Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Rete per Amazon WorkSpaces Secure Browser
I seguenti argomenti spiegano come configurare le istanze di streaming di WorkSpaces Secure Browser in modo che gli utenti possano connettersi ad esse. Spiega inoltre come consentire alle istanze di streaming WorkSpaces Secure Browser di accedere alle risorse VPC e a Internet.
**Topics**
+ [Configurazione di un VPC per Amazon Secure Browser WorkSpaces](general-requirements.md)
+ [Abilitazione delle connessioni utente per Amazon WorkSpaces Secure Browser](client.md)
# Configurazione di un VPC per Amazon Secure Browser WorkSpaces
Per impostare e configurare un VPC per WorkSpaces Secure Browser, completa i seguenti passaggi.
**Topics**
+ [Requisiti VPC per Amazon Secure Browser WorkSpaces](vpc-reqs.md)
+ [Creazione di un nuovo VPC per Amazon Secure Browser WorkSpaces](create-vpc.md)
+ [Abilitazione della navigazione in Internet per Amazon WorkSpaces Secure Browser](internet-browsing.md)
+ [Le migliori pratiche VPC per WorkSpaces Secure Browser](vpc-setup-recommendations.md)
+ [Zone di disponibilità supportate per Amazon WorkSpaces Secure Browser](availability-zones.md)
# Requisiti VPC per Amazon Secure Browser WorkSpaces
Durante la creazione del portale WorkSpaces Secure Browser, selezionerai un VPC nel tuo account. Scegli anche almeno due sottoreti in due diverse zone di disponibilità. Queste VPCs e le sottoreti devono soddisfare i seguenti requisiti:
+ Il VPC deve avere una locazione predefinita. VPCs con locazione dedicata non sono supportati.
+ Per valutare la disponibilità, sono necessarie almeno due sottoreti create in due diverse zone di disponibilità. Le sottoreti devono avere indirizzi IP sufficienti per supportare il traffico WorkSpaces Secure Browser previsto. Configura ciascuna delle sottoreti con una subnet mask che consente un numero sufficiente di indirizzi IP client per tenere conto del numero massimo di utenti simultanei previsti. Per ulteriori informazioni, consulta [Creazione di un nuovo VPC per Amazon Secure Browser WorkSpaces](create-vpc.md).
+ Tutte le sottoreti devono disporre di una connessione stabile a qualsiasi contenuto interno, situato all'interno Cloud AWS o in locale, a cui gli utenti accederanno con Secure Browser. WorkSpaces
Ti consigliamo di scegliere tre sottoreti in diverse zone di disponibilità per valutare la disponibilità e la scalabilità. Per ulteriori informazioni, consulta [Creazione di un nuovo VPC per Amazon Secure Browser WorkSpaces](create-vpc.md).
WorkSpaces Secure Browser non assegna alcun indirizzo IP pubblico alle istanze di streaming per consentire l'accesso a Internet. Ciò renderebbe le istanze di streaming accessibili da Internet. Pertanto, qualsiasi istanza di streaming connessa alla sottorete pubblica non avrà accesso a Internet. Se desideri che il tuo portale WorkSpaces Secure Browser abbia accesso sia ai contenuti Internet pubblici che ai contenuti VPC privati, completa i passaggi seguenti. [Attivazione della navigazione Internet senza restrizioni per Amazon WorkSpaces Secure Browser (consigliato)](unrestricted-internet-browsing.md)
# Creazione di un nuovo VPC per Amazon Secure Browser WorkSpaces
Questa sezione descrive come utilizzare la procedura guidata VPC per creare rapidamente un VPC con sottoreti pubbliche e private. La procedura guidata crea automaticamente un gateway Internet, un gateway NAT e configura le tabelle di routing per le sottoreti.
Per ulteriori informazioni su questa configurazione, consulta [VPC con sottoreti pubbliche e private (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html).
**Topics**
+ [Configurazione rapida del VPC (1 minuto)](vpc-step1.md)
+ [Verifica delle tabelle di routing della sottorete (opzionale)](vpc-step2.md)
# Configurazione rapida del VPC (1 minuto)
Completa i seguenti passaggi per creare rapidamente un VPC dedicato per WorkSpaces Secure Browser con sottoreti pubbliche e private per l'accesso a Internet. Se desideri utilizzare un VPC esistente, consulta [Requisiti VPC per Amazon Secure Browser WorkSpaces](vpc-reqs.md) per verificare che soddisfi i requisiti.
