Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration d'un VPC pour Amazon Secure Browser WorkSpaces
<a name="general-requirements"></a>

Pour installer et configurer un VPC pour WorkSpaces Secure Browser, procédez comme suit.

**Topics**
+ [Exigences en matière de VPC pour Amazon Secure Browser WorkSpaces](vpc-reqs.md)
+ [Création d'un nouveau VPC pour Amazon Secure Browser WorkSpaces](create-vpc.md)
+ [Activation de la navigation sur Internet pour Amazon WorkSpaces Secure Browser](internet-browsing.md)
+ [Bonnes pratiques en matière de VPC pour Secure Browser WorkSpaces](vpc-setup-recommendations.md)
+ [Zones de disponibilité prises en charge pour Amazon WorkSpaces Secure Browser](availability-zones.md)

# Exigences en matière de VPC pour Amazon Secure Browser WorkSpaces
<a name="vpc-reqs"></a>

Lors de la création du portail WorkSpaces Secure Browser, vous allez sélectionner un VPC dans votre compte. Vous choisirez également au moins deux sous-réseaux dans deux zones de disponibilité différentes. Ces réseaux VPCs , ainsi que les sous-réseaux, doivent répondre aux exigences suivantes :
+ Le VPC doit avoir une location par défaut. VPCs avec location dédiée ne sont pas prises en charge.
+ Pour des raisons de disponibilité, nous exigeons la création d’au moins deux sous-réseaux situés dans deux zones de disponibilité différentes. Vos sous-réseaux doivent avoir suffisamment d'adresses IP pour prendre en charge le trafic WorkSpaces Secure Browser attendu. Configurez chacun de vos sous-réseaux avec un masque de sous-réseau qui permet d’avoir un nombre suffisant d’adresses IP client pour prendre en considération le nombre maximal de sessions simultanées. Pour de plus amples informations, veuillez consulter [Création d'un nouveau VPC pour Amazon Secure Browser WorkSpaces](create-vpc.md).
+ Tous les sous-réseaux doivent disposer d'une connexion stable à tout contenu interne, situé sur site AWS Cloud ou sur site, auquel les utilisateurs pourront accéder avec WorkSpaces Secure Browser. 

Pour des raisons de disponibilité et de mise à l’échelle, nous vous recommandons de choisir trois sous-réseaux situés dans des zones de disponibilité différentes. Pour de plus amples informations, veuillez consulter [Création d'un nouveau VPC pour Amazon Secure Browser WorkSpaces](create-vpc.md).

WorkSpaces Secure Browser n'attribue aucune adresse IP publique aux instances de streaming pour permettre l'accès à Internet. En effet, vos instances de streaming seraient dans ce cas accessibles depuis Internet. Autrement dit, aucune instance de streaming connectée à votre sous-réseau public ne disposera d’un accès Internet. Si vous souhaitez que votre portail WorkSpaces Secure Browser ait accès à la fois au contenu Internet public et au contenu VPC privé, suivez les étapes décrites dans. [Activation de la navigation Internet illimitée pour Amazon WorkSpaces Secure Browser (recommandé)](unrestricted-internet-browsing.md) 

# Création d'un nouveau VPC pour Amazon Secure Browser WorkSpaces
<a name="create-vpc"></a>

Cette section décrit comment utiliser l'assistant VPC pour créer rapidement un VPC avec des sous-réseaux publics et privés. L'assistant crée automatiquement une passerelle Internet, une passerelle NAT et configure les tables de routage pour vos sous-réseaux.

Pour en savoir plus sur cette configuration, consultez [VPC avec des sous-réseaux publics et privés (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html).

**Topics**
+ [Configuration rapide du VPC (1 minute)](vpc-step1.md)
+ [Vérification des tables de routage de votre sous-réseau (facultatif)](vpc-step2.md)

# Configuration rapide du VPC (1 minute)
<a name="vpc-step1"></a>

Procédez comme suit pour créer rapidement un VPC dédié pour WorkSpaces Secure Browser avec des sous-réseaux publics et privés pour l'accès à Internet. Si vous souhaitez utiliser un VPC existant, vérifiez [Exigences en matière de VPC pour Amazon Secure Browser WorkSpaces](vpc-reqs.md) qu'il répond aux exigences.

