite la sesión de escritorio de DCV WorkSpaces a los clientes a través del puerto 4195 en lugar del puerto 4172. Si desea utilizar el DCV WorkSpaces, asegúrese de que el puerto 4195 esté abierto al tráfico.
**nota**
En el caso de los WorkSpaces grupos que no son de BYOL, no se garantizan los rangos de direcciones IP. En su lugar, debe incluir los nombres de dominio de la puerta de enlace de DCV en la lista de permitidos. Para obtener más información, consulte [Nombres de dominio de la puerta de enlace de DCV](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp).
WorkSpaces utiliza un pequeño rango de IPv6 direcciones IPv4 AND públicas de Amazon EC2 para sus servidores de puerta de enlace DCV. Esto le permite establecer políticas de firewall más precisas para los dispositivos a los que acceden. WorkSpaces WorkSpaces utilice un rango diferente de IPv4 direcciones públicas para los puntos finales dedicados de AWS Global Accelerator (AGA). Asegúrese de configurar sus políticas de firewall para incluir en una lista los rangos de IP permitidos si planea habilitar AGA para su servidor. WorkSpaces Tenga en cuenta que el WorkSpaces cliente prioriza las IPv6 conexiones cuando es compatible y se puede IPv6 acceder a las puertas de enlace. Si no IPv6 está disponible, vuelve a. IPv4
Si usa AGA \$1 IPv6, debe incluir en la lista de permitidos los rangos IPv6 CIDR de los `GLOBALACCELERATOR` rangos. Para obtener más información, consulte [Ubicación y rangos de direcciones IP de los servidores de Global Accelerator Edge](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html) en la *Guía para desarrolladores de AWS Global Accelerator*.
| Region | Código de región | Intervalo de direcciones IP públicas |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Este de EE. UU. (Ohio) | us-east-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Oeste de EE. UU. (Oregón) | us-west-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Mumbai) | ap-south-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Seúl) | ap-northeast-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Singapur) | ap-southeast-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Sídney) | ap-southeast-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Malasia) | ap-southeast-5 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Tokio) | ap-northeast-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Canadá (centro) | ca-central-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Europa (Fráncfort) | eu-central-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Europa (Irlanda) | eu-west-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Europa (Londres) | eu-west-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Europa (París) | eu-west-3 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| América del Sur (São Paulo) | sa-east-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| África (Ciudad del Cabo) | af-south-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Israel (Tel Aviv) | il-central-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AWS GovCloud (US-Oeste) | us-gov-west-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
## Nombres de dominio de la puerta de enlace de DCV
La siguiente tabla muestra los nombres de dominio de la WorkSpace puerta de enlace DCV. Estos dominios deben ser accesibles para que la aplicación WorkSpaces cliente pueda acceder al servicio WorkSpace DCV.
| Region | Dominio |
| --- | --- |
| Este de EE. UU. (Norte de Virginia) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Oeste de EE. UU. (Oregón) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia-Pacífico (Mumbai) | \$1.prod.ap-south-1.highlander.aws.a2z.com |
| Asia-Pacífico (Seúl) | \$1.prod.ap-northeast-2.highlander.aws.a2z.com |
| Asia-Pacífico (Singapur) | \$1.prod.ap-southeast-1.highlander.aws.a2z.com |
| Asia-Pacífico (Sídney) | \$1.prod.ap-southeast-2.highlander.aws.a2z.com |
| Asia-Pacífico (Tokio) | \$1.prod.ap-northeast-1.highlander.aws.a2z.com |
| Canadá (centro) | \$1.prod.ca-central-1.highlander.aws.a2z.com |
| Europa (Fráncfort) | \$1.prod.eu-central-1.highlander.aws.a2z.com |
| Europa (Irlanda) | \$1.prod.eu-west-1.highlander.aws.a2z.com |
| Europa (Londres) | \$1.prod.eu-west-2.highlander.aws.a2z.com |
| Europa (París) | \$1.prod.eu-west-3.highlander.aws.a2z.com |
| América del Sur (São Paulo) | \$1.prod.sa-east-1.highlander.aws.a2z.com |
| África (Ciudad del Cabo) | \$1.prod.af-south-1.highlander.aws.a2z.com |
| Israel (Tel Aviv) | \$1.prod.il-central-1.highlander.aws.a2z.com |
| AWS GovCloud (EE. UU.-Oeste) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AWS GovCloud (Este de EE. UU.) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
## Interfaces de red
Cada uno tiene las siguientes interfaces de red: WorkSpace
+ La interfaz de red principal (eth1) proporciona conectividad a los recursos de la VPC y de Internet, y se utiliza para unirlos al WorkSpace directorio.
+ La interfaz de red de administración (eth0) se conecta a una red de administración segura de WorkSpaces. Se utiliza para la transmisión interactiva del WorkSpace escritorio a WorkSpaces los clientes y para WorkSpaces permitir la administración del. WorkSpace
WorkSpaces selecciona la dirección IP para la interfaz de red de administración entre varios rangos de direcciones, según la región en la que WorkSpaces se hayan creado. Cuando se registra un directorio, WorkSpaces comprueba el CIDR de la VPC y las tablas de enrutamiento de la VPC para determinar si estos rangos de direcciones crean un conflicto. Si se encuentra un conflicto en todos los rangos de direcciones disponibles en la región, se muestra un mensaje de error y el directorio no se registra. Si cambia las tablas de ruteo en la VPC después de registrar el directorio, puede provocar un conflicto.
**aviso**
No modifique ni elimine ninguna de las interfaces de red que están conectadas a un. WorkSpace Si lo hace, podría resultar inalcanzable o perder el acceso a Internet. WorkSpace Por ejemplo, si ha [habilitado la asignación automática de direcciones IP elásticas](automatic-assignment.md) a nivel de directorio, se le asignará una [dirección IP elástica](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) (del grupo proporcionado por Amazon) WorkSpace cuando se lance. Sin embargo, si asocias una dirección IP elástica de tu propiedad a una y WorkSpace, posteriormente, desasocias esa dirección IP elástica de la WorkSpace, WorkSpace pierde su dirección IP pública y no obtiene automáticamente una nueva del grupo proporcionado por Amazon.
Para asociar una nueva dirección IP pública del grupo proporcionado por Amazon al WorkSpace, debes [volver](rebuild-workspace.md) a crear el. WorkSpace Si no quiere volver a crearla WorkSpace, debe asociar otra dirección IP elástica de su propiedad a la. WorkSpace
### Intervalos de IP de la interfaz de administración
En la siguiente tabla se muestran los rangos de direcciones IP para la interfaz de red de administración.
**nota**
**Si utiliza Bring Your Own License (BYOL) en Windows WorkSpaces**, no se aplican los rangos de direcciones IP de la siguiente tabla. En su lugar, la PCo IP BYOL WorkSpaces utiliza el rango de direcciones IP 54.239.224.0/20 para el tráfico de la interfaz de administración en todas las regiones. AWS Para Windows DCV BYOL, los rangos de direcciones IP WorkSpaces 54.239.224.0/20 y 10.0.0.0/8 se aplican en todas las regiones. AWS (Estos rangos de direcciones IP se utilizan además del bloque CIDR /16 que se selecciona para administrar el tráfico de su BYOL). WorkSpaces
**Si utiliza el DCV WorkSpaces creado a partir de paquetes públicos**, el rango de direcciones IP 10.0.0.0/8 también se aplica al tráfico de la interfaz de administración en todas AWS las regiones, además de los rangos que se muestran en la siguiente tabla. PCoIP/DCV
| Region | Rango de direcciones IP |
| --- | --- |
| Este de EE. UU. (Norte de Virginia) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Oeste de EE. UU. (Oregón) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia-Pacífico (Mumbai) | PCoIP/WSP: 192.168.0.0/16 WSP: 10.0.0.0/8 |
| Asia-Pacífico (Seúl) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia-Pacífico (Singapur) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia-Pacífico (Sídney) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia-Pacífico (Tokio) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Canadá (centro) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Europa (Fráncfort) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Europa (Irlanda) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Europa (Londres) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Europa (París) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| América del Sur (São Paulo) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| África (Ciudad del Cabo) | PCoIP/WSP: 172.31.0.0/16 y 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Israel (Tel Aviv) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| AWS GovCloud (US-Oeste) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 y 192.169.0.0/16 |
| AWS GovCloud (Este de EE. UU.) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
### Puertos de la interfaz de administración
Todos los siguientes puertos deben estar abiertos en la interfaz de red de administración WorkSpaces:
+ TCP de entrada en el puerto 4172. Se utiliza para establecer la conexión de streaming en el protocolo PCo IP.
+ UDP de entrada en el puerto 4172. Se utiliza para transmitir las entradas del usuario en el protocolo PCo IP.
+ TCP de entrada en el puerto 4489. Se usa para el acceso mediante el cliente web.
+ TCP de entrada en el puerto 8200. Se utiliza para la administración y configuración del WorkSpace.
+ TCP de entrada en los puertos 8201 a 8250. Estos puertos se utilizan para establecer la conexión de transmisión y para transmitir las entradas del usuario en el protocolo DCV.
+ UDP de entrada en el puerto 8220. Este puerto se utiliza para establecer la conexión de transmisión y para transmitir las entradas del usuario en el protocolo DCV.
+ TCP de salida en los puertos 8443 y 9997. Se usa para el acceso mediante el cliente web.
+ UDP de salida en los puertos 3478, 4172 y 4195. Se usa para el acceso mediante el cliente web.
+ UDP de salida en los puertos 50002 y 55002. Se utiliza para streaming. Si el firewall utiliza filtrado con estado, se abre automáticamente los puertos efímeros 50002 y 55002 para permitir la comunicación de retorno. Si el firewall utiliza filtros sin estado, debe abrir los puertos efímeros 49152 - 65535 para permitir la comunicación de retorno.
+ TCP de salida en el puerto 80, tal y como se define en [Management interface IP ranges](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges), a la dirección IP 169.254.169.254 para el acceso al servicio de metadatos de EC2. Cualquier proxy HTTP que se le asigne también WorkSpaces debe excluir 169.254.169.254.
+ TCP de salida en el puerto 1688 a direcciones IP 169.254.169.250 y 169.254.169.251 para permitir el acceso a la activación de Microsoft KMS for Windows para los Workspaces basados en paquetes públicos. Si utiliza Bring Your Own License (BYOL) para Windows WorkSpaces, debe permitir el acceso a sus propios servidores KMS para la activación de Windows.
+ TCP saliente en el puerto 1688 a la dirección IP 54.239.236.220 para permitir el acceso a Microsoft KMS para la activación de Office para BYOL. WorkSpaces
Si usa Office a través de uno de los paquetes WorkSpaces públicos, la dirección IP para la activación de Microsoft KMS for Office varía. Para determinar esa dirección IP, busque la dirección IP de la interfaz de administración del y WorkSpace, a continuación, sustituya los dos últimos octetos por. `64.250` Por ejemplo, si la dirección IP de la interfaz de administración es 192.168.3.5, la dirección IP para la activación de Microsoft KMS Office es 192.168.64.250.
+ Dirección TCP a IP de salida 127.0.0.2 para DCV WorkSpaces cuando el WorkSpace host está configurado para usar un servidor proxy.
+ Las comunicaciones se originan en la dirección de bucle invertido 127.0.01.
En circunstancias normales, el WorkSpaces servicio configura estos puertos para usted. WorkSpaces Si se instala algún software de seguridad o firewall WorkSpace que bloquee alguno de estos puertos, es WorkSpace posible que no funcione correctamente o que no se pueda acceder a ellos.
### Puertos de interfaces principales
Independientemente del tipo de directorio que tenga, los siguientes puertos deben estar abiertos en la interfaz de red principal de todos ellos: WorkSpaces
+ Para la conectividad a Internet, los siguientes puertos deben estar abiertos de salida a todos los destinos y de entrada desde la WorkSpaces VPC. Debe añadirlos manualmente a su grupo de seguridad WorkSpaces si quiere que tengan acceso a Internet.
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ Para comunicarse con los controladores de directorio, los siguientes puertos deben estar abiertos entre la WorkSpaces VPC y los controladores de directorio. En el caso de un directorio Simple AD, el grupo de seguridad creado por Directory Service tendrá estos puertos configurados correctamente. En el caso de un directorio con Conector AD, es posible que tenga que ajustar el grupo de seguridad predeterminado de la VPC para abrir estos puertos.
+ TCP/UDP 53: DNS
+ TCP/UDP 88: autenticación de Kerberos
+ UDP 123: NTP
+ TCP 135: RPC
+ UDP 137-138: Netlogon
+ TCP 139: Netlogon
+ TCP/UDP 389: LDAP
+ TCP/UDP 445: SMB
+ TCP/UDP 636 - LDAPS (LDAP over TLS/SSL)
+ TCP 1024-65535: puertos dinámicos para RPC
+ TTCP 3268-3269: catálogo global
Si se instala algún software de seguridad o firewall en un puerto WorkSpace que bloquee alguno de estos puertos, es WorkSpace posible que no funcione correctamente o que no se pueda acceder a ellos.
## Requisitos de puertos y direcciones IP por región
### Este de EE. UU. (Norte de Virginia)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.us-east-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.us-east-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.us-east-1.signin.aws |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominios: https://workspaces.us-east-1.amazonaws.com |
| Agente de sesiones (PCM) | Dominios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-iad.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.us-east-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Oeste de EE. UU. (Oregón)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.us-west-2.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.us-west-2.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.us-west-2.signin.aws |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-pdx.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 34.223.96.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.us-west-2.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia-Pacífico (Mumbai)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.ap-south-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.ap-south-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Acceso web no está disponible actualmente en la región Asia Pacífico (Bombay) |
| El nombre del host de comprobación de estado | drp-bom.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | 13.126.243.0 - 13.126.243.255 |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 65.1.156.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.ap-south-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia-Pacífico (Seúl)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Métricas de dispositivos (para aplicaciones cliente 1.0\$1 y 2.0\$1) WorkSpaces | https://device-metrics-us-2.amazon.com/ |
| Métricas de clientes (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.ap-northeast-2.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.ap-northeast-2.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-icn.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 3.35.160.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.ap-northeast-2.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia-Pacífico (Singapur)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.ap-southeast-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.ap-southeast-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-sin.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 13.212.132.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.ap-southeast-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia-Pacífico (Sídney)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.ap-southeast-2.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.ap-southeast-2.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.ap-southeast-2.signin.aws |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-syd.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 3.25.248.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.ap-southeast-2.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia-Pacífico (Tokio)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más WorkSpaces ) | Dominio: https://skylight-client-ds.ap-northeast-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.ap-northeast-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.ap-northeast-1.signin.aws |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-nrt.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 3.114.164.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.ap-northeast-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Canadá (centro)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.ca-central-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.ca-central-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-yul.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 3.97.20.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.ca-central-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Europa (Fráncfort)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.eu-central-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.eu-central-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-fra.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 18.192.216.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.eu-central-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Europa (Irlanda)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.eu-west-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.eu-west-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.eu-west-1.signin.aws |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-dub.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 3.248.176.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.eu-west-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Europa (Londres)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más WorkSpaces ) | Dominio: https://skylight-client-ds.eu-west-2.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.eu-west-2.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-lhr.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 18.134.68.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.eu-west-2.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Europa (París)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/Cliente |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://skylight-client-ds.eu-west-3.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.eu-west-3.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-cdg.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 51.17.72.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.eu-west-3.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### América del Sur (São Paulo)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones cliente de 3.0 o más) WorkSpaces | Dominio: https://skylight-client-ds.sa-east-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.sa-east-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-gru.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 15.228.64.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.sa-east-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### África (Ciudad del Cabo)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Métricas de clientes (para aplicaciones WorkSpaces cliente de más de 3.0) | Dominio: https://skylight-client-ds.af-south-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.af-south-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-cpt.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 15.228.64.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.af-south-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Israel (Tel Aviv)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://d2td7dqidlhjx7.cloudfront.net/ |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Métricas de clientes (para aplicaciones WorkSpaces cliente de más de 3.0) | Dominio: https://skylight-client-ds.il-central-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.il-central-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://.awsapps.com/ (donde es el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servidores TURN de acceso web para IP PCo | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-tlv.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 51.17.72.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod.il-central-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### AWS GovCloud Región (EE. UU.-Oeste)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: h https://skylight-client-ds.us-gov-west-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.us-gov-west-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.signin.amazonaws-us-gov.com |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://login.us-gov-home.awsapps.com/directory//(dónde está el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-pdt.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod. us-gov-west-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### AWS GovCloud Región (EE. UU.-Este)
**Dominios y direcciones IP para agregar a la lista de permitidos**
| Categoría | Details |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Actualización automática del cliente | https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml |
| Comprobación de la conectividad | https://connectivity.amazonworkspaces.com/ |
| Client Metrics (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: h https://skylight-client-ds.us-gov-east-1.amazonaws.com |
| Servicio de mensajería dinámica (para aplicaciones WorkSpaces cliente de 3.0 o más) | Dominio: https://ws-client-service.us-gov-east-1.amazonaws.com |
| Configuración de directorios | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Servicio de registro de Forrester | https://fls-na.amazon.com/ |
| Servidores de comprobación de estado (DRP) | [Servidores de comprobación de estado](#health_check) |
| Puntos de conexión de autenticación con tarjeta inteligente anteriores a la sesión | https://smartcard.signin.amazonaws-us-gov.com |
| Dependencia de registro (para clientes de Web Access y Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Páginas de inicio de sesión del usuario | https://login.us-gov-home.awsapps.com/directory//(dónde está el dominio del cliente) |
| Agente de WS | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Puntos finales de la API | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Agente de sesiones (PCM) | Dominio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| El nombre del host de comprobación de estado | drp-osu.amazonworkspaces.com |
| Direcciones IP de la comprobación de estado | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIntervalos de direcciones IP públicas de servidores de puerta de enlace IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Intervalo de direcciones IP de los servidores de puerta de enlace de DCV | 18.254.148.0/22 |
| Nombre de dominio de la puerta de enlace de DCV | \$1.prod. us-gov-east-1.highlander.aws.a2z.com |
| Intervalos de direcciones IP de la interfaz de administración | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-port-requirements.html) |
# Requisitos de red de clientes de WorkSpaces Personal
Los usuarios de WorkSpaces pueden conectarse a los WorkSpaces mediante la aplicación cliente de un dispositivo compatible. De forma alternativa, pueden usar un navegador web para conectarse a los WorkSpaces que admiten esta forma de acceso. Para obtener una lista de WorkSpaces que son compatibles con el acceso mediante navegador web, consulte «¿Qué paquetes de Amazon WorkSpaces son compatibles con el acceso web?» en [Acceso de clientes, Acceso web y Experiencia de usuario](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).
**nota**
No se puede utilizar un navegador web para conectarse con los WorkSpaces de Amazon Linux.
**importante**
A partir del 1 de octubre de 2020, los clientes ya no podrán usar el cliente Acceso web de Amazon WorkSpaces para conectarse a WorkSpaces del tipo personalizado o «traiga su propia licencia (BYOL)» de Windows 7.
Para proporcionar a los usuarios una buena experiencia con los escritorios de WorkSpaces, compruebe que sus dispositivos cliente cumplen los siguientes requisitos de red:
+ El dispositivo cliente debe tener una conexión a Internet de banda ancha. Recomendamos planificar un mínimo de 1 Mbps por usuario simultáneo que vea una ventana de vídeo de 480p. En función de los requisitos de calidad de usuario para la resolución de vídeo, es posible que se requiera más ancho de banda.
+ La red a la que está conectado el dispositivo cliente y cualquier firewall que esté en el propio dispositivo cliente deben tener abiertos determinados puertos en los rangos de direcciones IP de diversos servicios de AWS. Para obtener más información, consulte [Requisitos de dirección IP y puerto para WorkSpaces Personal](workspaces-port-requirements.md).
+ Para un rendimiento óptimo de PCoIP, el tiempo de ida y vuelta (RTT) de la red del cliente a la región en la que están los espacios de trabajo debe ser inferior a 100 ms. Si el RTT está entre 100 ms y 200 ms, el usuario puede obtener acceso al WorkSpace, pero el rendimiento se reduce. Si el RTT está entre 200 ms y 375 ms, el rendimiento se degrada. Si el RTT supera los 375 ms, se interrumpe la conexión del cliente de WorkSpaces.
Para obtener el mejor rendimiento del protocolo DCV, el RTT desde la red del cliente hasta la región en la que se encuentran los escritorio de WorkSpaces debe ser inferior a 250 ms. Si el RTT está entre 250 ms y 400 ms, el usuario puede obtener acceso al WorkSpace, pero el rendimiento se reduce.
Para comprobar el RTT a las distintas regiones de AWS desde su ubicación, utilice la [comprobación de estado de conexión de Amazon WorkSpaces](https://clients.amazonworkspaces.com/Health.html).
+ Para utilizar cámaras web con DCV, recomendamos un ancho de banda de carga mínimo de 1,7 megabits por segundo.
+ Si los usuarios van a obtener acceso a un WorkSpace a través de una red privada virtual (VPN), la conexión debe permitir una unidad de transmisión máxima (MTU) de 1.200 bytes como mínimo.
**nota**
No se puede acceder a WorkSpaces a través de una VPN conectada a la nube virtual privada (VPC). Para acceder a WorkSpaces mediante una VPN, se requiere conectividad a Internet (a través de las direcciones IP públicas de la VPN), tal como se describe en [Requisitos de dirección IP y puerto para WorkSpaces Personal](workspaces-port-requirements.md).
