Amazon WorkSpaces - Guia de Administração · 2020-06-12 · Domínios e portas na lista de permissões ... Ativar usando um domínio confiável ... adicionar ou remover usuários

Amazon WorkSpacesGuia de Administração

Amazon WorkSpaces Guia de Administração

Amazon WorkSpaces: Guia de AdministraçãoCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsO que é Amazon WorkSpaces? ............................................................................................................ 1

Recursos ................................................................................................................................... 1Arquitetura ................................................................................................................................. 1Acesso ao seu WorkSpace .......................................................................................................... 2Definição de preço ...................................................................................................................... 3Como começar ........................................................................................................................... 3

Conceitos básicos: Instalação rápida ..................................................................................................... 4Antes de começar ...................................................................................................................... 4Etapa 1: Ativar o WorkSpace ....................................................................................................... 4Etapa 2: Conectar-se ao WorkSpace ............................................................................................. 6Etapa 3: Limpar (opcional) ........................................................................................................... 7Próximas etapas ......................................................................................................................... 7

Redes e acesso ................................................................................................................................. 8Requisitos da VPC ..................................................................................................................... 8

Configurar uma VPC com sub-redes privadas e um gateway NAT .............................................. 8Configurar uma VPC com sub-redes públicas ....................................................................... 12

Requisitos de endereço IP e porta .............................................................................................. 14Portas para aplicações clientes ........................................................................................... 14Portas para o Web Access ................................................................................................. 15Domínios e portas na lista de permissões ............................................................................ 16Servidores de verificação de integridade do PCoIP ................................................................ 21Gateway PCoIP ................................................................................................................ 23Interfaces de rede ............................................................................................................. 24

Requisitos de rede .................................................................................................................... 27Dispositivos confiáveis ............................................................................................................... 28

Etapa 1: Criar os certificados .............................................................................................. 29Etapa 2: Implantar certificados de cliente nos dispositivos confiáveis ......................................... 29Etapa 3: Configurar a restrição ........................................................................................... 29

Acesso à Internet ...................................................................................................................... 30Security groups ........................................................................................................................ 31Grupos de controle de acesso IP ................................................................................................ 32

Criar um Grupo de controle de acesso IP ............................................................................. 32Associe um Grupo de controle de acesso IP a um Diretório ..................................................... 33Copie um Grupo de controle de acesso de IP ....................................................................... 33Excluir um Grupo de controle de acesso de IP ...................................................................... 33

PCoIP Zero Client ..................................................................................................................... 34Configurar o Android para Chromebooks ...................................................................................... 34Web Access ............................................................................................................................. 34

Etapa 1: Ativar o Web Access aos WorkSpaces .................................................................... 35Etapa 2: Configurar o acesso de entrada e saída às portas para o Web Access .......................... 35Etapa 3: Definir as configurações da política de grupo e da política de segurança a fim depermitir que os usuários façam logon .................................................................................. 35

Criptografia de endpoint do FIPS ................................................................................................ 38Habilitar conexões SSH ............................................................................................................. 39

Pré-requisitos para conexões SSH para Amazon Linux WorkSpaces ......................................... 39Habilitar conexões SSH para todos os Amazon Linux WorkSpaces em um diretório ..................... 40Habilitar conexões SSH a um Amazon Linux WorkSpace específico ......................................... 41Conectar-se a um Amazon Linux WorkSpace usando o Linux ou o PuTTY ................................. 41

Configuração necessária ............................................................................................................ 43Configuração obrigatória da tabela de roteamento ................................................................. 43Componentes de serviço necessários .................................................................................. 43

Diretórios ......................................................................................................................................... 44Registrar um diretório ................................................................................................................ 44Atualizar detalhes do diretório ..................................................................................................... 45

iii


Selecionar uma unidade organizacional ................................................................................ 46Configurar endereços IP automáticos ................................................................................... 46Controlar o acesso de dispositivos ...................................................................................... 47Gerenciar permissões de administrador local ........................................................................ 47Atualizar a conta do AD Connector (AD Connector) ............................................................... 48Multi-factor Authentication (AD Connector) ............................................................................ 48

Excluir um diretório ................................................................................................................... 48Habilitar o Amazon WorkDocs para o Microsoft Active Directory ....................................................... 49Configurar a administração de diretório ........................................................................................ 50Gerenciar WorkSpaces do Windows ............................................................................................ 52

Instalar o modelo administrativo de políticas de grupo ............................................................ 53Configurar o suporte à impressora local para WorkSpaces do Windows ..................................... 53Ativar ou desativar o redirecionamento da área de transferência para WorkSpaces do Windows ..... 55Defina o tempo limite para retomar sessão dos WorkSpaces do Windows .................................. 56Desativar o redirecionamento do fuso horário para WorkSpaces do Windows ............................. 56Definir o tempo de vida máximo para um tíquete Kerberos ...................................................... 57

Gerenciar WorkSpaces do Amazon Linux ..................................................................................... 57Controle o comportamento do agente PCoIP nos WorkSpaces do Amazon Linux ........................ 58Ativar ou desativar o redirecionamento da área de transferência para WorkSpaces do AmazonLinux ............................................................................................................................... 58Conceda acesso por SSH aos administradores de WorkSpaces do Amazon Linux ....................... 58Substituir o shell padrão para WorkSpaces do Amazon Linux .................................................. 59Proteger repositórios personalizados contra acesso não autorizado .......................................... 59Use o repositório da Biblioteca de extras do Amazon Linux ..................................................... 60

Ativar um WorkSpace ........................................................................................................................ 61Iniciar usando o Microsoft AD gerenciado pela AWS ...................................................................... 61

Antes de começar ............................................................................................................. 62Etapa 1: criar um diretório do Microsoft AD gerenciado pela AWS ............................................ 62Etapa 2: criar um WorkSpace ............................................................................................. 63Etapa 3: Conecte-se ao WorkSpace .................................................................................... 63Próximas etapas ............................................................................................................... 64

Ativar usando o Simple AD ........................................................................................................ 64Antes de começar ............................................................................................................. 64Etapa 1: Criar um diretório do Simple AD ............................................................................. 65Etapa 2: criar um WorkSpace ............................................................................................. 65Etapa 3: Conecte-se ao WorkSpace .................................................................................... 66Próximas etapas ............................................................................................................... 67

Ativar usando o AD Connector ................................................................................................... 67Antes de começar ............................................................................................................. 67Etapa 1: Criar um AD Connector ......................................................................................... 68Etapa 2: criar um WorkSpace ............................................................................................. 68Etapa 3: Conecte-se ao WorkSpace .................................................................................... 69Próximas etapas ............................................................................................................... 69

Ativar usando um domínio confiável ............................................................................................ 70Antes de começar ............................................................................................................. 70Etapa 1: Estabelecer um relacionamento de confiança ........................................................... 70Etapa 2: criar um WorkSpace ............................................................................................. 71Etapa 3: Conecte-se ao WorkSpace .................................................................................... 71Próximas etapas ............................................................................................................... 72

Administrar usuários do WorkSpace .................................................................................................... 73Gerenciar usuários de WorkSpaces ............................................................................................. 73

Edição das informações do usuário ..................................................................................... 73Adicionar ou excluir usuários .............................................................................................. 73Enviar um convite por e-mail .............................................................................................. 74

Criar vários WorkSpaces para um usuário .................................................................................... 74Personalizar como os usuários fazem login nos WorkSpaces .......................................................... 75Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace ................. 76

iv


Administrar seus WorkSpaces ............................................................................................................ 79Gerenciar o modo de execução .................................................................................................. 79

Modificar o modo de execução ........................................................................................... 79Parar e iniciar um WorkSpace AutoStop ............................................................................... 80

Modificar um WorkSpace ........................................................................................................... 80Alterar tamanhos de volume ............................................................................................... 81Alterar tipos de pacote ...................................................................................................... 82

Marcar recursos do WorkSpaces ................................................................................................. 83Manutenção do WorkSpace ........................................................................................................ 84

Janelas de manutenção para o WorkSpaces AlwaysOn .......................................................... 84Janelas de manutenção para WorkSpaces AutoStop .............................................................. 84Manutenção manual .......................................................................................................... 85

WorkSpaces criptografados ........................................................................................................ 85Pré-requisitos ................................................................................................................... 85Limites ............................................................................................................................ 86Criptografia de WorkSpaces ............................................................................................... 86Visualização de WorkSpaces criptografados ......................................................................... 87Funções e permissões do IAM para criptografia .................................................................... 87

Reinicie um WorkSpace ............................................................................................................. 89Recriação de um WorkSpace ..................................................................................................... 89Restaurar um WorkSpace .......................................................................................................... 90Atualização do Windows 10 BYOL WorkSpaces ............................................................................ 91

Pré-requisitos ................................................................................................................... 91Considerações importantes ................................................................................................ 91Limitações conhecidas ....................................................................................................... 92Resumo das configurações da chave do registro ................................................................... 92Etapas para realizar uma atualização in-loco ........................................................................ 93Solução de problemas ....................................................................................................... 96Atualize seu registro do WorkSpace usando um script do PowerShell ....................................... 96

Migrar um WorkSpace ............................................................................................................... 97Limites de migração .......................................................................................................... 97Cenários de migração disponíveis ....................................................................................... 98O que acontece durante a migração .................................................................................... 98Melhores práticas .............................................................................................................. 99Solução de problemas ..................................................................................................... 100Como o faturamento é afetado .......................................................................................... 100Migrar um WorkSpace ..................................................................................................... 100

Excluir um WorkSpace ............................................................................................................. 101Pacotes e imagens .......................................................................................................................... 102

Criar uma imagem personalizada e um pacote ............................................................................ 102Requisitos para criar imagens personalizadas do Windows .................................................... 103Requisitos para criar imagens personalizadas do Amazon Linux ............................................. 104Melhores práticas ............................................................................................................ 104Etapa 1: Executar o Verificador de Imagens ........................................................................ 105Etapa 2: Criar uma imagem e um pacote personalizados ...................................................... 112O que está incluído nas imagens personalizadas dos WorkSpaces do Windows ........................ 113O que está incluído nas imagens personalizadas do WorkSpace do Amazon Linux .................... 114

Atualizar um pacote personalizado ............................................................................................. 114Copiar uma imagem personalizada ............................................................................................ 115Excluir uma imagem ou um pacote personalizado ........................................................................ 116Licenças Traga seu próprio desktop Windows ............................................................................. 116

Requisitos ...................................................................................................................... 117Versões do Windows com suporte para BYOL ..................................................................... 118Etapa 1: Ativar BYOL para sua conta usando o console do Amazon WorkSpaces ...................... 118Etapa 2: Executar o script BYOL Checker PowerShell em uma VM do Windows ........................ 119Etapa 3: Exportar a VM a partir do seu ambiente de virtualização ........................................... 120Etapa 4: importar a VM como uma imagem para o Amazon EC2 ............................................ 121

v


Etapa 5: Criar uma imagem BYOL usando o console do Amazon WorkSpaces .......................... 121Etapa 6: Criar um pacote personalizado a partir da imagem de BYOL. ..................................... 122Etapa 7: Registrar um diretório para WorkSpaces dedicados .................................................. 122Etapa 8: Ativar o WorkSpace BYOL ................................................................................... 123

Monitorar seu WorkSpaces ............................................................................................................... 124Monitorar usando métricas do CloudWatch ................................................................................. 124

Métricas do Amazon WorkSpaces ..................................................................................... 124Dimensões para métricas do Amazon WorkSpaces .............................................................. 126Exemplo de monitoramento .............................................................................................. 126

Monitorar usando o Eventos do CloudWatch ............................................................................... 128Eventos de WorkSpaces .................................................................................................. 128Criar uma regra para lidar com eventos de WorkSpaces ....................................................... 129

Segurança ...................................................................................................................................... 131Proteção de dados .................................................................................................................. 131

Criptografia em repouso ................................................................................................... 132Criptografia em trânsito .................................................................................................... 132

Identity and Access Management .............................................................................................. 132Criar a função workspaces_DefaultRole .............................................................................. 134Especificação de recursos do Amazon WorkSpaces em uma política do IAM ............................ 135

Validação de conformidade ....................................................................................................... 138Resiliência .............................................................................................................................. 138Segurança da infraestrutura ...................................................................................................... 139

Isolamento de rede ......................................................................................................... 139Isolamento em hosts físicos .............................................................................................. 139Autorização de usuários corporativos ................................................................................. 139Fazer solicitações de API do Amazon WorkSpaces por um endpoint de interface da VPC ............ 140Criar uma política de VPC endpoint para o Amazon WorkSpaces ........................................... 141Conectar sua rede privada à sua VPC ............................................................................... 142

Gerenciamento de atualizações ................................................................................................. 142Amazon WAM ................................................................................................................ 142

Solução de problemas ..................................................................................................................... 143Habilitação do registro em log avançado .................................................................................... 143Solução de problemas específicos ............................................................................................. 144

Não consigo criar um WorkSpace do Amazon Linux porque há caracteres inválidos no nome deusuário .......................................................................................................................... 145Alterei o shell do meu WorkSpace do Amazon Linux e agora não consigo provisionar umasessão PCoIP ................................................................................................................. 146A inicialização de WorkSpaces em meu diretório conectado falha com frequência ...................... 146Falha ao ativar os WorkSpaces com um erro interno ............................................................ 146Muitos usuários não conseguem se conectar a um WorkSpace do Windows com um banner delogon interativo ............................................................................................................... 146Meus usuários não conseguem se conectar a um Windows WorkSpace .................................. 146Meus usuários estão tendo problemas ao tentar fazer login no WorkSpaces pelo WorkSpacesWeb Access ................................................................................................................... 147O cliente do Amazon WorkSpaces exibe uma tela cinza “Carregando...” por um tempo antes deretornar para a tela de login. Nenhuma outra mensagem de erro é exibida. .............................. 148Meus usuários recebem a mensagem “Status do WorkSpace: Não íntegro. Não foi possívelconectá-lo ao WorkSpace. Tente novamente em alguns minutos”. .......................................... 148Meus usuários recebem a mensagem “Este dispositivo não está autorizado a acessar oWorkSpace. Entre em contato com o administrador para obter ajuda”. ..................................... 149O cliente dos WorkSpaces mostra aos usuários um erro de rede, mas eles podem usar outrosaplicativos habilitados para rede em seus dispositivos .......................................................... 149Meus usuários do WorkSpace veem a seguinte mensagem de erro: "O dispositivo não pode seconectar ao serviço de registro. Verifique suas configurações de rede." ................................... 151Meus usuários de cliente zero PCoIP estão recebendo o erro "The supplied certificate is invaliddue to timestamp" (O certificado fornecido é inválido devido ao time stamp) .............................. 151

vi


Meus usuários ignoraram a atualização dos aplicativos cliente Windows ou macOS e não foramsolicitados a instalar a versão mais recente ........................................................................ 151Meus usuários não conseguem instalar o aplicativo cliente Android em seus Chromebooks ......... 152Meus usuários não estão recebendo e-mails de convite nem e-mails de redefinição de senha ...... 152Meus usuários não veem a opção Esqueceu sua senha? na tela de login do cliente ................... 152Recebo a mensagem “The system administrator has set policies to prevent this installation (Oadministrador de sistema definiu políticas para prevenir essa instalação)” quando tento instalaraplicativos em um WorkSpace do Windows ........................................................................ 152Nenhum dos WorkSpaces no meu diretório consegue se conectar à internet ............................ 153Meu WorkSpace perdeu o acesso à Internet ....................................................................... 153Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório local ......... 153Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meudiretório local .................................................................................................................. 154Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório local .................. 154Meu WorkSpace do Windows fica inativo quando permanece ocioso ....................................... 154Um dos meus WorkSpaces tem um estado de "Não íntegro" ................................................. 155Meu WorkSpace está falhando ou reiniciando de forma inesperada. ........................................ 155O mesmo nome de usuário tem mais de um WorkSpace, mas o usuário só pode fazer login emum dos WorkSpaces ....................................................................................................... 157Estou tendo problemas para usar o Docker com o Amazon WorkSpaces ................................. 158Recebo erros ThrottlingException em algumas das minhas chamadas de API ........................... 158

Cotas ............................................................................................................................................ 160Histórico do documento .................................................................................................................... 161

Atualizações anteriores ............................................................................................................ 163

vii

Amazon WorkSpaces Guia de AdministraçãoRecursos

O que é Amazon WorkSpaces?O Amazon WorkSpaces permite provisionar desktops virtuais do Microsoft Windows ou do Amazon Linuxbaseados na nuvem para seus usuários, conhecidos como WorkSpaces. O Amazon WorkSpaces eliminaa necessidade de adquirir e implantar hardware e instalar software complexo. Você pode rapidamenteadicionar ou remover usuários à medida que suas necessidades mudarem. Os usuários podem acessarsuas áreas de trabalho virtuais de vários dispositivos ou navegadores da web.

Para obter mais informações, consulte Amazon WorkSpaces.

Recursos• Escolha seu sistema operacional (Windows ou Amazon Linux) e selecione entre diversas configurações

de hardware, configurações de software e regiões da AWS. Para obter mais informações, consultePacotes do Amazon WorkSpaces.

• Conecte-se ao seu WorkSpace e retome de onde parou. O Amazon WorkSpaces proporciona umaexperiência de área de trabalho persistente.

• O Amazon WorkSpaces proporciona a flexibilidade de faturamento mensal ou por hora paraWorkSpaces. Para obter mais informações, consulte a Definição de preço do Amazon WorkSpaces.

• Implante e gerencie aplicativos de seus WorkSpaces do Windows usando o Amazon WorkSpacesApplication Manager (Amazon WAM).

• Para desktops do Windows, você pode trazer suas próprias licenças e aplicativos ou comprá-los no AWSMarketplace for Desktop Apps.

• Crie um diretório independente e gerenciado para seus usuários ou conecte seus WorkSpaces aoseu diretório no local, para que seus usuários possam usar as credenciais existentes deles para obteracesso direto aos recursos corporativos.

• Use as mesmas ferramentas para gerenciar os WorkSpaces que você usa para gerenciar áreas detrabalho no local.

• Use a Multi-Factor Authentication (MFA) para segurança adicional.• Use o AWS Key Management Service (AWS KMS) para criptografar dados em repouso, E/S de disco e

snapshots de volumes.• Controle os endereços IP em que os usuários tem permissão para acessar o WorkSpaces.

ArquiteturaNo caso de WorkSpaces do Windows e do Amazon Linux, cada WorkSpace é associado a uma virtualprivate cloud (VPC) e a um diretório para armazenar e gerenciar informações dos seus WorkSpaces eusuários. Os diretórios são gerenciados por meio do AWS Directory Service, que oferece as seguintesopções: Simple AD, AD Connector ou AWS Directory Service para Microsoft Active Directory, tambémconhecido como Microsoft AD gerenciado pela AWS. Para mais informações, consulte o AWS DirectoryService Administration Guide.

O Amazon WorkSpaces usa um diretório AWS Directory Service ou Microsoft AD gerenciado pela AWSpara autenticar usuários. Os usuários acessam seus WorkSpaces usando um aplicativo cliente de umdispositivo com suporte ou, para WorkSpaces do Windows, um navegador da web, e fazem login usandoas credenciais do diretório. As informações de login são enviadas para um gateway de autenticação, que

1

https://aws.amazon.com/workspaces/

https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles

https://aws.amazon.com/workspaces/pricing/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/

Amazon WorkSpaces Guia de AdministraçãoAcesso ao seu WorkSpace

encaminha o tráfego para o diretório do WorkSpace. Depois que o usuário é autenticado, o tráfego destreaming é iniciado por meio do gateway de streaming.

Os aplicativos clientes usam HTTPS na porta 443 para todas as informações relacionadas a autenticaçãoe sessão. Os aplicativos clientes usam a porta 4172 para streaming de pixel para o WorkSpace e paraverificações de integridade da rede. Para obter mais informações, consulte Portas para aplicaçõesclientes (p. 14).

Cada WorkSpace tem duas interfaces de rede elástica associadas a ele: uma interface de rede paragerenciamento e streaming (eth0) e uma interface de rede primária (eth1). A interface de rede primáriatem um endereço IP fornecido pela VPC, das mesmas sub-redes usadas pelo diretório. Isso garante queo tráfego do seu WorkSpace possa facilmente entrar em contato com o diretório. O acesso a recursosna VPC é controlado pelos grupos de segurança atribuídos à interface de rede primária. Para obter maisinformações, consulte Interfaces de rede (p. 24).

O diagrama a seguir mostra a arquitetura do Amazon WorkSpaces.

Para obter diagramas de arquitetura adicionais, consulte o whitepaper “Melhores práticas de implantaçãodo Amazon WorkSpaces”.

Acesso ao seu WorkSpaceVocê pode se conectar aos WorkSpaces usando o aplicativo cliente para um dispositivo com suporte ou,para WorkSpaces do Windows, usando um navegador da Web compatível em um sistema operacionalcom suporte.

Note

Não é possível usar um navegador da web para se conectar aos WorkSpaces do Amazon Linux.

Há aplicativos clientes para os seguintes dispositivos:

• Computadores Windows

2

http://aws.amazon.com/workspaces/resources/


Amazon WorkSpaces Guia de AdministraçãoDefinição de preço

• Computadores macOS• Computadores Ubuntu Linux 18.04• Chromebooks• iPads• Dispositivos Android• Tablets Fire• Dispositivos Zero Client

No Windows, macOS e Linux, você pode usar os seguintes navegadores da web para se conectar aosWorkSpaces do Windows:

• Chrome 53 e posterior (somente Windows e macOS)• Firefox 49 e superior

Para obter mais informações, consulte Clientes do Amazon WorkSpaces no Guia do usuário do AmazonWorkSpaces.

Definição de preçoDepois de se cadastrar na AWS, você poderá começar a usar o Amazon WorkSpaces para utilizargratuitamente a oferta de nível gratuito do Amazon WorkSpaces. Para obter mais informações, consulte aDefinição de preço do Amazon WorkSpaces.

Com o Amazon WorkSpaces, você paga somente pelo que for usado. Você é cobrado com base no pacotee no número de WorkSpaces ativados. A definição de preço do Amazon WorkSpaces inclui o uso doSimple AD e do AD Connector, mas não o uso do Microsoft AD gerenciado pela AWS.

O Amazon WorkSpaces disponibiliza faturamento mensal ou por hora para WorkSpaces. Com ofaturamento mensal, você paga uma taxa fixa para utilização ilimitada, que é melhor para os usuários queutilizam os WorkSpaces em tempo integral. Com o faturamento por hora, você paga uma pequena taxamensal fixa por WorkSpace, além de uma pequena taxa por hora em que o WorkSpace permanecer emexecução. Para obter mais informações, consulte a Definição de preço do Amazon WorkSpaces.

Como começarPara criar um WorkSpace, tente um dos seguintes tutoriais:

• Conceitos básicos da instalação rápida do Amazon WorkSpaces (p. 4)• Iniciar um WorkSpace usando o Microsoft AD gerenciado pela AWS (p. 61)• Ativar um WorkSpace usando o Simple AD (p. 64)• Ativar um WorkSpace usando o AD Connector (p. 67)• Ativar um WorkSpace usando um domínio confiável (p. 70)

3

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html



Amazon WorkSpaces Guia de AdministraçãoAntes de começar

Conceitos básicos da instalaçãorápida do Amazon WorkSpaces

Neste tutorial, você aprenderá a provisionar um desktop virtual do Microsoft Windows ou do Amazon Linuxbaseado na nuvem, conhecido como WorkSpace, usando o Amazon WorkSpaces e o AWS DirectoryService.

Este tutorial usa a opção Instalação rápida para ativar o WorkSpace. Essa opção estará disponívelsomente se nunca tiver ativado um WorkSpace. Como alternativa, consulte Ativar um desktop virtualusando Amazon WorkSpaces (p. 61).

Note

A Instalação rápida é compatível somente com as seguintes regiões da AWS:

• Leste dos EUA (Norte da Virgínia)• Oeste dos EUA (Oregon)• Europa (Irlanda)• Ásia-Pacífico (Cingapura)• Ásia-Pacífico (Sydney)• Ásia-Pacífico (Tóquio)

Tarefas• Antes de começar (p. 4)• Etapa 1: Ativar o WorkSpace (p. 4)• Etapa 2: Conectar-se ao WorkSpace (p. 6)• Etapa 3: Limpar (opcional) (p. 7)• Próximas etapas (p. 7)

Antes de começar• É necessário ter uma conta da AWS para criar ou administrar um WorkSpace. Os usuários não precisam

de uma conta da AWS para se conectar e usar seus WorkSpaces.• Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. Para obter mais informações,

consulte Pacotes do Amazon WorkSpaces.• Ao executar um WorkSpace, você deve especificar as informações de perfil do usuário, incluindo um

nome de usuário e o endereço de e-mail. Os usuários concluem o perfil ao especificar uma senha. Asinformações sobre o WorkSpaces e os usuários são armazenadas em um diretório.

• O Amazon WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveise selecione uma região para seus WorkSpaces. Para obter mais informações sobre as regiõescompatíveis, consulte Definição de preço do Amazon WorkSpaces por região da AWS.

Etapa 1: Ativar o WorkSpaceUsando a Instalação rápida, você pode ativar seu primeiro WorkSpace em minutos.

4


https://aws.amazon.com/workspaces/pricing/#Amazon_WorkSpaces_Pricing_by_AWS_Region

Amazon WorkSpaces Guia de AdministraçãoEtapa 1: Ativar o WorkSpace

Para ativar um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. Escolha Get Started Now (Começar agora). Se este botão não for exibido, ou você já executou um

WorkSpace nessa região, ou você não está usando uma das Regiões compatíveis com a Instalaçãorápida (p. 4).

3. Na página Conceitos básicos do Amazon WorkSpaces, ao lado de Quick Setup (Instalação rápida),selecione Launch (Iniciar).