**Nota**
Assicurati di essere nella posizione desiderata. Regione AWS Se necessario, puoi cambiare la regione nella console.
**Per configurare rapidamente un VPC**
1. Apri la procedura guidata per la creazione di VPC: crea [VPC](https://console.aws.amazon.com/vpcconsole/home#CreateVpc:createMode=vpcWithResources) con risorse. Mantieni tutte le impostazioni come predefinite, a meno che non sia specificato di seguito:
+ Per **Risorsa da creare**, seleziona **VPC e altro**.
+ Per **Tag nome**, seleziona la **generazione automatica** e inserisci un nome descrittivo per il tuo VPC (ad esempio,). **WSB-VPC**
+ Per il **blocco IPv4 CIDR**, per impostazione predefinita, il **10.0.0.0/16** VPC utilizza. È possibile specificare un blocco IPv4 CIDR diverso, se necessario.
+ Per **Tenancy**, seleziona **Predefinito** (VPCs le tenancy dedicate non sono supportate).
+ **Per **Numero di zone di disponibilità (AZs)**, seleziona 2.**
+ Espandi **Personalizza AZs** e seleziona 2 diverse zone di disponibilità supportate da WorkSpaces Secure Browser. Per l'elenco delle supportate AZs, vedere[Zone di disponibilità supportate per Amazon WorkSpaces Secure Browser](availability-zones.md).
+ **Per **Numero di sottoreti pubbliche**, selezionare 2.**
+ **Per **Numero di sottoreti private, selezionare** 2.**
+ **Per i blocchi **CIDR di sottorete, se è necessario personalizzare i blocchi** CIDR nelle sottoreti, espandi Personalizza sottoreti (blocchi CIDR).** Assicurati che ogni sottorete abbia indirizzi IP sufficienti per il traffico previsto.
+ Per i **gateway NAT**, seleziona **Regionale** per abilitare l'accesso a Internet per le sottoreti private in tutte le zone di disponibilità.
+ **Per gli **endpoint VPC, seleziona Nessuno**.** **Se hai bisogno di un accesso diretto a S3 senza passare dal gateway NAT, seleziona S3 Gateway.**
+ Per quanto riguarda **le opzioni DNS**, mantieni le **opzioni DNS** abilitate (impostazione predefinita) per garantire la corretta risoluzione dei nomi all'interno del tuo VPC.
1. Esamina il riquadro di anteprima, quindi scegli **Crea VPC**.
**Nota**
Sono previsti costi aggiuntivi per i gateway NAT e gli endpoint VPC. Per ulteriori informazioni, consulta la pagina dei [prezzi del VPC](https://aws.amazon.com/vpc/pricing/).
# Verifica delle tabelle di routing della sottorete (opzionale)
La procedura guidata VPC configura automaticamente le tabelle di routing per te. Se hai creato il tuo VPC manualmente o desideri confermare la configurazione, puoi verificare che i seguenti dettagli siano corretti per la tua tabella di routing:
+ La tabella di routing associata alla sottorete in cui risiede il gateway NAT deve includere un routing che indirizza il traffico Internet a un gateway Internet. Ciò garantisce che il gateway NAT possa accedere a Internet.
+ Le tabelle di routing associate alle sottoreti private devono essere configurate per indirizzare il traffico Internet al gateway NAT. Ciò consente alle istanze di streaming nelle sottoreti private di comunicare con Internet.
**Verifica e denominazione delle tabelle di routing della sottorete**
1. Nel pannello di navigazione, scegli **Subnet, quindi seleziona una sottorete** pubblica. Ad esempio, **WSB-VPC-Subnet-Public1-US-East-1a**.
1. Nella scheda **Route Table (Tabella di routing)**, scegliere l'ID della tabella di routing. Ad esempio, **rtb-12345678**.
1. Seleziona la tabella di instradamento del . In **Nome**, scegli l'icona Modifica (matita) e immetti un nome per la tabella. Ad esempio, è possibile inserire il nome **workspacesweb-public-routetable**. Quindi selezionare il segno di spunta per salvare il nome.