+ Los clientes requieren acceso HTTPS a los recursos de WorkSpaces alojados en el servicio y en Amazon Simple Storage Service (Amazon S3). Los clientes no admiten el redireccionamiento proxy en el nivel de aplicaciones. Se requiere acceso HTTPS para que los usuarios puedan completar correctamente el registro y obtener acceso a los WorkSpaces.
+ Para permitir el acceso desde dispositivos de cliente cero PCoIP, debe utilizar un paquete de protocolos PCoIP para WorkSpaces. También debe habilitar el protocolo de tiempo de red (NTP) en Teradici. Para obtener más información, consulte [Configuración de clientes cero de PCoIP en WorkSpaces Personal](set-up-pcoip-zero-client.md).
Puede verificar si un dispositivo cliente satisface los requisitos de red como sigue.
## Para verificar los requisitos de red para clientes 3.0\$1
1. Abra el cliente de WorkSpaces. Si es la primera vez que abra el cliente, se le pedirá que introduzca el código de registro que recibió en el email de invitación.
1. En función del cliente que esté utilizando, realice una de las siguientes acciones.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/workspaces-network-requirements.html)
La aplicación cliente prueba la conexión de red, los puertos y el tiempo de ida y vuelta y notifica los resultados de estas pruebas.
1. Cierre el cuadro de diálogo **Network (Red)** para volver a la página de inicio de sesión.
## Para verificar los requisitos de red para clientes 1.0\$1 y 2.0\$1
1. Abra el cliente de WorkSpaces. Si es la primera vez que abra el cliente, se le pedirá que introduzca el código de registro que recibió en el email de invitación.
1. Elija **Network (Red)** en la esquina inferior derecha de la aplicación cliente. La aplicación cliente prueba la conexión de red, los puertos y el tiempo de ida y vuelta y notifica los resultados de estas pruebas.
1. Elija **Dismiss** para volver a la página de inicio de sesión.
# Límite del acceso a los dispositivos de confianza en WorkSpaces Personal
De forma predeterminada, los usuarios pueden obtener acceso a WorkSpaces desde cualquier dispositivo compatible conectado a Internet. Si en su organización se limita el acceso a datos corporativos a los dispositivos de confianza (también conocidos como dispositivos administrados), puede restringir el acceso a WorkSpaces a los dispositivos de confianza con certificados válidos.
**nota**
Por el momento, esta característica solo está disponible cuando los directorios de WorkSpaces Personal se administran mediante Directory Service, incluidos los directorios de Simple AD, AD Connector y AWS Managed Microsoft AD.
Al habilitar esta característica, WorkSpaces utiliza la autenticación basada en certificados para determinar si un dispositivo es de confianza. Si la aplicación cliente de WorkSpaces no puede verificar si un dispositivo es de confianza, bloquea los intentos de iniciar sesión o de reconectar desde el dispositivo.
Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, WorkSpaces los presenta al cliente y este busca el primer certificado coincidente válido que llega hasta uno de los certificados raíz.
**Clientes compatibles**
+ Android, que se ejecuta en sistemas Android o Chrome OS compatibles con Android
+ macOS
+ Windows
**importante**
Esta característica solo se admite en los siguientes clientes:
Aplicaciones cliente de WorkSpaces para Linux o iPad
Clientes de terceros, incluidos, entre otros, Teradici PCoIP, clientes RDP y aplicaciones de escritorio remoto.
**nota**
Al habilitar el acceso para clientes específicos, asegúrese de bloquear el acceso a otros tipos de dispositivos que no necesite. Para obtener más información sobre cómo llevar a cabo este procedimiento, consulte el paso 3.7 que se indica a continuación.
## Paso 1: Crear los certificados
Esta característica requiere dos tipos de certificados: certificados raíz generados por una entidad de certificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.
**Requisitos**
+ Los certificados raíz deben ser archivos de certificado codificados en Base64, con formato CRT, CERT o PEM.
+ Los certificados raíz deben cumplir con el siguiente patrón de expresiones regulares, lo que significa que cada línea codificada, además de la última, debe tener exactamente 64 caracteres: `-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`.
+ Los certificados deben incluir un nombre común.
+ Los certificados de dispositivo deben incluir las siguientes extensiones: `Key Usage: Digital Signature` y `Enhanced Key Usage: Client Authentication`.
+ Todos los certificados de la cadena, desde el certificado del dispositivo hasta la entidad emisora de certificados raíz de confianza, deben estar instalados en el dispositivo cliente.
+ La longitud máxima que se admite para una cadena de certificados es 4.
+ WorkSpaces no admite actualmente los mecanismos de revocación de dispositivos, por ejemplo, listas de revocación de certificados (CRL) u Online Certificate Status Protocol (OCSP), para los certificados de cliente.
+ Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA384 con ECDSA o SHA512 con ECDSA.
+ Con sistemas operativos Mac, si el dispositivo está en el llavero del sistema, recomendamos que autorice a la aplicación cliente de WorkSpaces el acceso a los certificados. De lo contrario, los usuarios tendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.
## Paso 2: Implementar certificados de cliente en los dispositivos de confianza
En los dispositivos de confianza de sus usuarios, debe instalar un paquete de certificados que incluya todos los certificados de la cadena, desde el certificado del dispositivo hasta la autoridad de certificación raíz de confianza. Puede utilizar la solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, System Center Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que SCCM y MDM pueden; opcionalmente, realizar una evaluación para determinar si los dispositivos cumplen las políticas de su organización para el acceso a WorkSpaces.
Las aplicaciones cliente de WorkSpaces buscan certificados de la siguiente manera:
+ Android: vaya a **Ajustes**, seleccione **Seguridad y ubicación**, **Credenciales** y, a continuación, **Instalar desde una tarjeta SD**.
+ Sistemas Chrome OS compatibles con Android: abra los ajustes de Android y seleccione **Seguridad y ubicación**, **Credenciales** y, a continuación, **Instalar desde una tarjeta SD**.
+ macOS: busca certificados de cliente en el llavero.
+ Windows: busca certificados de cliente en los almacenes de certificados de usuario y raíz.
## Paso 3: Configurar la restricción
Una vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir el acceso restringido en el nivel de directorio. Esto requiere que la aplicación cliente de WorkSpaces valide el certificado en un dispositivo para permitir que un usuario inicie sesión en WorkSpaces.
**Para configurar la restricción**
1. Abra la consola de WorkSpaces en [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Seleccione el directorio y después elija **Actions**, **Update Details**.
1. Amplíe **Access Control Options**.
1. En **Para cada tipo de dispositivo, especifique qué dispositivos pueden acceder a WorkSpaces**, elija **Dispositivos de confianza**.
1. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:
1. Seleccione **Importar**.
1. Copie el cuerpo del certificado en el formulario.
1. Seleccione **Importar**.
1. Especifique si otros tipos de dispositivos tienen acceso a WorkSpaces.
1. Desplácese hacia abajo hasta la sección **Other platforms (Otras plataformas)**. De forma predeterminada, los clientes de escritorios de WorkSpaces para Linux están deshabilitados, y los usuarios tienen acceso a los escritorios de WorkSpaces desde sus dispositivos de iOS, Android, Web Access, Chromebooks, así como desde sus dispositivos de cliente cero con PCoIP.
1. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar.
1. Para bloquear el acceso de todos los tipos dispositivos seleccionados, elija **Block**.
1. Elija **Update and Exit**.
# Integración de SAML 2.0 con WorkSpaces Personal
**nota**
SAML 2.0 solo está disponible cuando los directorios de WorkSpaces Personal se administran mediante Directory Service, incluidos Simple AD, AD Connector y el directorio de AWS Managed Microsoft AD. La característica no se aplica a los directorios administrados por Amazon WorkSpaces, que, por lo general, utilizan IAM Identity Center para la autenticación de usuarios en lugar de la federación SAML 2.0.
La integración de SAML 2.0 con la autenticación de sesiones de escritorio de WorkSpaces permite a los usuarios usar sus credenciales del proveedor de identidades (IdP) de SAML 2.0 y los métodos de autenticación existentes a través de su navegador web predeterminado. Al usar su IdP para autenticar a los usuarios de WorkSpaces, puede proteger los WorkSpaces con las características del IdP, como la autenticación multifactor y las políticas de acceso contextual.
## Flujo de trabajo de autenticación
En las siguientes secciones se describe el flujo de trabajo de autenticación iniciado por la aplicación cliente de WorkSpaces, WorkSpaces Acceso web y un proveedor de identidades (IdP) de SAML 2.0:
+ Cuando el IdP inicia el flujo. Por ejemplo, cuando los usuarios eligen una aplicación en el portal de usuarios del IdP en un navegador web.
+ Cuando el cliente de WorkSpaces inicia el flujo. Por ejemplo, cuando los usuarios abren la aplicación cliente e inician sesión.
+ Cuando Web Access de WorkSpaces inicia el flujo. Por ejemplo, cuando los usuarios abren Acceso web en un navegador e inician sesión.
En estos ejemplos, los usuarios acceden a `user@example.com` para iniciar sesión en el IdP. El IdP tiene una aplicación de proveedor de servicios SAML 2.0 configurada para un directorio de WorkSpaces y los usuarios están autorizados para usar la aplicación SAML 2.0 de WorkSpaces. Los usuarios crean un escritorio de WorkSpaces para sus nombres de usuario, `user`, en un directorio que está habilitado para la autenticación SAML 2.0. Además, los usuarios instalan la [aplicación cliente WorkSpaces](https://clients.amazonworkspaces.com/) en sus dispositivos o utilizan Acceso web en un navegador web.
**Flujo iniciado por el proveedor de identidades (IdP) con la aplicación cliente**
El flujo iniciado por el IdP permite a los usuarios registrar automáticamente la aplicación cliente de WorkSpaces en sus dispositivos sin tener que introducir un código de registro de WorkSpaces. Los usuarios no inician sesión en sus WorkSpaces mediante el flujo iniciado por el IdP. La autenticación de WorkSpaces debe originarse en la aplicación cliente.
1. Con su navegador web, los usuarios inician sesión en el IdP.
1. Tras iniciar sesión en el IdP, los usuarios eligen la aplicación WorkSpaces en el portal de usuario del IdP.
1. Los usuarios son redirigidos a esta página en el navegador y la aplicación cliente WorkSpaces se abre automáticamente.
![\[Abrir la página de redireccionamiento de aplicaciones de WorkSpaces\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/saml-redir.png)
1. La aplicación cliente de WorkSpaces ya está registrada y los usuarios pueden seguir iniciando sesión haciendo clic en **Seguir para iniciar sesión en WorkSpaces**.
**Flujo iniciado por el proveedor de identidades (IdP) con Acceso web**
El flujo de Acceso web iniciado por el IdP permite a los usuarios registrar automáticamente la aplicación cliente de WorkSpaces en sus dispositivos sin tener que introducir un código de registro de WorkSpaces. Los usuarios no inician sesión en sus WorkSpaces mediante el flujo iniciado por el IdP. La autenticación de WorkSpaces debe originarse en Acceso web.
1. Con su navegador web, los usuarios inician sesión en el IdP.
1. Tras iniciar sesión en el IdP, los usuarios hacen clic en la aplicación WorkSpaces en el portal de usuario del IdP.
1. Los usuarios son redirigidos a esta página en el navegador. Para abrir WorkSpaces, elija **Amazon WorkSpaces en el navegador**.
![\[Abrir la página de redireccionamiento de aplicaciones de WorkSpaces\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/saml-redir.png)
1. La aplicación cliente de WorkSpaces ya está registrada y los usuarios pueden seguir iniciando sesión a través de WorkSpaces Acceso web.
**Flujo iniciado por el cliente de WorkSpaces**
El flujo iniciado por el cliente permite a los usuarios iniciar sesión en sus WorkSpaces después de iniciar sesión en un IdP.
1. Los usuarios inician la aplicación cliente de WorkSpaces (si aún no se está ejecutando) y hacen clic en **Seguir para iniciar sesión en WorkSpaces**.
1. Los usuarios son redirigidos a su navegador web predeterminado para iniciar sesión en el IdP. Si los usuarios ya han iniciado sesión en el IdP en su navegador, no necesitan volver a iniciar sesión y se saltarán este paso.
1. Una vez que hayan iniciado sesión en el IdP, los usuarios son redirigidos a una ventana emergente. Siga las instrucciones para permitir que su navegador web abra la aplicación cliente.
![\[Abra el mensaje de la aplicación cliente.\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/saml-open-client-app.png)
1. Los usuarios son redirigidos a la aplicación cliente de WorkSpaces para completar el inicio de sesión en su WorkSpace. Los nombres de usuario de WorkSpaces se rellenan automáticamente a partir de la aserción SAML 2.0 del IdP. Al utilizar la [autenticación basada en certificados (CBA)](certificate-based-authentication.md), los usuarios inician sesión automáticamente.
1. Los usuarios han iniciado sesión en su escritorio de WorkSpaces.
**Flujo iniciado por WorkSpaces Acceso web**
El flujo iniciado por Acceso web permite a los usuarios iniciar sesión en sus WorkSpaces después de iniciar sesión en un IdP.
1. Los usuarios inician WorkSpaces Acceso web y eligen **Iniciar sesión**.
1. En la misma pestaña del navegador, los usuarios son redirigidos al portal de IdP. Si los usuarios ya han iniciado sesión en el IdP en su navegador, no necesitan volver a iniciar sesión y se saltarán este paso.
1. Una vez que han iniciado sesión en el IdP, se redirige a los usuarios a esta página en el navegador, donde hacen clic en **Iniciar sesión en WorkSpaces**.
1. Los usuarios son redirigidos a la aplicación cliente de WorkSpaces para completar el inicio de sesión en su WorkSpace. Los nombres de usuario de WorkSpaces se rellenan automáticamente a partir de la aserción SAML 2.0 del IdP. Al utilizar la [autenticación basada en certificados (CBA)](certificate-based-authentication.md), los usuarios inician sesión automáticamente.
1. Los usuarios han iniciado sesión en su escritorio de WorkSpaces.
# Configurar SAML 2.0 para personal WorkSpaces
Habilite el registro de las aplicaciones WorkSpaces cliente y el inicio de sesión WorkSpaces para sus usuarios mediante sus credenciales de proveedor de identidad (IdP) de SAML 2.0 y sus métodos de autenticación configurando la federación de identidades mediante SAML 2.0. Para configurar la federación de identidades mediante SAML 2.0, usa un rol de IAM y una URL de estado de retransmisión para configurar tu IdP y habilitarlo. AWS Esto permite a los usuarios federados acceder a un directorio. WorkSpaces El estado de retransmisión es el punto final del WorkSpaces directorio al que se redirige a los usuarios después de iniciar AWS sesión correctamente.
**Topics**
+ [Requisitos](#setting-up-saml-requirements)
+ [Requisitos previos](#setting-up-saml-prerequisites)
+ [Paso 1: Crear un proveedor de identidades SAML en IAM AWS](#create-saml-identity-provider)
+ [Paso 2: crear un rol de IAM de federación de SAML 2.0](#create-saml-iam-role)
+ [Paso 3: incrustar una política en línea para el rol de IAM](#embed-inline-policy)
+ [Paso 4: configurar el proveedor de identidades de SAML 2.0](#configure-saml-id-provider)
+ [Paso 5: crear declaraciones para la respuesta de autenticación SAML](#create-assertions-saml-auth)
+ [Paso 6: configurar el estado de retransmisión de la federación](#configure-relay-state)
+ [Paso 7: Habilita la integración con SAML 2.0 en tu directorio WorkSpaces](#enable-integration-saml)
## Requisitos
+ La autenticación SAML 2.0 está disponible en las siguientes regiones:
+ Región Este de EE. UU. (Norte de Virginia)
+ Región del Oeste de EE. UU (Oregón)
+ Región África (Ciudad del Cabo)
+ Región de Asia-Pacífico (Mumbai)
+ Región de Asia-Pacífico (Seúl)
+ Región de Asia-Pacífico (Singapur)
+ Región de Asia-Pacífico (Sídney)
+ Región de Asia-Pacífico (Tokio)
+ Región de Canadá (centro)
+ Región de Europa (Fráncfort)
+ Región de Europa (Irlanda)
+ Región de Europa (Londres)
+ Región de América del Sur (São Paulo)
+ Región Israel (Tel Aviv)
+ AWS GovCloud (EE. UU.-Oeste)
+ AWS GovCloud (EE. UU.-Este)
+ Para utilizar la autenticación SAML 2.0 con WorkSpaces, el IdP debe admitir el SSO iniciado por un IdP no solicitado con un recurso de destino de enlace profundo o una URL de punto final de estado de retransmisión. Algunos ejemplos IdPs son ADFS, Azure AD, Duo Single Sign-On, Okta y. PingFederate PingOne Para obtener más información, consulte la documentación de su IdP.
+ La autenticación SAML 2.0 funcionará si se WorkSpaces inicia con Simple AD, pero no se recomienda porque Simple AD no se integra con SAML 2.0. IdPs
+ La autenticación SAML 2.0 se admite en los siguientes clientes. WorkSpaces Otras versiones de los clientes no son compatibles con la autenticación SAML 2.0. Abre Amazon WorkSpaces [Client Downloads](https://clients.amazonworkspaces.com/) para encontrar las versiones más recientes:
+ Aplicación cliente de Windows (versión 5.1.0.3029 o posterior)
+ Cliente para macOS (versión 5.x o posterior)
+ Cliente Linux para Ubuntu 22.04, versión 2024.1 o posterior, Ubuntu 20.04, versión 24.1 o posterior
+ Acceso web
Las demás versiones del cliente no podrán conectarse a la autenticación WorkSpaces habilitada para SAML 2.0 a menos que esté habilitada la opción alternativa. Para obtener más información, consulte [Habilitar la autenticación SAML 2.0 en el directorio](https://d1.awsstatic.com/workspaces-saml-guide.pdf). WorkSpaces
Para step-by-step obtener instrucciones sobre cómo integrar SAML 2.0 WorkSpaces con ADFS, Azure AD, Duo Single Sign-On, Okta PingFederate y PingOne para empresas, consulte la OneLogin Guía de implementación de la autenticación de [Amazon WorkSpaces ](https://d1.awsstatic.com/workspaces-saml-guide.pdf) SAML.
## Requisitos previos
Complete los siguientes requisitos previos antes de configurar la conexión del proveedor de identidad (IdP) de SAML 2.0 a un directorio. WorkSpaces
1. Configure su IdP para integrar las identidades de usuario del Microsoft Active Directory que se utiliza con el WorkSpaces directorio. En el caso de un usuario con a WorkSpace, **los atributos de AMAccount nombre** y **correo electrónico** del usuario de Active Directory y los valores de notificación de SAML deben coincidir para que el usuario inicie sesión WorkSpaces con el IdP. Para obtener más información sobre la integración de Active Directory con el IdP, consulte la documentación del IdP.
1. Configure el IdP para establecer una relación de confianza con AWS.
+ Consulte [Integrar proveedores de soluciones SAML de terceros AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) para obtener más información sobre la configuración de la federación. AWS Los ejemplos relevantes incluyen la integración del IdP con AWS IAM para acceder a la AWS consola de administración.
+ Use su IdP para generar y descargar un documento de metadatos de federación que describa su organización como proveedor de identidades. Este documento XML firmado se utiliza para establecer la relación de confianza. Guarde este archivo en una ubicación a la que pueda acceder desde la consola de IAM en otro momento.
1. Cree o registre un directorio WorkSpaces mediante la consola de WorkSpaces administración. Para obtener más información, consulte [Administrar directorios para WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). La autenticación SAML 2.0 para WorkSpaces se admite en los siguientes tipos de directorios:
+ Conector de AD
+ AWS Microsoft AD gestionado
1. Cree una WorkSpace para un usuario que pueda iniciar sesión en el IdP mediante un tipo de directorio compatible. Puede crear una WorkSpace mediante la consola WorkSpaces de administración o AWS CLI la WorkSpaces API. Para obtener más información, consulte [Lanzar un escritorio virtual mediante WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html).
## Paso 1: Crear un proveedor de identidades SAML en IAM AWS
En primer lugar, cree un IdP de SAML en IAM. AWS Este IdP define la relación entre el IDP y la AWS confianza de su organización mediante el documento de metadatos generado por el software de IdP de su organización. Para obtener más información, consulte [Creación y administración de un proveedor de identidades de SAML (consola de administración de Amazon Web Services)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Para obtener información sobre cómo trabajar con SAML IdPs en AWS GovCloud (EE. UU. Oeste) y AWS GovCloud (EE. UU. Este), consulte [AWS Identity and Access Management](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html).
## Paso 2: crear un rol de IAM de federación de SAML 2.0
A continuación, creará un rol de IAM de federación de SAML 2.0. Este paso se establece una relación de confianza entre IAM y el proveedor de identidades de su organización, que identifica el proveedor de identidades como una entidad de confianza para la federación.
Para crear un rol de IAM para el IdP de SAML
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Roles** > **Crear rol**.
1. Para **Tipo de rol**, seleccione **Federación con SAML 2.0**.
1. Para **Proveedor de SAML**, seleccione el IdP de SAML que ha creado.
**importante**
No elija ninguno de los dos métodos de acceso de SAML 2.0 (**Permitir solo acceso mediante programación** o **Permitir acceso mediante programación y mediante la consola de administración de Amazon Web Services**).
