

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在你之间建立信任关系 AWS 托管 Microsoft AD 目录和你的 WorkSpaces 个人本地域
<a name="launch-workspace-trusted-domain"></a>

在本教程中，我们将在 AWS 托管的 Microsoft AD 目录与本地域之间创建信任关系。要了解使用其他选项的教程，请参阅[为 WorkSpaces 个人创建目录](launch-workspaces-tutorials.md)。

**注意**  
如果将 AWS 托管 Microsoft AD 配置为与您的本地目录的信任关系，则 AWS 账户 在单独的可信域中启动 WorkSpaces 时可以与托管 Microsoft AD 一起使用。但是，来自可信域的用户无法 WorkSpaces 使用 Simple AD 或 AD Connector 启动 WorkSpaces 。

**设置信任关系**

1. 在您的虚拟私有云 (VPC) 中设置 AWS 托管 Microsoft AD。有关详细信息，请参阅《*AWS Directory Service 管理指南》*中的 [“创建您的 AWS 托管 Microsoft AD 目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)”。
**注意**  
目前不支持在 Amazon 上使用共享目录 WorkSpaces。
如果您的 Microsoft AD AWS 托管目录已配置为多区域复制，则只能注册主区域中的目录以供亚马逊 WorkSpaces使用。尝试在复制区域中注册该目录以供在 Amazon 上使用 WorkSpaces 将失败。 Multi-Region 在复制的区域 WorkSpaces 内，亚马逊不支持使用 AWS 托管 Microsoft AD 进行复制。

1. 在你的 AWS 托管 Microsoft AD 和你的本地域之间建立信任关系。确保该信任关系配置为双向信任。有关更多信息，请参阅《*AWS Directory Service 管理指南*》中的[教程：在您的 AWS 托管 Microsoft AD 和您的 On-Premises 域之间创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)。

可以使用单向或双向信任来管理和进行身份验证 WorkSpaces，以便 WorkSpaces 可以将其配置给本地用户和群组。有关更多信息，请参阅[ WorkSpaces 使用带有 Di AWS rectory Service 的 One-Way 信任资源域部署 Amazon](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)。

**注意**  
红帽企业 Linux、Rocky Linux 和 Ubuntu WorkSpaces 使用系统安全服务守护程序 (SSSD) 进行 Active Directory 集成，而 SSSD 不支持森林信任。改为配置外部信任。 Two-way 建议对 Linux 使用外部信任 WorkSpaces。
Windows 和 Linux 支持 Web Access WorkSpaces。有关 Amazon Linux 2 网络访问限制的信息 WorkSpaces，请参阅[WorkSpaces 在 WorkSpaces 个人版中管理你的 Amazon Linux 2](manage_linux_workspace.md)。