4. Em Pacotes, selecione um pacote para o usuário.

5. Em Inserir detalhes do usuário, preencha o Nome do usuário, Nome, Sobrenome e E-mail.

6. Escolha Ativar WorkSpaces.

5

https://console.aws.amazon.com/workspaces/

Amazon WorkSpaces Guia de AdministraçãoEtapa 2: Conectar-se ao WorkSpace

7. Na página de confirmação, selecione Visualizar o console de WorkSpaces. O status inicial doWorkSpace é PENDING. Ao terminar de ativar os WorkSpaces, o status é AVAILABLE e um convite éenviado ao endereço de e-mail que você especificou para o usuário.

Instalação rápida

A Instalação rápida executa as seguintes tarefas em seu nome:

• Cria uma função do IAM para permitir que o serviço Amazon WorkSpaces crie interfacesde rede elásticas e liste seus diretórios do Amazon WorkSpaces. Essa função tem o nomeworkspaces_DefaultRole.

• Cria uma nuvem privada virtual (VPC).• Configura um diretório do Simple AD na VPC que é usado para armazenar informações do usuário e do

WorkSpace. O diretório tem uma conta de administrador e é habilitado para o Amazon WorkDocs.• Cria as contas de usuários especificados e as adiciona ao diretório.• Cria instâncias do WorkSpace. Cada WorkSpace recebe um endereço IP público para fornecer acesso à

Internet. O modo de execução é AlwaysOn. Para obter mais informações, consulte Gerenciar o modo deexecução do WorkSpace (p. 79).

• Envia convites por e-mail para os usuários especificados.

Note

A primeira conta de usuário criada pela Instalação rápida é sua conta de usuário administrador.Não é possível atualizar essa conta de usuário no console do Amazon WorkSpaces. Nãocompartilhe as informações dessa conta de administrador com outras pessoas. Se você quiserconvidar outros usuários para usar esse WorkSpace, crie novas contas de usuário para eles.

Etapa 2: Conectar-se ao WorkSpaceDepois de receber o e-mail de convite, você pode se conectar ao WorkSpace usando o cliente de suaescolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.

Para se conectar ao WorkSpace

1. Se você ainda não configurou credenciais para o usuário, abra o link no e-mail de convite e sigaas instruções. Lembre-se da senha que você especificar, pois precisará dela para se conectar aoWorkSpace.

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres. As senhasdevem conter pelo menos um caractere de três das seguintes categorias: letras minúsculas (a – z),letras maiúsculas (A – Z), números (0 – 9) e ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access. Para obtermais informações sobre os requisitos de cada cliente, consulte Clientes do Amazon WorkSpaces noGuia do usuário do Amazon WorkSpaces.

Se você não tiver recebido a solicitação e ainda não tiver instalado um aplicativo cliente, abra https://clients.amazonworkspaces.com/ e siga as instruções.

3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar.4. Quando solicitado a fazer login, insira o nome do usuário e a senha e selecione Sign In (Fazer login).5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Yes (Sim).

6


https://clients.amazonworkspaces.com/


Amazon WorkSpaces Guia de AdministraçãoEtapa 3: Limpar (opcional)

Etapa 3: Limpar (opcional)Se você tiver terminado de trabalhar com o WorkSpace que criou neste tutorial, poderá excluí-lo.

Para excluir o WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione seu WorkSpace e escolha Ações, Remover WorkSpaces.4. Quando a confirmação for solicitada, escolha Remover WorkSpaces.5. (Opcional) Se você não estiver usando o diretório com outro aplicativo, como Amazon WorkDocs,

Amazon WorkMail ou Amazon Chime, poderá excluí-lo da seguinte forma:

a. No painel de navegação, escolha Diretórios.b. Selecione seu diretório e escolha Ações, Cancelar o registro.c. Selecione seu diretório novamente e escolha Ações, Excluir.d. Quando a confirmação for solicitada, escolha Excluir.

Próximas etapasPara criar WorkSpaces adicionais, consulte Ativar um desktop virtual usando AmazonWorkSpaces (p. 61).

7


Amazon WorkSpaces Guia de AdministraçãoRequisitos da VPC

Redes e acesso ao AmazonWorkSpaces

Como administrador do WorkSpace, você deve compreender o seguinte sobre os recursos de redes e oacesso ao Amazon WorkSpaces.

Tópicos• Configurar uma VPC para o Amazon WorkSpaces (p. 8)• Requisitos de endereço IP e porta para o Amazon WorkSpaces (p. 14)• Requisitos de rede de cliente do Amazon WorkSpaces (p. 27)• Restringir o acesso dos WorkSpaces a dispositivos confiáveis (p. 28)• Fornecer acesso à Internet a partir de seu WorkSpace (p. 30)• Security groups para seus WorkSpaces (p. 31)• Grupos de controle de acesso IP dos WorkSpaces (p. 32)• Configurar o PCoIP Zero Client para WorkSpaces (p. 34)• Configurar o Android para Chromebooks (p. 34)• Ativar e configurar o Amazon WorkSpaces Web Access (p. 34)• Configurar o Amazon WorkSpaces para a autorização do FedRAMP ou a conformidade com o SRG do

DoD (p. 38)• Habilitar conexões SSH a seus WorkSpaces do Linux (p. 39)• Configuração e componentes de serviço necessários para o WorkSpaces (p. 43)

Configurar uma VPC para o Amazon WorkSpacesO Amazon WorkSpaces ativa seus WorkSpaces em uma Virtual Private Cloud (VPC). Os WorkSpacesdevem ter acesso à Internet para que seja possível instalar atualizações no sistema operacional eimplantar aplicativos usando o Amazon WorkSpaces Application Manager (Amazon WAM).

É possível criar uma VPC com duas sub-redes privadas para seus WorkSpaces e um gateway NAT emuma sub-rede pública. Como alternativa, é possível criar uma VPC com duas sub-redes públicas para seusWorkSpaces e associar um endereço IP elástico a cada WorkSpace.

Opções• Configurar uma VPC com sub-redes privadas e um gateway NAT (p. 8)• Configurar uma VPC com sub-redes públicas (p. 12)

Configurar uma VPC com sub-redes privadas e umgateway NATSe você usar o AWS Directory Service para criar um Microsoft AD ou um Simple AD gerenciado pelaAWS, recomendamos configurar a VPC com uma sub-rede pública e duas sub-redes privadas. Configure

8

Amazon WorkSpaces Guia de AdministraçãoConfigurar uma VPC com sub-

redes privadas e um gateway NAT

seu diretório para ativar os WorkSpaces em sub-redes privadas. Para fornecer acesso à Internet aosWorkSpaces em uma sub-rede privada, configure um gateway NAT na sub-rede pública.

Pré-requisitos

Se você ainda não está familiarizado com o trabalho com VPCs e sub-redes, recomendamos a leitura deDimensionamento de sub-rede e VPC para IPv4 no Guia do usuário da Amazon VPC antes de executar astarefas a seguir.

Tarefas• Etapa 1: Alocar um endereço IP elástico (p. 9)• Etapa 2: Criar uma VPC (p. 10)• Etapa 3: Adicionar uma segunda sub-rede privada (p. 11)• Etapa 4: Verificar e atribuir nomes às tabelas de rotas (p. 11)

Etapa 1: Alocar um endereço IP elásticoAloque um endereço IP elástico para o seu gateway NAT da seguinte maneira. Se você usa um métodoalternativo para fornecer acesso à Internet, ignore essa etapa.

Para alocar um endereço IP elástico

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha Elastic IPs.3. Escolha Allocate new address (Alocar novo endereço).

9

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html

https://console.aws.amazon.com/vpc/



4. Na página Allocate new address (Alocar novo endereço), escolha Amazon pool (Grupo da Amazon) ouOwned by me (De minha propriedade) para o iPv4 address pool (Grupo de endereço iPv4) e selecioneAllocate (Alocar).

5. Anote o endereço IP elástico e escolha Close (Fechar).

Etapa 2: Criar uma VPCCrie uma VPC com uma sub-rede pública e duas sub-redes privadas da forma a seguir.

Como criar a VPC

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPC dashboard (Painel da VPC) no canto superior esquerdo.3. Selecione Launch VPC Wizard (Iniciar o assistente de VPC).4. Escolha VPC with Public and Private Subnets (VPC com sub-redes públicas e privadas) e Select

(Selecionar).5. Configure a VPC desta forma:

a. Em IPv4 CIDR block (Bloco CIDR IPv4), insira o bloco CIDR para a VPC. Recomendamosusar um bloco CIDR dos intervalos de endereços IP privados (não roteáveis publicamente)especificados na RFC 1918. Por exemplo, 10.0.0.0/16. Para obter mais informações, consulteDimensionamento da VPC e da sub-rede para IPv4 no Guia do usuário da Amazon VPC.

b. Em IPv6 CIDR Block (Bloco CIDR IPv6), mantenha No IPv6 CIDR Block (Nenhum bloco CIDRIPv6).

c. Em VPC Name (Nome da VPC), insira um nome para a VPC.6. Configure a sub-rede pública da seguinte forma:

a. Em IPv4 CIDR block (Bloco CIDR IPv4), digite o bloco CIDR para a sub-rede. Para obter maisinformações, consulte Dimensionamento da VPC e da sub-rede para IPv4 no Guia do usuário daAmazon VPC.

b. Em Availability Zone (Zona de disponibilidade), mantenha No Preference (Sem preferência).c. Em Public subnet name (Nome da sub-rede pública), insira um nome para a sub-rede (por

exemplo, WorkSpaces Public Subnet).7. Configure a primeira sub-rede privada da seguinte forma:

a. Em Private subnet's IPv4 CIDR (CIDR IPv4 da sub-rede privada), insira o bloco CIDR para a sub-rede.

b. Em Availability Zone (Zona de disponibilidade), selecione a primeira na lista (por exemplo, us-west-2a).

c. Em Private subnet name (Nome da sub-rede privada), digite um nome para a sub-rede (porexemplo, WorkSpaces Private Subnet 1).

8. Em Elastic IP Allocation ID (ID de alocação do IP elástico), escolha o endereço IP elástico que vocêcriou. Se você usa um método alternativo para fornecer acesso à Internet, ignore essa etapa.

9. Em Service endpoints (Endpoints de serviço), não faça nada.10. Em Enable DNS hostnames (Habilitar nomes de host de DNS), mantenha Yes (Sim).11. Em Hardware tenancy (Locação de hardware), mantenha Default (Padrão).12. Selecione Create VPC (Criar VPC). A configuração de sua VPC demora alguns minutos. Após a

criação da VPC, escolha OK.

10


http://www.faqs.org/rfcs/rfc1918.html





Note

É possível associar um bloco CIDR IPv6 à VPC e às sub-redes. No entanto, se você configurarsuas sub-redes para atribuir automaticamente endereços IPv6 a instâncias executadas nasub-rede, não será possível usar pacotes Graphics. (No entanto, é possível usar pacotesGraphicsPro.) Essa restrição surge de uma limitação de hardware de tipos de instância dageração anterior que não oferecem suporte ao IPv6.Para contornar esse problema, é possível desabilitar temporariamente a configuração deauto-assign IPv6 addresses (atribuição automática de endereços IPv6) nas sub-redes dosWorkSpaces antes de iniciar pacotes Graphics e, depois, habilitar essa configuração novamente(se necessário) depois de iniciar pacotes Graphics para que todos os outros pacotes recebam osendereços IP desejados.Por padrão, a configuração de auto-assign IPv6 addresses (atribuição automática de endereçosIPv6) está desabilitada. Para verificar essa configuração no console da Amazon VPC, no painelde navegação, escolha Subnets (Sub-redes). Selecione a sub-rede e escolha Actions (Ações),Modify auto-assign IP settings (Modificar configurações de IP de atribuição automática).Para obter mais informações sobre como trabalhar com endereços IPv6, consulte EndereçamentoIP na VPC no Guia do usuário da Amazon VPC.

Etapa 3: Adicionar uma segunda sub-rede privadaNa etapa anterior, você criou uma VPC com uma sub-rede pública e uma sub-rede privada. Use oprocedimento a seguir para adicionar uma segunda sub-rede privada.

Como adicionar uma sub-rede privada

1. No painel de navegação, escolha Subnets (Sub-redes).2. Selecione Create Subnet (Criar sub-rede).3. Em Name tag (Tag de nome), insira um nome para a sub-rede privada (por exemplo, WorkSpaces

Private Subnet 2).4. Em VPC, selecione a VPC que você criou.5. Em Availability Zone (Zona de disponibilidade), selecione a segunda na lista (por exemplo, us-

west-2b).6. Em IPv4 CIDR block (Bloco CIDR IPv4), digite o bloco CIDR para a sub-rede.7. Escolha Create (Criar).

Etapa 4: Verificar e atribuir nomes às tabelas de rotasÉ possível verificar e nomear as tabelas de rotas para cada sub-rede.

Como verificar e nomear as tabelas de rotas

1. No painel de navegação, escolha Sub-redes e selecione a sub-rede pública que você criou.

a. Na Tabela de rotas, escolha o ID da tabela de rotas (por exemplo, rtb-12345678).b. Selecione a tabela de rotas. Em Name (Nome), escolha o ícone de edição (lápis), insira um nome

(como workspaces-public-routetable) e marque a caixa de seleção para salvar o nome.c. Na guia Routes (Rotas), verifique se há uma rota para o tráfego local e outra que envie todo o

restante do tráfego para o Internet Gateway da VPC.2. No painel de navegação, escolha Subnets (Sub-redes) e selecione a primeira sub-rede privada que

você criou (por exemplo, WorkSpaces Private Subnet 1).

a. Na Tabela de rotas, escolha o ID da tabela de rotas.b. Selecione a tabela de rotas. Em Name (Nome), escolha o ícone de edição (lápis), insira um nome

(como workspaces-private-routetable) e marque a caixa de seleção para salvar o nome.

11

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#ipv6-addresses


Amazon WorkSpaces Guia de AdministraçãoConfigurar uma VPC com sub-redes públicas

c. Na guia Routes (Rotas), verifique se há uma rota para o tráfego local e outra que envie todo orestante do tráfego para o gateway NAT.

3. No painel de navegação, escolha Subnets (Sub-redes) e selecione a segunda sub-rede privada quevocê criou (por exemplo, WorkSpaces Private Subnet 2). Na guia Route Table (Tabela de rotas),verifique se a tabela de rotas é a privada (por exemplo, workspaces-private-routetable). Se atabela de rotas for outra, escolha Edit (Editar) e selecione essa tabela de rotas.

Configurar uma VPC com sub-redes públicasSe preferir, você poderá criar uma VPC com duas sub-redes públicas. Para conceder acesso à Internetaos WorkSpaces em sub-redes públicas, configure o diretório para atribuir endereços IP elásticosautomaticamente ou atribua manualmente um endereço IP elástico a cada WorkSpace.

Pré-requisitos

Se você ainda não está familiarizado com o trabalho com VPCs e sub-redes, recomendamos a leitura deDimensionamento de sub-rede e VPC para IPv4 no Guia do usuário da Amazon VPC antes de executar astarefas a seguir.

Tarefas• Etapa 1: Criar uma VPC (p. 12)• Etapa 2: Adicionar uma segunda sub-rede pública (p. 13)• Etapa 3: Atribuir o endereço IP elástico (p. 13)

Etapa 1: Criar uma VPCCrie uma VPC com uma sub-rede pública da maneira indicada a seguir.

Como criar a VPC

1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.2. No painel de navegação, escolha VPC dashboard (Painel da VPC) no canto superior esquerdo.3. Selecione Launch VPC Wizard (Iniciar o assistente de VPC).4. Selecione VPC with a Single Public Subnet (VPC com uma única sub-rede pública) e Select

(Selecionar).5. Em IPv4 CIDR block (Bloco CIDR IPv4), insira o bloco CIDR para a VPC. Recomendamos usar um

bloco CIDR dos intervalos de endereços IP privados (não roteáveis publicamente) especificados naRFC 1918. Por exemplo, 10.0.0.0/16. Para obter mais informações, consulte Dimensionamento daVPC e da sub-rede para IPv4 no Guia do usuário da Amazon VPC.

6. Em IPv6 CIDR block (Bloco CIDR IPv6), mantenha No IPv6 CIDR Block (Nenhum bloco CIDR IPv6).7. Em VPC Name (Nome da VPC), insira um nome para a VPC.8. Em Public subnet's IPv4 CIDR (CIDR IPv4 da sub-rede pública), insira o bloco CIDR da sub-rede.

Para obter mais informações, consulte Dimensionamento da VPC e da sub-rede para IPv4 no Guia dousuário da Amazon VPC.

9. Em Availability Zone (Zona de disponibilidade), escolha a primeira da lista.10. (Opcional) Em Subnet name (Nome da sub-rede), insira um nome para a sub-rede.11. Em Service endpoints (Endpoints de serviço), não faça nada.12. Em Enable DNS hostnames (Habilitar nomes de host de DNS), mantenha Yes (Sim).13. Em Hardware tenancy (Locação de hardware), mantenha Default (Padrão).14. Selecione Create VPC (Criar VPC). Após a criação da VPC, escolha OK.

12



http://www.faqs.org/rfcs/rfc1918.html




Amazon WorkSpaces Guia de AdministraçãoConfigurar uma VPC com sub-redes públicas

Note

É possível associar um bloco CIDR IPv6 à VPC e às sub-redes. No entanto, se você configurarsuas sub-redes para atribuir automaticamente endereços IPv6 a instâncias executadas nasub-rede, não será possível usar pacotes Graphics. (No entanto, é possível usar pacotesGraphicsPro.) Essa restrição surge de uma limitação de hardware de tipos de instância dageração anterior que não oferecem suporte ao IPv6.Para contornar esse problema, é possível desabilitar temporariamente a configuração deauto-assign IPv6 addresses (atribuição automática de endereços IPv6) nas sub-redes dosWorkSpaces antes de iniciar pacotes Graphics e, depois, habilitar essa configuração novamente(se necessário) depois de iniciar pacotes Graphics para que todos os outros pacotes recebam osendereços IP desejados.Por padrão, a configuração de auto-assign IPv6 addresses (atribuição automática de endereçosIPv6) está desabilitada. Para verificar essa configuração no console da Amazon VPC, no painelde navegação, escolha Subnets (Sub-redes). Selecione a sub-rede e escolha Actions (Ações),Modify auto-assign IP settings (Modificar configurações de IP de atribuição automática).Para obter mais informações sobre como trabalhar com endereços IPv6, consulte EndereçamentoIP na VPC no Guia do usuário da Amazon VPC.

Etapa 2: Adicionar uma segunda sub-rede públicaNa etapa anterior, você criou uma VPC com uma sub-rede pública. Use o procedimento a seguir paraadicionar uma segunda sub-rede pública e associá-la à tabela de rotas da primeira sub-rede pública, quetem uma rota para o gateway de Internet da VPC.

Como adicionar uma sub-rede pública

1. No painel de navegação, escolha Subnets (Sub-redes).2. Selecione Create Subnet (Criar sub-rede).3. Em Name tag (Tag de nome), insira um nome para a sub-rede.4. Em VPC, selecione a VPC que você criou.5. Em Availability Zone (Zona de disponibilidade), escolha a segunda da lista.6. Em IPv4 CIDR block (Bloco CIDR IPv4), digite o bloco CIDR para a sub-rede.7. Escolha Create (Criar). Depois que a sub-rede for criada, selecione Close (Fechar).8. Associe a nova sub-rede pública à tabela de rotas criada para a primeira sub-rede da seguinte

maneira:

a. No painel de navegação, escolha Subnets (Sub-redes).b. Selecione a primeira sub-rede.c. Na Route Table (Tabela de rotas), escolha o ID da tabela de rotas.d. Na guia Subnet Associations (Associações da sub-rede) selecione Edit subnet associations

(Editar associações da sub-rede).e. Marque a caixa de seleção para a segunda sub-rede (a sub-rede pública que você acabou de

criar) e selecione Save (Salvar).

Etapa 3: Atribuir o endereço IP elásticoÉ possível atribuir endereços IP elásticos (endereços IP públicos estáticos) aos WorkSpaces deforma automática ou manual. Para usar a atribuição automática, consulte Configurar endereços IPautomáticos (p. 46). Para atribuir endereços IP elásticos manualmente, use o procedimento a seguir.

Para obter um tutorial de vídeo sobre como atribuir um endereço IP elástico a um WorkSpace, consulteComo associar um endereço IP elástico a um WorkSpace? na Central de conhecimento da AWS.

13




https://aws.amazon.com/premiumsupport/knowledge-center/associate-elastic-ip-workspace/

Amazon WorkSpaces Guia de AdministraçãoRequisitos de endereço IP e porta

Warning

Recomendamos que você não modifique a interface de rede elástica do WorkSpace depoisque ele é iniciado. Se você ativou a atribuição automática de endereços IP elásticos no nível dodiretório, um endereço IP elástico (do grupo fornecido pela Amazon) será atribuído ao WorkSpacequando ele for iniciado. No entanto, se você associar um endereço IP elástico que possui a umWorkSpace e, depois, desassociar esse endereço IP elástico do WorkSpace, o WorkSpaceperderá o endereço IP público e não obterá automaticamente um novo do grupo fornecido pelaAmazon.Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace,é necessário recriar o WorkSpace (p. 89). Se você não quiser recriar o WorkSpace, seránecessário associar outro endereço IP elástico que possui ao WorkSpace.

Como atribuir um endereço IP elástico a um WorkSpace manualmente

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Expanda a linha (selecione o ícone de seta) para o WorkSpace e observe o valor do WorkSpace IP (IP

do WorkSpace). Este é o endereço IP privado primário do WorkSpace.4. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.5. No painel de navegação, escolha Elastic IPs (IPs elásticos). Se você não tiver um endereço IP elástico

disponível, selecione Allocate new address (Alocar novo endereço), escolha Amazon pool (Grupoda Amazon) ou Owned by me (De minha propriedade) e selecione Allocate (Alocar). Anote o novoendereço IP.

6. No painel de navegação, selecione Network Interfaces (Interfaces de rede).7. Selecione a interface de rede para o WorkSpace. Observe que o valor do ID da VPC corresponde ao

ID de sua VPC dos WorkSpaces e o valor do IP IPv4 privado primário corresponde ao endereço IPprivado primário do WorkSpace que você anotou anteriormente.

8. Escolha Actions (Ações), Manage IP Addresses (Gerenciar endereços IP). Escolha Assign new IP(Atribuir novo IP) e Yes, Update (Sim, atualizar). Anote o novo endereço IP.

9. Escolha Actions (Ações), Associate Address (Associar endereço).10. Na página Associate Elastic IP Address (Associar endereço IP elástico), escolha um endereço

IP elástico em Address (Endereço). Em Associate to private IP address (Associar ao endereçoIP privado), especifique um novo endereço IP privado e selecione Associate Address (Associarendereço).

Requisitos de endereço IP e porta para o AmazonWorkSpaces

Para se conectar aos seus WorkSpaces, a rede à que os cliente do Amazon WorkSpaces estãoconectados deve ter determinadas portas abertas para os intervalos de endereços IP dos diversos serviçosda AWS (agrupados em subconjuntos). Esses intervalos de endereços variam de acordo com a região daAWS. Essas mesmas portas também devem estar abertas em qualquer firewall em execução no cliente.Para obter mais informações sobre os intervalos de endereços IP da AWS em diferentes regiões, consulteIntervalos de endereços IP da AWS no Referência geral do Amazon Web Services.

Para obter um diagrama de arquitetura, consulte Arquitetura do WorkSpaces. Para obter diagramas dearquitetura adicionais, consulte o whitepaper “Melhores práticas de implantação do Amazon WorkSpaces”.

Portas para aplicações clientesO aplicativo cliente do Amazon WorkSpaces requer acesso de saída nas seguintes portas:

14


https://console.aws.amazon.com/ec2/

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html#architecture


Amazon WorkSpaces Guia de AdministraçãoPortas para o Web Access

Porta 443 (TCP)

Essa porta é usada para atualizações, registros e autenticações da aplicação cliente. As aplicaçõesclientes de desktop dão suporte ao uso de um servidor de proxy para o tráfego da porta 443 (HTTPS).Para habilitar o uso de um servidor proxy, abra o aplicativo cliente, escolha Configurações avançadas,selecione Usar servidor de proxy, especifique o endereço e a porta do servidor proxy e escolha Salvar.

Essa porta deve estar aberta para os seguintes intervalos de endereços IP:• O subconjunto AMAZON na região GLOBAL.• O subconjunto AMAZON na região onde o WorkSpace está.• O subconjunto AMAZON na região us-east-1.• O subconjunto AMAZON na região us-west-2.• O subconjunto S3 na região us-west-2.

Porta 4172 (UDP e TCP)

Essa porta é usada para o streaming do desktop do WorkSpace e as verificações de integridade. Osaplicativos cliente de desktop não oferecem suporte ao uso de um servidor de proxy para o tráfego daporta 4172. Eles exigem uma conexão direta com a porta 4172. Essa porta deve estar aberta para osintervalos de endereços IP do gateway PCoIP e os servidores de verificação de integridade na regiãoonde se encontra o WorkSpace. Para obter mais informações, consulte Servidores de verificação deintegridade do PCoIP (p. 21) e Gateway PCoIP (p. 23).

Note

Se o firewall usar filtragem com estado, portas efêmeras (também conhecidas como dinâmicas)serão abertas automaticamente para permitir a comunicação de retorno. Se o firewall usarfiltragem sem estado, será necessário abrir as portas efêmeras explicitamente para permitir acomunicação de retorno. O intervalo de portas efêmeras necessário que você deve abrir variarádependendo da configuração.

Portas para o Web AccessO Amazon WorkSpaces Web Access requer acesso de entrada e de saída para as seguintes portas:

Porta 53 (UDP)

Essa porta é usada para acessar servidores DNS. Ela deve estar aberta para seus endereços IP doservidor DNS para que o cliente possa resolver nomes de domínio público. Esse requisito de porta éopcional se você não estiver usando servidores DNS para resolução de nomes de domínio.


Esta porta é usada para conexões iniciais ao https://clients.amazonworkspaces.com, quemigra posteriormente para HTTPS. Ela deve estar aberta para todos os intervalos de endereços IP nosubconjunto EC2 na região onde o WorkSpace trabalha.


Essa porta é usada para registros e autenticações usando HTTPS. Ela deve estar aberta para todosos intervalos de endereços IP no subconjunto EC2 na região onde o WorkSpace trabalha.

