As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Protocolos de rede e acesso para WorkSpaces pessoal
<a name="amazon-workspaces-networking"></a>

Como WorkSpace administrador, você deve entender como gerenciar a WorkSpaces rede e o acesso, começando pelos protocolos.

## Protocolos para WorkSpaces uso pessoal
<a name="amazon-workspaces-protocols"></a>

A Amazon WorkSpaces oferece suporte a dois protocolos: PCo IP e DCV. O protocolo escolhido depende de vários fatores, como o tipo de dispositivo a WorkSpaces partir do qual seus usuários acessarão, qual sistema operacional está em seu sistema WorkSpaces, quais condições de rede seus usuários enfrentarão e se seus usuários precisarão de suporte de vídeo bidirecional.

### Requisitos
<a name="w2aac11c23b5b5"></a>

DCV WorkSpaces são compatíveis somente com os seguintes requisitos mínimos.

Requisitos do agente do host:
+ Agente do host do Windows versão 2.0.0.312 ou superior
+ Agente do host do Ubuntu versão 2.1.0.501 ou superior
+ Agente do host do Amazon Linux 2 versão 2.0.0.596 ou superior
+ Agente do host do Rocky Linux versão 2.1.0.1628 ou superior
+ Agente do host do Linux Red Hat Enterprise versão 2.1.0.1628 ou superior

Requisitos do cliente:
+ Cliente nativo do Windows versão 5.1.0.329 ou superior
+ Cliente nativo do macOS versão 5.5.0 ou superior
+ Versão 2024.x ou superior do cliente Ubuntu 22.04
+ Amazon WorkSpaces Thin Client (Para obter mais informações, consulte a [documentação do Amazon WorkSpaces Thin Client](https://docs.aws.amazon.com/workspaces-thin-client/))
+ Web Access

Para obter mais informações sobre como verificar a versão WorkSpace do cliente e a versão do host agent, consulte as [perguntas frequentes](https://aws.amazon.com/workspaces/faqs/#:~:text=Q%3A%20How%20do%20I%20find%20my%20WSP%20host%20agent%20version%3F).

### Quando usar o DCV
<a name="w2aac11c23b5b7"></a>
+ Se você precisar de maior loss/latency tolerância para suportar as condições de rede do usuário final. Por exemplo, você tem usuários que estão acessando suas redes em WorkSpaces distâncias globais ou usando redes não confiáveis.
+ Se você precisar que os usuários se autentiquem com cartões inteligentes ou usem cartões inteligentes durante a sessão.
+ Se você precisar de recursos de compatibilidade de webcam durante a sessão.
+ Se você precisar usar o Web Access com o pacote baseado no Windows Server 2022 ou Windows Server 2025 WorkSpaces .
+ Se você precisar usar o Ubuntu WorkSpaces.
+ Se você precisar usar o Windows 11 BYOL WorkSpaces.
+ Se você precisar usar WorkSpaces pacotes habilitados para GPU com o Windows.
+ Se você precisar usar pacotes baseados em GPU do Windows (Graphics.g6, Graphics.g4dn e .g4dn) ou pacotes baseados em GPU Ubuntu (Graphics.g4dn e GraphicsPro .g4dn). GraphicsPro
+ Se você precisar que seus usuários se autentiquem em sessão com WebAuthn autenticadores como YubiKey o Windows Hello.

### Quando usar PCo IP
<a name="w2aac11c23b5b9"></a>
+ Se você quiser usar o iPad ou os clientes Linux do Android.
+ Se você usa dispositivos cliente zero do Teradici.
+ Se você precisar usar um pacote Linux para casos de uso que não necessitem de cartões inteligentes.
+ Se você precisar usar WorkSpaces na região da China (Ningxia)

**nota**  
Um diretório pode ter uma mistura de PCo IP e DCV WorkSpaces nele.
Um usuário pode ter um PCo IP e um DCV, WorkSpace desde que os dois WorkSpaces estejam localizados em diretórios separados. O mesmo usuário não pode ter um PCo IP e um DCV WorkSpace no mesmo diretório. Para obter mais informações sobre a criação de vários WorkSpaces para um usuário, consulte[Criar vários WorkSpaces para um usuário no WorkSpaces Personal](create-multiple-workspaces-for-user.md).
Você pode migrar um WorkSpace entre os dois protocolos usando o recurso de WorkSpaces migração, que requer uma reconstrução do. WorkSpace Para obter mais informações, consulte [Migrar para WorkSpace em Pessoal WorkSpaces](migrate-workspaces.md).
Se o seu WorkSpace foi criado com pacotes PCo IP, você pode modificar o protocolo de streaming para migrar entre os dois protocolos sem precisar de uma reconstrução, mantendo o volume raiz. Para obter mais informações, consulte [Modify protocols](https://docs.aws.amazon.com/workspaces/latest/adminguide/modify-workspaces.html#modify_protocols).
Para obter a melhor experiência com videoconferência, recomendamos usar somente pacotes Power PowerPro, GeneralPurpose .4xlarge ou GeneralPurpose .8xlarge.

Os tópicos a seguir oferecem detalhes adicionais sobre como gerenciar a rede e o acesso para o WorkSpaces Personal:

# Configurar uma VPC para uso pessoal WorkSpaces
<a name="amazon-workspaces-vpc"></a>

WorkSpaces lança o seu WorkSpaces em uma nuvem privada virtual (VPC).

Você pode criar uma VPC com duas sub-redes privadas para você WorkSpaces e um gateway NAT em uma sub-rede pública. Como alternativa, você pode criar uma VPC com duas sub-redes públicas para você WorkSpaces e associar um endereço IP público ou endereço IP elástico a cada uma. WorkSpace

Para obter mais informações sobre as considerações de design de VPC, consulte [Melhores práticas e redes em WorkSpaces implantações da Amazon VPCs e](https://d1.awsstatic.com/whitepapers/best-practices-vpcs-networking-amazon-workspaces-deployments.pdf) [Melhores práticas de implantação](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/vpc-design.html) - Design de VPC. WorkSpaces 

**Topics**
+ [Requisitos](#configure-vpc-requirements)
+ [Configurar uma VPC com sub-redes privadas e um gateway NAT](#configure-vpc-nat-gateway)
+ [Configurar uma VPC com sub-redes públicas](#configure-vpc-public-subnets)

## Requisitos
<a name="configure-vpc-requirements"></a>

As sub-redes da sua VPC devem residir em diferentes zonas de disponibilidade na região em que você está lançando. WorkSpaces As zonas de disponibilidade são locais distintos projetados para serem isolados de falhas em outras zonas de disponibilidade. Ao iniciar as instâncias em zonas de disponibilidade separadas, você pode proteger seus aplicativos de falhas de um único local. Cada sub-rede deve residir inteiramente dentro de uma zona de disponibilidade e não pode abranger zonas.

**nota**  
A Amazon WorkSpaces está disponível em um subconjunto das zonas de disponibilidade em cada região suportada. Para determinar quais zonas de disponibilidade você pode usar para as sub-redes da VPC que você está usando, consulte. WorkSpaces [Zonas de disponibilidade do WorkSpaces Personal](azs-workspaces.md) 

## Configurar uma VPC com sub-redes privadas e um gateway NAT
<a name="configure-vpc-nat-gateway"></a>

Se você usa Directory Service para criar um Microsoft AWS gerenciado ou um Simple AD, recomendamos que você configure a VPC com uma sub-rede pública e duas sub-redes privadas. Configure seu diretório para iniciá-lo WorkSpaces nas sub-redes privadas. Para fornecer acesso à Internet WorkSpaces em uma sub-rede privada, configure um gateway NAT na sub-rede pública.

![\[Configure sua WorkSpaces VPC\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/vpc-configuration-new.png)


**Como criar uma VPC com uma sub-rede pública e duas sub-redes privadas**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Escolha **Criar VPC**.

1. Em **Recursos a serem criados**, escolha **VPC e mais**.

1. Em **Name tag auto-generation** (Geração automática de tags de nome), insira um nome para a VPC.

1. Para configurar as sub-redes, faça o seguinte:

   1. Em **Number of Availability Zones** (Número de zonas de disponibilidade), escolha **1** ou **2** dependendo das suas necessidades.

   1. Expanda **Personalizar AZs** e escolha suas zonas de disponibilidade. Caso contrário, AWS seleciona-os para você. Para fazer uma seleção adequada, consulte [Zonas de disponibilidade do WorkSpaces Personal](azs-workspaces.md).

   1. Em **Number of public subnets** (Número de sub-redes públicas), verifique se você tem uma sub-rede pública por zona de disponibilidade.

   1. Em **Número de sub-redes privadas**, verifique se você tem pelo menos uma sub-rede privada por zona de disponibilidade.

   1. Insira um bloco CIDR para cada sub-rede. Para obter mais informações, consulte [Dimensionamento de sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) no *Guia do usuário da Amazon VPC*.

1. Em **Gateways NAT**, escolha **1 por AZ**.

1. Escolha **Criar VPC**.

**IPv6 Blocos CIDR**  
Você pode associar blocos IPv6 CIDR à sua VPC e suas sub-redes e configurar essas sub-redes para atribuir automaticamente IPv6 endereços às instâncias recém-lançadas. Para sub-redes criadas pelo cliente, a atribuição automática de IPv6 endereçamento está desativada por padrão. **Para visualizar ou atualizar essa configuração no console da Amazon VPC, escolha Sub-redes no painel de navegação, selecione a sub-rede de destino e, em seguida, escolha **Ações**, Modificar configurações de IP de atribuição automática.**

## Configurar uma VPC com sub-redes públicas
<a name="configure-vpc-public-subnets"></a>

Se preferir, você poderá criar uma VPC com duas sub-redes públicas. Para fornecer acesso à Internet WorkSpaces em sub-redes públicas, configure o diretório para atribuir endereços IP elásticos automaticamente ou atribuir manualmente um endereço IP elástico a cada um. WorkSpace

**Topics**
+ [Etapa 1: criar uma VPC](#create-vpc-public-subnet)
+ [Etapa 2: atribuir endereços IP públicos ao seu WorkSpaces](#assign-eip)

### Etapa 1: criar uma VPC
<a name="create-vpc-public-subnet"></a>

Crie uma VPC com uma sub-rede pública da maneira indicada a seguir.

**Como criar a VPC**

1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Escolha **Criar VPC**.

1. Em **Recursos a serem criados**, escolha **VPC e mais**.

1. Em **Name tag auto-generation** (Geração automática de tags de nome), insira um nome para a VPC.

1. Para configurar as sub-redes, faça o seguinte:

   1. Em **Número de zonas de disponibilidade**, escolha **2**.

   1. Expanda **Personalizar AZs** e escolha suas zonas de disponibilidade. Caso contrário, AWS seleciona-os para você. Para fazer uma seleção adequada, consulte [Zonas de disponibilidade do WorkSpaces Personal](azs-workspaces.md).

   1. Em **Number of public subnets** (Número de sub-redes públicas), escolha **2**.

   1. Para **Number of private subnets** (Número de sub-redes privadas), escolha **0**.

   1. Insira um bloco CIDR para cada sub-rede pública. Para obter mais informações, consulte [Dimensionamento de sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) no *Guia do usuário da Amazon VPC*.

1. Escolha **Criar VPC**.

**IPv6 Blocos CIDR**  
Você pode associar blocos IPv6 CIDR à sua VPC e suas sub-redes e configurar essas sub-redes para atribuir automaticamente IPv6 endereços às instâncias recém-lançadas. Para sub-redes criadas pelo cliente, a atribuição automática de IPv6 endereçamento está desativada por padrão. **Para visualizar ou atualizar essa configuração no console da Amazon VPC, escolha Sub-redes no painel de navegação, selecione a sub-rede de destino e, em seguida, escolha **Ações**, Modificar configurações de IP de atribuição automática.**

### Etapa 2: atribuir endereços IP públicos ao seu WorkSpaces
<a name="assign-eip"></a>

Você pode atribuir endereços IP públicos aos seus de WorkSpaces forma automática ou manual. Para usar a atribuição automática, consulte [Configurar endereços IP públicos automáticos para WorkSpaces Personal](automatic-assignment.md). Para atribuir endereços IP públicos manualmente, use o procedimento a seguir.

**Para atribuir WorkSpace manualmente um endereço IP público a um**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, escolha **WorkSpaces**.

1. Expanda a linha (escolha o ícone de seta) para o WorkSpace e anote o valor de **WorkSpace IP**. Esse é o endereço IP privado primário do WorkSpace.

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Elastic IPs**. Se você não tiver um endereço IP elástico disponível, escolha **Alocar endereço IP elástico e escolha o pool de endereços** **da Amazon ou o pool de IPv4 endereços de** **propriedade do IPv4 cliente** e, em seguida, escolha **Alocar**. Anote o novo endereço IP.

1. No painel de navegação, selecione **Network Interfaces**.

1. Selecione a interface de rede para o seu WorkSpace. Para encontrar a interface de rede para você WorkSpace, insira o valor do **WorkSpace IP** (que você anotou anteriormente) na caixa de pesquisa e pressione **Enter**. O valor do **WorkSpace IP** corresponde ao IPv4 endereço privado primário da interface de rede. Observe que o ID da VPC da interface de rede corresponde ao ID da sua WorkSpaces VPC.

1. Escolha **Ações**, **Gerenciar endereços IP**. Escolha **Assign new IP (Atribuir novo IP)** e **Yes, Update (Sim, atualizar)**. Anote o novo endereço IP.

1. Escolha **Actions (Ações)**, **Associate Address (Associar endereço)**.

1. Na página **Associate Elastic IP Address (Associar endereço IP elástico)**, escolha um endereço IP elástico em **Address (Endereço)**. Em **Associate to private IP address (Associar ao endereço IP privado)**, especifique um novo endereço IP privado e selecione **Associate Address (Associar endereço)**.

# Configurar o AWS Global Accelerator (AGA) para WorkSpaces Personal
<a name="amazon-workspaces-aga"></a>

Você pode ativar o AWS Global Accelerator (AGA) no nível do diretório WorkSpaces ou para WorkSpaces individuais executando o protocolo DCV. Quando ativado, o serviço encaminha automaticamente o tráfego de streaming pelo local da borda da AWS mais próximo e pela rede global da AWS, que é livre de congestionamentos e redundante. Isso ajuda a oferecer uma experiência de streaming mais responsiva e estável. O serviço WorkSpaces gerencia totalmente o uso do AGA e está sujeito aos limites de volume de dados de saída.

**Topics**
+ [Requisitos](#configure-aga-requirements)
+ [Limitações](#configure-aga-limitations)
+ [Limites de dados de saída](#configure-aga-outbound-data-limits)
+ [Habilite o AGA para um diretório WorkSpaces](#enabling-aga-directory)
+ [Habilitar o AGA para WorkSpaces individuais](#enabling-aga-individual)

## Requisitos
<a name="configure-aga-requirements"></a>
+ Os WorkSpaces usam uma variedade de endereços IPv4 públicos para os endpoints dedicados do AWS Global Accelerator (AGA). Configure suas políticas de firewall para dispositivos que acessam os WorkSpaces por meio do AGA. Se os endpoints do AGA forem bloqueados pelo firewall, o tráfego de streaming do WorkSpaces não será roteado pelo AGA. Para obter mais informações sobre os intervalos de IP do endpoint AGA em cada região da AWS, consulte [Servidores de gateway DCV](workspaces-port-requirements.md#gateway_WSP).
+ Para acessar os WorkSpaces por meio do AGA, os usuários devem usar as versões 5.23 ou posteriores do cliente WorkSpaces.

## Limitações
<a name="configure-aga-limitations"></a>
+ Você pode habilitar o AGA somente para DCV WorkSpaces. Se você habilitar o AGA no nível do diretório WorkSpaces, ele se aplicará somente aos WorkSpaces DCV no diretório.
+ Você não pode habilitar o AGA para um diretório (ou os WorkSpaces no diretório) que tenha grupos de controle de acesso FIPS e IP habilitados. Você deve desativar os grupos de controle de acesso FIPS ou IP antes de habilitar o AGA para o diretório.

## Limites de dados de saída
<a name="configure-aga-outbound-data-limits"></a>

A seguir estão os limites de volume de dados aplicáveis aos pacotes WorkSpaces.
+ **Pacotes Value, Standard e Performance:** inclui 20 GB de dados de saída AGA por usuário por mês.
+ **Pacotes Power, PowerPro e Graphics:** inclui 50 GB de dados de saída AGA por usuário por mês.

Esses limites de dados de saída têm como objetivo cobrir o uso de dados de usuários que fazem streaming de seus WorkSpaces. Além dos limites, o serviço de WorkSpaces deve restringir o uso de AGA e rotear o tráfego de WorkSpaces fora do AGA em uma avaliação caso a caso.

## Habilite o AGA para um diretório WorkSpaces
<a name="enabling-aga-directory"></a>

Você pode definir as configurações do AGA em um nível de diretório. As configurações serão aplicadas a todos os DCV WorkSpaces no diretório, a menos que sejam substituídas pelos WorkSpaces individuais.

**Para habilitar o AGA para um diretório**

1. Abra o console do WorkSpaces em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Na coluna **ID do diretório**, escolha o ID do diretório para o qual você deseja definir as configurações do AGA.

1. Na página Detalhes do diretório, role para baixo até a seção de configuração do AWS Global Accelerator (AGA) e escolha **Editar**.

1. Selecione **Habilitar AGA (automático)**.

1. **Sempre usar TCP com AGA** é selecionado por padrão. Se você desmarcá-la, seu cliente WorkSpaces determinará se o TCP ou o UDP serão usados com o AGA com base nas configurações do protocolo de streaming DCV em seus clientes.

1. Escolha **Salvar**.

Depois de habilitar o AGA para um diretório do WorkSpaces, os DCV WorkSpaces no diretório usam o AGA para streaming a partir da próxima sessão. Nenhuma reinicialização é necessária.

## Habilitar o AGA para WorkSpaces individuais
<a name="enabling-aga-individual"></a>

Você pode definir as configurações do AGA para WorkSpaces individuais, o que substitui as configurações herdadas do diretório ao qual os WorkSpaces estão associados.

**Para habilitar o AGA para WorkSpaces individuais**

1. Abra o console do WorkSpaces em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, escolha **WorkSpaces**, **Pessoal**.

1. Na coluna **WorkSpace ID**, escolha o WorkSpace ID do WorkSpace para o qual você deseja definir as configurações do AGA.

1. Na página Detalhes do WorkSpaces, role para baixo até a seção de configuração do AWS Global Accelerator (AGA) e escolha **Editar**.

1. Escolha **Substituir manualmente as configurações do AGA para este WorkSpace**.

1. Selecione **Habilitar AGA (automático)**.

1. **Sempre usar TCP com AGA** é selecionado por padrão. Se você desmarcá-la, seu cliente WorkSpaces determinará se o TCP ou o UDP serão usados com o AGA com base nas configurações do protocolo de streaming DCV em seus clientes.

1. Escolha **Salvar**.

# Zonas de disponibilidade do WorkSpaces Personal
<a name="azs-workspaces"></a>

Ao criar uma nuvem privada virtual (VPC) para uso com o Amazon WorkSpaces, as sub-redes da VPC devem residir em diferentes zonas de disponibilidade na região em que você está iniciando o WorkSpaces. As zonas de disponibilidade são locais distintos projetados para serem isolados de falhas em outras zonas de disponibilidade. Ao iniciar as instâncias em zonas de disponibilidade separadas, você pode proteger seus aplicativos de falhas de um único local. Cada sub-rede deve residir inteiramente dentro de uma zona de disponibilidade e não pode abranger zonas.

Uma zona de disponibilidade é representada por um código de região seguido por um identificador de letra, por exemplo, `us-east-1a`. Para garantir a distribuição de recursos entre as zonas de disponibilidade de uma região, mapeamos as zonas de disponibilidade de forma independente para os nomes de cada conta da AWS. Por exemplo, a zona de disponibilidade da `us-east-1a` para sua conta da AWS pode não ter o mesmo local que a `us-east-1a` de outra conta da AWS.

Para coordenar as zonas de disponibilidade entre contas, você deve usar o *ID da AZ* que é um identificador exclusivo e consistente para uma zona de disponibilidade. Por exemplo, `use1-az2` é um ID de AZ para a região `us-east-1` e tem o mesmo local em cada conta da AWS.

A visualização de IDs de AZs permite determinar o local de recursos em uma conta em relação aos recursos em outra conta. Por exemplo, se você compartilhar uma sub-rede na zona de disponibilidade com o ID de AZ `use1-az2` com outra conta, essa sub-rede estará disponível para essa conta na zona de disponibilidade cujo ID de AZ também é `use1-az2`. O ID da AZ de cada VPC e sub-rede é exibido no console da Amazon VPC.

O Amazon WorkSpaces está disponível somente em um subconjunto das zonas de disponibilidade para cada região compatível. A tabela a seguir lista os IDs de AZ que você pode usar para cada região. Para ver o mapeamento de IDs de AZ para zonas de disponibilidade em sua conta, consulte [IDs de AZ para seus recursos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html) no *Guia do usuário do AWS RAM*.


| Nome da região | Código da região | IDs de AZ compatíveis | 
| --- | --- | --- | 
| Leste dos EUA (N. da Virgínia) | us-east-1 | use1-az2, use1-az4, use1-az6 | 
| Oeste dos EUA (Oregon) | us-west-2 | usw2-az1, usw2-az2, usw2-az3 | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | aps1-az1, aps1-az2, aps1-az3 | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | apne2-az1, apne2-az3 | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | apse1-az1, apse1-az2 | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | apse2-az1, apse2-az3 | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | apne1-az1, apne1-az4 | 
| Canadá (Central) | ca-central-1 | cac1-az1, cac1-az2 | 
| Europa (Frankfurt) | eu-central-1 | euc1-az2, euc1-az3 | 
| Europa (Irlanda) | eu-west-1 | euw1-az1, euw1-az2, euw1-az3 | 
| Europa (Londres) | eu-west-2 | euw2-az2, euw2-az3 | 
| Europa (Paris) | eu-west-3 | euw3-az1, euw3-az2, euw3-az3 | 
| América do Sul (São Paulo) | sa-east-1 | sae1-az1, sae1-az3 | 
| África (Cidade do Cabo) | af-south-1 | afs1-az1, afs1-az2, afs1-az3 | 
| Israel (Tel Aviv) | il-central-1 | ilc1-az1, ilc1-az2, ilc1-az3 | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | usgw1-az1, usgw1-az2, usgw1-az3 | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | usge1-az1, usge1-az2, usge1-az3 | 

Para obter mais informações sobre zonas de disponibilidade e IDs de AZ, consulte [Regions, Availability Zones, and Local Zones](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html) no *Guia do usuário do Amazon EC2*.

# Requisitos de endereço IP e porta para o WorkSpaces Personal
<a name="workspaces-port-requirements"></a>

Para se conectar à sua WorkSpaces, a rede à qual seus WorkSpaces clientes estão conectados deve ter determinadas portas abertas para os intervalos de endereços IP dos vários AWS serviços (agrupados em subconjuntos). Esses intervalos de endereços variam de acordo com a AWS região. Essas mesmas portas também devem estar abertas em qualquer firewall em execução no cliente. Para obter mais informações sobre os intervalos de endereços AWS IP para diferentes regiões, consulte [Intervalos de endereços AWS IP](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) no *Referência geral da Amazon Web Services*.

Para obter diagramas de arquitetura adicionais, consulte [Melhores práticas para implantar a Amazon](https://docs.aws.amazon.com/whitepapers/latest/best-practices-deploying-amazon-workspaces/best-practices-deploying-amazon-workspaces.html). WorkSpaces

## Portas para aplicações cliente
<a name="client-application-ports"></a>

O aplicativo WorkSpaces cliente requer acesso de saída nas seguintes portas:

Porta 53 (UDP)  
Essa porta é usada para acessar servidores DNS. Ela deve estar aberta para seus endereços IP do servidor DNS para que o cliente possa resolver nomes de domínio público. Esse requisito de porta é opcional se você não estiver usando servidores DNS para resolução de nomes de domínio.

Porta 443 (UDP e TCP)  
Essa porta é usada para atualizações, registros e autenticações da aplicação cliente. As aplicações clientes de desktop dão suporte ao uso de um servidor de proxy para o tráfego da porta 443 (HTTPS). Para habilitar o uso de um servidor proxy, abra o aplicativo cliente, escolha **Configurações avançadas**, selecione **Usar servidor de proxy**, especifique o endereço e a porta do servidor proxy e escolha **Salvar**.  
Essa porta deve estar aberta para os seguintes intervalos de endereços IP:  
+ O subconjunto `AMAZON` na região `GLOBAL`.
+ O `AMAZON` subconjunto na região em que o WorkSpace está.
+ O subconjunto `AMAZON` na região `us-east-1`.
+ O subconjunto `AMAZON` na região `us-west-2`.
+ O subconjunto `S3` na região `us-west-2`.

Porta 4172 (UDP e TCP)  
Essa porta é usada para transmitir a WorkSpace área de trabalho e verificar a integridade do PCo IP WorkSpaces. Essa porta deve estar aberta para o gateway PCo IP e para os servidores de verificação de integridade na região em que o WorkSpace está. Para obter mais informações, consulte [Servidores de verificação de integridade](#health_check) e [PCoServidores de gateway IP](#gateway_IP).  
Para PCo IP WorkSpaces, os aplicativos cliente de desktop não suportam o uso de um servidor proxy nem a decodificação e inspeção de TLS para tráfego da porta 4172 em UDP (para tráfego de desktop). Elas exigem uma conexão direta com as portas 4172. 

Porta 4195 (UDP e TCP)  
Essa porta é usada para transmitir a WorkSpace área de trabalho e verificar a integridade do DCV WorkSpaces. Essa porta deve estar aberta para os intervalos de endereços IP do gateway DCV e para os servidores de verificação de integridade na região em que o WorkSpace está. Para obter mais informações, consulte [Servidores de verificação de integridade](#health_check) e [Servidores de gateway DCV](#gateway_WSP).  
Para DCV WorkSpaces, o aplicativo cliente WorkSpaces Windows (versão 5.1 e superior) e o aplicativo cliente macOS (versão 5.4 e superior) oferecem suporte ao uso de servidores proxy HTTP para tráfego TCP da porta 4195, mas o uso de um proxy não é recomendado. A descriptografia e a inspeção de TLS não são compatíveis. Para obter mais informações, consulte **Definir as configurações do servidor proxy do dispositivo para acesso à Internet** para [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy) WorkSpaces, [Amazon Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) e [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).

**nota**  
Se o firewall usar filtragem com estado, as portas efêmeras (também conhecidas como portas dinâmicas) serão abertas automaticamente para permitir a comunicação de retorno. Se o firewall usar filtragem sem estado, será necessário abrir as portas efêmeras explicitamente para permitir a comunicação de retorno. O intervalo de portas efêmeras necessário que você deve abrir variará dependendo da configuração.
A função de servidor proxy não é compatível com tráfego UDP. Se você optar por usar um servidor proxy, as chamadas de API que o aplicativo cliente faz para os WorkSpaces serviços da Amazon também serão enviadas por proxy. Tanto as chamadas de API quanto o tráfego de área de trabalho devem passar pelo mesmo servidor proxy.
O aplicativo WorkSpaces cliente primeiro tenta transmitir usando UDP (QUIC) para obter um desempenho ideal. Se a rede do cliente permitir apenas TCP, o TCP será usado. O cliente WorkSpaces web se conectará pela porta TCP 4195 ou 443. Se a porta 4195 estiver bloqueada, o cliente só tentará se conectar pela porta 443. 

## Portas para o Web Access
<a name="web-access-ports"></a>

WorkSpaces O Web Access requer acesso de saída para as seguintes portas:

Porta 53 (UDP)  
Essa porta é usada para acessar servidores DNS. Ela deve estar aberta para seus endereços IP do servidor DNS para que o cliente possa resolver nomes de domínio público. Esse requisito de porta é opcional se você não estiver usando servidores DNS para resolução de nomes de domínio.