1. Para **Attribute**, elija **SAML:sub\$1type**.
1. En **Valor**, ingrese `persistent`. Este valor restringe el acceso del rol a solicitudes de transmisión de usuario de SAML que incluyan una aserción de tipo de sujeto de SAML con un valor de persistent. Si SAML:sub\$1type es persistente, el IdP envía el mismo valor único para el elemento NameID en todas las solicitudes de SAML desde un usuario particular. [Para obtener más información sobre la afirmación SAML:sub\$1type, consulta la sección Cómo **identificar de forma exclusiva a los usuarios en la federación basada en SAML en Cómo utilizar la federación basada en SAML** para el acceso a la API. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
1. Revise su información de confianza de SAML 2.0, confirmando la entidad de confianza y la condición correctas y, a continuación, elija **Siguiente: Permisos**.
1. En la página **Asociar políticas de permisos**, seleccione **Siguiente: Etiquetas**.
1. (Opcional) Especifique una clave y un valor para cada etiqueta que desee añadir. Para obtener más información, consulte [Etiquetado de usuarios y roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).
1. Cuando haya terminado, seleccione **Siguiente: Revisar**. Posteriormente, creará e incrustará una política en línea para este rol.
1. En **Nombre del rol**, introduzca un nombre de rol que le sea útil para identificar su propósito. Dado que múltiples entidades pueden hacer referencia al rol, no se puede editar el nombre del rol una vez que se haya creado.
1. (Opcional) En **Descripción del rol**, escriba una descripción para el nuevo rol.
1. Revise los detalles del rol y seleccione **Crear rol**.
1. Añada el permiso sts: TagSession a la política de confianza de su nueva función de IAM. Para obtener más información, consulte [Transferencia de etiquetas de sesión en AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). En la página de detalles del nuevo rol de IAM, seleccione la pestaña **Relaciones de confianza** y, a continuación, seleccione **Editar la relación de confianza**. Cuando se abra el editor de políticas de Editar relaciones de confianza, añada el permiso **sts: TagSession \$1** de la siguiente manera:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
------
Sustituya `IDENTITY-PROVIDER` por el nombre del IdP de SAML que ha creado en el paso 1. A continuación, seleccione **Actualizar la política de confianza**.
## Paso 3: incrustar una política en línea para el rol de IAM
A continuación, incruste una política de IAM en línea para el rol que ha creado. Al incrustar una política en línea, los permisos en la política no se pueden asociar de forma accidental a una entidad principal incorrecta. La política en línea proporciona a los usuarios federados acceso al WorkSpaces directorio.
**importante**
Esta acción no admite políticas de IAM para gestionar el acceso en AWS función de la IP de origen. `workspaces:Stream` Para administrar los controles de acceso IP WorkSpaces, utilice los [grupos de control de acceso IP](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html). Además, al usar la autenticación de SAML 2.0, puede usar políticas de control de acceso IP si están disponibles en el IdP de SAML 2.0.
1. En los detalles del rol de IAM que ha creado, seleccione la pestaña **Permisos** y, a continuación, añada los permisos necesarios a la política de permisos del rol. Se inicia el **Asistente de creación de políticas**.
1. En **Crear política**, elija la pestaña **JSON**.
1. Copie y pegue la siguiente política JSON en la ventana de JSON. A continuación, modifique el recurso introduciendo el código de AWS región, el identificador de cuenta y el identificador de directorio. En la siguiente política, `"Action": "workspaces:Stream"` es la acción que proporciona a WorkSpaces los usuarios permisos para conectarse a sus sesiones de escritorio en el WorkSpaces directorio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "workspaces:Stream",
"Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
"Condition": {
"StringEquals": {
"workspaces:userId": "${saml:sub}"
}
}
}
]
}
```
------
`REGION-CODE`Sustitúyala por la AWS región en la que se encuentra tu WorkSpaces directorio. `DIRECTORY-ID`Sustitúyalo por el identificador del WorkSpaces directorio, que se encuentra en la consola WorkSpaces de administración. Para los recursos en AWS GovCloud (EE. UU. Oeste) o AWS GovCloud (EE. UU. Este), utilice el siguiente formato para el ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`
1. Cuando haya terminado, elija **Revisar política**. El [validador de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) notificará los errores de sintaxis.
## Paso 4: configurar el proveedor de identidades de SAML 2.0
[A continuación, en función del IdP de SAML 2.0, es posible que tengas que actualizar manualmente tu IdP para que sea AWS confiable como proveedor de servicios cargando `saml-metadata.xml` el archivo saml-metadata.xml a https://signin.aws.amazon.com/static/ tu IdP.](https://signin.aws.amazon.com/static/saml-metadata.xml) En este paso se actualizan los metadatos de su proveedor de identidades. En el caso de algunos IdPs, es posible que la actualización ya esté configurada. En tal caso, continúe en el paso siguiente.
Si esta actualización aún no está configurada en su IdP, revise la documentación facilitada por su proveedor de identidad para obtener información acerca de cómo actualizar los metadatos. Algunos proveedores ofrecen la opción de escribir la URL y de que el IdP obtenga e instale el archivo automáticamente. Otros requieren que descargue el archivo de la URL y, a continuación, lo proporcione como archivo local.
**importante**
En este momento, también puede autorizar a los usuarios de su IdP a acceder a la WorkSpaces aplicación que ha configurado en su IdP. A los usuarios que están autorizados a acceder a la WorkSpaces aplicación de su directorio no se les WorkSpace crea automáticamente una. Del mismo modo, los usuarios que hayan WorkSpace creado una para ellos no están autorizados automáticamente a acceder a la WorkSpaces aplicación. Para conectarse correctamente a una autenticación WorkSpace mediante SAML 2.0, el IdP debe autorizar al usuario y tener WorkSpace un creado.
**nota**
Si sus usuarios finales cambian con frecuencia entre varias identidades de WorkSpaces usuario diferentes mientras utilizan el mismo proveedor de identidades (IdP) de SAML 2.0, asegúrese de que su IdP esté configurado para forzar la autenticación ForceAuthn () en cada intento de inicio de sesión. Esto evita que su IdP vuelva a utilizar una sesión de SSO existente, lo que podría provocar errores de autenticación cuando los usuarios cambien a otra. WorkSpace Consulte la documentación de su IdP para obtener instrucciones sobre cómo habilitar la configuración ForceAuthn (o una equivalente).
## Paso 5: crear declaraciones para la respuesta de autenticación SAML
A continuación, configure la información que su IdP envía AWS como atributos de SAML en su respuesta de autenticación. Según su IdP, ya está configurado, omita este paso y continúe con el [Paso 6: configurar el estado de retransmisión de su federación](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state).
Si esta información no está configurada en su IdP, proporcione lo siguiente:
+ **NameID del sujeto de SAML**: el identificador único del usuario que está iniciando sesión. El valor debe coincidir con el nombre WorkSpaces de usuario y, por lo general, es el atributo **s AMAccount Name** del usuario de Active Directory.
+ **Tipo de sujeto de SAML** (con un valor establecido en `persistent`): al establecer el valor en `persistent` se garantiza que el IdP envíe el mismo valor único para el elemento `NameID` en todas las solicitudes de SAML de un usuario particular. Asegúrese de que su política de IAM incluya una condición para permitir solo las solicitudes de SAML con un SAML sub\$1type configurado como `persistent`, tal como se describe en [Paso 2: crear un rol de IAM de federación de SAML 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms).
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/Role`**: este elemento incluye uno o varios elementos `AttributeValue` que enumera el rol de IAM y el IdP de SAML a los que el IdP ha asignado al usuario. El rol y el IdP se especifican como un par delimitado por comas de. ARNs Un ejemplo del valor esperado es `arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`elemento con el `Name` atributo establecido** en`https://aws.amazon.com/SAML/Attributes/RoleSessionName`: este elemento contiene un `AttributeValue` elemento que proporciona un identificador para las credenciales AWS temporales que se emiten para el SSO. El valor del elemento `AttributeValue` debe tener entre 2 y 64 caracteres, solo puede contener caracteres alfanuméricos, guiones bajos y los siguientes caracteres: **\$1 . : / = \$1 - @**. No puede contener espacios. Normalmente, el valor es una dirección de correo electrónico o un nombre principal de un usuario (UPN). No debe ser un valor que contenga un espacio, como el nombre visible de un usuario.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`**: este elemento incluye un elemento `AttributeValue` que proporciona la dirección de correo electrónico del usuario. El valor debe coincidir con la dirección WorkSpaces de correo electrónico del usuario definida en el WorkSpaces directorio. Los valores de las etiquetas pueden incluir combinaciones de letras, números, espacios y caracteres **\$1 . : / = \$1 - @**. Para obtener más información, consulte [Reglas para etiquetar en IAM y AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) en la *Guía del usuario de IAM*.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` (opcional)**: este elemento contiene un elemento `AttributeValue` que proporciona el `userPrincipalName` de Active Directory del usuario que inicia sesión. El formato del valor que proporcione debe ser `username@domain.com`. Este parámetro se usa con la autenticación basada en certificados como nombre alternativo del sujeto en el certificado del usuario final. Para obtener más información, consulte Autenticación basada en certificados.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` (opcional)**: este elemento contiene un elemento `AttributeValue` que proporciona el identificador de seguridad (SID) de Active Directory del usuario que inicia sesión. Este parámetro se usa con la autenticación basada en certificados para permitir una asignación firme con el usuario de Active Directory. Para obtener más información, consulte Autenticación basada en certificados.
+ **Elemento `Attribute` con el atributo `Name` configurado como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` (opcional)**: este elemento contiene un elemento `AttributeValue` que proporciona un formato de nombre de usuario alternativo. Utilice este atributo si tiene casos de uso que requieren formatos de nombre de usuario como `corp\username``corp.example.com\username`, o `username@corp.example.com` para iniciar sesión con el WorkSpaces cliente. Las claves y los valores de las etiquetas puede incluir cualquier combinación de letras, números, espacios y los caracteres **\$1 : / . \$1 = @ -**. Para obtener más información, consulte [Reglas para etiquetar en IAM y AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) en la *Guía del usuario de IAM*. Para reclamar los formatos `corp\username` o `corp.example.com\username`, sustituya **\$1** por **/** en la aserción SAML.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/:Domain PrincipalTag (opcional): este elemento contiene un elemento `AttributeValue` que proporciona el nombre de dominio** completo (FQDN) de DNS de Active Directory para que los usuarios inicien sesión. Este parámetro se usa con la autenticación basada en certificados cuando el `userPrincipalName` de Active Directory del usuario contiene un sufijo alternativo. El valor debe proporcionarse en `domain.com`, incluidos los subdominios.
+ **`Attribute`elemento con el `Name` atributo establecido en https://aws.amazon.com/SAML/ Attributes/ SessionDuration (opcional)**: este elemento contiene un `AttributeValue` elemento que especifica el tiempo máximo que una sesión de streaming federada de un usuario puede permanecer activa antes de que sea necesario volver a autenticarse. El valor predeterminado es de 3600 segundos (60 minutos). Para obtener más información, consulte la [`SessionDurationAttribute` de SAML](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration).
**nota**
Aunque `SessionDuration` es un atributo opcional, se recomienda incluirlo en la respuesta de SAML. Si no especificas este atributo, la duración de la sesión se establece en un valor predeterminado de 3600 segundos (60 minutos). WorkSpaces Las sesiones de escritorio se desconectan una vez expirada la duración de la sesión.
Para obtener más información acerca de cómo configurar estos elementos, consulte [Configuración de aserciones SAML para la respuesta de autenticación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) en la *Guía del usuario de IAM*. Para obtener información sobre los requisitos de configuración específicos de su IdP, consulte la documentación de su IdP.
## Paso 6: configurar el estado de retransmisión de la federación
A continuación, utilice su IdP para configurar el estado de retransmisión de su federación para que apunte a la URL del estado de retransmisión del WorkSpaces directorio. Tras la correcta autenticación AWS, se dirige al usuario al punto final del WorkSpaces directorio, definido como el estado de retransmisión en la respuesta de autenticación SAML.
Este es el formato de la URL del estado de retransmisión:
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
Cree la URL del estado de retransmisión a partir del código de registro del WorkSpaces directorio y el punto final del estado de retransmisión asociado a la región en la que se encuentra el directorio. El código de registro se encuentra en la consola WorkSpaces de administración.
Si lo prefiere, si utiliza la redirección entre regiones WorkSpaces, puede sustituir el código de registro por el nombre de dominio completo (FQDN) asociado a los directorios de las regiones principal y de conmutación por error. Para obtener más información, consulta [Redireccionamiento entre regiones para Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Cuando se utiliza el redireccionamiento entre regiones y la autenticación SAML 2.0, los directorios principal y de conmutación por error deben estar habilitados para la autenticación SAML 2.0 y configurarse de forma independiente con el IdP, mediante el punto de conexión de estado de retransmisión asociado a cada región. Esto permitirá configurar correctamente el FQDN cuando los usuarios registren sus aplicaciones WorkSpaces cliente antes de iniciar sesión, y permitirá a los usuarios autenticarse durante un evento de conmutación por error.
En la siguiente tabla se enumeran los puntos finales del estado de retransmisión de las regiones en las que está disponible la autenticación WorkSpaces SAML 2.0.
**Regiones en las que está WorkSpaces disponible la autenticación SAML 2.0**
| Region | Punto de conexión del estado de retransmisión |
| --- | --- |
| Región Este de EE. UU. (Norte de Virginia) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html) |
| Región del Oeste de EE. UU (Oregón) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html) |
| Región África (Ciudad del Cabo) | workspaces.euc-sso.us-east-1.aws.amazon.com |
| Región de Asia-Pacífico (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com |
| Región de Asia-Pacífico (Seúl) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com |
| Región de Asia-Pacífico (Singapur) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com |
| Región de Asia-Pacífico (Sídney) | workspaces.euc-sso.ap-southeast-1.aws.amazon.com |
| Región de Asia-Pacífico (Tokio) | workspaces.euc-sso.ap-northeast-2.aws.amazon.com |
| Región de Canadá (centro) | workspaces.euc-sso.us-east-1.aws.amazon.com |
| Región de Europa (Fráncfort) | workspaces.euc-sso.eu-central-1.aws.amazon.com |
| Región de Europa (Irlanda) | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| Región de Europa (Londres) | workspaces.euc-sso.eu-west-1.aws.amazon.com |
| Región de América del Sur (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com |
| Región Israel (Tel Aviv) | workspaces.euc-sso.il-central-1.aws.amazon.com |
| AWS GovCloud (EE. UU.-Oeste) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html) Para obtener más información, consulta la *Guía del usuario WorkSpaces de [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EE. UU.)*. |
| AWS GovCloud (Este de EE. UU.) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html) Para obtener más información, consulta la *Guía del usuario WorkSpaces de [Amazon](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EE. UU.)*. |
Con un flujo iniciado por un proveedor de identidades (IdP), puede optar por especificar el cliente que desea usar para la federación de SAML 2.0. Para ello, especifique `native` o `web` al final de la URL del estado de retransmisión, después de `&client=`. Si el parámetro se especifica en una URL de estado de retransmisión, las sesiones correspondientes se iniciarán automáticamente en el cliente especificado.
## Paso 7: Habilita la integración con SAML 2.0 en tu directorio WorkSpaces
Puede usar la WorkSpaces consola para habilitar la autenticación SAML 2.0 en el WorkSpaces directorio.
**Para activar la integración con SAML 2.0**
1. [Abre la WorkSpaces consola en la versión 2/homehttps://console.aws.amazon.com/workspaces/.](https://console.aws.amazon.com/workspaces/v2/home)
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Elija el ID de directorio para su. WorkSpaces
1. En **Autenticación**, elija **Editar**.
1. Seleccione **Editar proveedor de identidad de SAML 2.0**.
1. Seleccione **Habilitar la autenticación SAML**.
1. En ** URL de acceso del usuario** y **Nombre del parámetro de enlace profundo del IdP**, introduzca los valores aplicables a su IdP y a la aplicación que ha configurado en el paso 1. El valor predeterminado del nombre del parámetro de enlace profundo del IdP es RelayState «» si se omite este parámetro. En la siguiente tabla se enumeran las URL de acceso de los usuarios y los nombres de los parámetros que son exclusivos de los distintos proveedores de identidad de las aplicaciones.
**Dominios y direcciones IP para agregar a la lista de permitidos**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/setting-up-saml.html)
El proveedor suele definir la URL de acceso del usuario para el SSO iniciado por un IdP no solicitado. Un usuario puede introducir esta URL en un navegador web para federarse directamente con la aplicación SAML. Para probar la URL de acceso del usuario y los valores de los parámetros de su IdP, elija **Probar**. Copie y pegue la URL de prueba en una ventana privada de su navegador actual o de otro navegador para probar el inicio de sesión con SAML 2.0 sin interrumpir la sesión actual de la consola AWS de administración. Cuando se abra el flujo iniciado por el IdP, podrá registrar a su WorkSpaces cliente. Para obtener más información, consulte [Flujo iniciado por el proveedor de identidades (IdP)](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).
1. Para administrar la configuración alternativa, active o desactive **Permitir que los clientes que no sean compatibles con SAML 2.0 inicien sesión**. Active esta configuración para seguir proporcionando a sus usuarios el acceso al WorkSpaces uso de tipos de clientes o versiones que no sean compatibles con SAML 2.0 o si los usuarios necesitan tiempo para actualizar a la última versión del cliente.
**nota**
Esta configuración permite a los usuarios omitir SAML 2.0 e iniciar sesión mediante la autenticación de directorio con versiones de cliente anteriores.
1. Para usar SAML con el cliente web, habilite Acceso web. Para obtener más información, consulte [Habilitar y configurar Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**nota**
PCoWeb Access no admite IP con SAML.
1. Seleccione **Save**. Su WorkSpaces directorio ahora está habilitado con la integración de SAML 2.0. Puede utilizar los flujos iniciados por el IdP y por la aplicación cliente para registrar las aplicaciones WorkSpaces cliente e iniciar sesión en ellas. WorkSpaces
# Autenticación basada en certificados y personal WorkSpaces
Puede utilizar la autenticación basada en certificados WorkSpaces para eliminar la solicitud de usuario de la contraseña del dominio de Active Directory. Al usar la autenticación basada en certificados con su dominio de Active Directory, puede:
+ Confiar en su proveedor de identidades SAML 2.0 para autenticar al usuario y proporcionar declaraciones de SAML que coincidan con las del usuario de Active Directory.
+ Crear una experiencia de inicio de sesión único con menos solicitudes al usuario.
+ Habilitar los flujos de autenticación sin contraseña con su proveedor de identidades SAML 2.0.
La autenticación basada en certificados utiliza los AWS Private CA recursos de su cuenta. AWS AWS Private CApermite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las de raíz y subordinada. CAs Con élAWS Private CA, puede crear su propia jerarquía de entidades de certificación y emitir certificados con ella para autenticar a los usuarios internos. Para obtener más información, consulte la [Guía del usuario de AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
Cuando se utilice AWS Private CA para la autenticación basada en certificados, WorkSpaces solicitará los certificados para sus usuarios automáticamente durante la autenticación de la sesión. Autentica a los usuarios en Active Directory con una tarjeta inteligente virtual proporcionada con los certificados.
La autenticación basada en certificados es compatible con paquetes de Windows WorkSpaces on DCV que utilizan las aplicaciones cliente de WorkSpaces Web Access, Windows y macOS más recientes. Abre las [descargas de Amazon WorkSpaces Client](https://clients.amazonworkspaces.com/) para encontrar las versiones más recientes:
+ Cliente de Windows (versión 5.5.0 o posterior)
+ Cliente para macOS (versión 5.6.0 o posterior)
Para obtener más información sobre la configuración de la autenticación basada en certificados con Amazon WorkSpaces, consulte [Cómo configurar la autenticación basada en certificados para Amazon WorkSpaces](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/) y [Consideraciones de diseño en entornos altamente regulados para la autenticación basada en certificados](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/) con aplicaciones y. WorkSpaces WorkSpaces
## Requisitos previos
Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.
1. Configure su WorkSpaces directorio con la integración de SAML 2.0 para utilizar la autenticación basada en certificados. Para obtener más información, consulte [WorkSpacesIntegración con](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html) SAML 2.0.
1. Configurar el atributo `userPrincipalName` en su declaración de SAML. Para obtener más información, consulte [Crear declaraciones para la respuesta de autenticación SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).
1. Configurar el atributo `ObjectSid` en su declaración de SAML. Esto es necesario para realizar un mapeo fuerte al usuario de Active Directory. La autenticación basada en certificados fallará si el atributo no coincide con el identificador de seguridad (SID) de Active Directory para el usuario especificado en SAML\$1Subject `NameID`. Para obtener más información, consulte [Crear declaraciones para la respuesta de autenticación SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).
**nota**
Según [Microsoft KB5 014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16), el `ObjectSid` atributo será obligatorio para la autenticación basada en certificados después del 10 de septiembre de 2025.
1. Añada el TagSession permiso [sts:](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) a la política de confianza de roles de IAM utilizada con su configuración de SAML 2.0 si aún no está presente. Este permiso es necesario para usar la autenticación basada en certificados. Para obtener más información, consulte [Crear un rol de IAM de federación SAML 2.0.](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role).
1. Cree una autoridad de certificación (CA) privada utilizando AWS Private CA si no tiene ninguna configurada en su Active Directory. AWS Private CAes necesario para utilizar la autenticación basada en certificados. Para obtener más información, [consulte Planear la AWS Private CA implementación](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html) y siga las instrucciones para configurar una CA para la autenticación basada en certificados. Los siguientes AWS Private CA ajustes son los más comunes para los casos de uso de la autenticación basada en certificados:
1. Opciones de tipo de CA
1. Modo de uso de CA con certificados de corta duración (se recomienda si la CA solo emite certificados de usuario final para la autenticación basada en certificados)
1. Jerarquía de un solo nivel con una CA raíz (también puede elegir una CA subordinada si quiere integrarla con una jerarquía de CA existente)
1. Opciones de algoritmos de clave: RSA 2048
1. Opciones de nombre distintivo por asunto: utilice la combinación de opciones más adecuada para identificar la CA en el almacén de entidades emisoras de certificados raíz de confianza de Active Directory.