1. Con la tabella di routing pubblica ancora selezionata, nella scheda **Routing** verificare che esistano due routing: uno per il traffico locale e uno che invia tutto il traffico rimanente al gateway Internet del VPC. La tabella seguente descrive queste due route:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/workspaces-web/latest/adminguide/vpc-step2.html)
1. Nel riquadro di navigazione, seleziona **Sottoreti**. Quindi, seleziona una sottorete privata (ad esempio,). **WSB-VPC-subnet-private1-us-east-1a**
1. Nella scheda **Tabella di routing**, scegliere l'ID della tabella di routing.
1. Seleziona la tabella di instradamento del . In **Nome**, scegli l'icona Modifica (matita) e immetti un nome per la tabella. Ad esempio, è possibile inserire il nome **WSB-VPC-private-routetable**. Per salvare il nome, scegli il segno d spunta.
1. Nella scheda **Routes (Route)**, verificare che la tabella di routing includa le seguenti route:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/workspaces-web/latest/adminguide/vpc-step2.html)
1. Nel riquadro di navigazione, seleziona **Sottoreti**. Quindi seleziona la seconda sottorete privata che hai creato (ad esempio, **WorkSpaces Secure Browser Private Subnet2**).
1. Nella scheda **Tabella di routing**, verificare che la tabella di routing sia la tabella di routing privata (ad esempio **workspacesweb-private-routetable**). Se la tabella di routing è diversa, scegliere **Modifica** e selezionare questa tabella di routing.
# Abilitazione della navigazione in Internet per Amazon WorkSpaces Secure Browser
È possibile scegliere di abilitare la navigazione Internet senza restrizioni (l'opzione consigliata) o la navigazione Internet con restrizioni.
**Topics**
+ [Attivazione della navigazione Internet senza restrizioni per Amazon WorkSpaces Secure Browser (consigliato)](unrestricted-internet-browsing.md)
+ [Attivazione della navigazione Internet con restrizioni per Amazon WorkSpaces Secure Browser](restricted-internet-browsing.md)
+ [Porte di connettività Internet per Amazon WorkSpaces Secure Browser](vpc-connection.md)
# Attivazione della navigazione Internet senza restrizioni per Amazon WorkSpaces Secure Browser (consigliato)
Per configurare un VPC con un gateway NAT per una navigazione Internet senza restrizioni, segui la procedura illustrata qui. Ciò garantisce l'accesso tramite WorkSpaces Secure Browser ai siti su Internet pubblico e ai siti privati ospitati o con una connessione al tuo VPC.
**Configurare un VPC con un gateway NAT per una navigazione Internet senza restrizioni**
Se desideri che il tuo portale WorkSpaces Secure Browser abbia accesso sia ai contenuti Internet pubblici che ai contenuti VPC privati, procedi nel seguente modo:
**Nota**
Se hai già configurato un VPC, completa la procedura seguente per aggiungere un gateway NAT al VPC. Se occorre creare un nuovo VPC, consulta [Creazione di un nuovo VPC per Amazon Secure Browser WorkSpaces](create-vpc.md).
1. Per creare il gateway NAT, completare le fasi in [Crea un gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating). Assicurati che questo gateway NAT abbia una connettività pubblica e si trovi in una sottorete pubblica del tuo VPC.
1. È necessario specificare almeno due sottoreti private in diverse zone di disponibilità. L'assegnazione delle sottoreti a diverse zone di disponibilità aiuta a garantire una maggiore disponibilità e una migliore tolleranza agli errori. Per informazioni su come creare un VPC con sottoreti private, vedere. [Configurazione rapida del VPC (1 minuto)](vpc-step1.md)
**Nota**
Per assicurarti che ogni istanza di streaming abbia accesso a Internet, non collegare una sottorete pubblica al tuo WorkSpaces portale Secure Browser.
1. Aggiornare la tabella di routing associata a una o più sottoreti private per indirizzare il traffico vincolato a Internet al gateway NAT. Ciò consente alle istanze di streaming nelle sottoreti private di comunicare con Internet. Per informazioni su come associare una tabella di routing a una sottorete privata, completa i passaggi in [Configurare le tabelle di routing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).