Porta 80 (UDP e TCP)  
Esta porta é usada para conexões iniciais ao `https://clients.amazonworkspaces.com`, que migra posteriormente para HTTPS. Ele deve estar aberto a todos os intervalos de endereços IP no `EC2` subconjunto da região em que o WorkSpace está. 

Porta 443 (UDP e TCP)  
Essa porta é usada para registros e autenticações usando HTTPS. Ele deve estar aberto a todos os intervalos de endereços IP no `EC2` subconjunto da região em que o WorkSpace está.

Porta 4195 (UDP e TCP)  
Para WorkSpaces que estejam configurados para DCV, essa porta é usada para transmitir o tráfego do WorkSpaces desktop. Essa porta deve estar aberta para os intervalos de endereços IP do gateway do DCV. Para obter mais informações, consulte [Servidores de gateway DCV](#gateway_WSP).  
O Acesso via Web com DCV é compatível com o uso de um servidor proxy para o tráfego TCP na porta 4195, mas não é recomendado. Para obter mais informações, consulte **Definir as configurações do servidor proxy do dispositivo para acesso à Internet** para [Windows WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy) WorkSpaces, [Amazon Linux](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_linux) ou [Ubuntu WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/group_policy.html#gp_device_proxy_ubuntu).

**nota**  
Se o firewall usar filtragem com estado, as portas efêmeras (também conhecidas como portas dinâmicas) serão abertas automaticamente para permitir a comunicação de retorno. Se o firewall usar filtragem sem estado, será necessário abrir as portas efêmeras explicitamente para permitir a comunicação de retorno. O intervalo de portas efêmeras necessário que você deve abrir varia dependendo da sua configuração.
O aplicativo WorkSpaces cliente primeiro tenta transmitir usando UDP (QUIC) para obter um desempenho ideal. Se a rede do cliente permitir apenas TCP, o TCP será usado. O cliente WorkSpaces web se conectará pela porta TCP 4195 ou 443. Se a porta 4195 estiver bloqueada, o cliente só tentará se conectar pela porta 443. 

Normalmente, o navegador seleciona aleatoriamente uma porta de origem na faixa alta para usar no tráfego de streaming. WorkSpaces O Web Access não tem controle sobre a porta que o navegador seleciona. Você deve garantir que o tráfego de retorno para essa porta seja permitido.

## Domínios e endereços IP para adicionar à sua lista de permissões
<a name="whitelisted_ports"></a>

Para que o aplicativo WorkSpaces cliente possa acessar o WorkSpaces serviço, você deve adicionar os seguintes domínios e endereços IP à lista de permissões na rede da qual o cliente está tentando acessar o serviço.


**Domínios e endereços IP para adicionar à sua lista de permissões**  

| Categoria | Domínio ou endereço IP | 
| --- | --- | 
| CAPTCHA |  https://opfcaptcha-prod.s3.amazonaws.com/https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com  | 
| Atualização automática do cliente |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  |  https://fls-na.amazon.com/  | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Páginas de login do usuário |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) *directory\$1id*https://.awsapps.com/ **id do diretório** é o domínio do cliente. Nas regiões AWS GovCloud (Oeste dos EUA) e AWS GovCloud (Leste dos EUA): https://login.us-gov-home.awsapps.com/directory/*directory id*/  **id do diretório** é o domínio do cliente.  | 
| WS Broker |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints para SAML Single Sign-On (SSO) |  Domínios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**Domínios e endereços IP para adicionar à sua lista de permissões para PCo IP**  

| Categoria | Domínio ou endereço IP | 
| --- | --- | 
| PCoGateway de sessão IP (PSG) | [PCoServidores de gateway IP](#gateway_IP) | 
| Agente de sessão (PCM) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Servidores TURN de acesso à Web para PCo IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 


**Domínios e endereços IP para adicionar à sua lista de permissões para PCoIP**  

| Categoria | Domínio ou endereço IP | 
| --- | --- | 
| Gateway de sessão DCV (WSG) |  [Servidores de gateway DCV](#gateway_WSP)  | 
| Servidores TURN do Acesso via Web para DCV |  [Servidores de gateway DCV](#gateway_WSP)  | 

## Servidores de verificação de integridade
<a name="health_check"></a>

Os aplicativos WorkSpaces cliente realizam verificações de integridade nas portas 4172 e 4195. Essas verificações validam se o tráfego TCP ou UDP é transmitido dos WorkSpaces servidores para os aplicativos clientes. Para que essas verificações sejam concluídas com sucesso, as políticas do seu firewall devem permitir o tráfego de saída para os endereços IP dos seguintes servidores de verificação de integridade regionais.


| Região | Nome do host de verificação de integridade | Endereços IP | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) |  IPv4: drp-iad.amazonworkspaces.com IPv6: drp-workspaces.us-east-1.api.aws  |  IPv4: 3.209.215.252 3.212.50.30 3.225.55.35 3.226.24.234 34.200.29.95 52.200.219.150 IPv6: 2600:1 f 18:74 e 9:4400: :/56  | 
| Oeste dos EUA (Oregon) |  IPv4: drp-pdx.amazonworkspaces.com IPv6: drp-workspaces.us-west-2.api.aws  |  IPv4: 34.217.248.177 52.34.160.80 54.68.150.54 54.185.4.125 54.188.171.18 54.244.158.140 IPv6: 2600:1 f 14:278 e:5700: :/56  | 
| Ásia-Pacífico (Mumbai) |  IPv4: drp-bom.amazonworkspaces.com IPv6: drp-workspaces.ap-south-1.api.aws  |  IPv4: 13.127.57,82 13.234.250.73 IPv6: 2406:da1a:502:b800: :/56  | 
| Ásia-Pacífico (Seul) |  IPv4: drp-icn.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-2.api.aws  |  IPv4: 13.124.44.166 13.124.203.105 52.78.44.253 52.79.54.102 IPv6: 2406:da12:c8c:4900: :/56  | 
| Ásia-Pacífico (Singapura) |  IPv4: drp-sin.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-1.api.aws  |  IPv4: 3.0.212.144 18.138.99.116 18.140.252.123 52.74.175.118 IPv6: 24:06 das 18:91:14 às 00:/56  | 
| Ásia-Pacífico (Sydney) |  IPv4: drp-syd.amazonworkspaces.com IPv6: drp-workspaces.ap-southeast-2.api.aws  |  IPv4: 3.24.11.127 13.237.232.125 IPv6: 2406:da1c:9b 5:9 d00: :/56  | 
| Ásia-Pacífico (Tóquio) |  IPv4: drp-nrt.amazonworkspaces.com IPv6: drp-workspaces.ap-northeast-1.api.aws  |  IPv4: 18.178.102.247 54.64.174.128 IPv6: 2406:da 14:785:5300:/56  | 
| Canadá (Central) |  IPv4: drp-yul.amazonworkspaces.com IPv6: drp-workspaces.ca-central-1.api.aws  |  IPv4: 52.60.69.16 52.60.80.237 52.60.173.117 52.60.201.0 IPv6: 2600:1 f 11:759:d900: :/56  | 
| Europa (Frankfurt) |  IPv4: drp-fra.amazonworkspaces.com IPv6: drp-workspaces.eu-central-1.api.aws  |  IPv4: 52.59.191.224 52.59.191.225 52.59.191.226 52.59.191.227 IPv6: 2a05:d014:b5c:500: :/56  | 
| Europa (Irlanda) |  IPv4: drp-dub.amazonworkspaces.com IPv6: drp-workspaces.eu-west-1.api.aws  |  IPv4: 18.200.177.86 52.48.86.38 54.76.137.224 IPv6: 20h05d 08:10 caf:4:0:/56  | 
| Europa (Londres) |  IPv4: drp-lhr.amazonworkspaces.com IPv6: drp-workspaces.eu-west-2.api.aws  |  IPv4: 35.176.62.54 35.177.255.44 52.56.46.102 52.56.111.36 IPv6: 2a05:d01c:263:f400: :/56  | 
| Europa (Paris) |  IPv4: drp-cdg.amazonworkspaces.com IPv6: drp-workspaces.eu-west-3.api.aws  |  IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 20h05d 012:16:86:00:/56  | 
| América do Sul (São Paulo) |  IPv4: drp-gru.amazonworkspaces.com IPv6: drp-workspaces.sa-east-1.api.aws  |  IPv4: 18.231.0.105 52.67.55.29 54.233.156.245 54.233.216.234 IPv6: 2600:1 f1e:bbf:fa00: :/56  | 
| África (Cidade do Cabo) |  IPv4: drp-cpt.amazonworkspaces.com/ IPv6: drp-workspaces.af-south-1.api.aws  |  IPv4: 13.24.128.155 13.245.205.255 13.245.216.116 IPv6: 2406:da 11:685:24:/56  | 
| Israel (Tel Aviv) |  IPv4: drp-tlv.amazonworkspaces.com/ IPv6: drp-workspaces.il-central-1.api.aws  |  IPv4: 51.17.52.90 51.17.109.231 51.16.190.43 IPv6: 2a05:d025:c78:fc00: :/56  | 
| AWS GovCloud (Oeste dos EUA) |  IPv4: drp-pdt.amazonworkspaces.com IPv6: drop-workspaces. us-gov-west-1.api.aws  |  IPv4: 52.61.60.65 52.61.65.14 52.61.88.170 52.61.137.87 52.61.155.110 52.222.20.88 IPv6: 2600:1 f 12:28 f:af00: :/56  | 
| AWS GovCloud (Leste dos EUA) |  IPv4: drp-osu.amazonworkspaces.com IPv6: drop-workspaces. us-gov-east-1.api.aws  |  IPv4: 18.253.251.70 18.254.0.118 IPv6: 26:01 f15:a 45:3 e00:/56  | 

## PCoServidores de gateway IP
<a name="gateway_IP"></a>

WorkSpaces usa PCoIP para transmitir a sessão do desktop aos clientes pela porta 4172. Para seus servidores de gateway PCoIP, WorkSpaces usa uma pequena variedade de endereços e públicos do Amazon EC2 IPv4 . IPv6 Isso permite que você defina políticas de firewall mais granulares para dispositivos que acessam o WorkSpaces. Observe que o WorkSpaces cliente prioriza IPv6 as conexões quando IPv6 há suporte e os gateways estão acessíveis. Se não IPv6 estiver disponível, ele volta para o. IPv4


| Região | Código da região | Intervalo de endereços IP públicos | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 |  3.217.228.0 - 3.217.231.255 3.235.112.0 - 3.235.119.255 52.23.61.0 - 52.23.62.255 2600:1f32:8000::/39   | 
| Oeste dos EUA (Oregon) | us-west-2 |  35.80.88.0 - 35.80.95.255 44.234.54.0 - 44.234.55.255 54.244.46.0 - 54.244.47.255 2600:1f32:4000::/39   | 
| Ásia-Pacífico (Mumbai) | ap-south-1 |  13.126.243.0 - 13.126.243.255 2406:da32:a000::/40  | 
| Ásia-Pacífico (Seul) | ap-northeast-2 |  3.34.37.0 - 3.34.37.255 3.34.38.0 - 3.34.39.255 13.124.247.0 - 13.124.247.255 2406:da32:2000::/40  | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 |  18.141.152.0 - 18.141.152.255 18.141.154.0 - 18.141.155.255 52.76.127.0 - 52.76.127.255 2406:da32:8000::/40  | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 |  3.25.43.0 - 3.25.43.255 3.25.44.0 - 3.25.45.255 54.153.254.0 - 54.153.254.255 2406:da32:c000::/40  | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 |  18.180.178.0 - 18.180.178.255 18.180.180.0 - 18.180.181.255 54.250.251.0 - 54.250.251.255 2406:da32:4000::/40  | 
| Canadá (Central) | ca-central-1 |  15.223.100.0 - 15.223.100.255 15.223.102.0 - 15.223.103.255 35.183.255.0 - 35.183.255.255 2600:1f32:1000::/40  | 
| Europa (Frankfurt) | eu-central-1 |  18.156.52.0 - 18.156.52.255 18.156.54.0 - 18.156.55.255 52.59.127.0 - 52.59.127.255 2a05:d032:4000::/40  | 
| Europa (Irlanda) | eu-west-1 |  3.249.28.0 - 3.249.29.255 52.19.124.0 - 52.19.125.255 2a05:d032:8000::/40  | 
| Europa (Londres) | eu-west-2 |  18.132.21.0 - 18.132.21.255 18.132.22.0 - 18.132.23.255 35.176.32.0 - 35.176.32.255 2a05:d032:c000::/40  | 
| Europa (Paris) | eu-west-3 |  51.44.204.0-51.44.207.255  | 
| América do Sul (São Paulo) | sa-east-1 |  18.230.103.0 - 18.230.103.255 18.230.104.0 - 18.230.105.255 54.233.204.0 - 54.233.204.255 2600:1f32:e000::/40  | 
| África (Cidade do Cabo) | af-south-1 |  13.246.120.0 - 13.246.123.255 2406:da32:1000::/40  | 
| Israel (Tel Aviv) | il-central-1 |   51.17.28.0-51.17.31.255 2a05:d032:5000::/40  | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 |  52.61.193.0 - 52.61.193.255 2600:1f32:2000::/40  | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 |  18.254.140.0 - 18.254.143.255 2600:1f32:5000::/40  | 

## Servidores de gateway DCV
<a name="gateway_WSP"></a>

**Importante**  
A partir de junho de 2020, WorkSpaces transmite a sessão do desktop para DCV WorkSpaces para clientes pela porta 4195 em vez da porta 4172. Se você quiser usar DCV WorkSpaces, verifique se a porta 4195 está aberta ao tráfego.

**nota**  
Para WorkSpaces pools não BYOL, os intervalos de endereços IP não são garantidos. Em vez disso, você deve incluir na lista de permissões os nomes de domínio do gateway DCV. Para obter mais informações, consulte [Nomes de domínio do gateway DCV](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#dns-wsp). 

WorkSpaces usa uma pequena variedade de endereços públicos IPv4 e IPv6 endereços do Amazon EC2 para seus servidores de gateway DCV. Isso permite que você defina políticas de firewall mais refinadas para dispositivos que WorkSpaces acessam. WorkSpaces use uma faixa separada de IPv4 endereços públicos para os endpoints dedicados do AWS Global Accelerator (AGA). Certifique-se de configurar suas políticas de firewall para permitir os intervalos de IP se você planeja habilitar o AGA para seu WorkSpaces. Observe que o WorkSpaces cliente prioriza IPv6 as conexões quando IPv6 há suporte e os gateways estão acessíveis. Se não IPv6 estiver disponível, ele volta para o. IPv4

Se você usa AGA \$1 IPv6, precisa incluir na lista de permissões os intervalos de IPv6 CIDR dos `GLOBALACCELERATOR` intervalos. Consulte [Intervalos de localização e endereço IP dos servidores Global Accelerator Edge](https://docs.aws.amazon.com/global-accelerator/latest/dg/introduction-ip-ranges.html) no *Guia do Desenvolvedor do AWS Global Accelerator* para obter mais informações.


| Região | Código da região | Intervalo de endereços IP públicos | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Leste dos EUA (Ohio) | us-east-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Oeste dos EUA (Oregon) | us-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Ásia-Pacífico (Mumbai) | ap-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Ásia-Pacífico (Seul) | ap-northeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Ásia-Pacífico (Malásia) | ap-southeast-5 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Canadá (Central) | ca-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Frankfurt) | eu-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Irlanda) | eu-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Londres) | eu-west-2 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Europa (Paris) | eu-west-3 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| América do Sul (São Paulo) | sa-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| África (Cidade do Cabo) | af-south-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Israel (Tel Aviv) | il-central-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 

## Nomes de domínio do gateway DCV
<a name="dns-wsp"></a>

A tabela a seguir lista os nomes de domínio do WorkSpace gateway DCV. Esses domínios devem ser contatáveis para que o aplicativo WorkSpaces cliente possa acessar o serviço WorkSpace DCV. 


| Região | Domínio | 
| --- | --- | 
| Leste dos EUA (Norte da Virgínia) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Oeste dos EUA (Oregon) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Ásia-Pacífico (Mumbai) | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| Ásia-Pacífico (Seul) | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| Ásia-Pacífico (Singapura) | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| Ásia-Pacífico (Sydney) | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| Ásia-Pacífico (Tóquio) | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| Canadá (Central) | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| Europa (Frankfurt) | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| Europa (Irlanda) | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| Europa (Londres) | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| Europa (Paris) | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| América do Sul (São Paulo) | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| África (Cidade do Cabo) | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| Israel (Tel Aviv) | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| AWS GovCloud (Oeste dos EUA) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| AWS GovCloud (Leste dos EUA) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

## Interfaces de rede
<a name="network-interfaces"></a>

Cada WorkSpace uma tem as seguintes interfaces de rede:
+ A interface de rede primária (eth1) fornece conectividade aos recursos em sua VPC e na Internet e é usada para unir WorkSpace o ao diretório.
+ A interface de rede de gerenciamento (eth0) é conectada a uma rede de gerenciamento segura do WorkSpaces. Ele é usado para streaming interativo do WorkSpace desktop para WorkSpaces clientes e para WorkSpaces permitir o gerenciamento do WorkSpace.

WorkSpaces seleciona o endereço IP para a interface da rede de gerenciamento de vários intervalos de endereços, dependendo da região em que foram WorkSpaces criados. Quando um diretório é registrado, WorkSpaces testa o CIDR da VPC e as tabelas de rotas na sua VPC para determinar se esses intervalos de endereços criam um conflito. Se um conflito é encontrado em todos os intervalos de endereços disponíveis na região, é exibida uma mensagem de erro e o diretório não é registrado. Se você alterar as tabelas de rotas em sua VPC depois do diretório ser registrado, poderá causar um conflito.

**Atenção**  
Não modifique nem exclua nenhuma das interfaces de rede conectadas a um WorkSpace. Isso pode fazer com que eles WorkSpace fiquem inacessíveis ou percam o acesso à Internet. Por exemplo, se você [habilitou a atribuição automática de endereços IP elásticos](automatic-assignment.md) no nível do diretório, um [endereço IP elástico](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) (do pool fornecido pela Amazon) será atribuído a você WorkSpace quando ele for lançado. No entanto, se você associar um endereço IP elástico de sua propriedade a um WorkSpace e depois desassociar esse endereço IP elástico do WorkSpace, ele WorkSpace perderá seu endereço IP público e não obterá automaticamente um novo do pool fornecido pela Amazon.  
Para associar um novo endereço IP público do pool fornecido pela Amazon ao WorkSpace, você deve [reconstruir o. WorkSpace](rebuild-workspace.md) Se você não quiser reconstruir o WorkSpace, você deve associar outro endereço IP elástico de sua propriedade ao WorkSpace.

### Intervalos de IP de interface de gerenciamento
<a name="management-ip-ranges"></a>

A tabela a seguir lista os intervalos de endereços IP usados para a interface de rede de gerenciamento.

**nota**  
**Se você estiver usando o Windows Bring Your Own License (BYOL) WorkSpaces**, os intervalos de endereços IP na tabela a seguir não se aplicam. Em vez disso, o PCo IP BYOL WorkSpaces usa o intervalo de endereços IP 54.239.224.0/20 para o tráfego da interface de gerenciamento em todas as regiões. AWS Para Windows DCV BYOL WorkSpaces, os intervalos de endereços IP 54.239.224.0/20 e 10.0.0.0/8 se aplicam a todas as regiões. AWS (Esses intervalos de endereços IP são usados além do bloco CIDR /16 que você seleciona para gerenciar o tráfego do seu WorkSpaces BYOL.)
**Se você estiver usando DCV WorkSpaces criado a partir de pacotes públicos**, o intervalo de endereços IP 10.0.0.0/8 também se aplica ao tráfego da interface de gerenciamento em todas as AWS regiões, além dos PCoIP/DCV intervalos mostrados na tabela a seguir.


| Região | Intervalo de endereços IP | 
| --- | --- | 
| Leste dos EUA (Norte da Virgínia) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16, 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Oeste dos EUA (Oregon) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Ásia-Pacífico (Mumbai) | PCoIP/WSP: 192.168.0.0/16 WSP: 10.0.0.0/8 | 
| Ásia-Pacífico (Seul) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Ásia-Pacífico (Singapura) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Ásia-Pacífico (Sydney) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Ásia-Pacífico (Tóquio) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Canadá (Central) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Frankfurt) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Irlanda) | PCoIP/WSP: 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Londres) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Europa (Paris) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| América do Sul (São Paulo) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| África (Cidade do Cabo) | PCoIP/WSP: 172.31.0.0/16 e 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| Israel (Tel Aviv) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 
| AWS GovCloud (Oeste dos EUA) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 e 192.169.0.0/16 | 
| AWS GovCloud (Leste dos EUA) | PCoIP/WSP: 198.19.0.0/16 WSP: 10.0.0.0/8 | 

### Portas de interface de gerenciamento
<a name="management_ports"></a>

As seguintes portas devem estar abertas na interface da rede de gerenciamento de todos WorkSpaces:
+ TCP de entrada na porta 4172. Isso é usado para estabelecer a conexão de streaming no protocolo PCo IP.
+ UDP de entrada na porta 4172. Isso é usado para transmitir a entrada do usuário no protocolo PCo IP.
+ TCP de entrada na porta 4489. Isso é usado para acesso usando o cliente web.
+ TCP de entrada na porta 8200. Isso é usado para gerenciamento e configuração do WorkSpace.
+ TCP de entrada nas portas 8201-8250. Essas portas são usadas para estabelecer a conexão de streaming e para transmitir a entrada do usuário no protocolo DCV.
+ UDP de entrada na porta 8220. Essa porta é usada para estabelecer a conexão de streaming e para transmitir a entrada do usuário no protocolo DCV.
+ TCP de saída nas portas 8443 e 9997. Isso é usado para acesso usando o cliente web.
+ UDP de saída nas portas 3478, 4172 e 4195. Isso é usado para acesso usando o cliente web.
+ UDP de saída nas portas 50002 e 55002. Usada para o streaming. Se o seu firewall usa filtragem stateful, as portas efêmeras 50002 e 55002 são automaticamente abertas para permitir a comunicação de retorno. Se o firewall usar filtragem sem estado, será necessário abrir as portas efêmeras 49152 – 65535 para permitir a comunicação de retorno.
+ TCP de saída na porta 80, conforme definido nos [intervalos de IP da interface de gerenciamento](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#management-ip-ranges), para o endereço IP 169.254.169.254 para acesso ao serviço de metadados do EC2. Qualquer proxy HTTP atribuído a você também WorkSpaces deve excluir 169.254.169.254.
+ TCP de saída na porta 1688 para os endereços IP 169.254.169.250 e 169.254.169.251 para permitir o acesso ao KMS da Microsoft para ativação do Windows em Workspaces baseados em pacotes públicos. Se você estiver usando o Windows Bring Your Own License (BYOL) WorkSpaces, deverá permitir o acesso aos seus próprios servidores KMS para a ativação do Windows.
+ TCP de saída na porta 1688 para o endereço IP 54.239.236.220 para permitir acesso à ativação do Microsoft KMS para Office para BYOL. WorkSpaces

  Se você estiver usando o Office por meio de um dos pacotes WorkSpaces públicos, o endereço IP para ativação do Microsoft KMS for Office varia. Para determinar esse endereço IP, encontre o endereço IP da interface de gerenciamento do e WorkSpace, em seguida, substitua os dois últimos octetos por. `64.250` Por exemplo, se o endereço IP da interface de gerenciamento for 192.168.3.5, o endereço IP do KMS da Microsoft para ativação do Office será 192.168.64.250.
+ TCP de saída para o endereço IP 127.0.0.2 para DCV WorkSpaces quando o WorkSpace host está configurado para usar um servidor proxy.
+ Comunicações originadas do endereço de loopback 127.0.01.

Em circunstâncias normais, o WorkSpaces serviço configura essas portas para você WorkSpaces. Se algum software de segurança ou firewall estiver instalado em um WorkSpace que bloqueie qualquer uma dessas portas, ele WorkSpace pode não funcionar corretamente ou estar inacessível.

### Portas de interface primária
<a name="primary_ports"></a>

Independentemente do tipo de diretório que você tenha, as seguintes portas devem estar abertas na interface de rede principal de todas WorkSpaces:
+ Para conectividade com a Internet, as seguintes portas devem estar abertas de saída para todos os destinos e de entrada da WorkSpaces VPC. Você precisa adicioná-los manualmente ao grupo de segurança do seu WorkSpaces se quiser que eles tenham acesso à Internet.
  + TCP 80 (HTTP)
  + TCP 443 (HTTPS)
+ Para se comunicar com os controladores de diretório, as portas a seguir devem estar abertas entre sua WorkSpaces VPC e seus controladores de diretório. Para um diretório Simple AD, o grupo de segurança criado por Directory Service terá essas portas configuradas corretamente. Para um diretório do AD Connector, talvez seja necessário ajustar o grupo de segurança padrão da VPC para abrir essas portas.
  + TCP/UDP 53 - DNS
  + TCP/UDP 88 - autenticação de Kerberos
  + UDP 123 - NTP
  + TCP 135 - RPC
  + UDP 137-138 - Netlogon
  + TCP 139 - Netlogon
  + TCP/UDP 389 - LDAP
  + TCP/UDP 445 - SMB
  + TCP/UDP 636 - LDAPS (LDAP over TLS/SSL)
  + TCP 1024-65535 - Portas dinâmicas para o RPC
  + TCP 3268-3269 - catálogo global

  Se algum software de segurança ou firewall estiver instalado em um WorkSpace que bloqueie qualquer uma dessas portas, ele WorkSpace pode não funcionar corretamente ou estar inacessível.