1. Opciones de revocación de certificados: distribución de CRL
**nota**
La autenticación basada en certificados requiere un punto de distribución de CRL en línea al que se pueda acceder tanto desde los escritorios como desde el controlador de dominio. Esto requiere un acceso no autenticado al depósito de Amazon S3 configurado para las entradas privadas de la CRL de CA o a una CloudFront distribución que tendrá acceso al depósito de S3 si bloquea el acceso público. Para obtener más información sobre estas opciones, consulte [Planificación de una lista de revocación de certificados (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa).
1. Etiquete su CA privada con una clave `euc-private-ca` que permita designar la CA para su uso con la autenticación basada en certificados. Esta clave no requiere ningún valor. Para obtener más información, consulte [Administrar las etiquetas de su CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html).
1. La autenticación basada en certificados utiliza tarjetas inteligentes virtuales para iniciar sesión. Siguiendo las [directrices para habilitar el inicio de sesión con tarjetas inteligentes con entidades emisoras de certificados de terceros](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) en Active Directory, lleve a cabo los siguientes pasos:
+ Configure los controladores de dominio con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes. Si tiene una CA empresarial de Active Directory Certificate Services configurada en su Active Directory, los controladores de dominio se inscriben automáticamente con certificados para permitir el inicio de sesión con tarjeta inteligente. Si no tiene los Servicios de certificados de Active Directory, consulte [Requirements for domain controller certificates from a third-party CA](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). Puede crear un certificado de controlador de dominio con AWS Private CA. Si lo hace, no utilice una CA privada configurada para certificados de corta duración.
**nota**
Si lo está utilizandoAWS Managed Microsoft AD, puede configurar los servicios de certificación en una EC2 instancia para cumplir con el requisito de los certificados de controlador de dominio. Consulte, [AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)por ejemplo, las implementaciones de servicios de certificados AWS Managed Microsoft AD configurados con Active Directory. AWSLa CA privada se puede configurar como una entidad subordinada a la CA de los servicios de certificados de Active Directory o se puede configurar como su propia raíz cuando se utiliza. AWS Managed Microsoft AD
Una tarea de configuración adicional con AWS Managed Microsoft AD los Servicios de certificados de Active Directory consiste en crear reglas de salida desde el grupo de seguridad de VPC del controlador hasta la instancia que ejecuta los Servicios de certificados, lo que permite que EC2 los puertos TCP 135 y 49152-65535 habiliten la inscripción automática de certificados. Además, la EC2 instancia en ejecución debe permitir el acceso entrante a los mismos puertos desde las instancias de dominio, incluidos los controladores de dominio. Para obtener más información sobre la ubicación del grupo de seguridad, AWS Managed Microsoft AD consulte [Configurar las subredes y grupos de seguridad de la VPC](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).
+ En la AWS Private CA consola o mediante el SDK o la CLI, seleccione su CA y, en el certificado de CA, exporte el certificado privado de CA. Para obtener más información, consulte [Exportación de un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
+ Publique la CA en Active Directory. Inicie sesión en un controlador de dominio o en una máquina asociada a un dominio. Copie el certificado de CA privado en cualquier `\` y ejecute los siguientes comandos como administrador de dominio. Como alternativa, puede utilizar la política de grupo y la herramienta Microsoft PKI Health Tool (PKIView) para publicar la CA. Para obtener más información, consulte [Configuration instructions](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).
```
certutil -dspublish -f \ RootCA
certutil -dspublish -f \ NTAuthCA
```
Asegúrese de que los comandos se completen correctamente y, a continuación, elimine el archivo de certificado privado. Según la configuración de replicación de Active Directory, la CA puede tardar varios minutos en publicar en los controladores de dominio y en las instancias de escritorio.
**nota**
Es necesario que Active Directory distribuya automáticamente la CA a las autoridades emisoras de certificados raíz de confianza y a los NTAuth almacenes Enterprise para los WorkSpaces escritorios cuando se unan al dominio.
## Habilitación de la autenticación basada en certificados
Realice los siguientes pasos antes de habilitar la autenticación basada en certificados.
1. Abra la WorkSpaces consola en la versión [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Elija el ID de directorio para su. WorkSpaces
1. En **Autenticación**, haga clic en **Editar**.
1. Haga clic en **Editar la autenticación basada en certificados**.
1. Elija **Habilitar la autenticación basada en certificados**.
1. Confirme que su ARN de CA privada esté asociado a la lista. La CA privada debe estar en la misma AWS cuenta y Región de AWS debe estar etiquetada con una clave euc-private-ca que pueda aparecer en la lista.
1. Haga clic en **Save Changes** (Guardar cambios). Ya está habilitada la autenticación basada en certificados.
1. Reinicie los paquetes WorkSpaces de Windows en DCV para que los cambios surtan efecto. Para obtener más información, consulte [Reiniciar](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html) un. WorkSpace
1. Tras el reinicio, cuando los usuarios se autentiquen mediante SAML 2.0 mediante un cliente compatible, ya no se les solicitará la contraseña del dominio.
**nota**
Cuando la autenticación basada en certificados está habilitada para iniciar sesión WorkSpaces, no se solicita a los usuarios la autenticación multifactor (MFA) aunque esté habilitada en el Directorio. Al usar la autenticación basada en certificados, la MFA se puede habilitar a través de su proveedor de identidad SAML 2.0. Para obtener más información sobre la AWS Directory Service MFA, consulte Autenticación [multifactorial (AD Connector) o Habilitar la autenticación](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) [multifactorial](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps) para. AWS Managed Microsoft AD
## Administración de la autenticación basada en certificados
**Certificado de entidad de certificación**
En una configuración típica, el certificado de CA privada tiene un período de validez de 10 años. Consulte [Administración del ciclo de vida de entidad de certificación privada](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html) para obtener más información sobre cómo reemplazar una CA privada con un certificado vencido o cómo volver a emitir la CA privada con un nuevo período de validez.
**Certificados de usuario final**
Los certificados de usuario final emitidos AWS Private CA por la autenticación WorkSpaces basada en certificados no requieren renovación ni revocación. Estos certificados son de corta duración. WorkSpacesemite automáticamente un nuevo certificado cada 24 horas. Estos certificados de usuario final tienen un período de validez más corto que una distribución AWS Private CA CRL típica. Como resultado, no es necesario revocar los certificados de usuario final y no aparecerán en una CRL.
**Informes de auditoría**
Puede crear un informe de auditoría para mostrar todos los certificados que la CA privada ha emitido o revocado. Para obtener más información, consulte [Using audit reports with your private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).
**Registro y supervisión**
Se pueden utilizar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)para grabar las llamadas a la API a AWS Private CA by WorkSpaces. Para obtener más información, consulte [Uso CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). En el [historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html), puede ver `GetCertificate` los nombres de los `IssueCertificate` `acm-pca.amazonaws.com` eventos de la fuente de eventos creados por el nombre WorkSpaces `EcmAssumeRoleSession` de usuario. Estos eventos se registrarán para cada solicitud de autenticación basada en certificados de EUC.
## Habilitación del uso compartido entre cuentas de una CA privada
Al utilizar el uso compartido entre cuentas de una CA privada, puede conceder permisos a otras cuentas para usar una CA centralizada, lo que elimina la necesidad de una CA privada en todas las cuentas. La CA puede generar y emitir certificados mediante [AWS Resource Access Manager](https://aws.amazon.com/ram/) para administrar los permisos. El uso compartido entre cuentas privadas de CA se puede utilizar con la autenticación WorkSpaces basada en certificados (CBA) dentro de la misma región. AWS
**Para utilizar un recurso de CA privada compartido con la CBA WorkSpaces**
1. Configure la CA privada para la CBA en una cuenta centralizadaAWS. Para obtener más información, consulte [Autenticación basada en certificados y personal WorkSpaces](#certificate-based-authentication).
1. Comparta la CA privada con las AWS cuentas de recursos en las que WorkSpaces los recursos utilizan la CBA siguiendo los pasos de [Cómo usar la AWS RAM para compartir una cuenta cruzada de ACM Private](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) CA. No es necesario completar el paso 3 para crear un certificado. Puede compartir la CA privada con AWS cuentas individuales o compartirla a través de AWS Organizations. Para compartir con cuentas individuales, debe aceptar la CA privada compartida en su cuenta de recursos mediante la consola Resource Access Manager (RAM) o APIs. Al configurar el recurso compartido, confirme que el recurso compartido de RAM de la CA privada de la cuenta de recursos utilice la plantilla de permisos administrada por `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`. Esta plantilla se alinea con la plantilla de PCA utilizada por el rol de WorkSpaces servicio al emitir los certificados CBA.
1. Una vez que el recurso se haya compartido correctamente, podrá ver la CA privada compartida mediante la consola de Private CA en la cuenta de recursos.
1. Utilice la API o la CLI para asociar el ARN de CA privado con el CBA en las propiedades de su WorkSpaces directorio. En este momento, la WorkSpaces consola no admite la selección de una CA privada compartida. ARNs Ejemplo de comandos de la CLI:
```
aws workspaces modify-certificate-based-auth-properties —resource-id —certificate-based-auth-properties Status=,CertificateAuthorityArn=
```
# Acceso a WorkSpaces Personal vinculado a Microsoft Entra ID
Puede crear escritorios personales de WorkSpaces de BYOL para Windows 10 u 11 que estén vinculados a Microsoft Entra ID e inscritos en Intune. Para obtener más información, consulta [Cree un directorio de Microsoft Entra ID dedicado con WorkSpaces Personal](launch-entra-id.md).
## Flujo de trabajo de autenticación
En las siguientes secciones se describe el flujo de trabajo de autenticación iniciado por la aplicación cliente de WorkSpaces, Web Access de WorkSpaces, un proveedor de identidades (IdP) de SAML 2.0 y Microsoft Entra ID:
+ Cuando el IdP inicia el flujo. Por ejemplo, cuando los usuarios eligen una aplicación en el portal de usuarios de Entra ID en un navegador web.
+ Cuando el cliente de WorkSpaces inicia el flujo. Por ejemplo, cuando los usuarios abren la aplicación cliente e inician sesión.
+ Cuando Web Access de WorkSpaces inicia el flujo. Por ejemplo, cuando los usuarios abren Acceso web en un navegador e inician sesión.
En estos ejemplos, los usuarios acceden a `user@example.onmicrosoft.com` para iniciar sesión en el IdP. En Entra ID, una aplicación empresarial está configurada para integrarse con IAM Identity Center. Los usuarios crean un escritorio de WorkSpaces para sus nombres de usuario en un directorio que utiliza IAM Identity Center como origen de identidad para conectarse a un inquilino de Entra ID. Además, los usuarios instalan la [aplicación cliente WorkSpaces](https://clients.amazonworkspaces.com/) en sus dispositivos o utilizan Acceso web en un navegador web.
**Flujo iniciado por el proveedor de identidades (IdP) con la aplicación cliente**
El flujo iniciado por el IdP permite a los usuarios registrar automáticamente la aplicación cliente de WorkSpaces en sus dispositivos sin tener que introducir un código de registro de WorkSpaces. Los usuarios no inician sesión en sus WorkSpaces mediante el flujo iniciado por el IdP. La autenticación de WorkSpaces debe originarse en la aplicación cliente.
1. Con el navegador web, los usuarios inician sesión en el IdP (Microsoft Entra ID).
1. Tras iniciar sesión en el IdP, los usuarios eligen la aplicación de AWS IAM Identity Center en el portal de usuario del IdP.
1. Se redirigirán a los usuarios al portal de acceso de AWS en el navegador. A continuación, los usuarios eligen el icono de WorkSpaces.
1. Se redirigirán a los usuarios a la siguiente página y la aplicación cliente de WorkSpaces se abrirá automáticamente. Elija **Abrir la aplicación de Amazon WorkSpaces** si la aplicación cliente no se abre automáticamente.
![\[Abrir la página de redireccionamiento de aplicaciones de WorkSpaces\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/saml-redir.png)
1. La aplicación cliente de WorkSpaces ya está registrada y los usuarios pueden seguir iniciando sesión haciendo clic en **Seguir para iniciar sesión en WorkSpaces**.
**Flujo iniciado por el proveedor de identidades (IdP) con Acceso web**
El flujo de Acceso web iniciado por el IdP permite a los usuarios registrar automáticamente la aplicación cliente de WorkSpaces en sus dispositivos sin tener que introducir un código de registro de WorkSpaces. Los usuarios no inician sesión en sus WorkSpaces mediante el flujo iniciado por el IdP. La autenticación de WorkSpaces debe originarse en Acceso web.
1. Con su navegador web, los usuarios inician sesión en el IdP.
1. Tras iniciar sesión en el IdP, los usuarios hacen clic en la aplicación de AWS IAM Identity Center en el portal de usuario del IdP.
1. Se redirigirán a los usuarios al portal de acceso de AWS en el navegador. A continuación, los usuarios eligen el icono de WorkSpaces.
1. Los usuarios son redirigidos a esta página en el navegador. Para abrir WorkSpaces, elija **Amazon WorkSpaces en el navegador**.
![\[Abrir la página de redireccionamiento de aplicaciones de WorkSpaces\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/saml-redir.png)
1. La aplicación cliente de WorkSpaces ya está registrada y los usuarios pueden seguir iniciando sesión a través de WorkSpaces Acceso web.
**Flujo iniciado por el cliente de WorkSpaces**
El flujo iniciado por el cliente permite a los usuarios iniciar sesión en sus WorkSpaces después de iniciar sesión en un IdP.
1. Los usuarios inician la aplicación cliente de WorkSpaces (si aún no se está ejecutando) y hacen clic en **Seguir para iniciar sesión en WorkSpaces**.
1. Los usuarios son redirigidos a su navegador web predeterminado para iniciar sesión en el IdP. Si los usuarios ya han iniciado sesión en el IdP en su navegador, no necesitan volver a iniciar sesión y se saltarán este paso.
1. Una vez que hayan iniciado sesión en el IdP, los usuarios son redirigidos a una ventana emergente. Siga las instrucciones para permitir que su navegador web abra la aplicación cliente.
1. Se redirigirán a los usuarios a la aplicación cliente de WorkSpaces, en la pantalla de inicio de sesión de Windows.
1. Los usuarios completan el inicio de sesión en Windows con el nombre de usuario y credenciales de Entra ID.
**Flujo iniciado por WorkSpaces Acceso web**
El flujo iniciado por Acceso web permite a los usuarios iniciar sesión en sus WorkSpaces después de iniciar sesión en un IdP.
1. Los usuarios inician WorkSpaces Acceso web y eligen **Iniciar sesión**.
1. En la misma pestaña del navegador, los usuarios son redirigidos al portal de IdP. Si los usuarios ya han iniciado sesión en el IdP en su navegador, no necesitan volver a iniciar sesión y se saltarán este paso.
1. Una vez que han iniciado sesión en el IdP, se redirige a los usuarios a esta página en el navegador, donde hacen clic en **Iniciar sesión en WorkSpaces**.
1. Se redirigirán a los usuarios a la aplicación cliente de WorkSpaces, en la pantalla de inicio de sesión de Windows.
1. Los usuarios completan el inicio de sesión en Windows con el nombre de usuario y credenciales de Entra ID.
## Experiencia de usuario principiante
Si inicia sesión por primera vez en un escritorio de WorkSpaces para Windows vinculado a Microsoft Entra ID, debe pasar por la experiencia inmediata (OOBE). Durante OOBE, los escritorios de WorkSpaces se unen a Entra ID. Para personalizar la experiencia OOBE, configure el perfil de Autopilot asignado al grupo de dispositivos de Microsoft Intune que cree para los escritorios de WorkSpaces. Para obtener más información, consulte [Paso 3: configurar el modo controlado por el usuario de Windows Autopilot](launch-entra-id.md#entra-step-3).
# Utilizar tarjetas inteligentes para la autenticación en WorkSpaces Personal
Los paquetes de Windows y Linux WorkSpaces en DCV permiten el uso de tarjetas inteligentes de [tarjeta de acceso común (CAC)](https://www.cac.mil/Common-Access-Card) y de [verificación de identidad personal (PIV)](https://www.idmanagement.gov/university/piv/) para la autenticación.
Amazon WorkSpaces admite el uso de tarjetas inteligentes tanto para la autenticación *previa a la sesión como para la autenticación* *durante la sesión*. La autenticación previa a la sesión se refiere a la autenticación con tarjeta inteligente que se realiza mientras los usuarios inician sesión en su cuenta. WorkSpaces La autenticación durante la sesión se refiere al proceso que se realiza después de iniciar sesión.
Por ejemplo, los usuarios pueden usar tarjetas inteligentes para la autenticación durante la sesión cuando trabaja con navegadores web y aplicaciones. También pueden usar tarjetas inteligentes para aquellas acciones que requieran permisos administrativos. Por ejemplo, si el usuario tiene permisos administrativos en su Linux WorkSpace, puede usar tarjetas inteligentes para autenticarse cuando ejecuta comandos `sudo` y `sudo -i` ejecuta.
**Topics**
+ [Requisitos](#smart-cards-requirements)
+ [Limitaciones](#smart-cards-limitations)
+ [Configuración del directorio:](#smart-cards-directory-config)
+ [Habilite las tarjetas inteligentes para Windows WorkSpaces](#smart-cards-windows-workspaces)
+ [Habilite las tarjetas inteligentes para Ubuntu, Rocky Linux y Red Hat Enterprise Linux WorkSpaces](#smart-cards-linux-workspaces)
+ [Habilitar tarjetas inteligentes para Amazon Linux 2 WorkSpaces](#smart-cards-amazon-linux-workspaces)
## Requisitos
+ Se requiere un directorio de Active Directory Connector (Conector AD) para la autenticación previa a la sesión. Conector AD utiliza la autenticación Mutual Transport Layer Security (mutual TLS) basada en certificados para autenticar a los usuarios en Active Directory mediante certificados de tarjetas inteligentes basados en hardware o software. Para obtener más información acerca de cómo configurar el Conector AD y el directorio local, consulte [Configuración del directorio:](#smart-cards-directory-config).
+ Para usar una tarjeta inteligente con Windows o Linux WorkSpace, el usuario debe usar el cliente Amazon WorkSpaces Windows versión 3.1.1 o posterior, el cliente WorkSpaces macOS versión 3.1.5 o posterior o el cliente WorkSpaces Ubuntu 22.04 versión 2024.1 o posterior (la autenticación con tarjeta inteligente no es compatible con WorkSpaces el cliente Ubuntu 20.04). Para obtener más información sobre el uso de tarjetas inteligentes con los clientes de Windows y macOS, consulte [Smart Card Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) en la *Guía del WorkSpaces usuario de Amazon*.
+ El CA raíz y los certificados de tarjeta inteligente deben cumplir ciertos requisitos. Para obtener más información, consulte [Habilitar la autenticación mTLS en Conector AD para usarla con tarjetas inteligentes](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) en la *Guía de administración de AWS Directory Service * y [Requisitos de certificados](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements) en la documentación de Microsoft.
Además de estos requisitos, los certificados de usuario empleados para la autenticación con tarjetas inteligentes en Amazon WorkSpaces deben incluir los siguientes atributos:
+ El nombre del usuario de AD userPrincipalName (UPN) en el campo subjectAltName (SAN) del certificado. Recomendamos emitir certificados de tarjeta inteligente para el UPN predeterminado del usuario.
**nota**
Amazon Linux 2 se WorkSpaces basa en UPN para el certificate-to-user mapeo. Los Linux más nuevos WorkSpaces, como Ubuntu, Rocky Linux y Red Hat Enterprise Linux WorkSpaces, admiten [métodos de mapeo](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking) más seguros.
+ El atributo de uso extendido de claves (EKU) de autenticación de cliente (1.3.6.1.5.5.7.3.2).
+ El atributo EKU de inicio de sesión con tarjeta inteligente (1.3.6.1.4.1.311.20.2.2).
+ Para la autenticación previa a la sesión, se requiere el Protocolo de estado de certificados en línea (OCSP) para verificar la revocación de certificados. Para la autenticación durante la sesión, se recomienda el OCSP, pero no es obligatorio.
**nota**
Ubuntu WorkSpaces, Rocky Linux WorkSpaces y Red Hat Enterprise Linux WorkSpaces requieren OCSP para la autenticación durante la sesión de forma predeterminada, y la verificación OCSP en estos sistemas requiere que el respondedor OCSP tenga habilitada la extensión NONCE para evitar ataques de repetición. Para deshabilitar la extensión NONCE, la verificación de OCSP durante la sesión debe estar deshabilitada por completo. Para deshabilitar la verificación de OCSP en Ubuntu, Rocky Linux y Red Hat Enterprise Linux WorkSpaces, cree un archivo nuevo `/etc/sssd/conf.d/disable-ocsp.conf` con el siguiente contenido:
```
[sssd]
certificate_verification = no_ocsp
```
## Limitaciones
+ Actualmente, solo la aplicación cliente WorkSpaces Windows versión 3.1.1 o posterior, la aplicación cliente WorkSpaces macOS versión 3.1.5 o posterior y la aplicación cliente WorkSpaces Ubuntu 22.04 versión 2024.1 o posterior son compatibles actualmente con la autenticación con tarjeta inteligente. WorkSpaces La aplicación cliente Ubuntu 20.04 o anterior no es compatible con la autenticación con tarjeta inteligente.