**Note**  
Assurez-vous que vous êtes dans la zone souhaitée Région AWS. Vous pouvez modifier la région dans la console si nécessaire.

**Pour configurer rapidement un VPC**

1. Ouvrez l'assistant de création de VPC : créez un [VPC](https://console.aws.amazon.com/vpcconsole/home#CreateVpc:createMode=vpcWithResources) avec des ressources. Conservez tous les paramètres par défaut, sauf indication contraire ci-dessous :
   + Pour **Resource à créer**, sélectionnez **VPC et** plus encore.
   + Dans le **champ Name tag**, sélectionnez **Générer automatiquement** et entrez un nom descriptif pour votre VPC (par exemple**WSB-VPC**,).
   + Pour le **bloc IPv4 CIDR**, par défaut, le **10.0.0.0/16** VPC utilise. Vous pouvez spécifier un autre bloc IPv4 CIDR si nécessaire.
   + Pour la **location**, sélectionnez **Par défaut** (VPCs les locations dédiées ne sont pas prises en charge).
   + Pour **Nombre de zones de disponibilité (AZs)**, sélectionnez **2**.
     + Développez **Personnalisez AZs** et sélectionnez 2 zones de disponibilité différentes prises en charge par WorkSpaces Secure Browser. Pour la liste des produits pris en charge AZs, consultez[Zones de disponibilité prises en charge pour Amazon WorkSpaces Secure Browser](availability-zones.md).
   + Pour **Nombre de sous-réseaux publics**, sélectionnez **2.**
   + Pour **Nombre de sous-réseaux privés**, sélectionnez **2.**
   + **Pour les blocs d'**adresse CIDR de sous-réseau, si vous devez personnaliser les blocs** d'adresse CIDR de vos sous-réseaux, développez les blocs d'adresse CIDR personnalisés des sous-réseaux.** Assurez-vous que chaque sous-réseau possède suffisamment d'adresses IP pour le trafic attendu.
   + Pour les **passerelles NAT**, sélectionnez **Régional** pour activer l'accès à Internet pour les sous-réseaux privés dans toutes les zones de disponibilité.
   + **Pour les **points de terminaison VPC, sélectionnez Aucun**.** Si vous avez besoin d'un accès direct à S3 sans passer par la passerelle NAT, sélectionnez **S3 Gateway**.
   + Pour les **options DNS**, maintenez **les options DNS** activées (par défaut) pour garantir une résolution de noms correcte au sein de votre VPC.

1. Passez en revue le volet d'aperçu, puis choisissez **Create VPC**.

**Note**  
Des frais supplémentaires s'appliquent pour les passerelles NAT et les points de terminaison VPC. Pour plus d'informations, consultez la page de [tarification des VPC](https://aws.amazon.com/vpc/pricing/).

# Vérification des tables de routage de votre sous-réseau (facultatif)
<a name="vpc-step2"></a>

L'assistant VPC configure automatiquement les tables de routage pour vous. Si vous avez créé votre VPC manuellement ou si vous souhaitez confirmer la configuration, vous pouvez vérifier que les informations suivantes sont correctes pour votre table de routage :
+ La table de routage associée au sous-réseau dans lequel réside votre passerelle NAT doit comporter une route qui dirige le trafic Internet vers une passerelle Internet. Votre passerelle NAT peut ainsi accéder à Internet. 
+ Les tables de routage associées à vos sous-réseaux privés doivent être configurées pour diriger le trafic Internet vers la passerelle NAT. Les instances de streaming de vos sous-réseaux privés peuvent ainsi communiquer avec Internet. 

**Pour vérifier et nommer les tables de routage de vos sous-réseaux**

1. Dans le volet de navigation, choisissez **Subnets**, puis sélectionnez un sous-réseau public. Par exemple, **WSB-VPC-Subnet-Public1-US-EAST-1A**. 

1. Dans l'onglet **Route Table (Table de routage)**, choisissez l'ID de la table de routage. Par exemple, **rtb-12345678**. 

1. Sélectionnez la table de routage. Sous **Nom**, choisissez l’icône de modification (crayon), puis nommez la table. Par exemple, saisissez le nom **workspacesweb-public-routetable**. Sélectionnez ensuite la coche pour enregistrer le nom. 

