Redireccionamiento entre regiones en WorkSpaces Personal - Amazon WorkSpaces
Requisitos previosLimitacionesPaso 1: crear alias de conexión(Opcional) Paso 2: compartir un alias de conexión con otra cuentaPaso 3: asociar los alias de conexión a los directorios de cada regiónPaso 4: configurar el servicio de DNS y las políticas de enrutamiento de DNSPaso 5: enviar la cadena de conexión a los usuarios de WorkSpacesDiagrama de arquitectura de redireccionamiento entre regionesInicio del redireccionamiento entre regionesQué ocurre durante el redireccionamiento entre regionesDesasociar un alias de conexión de un directorioDejar de compartir un alias de conexiónEliminar un alias de conexiónPermisos de IAM para asociar y desasociar los alias de conexiónConsideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones

Redireccionamiento entre regiones en WorkSpaces Personal

Con la característica de redireccionamiento entre regiones de Amazon WorkSpaces, puede utilizar un nombre de dominio completo (FQDN) como código de registro para sus WorkSpaces. El redireccionamiento entre regiones funciona con sus políticas de enrutamiento del sistema de nombres de dominio (DNS) para redirigir a los usuarios de WorkSpaces a otros escritorios de WorkSpaces cuando sus escritorios principales no están disponibles. Por ejemplo, mediante políticas de enrutamiento de conmutación por error de DNS, puede conectar a sus usuarios a los WorkSpaces de la región de AWS de conmutación por error especificada cuando no puedan acceder a sus WorkSpaces de la región principal.

Puede utilizar el redireccionamiento entre regiones junto con sus políticas de enrutamiento de conmutación por error de DNS para lograr la resiliencia regional y una alta disponibilidad. También puede usar esta característica para otros fines, como distribuir el tráfico o proporcionar WorkSpaces alternativos durante los períodos de mantenimiento. Si utiliza Amazon Route 53 para la configuración de DNS, puede aprovechar las comprobaciones de estado que supervisan las alarmas de Amazon CloudWatch.

Para utilizar esta característica, debe configurar WorkSpaces para los usuarios en dos (o más) regiones de AWS. También debe crear códigos de registro especiales basados en FQDN denominados alias de conexión. Estos alias de conexión reemplazan los códigos de registro específicos de la región para los usuarios de WorkSpaces. (Los códigos de registro específicos de la región siguen siendo válidos; sin embargo, para que el redireccionamiento entre regiones funcione, los usuarios deben utilizar el FQDN como código de registro).

Para crear un alias de conexión, se especifica una cadena de conexión, que es su FQDN, como www.example.com o desktop.example.com. Para utilizar este dominio para el redireccionamiento entre regiones, debe registrarlo en un registrador de dominios y configurar el servicio DNS de su dominio.

Después de crear los alias de conexión, se asocian con los directorios de WorkSpaces en regiones diferentes para crear pares de asociación. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error. Si se produce una interrupción en la región principal, la política de enrutamiento de conmutación por error a nivel de DNS redirige a los usuarios de WorkSpaces a los escritorios de WorkSpaces que ha configurado para ellos en la región de conmutación por error.

Para designar las regiones principales y de conmutación por error, debe definir la prioridad de la región (principal o secundaria) al configurar las políticas de enrutamiento de conmutación por error de DNS.

Requisitos previos

  • Debe ser propietario del dominio que desee utilizar como FQDN en sus alias de conexión y registrarlo. Si aún no utiliza otro registrador de dominios, puede utilizar Amazon Route 53 para registrar su dominio. Para obtener más información, consulte Registrar nombres de dominio mediante Amazon Route 53 en la Guía para desarrolladores de Amazon Route 53.

    importante

    Debe disponer de todos los derechos necesarios para utilizar cualquier nombre de dominio que utilice junto con Amazon WorkSpaces. Usted acepta que el nombre de dominio no infringe ni infringe los derechos legales de ningún tercero ni infringe de ningún otro modo la legislación aplicable.

