Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Protokol jaringan dan akses untuk Pribadi WorkSpaces
Sebagai WorkSpace administrator, Anda harus memahami cara mengelola WorkSpaces jaringan dan akses, dimulai dengan protokol.
## Protokol untuk Pribadi WorkSpaces
Amazon WorkSpaces mendukung dua protokol: PCo IP dan DCV. Protokol yang Anda pilih bergantung pada beberapa faktor, seperti jenis perangkat yang akan diakses pengguna Anda, sistem operasi mana yang ada di Anda WorkSpaces, kondisi jaringan apa yang akan dihadapi pengguna Anda, dan apakah pengguna Anda memerlukan dukungan video dua arah. WorkSpaces
### Persyaratan
DCV hanya WorkSpaces didukung dengan persyaratan minimum berikut.
Persyaratan agen tuan rumah:
+ Agen host Windows versi 2.0.0.312 atau lebih tinggi
+ Agen host Ubuntu versi 2.1.0.501 atau lebih tinggi
+ Agen host Amazon Linux 2 versi 2.0.0.596 atau lebih tinggi
+ Agen host Rocky Linux versi 2.1.0.1628 atau lebih tinggi
+ Agen host Red Hat Enterprise Linux versi 2.1.0.1628 atau lebih tinggi
Persyaratan klien:
+ Versi klien asli Windows 5.1.0.329 atau lebih tinggi
+ klien asli macOS versi 5.5.0 atau lebih tinggi
+ Ubuntu 22.04 versi klien 2024.x atau lebih tinggi
+ Amazon WorkSpaces Thin Client (Untuk informasi selengkapnya, lihat [Dokumentasi Amazon WorkSpaces Thin Client](https://docs.aws.amazon.com/workspaces-thin-client/))
+ Akses Web
Untuk informasi selengkapnya tentang cara memeriksa versi WorkSpace klien dan versi agen host Anda, lihat [FAQ](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F).
### Kapan menggunakan DCV
+ Jika Anda membutuhkan loss/latency toleransi yang lebih tinggi untuk mendukung kondisi jaringan pengguna akhir Anda. Misalnya, Anda memiliki pengguna yang mengakses jarak WorkSpaces global mereka atau menggunakan jaringan yang tidak dapat diandalkan.
+ Jika Anda memerlukan pengguna untuk mengautentikasi dengan kartu pintar atau menggunakan kartu pintar dalam sesi.
+ Jika Anda membutuhkan kemampuan dukungan webcam dalam sesi.
+ Jika Anda perlu menggunakan Akses Web dengan bundel yang didukung Windows Server 2022 atau Windows Server 2021 WorkSpaces .
+ Jika Anda perlu menggunakan Ubuntu WorkSpaces.
+ Jika Anda perlu menggunakan Windows 11 BYOL WorkSpaces.
+ Jika Anda perlu menggunakan WorkSpaces bundel berkemampuan GPU dengan Windows.
+ Jika Anda perlu menggunakan bundel berbasis GPU Windows (Graphics.g6, Graphics.g4dn dan .g4dn) atau bundel berbasis GPU Ubuntu (Graphics.g4dn dan.g4dn). GraphicsPro GraphicsPro
+ Jika Anda membutuhkan pengguna untuk mengautentikasi dalam sesi dengan WebAuthn autentikator seperti YubiKey atau Windows Hello.
### Kapan menggunakan PCo IP
+ Jika Anda ingin menggunakan klien iPad atau Android Linux.
+ Jika Anda menggunakan perangkat client zero Teradici.
+ Jika Anda perlu menggunakan paket Linux untuk kasus penggunaan kartu non-pintar.
+ Jika Anda perlu menggunakan WorkSpaces di Wilayah Tiongkok (Ningxia). SC2
**catatan**
Sebuah direktori dapat memiliki campuran PCo IP dan DCV WorkSpaces di dalamnya.
Seorang pengguna dapat memiliki PCo IP dan DCV WorkSpace selama keduanya WorkSpaces berada di direktori terpisah. Pengguna yang sama tidak dapat memiliki PCo IP dan DCV WorkSpace di direktori yang sama. Untuk informasi selengkapnya tentang membuat beberapa WorkSpaces untuk pengguna, lihat[Buat beberapa WorkSpaces untuk pengguna di WorkSpaces Pribadi](create-multiple-workspaces-for-user.md).
Anda dapat memigrasikan WorkSpace antara dua protokol dengan menggunakan fitur WorkSpaces migrasi, yang memerlukan pembuatan ulang protokol. WorkSpace Untuk informasi selengkapnya, lihat [Migrasi WorkSpace dalam WorkSpaces Personal](migrate-workspaces.md).
Jika Anda WorkSpace dibuat dengan bundel PCo IP, Anda dapat memodifikasi protokol streaming untuk bermigrasi di antara dua protokol tanpa memerlukan pembangunan kembali, sambil mempertahankan volume root. Untuk informasi selengkapnya, lihat [Memodifikasi protokol](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols).
Untuk pengalaman terbaik dengan konferensi video, kami sarankan menggunakan bundel Power,, GeneralPurpose .4xlarge PowerPro, atau GeneralPurpose .8xlarge saja.
Topik berikut menawarkan detail tambahan tentang cara mengelola jaringan dan akses untuk WorkSpaces Pribadi:
# Konfigurasikan VPC untuk Pribadi WorkSpaces
WorkSpaces meluncurkan Anda WorkSpaces di cloud pribadi virtual (VPC).
Anda dapat membuat VPC dengan dua subnet pribadi untuk Anda WorkSpaces dan gateway NAT di subnet publik. Atau, Anda dapat membuat VPC dengan dua subnet publik untuk Anda WorkSpaces dan mengaitkan alamat IP publik atau alamat IP Elastis dengan masing-masing subnet. WorkSpace
Untuk informasi selengkapnya tentang pertimbangan desain VPC, lihat [Praktik Terbaik untuk VPCs dan Jaringan di WorkSpaces Penerapan Amazon dan Praktik [Terbaik untuk Penerapan](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html) - Desain VPC](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf). WorkSpaces
**Topics**
+ [Persyaratan](#configure-vpc-requirements)
+ [Konfigurasi VPC dengan subnet privat dan gateway NAT](#configure-vpc-nat-gateway)
+ [Mengonfigurasi VPC dengan subnet publik](#configure-vpc-public-subnets)
## Persyaratan
Subnet VPC Anda harus berada di Availability Zone yang berbeda di Wilayah tempat Anda meluncurkan. WorkSpaces Availability Zone berada di lokasi yang berjauhan yang ditata sedemikian rupa agar terisolasi dari kegagalan Availability Zone lain. Dengan meluncurkan instans dalam Availability Zone yang terpisah, Anda dapat melindungi aplikasi Anda dari kegagalan di satu lokasi. Setiap subnet harus berada sepenuhnya dalam satu Availability Zone dan tidak dapat memperluas zona.
**catatan**
Amazon WorkSpaces tersedia dalam subset Availability Zones di setiap Wilayah yang didukung. Untuk menentukan Availability Zone yang dapat Anda gunakan untuk subnet VPC yang Anda gunakan WorkSpaces, lihat. [Availability Zone untuk WorkSpaces Pribadi](azs-workspaces.md)
## Konfigurasi VPC dengan subnet privat dan gateway NAT
Jika Anda menggunakan Directory Service untuk membuat Microsoft AWS Terkelola atau Simple AD, sebaiknya Anda mengonfigurasi VPC dengan satu subnet publik dan dua subnet pribadi. Konfigurasikan direktori Anda WorkSpaces untuk meluncurkan subnet pribadi Anda. Untuk menyediakan akses internet ke WorkSpaces subnet pribadi, konfigurasikan gateway NAT di subnet publik.
![\[Konfigurasikan WorkSpaces VPC Anda\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/vpc-configuration-new.png)
**Untuk membuat VPC dengan satu subnet publik dan dua subnet pribadi**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pilih **Buat VPC**.
1. Pada **Sumber daya yang akan dibuat**, pilih **VPC dan lainnya**.
1. Untuk **Pembuatan otomatis tanda nama**, masukkan nama untuk VPC.
1. Untuk mengkonfigurasi subnet, lakukan hal berikut:
1. Untuk **Jumlah Availability Zone**, pilih **1** atau **2**, tergantung kebutuhan Anda.
1. Perluas **Kustomisasi AZs** dan pilih Availability Zones Anda. Jika tidak, AWS pilih mereka untuk Anda. Untuk membuat pilihan yang tepat, lihat[Availability Zone untuk WorkSpaces Pribadi](azs-workspaces.md).
1. Untuk **Jumlah subnet publik**, pastikan Anda memiliki satu subnet publik per Availability Zone.
1. Untuk **Jumlah subnet pribadi**, pastikan Anda memiliki setidaknya satu subnet pribadi per Availability Zone.
1. Masukkan blok CIDR untuk setiap subnet. Untuk informasi selengkapnya, lihat [Ukuran subnet](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) di Panduan Pengguna Amazon *VPC*.
1. Untuk **gateway NAT**, pilih **1** per AZ.
1. Pilih **Buat VPC**.
**IPv6 Blok CIDR**
Anda dapat mengaitkan blok IPv6 CIDR dengan VPC dan subnetnya, dan mengonfigurasi subnet tersebut untuk secara otomatis IPv6 menetapkan alamat ke instance yang baru diluncurkan. Untuk subnet yang dibuat pelanggan, pengalamatan penetapan otomatis dinonaktifkan secara default IPv6 . **Untuk melihat atau memperbarui pengaturan ini di konsol VPC Amazon, pilih Subnet di panel navigasi, pilih subnet target, lalu pilih **Tindakan**, Ubah pengaturan IP penetapan otomatis.**
## Mengonfigurasi VPC dengan subnet publik
Jika mau, Anda bisa membuat VPC dengan dua subnet publik. Untuk menyediakan akses internet ke WorkSpaces subnet publik, konfigurasikan direktori untuk menetapkan alamat IP Elastis secara otomatis atau manual menetapkan alamat IP Elastis untuk masing-masing. WorkSpace
**Topics**
+ [Langkah 1: Buat VPC](#create-vpc-public-subnet)
+ [Langkah 2: Tetapkan alamat IP publik ke alamat Anda WorkSpaces](#assign-eip)
### Langkah 1: Buat VPC
Buat VPC dengan satu subnet publik seperti berikut.
**Untuk membuat VPC**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pilih **Buat VPC**.
1. Pada **Sumber daya yang akan dibuat**, pilih **VPC dan lainnya**.
1. Untuk **Pembuatan otomatis tanda nama**, masukkan nama untuk VPC.
1. Untuk mengkonfigurasi subnet, lakukan hal berikut:
1. Untuk **Jumlah Availability Zone**, pilih **2**.
1. Perluas **Kustomisasi AZs** dan pilih Availability Zones Anda. Jika tidak, AWS pilih mereka untuk Anda. Untuk membuat pilihan yang tepat, lihat[Availability Zone untuk WorkSpaces Pribadi](azs-workspaces.md).
1. Untuk **Jumlah subnet publik**, pilih **2**.
1. Untuk **Jumlah subnet pribadi**, pilih **0**.
1. Masukkan blok CIDR untuk setiap subnet publik. Untuk informasi selengkapnya, lihat [Ukuran subnet](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) di Panduan Pengguna Amazon *VPC*.
1. Pilih **Buat VPC**.
**IPv6 Blok CIDR**
Anda dapat mengaitkan blok IPv6 CIDR dengan VPC dan subnetnya, dan mengonfigurasi subnet tersebut untuk secara otomatis IPv6 menetapkan alamat ke instance yang baru diluncurkan. Untuk subnet yang dibuat pelanggan, pengalamatan penetapan otomatis dinonaktifkan secara default IPv6 . **Untuk melihat atau memperbarui pengaturan ini di konsol VPC Amazon, pilih Subnet di panel navigasi, pilih subnet target, lalu pilih **Tindakan**, Ubah pengaturan IP penetapan otomatis.**
### Langkah 2: Tetapkan alamat IP publik ke alamat Anda WorkSpaces
Anda dapat menetapkan alamat IP publik ke alamat Anda WorkSpaces secara otomatis atau manual. Untuk menggunakan tugas otomatis, lihat [Konfigurasikan alamat IP publik otomatis untuk WorkSpaces Pribadi](automatic-assignment.md). Untuk menetapkan alamat IP publik secara manual, gunakan prosedur berikut.
**Untuk menetapkan alamat IP publik ke manual WorkSpace**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **WorkSpaces**.
1. Perluas baris (pilih ikon panah) untuk WorkSpace dan perhatikan nilai **WorkSpace IP**. Ini adalah alamat IP pribadi utama dari WorkSpace.
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Elastic IPs**. Jika Anda tidak memiliki alamat IP Elastis yang tersedia, pilih **Alokasikan alamat IP Elastis** dan pilih **kumpulan IPv4 alamat Amazon** atau **kumpulan IPv4 alamat milik Pelanggan**, lalu pilih **Alokasikan**. Catat alamat IP yang baru.
1. Di panel navigasi, pilih **Antarmuka Jaringan**.
1. Pilih antarmuka jaringan untuk Anda WorkSpace. Untuk menemukan antarmuka jaringan untuk Anda WorkSpace, masukkan nilai **WorkSpace IP** (yang Anda catat sebelumnya) di kotak pencarian, lalu tekan **Enter**. Nilai **WorkSpace IP** cocok dengan IPv4 alamat pribadi utama untuk antarmuka jaringan. Perhatikan bahwa ID VPC antarmuka jaringan cocok dengan ID WorkSpaces VPC Anda.
1. Pilih **Tindakan**, **Kelola Alamat IP**. Pilih **Tetapkan IP baru**, lalu pilih **Ya, Perbarui**. Catat alamat IP yang baru.
1. Pilih **Tindakan**, **Kaitkan Alamat**.
1. Pada halaman **Kaitkan Alamat IP Elastis**, pilih alamat IP Elastis dari **Alamat**. Untuk **Kaitkan ke alamat IP privat**, tentukan alamat IP privat baru, lalu pilih **Kaitkan Alamat**.
# Konfigurasikan AWS Global Accelerator (AGA) untuk Pribadi WorkSpaces
Anda dapat mengaktifkan AWS Global Accelerator (AGA) baik di tingkat WorkSpaces direktori atau untuk protokol DCV yang WorkSpaces menjalankan individu. Ketika diaktifkan, layanan secara otomatis merutekan lalu lintas streaming melalui lokasi AWS tepi terdekat dan melintasi jaringan AWS global, yang bebas kemacetan dan berlebihan. Ini membantu memberikan pengalaman streaming yang lebih responsif dan stabil. WorkSpaces Layanan ini sepenuhnya mengelola penggunaan AGA dan tunduk pada batas volume data keluar.
**Topics**
+ [Persyaratan](#configure-aga-requirements)
+ [Batasan](#configure-aga-limitations)
+ [Batas data keluar](#configure-aga-outbound-data-limits)
+ [Aktifkan AGA untuk WorkSpaces direktori](#enabling-aga-directory)
+ [Aktifkan AGA untuk individu WorkSpaces](#enabling-aga-individual)
## Persyaratan
+ WorkSpaces gunakan berbagai IPv4 alamat publik untuk titik akhir AWS Global Accelerator (AGA) khusus. Pastikan untuk mengonfigurasi kebijakan firewall Anda untuk perangkat yang mengakses WorkSpaces melalui AGA. Jika titik akhir AGA diblokir oleh firewall, lalu lintas WorkSpaces streaming tidak akan dialihkan melalui AGA. Untuk informasi selengkapnya tentang rentang IP titik akhir AGA di setiap AWS wilayah, lihat[Server gateway DCV](workspaces-port-requirements.md#gateway_WSP).
+ Untuk mengakses WorkSpaces melalui AGA, pengguna harus menggunakan versi WorkSpaces klien 5.23 atau yang lebih baru.
## Batasan
+ Anda dapat mengaktifkan AGA WorkSpaces hanya untuk DCV. Jika Anda mengaktifkan AGA di tingkat WorkSpaces direktori, itu hanya akan berlaku untuk DCV WorkSpaces di direktori.
+ Anda tidak dapat mengaktifkan AGA untuk direktori (atau WorkSpaces dalam direktori) yang mengaktifkan grup kontrol akses FIPS dan IP. Anda harus menonaktifkan grup kontrol akses FIPS atau IP sebelum mengaktifkan AGA untuk direktori.
## Batas data keluar
Berikut ini adalah batas volume data yang berlaku untuk WorkSpaces bundel.
+ **Paket Nilai, Standar, dan Kinerja:** Termasuk 20 GB data keluar AGA per pengguna per bulan.
+ **Bundel Daya PowerPro,, dan Grafik:** Termasuk 50 GB data keluar AGA per pengguna per bulan.
Batas data keluar ini dimaksudkan untuk mencakup penggunaan data pengguna yang streaming dari mereka WorkSpaces. Di luar batas, WorkSpaces layanan mungkin membatasi penggunaan AGA dan rute WorkSpaces lalu lintas dari AGA secara case-by-case dasar.
## Aktifkan AGA untuk WorkSpaces direktori
Anda dapat mengkonfigurasi pengaturan AGA pada tingkat direktori. Pengaturan akan berlaku untuk semua DCV WorkSpaces di direktori kecuali diganti oleh individu. WorkSpaces
**Untuk mengaktifkan AGA untuk direktori**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Di bawah kolom **ID Direktori**, pilih ID direktori direktori yang ingin Anda konfigurasi pengaturan AGA.
1. Pada halaman Detail Direktori, gulir ke bawah ke bagian konfigurasi AWS Global Accelerator (AGA) dan pilih **Edit**.
1. Pilih **Aktifkan AGA (otomatis)**.
1. **Selalu gunakan TCP dengan AGA** dipilih secara default. Jika Anda membatalkan pilihannya, WorkSpaces klien Anda akan menentukan apakah TCP atau UDP digunakan dengan AGA berdasarkan pengaturan protokol streaming DCV pada klien Anda.
1. Pilih **Simpan**.
Setelah Anda mengaktifkan AGA untuk WorkSpaces direktori, DCV WorkSpaces di direktori menggunakan AGA untuk streaming mulai dari sesi berikutnya. Tidak diperlukan reboot.
## Aktifkan AGA untuk individu WorkSpaces
Anda dapat mengonfigurasi pengaturan AGA untuk individu WorkSpaces, yang mengesampingkan pengaturan yang diwarisi dari direktori yang terkait dengannya. WorkSpaces
**Untuk mengaktifkan AGA untuk individu WorkSpaces**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **WorkSpaces**, **Pribadi**.
1. Di bawah kolom **WorkSpace ID**, pilih WorkSpace ID pengaturan AGA yang ingin WorkSpace Anda konfigurasikan.
1. Pada halaman WorkSpaces Detail, gulir ke bawah ke bagian konfigurasi AWS Global Accelerator (AGA) dan pilih **Edit**.
1. Pilih Ganti **konfigurasi AGA secara manual untuk ini**. WorkSpace
1. Pilih **Aktifkan AGA (otomatis)**.
1. **Selalu gunakan TCP dengan AGA** dipilih secara default. Jika Anda membatalkan pilihannya, WorkSpaces klien Anda akan menentukan apakah TCP atau UDP digunakan dengan AGA berdasarkan pengaturan protokol streaming DCV pada klien Anda.
1. Pilih **Simpan**.
# Availability Zone untuk WorkSpaces Pribadi
Saat Anda membuat virtual private cloud (VPC) untuk digunakan dengan Amazon WorkSpaces, subnet VPC Anda harus berada di Availability Zone yang berbeda di Wilayah tempat Anda meluncurkan. WorkSpaces Availability Zone berada di lokasi yang berjauhan yang ditata sedemikian rupa agar terisolasi dari kegagalan Availability Zone lain. Dengan meluncurkan instans dalam Availability Zone yang terpisah, Anda dapat melindungi aplikasi Anda dari kegagalan di satu lokasi. Setiap subnet harus berada sepenuhnya dalam satu Availability Zone dan tidak dapat memperluas zona.
Availability Zone diwakili oleh kode Wilayah yang diikuti oleh pengidentifikasi huruf; misalnya, `us-east-1a`. Untuk memastikan bahwa sumber daya didistribusikan di seluruh Availability Zone untuk suatu Wilayah, kami secara independen memetakan Availability Zone ke nama untuk setiap AWS akun. Misalnya, Availability Zone `us-east-1a` untuk AWS akun Anda mungkin bukan lokasi yang sama dengan AWS akun lain. `us-east-1a`
Untuk mengoordinasikan Zona Ketersediaan di seluruh akun, Anda harus menggunakan *ID AZ*, yang merupakan pengenal unik dan konsisten untuk Zona Ketersediaan. Misalnya, `use1-az2` adalah ID AZ untuk `us-east-1` Wilayah dan memiliki lokasi yang sama di setiap AWS akun.
Melihat AZ IDs memungkinkan Anda untuk menentukan lokasi sumber daya dalam satu akun relatif terhadap sumber daya di akun lain. Misalnya, jika Anda membagikan subnet di Availability Zone dengan ID AZ `use1-az2` dengan akun lain, subnet ini tersedia untuk akun tersebut di Availability Zone yang juga memiliki ID AZ yang juga `use1-az2`. ID AZ untuk setiap VPC dan subnet ditampilkan di konsol Amazon VPC.
Amazon hanya WorkSpaces tersedia di subset Availability Zones untuk setiap Wilayah yang didukung. Tabel berikut mencantumkan AZ IDs yang dapat Anda gunakan untuk setiap Wilayah. Untuk melihat pemetaan AZ IDs ke Availability Zones di akun Anda, lihat [AZ IDs untuk Sumber Daya Anda](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) di *Panduan AWS RAM Pengguna*.
| Nama wilayah | Kode Wilayah | AZ yang didukung IDs |
| --- | --- | --- |
| AS Timur (Virginia Utara) | us-east-1 | use1-az2, use1-az4, use1-az6 |
| US West (Oregon) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 |
| Asia Pasifik (Mumbai) | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 |
| Asia Pasifik (Seoul) | ap-northeast-2 | apne2-az1, apne2-az3 |
| Asia Pasifik (Singapura) | ap-southeast-1 | apse1-az1, apse1-az2 |
| Asia Pasifik (Sydney) | ap-southeast-2 | apse2-az1, apse2-az3 |
| Asia Pasifik (Tokyo) | ap-northeast-1 | apne1-az1, apne1-az4 |
| Kanada (Pusat) | ca-central-1 | cac1-az1, cac1-az2 |
| Eropa (Frankfurt) | eu-central-1 | euc1-az2, euc1-az3 |
| Eropa (Irlandia) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 |
| Eropa (London) | eu-west-2 | euw2-az2, euw2-az3 |
| Eropa (Paris) | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 |
| Amerika Selatan (São Paulo) | sa-east-1 | sae1-az1, sae1-az3 |
| Afrika (Cape Town) | af-south-1 | afs1-az1, afs1-az2, afs1-az3 |
| Israel (Tel Aviv) | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 |
Untuk informasi selengkapnya tentang Availability Zone dan AZ IDs, lihat [Wilayah, Availability Zone, dan Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) di *Panduan EC2 Pengguna Amazon*.
# Alamat IP dan persyaratan port untuk WorkSpaces Pribadi
Untuk terhubung ke Anda WorkSpaces, jaringan tempat WorkSpaces klien Anda terhubung harus memiliki port tertentu yang terbuka ke rentang alamat IP untuk berbagai AWS layanan (dikelompokkan dalam subset). Rentang alamat ini bervariasi menurut AWS Wilayah. Port yang sama juga harus terbuka pada firewall yang berjalan pada klien. Untuk informasi selengkapnya tentang rentang alamat AWS IP untuk Wilayah yang berbeda, lihat [Rentang Alamat AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) di *Referensi Umum Amazon Web Services*.
Untuk diagram arsitektur tambahan, lihat [Praktik Terbaik untuk Menerapkan](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html) Amazon. WorkSpaces
## Port untuk aplikasi klien
Aplikasi WorkSpaces klien memerlukan akses keluar pada port berikut:
Port 53 (UDP)
Port ini digunakan untuk mengakses server DNS. Port harus terbuka untuk alamat IP server DNS Anda sehingga klien dapat menyelesaikan nama domain publik. Persyaratan port ini opsional jika Anda tidak menggunakan server DNS untuk resolusi nama domain.
Port 443 (UDP dan TCP)
Port ini digunakan untuk pembaruan, pendaftaran, dan autentikasi aplikasi klien. Aplikasi klien desktop mendukung penggunaan server proksi untuk lalu lintas port 443 (HTTPS). Untuk memungkinkan penggunaan server proksi, buka aplikasi klien, pilih **Pengaturan Lanjutan**, pilih **Gunakan Server Proxy**, tentukan alamat dan port server proksi, dan pilih **Simpan**.
Port ini harus terbuka untuk rentang alamat IP berikut:
+ Subset `AMAZON` di Wilayah `GLOBAL`.
+ `AMAZON`Subset di Wilayah tempat WorkSpace berada.
+ Subset `AMAZON` di Wilayah `us-east-1`.
+ Subset `AMAZON` di Wilayah `us-west-2`.
+ Subset `S3` di Wilayah `us-west-2`.
Port 4172 (UDP dan TCP)
Port ini digunakan untuk streaming WorkSpace desktop dan pemeriksaan kesehatan untuk PCo IP WorkSpaces. Port ini harus terbuka ke PCo IP Gateway dan ke server pemeriksaan kesehatan di Wilayah tempat WorkSpace berada. Untuk informasi selengkapnya, lihat [Server pemeriksaan kondisi](#health_check) dan [PCoServer gateway IP](#gateway_IP).
Untuk PCo IP WorkSpaces, aplikasi klien desktop tidak mendukung penggunaan server proxy atau dekripsi TLS dan inspeksi untuk lalu lintas port 4172 di UDP (untuk lalu lintas desktop). Mereka membutuhkan koneksi langsung ke port 4172.
Port 4195 (UDP dan TCP)
Port ini digunakan untuk streaming WorkSpace desktop dan pemeriksaan kesehatan untuk DCV WorkSpaces. Port ini harus terbuka untuk rentang alamat IP DCV Gateway dan server pemeriksaan kesehatan di Wilayah tempat WorkSpace berada. Untuk informasi selengkapnya, lihat [Server pemeriksaan kondisi](#health_check) dan [Server gateway DCV](#gateway_WSP).
Untuk DCV WorkSpaces, aplikasi klien WorkSpaces Windows (versi 5.1 ke atas) dan aplikasi klien macOS (versi 5.4 ke atas) mendukung penggunaan server proxy HTTP untuk lalu lintas TCP port 4195, tetapi penggunaan proxy tidak disarankan. Dekripsi dan inspeksi TLS tidak didukung. Untuk informasi selengkapnya, lihat **Mengkonfigurasi setelan server proxy perangkat untuk akses internet** untuk [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy), [Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux), dan [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).
**catatan**
Jika firewall Anda menggunakan penyaringan stateful, port sementara (juga dikenal sebagai port dinamis) secara otomatis dibuka untuk memungkinkan komunikasi kembali. Jika firewall Anda menggunakan filter stateless, Anda harus membuka port sementara secara eksplisit untuk memungkinkan komunikasi kembali. Kisaran port sementara yang diperlukan yang harus Anda buka akan bervariasi tergantung pada konfigurasi Anda.
Fungsi server proxy tidak didukung untuk lalu lintas UDP. Jika Anda memilih untuk menggunakan server proxy, panggilan API yang dilakukan aplikasi klien ke WorkSpaces layanan Amazon juga diproksi. Panggilan API dan lalu lintas desktop harus melewati server proxy yang sama.
Aplikasi WorkSpaces klien pertama kali mencoba streaming menggunakan UDP (QUIC) untuk kinerja yang optimal. Jika jaringan klien hanya mengizinkan TCP, maka TCP akan digunakan. Klien WorkSpaces web akan terhubung melalui port TCP 4195 atau 443. Jika port 4195 diblokir, klien hanya akan mencoba untuk terhubung ke lebih dari port 443.