1. Alors que la table de routage publique est toujours sélectionnée, dans l’onglet **Routes**, vérifiez qu’il existe bien deux routes : une pour le trafic local et une qui fait passer l’ensemble du trafic restant par la passerelle Internet du VPC. Le tableau suivant décrit ces deux routes :     
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/workspaces-web/latest/adminguide/vpc-step2.html)

1. Dans le panneau de navigation, choisissez **Subnets** (Sous-réseaux). Sélectionnez ensuite un sous-réseau privé (par exemple,**WSB-VPC-subnet-private1-us-east-1a**). 

1. Dans l’onglet **Table de routage**, sélectionnez l’ID de la table de routage. 

1. Sélectionnez la table de routage. Sous **Nom**, choisissez l’icône de modification (crayon), puis nommez la table. Par exemple, saisissez le nom **WSB-VPC-private-routetable**. Sélectionnez ensuite la coche pour enregistrer le nom. 

1. Sous l'onglet **Routes**, vérifiez que la table de routage comprend les routes suivantes :    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/workspaces-web/latest/adminguide/vpc-step2.html)

1. Dans le panneau de navigation, choisissez **Subnets** (Sous-réseaux). Sélectionnez ensuite le deuxième sous-réseau privé que vous avez créé (par exemple, **WorkSpaces Secure Browser Private Subnet2**). 

1. Dans l’onglet **Table de routage**, vérifiez que la table de routage sélectionnée correspond bien à la table de routage privée (par exemple, **workspacesweb-private-routetable**). Si ce n’est pas le cas, choisissez **Modifier**, puis sélectionnez votre table de routage privée. 

# Activation de la navigation sur Internet pour Amazon WorkSpaces Secure Browser
<a name="internet-browsing"></a>

Vous pouvez choisir d'activer la navigation Internet illimitée (option recommandée) ou la navigation Internet restreinte.

**Topics**
+ [Activation de la navigation Internet illimitée pour Amazon WorkSpaces Secure Browser (recommandé)](unrestricted-internet-browsing.md)
+ [Activation de la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-internet-browsing.md)
+ [Ports de connectivité Internet pour Amazon WorkSpaces Secure Browser](vpc-connection.md)

# Activation de la navigation Internet illimitée pour Amazon WorkSpaces Secure Browser (recommandé)
<a name="unrestricted-internet-browsing"></a>

Suivez ces étapes pour configurer un VPC avec une passerelle NAT pour une navigation Internet sans restriction. Cela permet à WorkSpaces Secure Browser d'accéder aux sites Internet publics et aux sites privés hébergés dans ou avec une connexion à votre VPC.

**Pour configurer un VPC avec une passerelle NAT pour une navigation Internet sans restriction**

Si vous souhaitez que votre portail WorkSpaces Secure Browser ait accès à la fois au contenu Internet public et au contenu VPC privé, procédez comme suit :
**Note**  
Si vous avez déjà configuré un VPC, effectuez les étapes suivantes pour ajouter une passerelle NAT à votre VPC. Si vous devez créer un VPC, consultez [Création d'un nouveau VPC pour Amazon Secure Browser WorkSpaces](create-vpc.md).

1. Pour créer votre passerelle NAT, effectuez les étapes décrites dans [Créer une passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating). Vérifiez que cette passerelle NAT dispose d’une connectivité publique et qu’elle se trouve dans un sous-réseau public de votre VPC.

1. Vous devez spécifier au moins deux sous-réseaux privés issus de deux zones de disponibilité différentes. En affectant vos sous-réseaux à des zones de disponibilité différentes, vous avez l’assurance de bénéficier d’une disponibilité et d’une tolérance aux pannes supérieures. Pour plus d'informations sur la création d'un VPC avec des sous-réseaux privés, consultez. [Configuration rapide du VPC (1 minute)](vpc-step1.md)
**Note**  
Pour vous assurer que chaque instance de streaming dispose d'un accès à Internet, n'associez pas de sous-réseau public à votre portail WorkSpaces Secure Browser.