## Requisitos de endereço IP e porta por Região
<a name="ip-address-regions"></a>

### Leste dos EUA (Norte da Virgínia)
<a name="us-east"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.us-east-1.amazonaws.com   | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.us-east-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.us-east-1.signin.aws | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínios: https://workspaces.us-east-1.amazonaws.com  | 
| Agente de sessão (PCM) | Domínios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-iad.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Nome de domínio do gateway DCV | \$1.prod.us-east-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Oeste dos EUA (Oregon)
<a name="us-west"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.us-west-2.amazonaws.com   | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.us-west-2.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.us-west-2.signin.aws | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínios: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-pdx.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 34.223.96.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.us-west-2.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Ásia-Pacífico (Mumbai)
<a name="ap-south"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.ap-south-1.amazonaws.com   | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.ap-south-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | O Acesso via Web ainda não está disponível na região Ásia-Pacífico (Mumbai). | 
| Nome do host de verificação de integridade | drp-bom.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP | 13.126.243.0 - 13.126.243.255 | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 65.1.156.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.ap-south-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Ásia-Pacífico (Seul)
<a name="ap-northeast-2"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Device Metrics (para aplicativos clientes 1.0\$1 e 2.0\$1) WorkSpaces  | https://device-metrics-us-2.amazon.com/ | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.ap-northeast-2.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.ap-northeast-2.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-icn.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 3.35.160.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.ap-northeast-2.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Ásia-Pacífico (Singapura)
<a name="ap-southeast-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.ap-southeast-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.ap-southeast-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-sin.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 13.212.132.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.ap-southeast-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Ásia-Pacífico (Sydney)
<a name="ap-southeast-2"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.ap-southeast-2.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.ap-southeast-2.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.ap-southeast-2.signin.aws | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-syd.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 3.25.248.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.ap-southeast-2.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Ásia-Pacífico (Tóquio)
<a name="ap-northeast-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.ap-northeast-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.ap-northeast-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.ap-northeast-1.signin.aws | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-nrt.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 3.114.164.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.ap-northeast-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Canadá (Central)
<a name="ca-central-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.ca-central-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.ca-central-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-yul.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 3.97.20.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.ca-central-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Frankfurt)
<a name="eu-central-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.eu-central-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.eu-central-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-fra.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 18.192.216.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.eu-central-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Irlanda)
<a name="eu-west-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.eu-west-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.eu-west-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.eu-west-1.signin.aws | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-dub.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 3.248.176.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.eu-west-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Londres)
<a name="eu-west-2"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.eu-west-2.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.eu-west-2.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-lhr.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 18.134.68.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.eu-west-2.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Europa (Paris)
<a name="eu-west-3"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/Cliente | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.eu-west-3.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.eu-west-3.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-cdg.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV |  51.17.72.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.eu-west-3.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### América do Sul (São Paulo)
<a name="sa-east-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.sa-east-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.sa-east-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-gru.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 15.228.64.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.sa-east-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### África (Cidade do Cabo)
<a name="sa-east-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.af-south-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.af-south-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-cpt.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 15.228.64.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.af-south-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### Israel (Tel Aviv)
<a name="il-central-1"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://d2td7dqidlhjx7.cloudfront.net/  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: https://skylight-client-ds.il-central-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio:  https://ws-client-service.il-central-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://<directory id>.awsapps.com/ (em que <directory id> é o domínio do cliente)  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Servidores TURN de acesso à Web para PCo IP | Servidor: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-tlv.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 51.17.72.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod.il-central-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud Região (Oeste dos EUA)
<a name="govcloud-west-region"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: h https://skylight-client-ds.us-gov-west-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.us-gov-west-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.signin.amazonaws-us-gov.com | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://login.us-gov-home.awsapps.com/directory//(onde está o domínio do cliente) <directory id><directory id>  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-pdt.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome de domínio do gateway DCV | \$1.prod. us-gov-west-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

### AWS GovCloud Região (Leste dos EUA)
<a name="govcloud-east-region"></a>


**Domínios e Endereços IP para adicionar à sua lista de permissões**  

| Categoria | Detalhes | 
| --- | --- | 
| CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ | 
| Atualização automática do cliente |  https://s3.amazonaws.com/workspaces-client-updates/prod/osu/windows/WorkSpacesAppCast.xml  | 
| Verificação de conectividade |  https://connectivity.amazonworkspaces.com/  | 
| Métricas do cliente (para mais de 3.0 aplicativos de WorkSpaces clientes) |  Domínio: h https://skylight-client-ds.us-gov-east-1.amazonaws.com  | 
| Serviço de mensagens dinâmicas (para mais de 3.0 aplicativos WorkSpaces clientes) |  Domínio: https://ws-client-service.us-gov-east-1.amazonaws.com  | 
| Configurações de diretório |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Serviço de registro Forrester  | https://fls-na.amazon.com/ | 
| Servidores de Verificação de Integridade (DRP) | [Servidores de verificação de integridade](#health_check) | 
| Endpoints de autenticação de cartão inteligente pré-sessão | https://smartcard.signin.amazonaws-us-gov.com | 
| Dependência de registro (para clientes Web Access e Teradici PCo IP Zero) | https://s3.amazonaws.com | 
| Páginas de login do usuário | https://login.us-gov-home.awsapps.com/directory//(onde está o domínio do cliente) <directory id><directory id>  | 
| WS Broker |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| WorkSpaces Endpoints da API |  Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html)  | 
| Agente de sessão (PCM) | Domínio: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Nome do host de verificação de integridade | drp-osu.amazonworkspaces.com | 
| Endereços IP para verificação de integridade |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| PCoIntervalos de endereços IP públicos de servidores de gateway IP |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 
| Intervalo de endereços IP dos servidores de gateway do DCV | 18.254.148.0/22 | 
| Nome de domínio do gateway DCV | \$1.prod. us-gov-east-1.highlander.aws.a2z.com | 
| Intervalos de endereço IP de interface de gerenciamento |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-port-requirements.html) | 

# Requisitos de rede de clientes do WorkSpaces Personal
<a name="workspaces-network-requirements"></a>

Os usuários do WorkSpaces podem se conectar aos WorkSpaces usando a aplicação cliente para um dispositivo compatível. Como alternativa, eles podem usar um navegador da Web para se conectar a WorkSpaces que oferecem suporte a esse tipo de acesso. Para obter uma lista de WorkSpaces que oferecem suporte ao acesso por navegador da web, consulte “Quais pacotes do Amazon WorkSpaces dão suporte a acesso pela web?” em [Acesso de clientes, acesso à Web e experiência do usuário](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).

**nota**  
Um navegador da web não pode ser usado para se conectar ao WorkSpaces do Amazon Linux.

**Importante**  
A partir de 1.º de outubro de 2020, os clientes não poderão mais usar o cliente do Acesso via Web do Amazon WorkSpaces para se conectarem a WorkSpaces personalizados do Windows 7 ou a WorkSpaces do tipo traga a sua própria licença (BYOL) do Windows 7.

Para proporcionar aos usuários uma boa experiência com seus WorkSpaces, verifique se seus dispositivos clientes cumprem os seguintes requisitos de rede:
+ O dispositivo cliente deve ter uma conexão de Internet banda larga. Recomendamos planejar um mínimo de 1 Mbps por usuário simultâneo assistindo a uma janela de vídeo de 480p. Dependendo dos requisitos de qualidade do usuário para a resolução de vídeo, pode ser necessária mais largura de banda.
+ A rede à qual o dispositivo cliente está conectado e qualquer firewall no dispositivo cliente devem ter determinadas portas abertas para os intervalos de endereços IP dos vários serviços da AWS. Para obter mais informações, consulte [Requisitos de endereço IP e porta para o WorkSpaces Personal](workspaces-port-requirements.md).
+ Para obter a melhor performance para PCoIP, o tempo de ida e volta (RTT) da rede do cliente até a região onde estão os WorkSpaces deve ser menor que 100 ms. Se o RTT estiver entre 100 ms e 200 ms, o usuário poderá acessar o WorkSpace, mas a performance será afetada. Se o RTT estiver entre 200 ms e 375 ms, a performance será reduzida. Se o RTT exceder 375 ms, a conexão do cliente do WorkSpaces será encerrada.

  Para obter a melhor performance para o DCV, o RTT da rede do cliente até a região onde estão os WorkSpaces deve ser menor que 250 ms. Se o RTT estiver entre 250 ms e 400 ms, o usuário poderá acessar o WorkSpace, mas a performance será reduzida.

  Para verificar o RTT para as várias regiões da AWS a partir de sua localização, use a [Verificação de integridade da conexão do Amazon WorkSpaces](https://clients.amazonworkspaces.com/Health.html).
+ Para usar webcams com o DCV, recomendamos uma largura de banda de upload mínima de 1,7 megabits por segundo.
+ Se os usuários acessarem seus WorkSpaces através de uma rede privada virtual (VPN), a conexão deverá oferecer suporte a uma unidade de transmissão máxima (MTU) de, pelo menos, 1.200 bytes.
**nota**  
Não é possível acessar o WorkSpaces por meio de uma VPN conectada à sua Virtual Private Cloud (VPC). Para acessar o WorkSpaces usando uma VPN, a conectividade da Internet (por meio de endereços IP públicos da VPN) é necessária, conforme descrito em [Requisitos de endereço IP e porta para o WorkSpaces Personal](workspaces-port-requirements.md).
+ Os clientes exigem acesso HTTPS a recursos do WorkSpaces hospedados pelo serviço e pelo Amazon Simple Storage Service (Amazon S3). Os clientes não são compatíveis com o redirecionamento de proxy no nível de aplicativo. O acesso HTTPS é necessário para que os usuários possam concluir com êxito o registro e acessar seus WorkSpaces.
+ Para permitir o acesso a partir de dispositivos PCoIP cliente zero, é necessário usar um pacote de protocolos PCoIP para o WorkSpaces. Também é necessário habilitar o Network Time Protocol (NTP) no Teradici. Para obter mais informações, consulte [Configurar clientes zero PCoIP para WorkSpaces Personal](set-up-pcoip-zero-client.md).

É possível verificar se um dispositivo cliente cumpre os requisitos de rede da seguinte forma.

## Como verificar os requisitos de rede para clientes 3.0\$1
<a name="verify-requirements-new-clients"></a>

1. Abra o cliente do WorkSpaces. Se esta for a primeira vez que você abre o cliente, será solicitado que você insira o código de registro que recebeu no e-mail de convite.

1. Dependendo do cliente que você estiver usando, siga um dos procedimentos a seguir.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/workspaces-network-requirements.html)

   A aplicação cliente testa a conexão de rede, as portas e o tempo de ida e volta e relata os resultados desses testes.

1. Feche a caixa de diálogo **Network (Rede)** para retornar à página de login.

## Como verificar os requisitos de rede para clientes 1.0\$1 e 2.0\$1
<a name="verify-requirements-legacy-clients"></a>

1. Abra o cliente do WorkSpaces. Se esta for a primeira vez que você abre o cliente, será solicitado que você insira o código de registro que recebeu no e-mail de convite.

1. Selecione **Network (Rede)** no canto inferior direito do aplicativo cliente. A aplicação cliente testa a conexão de rede, as portas e o tempo de ida e volta e relata os resultados desses testes.

1. Escolha **Dismiss (Descartar)** para voltar para a página de login.

# Restringir o acesso a WorkSpaces Personal para dispositivos confiáveis
<a name="trusted-devices"></a>

Por padrão, os usuários podem acessar seu WorkSpaces de qualquer dispositivo compatível que esteja conectado à Internet. Se sua empresa limita o acesso a dados corporativos a dispositivos confiáveis (também conhecidos como dispositivos gerenciados), você pode restringir o acesso dos WorkSpaces a dispositivos confiáveis com certificados válidos.

**nota**  
Atualmente, esse recurso está disponível somente quando seus diretórios do WorkSpaces Personal são gerenciados por meio dos diretórios Simple AD, AD Connector e AWS Managed Microsoft AD.

Quando você habilitar esse recurso, o WorkSpaces usará autenticação baseada em certificado para determinar se um dispositivo é confiável. Se o aplicativo cliente dos WorkSpaces não conseguir verificar se um dispositivo é confiável, ele bloqueará as tentativas de fazer login ou restabelecer conexão do dispositivo.

Para cada diretório, você pode importar até dois certificados raiz. Se você importar dois certificados raiz, o WorkSpaces os apresentará para o cliente, e o cliente localizará o primeiro certificado correspondente válido que se associa a um dos dois certificados raiz.

**Clientes compatíveis**
+ Android, em execução em sistemas Android ou em sistemas Android compatíveis com Chrome OS
+ macOS
+ Windows

**Importante**  
Este recurso não é compatível com os seguintes clientes:  
Aplicações cliente do WorkSpaces para Linux ou iPad
Clientes de terceiros, incluindo, mas não se limitando a, Teradici PCoIP, clientes RDP e aplicações de área de trabalho remota.

**nota**  
Ao habilitar o acesso para clientes específicos, certifique-se de bloquear o acesso para outros tipos de dispositivos que você não precisa. Para obter mais informações sobre como fazer isso, consulte a etapa 3.7 abaixo.

## Etapa 1: Criar os certificados
<a name="create-certificate"></a>

Este recurso exige dois tipos de certificados: certificados raiz gerados por uma autoridade de certificação (CA) interna e certificados de cliente que se associam a um certificado raiz.

**Requisitos**
+ Os certificados raiz devem ser arquivos codificados por Base64 no formato CRT, CERT ou PEM.
+ Os certificados raiz devem atender ao seguinte padrão de expressão regular, o que significa que cada linha codificada, exceto a última, deve ter exatamente 64 caracteres: `-{5}BEGIN CERTIFICATE-{5}\u000D?\u000A([A-Za-z0-9/+]{64} \u000D?\u000A)*[A-Za-z0-9/+]{1,64}={0,2}\u000D?\u000A-{5}END CERTIFICATE-{5}(\u000D?\u000A)`.
+ Os certificados de dispositivo devem incluir um nome comum.
+ Os certificados de dispositivo devem incluir as seguintes extensões: `Key Usage: Digital Signature` e `Enhanced Key Usage: Client Authentication`.
+ Todos os certificados na cadeia, desde o certificado de dispositivo até a Autoridade certificadora raiz confiável, devem ser instalados no dispositivo cliente.
+ O tamanho máximo da cadeia de certificados compatível é 4.
+ O WorkSpaces não oferece suporte a mecanismos de revogação de dispositivos, como listas de revogação de certificados (CRL) ou protocolo OCSP, para certificados de cliente.
+ Use um algoritmo de criptografia forte. Recomendamos SHA256 com RSA, SHA256 com ECDSA, SHA384 com ECDSA ou SHA512 com ECDSA.
+ Para macOS, se o certificado do dispositivo estiver na cadeia de chaves do sistema, recomendamos que você autorize o aplicativo cliente dos WorkSpaces a acessar os certificados. Caso contrário, os usuários devem inserir credenciais de cadeia de chaves quando fazem login ou se reconectam.

## Etapa 2: Implantar certificados de cliente nos dispositivos confiáveis
<a name="deploy-certificate"></a>

Nos dispositivos confiáveis para usuários, você deve instalar um pacote de certificados que inclua todos os certificados na cadeia, desde o certificado do dispositivo até a Autoridade de Certificação raiz confiável. Você pode usar a melhor solução para instalar os certificados na sua frota de dispositivos clientes; por exemplo, o System Center Configuration Manager (SCCM) ou o gerenciamento de dispositivos móveis (MDM). Observe que o SCCM e o MDM podem executar uma avaliação de postura de segurança para determinar se os dispositivos atendem às suas políticas corporativas para acessar os WorkSpaces.

As aplicações cliente do WorkSpaces pesquisam certificados da seguinte forma:
+ Android: vá para **Configurações**, selecione **Segurança e localização**, **Credenciais** e selecione **Instalar do cartão SD**.
+ Sistemas Chrome OS compatíveis com Android: abra as configurações do Android e selecione **Segurança e localização**, **Credenciais** e escolha **Instalar do cartão SD**.
+ macOS: pesquisa certificados de cliente no conjunto de chaves.
+ Windows: pesquisa nos repositórios de certificados raiz e de usuário em busca de certificados de cliente.

## Etapa 3: Configurar a restrição
<a name="configure-restriction"></a>

Depois que você tiver implementado os certificados do cliente nos dispositivos confiáveis, poderá habilitar o acesso restrito no nível de diretório. Isso requer que o aplicativo cliente dos WorkSpaces valide o certificado em um dispositivo antes de permitir que um usuário faça login em um WorkSpace.

**Para configurar a restrição**

1. Abra o console do WorkSpaces em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione o diretório e escolha **Ações**, **Atualizar detalhes**.

1. Expanda **Opções de controle de acesso**.

1. Em **Para cada tipo de dispositivo, especifique quais dispositivos podem acessar o WorkSpaces**, selecione **Dispositivos confiáveis**.

1. Importe até dois certificados raiz. Para cada certificado raiz, faça o seguinte:

   1. Escolha **Importar**.

   1. Copie o corpo do certificado no formulário.

   1. Escolha **Importar**.

1. Especifique se outros tipos de dispositivo têm acesso ao WorkSpaces.

   1. Role para baixo até a seção **Other Platforms (Outras plataformas)**. Por padrão, o WorkSpaces Web Access e os clientes Linux são desabilitados e os usuários podem acessar os WorkSpaces em dispositivos iOS, Android, Chromebooks e dispositivos PCoIP cliente zero.

   1. Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a serem desativados.

   1. Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha **Bloquear**.

1. Escolha **Atualizar e sair**.

# Integrar o SAML 2.0 com o WorkSpaces Personal
<a name="amazon-workspaces-saml"></a>

**nota**  
O SAML 2.0 está disponível somente quando os diretórios do WorkSpaces Personal são gerenciados por meio do Directory Service, incluindo Simple AD, AD Connector e o diretório AD da Microsoft gerenciado pela AWS. O atributo não se aplica aos diretórios gerenciados pelo Amazon WorkSpaces, que normalmente usam o IAM Identity Center para autenticação de usuários em vez da federação SAML 2.0.

A integração do SAML 2.0 com WorkSpaces para a autenticação de sessão de área de trabalho permite que os usuários usem suas credenciais e métodos de autenticação existentes do provedor de identidades (IdP) SAML 2.0 por meio do navegador da web padrão. Ao usar seu IdP para autenticar usuários nos WorkSpaces, é possível proteger os WorkSpaces empregando atributos do IdP, como autenticação multifator e políticas de acesso contextual.

## Fluxo de trabalho de autenticação
<a name="authentication-workflow"></a>

As seguintes seções descrevem o fluxo de trabalho de autenticação iniciado pela aplicação cliente do WorkSpaces, pelo Acesso via Web do WorkSpaces e por um provedor de identidades (IdP) SAML 2.0:
+ Quando o fluxo é iniciado pelo IdP. Por exemplo, quando os usuários escolhem uma aplicação no portal do usuário do IdP em um navegador da web.
+ Quando o fluxo é iniciado pelo cliente do WorkSpaces. Por exemplo, quando os usuários abrem a aplicação cliente e fazem login.
+ Quando o fluxo é iniciado pelo Acesso via Web do WorkSpaces. Por exemplo, quando os usuários abrem o Acesso via Web em um navegador e fazem login.

Nesses exemplos, os usuários inserem `user@example.com` para entrar no IdP. O IdP possui uma aplicação de provedor de serviços SAML 2.0 configurada para um diretório do WorkSpaces e os usuários estão autorizados na aplicação WorkSpaces SAML 2.0. Os usuários criam um WorkSpace para seus nomes de usuário, `user`, em um diretório habilitado para autenticação SAML 2.0. Além disso, os usuários instalam a [aplicação cliente do WorkSpaces](https://clients.amazonworkspaces.com/) em seus dispositivos ou usam o Acesso via Web em um navegador da web.

**Fluxo iniciado pelo provedor de identidades (IdP) com a aplicação cliente**

O fluxo iniciado pelo IdP permite que os usuários registrem automaticamente a aplicação cliente do WorkSpaces em seus dispositivos sem precisar inserir um código de registro do WorkSpaces. Os usuários não fazem login em seus WorkSpaces usando o fluxo iniciado pelo IdP. A autenticação do WorkSpaces deve ter origem na aplicação cliente.

1. Os usuários fazem login no IdP usando um navegador da web.

1. Depois de entrar no IdP, eles escolhem a aplicação WorkSpaces no portal do usuário do IdP.

1. Os usuários são redirecionados para essa página no navegador e a aplicação cliente do WorkSpaces é aberta automaticamente.   
![\[Abrir a página de redirecionamento da aplicação do WorkSpaces\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/saml-redir.png)

1. A aplicação cliente do WorkSpaces agora está registrada e os usuários podem prosseguir com o login clicando em **Continuar a fazer login no WorkSpaces**.

**Fluxo iniciado pelo provedor de identidades (IdP) com o Acesso via Web**

O fluxo do Acesso via Web iniciado por IdP permite que os usuários registrem automaticamente os WorkSpaces por meio de um navegador da web sem precisar inserir um código de registro do WorkSpaces. Os usuários não fazem login em seus WorkSpaces usando o fluxo iniciado pelo IdP. A autenticação do WorkSpaces deve ter origem no Acesso via Web.

1. Os usuários fazem login no IdP usando um navegador da web.

1. Depois de entrar no IdP, os usuários clicam na aplicação WorkSpaces no portal do usuário do IdP.

1. Os usuários são redirecionados para essa página no navegador. Para abrir WorkSpaces, escolha **Amazon WorkSpaces no navegador**.  
![\[Abrir a página de redirecionamento da aplicação do WorkSpaces\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/saml-redir.png)

1. A aplicação cliente do WorkSpaces agora está registrada e os usuários podem prosseguir com o login por meio do Acesso via Web do WorkSpaces.

**Fluxo iniciado pelo cliente do WorkSpaces**

O fluxo iniciado pelo cliente permite que os usuários façam login em seus WorkSpaces após entrarem em um IdP.

1. Os usuários iniciam a aplicação cliente do WorkSpaces (se ela ainda não estiver em execução) e clicam em **Continuar a fazer login no WorkSpaces**.

1. Os usuários são redirecionados para o navegador padrão para que façam login no IdP. Se os usuários já estiverem conectados ao IdP no navegador, eles não precisarão fazer login novamente e pularão essa etapa.

1. Depois de fazer login no IdP, os usuários são redirecionados para um pop-up. Siga as instruções para permitir que o navegador abra a aplicação cliente.  
![\[Abra o prompt da aplicação cliente.\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/saml-open-client-app.png)

1. Os usuários são redirecionados para a aplicação cliente do WorkSpaces para que concluam o login no WorkSpace. Os nomes de usuário do WorkSpaces são preenchidos automaticamente com base na declaração SAML 2.0 do IdP. Ao usar a [autenticação baseada em certificado (CBA)](certificate-based-authentication.md), os usuários são automaticamente conectados.

1. Os usuários estão conectados ao WorkSpace.

**Fluxo iniciado pelo Acesso via Web do WorkSpaces**

O fluxo iniciado pelo Acesso via Web permite que os usuários façam login nos WorkSpaces após se conectarem a um IdP.

1. Os usuários iniciam o Acesso via Web do WorkSpaces e escolhem **Fazer login**.

1. Na mesma guia do navegador, os usuários são redirecionados para o portal do IdP. Se os usuários já estiverem conectados ao IdP no navegador, eles não precisarão fazer login novamente e podem pular essa etapa.

1. Depois de fazer login no IdP, os usuários são redirecionados para essa página no navegador e clicam em **Fazer login no WorkSpaces**.

1. Os usuários são redirecionados para a aplicação cliente do WorkSpaces para que concluam o login no WorkSpace. Os nomes de usuário do WorkSpaces são preenchidos automaticamente com base na declaração SAML 2.0 do IdP. Ao usar a [autenticação baseada em certificado (CBA)](certificate-based-authentication.md), os usuários são automaticamente conectados.

1. Os usuários estão conectados ao WorkSpace.

# Configurar o SAML 2.0 para uso pessoal WorkSpaces
<a name="setting-up-saml"></a>

Ative o registro e o login WorkSpaces do aplicativo cliente WorkSpaces para seus usuários usando as credenciais do provedor de identidade (IdP) e os métodos de autenticação do SAML 2.0 configurando a federação de identidades usando o SAML 2.0. Para definir a federação de identidades usando o SAML 2.0, use o perfil do IAM e o URL de estado de retransmissão para configurar o IdP e habilitar a AWS. Isso concede aos usuários federados acesso a um WorkSpaces diretório. O estado de retransmissão é o endpoint do WorkSpaces diretório para o qual os usuários são encaminhados após o login bem-sucedido. AWS

**Topics**
+ [Requisitos](#setting-up-saml-requirements)
+ [Pré-requisitos](#setting-up-saml-prerequisites)
+ [Etapa 1: criar um provedor de identidade SAML no IAM AWS](#create-saml-identity-provider)
+ [Etapa 2: Criar um perfil do IAM de federação SAML 2.0](#create-saml-iam-role)
+ [Etapa 3: Incorporar uma política em linha para o perfil do IAM](#embed-inline-policy)
+ [Etapa 4: Configurar um provedor de identidades SAML 2.0](#configure-saml-id-provider)
+ [Etapa 5: Criar declarações para a resposta de autenticação SAML](#create-assertions-saml-auth)
+ [Etapa 6: Configurar o estado de retransmissão da federação](#configure-relay-state)
+ [Etapa 7: habilitar a integração com o SAML 2.0 em seu diretório WorkSpaces](#enable-integration-saml)

## Requisitos
<a name="setting-up-saml-requirements"></a>
+ A autenticação SAML 2.0 está disponível nas seguintes regiões:
  + Região Leste dos EUA (N. da Virgínia)
  + Região Oeste dos EUA (Oregon)
  + Região África (Cidade do Cabo)
  + Região Ásia-Pacífico (Mumbai)
  + Região Ásia-Pacífico (Seul)
  + Região Ásia-Pacífico (Singapura)
  + Região Ásia-Pacífico (Sydney)
  + Região Ásia-Pacífico (Tóquio)
  + Região do Canadá (Central)
  + Região Europa (Frankfurt)
  + Região Europa (Irlanda)
  + Região Europa (Londres)
  + Região América do Sul (São Paulo)
  + Região de Israel (Tel Aviv)
  + AWS GovCloud (Oeste dos EUA)
  + AWS GovCloud (Leste dos EUA)
+ Para usar a autenticação SAML 2.0 com WorkSpaces, o IdP deve oferecer suporte a SSO não solicitado iniciado pelo IdP com um recurso de destino de link direto ou URL de endpoint de estado de retransmissão. Exemplos IdPs incluem ADFS, Azure AD, Duo Single Sign-On, Okta, e. PingFederate PingOne Para obter mais informações, consulte a documentação do IdP.
+ A autenticação do SAML 2.0 funcionará com o WorkSpaces Launch usando o Simple AD, mas isso não é recomendado, pois o Simple AD não se integra ao SAML 2.0. IdPs
+ A autenticação SAML 2.0 é compatível com os seguintes WorkSpaces clientes. Outras versões do cliente não são compatíveis com a autenticação SAML 2.0. Abra o Amazon WorkSpaces [Client Downloads](https://clients.amazonworkspaces.com/) para encontrar as versões mais recentes:
  + Aplicação cliente para Windows versão 5.1.0.3029 ou posterior
  + Cliente para macOS versão 5.x ou posterior
  + Cliente Linux para Ubuntu 22.04 versão 2024.1 ou posterior, Ubuntu 20.04 versão 24.1 ou posterior
  + Web Access

  Outras versões do cliente não poderão se conectar à autenticação WorkSpaces habilitada para SAML 2.0, a menos que o fallback esteja ativado. Para obter mais informações, consulte [Habilitar a autenticação SAML 2.0 no WorkSpaces diretório](https://d1.awsstatic.com/workspaces-saml-guide.pdf).

Para step-by-step obter instruções sobre como integrar o SAML 2.0 com WorkSpaces o uso do ADFS, do Azure AD, do Duo Single Sign-On, do Okta PingFederate e do Enterprise OneLogin, consulte o PingOne Guia de implementação da autenticação [Amazon WorkSpaces ](https://d1.awsstatic.com/workspaces-saml-guide.pdf) SAML.

## Pré-requisitos
<a name="setting-up-saml-prerequisites"></a>

Preencha os pré-requisitos a seguir antes de configurar sua conexão do provedor de identidade (IdP) SAML 2.0 com um diretório. WorkSpaces 

1. Configure seu IdP para integrar identidades de usuário do Microsoft Active Directory que é usado com o diretório. WorkSpaces Para um usuário com a WorkSpace, os atributos de **AMAccountnome e **e-mail** s** para o usuário do Active Directory e os valores da declaração SAML devem corresponder para que o usuário faça login WorkSpaces usando o IdP. Para obter mais informações sobre a integração do Active Directory com seu IdP, consulte a documentação do seu IdP.

1. Configurar o IdP para estabelecer uma relação de confiança AWS.
   + Consulte [Integração de provedores de soluções SAML de terceiros com AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html) para obter mais informações sobre como configurar AWS a federação. Exemplos relevantes incluem a integração do IdP com o AWS IAM para acessar o console AWS de gerenciamento.
   + Usar o IdP para gerar e fazer download de um documento de metadados de federação que descreva a empresa como um IdP. Este documento XML assinado é usado para estabelecer a confiança da parte dependente. Salvar este arquivo em um local para acessar posteriormente no console do IAM.