+ La aplicación cliente de WorkSpaces Windows 3.1.1 o posterior solo admite tarjetas inteligentes cuando el cliente se ejecuta en una versión de 64 bits de Windows.
+ Actualmente, solo se admiten los directorios de Conector AD para la autenticación con tarjeta inteligente.
+ La autenticación durante la sesión está disponible en todas las regiones donde el protocolo DCV sea compatible. La autenticación previa a la sesión está disponible en las siguientes regiones:
+ Región de Asia-Pacífico (Sídney)
+ Región de Asia-Pacífico (Tokio)
+ Región de Europa (Irlanda)
+ AWS GovCloud Región (EE. UU.-Este)
+ AWS GovCloud Región (EE. UU.-Oeste)
+ Región Este de EE. UU. (Norte de Virginia)
+ Región del Oeste de EE. UU (Oregón)
+ Para la autenticación durante la sesión y la autenticación previa a la sesión en Linux o Windows WorkSpaces, actualmente solo se permite una tarjeta inteligente a la vez. El uso simultáneo de varias tarjetas puede funcionar, pero no se admite.
+ Para la autenticación previa a la sesión, actualmente no se permite habilitar la autenticación con tarjeta inteligente y la autenticación de inicio de sesión en el mismo directorio.
+ Por el momento, solo se admiten las tarjetas CAC y PIV. Es posible que haya otros tipos de tarjetas inteligentes basadas en hardware o software que también funcionen, pero su uso no se ha probado de forma exhaustiva con DCV.
## Configuración del directorio:
Para habilitar la autenticación con tarjeta inteligente, debe configurar el directorio de Conector AD y el directorio en las instalaciones de la siguiente manera.
**Configuración del directorio de Conector AD**
Antes de empezar, asegúrese de que el directorio de Conector AD se ha configurado tal y como se describe en los [requisitos previos de Conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) en la *Guía de administración de AWS Directory Service *. En particular, asegúrese de haber abierto los puertos necesarios en el firewall.
Para terminar de configurar el directorio de Conector AD, siga las instrucciones de [Habilitar la autenticación mTLS en Conector AD para usarla con tarjetas inteligentes](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) en la *Guía de administración de AWS Directory Service *.
**nota**
La autenticación con tarjeta inteligente requiere la delegación restringida de Kerberos (KCD) para funcionar correctamente. KCD requiere que la parte del nombre de usuario de la cuenta de servicio AD Connector coincida con el AMAccount nombre s del mismo usuario. Un AMAccount nombre s no puede superar los 20 caracteres.
**Configuración de directorios en las instalaciones**
Además de configurar el directorio de AD Connector:
+ Asegúrese de que los certificados que se emiten para los controladores de dominio de su directorio local tengan el uso extendido de claves (EKU) de «Autenticación KDC» establecido. Para ello, utilice la plantilla de certificado de autenticación Kerberos predeterminada de Active Directory Domain Services (AD DS). No utilice una plantilla de certificado de controlador de dominio ni una plantilla de certificado de autenticación de controlador de dominio porque esas plantillas no contienen la configuración necesaria para la autenticación con tarjetas inteligentes.
+ En el caso de Linux WorkSpaces, asegúrese de que el respondedor OCSP de la entidad emisora de certificados de tarjeta inteligente tenga habilitada la extensión NONCE. Si no se puede habilitar, la verificación de OCSP durante la sesión tendrá que estar deshabilitada en Ubuntu, Rocky Linux y Red Hat Enterprise Linux. WorkSpaces Para deshabilitar la verificación OCSP, cree un archivo nuevo `/etc/sssd/conf.d/disable-ocsp.conf` con el siguiente contenido:
```
[sssd]
certificate_verification = no_ocsp
```
## Habilite las tarjetas inteligentes para Windows WorkSpaces
Para obtener instrucciones generales sobre cómo habilitar la autenticación con tarjeta inteligente en Windows, consulte [Directrices para habilitar el inicio de sesión de tarjeta inteligente con entidades de certificación de terceros](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) en la documentación de Microsoft.
**Para detectar la pantalla de bloqueo de Windows y desconectar la sesión**
Para permitir a los usuarios desbloquear las ventanas WorkSpaces que están habilitadas para la autenticación previa a la sesión con tarjetas inteligentes cuando la pantalla está bloqueada, puede habilitar la detección de la pantalla de bloqueo de Windows en las sesiones de los usuarios. Cuando se detecta la pantalla de bloqueo de Windows, la WorkSpace sesión se desconecta y el usuario puede volver a conectarse desde el WorkSpaces cliente mediante su tarjeta inteligente.
Puede habilitar la desconexión de la sesión cuando se detecte la pantalla de bloqueo de Windows mediante la configuración de la política de grupo. Para obtener más información, consulte [Configuración de la sesión de desconexión en el bloqueo de pantalla para DCV](group_policy.md#gp_lock_screen_in_wsp).
**Para habilitar la autenticación durante o antes de la sesión**
De forma predeterminada, Windows WorkSpaces no admite el uso de tarjetas inteligentes para la autenticación previa o durante la sesión. Si es necesario, puede habilitar la autenticación durante y antes de la sesión para Windows WorkSpaces mediante la configuración de la política de grupo. Para obtener más información, consulte [Configuración del redireccionamiento de tarjeta inteligente para DCV](group_policy.md#gp_smart_cards_in_wsp).
Para usar la autenticación previa a la sesión, además de actualizar la configuración de la política de grupo, también debe habilitar la autenticación previa a la sesión a través de la configuración del directorio de Conector AD. Para obtener más información, siga las instrucciones de [Habilitar la autenticación mTLS en Conector AD para usarla con tarjetas inteligentes](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) en la *Guía de administración de AWS Directory Service *.
**Para permitir a los usuarios utilizar tarjetas inteligentes en un navegador**
Si los usuarios utilizan Chrome como navegador, no es necesaria ninguna configuración especial para utilizar tarjetas inteligentes.
Si los usuarios utilizan Firefox como navegador, puede permitir que usen tarjetas inteligentes en Firefox mediante la política de grupo. Puedes usar estas [plantillas de políticas de grupo de Firefox](https://github.com/mozilla/policy-templates/tree/master/windows) en. GitHub
Por ejemplo, puede instalar la versión de 64 bits de [OpenSC](https://github.com/OpenSC/OpenSC/wiki) para Windows para que sea compatible con PKCS \$111 y, a continuación, usar la siguiente configuración de política de grupo, donde `NAME_OF_DEVICE` es el valor que desee usar para identificar PKCS \$111, por ejemplo `OpenSC`, y donde `PATH_TO_LIBRARY_FOR_DEVICE` es la ruta al módulo PKCS \$111. Esta ruta debe apuntar a una biblioteca con la extensión.DLL, como `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`.
```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```
**sugerencia**
Si utiliza OpenSC, también puedes cargar el módulo `pkcs11` de OpenSC en Firefox ejecutando el programa. `pkcs11-register.exe`. Para ejecutar este programa, haga doble clic en `C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe` en el archivo o abra una ventana de línea de comandos y ejecute el siguiente comando:
```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
Para verificar que el módulo `pkcs11` de OpenSC se cargó en Firefox, haga lo siguiente:
Si Firefox ya se está ejecutando, debe cerrarlo.
Abra Firefox. Seleccione el botón de menú ![\[Firefox menu button\]](http://docs.aws.amazon.com/es_es/workspaces/latest/adminguide/images/firefox-menu-button.png), en la esquina superior derecha, y seleccione **Opciones**.
En la página **about:preferences**, en el panel de navegación de la izquierda, seleccione **Privacidad y seguridad**.
En **Certificados**, seleccione **Dispositivos de seguridad**.
En el cuadro de diálogo del **Administrador de dispositivos**, debería aparecer **OpenSC smartcard framework (0.21)** en el menú de navegación izquierdo. Al seleccionarlo, tendrá los siguientes valores:
**Módulo**: `OpenSC smartcard framework (0.21)`
**Ruta**: `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`
**Resolución de problemas**
Para obtener información sobre la solución de problemas de tarjetas inteligentes, consulte [Problemas de certificado y configuración](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems) en la documentación de Microsoft.
Algunos errores comunes que pueden causar problemas:
+ Asignación incorrecta de slots a los certificados.
+ Tener varios certificados en la tarjeta inteligente que puedan coincidir con los del usuario. Los certificados se comparan según los siguientes criterios:
+ La CA raíz del certificado.
+ Los campos `` y `` del certificado.
+ El UPN del asunto del certificado.
+ Tener varios certificados que incluyan `msScLogin` en su clave el uso.
En general, es mejor tener un solo certificado para la autenticación con tarjeta inteligente que esté asignado al primer slot de la tarjeta inteligente.
Las herramientas para administrar los certificados y las claves de la tarjeta inteligente (como quitar o reasignar los certificados y las claves) pueden ser específicas del fabricante. Para obtener más información, consulte la documentación facilitada por el fabricante de sus tarjetas inteligentes.
## Habilite las tarjetas inteligentes para Ubuntu, Rocky Linux y Red Hat Enterprise Linux WorkSpaces
Para habilitar el uso de tarjetas inteligentes en Ubuntu, Rocky Linux y Red Hat Enterprise Linux WorkSpaces, debe incluir en la WorkSpace imagen los certificados raíz y todos los certificados de CA intermedios para todas las tarjetas inteligentes CAs emisoras y para todos los certificados de controlador de dominio CAs emisores.
**Para obtener el certificado de CA:** puede obtener el certificado de CA de varias maneras:
+ Puede utilizar un paquete de certificados de CA de una entidad emisora de certificados externa.
+ Puede exportar su propio certificado de CA mediante el sitio de inscripción web, que es `http://ip_address/certsrv` la dirección IP `ip_address` y `fqdn` el nombre de dominio completo (FQDN) del servidor de CA. `http://fqdn/certsrv` Para obtener más información sobre el uso del sitio web de registro, consulte [Exportación del certificado de entidad de certificación raíz](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate) en la documentación de Microsoft.
+ Puede utilizar el siguiente procedimiento para exportar el certificado de CA desde un servidor de CA que ejecute los Servicios de certificados de Active Directory (AD CS). Para obtener información sobre la instalación de AD CS, consulte [Instalar la entidad de certificación](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority) en la documentación de Microsoft.
1. Inicie sesión en el servidor de CA con una cuenta de administrador.
1. En el menú **Inicio** de Windows, abra una ventana de línea de comandos (**Inicio** > **Sistema Windows** > **Símbolo del sistema**).
1. Utilice el siguiente comando para exportar el certificado de CA a un nuevo archivo, donde `rootca.cer` aparece el nombre del nuevo archivo:
```
certutil -ca.cert rootca.cer
```
Para obtener más información acerca de cómo ejecutar certutil, consulte [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) en la documentación de Microsoft.
1. Utilice el siguiente comando OpenSSL para convertir el certificado de CA exportado del formato DER al formato PEM, *rootca* donde es el nombre del certificado. Para obtener más información acerca de OpenSSL, consulte [http://www.openssl.org/](https://www.openssl.org/).
```
openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
```
**Para añadir sus certificados de CA a su Linux WorkSpaces**
Para ayudarlo a habilitar las tarjetas inteligentes, hemos agregado el `enable_smartcard` script a nuestros paquetes de WorkSpaces DCV para Linux. Este script realiza las siguientes acciones:
+ Importa sus certificados de CA a un paquete PEM privado (que define la raíz de confianza de los SSSD en Linux). WorkSpaces
+ Actualiza la configuración de SSSD, PAM y Kerberos, lo que incluye la activación `PKINIT` (la autenticación de Kerberos mediante un certificado en lugar de una contraseña) durante el aprovisionamiento. WorkSpace
El siguiente procedimiento explica cómo usar el `enable_smartcard` script para importar los certificados de CA y habilitar la autenticación con tarjeta inteligente en Linux. WorkSpaces
1. Cree un nuevo Linux WorkSpace con el protocolo DCV activado. Al iniciar el WorkSpace en la WorkSpaces consola de Amazon, en la página **Select Bundles**, asegúrese de seleccionar **DCV** para el protocolo y, a continuación, seleccione uno de los paquetes WorkSpaces públicos de Linux.
1. En el archivo recién creado WorkSpace, asegúrate de que el `/etc/skylight.conf` archivo tenga una `pam_smartcard = true` línea en la sección: `[features]`
```
[features]
pam_smartcard = true
```
**nota**
Si aún no todos sus usuarios están configurados para utilizar una asignación de `altSecurityIdentities` certificados segura, también puede añadir `smartcard_weak_mapping = true` líneas a la misma `[features]` sección `/etc/skylight.conf` para que sea compatible con los métodos de mapeo tradicionales, pero le recomendamos migrar a esos usuarios para que utilicen métodos de mapeo robustos lo antes posible.
1. En ese caso WorkSpace, ejecute el siguiente comando como superusuario, donde, etc. `pem-path1``pem-path2`, aparecen las rutas de acceso a los archivos, cada uno de los cuales contiene uno de los certificados de CA de la cadena de confianza para los certificados de tarjeta inteligente y de controlador de dominio. Todos estos archivos deben estar en formato PEM y contener un certificado por archivo. Se pueden usar patrones globales (por ejemplo,) `*.pem`
```
/usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
```
**nota**
Asegúrese de que haya paquetes de dependencia adicionales instalados en el WorkSpace antes de ejecutar el comando anterior, utilizando los siguientes comandos como root.
Para Rocky Linux y Red Hat Enterprise Linux WorkSpaces:
```
dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
```
Para Ubuntu WorkSpaces:
```
apt install krb5-pkinit opensc
```
1. Realice cualquier personalización adicional en el WorkSpace. Por ejemplo, es posible que desee añadir una política para todo el sistema que [permita a los usuarios usar tarjetas inteligentes en Firefox](#smart-cards-firefox-linux). (Los usuarios de Chrome deben habilitar ellos mismos las tarjetas inteligentes en sus clientes. Para obtener más información, consulte [Smart Card Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) en la *Guía del WorkSpaces usuario de Amazon*.)
1. [Cree una WorkSpace imagen y un paquete personalizados](create-custom-bundle.md) a partir de WorkSpace.
1. Utilice el nuevo paquete personalizado para lanzarlo WorkSpaces para sus usuarios.
Puedes permitir que tus usuarios usen tarjetas inteligentes en Firefox añadiendo una SecurityDevices política a tu WorkSpace imagen de Linux. Para obtener más información sobre cómo añadir políticas para todo el sistema a Firefox, consulta las [plantillas de políticas de Mozilla](https://github.com/mozilla/policy-templates/releases) en. GitHub
**Para permitir a los usuarios utilizar tarjetas inteligentes en Firefox**
1. En el archivo WorkSpace que está utilizando para crear la WorkSpace imagen, cree un nuevo archivo llamado `policies.json` in`PREFIX/firefox/distribution/`, que `PREFIX` esté en los sistemas basados `/usr/lib64` en Fedora (Amazon Linux 2, Red Hat Enterprise Linux y Rocky Linux WorkSpaces) y en los sistemas basados `/usr/lib` en Debian (Ubuntu). WorkSpaces
1. En el archivo JSON, añada la siguiente SecurityDevices política, donde `NAME_OF_DEVICE` aparece el valor que desee utilizar para identificar el módulo. `pkcs` Por ejemplo, es posible que desee usar un valor como `"OpenSC"`:
```
{
"policies": {
"SecurityDevices": {
"NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
}
}
}
```
**Resolución de problemas**
La solución de problemas relacionados con la autenticación con tarjeta inteligente resulta más sencilla cuando se configura la autenticación previa a la sesión para utilizar la autenticación mediante contraseña. Durante el aprovisionamiento de la sesión, Linux cambia WorkSpaces automáticamente la preferencia del modo de autenticación del host a uno basado en contraseña o en tarjeta inteligente, según el método de autenticación previo a la sesión utilizado. Si hay algún problema con la autenticación con tarjeta inteligente, al desconectarse y volver a conectarse mediante la autenticación previa a la sesión, se restablece el espacio de trabajo a la autenticación mediante contraseña en el host. Para cambiar manualmente la WorkSpaces instancia de Linux a la autenticación con tarjeta inteligente, ejecute el comando como root. `/usr/lib/skylight/resume_smartcard`
Linux WorkSpaces usa el software OpenSC para trabajar con tarjetas inteligentes. Ese software viene con herramientas similares `pkcs11-tool` y `pkcs15-tool` que pueden ser útiles para solucionar problemas con las tarjetas inteligentes. Estas herramientas se pueden utilizar para inspeccionar los lectores de tarjetas inteligentes, los tokens individuales y las ranuras o certificados PIV de cada token de tarjeta inteligente.
Una herramienta de `openssl` línea de comandos puede resultar útil para solucionar problemas relacionados con las cadenas de confianza, las personas que responden al OCSP o los indicadores que faltan KUs/EKUs (uso de usage/extended claves clave), especialmente si se combina con la capacidad `pkcs15-tool` de extraer certificados públicos de una tarjeta inteligente.
Opciones de solución de problemas habituales:
+ Extraiga el primer certificado (normalmente en la ranura PIV 9A) de la tarjeta inteligente y guárdelo como: `card-cert.pem` `pkcs15-tool --read-certificate 1 > card-cert.pem`
+ Valide el certificado extraído con una base de datos de confianza en: WorkSpace `openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ Obtenga la URL del OCSP del certificado de tarjeta inteligente extraído: `openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ Compruebe que la respuesta del OCSP indique que el certificado es válido e incluya NONCE:`openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI`, donde *OCSP\$1URI* aparece la URL del OCSP indicada anteriormente.
+ Compruebe si el certificado del controlador de dominio se considera de confianza:`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`, donde *DC\$1HOSTNAME* es el nombre de host de uno de los controladores de dominio de su dominio de Active Directory.
+ Confirme que el certificado del controlador de dominio tenga configurada la EKU (uso de clave extendida) de autenticación KDC:. `openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`
+ Intente utilizar el método PKINIT manual para comprobar si hay algún código de error que pueda utilizarse para reducir el problema: `KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V` ¿dónde *01* está el número de una de las cuatro ranuras PIV principales de la tarjeta: `01` para, para`9A`, etc.? `02` `9C` La mayoría de las tarjetas tendrán un certificado destinado a la autenticación del usuario en la ranura 9A.
+ Compruebe si el sistema puede asignar el certificado de la tarjeta inteligente a un usuario de AD (ejecutar como root):`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(
**nota**
Amazon Linux 2 WorkSpaces en DCV tiene actualmente las siguientes limitaciones:
No se admiten el portapapeles, la entrada de audio, la entrada de vídeo ni el redireccionamiento de zona horaria.
No se admiten varios monitores.
Para habilitar el uso de tarjetas inteligentes en Amazon Linux 2 WorkSpaces, debe incluir un archivo de certificado de CA raíz en formato PEM en la WorkSpace imagen.
**Para obtener su certificado de CA raíz:** puede obtener su certificado de CA raíz de varias maneras:
+ Puede utilizar un certificado de CA raíz gestionado por una entidad emisora de certificados externa.
+ Puede exportar su propio certificado CA raíz utilizando el sitio web de registro, ya sea `http://ip_address/certsrv` o `http://fqdn/certsrv`, donde `ip_address` y `fqdn` son la dirección IP y el nombre de dominio completo (FQDN) del servidor de CA de certificación raíz. Para obtener más información sobre el uso del sitio web de registro, consulte [Exportación del certificado de entidad de certificación raíz](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate) en la documentación de Microsoft.
+ Puede usar el siguiente procedimiento para exportar el certificado de CA raíz desde un servidor de certificación de CA raíz que ejecute Active Directory Certificate Services (AD CS). Para obtener información sobre la instalación de AD CS, consulte [Instalar la entidad de certificación](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority) en la documentación de Microsoft.
1. Inicie sesión en el servidor de CA raíz con una cuenta de administrador.
1. En el menú **Inicio** de Windows, abra una ventana de línea de comandos (**Inicio** > **Sistema Windows** > **Símbolo del sistema**).
1. Utilice el siguiente comando para exportar el certificado de CA raíz a un nuevo archivo, donde `rootca.cer` aparece el nombre del nuevo archivo:
```
certutil -ca.cert rootca.cer
```
Para obtener más información acerca de cómo ejecutar certutil, consulte [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) en la documentación de Microsoft.
1. Utilice el siguiente comando OpenSSL para convertir el certificado de CA raíz exportado del formato DER al formato PEM, *rootca* donde es el nombre del certificado. Para obtener más información acerca de OpenSSL, consulte [http://www.openssl.org/](https://www.openssl.org/).
```
openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
```
**Para añadir el certificado de CA raíz a Amazon Linux 2 WorkSpaces**
Para ayudarle a habilitar las tarjetas inteligentes, hemos añadido el script `enable_smartcard` a los paquetes de Amazon Linux DCV. Este script realiza las siguientes acciones:
+ Importa su certificado de CA raíz a la base de datos de [Network Security Services (NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS).
+ Instala el módulo `pam_pkcs11` para la autenticación del módulo de autenticación conectable (PAM).
+ Realiza una configuración predeterminada, que incluye la activación `pkinit` durante el WorkSpace aprovisionamiento.
El siguiente procedimiento explica cómo utilizar el `enable_smartcard` script para añadir el certificado de CA raíz a Amazon Linux 2 WorkSpaces y habilitar las tarjetas inteligentes para Amazon Linux 2 WorkSpaces.