1. Mettez à jour la table de routage associée à vos sous-réseaux privés pour diriger le trafic Internet vers la passerelle NAT. Les instances de streaming de vos sous-réseaux privés peuvent ainsi communiquer avec Internet. Pour savoir comment associer une table de routage à un sous-réseau privé, effectuez les étapes décrites dans [Configuration des tables de routage](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).

# Activation de la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-internet-browsing"></a>

La configuration réseau recommandée d'un portail WorkSpaces Secure Browser consiste à utiliser des sous-réseaux privés dotés d'une passerelle NAT, afin que le portail puisse naviguer à la fois sur Internet public et sur du contenu privé. Pour de plus amples informations, veuillez consulter [Activation de la navigation Internet illimitée pour Amazon WorkSpaces Secure Browser (recommandé)](unrestricted-internet-browsing.md). Toutefois, il se peut que vous deviez contrôler les communications sortantes d'un portail WorkSpaces Secure Browser vers Internet à l'aide d'un proxy Web. Par exemple, si vous utilisez un proxy Web comme passerelle vers Internet, vous pouvez mettre en œuvre des contrôles de sécurité préventifs, tels que la liste des domaines autorisés et le filtrage du contenu. Cela permet également de réduire l'utilisation de la bande passante et d'améliorer les performances du réseau en mettant en cache les ressources fréquemment consultées, telles que les pages Web ou les mises à jour logicielles en local. Dans certains cas d'utilisation, il se peut que vous disposiez d'un contenu privé accessible uniquement à l'aide d'un proxy Web.

Vous êtes peut-être déjà familiarisé avec la configuration des paramètres de proxy sur les appareils administrés ou sur l'image de vos environnements virtuels. Mais cela pose des problèmes si vous ne contrôlez pas l'appareil (par exemple, lorsque les utilisateurs utilisent des appareils qui ne sont pas détenus ou gérés par l'entreprise) ou si vous devez gérer l'image de votre environnement virtuel. WorkSpaces Secure Browser vous permet de définir les paramètres du proxy à l'aide des politiques de Chrome intégrées au navigateur Web. Vous pouvez le faire en configurant un proxy sortant HTTP pour WorkSpaces Secure Browser.

Cette solution est basée sur une configuration de proxy VPC sortante recommandée. La solution proxy est basée sur le proxy HTTP open source [Squid](http://www.squid-cache.org/). Il utilise ensuite les paramètres du navigateur WorkSpaces Secure Browser pour configurer le portail WorkSpaces Secure Browser afin de se connecter au point de terminaison du proxy. Pour plus d'informations, consultez [Comment configurer un proxy VPC sortant avec liste blanche de domaines](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) et filtrage de contenu.

Cette solution vous offre les avantages suivants :
+ Un proxy sortant qui inclut un groupe d'instances Amazon EC2 à mise à l'échelle automatique, hébergées par un équilibreur de charge réseau. Les instances de proxy résident dans un sous-réseau public et chacune d'entre elles est associée à une adresse IP élastique, ce qui leur permet d'accéder à Internet.
+ Un portail WorkSpaces Secure Browser déployé sur des sous-réseaux privés. Il n'est pas nécessaire de configurer la passerelle NAT pour permettre l'accès à Internet. Au lieu de cela, vous configurez la politique de votre navigateur afin que tout le trafic Internet passe par le proxy sortant. Si vous souhaitez utiliser votre propre proxy, la configuration du portail WorkSpaces Secure Browser sera similaire.

**Topics**
+ [Architecture de navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-architecture.md)
+ [Conditions préalables relatives à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-prerequisites.md)
+ [Proxy sortant HTTP pour Amazon WorkSpaces Secure Browser](restricted-setup.md)
+ [Résolution des problèmes liés à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-troubleshooting.md)

# Architecture de navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-architecture"></a>

Voici un exemple de configuration de proxy typique dans votre VPC. L'instance proxy Amazon EC2 se trouve dans des sous-réseaux publics et est associée à Elastic IP, de sorte qu'elle a accès à Internet. Un équilibreur de charge réseau héberge un groupe d'instances de proxy à dimensionnement automatique. Cela garantit que les instances de proxy peuvent évoluer automatiquement et que l'équilibreur de charge réseau est le point de terminaison du proxy unique, qui peut être utilisé par les sessions WorkSpaces Secure Browser. 