Normalmente, o navegador da web seleciona aleatoriamente uma porta de origem no intervalo parausar para streaming de tráfego. O Amazon WorkSpaces Web Access não tem controle sobre a portaselecionada pelo navegador. Você deve garantir que o tráfego de retorno para essa porta seja permitido.

O Amazon WorkSpaces Web Access prefere a conexão UDP em vez de TCP para fluxos de desktop,mas voltará para TCP se a conexão UDP não estiver disponível, conforme mostrado a seguir: Se todas as

15

Amazon WorkSpaces Guia de AdministraçãoDomínios e portas na lista de permissões

portas UDP estiverem bloqueadas, exceto a 53, a 80 e a 443. o Web Access funcionará no Chrome e noFirefox usando conexões TCP.

Domínios e portas na lista de permissõesPara o aplicativo cliente do Amazon WorkSpaces poder acessar o serviço do Amazon WorkSpaces, osseguintes domínios e portas devem estar na lista de permissões na rede de onde o cliente está tentandoacessar o serviço.

Domínios e portas na lista de permissões

Categoria Inseridos na lista de permissões

CAPTCHA https://opfcaptcha-prod.s3.amazonaws.com/

Atualização automática do cliente • https://d2td7dqidlhjx7.cloudfront.net/• Na região AWS GovCloud (US-West):

https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

Verificação de conectividade https://connectivity.amazonworkspaces.com/

Métricas do dispositivo (para aplicativos cliente doWorkSpaces 1.0 e posterior e 2.0 e posterior)

https://device-metrics-us-2.amazon.com/

Métricas de cliente (para aplicativos cliente doWorkSpaces 3.0 e posterior)

Domínios:

• https://skylight-client-ds.us-east-1.amazonaws.com

• https://skylight-client-ds.us-west-2.amazonaws.com

• https://skylight-client-ds.ap-northeast-2.amazonaws.com

• https://skylight-client-ds.ap-southeast-1.amazonaws.com

• https://skylight-client-ds.ap-southeast-2.amazonaws.com

• https://skylight-client-ds.ap-northeast-1.amazonaws.com

• https://skylight-client-ds.ca-central-1.amazonaws.com

• https://skylight-client-ds.eu-central-1.amazonaws.com

• https://skylight-client-ds.eu-west-1.amazonaws.com

• https://skylight-client-ds.eu-west-2.amazonaws.com

• https://skylight-client-ds.sa-east-1.amazonaws.com

• Na região AWS GovCloud (US-West):

https://skylight-client-ds.us-gov-west-1.amazonaws.com

16



Configurações de diretório Autenticação do cliente para o diretório do clienteantes de fazer login no WorkSpace:

• https://d32i4gd7pg4909.cloudfront.net/prod/<região>/<ID do diretório>

Conexões de clientes macOS:

• https://d32i4gd7pg4909.cloudfront.net/

Configurações de diretório do cliente:

• https://d21ui22avrxoh6.cloudfront.net/prod/<região>/<ID do diretório>

Gráficos da página de login para marcas conjuntasno nível de diretório do cliente:

• https://d1cbg795sa4g1u.cloudfront.net/prod/<região>/<ID do diretório>

Arquivo CSS para estilizar as páginas de login:

• https://d3s98kk2h6f4oh.cloudfront.net/• https://dyqsoz7pkju4e.cloudfront.net/

Arquivo JavaScript para as páginas de login:

• Leste dos EUA (Norte da Virgínia) — https://d32i4gd7pg4909.cloudfront.net/

• Oeste dos EUA (Oregon) — https://d18af777lco7lp.cloudfront.net/

• Ásia-Pacífico (Seul) — https://dtyv4uwoh7ynt.cloudfront.net/

• Ásia-Pacífico (Cingapura) — https://d3qzmd7y07pz0i.cloudfront.net/

• Ásia-Pacífico (Sydney) — https://dwcpoxuuza83q.cloudfront.net/

• Ásia-Pacífico (Tóquio) — https://d2c2t8mxjhq5z1.cloudfront.net/

• Canadá (Central) — https://d2wfbsypmqjmog.cloudfront.net/

• Europa (Frankfurt) — https://d1whcm49570jjw.cloudfront.net/

• Europa (Irlanda) — https://d3pgffbf39h4k4.cloudfront.net/

• Europa (Londres) — https://d16q6638mh01s7.cloudfront.net/

• América do Sul (São Paulo) — https://d2lh2qc5bdoq4b.cloudfront.net/

17


Categoria Inseridos na lista de permissõesNa região AWS GovCloud (US-West):

• Configurações de diretório do cliente:

https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<ID do diretório>

• Gráficos da página de login para marcasconjuntas no nível de diretório do cliente:

https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<ID do diretório>

• Arquivo CSS para estilizar as páginas de login:

https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

• Arquivo JavaScript para as páginas de login:

Não aplicável

Serviço de registro Forrester https://fls-na.amazon.com/

Verificação de integridade do PCoIP (DRP) Servidores de verificação de integridade doPCoIP (p. 21)

Gateway de sessão PCoIP (PSG) Gateway PCoIP (p. 23)

Dependência de registro (para Web Access eTeradici PCoIP Zero Clients)

https://s3.amazonaws.com

18



Agente de sessão (PCM) Domínios:

• https://skylight-cm.us-east-1.amazonaws.com• https://skylight-cm-fips.us-

east-1.amazonaws.com• https://skylight-cm.us-west-2.amazonaws.com• https://skylight-cm-fips.us-

west-2.amazonaws.com• https://skylight-cm.ap-

northeast-2.amazonaws.com• https://skylight-cm.ap-

southeast-1.amazonaws.com• https://skylight-cm.ap-

southeast-2.amazonaws.com• https://skylight-cm.ap-

northeast-1.amazonaws.com• https://skylight-cm.ca-central-1.amazonaws.com• https://skylight-cm.eu-central-1.amazonaws.com• https://skylight-cm.eu-west-1.amazonaws.com• https://skylight-cm.eu-west-2.amazonaws.com• https://skylight-cm.sa-east-1.amazonaws.com• https://skylight-cm.us-gov-

west-1.amazonaws.com• https://skylight-cm-fips.us-gov-

west-1.amazonaws.com

Páginas de login do usuário https://<directory id>.awsapps.com/ (em que<directory id> é o domínio do cliente)

Servidores TURN do Web Access Servidores:

• turn:*.us-east-1.rdn.amazonaws.com• turn:*.us-west-2.rdn.amazonaws.com• turn:*.ap-northeast-2.rdn.amazonaws.com• turn:*.ap-southeast-1.rdn.amazonaws.com• turn:*.ap-southeast-2.rdn.amazonaws.com• turn:*.ap-northeast-1.rdn.amazonaws.com• turn:*.ca-central-1.rdn.amazonaws.com• turn:*.eu-central-1.rdn.amazonaws.com• turn:*.eu-west-1.rdn.amazonaws.com• turn:*.eu-west-2.rdn.amazonaws.com• turn:*.sa-east-1.rdn.amazonaws.com

19



WS Broker Domínios:

• https://ws-broker-service.us-east-1.amazonaws.com

• https://ws-broker-service-fips.us-east-1.amazonaws.com

• https://ws-broker-service.us-west-2.amazonaws.com

• https://ws-broker-service-fips.us-west-2.amazonaws.com

• https://ws-broker-service.ap-northeast-2.amazonaws.com

• https://ws-broker-service.ap-southeast-1.amazonaws.com

• https://ws-broker-service.ap-southeast-2.amazonaws.com

• https://ws-broker-service.ap-northeast-1.amazonaws.com

• https://ws-broker-service.ca-central-1.amazonaws.com

• https://ws-broker-service.eu-central-1.amazonaws.com

• https://ws-broker-service.eu-west-1.amazonaws.com

• https://ws-broker-service.eu-west-2.amazonaws.com

• https://ws-broker-service.sa-east-1.amazonaws.com

• https://ws-broker-service.us-gov-west-1.amazonaws.com

• https://ws-broker-service-fips.us-gov-west-1.amazonaws.com

20

Amazon WorkSpaces Guia de AdministraçãoServidores de verificação de integridade do PCoIP


Endpoints de API do WorkSpaces Domínios:

• https://workspaces.us-east-1.amazonaws.com• https://workspaces-fips.us-

east-1.amazonaws.com• https://workspaces.us-west-2.amazonaws.com• https://workspaces-fips.us-

west-2.amazonaws.com• https://workspaces.ap-

northeast-2.amazonaws.com• https://workspaces.ap-

southeast-1.amazonaws.com• https://workspaces.ap-

southeast-2.amazonaws.com• https://workspaces.ap-

northeast-1.amazonaws.com• https://workspaces.ca-central-1.amazonaws.com• https://workspaces.eu-central-1.amazonaws.com• https://workspaces.eu-west-1.amazonaws.com• https://workspaces.eu-west-2.amazonaws.com• https://workspaces.sa-east-1.amazonaws.com• https://workspaces.us-gov-

west-1.amazonaws.com• https://workspaces-fips.us-gov-

west-1.amazonaws.com

Servidores de verificação de integridade do PCoIPO aplicativo cliente do Amazon WorkSpaces executa verificações de integridade de PCoIP pela porta4172. Isso valida se o tráfego TCP ou UDP é transmitido dos servidores do Amazon WorkSpaces paraos aplicativos cliente. Para que essas verificações sejam concluídas com êxito, suas políticas de firewalldevem permitir tráfego de saída para os endereços IP dos servidores de verificação de integridade PCoIPRegional a seguir.

Região Nome do host de verificação deintegridade

Endereços IP

Leste dos EUA (Norte daVirgínia)

drp-iad.amazonworkspaces.com 3.209.215.252

3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

Oeste dos EUA (Oregon) drp-pdx.amazonworkspaces.com 34.217.248.177

21

Amazon WorkSpaces Guia de AdministraçãoServidores de verificação de integridade do PCoIP


Endereços IP

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

Ásia-Pacífico (Seul) drp-icn.amazonworkspaces.com 13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

Ásia-Pacífico (Cingapura) drp-sin.amazonworkspaces.com 3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

Ásia-Pacífico (Sydney) drp-syd.amazonworkspaces.com 3.24.11.127

13.237.232.125

Ásia-Pacífico (Tóquio) drp-nrt.amazonworkspaces.com 18.178.102.247

54.64.174.128

Canadá (Central) drp-yul.amazonworkspaces.com 52.60.69.16

52.60.80.237

52.60.173.117

52.60.201.0

Europa (Frankfurt) drp-fra.amazonworkspaces.com 52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

Europa (Irlanda) drp-dub.amazonworkspaces.com 18.200.177.86

52.48.86.38

54.76.137.224

22

Amazon WorkSpaces Guia de AdministraçãoGateway PCoIP


Endereços IP

Europa (Londres) drp-lhr.amazonworkspaces.com 35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

América do Sul (São Paulo) drp-gru.amazonworkspaces.com 18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWS GovCloud (US-West) drp-pdt.amazonworkspaces.com 52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

Gateway PCoIPO Amazon WorkSpaces usa o PCoIP para transmitir a sessão da área de trabalho para os clientes pelaporta 4172. Para seus servidores de gateway PCoIP, o Amazon WorkSpaces usa um pequeno intervalode endereços IPv4 públicos do Amazon EC2. Isso permite que você defina políticas de firewall maisgranulares para dispositivos que acessam o Amazon WorkSpaces. Observe que os clientes do AmazonWorkSpaces não oferecem suporte a endereços IPv6 como uma opção de conectividade no momento.

Note

Estamos atualizando regularmente nossos intervalos de endereços IP no arquivo ip-ranges.json de Intervalos de endereços IP da AWS. Para ingerir os intervalos de endereços IPmais atualizados para o Amazon WorkSpaces, procure entradas no arquivo ip-ranges.jsonem que service: "WORKSPACES_GATEWAYS".

Região Intervalo de endereços IP públicos

Leste dos EUA (Norte da Virgínia) 3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

Oeste dos EUA (Oregon) 44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

Ásia-Pacífico (Seul) 3.34.37.0 - 3.34.37.255

23

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

Amazon WorkSpaces Guia de AdministraçãoInterfaces de rede

Região Intervalo de endereços IP públicos3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

Ásia-Pacífico (Cingapura) 18.141.152.0 - 18.141.152.255

18.141.154.0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

Ásia-Pacífico (Sydney) 3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

Ásia-Pacífico (Tóquio) 18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

Canadá (Central) 15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

Europa (Frankfurt) 18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

Europa (Irlanda) 3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

Europa (Londres) 18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

35.176.32.0 - 35.176.32.255

América do Sul (São Paulo) 18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWS GovCloud (US-West) 52.61.193.0 - 52.61.193.255

Interfaces de redeCada WorkSpace tem as seguintes interfaces de rede:

• A interface de rede primária (eth1) fornece conectividade aos recursos em sua VPC e na Internet, alémde ser usada para associar o WorkSpace ao diretório.

24


• A interface de rede de gerenciamento (eth0) é conectada a uma rede de gerenciamento segura doAmazon WorkSpaces. Ela é usada para streaming interativo da área de trabalho do WorkSpace para osclientes Amazon WorkSpaces e para permitir que o Amazon WorkSpaces gerencie o WorkSpace.

O Amazon WorkSpaces seleciona o endereço IP para a interface de rede de gerenciamento de váriosintervalos de endereços, de acordo com a região em que os WorkSpaces são criados. Quando umdiretório é registrado, o Amazon WorkSpaces testa a CIDR da VPC e as tabelas de rotas em sua VPCpara determinar se esses intervalos de endereços criarão um conflito. Se um conflito é encontrado emtodos os intervalos de endereços disponíveis na região, é exibida uma mensagem de erro e o diretório nãoé registrado. Se você alterar as tabelas de rotas em sua VPC depois do diretório ser registrado, poderácausar um conflito.

Warning

Não modifique nem exclua nenhuma das interfaces de rede anexadas a um WorkSpace. Issopode fazer com que o WorkSpace fique inacessível ou perca o acesso à Internet. Por exemplo, sevocê ativou a atribuição automática de endereços IP elásticos (p. 46) no nível do diretório, umendereço IP elástico (do grupo fornecido pela Amazon) será atribuído ao WorkSpace quando elefor iniciado. No entanto, se você associar um endereço IP elástico que possui a um WorkSpace e,depois, desassociar esse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereçoIP público e não obterá automaticamente um novo do grupo fornecido pela Amazon.Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace,é necessário recriar o WorkSpace (p. 89). Se você não quiser recriar o WorkSpace, seránecessário associar outro endereço IP elástico que possui ao WorkSpace.

Intervalos de IP de interface de gerenciamentoA tabela a seguir lista os intervalos de endereços IP usados para a interface de rede de gerenciamento.

Região Intervalo de endereços IP

Leste dos EUA (Norte da Virgínia) 192.168.0.0/16 e 198.19.0.0/16

Oeste dos EUA (Oregon) 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16

Ásia-Pacífico (Seul) 198.19.0.0/16

Ásia-Pacífico (Cingapura) 198.19.0.0/16

Ásia-Pacífico (Sydney) 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16

Ásia-Pacífico (Tóquio) 198.19.0.0/16

Canadá (Central) 198.19.0.0/16

Europa (Frankfurt) 198.19.0.0/16

Europa (Irlanda) 172.31.0.0/16, 192.168.0.0/16 e 198.19.0.0/16

Europa (Londres) 198.19.0.0/16

América do Sul (São Paulo) 198.19.0.0/16

AWS GovCloud (US-West) 198.19.0.0/16

Portas de interface de gerenciamentoAs portas a seguir devem ser abertas na interface de rede de gerenciamento de todos os WorkSpaces:

25



• TCP de entrada na porta 4172. Usada para o estabelecimento da conexão de streaming.• UDP de entrada na porta 4172. Usada para o streaming das entradas do usuário.• TCP de entrada na porta 4489. Isso é para acesso usando o cliente web.• TCP de entrada na porta 8200. Usada para o gerenciamento e a configuração do WorkSpace.• TCP de saída nas portas 8443 e 9997. Isso é usado para acesso usando o cliente web.• UDP de saída nas portas 3478 e 4172. Isso é usado para acesso usando o cliente web.• UDP de saída na porta 50002 e 55002. Usada para o streaming do PCoIP. Se o seu firewall usa

filtragem stateful, as portas efêmeras 50002 e 55002 são automaticamente abertas para permitir acomunicação de retorno. Se o firewall usar filtragem sem estado, será necessário abrir as portasefêmeras 49152 – 65535 para permitir a comunicação de retorno.

• TCP de saída na porta 80 para o endereço IP 169.254.169.254 para acesso ao serviço de metadados doEC2. Qualquer proxy HTTP atribuído aos seus WorkSpaces também deve excluir 169.254.169.254.

• TCP de saída na porta 1688 para os endereços IP 169.254.169.250 e 169.254.169.251 para concederacesso ao KMS da Microsoft para ativação do Windows e do Office.

Em circunstâncias normais, o serviço do Amazon WorkSpaces configura essas portas para seusWorkSpaces. Se algum software de segurança ou firewall estiver instalado em um WorkSpace quebloqueia qualquer uma dessas portas, o WorkSpace pode não funcionar corretamente ou pode serinacessível.

Portas de interface principalIndependentemente do tipo de diretório que você tem, as portas a seguir devem ser abertas na interfacede rede principal de todos os WorkSpaces:

• Para conectividade com a Internet, as seguintes portas devem ser abertas para saída para todos osdestinos e para entrada da VPC de WorkSpaces. É necessário adicioná-las manualmente ao grupo desegurança dos seus WorkSpaces, se você quiser que tenham acesso à Internet.• TCP 80 (HTTP)• TCP 443 (HTTPS)

• Para se comunicar com os controladores de diretório, as portas a seguir devem ser abertas entre a VPCdos WorkSpaces e os controladores de diretório. Para um diretório Simple AD, o grupo de segurançacriado pelo AWS Directory Service terá essas portas configuradas corretamente. Para um diretório ADConnector, talvez seja necessário ajustar o grupo de segurança padrão para que a VPC abra essasportas.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB• TCP 1024-65535 - Dynamic ports for RPC

Se algum software de segurança ou firewall estiver instalado em um WorkSpace que bloqueia qualqueruma dessas portas, o WorkSpace pode não funcionar corretamente ou pode ser inacessível.

26

Amazon WorkSpaces Guia de AdministraçãoRequisitos de rede

Requisitos de rede de cliente do AmazonWorkSpaces

Os usuários do Amazon WorkSpaces podem se conectar aos WorkSpaces usando o aplicativo cliente paraum dispositivo compatível. Como alternativa, eles podem usar um navegador da Web para se conectara WorkSpaces que oferecem suporte a esse tipo de acesso. Para obter uma lista de WorkSpaces queoferecem suporte ao acesso por navegador da web, consulte "Qual pacote do Amazon WorkSpacesoferece suporte ao acesso à web?" em Client Access, Web Access e User Experience.

Note

Não é possível usar um navegador da web para se conectar aos WorkSpaces do Amazon Linux.

Important

A partir de 1º de outubro de 2020, os clientes não poderão mais usar o cliente Web Access doAmazon WorkSpaces para se conectar a WorkSpaces personalizados do Windows 7 nem aWorkSpaces Bring Your Own License (BYOL – Traga sua própria licença) do Windows 7.

Para proporcionar aos usuários uma boa experiência com seus WorkSpaces, verifique se seus dispositivosclientes cumprem os seguintes requisitos de rede:

• O dispositivo cliente deve ter uma conexão de Internet banda larga. Recomendamos planejar um mínimode 1 Mbps por usuário simultâneo assistindo a uma janela de vídeo de 480p. Dependendo dos requisitosde qualidade do usuário para a resolução de vídeo, pode ser necessária mais largura de banda.

• A rede à qual o dispositivo cliente está conectado e qualquer firewall no dispositivo cliente devem terdeterminadas portas abertas para os intervalos de endereços IP dos vários serviços da AWS. Para obtermais informações, consulte Requisitos de endereço IP e porta para o Amazon WorkSpaces (p. 14).

• O tempo de ida e volta (RTT) da rede do cliente até a região em que estão os WorkSpaces deve sermenor do que 100ms. Se o RTT estiver entre 100ms e 250ms, o usuário poderá acessar o WorkSpace,mas o desempenho será reduzido.

• Se os usuários acessarem seus WorkSpaces através de uma rede privada virtual (VPN), a conexãodeverá oferecer suporte a uma unidade de transmissão máxima (MTU) de, pelo menos, 1.200 bytes.

Note

Não é possível acessar o WorkSpaces por meio de uma VPN conectada à sua Virtual PrivateCloud (VPC). Para acessar o WorkSpaces usando uma VPN, a conectividade da Internet (pormeio de endereços IP públicos da VPN) é necessária, conforme descrito em Requisitos deendereço IP e porta para o Amazon WorkSpaces (p. 14).

• Os clientes exigem acesso HTTPS a recursos do Amazon WorkSpaces hospedados pelo serviço e porAmazon Simple Storage Service (Amazon S3). Os clientes não são compatíveis com o redirecionamentode proxy no nível de aplicativo. O acesso HTTPS é necessário para que os usuários possam concluircom êxito o registro e acessar seus WorkSpaces.

• Para permitir o acesso usando dispositivos PCoIP Zero Client, você deve ativar e configurar umainstância do EC2 com o PCoIP Connection Manager para Amazon WorkSpaces. Para obter maisinformações, consulte Implantação do PCoIP Connection Manager para o Amazon WorkSpaces noPCoIP Connection Manager User Guide. Também é necessário habilitar o Network Time Protocol(NTP) no Teradici. Para obter mais informações, consulte Configurar o PCoIP Zero Client paraWorkSpaces (p. 34).

• Para clientes 3.0+, se você estiver usando o logon único (SSO) para Amazon WorkDocs, seránecessário seguir as instruções em Logon único no AWS Directory Service Administration Guide.

É possível verificar se um dispositivo cliente cumpre os requisitos de rede da seguinte forma.

27

https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience

https://www.teradici.com/web-help/Connecting_ZC_AWS_HTML5/TER1408002_Connecting_ZC_AWS.htm

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html

Amazon WorkSpaces Guia de AdministraçãoDispositivos confiáveis

Como verificar os requisitos de rede para clientes 3.0+1. Abra o cliente do Amazon WorkSpaces. Se esta for a primeira vez que você abre o cliente, será

solicitado que você insira o código de registro que recebeu no e-mail de convite.2. Dependendo do cliente que você estiver usando, siga um dos procedimentos a seguir.

Se você estiver usando... Faça o seguinte

Clientes Windows ou Linux No canto superior direito do aplicativo cliente,selecione o ícone Network (Rede) .

Cliente para macOS Selecione Connections (Conexões), Network(Rede).

O aplicativo cliente testa a conexão de rede, as portas e o tempo de ida e volta e relata os resultadosdesses testes.

3. Feche a caixa de diálogo Network (Rede) para retornar à página de login.

Como verificar os requisitos de rede para clientes 1.0+ e 2.0+1. Abra o cliente do Amazon WorkSpaces. Se esta for a primeira vez que você abre o cliente, será

solicitado que você insira o código de registro que recebeu no e-mail de convite.2. Selecione Network (Rede) no canto inferior direito do aplicativo cliente. O aplicativo cliente testa a

conexão de rede, as portas e o tempo de ida e volta e relata os resultados desses testes.3. Escolha Dismiss (Descartar) para voltar para a página de login.

Restringir o acesso dos WorkSpaces a dispositivosconfiáveis

Por padrão, os usuários podem acessar seu WorkSpaces de qualquer dispositivo compatível que estejaconectado à Internet. Se sua empresa limita o acesso a dados corporativos a dispositivos confiáveis(também conhecidos como dispositivos gerenciados), você pode restringir o acesso dos WorkSpaces adispositivos confiáveis com certificados válidos.

Quando você ativar esse recurso, o Amazon WorkSpaces usará autenticação baseada em certificadopara determinar se um dispositivo é confiável. Se o aplicativo cliente dos WorkSpaces não conseguirverificar se um dispositivo é confiável, ele bloqueará as tentativas de fazer login ou restabelecer conexãodo dispositivo.

Para cada diretório, você pode importar até dois certificados raiz. Se você importar dois certificadosraiz, o Amazon WorkSpaces os apresentará para o cliente, e o cliente localizará o primeiro certificadocorrespondente válido que se associa a um dos dois certificados raiz.

Important

Esse recurso se aplica somente a clientes Windows e macOS do Amazon WorkSpaces. Esserecurso não se aplica ao cliente do Amazon WorkSpaces Web Access nem a clientes de terceiros,incluindo, entre outros, o Teradici PCoIP Software e Mobile Clients, Teradici PCoIP Zero Clients,clientes RDP e aplicativos de área de trabalho remota.

28

Amazon WorkSpaces Guia de AdministraçãoEtapa 1: Criar os certificados

Etapa 1: Criar os certificadosEste recurso exige dois tipos de certificados: certificados raiz gerados por uma autoridade de certificação(CA) interna e certificados de cliente que se associam a um certificado raiz.

Requisitos

• Os certificados devem ser arquivos codificados por Base64 no formato CRT, CERT ou PEM.• Os certificados devem incluir um nome comum.• O tamanho máximo da cadeia de certificados com suporte é 4.• O Amazon WorkSpaces não oferece suporte a mecanismos de revogação de dispositivos, como listas

de revogação de certificado (CRL) ou Online Certificate Status Protocol (OCSP), para certificados decliente.

• Use um algoritmo de criptografia forte. Recomendamos SHA256 com RSA, SHA256 com ECDSA,SHA381 com ECDSA ou SHA512 com ECDSA.

• Verifique se o "key usage: Digital signature" (uso da chave: assinatura digital) está presente na chavepública. Caso contrário, a autenticação do dispositivo falhará mesmo se as chaves públicas e privadasestiverem presentes na máquina e no console do WorkSpaces.

• Para macOS, se o certificado do dispositivo estiver na cadeia de chaves do sistema, recomendamos quevocê autorize o aplicativo cliente dos WorkSpaces a acessar os certificados. Caso contrário, os usuáriosdevem inserir credenciais de cadeia de chaves quando fazem login ou se reconectam.