## Port untuk Web Access
WorkSpaces Akses Web memerlukan akses keluar untuk port berikut:
Port 53 (UDP)
Port ini digunakan untuk mengakses server DNS. Port harus terbuka untuk alamat IP server DNS Anda sehingga klien dapat menyelesaikan nama domain publik. Persyaratan port ini opsional jika Anda tidak menggunakan server DNS untuk resolusi nama domain.
Port 80 (UDP dan TCP)
Port ini digunakan untuk hubungan awal ke `https://clients.amazonworkspaces.com`, yang kemudian beralih ke HTTPS. Itu harus terbuka untuk semua rentang alamat IP dalam `EC2` subset di Wilayah tempat WorkSpace berada.
Port 443 (UDP dan TCP)
Port ini digunakan untuk pendaftaran dan autentikasi menggunakan HTTPS. Itu harus terbuka untuk semua rentang alamat IP dalam `EC2` subset di Wilayah tempat WorkSpace berada.
Port 4195 (UDP dan TCP)
Untuk WorkSpaces yang dikonfigurasi untuk DCV, port ini digunakan untuk streaming lalu lintas WorkSpaces desktop. Port ini harus terbuka untuk rentang alamat IP DCV Gateway. Untuk informasi selengkapnya, lihat [Server gateway DCV](#gateway_WSP).
Akses web DCV mendukung penggunaan server proxy untuk port 4195 lalu lintas TCP, tetapi tidak disarankan. Untuk informasi selengkapnya, lihat **Mengkonfigurasi setelan server proxy perangkat untuk akses internet** untuk [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy), [Amazon Linux WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux), atau [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).
**catatan**
Jika firewall Anda menggunakan penyaringan stateful, port sementara (juga dikenal sebagai port dinamis) secara otomatis dibuka untuk memungkinkan komunikasi kembali. Jika firewall Anda menggunakan filter stateless, Anda harus membuka port sementara secara eksplisit untuk memungkinkan komunikasi kembali. Rentang port fana yang diperlukan yang harus Anda buka bervariasi tergantung pada konfigurasi Anda.
Aplikasi WorkSpaces klien pertama kali mencoba streaming menggunakan UDP (QUIC) untuk kinerja yang optimal. Jika jaringan klien hanya mengizinkan TCP, maka TCP akan digunakan. Klien WorkSpaces web akan terhubung melalui port TCP 4195 atau 443. Jika port 4195 diblokir, klien hanya akan mencoba untuk terhubung ke lebih dari port 443.
Biasanya, browser web secara acak memilih port sumber dalam kisaran tinggi untuk digunakan untuk streaming lalu lintas. WorkSpaces Akses Web tidak memiliki kontrol atas port yang dipilih browser. Anda harus memastikan bahwa lalu lintas kembali ke port ini diizinkan.
## Domain dan alamat IP untuk ditambahkan ke daftar izin Anda
Agar aplikasi WorkSpaces klien dapat mengakses WorkSpaces layanan, Anda harus menambahkan domain dan alamat IP berikut ke daftar izinkan di jaringan tempat klien mencoba mengakses layanan.
**Domain dan alamat IP untuk ditambahkan ke daftar izin Anda**
| Kategori | Domain atau Alamat IP |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com |
| Pembaruan Otomatis Klien | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Halaman Masuk Pengguna | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) https://.awsapps.com/ *directory\$1id* **id direktori** adalah domain pelanggan. Di Wilayah AWS GovCloud (AS-Barat) dan AWS GovCloud (AS-Timur): https://login.us-gov-home.awsapps.com/directory/*directory id*/ **id direktori** adalah domain pelanggan. |
| Broker WS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir untuk SALL Single Sign-On (SSO) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
**Domain dan alamat IP untuk ditambahkan ke daftar izin Anda untuk PCo IP**
| Kategori | Domain atau Alamat IP |
| --- | --- |
| PCoGerbang Sesi IP (PSG) | [PCoServer gateway IP](#gateway_IP) |
| Broker Sesi (PCM) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
**Domain dan alamat IP untuk ditambahkan ke daftar izin Anda untuk DCV**
| Kategori | Domain atau Alamat IP |
| --- | --- |
| Gerbang Sesi DCV (WSG) | [Server gateway DCV](#gateway_WSP) |
| Akses Web TURN Server untuk DCV | [Server gateway DCV](#gateway_WSP) |
## Server pemeriksaan kondisi
Aplikasi WorkSpaces klien melakukan pemeriksaan kesehatan melalui port 4172 dan 4195. Pemeriksaan ini memvalidasi apakah aliran lalu lintas TCP atau UDP dari WorkSpaces server ke aplikasi klien. Agar pemeriksaan ini berhasil selesai, kebijakan firewall Anda harus mengizinkan lalu lintas outbound ke alamat IP server pemeriksaan kondisi Wilayah berikut.
| Region | Hostname pemeriksaan kondisi | Alamat IP |
| --- | --- | --- |
| US East (N. Virginia) | IPv4: drp-iad.amazonworkspaces.com IPv6: drp-workspaces.us-east-1.api.aws | IPv4: 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6: 2600:1 f 18:74 dan 9:4400: :/56 |
| AS Barat (Oregon) | IPv4: drp-pdx.amazonworkspaces.com IPv6: drp-workspaces.us-west-2.api.aws | IPv4: 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6: 2600:1 f 14:278 e:5700: :/56 |
| Asia Pasifik (Mumbai) | IPv4: drp-bom.amazonworkspaces.com IPv6: drp-workspaces.ap-south-1.api.aws | IPv4: 13.127.57.82 13.234.250.73 IPv6: 2406: da1a: 502: b800: :/56 |
| Asia Pasifik (Seoul) | IPv4: drp-icn.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-2.api.aws | IPv4: 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6: 2406: da12: c8c: 4900: :/56 |
| Asia Pasifik (Singapura) | IPv4: drp-sin.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-1.api.aws | IPv4: 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6: 2406:da 18:991:4 a00: :/56 |
| Asia Pasifik (Sydney) | IPv4: drp-syd.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-2.api.aws | IPv4: 3.24.11.127 13.237.232.125 IPv6: 2406: da1c: 9b 5:9 d00: :/56 |
| Asia Pasifik (Tokyo) | IPv4: drp-nrt.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-1.api.aws | IPv4: 18.178.102.247 54.64.174.128 IPv6: 2406:da 14:785:5300: :/56 |
| Kanada (Pusat) | IPv4: drp-yul.amazonworkspaces.com IPv6: drp-workspaces.ca-central-1.api.aws | IPv4: 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6: 2600:1 f 11:759: d900: :/56 |
| Europe (Frankfurt) | IPv4: drp-fra.amazonworkspaces.com IPv6: drp-workspaces.eu-central-1.api.aws | IPv4: 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6: 2a05:d014: b5c: 500: :/56 |
| Eropa (Irlandia) | IPv4: drp-dub.amazonworkspaces.com IPv6: drp-workspaces.eu-west-1.api.aws | IPv4: 18.200.177.86 52.48.86.38 54.76.137.224 IPv6: 2a05:d 018:10 ca:f400: :/56 |
| Eropa (London) | IPv4: drp-lhr.amazonworkspaces.com IPv6: drp-workspaces.eu-west-2.api.aws | IPv4: 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6: 2a05:d01c: 263: f400: :/56 |
| Eropa (Paris) | IPv4: drp-cdg.amazonworkspaces.com IPv6: drp-workspaces.eu-west-3.api.aws | IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d 012:16:8600: :/56 |
| Amerika Selatan (Sao Paulo) | IPv4: drp-gru.amazonworkspaces.com IPv6: drp-workspaces.sa-east-1.api.aws | IPv4: 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6: 2600:1 f1e: bbf:fa00: :/56 |
| Africa (Cape Town) | IPv4: drp-cpt.amazonworkspaces.com/ IPv6: drp-workspaces.af-south-1.api.aws | IPv4: 13.244.128.155 13.245.205.255 13.245.216.116 IPv6: 2406:da 11:685:2400: :/56 |
| Israel (Tel Aviv) | IPv4: drp-tlv.amazonworkspaces.com/ IPv6: drp-workspaces.il-central-1.api.aws | IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d025:c78: fc00: :/56 |
| AWS GovCloud (AS-Barat) | IPv4: drp-pdt.amazonworkspaces.com IPv6: drp-ruang kerja. us-gov-west-1.api.aws | IPv4: 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6: 2600:1 f 12:28 f:af00: :/56 |
| AWS GovCloud (AS-Timur) | IPv4: drp-osu.amazonworkspaces.com IPv6: drp-ruang kerja. us-gov-east-1.api.aws | IPv4: 18.253.251.70 18.254.0.118 IPv6: 2600:1 f15:a 45:3 e00: :/56 |
## PCoServer gateway IP
WorkSpaces menggunakan PCoIP untuk melakukan streaming sesi desktop ke klien melalui port 4172. Untuk server gateway PCoIP, WorkSpaces menggunakan sejumlah kecil publik dan alamat Amazon EC2 IPv4 . IPv6 Ini memungkinkan Anda untuk mengatur kebijakan firewall yang lebih halus untuk perangkat yang mengakses WorkSpaces. Perhatikan bahwa WorkSpaces klien memprioritaskan IPv6 koneksi saat didukung dan gateway dapat IPv6 dijangkau. Jika IPv6 tidak tersedia, itu jatuh kembali ke IPv4.
| Region | Kode Wilayah | Rentang alamat IP publik |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | 3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600:1 f 32:8000: :/39 |
| AS Barat (Oregon) | us-west-2 | 35.80.88.0 - 35.80.95.255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600:1 f 32:4000: :/39 |
| Asia Pasifik (Mumbai) | ap-south-1 | 13.126.243.0 - 13.126.243.255 2406: da32: a000: :/40 |
| Asia Pasifik (Seoul) | ap-northeast-2 | 3.34.37.0 - 3.34.37.255 3.34.38.0 - 3.34.39.255 13.124.247.0 - 13.124.247.255 2406:da 32:2000: :/40 |
| Asia Pasifik (Singapura) | ap-southeast-1 | 18.141.152.0 - 18.141.152.255 18.141.154.0 - 18.141.155.255 52.76.127.0 - 52.76.127.255 2406: da 32:8000: :/40 |
| Asia Pasifik (Sydney) | ap-southeast-2 | 3.25.43.0 - 3.25.43.255 3.25.44.0 - 3.25.45.255 54.153.254.0 - 54.153.254.255 2406: da32: c000: :/40 |
| Asia Pasifik (Tokyo) | ap-northeast-1 | 18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406: da 32:4000: :/40 |
| Kanada (Pusat) | ca-central-1 | 15.223.100.0 - 15.223.100.255 15.223.102.0 - 15.223.103.255 35.183.255.0 - 35.183.255.255 2600:1 f 32:1000: :/40 |
| Eropa (Frankfurt) | eu-central-1 | 18.156.52.0 - 18.156.52.255 18.156.54.0 - 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05:d 032:4000: :/40 |
| Eropa (Irlandia) | eu-west-1 | 3.249.28.0 - 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05:d 032:8000: :/40 |
| Eropa (London) | eu-west-2 | 18.132.21.0 - 18.132.21.255 18.132.22.0 - 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05:d032: c000: :/40 |
| Eropa (Paris) | eu-west-3 | 51.44.204.0-51.44.207.255 |
| Amerika Selatan (Sao Paulo) | sa-east-1 | 18.230.103.0 - 18.230.103.255 18.230.104.0 - 18.230.105.255 54.233.204.0 - 54.233.204.255 2600:1 f32: e000: :/40 |
| Africa (Cape Town) | af-south-1 | 13.246.120.0 - 13.246.123.255 2406:da 32:1000: :/40 |
| Israel (Tel Aviv) | il-central-1 | 51.17.28.0-51.17.31.255 2a05:d 032:5000: :/40 |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | 52.61.193.0 - 52.61.193.255 2600:1 f 32:2000: :/40 |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | 18.254.140.0 - 18.254.143.255 2600:1 f 32:5000: :/40 |
## Server gateway DCV
**penting**
Mulai Juni 2020, WorkSpaces streaming sesi desktop untuk DCV WorkSpaces ke klien melalui port 4195, bukan port 4172. Jika Anda ingin menggunakan DCV WorkSpaces, pastikan port 4195 terbuka untuk lalu lintas.
**catatan**
Untuk Non-Byol WorkSpaces Pools, rentang alamat IP tidak dijamin. Sebagai gantinya, Anda harus mengizinkan daftar nama domain gateway DCV. Untuk informasi selengkapnya, lihat [nama domain gateway DCV](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp).
WorkSpaces menggunakan sejumlah kecil Amazon EC2 publik IPv4 dan IPv6 alamat untuk server gateway DCV-nya. Ini memungkinkan Anda untuk mengatur kebijakan firewall yang lebih halus untuk perangkat yang mengakses WorkSpaces. WorkSpaces gunakan rentang IPv4 alamat publik terpisah untuk titik akhir AWS Global Accelerator (AGA) khusus. Pastikan untuk mengonfigurasi kebijakan firewall Anda untuk mengizinkan daftar rentang IP jika Anda berencana mengaktifkan AGA untuk Anda WorkSpaces. Perhatikan bahwa WorkSpaces klien memprioritaskan IPv6 koneksi saat didukung dan gateway dapat IPv6 dijangkau. Jika IPv6 tidak tersedia, itu jatuh kembali ke IPv4.
Jika Anda menggunakan AGA \$1 IPv6, Anda harus mengizinkan daftar rentang IPv6 CIDR dari rentang. `GLOBALACCELERATOR` Lihat [Lokasi dan rentang alamat IP server Global Accelerator Edge](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html) di *Panduan Pengembang Akselerator AWS Global* untuk informasi selengkapnya.
| Region | Kode Wilayah | Rentang alamat IP publik |
| --- | --- | --- |
| US East (Northern Virginia) | us-east-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AS Timur (Ohio) | us-east-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AS Barat (Oregon) | us-west-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Mumbai) | ap-south-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Seoul) | ap-northeast-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Singapura) | ap-southeast-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Sydney) | ap-southeast-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Malaysia) | ap-southeast-5 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Tokyo) | ap-northeast-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Kanada (Pusat) | ca-central-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Eropa (Frankfurt) | eu-central-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Eropa (Irlandia) | eu-west-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Eropa (London) | eu-west-2 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Eropa (Paris) | eu-west-3 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Amerika Selatan (Sao Paulo) | sa-east-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Africa (Cape Town) | af-south-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Israel (Tel Aviv) | il-central-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
## Nama domain gateway DCV
Tabel berikut mencantumkan nama domain WorkSpace gateway DCV. Domain-domain ini harus dapat dihubungi, agar aplikasi WorkSpaces klien dapat mengakses layanan DCV. WorkSpace
| Region | Domain |
| --- | --- |
| AS Timur (Virginia Utara) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AS Barat (Oregon) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Asia Pasifik (Mumbai) | \$1.prod.ap-selatan-1.highlander.aws.a2z.com |
| Asia Pasifik (Seoul) | \$1.prod.ap-northeast-2.highlander.aws.a2z.com |
| Asia Pasifik (Singapura) | \$1.prod.ap-southeast-1.highlander.aws.a2z.com |
| Asia Pasifik (Sydney) | \$1.prod.ap-southeast-2.highlander.aws.a2z.com |
| Asia Pasifik (Tokyo) | \$1.prod.ap-northeast-1.highlander.aws.a2z.com |
| Kanada (Pusat) | \$1.prod.ca-central-1.highlander.aws.a2z.com |
| Eropa (Frankfurt) | \$1.prod.eu-central-1.highlander.aws.a2z.com |
| Eropa (Irlandia) | \$1.prod.eu-west-1.highlander.aws.a2z.com |
| Eropa (London) | \$1.prod.eu-west-2.highlander.aws.a2z.com |
| Eropa (Paris) | \$1.prod.eu-west-3.highlander.aws.a2z.com |
| Amerika Selatan (Sao Paulo) | \$1.prod.sa-east-1.highlander.aws.a2z.com |
| Africa (Cape Town) | \$1.prod.af-selatan-1.highlander.aws.a2z.com |
| Israel (Tel Aviv) | \$1.prod.il-central-1.highlander.aws.a2z.com |
| AWS GovCloud (AS-Barat) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| AWS GovCloud (AS-Timur) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
## Antarmuka jaringan
Masing-masing WorkSpace memiliki antarmuka jaringan berikut:
+ Antarmuka jaringan utama (eth1) menyediakan konektivitas ke sumber daya dalam VPC Anda dan di internet, dan digunakan untuk bergabung WorkSpace ke direktori.
+ Antarmuka jaringan manajemen (eth0) terhubung ke jaringan WorkSpaces manajemen yang aman. Ini digunakan untuk streaming interaktif WorkSpace desktop ke WorkSpaces klien, dan untuk memungkinkan WorkSpaces untuk mengelola WorkSpace.
WorkSpaces memilih alamat IP untuk antarmuka jaringan manajemen dari berbagai rentang alamat, tergantung pada Wilayah tempat WorkSpaces dibuat. Saat direktori terdaftar, WorkSpaces uji CIDR VPC dan tabel rute di VPC Anda untuk menentukan apakah rentang alamat ini menimbulkan konflik. Jika konflik ditemukan di semua rentang alamat yang tersedia di Wilayah, pesan kesalahan ditampilkan dan direktori tidak terdaftar. Jika Anda mengubah tabel rute di VPC Anda setelah direktori terdaftar, Anda mungkin menyebabkan konflik.
**Awas**
Jangan memodifikasi atau menghapus salah satu antarmuka jaringan yang dilampirkan ke file. WorkSpace Melakukan hal itu dapat WorkSpace menyebabkan menjadi tidak terjangkau atau kehilangan akses internet. Misalnya, jika Anda telah [mengaktifkan penetapan otomatis alamat IP Elastis](automatic-assignment.md) di tingkat direktori, [alamat IP Elastis](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) (dari kumpulan yang disediakan Amazon) ditetapkan untuk Anda WorkSpace saat diluncurkan. Namun, jika Anda mengaitkan alamat IP Elastis yang Anda miliki ke WorkSpace, dan kemudian Anda kemudian memisahkan alamat IP Elastis itu dari WorkSpace, alamat IP publiknya WorkSpace kehilangan, dan itu tidak secara otomatis mendapatkan yang baru dari kumpulan yang disediakan Amazon.
Untuk mengaitkan alamat IP publik baru dari kumpulan yang disediakan Amazon dengan WorkSpace, Anda harus membangun [kembali](rebuild-workspace.md). WorkSpace Jika Anda tidak ingin membangun kembali WorkSpace, Anda harus mengaitkan alamat IP Elastis lain yang Anda miliki ke alamat IP Elastic. WorkSpace
### Rentang IP antarmuka manajemen
Tabel berikut mencantumkan rentang alamat IP yang digunakan untuk antarmuka jaringan manajemen.
**catatan**
**Jika Anda menggunakan Windows Bring Your Own License (BYOL) WorkSpaces**, rentang alamat IP dalam tabel berikut tidak berlaku. Sebagai gantinya, PCo IP BYOL WorkSpaces menggunakan rentang alamat IP 54.239.224.0/20 untuk lalu lintas antarmuka manajemen di semua Wilayah. AWS Untuk DCV BYOL Windows WorkSpaces, rentang alamat IP 54.239.224.0/20 dan 10.0.0.0/8 berlaku di semua Wilayah. AWS (Rentang alamat IP ini digunakan selain blok/16 CIDR yang Anda pilih untuk lalu lintas manajemen untuk WorkSpaces BYOL Anda.)
**Jika Anda menggunakan DCV yang WorkSpaces dibuat dari bundel publik**, rentang alamat IP 10.0.0.0/8 juga berlaku untuk lalu lintas antarmuka manajemen di semua AWS Wilayah, selain PCoIP/DCV rentang yang ditunjukkan pada tabel berikut.
| Region | Rentang alamat IP |
| --- | --- |
| AS Timur (Virginia Utara) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, 198.19.0.0/16 WSP: 10.0.0.0/8 |
| AS Barat (Oregon) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, dan 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia Pasifik (Mumbai) | PCoIP/WSP: 192.168.0.0/16 WSP: 10.0.0.0/8 |
| Asia Pasifik (Seoul) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia Pasifik (Singapura) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia Pasifik (Sydney) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, dan 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Asia Pasifik (Tokyo) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Kanada (Pusat) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Eropa (Frankfurt) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Eropa (Irlandia) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, dan 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Eropa (London) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Eropa (Paris) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Amerika Selatan (Sao Paulo) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Africa (Cape Town) | PCoIP/WSP: 172.31.0.0/16 dan 198.19.0.0/16 WSP: 10.0.0.0/8 |
| Israel (Tel Aviv) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
| AWS GovCloud (AS-Barat) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 dan 192.169.0.0/16 |
| AWS GovCloud (AS-Timur) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 |
### Port antarmuka manajemen
Port berikut harus terbuka pada antarmuka jaringan manajemen semua WorkSpaces:
+ TCP inbound pada port 4172. Ini digunakan untuk pembentukan koneksi streaming pada protokol PCo IP.
+ UDP inbound pada port 4172. Ini digunakan untuk streaming input pengguna pada protokol PCo IP.
+ TCP inbound pada port 4489. Ini digunakan untuk akses menggunakan klien web.
+ TCP inbound pada port 8200. Ini digunakan untuk manajemen dan konfigurasi WorkSpace.
+ TCP inbound pada port 8201-8250. Port ini digunakan untuk pembentukan koneksi streaming dan untuk streaming input pengguna pada protokol DCV.
+ UDP masuk di port 8220. Port ini digunakan untuk pembentukan koneksi streaming dan untuk streaming input pengguna pada protokol DCV
+ TCP outbound pada port 8443 dan 9997. Ini digunakan untuk akses menggunakan klien web.
+ UDP outbound pada port 3478, 4172, dan 4195. Ini digunakan untuk akses menggunakan klien web.
+ UDP outbound pada port 50002 dan 55002. Ini digunakan untuk streaming. Jika firewall Anda menggunakan filter stateful, port sementara 50002 dan 55002 secara otomatis dibuka untuk memungkinkan komunikasi kembali. Jika firewall Anda menggunakan filter stateless, Anda harus membuka port sementara 49152 - 65535 untuk memungkinkan komunikasi kembali.
+ TCP keluar pada port 80, seperti yang didefinisikan dalam [rentang IP antarmuka Manajemen, ke alamat IP](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges) 169.254.169.254 untuk akses ke layanan metadata EC2. Proxy HTTP apa pun yang ditetapkan untuk Anda juga WorkSpaces harus mengecualikan 169.254.169.254.
+ TCP outbound pada port 1688 ke alamat IP 169.254.169.250 dan 169.254.169.251 untuk mengizinkan akses ke Microsoft KMS untuk aktivasi Windows untuk Workspace yang didasarkan pada paket publik. Jika Anda menggunakan Windows Bring Your Own License (BYOL) WorkSpaces, Anda harus mengizinkan akses ke server KMS Anda sendiri untuk aktivasi Windows.
+ Outbound TCP pada port 1688 ke alamat IP 54.239.236.220 untuk memungkinkan akses ke Microsoft KMS untuk aktivasi Office untuk BYOL. WorkSpaces
Jika Anda menggunakan Office melalui salah satu bundel WorkSpaces publik, alamat IP untuk aktivasi Microsoft KMS untuk Office bervariasi. Untuk menentukan alamat IP itu, cari alamat IP untuk antarmuka manajemen WorkSpace, dan kemudian ganti dua oktet terakhir dengan. `64.250` Misalnya, jika alamat IP antarmuka manajemen 192.168.3.5, alamat IP untuk aktivasi Microsoft KMS Office adalah 192.168.64.250.
+ Outbound TCP ke alamat IP 127.0.0.2 untuk DCV WorkSpaces ketika WorkSpace host dikonfigurasi untuk menggunakan server proxy.
+ Komunikasi yang berasal dari alamat loopback 127.0.01.
Dalam keadaan normal, WorkSpaces layanan mengkonfigurasi port ini untuk Anda WorkSpaces. Jika ada perangkat lunak keamanan atau firewall yang diinstal pada port WorkSpace yang memblokir salah satu port ini, WorkSpace mungkin tidak berfungsi dengan benar atau mungkin tidak dapat dijangkau.
### Port antarmuka utama
Apa pun jenis direktori yang Anda miliki, port berikut harus terbuka pada antarmuka jaringan utama semua WorkSpaces:
+ Untuk konektivitas internet, port berikut harus terbuka keluar ke semua tujuan dan masuk dari WorkSpaces VPC. Anda perlu menambahkan ini secara manual ke grup keamanan untuk Anda WorkSpaces jika Anda ingin mereka memiliki akses internet.
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ Untuk berkomunikasi dengan pengontrol direktori, port berikut harus terbuka antara WorkSpaces VPC Anda dan pengontrol direktori Anda. Untuk direktori Simple AD, grup keamanan yang dibuat oleh port ini Directory Service akan dikonfigurasi dengan benar. Untuk direktori AD Connector, Anda mungkin perlu menyesuaikan grup keamanan default untuk VPC untuk membuka port ini.
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Autentikasi Kerberos
+ UDP 123 - NTP
+ TCP 135 - RPC
+ UDP 137-138 - Netlogon
+ TCP 139 - Netlogon
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP/UDP 636 - LDAPS (LDAP over TLS/SSL)
+ TCP 1024-65535 - Port dinamis untuk RPC
+ TTCP 3268-3269 - Katalog Global
Jika ada perangkat lunak keamanan atau firewall yang diinstal pada port WorkSpace yang memblokir salah satu port ini, WorkSpace mungkin tidak berfungsi dengan benar atau mungkin tidak dapat dijangkau.