![\[WorkSpaces Architecture de navigateur sécurisé\]](http://docs.aws.amazon.com/fr_fr/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)


# Conditions préalables relatives à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-prerequisites"></a>

Avant de commencer, assurez-vous de remplir les conditions préalables suivantes :
+ Vous avez besoin d'un VPC déjà déployé, avec des sous-réseaux publics et privés répartis sur plusieurs zones de disponibilité (). AZs [Pour plus d'informations sur la configuration de votre environnement VPC, consultez la section Par défaut. VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)
+ Vous avez besoin d'un point de terminaison proxy unique accessible à partir de sous-réseaux privés où résident les sessions WorkSpaces Secure Browser (par exemple, le nom DNS de l'équilibreur de charge réseau). Si vous souhaitez utiliser votre proxy existant, assurez-vous qu'il possède également un point de terminaison unique accessible depuis vos sous-réseaux privés.

# Proxy sortant HTTP pour Amazon WorkSpaces Secure Browser
<a name="restricted-setup"></a>

Pour configurer un proxy sortant HTTP pour WorkSpaces Secure Browser, procédez comme suit.

1. Pour déployer un exemple de proxy sortant sur votre VPC, suivez les étapes décrites [dans Comment configurer un proxy VPC sortant avec](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) liste blanche de domaines et filtrage de contenu.

   1. Suivez les étapes de la section « Installation (configuration unique) » pour déployer le CloudFormation modèle sur votre compte. Assurez-vous de choisir le VPC et les sous-réseaux appropriés comme paramètres de CloudFormation modèle.

   1. Après le déploiement, recherchez le paramètre CloudFormation de sortie **OutboundProxyDomain**et **OutboundProxyPort**. Il s'agit du nom et du port DNS de votre proxy.

   1. Si vous possédez déjà votre propre proxy, ignorez cette étape et utilisez le nom et le port DNS de votre proxy.

1. Dans la console WorkSpaces Secure Browser, sélectionnez votre portail, puis choisissez **Modifier**.

   1. Dans les **détails de la connexion réseau**, choisissez le VPC et les sous-réseaux privés qui ont accès au proxy.

   1. Dans les **paramètres de stratégie**, ajoutez la ProxySettings politique suivante à l'aide d'un éditeur JSON. Le `ProxyServer` champ doit être le nom et le port DNS de votre proxy. Pour plus de détails sur ProxySettings la politique, voir [ProxySettings](https://chromeenterprise.google/policies/#ProxySettings).

      ```
      {
          "chromePolicies":
          {
              ...
              "ProxySettings": {
                  "value": {
                      "ProxyMode": "fixed_servers",
                      "ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
                      "ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
                  }
              },
          }
      }
      ```

1. Dans votre session WorkSpaces Secure Browser, vous verrez que le proxy est appliqué à Chrome. **Chrome utilise les paramètres de proxy de votre administrateur**.

1. Accédez à chrome : //policy et à l'onglet **Chrome policy** pour vérifier que la politique est appliquée.

1. Vérifiez que votre session WorkSpaces Secure Browser peut parcourir correctement le contenu Internet sans passerelle NAT. Dans les CloudWatch journaux, vérifiez que les journaux d'accès au proxy Squid sont enregistrés. 

# Résolution des problèmes liés à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-troubleshooting"></a>

Une fois les règles de Chrome appliquées, si votre session WorkSpaces Secure Browser ne parvient toujours pas à accéder à Internet, procédez comme suit pour tenter de résoudre le problème :
+ Vérifiez que le point de terminaison du proxy est accessible depuis les sous-réseaux privés sur lesquels se trouve votre portail WorkSpaces Secure Browser. Pour ce faire, créez une instance EC2 dans le sous-réseau privé et testez la connexion entre l'instance EC2 privée et votre point de terminaison proxy.
+ Vérifiez que le proxy dispose d'un accès à Internet. 
+ Vérifiez que la politique de Chrome est correcte.
  +  Confirmez le formatage suivant pour le `ProxyServer` champ de la politique :`<Proxy DNS name>:<Proxy port>`. Il ne doit y avoir aucun `http://` ou `https://` dans le préfixe.
  +  Dans la session WorkSpaces Secure Browser, utilisez Chrome pour accéder à chrome : //policy et assurez-vous que la ProxySettings politique est correctement appliquée.