Etapa 2: Implantar certificados de cliente nosdispositivos confiáveisVocê deve instalar certificados de cliente nos dispositivos confiáveis para seus usuários. Você pode usara melhor solução para instalar os certificados na sua frota de dispositivos clientes; por exemplo, o SystemCenter Configuration Manager (SCCM) ou o gerenciamento de dispositivos móveis (MDM). Observeque o SCCM e o MDM podem executar uma avaliação de postura de segurança para determinar se osdispositivos atendem às suas políticas corporativas para acessar os WorkSpaces.

No Windows, o aplicativo cliente do WorkSpaces procura certificados de cliente nos armazenamentosde certificados raiz e de usuário. No macOS, o aplicativo cliente do WorkSpaces procura certificados decliente no conjunto de chaves inteiro.

Etapa 3: Configurar a restriçãoDepois que você tiver implementado os certificados do cliente nos dispositivos confiáveis, poderá ativaro acesso restrito no nível de diretório. Isso requer que o aplicativo cliente dos WorkSpaces valide ocertificado em um dispositivo antes de permitir que um usuário faça login em um WorkSpace.

Para configurar a restrição

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório e escolha Ações, Atualizar detalhes.4. Expanda Opções de controle de acesso.5. [Windows] Escolha Somente permitir que dispositivos Windows confiáveis acessem os WorkSpaces.6. [macOS] Escolha Somente permitir que dispositivos macOS confiáveis acessem os WorkSpaces.7. Importe até dois certificados raiz. Para cada certificado raiz, faça o seguinte:

29


Amazon WorkSpaces Guia de AdministraçãoAcesso à Internet

a. Escolha Import.b. Copie o corpo do certificado no formulário.c. Escolha Import.

8. (Opcional) Especifique se outros tipos de dispositivo têm acesso ao WorkSpaces.

a. Role para baixo até a seção Other Platforms (Outras plataformas). Por padrão, o WorkSpacesWeb Access e os clientes Linux são desabilitados e os usuários podem acessar os WorkSpacesem dispositivos iOS, Android, Chromebooks e dispositivos PCoIP zero client.

b. Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a seremdesativados.

c. Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha Bloquear.9. Escolha Atualizar e sair.

Fornecer acesso à Internet a partir de seuWorkSpace

Os WorkSpaces devem ter acesso à Internet para que seja possível instalar atualizações no sistemaoperacional e implantar aplicativos. É possível usar uma das opções a seguir para permitir que seusWorkSpaces em uma nuvem privada virtual (VPC) acessem a Internet.

Opções

• Inicie seus WorkSpaces em sub-redes privadas e configure um gateway NAT em uma sub-rede públicana VPC.

• Inicie seus WorkSpaces em sub-redes públicas e configure a atribuição automática de endereços IPpúblicos.

• Inicie seus WorkSpaces em sub-redes públicas e atribua manualmente endereços IP públicos a eles.

Para obter mais informações, consulte Configurar uma VPC para o Amazon WorkSpaces (p. 8).

Com qualquer uma dessas opções, você deve garantir que o security group para seu WorkSpaces permitao tráfego de saída nas portas 80 (HTTP) e 443 (HTTPS) para todos os destinos (0.0.0.0/0).

Amazon WAM

Se você estiver usando o Amazon WorkSpaces Application Manager (Amazon WAM) para implantaraplicativos em seus WorkSpaces, eles deverão ter acesso à Internet.

Biblioteca de extras Amazon Linux

Se você usa o repositório do Amazon Linux, os WorkSpaces do Amazon Linux devem ter acesso à Internetou você deve configurar VPC endpoints para esse repositório e para o repositório principal do AmazonLinux. Para obter mais informações, consulte a seção Exemplo: ativar o acesso aos repositórios da AMIdo Amazon Linux em Endpoints do Amazon S3. Os repositórios da AMI do Amazon Linux são bucketsdo Amazon S3 em cada região. Se desejar que as instâncias em sua VPC acessem os repositórios pormeio de um endpoint, crie uma política de endpoint que permita acesso a esses buckets. A política a seguirpermite acesso aos repositórios do Amazon Linux.

{ "Statement": [ {

30

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html

Amazon WorkSpaces Guia de AdministraçãoSecurity groups

"Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ]}

Security groups para seus WorkSpacesAo registrar um diretório com o Amazon WorkSpaces, ele cria dois grupos de segurança, um paracontroladores do diretório e outro para o WorkSpaces no diretório. O grupo de segurança paracontroladores de diretório tem um nome que consiste no identificador de diretório seguido por_controllers (por exemplo, d-12345678e1_controllers). O grupo de segurança para WorkSpaces temum nome que consiste no identificador de diretório seguido por _workspacesMembers (por exemplo,d-123456fc11_workspacesMembers).

Warning

Não exclua o grupo de segurança _workspacesMembers. Se você excluir esse grupo desegurança, seus WorkSpaces não funcionarão corretamente e você não poderá recriar essegrupo e adicioná-lo de volta.

Você pode adicionar um grupo de segurança padrão do WorkSpaces a um diretório. Depois que vocêassociar um novo grupo de segurança a um diretório do WorkSpaces, os novos WorkSpaces quevocê iniciar ou os WorkSpaces existentes que você recriar terão o novo grupo de segurança. Vocêtambém pode adicionar esse novo grupo de segurança padrão aos WorkSpaces existentes sem recriá-los (p. 31), conforme explicado mais adiante neste tópico.

Quando você associa vários grupos de segurança a um diretório do WorkSpaces, as regras de cada grupode segurança são efetivamente agregadas para criar um conjunto de regras. Recomendamos que vocêcondense as regras do grupo de segurança o máximo possível.

Para obter mais informações sobre grupos de segurança, consulte Grupos de segurança para sua VPC noGuia do usuário da Amazon VPC.

Como adicionar um grupo de segurança a um diretório do WorkSpaces

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório e escolha Ações, Atualizar detalhes.4. Expanda Security Group e selecione um security group.5. Escolha Atualizar e sair.

Para adicionar um grupo de segurança a um WorkSpace existente sem recriá-lo, atribua o novo grupo desegurança à interface de rede elástica (ENI) do WorkSpace.

Como adicionar um grupo de segurança a um WorkSpace existente

1. Localize o endereço IP de cada WorkSpace que precisa ser atualizado.

31

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html


Amazon WorkSpaces Guia de AdministraçãoGrupos de controle de acesso IP

a. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.b. Expanda cada WorkSpace e registre o endereço IP do WorkSpace.

2. Localize a ENI para cada WorkSpace e atualize sua atribuição de grupo de segurança.

a. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.b. Em Rede e segurança, escolha Interfaces de rede.c. Procure o primeiro endereço IP que registrou na etapa 1.d. Selecione a ENI associada ao endereço IP, escolha Ações e selecione Alterar grupos de

segurança.e. Selecione o novo grupo de segurança e escolha Salvar.f. Repita esse processo conforme necessário para quaisquer outros WorkSpaces.

Grupos de controle de acesso IP dos WorkSpacesUm grupo de controle de acesso IP atua como um firewall virtual que controla os endereços IP de onde osusuários têm permissão para acessar seus WorkSpaces. Você pode associar cada grupo de controle deacesso IP com um ou mais diretórios. É possível criar até 100 grupos de controle de acesso IP por contada AWS. No entanto, é possível associar somente até 25 grupos de controle de acesso IP com um únicodiretório.

Há um grupo de controle de acesso IP padrão associado a cada diretório. O grupo padrão permite todoo tráfego. Se você associar um grupo de controle de acesso IP com um diretório, o grupo de controle deacesso IP padrão é desassociado.

Para especificar os endereços IP públicos e intervalos de endereços IP para suas redes confiáveis,adicione regras para seus grupos de controle de acesso IP. Se os usuários acessam seus WorkSpacespor meio de um gateway NAT ou VPN, você deve criar regras que permitam o tráfego de endereços IPpúblicos para o gateway NAT ou VPN.

Note

Os grupos de controle de acesso IP não permitem o uso de endereços IP dinâmicos para NATs.Se você estiver usando um NAT, configure-o para usar um endereço IP estático em vez deum endereço IP dinâmico. Verifique se o NAT roteia todo o tráfego UDP por meio do mesmoendereço IP estático durante toda a sessão do WorkSpaces.

É possível usar esse recurso com o Web Access e os aplicativos clientes para macOS, iPad, Windows,Chromebook e Android. Para usar esse recurso com um cliente PCoIP zero, você não pode usar o PCoIPConnection Manager.

Criar um Grupo de controle de acesso IPVocê pode criar um grupo de controle de acesso IP conforme indicado a seguir. Cada grupo de controle deacesso IP pode conter até 10 regras.

Para criar um grupo de controle de acesso IP

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione IP Access Controls (Controles de acesso IP).3. Escolha Create IP Group (Criar grupo de IP).4. Na caixa de diálogo Create IP Group (Criar grupo de IP), insira um nome e uma descrição para o

grupo e escolha Create (Criar).5. Selecione o grupo e escolha Edit (Editar).

32




Amazon WorkSpaces Guia de AdministraçãoAssocie um Grupo de controle de acesso IP a um Diretório

6. Para cada endereço IP, escolha Add Rule (Adicionar regra). Para Source (Origem), insira o endereçoIP ou intervalo de endereços IP. Em Description (Descrição), insira uma descrição. Quando terminarde adicionar regras, escolha Save (Salvar).

Associe um Grupo de controle de acesso IP a umDiretórioVocê pode associar um grupo de controle de acesso IP a um diretório para garantir que os WorkSpacessejam acessados apenas de redes confiáveis.

Se você associar um grupo de controle de acesso IP, que não tem regras, a um diretório, ele bloqueia todoo acesso a todos os WorkSpaces.

Para associar um grupo de controle de acesso IP a um diretório

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório e escolha Ações, Atualizar detalhes.4. Expanda IP Access Control Groups (Grupos de controle de acesso IP) e selecione um ou mais grupos

de controle de acesso IP.5. Escolha Atualizar e sair.

Copie um Grupo de controle de acesso de IPVocê pode usar um grupo de controle de acesso IP existente como base para a criação de um novo.

Para criar um grupo de controle de acesso IP a partir de um existente

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione IP Access Controls (Controles de acesso IP).3. Selecione o grupo e escolha Actions (Ações), Copy to New (Copiar para novo).4. Na caixa de diálogo Copy IP Group (Copiar grupo de IP), insira um nome e uma descrição para o novo

grupo e escolha Copy Group (Copiar grupo).5. (Opcional) Para modificar as regras copiadas do grupo original, selecione o novo grupo e escolha Edit

(Editar). Adicione, atualize ou remova regras conforme necessário. Escolha Salvar.

Excluir um Grupo de controle de acesso de IPVocê pode excluir uma regra de um grupo de controle de acesso IP a qualquer momento. Se você removeruma regra que foi usada para permitir uma conexão com um WorkSpace, o usuário é desconectado doWorkSpace.

Antes de excluir um grupo de controle de acesso IP, você deve desassociá-lo a partir de qualquer diretório.

Para excluir um grupo de controle de acesso IP

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Para cada diretório associado ao grupo de controle de acesso IP, selecione o diretório e escolha

Actions (Ações), Update Details (Atualizar detalhes). Expanda IP Access Control Groups (Grupos de

33




Amazon WorkSpaces Guia de AdministraçãoPCoIP Zero Client

controle de acesso IP), desmarque a caixa de seleção do grupo de controle de acesso IP e escolhaUpdate and Exit (Atualizar e sair).

4. No painel de navegação, selecione IP Access Controls (Controles de acesso IP).5. Selecione o grupo e escolha Actions (Ações), Delete IP Group (Excluir grupo de IP).

Configurar o PCoIP Zero Client para WorkSpacesSe o dispositivo Zero Client tiver firmware versão 6.0.0 ou posterior, seus usuários poderão se conectaraos seus WorkSpaces diretamente. Caso contrário, se o firmware estiver entre as versões 4.6.0 e 6.0.0,você deverá configurar o Teradici PCoIP Connection Manager para Amazon WorkSpaces e fornecer aosusuários os URIs do servidor para se conectarem aos seus WorkSpaces por meio do Teradici PCoIPConnection Manager para Amazon WorkSpaces.

Para configurar o PCoIP Connection Manager para o Amazon WorkSpaces em uma instância do EC2,acesse o AWS Marketplace e localize uma Imagem de máquina da Amazon (AMI) que você possa usarpara executar uma instância com o PCoIP Connection Manager. Para obter mais informações, consulteImplantação do PCoIP Connection Manager para o Amazon WorkSpaces no PCoIP Connection ManagerUser Guide.

Note

No Teradici PCoIP Administrative Web Interface (AWI) ou no Teradici PCoIP ManagementConsole (MC), habilite o Network Time Protocol (NTP). Para o nome DNS do host NTPpool.ntp.org, use e defina a porta do host NTP como 123. Se o NTP não estiver habilitado,seus usuários de cliente zero PCoIP poderão receber erros de falha de certificado, como "Thesupplied certificate is invalid due to timestamp" (O certificado fornecido é inválido devido ao timestamp).

Para obter informações sobre a configuração e a conexão com um dispositivo PCoIP Zero Client, consultePCoIP Zero Client no Guia do usuário do Amazon WorkSpaces.

Configurar o Android para ChromebooksA versão 2.4.13 é a versão final do aplicativo cliente Chromebook do Amazon WorkSpaces. Como oGoogle está eliminando gradualmente o suporte aos aplicativos do Chrome, não haverá atualizaçõesadicionais para o aplicativo cliente do Chromebook para o WorkSpaces e não haverá suporte ao seu uso.

Para Chromebooks compatíveis com a instalação de aplicativos Android, recomendamos usar o aplicativocliente Android do Amazon WorkSpaces.

Alguns Chromebooks lançados antes de 2019 devem estar habilitados para instalar aplicativos Androidantes que os usuários possam instalar o aplicativo cliente Android do Amazon WorkSpaces. Para obtermais informações, consulte Sistemas Chrome OS compatíveis com aplicativos Android.

Para gerenciar remotamente a ativação dos Chromebooks de seus usuários para instalar aplicativosAndroid, consulte Configurar Android em dispositivos Chrome.

Ativar e configurar o Amazon WorkSpaces WebAccess

A maioria dos pacotes do WorkSpaces oferece suporte ao Acesso à web do Amazon WorkSpaces pormeio de navegadores Chrome ou Firefox. Para obter uma lista de WorkSpaces que oferecem suporte ao

34

https://aws.amazon.com/marketplace/pp/B00O9E9JZ0



https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html

https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html

https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html


https://support.google.com/chromebook/answer/7021273


https://support.google.com/chrome/a/topic/9042368

Amazon WorkSpaces Guia de AdministraçãoEtapa 1: Ativar o Web Access aos WorkSpaces

acesso ao navegador da web, consulte "Quais pacotes do Amazon WorkSpaces oferecem suporte ao WebAccess?" no Client Access, Web Access e User Experience.

Note

Um navegador da web não pode ser usado para se conectar ao WorkSpaces do Amazon Linux.

Important


Etapa 1: Ativar o Web Access aos WorkSpacesVocê controla o Web Access aos WorkSpaces no nível do diretório. Para cada diretório contendoWorkSpaces que você deseja permitir que os usuários acessem por meio do cliente do Web Access, sigaas etapas a seguir.

Como ativar o Web Access aos WorkSpaces

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Directories (Diretórios).3. Escolha o diretório apropriado e selecione Actions (Ações), Update Details (Atualizar detalhes).4. Expanda Opções de controle de acesso e encontre a seção Outras plataformas.5. Selecione Web Access.6. Escolha Atualizar e sair.

Etapa 2: Configurar o acesso de entrada e saída àsportas para o Web AccessO Amazon WorkSpaces Web Access exige acesso de entrada e saída para determinadas portas. Paraobter mais informações, consulte Portas para o Web Access (p. 15).

Etapa 3: Definir as configurações da política de grupoe da política de segurança a fim de permitir que osusuários façam logonO Amazon WorkSpaces conta com uma configuração de tela de login específica para permitir que osusuários façam logon com êxito no cliente do Web Access.

Para permitir que os usuários do Web Access façam logon no WorkSpaces, é necessário definir umaconfiguração de política de grupo e três configurações de política de segurança. Se essas configuraçõesnão estiverem definidas corretamente, os usuários podem enfrentar longos tempos de login ou telas pretasao tentarem fazer logon no WorkSpaces. Para definir essas configurações, use os procedimentos a seguir.

Você pode usar Objetos de Política de Grupo (GPOs) e aplicar configurações para gerenciar WorkSpacesdo Windows ou usuários que fazem parte de seu diretório dos WorkSpaces do Windows. É recomendávelcriar uma unidade organizacional para seus objetos de computador do WorkSpaces e outra para seusobjetos de usuário do WorkSpaces.

35

https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience


Amazon WorkSpaces Guia de AdministraçãoEtapa 3: Definir as configurações da política

de grupo e da política de segurança a fimde permitir que os usuários façam logon

Para obter informações sobre como usar as ferramentas de administração do Active Directory paratrabalhar com GPOs, consulte Instalação das ferramentas de administração do Active Directory no AWSDirectory Service Administration Guide.

Para habilitar o agente de login do WorkSpaces para alternar os usuários

Na maioria dos casos, quando um usuário tenta fazer login em um WorkSpace, o campo nome do usuárioé preenchido automaticamente com o nome do usuário. No entanto, se um administrador tiver estabelecidouma conexão RDP com o WorkSpace para realizar tarefas de manutenção, o campo de nome do usuárioserá preenchido com o nome do administrador.

Para evitar esse problema, desative a configuração da política de grupo Hide entry points for Fast UserSwitching (Ocultar pontos de entrada para troca rápida de usuários). Ao desativar essa configuração, oagente de login do WorkSpaces pode usar o botão Switch User (Trocar usuário) para preencher o campode nome do usuário com o nome correto.

1. Abra a ferramenta de Gerenciamento da política de grupo (gpmc.msc), navegue por ela eselecione um GPO no nível do domínio ou do controlador de domínio do diretório que você usapara o WorkSpaces. (Se você tem o modelo administrativo de política de grupo do AmazonWorkSpaces (p. 53) instalado no domínio, é possível usar o GPO do WorkSpaces para as contasde máquina do WorkSpaces.)

2. Escolha Action (Ação), Edit (Editar) no menu principal.3. No Editor de gerenciamento de política de grupo, selecione Computer Configuration (Configuração da

política), Policies (Políticas), Administrative Templates (Modelos administrativos), System (Sistema) eLogon.

4. Abra a configuração Hide entry points for Fast User Switching (Ocultar pontos de entrada para a trocarápida de usuários).

5. Na caixa de diálogo Hide entry points for Fast User Switching (Ocultar pontos de entrada para a trocarápida de usuários) selecioneDisabled (Desabilitado) e clique em OK.

Como ocultar o último nome de usuário com o qual foi feito logon

Por padrão, a lista de últimos usuários com os quais foi feito logon é exibida em vez do botão Switch User(Trocar de usuário). Dependendo da configuração do WorkSpace, a lista pode não exibir o título OtherUser (Outro usuário). Quando ocorrer essa situação, se o nome de usuário pré-preenchido não estivercorreto, o agente de logon do WorkSpaces não poderá preencher o campo com o nome correto.

Para evitar esse problema, ative a configuração da política de segurança Interactive logon: Don't displaylast signed-in (Logon interativo: não exibir o último usuário que fez login) ou Interactive logon: Do notdisplay last user name (Logon interativo: não exibir o último nome de usuário).


2. Escolha Action (Ação), Edit (Editar) no menu principal.3. No Editor de gerenciamento de política de grupo, selecione Computer Configuration (Configuração

do computador), Windows Settings (Configurações do Windows), Security Settings (Configurações desegurança), Local Policies (Políticas locais) e Security Options (Opções de segurança).

4. Abra uma das seguintes configurações:

• Para o Windows 7 — Interactive logon: Don't display last signed-in (Logon interativo: não exibir oúltimo usuário que fez login).

• Para o Windows 10 — Interactive logon: Do not display last user name (Logon interativo: não exibiro último nome de usuário)

36

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html

Amazon WorkSpaces Guia de AdministraçãoEtapa 3: Definir as configurações da política

de grupo e da política de segurança a fimde permitir que os usuários façam logon

5. Na caixa de diálogo Properties (Propriedades) da configuração, selecione Enabled (Habilitado) eclique em OK.

Como exigir que os usuários pressionem CTRL+ALT+DEL antes de fazer logon

Para o WorkSpaces Web Access, é necessário exigir que os usuários pressionem CTRL+ALT+DEL antesde fazer logon. Exigir que os usuários pressionem CTRL+ALT+DEL antes de fazer logon garante que oseles estejam usando um caminho confiável ao inserir as senhas.




4. Abra a configuração e logon: Do not require CTRL+ALT+DEL (Logon interativo: não exigir CTRL+ALT+DEL).

5. Na guia Local Security Setting (Configuração de segurança local), selecione Disabled (Desativado) eOK.

Como exibir as informações de usuário e de domínio quando a sessão está bloqueada

O agente de logon do WorkSpaces procura o nome de usuário e o domínio. Depois que essa configuraçãofor definida, a tela de bloqueio exibirá o nome completo do usuário (se ele estiver especificado no ActiveDirectory), o nome de domínio e o nome de usuário dele.




4. Abra a configuração Interactive logon: Display user information when the session is locked (Logoninterativo: exibir informações do usuário quando a sessão for bloqueada).

5. Na guia Local Security Setting (Configuração de segurança local), selecione User display name,domain and user names (Nome de exibição, domínio e nomes de usuário) e selecione OK.

Como aplicar as alterações de configuração da política de grupo e da política de segurança

As alterações nas configurações da política de grupo e da política de segurança entram em vigor após apróxima atualização da política de grupo do WorkSpace e depois que a sessão do WorkSpace é reiniciada.Para aplicar as alterações na política de grupo e na política de segurança nos procedimentos anteriores,siga um destes procedimentos:

• Reinicie o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolha Actions(Ações), Reboot WorkSpaces (Reiniciar WorkSpaces)).

• Em um prompt de comando administrativo, insira gpupdate /force.

37

Amazon WorkSpaces Guia de AdministraçãoCriptografia de endpoint do FIPS

Configurar o Amazon WorkSpaces para aautorização do FedRAMP ou a conformidade com oSRG do DoD

Para estar em conformidade com o Federal Risk and Authorization Management Program (FedRAMP -Programa federal de gerenciamento de riscos e autorizações) ou com o Department of Defense CloudComputing Security Requirements Guide (Guia de requisitos de segurança de computação em nuvemdo Departamento de Defesa), você deve configurar o Amazon WorkSpaces para usar a criptografiade endpoint do Federal Information Processing Standards (FIPS - Padrões de processamento deinformações federais) no nível do diretório. Você também deve usar uma região da AWS nos EUA quetenha autorização do FedRAMP ou esteja em conformidade com o SRG do DoD.

O nível de autorização do FedRAMP (moderado ou alto) ou o nível de impacto do SRG do DoD (2, 4 ou5) depende da região da AWS dos EUA na qual o Amazon WorkSpaces está sendo usado. Para obteros níveis de autorização do FedRAMP e a conformidade com o SRG do DoD aplicáveis a cada região,consulte Serviços da AWS no escopo do programa de conformidade.

Requisitos

• Você deve criar seus WorkSpaces em uma região da AWS dos EUA que tenha autorização doFedRAMP ou esteja em conformidade com o SRG do DoD.

• O diretório dos WorkSpaces deve ser configurado para usar o FIPS 140-2 Validated Mode (Modovalidado FIPS 140-2) para criptografia de endpoint.

Note

Para usar a configuração FIPS 140-2 Validated Mode (Modo validado FIPS 140-2) o diretóriodos WorkSpaces deve ser novo ou todos os WorkSpaces existentes no diretório devem usar oFIPS 140-2 Validated Mode para criptografia de endpoint. Caso contrário, você não poderá usaressa configuração e, portanto, os WorkSpaces criados não estarão em conformidade com osrequisitos de segurança do FedRAMP ou do DoD.

• Os usuários devem acessar seus WorkSpaces de um dos seguintes aplicativos cliente do WorkSpaces:• Windows: 2.4.3 ou posterior• macOS: 2.4.3 ou posterior• Linux: 3.0.0 ou posterior• iOS: 2.4.1 ou posterior• Android: 2.4.1 ou posterior• Tablet Fire: 2.4.1 ou posterior• ChromeOS: 2.4.1 ou posterior

Como usar a criptografia de endpoint do FIPS

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Directories (Diretórios).3. Verifique se o diretório onde você deseja criar WorkSpaces autorizados pelo FedRAMP e em

conformidade com o SRG do DoD não tem WorkSpaces existentes associados a ele. Se houverWorkSpaces associados ao diretório e o diretório ainda não estiver habilitado para usar o modovalidado FIPS 140-2, encerre os WorkSpaces ou crie um novo diretório.

4. Escolha o diretório que atende aos critérios acima e escolha Actions (Ações), Update Details (Atualizardetalhes).

38

https://aws.amazon.com/compliance/fedramp/

https://aws.amazon.com/compliance/fedramp/

https://aws.amazon.com/compliance/dod/



https://aws.amazon.com/compliance/services-in-scope/




Amazon WorkSpaces Guia de AdministraçãoHabilitar conexões SSH

5. Na página Update Directory Details (Atualizar detalhes do diretório) escolha a seta para expandir aseção Access Control Options (Opções de controle de acesso).

6. Em Endpoint Encryption (Criptografia de endpoint), escolha FIPS 140-2 Validated Mode (Modovalidado FIPS 140-2) em vez de TLS Encryption Mode (Standard) [Modo de criptografia TLS(Padrão)].

7. Escolha Update and Exit (Atualizar e sair).8. Agora, nesse diretório, você poderá criar WorkSpaces autorizados pelo FedRAMP e em conformidade

com o SRG do DoD. Para acessar esses WorkSpaces, os usuários devem usar um dos aplicativoscliente de WorkSpaces listados anteriormente na seção Requisitos (p. 38).