    El nombre de dominio no puede superar los 255 caracteres. Para obtener más información sobre los nombres de dominio, consulte Formato de nombres de dominio DNS en la Guía para desarrolladores de Amazon Route 53.

    El redireccionamiento entre regiones funciona tanto con nombres de dominio públicos como con nombres de dominio en zonas DNS privadas. Si utiliza una zona de DNS privada, debe proporcionar una conexión de red privada virtual (VPN) a la nube privada virtual (VPC) que contiene los WorkSpaces. Si los usuarios de WorkSpaces intentan usar un FQDN privado de la Internet pública, las aplicaciones cliente de WorkSpaces muestran el siguiente mensaje de error:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Debe configurar el servicio de DNS y configurar las políticas de enrutamiento de DNS necesarias. El redireccionamiento entre regiones funciona junto con sus políticas de enrutamiento de DNS para redirigir a los usuarios de WorkSpaces según sea necesario.

  • En cada región principal y de conmutación por error en la que desee configurar el redireccionamiento entre regiones, cree WorkSpaces para los usuarios. Asegúrese de usar los mismos nombres de usuario en cada directorio de WorkSpaces de cada región. Para mantener sincronizados los datos de usuario de Active Directory, le recomendamos que utilice Conector AD para que apunte al mismo Active Directory en cada región en la que haya configurado WorkSpaces para sus usuarios. Para obtener más información sobre cómo crear WorkSpaces, consulte Launch WorkSpaces.

    importante

    Si configura su directorio de Microsoft AD administrado por AWS para la reproducción en varias regiones, solo se podrá registrar el directorio de la región principal para utilizarlo con Amazon WorkSpaces. Los intentos de registrar el directorio en una región duplicada para su uso con Amazon WorkSpaces fallarán. No se admite la replicación multirregional con AWS Managed Microsoft AD para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

    Cuando haya terminado de configurar el redireccionamiento entre regiones, debe asegurarse de que los usuarios de WorkSpaces utilizan el código de registro basado en el FQDN en lugar del código de registro basado en la región (por ejemplo, WSpdx+ABC12D) para su región principal. Para ello, debe enviarles un correo electrónico con la cadena de conexión del FQDN mediante el procedimiento descrito en Paso 5: enviar la cadena de conexión a los usuarios de WorkSpaces.

    nota

    Si crea los usuarios en la consola de WorkSpaces en lugar de crearlos en Active Directory, WorkSpaces envía automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en la región cada vez que inicie un nuevo WorkSpace. Esto significa que, al configurar WorkSpaces para los usuarios de la región de conmutación por error, los usuarios también recibirán automáticamente los correos electrónicos de estos WorkSpaces de conmutación por error. Deberá indicar a sus usuarios que ignoren los correos electrónicos con códigos de registro basados en la región.

Limitaciones

  • El redireccionamiento entre regiones no comprueba automáticamente si se han producido errores en las conexiones a la región principal y, a continuación, si los WorkSpaces se transfieren a otra región. En otras palabras, la conmutación por error automática no se produce.

    Para implementar un escenario de conmutación por error automática, debe utilizar algún otro mecanismo junto con el redireccionamiento entre regiones. Por ejemplo, puede utilizar una política de enrutamiento de DNS de conmutación por error de Amazon Route 53 junto con una comprobación de estado de Route 53 que monitorea una alarma de CloudWatch en la región principal. Si se produce una interrupción en la región principal, la política de enrutamiento de conmutación por error a nivel de DNS redirige a los usuarios de WorkSpaces a los escritorios de WorkSpaces que ha configurado para ellos en la región de conmutación por error.

  • El redireccionamiento entre regiones solo se admite en la versión 3.0.9 o posterior de las aplicaciones cliente de WorkSpaces para Linux, macOS y Windows. También puede utilizar el redireccionamiento entre regiones con Acceso web.

  • El redireccionamiento entre regiones está disponible en todas las regiones de AWS en las que Amazon WorkSpaces está disponible, excepto en AWS GovCloud (US) Region y China (Ningxia).