## Alamat IP dan persyaratan port menurut Wilayah
### AS Timur (Virginia Utara)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.us-east-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.us-east-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.us-east-1.signin.aws |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: https://workspaces.us-east-1.amazonaws.com |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-iad.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Nama domain gateway DCV | \$1.prod.us-east-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### AS Barat (Oregon)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.us-west-2.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.us-west-2.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.us-west-2.signin.aws |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-pdx.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 34.223.96.0/22 |
| Nama domain gateway DCV | \$1.prod.us-west-2.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia Pasifik (Mumbai)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.ap-south-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.ap-south-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Akses Web saat ini tidak tersedia di Wilayah Asia Pasifik (Mumbai) |
| Hostname pemeriksaan kondisi | drp-bom.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | 13.126.243.0 - 13.126.243.255 |
| Rentang alamat IP server gateway DCV | 65.1.156.0/22 |
| Nama domain gateway DCV | \$1.prod.ap-selatan-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia Pasifik (Seoul)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Perangkat (untuk 1.0\$1 dan 2.0\$1 aplikasi klien) WorkSpaces | https://device-metrics-us-2.amazon.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.ap-northeast-2.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.ap-northeast-2.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-icn.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 3.35.160.0/22 |
| Nama domain gateway DCV | \$1.prod.ap-northeast-2.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia Pasifik (Singapura)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.ap-southeast-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.ap-southeast-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-sin.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 13.212.132.0/22 |
| Nama domain gateway DCV | \$1.prod.ap-southeast-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia Pasifik (Sydney)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.ap-southeast-2.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.ap-southeast-2.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.ap-southeast-2.signin.aws |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-syd.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 3.25.248.0/22 |
| Nama domain gateway DCV | \$1.prod.ap-southeast-2.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Asia Pasifik (Tokyo)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.ap-northeast-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.ap-northeast-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.ap-northeast-1.signin.aws |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-nrt.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 3.114.164.0/22 |
| Nama domain gateway DCV | \$1.prod.ap-northeast-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Kanada (Pusat)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.ca-central-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.ca-central-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-yul.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 3.97.20.0/22 |
| Nama domain gateway DCV | \$1.prod.ca-central-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Eropa (Frankfurt)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.eu-central-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.eu-central-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-fra.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 18.192.216.0/22 |
| Nama domain gateway DCV | \$1.prod.eu-central-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Eropa (Irlandia)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.eu-west-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.eu-west-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.eu-west-1.signin.aws |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-dub.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 3.248.176.0/22 |
| Nama domain gateway DCV | \$1.prod.eu-west-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Eropa (London)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.eu-west-2.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.eu-west-2.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-lhr.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 18.134.68.0/22 |
| Nama domain gateway DCV | \$1.prod.eu-west-2.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Eropa (Paris)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/Klien |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.eu-west-3.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.eu-west-3.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-cdg.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 51.17.72.0/22 |
| Nama domain gateway DCV | \$1.prod.eu-west-3.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Amerika Selatan (Sao Paulo)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.sa-east-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.sa-east-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-gru.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 15.228.64.0/22 |
| Nama domain gateway DCV | \$1.prod.sa-east-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Africa (Cape Town)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.af-south-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.af-south-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-cpt.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 15.228.64.0/22 |
| Nama domain gateway DCV | \$1.prod.af-selatan-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### Israel (Tel Aviv)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://d2td7dqidlhjx7.cloudfront.net/ |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://skylight-client-ds.il-central-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.il-central-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://.awsapps.com/ (di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Akses Web TURN Server untuk PCo IP | Server: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-tlv.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 51.17.72.0/22 |
| Nama domain gateway DCV | \$1.prod.il-central-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### AWS GovCloud Wilayah (AS-Barat)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: h https://skylight-client-ds.us-gov-west-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.us-gov-west-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.signin.amazonaws-us-gov.com |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://login.us-gov-home.awsapps.com/directory//(di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-pdt.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Nama domain gateway DCV | \$1.prod. us-gov-west-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
### AWS GovCloud Wilayah (AS-Timur)
**Domain dan Alamat IP untuk ditambahkan ke daftar yang diizinkan**
| Kategori | Detail |
| --- | --- |
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
| Pembaruan Otomatis Klien | https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml |
| Pemeriksaan Konektivitas | https://connectivity.amazonworkspaces.com/ |
| Metrik Klien (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: h https://skylight-client-ds.us-gov-east-1.amazonaws.com |
| Layanan Pesan Dinamis (untuk 3.0\$1 aplikasi WorkSpaces klien) | Domain: https://ws-client-service.us-gov-east-1.amazonaws.com |
| Pengaturan Direktori | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Layanan Log Forrester | https://fls-na.amazon.com/ |
| Server Pemeriksaan Kondisi (DRP) | [Server pemeriksaan kondisi](#health_check) |
| Titik Akhir Otentikasi Kartu Pintar Pra-sesi | https://smartcard.signin.amazonaws-us-gov.com |
| Ketergantungan Pendaftaran (untuk Akses Web dan Klien Teradici PCo IP Zero) | https://s3.amazonaws.com |
| Halaman Masuk Pengguna | https://login.us-gov-home.awsapps.com/directory//(di mana domain pelanggan) |
| Broker WS | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| WorkSpaces Titik Akhir API | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Broker Sesi (PCM) | Domain: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Hostname pemeriksaan kondisi | drp-osu.amazonworkspaces.com |
| Alamat IP pemeriksaan kesehatan | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| PCoIP gateway server rentang alamat IP publik | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
| Rentang alamat IP server gateway DCV | 18.254.148.0/22 |
| Nama domain gateway DCV | \$1.prod. us-gov-east-1.highlander.aws.a2z.com |
| Antarmuka manajemen rentang alamat IP | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-port-requirements.html) |
# Persyaratan jaringan klien untuk WorkSpaces Pribadi
WorkSpaces Pengguna Anda dapat terhubung ke mereka WorkSpaces dengan menggunakan aplikasi klien untuk perangkat yang didukung. Atau, mereka dapat menggunakan browser web untuk terhubung ke WorkSpaces yang mendukung bentuk akses ini. Untuk daftar WorkSpaces yang mendukung akses browser web, lihat “ WorkSpaces Paket Amazon mana yang mendukung akses web?” di [Akses client, Akses Web, dan Pengalaman Pengguna](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).
**catatan**
Browser web tidak dapat digunakan untuk terhubung ke Amazon Linux WorkSpaces.
**penting**
Mulai 1 Oktober 2020, pelanggan tidak akan lagi dapat menggunakan klien Amazon WorkSpaces Web Access untuk terhubung ke kustom Windows 7 WorkSpaces atau ke Windows 7 Bring Your Own License (BYOL) WorkSpaces.
Untuk memberikan pengalaman yang baik kepada pengguna Anda WorkSpaces, verifikasi bahwa perangkat klien mereka memenuhi persyaratan jaringan berikut:
+ Perangkat klien harus memiliki hubungan internet broadband. Kami merekomendasikan perencanaan untuk minimal 1 Mbps per pengguna simultan yang menonton jendela video 480p. Tergantung pada persyaratan kualitas pengguna untuk resolusi video, mungkin akan diperlukan bandwidth lebih besar.
+ Jaringan tempat perangkat klien terhubung, dan firewall pada perangkat klien, harus memiliki port tertentu yang terbuka untuk rentang alamat IP untuk berbagai layanan AWS Untuk informasi selengkapnya, lihat [Alamat IP dan persyaratan port untuk WorkSpaces Pribadi](workspaces-port-requirements.md).
+ Untuk kinerja terbaik untuk PCo IP, waktu pulang pergi (RTT) dari jaringan klien ke Wilayah yang WorkSpaces berada harus kurang dari 100 ms. Jika RTT antara 100ms dan 200ms, pengguna dapat mengakses WorkSpace, tetapi kinerja terpengaruh. Jika RTT antara 200ms dan 375ms, performanya menurun. Jika RTT melebihi 375ms, koneksi WorkSpaces klien dihentikan.
Untuk kinerja terbaik untuk DCV, RTT dari jaringan klien ke Wilayah yang WorkSpaces berada di harus kurang dari 250 ms. Jika RTT antara 250ms dan 400ms, pengguna dapat mengakses WorkSpace, tetapi kinerjanya menurun.
Untuk memeriksa RTT ke berbagai AWS Wilayah dari lokasi Anda, gunakan [Pemeriksaan Kesehatan WorkSpaces Koneksi Amazon](https://clients.amazonworkspaces.com/Health.html).
+ Untuk menggunakan webcam dengan DCV, kami merekomendasikan bandwidth unggahan minimum 1,7 megabit per detik.
+ Jika pengguna akan mengakses mereka WorkSpaces melalui jaringan pribadi virtual (VPN), koneksi harus mendukung unit transmisi maksimum (MTU) setidaknya 1200 byte.
**catatan**
Anda tidak dapat mengakses WorkSpaces melalui VPN yang terhubung ke virtual private cloud (VPC) Anda. Untuk mengakses WorkSpaces menggunakan VPN, konektivitas internet (melalui alamat IP publik VPN) diperlukan, seperti yang dijelaskan dalam[Alamat IP dan persyaratan port untuk WorkSpaces Pribadi](workspaces-port-requirements.md).
+ Klien memerlukan akses HTTPS ke WorkSpaces sumber daya yang dihosting oleh layanan dan Amazon Simple Storage Service (Amazon S3). Klien tidak mendukung proksi pengalihan pada tingkat aplikasi. Akses HTTPS diperlukan agar pengguna dapat berhasil menyelesaikan pendaftaran dan mengaksesnya WorkSpaces.
+ Untuk memungkinkan akses dari perangkat klien PCo IP nol, Anda harus menggunakan bundel protokol PCo IP untuk WorkSpaces. Anda juga harus mengaktifkan Network Time Protocol (NTP) di Teradici. Untuk informasi selengkapnya, lihat [Mengatur klien PCo IP nol untuk WorkSpaces Pribadi](set-up-pcoip-zero-client.md).
Anda dapat memverifikasi bahwa perangkat klien memenuhi persyaratan jaringan sebagai berikut.
## Untuk memverifikasi persyaratan jaringan untuk klien 3.0\$1
1. Buka WorkSpaces klien Anda. Jika ini adalah pertama kalinya Anda membuka klien, Anda akan diminta untuk memasukkan kode pendaftaran yang Anda terima dalam email undangan.
1. Tergantung pada klien yang Anda gunakan, lakukan salah satu hal berikut ini.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/workspaces-network-requirements.html)
Aplikasi klien menguji hubungan jaringan, port, dan RTT, serta laporan hasil pengujian ini.
1. Tutup kotak dialog **Jaringan** untuk kembali ke halaman masuk.
## Untuk memverifikasi persyaratan jaringan untuk klien 1.0\$1 dan 2.0\$1
1. Buka WorkSpaces klien Anda. Jika ini adalah pertama kalinya Anda membuka klien, Anda akan diminta untuk memasukkan kode pendaftaran yang Anda terima dalam email undangan.
1. Pilih **Jaringan** di sudut kanan bawah aplikasi klien. Aplikasi klien menguji hubungan jaringan, port, dan RTT, serta laporan hasil pengujian ini.
1. Pilih **Abaikan** untuk kembali ke halaman masuk.
# Batasi akses ke perangkat tepercaya untuk Pribadi WorkSpaces
Secara default, pengguna dapat mengaksesnya WorkSpaces dari perangkat apa pun yang didukung yang terhubung ke internet. Jika perusahaan membatasi akses data perusahaan ke perangkat tepercaya (juga dikenal sebagai perangkat terkelola), Anda dapat membatasi WorkSpaces akses ke perangkat tepercaya dengan sertifikat yang valid.
**catatan**
Fitur ini saat ini hanya tersedia jika direktori WorkSpaces Personal Anda dikelola melalui direktori Directory Service Simple AD, AD Connector, dan AWS Managed Microsoft AD.
Saat Anda mengaktifkan fitur ini, WorkSpaces gunakan autentikasi berbasis sertifikat untuk menentukan apakah perangkat dipercaya. Jika aplikasi WorkSpaces klien tidak dapat memverifikasi bahwa perangkat dipercaya, itu memblokir upaya untuk masuk atau menyambung kembali dari perangkat.
Untuk setiap direktori, Anda dapat mengimpor hingga dua sertifikat root. Jika Anda mengimpor dua root WorkSpaces certificate, berikan keduanya ke klien dan klien menemukan sertifikat pencocokan valid pertama yang menghubungkan ke salah satu root certificate.
**Klien yang didukung**
+ Android, berjalan di Android atau sistem Chrome OS yang kompatibel dengan Android
+ macOS
+ Windows
**penting**
Fitur ini tidak didukung oleh klien berikut:
WorkSpaces aplikasi klien untuk Linux atau iPad
Klien pihak ketiga, termasuk namun tidak terbatas pada, Teradici PCo IP, klien RDP, dan aplikasi desktop jarak jauh.
**catatan**
Saat Anda mengaktifkan akses untuk klien tertentu, pastikan Anda memblokir akses untuk jenis perangkat lain yang tidak Anda perlukan. Untuk informasi selengkapnya tentang cara melakukannya, lihat Langkah 3.7 di bawah ini.
## Langkah 1: Buat sertifikat
Fitur ini memerlukan dua tipe sertifikat: sertifikat root yang dihasilkan oleh Otoritas Sertifikasi (CA) internal dan sertifikat klien yang dirangkai hingga sertifikat root.
**Persyaratan**
+ Sertifikat root harus berupa file sertifikat yang disandikan Base64 dalam format CRT, CERT, atau PEM.
+ Sertifikat root harus memenuhi pola ekspresi reguler berikut, yang berarti bahwa setiap baris yang dikodekan, di samping yang terakhir, harus persis 64 karakter:. `-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`
+ Sertifikat perangkat harus menyertakan Nama Umum.
+ Sertifikat perangkat harus menyertakan ekstensi berikut:`Key Usage: Digital Signature`, dan`Enhanced Key Usage: Client Authentication`.
+ Semua sertifikat dalam rantai dari sertifikat perangkat ke Otoritas Sertifikat root tepercaya harus diinstal pada perangkat klien.
+ Panjang maksimum rantai sertifikat yang didukung adalah 4.
+ WorkSpaces Saat ini tidak mendukung mekanisme pencabutan perangkat, seperti daftar pencabutan sertifikat (CRL) atau Protokol Status Sertifikat Online (OCSP), untuk sertifikat klien.
+ Gunakan algoritme enkripsi yang kuat. Kami merekomendasikan SHA256 dengan RSA, dengan ECDSA, SHA256 dengan ECDSA, atau SHA384 dengan ECDSA. SHA512
+ Untuk macOS, jika sertifikat perangkat ada di gantungan kunci sistem, kami sarankan Anda mengotorisasi aplikasi WorkSpaces klien untuk mengakses sertifikat tersebut. Jika tidak, pengguna harus memasukkan kredensial rantai kunci saat mereka masuk atau menghubungkan kembali.
## Langkah 2: Deploy sertifikat klien ke perangkat tepercaya
Pada perangkat tepercaya untuk pengguna Anda, Anda harus menginstal bundel sertifikat yang mencakup semua sertifikat dalam rantai dari sertifikat perangkat ke Otoritas Sertifikat root tepercaya. Anda dapat menggunakan solusi pilihan Anda untuk menginstal sertifikat ke armada perangkat klien Anda; misalnya, Manajer Konfigurasi Pusat Sistem (SCCM) atau manajemen perangkat seluler (MDM). Perhatikan bahwa SCCM dan MDM secara opsional dapat melakukan penilaian postur keamanan untuk menentukan apakah perangkat memenuhi kebijakan perusahaan Anda untuk mengakses. WorkSpaces
Aplikasi WorkSpaces klien mencari sertifikat sebagai berikut:
+ Android - Buka **Pengaturan**, pilih **Keamanan & lokasi**, **Kredensial**, lalu pilih **Instal dari kartu SD**.
+ Sistem Chrome OS yang kompatibel dengan Android - Buka pengaturan Android dan pilih **Keamanan & lokasi**, **Kredensial, lalu pilih **Instal**** dari kartu SD.
+ macOS - Mencari rantai kunci untuk sertifikat klien.
+ Windows - Mencari pengguna dan penyimpanan sertifikat root untuk sertifikat klien.
## Langkah 3: Konfigurasikan batasan
Setelah Anda men-deploy sertifikat klien pada perangkat tepercaya, Anda dapat mengaktifkan akses terbatas di tingkat direktori. Ini mengharuskan aplikasi WorkSpaces klien untuk memvalidasi sertifikat pada perangkat sebelum mengizinkan pengguna untuk masuk ke file. WorkSpace
**Untuk mengonfigurasi pembatasan**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih direktori, lalu pilih **Tindakan **, **Perbarui Detail**.
1. Perluas ** Opsi Kontrol Akses **.
1. Di bawah **Untuk setiap jenis perangkat, tentukan perangkat mana yang dapat diakses WorkSpaces**, pilih **Perangkat Tepercaya**.
1. Impor hingga dua sertifikat root. Untuk setiap sertifikat root, lakukan hal berikut:
1. Pilih **Impor**.
1. Salin isi sertifikat ke formulir.
1. Pilih **Impor**.
1. Tentukan apakah jenis perangkat lain memiliki akses ke WorkSpaces.
1. Gulir ke bawah ke bagian **Platform Lain**. Secara default, klien WorkSpaces Linux dinonaktifkan, dan pengguna dapat mengaksesnya WorkSpaces dari perangkat iOS, perangkat Android, Akses Web, Chromebook, dan perangkat klien PCo IP nol.
1. Pilih tipe perangkat untuk mengaktifkan dan menghapus tipe perangkat yang akan dinonaktifkan.
1. Untuk memblokir akses dari semua tipe perangkat yang dipilih, pilih ** Blok **.
1. Pilih **Perbarui dan Keluar**.
# Integrasikan SAMP 2.0 dengan WorkSpaces Personal
**catatan**
SAMP 2.0 hanya tersedia jika direktori WorkSpaces Personal Anda dikelola melalui direktori Simple Directory Service AD, AD Connector, dan Managed AWS Microsoft AD. Fitur ini tidak berlaku untuk direktori yang dikelola oleh Amazon WorkSpaces, yang biasanya menggunakan IAM Identity Center untuk otentikasi pengguna, bukan federasi SAMP 2.0.
Mengintegrasikan SAMP 2.0 dengan otentikasi sesi desktop Anda memungkinkan pengguna Anda WorkSpaces untuk menggunakan kredensi penyedia identitas SAMP 2.0 (iDP) yang ada dan metode otentikasi melalui browser web default mereka. Dengan menggunakan IDP Anda untuk mengautentikasi pengguna WorkSpaces, Anda dapat melindungi dengan WorkSpaces menggunakan fitur IDP seperti otentikasi multi-faktor dan kebijakan akses kontekstual.
## Alur kerja autentikasi
Bagian berikut menjelaskan alur kerja otentikasi yang diprakarsai oleh aplikasi WorkSpaces klien, Akses WorkSpaces Web, dan penyedia identitas SAMP 2.0 (iDP):
+ Ketika aliran diprakarsai oleh iDP. Misalnya, ketika pengguna memilih aplikasi di portal pengguna IDP di browser web.
+ Ketika aliran diprakarsai oleh WorkSpaces klien. Misalnya, ketika pengguna membuka aplikasi klien dan masuk.
+ Ketika aliran diprakarsai oleh WorkSpaces Web Access. Misalnya, ketika pengguna membuka Akses Web di browser dan masuk.
Dalam contoh ini, pengguna masuk `user@example.com` untuk masuk ke iDP. IDP memiliki aplikasi penyedia layanan SAMP 2.0 yang dikonfigurasi untuk WorkSpaces direktori dan pengguna diberi wewenang untuk aplikasi WorkSpaces SAMP 2.0. Pengguna membuat WorkSpace untuk nama pengguna mereka,`user`, di direktori yang diaktifkan untuk otentikasi SAMP 2.0. Selain itu, pengguna menginstal [aplikasi WorkSpaces klien](https://clients.amazonworkspaces.com/) di perangkat mereka atau pengguna menggunakan Akses Web di browser web.
**Aliran yang dimulai oleh penyedia identitas (iDP) dengan aplikasi klien**
Alur yang diprakarsai IDP memungkinkan pengguna untuk secara otomatis mendaftarkan aplikasi WorkSpaces klien di perangkat mereka tanpa harus memasukkan kode registrasi. WorkSpaces Pengguna tidak masuk WorkSpaces menggunakan alur yang diprakarsai IDP. WorkSpaces otentikasi harus berasal dari aplikasi klien.
1. Menggunakan browser web mereka, pengguna masuk ke iDP.
1. Setelah masuk ke iDP, pengguna memilih WorkSpaces aplikasi dari portal pengguna iDP.
1. Pengguna diarahkan ke halaman ini di browser, dan aplikasi WorkSpaces klien dibuka secara otomatis.
![\[Membuka WorkSpaces halaman pengalihan aplikasi\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/saml-redir.png)
1. Aplikasi WorkSpaces klien sekarang terdaftar dan pengguna dapat terus masuk dengan mengklik **Lanjutkan untuk masuk WorkSpaces**.
**Aliran yang dimulai oleh penyedia identitas (iDP) dengan Akses Web**
Aliran Akses Web yang diprakarsai IDP memungkinkan pengguna untuk secara otomatis mendaftarkan mereka WorkSpaces melalui browser web tanpa harus memasukkan kode registrasi. WorkSpaces Pengguna tidak masuk WorkSpaces menggunakan alur yang diprakarsai IDP. WorkSpaces otentikasi harus berasal dari Web Access.
1. Menggunakan browser web mereka, pengguna masuk ke iDP.
1. Setelah masuk ke iDP, pengguna mengklik WorkSpaces aplikasi dari portal pengguna iDP.
1. Pengguna diarahkan ke halaman ini di browser. Untuk membuka WorkSpaces, pilih **Amazon WorkSpaces di browser**.
![\[Membuka WorkSpaces halaman pengalihan aplikasi\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/saml-redir.png)
1. Aplikasi WorkSpaces klien sekarang terdaftar dan pengguna dapat terus masuk melalui Akses WorkSpaces Web.
**WorkSpaces aliran yang diprakarsai klien**
Alur yang diprakarsai klien memungkinkan pengguna untuk masuk ke akun mereka WorkSpaces setelah masuk ke iDP.
1. Pengguna meluncurkan aplikasi WorkSpaces klien (jika belum berjalan) dan mengklik **Lanjutkan untuk WorkSpaces masuk**.
1. Pengguna diarahkan ke browser web default mereka untuk masuk ke iDP. Jika pengguna sudah masuk ke iDP di browser mereka, mereka tidak perlu masuk lagi dan akan melewati langkah ini.
1. Setelah masuk ke iDP, pengguna akan diarahkan ke pop up. Ikuti petunjuk untuk memungkinkan browser web Anda membuka aplikasi klien.
![\[Buka prompt aplikasi klien.\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/saml-open-client-app.png)
1. Pengguna diarahkan ke aplikasi WorkSpaces klien untuk menyelesaikan masuk ke aplikasi mereka WorkSpace. WorkSpaces nama pengguna diisi secara otomatis dari pernyataan IDP SAMP 2.0. Saat Anda menggunakan [otentikasi berbasis sertifikat (CBA)](certificate-based-authentication.md), pengguna secara otomatis masuk.
1. Pengguna masuk ke mereka WorkSpace.
**WorkSpaces Alur yang diprakarsai oleh Akses Web**
Alur yang diprakarsai Akses Web memungkinkan pengguna untuk masuk ke akun mereka WorkSpaces setelah masuk ke iDP.
1. Pengguna meluncurkan Akses WorkSpaces Web dan memilih **Masuk**.
1. Di tab browser yang sama, pengguna diarahkan ke portal iDP. Jika pengguna sudah masuk ke iDP di browser mereka, mereka tidak perlu masuk lagi dan dapat melewati langkah ini.
1. **Setelah masuk ke iDP, pengguna diarahkan ke halaman ini di browser, dan klik Masuk ke. WorkSpaces**
1. Pengguna dialihkan ke aplikasi WorkSpaces klien untuk menyelesaikan masuk ke aplikasi mereka WorkSpace. WorkSpaces nama pengguna diisi secara otomatis dari pernyataan IDP SAMP 2.0. Saat Anda menggunakan [otentikasi berbasis sertifikat (CBA)](certificate-based-authentication.md), pengguna secara otomatis masuk.
1. Pengguna masuk ke mereka WorkSpace.
# Mengatur SAMP 2.0 untuk Pribadi WorkSpaces
Aktifkan pendaftaran aplikasi WorkSpaces klien dan masuk WorkSpaces untuk pengguna Anda dengan menggunakan kredensi dan metode otentikasi penyedia identitas SAMP 2.0 (IDP) mereka dengan menyiapkan federasi identitas menggunakan SAMP 2.0. Untuk mengatur federasi identitas menggunakan SAMP 2.0, gunakan peran IAM dan URL status relai untuk mengonfigurasi IDP Anda dan mengaktifkan. AWS Ini memberi pengguna federasi Anda akses ke direktori. WorkSpaces Status relai adalah titik akhir WorkSpaces direktori tempat pengguna diteruskan setelah berhasil masuk. AWS
**Topics**
+ [Persyaratan](#setting-up-saml-requirements)
+ [Prasyarat](#setting-up-saml-prerequisites)
+ [Langkah 1: Buat penyedia identitas SAMP di AWS IAM](#create-saml-identity-provider)
+ [Langkah 2: Buat peran IAM federasi SAMP 2.0](#create-saml-iam-role)
+ [Langkah 3: Sematkan kebijakan inline untuk peran IAM](#embed-inline-policy)
+ [Langkah 4: Konfigurasikan penyedia identitas SAMP 2.0 Anda](#configure-saml-id-provider)
+ [Langkah 5: Buat pernyataan untuk respon otentikasi SAMP](#create-assertions-saml-auth)
+ [Langkah 6: Konfigurasikan status relai federasi Anda](#configure-relay-state)
+ [Langkah 7: Aktifkan integrasi dengan SAMP 2.0 di direktori Anda WorkSpaces](#enable-integration-saml)
## Persyaratan
+ Otentikasi SAMP 2.0 tersedia di Wilayah berikut:
+ Wilayah AS Timur (Virginia Utara)
+ Wilayah AS Barat (Oregon)
+ Wilayah Afrika (Cape Town)
+ Wilayah Asia Pacific (Mumbai)
+ Wilayah Asia Pasifik (Seoul)
+ Wilayah Asia Pasifik (Singapura)
+ Wilayah Asia Pasifik (Sydney)
+ Wilayah Asia Pasifik (Tokyo)
+ Wilayah Kanada (Pusat)
+ Wilayah Eropa (Frankfurt)
+ Wilayah Eropa (Irlandia)
+ Wilayah Eropa (London)
+ Wilayah Amerika Selatan (Sao Paulo)
+ Wilayah Israel (Tel Aviv)
+ AWS GovCloud (AS-Barat)
+ AWS GovCloud (AS-Timur)
+ Untuk menggunakan otentikasi SAMP 2.0 WorkSpaces, IDP harus mendukung SSO yang diprakarsai IDP yang tidak diminta dengan sumber daya target deep link atau URL titik akhir status relai. Contohnya IdPs termasuk ADFS, Azure AD, Duo Single Sign-On, Okta, dan. PingFederate PingOne Konsultasikan dokumentasi IDP Anda untuk informasi lebih lanjut.
+ Otentikasi SAMP 2.0 akan berfungsi dengan WorkSpaces diluncurkan menggunakan Simple AD, tetapi ini tidak disarankan karena Simple AD tidak terintegrasi dengan SAMP 2.0. IdPs
+ Otentikasi SAMP 2.0 didukung pada klien berikut WorkSpaces . Versi klien lainnya tidak didukung untuk otentikasi SAMP 2.0. Buka [Unduhan WorkSpaces Klien](https://clients.amazonworkspaces.com/) Amazon untuk menemukan versi terbaru:
+ Aplikasi klien Windows versi 5.1.0.3029 atau yang lebih baru
+ klien macOS versi 5.x atau yang lebih baru
+ Klien Linux untuk Ubuntu 22.04 versi 2024.1 atau yang lebih baru, Ubuntu 20.04 versi 24.1 atau yang lebih baru
+ Akses Web
Versi klien lain tidak akan dapat terhubung ke WorkSpaces diaktifkan untuk otentikasi SAMP 2.0 kecuali fallback diaktifkan. Untuk informasi selengkapnya, lihat [Mengaktifkan otentikasi SAMP 2.0 di direktori. WorkSpaces ](https://d1.awsstatic.com/workspaces-saml-guide.pdf)
[Untuk step-by-step petunjuk mengintegrasikan SAMP 2.0 dengan WorkSpaces menggunakan ADFS, Azure AD, Duo Single Sign-On, Okta, dan PingFederate untuk PingOne Enterprise, tinjau Panduan OneLogin Implementasi Otentikasi Amazon SAMP. WorkSpaces ](https://d1.awsstatic.com/workspaces-saml-guide.pdf)
## Prasyarat
Selesaikan prasyarat berikut sebelum mengonfigurasi koneksi penyedia identitas SAMP 2.0 (iDP) Anda ke direktori. WorkSpaces
1. Konfigurasikan IDP Anda untuk mengintegrasikan identitas pengguna dari Microsoft Active Directory yang digunakan dengan direktori. WorkSpaces Untuk pengguna dengan WorkSpace atribut **s AMAccount Name** dan **email** untuk pengguna Active Directory dan nilai klaim SAMP harus cocok dengan pengguna untuk masuk WorkSpaces menggunakan iDP. Untuk informasi selengkapnya tentang mengintegrasikan Active Directory dengan IDP Anda, lihat dokumentasi IDP Anda.
1. Konfigurasikan IdP Anda untuk membuat hubungan kepercayaan dengan AWS.
+ Lihat [Mengintegrasikan penyedia solusi SAMP pihak ketiga dengan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) untuk informasi selengkapnya tentang mengonfigurasi AWS federasi. Contoh yang relevan termasuk integrasi iDP dengan AWS IAM untuk mengakses konsol manajemen. AWS
+ Gunakan iDP Anda untuk membuat dan mengunduh dokumen metadata federasi yang menjelaskan organisasi Anda sebagai IDP. Dokumen XHTML yang ditandatangani ini digunakan untuk membangun kepercayaan pihak yang mengandalkan. Simpan file ini ke lokasi yang dapat Anda akses dari konsol IAM nanti.
1. Buat atau daftarkan direktori WorkSpaces dengan menggunakan konsol WorkSpaces manajemen. Untuk informasi selengkapnya, lihat [Mengelola direktori untuk WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). Otentikasi SAMP 2.0 untuk WorkSpaces didukung untuk jenis direktori berikut:
+ AD Connector
+ AWS Microsoft AD yang dikelola
1. Buat WorkSpace untuk pengguna yang dapat masuk ke iDP menggunakan jenis direktori yang didukung. Anda dapat membuat WorkSpace menggunakan konsol WorkSpaces manajemen, AWS CLI, atau WorkSpaces API. Untuk informasi selengkapnya, lihat [Meluncurkan desktop virtual menggunakan WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html).
