Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activation de la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-internet-browsing"></a>

La configuration réseau recommandée d'un portail WorkSpaces Secure Browser consiste à utiliser des sous-réseaux privés dotés d'une passerelle NAT, afin que le portail puisse naviguer à la fois sur Internet public et sur du contenu privé. Pour de plus amples informations, veuillez consulter [Activation de la navigation Internet illimitée pour Amazon WorkSpaces Secure Browser (recommandé)](unrestricted-internet-browsing.md). Toutefois, il se peut que vous deviez contrôler les communications sortantes d'un portail WorkSpaces Secure Browser vers Internet à l'aide d'un proxy Web. Par exemple, si vous utilisez un proxy Web comme passerelle vers Internet, vous pouvez mettre en œuvre des contrôles de sécurité préventifs, tels que la liste des domaines autorisés et le filtrage du contenu. Cela permet également de réduire l'utilisation de la bande passante et d'améliorer les performances du réseau en mettant en cache les ressources fréquemment consultées, telles que les pages Web ou les mises à jour logicielles en local. Dans certains cas d'utilisation, il se peut que vous disposiez d'un contenu privé accessible uniquement à l'aide d'un proxy Web.

Vous êtes peut-être déjà familiarisé avec la configuration des paramètres de proxy sur les appareils administrés ou sur l'image de vos environnements virtuels. Mais cela pose des problèmes si vous ne contrôlez pas l'appareil (par exemple, lorsque les utilisateurs utilisent des appareils qui ne sont pas détenus ou gérés par l'entreprise) ou si vous devez gérer l'image de votre environnement virtuel. WorkSpaces Secure Browser vous permet de définir les paramètres du proxy à l'aide des politiques de Chrome intégrées au navigateur Web. Vous pouvez le faire en configurant un proxy sortant HTTP pour WorkSpaces Secure Browser.

Cette solution est basée sur une configuration de proxy VPC sortante recommandée. La solution proxy est basée sur le proxy HTTP open source [Squid](http://www.squid-cache.org/). Il utilise ensuite les paramètres du navigateur WorkSpaces Secure Browser pour configurer le portail WorkSpaces Secure Browser afin de se connecter au point de terminaison du proxy. Pour plus d'informations, consultez [Comment configurer un proxy VPC sortant avec liste blanche de domaines](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) et filtrage de contenu.

Cette solution vous offre les avantages suivants :
+ Un proxy sortant qui inclut un groupe d'instances Amazon EC2 à mise à l'échelle automatique, hébergées par un équilibreur de charge réseau. Les instances de proxy résident dans un sous-réseau public et chacune d'entre elles est associée à une adresse IP élastique, ce qui leur permet d'accéder à Internet.
+ Un portail WorkSpaces Secure Browser déployé sur des sous-réseaux privés. Il n'est pas nécessaire de configurer la passerelle NAT pour permettre l'accès à Internet. Au lieu de cela, vous configurez la politique de votre navigateur afin que tout le trafic Internet passe par le proxy sortant. Si vous souhaitez utiliser votre propre proxy, la configuration du portail WorkSpaces Secure Browser sera similaire.

**Topics**
+ [Architecture de navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-architecture.md)
+ [Conditions préalables relatives à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-prerequisites.md)
+ [Proxy sortant HTTP pour Amazon WorkSpaces Secure Browser](restricted-setup.md)
+ [Résolution des problèmes liés à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser](restricted-troubleshooting.md)

# Architecture de navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-architecture"></a>

Voici un exemple de configuration de proxy typique dans votre VPC. L'instance proxy Amazon EC2 se trouve dans des sous-réseaux publics et est associée à Elastic IP, de sorte qu'elle a accès à Internet. Un équilibreur de charge réseau héberge un groupe d'instances de proxy à dimensionnement automatique. Cela garantit que les instances de proxy peuvent évoluer automatiquement et que l'équilibreur de charge réseau est le point de terminaison du proxy unique, qui peut être utilisé par les sessions WorkSpaces Secure Browser. 