Paso 1: crear alias de conexión

Con la misma cuenta de AWS, cree el alias de conexión en cada región principal y de conmutación por error en la que desee configurar el redireccionamiento entre regiones.

Para crear un alias de conexión

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola, elija la región de AWS principal de los WorkSpaces.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Redireccionamiento entre regiones, elija Crear alias de conexión.

  5. En Cadena de conexión, introduzca un FQDN, como www.example.com o desktop.example.com. Cada cadena puede tener un máximo de 255 caracteres. Solo puede incluir letras (A-Z y a-z), números (0-9) y los siguientes caracteres: .-

    importante

    Después de crear una cadena de conexión, siempre estará asociada a su cuenta de AWS. No puede volver a crear una cadena de conexión con otra cuenta aunque haya eliminado todas las instancias de la cadena de conexión de la cuenta original. La cadena de conexión está reservada globalmente para tu cuenta.

  6. (Opcional) En Etiquetas, especifique las etiquetas que desee asociar a su alias de conexión.

  7. Elija Crear alias de conexión.

  8. Repita estos pasos, pero en Paso 2, asegúrese de seleccionar la región de conmutación por error para sus WorkSpaces. Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de utilizar la misma cuenta de AWS para crear el alias de conexión en cada región de conmutación por error.

(Opcional) Paso 2: compartir un alias de conexión con otra cuenta

Puede compartir un alias de conexión con otra cuenta de AWS en la misma región de AWS. Al compartir un alias de conexión con otra cuenta se concede permiso a esa cuenta para asociar o desasociar dicho alias con un directorio propiedad de esa cuenta solo en la misma región. Solo la cuenta que posee un alias de conexión puede eliminarlo.

nota

Un alias de conexión se puede asociar con un solo directorio por región de AWS. Si comparte un alias de conexión con otra cuenta de AWS, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias con un directorio de esa región.

Para compartir un alias de conexión con otra cuenta de AWS

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola de, elija la región de AWS en la que desea compartir el alias de conexión con otra cuenta de AWS.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, Acciones, Compartir/dejar de compartir el alias de conexión.

    También puedes compartir un alias desde la página de detalles de su alias de conexión. Para ello, en Cuenta compartida, seleccione Compartir alias de conexión.

  5. En la página Compartir o dejar de compartir el alias de conexión, en Compartir con una cuenta, introduzca el ID de la cuenta de AWS con la que quiere compartir su alias de conexión en esta región de AWS.

  6. Elija Compartir.

Paso 3: asociar los alias de conexión a los directorios de cada región

La asociación del mismo alias de conexión con un directorio de WorkSpaces en dos o más regiones crea un par de asociación entre los directorios. Cada par de asociación tiene una región principal y una o más regiones de conmutación por error.

Por ejemplo, si la región Oeste de EE. UU. (Oregón), puede vincular el directorio de WorkSpaces en la región Oeste de EE. UU. (Oregón) con un directorio de WorkSpaces de la región Este de EE. UU. (Norte de Virginia). Si se produce una interrupción en la región principal, el redireccionamiento entre regiones funciona junto con sus políticas de enrutamiento de conmutación por error de DNS y cualquier comprobación de estado que haya realizado en la región Oeste de EE. UU. (Oregón) para redirigir a sus usuarios a los WorkSpaces que haya configurado para ellos en la región Este de EE. UU. (Norte de Virginia). Para obtener más información sobre el redireccionamiento entre regiones, consulte Qué ocurre durante el redireccionamiento entre regiones.

nota

Si sus usuarios de WorkSpaces se encuentran a una distancia considerable de la región de conmutación por error (por ejemplo, a miles de kilómetros de distancia), es posible que su experiencia con WorkSpaces responda menos de lo habitual. Para comprobar el tiempo de ida y vuelta (RTT) a las distintas regiones de AWS desde su ubicación, utilice la comprobación de estado de conexión de Amazon WorkSpaces.