Habilitar conexões SSH a seus WorkSpaces doLinux

Se você ou seus usuários quiserem se conectar aos WorkSpaces Amazon Linux usando a linha decomando, habilite as conexões SSH. Você pode habilitar conexões SSH para todos os WorkSpaces emum diretório ou para WorkSpaces individuais.

Para habilitar conexões SSH, crie um novo grupo de segurança ou atualize um existente e adicione umaregra para permitir o tráfego de entrada para essa finalidade. Os security groups atuam como firewallpara instâncias associadas, controlando o tráfego de entrada e de saída no nível da instância. Depois decriar ou atualizar seu grupo de segurança, os usuários e outras pessoas podem usar o PuTTY ou outrosterminais para se conectar ao Amazon Linux WorkSpaces nos próprios dispositivos.

Para obter um tutorial em vídeo, consulte Como posso me conectar ao Amazon WorkSpaces do Linuxusando SSH? no Centro de conhecimento da AWS.

Tópicos• Pré-requisitos para conexões SSH para Amazon Linux WorkSpaces (p. 39)• Habilitar conexões SSH para todos os Amazon Linux WorkSpaces em um diretório (p. 40)• Habilitar conexões SSH a um Amazon Linux WorkSpace específico (p. 41)• Conectar-se a um Amazon Linux WorkSpace usando o Linux ou o PuTTY (p. 41)

Pré-requisitos para conexões SSH para Amazon LinuxWorkSpaces• Habilitar tráfego de entrada SSH para um WorkSpace — Para adicionar uma regra e permitir o tráfego

de entrada SSH para um ou mais Amazon Linux WorkSpaces, tenha endereços IP público ou privadodos dispositivos que exigem conexões SSH para o WorkSpaces. Por exemplo, você pode especificar osendereços IP públicos de dispositivos fora da nuvem privada virtual (VPC) ou o endereço IP privado deoutra instância do EC2 na mesma VPC que o WorkSpace.

Se você pretende se conectar ao WorkSpace usando seu dispositivo local, você pode usar a frase depesquisa "qual é o endereço IP" em um navegador da Internet ou o seguinte serviço: Check IP (VerificarIP).

• Conectar-se a um WorkSpace — As informações a seguir são necessárias para iniciar uma conexãoSSH entre um dispositivo e um Amazon Linux WorkSpace.• O nome de NetBIOS do domínio do Active Directory ao qual você está conectado.• O nome de usuário do WorkSpace.• O endereço IP público ou privado do WorkSpace ao qual você quer se conectar.

39

https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/

https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/

https://checkip.amazonaws.com/

https://checkip.amazonaws.com/

Amazon WorkSpaces Guia de AdministraçãoHabilitar conexões SSH para todos os

Amazon Linux WorkSpaces em um diretório

Privado se a VPC estiver vinculada a uma rede corporativa e você tiver acesso à rede, você podeespecificar o endereço IP privado do WorkSpace.

Público: se o WorkSpace tiver um endereço IP público, você pode usar o console do WorkSpacespara encontrar o endereço IP público, conforme descrito no procedimento a seguir.

Para localizar o nome de usuário e os endereços IP do Amazon Linux WorkSpace ao qual vocêquer se conectar

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Na lista de WorkSpaces, selecione aquele para o qual você quer habilitar conexões SSH.4. Na coluna Running mode (Modo de execução), confirme se o status do WorkSpace é Available

(Disponível).5. Clique na seta à esquerda do nome do WorkSpace para exibir o resumo em linha e observe as

seguintes informações:

• O WorkSpace IP (IP do WorkSpace). Este é o endereço IP privado do WorkSpace.

O endereço IP privado é necessário para obter a interface de rede elástica associada aoWorkSpace. A interface de rede é necessária para recuperar informações, como o grupo desegurança ou endereço IP público associado ao WorkSpace.

• O Username (Nome de usuário) do WorkSpace. Este é o nome de usuário que você especifica parase conectar ao WorkSpace.

6. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.7. No painel de navegação, selecione Network Interfaces.8. Na caixa de pesquisa, digite o WorkSpace IP (IP do WorkSpace) anotado na etapa 5.9. Selecione a interface de rede associada ao WorkSpace IP (IP do WorkSpace).10. Se o seu WorkSpace tiver um endereço IP público, ele será exibido na coluna IPv4 Public IP (IP

público do IPv4). Anote esse endereço, se necessário.

Para encontrar o nome de NetBIOS do domínio do Active Directory ao qual você está conectado

1. Abra o console do AWS Directory Service em https://console.aws.amazon.com/directoryservicev2/.2. Na lista de diretórios, clique no link Directory ID (ID do diretório) para o WorkSpace.3. Na seção Directory details (Detalhes do diretório), anote o Directory NetBIOS name (Nome do diretório

NetBIOS).

Habilitar conexões SSH para todos os Amazon LinuxWorkSpaces em um diretórioPara habilitar conexões SSH para todos os Amazon Linux WorkSpaces em um diretório, siga estas etapas.

Para criar um grupo de segurança com uma regra que permita o tráfego SSH de entrada paratodos os Amazon Linux WorkSpaces em um diretório

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, escolha Security Groups (Grupos de segurança).3. Escolha Create Security Group.4. Digite um nome e, se quiser, uma descrição para seu grupo de segurança.

40



https://console.aws.amazon.com/directoryservicev2/


Amazon WorkSpaces Guia de AdministraçãoHabilitar conexões SSH a um

Amazon Linux WorkSpace específico

5. Em VPC, selecione a VPC que obtenha o WorkSpaces para o qual você quer habilitar conexões SSH.6. Na guia Inbound (Entrada), selecione Add Rule (Adicionar regra) e siga estas etapas:

• Para Tipo, escolha SSH.• Para Protocol (Protocolo), o TCP é especificado automaticamente quando você seleciona SSH.• Para Port Range (Intervalo de portas), 22 é especificada automaticamente quando você seleciona

SSH.• Em Source (Origem), selecione My IP (Meu IP) ou Custom (Personalizado) e especifique um

único endereço de IP ou um intervalo na notação CIDR. Por exemplo, se o endereço IPv4 for203.0.113.25, especifique 203.0.113.25/32 para listar esse único endereço IPv4 em notaçãoCIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como203.0.113.0/24.

• Em Description (Descrição), digite uma descrição para a regra. Essa etapa é opcional.7. Escolha Criar.

Habilitar conexões SSH a um Amazon LinuxWorkSpace específicoPara habilitar conexões SSH para um Amazon Linux WorkSpace específico, siga estas etapas.

Para adicionar uma regra a um grupo de segurança existente que permita o tráfego SSH deentrada para um determinado Amazon Linux WorkSpace

1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.2. No painel de navegação, em Network & Security (Rede e segurança), selecione Network Interfaces

(Interfaces de rede).3. Na barra de pesquisa, digite o endereço IP privado do WorkSpace para o qual você quer habilitar

conexões SSH.4. Na coluna Security groups (Grupos de segurança), clique em um link para o grupo de segurança.5. Na guia Inbound (Entrada), escolha Edit (Editar).6. Selecione Add Rule (Adicionar regra) e faça o seguinte:

• Para Tipo, escolha SSH.• Para Protocol (Protocolo), o TCP é especificado automaticamente quando você seleciona SSH.• Para Port Range (Intervalo de portas), 22 é especificada automaticamente quando você seleciona

SSH.• Em Source (Origem), selecione My IP (Meu IP) ou Custom (Personalizado) e especifique um

único endereço de IP ou um intervalo na notação CIDR. Por exemplo, se o endereço IPv4 for203.0.113.25, especifique 203.0.113.25/32 para listar esse único endereço IPv4 em notaçãoCIDR. Se sua empresa alocar endereços de um intervalo, especifique o intervalo inteiro, como203.0.113.0/24.

• Em Description (Descrição), digite uma descrição para a regra. Essa etapa é opcional.7. Escolha Salvar.

Conectar-se a um Amazon Linux WorkSpace usandoo Linux ou o PuTTYDepois de criar ou atualizar seu grupo de segurança e adicionar a regra necessária, os usuários e outraspessoas podem usar o Linux ou PuTTY para se conectar aos seus WorkSpaces nos próprios dispositivos.

41


Amazon WorkSpaces Guia de AdministraçãoConectar-se a um Amazon Linux

WorkSpace usando o Linux ou o PuTTY

Note

Antes de concluir qualquer um dos procedimentos a seguir, verifique se você tem o seguinte:

• O nome de NetBIOS do domínio do Active Directory ao qual você está conectado.• O nome de usuário que você usa para se conectar ao WorkSpace.• O endereço IP público ou privado do WorkSpace ao qual você quer se conectar.

Para instruções sobre como obter essas informações, consulte "Pré-requisitos para conexõesSSH para Amazon Linux WorkSpaces", vistos anteriormente neste tópico.

Para se conectar a um Amazon Linux WorkSpace usando o Linux

1. Abra o prompt de comando como administrador e insira o seguinte comando. Em NetBIOSname (Nome do NetBIOS), Username (Nome de usuário) e WorkSpace IP (IP deWorkSpace), digite os valores aplicáveis.

ssh "NetBIOS_NAME\Username"@WorkSpaceIP

Veja a seguir um exemplo do comando SSH onde:

• O NetBIOS_NAME é "anycompany"• The Username (Nome de usuário) é "janedoe"• O WorkSpace IP (IP do WorkSpace) é 203.0.113.25.

ssh "anycompany\janedoe"@203.0.113.25

2. Quando solicitado, insira a mesma senha que você usa ao autenticar com o cliente do WorkSpaces(sua senha do Active Directory).

Para se conectar a um Amazon Linux WorkSpace usando o PuTTY

1. Abra o PuTTY.2. Na caixa de diálogo PuTTY Configuration (Configuração PuTTy), siga estas etapas:

• Para Host Name (or IP address) [Nome de host (ou endereço IP)], insira o seguinte comando.Substitua os valores pelo nome de NetBIOS do domínio do Active Directory ao qual você estáconectado, pelo nome de usuário usado para se conectar ao WorkSpace e pelo endereço IP doWorkSpace ao qual deseja conectar-se.

"NetBIOS_NAME\Username"@WorkSpaceIP

• Em Port (Porta), insira 22.• Para Connection type (Tipo de conexão), escolha SSH.

Para um exemplo do comando SSH, consulte a etapa 1 no procedimento anterior.3. Escolha Open.4. Quando solicitado, insira a mesma senha que você usa ao autenticar com o cliente do WorkSpaces

(sua senha do Active Directory).

42

Amazon WorkSpaces Guia de AdministraçãoConfiguração necessária

Configuração e componentes de serviçonecessários para o WorkSpaces

Como administrador de um WorkSpace, você deve compreender o seguinte sobre a configuraçãonecessária e os componentes de serviço.

Configuração obrigatória da tabela de roteamentoRecomendamos que você não modifique a tabela de roteamento no nível do sistema operacional paraum WorkSpace. O serviço WorkSpaces requer que as rotas pré-configuradas nesta tabela monitorem oestado do sistema e atualizem os componentes do sistema. Se forem necessárias alterações à tabela deroteamento para a sua organização, entre em contato com o AWS Support ou com sua equipe de conta daAWS antes de aplicar as alterações.

Componentes de serviço necessáriosNo Windows WorkSpaces, os componentes de serviço são instalados nos locais a seguir. Não exclua,altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, o WorkSpace não funcionarácorretamente.

Note

Se houver um software antivírus instalado no WorkSpace, exclua os seguintes locais.

• C:\Program Files\Amazon• C:\Program Files (x86)\Teradici• C:\ProgramData\Amazon• C:\ProgramData\Teradici

No Amazon Linux WorkSpaces, os componentes de serviço são instalados nos locais a seguir. Não exclua,altere, bloqueie ou coloque esses objetos quarentena. Se você fizer isso, o WorkSpace não funcionarácorretamente.

• /var/lib/skylight• /var/lib/pcoip-agent• /var/log/skylight• /var/log/pcoip-agent• /etc/pam.d/pcoip• /etc/pam.d/pcoip-session• /etc/X11/default-display-manager• /etc/os-release• /etc/profile.d/system-restart-check.sh• /etc/yum/pluginconf.d/halt_os_update_check.conf• /usr/lib/skylight• /usr/lib/pcoip-agent• /usr/lib/system.d/system/pcoip.service.d/• /usr/lib/system.d/system/pcoip.service• /usr/lib/system.d/system/skylight-agent.service• /usr/lib/yum-plugins/halt_os_update_check.p

43

Amazon WorkSpaces Guia de AdministraçãoRegistrar um diretório

Gerenciar diretórios para o AmazonWorkSpaces

O Amazon WorkSpaces usa um diretório para armazenar e gerenciar informações para seus WorkSpacese usuários. Você pode usar uma das opções a seguir:

• AD Connector — use seu Microsoft Active Directory existente no local. Os usuários podem entrarem seus WorkSpaces usando suas credenciais no local e acessar os recursos no local dos seusWorkSpaces.

• Microsoft AD — crie um Microsoft Active Directory hospedado na AWS.• Simple AD — crie um diretório compatível com o Microsoft Active Directory, com tecnologia Samba 4 e

hospedado na AWS.• Cross trust — crie um relacionamento de confiança entre o diretório do Microsoft AD e o seu domínio no

local.

Para assistir a tutoriais que demonstram como configurar esses diretórios e ativar os WorkSpaces,consulte Ativar um desktop virtual usando Amazon WorkSpaces (p. 61).

Depois de criar um diretório, você executará a maioria das tarefas de administração de diretório comferramentas como as ferramentas de administração do Active Directory. Você pode executar algumastarefas de administração de diretório usando o console do Amazon WorkSpaces e outras tarefas usandoPolítica de Grupo. Para obter mais informações sobre como gerenciar usuários e grupos, consulteGerenciar usuários de WorkSpaces (p. 73) e Configurar as ferramentas de administração do ActiveDirectory do Amazon WorkSpaces (p. 50).

Note

Diretórios compartilhados não são compatíveis com o WorkSpaces no momento.

Tópicos• Registrar um diretório com o Amazon WorkSpaces (p. 44)• Atualizar detalhes do diretório para os WorkSpaces (p. 45)• Excluir o diretório dos WorkSpaces (p. 48)• Habilitar o Amazon WorkDocs para o Microsoft Active Directory (p. 49)• Configurar as ferramentas de administração do Active Directory do Amazon WorkSpaces (p. 50)• Gerenciar WorkSpaces do Windows usando a política de grupo (p. 52)• Gerenciar WorkSpaces do Amazon Linux (p. 57)

Registrar um diretório com o Amazon WorkSpacesPara permitir que o Amazon WorkSpaces use um diretório do AWS Directory Service existente, você deveregistrá-lo com o Amazon WorkSpaces. Depois de registrar um diretório, você pode ativar os WorkSpacesno diretório.

44

Amazon WorkSpaces Guia de AdministraçãoAtualizar detalhes do diretório

Para registrar um diretório

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório.4. Escolha Ações, Registrar.5. Selecione duas sub-redes que não estejam na mesma zona de disponibilidade.6. Para Enable Self Service Permissions (Habilitar permissões de autoatendimento), selecione Yes

(Sim) para habilitar os usuários a recriar seus WorkSpaces, alterar o tamanho do volume, o tipo decomputação e o modo de execução. A habilitação pode afetar o quanto você paga pelo AmazonWorkSpaces. Caso contrário, selecione No (Não).

7. Em Ativar o Amazon WorkDocs, escolha Sim para registrar o diretório para usar com o AmazonWorkDocs ou Não para não usá-lo.

Note

Essa opção será exibida somente se o Amazon WorkDocs estiver disponível na região ese você não estiver usando o Microsoft Active Directory (AD). Se você estiver usando oMicrosoft AD, conclua o registro do diretório e consulte Habilitar o Amazon WorkDocs para oMicrosoft Active Directory (p. 49).

8. Escolha Register. Inicialmente, o valor de Registrado é REGISTERING. Depois de concluir o registro, ovalor é Yes.

Ao terminar de usar o diretório com o Amazon WorkSpaces, você pode cancelar o registro. Você devecancelar o registro de um diretório para poder excluí-lo. Se você quiser cancelar o registro e excluir umdiretório, é necessário primeiro localizar e remover todos os aplicativos e serviços que estão registradosno diretório. Para obter mais informações, consulte Excluir o diretório no AWS Directory ServiceAdministration Guide.

Para cancelar o registro de um diretório

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório.4. Escolha Ações, Cancelar registro.5. Quando a confirmação for solicitada, escolha Cancelar registro. Cancelado o registro, o valor de

Registrado é No.

Atualizar detalhes do diretório para os WorkSpacesVocê pode concluir as seguintes tarefas de gerenciamento de diretório usando o console do AmazonWorkSpaces.

Tarefas• Selecionar uma unidade organizacional (p. 46)• Configurar endereços IP automáticos (p. 46)• Controlar o acesso de dispositivos (p. 47)• Gerenciar permissões de administrador local (p. 47)• Atualizar a conta do AD Connector (AD Connector) (p. 48)• Multi-factor Authentication (AD Connector) (p. 48)

45


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html


Amazon WorkSpaces Guia de AdministraçãoSelecionar uma unidade organizacional

Selecionar uma unidade organizacionalAs contas da máquina de WorkSpace ficam na unidade organizacional (UO) padrão para o diretórioWorkSpaces. Inicialmente, as contas da máquina de WorkSpaces serão colocados na UO doscomputadores de seu diretório ou do diretório ao qual o AD Connector está conectado. Você podeselecionar outra UO em seu diretório ou no diretório conectado ou especificar um UO em outro domínio dedestino. Observe que você só pode selecionar uma UO por diretório.

Depois de selecionar uma nova UO, as contas de máquina para todos os WorkSpaces criados ourecriados após essa configuração ser alterada são colocadas na UO recém-selecionada.

Como selecionar uma unidade organizacional

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione seu diretório e escolha Ações, Atualizar detalhes.4. Expanda Domínio de destino e unidade organizacional.5. Para localizar uma UO, você pode digitar todo ou parte do nome da UO e escolher Pesquisar UO.

Você também pode escolher Listar todas as UOs para listar todas as unidades organizacionais.6. Selecione a UO e escolha Atualizar e sair.7. (Opcional) Reconstrua os WorkSpaces existentes para atualizar a UO. Para obter mais informações,

consulte Recriação de um WorkSpace (p. 89).

Como especificar um domínio de destino e uma unidade organizacional

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione seu diretório e escolha Ações, Atualizar detalhes.4. Expanda Domínio de destino e unidade organizacional.5. Em UO selecionada, digite o nome distinto LDAP completo para o domínio

de destino e a UO e, em seguida, escolha Atualizar e sair. Por exemplo,OU=WorkSpaces_machines,DC=machines,DC=example,DC=com.

6. (Opcional) Reconstrua os WorkSpaces existentes para atualizar a UO. Para obter mais informações,consulte Recriação de um WorkSpace (p. 89).

Configurar endereços IP automáticosDepois de habilitar a atribuição automática de endereços IP elásticos, a cada WorkSpace ativado éatribuído um endereço IP elástico (um endereço IP público estático) do grupo de endereços IP elásticosfornecido pela Amazon. Esses endereços IP elásticos permitem que os WorkSpaces em sub-redespúblicas acessem a Internet. Os WorkSpaces que já existiam antes da ativação da atribuição automáticanão recebem um endereço IP elástico até que sejam recriados.

Observe que não será necessário habilitar a atribuição automática de endereços IP elásticos se osWorkSpaces estiverem em sub-redes privadas e você tiver configurado um gateway NAT para a nuvemprivada virtual (VPC) ou se os WorkSpaces estiverem em sub-redes públicas e você tiver atribuídomanualmente endereços IP elásticos. Para obter mais informações, consulte Configurar uma VPC para oAmazon WorkSpaces (p. 8).

Warning

Se você associar um endereço IP elástico que possui a um WorkSpace e, depois, desassociaresse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereço IP público e não

46




Amazon WorkSpaces Guia de AdministraçãoControlar o acesso de dispositivos

obterá automaticamente um novo do grupo fornecido pela Amazon. Para associar um novoendereço IP público do grupo fornecido pela Amazon ao WorkSpace, é necessário recriar oWorkSpace (p. 89). Se você não quiser recriar o WorkSpace, será necessário associar outroendereço IP elástico que possui ao WorkSpace.

Como configurar endereços IP elásticos

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório dos WorkSpaces.4. Escolha Ações, Atualizar detalhes.5. Expanda Acesso à Internet e selecione Ativar ou Desativar.6. Escolha Update.

Controlar o acesso de dispositivosVocê pode especificar os tipos de dispositivos que têm acesso aos WorkSpaces. Além disso, você poderestringir o acesso aos WorkSpaces a dispositivos confiáveis (também conhecidos como dispositivosgerenciados).

Para controlar o acesso de dispositivos aos WorkSpaces

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório e escolha Ações, Atualizar detalhes.4. Expanda Opções de controle de acesso e encontre a seção Outras plataformas. Por padrão, o

WorkSpaces Web Access e os clientes Linux são desabilitados e os usuários podem acessar osWorkSpaces em dispositivos iOS, Android, Chromebooks e dispositivos PCoIP zero client.

5. Selecione os tipos de dispositivos a serem ativados e limpe os tipos de dispositivo a seremdesativados. Para bloquear o acesso de todos os tipos de dispositivo selecionados, escolha Bloquear.

6. (Opcional) Você também pode restringir o acesso a somente dispositivos confiáveis. Para obter maisinformações, consulte Restringir o acesso dos WorkSpaces a dispositivos confiáveis (p. 28).

7. Escolha Atualizar e sair.

Gerenciar permissões de administrador localVocê pode especificar se os usuários são administradores locais em seus WorkSpaces, o que permiteinstalar aplicativos e modificar configurações nos WorkSpaces. Os usuários são administradores locais porpadrão. Se você modificar essa configuração, a alteração se aplicará a todos os novos WorkSpaces quevocê criar e a todos que você recriar.

Para modificar permissões de administrador local

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione seu diretório e escolha Ações, Atualizar detalhes.4. Expanda Configuração do administrador local.5. Para garantir que os usuários sejam administradores locais, escolha Ativar. Caso contrário, escolha

Disable.

47




Amazon WorkSpaces Guia de AdministraçãoAtualizar a conta do AD Connector (AD Connector)

6. Escolha Atualizar e sair.

Atualizar a conta do AD Connector (AD Connector)Você pode atualizar a conta do AD Connector usada para ler usuários e grupos e inserir contas demáquina do Amazon WorkSpaces no seu diretório do AD Connector.

Para atualizar a conta do AD Connector

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione seu diretório e escolha Ações, Atualizar detalhes.4. Expanda Atualizar a conta do AD Connector.5. Digite o nome do usuário e a senha da nova conta.6. Escolha Update and Exit (Atualizar e sair).

Multi-factor Authentication (AD Connector)Você pode habilitar a Multi-factor Authentication para o seu diretório do AD Connector.

Como habilitar a autenticação multifator

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione seu diretório e escolha Ações, Atualizar detalhes.4. Expanda Multi-factor Authentication e, em seguida, selecione Ativar Multi-factor Authentication.5. Em Endereço(s) IP do servidor RADIUS, digite os endereços IP de seus endpoints do servidor

RADIUS separados por vírgulas ou digite o endereço IP do seu load balancer do servidor RADIUS.6. Em Porta, digite a porta que o servidor RADIUS está usando para comunicações. Sua rede no local

deve permitir tráfego de entrada pela porta do servidor RADIUS padrão (1812) do AD Connector.7. Em Código de segredo compartilhado e Confirmar código de segredo compartilhado, digite o código

de segredo compartilhado para o servidor RADIUS.8. Em Protocolo, escolha o protocolo para o seu servidor RADIUS.9. Em Tempo-limite do servidor, digite o tempo de espera, em segundos, para o servidor RADIUS

responder. Esse valor deve ser entre 1 e 20.10. Em Máximo de tentativas, digite o número de tentativas de comunicação com o servidor RADIUS.

Esse valor deve ser entre 0 e 10.11. Escolha Atualizar e sair.

A Multi-factor Authentication fica disponível quando o Status RADIUS está Ativado. Embora a Multi-factorAuthentication esteja sendo configurada, os usuários não podem fazer login nos seus WorkSpaces.

Excluir o diretório dos WorkSpacesSerá possível excluir o diretório dos seus WorkSpaces se ele não estiver mais sendo usado por outrosWorkSpaces ou aplicativos, como Amazon WorkDocs, Amazon WorkMail ou Amazon Chime. Você devecancelar o registro de um diretório para poder excluí-lo.

48



Amazon WorkSpaces Guia de AdministraçãoHabilitar o Amazon WorkDocs

para o Microsoft Active Directory

O que acontece quando um diretório é excluído

Quando um diretório do Simple AD ou AWS Directory Service for Microsoft Active Directory é excluído,todos os dados e snapshots do diretório são excluídos e não podem ser recuperados. Após a exclusão dodiretório, todas as instâncias agregadas ao diretório permanecem intactas. No entanto, você não pode usaras credenciais do diretório para fazer login nessas instâncias. Em tais instâncias, você deve fazer logincom uma conta de usuário local para a instância.

Quando um diretório do AD Connector é excluído, seu diretório local permanece intacto. Todas asinstâncias agregadas ao diretório também continuam intactas e permanecem agregadas ao diretório local.Você ainda pode usar as credenciais do diretório para fazer login nessas instâncias.

Como excluir um diretório

1. Exclua todos os WorkSpaces no diretório. Para obter mais informações, consulte Excluir umWorkSpace (p. 101).

2. Localize e remova todos os aplicativos e serviços registrados no diretório. Para obter maisinformações, consulte Excluir o diretório no AWS Directory Service Administration Guide.

3. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.4. No painel de navegação, escolha Diretórios.5. Selecione o diretório e escolha Ações, Cancelar o registro.6. Quando a confirmação for solicitada, escolha Cancelar registro.7. Selecione o diretório novamente e escolha Ações, Excluir.8. Quando a confirmação for solicitada, escolha Delete (Excluir).