# Attivazione della navigazione Internet con restrizioni per Amazon WorkSpaces Secure Browser
La configurazione di rete consigliata di un portale WorkSpaces Secure Browser prevede l'utilizzo di sottoreti private con gateway NAT, in modo che il portale possa navigare sia su Internet pubblico che su contenuti privati. Per ulteriori informazioni, consulta [Attivazione della navigazione Internet senza restrizioni per Amazon WorkSpaces Secure Browser (consigliato)](unrestricted-internet-browsing.md). Tuttavia, potrebbe essere necessario controllare le comunicazioni in uscita da un portale WorkSpaces Secure Browser verso Internet utilizzando un proxy web. Ad esempio, se si utilizza un proxy Web come gateway per Internet, è possibile implementare controlli di sicurezza preventivi, come l'elenco dei domini consentiti e il filtraggio dei contenuti. Ciò può anche ridurre l'utilizzo della larghezza di banda e migliorare le prestazioni della rete memorizzando nella cache le risorse a cui si accede di frequente, come pagine Web o aggiornamenti software a livello locale. In alcuni casi d'uso, potresti avere contenuti privati accessibili solo tramite un proxy web.
Potresti già avere dimestichezza con la configurazione delle impostazioni del proxy sui dispositivi gestiti o sull'immagine dei tuoi ambienti virtuali. Tuttavia, ciò rappresenta una sfida se non si ha il controllo del dispositivo (ad esempio, quando gli utenti utilizzano dispositivi non di proprietà o gestiti dall'azienda) o se è necessario gestire l'immagine per l'ambiente virtuale. Con WorkSpaces Secure Browser, puoi configurare le impostazioni proxy utilizzando i criteri di Chrome integrati nel browser web. Puoi farlo configurando un proxy HTTP in uscita per WorkSpaces Secure Browser.
Questa soluzione si basa su una configurazione proxy VPC in uscita consigliata. [La soluzione proxy si basa sul proxy HTTP open source Squid.](http://www.squid-cache.org/) Quindi, utilizza le impostazioni del browser WorkSpaces Secure Browser per configurare il portale WorkSpaces Secure Browser per la connessione all'endpoint proxy. Per ulteriori informazioni, consulta [Come configurare un proxy VPC in uscita con whitelisting del dominio](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/) e filtraggio dei contenuti.
Questa soluzione offre i seguenti vantaggi:
+ Un proxy in uscita che include un gruppo di istanze Amazon EC2 con scalabilità automatica, ospitate da un sistema di bilanciamento del carico di rete. Le istanze proxy risiedono in una sottorete pubblica e ognuna di esse è collegata a un IP elastico, in modo che possano avere accesso a Internet.
+ Un portale WorkSpaces Secure Browser distribuito su sottoreti private. Non è necessario configurare il gateway NAT per abilitare l'accesso a Internet. È invece necessario configurare la politica del browser, in modo che tutto il traffico Internet passi attraverso il proxy in uscita. Se desideri utilizzare il tuo proxy, la configurazione del portale WorkSpaces Secure Browser sarà simile.
**Topics**
+ [Architettura di navigazione Internet limitata per Amazon WorkSpaces Secure Browser](restricted-architecture.md)
+ [Prerequisiti di navigazione Internet con restrizioni per Amazon WorkSpaces Secure Browser](restricted-prerequisites.md)
+ [Proxy HTTP in uscita per Amazon WorkSpaces Secure Browser](restricted-setup.md)
+ [Risoluzione dei problemi di navigazione Internet con restrizioni per Amazon WorkSpaces Secure Browser](restricted-troubleshooting.md)
# Architettura di navigazione Internet limitata per Amazon WorkSpaces Secure Browser
Di seguito è riportato un esempio di configurazione proxy tipica nel tuo VPC. L'istanza proxy Amazon EC2 si trova in sottoreti pubbliche ed è associata a Elastic IP, quindi ha accesso a Internet. Un sistema di bilanciamento del carico di rete ospita un gruppo di istanze proxy con scalabilità automatica. Ciò garantisce la scalabilità automatica delle istanze proxy e il sistema di bilanciamento del carico di rete è l'unico endpoint proxy, che può essere utilizzato dalle sessioni di Secure Browser. WorkSpaces
![\[WorkSpaces Architettura Secure Browser\]](http://docs.aws.amazon.com/it_it/workspaces-web/latest/adminguide/images/restricted-internet-architecture.png)
# Prerequisiti di navigazione Internet con restrizioni per Amazon WorkSpaces Secure Browser
Prima di iniziare, assicurati di soddisfare i seguenti prerequisiti:
+ È necessario un VPC già distribuito, con sottoreti pubbliche e private distribuite su diverse zone di disponibilità (). AZs [Per ulteriori informazioni su come configurare l'ambiente VPC, consulta Default. VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)
+ È necessario un unico endpoint proxy accessibile da sottoreti private, dove risiedono le sessioni di WorkSpaces Secure Browser (ad esempio, il nome DNS del network load balancer). Se desideri utilizzare il proxy esistente, assicurati che disponga anche di un unico endpoint accessibile dalle sottoreti private.