1. Crie ou registre um diretório WorkSpaces usando o console WorkSpaces de gerenciamento. Para obter mais informações, consulte [Gerenciar diretórios para WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-directory.html). A autenticação SAML 2.0 para WorkSpaces é compatível com os seguintes tipos de diretório:
   + AD Connector
   + AWS Microsoft AD gerenciado

1. Crie um WorkSpace para um usuário que possa entrar no IdP usando um tipo de diretório compatível. Você pode criar um WorkSpace usando o console WorkSpaces de gerenciamento ou a WorkSpaces API. AWS CLI Para obter mais informações, consulte [Iniciar uma área de trabalho virtual usando WorkSpaces](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html). 

## Etapa 1: criar um provedor de identidade SAML no IAM AWS
<a name="create-saml-identity-provider"></a>

Primeiro, crie um SAML IdP AWS no IAM. Esse IdP define a relação de AWS confiança entre IdP e IdP de sua organização usando o documento de metadados gerado pelo software IdP em sua organização. Para obter mais informações, consulte [Criação e gerenciamento de um provedor de identidade do IAM SAML (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console). Para obter informações sobre como trabalhar com SAML IdPs em AWS GovCloud (Oeste dos EUA) e AWS GovCloud (Leste dos EUA), consulte [AWS Identity and](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-iam.html) Access Management. 

## Etapa 2: Criar um perfil do IAM de federação SAML 2.0
<a name="create-saml-iam-role"></a>

A seguir, crie um perfil do IAM de federação SAML 2.0. Essa etapa estabelece uma relação de confiança entre o IAM e o IdP da sua organização, o que identifica seu IdP como uma entidade confiável para federação.

Como criar um perfil do IAM para o IdP SAML

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis** > **Criar perfil**.

1.  Em **Tipo de perfil**, escolha **Federação SAML 2.0**. 

1.  Em **Provedor SAML**, selecionar o IdP SAML que você criou. 
**Importante**  
Não escolha nenhum dos dois métodos de acesso SAML 2.0 (**Permitir somente acesso programático** ou **Permitir acesso programático e pelo Console de Gerenciamento da Amazon Web Services**).

1. Em **Atributo**, selecione **SAML:sub\$1type**.

1. Em **Valor**, insira `persistent`. Esse valor restringe o acesso de perfis a solicitações de streaming de usuários do SAML que incluam uma declaração do tipo de assunto de SAML com um valor persistente. Se o SAML:sub\$1type for persistente, o IdP envia o mesmo valor exclusivo para o elemento NameID em todas as solicitações de SAML de um usuário específico. [Para obter mais informações sobre a declaração SAML:sub\$1type, consulte a seção **Identificação exclusiva de usuários na federação baseada em SAML em Como usar a federação baseada em SAML** para acesso à API a. AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-configuring)

1. Verificar as informações de confiança do SAML 2.0 confirmando a entidade confiável e a condição corretas e, em seguida, selecionar **Próximo: Permissões**. 

1. Na página **Anexar políticas de permissões**, selecione **Próximo: Etiquetas**.

1. (Opcional) Insira uma chave e um valor para cada etiqueta que deseja adicionar. Para obter mais informações, consulte [Recursos de etiquetas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html).

1. Ao concluir, selecione **Próximo: revisão**. Você pode criar e incorporar uma política em linha para esse perfil posteriormente.

1. Em **Nome do perfil**, insira um nome que identifique a finalidade desse perfil. Como várias entidades podem fazer referência ao perfil, não é possível editar o nome do perfil depois que ele é criado.

1. (Opcional) Em **Descrição da função**, insira uma descrição para o novo perfil.

1. Revisar os detalhes do perfil e selecionar **Criar perfil**.

1. Adicione a TagSession permissão sts: à política de confiança da sua nova função do IAM. Para obter mais informações, consulte [Passar tags de sessão no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html). Nos detalhes do novo perfil do IAM, selecione a guia **Relações de confiança** e escolha **Editar relação de confiança\$1**. Quando o editor Editar política de relacionamento de confiança for aberto, adicione a permissão **sts: TagSession \$1**, da seguinte forma:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
               },
               "Action": [
                   "sts:AssumeRoleWithSAML",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "SAML:aud": "https://signin.aws.amazon.com/saml"
                   }
               }
           }
       ]
   }
   ```

------

Substitua `IDENTITY-PROVIDER` pelo nome do IdP SAML criado na etapa 1. Depois, escolha **Atualizar política de confiança**.

## Etapa 3: Incorporar uma política em linha para o perfil do IAM
<a name="embed-inline-policy"></a>

A seguir, incorpore uma política do IAM em linha para o perfil que você criou. Quando você incorpora uma política em linha, as permissões nela não podem ser anexadas acidentalmente à entidade principal errada. A política em linha fornece aos usuários federados acesso ao WorkSpaces diretório.

**Importante**  
As políticas do IAM para gerenciar o acesso AWS com base no IP de origem não são compatíveis com a `workspaces:Stream` ação. Para gerenciar controles de acesso IP para WorkSpaces, use [grupos de controle de acesso IP](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html). Além disso, ao usar a autenticação SAML 2.0, você pode usar políticas de controle de acesso IP se elas estiverem disponíveis no seu IdP do SAML 2.0.

1. Nos detalhes do perfil do IAM que você criou, escolha a guia **Permissões** e adicione as permissões necessárias à política de permissões do perfil. O **assistente Criar política** será iniciado.

1. Em **Criar política**, selecione a guia **JSON**.

1. Copie e cole a política JSON a seguir na janela JSON. Em seguida, modifique o recurso inserindo seu Código AWS da Região, ID da conta e ID do diretório. Na política a seguir, `"Action": "workspaces:Stream"` está a ação que fornece aos WorkSpaces usuários permissões para se conectarem às sessões de desktop no WorkSpaces diretório.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "workspaces:Stream",
               "Resource": "arn:aws:workspaces:us-east-1:123456789012:directory/DIRECTORY-ID",
               "Condition": {
                   "StringEquals": {
                       "workspaces:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   ```

------

   `REGION-CODE`Substitua pela AWS região em que seu WorkSpaces diretório existe. `DIRECTORY-ID`Substitua pelo ID do WorkSpaces diretório, que pode ser encontrado no console WorkSpaces de gerenciamento. Para recursos em AWS GovCloud (Oeste dos EUA) ou AWS GovCloud (Leste dos EUA), use o seguinte formato para o ARN:. `arn:aws-us-gov:workspaces:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:directory/DIRECTORY-ID`

1. Ao concluir, selecionar **Revisar política**. O [Validador de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) indica se há erros de sintaxe.

## Etapa 4: Configurar um provedor de identidades SAML 2.0
<a name="configure-saml-id-provider"></a>

[Em seguida, dependendo do seu IdP do SAML 2.0, talvez seja necessário atualizar manualmente seu IdP para AWS confiar como provedor de serviços fazendo o upload do arquivo em https://signin.aws.amazon.com/static/ saml-metadata.xml para `saml-metadata.xml` o seu IdP.](https://signin.aws.amazon.com/static/saml-metadata.xml) Esta etapa atualiza os metadados do seu IdP. Para alguns IdPs, a atualização pode já estar configurada. Se for esse o caso, prosseguir para a próxima etapa.

Se esta atualização ainda não estiver configurada no seu IdP, revise a documentação fornecida pelo IdP para obter informações sobre como atualizar os metadados. Alguns provedores dão a opção de digitar o URL, e o IdP obtém e instala o arquivo para você. Outros exigem que você baixe o arquivo pelo URL e forneça como arquivo local.

**Importante**  
No momento, você também pode autorizar usuários em seu IdP a acessar WorkSpaces o aplicativo que você configurou em seu IdP. Os usuários autorizados a acessar o WorkSpaces aplicativo do seu diretório não têm automaticamente um WorkSpace criado para eles. Da mesma forma, os usuários que WorkSpace criaram um para eles não estão automaticamente autorizados a acessar o WorkSpaces aplicativo. Para se conectar com êxito a uma autenticação WorkSpace usando SAML 2.0, o usuário deve ser autorizado pelo IdP e ter WorkSpace criado uma.

**nota**  
Se seus usuários finais alternarem frequentemente entre várias identidades de WorkSpaces usuário diferentes enquanto usam o mesmo provedor de identidade (IdP) SAML 2.0, certifique-se de que seu IdP esteja configurado para forçar a autenticação (ForceAuthn) em cada tentativa de login. Isso impede que seu IdP reutilize uma sessão de SSO existente, o que pode causar falhas de autenticação quando seus usuários estão migrando para outra. WorkSpace Consulte a documentação do seu IdP para obter orientação sobre como ativar a configuração ForceAuthn (ou equivalente).

## Etapa 5: Criar declarações para a resposta de autenticação SAML
<a name="create-assertions-saml-auth"></a>

Em seguida, configure as informações que seu IdP envia AWS como atributos SAML em sua resposta de autenticação. Dependendo do IdP, isso já está configurado. Nesse caso, pule esta etapa e prossiga para [Step 6: Configure the relay state of your federation](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#configure-relay-state).

Se essas informações ainda não estiverem configuradas no seu IdP, forneça o seguinte:
+ **NameID de assunto de SAML**: o identificador exclusivo do usuário que está fazendo login. O valor deve corresponder ao nome WorkSpaces do usuário e normalmente é o atributo **s AMAccount Name** para o usuário do Active Directory.
+ **Tipo de assunto de SAML** (com um valor definido como `persistent`): definir o valor como `persistent` garante que o IdP envia o mesmo valor exclusivo para o elemento `NameID` em todas as solicitações SAML de determinado usuário. Garanta que a política do IAM inclua uma condição para permitir apenas solicitações SAML com sub\$1type de SAML definido como `persistent`, conforme descrito em [Step 2: Create a SAML 2.0 federation IAM role](https://docs.aws.amazon.com/appstream2/latest/developerguide/external-identity-providers-setting-up-saml.html#external-identity-providers-grantperms).
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/Role`**: este elemento contém um ou mais elementos `AttributeValue` que listam o perfil do IAM e o IdP SAML para o qual o usuário é mapeado pelo IdP. A função e o IdP são especificados como um par delimitado por vírgula de. ARNs Um exemplo do valor esperado é`arn:aws:iam::ACCOUNTNUMBER:role/ROLENAME,arn:aws:iam::ACCOUNTNUMBER:saml-provider/PROVIDERNAME`.
+ **`Attribute`elemento com o `Name` atributo definido como `https://aws.amazon.com/SAML/Attributes/RoleSessionName`** — Esse elemento contém um `AttributeValue` elemento que fornece um identificador para as credenciais AWS temporárias emitidas para o SSO. O valor no `AttributeValue` elemento deve ter entre 2 e 64 caracteres, pode conter apenas caracteres alfanuméricos, sublinhados e os seguintes caracteres: **\$1 . : / = \$1 - @**. Não pode conter espaços. O valor geralmente é um endereço de e-mail ou um nome de entidade principal de usuário (UPN). Não deve ser um valor que inclua um espaço, como o nome de exibição de um usuário.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email`**: este elemento contém um elemento `AttributeValue` que fornece o endereço de e-mail do usuário. O valor deve corresponder ao endereço de e-mail WorkSpaces do usuário, conforme definido no WorkSpaces diretório. Os valores da etiqueta podem incluir combinações de letras, números, espaços e caracteres **\$1 . : / = \$1 - @**. Para obter mais informações, consulte [Regras para etiquetar no IAM e no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) no *Guia do usuário do IAM*.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName` (opcional)**: este elemento contém um elemento `AttributeValue` que fornece o `userPrincipalName` do Active Directory para o usuário que está fazendo login. O valor deve ser fornecido no formato `username@domain.com`. Este parâmetro é usado com autenticação baseada em certificado como Nome Alternativo do Assunto no certificado do usuário final. Para obter mais informações, consulte Certificate-Based Authentication.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid` (opcional)**: este elemento contém um elemento `AttributeValue` que fornece o identificador de segurança (SID) do Active Directory para o usuário que está fazendo login. Esse parâmetro é usado com a autenticação baseada em certificado para permitir um mapeamento forte para o usuário do Active Directory. Para obter mais informações, consulte Certificate-Based Authentication.
+ **Elemento `Attribute` com o atributo `Name` definido como `https://aws.amazon.com/SAML/Attributes/PrincipalTag:ClientUserName` (opcional)**: este elemento contém um elemento `AttributeValue` que fornece um formato de nome de usuário alternativo. Use esse atributo se você tiver casos de uso que exijam formatos de nome de usuário`corp\username`, como`corp.example.com\username`, ou `username@corp.example.com` para fazer login usando o WorkSpaces cliente. As chaves e os valores da etiqueta podem incluir qualquer combinação de letras, números, espaços e caracteres **\$1 : / . \$1 = @ -**. Para obter mais informações, consulte [Regras para etiquetar no IAM e no AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules) no *Guia do usuário do IAM*. Para reivindicar os formatos `corp\username` ou `corp.example.com\username`, substitua **\$1** por **/** na declaração SAML.
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/:Domain PrincipalTag (opcional) —** Esse elemento contém um elemento `AttributeValue` que fornece o nome de domínio totalmente qualificado (FQDN) do Active Directory DNS para usuários que fazem login. Esse parâmetro é usado com autenticação baseada em certificado quando o Active Directory `userPrincipalName` do usuário contém um sufixo alternativo. O valor deve ser fornecido no`domain.com`, incluindo quaisquer subdomínios.
+ **`Attribute`elemento com o `Name` https://aws.amazon.com/SAML/ atributo definido como Attributes/ SessionDuration (opcional)** — Esse elemento contém um `AttributeValue` elemento que especifica o tempo máximo em que uma sessão de streaming federada para um usuário pode permanecer ativa antes que a reautenticação seja necessária. O valor padrão é de 3.600 segundos (60 minutos). Para obter mais informações, consulte [ SAML `SessionDurationAttribute`](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration). 
**nota**  
Embora `SessionDuration` seja um atributo opcional, recomendamos incluí-lo na resposta SAML. Se você não especificar esse atributo, a duração da sessão será definida como um valor padrão de 3600 segundos (60 minutos). WorkSpaces as sessões de desktop são desconectadas após a expiração da duração da sessão.

Para obter mais informações sobre como configurar esses elementos, consulte [Configuração de declarações SAML para a resposta de autenticação](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html) no *Guia de usuário do IAM*. Para obter informações sobre requisitos de configuração específicos do seu IdP, consulte a documentação do seu IdP.

## Etapa 6: Configurar o estado de retransmissão da federação
<a name="configure-relay-state"></a>

Em seguida, use seu IdP para configurar o estado de retransmissão da sua federação para apontar para a URL do estado de retransmissão do WorkSpaces diretório. Após a autenticação bem-sucedida AWS, o usuário é direcionado ao endpoint do WorkSpaces diretório, definido como o estado de retransmissão na resposta de autenticação SAML.

O URL do estado de retransmissão tem o seguinte formato:

```
https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code
```

Crie sua URL de estado de retransmissão a partir do código de registro do WorkSpaces diretório e do endpoint de estado de retransmissão associado à região na qual seu diretório está localizado. O código de registro pode ser encontrado no console WorkSpaces de gerenciamento.

Opcionalmente, se você estiver usando o redirecionamento entre regiões WorkSpaces, poderá substituir o código de registro pelo nome de domínio totalmente qualificado (FQDN) associado aos diretórios em suas regiões primária e de failover. Para obter mais informações, consulte [Redirecionamento entre regiões para a Amazon](https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html). WorkSpaces Ao usar o redirecionamento entre regiões e a autenticação SAML 2.0, os diretórios primário e de failover precisam ser habilitados para a autenticação SAML 2.0 e configurados de forma independente com o IdP, usando o endpoint de estado de retransmissão associado a cada região. Isso permitirá que o FQDN seja configurado corretamente quando os usuários registrarem seus aplicativos WorkSpaces clientes antes de fazer login e permitirá que os usuários se autentiquem durante um evento de failover.

A tabela a seguir lista os endpoints do estado de retransmissão para as regiões em que a autenticação WorkSpaces SAML 2.0 está disponível.


**Regiões em que a autenticação WorkSpaces SAML 2.0 está disponível**  

| Região | Endpoint de estado de retransmissão | 
| --- | --- | 
| Região Leste dos EUA (Norte da Virgínia) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html) | 
| Região Oeste dos EUA (Oregon) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html) | 
| Região África (Cidade do Cabo) | workspaces.euc-sso.af-south-1.aws.amazon.com | 
| Região Ásia-Pacífico (Mumbai) | workspaces.euc-sso.ap-south-1.aws.amazon.com | 
| Região Ásia-Pacífico (Seul) | https://workspaces.ap-northeast-2.amazonaws.com | 
| Região Ásia-Pacífico (Singapura) | https://workspaces.ap-southeast-1.amazonaws.com | 
| Região Ásia-Pacífico (Sydney) | https://workspaces.ap-southeast-2.amazonaws.com | 
| Região Ásia-Pacífico (Tóquio) | https://workspaces.ap-northeast-1.amazonaws.com | 
| Região Canadá (Central) | workspaces.euc-sso.ca-central-1.aws.amazon.com | 
| Região Europa (Frankfurt) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| Região Europa (Irlanda) | workspaces.euc-sso.eu-west-1.aws.amazon.com | 
| Região Europa (Londres) | workspaces.euc-sso.eu-west-2.aws.amazon.com | 
| Região América do Sul (São Paulo) | workspaces.euc-sso.sa-east-1.aws.amazon.com | 
| Região de Israel (Tel Aviv) | workspaces.euc-sso.eu-central-1.aws.amazon.com | 
| AWS GovCloud (Oeste dos EUA) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html)  Para obter mais informações sobre, consulte o *Guia do usuário da [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EUA)*.   | 
| AWS GovCloud (Leste dos EUA) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html)  Para obter mais informações sobre, consulte o *Guia do usuário da [Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)AWS GovCloud (EUA)*.   | 

Com um fluxo iniciado pelo provedor de identidade (IdP), você pode optar por especificar o cliente que deseja usar para a federação SAML 2.0. Para fazer isso, especifique `native` ou `web` no final do URL do estado de retransmissão, depois de `&client=`. Quando o parâmetro é especificado em uma URL de estado de retransmissão, as sessões correspondentes serão iniciadas automaticamente no cliente especificado.

## Etapa 7: habilitar a integração com o SAML 2.0 em seu diretório WorkSpaces
<a name="enable-integration-saml"></a>

Você pode usar o WorkSpaces console para habilitar a autenticação SAML 2.0 no WorkSpaces diretório.

**Habilitar integração com SAML 2.0**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Escolha o ID do diretório para o seu WorkSpaces.

1. Em **Autenticação**, selecione **Editar**.

1. Selecione **Editar provedor de identidades SAML 2.0**.

1. Desmarcar **Habilitar autenticação SAML 2.0**.

1. Em **URL de acesso de usuários** e **Nome do parâmetro de link profundo do IdP**, insira valores que sejam aplicáveis ao IdP e à aplicação configurados na etapa 1. O valor padrão para o nome do parâmetro de link direto do IdP é “RelayState“se você omitir esse parâmetro. A tabela a seguir lista URLs de acesso de usuários e nomes de parâmetros exclusivos de vários provedores de identidades para aplicações.   
**Domínios e endereços IP para adicionar à sua lista de permissões**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/setting-up-saml.html)

   O URL de acesso do usuário geralmente é definido pelo provedor para SSO não solicitado iniciado pelo IdP. Um usuário pode inserir esse URL em um navegador da web para se federar diretamente à aplicação SAML. Para testar o URL de acesso do usuário e os valores dos parâmetros do seu IdP, selecionar **Testar**. Copie e cole o URL de teste em uma janela privada no seu navegador atual ou em outro navegador para testar o logon do SAML 2.0 sem interromper a sessão atual do console AWS de gerenciamento. Quando o fluxo iniciado pelo IdP é aberto, você pode registrar seu WorkSpaces cliente. Para obter mais informações, consulte [Identity provider (IdP)-initiated flow](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html).

1. Gerenciar as configurações de fallback marcando ou desmarcando **Permitir login de clientes que não suportam SAML 2.0**. Ative essa configuração para continuar fornecendo aos usuários acesso ao WorkSpaces uso de tipos ou versões de clientes que não oferecem suporte ao SAML 2.0 ou se os usuários precisarem de tempo para atualizar para a versão mais recente do cliente.
**nota**  
Essa configuração permite que os usuários ignorem o SAML 2.0 e façam login usando autenticação de diretório usando versões de cliente mais antigas.

1. Para usar SAML com o cliente web, habilite o Acesso via Web. Para obter mais informações, consulte [Habilitar e configurar o Amazon WorkSpaces Web Access](https://docs.aws.amazon.com/workspaces/latest/adminguide/web-access.html).
**nota**  
PCoO IP com SAML não é suportado no Web Access.

1. Escolha **Salvar**. Seu WorkSpaces diretório agora está habilitado com a integração com o SAML 2.0. Você pode usar os fluxos iniciados pelo IdP e iniciados pelo aplicativo cliente para registrar os aplicativos WorkSpaces do cliente e fazer login. WorkSpaces

# Autenticação baseada em certificado e pessoal WorkSpaces
<a name="certificate-based-authentication"></a>

Você pode usar a autenticação baseada em certificado com WorkSpaces para remover a solicitação do usuário para a senha do domínio do Active Directory. Ao usar a autenticação baseada em certificado com um domínio do Active Directory, você pode:
+ Basear-se no seu provedor de identidades SAML 2.0 para autenticar o usuário e fornecer declarações SAML que correspondam ao usuário no Active Directory.
+ Habilitar uma experiência de autenticação única com menos prompts do usuário.
+ Habilitar fluxos de autenticação sem senha usando seu provedor de identidades SAML 2.0.

A autenticação baseada em certificado usa CA Privada da AWS recursos em sua conta. AWS CA Privada da AWSpermite a criação de hierarquias de autoridade de certificação (CA) privada, incluindo raiz e subordinada. CAs ComCA Privada da AWS, você pode criar sua própria hierarquia de CA e emitir certificados com ela para autenticar usuários internos. Para obter mais informações, consulte o [Guia do usuário do Autoridade de Certificação Privada da AWS](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).

Ao usar CA Privada da AWS para autenticação baseada em certificado, WorkSpaces solicitará certificados para seus usuários automaticamente durante a autenticação da sessão. Os usuários são autenticados no Active Directory usando um cartão inteligente virtual provisionado com os certificados.

A autenticação baseada em certificado é compatível com o Windows WorkSpaces em pacotes DCV usando os aplicativos clientes mais recentes do WorkSpaces Web Access, Windows e macOS. Abra os [downloads WorkSpaces do Amazon Client](https://clients.amazonworkspaces.com/) para encontrar as versões mais recentes: 
+ Cliente Windows versão 5.5.0 ou posterior
+ Cliente para macOS versão 5.6.0 ou posterior

Para obter mais informações sobre como configurar a autenticação baseada em certificados com a Amazon WorkSpaces, consulte [Como configurar a autenticação baseada em certificados para a WorkSpaces Amazon e Considerações de design em ambientes altamente regulamentados para](https://aws.amazon.com/blogs/desktop-and-application-streaming/how-to-configure-certificate-based-authentication-for-amazon-workspaces/) [autenticação baseada em](https://aws.amazon.com/blogs/desktop-and-application-streaming/design-considerations-in-highly-regulated-environments-for-certificate-based-authentication-with-appstream-2-0-workspaces/) certificados com aplicativos e. WorkSpaces WorkSpaces

## Pré-requisitos
<a name="cert-based-auth-prerequesites"></a>

Conclua as etapas a seguir antes de habilitar a autenticação baseada em certificado.

1. Configure seu WorkSpaces diretório com a integração do SAML 2.0 para usar a autenticação baseada em certificado. Para obter mais informações, consulte [WorkSpacesIntegração com o SAML 2.0.](https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-saml.html)

1. Configure o atributo `userPrincipalName` na declaração SAML. Para obter mais informações, consulte [Como criar declarações para a resposta de autenticação SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).

1. Configure o atributo `ObjectSid` na declaração SAML. Essa etapa é obrigatória para realizar um mapeamento robusto para o usuário do Active Directory. A autenticação baseada em certificado falhará se o atributo não corresponder ao Identificador de segurança (SID) do Active Directory do usuário especificado no `NameID` de SAML\$1Subject. Para obter mais informações, consulte [Como criar declarações para a resposta de autenticação SAML](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-assertions-saml-auth).
**nota**  
De acordo com o [Microsoft KB5 014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16), o `ObjectSid` atributo se tornará obrigatório para autenticação baseada em certificado após 10 de setembro de 2025. 

1. Adicione a TagSession permissão [sts:](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html) à sua política de confiança de função do IAM usada com sua configuração do SAML 2.0, caso ela ainda não esteja presente. Essa permissão é necessária para usar a autenticação baseada em certificado. Para obter mais informações, consulte [Como criar um perfil do IAM para a federação do SAML 2.0](https://docs.aws.amazon.com/workspaces/latest/adminguide/setting-up-saml.html#create-saml-iam-role).

1. Crie uma autoridade de certificação (CA) privada usando CA Privada da AWS se você não tiver uma configurada com seu Active Directory. CA Privada da AWSé necessário usar a autenticação baseada em certificado. Para obter mais informações, consulte [Planejando sua CA Privada da AWS implantação](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html) e siga as orientações para configurar uma CA para autenticação baseada em certificado. As CA Privada da AWS configurações a seguir são as mais comuns para casos de uso de autenticação baseada em certificado:

   1. Opções de tipos de CA:

      1. Modo de uso de CA de certificados de curta duração (recomendado se você estiver usando a CA apenas para emitir certificados de usuário final para autenticação baseada em certificado)

      1. Hierarquia de nível único com uma CA raiz (como alternativa, escolha uma CA subordinada se desejar integração com uma hierarquia de CAs existente)

   1. Opções de algoritmos de chave: RSA 2048

   1. Opções de nome distinto de assunto: use uma combinação de opções para identificar a CA em seu repositório de Autoridades de Certificação Raiz Confiáveis do Active Directory.

   1. Opções de revogação de certificado: distribuição de CRL
**nota**  
A autenticação baseada em certificado requer um ponto de distribuição de CRL on-line acessível pela área de trabalho e pelo controlador do domínio. Isso requer acesso não autenticado ao bucket do Amazon S3 configurado para entradas privadas do CA CRL ou CloudFront uma distribuição que terá acesso ao bucket do S3 se estiver bloqueando o acesso público. Para obter mais informações sobre essas opções, consulte [Como planejar uma lista de revogação de certificados (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html#s3-bpa).

1. Marque sua CA privada com uma chave denominada `euc-private-ca` a fim de designar a CA para uso com a autenticação baseada em certificado do EUC. A chave não exige um valor. Para obter mais informações, consulte [Gerenciamento de etiquetas para sua CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html).

1. A autenticação baseada em certificado usa cartões inteligentes virtuais para o login. Seguindo as [Diretrizes para habilitar o login por cartão inteligente com autoridades de certificação de terceiros](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) no Active Directory, execute as seguintes etapas:
   + Configure controladores de domínio com um certificado de controlador de domínio para autenticar usuários de cartões inteligentes. Se você tiver uma CA corporativa dos Serviços de Certificados do Active Directory configurada em seu Active Directory, os controladores de domínio serão automaticamente registrados com certificados que permitem o login por cartão inteligente. Se você não tiver os Serviços de Certificados do Active Directory, consulte [Requisitos para certificados de controlador de domínio de uma AC de terceiros](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller). Você pode criar um certificado de controlador de domínio com o CA Privada da AWS. Se fizer isso, não use uma CA privada configurada para certificados de curta duração.
**nota**  
Se você estiver usandoAWS Managed Microsoft AD, poderá configurar os Serviços de Certificados em uma EC2 instância para atender aos requisitos de certificados de controlador de domínio. Veja, [AWS Launch Wizard](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)por exemplo, implantações AWS Managed Microsoft AD configuradas com os Serviços de Certificados do Active Directory. AWSA CA privada pode ser configurada como subordinada à CA dos Serviços de Certificados do Active Directory ou pode ser configurada como sua própria raiz durante o usoAWS Managed Microsoft AD.  
Uma tarefa adicional de configuração com os Serviços de AWS Managed Microsoft AD Certificados do Active Directory é criar regras de saída do grupo de segurança VPC dos controladores para a EC2 instância que executa os Serviços de Certificados, permitindo que as portas TCP 135 e 49152-65535 habilitem o registro automático de certificados. Além disso, a EC2 instância em execução deve permitir acesso de entrada nas mesmas portas das instâncias de domínio, incluindo controladores de domínio. Para obter mais informações sobre como localizar o grupo de segurança, AWS Managed Microsoft AD consulte [Configurar suas sub-redes e grupos de segurança da VPC](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc).
   + No CA Privada da AWS console ou usando o SDK ou a CLI, selecione sua CA e, no certificado CA, exporte o certificado privado da CA. Para obter mais informações, consulte [Como exportar um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html).
   + Publique a CA no Active Directory. Faça login em um controlador de domínio ou em uma máquina associada a um domínio. Copie o certificado privado da CA para qualquer `<path>\<file>` e execute os comandos a seguir como administrador de domínio. Como alternativa, você pode usar a Política de Grupo e a ferramenta Microsoft PKI Health Tool (PKIView) para publicar a CA. Para obter mais informações, consulte [Instruções de configuração](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions).

     ```
     certutil -dspublish -f <path>\<file> RootCA
     certutil -dspublish -f  <path>\<file> NTAuthCA
     ```

     Verifique se os comandos foram concluídos com êxito e, em seguida, remova o arquivo do certificado privado. Dependendo das configurações de replicação do Active Directory, pode levar vários minutos para que a CA seja publicada nos controladores de domínio e nas instâncias de área de trabalho.
**nota**  
É necessário que o Active Directory distribua a CA às Autoridades de Certificação Raiz Confiáveis e às NTAuth lojas corporativas automaticamente para WorkSpaces desktops quando elas se juntam ao domínio. 

## Habilitar a autenticação baseada em certificado
<a name="enable-cert-based-auth"></a>

Conclua as etapas a seguir para habilitar a autenticação baseada em certificado.

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Escolha o ID do diretório para o seu WorkSpaces.

1. Em **Autenticação**, clique em **Editar**.

1. Clique em **Editar autenticação baseada em certificado**.

1. Marque **Habilitar a autenticação baseada em certificado**.

1. Confirme se o ARN da CA privada está associado na lista. A CA privada deve estar na mesma AWS conta e Região da AWS ser marcada com uma chave autorizada euc-private-ca a aparecer na lista.

1. Clique em **Salvar alterações** A autenticação baseada em certificado está habilitada.

1. Reinicie o Windows WorkSpaces em pacotes DCV para que as alterações entrem em vigor. Para obter mais informações, consulte [Reinicializar um WorkSpace](https://docs.aws.amazon.com/workspaces/latest/adminguide/reboot-workspaces.html).

1. Após a reinicialização, quando os usuários se autenticarem via SAML 2.0 usando um cliente compatível, eles não receberão mais uma solicitação para inserir a senha do domínio.

**nota**  
Quando a autenticação baseada em certificado está habilitada para entrar WorkSpaces, os usuários não são solicitados a fazer a autenticação multifator (MFA), mesmo se ativada no Diretório. Ao usar a autenticação baseada em certificado, a MFA pode ser habilitada por meio do provedor de identidades SAML 2.0. Para obter mais informações sobre AWS Directory Service MFA, consulte Autenticação [multifator (AD Connector) ou Habilitar autenticação](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) [multifator](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html#supportedamazonapps) para. AWS Managed Microsoft AD 

## Gerenciar a autenticação baseada em certificado
<a name="manage-cert-based-auth"></a>

**Certificado CA**  
Em uma configuração comum, o certificado CA privado tem validade de 10 anos. Para obter mais informações sobre como substituir uma CA com certificado expirado ou reemitir a CA com um novo período de validade, consulte [Como gerenciar o ciclo de vida da CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html).

**Certificados de usuário final**  
Os certificados de usuário final emitidos pela CA Privada da AWS para autenticação WorkSpaces baseada em certificados não exigem renovação ou revogação. Esses certificados são de curta duração. WorkSpacesemite automaticamente um novo certificado a cada 24 horas. Esses certificados de usuário final têm um período de validade mais curto do que uma distribuição típica de CA Privada da AWS CRL. Como resultado, os certificados de usuário final não precisam ser revogados e não aparecerão em uma CRL.

**Relatórios de auditoria**  
Você pode criar um relatório de auditoria para listar todos os certificados que sua CA privada emitiu ou revogou. Para obter mais informações, consulte [Como usar relatórios de auditoria com sua CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html).

**Registro e Monitoramento**  
Você pode usar [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)para gravar chamadas de API para CA Privada da AWS by WorkSpaces. Para obter mais informações, consulte [Usando CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html). No [Histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html), você pode visualizar `GetCertificate` os `IssueCertificate` nomes dos `acm-pca.amazonaws.com` eventos da fonte do evento criados pelo nome WorkSpaces `EcmAssumeRoleSession` do usuário. Esses eventos serão registrados para cada solicitação de autenticação baseada em certificado do EUC.

## Permitir compartilhamento de PCA entre contas
<a name="enable-pca-sharing"></a>

 Ao usar o compartilhamento entre contas de CA privada, você pode conceder permissões a outras contas para usar uma CA centralizada, o que elimina a necessidade de uma CA privada em todas as contas. A CA pode gerar e emitir certificados usando o [AWS Resource Access Manager](https://aws.amazon.com/ram/) para gerenciar permissões. O compartilhamento entre contas de CA privada pode ser usado com a WorkSpaces Autenticação Baseada em Certificado (CBA) na mesma região. AWS 

**Para usar um recurso de CA privada compartilhado com o WorkSpaces CBA**

1. Configure a CA privada para CBA em uma conta centralizadaAWS. Para obter mais informações, consulte [Autenticação baseada em certificado e pessoal WorkSpaces](#certificate-based-authentication).

1.  Compartilhe a CA privada com as AWS contas de recursos em que WorkSpaces os recursos utilizam o CBA seguindo as etapas em [Como usar a AWS RAM para compartilhar sua CA privada do ACM](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) entre contas. Não é necessário realizar a etapa 3 para criar um certificado. Você pode compartilhar a CA privada com AWS contas individuais ou compartilhar por meio de AWS Organizations. Para compartilhar com contas individuais, você precisa aceitar a CA privada compartilhada em sua conta de recursos usando o console do Resource Access Manager (RAM) ou APIs. Ao configurar o compartilhamento, confirme se o compartilhamento de recursos de RAM da CA privada na conta do recurso está usando o modelo de permissão gerenciada `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`. Esse modelo se alinha ao modelo de PCA usado pela função de WorkSpaces serviço ao emitir certificados CBA. 

1. Depois que o compartilhamento for bem-sucedido, será possível visualizar a CA privada compartilhada usando o console da CA privada na conta do recurso.

1. Use a API ou a CLI para associar o ARN privado da CA ao CBA nas propriedades do seu diretório. WorkSpaces No momento, o WorkSpaces console não oferece suporte à seleção de CA privada compartilhada ARNs. Exemplo de comandos da CLI:

   ```
   aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>
   ```

# Acesse os WorkSpaces Personal associados ao Microsoft Entra ID
<a name="access-entra-id"></a>

Você pode criar WorkSpaces pessoais BYOL do Windows 10 ou 11 que sejam associados ao Microsoft Entra ID e inscritos no Intune. Consulte mais detalhes em [Crie um diretório Microsoft Entra ID dedicado com WorkSpaces Personal](launch-entra-id.md). 

## Fluxo de trabalho de autenticação
<a name="authentication-workflow-entra"></a>

As seguintes seções descrevem o fluxo de trabalho de autenticação iniciado pela aplicação cliente do WorkSpaces, pelo Acesso via Web do WorkSpaces e por um provedor de identidades (IdP) SAML 2.0, Microsoft Entra ID:
+ Quando o fluxo é iniciado pelo IdP. Por exemplo, quando os usuários escolhem uma aplicação no portal do usuário do Entra ID em um navegador da web.
+ Quando o fluxo é iniciado pelo cliente do WorkSpaces. Por exemplo, quando os usuários abrem a aplicação cliente e fazem login.
+ Quando o fluxo é iniciado pelo Acesso via Web do WorkSpaces. Por exemplo, quando os usuários abrem o Acesso via Web em um navegador e fazem login.

Nesses exemplos, os usuários inserem `user@example.onmicrosoft.com` para entrar no IdP. No Entra ID, um aplicativo corporativo é configurado para que se integre ao IAM Identity Center. Os usuários criam um WorkSpace para seus nomes de usuário em um diretório que usa o IAM Identity Center como fonte de identidade para se conectar a um locatário do Entra ID. Além disso, os usuários instalam a [aplicação cliente do WorkSpaces](https://clients.amazonworkspaces.com/) em seus dispositivos ou usam o Acesso via Web em um navegador da web.

**Fluxo iniciado pelo provedor de identidades (IdP) com a aplicação cliente**

O fluxo iniciado pelo IdP permite que os usuários registrem automaticamente a aplicação cliente do WorkSpaces em seus dispositivos sem precisar inserir um código de registro do WorkSpaces. Os usuários não fazem login em seus WorkSpaces usando o fluxo iniciado pelo IdP. A autenticação do WorkSpaces deve ter origem na aplicação cliente.

1. Os usuários fazem login no IdP (Microsoft Entra ID) usando um navegador da web.

1. Depois de entrar no IdP, os usuários escolhem a aplicação Centro de Identidade do AWS IAM no portal do usuário do IdP.

1. Os usuários são redirecionados para o portal de acesso ao AWS no navegador. Em seguida, os usuários escolhem o ícone WorkSpaces.

1. Os usuários são redirecionados para a página abaixo e a aplicação cliente do WorkSpaces é aberta automaticamente. Escolha **Abrir o aplicativo Amazon WorkSpaces** se o aplicativo cliente não abrir automaticamente.  
![\[Abrir a página de redirecionamento da aplicação do WorkSpaces\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/saml-redir.png)

1. A aplicação cliente do WorkSpaces agora está registrada e os usuários podem prosseguir com o login clicando em **Continuar a fazer login no WorkSpaces**.

**Fluxo iniciado pelo provedor de identidades (IdP) com o Acesso via Web**

O fluxo do Acesso via Web iniciado por IdP permite que os usuários registrem automaticamente os WorkSpaces por meio de um navegador da web sem precisar inserir um código de registro do WorkSpaces. Os usuários não fazem login em seus WorkSpaces usando o fluxo iniciado pelo IdP. A autenticação do WorkSpaces deve ter origem no Acesso via Web.

1. Os usuários fazem login no IdP usando um navegador da web.

1. Depois de entrar no IdP, os usuários clicam na aplicação Centro de Identidade do AWS IAM no portal do usuário do IdP.

1. Os usuários são redirecionados ao portal de acesso do AWS no navegador. Em seguida, os usuários escolhem o ícone WorkSpaces.

1. Os usuários são redirecionados para essa página no navegador. Para abrir WorkSpaces, escolha **Amazon WorkSpaces no navegador**.  
![\[Abrir a página de redirecionamento da aplicação do WorkSpaces\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/saml-redir.png)

1. A aplicação cliente do WorkSpaces agora está registrada e os usuários podem prosseguir com o login por meio do Acesso via Web do WorkSpaces.

**Fluxo iniciado pelo cliente do WorkSpaces**

O fluxo iniciado pelo cliente permite que os usuários façam login em seus WorkSpaces após entrarem em um IdP.

1. Os usuários iniciam a aplicação cliente do WorkSpaces (se ela ainda não estiver em execução) e clicam em **Continuar a fazer login no WorkSpaces**.

1. Os usuários são redirecionados para o navegador padrão para que façam login no IdP. Se os usuários já estiverem conectados ao IdP no navegador, eles não precisarão fazer login novamente e pularão essa etapa.

1. Depois de fazer login no IdP, os usuários são redirecionados para um pop-up. Siga as instruções para permitir que o navegador abra a aplicação cliente.

1. Os usuários são redirecionados para a aplicação cliente do WorkSpaces, na tela de login do Windows.

1. Os usuários concluem o login no Windows usando o nome de usuário e as credenciais do Entra ID.

**Fluxo iniciado pelo Acesso via Web do WorkSpaces**

O fluxo iniciado pelo Acesso via Web permite que os usuários façam login nos WorkSpaces após se conectarem a um IdP.

1. Os usuários iniciam o Acesso via Web do WorkSpaces e escolhem **Fazer login**.

1. Na mesma guia do navegador, os usuários são redirecionados para o portal do IdP. Se os usuários já estiverem conectados ao IdP no navegador, eles não precisarão fazer login novamente e podem pular essa etapa.

1. Depois de fazer login no IdP, os usuários são redirecionados para essa página no navegador e clicam em **Fazer login no WorkSpaces**.

1. Os usuários são redirecionados para a aplicação cliente do WorkSpaces, na tela de login do Windows.

1. Os usuários concluem o login no Windows usando o nome de usuário e as credenciais do Entra ID.

## Experiência de usuário pela primeira vez
<a name="first-time-entra"></a>

Se você estiver fazendo login pela primeira vez em um Windows WorkSpaces associado ao Microsoft Entra ID, deverá passar pela experiência imediata (OOBE). Durante o OOBE, os WorkSpaces são unidos ao Entra ID. É possível personalizar a experiência do OOBE configurando o perfil do Autopilot atribuído ao grupo de dispositivos Microsoft Intune que você cria para seus WorkSpaces. Para obter mais informações, consulte [Etapa 3: configurar o modo controlado pelo usuário do Windows Autopilot](launch-entra-id.md#entra-step-3).

# Use cartões inteligentes para autenticação no WorkSpaces Personal
<a name="smart-cards"></a>

Os pacotes Windows e Linux WorkSpaces em DCV permitem o uso de cartões inteligentes [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) e [Personal Identity Verification (PIV)](https://www.idmanagement.gov/university/piv/) para autenticação.

A Amazon WorkSpaces oferece suporte ao uso de cartões inteligentes tanto para autenticação *pré-sessão quanto para autenticação* *em sessão*. A autenticação pré-sessão se refere à autenticação por cartão inteligente que é executada enquanto os usuários estão fazendo login em seus WorkSpaces. A autenticação em sessão se refere à autenticação executada após o login.

Por exemplo, os usuários podem usar cartões inteligentes para autenticação em sessão enquanto trabalham com navegadores e aplicações da web. Eles também podem usar cartões inteligentes para ações que exigem permissões administrativas. Por exemplo, se o usuário tiver permissões administrativas no Linux WorkSpace, ele poderá usar cartões inteligentes para se autenticar ao executar `sudo` `sudo -i` comandos. 

**Topics**
+ [Requisitos](#smart-cards-requirements)
+ [Limitações](#smart-cards-limitations)
+ [Configuração do diretório](#smart-cards-directory-config)
+ [Ativar cartões inteligentes para Windows WorkSpaces](#smart-cards-windows-workspaces)
+ [Habilite cartões inteligentes para Ubuntu, Rocky Linux e Red Hat Enterprise Linux WorkSpaces](#smart-cards-linux-workspaces)
+ [Habilite cartões inteligentes para o Amazon Linux 2 WorkSpaces](#smart-cards-amazon-linux-workspaces)

## Requisitos
<a name="smart-cards-requirements"></a>
+ É necessário um diretório do Active Directory Connector (AD Connector) para a autenticação pré-sessão. O AD Connector usa autenticação mútua de Transport Layer Security (TLS mútuo) baseada em certificado para autenticar usuários no Active Directory usando um certificado de cartão inteligente baseado em hardware ou software. Para obter mais informações sobre como configurar o AD Connector e o diretório on-premises, consulte [Configuração do diretório](#smart-cards-directory-config).
+ Para usar um cartão inteligente com Windows ou Linux WorkSpace, o usuário deve usar o cliente Amazon WorkSpaces Windows versão 3.1.1 ou posterior, o cliente WorkSpaces macOS versão 3.1.5 ou posterior ou o cliente Ubuntu 22.04 versão 2024.1 WorkSpaces ou posterior (a autenticação por cartão inteligente não é suportada com o cliente Ubuntu 20.04). WorkSpaces Para obter mais informações sobre o uso de cartões inteligentes com os clientes Windows e macOS, consulte [Smart Card Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) no *Amazon WorkSpaces User* Guide. 
+ Os certificados de CA raiz e cartão inteligente devem atender a determinados requisitos. Para obter mais informações, consulte [Habilitar a autenticação mTLS no AD Connector para usar com cartões inteligentes](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) no *Guia de administração do AWS Directory Service * e [Requisitos de certificado](https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements) na documentação da Microsoft. 

  Além desses requisitos, os certificados de usuário empregados para autenticação por cartão inteligente na Amazon WorkSpaces devem incluir os seguintes atributos:
  + O usuário do AD userPrincipalName (UPN) no campo subjectAltName (SAN) do certificado. Recomendamos emitir certificados de cartão inteligente para o UPN padrão do usuário.
**nota**  
O Amazon Linux 2 WorkSpaces depende do UPN para certificate-to-user mapeamento. Linux mais recentes WorkSpaces, como Ubuntu, Rocky Linux e Red Hat Enterprise Linux WorkSpaces, oferecem suporte a métodos de [mapeamento](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking) mais seguros.
  + O atributo de uso estendido de chave (EKU) para autenticação de cliente (1.3.6.1.5.5.7.3.2).
  + O atributo EKU para login com cartão inteligente (1.3.6.1.4.1.311.20.2.2).
+ Para autenticação pré-sessão, o protocolo OCSP (Protocolo de status de certificado on-line) é necessário para verificação de revogação do certificado. Para autenticação em sessão, o OCSP é recomendado, mas não obrigatório.
**nota**  
Ubuntu WorkSpaces, Rocky Linux WorkSpaces e Red Hat Enterprise Linux WorkSpaces exigem OCSP para autenticação em sessão por padrão, e a verificação de OCSP nesses sistemas exige que o respondente OCSP tenha a extensão NONCE habilitada para evitar ataques de repetição. Para desativar a extensão NONCE, a verificação OCSP na sessão deve ser totalmente desativada. Para desativar a verificação OCSP no Ubuntu, Rocky Linux e Red Hat Enterprise Linux WorkSpaces, crie um novo arquivo `/etc/sssd/conf.d/disable-ocsp.conf` com o seguinte conteúdo:   

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## Limitações
<a name="smart-cards-limitations"></a>
+ Somente o aplicativo cliente WorkSpaces Windows versão 3.1.1 ou posterior, o aplicativo cliente WorkSpaces macOS versão 3.1.5 ou posterior WorkSpaces e o aplicativo cliente Ubuntu 22.04 versão 2024.1 ou posterior são atualmente suportados para autenticação por cartão inteligente. WorkSpaces O aplicativo cliente Ubuntu 20.04 ou anterior não é suportado para autenticação por cartão inteligente.
+ O aplicativo cliente WorkSpaces Windows 3.1.1 ou posterior oferece suporte a cartões inteligentes somente quando o cliente está sendo executado em uma versão de 64 bits do Windows.
+ Somente os diretórios do AD Connector são atualmente compatíveis com a autenticação por cartão inteligente.
+ A autenticação em sessão está disponível em todas as regiões em que o DCV é compatível. A autenticação pré-sessão está disponível nas seguintes regiões:
  + Ásia-Pacífico (Sydney)
  + Região Ásia-Pacífico (Tóquio)
  + Região Europa (Irlanda)
  + AWS GovCloud Região (Leste dos EUA)
  + AWS GovCloud Região (Oeste dos EUA)
  + Região Leste dos EUA (Norte da Virgínia)
  + Região Oeste dos EUA (Oregon)
+ Para autenticação em sessão e autenticação pré-sessão no Linux ou no Windows WorkSpaces, atualmente, somente um cartão inteligente é permitido por vez. O uso simultâneo de vários cartões pode funcionar, mas não é suportado.
+ Para a autenticação pré-sessão, não há suporte para habilitar a autenticação por cartão inteligente e a autenticação de login no mesmo diretório.
+ Somente placas CAC e PIV são compatíveis no momento. Outros tipos de cartões inteligentes baseados em hardware ou software também podem funcionar, mas não foram totalmente testados para uso com o DCV.

## Configuração do diretório
<a name="smart-cards-directory-config"></a>

Para habilitar a autenticação por cartão inteligente, você deve configurar o diretório do AD Connector e o diretório on-premises da maneira a seguir.

**Configuração do diretório do AD Connector**  
Antes de começar, verifique se o diretório do AD Connector foi configurado conforme descrito nos [Pré-requisitos do AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html) no *Guia de administração do AWS Directory Service *. Especificamente, verifique se você abriu as portas necessárias no firewall. 

Para concluir a configuração do diretório do AD Connector, siga as instruções em [Habilitar a autenticação mTLS no AD Connector para usar com cartões inteligentes](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) no *Guia de administração do AWS Directory Service *.

**nota**  
A autenticação por cartão inteligente exige que a Delegação Restrita Kerberos (KCD) funcione corretamente. O KCD exige que a parte do nome de usuário da conta de serviço do AD Connector corresponda ao AMAccount nome s do mesmo usuário. O AMAccount nome A s não pode exceder 20 caracteres.

**Configuração de diretórios on-premises**  
Além de configurar seu diretório do AD Connector:
+ Certifique-se de que os certificados emitidos para os controladores de domínio do seu diretório local tenham o uso estendido da chave (EKU) “Autenticação KDC” definido. Para fazer isso, use o modelo de certificado de autenticação Kerberos padrão dos Serviços de Domínio do Active Directory (AD DS). Não use um modelo de certificado de Controlador de domínio ou um modelo de certificado de Autenticação do controlador de domínio, pois esses modelos não contêm as configurações necessárias para a autenticação por cartão inteligente.
+ Para Linux WorkSpaces, certifique-se de que o respondente OCSP para a CA que emite certificados de cartão inteligente tenha a extensão NONCE ativada. Se não puder ser habilitada, a verificação OCSP em sessão deverá ser desativada no Ubuntu, Rocky Linux e Red Hat Enterprise Linux. WorkSpaces Para desativar a verificação OCSP, crie um novo arquivo `/etc/sssd/conf.d/disable-ocsp.conf` com o seguinte conteúdo: 

  ```
  [sssd]
  certificate_verification = no_ocsp
  ```

## Ativar cartões inteligentes para Windows WorkSpaces
<a name="smart-cards-windows-workspaces"></a>

Para obter orientações gerais sobre como habilitar a autenticação por cartão inteligente no Windows, consulte [Diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) na documentação da Microsoft.

**Como detectar a tela de bloqueio do Windows e desconectar a sessão**  
Para permitir que os usuários desbloqueiem o Windows WorkSpaces habilitado para autenticação pré-sessão com cartão inteligente quando a tela está bloqueada, você pode ativar a detecção da tela de bloqueio do Windows nas sessões dos usuários. Quando a tela de bloqueio do Windows é detectada, a WorkSpace sessão é desconectada e o usuário pode se reconectar do WorkSpaces cliente usando seu cartão inteligente.

 Você pode habilitar a desconexão da sessão quando a tela de bloqueio do Windows for detectada usando as configurações de Política de grupo. Para obter mais informações, consulte [Configurar a desconexão da sessão ao bloquear a tela para DCV](group_policy.md#gp_lock_screen_in_wsp).

**Como habilitar a autenticação em sessão ou pré-sessão**  
Por padrão, o Windows não WorkSpaces está habilitado para oferecer suporte ao uso de cartões inteligentes para autenticação pré-sessão ou durante a sessão. Se necessário, você pode habilitar a autenticação em sessão e pré-sessão para Windows WorkSpaces usando as configurações da Política de Grupo. Para obter mais informações, consulte [Configurar o redirecionamento de cartão inteligente para DCV](group_policy.md#gp_smart_cards_in_wsp).

Para usar a autenticação pré-sessão, além de atualizar as configurações de Política de grupo, você também deve habilitar a autenticação pré-sessão por meio das configurações de diretório do AD Connector. Para obter mais informações, siga as instruções em [Habilitar a autenticação mTLS no AD Connector para usar em cartões inteligentes](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html) no *Guia de administração do AWS Directory Service *.

**Como permitir que os usuários usem cartões inteligentes em um navegador**  
Se os usuários estiverem usando o Chrome como navegador, nenhuma configuração especial será necessária para usar cartões inteligentes.

Se os usuários estiverem usando o Firefox como navegador, você pode permitir que eles usem cartões inteligentes no Firefox por meio da Política de grupo. Você pode usar esses [modelos de Política de Grupo do Firefox](https://github.com/mozilla/policy-templates/tree/master/windows) no GitHub.

Por exemplo, você pode instalar a versão de 64 bits do [OpenSC](https://github.com/OpenSC/OpenSC/wiki) para Windows, para oferecer suporte ao PKCS \$111 e, em seguida, usar a configuração de Política de grupo a seguir, onde `NAME_OF_DEVICE` é o valor que você deseja usar para identificar o PKCS \$111, como `OpenSC`, e onde `PATH_TO_LIBRARY_FOR_DEVICE` é o caminho para o módulo PKCS \$111. Esse caminho deve apontar para uma biblioteca com uma extensão .DLL, como `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`.