## Langkah 1: Buat penyedia identitas SAMP di AWS IAM
Pertama, buat SAMP iDP AWS di IAM. IDP ini mendefinisikan hubungan IDP-to-AWS trust organisasi Anda menggunakan dokumen metadata yang dihasilkan oleh perangkat lunak iDP di organisasi Anda. Untuk informasi selengkapnya, lihat [Membuat dan mengelola penyedia identitas SAMP (Amazon Web Services Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Untuk informasi tentang bekerja dengan SAMP IdPs di AWS GovCloud (AS-Barat) dan AWS GovCloud (AS-Timur), lihat [AWS Identity and](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) Access Management.
## Langkah 2: Buat peran IAM federasi SAMP 2.0
Selanjutnya, buat peran IAM federasi SAMP 2.0. Langkah ini menetapkan hubungan kepercayaan antara IAM dan IDP organisasi Anda, yang mengidentifikasi IDP Anda sebagai entitas tepercaya untuk federasi.
Untuk membuat peran IAM untuk SAMP iDP
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran** > **Buat peran**.
1. Untuk **tipe Peran**, pilih **federasi SAMP 2.0**.
1. Untuk **SAMP Provider pilih IDP SALL** yang Anda buat.
**penting**
Jangan memilih salah satu dari dua metode akses SAMP 2.0, **Izinkan akses terprogram saja atau Izinkan akses** **Konsol Manajemen Layanan Amazon Web Services dan terprogram**.
1. Untuk **Atribut**, pilih **SAML:SUB\$1TYPE**.
1. Untuk **Nilai** masukkan`persistent`. Nilai ini membatasi akses peran ke permintaan streaming pengguna SAMP yang menyertakan pernyataan tipe subjek SAMP dengan nilai persisten. Jika SAML:sub\$1type persisten, IDP Anda mengirimkan nilai unik yang sama untuk elemen NameID di semua permintaan SAMP dari pengguna tertentu. [Untuk informasi selengkapnya tentang pernyataan SAML:sub\$1type, lihat bagian **Mengidentifikasi pengguna secara unik di federasi berbasis SAMP di Menggunakan federasi berbasis SAMP** untuk akses API. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)
1. Tinjau informasi kepercayaan SAMP 2.0 Anda, konfirmasikan entitas dan kondisi tepercaya yang benar, lalu pilih **Berikutnya: Izin**.
1. Pada halaman **Lampirkan kebijakan izin**, pilih **Berikutnya: Tag**.
1. (Opsional) Masukkan kunci dan nilai untuk setiap tag yang ingin Anda tambahkan. Untuk informasi selengkapnya, lihat [Menandai pengguna dan peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).
1. Setelah selesai, pilih **Berikutnya: Tinjau**. Anda akan membuat dan menyematkan kebijakan inline untuk peran ini nanti.
1. Untuk **nama Peran**, masukkan nama yang mengidentifikasi tujuan peran ini. Karena beberapa entitas mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.
1. (Opsional) Untuk **Deskripsi peran**, masukkan deskripsi.
1. Tinjau detail peran dan pilih **Buat peran**.
1. Tambahkan TagSession izin sts: ke kebijakan kepercayaan peran IAM baru Anda. Untuk informasi selengkapnya, lihat [Melewati tag sesi di AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Di detail peran IAM baru Anda, pilih tab **Trust relationship**, lalu pilih **Edit trust relationship\$1**. Saat editor kebijakan Edit Trust Relationship terbuka, tambahkan izin **sts: TagSession \$1**, sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
},
"Action": [
"sts:AssumeRoleWithSAML",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
------
Ganti `IDENTITY-PROVIDER` dengan nama SAMP iDP yang Anda buat di Langkah 1. Kemudian pilih **Perbarui Kebijakan Kepercayaan**.
## Langkah 3: Sematkan kebijakan inline untuk peran IAM
Selanjutnya, sematkan kebijakan IAM sebaris untuk peran yang Anda buat. Saat Anda menyematkan kebijakan sebaris, izin dalam kebijakan tersebut tidak dapat secara tidak sengaja dilampirkan ke entitas utama yang salah. Kebijakan inline memberi pengguna federasi akses ke direktori. WorkSpaces
**penting**
Kebijakan IAM untuk mengelola akses AWS berdasarkan IP sumber tidak didukung untuk `workspaces:Stream` tindakan tersebut. Untuk mengelola kontrol akses IP WorkSpaces, gunakan [grup kontrol akses IP](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html). Selain itu, saat menggunakan otentikasi SAMP 2.0, Anda dapat menggunakan kebijakan kontrol akses IP jika tersedia dari SAMP 2.0 IDP Anda.
1. Dalam detail untuk peran IAM yang Anda buat, pilih tab **Izin**, lalu tambahkan izin yang diperlukan ke kebijakan izin peran. **Wizard Create policy** akan dimulai.
1. Di **Buat kebijakan**, pilih tab **JSON**.
1. Salin dan tempel kebijakan JSON berikut ke jendela JSON. Kemudian, ubah sumber daya dengan memasukkan Kode AWS Wilayah, ID akun, dan ID direktori Anda. Dalam kebijakan berikut, `"Action": "workspaces:Stream"` adalah tindakan yang memberi WorkSpaces pengguna Anda izin untuk terhubung ke sesi desktop mereka di WorkSpaces direktori.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "workspaces:Stream",
"Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
"Condition": {
"StringEquals": {
"workspaces:userId": "${saml:sub}"
}
}
}
]
}
```
------
Ganti `REGION-CODE` dengan AWS Wilayah tempat WorkSpaces direktori Anda ada. Ganti `DIRECTORY-ID` dengan ID WorkSpaces direktori, yang dapat ditemukan di konsol WorkSpaces manajemen. Untuk sumber daya di AWS GovCloud (AS-Barat) atau AWS GovCloud (AS-Timur), gunakan format berikut untuk ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`
1. Setelah selesai, pilih **Kebijakan tinjau**. [Validator Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) akan melaporkan kesalahan sintaks apa pun.
## Langkah 4: Konfigurasikan penyedia identitas SAMP 2.0 Anda
[Selanjutnya, tergantung pada IDP SAMP 2.0 Anda, Anda mungkin perlu memperbarui IDP Anda secara manual agar AWS dipercaya sebagai penyedia layanan dengan mengunggah `saml-metadata.xml` file di https://signin.aws.amazon.com/static/ saml-metadata.xml ke IDP Anda.](https://signin.aws.amazon.com/static/saml-metadata.xml) Langkah ini memperbarui metadata IDP Anda. Bagi sebagian orang IdPs, pembaruan mungkin sudah dikonfigurasi. Jika ini masalahnya, lanjutkan ke langkah berikutnya.
Jika pembaruan ini belum dikonfigurasi di IDP Anda, tinjau dokumentasi yang disediakan oleh iDP Anda untuk informasi tentang cara memperbarui metadata. Beberapa penyedia memberi Anda opsi untuk mengetik URL, dan iDP memperoleh dan menginstal file untuk Anda. Lainnya mengharuskan Anda mengunduh file dari URL lalu menyediakannya sebagai file lokal.
**penting**
Pada saat ini, Anda juga dapat mengotorisasi pengguna di IDP Anda untuk mengakses aplikasi yang telah Anda konfigurasikan WorkSpaces di iDP Anda. Pengguna yang berwenang untuk mengakses WorkSpaces aplikasi untuk direktori Anda tidak secara otomatis memiliki yang WorkSpace dibuat untuk mereka. Demikian juga, pengguna yang telah WorkSpace dibuat untuk mereka tidak secara otomatis diizinkan untuk mengakses WorkSpaces aplikasi. Agar berhasil terhubung ke otentikasi WorkSpace menggunakan SAMP 2.0, pengguna harus diberi wewenang oleh IDP dan harus memiliki yang dibuat. WorkSpace
**catatan**
Jika pengguna akhir Anda akan sering beralih di antara beberapa identitas WorkSpaces pengguna yang berbeda saat menggunakan penyedia identitas SAMP 2.0 (iDP) yang sama, pastikan bahwa IDP Anda dikonfigurasi untuk memaksa otentikasi () pada setiap upaya login. ForceAuthn Ini mencegah IDP Anda menggunakan kembali sesi SSO yang ada, yang dapat menyebabkan kegagalan otentikasi saat pengguna Anda beralih ke sesi lain. WorkSpace Lihat dokumentasi IDP Anda untuk panduan tentang mengaktifkan setelan ForceAuthn (atau setara).
## Langkah 5: Buat pernyataan untuk respon otentikasi SAMP
Selanjutnya, konfigurasikan informasi yang dikirim IDP Anda AWS sebagai atribut SAMP dalam respons otentikasi. Bergantung pada IDP Anda, ini sudah dikonfigurasi, lewati langkah ini dan lanjutkan ke [Langkah 6: Konfigurasikan status relai federasi Anda](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state).
Jika informasi ini belum dikonfigurasi di IDP Anda, berikan yang berikut ini:
+ **NameID Subjek SAMP** — Pengidentifikasi unik untuk pengguna yang masuk. Nilai harus cocok dengan nama WorkSpaces pengguna, dan biasanya atribut **s AMAccount Name** untuk pengguna Active Directory.
+ **Jenis Subjek SAMP** (dengan nilai yang disetel ke`persistent`) - Mengatur nilai untuk `persistent` memastikan bahwa IDP Anda mengirimkan nilai unik yang sama untuk elemen `NameID` di semua permintaan SAMP dari pengguna tertentu. Pastikan bahwa kebijakan IAM Anda menyertakan kondisi untuk hanya mengizinkan permintaan SAMP dengan sub\$1type SAMP yang disetel ke`persistent`, seperti yang dijelaskan pada [Langkah 2: Buat peran IAM federasi SAMP 2.0](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms).
+ **`Attribute`elemen dengan `Name` atribut disetel ke `https://aws.amazon.com/SAML/Attributes/Role`** - Elemen ini berisi satu atau lebih `AttributeValue` elemen yang mencantumkan peran IAM dan SAMP iDP yang pengguna dipetakan oleh idP Anda. Peran dan idP ditentukan sebagai pasangan yang dibatasi koma dari. ARNs Contoh dari nilai yang diharapkan adalah`arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`elemen dengan `Name` atribut disetel ke `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan pengenal untuk kredensi AWS sementara yang dikeluarkan untuk SSO. **Nilai dalam `AttributeValue` elemen harus antara 2 dan 64 karakter, hanya dapat berisi karakter alfanumerik, garis bawah, dan karakter berikut: \$1. :/= \$1 - @**. Itu tidak bisa berisi spasi. Nilai biasanya alamat email atau nama utama pengguna (UPN). Seharusnya bukan nilai yang menyertakan spasi, seperti nama tampilan pengguna.
+ **`Attribute`elemen dengan `Name` atribut diatur ke `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan alamat email pengguna. Nilai harus sesuai dengan alamat email WorkSpaces pengguna seperti yang didefinisikan dalam WorkSpaces direktori. Nilai tag dapat mencakup kombinasi huruf, angka, spasi, dan **\$1.:/= \$1 - @** karakter. Untuk informasi selengkapnya, lihat [Aturan untuk menandai di IAM dan AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) di Panduan Pengguna *IAM*.
+ **`Attribute`elemen dengan `Name` atribut diatur ke `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan Direktori Aktif `userPrincipalName` untuk pengguna yang masuk. Nilai harus disediakan dalam format`username@domain.com`. Parameter ini digunakan dengan otentikasi berbasis sertifikat sebagai Nama Alternatif Subjek di sertifikat pengguna akhir. Untuk informasi selengkapnya, lihat Otentikasi Berbasis Sertifikat.
+ **`Attribute`elemen dengan `Name` atribut diatur ke `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat untuk mengaktifkan pemetaan yang kuat ke pengguna Active Directory. Untuk informasi selengkapnya, lihat Otentikasi Berbasis Sertifikat.
+ **`Attribute`elemen dengan `Name` atribut diatur ke `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menyediakan format nama pengguna alternatif. Gunakan atribut ini jika Anda memiliki kasus penggunaan yang memerlukan format nama pengguna seperti`corp\username`,`corp.example.com\username`, atau `username@corp.example.com` untuk masuk menggunakan WorkSpaces klien. Kunci dan nilai tag dapat mencakup kombinasi huruf, angka, spasi, dan **\$1:/. \$1 = @ -** karakter. Untuk informasi selengkapnya, lihat [Aturan untuk menandai di IAM dan AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) di Panduan Pengguna *IAM*. Untuk mengklaim `corp\username` atau `corp.example.com\username` format, ganti**\$1** dengan**/**dalam pernyataan SAMP.
+ **`Attribute`elemen dengan `Name` atribut disetel ke https://aws.amazon.com/SAML/ Atributes/:Domain PrincipalTag (opsional) -** Elemen ini berisi satu elemen `AttributeValue` yang menyediakan nama domain yang sepenuhnya memenuhi syarat DNS Direktori Aktif (FQDN) untuk pengguna yang masuk. Parameter ini digunakan dengan otentikasi berbasis sertifikat ketika Active Directory `userPrincipalName` untuk pengguna berisi akhiran alternatif. Nilai harus disediakan di`domain.com`, termasuk subdomain apa pun.
+ **`Attribute`elemen dengan `Name` atribut diatur ke https://aws.amazon.com/SAML/ Attributes/ SessionDuration (opsional)** - Elemen ini berisi satu `AttributeValue` elemen yang menentukan jumlah maksimum waktu bahwa sesi streaming federasi untuk pengguna dapat tetap aktif sebelum otentikasi ulang diperlukan. Default-nya adalah 3600 detik (60 menit). Untuk informasi lebih lanjut, lihat [SAMP `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration).
**catatan**
Meskipun `SessionDuration` merupakan atribut opsional, kami sarankan Anda memasukkannya ke dalam respons SAMP. Jika Anda tidak menentukan atribut ini, durasi sesi diatur ke nilai default 3600 detik (60 menit). WorkSpaces sesi desktop terputus setelah durasi sesi berakhir.
*Untuk informasi selengkapnya tentang cara mengonfigurasi elemen-elemen ini, lihat [Mengonfigurasi pernyataan SAMP untuk respons autentikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) di Panduan Pengguna IAM.* Untuk informasi tentang persyaratan konfigurasi khusus untuk IDP Anda, lihat dokumentasi IDP Anda.
## Langkah 6: Konfigurasikan status relai federasi Anda
Selanjutnya, gunakan IDP Anda untuk mengonfigurasi status relai federasi Anda untuk menunjuk ke URL status relai WorkSpaces direktori. Setelah otentikasi berhasil oleh AWS, pengguna diarahkan ke titik akhir WorkSpaces direktori, didefinisikan sebagai status relai dalam respons otentikasi SAMP.
Berikut ini adalah format URL status relai:
```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```
Buat URL status relai Anda dari kode registrasi WorkSpaces direktori Anda dan titik akhir status relai yang terkait dengan Wilayah tempat direktori Anda berada. Kode pendaftaran dapat ditemukan di konsol WorkSpaces manajemen.
Secara opsional, jika Anda menggunakan pengalihan lintas wilayah WorkSpaces, Anda dapat mengganti kode registrasi dengan nama domain yang memenuhi syarat penuh (FQDN) yang terkait dengan direktori di Wilayah utama dan failover Anda. Untuk informasi selengkapnya, lihat [Pengalihan lintas wilayah untuk Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Saat menggunakan pengalihan lintas wilayah dan otentikasi SAMP 2.0, direktori primer dan failover harus diaktifkan untuk otentikasi SAMP 2.0 dan dikonfigurasi secara independen dengan iDP, menggunakan titik akhir status relai yang terkait dengan setiap Wilayah. Ini akan memungkinkan FQDN untuk dikonfigurasi dengan benar ketika pengguna mendaftarkan aplikasi WorkSpaces klien mereka sebelum masuk, dan akan memungkinkan pengguna untuk mengautentikasi selama peristiwa failover.
Tabel berikut mencantumkan titik akhir status relai untuk Wilayah tempat otentikasi WorkSpaces SAMP 2.0 tersedia.
**Wilayah di mana otentikasi WorkSpaces SAMP 2.0 tersedia**
| Region | Titik akhir status relai |
| --- | --- |
| Wilayah AS Timur (Virginia Utara) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/setting-up-saml.html) |
| Wilayah AS Barat (Oregon) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/setting-up-saml.html) |
| Wilayah Afrika (Cape Town) | ruang kerja.euc-sso.af-south-1.aws.amazon.com |
| Wilayah Asia Pasifik (Mumbai) | ruang kerja.euc-sso.ap-south-1.aws.amazon.com |
| Wilayah Asia Pasifik (Seoul) | ruang kerja.euc-sso.ap-northeast-2.aws.amazon.com |
| Wilayah Asia Pasifik (Singapura) | ruang kerja.euc-sso.ap-southeast-1.aws.amazon.com |
| Wilayah Asia Pasifik (Sydney) | ruang kerja.euc-sso.ap-southeast-2.aws.amazon.com |
| Wilayah Asia Pasifik (Tokyo) | ruang kerja.euc-sso.ap-northeast-1.aws.amazon.com |
| Wilayah Kanada (Pusat) | ruang kerja.euc-sso.ca-central-1.aws.amazon.com |
| Wilayah Eropa (Frankfurt) | ruang kerja.euc-sso.eu-central-1.aws.amazon.com |
| Wilayah Eropa (Irlandia) | ruang kerja.euc-sso.eu-west-1.aws.amazon.com |
| Wilayah Eropa (London) | ruang kerja.euc-sso.eu-west-2.aws.amazon.com |
| Wilayah Amerika Selatan (Sao Paulo) | ruang kerja.euc-sso.sa-east-1.aws.amazon.com |
| Wilayah Israel (Tel Aviv) | ruang kerja.euc-sso.il-central-1.aws.amazon.com |
| AWS GovCloud (AS-Barat) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/setting-up-saml.html) Untuk informasi selengkapnya, lihat [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) di *Panduan Pengguna AWS GovCloud (AS)*. |
| AWS GovCloud (AS-Timur) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/setting-up-saml.html) Untuk informasi selengkapnya, lihat [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html) di *Panduan Pengguna AWS GovCloud (AS)*. |
Dengan alur yang dimulai oleh penyedia identitas (iDP), Anda dapat memilih untuk menentukan klien yang ingin Anda gunakan untuk federasi SAMP 2.0. Untuk melakukannya, tentukan salah satu `native` atau `web` di akhir URL status relai, setelahnya`&client=`. Ketika parameter ditentukan dalam URL status relai, sesi yang sesuai akan secara otomatis dimulai di klien yang ditentukan.
## Langkah 7: Aktifkan integrasi dengan SAMP 2.0 di direktori Anda WorkSpaces
Anda dapat menggunakan WorkSpaces konsol untuk mengaktifkan otentikasi SAMP 2.0 pada direktori. WorkSpaces
**Untuk mengaktifkan integrasi dengan SAMP 2.0**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih pada ID Direktori untuk Anda WorkSpaces.
1. Di bawah **Otentikasi**, pilih **Edit**.
1. Pilih **Edit Penyedia Identitas SAMP 2.0**.
1. Periksa **Aktifkan otentikasi SAMP 2.0**.
1. Untuk **URL Akses Pengguna** dan **nama parameter tautan dalam IDP**, masukkan nilai yang berlaku untuk IDP Anda dan aplikasi yang telah Anda konfigurasikan di Langkah 1. Nilai default untuk nama parameter deep link idP adalah RelayState “jika Anda menghilangkan parameter ini. Tabel berikut mencantumkan URL akses pengguna dan nama parameter yang unik untuk berbagai penyedia identitas untuk aplikasi.
**Domain dan alamat IP untuk ditambahkan ke daftar izin Anda**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/setting-up-saml.html)
URL akses pengguna biasanya ditentukan oleh penyedia untuk SSO yang diprakarsai IDP yang tidak diminta. Seorang pengguna dapat memasukkan URL ini di browser web untuk federasi langsung ke aplikasi SAMP. **Untuk menguji URL akses pengguna dan nilai parameter untuk IDP Anda, pilih Uji.** Salin dan tempel URL pengujian ke jendela pribadi di browser Anda saat ini atau browser lain untuk menguji login SAMP 2.0 tanpa mengganggu sesi konsol AWS manajemen Anda saat ini. Ketika alur yang diprakarsai IDP terbuka, Anda dapat mendaftarkan klien Anda. WorkSpaces Untuk informasi selengkapnya, lihat Alur yang dimulai oleh [penyedia identitas (iDP)](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).
1. Kelola pengaturan fallback dengan mencentang atau menghapus centang **Izinkan klien yang tidak mendukung SAMP** 2.0 untuk masuk. Aktifkan pengaturan ini untuk terus memberikan pengguna Anda akses untuk WorkSpaces menggunakan jenis klien atau versi yang tidak mendukung SAMP 2.0 atau jika pengguna perlu waktu untuk meningkatkan ke versi klien terbaru.
**catatan**
Pengaturan ini memungkinkan pengguna untuk melewati SAMP 2.0 dan masuk menggunakan otentikasi direktori menggunakan versi klien yang lebih lama.
1. Untuk menggunakan SAMP dengan klien web, aktifkan Akses Web. Untuk informasi selengkapnya, lihat [Mengaktifkan dan mengonfigurasi Akses WorkSpaces Web Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**catatan**
PCoIP dengan SAMP tidak didukung pada Akses Web.
1. Pilih **Simpan**. WorkSpaces Direktori Anda sekarang diaktifkan dengan integrasi SAMP 2.0. Anda dapat menggunakan alur yang diprakarsai oleh IDP dan yang dimulai aplikasi klien untuk mendaftarkan aplikasi WorkSpaces klien dan masuk. WorkSpaces
# Otentikasi berbasis sertifikat dan Pribadi WorkSpaces
Anda dapat menggunakan otentikasi berbasis sertifikat WorkSpaces untuk menghapus prompt pengguna untuk kata sandi domain Active Directory. Dengan menggunakan otentikasi berbasis sertifikat dengan domain Active Directory, Anda dapat:
+ Andalkan penyedia identitas SAMP 2.0 Anda untuk mengautentikasi pengguna dan memberikan pernyataan SAMP agar sesuai dengan pengguna di Active Directory.
+ Aktifkan pengalaman masuk masuk tunggal dengan lebih sedikit permintaan pengguna.
+ Aktifkan alur autentikasi tanpa kata sandi menggunakan penyedia identitas SAFL 2.0 Anda.
Otentikasi berbasis sertifikat menggunakan AWS Private CA sumber daya di akun Anda. AWS AWS Private CAmemungkinkan pembuatan hierarki otoritas sertifikat pribadi (CA), termasuk root dan bawahan CAs. DenganAWS Private CA, Anda dapat membuat hierarki CA Anda sendiri dan mengeluarkan sertifikat dengannya untuk mengautentikasi pengguna internal. Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
Saat menggunakan AWS Private CA untuk otentikasi berbasis sertifikat, WorkSpaces akan meminta sertifikat untuk pengguna Anda secara otomatis selama otentikasi sesi. Pengguna diautentikasi ke Active Directory menggunakan kartu pintar virtual yang disediakan dengan sertifikat.
Otentikasi berbasis sertifikat didukung dengan Windows WorkSpaces pada bundel DCV menggunakan aplikasi klien Akses WorkSpaces Web, Windows, dan macOS terbaru. Buka [unduhan WorkSpaces Klien](https://clients.amazonworkspaces.com/) Amazon untuk menemukan versi terbaru:
+ Klien Windows versi 5.5.0 atau yang lebih baru
+ klien macOS versi 5.6.0 atau yang lebih baru
Untuk informasi selengkapnya tentang mengonfigurasi autentikasi berbasis sertifikat dengan Amazon WorkSpaces, lihat [Cara mengonfigurasi otentikasi berbasis sertifikat untuk Amazon dan [pertimbangan Desain di lingkungan yang sangat](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/) diatur untuk Otentikasi](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/) Berbasis Sertifikat dengan Aplikasi WorkSpaces dan. WorkSpaces WorkSpaces
## Prasyarat
Selesaikan langkah-langkah berikut sebelum mengaktifkan otentikasi berbasis sertifikat.
1. Konfigurasikan WorkSpaces direktori Anda dengan integrasi SAMP 2.0 untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [WorkSpacesIntegrasi dengan SAFL 2.0](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).
1. Konfigurasikan `userPrincipalName` atribut dalam pernyataan SAFL Anda. Untuk informasi selengkapnya, lihat [Membuat Pernyataan untuk Respons Otentikasi SAMB](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).
1. Konfigurasikan `ObjectSid` atribut dalam pernyataan SAFL Anda. Ini diperlukan untuk melakukan pemetaan yang kuat ke pengguna Active Directory. Otentikasi berbasis sertifikat akan gagal jika atribut tidak cocok dengan pengenal keamanan Direktori Aktif (SID) untuk pengguna yang ditentukan dalam SAML\$1subject. `NameID` Untuk informasi selengkapnya, lihat [Membuat Pernyataan untuk Respons Otentikasi SAMB](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).
**catatan**
Menurut [Microsoft KB5 014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16), `ObjectSid` atribut tersebut akan menjadi wajib untuk otentikasi berbasis sertifikat setelah 10 September 2025.
1. Tambahkan TagSession izin [sts:](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) ke kebijakan kepercayaan peran IAM Anda yang digunakan dengan konfigurasi SAMP 2.0 Anda jika belum ada. Izin ini diperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Membuat Peran IAM Federasi SAMB 2.0](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role).
1. Buat otoritas sertifikat pribadi (CA) menggunakan AWS Private CA jika Anda tidak memiliki satu yang dikonfigurasi dengan Active Directory Anda. AWS Private CAdiperlukan untuk menggunakan otentikasi berbasis sertifikat. Untuk informasi selengkapnya, lihat [Merencanakan AWS Private CA penerapan Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html) dan ikuti panduan untuk mengonfigurasi CA untuk otentikasi berbasis sertifikat. AWS Private CAPengaturan berikut adalah yang paling umum untuk kasus penggunaan otentikasi berbasis sertifikat:
1. Opsi tipe CA:
1. Mode penggunaan CA sertifikat berumur pendek (disarankan jika Anda hanya menggunakan CA untuk menerbitkan sertifikat pengguna akhir untuk otentikasi berbasis sertifikat)
1. Hirarki tingkat tunggal dengan Root CA (sebagai alternatif, pilih CA bawahan jika Anda ingin mengintegrasikan dengan hierarki CA yang ada)
1. Opsi algoritma utama: RSA 2048
1. Opsi nama yang dibedakan subjek: Gunakan kombinasi opsi apa pun untuk mengidentifikasi CA di toko Otoritas Sertifikasi Root Tepercaya Direktori Aktif Anda.
1. Opsi pencabutan sertifikat: Distribusi CRL
**catatan**
Otentikasi berbasis sertifikat memerlukan titik distribusi CRL online yang dapat diakses dari desktop dan pengontrol domain. Ini memerlukan akses tidak terautentikasi ke bucket Amazon S3 yang dikonfigurasi untuk entri Private CA CRL, atau distribusi CloudFront yang akan memiliki akses ke bucket S3 jika memblokir akses publik. Untuk informasi selengkapnya tentang opsi ini, lihat [Merencanakan daftar pencabutan sertifikat (CRL](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa)).
1. Tandai CA pribadi Anda dengan kunci yang berhak menunjuk CA `euc-private-ca` untuk digunakan dengan otentikasi berbasis sertifikat EUC. Kuncinya tidak membutuhkan nilai. Untuk informasi selengkapnya, lihat [Mengelola tag untuk CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html).