Para asociar un alias de conexión a un directorio

Puede asociar un alias de conexión con un solo directorio por región de AWS. Si ha compartido un alias de conexión con otra cuenta de AWS, solo una cuenta (su cuenta o la cuenta compartida) puede asociar el alias con un directorio de esa región.

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola, elija la región de AWS principal de los WorkSpaces.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Acciones, Asociar/desasociar.

    También puede asociar un alias de conexión a un directorio desde la página de detalles del alias de conexión. Para ello, en Directorio asociado, seleccione Asociar directorio.

  5. En la página Asociar/desasociar, en Asociar a un directorio, seleccione el directorio al que desee asociar su alias de conexión en esta región de AWS.

    nota

    Si configura su directorio de Microsoft AD administrado por AWS para la reproducción en varias regiones, solo se podrá usar el directorio de la región principal con Amazon WorkSpaces. Los intentos de usar el directorio en una región duplicada para su uso con Amazon WorkSpaces fallarán. No se admite la replicación multirregional con AWS Managed Microsoft AD para su uso con Amazon WorkSpaces dentro de las regiones replicadas.

  6. Elija Asociar.

  7. Repita estos pasos, pero en Paso 2, asegúrese de seleccionar la región de conmutación por error para sus WorkSpaces. Si tiene más de una región de conmutación por error, repita estos pasos con cada región de conmutación por error. Asegúrese de asociar el mismo alias de conexión a un directorio en cada región de conmutación por error.

Paso 4: configurar el servicio de DNS y las políticas de enrutamiento de DNS

Una vez que haya creado los alias de conexión y los pares de asociación de alias de conexión, podrá configurar el servicio DNS para el dominio que utilizó en las cadenas de conexión. Para ello, puede utilizar cualquier proveedor de servicios DNS. Si aún no tiene un proveedor de servicios de DNS preferido, puede utilizar Amazon Route 53. Para obtener más información, consulte Configuración de Amazon Route 53 como servicio DNS en la Guía para desarrolladores de Amazon Route 53.

Una vez que haya configurado el servicio de DNS para su dominio, debe configurar las políticas de enrutamiento de DNS que desee utilizar para el redireccionamiento entre regiones. Por ejemplo, puede utilizar las comprobaciones de estado de Amazon Route 53 para determinar si los usuarios pueden conectarse a sus WorkSpaces en una región determinada. Si sus usuarios no pueden conectarse, puede utilizar una política de conmutación por error de DNS para enrutar el tráfico de DNS de una región a otra.

Para obtener información sobre cómo dirigir las políticas, consulte Elección de una política de enrutado en la Guía para desarrolladores de Amazon Route 53. Para obtener más información sobre las comprobaciones de estado de Amazon Route 53, consulte Cómo verifica Amazon Route 53 el estado de los recursos en la Guía para desarrolladores de Amazon Route 53.

Al configurar las políticas de enrutamiento de DNS, necesitará el identificador de conexión para la asociación entre el alias de conexión y el directorio de WorkSpaces en la región principal. También necesitará el identificador de conexión para la asociación entre el alias de conexión y el directorio de WorkSpaces de la región o regiones de conmutación por error.

nota

El identificador de conexión no es el mismo que el identificador del alias de conexión. El identificador del alias de la conexión comienza por wsca-.

Para encontrar el identificador de conexión de una asociación de alias de conexión

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola, elija la región de AWS principal de los WorkSpaces.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione el texto de la cadena de conexión (el FQDN) para ver la página de detalles del alias de la conexión.

  5. En la página de detalles del alias de conexión, en Directorio asociado, anote el valor que se muestra como identificador de conexión.

  6. Repita estos pasos, pero en Paso 2, asegúrese de seleccionar la región de conmutación por error para sus WorkSpaces. Si tiene más de una región de conmutación por error, repita estos pasos para encontrar el identificador de conexión con cada región de conmutación por error.

Ejemplo: Para configurar una política de enrutamiento de conmutación por error de DNS mediante Route 53

En el siguiente ejemplo se configura una zona alojada pública para el dominio. Sin embargo, puede configurar una zona alojada pública o una zona alojada privada. Para obtener más información sobre cómo configurar una zona alojada, consulte Uso de zonas alojadas en la Guía para desarrolladores de Amazon Route 53.