# Proxy HTTP in uscita per Amazon WorkSpaces Secure Browser
Per configurare un proxy HTTP in uscita per WorkSpaces Secure Browser, segui questi passaggi.
1. Per distribuire un esempio di proxy in uscita sul tuo VPC, segui i passaggi in [Come configurare un proxy VPC in uscita con whitelist del dominio e filtraggio dei contenuti](https://aws.amazon.com/blogs/security/how-to-set-up-an-outbound-vpc-proxy-with-domain-whitelisting-and-content-filtering/).
1. Segui la procedura descritta in «Installazione (configurazione unica)» per distribuire il modello al tuo account. CloudFormation Assicurati di scegliere il VPC e le sottoreti corretti come parametri del modello. CloudFormation
1. Dopo la distribuzione, trova il parametro di CloudFormation output e. **OutboundProxyDomain**OutboundProxyPort**** Si tratta del nome e della porta DNS del proxy.
1. Se disponi già di un proxy personale, salta questo passaggio e utilizza il nome DNS e la porta del proxy.
1. **Nella console WorkSpaces Secure Browser, seleziona il tuo portale, quindi scegli Modifica.**
1. Nei **dettagli della connessione di rete**, scegli il VPC e le sottoreti private che hanno accesso al proxy.
1. Nelle **impostazioni della politica**, aggiungi la seguente ProxySettings politica utilizzando un editor JSON. Il `ProxyServer` campo deve contenere il nome DNS e la porta del proxy. Per ulteriori dettagli sulla ProxySettings politica, consulta [ProxySettings](https://chromeenterprise.google/policies/#ProxySettings).
```
{
"chromePolicies":
{
...
"ProxySettings": {
"value": {
"ProxyMode": "fixed_servers",
"ProxyServer": "OutboundProxyLoadBalancer-0a01409a46943c47.elb.us-west-2.amazonaws.com:3128",
"ProxyBypassList": "https://www.example1.com,https://www.example2.com,https://internalsite/"
}
},
}
}
```
1. Nella sessione di WorkSpaces Secure Browser, vedrai che il proxy viene applicato all'impostazione **Chrome che utilizza le impostazioni proxy dell'amministratore**.
1. Vai a chrome: //policy e alla scheda **Chrome policy** per confermare che la policy sia applicata.
1. Verifica che la tua sessione WorkSpaces Secure Browser sia in grado di navigare correttamente nei contenuti Internet senza il gateway NAT. Nei CloudWatch registri, verifica che i log di accesso al proxy Squid siano registrati.
# Risoluzione dei problemi di navigazione Internet con restrizioni per Amazon WorkSpaces Secure Browser
Dopo aver applicato i criteri di Chrome, se la sessione del WorkSpaces Secure Browser continua a non riuscire ad accedere a Internet, segui questi passaggi per cercare di risolvere il problema:
+ Verifica che l'endpoint proxy sia accessibile dalle sottoreti private in cui risiede il tuo portale WorkSpaces Secure Browser. A tale scopo, crea un'istanza EC2 nella sottorete privata e verifica la connessione dall'istanza EC2 privata all'endpoint proxy.
+ Verifica che il proxy abbia accesso a Internet.
+ Verifica che la politica di Chrome sia corretta.
+ Conferma la seguente formattazione per il `ProxyServer` campo della politica:`:`. Non dovrebbe esserci nessun `http://` or `https://` nel prefisso.