1. Cree un nuevo Amazon Linux 2 WorkSpace con el protocolo DCV activado. Al iniciar el WorkSpace en la WorkSpaces consola de Amazon, en la página **Select Bundles**, asegúrese de seleccionar **DCV** para el protocolo y, a continuación, seleccione uno de los paquetes públicos de Amazon Linux 2.
1. En la nueva versión WorkSpace, ejecute el siguiente comando como root, donde `pem-path` está la ruta al archivo de certificado raíz de CA en formato PEM.
```
/usr/lib/skylight/enable_smartcard --ca-cert pem-path
```
**nota**
Amazon Linux 2 WorkSpaces asume que los certificados de las tarjetas inteligentes se emiten para el nombre principal de usuario (UPN) predeterminado del usuario, por ejemplo, si `domain` es un nombre de dominio completo (FQDN). `sAMAccountName@domain`
Si quiere utilizar sufijos UPN alternativos, consulte `run /usr/lib/skylight/enable_smartcard --help` para obtener más información. La asignación de sufijos UPN alternativos es exclusiva de cada usuario. Por lo tanto, ese mapeo debe realizarse de forma individual en el de cada usuario. WorkSpace
1. (Opcional) De forma predeterminada, todos los servicios están habilitados para usar la autenticación con tarjeta inteligente en Amazon Linux 2 WorkSpaces. Para limitar la autenticación con tarjetas inteligentes solo a servicios específicos, debe editar `/etc/pam.d/system-auth`. Elimine los comentarios de la línea `auth` de `pam_succeed_if.so` y edite la lista de servicios según sea necesario.
Una vez eliminados los comentarios de la línea `auth`, para permitir que un servicio utilice la autenticación con tarjetas inteligentes, debe agregarlo a la lista. Para hacer que un servicio utilice únicamente la autenticación mediante contraseña, debe quitarlo de la lista.
1. Realice cualquier personalización adicional en el WorkSpace. Por ejemplo, es posible que desee añadir una política para todo el sistema que [permita a los usuarios usar tarjetas inteligentes en Firefox](#smart-cards-firefox-amazon-linux). (Los usuarios de Chrome deben habilitar ellos mismos las tarjetas inteligentes en sus clientes. Para obtener más información, consulte [Smart Card Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) en la *Guía del WorkSpaces usuario de Amazon*.)
1. [Cree una WorkSpace imagen y un paquete personalizados](create-custom-bundle.md) a partir de WorkSpace.
1. Utilice el nuevo paquete personalizado para lanzarlo WorkSpaces para sus usuarios.
Puedes permitir que tus usuarios usen tarjetas inteligentes en Firefox añadiendo una SecurityDevices política a tu WorkSpace imagen de Amazon Linux 2. Para obtener más información sobre cómo añadir políticas para todo el sistema a Firefox, consulta las [plantillas de políticas de Mozilla](https://github.com/mozilla/policy-templates/releases) en. GitHub
**Para permitir a los usuarios utilizar tarjetas inteligentes en Firefox**
1. En el archivo WorkSpace que estés usando para crear la WorkSpace imagen, crea un nuevo archivo con el nombre `policies.json` in. `/usr/lib64/firefox/distribution/`
1. En el archivo JSON, agrega la siguiente SecurityDevices política, donde `NAME_OF_DEVICE` está el valor que quieras usar para identificar el `pkcs` módulo. Por ejemplo, es posible que desee usar un valor como `"OpenSC"`:
```
{
"policies": {
"SecurityDevices": {
"NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
}
}
}
```
**Solución de problemas:** para solucionar problemas, recomendamos añadir la `pkcs11-tools` utilidad. Le permite realizar las siguientes acciones:
+ Enumerar cada tarjeta inteligente.
+ Enumerar los slots de cada tarjeta inteligente.
+ Enumerar los certificados de cada tarjeta inteligente.
Algunos errores comunes que pueden causar problemas:
+ Asignación incorrecta de slots a los certificados.
+ Tener varios certificados en la tarjeta inteligente que puedan coincidir con los del usuario. Los certificados se comparan según los siguientes criterios:
+ La CA raíz del certificado.
+ Los campos `` y `` del certificado.
+ El UPN del asunto del certificado.
+ Tener varios certificados que incluyan `msScLogin` en su clave el uso.
En general, es mejor tener un solo certificado para la autenticación con tarjeta inteligente que esté asignado al primer slot de la tarjeta inteligente.
Las herramientas para administrar los certificados y las claves de la tarjeta inteligente (como quitar o reasignar los certificados y las claves) pueden ser específicas del fabricante. Otras herramientas que puede usar para trabajar con tarjetas inteligentes son:
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`
**Para habilitar el registro de depuración**
Para solucionar los problemas de configuración de `pam_pkcs11` y `pam-krb5`, puede activar el registro de depuración.
1. En el archivo `/etc/pam.d/system-auth-ac`, edite la acción `auth` y cambie el parámetro `nodebug` de `pam_pksc11.so` a `debug`.
1. En el archivo `/etc/pam_pkcs11/pam_pkcs11.conf`, cambie `debug = false;` por `debug = true;`. La opción `debug` se aplica por separado a cada módulo del mapeador, por lo que puede que tenga que cambiarla directamente en la sección `pam_pkcs11` y en la sección del mapeador correspondiente (de forma predeterminada, `mapper generic`)
1. En el archivo `/etc/pam.d/system-auth-ac`, edite la acción `auth` y cambie el parámetro `debug` o `debug_sensitive` a `pam_krb5.so`.
Una vez activado el registro de depuración, el sistema imprime los mensajes de depuración de `pam_pkcs11` directamente en el terminal activo. Los mensajes de `pam_krb5` se registran en `/var/log/secure`.
Para comprobar el nombre de usuario al que se asigna un certificado de tarjeta inteligente, utilice el siguiente comando `pklogin_finder`:
```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```
Cuando se le solicite, escriba el PIN de la tarjeta inteligente. `pklogin_finder` muestra en `stdout` el nombre de usuario que figura en el certificado de la tarjeta inteligente del formulario `NETBIOS\username`. Este nombre de usuario debe coincidir con el WorkSpace nombre de usuario.
En Active Directory Domain Services (AD DS), el nombre de dominio de NetBIOS es el nombre de dominio anterior a Windows 2000. Normalmente (pero no siempre), el nombre de dominio de NetBIOS es el subdominio del nombre de dominio del sistema de nombres de dominio (DNS). Por ejemplo, si el nombre de dominio de DNS es `example.com`, normalmente el dominio de NetBIOS será `EXAMPLE`. Si el nombre de dominio de DNS es `corp.example.com`, normalmente el dominio de NetBIOS será `CORP`.
Por ejemplo, para el usuario `mmajor` del dominio `corp.example.com`, el resultado de `pklogin_finder` es `CORP\mmajor`.
**nota**
Si recibe el mensaje `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"`, significa que `pam_pkcs11` ha encontrado un certificado en la tarjeta inteligente que coincide con los criterios del nombre de usuario, pero que no está vinculado a un certificado de CA raíz reconocido por la máquina. Si esto ocurre, `pam_pkcs11` muestra el mensaje anterior y, a continuación, prueba con el siguiente certificado. Solo permite la autenticación si encuentra un certificado que coincide con el nombre de usuario y se vincula a un certificado de CA raíz reconocido.
Para solucionar los problemas de la configuración de `pam_krb5`, puede invocar `kinit` manualmente en el modo de depuración con el siguiente comando:
```
KRB5_TRACE=/dev/stdout kinit -V
```
Este comando debería obtener correctamente un ticket de concesión de Kerberos (TGT). Si se produce un error, intente añadir el nombre principal correcto de Kerberos de forma explícita al comando. Por ejemplo, para el usuario `mmajor` del dominio `corp.example.com`, utilice este comando:
```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```
Si este comando se ejecuta correctamente, lo más probable es que el problema se deba a la asignación del WorkSpace nombre de usuario al nombre principal de Kerberos. Consulte la sección `[appdefaults]/pam/mappings` del archivo `/etc/krb5.conf`.
Si este comando no funciona, pero sí un comando `kinit` basado en contraseña, compruebe las configuraciones relacionadas con `pkinit_` en el archivo `/etc/krb5.conf`. Por ejemplo, si la tarjeta inteligente contiene más de un certificado, es posible que deba realizar cambios en `pkinit_cert_match`.
# Cómo proporcionar acceso a Internet en WorkSpaces Personal
Sus WorkSpaces deben obtener acceso a Internet para que pueda instalar las actualizaciones en el sistema operativo e implementar las aplicaciones. Puede utilizar una de las siguientes opciones para permitir que sus WorkSpaces en una nube privada virtual (VPC) obtengan acceso a Internet.
**Opciones**
+ Lance sus WorkSpaces en subredes privadas y configure una gateway NAT en una subred pública de su VPC.
+ Lance sus WorkSpaces en subredes públicas y asigne de forma manual o automática direcciones IP públicas a sus WorkSpaces.
Para obtener más información sobre estas opciones, consulte las secciones correspondientes de [Configurar una VPC para personal WorkSpaces](amazon-workspaces-vpc.md).
Con cualquiera de estas opciones, debe asegurarse de que el grupo de seguridad para los escritorios de WorkSpaces permite el tráfico saliente en los puertos 80 (HTTP) y 443 (HTTPS) para todos los destinos (`0.0.0.0/0`).
**Biblioteca de extras de Amazon Linux**
Si utiliza el repositorio de Amazon Linux, los WorkSpaces de Amazon Linux deben tener acceso a Internet o bien se deben configurar puntos de conexión de VPC para este repositorio y para el repositorio principal de Amazon Linux. Para obtener más información, consulte la sección que muestra el *ejemplo sobre habilitación de acceso a repositorios de la AMI de Amazon Linux AMI* en [Puntos de conexión de Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html). Los repositorios de AMI de Amazon Linux son buckets de Amazon S3 en cada región. Si desea que las instancias de su VPC obtengan acceso a los repositorios a través de un punto de enlace, puede crear una política de puntos de enlace que permita el acceso a estos buckets. La siguiente política permite obtener acceso a los repositorios de Amazon Linux.
```
{
"Statement": [
{
"Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
# Grupos de seguridad para WorkSpaces Personal
Al registrar un directorio WorkSpaces, se crean dos grupos de seguridad, uno para los controladores de directorio y otro para WorkSpaces el directorio. El grupo de seguridad de los controladores de directorio tiene un nombre que consta del identificador de directorio seguido de **\$1controllers** (por ejemplo, d-12345678e1\$1controllers). El grupo de seguridad para WorkSpaces tiene un nombre que consiste en el identificador del directorio seguido de \$1WorkspacesMembers (por ejemplo, **D-123456FC11\$1WorkspacesMembers**).
**aviso**
Evite modificar, eliminar o desconectar los grupos de seguridad **\$1controllers** y **\$1workspacesMembers**. Tenga cuidado al modificar o eliminar estos grupos de seguridad, ya que no podrá volver a crearlos ni volver a agregarlos después de haberlos modificado o eliminado. Para obtener más información, consulte [Grupos de EC2 seguridad de Amazon para instancias de Linux](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html) o [Grupos de EC2 seguridad de Amazon para instancias de Windows](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html).
Puede añadir un grupo WorkSpaces de seguridad predeterminado a un directorio. Después de asociar un nuevo grupo de seguridad a un WorkSpaces directorio, el nuevo grupo de seguridad WorkSpaces que inicie o el existente WorkSpaces que regenere tendrá el nuevo grupo de seguridad. También puede [agregar este nuevo grupo de seguridad predeterminado a los existentes WorkSpaces sin volver a crearlos](#security_group_existing_workspace), como se explica más adelante en este tema.
Al asociar varios grupos de seguridad a un WorkSpaces directorio, las reglas de cada grupo de seguridad se agregan de manera efectiva para crear un conjunto de reglas. Recomendamos condensar las reglas de grupo de seguridad tanto como sea posible.
Para obtener más información sobre los grupos de seguridad, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.
**Para agregar un grupo de seguridad a un WorkSpaces directorio**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Seleccione el directorio y elija **Actions**, **Update Details**.
1. Amplíe **Security Group** y seleccione un grupo de seguridad.
1. Elija **Update and Exit**.
Para añadir un grupo de seguridad a uno existente WorkSpace sin volver a crearlo, asigne el nuevo grupo de seguridad a la elastic network interface (ENI) del WorkSpace.
**Para agregar un grupo de seguridad a un grupo existente WorkSpace**
1. Busque la dirección IP de cada uno de ellos WorkSpace que necesite actualizarse.
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Amplíe cada una WorkSpace y registre su WorkSpace dirección IP.
1. Busque el ENI de cada uno WorkSpace y actualice su asignación de grupo de seguridad.
1. Abre la EC2 consola de Amazon en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En **Red y seguridad**, elija **Interfaces de red**.
1. Busque la primera dirección IP que registró en el paso 1.
1. Seleccione el ENI asociado a la dirección IP, elija **Acciones**, y, a continuación, elija **Cambiar grupos de seguridad**.
1. Seleccione el nuevo grupo de seguridad y elija **Guardar**.
1. Repite este proceso según sea necesario para cualquier otro WorkSpaces.
# Grupos de control de acceso IP para WorkSpaces Personal
Amazon te WorkSpaces permite controlar las direcciones IP desde las que se WorkSpaces puede acceder a ti. Al usar grupos de control basados en direcciones IP, puede definir y administrar grupos de direcciones IP confiables y permitir que los usuarios accedan a ellos solo WorkSpaces cuando están conectados a una red confiable.
Un *grupo de control de acceso IP* actúa como un firewall virtual que controla las direcciones IP desde las que los usuarios pueden acceder a sus WorkSpaces direcciones. Para especificar los rangos de direcciones del CIDR, añada reglas a su grupo de control de acceso de IP y, a continuación, asocie el grupo a su directorio. Puede agregar hasta 30 reglas por grupo de control de acceso IP y asociar cada grupo de control de acceso IP a uno o más directorios. Puede crear hasta 140 grupos de control de acceso IP por región y AWS cuenta. Sin embargo, solo puede asociar hasta 35 grupos de control de acceso IP a un único directorio.
Hay un grupo de control de acceso a direcciones IP predeterminado asociado a cada directorio. Este grupo predeterminado incluye una regla predeterminada que permite a los usuarios acceder a ellos WorkSpaces desde cualquier lugar. No puede modificar el grupo de control de acceso a direcciones IP predeterminado de su directorio. Si no asocia un grupo de control de acceso a direcciones IP a su directorio, se utilizará el grupo predeterminado. Si asocia un grupo de control de acceso a direcciones IP a un directorio, se desvincula el grupo predeterminado.
Para especificar las direcciones IP públicas y los intervalos de direcciones IP para sus redes de confianza, añada reglas a sus grupos de control de acceso a direcciones IP. Si sus usuarios acceden a ellos WorkSpaces a través de una puerta de enlace NAT o una VPN, debe crear reglas que permitan el tráfico desde las direcciones IP públicas de la puerta de enlace NAT o la VPN.
**nota**
Los grupos de control de acceso IP no permiten el uso de direcciones IP dinámicas para NATs. Si utiliza una NAT, configúrela para que use una dirección IP estática en lugar de una dinámica. Asegúrese de que la NAT enrute todo el tráfico UDP a través de la misma dirección IP estática durante toda la WorkSpaces sesión.
Los grupos de control de acceso IP controlan las direcciones IP desde las que los usuarios pueden conectar sus sesiones de streaming WorkSpaces. Los usuarios aún pueden ejecutar funcionalidades, como reiniciar, reconstruir o apagar, desde cualquier dirección IP mediante Amazon WorkSpaces public APIs.
Los grupos de control de acceso a direcciones IP no se aplican cuando el punto de conexión de VPC para la transmisión está configurado para un directorio.
Al cambiar un control de acceso a direcciones IP, las sesiones activas no se interrumpen de inmediato; los cambios solo se aplicarán a las sesiones nuevas.
Puede utilizar esta función con Web Access, los clientes PCo IP cero y las aplicaciones cliente para macOS, iPad, Windows, Chromebook y Android.
## Cree un grupo de control de acceso a direcciones IP
Puede crear un grupo de control de acceso a direcciones IP como sigue. Cada grupo de control de acceso IP puede contener hasta 30 reglas.
**Para crear un grupo de control de acceso a direcciones IP**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, seleccione **IP Access Controls** (Controles de acceso a direcciones IP).
1. Elija **Create IP Group** (Crear grupo de IP).
1. En el cuadro de diálogo **Create IP Group (Crear grupo de IP)**, introduzca un nombre y una descripción para el grupo, y elija **Create** (Crear).
1. Seleccione el grupo y elija **Edit** (Editar).
1. Para cada dirección IP, elija **Add Rule** (Añadir regla). En **Source** (Origen), introduzca la dirección IP o el intervalo de direcciones IP. En **Descripción**, escriba una descripción. Cuando haya acabado de añadir reglas, elija **Save** (Guardar).
## Asociar un grupo de control de acceso a direcciones IP a un directorio
Puede asociar un grupo de control de acceso IP a un directorio para asegurarse de que solo WorkSpaces se accede a ellos desde redes de confianza.
Si asocia un grupo de control de acceso IP que no tiene reglas a un directorio, se bloquea el acceso a todos WorkSpaces.
**Para asociar un grupo de control de acceso a direcciones IP a un directorio**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Seleccione el directorio y elija **Actions**, **Update Details**.
1. Expanda **IP Access Control Groups** (Grupos de control de acceso a direcciones IP) y seleccione uno o varios grupos.
1. Elija **Update and Exit**.
## Copiar un grupo de control de acceso a direcciones IP
Puede utilizar un grupo de control de acceso a direcciones IP existente como punto de partida para crear un nuevo grupo de control de acceso a direcciones IP.
**Para crear un grupo de control de acceso a direcciones IP a partir de uno existente**
1. [Abre la WorkSpaces consola en la v2/home. https://console.aws.amazon.com/workspaces/](https://console.aws.amazon.com/workspaces/v2/home)
1. En el panel de navegación, seleccione **IP Access Controls** (Controles de acceso a direcciones IP).
1. Seleccione el grupo y elija **Actions** (Acciones), **Copy to New** (Copiar en nuevo).
1. En el cuadro de diálogo **Copy IP Group** (Copiar grupo de IP), escriba un nombre y una descripción para el nuevo grupo, y elija **Copy Group** (Copiar grupo).
1. (Opcional) Para modificar las reglas copiadas del grupo original, seleccione el nuevo grupo y elija **Edit** (Editar). Añada, actualice o elimine reglas según sea necesario. Seleccione **Save**.
## Elimine un grupo de control de acceso de IP
Puede eliminar una regla de un grupo de control de acceso a direcciones IP en cualquier momento. Si elimina una regla que se utilizó para permitir la conexión a un WorkSpace, el usuario se desconecta del. WorkSpace
Para poder eliminar un grupo de control de acceso a direcciones IP, debe desvincularlo de todos los directorios.
**Para eliminar un grupo de control de acceso a direcciones IP**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Para cada directorio asociado al grupo de control de acceso a direcciones IP, seleccione el directorio y haga clic en **Actions** (Acciones), **Update Details** (Actualizar detalles). Expanda **IP Access Control Groups** (Grupos de control de acceso a direcciones IP), desactive la casilla del grupo de control de acceso a direcciones IP y, a continuación, seleccione **Update and Exit** (Actualizar y salir).
1. En el panel de navegación, seleccione **IP Access Controls** (Controles de acceso a direcciones IP).
1. Seleccione el grupo y elija **Actions** (Acciones), **Delete IP Group** (Eliminar grupo de IP).
# Configuración de clientes cero de PCoIP en WorkSpaces Personal
Los clientes cero PCoIP solo son compatibles con los paquetes WorkSpaces que utilizan el protocolo PCoIP.
Si el dispositivo de cliente cero tiene firmware versión 6.0.0 o posterior, los usuarios pueden conectarse a sus WorkSpaces directamente. Cuando los usuarios se conectan directamente a sus WorkSpaces utilizando un dispositivo de cliente cero, recomendamos utilizar la autenticación multifactor (MFA) con el directorio de WorkSpaces. Para más información sobre el uso de MFA con su directorio, consulte la siguiente documentación:
+ **AWS Managed Microsoft AD**: [ Habilite la autenticación multifactor para AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) in the *Guía de administración de AWS Directory Service*
+ **Conector AD**: [Habilite la autenticación multifactor para el Conector AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) en la *Guía de administración de AWS Directory Service* y [Autenticación multifactor (AD Conector) en WorkSpaces Personal](connect-mfa.md)
+ **Dominios de confianza**: [ Habilite la autenticación multifactor para AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) en la *Guía de administración de AWS Directory Service*
+ **AD sencillo**: La autenticación multifactor no está disponible para AD sencillo.
A partir del 13 de abril de 2021, ya no se admite el uso de PCoIP Connection Manager con versiones de firmware de dispositivos cliente cero comprendidas entre las versiones 4.6.0 y 6.0.0. Si el firmware de su cliente cero no es de la versión 6.0.0 o posterior, puede obtener el firmware más reciente mediante una suscripción a [https://www.teradici.com/desktop-access](https://www.teradici.com/desktop-access).
**importante**
En la Administrative Web Interface (AWI, interfaz web administrativa) de Teradici PCoIP o en la Management Console (MC, consola de administración) de Teradici PCoIP, asegúrese de habilitar el Network Time Protocol (NTP, protocolo de tiempo en redes). Para el nombre DNS del host NTP, utilice **pool.ntp.org** y establezca el puerto host NTP como **123**. Si NTP no está habilitado, los usuarios del cliente cero PCoIP podrían recibir errores de certificado, como “El certificado suministrado no es válido debido a la marca temporal”.