En este ejemplo también se utiliza una política de enrutamiento de conmutación por error. Puede usar otros tipos de políticas de enrutamiento para su estrategia de redireccionamiento entre regiones. Para obtener información sobre cómo dirigir las políticas, consulte Elección de una política de enrutado en la Guía para desarrolladores de Amazon Route 53.

Al configurar una política de enrutamiento de conmutación por error en Route 53, es necesario comprobar el estado de la región principal. Para obtener más información sobre la creación de una comprobación de estado en Route 53, consulte Creación de comprobaciones de estado de Amazon Route 53 y configuración de la conmutación por error a nivel de DNS y Creación, actualización y eliminación de comprobaciones de estado en la Guía para desarrolladores de Amazon Route 53.

Si desea utilizar una alarma de Amazon CloudWatch con su comprobación de estado de Route 53, también tendrá que configurar una alarma de CloudWatch para supervisar los recursos de su región principal. Para obtener más información acerca de CloudWatch, consulte ¿Qué es Amazon CloudWatch? en la Guía del usuario de Amazon CloudWatch. Para obtener más información sobre cómo Route 53 utiliza las alarmas de CloudWatch en sus comprobaciones de estado, consulte cómo Route 53 determina el estado de la comprobación de estado que monitoriza las alarmas de CloudWatch y Monitoreo de una alarma CloudWatch en la Guía para desarrolladores de Amazon Route 53.

Para configurar una política de enrutamiento de conmutación por error de DNS en Route 53, primero debe crear una zona alojada para su dominio.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas y, luego, Crear zona alojada.

  3. En la página Zona alojada creada, introduzca su nombre de dominio (por ejemplo example.com) en Nombre de dominio.

  4. En Tipo, seleccione Zona alojada pública.

  5. Elija Crear zona alojada.

A continuación, cree una comprobación de estado para su región principal.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, seleccione Comprobaciones de estado y, a continuación, Crear comprobación de estado.

  3. En la página Configurar la comprobación de estado, introduzca un nombre para la comprobación.

  4. En Qué se debe monitorizar, seleccione Punto de enlace, Estado de otras comprobaciones de estado (comprobación de estado calculada) o Estado de la alarma de CloudWatch.

  5. En función de lo que haya seleccionado en el paso anterior, configure la comprobación de estado y, a continuación, seleccione Siguiente.

  6. En la página Recibir una notificación cuando se produzca un error en la comprobación de estado, en Crear alarma, seleccione o No.

  7. Elija Crear comprobación de estado.

Una vez creada la comprobación de estado, podrá crear los registros de conmutación por error del DNS.

  1. Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas.

  3. En la página Zonas alojadas, seleccione su nombre de dominio.

  4. En la página de detalles del nombre de dominio, seleccione Crear registro.

  5. En la página Elegir política de enrutamiento, seleccione Conmutación por error y, a continuación Siguiente.

  6. En la página Configurar registros, en Configuración básica, introduzca el nombre del subdominio en el campo Nombre del registro. Por ejemplo, si su FQDN es desktop.example.com, introduzca desktop.

    nota

    Si desea utilizar el dominio raíz, deje en blanco el campo Nombre del registro. Sin embargo, le recomendamos usar un subdominio, como desktop o workspaces, a menos que haya configurado el dominio únicamente para usarlo con tus WorkSpaces.

  7. En Tipo de registro, seleccione TXT: se usa para verificar los remitentes de correo electrónico y para valores específicos de la aplicación.

  8. Deje los valores predeterminados del campo Segundos de TTL.

  9. En Registros de conmutación por error para añadirlos a su_nombre_de_dominio, seleccione Definir registro de conmutación por error.

Ahora necesita configurar los registros de conmutación por error para sus regiones principal y de conmutación por error.