1. Otentikasi berbasis sertifikat menggunakan kartu pintar virtual untuk masuk. Mengikuti [Pedoman untuk mengaktifkan logon kartu pintar dengan otoritas sertifikasi pihak ketiga](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) di Active Directory, lakukan langkah-langkah berikut:
+ Konfigurasikan pengontrol domain dengan sertifikat pengontrol domain untuk mengautentikasi pengguna kartu pintar. Jika Anda memiliki CA perusahaan Layanan Sertifikat Direktori Aktif yang dikonfigurasi di Direktori Aktif Anda, pengontrol domain secara otomatis terdaftar dengan sertifikat untuk mengaktifkan logon kartu pintar. Jika Anda tidak memiliki Layanan Sertifikat Direktori Aktif, lihat [Persyaratan untuk sertifikat pengontrol domain dari CA pihak ketiga](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). Anda dapat membuat sertifikat pengontrol domain denganAWS Private CA. Jika Anda melakukan ini, jangan gunakan CA pribadi yang dikonfigurasi untuk sertifikat berumur pendek.
**catatan**
Jika Anda menggunakanAWS Managed Microsoft AD, Anda dapat mengonfigurasi Layanan Sertifikat pada EC2 instans untuk memenuhi persyaratan sertifikat pengontrol domain. Lihat [AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)misalnya penerapan yang AWS Managed Microsoft AD dikonfigurasi dengan Layanan Sertifikat Direktori Aktif. AWSPrivate CA dapat dikonfigurasi sebagai bawahan dari Active Directory Certificate Services CA, atau dapat dikonfigurasi sebagai root sendiri saat menggunakanAWS Managed Microsoft AD.
Tugas konfigurasi tambahan dengan AWS Managed Microsoft AD dan Layanan Sertifikat Direktori Aktif adalah membuat aturan keluar dari grup keamanan VPC pengontrol ke EC2 instance yang menjalankan Layanan Sertifikat yang memungkinkan port TCP 135 dan 49152-65535 untuk mengaktifkan pendaftaran otomatis sertifikat. Selain itu, EC2 instance yang berjalan harus mengizinkan akses masuk pada port yang sama dari instance domain, termasuk pengontrol domain. Untuk informasi selengkapnya tentang menemukan grup keamanan untuk AWS Managed Microsoft AD lihat [Mengonfigurasi subnet VPC dan grup keamanan Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).
+ Di AWS Private CA konsol atau menggunakan SDK atau CLI, pilih CA Anda dan di bawah sertifikat CA, ekspor sertifikat pribadi CA. Untuk informasi selengkapnya, lihat [Mengekspor sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
+ Publikasikan CA ke Active Directory. Logon ke pengontrol domain atau mesin yang bergabung dengan domain. Salin sertifikat pribadi CA ke salah satu `\` dan jalankan perintah berikut sebagai administrator domain. Atau, Anda dapat menggunakan Kebijakan Grup dan alat Microsoft PKI Health Tool (PKIView) untuk mempublikasikan CA. Untuk informasi selengkapnya, lihat [Petunjuk konfigurasi](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).
```
certutil -dspublish -f \ RootCA
certutil -dspublish -f \ NTAuthCA
```
Pastikan bahwa perintah berhasil diselesaikan, dan kemudian hapus file sertifikat pribadi. Bergantung pada pengaturan replikasi Active Directory, diperlukan beberapa menit agar CA dipublikasikan ke pengontrol domain dan instans desktop Anda.
**catatan**
Diperlukan bahwa Active Directory mendistribusikan CA ke Otoritas Sertifikasi Root Tepercaya dan NTAuth toko Perusahaan secara otomatis untuk WorkSpaces desktop ketika mereka bergabung ke domain.
## Aktifkan otentikasi berbasis sertifikat
Selesaikan langkah-langkah berikut untuk mengaktifkan otentikasi berbasis sertifikat.
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih ID Direktori untuk Anda WorkSpaces.
1. Di bawah **Otentikasi**, klik **Edit**.
1. Klik **Edit Otentikasi Berbasis Sertifikat**.
1. Periksa **Aktifkan Otentikasi Berbasis Sertifikat**.
1. Konfirmasikan bahwa CA ARN pribadi Anda terkait dalam daftar. CA pribadi harus berada di AWS akun yang sama danWilayah AWS, dan harus ditandai dengan kunci yang euc-private-ca berhak muncul dalam daftar.
1. Klik **Simpan perubahan**. Otentikasi berbasis sertifikat sekarang diaktifkan.
1. Reboot Windows Anda WorkSpaces pada bundel DCV agar perubahan diterapkan. Untuk informasi selengkapnya, lihat [Reboot a WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html).
1. Setelah reboot, ketika pengguna mengautentikasi melalui SAMP 2.0 menggunakan klien yang didukung, mereka tidak akan lagi menerima prompt untuk kata sandi domain.
**catatan**
Ketika otentikasi berbasis sertifikat diaktifkan untuk masuk WorkSpaces, pengguna tidak diminta untuk otentikasi multi-faktor (MFA) bahkan jika diaktifkan pada Direktori. Saat menggunakan otentikasi berbasis sertifikat, MFA dapat diaktifkan melalui penyedia identitas SAMP 2.0 Anda. Untuk informasi selengkapnya tentang AWS Directory Service MFA, lihat Autentikasi [multi-faktor (AD Connector) atau [Aktifkan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps) otentikasi](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) multi-faktor untuk. AWS Managed Microsoft AD
## Kelola otentikasi berbasis sertifikat
**sertifikat CA**
Dalam konfigurasi tipikal, sertifikat CA pribadi memiliki masa berlaku 10 tahun. Lihat [Mengelola siklus hidup CA pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html) untuk informasi selengkapnya tentang mengganti CA dengan sertifikat kedaluwarsa, atau menerbitkan kembali CA dengan masa berlaku baru.
**Sertifikat Pengguna Akhir**
Sertifikat pengguna akhir yang dikeluarkan oleh AWS Private CA untuk otentikasi WorkSpaces berbasis sertifikat tidak memerlukan perpanjangan atau pencabutan. Sertifikat ini berumur pendek. WorkSpacessecara otomatis mengeluarkan sertifikat baru setiap 24 jam. Sertifikat pengguna akhir ini memiliki masa berlaku yang lebih pendek daripada distribusi AWS Private CA CRL biasa. Akibatnya, sertifikat pengguna akhir tidak perlu dicabut dan tidak akan muncul di CRL.
**Laporan Audit**
Anda dapat membuat laporan audit untuk mencantumkan semua sertifikat yang telah dikeluarkan atau dicabut oleh CA privat Anda. Untuk informasi selengkapnya, lihat [Menggunakan laporan audit dengan CA pribadi Anda](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).
**Pembuatan Log dan Pemantauan**
Anda dapat menggunakan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)untuk merekam panggilan API ke AWS Private CA by WorkSpaces. Untuk informasi selengkapnya, lihat [Menggunakan CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). Dalam [riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html), Anda dapat melihat `GetCertificate` dan nama `IssueCertificate` acara dari sumber `acm-pca.amazonaws.com` acara yang dibuat oleh nama WorkSpaces `EcmAssumeRoleSession` pengguna. Peristiwa ini akan direkam untuk setiap permintaan otentikasi berbasis sertifikat EUC.
## Aktifkan berbagi PCA lintas akun
Saat Anda menggunakan berbagi lintas akun CA Pribadi, Anda dapat memberikan izin akun lain untuk menggunakan CA terpusat, yang menghilangkan kebutuhan akan CA Pribadi di setiap akun. CA dapat menghasilkan dan menerbitkan sertifikat dengan menggunakan [AWSResource Access Manager](https://aws.amazon.com/ram/) untuk mengelola izin. Berbagi lintas akun CA pribadi dapat digunakan dengan Otentikasi WorkSpaces berbasis sertifikat (CBA) dalam Wilayah yang sama. AWS
**Untuk menggunakan sumber daya Private CA bersama dengan WorkSpaces CBA**
1. Konfigurasikan CA Pribadi untuk CBA di akun terpusatAWS. Untuk informasi selengkapnya, lihat [Otentikasi berbasis sertifikat dan Pribadi WorkSpaces](#certificate-based-authentication).
1. Bagikan CA Pribadi dengan AWS akun sumber daya tempat WorkSpaces sumber daya menggunakan CBA dengan mengikuti langkah-langkah di [Cara menggunakan AWS RAM untuk membagikan akun silang ACM Private CA Anda](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/). Anda tidak perlu menyelesaikan langkah 3 untuk membuat sertifikat. Anda dapat berbagi CA Pribadi dengan AWS akun individual, atau berbagi melalui AWS Organizations. Untuk berbagi dengan akun individual, Anda harus menerima CA Pribadi bersama di akun sumber daya Anda dengan menggunakan konsol Resource Access Manager (RAM) atau APIs. Saat mengonfigurasi pembagian, konfirmasikan bahwa pembagian sumber daya RAM untuk CA Pribadi di akun sumber daya menggunakan templat izin `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority` terkelola. Template ini sejajar dengan template PCA yang digunakan oleh peran WorkSpaces layanan saat menerbitkan sertifikat CBA.
1. Setelah pembagian berhasil, Anda harus dapat melihat CA Pribadi bersama dengan menggunakan konsol CA Pribadi di akun sumber daya.
1. Gunakan API atau CLI untuk mengaitkan Private CA ARN dengan CBA di properti direktori Anda. WorkSpaces Saat ini, WorkSpaces konsol tidak mendukung pemilihan CA Pribadi bersama ARNs. Contoh perintah CLI:
```
aws workspaces modify-certificate-based-auth-properties —resource-id —certificate-based-auth-properties Status=,CertificateAuthorityArn=
```
# Akses Microsoft Entra ID WorkSpaces yang bergabung dengan Personal
Anda dapat membuat Windows 10 atau 11 BYOL pribadi WorkSpaces yang Microsoft Entra ID-bergabung dan terdaftar ke Intune. Untuk detail selengkapnya, lihat [Buat direktori ID Microsoft Entra khusus dengan WorkSpaces Personal](launch-entra-id.md).
## Alur kerja autentikasi
Bagian berikut menjelaskan alur kerja otentikasi yang diprakarsai oleh aplikasi WorkSpaces klien, Akses WorkSpaces Web, dan penyedia identitas SAMP 2.0 (iDP), Microsoft Entra ID:
+ Ketika aliran diprakarsai oleh iDP. Misalnya, ketika pengguna memilih aplikasi di portal pengguna Entra ID di browser web..
+ Ketika aliran diprakarsai oleh WorkSpaces klien. Misalnya, ketika pengguna membuka aplikasi klien dan masuk.
+ Ketika aliran diprakarsai oleh WorkSpaces Web Access. Misalnya, ketika pengguna membuka Akses Web di browser dan masuk.
Dalam contoh ini, pengguna masuk `user@example.onmicrosoft.com` untuk masuk ke iDP. Pada Entra ID, aplikasi perusahaan dikonfigurasi untuk berintegrasi dengan IAM Identity Center. Pengguna membuat WorkSpace untuk nama pengguna mereka di direktori yang menggunakan IAM Identity Center sebagai sumber identitas untuk terhubung ke penyewa ID Entra. Selain itu, pengguna menginstal [aplikasi WorkSpaces klien](https://clients.amazonworkspaces.com/) di perangkat mereka atau pengguna menggunakan Akses Web di browser web.
**Aliran yang dimulai oleh penyedia identitas (iDP) dengan aplikasi klien**
Alur yang diprakarsai IDP memungkinkan pengguna untuk secara otomatis mendaftarkan aplikasi WorkSpaces klien di perangkat mereka tanpa harus memasukkan kode registrasi. WorkSpaces Pengguna tidak masuk WorkSpaces menggunakan alur yang diprakarsai IDP. WorkSpaces otentikasi harus berasal dari aplikasi klien.
1. Menggunakan browser web mereka, pengguna masuk ke iDP (Microsoft Entra ID).
1. Setelah masuk ke iDP, pengguna memilih aplikasi AWS IAM Identity Center dari portal pengguna iDP.
1. Pengguna diarahkan ke portal AWS akses di browser. Kemudian, pengguna memilih WorkSpaces ikon.
1. Pengguna dialihkan ke halaman di bawah ini dan aplikasi WorkSpaces klien dibuka secara otomatis. Pilih **Buka WorkSpaces aplikasi Amazon** jika aplikasi klien tidak dibuka secara otomatis.
![\[Membuka WorkSpaces halaman pengalihan aplikasi\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/saml-redir.png)
1. Aplikasi WorkSpaces klien sekarang terdaftar dan pengguna dapat terus masuk dengan mengklik **Lanjutkan untuk masuk WorkSpaces**.
**Aliran yang dimulai oleh penyedia identitas (iDP) dengan Akses Web**
Aliran Akses Web yang diprakarsai IDP memungkinkan pengguna untuk secara otomatis mendaftarkan mereka WorkSpaces melalui browser web tanpa harus memasukkan kode registrasi. WorkSpaces Pengguna tidak masuk WorkSpaces menggunakan alur yang diprakarsai IDP. WorkSpaces otentikasi harus berasal dari Web Access.
1. Menggunakan browser web mereka, pengguna masuk ke iDP.
1. Setelah masuk ke iDP, pengguna mengklik aplikasi AWS IAM Identity Center dari portal pengguna iDP.
1. Pengguna diarahkan untuk AWS mengakses portal di browser. Kemudian, pengguna memilih WorkSpaces ikon.
1. Pengguna diarahkan ke halaman ini di browser. Untuk membuka WorkSpaces, pilih **Amazon WorkSpaces di browser**.
![\[Membuka WorkSpaces halaman pengalihan aplikasi\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/saml-redir.png)
1. Aplikasi WorkSpaces klien sekarang terdaftar dan pengguna dapat terus masuk melalui Akses WorkSpaces Web.
**WorkSpaces aliran yang diprakarsai klien**
Alur yang diprakarsai klien memungkinkan pengguna untuk masuk ke akun mereka WorkSpaces setelah masuk ke iDP.
1. Pengguna meluncurkan aplikasi WorkSpaces klien (jika belum berjalan) dan mengklik **Lanjutkan untuk WorkSpaces masuk**.
1. Pengguna diarahkan ke browser web default mereka untuk masuk ke iDP. Jika pengguna sudah masuk ke iDP di browser mereka, mereka tidak perlu masuk lagi dan akan melewati langkah ini.
1. Setelah masuk ke iDP, pengguna akan diarahkan ke pop up. Ikuti petunjuk untuk memungkinkan browser web Anda membuka aplikasi klien.
1. Pengguna diarahkan ke aplikasi WorkSpaces klien, pada layar login Windows.
1. Pengguna menyelesaikan proses masuk ke Windows menggunakan nama pengguna dan kredensialnya Entra ID.
**WorkSpaces Alur yang diprakarsai oleh Akses Web**
Alur yang diprakarsai Akses Web memungkinkan pengguna untuk masuk ke akun mereka WorkSpaces setelah masuk ke iDP.
1. Pengguna meluncurkan Akses WorkSpaces Web dan memilih **Masuk**.
1. Di tab browser yang sama, pengguna diarahkan ke portal iDP. Jika pengguna sudah masuk ke iDP di browser mereka, mereka tidak perlu masuk lagi dan dapat melewati langkah ini.
1. **Setelah masuk ke iDP, pengguna diarahkan ke halaman ini di browser, dan klik Masuk ke. WorkSpaces**
1. Pengguna diarahkan ke aplikasi WorkSpaces klien, di layar login Windows.
1. Pengguna menyelesaikan proses masuk ke Windows menggunakan nama pengguna dan kredensialnya Entra ID.
## Pengalaman pengguna pertama kali
Jika Anda masuk untuk pertama kalinya ke Microsoft Entra ID yang bergabung dengan Windows WorkSpaces, Anda harus melalui out-of-box pengalaman (OOBE). Selama OOBE, WorkSpaces mereka bergabung ke Entra ID. Anda dapat menyesuaikan pengalaman OOBE dengan mengonfigurasi profil Autopilot yang ditetapkan ke grup perangkat Microsoft Intune yang Anda buat untuk Anda. WorkSpaces Lihat informasi yang lebih lengkap di [Langkah 3: Konfigurasikan mode berbasis pengguna Windows Autopilot](launch-entra-id.md#entra-step-3).
# Gunakan kartu pintar untuk otentikasi di Pribadi WorkSpaces
Windows dan Linux WorkSpaces pada bundel DCV memungkinkan penggunaan kartu pintar [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) dan [Personal Identity Verification (PIV)](https://www.idmanagement.gov/university/piv/) untuk otentikasi.
Amazon WorkSpaces mendukung penggunaan kartu pintar untuk otentikasi *pra-sesi dan otentikasi* *dalam* sesi. Otentikasi pra-sesi mengacu pada otentikasi kartu pintar yang dilakukan saat pengguna masuk ke kartu mereka. WorkSpaces Autentikasi dalam sesi mengacu pada autentikasi yang dilakukan setelah masuk.
Misalnya, pengguna dapat menggunakan kartu pintar untuk autentikasi dalam sesi saat bekerja dengan web peramban dan aplikasi. Mereka juga dapat menggunakan kartu pintar untuk tindakan yang memerlukan izin administratif. Misalnya, jika pengguna memiliki izin administratif di Linux mereka WorkSpace, mereka dapat menggunakan kartu pintar untuk mengautentikasi diri mereka sendiri saat menjalankan `sudo` dan `sudo -i` perintah.
**Topics**
+ [Persyaratan](#smart-cards-requirements)
+ [Batasan](#smart-cards-limitations)
+ [Konfigurasi Direktori](#smart-cards-directory-config)
+ [Aktifkan kartu pintar untuk Windows WorkSpaces](#smart-cards-windows-workspaces)
+ [Aktifkan kartu pintar untuk Ubuntu, Rocky Linux, dan Red Hat Enterprise Linux WorkSpaces](#smart-cards-linux-workspaces)
+ [Aktifkan kartu pintar untuk Amazon Linux 2 WorkSpaces](#smart-cards-amazon-linux-workspaces)
## Persyaratan
+ Direktori Konektor Direktori Aktif (AD Connector) diperlukan untuk autentikasi pra-sesi. AD Connector menggunakan autentikasi Keamanan Lapisan Pengangkutan berbasis sertifikat (mutual TLS) untuk mengautentikasi pengguna ke Direktori Aktif menggunakan sertifikat kartu pintar berbasis perangkat keras atau perangkat lunak. Untuk informasi selengkapnya tentang cara mengonfigurasi AD Connector dan direktori on-premise Anda, lihat [Konfigurasi Direktori](#smart-cards-directory-config).
+ Untuk menggunakan kartu pintar dengan Windows atau Linux WorkSpace, pengguna harus menggunakan klien Amazon WorkSpaces Windows versi 3.1.1 atau yang lebih baru, klien WorkSpaces macOS versi 3.1.5 atau yang lebih baru, atau klien Ubuntu 22.04 versi 2024.1 WorkSpaces atau yang lebih baru (otentikasi kartu pintar tidak didukung dengan klien Ubuntu 20.04). WorkSpaces Untuk informasi selengkapnya tentang penggunaan kartu pintar dengan klien Windows dan macOS, lihat [Dukungan Kartu Cerdas](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) di * WorkSpaces Panduan Pengguna Amazon*.
+ CA root dan sertifikat kartu pintar harus memenuhi persyaratan tertentu. Untuk informasi selengkapnya, lihat [Mengaktifkan autentikasi mTLS di AD Connector untuk digunakan dengan kartu pintar](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) di *Panduan AWS Directory Service Administrasi* dan [Persyaratan Sertifikat](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements) dalam dokumentasi Microsoft.
Selain persyaratan tersebut, sertifikat pengguna yang digunakan untuk otentikasi kartu pintar ke Amazon WorkSpaces harus menyertakan atribut berikut:
+ Pengguna AD userPrincipalName (UPN) di bidang subjectAltName (SAN) sertifikat. Kami merekomendasikan penerbitan sertifikat kartu pintar untuk UPN default pengguna.
**catatan**
Amazon Linux 2 WorkSpaces mengandalkan UPN untuk certificate-to-user pemetaan. Linux yang lebih baru WorkSpaces, seperti Ubuntu, Rocky Linux, dan Red Hat Enterprise Linux WorkSpaces, mendukung metode [pemetaan](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking) yang lebih aman.
+ Autentikasi klien (1.3.6.1.5.5.7.3.2) atribut Atribut Extended Key Usage (EKU).
+ Logon Kartu Pintar (1.3.6.1.4.1.311.20.2.2) atribut EKU.
+ Untuk autentikasi pra-sesi, Online Certificate Status Protocol (OCSP) diperlukan untuk memeriksa sertifikat pencabutan. Untuk autentikasi dalam sesi, OCSP direkomendasikan, tetapi tidak diperlukan.
**catatan**
Ubuntu WorkSpaces, Rocky Linux WorkSpaces, dan Red Hat Enterprise Linux WorkSpaces memerlukan OCSP untuk otentikasi dalam sesi secara default, dan verifikasi OCSP dalam sistem ini mengharuskan responder OCSP untuk mengaktifkan ekstensi NONCE untuk mencegah serangan replay. Untuk menonaktifkan ekstensi NONCE, verifikasi OCSP dalam sesi harus dinonaktifkan sama sekali. Untuk menonaktifkan verifikasi OCSP di Ubuntu, Rocky Linux, dan Red Hat Enterprise Linux WorkSpaces, buat file baru `/etc/sssd/conf.d/disable-ocsp.conf` dengan konten berikut:
```
[sssd]
certificate_verification = no_ocsp
```
## Batasan
+ Hanya aplikasi klien WorkSpaces Windows versi 3.1.1 atau yang lebih baru, aplikasi klien WorkSpaces macOS versi 3.1.5 atau yang lebih baru, WorkSpaces dan aplikasi klien Ubuntu 22.04 versi 2024.1 atau yang lebih baru saat ini didukung untuk otentikasi kartu pintar. WorkSpaces Ubuntu 20.04 atau aplikasi klien sebelumnya tidak didukung untuk otentikasi kartu pintar.
+ Aplikasi klien WorkSpaces Windows 3.1.1 atau yang lebih baru mendukung kartu pintar hanya ketika klien berjalan pada versi Windows 64-bit.
+ Hanya direktori AD Connector yang saat ini didukung untuk autentikasi kartu pintar.
+ Otentikasi dalam sesi tersedia di semua Wilayah di mana DCV didukung. Autentikasi pra-sesi tersedia di Wilayah berikut:
+ Wilayah Asia Pasifik (Sydney)
+ Wilayah Asia Pacific (Tokyo)
+ Wilayah Eropa (Irlandia)
+ AWS GovCloud Wilayah (AS-Timur)
+ AWS GovCloud Wilayah (AS-Barat)
+ Wilayah AS Timur (Virginia Utara)
+ Wilayah AS Barat (Oregon)
+ Untuk otentikasi dalam sesi dan otentikasi pra-sesi di Linux atau Windows WorkSpaces, hanya satu kartu pintar yang saat ini diizinkan pada satu waktu. Penggunaan beberapa kartu secara simultan dapat berfungsi, tetapi tidak didukung.
+ Untuk otentikasi pra-sesi, mengaktifkan otentikasi kartu pintar dan otentikasi masuk pada direktori yang sama saat ini tidak didukung.
+ Hanya kartu CAC dan PIV yang didukung saat ini. Jenis lain dari perangkat keras atau kartu pintar berbasis perangkat lunak mungkin juga berfungsi, tetapi belum sepenuhnya diuji untuk digunakan dengan DCV.
## Konfigurasi Direktori
Untuk mengaktifkan autentikasi kartu pintar, Anda harus mengonfigurasi direktori AD Connector dan direktori on-premise Anda dengan cara berikut.
**Konfigurasi direktori AD Connector**
Sebelum memulai, pastikan direktori AD Connector Anda telah disiapkan seperti yang dijelaskan di [ Prasyarat AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) di *Panduan Administrasi AWS Directory Service *. Secara khusus, pastikan bahwa Anda telah membuka port yang diperlukan di firewall Anda.
*Untuk menyelesaikan konfigurasi direktori AD Connector, ikuti petunjuk di [Aktifkan autentikasi mTLS di AD Connector untuk digunakan dengan kartu pintar di Panduan Administrasi](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html)AWS Directory Service .*
**catatan**
Otentikasi kartu pintar membutuhkan Kerberos Constrained Delegation (KCD) agar berfungsi dengan baik. KCD memerlukan bagian nama pengguna dari akun layanan AD Connector agar sesuai dengan AMAccount Nama s pengguna yang sama. AMAccountNama A tidak boleh melebihi 20 karakter.
**Konfigurasi direktori on-premise**
Selain mengonfigurasi direktori AD Connector Anda:
+ Pastikan sertifikat yang dikeluarkan untuk pengontrol domain untuk direktori lokal Anda memiliki set penggunaan kunci tambahan (EKU) “Otentikasi KDC”. Untuk melakukannya, gunakan templat sertifikat Autentikasi Kerberos default Layanan Domain Direktori Aktif (AD DS). Jangan menggunakan templat sertifikat pengendali Domain atau templat sertifikat autentikasi pengendali Domain karena templat tersebut tidak berisi pengaturan yang diperlukan untuk autentikasi kartu pintar.
+ Untuk Linux WorkSpaces, pastikan bahwa responder OCSP untuk sertifikat kartu pintar yang mengeluarkan CA telah mengaktifkan ekstensi NONCE. Jika tidak dapat diaktifkan, verifikasi OCSP dalam sesi harus dinonaktifkan di Ubuntu, Rocky Linux, dan Red Hat Enterprise Linux. WorkSpaces Untuk menonaktifkan verifikasi OCSP, buat file baru `/etc/sssd/conf.d/disable-ocsp.conf` dengan konten berikut:
```
[sssd]
certificate_verification = no_ocsp
```
## Aktifkan kartu pintar untuk Windows WorkSpaces
Untuk panduan umum tentang cara mengaktifkan autentikasi kartu pintar pada Windows, lihat [ Pedoman untuk mengaktifkan kartu pintar logon dengan otoritas sertifikasi (CA) pihak ketiga](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) dalam dokumentasi Microsoft.
**Untuk mendeteksi layar kunci Windows dan memutus sesi**
Untuk memungkinkan pengguna membuka kunci Windows WorkSpaces yang diaktifkan untuk otentikasi pra-sesi kartu pintar saat layar terkunci, Anda dapat mengaktifkan deteksi layar kunci Windows di sesi pengguna. Ketika layar kunci Windows terdeteksi, WorkSpace sesi terputus, dan pengguna dapat menyambung kembali dari WorkSpaces klien dengan menggunakan kartu pintar mereka.
Anda dapat mengaktifkan pemutusan sesi ketika layar kunci Windows terdeteksi dengan menggunakan pengaturan Kebijakan Grup. Untuk informasi selengkapnya, lihat [Konfigurasikan sesi pemutusan pada kunci layar untuk DCV](group_policy.md#gp_lock_screen_in_wsp).
**Untuk mengaktifkan autentikasi dalam sesi atau pra-sesi**
Secara default, Windows tidak WorkSpaces diaktifkan untuk mendukung penggunaan kartu pintar untuk otentikasi pra-sesi atau dalam sesi. Jika diperlukan, Anda dapat mengaktifkan otentikasi dalam sesi dan pra-sesi untuk Windows WorkSpaces dengan menggunakan pengaturan Kebijakan Grup. Untuk informasi selengkapnya, lihat [Konfigurasikan pengalihan kartu pintar untuk DCV](group_policy.md#gp_smart_cards_in_wsp).
Untuk menggunakan autentikasi pra-sesi, selain memperbarui pengaturan Kebijakan Grup, Anda juga harus mengaktifkan otentikasi pra-sesi melalui pengaturan direktori AD Connector. Untuk informasi selengkapnya, ikuti petunjuk di [Aktifkan autentikasi mTLS di AD Connector untuk digunakan dalam kartu pintar](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) di Panduan *AWS Directory Service Administrasi*.
**Untuk mengaktifkan pengguna untuk menggunakan kartu pintar di peramban**
Jika pengguna Anda menggunakan Chrome sebagai peramban mereka, tidak diperlukan konfigurasi khusus untuk menggunakan kartu pintar.
Jika pengguna Anda menggunakan Firefox sebagai peramban mereka, Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox melalui Kebijakan Grup. Anda dapat menggunakan [templat Kebijakan Grup Firefox](https://github.com/mozilla/policy-templates/tree/master/windows) ini di GitHub.