![\[WorkSpaces Architecture de navigateur sécurisé\]](http://docs.aws.amazon.com/fr_fr/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)


# Conditions préalables relatives à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-prerequisites"></a>

Avant de commencer, assurez-vous de remplir les conditions préalables suivantes :
+ Vous avez besoin d'un VPC déjà déployé, avec des sous-réseaux publics et privés répartis sur plusieurs zones de disponibilité (). AZs [Pour plus d'informations sur la configuration de votre environnement VPC, consultez la section Par défaut. VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)
+ Vous avez besoin d'un point de terminaison proxy unique accessible à partir de sous-réseaux privés où résident les sessions WorkSpaces Secure Browser (par exemple, le nom DNS de l'équilibreur de charge réseau). Si vous souhaitez utiliser votre proxy existant, assurez-vous qu'il possède également un point de terminaison unique accessible depuis vos sous-réseaux privés.

# Proxy sortant HTTP pour Amazon WorkSpaces Secure Browser
<a name="restricted-setup"></a>

Pour configurer un proxy sortant HTTP pour WorkSpaces Secure Browser, procédez comme suit.

1. Pour déployer un exemple de proxy sortant sur votre VPC, suivez les étapes décrites [dans Comment configurer un proxy VPC sortant avec](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) liste blanche de domaines et filtrage de contenu.

   1. Suivez les étapes de la section « Installation (configuration unique) » pour déployer le CloudFormation modèle sur votre compte. Assurez-vous de choisir le VPC et les sous-réseaux appropriés comme paramètres de CloudFormation modèle.

   1. Après le déploiement, recherchez le paramètre CloudFormation de sortie **OutboundProxyDomain**et **OutboundProxyPort**. Il s'agit du nom et du port DNS de votre proxy.

   1. Si vous possédez déjà votre propre proxy, ignorez cette étape et utilisez le nom et le port DNS de votre proxy.

1. Dans la console WorkSpaces Secure Browser, sélectionnez votre portail, puis choisissez **Modifier**.

   1. Dans les **détails de la connexion réseau**, choisissez le VPC et les sous-réseaux privés qui ont accès au proxy.

   1. Dans les **paramètres de stratégie**, ajoutez la ProxySettings politique suivante à l'aide d'un éditeur JSON. Le `ProxyServer` champ doit être le nom et le port DNS de votre proxy. Pour plus de détails sur ProxySettings la politique, voir [ProxySettings](https://chromeenterprise.google/policies/#ProxySettings).

      ```
      {
          "chromePolicies":
          {
              ...
              "ProxySettings": {
                  "value": {
                      "ProxyMode": "fixed_servers",
                      "ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
                      "ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
                  }
              },
          }
      }
      ```

1. Dans votre session WorkSpaces Secure Browser, vous verrez que le proxy est appliqué à Chrome. **Chrome utilise les paramètres de proxy de votre administrateur**.

1. Accédez à chrome : //policy et à l'onglet **Chrome policy** pour vérifier que la politique est appliquée.

1. Vérifiez que votre session WorkSpaces Secure Browser peut parcourir correctement le contenu Internet sans passerelle NAT. Dans les CloudWatch journaux, vérifiez que les journaux d'accès au proxy Squid sont enregistrés. 

# Résolution des problèmes liés à la navigation Internet restreinte pour Amazon WorkSpaces Secure Browser
<a name="restricted-troubleshooting"></a>

Une fois les règles de Chrome appliquées, si votre session WorkSpaces Secure Browser ne parvient toujours pas à accéder à Internet, procédez comme suit pour tenter de résoudre le problème :
+ Vérifiez que le point de terminaison du proxy est accessible depuis les sous-réseaux privés sur lesquels se trouve votre portail WorkSpaces Secure Browser. Pour ce faire, créez une instance EC2 dans le sous-réseau privé et testez la connexion entre l'instance EC2 privée et votre point de terminaison proxy.
+ Vérifiez que le proxy dispose d'un accès à Internet. 
+ Vérifiez que la politique de Chrome est correcte.
  +  Confirmez le formatage suivant pour le `ProxyServer` champ de la politique :`<Proxy DNS name>:<Proxy port>`. Il ne doit y avoir aucun `http://` ou `https://` dans le préfixe.
  +  Dans la session WorkSpaces Secure Browser, utilisez Chrome pour accéder à chrome : //policy et assurez-vous que la ProxySettings politique est correctement appliquée.