Note

A remoção de atribuições de aplicativo às vezes pode levar mais tempo do que o esperado.Se você receber a seguinte mensagem de erro, verifique se removeu todas as atribuições deaplicativo e aguarde de 30 a 60 minutos antes de tentar excluir o diretório novamente:

An Error Has OccurredCannot delete the directory because it still has authorized applications. Additional directory details can be viewed at the Directory Service console.

9. (Opcional) Depois de excluir todos os recursos na rede virtual privada (VPC) para seu diretório, vocêpode excluir a VPC e liberar o endereço IP elástico usado para o gateway NAT. Para obter maisinformações, consulte Excluir a VPC e Trabalhar com endereços IP elásticos no Guia do usuário daAmazon VPC.

10. (Opcional) Para excluir todos os pacotes personalizados e imagens que não serão mais usados,consulte Excluir uma imagem ou um pacote personalizado de WorkSpaces (p. 116).

Habilitar o Amazon WorkDocs para o MicrosoftActive Directory

Se você estiver usando o Microsoft Active Directory (AD) com o Amazon WorkSpaces, poderá habilitar oAmazon WorkDocs para seu diretório por meio do console do Amazon WorkDocs ou do console do AWSDirectory Service.

Para habilitar o WorkDocs por meio do console do Amazon WorkDocs

1. Abra o console Amazon WorkDocs no https://console.aws.amazon.com/zocalo/.

49

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html


https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://console.aws.amazon.com/zocalo/

Amazon WorkSpaces Guia de AdministraçãoConfigurar a administração de diretório

2. Escolha Create a new WorkDocs Site (Criar novo site do WorkDocs).3. Em Standard Setup (Configuração padrão), escolha Launch (Iniciar).4. Selecione o diretório e crie o nome do site.5. Especifique o usuário que administrará o site do WorkDocs. Você pode usar o administrador ou

qualquer usuário criado no diretório.

Para obter mais informações, consulte Conceitos básicos do AWS Managed Microsoft AD no Guia deadministração do Amazon WorkDocs.

Para habilitar o WorkDocs por meio do console do AWS Directory Service

1. Abra o console do AWS Directory Service em https://console.aws.amazon.com/directoryservicev2/.2. No painel de navegação, selecione Directories (Diretórios).3. Na página Directories (Diretórios), escolha o diretório.4. Na página Directory details (Detalhes do diretório), selecione a guia Application management

(Gerenciamento de aplicativos).5. Na seção Application access URL (URL de acesso ao aplicativo), se um URL de acesso não tiver sido

atribuído ao diretório, o botão Create (Criar) será exibido. Digite um alias do diretório e escolha Create(Criar). Para obter mais informações, consulte Criação de um URL de acesso no AWS DirectoryService Administration Guide.

6. Na seção Application access URL (URL de acesso ao aplicativo), selecione Enable (Habilitar) parahabilitar o logon único do Amazon WorkDocs. Para obter mais informações, consulte Logon único noAWS Directory Service Administration Guide.

Configurar as ferramentas de administração doActive Directory do Amazon WorkSpaces

Você executará a maioria das tarefas administrativas para o seu diretório de WorkSpaces com ferramentasde gerenciamento de diretório, como as ferramentas de administração do Active Directory. No entanto,você usará o console do Amazon WorkSpaces para executar algumas tarefas relacionadas a diretórios.Para obter mais informações, consulte Gerenciar diretórios para o Amazon WorkSpaces (p. 44).

Se você criar um diretório com o Microsoft AD ou Simple AD que inclui cinco ou mais WorkSpaces,recomendamos centralizar a administração em uma instância do Amazon EC2. Embora seja possívelinstalar as ferramentas de gerenciamento de diretório em um WorkSpace, usar uma instância do AmazonEC2 é uma solução mais robusta.

Para configurar as ferramentas de administração do Active Directory

1. Ative uma instância do Windows e adicione-a ao seu diretório de WorkSpaces.

Você pode associar uma instância Windows do Amazon EC2 ao domínio do diretório ao ativar ainstância. Para obter mais informações, consulte Ingressar uma instância do Windows em um domíniodo AWS Directory Service no Guia do usuário do Amazon EC2 para instâncias do Windows.

Como alternativa, você pode associar a instância ao seu diretório manualmente. Para obter maisinformações, consulte Adicionar manualmente uma instância do Windows (Simple AD e Microsoft AD)no AWS Directory Service Administration Guide.

2. Instale as ferramentas de administração do Active Directory na instância. Para obter maisinformações, consulte Instalação das ferramentas de administração do Active Directory no AWSDirectory Service Administration Guide.

50

https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_microsoft.html

https://console.aws.amazon.com/directoryservicev2/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_create_access_url.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html

Amazon WorkSpaces Guia de AdministraçãoConfigurar a administração de diretório

3. Execute as ferramentas como um administrador do diretório da seguinte forma:

a. Abra as Ferramentas administrativas.b. Mantenha a tecla Shift pressionada, clique com o botão direito no atalho da ferramenta e

selecione Executar como outro usuário.c. Digite o nome do usuário e a senha do administrador. Com o Simple AD, o nome do usuário é

Administrator, e com o Microsoft AD, o administrador é Admin.

Agora você pode executar tarefas de administração de diretório usando as ferramentas do Active Directoryque você já conhece. Por exemplo, você pode usar a ferramenta Usuários e Computadores do ActiveDirectory para adicionar e remover usuários, promover a administrador do diretório ou redefinir a senha deum usuário. Observe que você deve estar conectado à sua instância do Windows como um usuário quetem permissões para gerenciar usuários no diretório.

Como promover um usuário a administrador de diretório

Note

Este procedimento se aplica somente a diretórios criados com o Simple AD, não o AWS ManagedAD. Para diretórios criados com o AWS Managed AD, consulte Gerenciar usuários e grupos noAWS Managed Microsoft AD no AWS Directory Service Administration Guide.

1. Abra a ferramenta Usuários e Computadores do Active Directory.2. Navegue até a pasta Usuários em seu domínio e selecione o usuário a ser promovido.3. Selecione Ação, Propriedades.4. Na caixa de diálogo de propriedades do usuário, escolha Membro de.5. Adicione o usuário aos seguintes grupos e selecione OK.

• Administrators• Domain Admins• Enterprise Admins• Group Policy Creator Owners• Schema Admins

Para adicionar ou remover usuários

É possível criar usuários usando o console do Amazon WorkSpaces somente durante o processo deexecução de um WorkSpace e não é possível excluir usuários usando o console do Amazon WorkSpaces.A maioria das tarefas de gerenciamento de usuários, incluindo o gerenciamento de grupos de usuários,devem ser realizadas por meio do diretório.

Important

Antes de remover um usuário, é necessário excluir o WorkSpace atribuído a ele. Para obter maisinformações, consulte Excluir um WorkSpace (p. 101).

O processo usado para gerenciar usuários e grupos depende de qual tipo de diretório você está usando.

• Se você estiver usando o AWS Managed Microsoft AD, consulte Gerenciar usuários e grupos no AWSManaged Microsoft AD no AWS Directory Service Administration Guide.

• Se você estiver usando o Simple AD, consulte Gerenciar usuários e grupos no Simple AD no AWSDirectory Service Administration Guide.

• Se você usar o Microsoft Active Directory por meio do AD Connector ou um relacionamento deconfiança, você pode gerenciar usuários e grupos usando o Active Directory.

51

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html

https://docs.microsoft.com/powershell/module/addsadministration/?view=win10-ps

Amazon WorkSpaces Guia de AdministraçãoGerenciar WorkSpaces do Windows

Para redefinir uma senha do usuário

Quando você redefinir a senha de um usuário existente, não defina Usuário deve alterar a senha nopróximo login. Caso contrário, os usuários não poderão se conectar aos seus WorkSpaces. Em vez disso,atribua uma senha temporária segura a cada usuário e instrua-os a alterá-la manualmente de dentro doWorkSpace na próxima vez que fizerem login.

Note

Se você estiver usando o AD Connector, seus usuários não poderão redefinir as próprias senhas.(A opção Esqueceu sua senha? na tela de login do aplicativo cliente do WorkSpaces não estarádisponível.)

Gerenciar WorkSpaces do Windows usando apolítica de grupo

Você pode usar Objetos de Política de Grupo (GPOs) e aplicar configurações para gerenciar WorkSpacesdo Windows ou usuários que fazem parte de seu diretório dos WorkSpaces do Windows.

Note

As instâncias do Linux não seguem a política de grupo. Para obter informações sobre ogerenciamento dos WorkSpaces do Amazon Linux, consulte Gerenciar WorkSpaces do AmazonLinux (p. 57).

É recomendável criar uma unidade organizacional para seus objetos de computador do WorkSpaces eoutra para seus objetos de usuário do WorkSpaces.

Warning

As configurações de Política de Grupo podem afetar a experiência dos usuários do WorkSpace daseguinte maneira:

• Algumas configurações de Política de Grupo forçam os usuários a fazer logoff quando eles sãodesconectados de uma sessão. Quaisquer aplicativos que os usuários tenham aberto em seusWorkSpaces são fechados.

• A implementação de uma mensagem de logon interativa para exibir um banner de logon impedeque os usuários consigam acessar os WorkSpaces. A configuração de política de grupo demensagem de logon interativa não é compatível com o Amazon WorkSpaces atualmente.

• Desabilitar o armazenamento removível por meio das configurações de Política de Grupo causauma falha de login que faz com que os usuários sejam conectados a um perfil temporário semacesso à unidade D.

• As configurações de política de grupo podem ser usadas para restringir o acesso à unidade. Sevocê definir as configurações de Política de Grupo para restringir o acesso à unidade C ou àunidade D, os usuários não poderão acessar seus WorkSpaces. Para evitar que esse problemaocorra, verifique se os usuários podem acessar as unidades C e D.

Para obter informações sobre como usar as ferramentas de administração do Active Directory paratrabalhar com GPOs, consulte Configurar as ferramentas de administração do Active Directory do AmazonWorkSpaces (p. 50).

Tópicos• Instalar o modelo administrativo de políticas de grupo (p. 53)

52

Amazon WorkSpaces Guia de AdministraçãoInstalar o modelo administrativo de políticas de grupo

• Configurar o suporte à impressora local para WorkSpaces do Windows (p. 53)• Ativar ou desativar o redirecionamento da área de transferência para WorkSpaces do

Windows (p. 55)• Defina o tempo limite para retomar sessão dos WorkSpaces do Windows (p. 56)• Desativar o redirecionamento do fuso horário para WorkSpaces do Windows (p. 56)• Definir o tempo de vida máximo para um tíquete Kerberos (p. 57)

Instalar o modelo administrativo de políticas de grupoPara usar as configurações de política de grupo específicas do Amazon WorkSpaces, você deve instalaro modelo administrativo de políticas de grupo. Execute o procedimento a seguir em um WorkSpace deadministração de diretório ou uma instância do Amazon EC2 que esteja associada ao seu diretório doWorkSpaces.

Como instalar o modelo administrativo de políticas de grupo

1. Em um WorkSpace do Windows em execução, faça uma cópia do arquivo pcoip.adm no diretório C:\Program Files (x86)\Teradici\PCoIP Agent\configuration.

2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 que estejaassociada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo(gpmc.msc) e navegue até a unidade organizacional no domínio que contém suas contas de máquinado WorkSpaces.

3. Abra o menu de contexto (clique com o botão direito do mouse) da unidade organizacional da contada máquina e escolha Criar um GPO neste domínio e vinculá-lo aqui.

4. Na caixa de diálogo Novo GPO, digite um nome descritivo para o GPO, como WorkSpaces MachinePolicies (Políticas da máquina de WorkSpaces), e deixe GPO de Início de Origem definido como(nenhum). Escolha OK.

5. Abra o menu de contexto (clique com o botão direito do mouse) do novo GPO e selecione Editar.6. No Editor de gerenciamento de Política de grupo, escolha Configuração do computador, Políticas e

Modelos administrativos. Escolha Ação, Adicionar/remover modelos no menu principal.7. Na caixa de diálogo Adicionar/remover modelos, escolha Adicionar, selecione o arquivo pcoip.adm

copiado anteriormente e, em seguida, escolha Abrir, Fechar.8. Feche o editor de gerenciamento de políticas de grupo. Agora você pode usar esse GPO para

modificar as configurações de políticas de grupo específicas para o Amazon WorkSpaces.

Configurar o suporte à impressora local paraWorkSpaces do WindowsPor padrão, o Amazon WorkSpaces habilita a impressão remota básica, com recursos de impressãolimitados, pois usa um driver de impressora genérico no lado do host para garantir a impressão compatível.

A impressão remota avançada para clientes Windows permite que você use recursos específicosda impressora, como impressão de dois lados, mas exige a instalação do driver de impressoracorrespondente no lado do host.

A impressão remota é implementada como um canal virtual. Se os canais virtuais estiverem desabilitados,a impressão remota não funcionará.

Para WorkSpaces do Windows, você pode usar as configurações da política de grupo para configurar osuporte à impressora, se necessário.

53

Amazon WorkSpaces Guia de AdministraçãoConfigurar o suporte à impressora

local para WorkSpaces do Windows

Como configurar o suporte à impressora

1. Certifique-se de que o modelo administrativo de políticas de grupo do Amazon WorkSpaces (p. 53)mais recente esteja instalado em seu domínio.

2. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 que estejaassociada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo(gpmc.msc), navegue até o GPO do WorkSpaces e selecione-o para suas contas de máquina doWorkSpaces. Escolha Action (Ação), Edit (Editar) no menu principal.

3. No Editor de gerenciamento de políticas de grupo, escolha Computer Configuration (Configuraçãodo computador), Policies (Políticas), Administrative Templates (Modelos administrativos), ClassicAdministrative Templates (Modelos administrativos clássicos), PCoIP Session Variables (Variáveis desessão de PCoIP) e Overridable Administrator Defaults (Padrões de administrador substituíveis).

4. Abra a configuração Configure remote printing (Configurar impressão remota).5. Na caixa de diálogo Configure remote printing (Configurar impressão remota), execute um dos

seguintes procedimentos:• Para permitir a impressão remota avançada, selecione Enabled (Habilitado) e, em Options

(Opções), Configure remote printing (Configurar impressão remota), selecione Basic andAdvanced printing for Windows clients (Impressão básica e avançada para clientes Windows).Para usar automaticamente a impressora padrão do computador cliente, selecione Automaticallyset default printer (Definir impressora padrão automaticamente).

• Para desabilitar a impressão, selecione Enabled (Habilitado) e, em Options (Opções), Configureremote printing (Configurar impressão remota), selecione Printing disabled (Impressãodesabilitada).

6. Escolha OK.7. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do

WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de políticade grupo, execute um destes procedimentos:

• Reinicie o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace e escolhaActions (Ações), Reboot WorkSpaces (Reiniciar WorkSpaces)).

• Em um prompt de comando administrativo, digite gpupdate /force.

Por padrão, o redirecionamento automático da impressora local é desabilitado. Você pode usar asconfigurações de políticas de grupo para habilitar esse recurso para que sua impressora local seja definidacomo a impressora padrão sempre que você se conectar ao WorkSpace.

Note

O redirecionamento à impressora local não está disponível para os WorkSpaces do AmazonLinux.

Como ativar o redirecionamento automático da impressora local




54

Amazon WorkSpaces Guia de AdministraçãoAtivar ou desativar o redirecionamento da áreade transferência para WorkSpaces do Windows

4. Abra a configuração Configure remote printing (Configurar impressão remota).5. Selecione Enabled (Habilitado) e, em Options (Opções), Configure remote printing (Configurar

impressão remota), escolha entre Basic and Advanced printing for Windows clients (Impressão básicae avançada para clientes Windows) ou Basic printing (Impressão básica). Selecione Automatically setdefault printer (Definir impressora padrão automaticamente) e OK.

6. A alteração da configuração da política de grupo entra em vigor após a próxima atualização doWorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de políticade grupo, execute um destes procedimentos:



Ativar ou desativar o redirecionamento da área detransferência para WorkSpaces do WindowsPor padrão, o Amazon WorkSpaces oferece suporte ao redirecionamento da área de transferência. Casoseja necessário para WorkSpaces do Windows, você pode usar as configurações da política de grupo paradesabilitar esse recurso.

Para habilitar ou desabilitar o redirecionamento da área de transferência




4. Abra a configuração Configurar redirecionamento da área de transferência.5. Na caixa de diálogo Configure clipboard redirection (Configurar redirecionamento da área de

transferência), selecione Enabled (Habilitado) e escolha uma das configurações a seguir paradeterminar a direção na qual redirecionamento da área de transferência é permitido. Quando tiverconcluído, selecione OK.

• Desabilitado em ambas as direções• Apenas agente para cliente habilitado (WorkSpace para computador local)• Apenas cliente para agente habilitado (computador local para WorkSpace)• Habilitado em ambas as direções




Limitação conhecida

55

Amazon WorkSpaces Guia de AdministraçãoDefina o tempo limite para retomar

sessão dos WorkSpaces do Windows

Com o redirecionamento da área de transferência habilitado no WorkSpace, se você copiar conteúdo commais de 890 KB de um aplicativo do Microsoft Office, o aplicativo poderá ficar lento ou não responder poraté 5 segundos.

Defina o tempo limite para retomar sessão dosWorkSpaces do WindowsAo usar as aplicações cliente do Amazon WorkSpaces, uma interrupção na conectividade de rede causaa desconexão de uma sessão ativa. Isso pode ser causado por eventos como o fechamento a tampa donotebook ou a perda de sua conexão de rede sem fio. Os aplicativos cliente do Amazon WorkSpacespara Windows e macOS tentarão reconectar a sessão automaticamente se a conectividade de redefor restabelecida durante um período específico. O tempo limite padrão para retomada de sessão é 20minutos, mas você pode modificar esse valor para WorkSpaces que são controlados pelas configuraçõesde políticas de grupo do domínio.

Com definir o valor de tempo limite de retomada de sessão automático



3. No Editor de gerenciamento de Política de grupo, escolha Configuração do computador, Políticas,Modelos administrativos, Modelos administrativos clássicos e Variáveis de sessão de PCoIP.

Para permitir que o usuário substitua a configuração, escolha Overridable Administrator Defaults(Padrões de administrador substituíveis). Caso contrário, escolha Not Overridable AdministratorDefaults (Padrões de administrador não substituíveis).

4. Abra a configuração Configurar política de reconexão automática de sessão.5. Na caixa de diálogo Configurar política de reconexão automática de sessão, escolha Ativado, defina

a opção Configurar política de reconexão automática de sessão como o tempo limite desejado, emminutos, e escolha OK.




Desativar o redirecionamento do fuso horário paraWorkSpaces do WindowsPor padrão, a hora no WorkSpace é definida para espelhar o fuso hora do cliente que está sendo usadopara se conectar ao WorkSpace. Esse comportamento é controlado por meio do redirecionamento do fusohorário. Talvez você queira desativar a direção do fuso horário por diversos motivos:

• A sua empresa quer que todos os funcionários trabalhem em um determinado fuso horário (mesmo quealguns funcionários estejam em outros fusos horários).

• Você tem tarefas agendadas em um WorkSpace que devem executadas em um determinado horário emum fuso horário específico.

56

Amazon WorkSpaces Guia de AdministraçãoDefinir o tempo de vida máximo para um tíquete Kerberos

• Os usuários que viajam muito querem manter os WorkSpaces em um mesmo fuso horário por motivosde consistência e preferência pessoal.

Caso seja necessário para WorkSpaces do Windows, você pode usar as configurações da política degrupo para desabilitar esse recurso.

Como desativar a direção do fuso horário

1. Em um WorkSpace de administração de diretório ou uma instância do Amazon EC2 que estejaassociada ao seu diretório do WorkSpaces, abra a ferramenta Gerenciamento de Política de Grupo(gpmc.msc), navegue até um GPO no nível de domínio ou controlador de domínio do diretório usadopara seus WorkSpaces e selecione-o. (Se você tem o modelo administrativo da política de grupo doAmazon WorkSpaces (p. 53) instalado no domínio, você poderá usar o GPO dos WorkSpaces paraas contas de máquina dos WorkSpaces.)

2. Escolha Action (Ação), Edit (Editar) no menu principal.3. No Editor de Gerenciamento de Política de Grupo, escolha Configuração do Computador, Políticas,

Modelos Administrativos, Componentes do Windows, Serviços de Área de Trabalho Remota, Host deSessão da Área de Trabalho Remota e Redirecionamento de Dispositivo e Recurso.

4. Abra a configuração Permitir redirecionamento de fuso horário.5. Na caixa de diálogo Permitir redirecionamento do fuso horário, escolha Desativada e OK.6. A alteração da configuração da política de grupo entra em vigor após a próxima atualização do

WorkSpace e após a sessão do WorkSpace ter sido reiniciada. Para aplicar as alterações de políticade grupo, execute um destes procedimentos:


• Em um prompt de comando administrativo, digite gpupdate /force.7. Defina o fuso horário dos WorkSpaces de acordo com o fuso horário desejado.

O fuso horário dos WorkSpaces agora é estático e não mais espelha o fuso horário das máquinas clientes.

Definir o tempo de vida máximo para um tíqueteKerberosSe você não tiver desabilitado o recurso Remember Me (Lembrar de mim) dos WorkSpaces do Windows,os usuários de WorkSpace poderão usar a caixa de seleção Remember Me (Lembrar de mim) no aplicativocliente dos WorkSpaces para salvar suas credenciais. Esse recurso permite que os usuários se conectemfacilmente aos WorkSpaces enquanto o aplicativo cliente permanece em execução. As credenciais sãoarmazenadas em cache com segurança até o tempo de vida máximo dos tíquetes Kerberos.

Se o WorkSpace usar um diretório do AD Connector, você poderá modificar o tempo de vida máximo dostíquetes Kerberos para os usuários dos WorkSpaces por meio da política de grupos seguindo as etapasem Tempo de vida máximo para um tíquete de usuário na documentação do Microsoft Windows.

Para habilitar ou desabilitar o recurso Remember Me (Lembrar de mim), consulte Habilitar recursos degerenciamento de autoatendimento para seus usuários do WorkSpace (p. 76).

Gerenciar WorkSpaces do Amazon LinuxComo ocorre com os WorkSpaces do Windows, os WorkSpaces do Amazon Linux são associados aodomínio, permitindo que você use usuários e grupos do Active Directory para:

57

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket

Amazon WorkSpaces Guia de AdministraçãoControle o comportamento do agente

PCoIP nos WorkSpaces do Amazon Linux

• Administrar seus WorkSpaces do Amazon Linux• Fornecer acesso a esses WorkSpaces para usuários

Como as instâncias do Linux não seguem a política de grupo, recomendamos que você use uma soluçãode gerenciamento de configuração para distribuir e aplicar a política. Por exemplo, é possível usar AWSOpsworks for Chef Automate, AWS OpsWorks for Puppet Enterprise ou Ansible.

Controle o comportamento do agente PCoIP nosWorkSpaces do Amazon LinuxO comportamento do agente PCoIP é controlado pelas definições de configuração no arquivo pcoip-agent.conf, que está localizado no diretório /etc/pcoip-agent/. Para implantar e aplicar asalterações à política, use uma solução de gerenciamento de configuração que seja compatível com oAmazon Linux. Todas as alterações entram em vigor quando o agente é iniciado. Quando você reinicia oagente, todas as conexões abertas são encerradas, e o gerenciador de janelas é reiniciado. Para obteruma lista completa das configurações disponíveis, execute man pcoip-agent.conf do terminal emqualquer WorkSpace do Amazon Linux.

Ativar ou desativar o redirecionamento da área detransferência para WorkSpaces do Amazon LinuxPor padrão, o Amazon WorkSpaces oferece suporte ao redirecionamento da área de transferência. Use aconfiguração do agente PCoIP para desativar esse recurso, se necessário.

Para ativar ou desativar o redirecionamento da área de transferência para WorkSpaces doAmazon Linux

1. Abra o arquivo pcoip-agent.conf em um editor com direitos elevados usando o seguinte comando.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Adicione a linha a seguir ao final do arquivo.

pcoip.server_clipboard_state = X

Onde os possíveis valores de X são:

0 — Desativado nas duas direções

1 — Ativado nas duas direções

2 — Ativado somente no cliente para agente

3 — Ativado somente no agente para cliente

Conceda acesso por SSH aos administradores deWorkSpaces do Amazon LinuxPor padrão, somente contas e usuários atribuídos no grupo Domain Admins podem se conectar aWorkSpaces do Amazon Linux usando o SSH.

58

https://aws.amazon.com/opsworks/chefautomate/

https://aws.amazon.com/opsworks/chefautomate/

https://aws.amazon.com/opsworks/puppetenterprise/

https://www.ansible.com/

Amazon WorkSpaces Guia de AdministraçãoSubstituir o shell padrão para WorkSpaces do Amazon Linux

Recomendamos que você crie um grupo de administradores dedicados para os administradores deWorkSpaces do Amazon Linux no Active Directory.

Para ativar o acesso sudo para membros do grupo Linux_Workspaces_Admins do Active Directory

1. Edite o arquivo sudoers usando visudo, conforme mostrado no exemplo a seguir:

[example\username@workspace-id ~]$ sudo visudo

2. Adicione a seguinte linha.

%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

Depois de criar o grupo de administradores dedicados, siga estas etapas para ativar o login para osmembros do grupo.

Para ativar o login para membros do grupo Linux_WorkSpaces_Admins do Active Directory

1. Edite /etc/security/access.conf com direitos elevados.

[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf

2. Adicione a seguinte linha.

+:(example\Linux_WorkSpaces_Admins):ALL

Para obter mais informações sobre como habilitar conexões SSH, consulte Habilitar conexões SSH a seusWorkSpaces do Linux (p. 39).