Misalnya, Anda dapat menginstal versi 64-bit [OpenSC](https://github.com/OpenSC/OpenSC/wiki) untuk Windows untuk mendukung PKCS \$111, lalu menggunakan pengaturan Kebijakan Grup berikut, saat `NAME_OF_DEVICE` adalah nilai apa pun yang ingin Anda gunakan untuk mengidentifikasi PKCS \$111, seperti `OpenSC`, dan saat `PATH_TO_LIBRARY_FOR_DEVICE` adalah jalur ke modul PKCS \$111. Jalur ini harus menuju ke pusataka dengan ekstensi .DLL, seperti `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`.
```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```
**Tip**
Jika Anda menggunakan OpenSC, Anda juga dapat memuat modul `pkcs11` OpenSC ke Firefox dengan menjalankan program `pkcs11-register.exe`. Untuk menjalankan program ini, klik file dua kali pada `C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe`, atau buka jendela Command Prompt dan jalankan perintah berikut:
```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
Untuk memverifikasi bahwa modul `pkcs11` OpenSC telah dimuat ke Firefox, lakukan hal berikut:
Jika Firefox sudah berjalan, tutup Firefox.
Buka Firefox. Pilih tombol menu ![\[Firefox menu button\]](http://docs.aws.amazon.com/id_id/workspaces/latest/adminguide/images/firefox-menu-button.png) Di pojok kanan atas, lalu pilih **Opsi**.
Pada halaman **about:preferences**, di sebelah kiri panel navigasi, pilih **Privasi & Keamanan**.
Di bawah **Sertifikat**, pilih **Perangkat Keamanan**.
Di kotak dialog **Pengelola Perangkat**, Anda akan melihat **kerangka kerja kartu pintar OpenSC (0.21)** di navigasi kiri, dan harus memiliki nilai berikut ketika memilihnya:
**Modul**: `OpenSC smartcard framework (0.21)`
**Jalan**: `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`
**Pemecahan masalah**
Untuk informasi tentang pemecahan masalah kartu pintar, lihat [ Masalah sertifikat dan konfigurasi](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems) dalam dokumentasi Microsoft.
Beberapa masalah umum yang dapat menyebabkan masalah:
+ Pemetaan yang salah dari slot ke sertifikat.
+ Memiliki beberapa sertifikat pada kartu pintar yang dapat dicocokkan dengan pengguna. Sertifikat dicocokkan menggunakan kriteria berikut:
+ CA root untuk sertifikat.
+ Bidang sertifikat `` dan ``.
+ UPN dalam subjek sertifikat.
+ Memiliki beberapa sertifikat yang memiliki `msScLogin` dalam penggunaan kunci mereka.
Secara umum, yang terbaik adalah hanya memiliki satu sertifikat untuk autentikasi kartu pintar yang dipetakan ke slot pertama dalam kartu pintar.
Alat untuk mengelola sertifikat dan kunci pada kartu pintar (seperti menghapus atau memetakan ulang sertifikat dan kunci) mungkin khusus produsen. Untuk informasi selengkapnya, lihat dokumentasi yang disediakan oleh produsen kartu cerdas Anda.
## Aktifkan kartu pintar untuk Ubuntu, Rocky Linux, dan Red Hat Enterprise Linux WorkSpaces
Untuk mengaktifkan penggunaan kartu pintar di Ubuntu, Rocky Linux, dan Red Hat Enterprise Linux WorkSpaces, Anda harus menyertakan root dan semua sertifikat CA perantara dalam WorkSpace gambar untuk semua kartu pintar yang CAs mengeluarkan, dan untuk semua sertifikat CAs pengontrol domain yang diterbitkan.
**Untuk mendapatkan sertifikat CA Anda:** Anda dapat memperoleh sertifikat CA Anda dengan beberapa cara:
+ Anda dapat menggunakan bundel sertifikat CA dari otoritas sertifikasi pihak ketiga.
+ Anda dapat mengekspor sertifikat CA Anda sendiri dengan menggunakan situs Pendaftaran Web, yang merupakan salah satu `http://ip_address/certsrv` atau`http://fqdn/certsrv`, di mana `ip_address` dan `fqdn` merupakan alamat IP dan nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server CA. Untuk informasi selengkapnya tentang penggunaan situs Web pendaftaran, lihat [ Cara mengekspor Sertifikat Otoritas Sertifikasi (CA) akar](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate) dalam dokumentasi Microsoft.
+ Anda dapat menggunakan prosedur berikut untuk mengekspor sertifikat CA dari server CA yang menjalankan Active Directory Certificate Services (AD CS). Untuk informasi selengkapnya tentang menginstal AD CS, lihat [ Instal Otoritas Sertifikasi (CA)](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority) dalam dokumentasi Microsoft.
1. Masuk ke server CA menggunakan akun administrator.
1. Dari menu **start** Windows, buka jendela prompt perintah (**Mulai** > **Sistem Windows** > **Prompt Perintah**).
1. Gunakan perintah berikut untuk mengekspor sertifikat CA ke file baru, di mana `rootca.cer` nama file baru:
```
certutil -ca.cert rootca.cer
```
Untuk informasi selengkapnya tentang menjalankan certutil, lihat [ certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) dalam dokumentasi Microsoft.
1. Gunakan perintah OpenSSL berikut untuk mengonversi sertifikat CA yang diekspor dari format DER ke format PEM, *rootca* di mana nama sertifikat. Untuk informasi selengkapnya tentang OpenSSL, lihat [www.openssl.org](https://www.openssl.org/).
```
openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
```
**Untuk menambahkan sertifikat CA Anda ke Linux Anda WorkSpaces**
Untuk membantu Anda mengaktifkan kartu pintar, kami telah menambahkan `enable_smartcard` skrip ke bundel Linux WorkSpaces DCV kami. Skrip tersebut melakukan tugas-tugas berikut:
+ Mengimpor sertifikat CA Anda ke dalam bundel PEM pribadi yang mendefinisikan root kepercayaan untuk SSSD di Linux). WorkSpaces
+ Memperbarui konfigurasi SSSD, PAM, dan Kerberos, yang mencakup pengaktifan `PKINIT` (otentikasi Kerberos menggunakan sertifikat alih-alih kata sandi) selama penyediaan. WorkSpace
Prosedur berikut menjelaskan cara menggunakan `enable_smartcard` skrip untuk mengimpor sertifikat CA Anda dan untuk mengaktifkan otentikasi kartu pintar untuk Linux WorkSpaces Anda.
1. Buat Linux baru WorkSpace dengan protokol DCV diaktifkan. Saat meluncurkan WorkSpace di WorkSpaces konsol Amazon, pada halaman **Select Bundles**, pastikan untuk memilih **DCV** untuk protokol, lalu pilih salah satu bundel WorkSpaces publik Linux.
1. Pada yang baru dibuat WorkSpace, pastikan `/etc/skylight.conf` file memiliki `pam_smartcard = true` baris di `[features]` bagian:
```
[features]
pam_smartcard = true
```
**catatan**
Jika belum semua pengguna Anda dikonfigurasi untuk menggunakan pemetaan `altSecurityIdentities` sertifikat yang kuat, Anda juga dapat menambahkan `smartcard_weak_mapping = true` baris ke `[features]` bagian yang sama `/etc/skylight.conf` untuk mendukung metode pemetaan lama, tetapi sebaiknya migrasi pengguna tersebut untuk menggunakan metode pemetaan yang kuat sesegera mungkin.
1. Pada WorkSpace, jalankan perintah berikut sebagai root, di mana`pem-path1`,`pem-path2`, dll., Adalah jalur ke file, masing-masing berisi salah satu sertifikat CA dalam rantai kepercayaan untuk kartu pintar dan sertifikat pengontrol domain. Semua file ini harus dalam format PEM dan berisi satu sertifikat per file. Pola glob dapat digunakan (mis.,`*.pem`)
```
/usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
```
**catatan**
Pastikan paket ketergantungan tambahan diinstal pada WorkSpace sebelum menjalankan perintah di atas, menggunakan perintah berikut sebagai root.
Untuk Rocky Linux dan Red Hat Enterprise Linux WorkSpaces:
```
dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
```
Untuk Ubuntu WorkSpaces:
```
apt install krb5-pkinit opensc
```
1. Lakukan penyesuaian tambahan pada file. WorkSpace Misalnya, Anda mungkin ingin menambahkan kebijakan seluruh sistem ke [aktifkan pengguna untuk menggunakan kartu pintar di Firefox](#smart-cards-firefox-linux). (Pengguna Chrome harus mengaktifkan kartu pintar pada klien mereka sendiri. Untuk informasi selengkapnya, lihat [Dukungan Kartu Pintar](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) di *Panduan WorkSpaces Pengguna Amazon*.)
1. [Buat WorkSpace gambar khusus dan bundel](create-custom-bundle.md) dari file WorkSpace.
1. Gunakan bundel kustom baru untuk diluncurkan WorkSpaces bagi pengguna Anda.
Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox dengan menambahkan SecurityDevices kebijakan ke WorkSpace gambar Linux Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan seluruh sistem ke Firefox, lihat templat [kebijakan Mozilla](https://github.com/mozilla/policy-templates/releases) di. GitHub
**Untuk mengaktifkan pengguna menggunakan kartu pintar di Firefox**
1. Pada WorkSpace yang Anda gunakan untuk membuat WorkSpace gambar Anda, buat file baru bernama`PREFIX/firefox/distribution/`, `policies.json` di mana `PREFIX` ada `/usr/lib64` pada sistem berbasis Fedora (Amazon Linux 2, Red Hat Enterprise Linux, dan Rocky Linux WorkSpaces), dan `/usr/lib` pada sistem berbasis Debian (Ubuntu). WorkSpaces
1. Dalam file JSON, tambahkan SecurityDevices kebijakan berikut, di mana nilai `NAME_OF_DEVICE` apa pun yang ingin Anda gunakan untuk mengidentifikasi `pkcs` modul. Misalnya, Anda mungkin ingin menggunakan nilai seperti `"OpenSC"`:
```
{
"policies": {
"SecurityDevices": {
"NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
}
}
}
```
**Pemecahan masalah**
Pemecahan masalah otentikasi kartu pintar lebih mudah ketika pra-sesi diatur untuk menggunakan otentikasi kata sandi - selama penyediaan sesi Linux WorkSpaces secara otomatis mengalihkan preferensi mode otentikasi on-host ke berbasis kata sandi atau berbasis kartu pintar tergantung pada metode otentikasi pra-sesi yang digunakan. Jika ada masalah dengan otentikasi kartu pintar, memutuskan sambungan dan menyambung kembali menggunakan otentikasi pra-sesi kata sandi akan mengatur ulang ruang kerja kembali ke otentikasi on-host kata sandi. Untuk secara manual mengalihkan WorkSpaces instance Linux ke otentikasi kartu pintar jalankan `/usr/lib/skylight/resume_smartcard` perintah sebagai root.
Linux WorkSpaces menggunakan perangkat lunak OpenSC untuk bekerja dengan kartu pintar. Perangkat lunak itu dilengkapi dengan alat seperti `pkcs11-tool` dan `pkcs15-tool` yang dapat berguna dalam memecahkan masalah dengan kartu pintar. Alat-alat ini dapat digunakan untuk memeriksa pembaca kartu pintar, token individu, dan slot PIV atau sertifikat pada setiap token kartu pintar.
Alat `openssl` baris perintah dapat membantu dalam memecahkan masalah dengan rantai kepercayaan, responden OCSP, atau tanda KUs/EKUs (penggunaan kunci usage/extended kunci) yang hilang, terutama dalam kombinasi dengan kemampuan untuk mengekstrak sertifikat publik `pkcs15-tool` dari kartu pintar.
Opsi pemecahan masalah umum:
+ Ekstrak sertifikat pertama (biasanya PIV slot 9A) dari kartu pintar dan simpan sebagai: `card-cert.pem` `pkcs15-tool --read-certificate 1 > card-cert.pem`
+ Validasi sertifikat yang diekstraksi terhadap database trust pada: WorkSpace `openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ Dapatkan URL OCSP dari sertifikat kartu pintar yang diekstrak: `openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ Verifikasi bahwa respons OCSP menunjukkan sertifikat valid dan termasuk NONCE:`openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI`, di mana *OCSP\$1URI* URL OCSP dari atas.
+ Periksa apakah sertifikat pengontrol domain dianggap tepercaya:`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`, di *DC\$1HOSTNAME* mana nama host dari salah satu pengontrol domain di domain Active Directory Anda.
+ Konfirmasikan sertifikat pengontrol domain memiliki KDC Authentication EKU (penggunaan kunci diperpanjang) yang ditetapkan:. `openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`
+ Coba PKINIT manual untuk melihat apakah ada kode kesalahan yang dapat digunakan untuk mempersempit masalah:`KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V`, di mana *01* jumlah salah satu dari empat slot PIV utama pada kartu - `01` untuk`9A`, `02` untuk`9C`, dll. Sebagian besar kartu akan memiliki sertifikat yang dimaksudkan untuk otentikasi pengguna di slot 9A.
+ Periksa apakah sistem dapat memetakan sertifikat kartu pintar ke pengguna AD (jalankan sebagai root):`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(
**catatan**
Amazon Linux 2 WorkSpaces di DCV saat ini memiliki batasan berikut:
Clipboard, audio-in, video-in, dan pengalihan zona waktu tidak didukung.
Beberapa monitor tidak didukung.
Untuk mengaktifkan penggunaan kartu pintar di Amazon Linux 2 WorkSpaces, Anda perlu menyertakan file sertifikat CA root dalam format PEM pada WorkSpace gambar.
**Untuk mendapatkan sertifikat CA root Anda:** Anda dapat memperoleh sertifikat CA root Anda dengan beberapa cara:
+ Anda dapat menggunakan sertifikat CA root yang dioperasikan oleh otoritas sertifikasi (CA) pihak ketiga.
+ Anda dapat mengekspor sertifikat CA root Anda sendiri menggunakan situs Web pendaftaran, baik `http://ip_address/certsrv` atau `http://fqdn/certsrv`, saat `ip_address` dan `fqdn` adalah alamat IP dan nama domain yang memenuhi syarat (FQDN) dari server sertifikasi CA root. Untuk informasi selengkapnya tentang penggunaan situs Web pendaftaran, lihat [ Cara mengekspor Sertifikat Otoritas Sertifikasi (CA) akar](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate) dalam dokumentasi Microsoft.
+ Anda dapat menggunakan prosedur berikut ini untuk mengekspor sertifikat CA root dari server sertifikasi CA root yang menjalankan Layanan Sertifikat Direktori Aktif (AD CS). Untuk informasi selengkapnya tentang menginstal AD CS, lihat [ Instal Otoritas Sertifikasi (CA)](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority) dalam dokumentasi Microsoft.
1. Masuk ke server CA root menggunakan akun administrator.
1. Dari menu **start** Windows, buka jendela prompt perintah (**Mulai** > **Sistem Windows** > **Prompt Perintah**).
1. Gunakan perintah berikut untuk mengekspor sertifikat CA root ke file baru, saat `rootca.cer` adalah nama file baru:
```
certutil -ca.cert rootca.cer
```
Untuk informasi selengkapnya tentang menjalankan certutil, lihat [ certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) dalam dokumentasi Microsoft.
1. Gunakan perintah OpenSSL berikut untuk mengonversi sertifikat CA root yang diekspor dari format DER ke format PEM, *rootca* di mana adalah nama sertifikat. Untuk informasi selengkapnya tentang OpenSSL, lihat [www.openssl.org](https://www.openssl.org/).
```
openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
```
**Untuk menambahkan sertifikat CA root Anda ke Amazon Linux 2 Anda WorkSpaces**
Untuk membantu Anda mengaktifkan kartu pintar, kami telah menambahkan `enable_smartcard` skrip ke bundel Amazon Linux DCV kami. Skrip tersebut melakukan tugas-tugas berikut:
+ Mengimpor sertifikat CA root Anda ke basis data [ Layanan Keamanan Jaringan (NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS).
+ Menginstal modul `pam_pkcs11` untuk Modul Autentikasi Pluggable (PAM).
+ Melakukan konfigurasi default, yang mencakup pengaktifan `pkinit` selama WorkSpace penyediaan.
Prosedur berikut menjelaskan cara menggunakan `enable_smartcard` skrip untuk menambahkan sertifikat CA root Anda ke Amazon Linux 2 Anda WorkSpaces dan untuk mengaktifkan kartu pintar untuk Amazon Linux 2 Anda WorkSpaces.
1. Buat Amazon Linux 2 baru WorkSpace dengan protokol DCV diaktifkan. Saat meluncurkan WorkSpace di WorkSpaces konsol Amazon, pada halaman **Pilih Bundel**, pastikan untuk memilih **DCV** untuk protokol, lalu pilih salah satu bundel publik Amazon Linux 2.
1. Pada yang baru WorkSpace, jalankan perintah berikut sebagai root, di `pem-path` mana jalur ke file sertifikat CA root dalam format PEM.
```
/usr/lib/skylight/enable_smartcard --ca-cert pem-path
```
**catatan**
Amazon Linux 2 WorkSpaces berasumsi bahwa sertifikat pada kartu pintar dikeluarkan untuk nama utama pengguna default pengguna (UPN), seperti`sAMAccountName@domain`, di mana `domain` adalah nama domain yang sepenuhnya memenuhi syarat (FQDN).
Untuk menggunakan alternatif sufiks UPN, `run /usr/lib/skylight/enable_smartcard --help` untuk informasi selengkapnya. Pemetaan alternatif untuk sufiks unik UPN untuk setiap pengguna. Oleh karena itu, pemetaan itu harus dilakukan secara individual pada setiap pengguna. WorkSpace
1. (Opsional) Secara default, semua layanan diaktifkan untuk menggunakan otentikasi kartu pintar di Amazon Linux 2 WorkSpaces. Untuk membatasi autentikasi kartu pintar hanya untuk layanan tertentu, Anda harus mengedit `/etc/pam.d/system-auth`. Batalkan komentar pada baris `auth` untuk `pam_succeed_if.so` dan edit daftar layanan sesuai kebutuhan.
Setelah baris `auth` tidak berisi komentar, untuk mengizinkan layanan untuk menggunakan autentikasi kartu pintar, Anda harus menambahkannya ke daftar. Untuk membuat layanan hanya menggunakan autentikasi kata sandi, Anda harus menghapusnya dari daftar.
1. Lakukan penyesuaian tambahan apa pun ke. WorkSpace Misalnya, Anda mungkin ingin menambahkan kebijakan seluruh sistem ke [aktifkan pengguna untuk menggunakan kartu pintar di Firefox](#smart-cards-firefox-amazon-linux). (Pengguna Chrome harus mengaktifkan kartu pintar pada klien mereka sendiri. Untuk informasi selengkapnya, lihat [Dukungan Kartu Pintar](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) di *Panduan WorkSpaces Pengguna Amazon*.)
1. [Buat WorkSpace gambar khusus dan bundel](create-custom-bundle.md) dari file WorkSpace.
1. Gunakan bundel kustom baru untuk diluncurkan WorkSpaces bagi pengguna Anda.
Anda dapat mengaktifkan pengguna Anda untuk menggunakan kartu pintar di Firefox dengan menambahkan SecurityDevices kebijakan ke WorkSpace gambar Amazon Linux 2 Anda. Untuk informasi selengkapnya tentang menambahkan kebijakan seluruh sistem ke Firefox, lihat templat [kebijakan Mozilla](https://github.com/mozilla/policy-templates/releases) di. GitHub
**Untuk mengaktifkan pengguna menggunakan kartu pintar di Firefox**
1. Pada WorkSpace yang Anda gunakan untuk membuat WorkSpace gambar Anda, buat file baru bernama `policies.json``/usr/lib64/firefox/distribution/`.
1. Dalam file JSON, tambahkan SecurityDevices kebijakan berikut, di mana nilai `NAME_OF_DEVICE` apa pun yang ingin Anda gunakan untuk mengidentifikasi `pkcs` modul. Misalnya, Anda mungkin ingin menggunakan nilai seperti `"OpenSC"`:
```
{
"policies": {
"SecurityDevices": {
"NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
}
}
}
```
**Pemecahan masalah:** Untuk pemecahan masalah, kami sarankan menambahkan utilitas. `pkcs11-tools` Utilitas ini mengizinkan Anda untuk melakukan tindakan berikut:
+ Mendaftarkan setiap kartu pintar.
+ Mendaftarkan slot pada setiap kartu pintar.
+ Mendaftarkan sertifikat pada setiap kartu pintar.
Beberapa masalah umum yang dapat menyebabkan masalah:
+ Pemetaan yang salah dari slot ke sertifikat.
+ Memiliki beberapa sertifikat pada kartu pintar yang dapat dicocokkan dengan pengguna. Sertifikat dicocokkan menggunakan kriteria berikut:
+ CA root untuk sertifikat.
+ Bidang sertifikat `` dan ``.
+ UPN dalam subjek sertifikat.
+ Memiliki beberapa sertifikat yang memiliki `msScLogin` dalam penggunaan kunci mereka.
Secara umum, yang terbaik adalah hanya memiliki satu sertifikat untuk autentikasi kartu pintar yang dipetakan ke slot pertama dalam kartu pintar.
Alat untuk mengelola sertifikat dan kunci pada kartu pintar (seperti menghapus atau memetakan ulang sertifikat dan kunci) mungkin khusus produsen. Alat tambahan yang dapat Anda gunakan untuk bekerja dengan kartu pintar adalah:
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`
**Untuk mengaktifkan debug pencatatan log**
Untuk memecahkan masalah konfigurasi `pam_pkcs11` dan `pam-krb5`, Anda dapat mengaktifkan debug pencatatan log.
1. Dalam file `/etc/pam.d/system-auth-ac`, edit tindakan `auth` dan mengubah parameter `nodebug` dari `pam_pksc11.so` menjadi `debug`.
1. Di file `/etc/pam_pkcs11/pam_pkcs11.conf`, ubah `debug = false;` ke `debug = true;`. Opsi `debug` berlaku secara terpisah untuk setiap modul pemeta, sehingga Anda mungkin perlu untuk mengubah keduanya secara langsung di bawah bagian `pam_pkcs11` dan juga di bawah bagian pemetaan yang sesuai (secara default, adalah `mapper generic`).
1. Dalam file `/etc/pam.d/system-auth-ac`, edit tindakan `auth` dan tambahkan parameter `debug` atau `debug_sensitive` menjadi `pam_krb5.so`.
Setelah Anda mengaktifkan debug pencatatan log, sistem akan mencetak pesan debug `pam_pkcs11` langsung di terminal aktif. Pesan dari `pam_krb5` telah masuk di `/var/log/secure`.
Untuk memeriksa peta sertifikat nama pengguna kartu pintar, gunakan `pklogin_finder` perintah:
```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```
Saat diminta, memasukkan PIN kartu pintar. output `pklogin_finder` pada nama pengguna `stdout` pada sertifikat kartu pintar dalam formulir `NETBIOS\username`. Nama pengguna ini harus sesuai dengan nama WorkSpace pengguna.
Dalam Layanan Domain Direktori Aktif (AD DS), nama domain NetBIOS adalah nama domain pra-Windows 2000. Biasanya (tetapi tidak selalu), nama domain NetBIOS adalah subdomain nama domain Sistem Nama Domain (DNS). Misalnya, jika nama domain DNS adalah `example.com`, nama domain NetBIOS biasanya `EXAMPLE`. Jika nama domain DNS adalah `corp.example.com`, nama domain NetBIOS biasanya `CORP`.
Misalnya, untuk pengguna `mmajor` di domain `corp.example.com`, output dari `pklogin_finder` adalah `CORP\mmajor`.
**catatan**
Jika Anda menerima pesan `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"`, pesan ini menunjukkan bahwa `pam_pkcs11` telah menemukan sertifikat pada kartu pintar yang cocok dengan kriteria nama pengguna tetapi itu tidak mengikat sertifikat CA root yang diakui oleh mesin. Ketika itu terjadi, `pam_pkcs11` mengeluarkan pesan di atas lalu mencoba sertifikat berikutnya. Hal ini memungkinkan autentikasi hanya jika menemukan sertifikat yang keduanya cocok dengan nama pengguna dan mengikat hingga sertifikat CA akar diakui.
Untuk memecahkan masalah konfigurasi `pam_krb5`, Anda dapat secara manual memanggil `kinit` dalam mode debug dengan perintah berikut:
```
KRB5_TRACE=/dev/stdout kinit -V
```
Perintah ini harus berhasil mendapatkan Kerberos Ticket Granting Ticket (TGT). Jika gagal, coba tambahkan nama utama Kerberos yang benar secara eksplisit ke perintah. Misalnya, untuk pengguna `mmajor` di domain `corp.example.com`, gunakan perintah ini:
```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```
Jika perintah ini berhasil, masalahnya kemungkinan besar dalam pemetaan dari WorkSpace nama pengguna ke nama utama Kerberos. Periksa bagian `[appdefaults]/pam/mappings` dalam file `/etc/krb5.conf`.
Jika perintah ini tidak berhasil, tetapi perintah `kinit` berbasis kata sandi berhasil, periksa konfigurasi terkait `pkinit_` dalam file `/etc/krb5.conf`. Misalnya, jika kartu pintar berisi lebih dari satu sertifikat, Anda mungkin perlu melakukan perubahan pada `pkinit_cert_match`.
# Menyediakan akses internet untuk WorkSpaces Pribadi
Anda WorkSpaces harus memiliki akses ke internet sehingga Anda dapat menginstal pembaruan ke sistem operasi dan menyebarkan aplikasi. Anda dapat menggunakan salah satu opsi berikut untuk memungkinkan Anda WorkSpaces di cloud pribadi virtual (VPC) mengakses internet.
**Opsi**
+ Luncurkan WorkSpaces subnet pribadi Anda dan konfigurasikan gateway NAT di subnet publik di VPC Anda.
+ Luncurkan WorkSpaces subnet publik Anda dan secara otomatis atau manual tetapkan alamat IP publik ke Anda. WorkSpaces
Untuk informasi selengkapnya tentang opsi ini, lihat bagian terkait di [Konfigurasikan VPC untuk Pribadi WorkSpaces](amazon-workspaces-vpc.md).
Dengan salah satu opsi ini, Anda harus memastikan bahwa grup keamanan untuk Anda WorkSpaces memungkinkan lalu lintas keluar pada port 80 (HTTP) dan 443 (HTTPS) ke semua tujuan (`0.0.0.0/0`).
**Perpustakaan ekstra Amazon Linux**
Jika Anda menggunakan repositori Amazon Linux, Amazon Linux Anda harus memiliki akses internet atau Anda WorkSpaces harus mengonfigurasi titik akhir VPC ke repositori ini dan ke repositori Amazon Linux utama. Untuk informasi selengkapnya, lihat bagian *Contoh: Mengaktifkan Akses ke Repositori AMI Amazon Linux* di [Titik akhir untuk Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html). Repositori AMI Amazon Linux adalah bucket Amazon S3 di setiap Wilayah. Jika Anda ingin instans di VPC Anda untuk mengakses repositori melalui titik akhir, buat kebijakan titik akhir yang memungkinkan akses ke bucket ini. Kebijakan berikut mengizinkan akses ke repositori Amazon Linux.
```
{
"Statement": [
{
"Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
# Grup keamanan untuk WorkSpaces Pribadi
Ketika Anda mendaftarkan direktori dengan WorkSpaces, itu menciptakan dua grup keamanan, satu untuk pengontrol direktori dan satu lagi untuk WorkSpaces di direktori. Grup keamanan untuk WorkSpaces memiliki nama yang terdiri dari pengidentifikasi direktori diikuti oleh **\$1controllers** (misalnya, d-12345678e1\$1controllers). Grup keamanan untuk WorkSpaces memiliki nama yang terdiri dari pengenal direktori diikuti oleh **\$1workspacesMembers (misalnya, D-123456FC11\$1WorkspacesMembers**).
**Awas**
**Hindari memodifikasi, menghapus, atau melepaskan **\$1controllers dan grup keamanan \$1workspacesMembers**.** Berhati-hatilah saat memodifikasi atau menghapus grup keamanan ini, karena Anda tidak akan dapat membuat ulang grup ini dan menambahkannya kembali setelah mereka dimodifikasi atau dihapus. Untuk informasi selengkapnya, lihat [Grup EC2 keamanan Amazon untuk instans Linux](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html) atau [grup EC2 keamanan Amazon untuk instans Windows](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html).