A partir de la versión 20.10.4 del agente PCoIP, Amazon WorkSpaces deshabilita el redireccionamiento USB de forma predeterminada a través del registro de Windows. Esta configuración de registro afecta al comportamiento de los periféricos USB cuando los usuarios utilizan dispositivos cliente cero PCoIP para conectarse a sus WorkSpaces. Para obtener más información, consulte [Las impresoras USB y otros periféricos USB no funcionan para los clientes con IP cero PCo](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).
Para obtener información acerca de cómo configurar y conectar con un dispositivo de cliente cero PCoIP, consulte [Cliente cero de PCoIP](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html) en la *Guía del usuario de Amazon WorkSpaces*. Para obtener una lista de los dispositivos de cliente cero PCoIP aprobados, consulte [Clientes cero de PCoIP](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients) en el sitio web de Teradici.
# Configuración de Android para Chromebook en WorkSpaces Personal
La versión 2.4.13 es la versión final de la aplicación cliente de Amazon WorkSpaces para Chromebook. Debido a que [Google está eliminando gradualmente la compatibilidad con Chrome Apps](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html), no habrá más actualizaciones en la aplicación cliente de escritorios de WorkSpaces Chromebook y su uso no será compatible.
En el caso de los [Chromebooks que admiten la instalación de aplicaciones Android](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/), recomendamos utilizar la [aplicación cliente WorkSpaces de Android](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html) en su lugar.
Algunos Chromebooks lanzados antes de 2019 deben estar habilitados para [instalar aplicaciones Android](https://support.google.com/chromebook/answer/7021273) antes de que los usuarios puedan instalar la aplicación cliente de Android de Amazon WorkSpaces. Para obtener más información, consulte [Chrome OS Systems Supporting Android Apps](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps).
Para administrar de forma remota la habilitación para que los Chromebooks de los usuarios instalen aplicaciones Android, consulte [Set up Android on Chrome devices](https://support.google.com/chrome/a/topic/9042368).
# Habilitar y configurar el acceso WorkSpaces web para WorkSpaces personal
La mayoría WorkSpaces de los paquetes son compatibles con Amazon WorkSpaces Web Access. Para ver una lista de los paquetes de Amazon WorkSpaces compatibles con el acceso a navegadores web, consulta «¿Qué WorkSpaces paquetes de Amazon admiten el acceso web?» en [Acceso de clientes, Acceso web y Experiencia de usuario](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).
**nota**
A partir del 7 de noviembre de 2025, Amazon WorkSpaces PCo IP Web Access ya no estará abierto a nuevos clientes. En el futuro, la función solo recibirá actualizaciones funcionales y de seguridad críticas. Para obtener más información, consulta la [Guía del WorkSpaces usuario de Amazon](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html).
El acceso a la web con DCV para Windows y Ubuntu WorkSpaces es compatible en todas las regiones en las que WorkSpaces está disponible el DCV. DCV para Amazon Linux solo WorkSpaces está disponible en AWS GovCloud (EE. UU. al oeste).
Recomendamos encarecidamente utilizar Web Access con DCV WorkSpaces para obtener la mejor calidad de streaming y la mejor experiencia de usuario. Las siguientes son limitaciones al utilizar el acceso web con PCo IP WorkSpaces:
El AWS GovCloud (US) Regions acceso web con PCo IP no es compatible en Asia Pacífico (Bombay), África (Ciudad del Cabo), Europa (Fráncfort) e Israel (Tel Aviv)
El acceso web con PCo IP solo es compatible con Windows WorkSpaces, no con Amazon Linux o Ubuntu WorkSpaces.
El acceso web no está disponible para algunos Windows 10 WorkSpaces que utilizan el protocolo PCo IP. Si su PCo IP WorkSpaces funciona con Windows Server 2019 o 2022, el acceso web no está disponible.
Las funciones del acceso a la web con PCo IP son limitadas. Admite la salida de vídeo, la salida de audio, el teclado y el ratón. No admite muchas características, como la entrada de vídeo, la entrada de audio, el redireccionamiento del portapapeles y las cámaras web.
Si utilizas macOS en una VPN y utilizas el navegador web Firefox, el navegador web no admitirá la transmisión de PCo IP WorkSpaces mediante WorkSpaces Web Access. Esto se debe a una limitación en la implementación del protocolo WebRTC en Firefox.
**importante**
A partir del 1 de octubre de 2020, los clientes ya no podrán usar el cliente Amazon WorkSpaces Web Access para conectarse a Windows 7 custom WorkSpaces o a Windows 7 Bring Your Own License (BYOL) WorkSpaces.
## Paso 1: Habilite el acceso web a su WorkSpaces
Usted controla el acceso web WorkSpaces a su directorio. Para cada directorio WorkSpaces que contenga y al que desee permitir el acceso de los usuarios a través del cliente de acceso web, lleve a cabo los siguientes pasos.
**Para habilitar el acceso web a su WorkSpaces**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. En la columna **ID de directorio**, seleccione el ID del directorio para el que desea habilitar el acceso web.
1. En la página **Detalles del directorio**, desplácese hasta la sección **Otras plataformas** y seleccione **Editar**.
1. Elija **Acceso web**.
1. Seleccione **Save**.
**nota**
Después de habilitar el acceso web, reinicie el suyo WorkSpace para que se aplique el cambio.
## Paso 2: Configurar el acceso de entrada y salida a los puertos para Acceso web
Amazon WorkSpaces Web Access requiere acceso entrante y saliente a determinados puertos. Para obtener más información, consulte [Puertos para Acceso web](workspaces-port-requirements.md#web-access-ports).
## Paso 3: Configurar las políticas de grupo y de seguridad para que los usuarios puedan iniciar sesión
Amazon WorkSpaces se basa en una configuración de pantalla de inicio de sesión específica para permitir a los usuarios iniciar sesión correctamente desde su cliente de acceso web.
Para permitir que los usuarios de Web Access inicien sesión en su cuenta WorkSpaces, debe configurar una política de grupo y tres ajustes de política de seguridad. Si estas opciones no están configuradas correctamente, es posible que los usuarios experimenten tiempos de inicio de sesión prolongados o pantallas negras cuando intenten iniciar sesión en su WorkSpaces Para configurar estas opciones, utilice los procedimientos siguientes.
Puede usar los objetos de política de grupo (GPOs) para aplicar la configuración y administrar Windows WorkSpaces o los usuarios que forman parte de su WorkSpaces directorio de Windows. Se recomienda crear una unidad organizativa para los objetos de WorkSpaces ordenador y una unidad organizativa para los objetos WorkSpaces de usuario.
Para obtener información sobre cómo utilizar las herramientas de administración de Active Directory para trabajar con ellas GPOs, consulte [Instalación de las herramientas de administración de Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) en la *Guía de AWS Directory Service administración*.
**Para permitir que el agente de WorkSpaces inicio de sesión cambie de usuario**
En la mayoría de los casos, cuando un usuario intenta iniciar sesión en un WorkSpace, el campo del nombre de usuario se rellena previamente con el nombre de ese usuario. Sin embargo, si un administrador ha establecido una conexión RDP con el WorkSpace para realizar tareas de mantenimiento, el campo del nombre de usuario se rellena con el nombre del administrador.
Para evitar este problema, deshabilite la opción de política de grupo **Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario)**. Al deshabilitar esta configuración, el agente de inicio de WorkSpaces sesión puede usar el botón **Cambiar de usuario** para rellenar el campo del nombre de usuario con el nombre correcto.
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que utiliza para su. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración de equipo)**, **Policies (Políticas)**, **Administrative Templates (Plantillas administrativas)**, **System (Sistema)** y **Logon (Inicio de sesión)**.
1. Abra la configuración de **Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario)**.
1. En el cuadro de diálogo **Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario)**, elija **Disabled (Deshabilitado)** y, a continuación, elija **OK (Aceptar)**.
De forma predeterminada, se muestra la lista de los últimos usuarios que han iniciado sesión en lugar del botón **Switch User (Cambiar usuario)**. Según la configuración del WorkSpace, es posible que la lista no muestre el icono **Otros usuarios**. Cuando se produce esta situación, si el nombre de usuario rellenado previamente no es correcto, el agente de inicio de WorkSpaces sesión no podrá rellenar el campo con el nombre correcto.
Para evitar este problema, active la opción **Interactive logon: Don't display last signed-in (Inicio de sesión interactivo: no mostrar el último inicio de sesión)** o **Interactive logon: Do not display last user name (Inicio de sesión interactivo: no mostrar el último nombre de usuario)** (según cuál sea la versión de Windows que utilice) de la política de seguridad.
**Para ocultar el último nombre de usuario que ha iniciado sesión**
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que usa para su. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración del equipo)**, **Windows Settings (Configuración de Windows)**, **Security Settings (Configuración de seguridad)**, **Local Policies (Políticas locales)** y **Security Options (Opciones de seguridad)**.
1. Abra una de las siguientes opciones de configuración:
+ En Windows 7: **Inicio de sesión interactivo: No mostrar el último inicio de sesión**
+ En Windows 10: **Inicio de sesión interactivo: No mostrar el último nombre de usuario**
1. En el cuadro de diálogo **Properties (Propiedades)** de la configuración, elija **Enabled (Habilitado)** y, a continuación, elija **OK (Aceptar)**.
**Para que sea obligatorio que los usuarios pulsen CTRL\$1ALT\$1SUPR con el fin de iniciar sesión**
Para acceder a la WorkSpaces web, debe exigir a los usuarios que presionen CTRL\$1ALT\$1DEL para poder iniciar sesión. Requerir que los usuarios pulsen CTRL\$1ALT\$1SUPR con el fin de iniciar sesión garantiza que utilicen una ruta de acceso de confianza al introducir sus contraseñas.
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que utiliza para su. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración del equipo)**, **Windows Settings (Configuración de Windows)**, **Security Settings (Configuración de seguridad)**, **Local Policies (Políticas locales)** y **Security Options (Opciones de seguridad)**.
1. Abra la opción **Interactive logon: Do not require CTRL\$1ALT\$1DEL (Inicio de sesión interactivo: no requerir CTRL\$1ALT\$1SUPR)**.
1. En la pestaña **Local Security Setting (Opción de seguridad local)**, elija **Disabled (Deshabilitado)** y, a continuación, seleccione **OK (Aceptar)**.
**Para mostrar la información de dominio y usuario cuando la sesión está bloqueada**
El agente de WorkSpaces inicio de sesión busca el nombre y el dominio del usuario. Después de configurar esta opción, la pantalla de bloqueo mostrará el nombre completo del usuario (si se ha especificado en Active Directory), su nombre de dominio y su nombre de usuario.
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y navegue hasta un GPO en el nivel de dominio o controlador de dominio del directorio que utilice para el suyo y selecciónelo. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración del equipo)**, **Windows Settings (Configuración de Windows)**, **Security Settings (Configuración de seguridad)**, **Local Policies (Políticas locales)** y **Security Options (Opciones de seguridad)**.
1. Abra el parámetro **Interactive logon: Display user information when the session is locked (Inicio de sesión interactivo: mostrar información del usuario cuando la sesión está bloqueada)**.
1. En la pestaña **Local Security Setting (Configuración de seguridad local)** elija **User display name, domain and user names (Nombre para mostrar de usuario, nombres de dominio y de usuario)** y, a continuación, elija **OK (Aceptar)**.
**Para aplicar los cambios de configuración de política de grupo y política de seguridad**
Los cambios en la configuración de la política de grupo y la política de seguridad se aplican después de la siguiente actualización de la política de grupo WorkSpace y después de que se reinicie la WorkSpace sesión. Para aplicar los cambios de política de grupo y política de seguridad de los procedimientos anteriores, siga uno de estos procedimientos:
+ Reinicie el WorkSpace (en la WorkSpaces consola de Amazon, seleccione y WorkSpace, a continuación, elija **Acciones**, **Reiniciar WorkSpaces**).
+ En el símbolo del sistema administrativo, introduzca **gpupdate /force**.
# Configurar WorkSpaces Thin Client
La mayoría de WorkSpaces los paquetes son compatibles con Amazon WorkSpaces Thin Client Access. Para ver una lista de los paquetes de Amazon WorkSpaces compatibles con el acceso a navegadores web, consulta «¿Qué WorkSpaces paquetes de Amazon admiten Thin Client Access?» en [Acceso de clientes, Acceso web y Experiencia de usuario](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).
## Paso 1: Habilite el control de acceso a su Amazon WorkSpaces Thin Client
Usted controla el acceso de Thin Client WorkSpaces a su directorio mediante un control de acceso basado en agentes de usuario. Siga los siguientes pasos para cada directorio al WorkSpaces que desee permitir el acceso de los usuarios a través del cliente Thin Client Access.
**Para habilitar el acceso de Thin Client a su WorkSpaces**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/versión 2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **Directories (Directorios)**.
1. En la columna **ID de directorio**, seleccione el ID del directorio para el que desea habilitar el acceso de cliente ligero.
1. En la página **Detalles del directorio**, desplácese hasta la sección **Otras plataformas** y seleccione **Editar**.
1. Seleccione **WorkSpaces Thin Client**.
1. Seleccione **Save**.
## Paso 2: configuración del acceso de entrada y salida a los puertos para el acceso de cliente ligero
Amazon WorkSpaces Thin Client Access requiere acceso entrante y saliente a determinados puertos. Para obtener más información, consulte [Puertos para Acceso web](workspaces-port-requirements.md#web-access-ports).
## Paso 3: Configurar las políticas de grupo y de seguridad para que los usuarios puedan iniciar sesión
Amazon WorkSpaces se basa en una configuración de pantalla de inicio de sesión específica para permitir a los usuarios iniciar sesión correctamente desde su cliente Thin Client Access.
1. Para permitir que los usuarios de Thin Client Access inicien sesión en su cuenta WorkSpaces, debe configurar una política de grupo y tres ajustes de política de seguridad. Si estas opciones no están configuradas correctamente, es posible que los usuarios experimenten tiempos de inicio de sesión prolongados o pantallas negras cuando intenten iniciar sesión en sus WorkSpaces Para configurar estas opciones, utilice los procedimientos siguientes.
1. Puede usar los objetos de política de grupo (GPOs) para aplicar la configuración y administrar Windows WorkSpaces o los usuarios que forman parte de su WorkSpaces directorio de Windows. Se recomienda crear una unidad organizativa para los objetos de WorkSpaces ordenador y una unidad organizativa para los objetos WorkSpaces de usuario.
1. Para obtener información sobre cómo utilizar las herramientas de administración de Active Directory para trabajar con ellas GPOs, consulte [Instalación de las herramientas de administración de Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) en la *Guía de AWS Directory Service administración*.
1. En la mayoría de los casos, cuando un usuario intenta iniciar sesión en un WorkSpace, el campo del nombre de usuario se rellena previamente con el nombre de ese usuario. Sin embargo, si un administrador ha establecido una conexión RDP con el WorkSpace para realizar tareas de mantenimiento, el campo del nombre de usuario se rellena con el nombre del administrador.
1. Para evitar este problema, deshabilite la opción de política de grupo **Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario)**. Al deshabilitar esta configuración, el agente de inicio de WorkSpaces sesión puede usar el botón **Cambiar de usuario** para rellenar el campo del nombre de usuario con el nombre correcto.
**Para permitir que el agente de inicio de WorkSpaces sesión cambie de usuario**
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que utiliza para su. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración de equipo)**, **Policies (Políticas)**, **Administrative Templates (Plantillas administrativas)**, **System (Sistema)** y **Logon (Inicio de sesión)**.
1. Abra la configuración de **Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario)**.
1. En el cuadro de diálogo **Hide entry points for Fast User Switching (Ocultar los puntos de entrada para cambiar rápido de usuario)**, elija **Disabled (Deshabilitado)** y, a continuación, elija **OK (Aceptar)**.
De forma predeterminada, se muestra la lista de los últimos usuarios que han iniciado sesión en lugar del botón **Switch User (Cambiar usuario)**. Según la configuración del WorkSpace, es posible que la lista no muestre el icono **Otros usuarios**. Cuando se produce esta situación, si el nombre de usuario rellenado previamente no es correcto, el agente de inicio de WorkSpaces sesión no podrá rellenar el campo con el nombre correcto.
Para evitar este problema, active la opción **Interactive logon: Don't display last signed-in (Inicio de sesión interactivo: no mostrar el último inicio de sesión)** o **Interactive logon: Do not display last user name (Inicio de sesión interactivo: no mostrar el último nombre de usuario)** (según cuál sea la versión de Windows que utilice) de la política de seguridad.
**Para ocultar el último nombre de usuario que ha iniciado sesión**
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que usa para su. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración del equipo)**, **Windows Settings (Configuración de Windows)**, **Security Settings (Configuración de seguridad)**, **Local Policies (Políticas locales)** y **Security Options (Opciones de seguridad)**.
1. Abra una de las siguientes opciones de configuración:
+ En Windows 7: **Inicio de sesión interactivo: No mostrar el último inicio de sesión**
+ En Windows 10: **Inicio de sesión interactivo: No mostrar el último nombre de usuario**
1. En el cuadro de diálogo **Properties (Propiedades)** de la configuración, elija **Enabled (Habilitado)** y, a continuación, elija **OK (Aceptar)**.
Para WorkSpaces Thin Client Access, debe exigir a los usuarios que presionen CTRL\$1ALT\$1DEL para poder iniciar sesión. Requerir que los usuarios pulsen CTRL\$1ALT\$1SUPR con el fin de iniciar sesión garantiza que utilicen una ruta de acceso de confianza al introducir sus contraseñas.
**Para que sea obligatorio que los usuarios pulsen CTRL\$1ALT\$1SUPR con el fin de iniciar sesión**
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que utiliza para su. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración del equipo)**, **Windows Settings (Configuración de Windows)**, **Security Settings (Configuración de seguridad)**, **Local Policies (Políticas locales)** y **Security Options (Opciones de seguridad)**.
1. Abra la opción **Interactive logon: Do not require CTRL\$1ALT\$1DEL (Inicio de sesión interactivo: no requerir CTRL\$1ALT\$1SUPR)**.
1. En la pestaña **Local Security Setting (Opción de seguridad local)**, elija **Disabled (Deshabilitado)** y, a continuación, seleccione **OK (Aceptar)**.
El agente de WorkSpaces inicio de sesión busca el nombre y el dominio del usuario. Después de configurar esta opción, la pantalla de bloqueo mostrará el nombre completo del usuario (si se ha especificado en Active Directory), su nombre de dominio y su nombre de usuario.
**Para mostrar la información de dominio y usuario cuando la sesión está bloqueada**
1. Abra la herramienta de administración de políticas de grupo (**gpmc.msc**) y busque y seleccione un GPO en el nivel de dominio o controlador de dominio del directorio que utiliza para el suyo. WorkSpaces (Si tiene la [plantilla administrativa de política de WorkSpaces grupo](group_policy.md#gp_install_template) instalada en su dominio, puede usar el WorkSpaces GPO para las cuentas de sus WorkSpaces máquinas).
1. Elija **Action**, **Edit** en el menú principal.
1. En el editor de administración de políticas de grupo, elija **Computer Configuration (Configuración del equipo)**, **Windows Settings (Configuración de Windows)**, **Security Settings (Configuración de seguridad)**, **Local Policies (Políticas locales)** y **Security Options (Opciones de seguridad)**.
1. Abra el parámetro **Interactive logon: Display user information when the session is locked (Inicio de sesión interactivo: mostrar información del usuario cuando la sesión está bloqueada)**.
1. En la pestaña **Local Security Setting (Configuración de seguridad local)** elija **User display name, domain and user names (Nombre para mostrar de usuario, nombres de dominio y de usuario)** y, a continuación, elija **OK (Aceptar)**.
Los cambios en la configuración de la política de grupo y la política de seguridad se aplican después de la siguiente actualización de la política de grupo WorkSpace y después de que se reinicie la WorkSpace sesión. Para aplicar los cambios de política de grupo y política de seguridad de los procedimientos anteriores, siga uno de estos procedimientos:
**Para aplicar los cambios de configuración de política de grupo y política de seguridad**
1. Reinicie el WorkSpace (en la WorkSpaces consola de Amazon, seleccione y WorkSpace, a continuación, elija **Acciones**, **Reiniciar WorkSpaces**).
1. En el símbolo del sistema administrativo, introduzca **gpupdate /force**.
# Configure la autorización de FedRAMP o el cumplimiento de las normas SRG del DoD para personal WorkSpaces
Para cumplir con el [Programa federal de gestión de riesgos y autorizaciones (FedRAMP](https://aws.amazon.com/compliance/fedramp/)) o [la Guía de requisitos de seguridad de la computación en nube (SRG) del Departamento de Defensa (DoD)](https://aws.amazon.com/compliance/dod/), debe configurar WorkSpaces Amazon para que utilice el cifrado de puntos finales de los estándares federales de procesamiento de información (FIPS) a nivel de directorio. También debe utilizar una AWS región de EE. UU. que cuente con la autorización de FedRAMP o que cumpla con las normas SRG del DoD.
El nivel de autorización de FedRAMP (moderado o alto) o el nivel de impacto SRG del DoD (2, 4 o 5) depende de la AWS región de EE. UU. en la que se utilice Amazon. WorkSpaces
Para conocer los niveles de autorización de FedRAMP y conformidad con DoD SRG que se aplican a cada región, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
**nota**
Además de utilizar el cifrado de punto final FIPS, también puede cifrar su. WorkSpaces Para obtener más información, consulte [WorkSpaces Cifrado en WorkSpaces modo personal](encrypt-workspaces.md).