# Ports de connectivité Internet pour Amazon WorkSpaces Secure Browser
<a name="vpc-connection"></a>

Chaque instance de streaming WorkSpaces Secure Browser possède une interface réseau client qui fournit une connectivité aux ressources de votre VPC, ainsi qu'à Internet si des sous-réseaux privés dotés d'une passerelle NAT sont configurés.

Pour la connectivité Internet, les ports suivants doivent être ouverts à tous les destinations. Si vous utilisez un groupe de sécurité modifié ou personnalisé, vous devez ajouter les règles nécessaires manuellement. Pour en savoir plus, consultez [Règles des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules.html).

**Note**  
Cela s’applique au trafic sortant.
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 8433

# Bonnes pratiques en matière de VPC pour Secure Browser WorkSpaces
<a name="vpc-setup-recommendations"></a>

Les recommandations suivantes peuvent vous aider à configurer votre VPC de façon plus efficace et sécurisée.

**Configuration générale du VPC**
+ Assurez-vous que la configuration de votre VPC peut répondre à vos besoins de mise à l’échelle. 
+ Assurez-vous que vos quotas de service WorkSpaces Secure Browser (également appelés limites) sont suffisants pour répondre à la demande prévue. Pour demander une augmentation de quota, vous pouvez utiliser la console Service Quotas à l'adresse [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/). Pour plus d'informations sur les quotas par défaut de WorkSpaces Secure Browser, consultez[Gestion des quotas de service pour votre portail dans Amazon WorkSpaces Secure Browser](request-service-quota.md). 
+ Si vous prévoyez de fournir à vos sessions de streaming un accès à Internet, nous vous recommandons de configurer un VPC avec une passerelle NAT dans un sous-réseau public. 

**Interfaces réseau Elastic**
+ Chaque session WorkSpaces Secure Browser nécessite sa propre interface Elastic Network pendant la durée du streaming. WorkSpaces Secure Browser crée autant d'[interfaces réseau élastiques](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENIs) que la capacité maximale souhaitée de votre flotte. Par défaut, la limite ENIs par région est de 5 000. Pour en savoir plus, consultez [Interfaces réseau](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis).

  Lorsque vous planifiez la capacité pour des déploiements de très grande envergure, par exemple des milliers de sessions de streaming simultanées, tenez compte du nombre de sessions de streaming ENIs qui pourraient être nécessaires en cas de pic d'utilisation. Nous vous recommandons de maintenir votre limite d’interfaces ENI à un niveau égal ou supérieur à la limite maximale d’utilisation simultanée que vous configurez pour votre portail web.

**Sous-réseaux**
+ Lorsque vous élaborez votre plan pour augmenter le nombre d'utilisateurs, gardez à l'esprit que chaque session WorkSpaces Secure Browser nécessite une adresse IP client unique provenant de vos sous-réseaux configurés. Par conséquent, la taille de l’espace d’adressage IP client configuré sur vos sous-réseaux détermine le nombre d’utilisateurs pouvant diffuser simultanément.
+ Nous vous recommandons de configurer chaque sous-réseau avec un masque de sous-réseau qui permet d’avoir un nombre suffisant d’adresses IP client pour prendre en considération le nombre maximal d’utilisateurs simultanés attendu. De plus, prévoyez des adresses IP supplémentaires pour répondre à la demande à venir. Pour plus d'informations, consultez la section [Dimensionnement des VPC et des sous-réseaux](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) pour. IPv4
+ Nous vous recommandons de configurer un sous-réseau dans chaque zone de disponibilité unique prise en charge par WorkSpaces Secure Browser dans la région de votre choix pour des raisons de disponibilité et de dimensionnement. Pour de plus amples informations, veuillez consulter [Création d'un nouveau VPC pour Amazon Secure Browser WorkSpaces](create-vpc.md).
+ Vérifiez que les ressources réseau dont vos applications web ont besoin sont accessibles depuis vos sous-réseaux.