Anda dapat menambahkan grup WorkSpaces keamanan default ke direktori. Setelah Anda mengaitkan grup keamanan baru dengan WorkSpaces direktori, baru WorkSpaces yang Anda luncurkan atau WorkSpaces yang sudah ada yang Anda bangun kembali akan memiliki grup keamanan baru. Anda juga dapat [menambahkan grup keamanan default baru ini ke yang ada WorkSpaces tanpa membangunnya kembali](#security_group_existing_workspace), seperti yang dijelaskan nanti dalam topik ini.
Saat Anda mengaitkan beberapa grup keamanan dengan WorkSpaces direktori, aturan dari setiap grup keamanan digabungkan secara efektif untuk membuat satu set aturan. Kami merekomendasikan agar memadatkan aturan grup keamanan Anda sedapat mungkin.
Untuk informasi selengkapnya tentang grup keamanan, lihat [ Grup Keamanan untuk VPC Anda](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html) di *Panduan Pengguna Amazon VPC*.
**Untuk menambahkan grup keamanan ke WorkSpaces direktori**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih direktori dan pilih **Tindakan**, **Perbarui Detail**.
1. Perluas **Grup Keamanan** dan pilih grup keamanan.
1. Pilih **Perbarui dan Keluar**.
Untuk menambahkan grup keamanan ke grup yang sudah ada WorkSpace tanpa membangunnya kembali, Anda menetapkan grup keamanan baru ke elastic network interface (ENI) dari grup keamanan. WorkSpace
**Untuk menambahkan grup keamanan ke grup yang sudah ada WorkSpace**
1. Temukan alamat IP untuk masing-masing WorkSpace yang perlu diperbarui.
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Perluas masing-masing WorkSpace dan catat alamat WorkSpace IP-nya.
1. Temukan ENI untuk masing-masing WorkSpace dan perbarui tugas grup keamanannya.
1. Buka EC2 konsol Amazon di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Di **Jaringan & Keamanan**, pilih **Antarmuka Jaringan**.
1. Cari alamat IP pertama yang Anda catat di Langkah 1.
1. Pilih ENI yang terkait dengan alamat IP, pilih **Tindakan**, lalu pilih **Ubah Grup Keamanan**.
1. Pilih grup keamanan baru, lalu pilih **Simpan**.
1. Ulangi proses ini sesuai kebutuhan untuk yang lain WorkSpaces.
# Grup kontrol akses IP untuk WorkSpaces Pribadi
Amazon WorkSpaces memungkinkan Anda mengontrol alamat IP mana yang WorkSpaces dapat Anda akses. Dengan menggunakan grup kontrol berbasis alamat IP, Anda dapat menentukan dan mengelola grup alamat IP tepercaya, dan hanya mengizinkan pengguna untuk mengakses mereka WorkSpaces ketika mereka terhubung ke jaringan tepercaya.
*Grup kontrol akses IP* bertindak sebagai firewall virtual yang mengontrol alamat IP dari mana pengguna diizinkan untuk mengakses mereka WorkSpaces. Untuk menentukan rentang alamat CIDR, tambahkan aturan ke grup kontrol akses IP Anda, lalu kaitkan grup dengan direktori Anda. Anda dapat menambahkan hingga 30 aturan per grup kontrol akses IP dan dapat mengaitkan setiap grup kontrol akses IP dengan satu atau lebih direktori. Anda dapat membuat hingga 140 grup kontrol akses IP per Wilayah per AWS akun. Namun, Anda hanya dapat mengaitkan hingga 35 grup kontrol akses IP dengan satu direktori.
Sebuah grup kontrol akses IP default terkait dengan setiap direktori. Grup default ini menyertakan aturan default yang memungkinkan pengguna untuk mengakses mereka WorkSpaces dari mana saja. Anda tidak dapat mengubah grup kontrol akses IP default untuk direktori. Jika Anda tidak mengaitkan grup kontrol akses IP dengan direktori, grup default akan digunakan. Jika Anda mengaitkan grup kontrol akses IP dengan direktori, grup kontrol akses IP default akan dipisahkan.
Untuk menentukan alamat IP publik dan rentang alamat IP untuk jaringan terpercaya Anda, tambahkan aturan ke grup kontrol akses IP. Jika pengguna Anda mengaksesnya WorkSpaces melalui gateway NAT atau VPN, Anda harus membuat aturan yang memungkinkan lalu lintas dari alamat IP publik untuk gateway NAT atau VPN.
**catatan**
Grup kontrol akses IP tidak mengizinkan penggunaan alamat IP dinamis untuk NATs. Jika Anda menggunakan NAT, konfigurasikan NAT untuk menggunakan alamat IP statis, bukan alamat IP dinamis. Pastikan NAT merutekan semua lalu lintas UDP melalui alamat IP statis yang sama selama sesi berlangsung. WorkSpaces
Grup kontrol akses IP mengontrol alamat IP dari mana pengguna dapat menghubungkan sesi streaming mereka WorkSpaces. Pengguna masih dapat menjalankan fungsionalitas, seperti restart, rebuild, shutdown, dari alamat IP apa pun menggunakan Amazon public. WorkSpaces APIs
Grup kontrol akses IP tidak berlaku ketika titik akhir VPC untuk streaming dikonfigurasi untuk direktori.
Ketika Anda mengubah kontrol akses IP, sesi aktif tidak segera terganggu; perubahan akan diterapkan untuk sesi baru saja.
Anda dapat menggunakan fitur ini dengan Akses Web, klien PCo IP nol, dan aplikasi klien untuk macOS, iPad, Windows, Chromebook, dan Android.
## Buat grup kontrol akses IP
Anda dapat membuat grup kontrol akses IP sebagai berikut. Setiap grup kontrol akses IP dapat berisi hingga 30 aturan.
**Untuk membuat grup kontrol akses IP**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Kontrol Akses IP**.
1. Pilih **Buat Grup IP**.
1. Pada kotak dialog **Buat Grup IP**, masukkan nama dan deskripsi untuk grup dan pilih **Buat**.
1. Pilih grup target Anda dan pilih **Edit**.
1. Untuk setiap alamat IP, pilih **Tambahkan Aturan**. Untuk **Sumber**, masukkan alamat IP atau rentang alamat IP. Untuk **Deskripsi**, masukkan deskripsi. Jika Anda sudah selesai menambahkan aturan, pilih **Simpan**.
## Kaitkan grup kontrol akses IP dengan direktori
Anda dapat mengaitkan grup kontrol akses IP dengan direktori untuk memastikan bahwa hanya WorkSpaces diakses dari jaringan tepercaya.
Jika Anda mengaitkan grup kontrol akses IP yang tidak memiliki aturan dengan direktori, ini memblokir semua akses ke semua WorkSpaces.
**Untuk mengaitkan grup kontrol akses IP dengan direktori**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Pilih direktori dan pilih **Tindakan**, **Detail Pembaruan**.
1. Perluas **Grup Kontrol Akses IP** dan pilih satu atau beberapa grup kontrol akses IP.
1. Pilih **Perbarui dan Keluar**.
## Salin grup kontrol akses IP
Anda dapat menggunakan grup kontrol akses IP yang ada sebagai dasar untuk membuat grup kontrol akses IP baru.
**Untuk membuat grup kontrol akses IP dari yang sudah ada**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Kontrol Akses IP**.
1. Pilih grup dan pilih **Tindakan**, **Salin ke Baru**.
1. Di kotak dialog **Salin Grup IP**, masukkan nama dan deskripsi untuk grup baru dan pilih **Salin Grup**.
1. (Opsional) Untuk mengubah aturan yang disalin dari grup asli, pilih grup baru dan pilih **Edit**. Tambahkan, perbarui, atau hapus aturan sesuai kebutuhan. Pilih **Simpan**.
## Menghapus grup kontrol akses IP
Anda dapat menghapus aturan dari grup kontrol akses IP kapan saja. Jika Anda menghapus aturan yang digunakan untuk mengizinkan koneksi ke a WorkSpace, pengguna terputus dari file. WorkSpace
Sebelum Anda dapat menghapus grup kontrol akses IP, Anda harus memisahkannya dari direktori apa pun.
**Menghapus grup kontrol akses IP**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Untuk setiap direktori yang terkait dengan grup kontrol akses IP, pilih direktori yang terkait dan pilih **Tindakan**, **Detail Pembaruan**. Perluas **Grup Kontrol Akses IP**, hapus centang kotak untuk grup kontrol akses IP, dan pilih **Perbarui dan Keluar**.
1. Di panel navigasi, pilih **Kontrol Akses IP**.
1. Pilih grup dan pilih **Tindakan**, **Hapus IP Grup**.
# Mengatur klien PCo IP nol untuk WorkSpaces Pribadi
PCoKlien IP nol hanya kompatibel dengan WorkSpaces bundel yang menggunakan protokol PCo IP.
Jika perangkat klien nol Anda memiliki firmware versi 6.0.0 atau yang lebih baru, pengguna Anda dapat terhubung langsung ke perangkat tersebut WorkSpaces . Ketika pengguna Anda terhubung langsung ke mereka WorkSpaces menggunakan perangkat klien nol, kami sarankan menggunakan otentikasi multi-faktor (MFA) dengan direktori Anda. WorkSpaces Untuk informasi selengkapnya menggunakan MFA dengan direktori Anda, lihat dokumentasi berikut:
+ **AWS Managed Microsoft AD** — [ Aktifkan autentikasi multi-faktor untuk AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) di *Panduan Administrasi AWS Directory Service *
+ **AD Connector** — [ Aktifkan autentikasi multi faktor untuk AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) di *Panduan Administrasi AWS Directory Service * dan [Otentikasi multi-faktor (AD Connector) untuk Pribadi WorkSpaces](connect-mfa.md)
+ **Domain tepercaya** — [ Aktifkan autentikasi multi-faktor untuk AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) di *Panduan Administrasi AWS Directory Service *
+ **Simple AD** — Autentikasi multi-faktor tidak tersedia untuk Simple AD.
Per 13 April 2021, PCo IP Connection Manager tidak lagi didukung untuk digunakan dengan versi firmware perangkat klien nol antara 4.6.0 dan 6.0.0. [Jika firmware klien nol Anda bukan versi 6.0.0 atau yang lebih baru, Anda bisa mendapatkan firmware terbaru melalui langganan Akses Desktop di https://www.teradici.com /desktop-access.](https://www.teradici.com/desktop-access)
**penting**
Di Teradici PCo IP Administrative Web Interface (AWI) atau Teradici PCo IP Management Console (MC), pastikan Anda mengaktifkan Network Time Protocol (NTP). Untuk nama DNS host NTP, gunakan **pool.ntp.org**, dan atur port host NTP ke **123**. Jika NTP tidak diaktifkan, pengguna klien nol PCo IP Anda mungkin menerima kesalahan kegagalan sertifikat, seperti “Sertifikat yang disediakan tidak valid karena stempel waktu.”
Dimulai dengan versi 20.10.4 agen PCo IP, Amazon WorkSpaces menonaktifkan pengalihan USB secara default melalui registri Windows. Pengaturan registri ini memengaruhi perilaku periferal USB saat pengguna Anda menggunakan perangkat klien PCo IP nol untuk terhubung ke perangkat mereka WorkSpaces. Untuk informasi selengkapnya, lihat [Printer USB dan periferal USB lainnya tidak berfungsi untuk klien PCo IP nol](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).
Untuk informasi tentang pengaturan dan koneksi dengan perangkat klien PCo IP nol, lihat [PCoIP Zero Client](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html) di *Panduan WorkSpaces Pengguna Amazon*. Untuk daftar perangkat klien PCo IP nol yang disetujui, lihat Klien [PCoIP Zero di situs](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients) web Teradici.
# Mengatur Android untuk Chromebook untuk Pribadi WorkSpaces
Versi 2.4.13 adalah rilis final dari aplikasi klien Amazon WorkSpaces Chromebook. Karena [Google menghapus dukungan untuk Aplikasi Chrome secara](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html) bertahap, tidak akan ada pembaruan lebih lanjut untuk aplikasi klien WorkSpaces Chromebook, dan penggunaannya tidak didukung.
Untuk [Chromebook yang mendukung penginstalan aplikasi Android](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/), sebaiknya gunakan [aplikasi klien WorkSpaces Android](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html) sebagai gantinya.
Beberapa Chromebook yang diluncurkan sebelum 2019 harus diaktifkan untuk [menginstal aplikasi Android](https://support.google.com/chromebook/answer/7021273) sebelum pengguna dapat menginstal aplikasi klien WorkSpaces Android Amazon. Untuk informasi selengkapnya, lihat [ Sistem Chrome OS yang Mendukung Aplikasi Android](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps).
Untuk mengelola agar Chromebook pengguna Anda dapat menginstal aplikasi Android dari jarak jauh, lihat [Mengatur Android di perangkat Chrome](https://support.google.com/chrome/a/topic/9042368).
# Aktifkan dan konfigurasikan Akses WorkSpaces Web untuk WorkSpaces Pribadi
Sebagian besar WorkSpaces bundel mendukung Amazon WorkSpaces Web Access. Untuk daftar WorkSpaces yang mendukung akses browser web, lihat “ WorkSpaces Paket Amazon mana yang mendukung Akses Web?” di [Akses client, Akses Web, dan Pengalaman Pengguna](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).
**catatan**
Pada 7 November 2025, Amazon WorkSpaces PCo IP Web Access tidak lagi terbuka untuk pelanggan baru. Fitur ini hanya akan menerima pembaruan fungsional dan keamanan penting ke depan. Untuk informasi selengkapnya, lihat [Panduan WorkSpaces Pengguna Amazon](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html).
Akses Web dengan DCV untuk Windows dan Ubuntu WorkSpaces didukung di semua Wilayah di mana DCV WorkSpaces tersedia. DCV untuk Amazon Linux hanya WorkSpaces tersedia di AWS GovCloud (AS-Barat).
Kami sangat menyarankan menggunakan Akses Web dengan DCV WorkSpaces untuk kualitas streaming terbaik dan pengalaman pengguna. Berikut ini adalah batasan saat menggunakan Akses Web dengan PCo IP WorkSpaces:
Akses Web dengan PCo IP tidak didukung di Asia Pasifik (Mumbai) AWS GovCloud (US) Regions, Afrika (Cape Town), Eropa (Frankfurt), dan Israel (Tel Aviv)
Akses Web dengan PCo IP hanya didukung untuk Windows WorkSpaces, bukan dengan Amazon Linux atau Ubuntu WorkSpaces.
Akses Web tidak tersedia untuk beberapa Windows 10 WorkSpaces yang menggunakan protokol PCo IP. Jika PCo IP Anda WorkSpaces didukung oleh Windows Server 2019 atau 2022, Akses Web tidak tersedia.
Akses Web dengan PCo IP terbatas dalam fungsionalitas fitur. Ini mendukung video-out, audio-out, keyboard dan mouse. Ini tidak mendukung banyak fitur, termasuk video-in, audio-in, pengalihan clipboard, dan kamera web.
Jika Anda menggunakan macOS di VPN dan menggunakan browser web Firefox, browser web tidak akan mendukung streaming PCo IP WorkSpaces menggunakan Akses WorkSpaces Web. Hal ini disebabkan keterbatasan dalam implementasi Firefox dari protokol WebRTC.
**penting**
Mulai 1 Oktober 2020, pelanggan tidak akan lagi dapat menggunakan klien Amazon WorkSpaces Web Access untuk terhubung ke kustom Windows 7 WorkSpaces atau ke Windows 7 Bring Your Own License (BYOL) WorkSpaces.
## Langkah 1: Aktifkan Akses Web ke WorkSpaces
Anda mengontrol Akses Web ke WorkSpaces tingkat direktori Anda. Untuk setiap direktori WorkSpaces yang berisi yang ingin Anda izinkan pengguna mengakses melalui klien Akses Web, lakukan langkah-langkah berikut.
**Untuk mengaktifkan Akses Web ke WorkSpaces**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Di bawah kolom **ID Direktori**, pilih ID direktori direktori yang ingin Anda aktifkan Akses Web.
1. Pada halaman **Detail Direktori**, gulir ke bawah ke bagian **Platform lain** dan pilih **Edit**.
1. Pilih **Akses Web**.
1. Pilih **Simpan**.
**catatan**
Setelah Anda mengaktifkan Akses Web, reboot Anda WorkSpace untuk perubahan yang akan diterapkan.
## Langkah 2: Konfigurasikan akses masuk dan keluar ke port untuk Akses Web
Amazon WorkSpaces Web Access memerlukan akses masuk dan keluar untuk port tertentu. Untuk informasi selengkapnya, lihat [Port untuk Web Access](workspaces-port-requirements.md#web-access-ports).
## Langkah 3: Konfigurasikan kebijakan grup dan pengaturan kebijakan keamanan untuk mengizinkan pengguna untuk log on
Amazon WorkSpaces mengandalkan konfigurasi layar masuk tertentu untuk memungkinkan pengguna berhasil masuk dari klien Akses Web mereka.
Untuk mengaktifkan pengguna Akses Web untuk masuk ke mereka WorkSpaces, Anda harus mengkonfigurasi pengaturan Kebijakan Grup dan tiga pengaturan Kebijakan Keamanan. Jika pengaturan ini tidak dikonfigurasi dengan benar, pengguna mungkin mengalami waktu masuk yang lama atau layar hitam ketika mereka mencoba masuk ke pengaturan mereka WorkSpaces. Untuk mengonfigurasi pengaturan ini, gunakan prosedur berikut.
Anda dapat menggunakan Objek Kebijakan Grup (GPOs) untuk menerapkan pengaturan untuk mengelola Windows WorkSpaces atau pengguna yang merupakan bagian dari WorkSpaces direktori Windows Anda. Kami menyarankan Anda membuat unit organisasi untuk Objek WorkSpaces Komputer Anda dan unit organisasi untuk Objek WorkSpaces Pengguna Anda.
Untuk informasi tentang menggunakan alat administrasi Direktori Aktif untuk bekerja dengan GPOs, lihat [Menginstal Alat Administrasi Direktori Aktif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) dalam *Panduan AWS Directory Service Administrasi*.
**Untuk mengaktifkan agen WorkSpaces logon untuk beralih pengguna**
Dalam kebanyakan kasus, ketika pengguna mencoba masuk ke WorkSpace, bidang nama pengguna diisi sebelumnya dengan nama pengguna tersebut. Namun, jika administrator telah membuat koneksi RDP ke WorkSpace untuk melakukan tugas pemeliharaan, bidang nama pengguna diisi dengan nama administrator sebagai gantinya.
Untuk menghindari masalah ini, nonaktifkan pengaturan Kebijakan Grup **Sembunyikan titik masuk untuk Pengalihan Pengguna Cepat**. Saat Anda menonaktifkan pengaturan ini, agen WorkSpaces masuk dapat menggunakan tombol **Switch User** untuk mengisi bidang nama pengguna dengan nama yang benar.
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Kebijakan**, **Templat Administratif**, **Sistem**, dan **Logon**.
1. Buka pengaturan **Sembunyikan titik masuk untuk Pengalihan Pengguna Cepat**.
1. Di kotak dialog **Sembunyikan titik masuk untuk Pengalihan Pengguna Cepat**, **Dinonaktifkan**, lalu pilih **OKE**.
Secara default, daftar pengguna yang terakhir log on ditampilkan sebagai ganti tombol **Alihkan Pengguna**. Tergantung pada konfigurasi WorkSpace, daftar mungkin tidak menampilkan ubin **Pengguna Lain**. Ketika situasi ini terjadi, jika nama pengguna yang telah diisi sebelumnya tidak benar, agen WorkSpaces logon tidak dapat mengisi bidang dengan nama yang benar.
Untuk menghindari masalah ini, aktifkan pengaturan Kebijakan Keamanan **Logon interaktif: Jangan tampilkan yang terakhir masuk** atau **Logon interaktif: Jangan tampilkan nama pengguna terakhir** (tergantung versi Windows yang Anda gunakan).
**Untuk menyembunyikan nama pengguna yang terakhir log on**
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Pengaturan Windows**, **Pengaturan Keamanan**, **Kebijakan Lokal**, dan **Opsi Keamanan**.
1. Buka salah satu pengaturan berikut:
+ Untuk Windows 7 — **Logon interaktif: Jangan tampilkan yang terakhir masuk**
+ Untuk Windows 10 — **Logon interaktif: Jangan tampilkan nama pengguna terakhir**
1. Di kotak dialog **Properti** untuk pengaturan, pilih **Diaktifkan**, lalu pilih **OKE**.
**Untuk mengharuskan menekan CTRL\$1ALT\$1DEL sebelum pengguna dapat log on**
Untuk Akses WorkSpaces Web, Anda harus mengharuskan pengguna menekan CTRL\$1ALT\$1DEL sebelum mereka dapat masuk. Mengharuskan pengguna untuk menekan CTRL\$1ALT\$1DEL sebelum mereka log on memastikan bahwa pengguna menggunakan jalur tepercaya saat memasukkan kata sandi mereka.
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Pengaturan Windows**, **Pengaturan Keamanan**, **Kebijakan Lokal**, dan **Opsi Keamanan**.
1. Buka pengaturan **Logon interaktif: Tidak memerlukan pengaturan CTRL\$1ALT\$1DEL**.
1. Pada tab **Pengaturan Keamanan Lokal**, pilih **Dnonaktifkan**, lalu pilih **OKE**.
**Untuk menampilkan domain dan informasi pengguna saat sesi terkunci**
Agen WorkSpaces logon mencari nama dan domain pengguna. Setelah pengaturan ini dikonfigurasi, layar kunci akan menampilkan nama lengkap pengguna (jika ditentukan dalam Direktori Aktif), nama domain mereka, dan nama pengguna mereka.
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Pengaturan Windows**, **Pengaturan Keamanan**, **Kebijakan Lokal**, dan **Opsi Keamanan**.
1. Buka pengaturan **Logon interaktif: Tampilkan informasi pengguna saat sesi terkunci**.
1. Pada tab **Pengaturan Keamanan Lokal**, pilih **Nama tampilan pengguna, domain dan nama pengguna**, lalu pilih **OKE**.
**Untuk menerapkan perubahan pengaturan Kebijakan Grup dan Kebijakan Keamanan**
Perubahan pengaturan Kebijakan Grup dan Kebijakan Keamanan berlaku setelah pembaruan Kebijakan Grup berikutnya untuk WorkSpace dan setelah WorkSpace sesi dimulai ulang. Untuk menerapkan perubahan Kebijakan Grup dan Kebijakan Keamanan dalam prosedur sebelumnya, lakukan salah satu hal berikut:
+ Reboot WorkSpace (di WorkSpaces konsol Amazon, pilih WorkSpace, lalu pilih **Tindakan**, **Reboot WorkSpaces**).
+ Dari prompt perintah administratif, masukkan **gpupdate /force**.
# Konfigurasikan Klien WorkSpaces Tipis
Sebagian besar WorkSpaces bundel mendukung Amazon WorkSpaces Thin Client Access. Untuk daftar WorkSpaces yang mendukung akses browser web, lihat “ WorkSpaces Paket Amazon mana yang mendukung Akses Klien Tipis?” di [Akses client, Akses Web, dan Pengalaman Pengguna](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).
## Langkah 1: Aktifkan Kontrol Akses ke Amazon WorkSpaces Thin Client Anda
Anda mengontrol Akses Klien Tipis ke tingkat direktori Anda WorkSpaces dengan kontrol akses berbasis agen pengguna. Untuk setiap direktori yang berisi WorkSpaces bahwa Anda ingin mengizinkan pengguna untuk mengakses melalui klien Akses Klien Tipis, lakukan langkah-langkah berikut.
**Untuk mengaktifkan Akses Klien Tipis ke WorkSpaces**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Di bawah kolom **ID Direktori**, pilih ID direktori direktori yang ingin Anda aktifkan Akses Klien Tipis.
1. Pada halaman **Detail Direktori**, gulir ke bawah ke bagian **Platform lain** dan pilih **Edit**.
1. Pilih **Klien WorkSpaces Tipis**.
1. Pilih **Simpan**.
## Langkah 2: Konfigurasikan akses masuk dan keluar ke port untuk Akses Klien Tipis
Amazon WorkSpaces Thin Client Access memerlukan akses masuk dan keluar untuk port tertentu. Untuk informasi selengkapnya, lihat [Port untuk Web Access](workspaces-port-requirements.md#web-access-ports).
## Langkah 3: Konfigurasikan kebijakan grup dan pengaturan kebijakan keamanan untuk mengizinkan pengguna untuk log on
Amazon WorkSpaces mengandalkan konfigurasi layar masuk tertentu untuk memungkinkan pengguna berhasil masuk dari klien Akses Klien Tipis mereka.
1. Untuk mengaktifkan pengguna Akses Klien Tipis untuk masuk ke mereka WorkSpaces, Anda harus mengonfigurasi pengaturan Kebijakan Grup dan tiga pengaturan Kebijakan Keamanan. Jika pengaturan ini tidak dikonfigurasi dengan benar, pengguna mungkin mengalami waktu masuk yang lama atau layar hitam ketika mereka mencoba masuk ke pengaturan mereka WorkSpaces. Untuk mengonfigurasi pengaturan ini, gunakan prosedur berikut.
1. Anda dapat menggunakan Objek Kebijakan Grup (GPOs) untuk menerapkan pengaturan untuk mengelola Windows WorkSpaces atau pengguna yang merupakan bagian dari WorkSpaces direktori Windows Anda. Kami menyarankan Anda membuat unit organisasi untuk Objek WorkSpaces Komputer Anda dan unit organisasi untuk Objek WorkSpaces Pengguna Anda.
1. Untuk informasi tentang menggunakan alat administrasi Direktori Aktif untuk bekerja dengan GPOs, lihat [Menginstal Alat Administrasi Direktori Aktif](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) dalam *Panduan AWS Directory Service Administrasi*.
1. Dalam kebanyakan kasus, ketika pengguna mencoba masuk ke WorkSpace, bidang nama pengguna diisi sebelumnya dengan nama pengguna tersebut. Namun, jika administrator telah membuat koneksi RDP ke WorkSpace untuk melakukan tugas pemeliharaan, bidang nama pengguna diisi dengan nama administrator sebagai gantinya.
1. Untuk menghindari masalah ini, nonaktifkan pengaturan Kebijakan Grup **Sembunyikan titik masuk untuk Pengalihan Pengguna Cepat**. Saat Anda menonaktifkan pengaturan ini, agen WorkSpaces masuk dapat menggunakan tombol **Switch User** untuk mengisi bidang nama pengguna dengan nama yang benar.
**Untuk mengaktifkan agen WorkSpaces logon untuk beralih pengguna**
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Kebijakan**, **Templat Administratif**, **Sistem**, dan **Logon**.
1. Buka pengaturan **Sembunyikan titik masuk untuk Pengalihan Pengguna Cepat**.
1. Di kotak dialog **Sembunyikan titik masuk untuk Pengalihan Pengguna Cepat**, **Dinonaktifkan**, lalu pilih **OKE**.
Secara default, daftar pengguna yang terakhir log on ditampilkan sebagai ganti tombol **Alihkan Pengguna**. Tergantung pada konfigurasi WorkSpace, daftar mungkin tidak menampilkan ubin **Pengguna Lain**. Ketika situasi ini terjadi, jika nama pengguna yang telah diisi sebelumnya tidak benar, agen WorkSpaces logon tidak dapat mengisi bidang dengan nama yang benar.
Untuk menghindari masalah ini, aktifkan pengaturan Kebijakan Keamanan **Logon interaktif: Jangan tampilkan yang terakhir masuk** atau **Logon interaktif: Jangan tampilkan nama pengguna terakhir** (tergantung versi Windows yang Anda gunakan).
**Untuk menyembunyikan nama pengguna yang terakhir log on**
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Pengaturan Windows**, **Pengaturan Keamanan**, **Kebijakan Lokal**, dan **Opsi Keamanan**.