Ejemplo: Para configurar el registro de conmutación por error de su región principal

  1. En el cuadro de diálogo Definir registro de conmutación por error, en Valor/enrutar el tráfico a, seleccione la dirección IP u otro valor en función del tipo de registro.

  2. Se abre un cuadro en el que puede introducir las entradas de texto de muestra. Introduzca el identificador de conexión de la asociación de alias de conexión de su región principal.

  3. En Tipo de registro de conmutación por error, seleccione Principal.

  4. En Comprobación de estado, seleccione una comprobación de estado que haya creado para su región principal.

  5. En el campo ID de registro, introduzca una descripción para identificar este registro.

  6. Elija Definir registro de conmutación por error. El nuevo registro de conmutación por error aparece en Registros de conmutación por error para añadirlo a su_nombre_de_dominio.

Ejemplo: Para configurar el registro de conmutación por error de su región de conmutación por error

  1. En Registros de conmutación por error para añadirlos a su_nombre_de_dominio, seleccione Definir registro de conmutación por error.

  2. En el cuadro de diálogo Definir registro de conmutación por error, en Valor/enrutar el tráfico a, seleccione la dirección IP u otro valor en función del tipo de registro.

  3. Se abre un cuadro en el que puede introducir las entradas de texto de muestra. Introduzca el identificador de conexión de la asociación de alias de conexión de su región de conmutación por error.

  4. En Tipo de registro de conmutación por error, seleccione Secundario.

  5. (Opcional) En Comprobación de estado, introduzca una comprobación de estado que haya creado para su región de conmutación por error.

  6. En el campo ID de registro, introduzca una descripción para identificar este registro.

  7. Elija Definir registro de conmutación por error. El nuevo registro de conmutación por error aparece en Registros de conmutación por error para añadirlo a su_nombre_de_dominio.

Si se produce un error en la comprobación de estado configurada en la región principal, la política de enrutamiento de conmutación por error a nivel de DNS redirige a los usuarios de WorkSpaces a la región de conmutación por error. Route 53 sigue supervisando la comprobación de estado de su región principal y, cuando la comprobación de estado de su región principal deja de fallar, Route 53 redirige automáticamente a los usuarios de WorkSpaces a sus WorkSpaces de la región principal.

Para obtener información acerca de cómo crear registros de DNS, consulte Creación de registros mediante la consola de Amazon Route 53 en la Guía del desarrollador de Amazon Route 53. Para obtener más información sobre cómo configurar registros TXT de DNS, consulte TXT record type en la Guía para desarrolladores de Amazon Route 53.

Paso 5: enviar la cadena de conexión a los usuarios de WorkSpaces

Para asegurarse de que los WorkSpaces de sus usuarios se redirijan según sea necesario durante una interrupción, debe enviar la cadena de conexión (FQDN) a los usuarios. Si ya ha emitido códigos de registro basados en la región (por ejemplo, WSpdx+ABC12D) a sus usuarios de WorkSpaces, esos códigos seguirán siendo válidos. Sin embargo, para que el redireccionamiento entre regiones funcione, los usuarios de WorkSpaces deben usar la cadena de conexión como código de registro al registrar sus WorkSpaces en la aplicación cliente de WorkSpaces.

importante

Si crea los usuarios en la consola de WorkSpaces en lugar de crearlos en Active Directory, WorkSpaces envía automáticamente un correo electrónico de invitación a los usuarios con un código de registro basado en la región (por ejemplo, WSpdx+ABC12D) cada vez que inicie un nuevo WorkSpace. Incluso si ya ha configurado el redireccionamiento entre regiones, el correo electrónico de invitación que se envía automáticamente a los nuevos WorkSpaces contiene este código de registro basado en la región en lugar de la cadena de conexión.

Para asegurarse de que los usuarios de WorkSpaces utilizan la cadena de conexión en lugar del código de registro basado en la región, debe enviarles otro correo electrónico con la cadena de conexión mediante el procedimiento que se indica a continuación.

Para enviar la cadena de conexión a los usuarios de WorkSpaces

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola, elija la región de AWS principal de los WorkSpaces.