```
Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE
```

**dica**  
Se estiver usando o OpenSC, você também pode carregar o módulo OpenSC `pkcs11` no Firefox executando o programa `pkcs11-register.exe`. Para executar esse programa, clique duas vezes no arquivo em `C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe` ou abra uma janela do prompt de comando e execute o seguinte comando:  

```
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs11-register.exe"
```
Para verificar se o módulo OpenSC `pkcs11` foi carregado no Firefox, faça o seguinte:  
Se o Firefox já estiver em execução, feche-o.
Abra o Firefox. Selecione o botão de menu ![\[Firefox menu button\]](http://docs.aws.amazon.com/pt_br/workspaces/latest/adminguide/images/firefox-menu-button.png) no canto superior direito e, em seguida, selecione **Opções**. 
Na página **about:preferences**, no painel de navegação esquerdo, selecione **Privacidade e segurança**.
Em **Certificados**, selecione **Dispositivos de segurança**.
Na caixa de diálogo **Gerenciador de dispositivos**, você deve ver o **Framework de cartão inteligente OpenSC (0.21)** na navegação à esquerda, e ela deve ter os seguintes valores ao selecioná-la:  
**Módulo**: `OpenSC smartcard framework (0.21)`  
**Caminho**: `C:\Program Files\OpenSC Project\OpenSC\pkcs11\onepin-opensc-pkcs11.dll`

**Solução de problemas**  
Para obter informações sobre como solucionar problemas de cartões inteligentes, consulte [Problemas de certificado e configuração](https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems) na documentação da Microsoft. 

Algumas questões comuns que podem causar problemas:
+ Mapeamento incorreto dos slots para os certificados.
+ Ter vários certificados no cartão inteligente que possam corresponder ao usuário. Os certificados são correspondidos de acordo com os seguintes critérios:
  + A CA raiz para o certificado.
  + Os campos `<KU>` e `<EKU>` do certificado.
  + O UPN no assunto do certificado.
+ Ter vários certificados que tenham `<EKU>msScLogin` no uso de chave.

Em geral, é melhor ter apenas um certificado para autenticação por cartão inteligente que esteja mapeado no primeiro slot do cartão inteligente.

As ferramentas para gerenciar os certificados e as chaves no cartão inteligente (como remover ou remapear os certificados e as chaves) podem ser específicas do fabricante. Para obter mais informações, consulte a documentação fornecida pelo fabricante dos seus cartões inteligentes.

## Habilite cartões inteligentes para Ubuntu, Rocky Linux e Red Hat Enterprise Linux WorkSpaces
<a name="smart-cards-linux-workspaces"></a>

Para permitir o uso de cartões inteligentes no Ubuntu, Rocky Linux e Red Hat Enterprise Linux WorkSpaces, você precisa incluir a raiz e todos os certificados CA intermediários na WorkSpace imagem para todos os cartões inteligentes CAs emissores e para todos os certificados de controlador de domínio CAs emissores.

**Para obter seu certificado CA:** Você pode obter seu certificado CA de várias maneiras:
+ Você pode usar um pacote de certificados CA de uma autoridade de certificação terceirizada. 
+ Você pode exportar seu próprio certificado de CA usando o site de inscrição na Web, que é `http://ip_address/certsrv` ou`http://fqdn/certsrv`, onde `ip_address` e onde `fqdn` estão o endereço IP e o nome de domínio totalmente qualificado (FQDN) do servidor CA. Para obter mais informações sobre como usar o site de inscrição web, consulte [Como exportar o certificado de autoridade de certificação raiz](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate) na documentação da Microsoft. 
+ Você pode usar o procedimento a seguir para exportar o certificado CA de um servidor CA que esteja executando os Serviços de Certificados do Active Directory (AD CS). Para obter informações sobre a instalação do AD CS, consulte [Instalar a autoridade de certificação](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority) na documentação da Microsoft. 

  1. Faça login no servidor CA usando uma conta de administrador.

  1. No menu **Iniciar** do Windows, abra uma janela do prompt de comando (**Iniciar** > **Sistema Windows** > **Prompt de comando**). 

  1. Use o comando a seguir para exportar o certificado CA para um novo arquivo, onde `rootca.cer` está o nome do novo arquivo:

     ```
     certutil -ca.cert rootca.cer
     ```

     Para obter mais informações sobre como executar o certutil, consulte [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) na documentação da Microsoft.

  1. Use o comando OpenSSL a seguir para converter o certificado CA exportado do formato DER para o formato PEM, *rootca* onde está o nome do certificado. Para obter mais informações sobre OpenSSL, consulte [www.openssl.org](https://www.openssl.org/).

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**Para adicionar seus certificados CA ao seu Linux WorkSpaces**

Para ajudá-lo a habilitar cartões inteligentes, adicionamos o `enable_smartcard` script aos nossos pacotes Linux WorkSpaces DCV. Esse script executa as seguintes ações:
+ Importa seus certificados CA em um pacote PEM privado que define a raiz confiável para SSSD no Linux). WorkSpaces
+ Atualiza a configuração SSSD, PAM e Kerberos, o que inclui a habilitação `PKINIT` (autenticação Kerberos usando certificado em vez de senha) durante o provisionamento. WorkSpace

O procedimento a seguir explica como usar o `enable_smartcard` script para importar seus certificados CA e habilitar a autenticação por cartão inteligente para seu Linux WorkSpaces.

1. Crie um novo Linux WorkSpace com o protocolo DCV ativado. Ao iniciar o WorkSpace no WorkSpaces console da Amazon, na página **Selecionar pacotes**, certifique-se de selecionar **DCV** para o protocolo e, em seguida, selecione um dos pacotes WorkSpaces públicos do Linux.

1. No recém-criado WorkSpace, certifique-se de que o `/etc/skylight.conf` arquivo tenha uma `pam_smartcard = true` linha na `[features]` seção: 

   ```
   [features]
   pam_smartcard = true
   ```
**nota**  
Se nem todos os seus usuários ainda estiverem configurados para usar o mapeamento forte de `altSecurityIdentities` certificados, você também pode adicionar uma `smartcard_weak_mapping = true` linha à mesma `[features]` seção `/etc/skylight.conf` para oferecer suporte aos métodos de mapeamento antigos, mas recomendamos migrar esses usuários para usar métodos de mapeamento robustos o mais rápido possível. 

1. No WorkSpace, execute o comando a seguir como root, onde`pem-path1`, etc.`pem-path2`, estão os caminhos para os arquivos, cada um contendo um dos certificados CA na cadeia de confiança dos certificados do cartão inteligente e do controlador de domínio. Todos esses arquivos devem estar no formato PEM e conter um certificado por arquivo. Padrões globais podem ser usados (por exemplo,`*.pem`)

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path1 pem-path2 pem-path3 ...
   ```
**nota**  
Certifique-se de que pacotes de dependência adicionais estejam instalados no WorkSpace antes de executar o comando acima, usando os seguintes comandos como root.  
Para Rocky Linux e Red Hat Enterprise Linux WorkSpaces:   

   ```
   dnf install sssd-dbus libsss_simpleifp sssd-tools krb5-pkinit opensc
   ```
 Para Ubuntu WorkSpaces:   

   ```
   apt install krb5-pkinit opensc
   ```

1. Execute qualquer personalização adicional no. WorkSpace Por exemplo, talvez você queira adicionar uma política em todo o sistema para [permitir que os usuários usem cartões inteligentes no Firefox](#smart-cards-firefox-linux). (Os usuários do Chrome devem habilitar cartões inteligentes em seus próprios clientes. Para obter mais informações, consulte [Smart Card Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) no *Amazon WorkSpaces User Guide*.) 

1. [Crie uma WorkSpace imagem e um pacote personalizados](create-custom-bundle.md) a partir do WorkSpace.

1. Use o novo pacote personalizado para lançá-lo WorkSpaces para seus usuários.

Você pode permitir que seus usuários usem cartões inteligentes no Firefox adicionando uma SecurityDevices política à sua WorkSpace imagem do Linux. Para obter mais informações sobre como adicionar políticas de todo o sistema ao Firefox, consulte os modelos de [políticas da Mozilla](https://github.com/mozilla/policy-templates/releases) em. GitHub

**Como permitir que os usuários usem cartões inteligentes no Firefox**

1. No WorkSpace que você está usando para criar sua WorkSpace imagem, crie um novo arquivo chamado `policies.json` in`PREFIX/firefox/distribution/`, que `PREFIX` está nos sistemas baseados `/usr/lib64` no Fedora (Amazon Linux 2, Red Hat Enterprise Linux e Rocky Linux WorkSpaces) e nos sistemas `/usr/lib` baseados no Debian (Ubuntu). WorkSpaces

1. No arquivo JSON, adicione a SecurityDevices política a seguir, onde `NAME_OF_DEVICE` está o valor que você deseja usar para identificar o `pkcs` módulo. Por exemplo, é possível usar um valor como `"OpenSC"`:

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "PREFIX/opensc-pkcs11.so"
           }
       }
   }
   ```

**Solução de problemas**  
A solução de problemas da autenticação por cartão inteligente é mais fácil quando a pré-sessão é configurada para usar a autenticação por senha - durante o provisionamento da sessão, o Linux alterna WorkSpaces automaticamente a preferência do modo de autenticação no host para baseado em senha ou baseado em cartão inteligente, dependendo do método de autenticação pré-sessão usado. Se houver algum problema com a autenticação por cartão inteligente, desconectar e reconectar usando a autenticação de pré-sessão por senha redefinirá o espaço de trabalho para a autenticação por senha no host. Para alternar manualmente a WorkSpaces instância do Linux para a autenticação por cartão inteligente, execute `/usr/lib/skylight/resume_smartcard` o comando como root.

O Linux WorkSpaces usa o software OpenSC para trabalhar com cartões inteligentes. Esse software vem com ferramentas como `pkcs11-tool` e `pkcs15-tool` que podem ser úteis na solução de problemas com cartões inteligentes. Essas ferramentas podem ser usadas para inspecionar leitores de cartões inteligentes, tokens individuais e slots ou certificados PIV em cada token de cartão inteligente.

Uma ferramenta de `openssl` linha de comando pode ser útil na solução de problemas com cadeias de confiança, respondedores OCSP ou sinalizadores ausentes KUs/EKUs (uso de usage/extended chave chave), especialmente em combinação com a capacidade `pkcs15-tool` de extrair certificados públicos de um cartão inteligente.

Opções comuns de solução de problemas:
+ Extraia o primeiro certificado (geralmente no slot PIV 9A) do cartão inteligente e salve-o como: `card-cert.pem` `pkcs15-tool --read-certificate 1 > card-cert.pem`
+ Valide o certificado extraído em relação ao banco de dados confiável no: WorkSpace `openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem`
+ Obtenha o URL OCSP do certificado extraído do cartão inteligente: `openssl x509 -noout -ocsp_uri -in card-cert.pem`
+ Verifique se a resposta do OCSP indica que o certificado é válido e inclui NONCE:`openssl ocsp -issuer /etc/sssd/pki/sssd_auth_ca_db.pem -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem -cert card-cert.pem -text -url OCSP_URI`, onde *OCSP\$1URI* está a URL do OCSP acima.
+ Verifique se o certificado do controlador de domínio é considerado confiável:`openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl verify -verbose -CAfile /etc/sssd/pki/sssd_auth_ca_db.pem`, onde *DC\$1HOSTNAME* está o nome do host de um dos controladores de domínio em seu domínio do Active Directory.
+ Confirme se o certificado do controlador de domínio tem a autenticação KDC EKU (uso estendido da chave) definida:. `openssl s_client -connect DC_HOSTNAME:636 -showcerts | openssl x509 -noout -text`
+ Tente usar o PKINIT manual para ver se há algum código de erro que possa ser usado para reduzir o problema:`KRB5_TRACE=/dev/stdout kinit -X X509_user_identity=PKCS11:opensc-pkcs11.so:certid=01 -V`, onde *01* está o número de um dos quatro slots PIV principais na placa - `01` para`9A`, `02` para`9C`, etc. A maioria dos cartões terá um certificado destinado à autenticação do usuário no slot 9A.
+ Verifique se o sistema é capaz de mapear o certificado do cartão inteligente para um usuário do AD (execute como root):`dbus-send --print-reply --system --dest=org.freedesktop.sssd.infopipe /org/freedesktop/sssd/infopipe/Users org.freedesktop.sssd.infopipe.Users.FindByCertificate string:"$(<card-cert.pem)"`. Isso pode ser combinado com a ativação do registro de depuração para SSSD.

Os problemas mais comuns conhecidos:
+ Cadeia de confiança incompleta para o certificado de cartão inteligente - ao importar certificados usando `enable_smartcard` script, a lista completa de todos os certificados CA raiz e intermediários deve ser fornecida. A `enable_smartcard` ferramenta mostrará um erro se nem todos os certificados importados forem confiáveis devido à falta do certificado CA raiz da lista, mas não poderá detectar quando falta uma cadeia de confiança inteira ou o certificado CA intermediário mais interno em uma das cadeias de confiança. Nessa situação, ele importará certificados sem erros, mas um certificado de cartão inteligente ou um certificado de controlador de domínio ainda podem ser considerados não confiáveis.
+ Cadeia de confiança ausente para os certificados do controlador de domínio - se os certificados do controlador de domínio forem emitidos por uma CA diferente dos cartões inteligentes (por exemplo, no caso do [Cartão de Acesso Comum (CAC)](https://www.cac.mil/Common-Access-Card)), essa cadeia de confiança da CA precisará ser importada junto com o cartão inteligente que emite os certificados da CA.
+ Falta de suporte à extensão NONCE no respondente OCSP - O Linux WorkSpaces exige que o respondente OCSP do emissor do cartão inteligente tenha a extensão NONCE ativada. Se não puder ser ativada, a validação do OCSP deverá ser completamente desativada.
+ Os certificados do controlador de domínio não têm `KDC Authentication` EKU (OID 1.3.6.1.5.2.3.1) - para que a autenticação por cartão inteligente funcione, os certificados do controlador de domínio precisam ser reemitidos para incluir o EKU de autenticação KDC.
+ Os certificados do controlador de domínio expiraram - para que a autenticação do cartão inteligente funcione, os certificados do controlador de domínio devem permanecer up-to-date.
+ Os certificados de cartão inteligente são mapeados para usuários no AD usando métodos de mapeamento fracos - tradicionalmente, o campo UPN no subjectAltName atributo era usado para mapear um certificado para um usuário no AD, esperando-se que userPrincipalName correspondesse ao atributo. Isso não é mais considerado um método de mapeamento seguro e não é permitido por padrão. É possível reativá-lo passando o `--allow-weak-mapping` argumento para o `enable_smartcard` comando e adicionando uma `smartcard_weak_mapping = true` linha à `[features]` seção no `/etc/skylight.conf` arquivo, mas uma solução melhor é usar um dos métodos de mapeamento fortes. Consulte a documentação de [vinculação de contas](https://www.idmanagement.gov/implement/scl-windows/#step-4---account-linking) para obter mais detalhes.

As ferramentas para gerenciar os certificados e as chaves no cartão inteligente (como remover ou remapear os certificados e as chaves) podem ser específicas do fabricante. Ferramentas adicionais que você pode usar para trabalhar com cartões inteligentes são:
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**Como habilitar log de depuração**
+ Adicione uma `debug_level = LEVEL` linha `/etc/sssd/sssd.conf` para cada seção individual, onde *LEVEL* está o nível de verbosidade desejado, de 1 a 10. Os registros de cada seção correspondente podem então ser encontrados no `/var/log/sssd/` diretório. Consulte a documentação do SSSD [aqui](https://docs.pagure.org/sssd.sssd/users/troubleshooting.html#sssd-debug-logs) e [aqui](https://sssd.io/troubleshooting/basics.html#sssd-debug-logs) para obter mais detalhes.

## Habilite cartões inteligentes para o Amazon Linux 2 WorkSpaces
<a name="smart-cards-amazon-linux-workspaces"></a>

**nota**  
Atualmente, o Amazon Linux 2 WorkSpaces em DCV tem as seguintes limitações:  
Área de transferência, entrada de áudio, entrada de vídeo e redirecionamento de fuso horário não são compatíveis.
Não há compatibilidade para vários monitores.

Para permitir o uso de cartões inteligentes no Amazon Linux 2 WorkSpaces, você precisa incluir um arquivo de certificado CA raiz no formato PEM na WorkSpace imagem.

**Para obter seu certificado de CA raiz:** Você pode obter seu certificado de CA raiz de várias maneiras:
+ Você pode usar um certificado CA raiz operado por uma autoridade de certificação de terceiros. 
+ Você pode exportar seu próprio certificado CA raiz usando o site de inscrição web, que é `http://ip_address/certsrv` ou`http://fqdn/certsrv`, onde `ip_address` e `fqdn` são o endereço IP e o nome de domínio totalmente qualificado (FQDN) do servidor de certificação CA raiz. Para obter mais informações sobre como usar o site de inscrição web, consulte [Como exportar o certificado de autoridade de certificação raiz](https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate) na documentação da Microsoft. 
+ Você pode usar o procedimento a seguir para exportar o certificado de CA raiz de um servidor de certificação de CA raiz que esteja executando os Serviços de Certificados do Active Directory (AD CS). Para obter informações sobre a instalação do AD CS, consulte [Instalar a autoridade de certificação](https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority) na documentação da Microsoft. 

  1. Faça login no servidor CA raiz usando uma conta de administrador.

  1. No menu **Iniciar** do Windows, abra uma janela do prompt de comando (**Iniciar** > **Sistema Windows** > **Prompt de comando**). 

  1. Use o seguinte comando para exportar o certificado de CA raiz para um novo arquivo, onde `rootca.cer` é o nome do arquivo:

     ```
     certutil -ca.cert rootca.cer
     ```

     Para obter mais informações sobre como executar o certutil, consulte [certutil](https://docs.microsoft.com/windows-server/administration/windows-commands/certutil) na documentação da Microsoft.

  1. Use o comando OpenSSL a seguir para converter o certificado CA raiz exportado do formato DER para o formato PEM, *rootca* onde está o nome do certificado. Para obter mais informações sobre OpenSSL, consulte [www.openssl.org](https://www.openssl.org/).

     ```
     openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem
     ```

**Para adicionar seu certificado CA raiz ao seu Amazon Linux 2 WorkSpaces**

Para ajudá-lo a habilitar cartões inteligentes, adicionamos o script `enable_smartcard` aos nossos pacotes Amazon Linux DCV. Esse script executa as seguintes ações:
+ Importe o certificado de CA raiz para o banco de dados [Network Security Services (NSS)](https://developer.mozilla.org/docs/Mozilla/Projects/NSS). 
+ Instala o módulo `pam_pkcs11` para autenticação do módulo de autenticação conectável (PAM).
+ Executa uma configuração padrão, que inclui a ativação `pkinit` durante o WorkSpace provisionamento.

O procedimento a seguir explica como usar o `enable_smartcard` script para adicionar seu certificado CA raiz ao Amazon Linux 2 WorkSpaces e habilitar cartões inteligentes para o Amazon Linux 2 WorkSpaces.

1. Crie um novo Amazon Linux 2 WorkSpace com o protocolo DCV ativado. Ao iniciar o WorkSpace no WorkSpaces console da Amazon, na página **Selecionar pacotes**, certifique-se de selecionar **DCV** para o protocolo e, em seguida, selecione um dos pacotes públicos do Amazon Linux 2.

1. No novo WorkSpace, execute o comando a seguir como root, onde `pem-path` está o caminho para o arquivo de certificado CA raiz no formato PEM.

   ```
   /usr/lib/skylight/enable_smartcard --ca-cert pem-path
   ```
**nota**  
O Amazon Linux 2 WorkSpaces pressupõe que os certificados nos cartões inteligentes sejam emitidos para o nome principal de usuário (UPN) padrão do usuário, como, por exemplo`sAMAccountName@domain`, onde `domain` está um nome de domínio totalmente qualificado (FQDN).   
Para usar sufixos UPN alternativos, `run /usr/lib/skylight/enable_smartcard --help` para obter mais informações. O mapeamento para sufixos UPN alternativos é exclusivo para cada usuário. Portanto, esse mapeamento deve ser realizado individualmente no de cada usuário WorkSpace.

1. (Opcional) Por padrão, todos os serviços estão habilitados para usar a autenticação por cartão inteligente no Amazon Linux 2 WorkSpaces. Para limitar a autenticação por cartão inteligente para serviços específicos, você deve editar `/etc/pam.d/system-auth`. Remova o comentário da linha `auth` para `pam_succeed_if.so` e edite a lista de serviços conforme necessário.

   Depois o comentário da linha `auth` for removido, para permitir que um serviço use a autenticação por cartão inteligente, você deve adicioná-lo à lista. Para fazer com que um serviço use somente autenticação por senha, é necessário removê-lo da lista.

1. Execute quaisquer personalizações adicionais no. WorkSpace Por exemplo, talvez você queira adicionar uma política em todo o sistema para [permitir que os usuários usem cartões inteligentes no Firefox](#smart-cards-firefox-amazon-linux). (Os usuários do Chrome devem habilitar cartões inteligentes em seus próprios clientes. Para obter mais informações, consulte [Smart Card Support](https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html) no *Amazon WorkSpaces User Guide*.) 

1. [Crie uma WorkSpace imagem e um pacote personalizados](create-custom-bundle.md) a partir do WorkSpace.

1. Use o novo pacote personalizado para lançá-lo WorkSpaces para seus usuários.

Você pode permitir que seus usuários usem cartões inteligentes no Firefox adicionando uma SecurityDevices política à sua WorkSpace imagem do Amazon Linux 2. Para obter mais informações sobre como adicionar políticas de todo o sistema ao Firefox, consulte os modelos de [políticas da Mozilla](https://github.com/mozilla/policy-templates/releases) em. GitHub

**Como permitir que os usuários usem cartões inteligentes no Firefox**

1. No WorkSpace que você está usando para criar sua WorkSpace imagem, crie um novo arquivo chamado `policies.json` in`/usr/lib64/firefox/distribution/`.

1. No arquivo JSON, adicione a SecurityDevices política a seguir, onde `NAME_OF_DEVICE` está o valor que você deseja usar para identificar o `pkcs` módulo. Por exemplo, é possível usar um valor como `"OpenSC"`:

   ```
   {
       "policies": {
           "SecurityDevices": {
               "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so"
           }
       }
   }
   ```

**Solução de problemas:** para solucionar problemas, recomendamos adicionar o `pkcs11-tools` utilitário. Esse utilitário permite que você execute as seguintes ações:
+ Liste cada cartão inteligente.
+ Liste os slots em cada cartão inteligente.
+ Liste os certificados em cada cartão inteligente.

Algumas questões comuns que podem causar problemas:
+ Mapeamento incorreto dos slots para os certificados.
+ Ter vários certificados no cartão inteligente que possam corresponder ao usuário. Os certificados são correspondidos de acordo com os seguintes critérios:
  + A CA raiz para o certificado.
  + Os campos `<KU>` e `<EKU>` do certificado.
  + O UPN no assunto do certificado.
+ Ter vários certificados que tenham `<EKU>msScLogin` no uso de chave.

Em geral, é melhor ter apenas um certificado para autenticação por cartão inteligente que esteja mapeado no primeiro slot do cartão inteligente.

As ferramentas para gerenciar os certificados e as chaves no cartão inteligente (como remover ou remapear os certificados e as chaves) podem ser específicas do fabricante. Ferramentas adicionais que você pode usar para trabalhar com cartões inteligentes são:
+ `opensc-explorer`
+ `opensc-tool`
+ `pkcs11_inspect`
+ `pkcs11_listcerts`
+ `pkcs15-tool`

**Como habilitar log de depuração**

Para solucionar os problemas de configuração `pam_pkcs11` e `pam-krb5`, você pode habilitar o log de depuração.

1. No arquivo `/etc/pam.d/system-auth-ac`, edite a ação `auth` e altere o parâmetro `nodebug` de `pam_pksc11.so` para `debug`. 

1. No arquivo `/etc/pam_pkcs11/pam_pkcs11.conf`, altere `debug = false;` para `debug = true;`. A opção `debug` se aplica separadamente a cada módulo mapeador, portanto, talvez seja necessário alterá-la diretamente na seção `pam_pkcs11` e também na seção apropriada do mapeador (por padrão, é `mapper generic`).

1. No arquivo `/etc/pam.d/system-auth-ac`, edite a ação `auth` e adicione o parâmetro `debug` ou `debug_sensitive` para `pam_krb5.so`. 

Depois de habilitar o log de depuração, o sistema imprime mensagens de depuração `pam_pkcs11` diretamente no terminal ativo. As mensagens de `pam_krb5` estão registradas em `/var/log/secure`. 

Para verificar a qual nome de usuário um certificado de cartão inteligente está mapeado, use o seguinte comando `pklogin_finder`:

```
sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf
```

Quando solicitado, digite o PIN do cartão inteligente. `pklogin_finder` gera como saída em `stdout` o nome de usuário no certificado do cartão inteligente no formato `NETBIOS\username`. Esse nome de usuário deve corresponder ao WorkSpace nome de usuário.

Nos Serviços de Domínio do Active Directory (AD DS), o nome de domínio NetBIOS é o nome de domínio anterior ao Windows 2000. Normalmente (mas nem sempre), o nome de domínio NetBIOS é o subdomínio do nome de domínio do Sistema de Nomes de Domínio (DNS). Por exemplo, se o nome do domínio DNS for `example.com`, o nome de domínio NetBIOS geralmente é `EXAMPLE`. Se o nome do domínio DNS for `corp.example.com`, o nome de domínio NetBIOS geralmente é `CORP`. 

Por exemplo, para o usuário `mmajor` no domínio `corp.example.com`, a saída de `pklogin_finder` é `CORP\mmajor`.

**nota**  
Se você receber a mensagem `"ERROR:pam_pkcs11.c:504: verify_certificate() failed"`, essa mensagem indica que `pam_pkcs11` encontrou um certificado no cartão inteligente que corresponde aos critérios do nome de usuário, mas que não está vinculado a um certificado de CA raiz reconhecido pela máquina. Quando isso acontece, `pam_pkcs11` gera a mensagem acima e, em seguida, tenta o próximo certificado. Isso permite a autenticação somente se encontrar um certificado que corresponda ao nome de usuário e esteja encadeado a um certificado de CA raiz reconhecido.

Para solucionar problemas de configuração `pam_krb5`, você pode invocar manualmente `kinit` no modo de depuração com o seguinte comando:

```
KRB5_TRACE=/dev/stdout kinit -V
```

Esse comando deve obter com sucesso um tíquete de concessão de tíquetes (TGT) Kerberos. Se isso falhar, tente adicionar explicitamente o nome de entidade principal correto do Kerberos ao comando. Por exemplo, para o usuário `mmajor` no domínio `corp.example.com`, use este comando: 

```
KRB5_TRACE=/dev/stdout kinit -V mmajor
```

Se esse comando for bem-sucedido, o problema provavelmente está no mapeamento do nome de WorkSpace usuário para o nome principal do Kerberos. Verifique a seção `[appdefaults]/pam/mappings` no arquivo `/etc/krb5.conf`. 

Se esse comando não for bem-sucedido, mas um comando `kinit` baseado em senha tiver sucesso, verifique as configurações relacionadas a `pkinit_` no arquivo `/etc/krb5.conf`. Por exemplo, se o cartão inteligente possuir mais de um certificado, talvez seja necessário fazer alterações no `pkinit_cert_match`.

# Fornecer acesso à internet para o WorkSpaces Personal
<a name="amazon-workspaces-internet-access"></a>

Os WorkSpaces devem ter acesso à Internet para que seja possível instalar atualizações no sistema operacional e implantar aplicativos. É possível usar uma das opções a seguir para permitir que seus WorkSpaces em uma nuvem privada virtual (VPC) acessem a Internet.

**Opções**
+ Inicie seus WorkSpaces em sub-redes privadas e configure um gateway NAT em uma sub-rede pública na VPC.
+ Inicie seus WorkSpaces em sub-redes públicas e atribua de forma automática ou manual endereços IP públicos a eles.

Para obter mais informações sobre essas opções, consulte as seções correspondentes em [Configurar uma VPC para uso pessoal WorkSpaces](amazon-workspaces-vpc.md).

Com qualquer uma dessas opções, você deve garantir que o grupo de segurança para seu WorkSpaces permita o tráfego de saída nas portas 80 (HTTP) e 443 (HTTPS) para todos os destinos (`0.0.0.0/0`).

**Biblioteca de extras do Amazon Linux**  
Se você usa o repositório do Amazon Linux, os WorkSpaces do Amazon Linux devem ter acesso à internet ou você deve configurar endpoints da VPC para esse repositório e para o repositório principal do Amazon Linux. Para obter mais informações, consulte a seção *Exemplo: como habilitar o acesso aos repositórios da AMI do Amazon Linux* em [Endpoints do Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html). Os repositórios da Amazon Linux AMI são buckets do Amazon S3 em cada região. Se desejar que as instâncias em sua VPC acessem os repositórios por meio de um endpoint, crie uma política de endpoint que permita acesso a esses buckets. A política a seguir permite acesso aos repositórios do Amazon Linux.