+ Nella sessione WorkSpaces Secure Browser, usa Chrome per accedere a chrome: //policy e assicurati che il ProxySettings criterio sia applicato correttamente.
# Porte di connettività Internet per Amazon WorkSpaces Secure Browser
Ogni istanza di streaming WorkSpaces Secure Browser dispone di un'interfaccia di rete del cliente che fornisce connettività alle risorse all'interno del VPC, nonché a Internet se sono configurate sottoreti private con gateway NAT.
Per la connettività Internet, le porte seguenti devono essere aperte per tutte le destinazioni. Se utilizzi un gruppo di sicurezza modificato o personalizzato, devi aggiungere le regole necessarie manualmente. Per ulteriori informazioni, consulta [Regole del gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules.html).
**Nota**
Questo vale per il traffico in uscita.
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 8433
# Le migliori pratiche VPC per WorkSpaces Secure Browser
I seguenti consigli consentono di configurare il VPC in modo più efficiente e sicuro.
**Configurazione VPC complessiva**
+ Assicurati che la configurazione VPC possa supportare le esigenze di dimensionamento.
+ Assicurati che le quote del servizio WorkSpaces Secure Browser (note anche come limiti) siano sufficienti a soddisfare la tua domanda prevista. Per richiedere un aumento della quota, puoi utilizzare la console Service Quotas all'indirizzo. [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/) Per informazioni sulle quote predefinite di WorkSpaces Secure Browser, vedere. [Gestione delle quote di servizio per il tuo portale in Amazon WorkSpaces Secure Browser](request-service-quota.md)
+ Se prevedi di fornire alle tue sessioni di streaming l'accesso a Internet, ti consigliamo di configurare un VPC con un gateway NAT in una sottorete pubblica.
**Interfacce di rete elastiche**
+ Ogni sessione di WorkSpaces Secure Browser richiede la propria interfaccia di rete elastica per tutta la durata dello streaming. WorkSpaces Secure Browser crea tante [interfacce di rete elastiche](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENIs) quante sono le capacità massime desiderate del parco macchine. Per impostazione predefinita, il limite ENIs per regione è 5000. Per ulteriori informazioni, consulta [Interfacce di rete](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis).
Quando pianifichi la capacità per implementazioni molto grandi, ad esempio migliaia di sessioni di streaming simultanee, considera il numero di quelle ENIs che potrebbero essere necessarie per i picchi di utilizzo. Ti consigliamo di mantenere il limite ENI pari o superiore al limite massimo di utilizzo simultaneo configurato per il tuo portale web.
**Sottoreti**
+ Mentre sviluppate il vostro piano di ampliamento degli utenti, tenete presente che ogni sessione di WorkSpaces Secure Browser richiede un indirizzo IP client univoco proveniente dalle sottoreti configurate. Pertanto, la dimensione dello spazio degli indirizzi IP del client configurato nelle sottoreti determina il numero di utenti che possono eseguire lo streaming contemporaneamente.
+ Configura ciascuna delle sottoreti con una subnet mask che consente un numero sufficiente di indirizzi IP client per tenere conto del numero massimo di utenti simultanei previsti. Inoltre, consenti ulteriori indirizzi IP per tenere conto della crescita prevista. Per ulteriori informazioni, consulta [VPC e Subnet Sizing](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) for. IPv4
+ Ti consigliamo di configurare una sottorete in ogni zona di disponibilità unica supportata da WorkSpaces Secure Browser nella regione desiderata per tenere conto della disponibilità e della scalabilità. Per ulteriori informazioni, consulta [Creazione di un nuovo VPC per Amazon Secure Browser WorkSpaces](create-vpc.md).
+ Assicurati che le risorse di rete richieste per le applicazioni web siano accessibili tramite entrambe le sottoreti private.
**Gruppi di sicurezza**
+ Utilizza i gruppi di sicurezza per fornire un controllo degli accessi aggiuntivo al VPC.
I gruppi di sicurezza che appartengono al tuo VPC ti consentono di controllare il traffico di rete tra le istanze di streaming WorkSpaces Secure Browser e le risorse di rete richieste dalle applicazioni web. Assicurati che i gruppi di sicurezza forniscano l'accesso alle risorse di rete richieste dalle applicazioni web.