  3. En el panel de navegación, seleccione WorkSpaces.

  4. En la página WorkSpaces utilice el cuadro de búsqueda para buscar el usuario al que desea enviar una invitación y, a continuación, seleccione el WorkSpace correspondiente en los resultados de la búsqueda. Solo puede seleccionar un WorkSpace a la vez.

  5. Seleccione Actions (Acciones), Invite User (Invitar usuario).

  6. En la página Invitar a los usuarios a sus WorkSpaces, verá una plantilla de correo electrónico para enviar a sus usuarios.

  7. (Opcional) Si hay más de un alias de conexión asociado a su directorio WorkSpaces, seleccione la cadena de conexión que desea que utilicen sus usuarios en la lista de cadenas de alias de conexión. La plantilla de correo electrónico se actualiza para mostrar la cadena que ha seleccionado.

  8. Copie el texto de la plantilla de correo electrónico y péguelo en un mensaje para los usuarios utilizando su propia aplicación de correo electrónico. En su aplicación de correo electrónico, puede modificar el texto según necesite. Cuando el correo electrónico de invitación esté listo, envíelo a los usuarios.

Diagrama de arquitectura de redireccionamiento entre regiones

En el siguiente diagrama se describe el proceso de implementación del redireccionamiento entre regiones.

Redireccionamiento entre regiones
nota

El redireccionamiento entre regiones solo facilita la conmutación por error y la recuperación entre regiones. No facilita la creación y el mantenimiento de WorkSpaces en la región secundaria y no permite la replicación de datos entre regiones. Los escritorios de WorkSpaces de las regiones principal y secundaria se deben administrar por separado.

Inicio del redireccionamiento entre regiones

En caso de que se produzca una interrupción, puede actualizar los registros de DNS manualmente o utilizar políticas de enrutamiento automatizadas basadas en las comprobaciones de estado, que determinan la región de conmutación por error. Se recomienda seguir los mecanismos de recuperación ante desastres que se describen en Creating Disaster Recovery Mechanisms Using Amazon Route 53.

Qué ocurre durante el redireccionamiento entre regiones

Durante la conmutación por error entre regiones, los usuarios de WorkSpaces se desconectan de los escritorios de WorkSpaces de la región principal. Cuando intentan volver a conectarse, aparece el siguiente mensaje de error:

We can't connect to your WorkSpace. Check your network connection, and then try again.

A continuación, se pedirá a los usuarios que inicien sesión de nuevo. Si utilizan el FQDN como código de registro, cuando vuelvan a iniciar sesión, sus políticas de enrutamiento de conmutación por error de DNS los redirigirán a los WorkSpaces que haya configurado para ellos en la región conmutación por error.

nota

En algunos casos, es posible que los usuarios no puedan volver a conectarse cuando se registren de nuevo. Si ocurre esto, deben cerrar y reiniciar la aplicación cliente WorkSpaces, y luego intentar registrarse de nuevo.

Desasociar un alias de conexión de un directorio

Solo la cuenta propietaria de un directorio puede disociar un alias de conexión del directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para disociar el alias de conexión del directorio.

Para disociar un alias de conexión de un directorio

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola de, elija la región de AWS que contiene el alias de conexión que desea desasociar.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Acciones, Asociar/desasociar.

    También puede disociar un alias de conexión de la página de detalles del alias de conexión. Para ello, en Directorio asociado, seleccione Desasociar.

  5. En la página Asociar/desasociar, seleccione Desasociar.

  6. En el cuadro de diálogo que le pide que confirme la disociación, seleccione Desasociar.

Dejar de compartir un alias de conexión

Solo el propietario de un alias de conexión puede dejar de compartir el alias. Si deja de compartir un alias de conexión con una cuenta, esa cuenta ya no podrá asociar el alias de conexión a un directorio.

Para dejar de compartir un alias de conexión

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola, elija la región de AWS que contiene el alias de conexión que desea dejar de compartir.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, Acciones, Compartir/dejar de compartir el alias de conexión.