```
{
  "Statement": [
    {
        "Sid": "AmazonLinux2AMIRepositoryAccess",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
        ]
    }
  ]
}
```

# Grupos de segurança para WorkSpaces pessoal
<a name="amazon-workspaces-security-groups"></a>

Quando você registra um diretório com WorkSpaces, ele cria dois grupos de segurança, um para controladores de diretório e outro para WorkSpaces o diretório. O grupo de segurança para controladores de diretório tem um nome que consiste no identificador de diretório seguido por **\$1controllers** (por exemplo, d-12345678e1\$1controllers). O grupo de segurança de WorkSpaces tem um nome que consiste no identificador de diretório seguido por **\$1WorkspacesMembers (por exemplo, D-123456FC11\$1WorkspacesMembers**).

**Atenção**  
Evite modificar, excluir ou desvincular os grupos de segurança **\$1controllers** e **\$1workspacesMembers**. Tenha cuidado ao modificar ou excluir esses grupos de segurança, visto que não é possível recriá-los e adicioná-los novamente depois de terem sido modificados ou excluídos. Para obter mais informações, consulte [Grupos de EC2 segurança da Amazon para instâncias Linux](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-security-groups.html) ou [Grupos EC2 de segurança da Amazon para instâncias do Windows](https://docs.aws.amazon.com//AWSEC2/latest/WindowsGuide/ec2-security-groups.html).

Você pode adicionar um grupo WorkSpaces de segurança padrão a um diretório. Depois de associar um novo grupo de segurança a um WorkSpaces diretório, os novos WorkSpaces que você iniciar ou os existentes WorkSpaces que você reconstruir terão o novo grupo de segurança. Você também pode [adicionar esse novo grupo de segurança padrão aos existentes WorkSpaces sem reconstruí-los](#security_group_existing_workspace), conforme explicado posteriormente neste tópico.

Quando você associa vários grupos de segurança a um WorkSpaces diretório, as regras de cada grupo de segurança são efetivamente agregadas para criar um conjunto de regras. Recomendamos que você condense as regras do grupo de segurança o máximo possível.

Para obter mais informações sobre grupos de segurança, consulte [Grupos de Segurança par ao seu VPC](https://docs.aws.amazon.com//vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário do Amazon VPC*.

**Para adicionar um grupo de segurança a um WorkSpaces diretório**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione o diretório e escolha **Ações**, **Atualizar detalhes**.

1. Expanda **Grupo de segurança** e selecione um grupo de segurança.

1. Escolha **Atualizar e sair**.

Para adicionar um grupo de segurança a um existente WorkSpace sem reconstruí-lo, você atribui o novo grupo de segurança à interface de rede elástica (ENI) do. WorkSpace

**Para adicionar um grupo de segurança a um grupo existente WorkSpace**

1. Encontre o endereço IP de cada um WorkSpace que precisa ser atualizado.

   1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

   1. Expanda cada um WorkSpace e registre seu endereço WorkSpace IP.

1. Encontre o ENI para cada um WorkSpace e atualize sua atribuição de grupo de segurança.

   1. Abra o EC2 console da Amazon em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

   1. Em **Rede e segurança**, escolha **Interfaces de rede**.

   1. Procure o primeiro endereço IP que registrou na etapa 1.

   1. Selecione a ENI associada ao endereço IP, escolha **Ações** e selecione **Alterar grupos de segurança**.

   1. Selecione o novo grupo de segurança e escolha **Salvar**.

   1. Repita esse processo conforme necessário para qualquer outro WorkSpaces. 

# Grupos de controle de acesso IP para WorkSpaces pessoal
<a name="amazon-workspaces-ip-access-control-groups"></a>

A Amazon WorkSpaces permite que você controle de quais endereços IP você WorkSpaces pode ser acessado. Ao usar grupos de controle baseados em endereços IP, você pode definir e gerenciar grupos de endereços IP confiáveis e permitir que os usuários os acessem somente WorkSpaces quando estiverem conectados a uma rede confiável.

Um *grupo de controle de acesso IP* atua como um firewall virtual que controla os endereços IP dos quais os usuários podem acessar seus WorkSpaces. Para especificar os intervalos de endereços CIDR, adicione regras ao grupo de controle de acesso de IP, depois associe o grupo ao diretório. Você pode adicionar até 30 regras por grupo de controle de acesso IP e associar cada grupo de controle de acesso IP a um ou mais diretórios. Você pode criar até 140 grupos de controle de acesso IP por região por AWS conta. No entanto, você só pode associar até 35 grupos de controle de acesso IP a um único diretório.

Um grupo de controle de acesso de IP padrão é associado a cada diretório. Esse grupo padrão inclui uma regra padrão que permite aos usuários acessá-los WorkSpaces de qualquer lugar. Não é possível modificar o grupo de controle de acesso de IP padrão para o diretório. Se você não associar um grupo de controle de acesso de IP a um diretório, o grupo padrão será usado. Se você associar um grupo de controle de acesso IP com um diretório, o grupo de controle de acesso IP padrão é desassociado.

Para especificar os endereços IP públicos e intervalos de endereços IP para suas redes confiáveis, adicione regras para seus grupos de controle de acesso IP. Se seus usuários os acessarem WorkSpaces por meio de um gateway NAT ou VPN, você deverá criar regras que permitam o tráfego dos endereços IP públicos para o gateway NAT ou VPN.

**nota**  
Os grupos de controle de acesso IP não permitem o uso de endereços IP dinâmicos para NATs. Se você estiver usando um NAT, configure-o para usar um endereço IP estático em vez de um endereço IP dinâmico. Verifique se o NAT roteia todo o tráfego UDP pelo mesmo endereço IP estático durante a WorkSpaces sessão.
Os grupos de controle de acesso IP controlam os endereços IP aos quais os usuários podem conectar suas sessões de streaming WorkSpaces. Os usuários ainda podem executar funcionalidades, como reiniciar, reconstruir, desligar, a partir de qualquer endereço IP usando o Amazon public. WorkSpaces APIs
Os grupos de controle de acesso de IP não se aplicam quando o endpoint da VPC para streaming está configurado para um diretório.
Quando você altera um controle de acesso IP, as sessões ativas não são imediatamente interrompidas; as alterações serão aplicadas somente às novas sessões.

Você pode usar esse recurso com o Web Access, clientes PCo IP zero e aplicativos cliente para macOS, iPad, Windows, Chromebook e Android.

## Criar um grupo de controle de acesso de IP
<a name="create-ip-access-control-group"></a>

Você pode criar um grupo de controle de acesso IP conforme indicado a seguir. Cada grupo de controle de acesso IP pode conter até 30 regras.

**Para criar um grupo de controle de acesso IP**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecione **IP Access Controls**.

1. Escolha **Create IP Group**.

1. Na caixa de diálogo **Criar grupo de IP**, insira um nome e uma descrição para o grupo e escolha **Criar**.

1. Selecione o grupo e escolha **Edit**.

1. Para cada endereço IP, escolha **Add Rule**. Para **Origem**, insira o endereço IP ou intervalo de endereços IP. Em **Descrição**, insira uma descrição. Quando terminar de adicionar regras, escolha **Save**.

## Associar um grupo de controle de acesso de IP a um diretório
<a name="associate-ip-access-control-group"></a>

Você pode associar um grupo de controle de acesso IP a um diretório para garantir que WorkSpaces sejam acessados somente de redes confiáveis.

Se você associar um grupo de controle de acesso IP que não tenha regras a um diretório, isso bloqueará todo o acesso a todos WorkSpaces.

**Para associar um grupo de controle de acesso IP a um diretório**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Selecione o diretório e escolha **Ações**, **Atualizar detalhes**.

1. Expanda **IP Access Control Groups** e selecione um ou mais grupos de controle de acesso IP.

1. Escolha **Atualizar e sair**.

## Copiar um grupo de controle de acesso de IP
<a name="copy-ip-access-control-group"></a>

Você pode usar um grupo de controle de acesso IP existente como base para a criação de um novo.

**Para criar um grupo de controle de acesso IP a partir de um existente**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecione **IP Access Controls**.

1. Selecione o grupo e escolha **Actions**, **Copy to New**.

1. Na caixa de diálogo **Copiar grupo de IP**, insira um nome e uma descrição para o novo grupo e escolha **Copiar grupo**.

1. (Opcional) Para modificar as regras copiadas do grupo original, selecione o novo grupo e escolha **Edit**. Adicione, atualize ou remova regras conforme necessário. Escolha **Salvar**.

## Excluir um grupo de controle de acesso de IP
<a name="delete-ip-access-control-group"></a>

Você pode excluir uma regra de um grupo de controle de acesso IP a qualquer momento. Se você remover uma regra usada para permitir uma conexão com um WorkSpace, o usuário será desconectado do WorkSpace.

Antes de excluir um grupo de controle de acesso IP, você deve desassociá-lo a partir de qualquer diretório.

**Para excluir um grupo de controle de acesso IP**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Para cada diretório associado ao grupo de controle de acesso IP, selecione o diretório e escolha **Ações**, **Update Details**. Expanda **Grupos de controle de acesso IP**, desmarque a caixa de seleção do grupo de controle de acesso IP e escolha **Atualizar e sair**.

1. No painel de navegação, selecione **IP Access Controls**.

1. Selecione o grupo e escolha **Ações**, **Delete IP Group**.

# Configurar clientes zero PCoIP para WorkSpaces Personal
<a name="set-up-pcoip-zero-client"></a>

Os clientes zero PCoIP são compatíveis somente com pacotes de WorkSpaces que estão usando o protocolo PCoIP.

Se o dispositivo Zero Client tiver firmware versão 6.0.0 ou posterior, seus usuários poderão se conectar aos seus WorkSpaces diretamente. Quando os usuários estão se conectando diretamente aos WorkSpaces usando um dispositivo cliente zero, recomendamos usar a autenticação multifator (MFA) com seu diretório de WorkSpaces. Para obter mais informações sobre como usar a MFA com seu diretório, consulte a seguinte documentação:
+ **AWS Managed Microsoft AD**: [Enable multi-factor authentication for AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) no *Guia de administração do AWS Directory Service*
+ **AD Connector**: [Enable multi-factor authentication for AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html) no *Guia de administração do AWS Directory Service* e [Autenticação multifator (conector AD) para WorkSpaces Personal](connect-mfa.md)
+ **Domínios confiáveis**: [ Enable multi-factor authentication for AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_mfa.html) no *Guia de administração do AWS Directory Service*
+ **Simple AD**: a autenticação multifator não está disponível para o Simple AD.

Desde 13 de abril de 2021, o PCoIP Connection Manager não é mais compatível para uso com versões de firmware de dispositivo cliente zero entre 4.6.0 e 6.0.0. Se o firmware do cliente zero não for a versão 6.0.0 ou posterior, você poderá obter o firmware mais recente por meio de uma assinatura do Desktop Access em [https://www.teradici.com/desktop-access](https://www.teradici.com/desktop-access).

**Importante**  
No Teradici PCoIP Administrative Web Interface (AWI) ou no Teradici PCoIP Management Console (MC), habilite o Network Time Protocol (NTP). Para o nome DNS do host NTP **pool.ntp.org**, use e defina a porta do host NTP como **123**. Se o NTP não estiver habilitado, seus usuários de cliente zero PCoIP poderão receber erros de falha de certificado, como "The supplied certificate is invalid due to timestamp" (O certificado fornecido é inválido devido ao time stamp).
A partir da versão 20.10.4 do agente PCoIP, o Amazon WorkSpaces desabilita o redirecionamento USB por padrão por meio do registro do Windows. Essa configuração do registro afeta o comportamento dos periféricos USB quando os usuários utilizam dispositivos cliente zero PCoIP para se conectar aos WorkSpaces. Para obter mais informações, consulte [Impressoras USB e outros periféricos USB não estão funcionando para PCo clientes IP zero](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).

Para obter informações sobre a configuração e a conexão com um dispositivo cliente zero PCoIP, consulte [PCoIP Zero Client](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html) no *Guia do usuário do Amazon WorkSpaces*. Para obter uma lista de dispositivos cliente zero PCoIP aprovados, consulte [PCoIP Zero Clients](https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients) no site do Teradici.

# Configurar o Android para Chromebook para WorkSpaces Personal
<a name="set-up-android-chromebook"></a>

A versão 2.4.13 é a versão final do aplicativo cliente Chromebook do Amazon WorkSpaces. Como o [Google está eliminando gradualmente o suporte aos aplicativos do Chrome](https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html), não haverá atualizações adicionais para o aplicativo cliente do Chromebook para o WorkSpaces e não haverá suporte ao seu uso.

Para [Chromebooks compatíveis com a instalação de aplicações Android](https://www.chromium.org/chromium-os/chrome-os-systems-supporting-android-apps/), recomendamos usar a [aplicação cliente do WorkSpaces para Android](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html).

Alguns Chromebooks lançados antes de 2019 devem estar habilitados para [instalar aplicativos Android](https://support.google.com/chromebook/answer/7021273) antes que os usuários possam instalar o aplicativo cliente Android do Amazon WorkSpaces. Para obter mais informações, consulte [Sistemas Chrome OS compatíveis com aplicativos Android](https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps).

Para gerenciar remotamente a ativação dos Chromebooks de seus usuários para instalar aplicativos Android, consulte [Configurar Android em dispositivos Chrome](https://support.google.com/chrome/a/topic/9042368).

# Habilitar e configurar o WorkSpaces Web Access for WorkSpaces Personal
<a name="web-access"></a>

A maioria dos WorkSpaces pacotes oferece suporte ao Amazon WorkSpaces Web Access. Para obter uma lista dos WorkSpaces que oferecem suporte ao acesso por navegador da web, consulte “Quais WorkSpaces pacotes da Amazon oferecem suporte ao Web Access?” em [Acesso de clientes, acesso à Web e experiência do usuário](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).

**nota**  
A partir de 7 de novembro de 2025, o Amazon WorkSpaces PCo IP Web Access não está mais aberto a novos clientes. O recurso só receberá atualizações funcionais e de segurança críticas daqui para frente. Para obter mais informações, consulte o [Guia WorkSpaces do usuário da Amazon](https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html).
O Web Access com DCV para Windows e Ubuntu WorkSpaces é suportado em todas as regiões em que o DCV WorkSpaces está disponível. O DCV para Amazon Linux WorkSpaces está disponível somente em AWS GovCloud (Oeste dos EUA).
É altamente recomendável usar o Web Access com DCV WorkSpaces para obter a melhor qualidade de streaming e experiência do usuário. A seguir estão as limitações ao usar o Web Access com PCo IP WorkSpaces:  
O acesso à Web com PCo IP não é suportado na AWS GovCloud (US) RegionsÁsia-Pacífico (Mumbai), África (Cidade do Cabo), Europa (Frankfurt) e Israel (Tel Aviv)
O Web Access com PCo IP só é compatível com Windows WorkSpaces, não com Amazon Linux ou Ubuntu WorkSpaces.
O Web Access não está disponível para alguns Windows 10 WorkSpaces que estão usando o protocolo PCo IP. Se o seu PCo IP WorkSpaces for alimentado pelo Windows Server 2019 ou 2022, o Web Access não estará disponível.
O acesso à Web com PCo IP é limitado na funcionalidade dos recursos. Ele suporta saída de vídeo, saída de áudio, teclado e mouse. Ele não oferece suporte a muitos recursos, incluindo entrada de vídeo, entrada de áudio, redirecionamento da área de transferência e webcams.
Se você estiver usando o macOS na VPN e usando o navegador Firefox, o navegador não suportará streaming de PCo IP WorkSpaces usando o WorkSpaces Web Access. Isso se deve a uma limitação na implementação do protocolo WebRTC pelo Firefox.

**Importante**  
A partir de 1º de outubro de 2020, os clientes não poderão mais usar o cliente Amazon WorkSpaces Web Access para se conectar ao Windows 7 Custom WorkSpaces ou ao Windows 7 Bring Your Own License (BYOL) WorkSpaces.

## Etapa 1: habilitar o acesso via Web ao seu WorkSpaces
<a name="enable-web-access"></a>

Você controla o acesso pela Web ao seu WorkSpaces no nível do diretório. Para cada diretório contendo o qual você deseja permitir WorkSpaces que os usuários acessem por meio do cliente do Web Access, siga as etapas a seguir.

**Para habilitar o acesso via Web ao seu WorkSpaces**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Na coluna **ID do diretório**, escolha o ID do diretório para o qual você deseja habilitar o Acesso via Web.

1. Na página **Detalhes do diretório**, desça até a seção **Outras plataformas** e escolha **Editar**.

1. Selecione **Web Access**.

1. Escolha **Salvar**.

**nota**  
Depois de habilitar o Web Access, reinicie o seu WorkSpace para que a alteração seja aplicada.

## Etapa 2: Configurar o acesso de entrada e saída às portas para Acesso via Web
<a name="configure_inbound_outbound"></a>

O Amazon WorkSpaces Web Access exige acesso de entrada e saída para determinadas portas. Para obter mais informações, consulte [Portas para o Web Access](workspaces-port-requirements.md#web-access-ports).

## Etapa 3: Definir as configurações da Política de Grupo e da política de segurança a fim de permitir que os usuários façam login
<a name="configure_group_policy"></a>

A Amazon WorkSpaces depende de uma configuração específica da tela de login para permitir que os usuários façam login com sucesso a partir do seu cliente Web Access.

Para permitir que os usuários do Web Access façam login em seus WorkSpaces, você deve definir uma configuração de Política de Grupo e três configurações de Política de Segurança. Se essas configurações não estiverem definidas corretamente, os usuários poderão enfrentar longos tempos de login ou telas pretas ao tentarem fazer login no seu WorkSpaces. Para definir essas configurações, use os procedimentos a seguir. 

Você pode usar Objetos de Política de Grupo (GPOs) para aplicar configurações para gerenciar o Windows WorkSpaces ou os usuários que fazem parte do seu WorkSpaces diretório do Windows. Recomendamos que você crie uma unidade organizacional para seus objetos de WorkSpaces computador e uma unidade organizacional para seus objetos de WorkSpaces usuário.

Para obter informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com GPOs elas, consulte [Instalando as Ferramentas de Administração do Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) no *Guia de AWS Directory Service Administração*.

**Para permitir que o agente de WorkSpaces logon troque de usuário**

Na maioria dos casos, quando um usuário tenta fazer login em um WorkSpace, o campo do nome do usuário é preenchido previamente com o nome desse usuário. No entanto, se um administrador tiver estabelecido uma conexão RDP com o WorkSpace para realizar tarefas de manutenção, o campo do nome do usuário será preenchido com o nome do administrador.

Para evitar esse problema, desative a configuração da política de grupo **Hide entry points for Fast User Switching (Ocultar pontos de entrada para troca rápida de usuários)**. Quando você desativa essa configuração, o agente de WorkSpaces logon pode usar o botão **Alternar usuário** para preencher o campo do nome do usuário com o nome correto.

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração da política**, **Políticas**, **Modelos administrativos**, **Sistema** e **Logon**. 

1. Abra a configuração **Ocultar pontos de entrada para a troca rápida de usuários**.

1. Na caixa de diálogo **Ocultar pontos de entrada para a troca rápida de usuários** selecione**Desabilitado** e clique em **OK**.

Por padrão, a lista de últimos usuários com os quais foi feito logon é exibida em vez do botão **Trocar de usuário**. Dependendo da configuração do WorkSpace, a lista pode não exibir o **quadro Outro usuário**. Quando essa situação ocorre, se o nome de usuário pré-preenchido não estiver correto, o agente de WorkSpaces logon não poderá preencher o campo com o nome correto.

Para evitar esse problema, habilite a configuração da política de segurança **Logon interativo: não exibir o último usuário que fez login** ou **Logon interativo: não exibir o último nome de usuário**.

**Como ocultar o último nome de usuário com o qual foi feito logon**

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração do computador**, **Configurações do Windows**, **Configurações de segurança**, **Políticas locais** e **Opções de segurança**. 

1. Abra uma das seguintes configurações:
   + Para o Windows 7: **Logon interativo: não exibir o último usuário que fez login**
   + Para o Windows 10: **Logon interativo: não exibir o último nome de usuário**

1. Na caixa de diálogo **Propriedades** da configuração, selecione **Habilitado** e clique em **OK**.

**Como exigir que os usuários pressionem CTRL\$1ALT\$1DEL antes de fazer logon**

Para o WorkSpaces Web Access, você precisa exigir que os usuários pressionem CTRL\$1ALT\$1DEL antes de poderem fazer login. Exigir que os usuários pressionem CTRL\$1ALT\$1DEL antes de fazer logon garante que os eles estejam usando um caminho confiável ao inserir as senhas.

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração do computador**, **Configurações do Windows**, **Configurações de segurança**, **Políticas locais** e **Security Options (Opções de segurança)**. 

1. Abra o **Logon interativo: não exigir CTRL\$1ALT\$1DEL**.

1. Na guia **Configuração de segurança local**, selecione **Desativado** e **OK**.

**Como exibir as informações de usuário e de domínio quando a sessão está bloqueada**

O agente de WorkSpaces logon procura o nome e o domínio do usuário. Depois que essa configuração for definida, a tela de bloqueio exibirá o nome completo do usuário (se ele estiver especificado no Active Directory), o nome de domínio e o nome de usuário dele.

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração do computador**, **Configurações do Windows**, **Configurações de segurança**, **Políticas locais** e **Opções de segurança**. 

1. Abra a configuração **Logon interativo: exibir informações do usuário quando a sessão for bloqueada**.

1. Na guia **Configuração de segurança local**, selecione **Nome de exibição, domínio e nomes de usuário** e selecione **OK**.

**Como aplicar as alterações de configuração da política de grupo e da política de segurança**  
As alterações nas configurações da Política de Grupo e da Política de Segurança entram em vigor após a próxima atualização da Política de Grupo WorkSpace e após a reinicialização da WorkSpace sessão. Para aplicar as alterações na política de grupo e na política de segurança nos procedimentos anteriores, siga um destes procedimentos:
+ Reinicie o WorkSpace (no WorkSpaces console da Amazon, selecione o e, em seguida WorkSpace, escolha **Ações**, **Reinicialização WorkSpaces**).
+ Em um prompt de comando administrativo, insira **gpupdate /force**.

# Configurar o WorkSpaces Thin Client
<a name="access-control-awstc"></a>

A maioria dos WorkSpaces pacotes oferece suporte ao Amazon WorkSpaces Thin Client Access. Para obter uma lista dos WorkSpaces que oferecem suporte ao acesso por navegador da web, consulte “Quais WorkSpaces pacotes da Amazon oferecem suporte ao Thin Client Access?” em [Acesso de clientes, acesso à Web e experiência do usuário](https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience).

## Etapa 1: habilitar o controle de acesso ao seu Amazon WorkSpaces Thin Client
<a name="enable-access-control-awstc"></a>

Você controla o acesso do Thin Client ao seu WorkSpaces no nível do diretório com controle de acesso baseado em agente de usuário. Para cada diretório contendo o qual você deseja permitir WorkSpaces que os usuários acessem por meio do cliente Thin Client Access, siga as etapas a seguir.

**Para habilitar o acesso do Thin Client ao seu WorkSpaces**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Na coluna **ID do diretório**, escolha o ID do diretório para o qual você deseja habilitar o acesso do Thin Client.

1. Na página **Detalhes do diretório**, desça até a seção **Outras plataformas** e escolha **Editar**.

1. Selecione **WorkSpaces Thin Client**.

1. Escolha **Salvar**.

## Etapa 2: configurar o acesso de entrada e saída às portas para acesso do Thin Client
<a name="configure_inbound_outbound_awstc"></a>

O Amazon WorkSpaces Thin Client Access exige acesso de entrada e saída para determinadas portas. Para obter mais informações, consulte [Portas para o Web Access](workspaces-port-requirements.md#web-access-ports).

## Etapa 3: Definir as configurações da Política de Grupo e da política de segurança a fim de permitir que os usuários façam login
<a name="configure_group_policy-awstc"></a>

A Amazon WorkSpaces depende de uma configuração específica da tela de login para permitir que os usuários façam login com sucesso a partir do cliente Thin Client Access.

1. Para permitir que os usuários do Thin Client Access façam login WorkSpaces, você deve definir uma configuração de Política de Grupo e três configurações de Política de Segurança. Se essas configurações não estiverem definidas corretamente, os usuários poderão enfrentar longos tempos de login ou telas pretas ao tentarem fazer login no seu WorkSpaces. Para definir essas configurações, use os procedimentos a seguir. 

1. Você pode usar Objetos de Política de Grupo (GPOs) para aplicar configurações para gerenciar o Windows WorkSpaces ou os usuários que fazem parte do seu WorkSpaces diretório do Windows. Recomendamos que você crie uma unidade organizacional para seus objetos de WorkSpaces computador e uma unidade organizacional para seus objetos de WorkSpaces usuário.

1. Para obter informações sobre como usar as ferramentas de administração do Active Directory para trabalhar com GPOs elas, consulte [Instalando as Ferramentas de Administração do Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html) no *Guia de AWS Directory Service Administração*.

1. Na maioria dos casos, quando um usuário tenta fazer login em um WorkSpace, o campo do nome do usuário é preenchido previamente com o nome desse usuário. No entanto, se um administrador tiver estabelecido uma conexão RDP com o WorkSpace para realizar tarefas de manutenção, o campo do nome do usuário será preenchido com o nome do administrador.

1. Para evitar esse problema, desative a configuração da política de grupo **Hide entry points for Fast User Switching (Ocultar pontos de entrada para troca rápida de usuários)**. Quando você desativa essa configuração, o agente de WorkSpaces logon pode usar o botão **Alternar usuário** para preencher o campo do nome do usuário com o nome correto.

**Para permitir que o agente de WorkSpaces logon troque de usuário**

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração da política**, **Políticas**, **Modelos administrativos**, **Sistema** e **Logon**. 

1. Abra a configuração **Ocultar pontos de entrada para a troca rápida de usuários**.

1. Na caixa de diálogo **Ocultar pontos de entrada para a troca rápida de usuários** selecione**Desabilitado** e clique em **OK**.

Por padrão, a lista de últimos usuários com os quais foi feito logon é exibida em vez do botão **Trocar de usuário**. Dependendo da configuração do WorkSpace, a lista pode não exibir o **quadro Outro usuário**. Quando essa situação ocorre, se o nome de usuário pré-preenchido não estiver correto, o agente de WorkSpaces logon não poderá preencher o campo com o nome correto.

Para evitar esse problema, habilite a configuração da política de segurança **Logon interativo: não exibir o último usuário que fez login** ou **Logon interativo: não exibir o último nome de usuário**.

**Como ocultar o último nome de usuário com o qual foi feito logon**

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração do computador**, **Configurações do Windows**, **Configurações de segurança**, **Políticas locais** e **Opções de segurança**. 

1. Abra uma das seguintes configurações:
   + Para o Windows 7: **Logon interativo: não exibir o último usuário que fez login**
   + Para o Windows 10: **Logon interativo: não exibir o último nome de usuário**

1. Na caixa de diálogo **Propriedades** da configuração, selecione **Habilitado** e clique em **OK**.

Para o WorkSpaces Thin Client Access, você precisa exigir que os usuários pressionem CTRL\$1ALT\$1DEL antes de poderem fazer login. Exigir que os usuários pressionem CTRL\$1ALT\$1DEL antes de fazer logon garante que os eles estejam usando um caminho confiável ao inserir as senhas.

**Como exigir que os usuários pressionem CTRL\$1ALT\$1DEL antes de fazer logon**

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração do computador**, **Configurações do Windows**, **Configurações de segurança**, **Políticas locais** e **Security Options (Opções de segurança)**. 

1. Abra o **Logon interativo: não exigir CTRL\$1ALT\$1DEL**.

1. Na guia **Configuração de segurança local**, selecione **Desativado** e **OK**.

O agente de WorkSpaces logon procura o nome e o domínio do usuário. Depois que essa configuração for definida, a tela de bloqueio exibirá o nome completo do usuário (se ele estiver especificado no Active Directory), o nome de domínio e o nome de usuário dele.

**Como exibir as informações de usuário e de domínio quando a sessão está bloqueada**

1. Abra a ferramenta Gerenciamento de Política de Grupo (**gpmc.msc**), navegue até e selecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usa para o seu WorkSpaces. (Se você tiver o [modelo administrativo da Política de WorkSpaces Grupo](group_policy.md#gp_install_template) instalado em seu domínio, poderá usar o WorkSpaces GPO para suas contas WorkSpaces de máquina.)

1. Escolha **Ação**, **Editar** no menu principal.

1. No Editor de gerenciamento de política de grupo, selecione **Configuração do computador**, **Configurações do Windows**, **Configurações de segurança**, **Políticas locais** e **Opções de segurança**. 

1. Abra a configuração **Logon interativo: exibir informações do usuário quando a sessão for bloqueada**.

1. Na guia **Configuração de segurança local**, selecione **Nome de exibição, domínio e nomes de usuário** e selecione **OK**.

As alterações nas configurações da Política de Grupo e da Política de Segurança entram em vigor após a próxima atualização da Política de Grupo WorkSpace e após a reinicialização da WorkSpace sessão. Para aplicar as alterações na política de grupo e na política de segurança nos procedimentos anteriores, siga um destes procedimentos:

**Como aplicar as alterações de configuração da política de grupo e da política de segurança**

1. Reinicie o WorkSpace (no WorkSpaces console da Amazon, selecione o e, em seguida WorkSpace, escolha **Ações**, **Reinicialização WorkSpaces**).

1. Em um prompt de comando administrativo, insira **gpupdate /force**.

# Configure a autorização do FedRAMP ou a conformidade com o SRG do DoD para pessoal WorkSpaces
<a name="fips-encryption"></a>

Para cumprir o [Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP](https://aws.amazon.com/compliance/fedramp/)) ou [o Guia de Requisitos de Segurança de Computação em Nuvem (SRG) do Departamento de Defesa (DoD)](https://aws.amazon.com/compliance/dod/), você deve configurar a WorkSpaces Amazon para usar a criptografia de endpoint dos Padrões Federais de Processamento de Informações (FIPS) no nível do diretório. Você também deve usar uma AWS região dos EUA que tenha autorização do FedRAMP ou seja compatível com SRG do DoD.

O nível de autorização do FedRAMP (moderado ou alto) ou o nível de impacto do DoD SRG (2, 4 ou 5) depende da AWS região dos EUA na qual a Amazon está sendo usada. WorkSpaces 

Para obter os níveis de autorização do FedRAMP e a conformidade com o SRG do DoD aplicáveis a cada região, consulte [Serviços da AWS no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).

**nota**  
Além de usar a criptografia de endpoint FIPS, você também pode criptografar seu. WorkSpaces Para obter mais informações, consulte [Criptografado WorkSpaces em WorkSpaces Pessoal](encrypt-workspaces.md).

**Requisitos**
+ Você deve criar o seu WorkSpaces em uma [AWS região dos EUA que tenha autorização do FedRAMP ou seja](https://aws.amazon.com/compliance/services-in-scope/) compatível com SRG do DoD.
+ O WorkSpaces diretório deve ser configurado para usar o **modo validado FIPS 140-2** para criptografia de endpoints.
**nota**  
Para usar a configuração do **Modo Validado FIPS 140-2**, o WorkSpaces diretório deve ser novo ou todos os existentes WorkSpaces no diretório devem estar usando o Modo Validado **FIPS 140-2** para criptografia de endpoints. Caso contrário, você não poderá usar essa configuração e, portanto, a WorkSpaces que você criar não estará em conformidade com os requisitos de segurança do FedRAMP ou do DoD.  
Consulte a [etapa 3](#step3-fips) abaixo para obter detalhes sobre como verificar o diretório.
+ Os usuários devem acessá-los WorkSpaces a partir de um dos seguintes aplicativos WorkSpaces cliente:
  + Windows: 2.4.3 ou posterior
  + macOS: 2.4.3 ou posterior para PCo IP WorkSpaces e 5.21.0 ou posterior para DCV WorkSpaces
  + Linux: 3.0.0 ou posterior
  + iOS: 2.4.1 ou posterior
  + Android: 2.4.1 ou posterior
  + Tablet Fire: 2.4.1 ou posterior
  + ChromeOS: 2.4.1 ou posterior
  + Web Access

**Como usar a criptografia de endpoint do FIPS**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, selecionar **Diretórios**.

1. Verifique se o diretório em que você deseja criar o FedRAMP autorizado e compatível com SRG do DoD WorkSpaces não tem nenhum diretório associado a ele. WorkSpaces Se estiverem WorkSpaces associados ao diretório e o diretório ainda não estiver habilitado para usar o Modo Validado FIPS 140-2, encerre-o WorkSpaces ou crie um novo diretório.

1. Escolha o diretório que atende aos critérios acima e escolha **Actions (Ações)**, **Update Details (Atualizar detalhes)**.

1. <a name="step3-fips"></a>Na página **Update Directory Details (Atualizar detalhes do diretório)** escolha a seta para expandir a seção **Access Control Options (Opções de controle de acesso)**.

1. Em **Endpoint Encryption (Criptografia de endpoint)**, escolha **FIPS 140-2 Validated Mode (Modo validado FIPS 140-2)** em vez de **TLS Encryption Mode (Standard) [Modo de criptografia TLS (Padrão)]**.

1. Escolha **Atualizar e sair**.

1. Agora você pode criar a WorkSpaces partir desse diretório que sejam autorizados pelo FedRAMP e compatíveis com SRG do DoD. Para acessá-los WorkSpaces, os usuários devem usar um dos aplicativos WorkSpaces cliente listados anteriormente na seção [Requisitos](#fedramp-requirements).

# Habilite conexões SSH para seu Linux WorkSpaces no WorkSpaces Personal
<a name="connect-to-linux-workspaces-with-ssh"></a>

Se você ou seus usuários quiserem se conectar ao seu Linux WorkSpaces usando a linha de comando, você pode habilitar as conexões SSH. Você pode habilitar conexões SSH para todos WorkSpaces em um diretório ou para indivíduos WorkSpaces em um diretório. 

Para habilitar conexões SSH, crie um novo grupo de segurança ou atualize um existente e adicione uma regra para permitir o tráfego de entrada para essa finalidade. Os grupos de segurança atuam como firewall para instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Depois de criar ou atualizar seu grupo de segurança, seus usuários e outras pessoas podem usar o PuTTY ou outros terminais para se conectar de seus dispositivos ao Linux. WorkSpaces Para obter mais informações, consulte [Grupos de segurança para WorkSpaces pessoal](amazon-workspaces-security-groups.md).

Para ver um tutorial em vídeo, consulte [Como posso me conectar ao meu Linux Amazon WorkSpaces usando SSH?](https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/) no Centro de AWS Conhecimento. Este tutorial é WorkSpaces somente para o Amazon Linux 2.

**Topics**
+ [Pré-requisitos para conexões SSH com Linux WorkSpaces](#before-you-begin-enable-ssh-linux-workspaces)
+ [Ativar conexões SSH para todo o Linux WorkSpaces em um diretório](#enable-ssh-directory-level-access-linux-workspaces)
+ [Autenticação baseada em senha em WorkSpaces](#enable-ssh-access-old-version)
+ [Ativar conexões SSH com um Linux específico WorkSpace](#enable-ssh-access-specific-linux-workspace)
+ [Conecte-se a um Linux WorkSpace usando Linux ou PuTTY](#ssh-connection-linux-workspace-using-linux-or-putty)

## Pré-requisitos para conexões SSH com Linux WorkSpaces
<a name="before-you-begin-enable-ssh-linux-workspaces"></a>
+ Habilitando o tráfego SSH de entrada para um WorkSpace — Para adicionar uma regra para permitir o tráfego SSH de entrada para um ou mais Linux WorkSpaces, verifique se você tem os endereços IP públicos ou privados dos dispositivos que exigem conexões SSH com o seu. WorkSpaces Por exemplo, você pode especificar os endereços IP públicos de dispositivos fora da sua nuvem privada virtual (VPC) ou o endereço IP privado de outra instância do EC2 na mesma VPC que a sua. WorkSpace 

  Se você planeja se conectar a um WorkSpace de seu dispositivo local, você pode usar a frase de pesquisa “qual é o meu endereço IP” em um navegador da Internet ou usar o seguinte serviço: [Verifique o IP](https://checkip.amazonaws.com/). 
+ Conectando-se a um WorkSpace — As informações a seguir são necessárias para iniciar uma conexão SSH de um dispositivo para um Linux. WorkSpace
  + O nome de NetBIOS do domínio do Active Directory ao qual você está conectado.
  + Seu nome WorkSpace de usuário.
  + O endereço IP público ou privado do ao WorkSpace qual você deseja se conectar.

    Privado: se sua VPC estiver conectada a uma rede corporativa e você tiver acesso a essa rede, poderá especificar o endereço IP privado do. WorkSpace

    Público: se você WorkSpace tiver um endereço IP público, poderá usar o WorkSpaces console para encontrar o endereço IP público, conforme descrito no procedimento a seguir.

**Para encontrar os endereços IP do Linux ao qual WorkSpace você deseja se conectar e seu nome de usuário**

1. Abra o WorkSpaces console em [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home).

1. No painel de navegação, escolha **WorkSpaces**.

1. Na lista de WorkSpaces, escolha WorkSpace aquela para a qual você deseja habilitar as conexões SSH.

1. Na coluna **Modo de execução**, confirme se o WorkSpace status é **Disponível**.

1. Clique na seta à esquerda do WorkSpace nome para exibir o resumo em linha e observe as seguintes informações:
   + O **WorkSpace IP**. Esse é o endereço IP privado do WorkSpace.

     O endereço IP privado é necessário para obter a interface de rede elástica associada ao WorkSpace. A interface de rede é necessária para recuperar informações como o grupo de segurança ou o endereço IP público associado ao WorkSpace.
   + O WorkSpace **nome de usuário**. Esse é o nome de usuário que você especifica para se conectar ao WorkSpace.

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **Network Interfaces**.

1. Na caixa de pesquisa, digite o **WorkSpace IP** que você anotou na Etapa 5. 

1. Selecione a interface de rede associada ao **WorkSpaceIP**. 

1. Se você WorkSpace tiver um endereço IP público, ele será exibido na coluna **IP IPv4 público**. Anote esse endereço, se necessário.

**Para encontrar o nome de NetBIOS do domínio do Active Directory ao qual você está conectado**

1. Abra o Directory Service console em [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

1. Na lista de diretórios, clique no link **ID** do diretório do WorkSpace.

1. Na seção **Directory details** (Detalhes do diretório), anote o **Directory NetBIOS name** (Nome do diretório NetBIOS).

## Ativar conexões SSH para todo o Linux WorkSpaces em um diretório
<a name="enable-ssh-directory-level-access-linux-workspaces"></a>

Para habilitar conexões SSH para todo o Linux WorkSpaces em um diretório, faça o seguinte.

**Para criar um grupo de segurança com uma regra para permitir tráfego SSH de entrada para todo o Linux WorkSpaces em um diretório**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, escolha **Grupos de segurança**.

1. Escolha **Criar grupo de segurança**.

1. Digite um nome e, se quiser, uma descrição para seu grupo de segurança.

1. Para **VPC**, escolha a VPC que contém as conexões SSH para as WorkSpaces quais você deseja habilitar.

1. Na guia **Inbound ** (Entrada), selecione **Add Rule** (Adicionar regra) e siga estas etapas:
   + Para **Tipo**, escolha **SSH**.
   + Para **Protocol** (Protocolo), o TCP é especificado automaticamente quando você seleciona **SSH**.
   + Para **Port Range** (Intervalo de portas), 22 é especificada automaticamente quando você seleciona **SSH**.
   + Em **Source**, especifique o intervalo CIDR dos endereços IP públicos dos computadores que os usuários usarão para se conectar aos seus WorkSpaces. Por exemplo, uma rede corporativa ou uma rede doméstica.
   + Em **Description** (Descrição), digite uma descrição para a regra. Essa etapa é opcional.

1. Escolha **Criar**.

1. Anexe esse grupo de segurança ao seu WorkSpaces. Para obter mais informações sobre como adicionar esse grupo de segurança ao seu WorkSpaces, consulte[Grupos de segurança para WorkSpaces pessoal](amazon-workspaces-security-groups.md). Se você quiser anexar automaticamente grupos de segurança adicionais ao seu WorkSpaces, consulte esta [postagem do blog](https://aws.amazon.com/blogs/desktop-and-application-streaming/automatically-attach-additional-security-groups-to-amazon-appstream-2-0-and-amazon-workspaces/).

## Autenticação baseada em senha em WorkSpaces
<a name="enable-ssh-access-old-version"></a>

**Para habilitar a autenticação por senha no Linux recém-criado WorkSpaces**

1. Inicie o WorkSpaces cliente e faça login no seu WorkSpace.

1. Abra a janela do terminal.

1. Na janela do terminal, execute o comando a seguir para habilitar a autenticação por senha SSH no cloud-init.

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: true" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single --name set-passwords'
   ```