# Zone di disponibilità supportate per Amazon WorkSpaces Secure Browser
Quando crei un cloud privato virtuale (VPC) da utilizzare con WorkSpaces Secure Browser, le sottoreti del tuo VPC devono risiedere in diverse zone di disponibilità nella regione in cui stai avviando Secure Browser. WorkSpaces Le zone di disponibilità sono sedi separate progettate per rimanere isolate dai guasti che si verificano in altre zone di disponibilità. Avviando istanze in zone di disponibilità separate, potrai proteggere le tue applicazioni dai guasti di una singola posizione. Ogni sottorete deve risiedere totalmente all'interno di una zona di disponibilità e non può estendersi in altre zone. Ti consigliamo di configurare una sottorete per ogni AZ supportata nella regione desiderata per la massima resilienza
Una zona di disponibilità è rappresentata da un codice Regione seguito da un identificatore di lettera, ad esempio `us-east-1a`. Per garantire che le risorse vengano distribuite tra le zone di disponibilità di una regione, mappiamo in modo indipendente le zone di disponibilità ai nomi per ciascun account AWS . Ad esempio, la zona di disponibilità `us-east-1a` per l'account AWS potrebbe avere un'ubicazione diversa rispetto a `us-east-1a` per un altro account AWS .
Per coordinare le zone di disponibilità tra account, devi utilizzare l'*ID AZ*, identificatore unico e coerente per una zona di disponibilità. Ad esempio, `use1-az2` è un ID AZ per la `us-east-1` regione e ha la stessa posizione in ogni account. AWS
La visualizzazione IDs di AZ consente di determinare la posizione delle risorse in un account rispetto alle risorse di un altro account. Ad esempio, se condividi una sottorete nella zona di disponibilità con l'ID AZ `use1-az2` con un altro account, questa sottorete è disponibile per tale account nella zona di disponibilità il cui ID AZ è anche `use1-az2`. L'ID AZ per ogni VPC e sottorete viene visualizzato nella console Amazon VPC.
WorkSpaces Secure Browser è disponibile in un sottoinsieme delle zone di disponibilità per ogni regione supportata. La tabella seguente elenca le AZ IDs che è possibile utilizzare per ogni regione. Per vedere la mappatura di AZ IDs alle zone di disponibilità nel tuo account, consulta [AZ IDs for Your Resources](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) nella *Guida per l'AWS RAM utente*.
| Nome della Regione | Codice regione | AZ supportata IDs |
| --- | --- | --- |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | use1-az1, use1-az2, use1-az4, use1-az5, use1-az6 |
| Stati Uniti occidentali (Oregon) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 |
| Asia Pacifico (Mumbai) | ap-south-1 | aps1-az1, aps1-az3 |
| Asia Pacifico (Singapore) | ap-southeast-1 | apse1-az1, apse1-az2, apse1-az3 |
| Asia Pacifico (Sydney) | ap-southeast-2 | apse2-az1, apse2-az2, apse2-az3 |
| Asia Pacifico (Tokyo) | ap-northeast-1 | apne1-az1, apne1-az2, apne1-az4 |
| Canada (Centrale) | ca-central-1 | cac1-az1, cac1-az2, cac1-az4 |
| Europa (Francoforte) | eu-central-1 | euc1-az2, euc1-az2, euc1-az3 |
| Europa (Irlanda) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 |
| Europa (Londra) | eu-west-2 | euw2-az1, euw2-az2 |
Per ulteriori informazioni su Availability Zones e AZ IDs, consulta [Regions, Availability Zones e Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) nella *Amazon EC2 User Guide*.
# Abilitazione delle connessioni utente per Amazon WorkSpaces Secure Browser
WorkSpaces Secure Browser è configurato per instradare le connessioni di streaming sulla rete Internet pubblica. La connettività Internet è necessaria per autenticare gli utenti e fornire le risorse Web necessarie per il funzionamento di WorkSpaces Secure Browser. Per consentire questo traffico, è necessario autorizzare i domini elencati in [Domini consentiti per Amazon WorkSpaces Secure Browser](allowed.md).
I seguenti argomenti forniscono informazioni su come abilitare le connessioni degli utenti a WorkSpaces Secure Browser.