    También puede dejar de compartir un alias de conexión desde la página de detalles del alias de conexión. Para ello, en Cuenta compartida, selecciona Dejar de compartir.

  5. En la página Compartir/dejar de compartir alias de conexión, seleccione Dejar de compartir.

  6. En el cuadro de diálogo que te pide que confirmes que no se comparte el alias de conexión, seleccione Dejar de compartir.

Eliminar un alias de conexión

Puedes eliminar un alias de conexión solo si es propiedad de tu cuenta y si no está asociado a un directorio.

Si ha compartido un alias de conexión con otra cuenta y esa cuenta ha asociado el alias de conexión a un directorio propiedad de esa cuenta, debe utilizarse esa cuenta para disociar el alias de conexión del directorio y poder eliminar el alias de conexión.

importante

Después de crear una cadena de conexión, siempre estará asociada a su cuenta de AWS. No puede volver a crear una cadena de conexión con otra cuenta aunque haya eliminado todas las instancias de la cadena de conexión de la cuenta original. La cadena de conexión está reservada globalmente para tu cuenta.

aviso

Si ya no va a utilizar un FQDN como código de registro para los usuarios de WorkSpaces, debe tomar ciertas precauciones para evitar posibles problemas de seguridad. Para obtener más información, consulte Consideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones.

Para eliminar un alias de conexión

  1. Abra la consola de WorkSpaces en https://console.aws.amazon.com/workspaces/v2/home.

  2. En la esquina superior derecha de la consola, elija la región de AWS que contiene el alias de conexión que desea eliminar.

  3. En el panel de navegación, elija Account Settings (Configuración de cuenta).

  4. En Asociaciones de redireccionamiento entre regiones, seleccione la cadena de conexión y, a continuación, elija Eliminar.

    También puede eliminar un alias de conexión de la página de detalles del alias de conexión. En la parte superior derecha de la página, elija Eliminar.

    nota

    Si el botón Eliminar está desactivado, asegúrese de ser el propietario del alias y de que el alias no esté asociado a un directorio.

  5. En el cuadro de diálogo que le pide que confirme la eliminación, seleccione Eliminar.

Permisos de IAM para asociar y desasociar los alias de conexión

Si utiliza un usuario de IAM para asociar o desasociar los alias de conexión, el usuario debe tener permisos para workspaces:AssociateConnectionAlias y workspaces:DisassociateConnectionAlias.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
importante

Si va a crear una política de IAM para asociar o desasociar los alias de conexión para las cuentas que no son propietarios de los alias de conexión, no puede especificar un ID de cuenta en el ARN. En su lugar, debe utilizar * para el ID de cuenta, como se muestra en la siguiente directiva de ejemplo.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Puede especificar un ID de cuenta en el ARN solo cuando esa cuenta sea propietaria del alias de conexión que se va a asociar o disociar.

Para obtener más información acerca de cómo trabajar con IAM, consulte Gestión de identidades y accesos para WorkSpaces.

Consideraciones de seguridad si deja de utilizar la redireccionamiento entre regiones

Si ya no va a utilizar un FQDN como código de registro para los usuarios de WorkSpaces, debe tomar las siguientes precauciones para evitar posibles problemas de seguridad:

  • Asegúrese de emitir a sus usuarios de WorkSpaces el código de registro específico de la región (por ejemplo, WSpdx+ABC12D) para su directorio de WorkSpaces e indicarles que dejen de usar el FQDN como código de registro.

  • Si aún es propietario de este dominio, asegúrese de actualizar su registro TXT de DNS para eliminarlo de forma que no pueda utilizarse en un ataque de suplantación de identidad. Si elimina este dominio de su registro TXT de DNS y los usuarios de WorkSpaces intentan usar el FQDN como código de registro, sus intentos de conexión fallarán sin problemas.

  • Si ya no es propietario de este dominio, los usuarios de WorkSpaces deben usar el código de registro específico de su región. Si siguen intentando utilizar el FQDN como código de registro, sus intentos de conexión podrían redirigirse a un sitio malintencionado.