**Groupes de sécurité**
+ Utilisez des groupes de sécurité pour fournir un contrôle d'accès supplémentaire à votre VPC. 

  Les groupes de sécurité appartenant à votre VPC vous permettent de contrôler le trafic réseau entre les instances de streaming WorkSpaces Secure Browser et les ressources réseau requises par les applications Web. Veillez à ce que les groupes de sécurité donnent accès aux ressources réseau dont vos applications web ont besoin.

# Zones de disponibilité prises en charge pour Amazon WorkSpaces Secure Browser
<a name="availability-zones"></a>

Lorsque vous créez un cloud privé virtuel (VPC) à utiliser avec WorkSpaces Secure Browser, les sous-réseaux de votre VPC doivent résider dans différentes zones de disponibilité de la région dans laquelle vous lancez Secure Browser. WorkSpaces Les zones de disponibilité sont des emplacements distincts conçus pour être isolés des défaillances dans d'autres zones de disponibilité. En lançant des instances dans des zones de disponibilité distinctes, vous pouvez protéger vos applications de la défaillance d'un seul emplacement. Chaque sous-réseau doit résider entièrement dans une zone de disponibilité et ne peut pas s'étendre sur plusieurs zones. Pour bénéficier d’une résilience maximale, nous vous recommandons de configurer un sous-réseau pour chaque zone de disponibilité prise en charge de la région souhaitée.

Une zone de disponibilité est représentée par un code de région suivi d'un identifiant à lettre ; par exemple, `us-east-1a`. Pour garantir que les ressources sont réparties entre les zones de disponibilité d'une région, nous mappons indépendamment les zones de disponibilité aux noms de chaque compte AWS . Par exemple, la zone de disponibilité `us-east-1a` pour votre compte  AWS peut avoir un emplacement autre que `us-east-1a` pour un autre compte AWS .

Pour coordonner les zones de disponibilité entre les comptes, vous devez utiliser un *ID de zone de disponibilité*, qui représente l’identifiant unique et cohérent d’une zone de disponibilité. Par exemple, `use1-az2` il s'agit d'un identifiant AZ pour la `us-east-1` région et il a le même emplacement dans tous les AWS comptes.

La visualisation AZ vous IDs permet de déterminer l'emplacement des ressources d'un compte par rapport aux ressources d'un autre compte. Par exemple, si vous partagez avec un autre compte un sous-réseau dans la zone de disponibilité portant l’ID `use1-az2`, ce sous-réseau est accessible par cet autre compte dans la zone de disponibilité portant également l’ID `use1-az2`. L'ID de zone de disponibilité de chaque VPC et de chaque sous-réseau s'affiche dans la console Amazon VPC.

WorkSpaces Secure Browser est disponible dans un sous-ensemble de zones de disponibilité pour chaque région prise en charge. Le tableau suivant répertorie l'AZ IDs que vous pouvez utiliser pour chaque région. Pour voir le mappage entre AZ et IDs les zones de disponibilité de votre compte, consultez la section [AZ IDs pour vos ressources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) dans le *guide de AWS RAM l'utilisateur*.


| Nom de la région | Code région | AZ pris en charge IDs | 
| --- | --- | --- | 
| USA Est (Virginie du Nord) | us-east-1 | use1-az1, use1-az2, use1-az4, use1-az5, use1-az6 | 
| USA Ouest (Oregon) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 | 
| Asie-Pacifique (Mumbai) | ap-south-1 | aps1-az1, aps1-az3 | 
| Asie-Pacifique (Singapour) | ap-southeast-1 | apse1-az1, apse1-az2, apse1-az3 | 
| Asie-Pacifique (Sydney) | ap-southeast-2 | apse2-az1, apse2-az2, apse2-az3 | 
| Asie-Pacifique (Tokyo) | ap-northeast-1 | apne1-az1, apne1-az2, apne1-az4 | 
| Canada (Centre) | ca-central-1 | cac1-az1, cac1-az2, cac1-az4 | 
| Europe (Francfort) | eu-central-1 | euc1-az2, euc1-az2, euc1-az3 | 
| Europe (Irlande) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 | 
| Europe (Londres) | eu-west-2 | euw2-az1, euw2-az2 | 

Pour plus d'informations sur les zones de disponibilité et les zones de disponibilité IDs, consultez la section [Régions, zones de disponibilité et zones locales](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) dans le guide de l'*utilisateur Amazon EC2*.