   Esse script fará o seguinte:
   + Crie um arquivo de configuração no diretório `/etc/cloud/cloud.cfg.d/` do cloud-init.
   + Modifique o arquivo de configuração para que o cloud-init habilite a autenticação por senha SSH.
   + Redefina o módulo `set-passwords` do cloud-init para que ele possa ser executado novamente.
   + Execute o módulo `set-passwords` do cloud-init sozinho. Isso gravará um arquivo que habilita a autenticação por senha SSH no diretório de configuração SSH, `/etc/ssh/sshd_config.d/` e reiniciará o SSHD para que a configuração ocorra imediatamente.

 Isso permite a autenticação por senha SSH em seu computador WorkSpace e persistirá por meio de imagens personalizadas. Se você habilitar a autenticação por senha SSH somente no arquivo de configuração SSHD, sem configurar o cloud-init, a configuração não persistirá por meio de imagens em alguns Linux. WorkSpaces Para obter mais informações, consulte [Configurar senhas]() na documentação do módulo do cloud-init.

**Para desativar a autenticação por senha no Linux existente WorkSpaces**

1. Inicie o WorkSpaces cliente e faça login no seu WorkSpace.

1. Abra a janela do terminal.

1. Na janela do terminal, execute o comando a seguir para desabilitar a autenticação por senha SSH no cloud-init.

   ```
   sudo bash -c 'touch /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && echo "ssh_pwauth: false" > /etc/cloud/cloud.cfg.d/15_sshpwauth.cfg && sudo rm /var/lib/cloud/instance/sem/config_set_passwords && sudo cloud-init single —name set-passwords'
   ```

   Esse script fará o seguinte:
   + Crie um arquivo de configuração no diretório cloud-init `/etc/cloud/cloud.cfg.d/`.
   + Modifique o arquivo de configuração para que o cloud-init desabilite a autenticação por senha SSH.
   + Redefina o módulo `set-passwords` do cloud-init para que ele possa ser executado novamente.
   + Execute o módulo `set-passwords` do cloud-init sozinho. Isso gravará um arquivo que habilita a autenticação por senha SSH no diretório de configuração SSH, `/etc/ssh/sshd_config.d/` e reiniciará o SSHD para que a configuração ocorra imediatamente.

Isso desativa imediatamente o SSH no WorkSpace e persistirá por meio de imagens personalizadas.

## Ativar conexões SSH com um Linux específico WorkSpace
<a name="enable-ssh-access-specific-linux-workspace"></a>

Para habilitar conexões SSH com um Linux específico WorkSpace, faça o seguinte.

**Para adicionar uma regra a um grupo de segurança existente para permitir tráfego SSH de entrada para um Linux específico WorkSpace**

1. Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, em **Network & Security** (Rede e segurança), selecione **Network Interfaces** (Interfaces de rede).

1. Na barra de pesquisa, digite o endereço IP privado para o WorkSpace qual você deseja habilitar as conexões SSH.

1. Na coluna **Grupos de segurança**, clique em um link para o grupo de segurança.

1. Na guia **Entrada**, escolha **Editar**.

1. Selecione **Add Rule** (Adicionar regra) e faça o seguinte:
   + Para **Tipo**, escolha **SSH**.
   + Para **Protocol** (Protocolo), o TCP é especificado automaticamente quando você seleciona **SSH**.
   + Para **Port Range** (Intervalo de portas), 22 é especificada automaticamente quando você seleciona **SSH**.
   + Em **Source** (Origem), selecione **My IP** (Meu IP) ou **Custom** (Personalizado) e especifique um único endereço de IP ou um intervalo na notação CIDR. Por exemplo, se seu IPv4 endereço for`203.0.113.25`, especifique `203.0.113.25/32` para listar esse IPv4 endereço único na notação CIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como `203.0.113.0/24`.
   + Em **Description** (Descrição), digite uma descrição para a regra. Essa etapa é opcional.

1. Escolha **Salvar**.

## Conecte-se a um Linux WorkSpace usando Linux ou PuTTY
<a name="ssh-connection-linux-workspace-using-linux-or-putty"></a>

Depois de criar ou atualizar seu grupo de segurança e adicionar a regra necessária, seus usuários e outras pessoas podem usar o Linux ou o PuTTY para se conectar de seus dispositivos ao seu. WorkSpaces 

**nota**  
Antes de concluir qualquer um dos procedimentos a seguir, verifique se você tem o seguinte:  
O nome de NetBIOS do domínio do Active Directory ao qual você está conectado.
O nome de usuário que você usa para se conectar ao WorkSpace.
O endereço IP público ou privado do ao WorkSpace qual você deseja se conectar.
Para obter instruções sobre como obter essas informações, consulte “Pré-requisitos para conexões SSH com Linux WorkSpaces”, anteriormente neste tópico.

**Para se conectar a um Linux WorkSpace usando Linux**

1. Abra o prompt de comando como administrador e insira o seguinte comando. Para *NetBIOS name**Username*, e*WorkSpace IP*, insira os valores aplicáveis. 

   ```
   ssh "NetBIOS_NAME\Username"@WorkSpaceIP
   ```

   Veja a seguir um exemplo do comando SSH onde:
   + *NetBIOS\$1NAME*É qualquer empresa
   + Essa *Username * é janedoe.
   + O *WorkSpace IP* é 203.0.113.25

   ```
   ssh "anycompany\janedoe"@203.0.113.25
   ```

1. Quando solicitado, digite a mesma senha que você usa ao se autenticar com o WorkSpaces cliente (sua senha do Active Directory).

**Para se conectar a um Linux WorkSpace usando PuTTY**

1. Abra o PuTTY.

1. Na caixa de diálogo **PuTTY Configuration** (Configuração PuTTy), siga estas etapas:
   + Para **Host Name (or IP address) [Nome de host (ou endereço IP)]**, insira o seguinte comando. Substitua os valores pelo nome NetBIOS do domínio do Active Directory ao qual você está conectado, pelo nome de usuário que você usa para se conectar ao WorkSpace e pelo endereço IP do domínio ao qual você deseja se conectar. WorkSpace 

     ```
     NetBIOS_NAME\Username@WorkSpaceIP
     ```
   + Em **Porta**, insira **22**.
   + Para **Connection type** (Tipo de conexão), escolha **SSH**.

   Para um exemplo do comando SSH, consulte a etapa 1 no procedimento anterior.

1.  Escolha **Open (Abrir)**.

1. Quando solicitado, digite a mesma senha que você usa ao se autenticar com o WorkSpaces cliente (sua senha do Active Directory).

# Componentes de configuração e serviço necessários para o WorkSpaces Personal
<a name="required-service-components"></a>

Como WorkSpace administrador, você deve entender o seguinte sobre a configuração necessária e os componentes de serviço.
+ [Configuração necessária da tabela de roteamento](#routing-table-configuration)
+ [Componentes de serviço necessários para Windows](#required-service-components-windows)
+ [Componentes de serviço necessários para Linux](#required-service-components-linux)
+ [Componentes de serviço necessários para Ubuntu](#required-service-components-ubuntu)
+ [Componentes de serviço necessários para Rocky Linux](#required-service-components-rocky)
+ [Componentes de serviço necessários para o Red Hat Enterprise Linux](#required-service-components-red-hat)

## Configuração necessária da tabela de roteamento
<a name="routing-table-configuration"></a>

Recomendamos que você não modifique a tabela de roteamento em nível de sistema operacional para a. WorkSpace O WorkSpaces serviço requer as rotas pré-configuradas nesta tabela para monitorar o estado do sistema e atualizar os componentes do sistema. Se forem necessárias alterações na tabela de roteamento para sua organização, entre em contato com o AWS Support ou com a equipe da sua AWS conta antes de aplicar qualquer alteração. 

## Componentes de serviço necessários para Windows
<a name="required-service-components-windows"></a>

No Windows WorkSpaces, os componentes do serviço são instalados nos seguintes locais. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, não WorkSpace funcionará corretamente.

Se o software antivírus estiver instalado no WorkSpace, certifique-se de que ele não interfira nos componentes do serviço instalados nos seguintes locais.
+ `C:\Program Files\Amazon`
+ `C:\Program Files\NICE`
+ `C:\Program Files\Teradici`
+ `C:\Program Files (x86)\Teradici`
+ `C:\ProgramData\Amazon`
+ `C:\ProgramData\NICE`
+ `C:\ProgramData\Teradici`

Se o software antivírus estiver instalado no WorkSpaces Core, certifique-se de que ele não interfira nos componentes do serviço instalados nos seguintes locais.
+ C:\$1Program Files\$1Amazon
+ C:\$1ProgramData\$1 Amazon

### Agente PCo IP de 32 bits
<a name="pcoip-agent-32-bit-to-64-bit"></a>

Em 29 de março de 2021, atualizamos o agente PCo IP de 32 bits para 64 bits. Para Windows WorkSpaces que está usando o protocolo PCo IP, isso significa que a localização dos arquivos Teradici mudou de `C:\Program Files (x86)\Teradici` para. `C:\Program Files\Teradici` Como atualizamos os agentes PCo IP durante janelas de manutenção regulares, alguns de vocês WorkSpaces podem ter usado o agente de 32 bits por mais tempo do que outros durante a transição.

Se você configurou regras de firewall, exclusões de software antivírus (no lado do cliente e do host), configurações de Objeto de Política de Grupo (GPO) ou configurações para o Microsoft System Center Configuration Manager (SCCM), Microsoft Endpoint Configuration Manager ou ferramentas de gerenciamento de configuração semelhantes com base no caminho completo para o agente de 32 bits, também deve adicionar o caminho completo para o agente de 64 bits a essas configurações.

**Se você estiver filtrando os caminhos para qualquer componente PCo IP de 32 bits, não se esqueça de adicionar os caminhos às versões de 64 bits dos componentes. Como WorkSpaces talvez nem todos sejam atualizados ao mesmo tempo, não substitua o caminho de 32 bits pelo caminho de 64 bits, ou alguns deles WorkSpaces podem não funcionar.** Por exemplo, se você estiver baseando as exclusões ou os filtros de comunicação em `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_server_win32.exe`, também deverá adicionar `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_server.exe`. Da mesma forma, se você estiver baseando as exclusões ou os filtros de comunicação em `C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_agent.exe`, também deverá adicionar `C:\Program Files\Teradici\PCoIP Agent\bin\pcoip_agent.exe`.

**PCoAlteração do serviço de árbitro** de PCo IP — Esteja ciente de que o serviço de árbitro de IP (`C:\Program Files (x86)\Teradici\PCoIP Agent\bin\pcoip_arbiter_win32.exe`) é removido quando WorkSpaces você é atualizado para usar o agente de 64 bits.

**PCoClientes IP zero e dispositivos USB** — A partir da versão 20.10.4 do agente PCo IP, a Amazon WorkSpaces desativa o redirecionamento de USB por padrão por meio do registro do Windows. Essa configuração do registro afeta o comportamento dos periféricos USB quando seus usuários estão usando dispositivos PCo IP zero client para se conectar aos seus. WorkSpaces Para obter mais informações, consulte [Impressoras USB e outros periféricos USB não estão funcionando para PCo clientes IP zero](amazon-workspaces-troubleshooting.md#pcoip_zero_client_usb).

## Componentes de serviço necessários para Linux
<a name="required-service-components-linux"></a>

No Amazon Linux WorkSpaces, os componentes do serviço são instalados nos seguintes locais. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, não WorkSpace funcionará corretamente.

**nota**  
Fazer alterações em arquivos diferentes `/etc/pcoip-agent/pcoip-agent.conf` pode fazer com que você pare de funcionar e exigir que você os reconstrua. WorkSpaces Para obter informações sobre como modificar `/etc/pcoip-agent/pcoip-agent.conf`, consulte [Gerencie seu Amazon Linux 2 WorkSpaces em WorkSpaces Pessoal](manage_linux_workspace.md).
+ `/etc/dhcp/dhclient.conf`
+ `/etc/logrotate.d/pcoip-agent`
+ `/etc/logrotate.d/pcoip-server`
+ `/etc/os-release`
+ `/etc/pam.d/pcoip`
+ `/etc/pam.d/pcoip-session`
+ `/etc/pcoip-agent`
+ `/etc/profile.d/system-restart-check.sh`
+ `/etc/X11/default-display-manager`
+ `/etc/yum/pluginconf.d/halt_os_update_check.conf`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/lib/systemd/system/pcoip.service`
+ `/lib/systemd/system/pcoip-agent.service`
+ `/lib64/security/pam_self.so`
+ `/usr/bin/pcoip-fne-view-license`
+ `/usr/bin/pcoip-list-licenses`
+ `/usr/bin/pcoip-validate-license`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/firewalld/services/pcoip-agent.xml`
+ `/usr/lib/modules-load.d/usb-vhci.conf`
+ `/usr/lib/pcoip-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/pcoip.service`
+ `/usr/lib/systemd/system/pcoip.service.d/`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/tmpfiles.d/pcoip-agent.conf`
+ `/usr/lib/yum-plugins/halt_os_update_check.py`
+ `/usr/sbin/pcoip-agent`
+ `/usr/sbin/pcoip-register-host`
+ `/usr/sbin/pcoip-support-bundler`
+ `/usr/share/doc/pcoip-agent`
+ `/usr/share/pcoip-agent`
+ `/usr/share/selinux/packages/pcoip-agent.pp`
+ `/usr/share/X11`
+ `/var/crash/pcoip-agent`
+ `/var/lib/pcoip-agent`
+ `/var/lib/skylight`
+ `/var/log/pcoip-agent` 
+ `/var/log/skylight`
+ `/var/logs/wsp`
+ `/var/log/eucanalytics` 

## Componentes de serviço necessários para Ubuntu
<a name="required-service-components-ubuntu"></a>

No Ubuntu WorkSpaces, os componentes do serviço são instalados nos seguintes locais. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, não WorkSpace funcionará corretamente.
+ `/etc/X11/default-display-manager`
+ `/etc/dcv`
+ `/etc/default/grub.d/zz-hibernation.cfg`
+ `/etc/netplan`
+ `/etc/os-release`
+ `/etc/pam.d/dcv`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/sssd/sssd.conf`
+ `/etc/wsp`
+ `/etc/systemd/system/euc-analytic-agent.service` 
+ `/lib64/security/pam_self.so`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/share/X11`
+ `/usr/bin/euc-analytics-agent`
+ `/var/lib/skylight`
+ `/var/log/skylight`
+ `/var/log/eucanalytics` 

## Componentes de serviço necessários para Rocky Linux
<a name="required-service-components-rocky"></a>

No Red Hat Enterprise Linux WorkSpaces, os componentes de serviço são instalados nos seguintes locais. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, não WorkSpace funcionará corretamente.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/lib/skylight`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`

## Componentes de serviço necessários para o Red Hat Enterprise Linux
<a name="required-service-components-red-hat"></a>

No Red Hat Enterprise Linux WorkSpaces, os componentes de serviço são instalados nos seguintes locais. Não exclua, altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, não WorkSpace funcionará corretamente.
+ `/etc/dcv`
+ `/etc/os-release`
+ `/etc/pam.d/dcv-graphical-sso`
+ `/etc/pam.d/dcv`
+ `/etc/systemd/system/euc-analytic-agent.service`
+ `/etc/wsp`
+ `/usr/bin/euc-analytics-agent`
+ `/usr/lib/skylight`
+ `/usr/lib/systemd/system/dcvserver.service`
+ `/usr/lib/systemd/system/dcvsessionlauncher.service`
+ `/usr/lib/systemd/system/skylight-agent.service`
+ `/usr/lib/systemd/system/wspdcvhostadapter.service`
+ `/usr/lib/systemd/system/xdcv-console.path`
+ `/usr/lib/systemd/system/xdcv-console.service`
+ `/usr/lib/systemd/system/xdcv-console-update.service`
+ `/usr/share/X11`
+ `/var/log/eucanalytics`
+ `/var/log/skylight`