为 WorkSpaces 个人版创建专用的自定义目录 - Amazon WorkSpaces
要求和限制步骤 1:启用 IAM Identity Center 并与身份提供者连接步骤 2:创建专用的自定义 WorkSpaces 目录

为 WorkSpaces 个人版创建专用的自定义目录

在创建 Windows 10 和 11 BYOL 个人 WorkSpaces 并将其分配给使用 AWS IAM Identity Center 身份提供者(IdP)管理的用户之前,您必须创建一个专用的自定义 WorkSpaces 目录。个人 WorkSpaces 未加入任何 Microsoft Active Directory,但可以使用您选择的移动设备管理(MDM)解决方案进行管理,例如 JumpCloud。有关 JumpCloud 的更多信息,请参阅这篇文章。要了解使用其他选项的教程,请参阅为 WorkSpaces 个人版创建目录

注意

  • Amazon WorkSpaces 无法在自定义目录中启动的个人 WorkSpaces 上创建或管理用户账户。作为管理员,您必须对其进行管理。

  • 自定义 WorkSpaces 目录在提供 Amazon WorkSpaces 的所有 AWS 区域可用,但非洲(开普敦)、以色列(特拉维夫)和中国(宁夏)除外。

  • Amazon WorkSpaces 无法在使用自定义目录的 WorkSpaces 上创建或管理用户账户。要确保您使用的 MDM 代理软件可以在 Windows WorkSpaces 上创建用户配置文件,请联系 MDM 解决方案提供商。创建用户配置文件允许您的用户从 Windows 登录屏幕登录 Windows 桌面。

要求和限制

  • 自定义 WorkSpaces 目录仅支持 Windows 10 或 11 自带许可个人 WorkSpaces。

  • 自定义 WorkSpaces 目录仅支持 DCV 协议。

  • 确保为您的 AWS 账户启用 BYOL,并且您拥有自己的 AWS KMS 服务器,以便您的个人 WorkSpaces 可以访问该服务器以激活 Windows 10 和 11。有关更多信息,请参阅 WorkSpaces 中的自带 Windows 桌面许可证

  • 确保在导入 AWS 账户的 BYOL 映像上预安装 MDM 代理软件。

步骤 1:启用 IAM Identity Center 并与身份提供者连接

要将 WorkSpaces 分配给由您的身份提供者管理的用户,必须通过 AWS IAM Identity Center 向 AWS 提供用户信息。我们建议使用 IAM Identity Center 管理用户访问 AWS 资源的权限。有关更多信息,请参阅什么是 IAM Identity Center? 这是一次性设置。

将用户信息提供给 AWS

  1. 在 AWS 上启用 IAM Identity Center。您可以在您的 AWS Organizations 中启用 IAM Identity Center,尤其是在您使用多账户环境的情况下。您还可以创建 IAM Identity Center 账户实例。有关更多信息,请参阅启用 AWS IAM Identity Center。一个 WorkSpaces 目录可以与一个 IAM Identity Center 组织或账户实例相关联。一个 IAM Identity Center 实例可以与一个或多个 WorkSpaces 个人版目录相关联。

    如果您使用组织实例并尝试在其中一个成员账户中创建 WorkSpaces 目录,请确保您拥有以下 IAM Identity Center 权限。

    • "sso:DescribeInstance"

    • "sso:CreateApplication"

    • "sso:PutApplicationGrant"

    • "sso:PutApplicationAuthenticationMethod"

    • "sso:DeleteApplication"

    • "sso:DescribeApplication"

    • "sso:getApplicationGrant"

    有关更多信息,请参阅管理对 IAM Identity Center 资源的访问权限概览。确保没有服务控制策略(SCP)阻止这些权限。要详细了解 SCP,请参阅服务控制策略(SCP)

  2. 配置 IAM Identity Center 和您的身份提供者(IdP),自动将用户从您的 IdP 同步到您的 IAM Identity Center 实例。有关更多信息,请参阅入门教程并选择要使用的 IdP 的特定教程。例如,使用 IAM Identity Center 与 JumpCloud 目录平台连接

  3. 验证您在 IdP 上配置的用户是否已正确同步到 AWS IAM Identity Center 实例。第一次同步最多可能需要一个小时,具体取决于您 IdP 的配置。

步骤 2:创建专用的自定义 WorkSpaces 目录

创建专用的 WorkSpaces 个人版目录,用于存储有关您个人 WorkSpaces 和用户的信息。

创建专用的自定义 WorkSpaces 目录

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home

  2. 在导航窗格中,选择目录

  3. 选择创建目录

  4. 创建目录页面,对于 WorkSpaces 类型,选择个人。对于 WorkSpace 设备管理,选择自定义

  5. 对于用户身份源,从下拉列表中选择您在步骤 1 中配置的 IAM Identity Center 实例。创建目录后,您将无法更改与目录关联的 IAM Identity Center 实例。

    注意

    您必须为该目录指定 IAM Identity Center 实例,否则,您将无法使用 WorkSpaces 控制台启动带有该目录的个人 WorkSpaces。没有关联 Identity Center 的 WorkSpaces 目录仅与 WorkSpaces Core 合作伙伴解决方案兼容。

  6. 对于目录名称,输入目录的唯一名称。

  7. 对于 VPC,选择您用于启动 WorkSpaces 的 VPC。有关更多信息,请参阅 为 WorkSpaces 个人版配置 VPC

  8. 对于子网,选择来自不同可用区的 VPC 的两个子网。这些子网将用于启动您的个人 WorkSpaces。有关更多信息,请参阅 WorkSpaces 个人版的可用区

    重要

    确保在子网中启动的 WorkSpaces 可以访问 Internet,这是用户登录 Windows 桌面时所必需的。有关更多信息,请参阅 为 WorkSpaces 个人版提供互联网访问权限

  9. 对于配置,选择启用专用的 WorkSpace。您必须启用它才能创建专用 WorkSpaces 个人版目录,从而启动自带许可(BYOL)Windows 10 或 11 个人 WorkSpaces。

  10. (可选)对于标签,指定要用于目录中个人 WorkSpaces 的密钥对值。

  11. 查看目录摘要,然后选择创建目录。连接目录需要几分钟时间。目录的初始状态是 Creating。目录创建完毕后,状态会变为 Active

创建目录后,系统还会自动代表您创建 IAM Identity Center 应用程序。要查找应用程序的 ARN,请转到目录的摘要页面。

现在,您可以使用该目录,启动已注册 Microsoft Intune 并加入 Microsoft Entra ID 的 Windows 10 或 11 个人 WorkSpaces。有关更多信息,请参阅 在 WorkSpaces 个人版中创建 WorkSpace

创建 WorkSpaces 个人版目录后,您可以创建个人 WorkSpace。有关更多信息,请参阅 在 WorkSpaces 个人版中创建 WorkSpace