Substituir o shell padrão para WorkSpaces do AmazonLinuxPara substituir o shell padrão para WorkSpaces do Linux, recomendamos que você edite o arquivo~/.bashrc do usuário. Por exemplo, para usar Z shell em vez do shell Bash, adicione as seguinteslinhas a /home/username/.bashrc.

export SHELL=$(which zsh)[ -n "$SSH_TTY" ] && exec $SHELL

Proteger repositórios personalizados contra acessonão autorizadoPara controlar o acesso aos seus repositórios personalizados, recomendamos usar os recursos desegurança integrados na Amazon Virtual Private Cloud (Amazon VPC) em vez de usar senhas. Porexemplo, use listas de controle de acesso (ACLs) de rede e grupos de segurança. Para obter maisinformações sobre esses recursos, consulte Segurança no Guia do usuário da Amazon VPC.

Se você deve usar senhas para proteger seus repositórios, certifique-se de criar arquivos de definição derepositório yum conforme mostrado em Arquivos de definição de repositório na documentação do Fedora.

59

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html

https://docs.fedoraproject.org/en-US/Fedora_Core/3/html/Software_Management_Guide/sn-writing-repodefs.html

Amazon WorkSpaces Guia de AdministraçãoUse o repositório da Biblioteca de extras do Amazon Linux

Use o repositório da Biblioteca de extras do AmazonLinuxCom o Amazon Linux, você pode usar a Biblioteca de extras para instalar atualizações de aplicativo esoftware em suas instâncias. Para obter informações sobre como usar a Biblioteca de extras, consulteBiblioteca de extras (Amazon Linux) no Guia do usuário do Amazon EC2 para instâncias do Linux.

Note

Se você usa o repositório do Amazon Linux, os WorkSpaces do Amazon Linux devem ter acessoà Internet ou você deve configurar endpoints da nuvem privada virtual (VPC) para esse repositórioe para o repositório principal do Amazon Linux. Para obter mais informações, consulte Forneceracesso à Internet a partir de seu WorkSpace (p. 30).

60

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#extras-library

Amazon WorkSpaces Guia de AdministraçãoIniciar usando o Microsoft AD gerenciado pela AWS

Ativar um desktop virtual usandoAmazon WorkSpaces

Com o Amazon WorkSpaces, você pode provisionar desktops virtuais do Microsoft Windows ou doAmazon Linux baseados em nuvem para seus usuários, conhecidos como WorkSpaces.

O Amazon WorkSpaces usa um diretório para armazenar e gerenciar informações para seus WorkSpacese usuários. Você pode realizar uma das seguintes ações:

• Crie um diretório do Simple AD.• Crie um AWS Directory Service para Microsoft Active Directory, também conhecido como Microsoft AD

gerenciado pela AWS.• Conecte-se a um Microsoft Active Directory existente usando o Active Directory Connector.• Crie uma relação de confiança entre o diretório do Microsoft AD gerenciado pela AWS e o domínio no

local.

Os tutoriais a seguir mostram como iniciar um WorkSpace usando as opções de serviço de diretório comsuporte.

Tutoriais• Iniciar um WorkSpace usando o Microsoft AD gerenciado pela AWS (p. 61)• Ativar um WorkSpace usando o Simple AD (p. 64)• Ativar um WorkSpace usando o AD Connector (p. 67)• Ativar um WorkSpace usando um domínio confiável (p. 70)

Iniciar um WorkSpace usando o Microsoft ADgerenciado pela AWS

O Amazon WorkSpaces permite provisionar desktops Windows virtuais, baseados em nuvem, para seususuários, conhecidos como WorkSpaces.

O Amazon WorkSpaces usa diretórios para armazenar e gerenciar informações para seus WorkSpaces eusuários. Para seu diretório, você pode escolher entre o Simple AD, o AD Connector ou o AWS DirectoryService para o Microsoft Active Directory, também conhecido como Microsoft AD gerenciado pela AWS.Além disso, você pode estabelecer um relacionamento de confiança entre o diretório do Microsoft ADgerenciado pela AWS e o domínio no local.

Neste tutorial, iniciamos um WorkSpace que usa o Microsoft AD gerenciado pela AWS. Para tutoriais queusam as outras opções, consulte Ativar um desktop virtual usando Amazon WorkSpaces (p. 61).

Tarefas• Antes de começar (p. 62)

61

Amazon WorkSpaces Guia de AdministraçãoAntes de começar

• Etapa 1: criar um diretório do Microsoft AD gerenciado pela AWS (p. 62)• Etapa 2: criar um WorkSpace (p. 63)• Etapa 3: Conecte-se ao WorkSpace (p. 63)• Próximas etapas (p. 64)

Antes de começar• O Amazon WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveis

e selecione uma região para seus WorkSpaces. Para obter mais informações sobre as regiõescompatíveis, consulte Definição de preço do Amazon WorkSpaces por região da AWS.

• Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. O pacote é uma combinaçãode sistema operacional e recursos de armazenamento, computação e software. Para obter maisinformações, consulte Pacotes do Amazon WorkSpaces.

• Ao criar um diretório usando o AWS Directory Service ou ativar um WorkSpace, você deve criar ouselecionar uma Virtual Private Cloud configurada com uma sub-rede pública e duas sub-redes privadas.Para obter mais informações, consulte Configurar uma VPC para o Amazon WorkSpaces (p. 8).

Etapa 1: criar um diretório do Microsoft AD gerenciadopela AWSPrimeiro, crie um diretório do Microsoft AD gerenciado pela AWS. O AWS Directory Service cria doisservidores de diretório, um em cada uma das sub-redes privadas de sua VPC. Observe que inicialmentenão há usuários no diretório. Você adicionará um usuário na próxima etapa ao ativar o WorkSpace.

Para criar um diretório do Microsoft AD gerenciado pela AWS

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Escolha Configurar diretório, Criar Microsoft AD.4. Configure o diretório da seguinte forma:

a. Em Organization name (Nome da organização), insira um nome de organização exclusivopara o seu diretório (por exemplo, my-demo-directory). Esse nome deve ter pelo menos quatrocaracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com umcaractere diferente de um hífen.

b. Em Directory DNS (DNS do diretório), insira o nome do diretório totalmente qualificado (porexemplo, workspaces.demo.com).

c. Em NetBIOS name (Nome NetBIOS), insira um nome curto para o diretório (por exemplo,workspaces).

d. Em Admin password (Senha do administrador) e Confirm password (Confirmar senha), insira umasenha para a conta do administrador do diretório. Para obter mais informações sobre os requisitosde senha, consulte Criar um diretório do Microsoft AD gerenciado pela AWS no AWS DirectoryService Administration Guide.

e. (Opcional) Em Description (Descrição), insira uma descrição para a política.f. Em VPC, selecione a VPC que você criou.g. Em Sub-redes, selecione as duas sub-redes privadas (com os blocos CIDR 10.0.1.0/24 e

10.0.2.0/24).h. Escolha Next Step.

5. Escolha Criar Microsoft AD.

62




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html

Amazon WorkSpaces Guia de AdministraçãoEtapa 2: criar um WorkSpace

6. Escolha Concluído. O status inicial do diretório é Creating. Quando a criação de diretórios estivercompleta, o status será Active.

Etapa 2: criar um WorkSpaceAgora que você criou um diretório do Microsoft AD gerenciado pela AWS, já pode criar um WorkSpace.

Para criar um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Escolha Ativar WorkSpaces.4. Na página Selecionar um diretório, escolha o diretório criado e, em seguida, selecione Próxima etapa.

O Amazon WorkSpaces registra seu diretório.5. Na página Identificar usuários, adicione um novo usuário ao seu diretório da seguinte forma:

a. Preencha o Nome do usuário, Nome, Sobrenome e E-mail. Use um endereço de e-mail ao qualvocê tenha acesso.

b. Escolha Criar usuários.c. Escolha Next Step.

6. Na página Selecionar pacote, selecione um pacote e, em seguida, escolha Próxima etapa.7. Na página Configuração de WorkSpaces, escolha um modo de execução e selecione Próxima etapa.8. Na página Revisar e ativar WorkSpaces, escolha Ativar WorkSpaces. O status inicial do WorkSpace

é PENDING. Ao terminar de ativar os WorkSpaces, o status é AVAILABLE e um convite é enviado aoendereço de e-mail que você especificou para o usuário.

Etapa 3: Conecte-se ao WorkSpaceDepois de receber o e-mail de convite, você pode se conectar ao seu WorkSpace usando o cliente de suaescolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.


1. Abra o link no e-mail de convite. Quando solicitado, especifique uma senha e ative o usuário. Lembre-se dessa senha, pois você precisará dela para fazer login em seu WorkSpace.

Note

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres. Assenhas devem conter pelo menos um caractere de três das seguintes categorias: letrasminúsculas (a – z), letras maiúsculas (A – Z), números (0 – 9) e ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Quando solicitado, faça download de um dos aplicativos cliente ou, para WorkSpaces do Windows,inicie o Web Access.

Note

Não é possível usar um navegador da web para se conectar aos WorkSpaces do AmazonLinux.


3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar.

63




Amazon WorkSpaces Guia de AdministraçãoPróximas etapas

4. Quando solicitado a fazer login, insira o nome do usuário e a senha e escolha Sign In (Fazer login).5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Sim.

Próximas etapasVocê pode continuar a personalizar o WorkSpace que acabou de criar. Por exemplo, é possível instalaro software e, em seguida, criar um pacote personalizado do seu WorkSpace. Se você terminar o trabalhocom o WorkSpace, poderá excluí-lo. Para obter mais informações, consulte a documentação a seguir.

• Criar uma imagem e um pacote personalizados de WorkSpaces (p. 102)• Administrar seus WorkSpaces (p. 79)• Gerenciar diretórios para o Amazon WorkSpaces (p. 44)• Excluir um WorkSpace (p. 101)

Ativar um WorkSpace usando o Simple ADO Amazon WorkSpaces permite provisionar desktops Microsoft Windows virtuais, baseados em nuvem,para seus usuários, conhecidos como WorkSpaces.


Neste tutorial, ativamos um WorkSpace que usa o Simple AD. Para tutoriais que usam as outras opções,consulte Ativar um desktop virtual usando Amazon WorkSpaces (p. 61).

Tarefas• Antes de começar (p. 64)• Etapa 1: Criar um diretório do Simple AD (p. 65)• Etapa 2: criar um WorkSpace (p. 65)• Etapa 3: Conecte-se ao WorkSpace (p. 66)• Próximas etapas (p. 67)

Antes de começar• O Simple AD não está disponível em todas as regiões. Verifique as regiões compatíveis e selecione

uma região para seu diretório do Simple AD. Para obter mais informações sobre as regiões compatíveis,consulte a tabela Simple AD em AWS Directory Service.

• O Amazon WorkSpaces não está disponível em todas as regiões. Verifique as regiões compatíveise selecione uma região para seus WorkSpaces. Para obter mais informações sobre as regiõescompatíveis, consulte Definição de preço do Amazon WorkSpaces por região da AWS.


• Ao criar um diretório usando o AWS Directory Service ou ativar um WorkSpace, você deve criar ouselecionar uma Virtual Private Cloud configurada com uma sub-rede pública e duas sub-redes privadas.Para obter mais informações, consulte Configurar uma VPC para o Amazon WorkSpaces (p. 8).

64

https://docs.aws.amazon.com/general/latest/gr/rande.html#ds_region



Amazon WorkSpaces Guia de AdministraçãoEtapa 1: Criar um diretório do Simple AD

Etapa 1: Criar um diretório do Simple ADCrie um diretório do Simple AD. O AWS Directory Service cria dois servidores de diretório, um em cadauma das sub-redes privadas de sua VPC. Observe que inicialmente não há usuários no diretório. Vocêadicionará um usuário na próxima etapa ao criar o WorkSpace.

Para criar um diretório do Simple AD

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Escolha Configurar diretório, Criar Simple AD.4. Configure o diretório da seguinte forma:

a. Em Organization name (Nome da organização), insira um nome de organização exclusivo paraseu diretório (por exemplo, my-example-directory). Esse nome deve ter pelo menos quatrocaracteres, conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com umcaractere diferente de um hífen.

b. Em Directory DNS (DNS do diretório), insira o nome do diretório totalmente qualificado (porexemplo, example.com).

c. Em NetBIOS name (Nome NetBIOS), insira um nome curto para o diretório (por exemplo,example).

d. Em Admin password (Senha do administrador) e Confirm password (Confirmar senha), insirauma senha para a conta do administrador do diretório. Para obter mais informações sobre osrequisitos de senha, consulte Como criar um diretório do Microsoft AD no AWS Directory ServiceAdministration Guide.

e. (Opcional) Em Description (Descrição), insira uma descrição para a política.f. Mantenha Tamanho do diretório como Pequeno.g. Em VPC, selecione a VPC que você criou.h. Em Sub-redes, selecione as duas sub-redes privadas (com os blocos CIDR 10.0.1.0/24 e

10.0.2.0/24).i. Escolha Next Step.

5. Escolha Criar Simple AD.6. Escolha Concluído. O status inicial do diretório é Requested e, em seguida, Creating. Quando a

criação de diretórios estiver completa, o status será Active.

Criação de diretórios

O Amazon WorkSpaces executa as seguintes tarefas em seu nome:

• Cria uma função do IAM para permitir que o serviço Amazon WorkSpaces crie interfacesde rede elásticas e liste seus diretórios do Amazon WorkSpaces. Essa função tem o nomeworkspaces_DefaultRole.

• Configura um diretório do Simple AD na VPC que é usado para armazenar informações do usuário edo WorkSpace. O diretório tem uma conta de administrador com o nome de usuário Administrador e asenha especificada.

• Cria dois security groups, um para controladores do diretório e outro para os WorkSpaces no diretório.

Etapa 2: criar um WorkSpaceAgora você está pronto para ativar o WorkSpace.

65



Amazon WorkSpaces Guia de AdministraçãoEtapa 3: Conecte-se ao WorkSpace

Para criar um WorkSpace para um usuário

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Escolha Ativar WorkSpaces.4. Na página Selecionar um diretório, faça o seguinte:

a. Em Diretório, escolha o diretório que você criou.b. Em Ativar o Amazon WorkDocs, selecione Sim.

Note

Essa opção só estará disponível se o Amazon WorkDocs estiver disponível na regiãoselecionada.

c. Selecione Próximo. O Amazon WorkSpaces registra seu diretório do Simple AD.5. Na página Identificar usuários, adicione um novo usuário ao seu diretório da seguinte forma:

a. Preencha o Nome do usuário, Nome, Sobrenome e E-mail. Use um endereço de e-mail ao qualvocê tenha acesso.

b. Escolha Criar usuários.c. Escolha Next Step.

6. Na página Selecionar pacote, selecione um pacote e, em seguida, escolha Próxima etapa.7. Na página Configuração de WorkSpaces, escolha um modo de execução e selecione Próxima etapa.8. Na página Revisar e ativar WorkSpaces, escolha Ativar WorkSpaces. O status inicial do WorkSpace

é PENDING. Ao terminar de ativar os WorkSpaces, o status é AVAILABLE e um convite é enviado aoendereço de e-mail que você especificou para o usuário.

Etapa 3: Conecte-se ao WorkSpaceDepois de receber o e-mail de convite, você pode se conectar ao seu WorkSpace usando o cliente de suaescolha. Depois de fazer login, o cliente exibe o desktop WorkSpace.


1. Abra o link no e-mail de convite. Quando solicitado, insira uma senha e ative o usuário. Lembre-sedessa senha, pois você precisará dela para fazer login em seu WorkSpace.

Note

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres.As senhas devem conter pelo menos um caractere de quatro das seguintes categorias:letras minúsculas (a – z), letras maiúsculas (A – Z), números (0 – 9) e ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access.


3. Inicie o cliente, digite o código de registro do e-mail de convite e selecione Registrar.4. Quando solicitado a fazer login, insira o nome do usuário e a senha e escolha Sign In (Fazer login).5. (Opcional) Quando solicitado a salvar suas credenciais, escolha Sim.

66







Ativar um WorkSpace usando o AD ConnectorO Amazon WorkSpaces permite provisionar desktops Microsoft Windows virtuais, baseados em nuvem,para seus usuários, conhecidos como WorkSpaces.


Neste tutorial, ativamos um WorkSpace que usa o AD Connector. Para tutoriais que usam as outrasopções, consulte Ativar um desktop virtual usando Amazon WorkSpaces (p. 61).

Tarefas• Antes de começar (p. 67)• Etapa 1: Criar um AD Connector (p. 68)• Etapa 2: criar um WorkSpace (p. 68)• Etapa 3: Conecte-se ao WorkSpace (p. 69)• Próximas etapas (p. 69)




• Crie uma Virtual Private Cloud com pelo menos duas sub-redes privadas. A VPC deve estar conectadaà sua rede no local por meio de uma conexão de rede privada virtual (VPN) ou AWS Direct Connect.Para obter mais informações, consulte os Pré-requisitos do AD Connector no AWS Directory ServiceAdministration Guide.

• Conceda acesso à Internet no WorkSpace. Para obter mais informações, consulte Fornecer acesso àInternet a partir de seu WorkSpace (p. 30).

67



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html

Amazon WorkSpaces Guia de AdministraçãoEtapa 1: Criar um AD Connector

Etapa 1: Criar um AD ConnectorComo criar um AD Connector

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Escolha Configurar diretório, Criar AD Connector.4. Em Organization name (Nome da organização), insira um nome de organização exclusivo para seu

diretório (por exemplo, my-example-directory). Esse nome deve ter pelo menos quatro caracteres,conter apenas caracteres alfanuméricos e hífens (-) e começar ou terminar com um caractere diferentede um hífen.

5. Em Connected directory DNS (DNS do diretório conectado), insira o nome de seu diretório localtotalmente qualificado (por exemplo, example.com).

6. Em Connected directory NetBIOS name (Nome NetBIOS do diretório conectado), insira o nome curtode seu diretório local (por exemplo, example).

7. Em Connector account username (Nome do usuário da conta do Connector), insira o nome de usuáriode um usuário em seu diretório local. O usuário deve ter permissões para ler usuários e grupos, criarobjetos de computador e inserir computadores no domínio.

8. Em Connector account password (Senha da conta do Connector) e Confirm password (Confirmarsenha), insira a senha para a conta de usuário local.

9. Em DNS address (Endereço DNS), insira o endereço IP de pelo menos um servidor DNS em seudiretório local.

10. (Opcional) Em Description (Descrição), insira uma descrição para a política.11. Mantenha Tamanho como Pequeno.12. Em VPC, selecione sua VPC.13. Em Sub-redes, selecione as sub-redes. Os servidores DNS que você especificou devem ser

acessíveis em cada sub-rede.14. Escolha Next Step.15. Escolha Criar AD Connector. A conexão do diretório leva vários minutos. O status inicial do diretório é

Requested e, em seguida, Creating. Quando a criação de diretórios estiver completa, o status seráActive.

Etapa 2: criar um WorkSpaceAgora você está pronto para ativar os WorkSpaces para um ou mais usuários em seu diretório no local.

Como iniciar um WorkSpace para um usuário existente

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Escolha Ativar WorkSpaces.4. Em Diretório, escolha o diretório que você criou.5. (Opcional) Se esta for a primeira vez que você executa um WorkSpace nesse diretório, e o Amazon

WorkDocs for compatível na região, você poderá habilitar ou desabilitar o Amazon WorkDocspara todos os usuários no diretório. Para obter mais informações, consulte Ajuda do cliente desincronização do Amazon WorkDocs no Guia de administração do Amazon WorkDocs.

6. Selecione Próximo. O Amazon WorkSpaces registra seu AD Connector.

68



https://docs.aws.amazon.com/workdocs/latest/userguide/sync_client_help.html

https://docs.aws.amazon.com/workdocs/latest/userguide/sync_client_help.html

Amazon WorkSpaces Guia de AdministraçãoEtapa 3: Conecte-se ao WorkSpace

7. Selecione um ou mais usuários existentes do seu diretório no local. Não adicione novos usuários a umdiretório no local por meio do console do Amazon WorkSpaces.

Para encontrar os usuários a serem selecionados, insira todo o nome ou parte do nome do usuárioe escolha Search (Pesquisar) ou Show All Users (Mostrar todos os usuários). Observe que não épossível selecionar um usuário que não tenha um endereço de e-mail.

Depois de selecionar os usuários, escolha Adicionar selecionado e, em seguida, escolha Próximaetapa.

8. Em Selecionar pacote, escolha o pacote padrão do WorkSpace para ser usado nos WorkSpaces. EmAtribuir pacotes de WorkSpaces, você pode escolher outro pacote para um WorkSpace individual, senecessário. Quando terminar, escolha Próxima etapa.

9. Escolha um modo de execução para os seus WorkSpaces e selecione Próxima etapa. Para obter maisinformações, consulte Gerenciar o modo de execução do WorkSpace (p. 79).

10. Escolha Ativar WorkSpaces. O status inicial do WorkSpace é PENDING. Quando a ativação estiverconcluída, o status será AVAILABLE.

11. Envie convites para o endereço de e-mail de cada usuário. (Esses convites não serão enviadosautomaticamente se você estiver usando o AD Connector.) Para obter mais informações, consulteEnviar um convite por e-mail (p. 74).

Etapa 3: Conecte-se ao WorkSpaceVocê pode se conectar ao seu WorkSpace usando o cliente de sua escolha. Depois de fazer login, ocliente exibe o desktop WorkSpace.


1. Abra o link no e-mail de convite.2. Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access.



Note

Como você está usando o AD Connector, seus usuários não poderão redefinir suas própriassenhas. (A opção Esqueceu sua senha? na tela de login do aplicativo cliente do WorkSpaces nãoestará disponível.) Para obter informações sobre como redefinir senhas de usuários, consulteConfigurar as ferramentas de administração do Active Directory do Amazon WorkSpaces (p. 50).


• Criar uma imagem e um pacote personalizados de WorkSpaces (p. 102)• Administrar seus WorkSpaces (p. 79)

69



Amazon WorkSpaces Guia de AdministraçãoAtivar usando um domínio confiável

• Gerenciar diretórios para o Amazon WorkSpaces (p. 44)• Excluir um WorkSpace (p. 101)

Ativar um WorkSpace usando um domínio confiávelO Amazon WorkSpaces permite provisionar desktops Microsoft Windows virtuais, baseados em nuvem,para seus usuários, conhecidos como WorkSpaces.


Neste tutorial, ativamos um WorkSpace que usa um relacionamento de confiança. Para tutoriais que usamas outras opções, consulte Ativar um desktop virtual usando Amazon WorkSpaces (p. 61).

Tarefas• Antes de começar (p. 70)• Etapa 1: Estabelecer um relacionamento de confiança (p. 70)• Etapa 2: criar um WorkSpace (p. 71)• Etapa 3: Conecte-se ao WorkSpace (p. 71)• Próximas etapas (p. 72)



• Ao ativar um WorkSpace, você deve selecionar um pacote do WorkSpace. Pacote é uma combinação derecursos de armazenamento, computação e software. Para obter mais informações, consulte Pacotes doAmazon WorkSpaces.

Etapa 1: Estabelecer um relacionamento de confiançaPara configurar o relacionamento de confiança

1. Configure o Microsoft AD gerenciado pela AWS na sua virtual private cloud (VPC). Para obter maisinformações, consulte Criar um diretório do Microsoft AD gerenciado pela AWS no AWS DirectoryService Administration Guide.

2. Crie uma relação de confiança entre o Microsoft AD gerenciado pela AWS e o domínio no local.Verifique se a confiança está configurada bidirecionalmente. Para obter mais informações, consulteTutorial: Criar uma relação de confiança entre o Microsoft AD gerenciado pela AWS e o domínio nolocal no AWS Directory Service Administration Guide.

É necessária uma confiança bidirecional para que as credenciais no local possam ser usadas para fazer ogerenciamento e a autenticação com o WorkSpaces, e para que ele possa ser provisionado para usuáriose grupos no local.

70





https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html

Amazon WorkSpaces Guia de AdministraçãoEtapa 2: criar um WorkSpace

Etapa 2: criar um WorkSpaceDepois de estabelecer uma relação de confiança entre o Microsoft AD gerenciado pela AWS e o domíniono local do Microsoft Active Directory, você pode provisionar o WorkSpaces para usuários no domíniolocal.

Observe que você deve garantir que as configurações do GPO sejam replicadas entre domínios antes deaplicá-las ao Amazon WorkSpaces.

Como iniciar o WorkSpaces para usuários em um domínio local confiável

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Escolha Ativar WorkSpaces.4. Na página Selecionar um diretório, escolha o diretório recém-registrado e, em seguida, selecione

Próxima etapa.5. Na página Identificar usuários, faça o seguinte:

a. Em Selecionar confiança da floresta, selecione o relacionamento de confiança que você criou.b. Selecione os usuários no domínio no local e, em seguida, escolha Adicionar selecionado.c. Escolha Next Step.

6. Selecione o pacote a ser usado nos WorkSpaces e, em seguida, escolha Próxima etapa.7. Escolha o modo de execução, escolha as configurações de criptografia e configure as tags. Quando

terminar, escolha Próxima etapa.8. Escolha Ativar WorkSpaces. Observe que pode levar até 20 minutos para os WorkSpaces se tornarem

disponíveis e até 40 minutos se a criptografia estiver habilitada. O status inicial do WorkSpace éPENDING. Quando a ativação estiver concluída, o status será AVAILABLE.

9. Envie convites para o endereço de e-mail de cada usuário. Para obter mais informações, consulteEnviar um convite por e-mail (p. 74).

Etapa 3: Conecte-se ao WorkSpaceDepois de receber o e-mail de convite, você pode se conectar ao seu WorkSpace. Os usuários poderãoinserir os nomes de usuário como username, corp\username ou corp.example.com\username).


1. Abra o link no e-mail de convite. Quando solicitado, insira uma senha e ative o usuário. Lembre-sedessa senha, pois você precisará dela para fazer login em seu WorkSpace.

Note

As senhas diferenciam maiúsculas de minúsculas e devem ter entre 8 e 64 caracteres. Assenhas devem conter pelo menos um caractere de três das seguintes categorias: letrasminúsculas (a – z), letras maiúsculas (A – Z), números (0 – 9) e ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Quando solicitado, faça download de um dos aplicativos clientes ou ative o Web Access.