**Topics**
+ [Requisiti relativi all'indirizzo IP e alla porta per Amazon WorkSpaces Secure Browser](address.md)
+ [Domini consentiti per Amazon WorkSpaces Secure Browser](allowed.md)
# Requisiti relativi all'indirizzo IP e alla porta per Amazon WorkSpaces Secure Browser
Per accedere alle istanze WorkSpaces Secure Browser, i dispositivi utente richiedono l'accesso in uscita sulle seguenti porte:
+ Porta 443 (TCP)
+ La porta 443 viene utilizzata per la comunicazione HTTPS tra i dispositivi degli utenti e le istanze di streaming quando si utilizzano gli endpoint Internet. Di solito, quando gli utenti finali esplorano il Web durante le sessioni di streaming, il browser Web seleziona a caso una porta di origine nell'intervallo superiore per il traffico di streaming. Devi accertarti che il traffico di ritorno a questa porta è consentito.
+ Questa porta deve essere aperta ai domini richiesti elencati in [Domini consentiti per Amazon WorkSpaces Secure Browser](allowed.md).
+ AWS pubblica gli intervalli di indirizzi IP correnti, inclusi gli intervalli in cui il Session Gateway e i CloudFront domini possono risolvere, in formato JSON. Per informazioni su come scaricare il file .json e visualizzare gli intervalli correnti, consulta [Intervalli di indirizzi IP AWS](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html). Oppure, se si utilizza AWS Tools for Windows PowerShell, è possibile accedere alle stesse informazioni utilizzando il comando. **Get-AWSPublicIpAddressRange** PowerShell Per ulteriori informazioni, vedi l'argomento relativo al [recupero di intervalli di indirizzi IP pubblici per AWS](https://aws.amazon.com/blogs/developer/querying-the-public-ip-address-ranges-for-aws/).
+ (Opzionale) Porta 53 (UDP)
+ La porta 53 viene utilizzata per le comunicazioni tra i dispositivi degli utenti e i server DNS.
+ Questa porta è facoltativa se non utilizzi il server DNS per la risoluzione dei nomi di dominio.
+ La porta deve essere aperta per gli indirizzi IP per i server DNS di modo che i nomi di dominio pubblici possano essere risolti.
# Domini consentiti per Amazon WorkSpaces Secure Browser
Affinché gli utenti possano accedere ai portali Web dal browser locale, è necessario aggiungere i seguenti domini all'elenco dei domini consentiti sulla rete da cui l'utente sta tentando di accedere al servizio.
Nella tabella seguente, sostituiscilo *\$1region\$1* con il codice della regione del portale web operativo. Ad esempio, s3. *\$1region\$1*.amazonaws.com dovrebbe essere s3.eu-west-1.amazonaws.com per un portale web nella regione Europa (Irlanda). Per un elenco dei codici regionali, consulta [Endpoint e quote di Amazon WorkSpaces Secure Browser](https://docs.aws.amazon.com/general/latest/gr/workspacesweb.html).
****
| Categoria | Dominio o indirizzo IP |
| --- | --- |
| WorkSpaces Risorse di streaming Secure Browser | s3. *\$1region\$1*.amazonaws.com s3.amazonaws.com appstream 2. *\$1region\$1*.aws.amazon.com \$1.amazonappstream.com \$1.shortbread.aws.dev |
| WorkSpaces Risorse statiche Secure Browser | \$1.workspaces-web.com di5ry4hb4263e.cloudfront.net |
| WorkSpaces Autenticazione sicura del browser | \$1.auth. *\$1region\$1*.amazoncognito.com identità cognitiva. *\$1region\$1*.amazonaws.com cognito-idp. *\$1region\$1*.amazonaws.com \$1.cloudfront.net |
| WorkSpaces Metriche e report sicuri del browser | \$1.execute-api. *\$1region\$1*.amazonaws.com unagi-na.amazon.com |
A seconda del gestore dell'identità digitale configurato, potrebbe anche essere necessario aggiungere altri domini all’elenco consentiti. Consulta la documentazione del tuo IdP per identificare quali domini devi elencare per consentire a WorkSpaces Secure Browser di utilizzare quel provider. Se utilizzi IAM Identity Center, consulta i [prerequisiti di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) per ulteriori informazioni.