1. Buka salah satu pengaturan berikut:
+ Untuk Windows 7 — **Logon interaktif: Jangan tampilkan yang terakhir masuk**
+ Untuk Windows 10 — **Logon interaktif: Jangan tampilkan nama pengguna terakhir**
1. Di kotak dialog **Properti** untuk pengaturan, pilih **Diaktifkan**, lalu pilih **OKE**.
Untuk Akses Klien WorkSpaces Tipis, Anda harus mengharuskan pengguna menekan CTRL\$1ALT\$1DEL sebelum mereka dapat masuk. Mengharuskan pengguna untuk menekan CTRL\$1ALT\$1DEL sebelum mereka log on memastikan bahwa pengguna menggunakan jalur tepercaya saat memasukkan kata sandi mereka.
**Untuk mengharuskan menekan CTRL\$1ALT\$1DEL sebelum pengguna dapat log on**
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Pengaturan Windows**, **Pengaturan Keamanan**, **Kebijakan Lokal**, dan **Opsi Keamanan**.
1. Buka pengaturan **Logon interaktif: Tidak memerlukan pengaturan CTRL\$1ALT\$1DEL**.
1. Pada tab **Pengaturan Keamanan Lokal**, pilih **Dnonaktifkan**, lalu pilih **OKE**.
Agen WorkSpaces logon mencari nama dan domain pengguna. Setelah pengaturan ini dikonfigurasi, layar kunci akan menampilkan nama lengkap pengguna (jika ditentukan dalam Direktori Aktif), nama domain mereka, dan nama pengguna mereka.
**Untuk menampilkan domain dan informasi pengguna saat sesi terkunci**
1. Buka alat Manajemen Kebijakan Grup (**gpmc.msc**) dan navigasikan ke dan pilih GPO di tingkat pengontrol domain atau domain direktori yang Anda gunakan untuk Anda WorkSpaces. (Jika Anda memiliki [template administratif Kebijakan WorkSpaces Grup](group_policy.md#gp_install_template) yang diinstal di domain Anda, Anda dapat menggunakan WorkSpaces GPO untuk akun WorkSpaces mesin Anda.)
1. Di menu utama, pilih **Tindakan**, pilih **Edit**.
1. Di Editor Manajemen Kebijakan Grup, pilih **Konfigurasi Komputer**, **Pengaturan Windows**, **Pengaturan Keamanan**, **Kebijakan Lokal**, dan **Opsi Keamanan**.
1. Buka pengaturan **Logon interaktif: Tampilkan informasi pengguna saat sesi terkunci**.
1. Pada tab **Pengaturan Keamanan Lokal**, pilih **Nama tampilan pengguna, domain dan nama pengguna**, lalu pilih **OKE**.
Perubahan pengaturan Kebijakan Grup dan Kebijakan Keamanan berlaku setelah pembaruan Kebijakan Grup berikutnya untuk WorkSpace dan setelah WorkSpace sesi dimulai ulang. Untuk menerapkan perubahan Kebijakan Grup dan Kebijakan Keamanan dalam prosedur sebelumnya, lakukan salah satu hal berikut:
**Untuk menerapkan perubahan pengaturan Kebijakan Grup dan Kebijakan Keamanan**
1. Reboot WorkSpace (di WorkSpaces konsol Amazon, pilih WorkSpace, lalu pilih **Tindakan**, **Reboot WorkSpaces**).
1. Dari prompt perintah administratif, masukkan **gpupdate /force**.
# Konfigurasikan otorisasi FedRAMP atau kepatuhan DoD SRG untuk Pribadi WorkSpaces
Untuk mematuhi [Federal Risk and Authorization Management Program (FedRAMP) atau Department of Defense](https://aws.amazon.com/compliance/fedramp/) [(DoD) Cloud Computing Security Requirements Guide (SRG](https://aws.amazon.com/compliance/dod/)), Anda harus mengonfigurasi WorkSpaces Amazon untuk menggunakan enkripsi endpoint Standar Pemrosesan Informasi Federal (FIPS) di tingkat direktori. Anda juga harus menggunakan AWS Wilayah AS yang memiliki otorisasi FedRAMP atau sesuai dengan DoD SRG.
Tingkat otorisasi FedRAMP (Sedang atau Tinggi) atau Tingkat Dampak DoD SRG (2, 4, atau 5) tergantung pada AWS Wilayah AS tempat Amazon digunakan. WorkSpaces
Untuk tingkat otorisasi FedRAMP dan kepatuhan DoD SRG yang berlaku untuk setiap Wilayah, lihat [Layanan AWS dalam Cakupan oleh Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
**catatan**
Selain menggunakan enkripsi endpoint FIPS, Anda juga dapat mengenkripsi file Anda. WorkSpaces Untuk informasi selengkapnya, lihat [Dienkripsi dalam Pribadi WorkSpaces WorkSpaces](encrypt-workspaces.md).
**Persyaratan**
+ Anda harus membuat Anda WorkSpaces di [AWS Wilayah AS yang memiliki otorisasi FedRAMP atau](https://aws.amazon.com/compliance/services-in-scope/) sesuai dengan DoD SRG.
+ WorkSpaces Direktori harus dikonfigurasi untuk menggunakan **FIPS 140-2 Validated Mode** untuk enkripsi endpoint.
**catatan**
Untuk menggunakan pengaturan **Mode Tervalidasi FIPS 140-2**, WorkSpaces direktori harus baru, atau semua yang ada WorkSpaces di direktori harus menggunakan Mode Tervalidasi **FIPS 140-2** untuk enkripsi titik akhir. Jika tidak, Anda tidak dapat menggunakan pengaturan ini, dan oleh karena itu WorkSpaces yang Anda buat tidak akan mematuhi persyaratan keamanan FedRAMP atau DoD.
Lihat [langkah 3](#step3-fips) di bawah ini untuk detail tentang cara memverifikasi direktori.
+ Pengguna harus mengaksesnya WorkSpaces dari salah satu aplikasi WorkSpaces klien berikut:
+ Windows: 2.4.3 atau lebih baru
+ macOS: 2.4.3 atau versi lebih baru untuk PCo IP WorkSpaces, dan 5.21.0 atau versi lebih baru untuk DCV WorkSpaces
+ Linux: 3.0.0 atau lebih baru
+ iOS: 2.4.1 atau lebih baru
+ Android: 2.4.1 atau lebih baru
+ Tablet Kebakaran: 2.4.1 atau yang lebih baru
+ ChromeOS: 2.4.1 atau lebih baru
+ Akses Web
**Untuk menggunakan enkripsi titik akhir FIPS**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **Direktori**.
1. Verifikasi bahwa direktori tempat Anda ingin membuat FedRAMP-Authorized dan DoD WorkSpaces SRG-compliant tidak memiliki apa pun yang terkait dengannya. WorkSpaces Jika ada yang WorkSpaces terkait dengan direktori dan direktori belum diaktifkan untuk menggunakan FIPS 140-2 Validated Mode, baik mengakhiri WorkSpaces atau membuat direktori baru.
1. Pilih direktori yang memenuhi kriteria di atas, lalu pilih **Tindakan**, **Perbarui Detail**.
1. Pada halaman **Perbarui Detail Direktori**, pilih panah untuk memperluas bagian **Opsi Kontrol Akses**.
1. Untuk **Enkripsi Titik Akhir**, pilih **Mode Validasi FIPS 140-2** alih-alih **Mode Enkripsi TLS (Standar)**.
1. Pilih **Perbarui dan keluar**.
1. Anda sekarang dapat membuat WorkSpaces dari direktori ini yang FedRAMP resmi dan DoD SRG compliant. Untuk mengakses ini WorkSpaces, pengguna harus menggunakan salah satu aplikasi WorkSpaces klien yang tercantum sebelumnya di bagian [Persyaratan](#fedramp-requirements).
# Aktifkan koneksi SSH untuk Linux Anda WorkSpaces di WorkSpaces Personal
Jika Anda atau pengguna Anda ingin terhubung ke Linux Anda WorkSpaces dengan menggunakan baris perintah, Anda dapat mengaktifkan koneksi SSH. Anda dapat mengaktifkan koneksi SSH ke semua WorkSpaces dalam direktori atau ke individu WorkSpaces dalam direktori.
Untuk mengaktifkan hubungan SSH, Anda membuat grup keamanan baru atau memperbarui grup keamanan yang ada dan menambahkan aturan untuk mengizinkan lalu lintas masuk untuk tujuan ini. Grup keamanan bertindak sebagai firewall untuk instans-instans yang dikaitkan, mengontrol lalu lintas ke dalam dan ke luar pada tingkat instans. Setelah Anda membuat atau memperbarui grup keamanan Anda, pengguna Anda dan orang lain dapat menggunakan PuTTY atau terminal lain untuk terhubung dari perangkat mereka ke Linux Anda. WorkSpaces Untuk informasi selengkapnya, lihat [Grup keamanan untuk WorkSpaces Pribadi](amazon-workspaces-security-groups.md).
Untuk tutorial video, lihat [Bagaimana saya bisa terhubung ke Amazon Linux saya WorkSpaces menggunakan SSH?](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/) di pusat AWS pengetahuan. Tutorial ini WorkSpaces hanya untuk Amazon Linux 2.
**Topics**
+ [Prasyarat untuk koneksi SSH ke Linux WorkSpaces](#before-you-begin-enable-ssh-linux-workspaces)
+ [Aktifkan koneksi SSH ke semua Linux WorkSpaces dalam sebuah direktori](#enable-ssh-directory-level-access-linux-workspaces)
+ [Otentikasi berbasis kata sandi di WorkSpaces](#enable-ssh-access-old-version)
+ [Aktifkan koneksi SSH ke Linux tertentu WorkSpace](#enable-ssh-access-specific-linux-workspace)
+ [Connect ke Linux WorkSpace menggunakan Linux atau Putty](#ssh-connection-linux-workspace-using-linux-or-putty)
## Prasyarat untuk koneksi SSH ke Linux WorkSpaces
+ Mengaktifkan lalu lintas SSH masuk ke WorkSpace - Untuk menambahkan aturan untuk mengizinkan lalu lintas SSH masuk ke satu atau lebih Linux WorkSpaces, pastikan bahwa Anda memiliki alamat IP publik atau pribadi dari perangkat yang memerlukan koneksi SSH ke Anda. WorkSpaces Misalnya, Anda dapat menentukan alamat IP publik perangkat di luar virtual private cloud (VPC) atau alamat IP pribadi dari instans EC2 lain di VPC yang sama dengan VPC Anda. WorkSpace
Jika Anda berencana untuk terhubung ke WorkSpace dari perangkat lokal Anda, Anda dapat menggunakan frasa pencarian “apa alamat IP saya” di browser internet atau menggunakan layanan berikut: [Periksa IP](https://checkip.amazonaws.com/).
+ Menghubungkan ke WorkSpace - Informasi berikut diperlukan untuk memulai koneksi SSH dari perangkat ke Linux. WorkSpace
+ Nama NetBIOS domain direktori aktif yang Anda hubungkan.
+ Nama WorkSpace pengguna Anda.
+ Alamat IP publik atau pribadi WorkSpace yang ingin Anda sambungkan.
Pribadi: Jika VPC Anda dilampirkan ke jaringan perusahaan dan Anda memiliki akses ke jaringan itu, Anda dapat menentukan alamat IP pribadi dari. WorkSpace
Publik: Jika Anda WorkSpace memiliki alamat IP publik, Anda dapat menggunakan WorkSpaces konsol untuk menemukan alamat IP publik, seperti yang dijelaskan dalam prosedur berikut.
**Untuk menemukan alamat IP untuk Linux yang ingin WorkSpace Anda sambungkan dan nama pengguna Anda**
1. Buka WorkSpaces konsol di [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).
1. Di panel navigasi, pilih **WorkSpaces**.
1. Dalam daftar WorkSpaces, pilih WorkSpace yang ingin Anda aktifkan koneksi SSH.
1. Di kolom **Running mode**, konfirmasikan bahwa WorkSpace statusnya **Tersedia**.
1. Klik panah di sebelah kiri WorkSpace nama untuk menampilkan ringkasan sebaris, dan perhatikan informasi berikut:
+ **WorkSpace IP**. Ini adalah alamat IP pribadi dari WorkSpace.
Alamat IP pribadi diperlukan untuk mendapatkan elastic network interface yang terkait dengan file WorkSpace. Antarmuka jaringan diperlukan untuk mengambil informasi seperti grup keamanan atau alamat IP publik yang terkait dengan. WorkSpace
+ Nama WorkSpace **pengguna**. Ini adalah nama pengguna yang Anda tentukan untuk terhubung ke file WorkSpace.
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Antarmuka Jaringan**.
1. Di kotak pencarian, ketik **WorkSpace IP** yang Anda catat di Langkah 5.
1. Pilih antarmuka jaringan yang terkait dengan **WorkSpaceIP**.
1. Jika Anda WorkSpace memiliki alamat IP publik, itu ditampilkan di kolom **IP IPv4 Publik**. Catat alamat ini, jika ada.
**Untuk menemukan nama NetBIOS dari domain Direktori Aktif yang terhubung dengan Anda**
1. Buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Dalam daftar direktori, klik tautan **ID Direktori** direktori untuk direktori. WorkSpace
1. Di bagian **Detail direktori**, perhatikan **Nama NetBIOS Direktori**.
## Aktifkan koneksi SSH ke semua Linux WorkSpaces dalam sebuah direktori
Untuk mengaktifkan koneksi SSH ke semua Linux WorkSpaces dalam direktori, lakukan hal berikut.
**Untuk membuat grup keamanan dengan aturan untuk mengizinkan lalu lintas SSH masuk ke semua Linux WorkSpaces dalam direktori**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Di panel navigasi, pilih **Security Groups** (Grup Keamanan).
1. Pilih **Buat Grup Keamanan**.
1. Ketik nama dan secara opsional, deskripsi untuk grup keamanan Anda.
1. Untuk **VPC**, pilih VPC yang berisi koneksi SSH WorkSpaces yang ingin Anda aktifkan.
1. Pada tab **Masuk**, pilih **Tambahkan Aturan**, dan lakukan hal berikut:
+ Untuk **Tipe**, pilih **SSH**.
+ Untuk **Protokol**, TCP secara otomatis ditentukan ketika Anda memilih **SSH**.
+ Untuk **Baris Port**, 22 secara otomatis ditentukan saat Anda memilih **SSH**.
+ Untuk **Sumber**, tentukan rentang CIDR dari alamat IP publik untuk komputer yang akan digunakan pengguna untuk terhubung ke komputer mereka WorkSpaces. Misalnya, jaringan perusahaan atau jaringan rumah.
+ (Opsional) Untuk **Deskripsi peran**, ketik deskripsi untuk aturan.
1. Pilih **Buat**.
1. Lampirkan grup keamanan ini ke grup Anda WorkSpaces. Untuk informasi selengkapnya tentang menambahkan grup keamanan ini ke grup Anda WorkSpaces, lihat[Grup keamanan untuk WorkSpaces Pribadi](amazon-workspaces-security-groups.md). Jika Anda ingin secara otomatis melampirkan grup keamanan tambahan ke Anda WorkSpaces, lihat [posting blog](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/) ini.
## Otentikasi berbasis kata sandi di WorkSpaces
**Untuk mengaktifkan otentikasi kata sandi di Linux yang baru dibuat WorkSpaces**
1. Luncurkan WorkSpaces klien dan login ke Anda WorkSpace.
1. Buka jendela Terminal.
1. Di jendela Terminal, jalankan perintah berikut untuk mengaktifkan SSH Password Authentication di cloud-init.
```
sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
```
Script ini akan melakukan hal berikut:
+ Buat file konfigurasi di direktori cloud-init. `/etc/cloud/cloud.cfg.d/`
+ Ubah file konfigurasi untuk memberi tahu cloud-init untuk mengaktifkan otentikasi kata sandi SSH.
+ Setel ulang modul `set-passwords` cloud-init sehingga dapat dijalankan kembali.
+ Jalankan modul `set-passwords` cloud-init dengan sendirinya. Ini akan menulis file yang memungkinkan otentikasi kata sandi SSH ke direktori konfigurasi SSH`/etc/ssh/sshd_config.d/`, dan restart SSHD sehingga pengaturan akan segera dilakukan.
Ini memungkinkan otentikasi kata sandi SSH pada Anda WorkSpace dan akan bertahan melalui gambar khusus. Jika Anda mengaktifkan otentikasi kata sandi SSH hanya di file konfigurasi SSHD, tanpa mengonfigurasi cloud-init, pengaturan tidak akan bertahan melalui pencitraan di beberapa Linux. WorkSpaces Untuk informasi selengkapnya, lihat [Menyetel Kata Sandi]() dalam dokumentasi modul cloud-init.
**Untuk menonaktifkan otentikasi kata sandi di Linux yang ada WorkSpaces**
1. Luncurkan WorkSpaces klien dan login ke Anda WorkSpace.
1. Buka jendela Terminal.
1. Di jendela Terminal, jalankan perintah berikut untuk menonaktifkan SSH Password Authentication di cloud-init.
```
sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
```
Script ini akan melakukan hal berikut:
+ Buat file konfigurasi di direktori cloud-init. `/etc/cloud/cloud.cfg.d/`
+ Ubah file konfigurasi untuk memberi tahu cloud-init agar menonaktifkan otentikasi kata sandi SSH.
+ Setel ulang modul `set-passwords` cloud-init sehingga dapat dijalankan kembali.
+ Jalankan modul `set-passwords` cloud-init dengan sendirinya. Ini akan menulis file yang memungkinkan otentikasi kata sandi SSH ke direktori konfigurasi SSH`/etc/ssh/sshd_config.d/`, dan restart SSHD sehingga pengaturan akan segera dilakukan.
Ini segera menonaktifkan SSH di WorkSpace dan akan bertahan melalui gambar khusus.
## Aktifkan koneksi SSH ke Linux tertentu WorkSpace
Untuk mengaktifkan koneksi SSH ke Linux tertentu WorkSpace, lakukan hal berikut.
**Untuk menambahkan aturan ke grup keamanan yang ada untuk mengizinkan lalu lintas SSH masuk ke Linux tertentu WorkSpace**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pada panel navigasi, di bawah **Jaringan & Keamanan**, pilih **Antarmuka Jaringan**.
1. Di bilah pencarian, ketik alamat IP pribadi WorkSpace yang ingin Anda aktifkan koneksi SSH.
1. Di kolom **Grup keamanan**, klik tautan untuk grup keamanan.
1. Pada tab **Masuk**, pilih **Edit**.
1. Pilih **Tambahkan aturan** dan lakukan hal berikut:
+ Untuk **Tipe**, pilih **SSH**.
+ Untuk **Protokol**, TCP secara otomatis ditentukan ketika Anda memilih **SSH**.
+ Untuk **Baris Port**, 22 secara otomatis ditentukan saat Anda memilih **SSH**.
+ Untuk **Sumber**, pilih **IP Saya** atau **Kustom**, dan tentukan satu alamat IP atau rentang alamat IP dalam notasi CIDR. Misalnya, jika IPv4 alamat Anda`203.0.113.25`, tentukan `203.0.113.25/32` untuk mencantumkan IPv4 alamat tunggal ini dalam notasi CIDR. Jika perusahaan Anda mengalokasikan alamat-alamat dari rentang alamat, maka masukkan rentang alamat tersebut secara keseluruhan, seperti `203.0.113.0/24`.
+ (Opsional) Untuk **Deskripsi peran**, ketik deskripsi untuk aturan.
1. Pilih **Simpan**.
## Connect ke Linux WorkSpace menggunakan Linux atau Putty
Setelah Anda membuat atau memperbarui grup keamanan Anda dan menambahkan aturan yang diperlukan, pengguna Anda dan orang lain dapat menggunakan Linux atau PuTTY untuk terhubung dari perangkat mereka ke perangkat Anda. WorkSpaces
**catatan**
Sebelum menyelesaikan salah satu dari prosedur berikut, pastikan Anda memiliki yang berikut ini:
Nama NetBIOS domain direktori aktif yang Anda hubungkan.
Nama pengguna yang Anda gunakan untuk terhubung ke file WorkSpace.
Alamat IP publik atau pribadi WorkSpace yang ingin Anda sambungkan.
Untuk petunjuk tentang cara mendapatkan informasi ini, lihat “Prasyarat untuk Koneksi SSH ke Linux WorkSpaces" sebelumnya dalam topik ini.
**Untuk terhubung ke Linux WorkSpace menggunakan Linux**
1. Buka command prompt sebagai administrator dan masukkan perintah berikut. Untuk*NetBIOS name*,*Username*, dan*WorkSpace IP*, masukkan nilai yang berlaku.
```
ssh "NetBIOS_NAME\Username"@WorkSpaceIP
```
Berikut ini adalah contoh perintah SSH di mana:
+ *NetBIOS\$1NAME*Itu adalah perusahaan mana pun
+ *Username *Itu adalah janedoe
+ *WorkSpace IP*Itu adalah 203.0.113.25
```
ssh "anycompany\janedoe"@203.0.113.25
```
1. Saat diminta, masukkan kata sandi yang sama yang Anda gunakan saat mengautentikasi dengan WorkSpaces klien (kata sandi Direktori Aktif Anda).
**Untuk terhubung ke Linux WorkSpace menggunakan Putty**
1. Buka PuTTY.
1. Di kotak dialog **Konfigurasi PuTTY**, lakukan hal berikut:
+ Untuk **Nama Host (atau alamat IP)**, masukkan perintah berikut. Ganti nilai dengan nama NetBIOS dari domain Active Directory yang terhubung dengan Anda, nama pengguna yang Anda gunakan untuk terhubung ke WorkSpace, dan alamat IP WorkSpace yang ingin Anda sambungkan.
```
NetBIOS_NAME\Username@WorkSpaceIP
```
+ Untuk **Port**, masukkan **22**.
+ Untuk **Tipe hubungan **Pilih **SSH**.
Untuk contoh perintah SSH, lihat langkah 1 pada prosedur sebelumnya.
1. Pilih **Buka** .
1. Saat diminta, masukkan kata sandi yang sama yang Anda gunakan saat mengautentikasi dengan WorkSpaces klien (kata sandi Direktori Aktif Anda).
# Komponen konfigurasi dan layanan yang diperlukan untuk WorkSpaces Pribadi
Sebagai WorkSpace administrator, Anda harus memahami hal berikut tentang konfigurasi dan komponen layanan yang diperlukan.
+ [Konfigurasi tabel perutean yang diperlukan](#routing-table-configuration)
+ [Komponen layanan yang diperlukan untuk Windows](#required-service-components-windows)
+ [Komponen layanan yang diperlukan untuk Linux](#required-service-components-linux)
+ [Komponen layanan yang diperlukan untuk Ubuntu](#required-service-components-ubuntu)
+ [Komponen layanan yang diperlukan untuk Rocky Linux](#required-service-components-rocky)
+ [Komponen layanan yang diperlukan untuk Red Hat Enterprise Linux](#required-service-components-red-hat)
## Konfigurasi tabel perutean yang diperlukan
Kami menyarankan Anda untuk tidak memodifikasi tabel routing tingkat sistem operasi untuk file. WorkSpace WorkSpaces Layanan ini memerlukan rute yang telah dikonfigurasi sebelumnya dalam tabel ini untuk memantau status sistem dan memperbarui komponen sistem. Jika perubahan tabel perutean diperlukan untuk organisasi Anda, hubungi AWS Support atau tim AWS akun Anda sebelum menerapkan perubahan apa pun.
## Komponen layanan yang diperlukan untuk Windows
Pada Windows WorkSpaces, komponen layanan diinstal di lokasi berikut. Jangan menghapus, mengubah, memblokir, atau mengkarantina objek ini. Jika Anda melakukannya, tidak WorkSpace akan berfungsi dengan benar.
Jika perangkat lunak antivirus diinstal pada WorkSpace, pastikan tidak mengganggu komponen layanan yang diinstal di lokasi berikut.
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`
Jika perangkat lunak antivirus diinstal pada WorkSpaces Core, pastikan tidak mengganggu komponen layanan yang diinstal di lokasi berikut.
+ C:\$1Program File\$1 Amazon
+ C:\$1ProgramData\$1 Amazon
### Agen PCo IP 32-bit
Mulai 29 Maret 2021, kami memperbarui agen PCo IP dari 32-bit ke 64-bit. Untuk Windows WorkSpaces yang menggunakan protokol PCo IP, ini berarti bahwa lokasi file Teradici berubah dari ke. `C:\Program Files (x86)\Teradici` `C:\Program Files\Teradici` Karena kami memperbarui agen PCo IP selama jendela pemeliharaan rutin, beberapa dari Anda WorkSpaces mungkin telah menggunakan agen 32-bit lebih lama daripada yang lain selama transisi.
Jika Anda telah mengonfigurasi aturan firewall, pengecualian perangkat lunak antivirus (di sisi klien dan sisi host), pengaturan Objek Kebijakan Grup (GPO), atau pengaturan untuk Manajer Konfigurasi Pusat Sistem Microsoft (SCCM), Manajer Konfigurasi Titik Akhir Microsoft, atau manajemen konfigurasi serupa alat berdasarkan path lengkap ke agen 32-bit, Anda juga harus menambahkan jalur lengkap ke agen 64-bit ke pengaturan tersebut.
**Jika Anda memfilter jalur ke komponen PCo IP 32-bit apa pun, pastikan untuk menambahkan jalur ke versi komponen 64-bit. Karena Anda WorkSpaces mungkin tidak semua diperbarui pada saat yang sama, jangan ganti jalur 32-bit dengan jalur 64-bit, atau beberapa jalur Anda WorkSpaces mungkin tidak berfungsi.** Misalnya, jika Anda mendasarkan pengecualian atau filter komunikasi Anda pada `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe`, Anda juga harus menambahkan `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe`. Demikian juga, jika Anda mendasarkan pengecualian atau filter komunikasi Anda `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe`, Anda juga harus menambahkan `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe`.
**PCoPerubahan layanan arbiter IP** - Ketahuilah bahwa layanan arbiter PCo IP (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`) dihapus saat Anda WorkSpaces diperbarui untuk menggunakan agen 64-bit.
**PCoKlien IP nol dan perangkat USB** - Dimulai dengan versi 20.10.4 agen PCo IP, Amazon WorkSpaces menonaktifkan pengalihan USB secara default melalui registri Windows. Pengaturan registri ini memengaruhi perilaku periferal USB saat pengguna Anda menggunakan perangkat klien PCo IP nol untuk terhubung ke perangkat mereka WorkSpaces. Untuk informasi selengkapnya, lihat [Printer USB dan periferal USB lainnya tidak berfungsi untuk klien PCo IP nol](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).
## Komponen layanan yang diperlukan untuk Linux
Di Amazon Linux WorkSpaces, komponen layanan diinstal di lokasi berikut. Jangan menghapus, mengubah, memblokir, atau mengkarantina objek ini. Jika Anda melakukannya, tidak WorkSpace akan berfungsi dengan benar.
**catatan**
Membuat perubahan pada file selain `/etc/pcoip-agent/pcoip-agent.conf` dapat menyebabkan Anda WorkSpaces berhenti bekerja dan mungkin mengharuskan Anda untuk membangunnya kembali. Untuk informasi tentang memodifikasi `/etc/pcoip-agent/pcoip-agent.conf`, lihat [Kelola Amazon Linux 2 Anda WorkSpaces secara WorkSpaces Pribadi](manage_linux_workspace.md).
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent`
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics`
## Komponen layanan yang diperlukan untuk Ubuntu
Di Ubuntu WorkSpaces, komponen layanan diinstal di lokasi berikut. Jangan menghapus, mengubah, memblokir, atau mengkarantina objek ini. Jika Anda melakukannya, tidak WorkSpace akan berfungsi dengan benar.
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics`
## Komponen layanan yang diperlukan untuk Rocky Linux
Pada Red Hat Enterprise Linux WorkSpaces, komponen layanan diinstal di lokasi berikut. Jangan menghapus, mengubah, memblokir, atau mengkarantina objek ini. Jika Anda melakukannya, tidak WorkSpace akan berfungsi dengan benar.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`
## Komponen layanan yang diperlukan untuk Red Hat Enterprise Linux
Pada Red Hat Enterprise Linux WorkSpaces, komponen layanan diinstal di lokasi berikut. Jangan menghapus, mengubah, memblokir, atau mengkarantina objek ini. Jika Anda melakukannya, tidak WorkSpace akan berfungsi dengan benar.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`