**Requisitos de**
+ Debe crearlo WorkSpaces en una [AWS región de EE. UU. que cuente con la autorización de FedRAMP o que](https://aws.amazon.com/compliance/services-in-scope/) cumpla con las normas SRG del DoD.
+ El WorkSpaces directorio debe configurarse para usar el modo validado por **FIPS 140-2 para el cifrado** de puntos finales.
**nota**
Para usar la configuración del **modo validado por FIPS 140-2**, el WorkSpaces directorio debe ser nuevo o todos los existentes WorkSpaces en el directorio deben usar el modo validado por **FIPS 140-2** para el cifrado de los puntos finales. De lo contrario, no podrá usar esta configuración y, por lo tanto, la WorkSpaces que cree no cumplirá con los requisitos de seguridad de FedRAMP o DoD.
Consulte el [paso 3](#step3-fips) que aparece a continuación para obtener más información sobre cómo verificar el directorio.
+ Los usuarios deben acceder a ellas WorkSpaces desde una de las siguientes aplicaciones cliente: WorkSpaces
+ Windows 2.4.3 o posterior
+ macOS: 2.4.3 o posterior para PCo IP WorkSpaces y 5.21.0 o posterior para DCV WorkSpaces
+ Linux: 3.0.0 o posterior
+ iOS 2.4.1 o posterior
+ Android: 2.4.1 o posterior
+ Fire Tablet: 2.4.1 o posterior
+ ChromeOS: 2.4.1 o posterior
+ Acceso web
**Para utilizar el cifrado de punto de enlace de FIPS**
1. [Abre la consola en la versión WorkSpaces v2/home. https://console.aws.amazon.com/workspaces/](https://console.aws.amazon.com/workspaces/v2/home)
1. En el panel de navegación, elija **Directories (Directorios)**.
1. Compruebe que el directorio en el que desea crear, autorizado por FedRAMP y compatible con SRG del DoD, WorkSpaces no tenga ningún directorio asociado. WorkSpaces Si están WorkSpaces asociados al directorio y el directorio aún no está habilitado para usar el modo validado por FIPS 140-2, finalice el directorio o cree uno nuevo. WorkSpaces
1. Elija el directorio que cumpla los criterios anteriores y, a continuación, elija **Actions (Acciones)**,**Update Details**(Actualizar detalles).
1. En la página **Update Directory Details(Actualizar detalles del directorio)** elija la flecha para ampliar la sección **Access Control Options (Acceder a las opciones de control)** .
1. En **Endpoint Encryption**, elija **FIPS 140-2 Validated Mode** en lugar de **TLS Encryption Mode (Standard)**.
1. Elija **Update and Exit**.
1. Ahora puede crear WorkSpaces desde este directorio que estén autorizados por FedRAMP y cumplan con las normas SRG del DoD. [Para acceder a ellas WorkSpaces, los usuarios deben usar una de las aplicaciones WorkSpaces cliente enumeradas anteriormente en la sección de requisitos.](#fedramp-requirements)
# Habilite las conexiones SSH para su Linux WorkSpaces en Personal WorkSpaces
Si usted o sus usuarios desean conectarse a su Linux WorkSpaces mediante la línea de comandos, pueden habilitar las conexiones SSH. Puede habilitar las conexiones SSH para todos los miembros WorkSpaces de un directorio o para personas de WorkSpaces un directorio.
Para habilitar las conexiones SSH, crea un nuevo grupo de seguridad o actualiza un grupo de seguridad existente y añade una regla para permitir el tráfico de entrada con este fin. Los grupos de seguridad actúan como firewall para las instancias asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Después de crear o actualizar el grupo de seguridad, los usuarios y otras personas pueden usar PuTTY u otros terminales para conectarse desde sus dispositivos a su Linux. WorkSpaces Para obtener más información, consulte [Grupos de seguridad para WorkSpaces Personal](amazon-workspaces-security-groups.md).
Para ver un tutorial en vídeo, consulta [¿Cómo puedo conectarme a mi Amazon Linux WorkSpaces mediante SSH](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/)? en el Centro de AWS Conocimiento. Este tutorial es WorkSpaces solo para Amazon Linux 2.
**Topics**
+ [Requisitos previos para las conexiones SSH a Linux WorkSpaces](#before-you-begin-enable-ssh-linux-workspaces)
+ [Habilite las conexiones SSH a todos los Linux WorkSpaces de un directorio](#enable-ssh-directory-level-access-linux-workspaces)
+ [Autenticación basada en contraseña en WorkSpaces](#enable-ssh-access-old-version)
+ [Habilite las conexiones SSH a un Linux específico WorkSpace](#enable-ssh-access-specific-linux-workspace)
+ [Conéctate a un Linux WorkSpace mediante Linux o PuTTY](#ssh-connection-linux-workspace-using-linux-or-putty)
## Requisitos previos para las conexiones SSH a Linux WorkSpaces
+ Habilitar el tráfico SSH entrante en un WorkSpace : para agregar una regla que permita el tráfico SSH entrante a uno o más Linux WorkSpaces, asegúrese de tener las direcciones IP públicas o privadas de los dispositivos que requieren conexiones SSH en su dispositivo. WorkSpaces Por ejemplo, puede especificar las direcciones IP públicas de los dispositivos fuera de su nube privada virtual (VPC) o la dirección IP privada de otra instancia de EC2 en la misma VPC que la suya. WorkSpace
[Si planea conectarse a una WorkSpace desde su dispositivo local, puede utilizar la frase de búsqueda «cuál es mi dirección IP» en un navegador de Internet o utilizar el siguiente servicio: Check IP.](https://checkip.amazonaws.com/)
+ Conexión a un WorkSpace : se requiere la siguiente información para iniciar una conexión SSH desde un dispositivo a un dispositivo Linux. WorkSpace
+ El nombre NetBIOS del dominio de Active Directory al que está conectado.
+ Su nombre WorkSpace de usuario.
+ La dirección IP pública o privada a la WorkSpace que desea conectarse.
Privada: si su VPC está conectada a una red corporativa y tiene acceso a esa red, puede especificar la dirección IP privada de la. WorkSpace
Pública: si WorkSpace tiene una dirección IP pública, puede usar la WorkSpaces consola para buscar la dirección IP pública, tal y como se describe en el siguiente procedimiento.
**Para encontrar las direcciones IP del Linux al WorkSpace que desea conectarse y su nombre de usuario**
1. Abra la WorkSpaces consola en la [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. En el panel de navegación, elija **WorkSpaces**.
1. En la lista de WorkSpaces, selecciona aquella a la WorkSpace que deseas habilitar las conexiones SSH.
1. En la columna **Modo de ejecución**, confirme que el WorkSpace estado es **Disponible**.
1. Haga clic en la flecha situada a la izquierda del WorkSpace nombre para ver el resumen integrado y anote la siguiente información:
+ La **WorkSpace IP**. Esta es la dirección IP privada del WorkSpace.
La dirección IP privada es necesaria para obtener la interfaz de red elástica asociada a WorkSpace. La interfaz de red es necesaria para recuperar información como el grupo de seguridad o la dirección IP pública asociada al WorkSpace.
+ El WorkSpace **nombre de usuario**. Es el nombre de usuario que se especifica para conectarse al WorkSpace.
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, elija **Network Interfaces**.
1. En el cuadro de búsqueda, escriba la **WorkSpace IP** que anotó en el paso 5.
1. Seleccione la interfaz de red asociada a la **WorkSpaceIP**.
1. Si WorkSpace tiene una dirección IP pública, aparecerá en la columna **IP IPv4 pública**. Anote esta dirección IP pública, si procede.
**Para encontrar el nombre NetBIOS del dominio de Active Directory al que está conectado**
1. Abra la Directory Service consola en [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. En la lista de directorios, haga clic en el enlace del **ID** de directorio del directorio del WorkSpace.
1. En la sección **Directory details (Detalles del directorio)**, anote el **Directory NetBIOS name (Nombre NetBIOS del directorio)**.
## Habilite las conexiones SSH a todos los Linux WorkSpaces de un directorio
Para habilitar las conexiones SSH a todos los Linux WorkSpaces de un directorio, haga lo siguiente.
**Para crear un grupo de seguridad con una regla que permita el tráfico SSH entrante a todos los Linux WorkSpaces de un directorio**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija **Creación de grupo de seguridad**.
1. Escriba un nombre y, de forma opcional, una descripción para su grupo de seguridad.
1. Para la **VPC**, elija la VPC que contiene la VPC a la WorkSpaces que desea habilitar las conexiones SSH.
1. En la pestaña **Inbound (Entrada)**, elija **Add Rule (Añadir regla)** y haga lo siguiente:
+ En **Tipo**, seleccione **SSH**.
+ En **Protocol (Protocolo)**, TCP se especifica automáticamente al elegir **SSH**.
+ En **Port Range (Rango de puertos)**, 22 se especifica automáticamente al elegir **SSH**.
+ En **Source**, especifique el rango CIDR de las direcciones IP públicas de las computadoras que los usuarios utilizarán para conectarse a las suyas. WorkSpaces Por ejemplo, una red corporativa o una red doméstica.
+ En **Description (Descripción)** (opcional), escriba una descripción para la regla.
1. Seleccione **Crear**.
1. Adjunte este grupo de seguridad a su. WorkSpaces Para obtener más información sobre cómo agregar este grupo de seguridad al suyo WorkSpaces, consulte[Grupos de seguridad para WorkSpaces Personal](amazon-workspaces-security-groups.md). Si desea adjuntar automáticamente grupos de seguridad adicionales al suyo WorkSpaces, consulte esta entrada de [blog](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/).
## Autenticación basada en contraseña en WorkSpaces
**Para habilitar la autenticación por contraseña en el Linux recién creado WorkSpaces**
1. Inicie el WorkSpaces cliente e inicie sesión en su WorkSpace.
1. Abra la ventana Terminal.
1. En la ventana Terminal, ejecute el siguiente comando para habilitar la autenticación mediante contraseña SSH en cloud-init.
```
sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
```
Este script hará lo siguiente:
+ Crear un archivo de configuración en el directorio de cloud-init `/etc/cloud/cloud.cfg.d/`.
+ Modificar el archivo de configuración para indicar a cloud-init que habilite la autenticación mediante contraseña SSH.
+ Restablecer el módulo de cloud-init `set-passwords` para que pueda volver a ejecutarse.
+ Ejecutar automáticamente el módulo de cloud-init `set-passwords`. Esto escribirá un archivo que permite la autenticación mediante contraseña SSH en el directorio de configuración de SSH, `/etc/ssh/sshd_config.d/`, y reiniciará SSHD para que la configuración tenga efecto inmediatamente.
Esto permite la autenticación mediante contraseña SSH WorkSpace y se conservará en las imágenes personalizadas. Si habilitas la autenticación con contraseña SSH solo en el archivo de configuración de SSHD, sin configurar cloud-init, la configuración no se conservará durante la generación de imágenes en algunos Linux. WorkSpaces Para obtener más información, consulte [Set Passwords]() en la documentación del módulo de cloud-init.
**Para deshabilitar la autenticación por contraseña en los Linux existentes WorkSpaces**
1. Inicie el WorkSpaces cliente e inicie sesión en su WorkSpace.
1. Abra la ventana Terminal.
1. En la ventana Terminal, ejecute el siguiente comando para deshabilitar la autenticación mediante contraseña SSH en cloud-init.
```
sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
```
Este script hará lo siguiente:
+ Crear un archivo de configuración en el directorio de cloud-init `/etc/cloud/cloud.cfg.d/`.
+ Modificar el archivo de configuración para indicar a cloud-init que deshabilite la autenticación mediante contraseña SSH.
+ Restablecer el módulo de cloud-init `set-passwords` para que pueda volver a ejecutarse.
+ Ejecutar automáticamente el módulo de cloud-init `set-passwords`. Esto escribirá un archivo que permite la autenticación mediante contraseña SSH en el directorio de configuración de SSH, `/etc/ssh/sshd_config.d/`, y reiniciará SSHD para que la configuración tenga efecto inmediatamente.
Esto deshabilita inmediatamente el SSH en las imágenes personalizadas WorkSpace y persistirá en ellas.
## Habilite las conexiones SSH a un Linux específico WorkSpace
Para habilitar las conexiones SSH a un Linux específico WorkSpace, haga lo siguiente.
**Para agregar una regla a un grupo de seguridad existente para permitir el tráfico SSH entrante a un Linux específico WorkSpace**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. En el panel de navegación, en **Network & Security (Red y seguridad)**, seleccione **Network Interfaces (Interfaces de red)**.
1. En la barra de búsqueda, escriba la dirección IP privada a la WorkSpace que desea habilitar las conexiones SSH.
1. En la columna **Security groups (Grupos de seguridad)**, haga clic en el enlace para el grupo de seguridad.
1. En la pestaña **Inbound (Entrada)**, seleccione **Edit (Edición de)**.
1. Elija** Add Rule (Añadir regla)** y, a continuación, haga lo siguiente:
+ En **Tipo**, seleccione **SSH**.
+ En **Protocol (Protocolo)**, TCP se especifica automáticamente al elegir **SSH**.
+ En **Port Range (Rango de puertos)**, 22 se especifica automáticamente al elegir **SSH**.
+ En **Source (Fuente)**, elija **My IP (Mi IP)** o **Custom (Personalizado)** y especifique una sola dirección IP o un rango de direcciones IP en notación CIDR. Por ejemplo, si su IPv4 dirección es`203.0.113.25`, especifique `203.0.113.25/32` que se muestre esta IPv4 dirección única en notación CIDR. Si su empresa asigna direcciones de un rango, especifíquelo; por ejemplo, `203.0.113.0/24`.
+ En **Description (Descripción)** (opcional), escriba una descripción para la regla.
1. Seleccione **Save**.
## Conéctate a un Linux WorkSpace mediante Linux o PuTTY
Tras crear o actualizar el grupo de seguridad y añadir la regla necesaria, los usuarios y otras personas pueden utilizar Linux o PuTTY para conectarse desde sus dispositivos al suyo. WorkSpaces
**nota**
Antes de completar cualquiera de los siguientes procedimientos, asegúrese de que tiene lo siguiente:
El nombre NetBIOS del dominio de Active Directory al que está conectado.
El nombre de usuario que utiliza para conectarse al WorkSpace.
La dirección IP pública o privada de la WorkSpace que desea conectarse.
Para obtener instrucciones sobre cómo obtener esta información, consulte la sección «Requisitos previos para las conexiones SSH a Linux WorkSpaces», que aparece anteriormente en este tema.
**Para conectarse a un Linux mediante Linux WorkSpace**
1. Abra el símbolo del sistema como administrador e introduzca el siguiente comando. Para *NetBIOS name**Username*, y*WorkSpace IP*, introduzca los valores aplicables.
```
ssh "NetBIOS_NAME\Username"@WorkSpaceIP
```
A continuación, mostramos un ejemplo del comando SSH donde:
+ *NetBIOS\$1NAME*Es cualquier empresa
+ Ella *Username * es Jane Doe
+ El *WorkSpace IP* es 203.0.113.25
```
ssh "anycompany\janedoe"@203.0.113.25
```
1. Cuando se le pida, introduzca la misma contraseña que utilizó al autenticarse con el WorkSpaces cliente (su contraseña de Active Directory).
**Para conectarse a un Linux WorkSpace mediante PuTTY**
1. Abra PuTTY.
1. En el cuadro de diálogo **PuTTY Configuration (Configuración de PuTTY)**, haga lo siguiente:
+ En **Host Name (or IP address) [Nombre de host (o dirección IP)]**, escriba el siguiente comando. Sustituya los valores por el nombre NetBIOS del dominio de Active Directory al que está conectado, el nombre de usuario que utiliza para conectarse y la dirección IP del dominio al WorkSpace que desea conectarse. WorkSpace
```
NetBIOS_NAME\Username@WorkSpaceIP
```
+ En **Puerto**, escriba **22**.
+ En **Connection type (Tipo de conexión)**, elija **SSH**.
Para ver un ejemplo del comando SSH, consulte el paso 1 en el procedimiento anterior.
1. Elija **Open**.
1. Cuando se le pida, introduzca la misma contraseña que utilizó al autenticarse con el WorkSpaces cliente (su contraseña de Active Directory).
# Componentes de configuración y servicio necesarios para WorkSpaces Personal
Como WorkSpace administrador, debe comprender lo siguiente sobre los componentes de configuración y servicio necesarios.
+ [Configuración necesaria de la tabla de ruteo](#routing-table-configuration)
+ [Componentes de servicio necesarios para Windows](#required-service-components-windows)
+ [Componentes de servicio necesarios para Linux](#required-service-components-linux)
+ [Componentes de servicio necesarios para Ubuntu](#required-service-components-ubuntu)
+ [Componentes de servicio necesarios para Rocky Linux](#required-service-components-rocky)
+ [Componentes de servicio necesarios para Red Hat Enterprise Linux](#required-service-components-red-hat)
## Configuración necesaria de la tabla de ruteo
Se recomienda no modificar la tabla de enrutamiento a nivel del sistema operativo para un. WorkSpace El WorkSpaces servicio requiere las rutas preconfiguradas de esta tabla para monitorear el estado del sistema y actualizar los componentes del sistema. Si su organización requiere cambios en la tabla de enrutamiento, póngase en contacto con AWS Support o con el equipo de su AWS cuenta antes de aplicar cualquier cambio.
## Componentes de servicio necesarios para Windows
En Windows WorkSpaces, los componentes de servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, no WorkSpace funcionará correctamente.
Si hay un software antivirus instalado en el WorkSpace, asegúrese de que no interfiera con los componentes de servicio instalados en las siguientes ubicaciones.
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`
Si hay software antivirus instalado en el WorkSpaces Core, asegúrese de que no interfiera con los componentes de servicio instalados en las siguientes ubicaciones.
+ C:\$1Archivos de programa\$1Amazon
+ C:\$1ProgramData\$1 Amazon
### Agente PCo IP de 32 bits
El 29 de marzo de 2021, actualizamos el agente PCo IP de 32 bits a 64 bits. En el caso de Windows WorkSpaces que utilizan el protocolo PCo IP, esto significa que la ubicación de los archivos de Teradici ha cambiado de a. `C:\Program Files (x86)\Teradici` `C:\Program Files\Teradici` Como actualizamos los agentes PCo IP durante los períodos de mantenimiento habituales, es WorkSpaces posible que algunos de ustedes hayan utilizado el agente de 32 bits durante más tiempo que otros durante la transición.
Si ha configurado reglas de cortafuegos, exclusiones de software antivirus (en el lado del cliente y en el lado del host), ajustes de objetos de política de grupo (GPO) o ajustes para Microsoft System Center Configuration Manager (SCCM), Microsoft Endpoint Configuration Manager o herramientas de gestión de configuración similares basadas en la ruta completa al agente de 32 bits, también debe añadir la ruta completa al agente de 64 bits a esos ajustes.Traducción realizada con la versión gratuita del traductor www.DeepL.com/Translator
**Si va a filtrar las rutas a algún componente PCo IP de 32 bits, asegúrese de añadir las rutas a las versiones de 64 bits de los componentes. Como es WorkSpaces posible que no se actualicen todos al mismo tiempo, no sustituya la ruta de 32 bits por la ruta de 64 bits o es WorkSpaces posible que algunas de las suyas no funcionen.** Por ejemplo, si basa sus exclusiones o filtros de comunicación en `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe`, también debe añadir `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe`. Por ejemplo, si está basando sus exclusiones o filtros de comunicación en `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe`, también debe añadir `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe`.
**PCoCambio en el servicio de arbitraje de IP**: tenga en cuenta que el servicio de arbitraje de PCo IP (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`) se eliminará cuando WorkSpaces se actualice para utilizar el agente de 64 bits.
**PCoClientes IP cero y dispositivos USB**: a partir de la versión 20.10.4 del agente PCo IP, Amazon WorkSpaces deshabilita la redirección USB de forma predeterminada a través del registro de Windows. Esta configuración de registro afecta al comportamiento de los periféricos USB cuando los usuarios utilizan dispositivos cliente de PCo IP cero para conectarse a sus dispositivos. WorkSpaces Para obtener más información, consulte [Las impresoras USB y otros periféricos USB no funcionan para los clientes con IP cero PCo](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).
## Componentes de servicio necesarios para Linux
En Amazon Linux WorkSpaces, los componentes del servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, no WorkSpace funcionará correctamente.
**nota**
Hacer cambios en los archivos de otro tipo `/etc/pcoip-agent/pcoip-agent.conf` puede provocar que deje de funcionar y que tenga que volver a construirlos. WorkSpaces Para obtener información sobre cómo modificar `/etc/pcoip-agent/pcoip-agent.conf`, consulte [Administre su Amazon Linux 2 WorkSpaces en modo WorkSpaces personal](manage_linux_workspace.md).
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent`
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics`
## Componentes de servicio necesarios para Ubuntu
En Ubuntu WorkSpaces, los componentes del servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, no WorkSpace funcionará correctamente.
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics`
## Componentes de servicio necesarios para Rocky Linux
En Red Hat Enterprise Linux WorkSpaces, los componentes del servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, no WorkSpace funcionará correctamente.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`
## Componentes de servicio necesarios para Red Hat Enterprise Linux
En Red Hat Enterprise Linux WorkSpaces, los componentes del servicio se instalan en las siguientes ubicaciones. No elimine, cambie, bloquee o ponga en cuarentena estos objetos. Si lo hace, no WorkSpace funcionará correctamente.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`