71







72

Amazon WorkSpaces Guia de AdministraçãoGerenciar usuários de WorkSpaces

Administrar usuários do WorkSpaceA cada WorkSpace é atribuído um único usuário e não pode ser compartilhado por vários usuários. Porpadrão, somente um WorkSpace por usuário por diretório é permitido.

Tópicos• Gerenciar usuários de WorkSpaces (p. 73)• Criar vários WorkSpaces para um usuário (p. 74)• Personalizar como os usuários fazem login nos WorkSpaces (p. 75)• Habilitar recursos de gerenciamento de autoatendimento para seus usuários do WorkSpace (p. 76)

Gerenciar usuários de WorkSpacesComo administrador do Amazon WorkSpaces, é possível executar as tarefas a seguir para gerenciarusuários do WorkSpaces.

Edição das informações do usuárioVocê pode usar o console do Amazon WorkSpaces para editar as informações de usuário de umWorkSpace.

Note

Esse recurso estará disponível somente se você usar o AWS Managed Microsoft AD ou o SimpleAD. Se você usar o Microsoft Active Directory por meio do AD Connector ou um relacionamentode confiança, você pode gerenciar usuários e grupos usando o Active Directory.

Como editar as informações do usuário

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione um usuário e escolha Ações, Editar usuário.4. Atualize os campos Nome, Sobrenome e E-mail, conforme necessário.5. Escolha Update (Atualizar).

Adicionar ou excluir usuáriosÉ possível criar usuários usando o console do Amazon WorkSpaces somente durante o processo deexecução de um WorkSpace e não é possível excluir usuários usando o console do Amazon WorkSpaces.A maioria das tarefas de gerenciamento de usuários, incluindo o gerenciamento de grupos de usuários,devem ser realizadas por meio do diretório.

Como adicionar ou excluir usuários e grupos

Para adicionar, excluir ou gerenciar usuários e grupos, é necessário fazer isso em todo o diretório. Vocêexecutará a maioria das tarefas administrativas para o seu diretório de WorkSpaces com ferramentasde gerenciamento de diretório, como as ferramentas de administração do Active Directory. Para obtermais informações, consulte Configurar as ferramentas de administração do Active Directory do AmazonWorkSpaces (p. 50).

73



Amazon WorkSpaces Guia de AdministraçãoEnviar um convite por e-mail

Important

Antes de remover um usuário, é necessário excluir o WorkSpace atribuído a ele. Para obter maisinformações, consulte Excluir um WorkSpace (p. 101).

O processo usado para gerenciar usuários e grupos depende de qual tipo de diretório você está usando.

• Se você estiver usando o AWS Managed Microsoft AD, consulte Gerenciar usuários e grupos no AWSManaged Microsoft AD no AWS Directory Service Administration Guide.

• Se você estiver usando o Simple AD, consulte Gerenciar usuários e grupos no Simple AD no AWSDirectory Service Administration Guide.

• Se você usar o Microsoft Active Directory por meio do AD Connector ou um relacionamento deconfiança, você pode gerenciar usuários e grupos usando o Active Directory.

Enviar um convite por e-mailVocê pode enviar um convite por e-mail a um usuário manualmente, se necessário.

Note

Se você estiver usando o AD Connector, os e-mails de boas-vindas não serão enviadosautomaticamente para os usuários, portanto, será necessário enviá-los manualmente.

Como reenviar um convite por e-mail

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Na página WorkSpaces, use a caixa de pesquisa para pesquisar o usuário ao qual você deseja

enviar um convite e selecione o WorkSpace correspondente nos resultados da pesquisa. É possívelselecionar apenas um WorkSpace por vez.

4. Escolha Actions (Ações), Invite User (Convidar usuário).5. Copie o texto do corpo do e-mail e cole em um e-mail para o usuário usando a sua própria aplicação

de e-mail. É possível modificar o corpo do texto, se desejar. Quando o convite por e-mail estiverpronto, envie-o para o usuário.

Criar vários WorkSpaces para um usuárioPor padrão, você pode criar apenas um WorkSpace por usuário por diretório. No entanto, se necessário,você poderá criar mais de um WorkSpace para um usuário, dependendo da configuração do diretório.

• Se você tiver apenas um diretório para seus WorkSpaces, crie vários nomes de usuário para o usuário.Por exemplo, uma usuária chamada Mary Major pode ter mmajor1, mmajor2 e assim por diante comonomes de usuário. Cada nome de usuário será associado a um WorkSpace diferente no mesmodiretório, mas os WorkSpaces terão o mesmo código de registro.

• Se você tiver vários diretórios para seus WorkSpaces, crie os WorkSpaces para o usuário em diretóriosseparados. Você pode usar o mesmo nome de usuário ou nomes de usuário diferentes nos diretórios.Os WorkSpaces terão códigos de registro diferentes.

Tip

Talvez você queira usar o mesmo endereço de e-mail com cada nome de usuário para poderlocalizar facilmente todos os WorkSpaces criados para um usuário.

74



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html



Amazon WorkSpaces Guia de AdministraçãoPersonalizar como os usuários fazem login nos WorkSpaces

Para alternar entre os WorkSpaces, o usuário faz login com o nome de usuário e o código de registroassociados a um determinado Workspace. Se o usuário estiver usando uma versão 3.0+ dos aplicativoscliente de WorkSpaces para Windows, macOS ou Linux, o usuário poderá atribuir nomes diferentes aosWorkSpaces acessando Configurações, Gerenciar informações de login no aplicativo cliente.

Personalizar como os usuários fazem login nosWorkSpaces

Personalize o acesso de seus usuários aos WorkSpaces usando identificadores de recursos uniformes(URIs) para proporcionar uma experiência de login simplificada que se integra aos fluxos de trabalhoexistentes em sua organização. Por exemplo, gere automaticamente URIs de login que registram seususuários usando o código de registro do WorkSpaces. Como resultado:

• Os usuários podem ignorar o processo de registro manual.• Seus nomes de usuário serão automaticamente inseridos na página de login do cliente do WorkSpaces.• Se a autenticação multifator (MFA) for usada em sua organização, os nomes de usuário e os códigos de

MFA serão inseridos automaticamente na página de login do cliente.

Você pode configurar o acesso de URI aos WorkSpaces para aplicativos clientes nos seguintesdispositivos compatíveis:

• Computadores Windows• Computadores macOS• Computadores Ubuntu Linux 18.04• iPads• Dispositivos Android

Para usar URIs a fim de acessar seus WorkSpaces, os usuários devem primeiro instalar o aplicativo clientepara seus dispositivos abrindo https://clients.amazonworkspaces.com/ e seguindo as instruções.

O acesso de URI tem suporte nos navegadores Firefox e Chrome em computadores Windows e macOS,no navegador Firefox em computadores Ubuntu Linux 18.04 e nos navegadores Internet Explorer eMicrosoft Edge em computadores Windows. Para obter mais informações sobre clientes do WorkSpaces,consulte Clientes do Amazon WorkSpaces no Guia do usuário do Amazon WorkSpaces.

Note

Em dispositivos Android, o acesso ao URI funciona apenas com o navegador Firefox e não com onavegador Google Chrome.

Para configurar o acesso de URI aos WorkSpaces, use qualquer um dos formatos de URI descritos natabela a seguir.

Note

Se o componente de dados de seu URI incluir qualquer um dos seguintes caracteres reservados,recomendamos usar a codificação em percentual no componente de dados para evitarambiguidade:@ : / ? & =Por exemplo, se tiver nomes de usuário que incluam qualquer um desses caracteres, você deverácodificar em percentual esses nomes de usuário em seu URI. Para obter mais informações,consulte Uniform Resource Identifier (URI): Generic Syntax.

75



https://www.rfc-editor.org/rfc/rfc3986.txt

Amazon WorkSpaces Guia de AdministraçãoHabilitar recursos de gerenciamento de

autoatendimento para seus usuários do WorkSpace

Sintaxe não compatível Descrição

workspaces:// Abre o aplicativo cliente do WorkSpaces. (Observação: nãohá suporte para o uso de workspaces:// por si só no aplicativocliente Linux.)

workspaces://@registrationcode Registra um usuário usando seu código de registro doWorkSpaces. Também exibe a página de login do cliente.

workspaces://username@registrationcode

Registra um usuário usando seu código de registro doWorkSpaces. Também insere automaticamente o nome deusuário no campo username na página de login do cliente.

workspaces://username@registrationcode?MFACode=mfa

Registra um usuário usando seu código de registro doWorkSpaces. Também insere automaticamente o nome deusuário no campo username (nome de usuário) e o código deautenticação multifator (MFA) no campo MFA code (CódigoMFA) na página de login do cliente.

workspaces://@registrationcode?MFACode=mfa

Registra um usuário usando seu código de registro doWorkSpaces. Também insere automaticamente o código deautenticação multifator (MFA) no campo MFA code (CódigoMFA) na página de login do cliente.

Note

Se os usuários abrirem um link de URI quando já estiverem conectados a um WorkSpace usandoum cliente Windows, uma nova sessão do WorkSpaces será aberta, e sua sessão original doWorkSpaces permanecerá aberta Se os usuários abrirem um link de URI quando estiveremconectados a um WorkSpace usando um cliente macOS, iPad ou Android, nenhuma nova sessãoserá aberta; somente a sessão original do WorkSpaces permanecerá aberta.

Habilitar recursos de gerenciamento deautoatendimento para seus usuários do WorkSpace

No Amazon WorkSpaces, você pode habilitar os recursos de gerenciamento de autoatendimento para osseus usuários do WorkSpace para fornecer mais controle sobre sua experiência. Ele também pode reduzira carga de trabalho para a equipe de suporte de TI para o Amazon WorkSpaces. Ao habilitar recursosde autoatendimento, é possível permitir que os usuários executem uma ou mais das seguintes tarefasdiretamente no cliente Windows, macOS ou Linux para o Amazon WorkSpaces:

• Armazene em cache as credenciais dos usuários no seu cliente. Com isso, eles podem se reconectar aoWorkSpace sem precisar digitar as credenciais novamente.

• Reinicie seu WorkSpace.• Aumente o tamanho dos volumes raiz e do usuário no WorkSpace.• Altere o tipo de computação (pacote) do WorkSpace.• Alterne o modo de execução do WorkSpace.• Recrie o WorkSpace.

Para habilitar um ou mais desses recursos para seus usuários, execute as etapas a seguir.

76



Para habilitar recursos de gerenciamento de autoatendimento para seus usuários

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório e escolha Ações, Atualizar detalhes.4. Expanda User Self-Service Permissions (Permissões de autoatendimento do usuário). Habilite ou

desabilite as seguintes opções, conforme necessário para determinar as tarefas de gerenciamento doWorkSpace que os usuários podem executar no cliente:

• Remember me (Lembrar de mim) — os usuários podem escolher se devem armazenar em cachesuas credenciais no cliente marcando a caixa de seleção Remember me (Lembrar de mim) ouKeep me logged in (Mantenha-me conectado) na tela de login. As credenciais são armazenadas emcache na RAM apenas. Quando os usuários optam por armazenar as credenciais em cache, elespodem reconectar aos WorkSpaces sem precisar digitar novamente as informações de login. Paracontrolar por quanto tempo os usuários podem armazenar em cache suas credenciais, consulteDefinir o tempo de vida máximo para um tíquete Kerberos (p. 57).

• Restart WorkSpace from client (Reiniciar WorkSpace a partir do cliente) — Os usuários podemreiniciar o WorkSpace. A reinicialização desconecta o usuário do WorkSpace, desliga-o e reinicia-o.Os dados de usuário, o sistema operacional e as configurações do sistema não são afetados.

• Increase volume size (Aumentar volume) — Os usuários podem aumentar o volume raiz noWorkSpace para um tamanho específico sem precisar contatar o suporte de TI. Os usuários podemaumentar o tamanho do volume raiz (para Windows, a unidade C:; para Linux, /) até 175 GB e otamanho do volume do usuário (para Windows, unidade D:; para Linux, /home) até 100 GB. A raize os volumes do usuário do WorkSpace estão grupos definidos que não podem ser alterados. Osgrupos disponíveis são [Raiz(GB), Usuário(GB)]: [80, 10], [80, 50], [80, 100], [175 a 2.000, 100 a2.000]. Para obter mais informações, consulte Modificar um WorkSpace (p. 80).

Para um WorkSpace recém-criado, os usuários devem esperar 6 horas antes de poder aumentaro tamanho dessas unidades. Depois disso, eles podem solicitar aumento uma vez em um períodode 6 horas. Enquanto o aumento de volume está em andamento, os usuários podem executar amaioria das tarefas no WorkSpace. As tarefas que eles não pode executar são: alterar o tipo decomputação do WorkSpace, alternar o modo de execução do WorkSpace, reiniciar o WorkSpace ourecriar o WorkSpace. Quando o processo for finalizado, o WorkSpace deverá ser reinicializado paraque as alterações entrem em vigor. Esse processo pode levar até uma hora.

Note

Se os usuários aumentam o volume no WorkSpace, aumentarão a taxa de faturamentopara o WorkSpace.

• Change compute type (Alterar tipo de computação) — Os usuários podem alternar entre os tiposde computação (pacotes) do WorkSpace. Para um WorkSpace recém-criado, os usuários devemesperar 6 horas para que possam alternar para outro pacote. Depois disso, eles podem mudarpara um pacote maior somente uma vez em um período de 6 horas, ou para um pacote menor umavez em um período de 30 dias. Quando uma alteração do tipo de computação do WorkSpace estáem andamento, os usuários são desconectados do WorkSpace, e não podem usar ou alterar oWorkSpace. O WorkSpace é reinicializado automaticamente durante o processo de alteração dotipo de computação. Esse processo pode levar até uma hora.

Note

Se os usuários alterarem o tipo de computação do WorkSpace, isso alterará a taxa defaturamento para o WorkSpace.

• Switch running mode (Alternar modo de execução) — os usuários podem alternar a conta doWorkSpace entre os modos de execução AlwaysOn (Sempre ligado) e AutoStop (Interrupçãoautomática). Para obter mais informações, consulte Gerenciar o modo de execução doWorkSpace (p. 79).

77




Note

Se os usuários alterarem o modo de exibição do WorkSpace, alterarão a taxa defaturamento para o WorkSpace.

• Rebuild WorkSpace from client (Recriar WorkSpace do cliente) – os usuários podem recriaro sistema operacional de um WorkSpace para seu estado original. Quando um WorkSpace érecriado, o volume do usuário (D:) é recriado a partir do backup mais recente. Como os backups sãoconcluídos a cada 12 horas, os dados dos usuários podem ter até 12 horas. Para um WorkSpacerecém-criado, os usuários devem esperar 12 horas para que possam recriar o WorkSpace. Quandouma recriação do WorkSpace está em andamento, os usuários são desconectados do WorkSpace enão podem usar ou fazer alterações no WorkSpace. Esse processo pode levar até uma hora.

5. Selecione Update (Atualizar) ou Update and Exit (Atualizar e sair).

78

Amazon WorkSpaces Guia de AdministraçãoGerenciar o modo de execução

Administrar seus WorkSpacesVocê pode administrar seus WorkSpaces usando o console do Amazon WorkSpaces.

Tópicos• Gerenciar o modo de execução do WorkSpace (p. 79)• Modificar um WorkSpace (p. 80)• Marcar recursos do WorkSpaces (p. 83)• Manutenção do WorkSpace (p. 84)• WorkSpaces criptografados (p. 85)• Reinicie um WorkSpace (p. 89)• Recriação de um WorkSpace (p. 89)• Restaurar um WorkSpace (p. 90)• Atualização do Windows 10 BYOL WorkSpaces (p. 91)• Migrar um WorkSpace (p. 97)• Excluir um WorkSpace (p. 101)

Gerenciar o modo de execução do WorkSpaceO modo de execução de um WorkSpace determina sua disponibilidade imediata e como você paga por ele.Você pode escolher entre os seguintes modos de execução ao criar o WorkSpace:

• AlwaysOn — use quando estiver pagando uma taxa fixa mensal para uso ilimitado dos WorkSpaces.Esse modo é melhor para usuários que usam o WorkSpace em tempo integral como a principal área detrabalho.

• AutoStop — use quando estiver pagando pelos WorkSpaces por hora. Com esse modo, os WorkSpacesparam após um determinado período de inatividade, e o estado dos aplicativos e dos dados é salvo.Para definir o tempo de interrupção automática, use Hora de AutoStop (horas).

Quando possível, o estado da área de trabalho é salvo no volume raiz do WorkSpace. O WorkSpacereinicia quando um usuário faz login e todos os documentos abertos e programas em execuçãoretornam ao estado salvo.

Para obter mais informações, consulte a Definição de preço do Amazon WorkSpaces.

Modificar o modo de execuçãoVocê pode alternar entre os modos de execução a qualquer momento.

Para modificar o modo de execução de um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione o WorkSpace para modificar e escolha Actions (Ações), Modify Running Mode Properties

(Modificar propriedades do modo de execução).

79



Amazon WorkSpaces Guia de AdministraçãoParar e iniciar um WorkSpace AutoStop

4. Selecione o novo modo de execução, AlwaysOn ou AutoStop e, em seguida, escolha Modificar.

Parar e iniciar um WorkSpace AutoStopQuando seus WorkSpaces de AutoStop não estão em uso, eles são automaticamente interrompidosapós um período de inatividade especificado e a medição por hora é suspensa. Para otimizar aindamais os custos, você pode suspender as cobranças por hora associadas a WorkSpaces de AutoStop. OWorkSpace será interrompido, e todos os aplicativos e dados serão salvos para a próxima vez que umusuário fizer login no WorkSpace.

Note

O Amazon WorkSpaces só pode detectar inatividade quando os usuários usam clientes doAmazon WorkSpaces. Se os usuários estão usando clientes de terceiros, é possível que oAmazon WorkSpaces não consiga detectar inatividade e, portanto, o WorkSpace pode não pararautomaticamente e a medição pode não ser suspensa.

Quando um usuário se conectar novamente a um WorkSpace interrompido, ele será retomado no pontoem que parou, normalmente em menos de 90 segundos.

Você pode reiniciar WorkSpaces de AutoStop que estão disponíveis ou em estado de erro.

Como interromper um WorkSpace de AutoStop

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione o WorkSpace a ser interrompido e escolha Actions (Ações), Stop WorkSpaces (Parar

WorkSpaces).4. Quando a confirmação for solicitada, escolha Parar.

Como iniciar um WorkSpace de AutoStop

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione os WorkSpaces a serem iniciados e escolha Ações, Iniciar WorkSpaces.4. Quando a confirmação for solicitada, escolha Iniciar.

Para remover os custos de infraestrutura fixos associados a WorkSpaces AutoStop, remova o WorkSpaceda sua conta. Para obter mais informações, consulte Excluir um WorkSpace (p. 101).

Modificar um WorkSpaceDepois de iniciar um WorkSpace, é possível modificar a configuração de duas maneiras:

• Você pode alterar o tamanho de seu volume raiz (para Windows, unidade C; para Linux, /) e seu volumede usuário (para Windows, unidade D; para Linux /home).

• Você pode alterar seu tipo de computação para selecionar um novo pacote.

O estado de modificação atual de um WorkSpace é exibido na configuração State (Estado) no consoledo Amazon WorkSpaces. Os possíveis valores para State (Estado) são Modifying Compute (Modificarcomputação), Modifying Storage (Modificar armazenamento) e None (Nenhum).

80



Amazon WorkSpaces Guia de AdministraçãoAlterar tamanhos de volume

Se você quiser modificar um WorkSpace, ele deverá ter um status de AVAILABLE ou STOPPED. Aomodificar o tamanho do volume, não é possível alterar o tipo de computação ao mesmo tempo e vice-versa.

Alterar o tamanho do volume ou o tipo de computação de um WorkSpace alterará a taxa de faturamento doWorkSpace.

Para permitir que os usuários modifiquem os volumes e os tipos de computação, consulte Habilitarrecursos de gerenciamento de autoatendimento para seus usuários do WorkSpace (p. 76).

Alterar tamanhos de volumeVocê pode aumentar o tamanho da raiz e os volumes do usuário para um WorkSpace em até 2000 GBcada um. A raiz e os volumes do usuário do WorkSpace estão grupos definidos que não podem seralterados. Os grupos disponíveis são:

[Raiz (GB), Usuário (GB)]

[80, 10]

[80, 50]

[80, 100]

[175 a 2000, 100 a 2000]

É possível expandir os volumes raiz e do usuário, sejam eles criptografados ou não, e é possível expandirambos os volumes uma vez em um período de 6 horas. No entanto, não é possível aumentar o tamanhodos volumes raiz e do usuário ao mesmo tempo. Para obter mais informações, consulte Limitações paraaumentar volumes (p. 81).

Note

Ao expandir um volume para um WorkSpace, o Amazon WorkSpaces ampliará automaticamentea partição do volume no Windows ou no Linux. Quando o processo for finalizado, será necessárioreinicializar o WorkSpace para que as alterações entrem em vigor.

Para garantir que os dados sejam preservados, não é possível diminuir o tamanho da raiz e os volumes dousuário ou depois que você iniciar um WorkSpace. Em vez disso, certifique-se de especificar os tamanhosmínimos para esses volumes ao iniciar um WorkSpace. É possível iniciar um WorkSpace Value, Standard,Performance, Power ou PowerPro com no mínimo 80 GB para o volume raiz e 10 GB para o volume dousuário. É possível iniciar um WorkSpace Graphics ou GraphicsPro com no mínimo 100 GB para o volumeraiz e 100 GB para o volume do usuário.

Enquanto o aumento do tamanho em disco do WorkSpace está em andamento, os usuários podemexecutar a maioria das tarefas no WorkSpace. No entanto, eles não podem alterar o tipo de computaçãodo WorkSpace, alternar o modo de execução do WorkSpace, recriar o WorkSpace nem reiniciar oWorkSpace.

O processo de aumento do tamanho em disco pode levar até uma hora.

Limitações para aumentar volumes

• É possível redimensionar somente volumes SSD.• Ao iniciar um WorkSpace, é necessário aguardar seis horas para poder modificar os tamanhos de seus

volumes.

81

Amazon WorkSpaces Guia de AdministraçãoAlterar tipos de pacote

• Não é possível aumentar o tamanho dos volumes raiz e do usuário ao mesmo tempo. Para aumentar ovolume raiz, é necessário primeiro alterar o volume do usuário para 100 GB. Depois que essa alteraçãofor feita, será possível atualizar o volume raiz para qualquer valor entre 175 e 2.000 GB. Depois queo volume raiz foi alterado para qualquer valor entre 175 e 2.000 GB, é possível atualizar o volume dousuário ainda mais, para qualquer valor entre 100 e 2.000 GB.

Note

Se você quiser aumentar os dois volumes, é necessário esperar 20 a 30 minutos para que aprimeira operação seja concluída antes de iniciar a segunda operação.

• A menos que o WorkSpace seja um WorkSpace Graphics ou GraphicsPro, o volume raiz não pode serinferior a 175 GB quando o volume do usuário é de 100 GB. Os WorkSpaces Graphics e GraphicsPropodem ter os volumes raiz e do usuário definidos para 100 GB no mínimo.

• Se o volume do usuário for 50 GB, não será possível atualizar o volume raiz para qualquer valor que nãoseja 80 GB. Se o volume raiz for 80 GB, o volume do usuário só poderá ser 10, 50 ou 100 GB.

Como alterar os tamanhos de volume de um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione o WorkSpace e escolha Actions, Modify WorkSpace.4. Para aumentar o tamanho do volume raiz ou do volume do usuário, escolha Modify Volume Sizes

(Modificar tamanhos de volume) e insira o novo valor.5. Selecione Modify.6. Quando o aumento do tamanho em disco for finalizado, será necessário reiniciar o

WorkSpace (p. 89) para que as alterações entrem em vigor. Para evitar a perda de dados, ousuário deve salvar todos os arquivos abertos antes de reiniciar o WorkSpace.

Alterar tipos de pacoteVocê pode alternar um WorkSpace entre os pacotes Value, Standard, Performance, Power e PowerPro.Quando você solicita uma troca de pacote, o Amazon WorkSpaces reinicia o WorkSpace usando onovo pacote. O Amazon WorkSpaces preserva o sistema operacional, os aplicativos, os dados e asconfigurações de armazenamento do WorkSpace.

É possível solicitar um pacote maior uma vez em um período de 6 horas ou um pacote menor uma veza cada 30 dias. Para um WorkSpace recém-lançado, você deverá esperar 6 horas antes de solicitar umpacote maior.

Quando uma alteração do tipo de computação do WorkSpace está em andamento, os usuários sãodesconectados do WorkSpace, e não podem usar ou alterar o WorkSpace. O WorkSpace é reinicializadoautomaticamente durante o processo de alteração do tipo de computação.

Important

Para evitar a perda de dados, os usuários devem salvar todos os documentos abertos e outrosarquivos de aplicativos antes de alterar o tipo de computação do WorkSpace.

O processo de alteração do tipo de computação pode levar até uma hora.

Como alterar o tipo de pacote de um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione o WorkSpace e escolha Actions, Modify WorkSpace.

82



Amazon WorkSpaces Guia de AdministraçãoMarcar recursos do WorkSpaces

4. Para trocar o pacote, escolha Change Compute Type (Alterar tipo de computação) e selecione o novotipo de pacote.

5. Selecione Modify (Modificar).

Marcar recursos do WorkSpacesVocê pode organizar e gerenciar os recursos do WorkSpaces atribuindo seus próprios metadados a cadarecurso na forma de tags. Você especifica uma chave e um valor para cada tag. Uma chave pode ser umacategoria geral, como "projeto", "proprietário" ou "ambiente", com valores específicos associados. O usode marcas é uma forma simples, mas eficiente, de gerenciar os recursos da AWS e organizar os dados,incluindo dados de faturamento.

As tags adicionadas a um recurso existente aparecem no seu relatório de alocação de custos no primeirodia do mês seguinte para WorkSpaces renovados naquele mês. Para obter mais informações, consulteUso de tags de alocação de custos no Guia do usuário do AWS Billing and Cost Management.

Recursos que você pode marcar

• Você pode adicionar tags aos recursos a seguir ao criá-los — WorkSpaces, imagens importadas egrupos de controle de acesso IP.

• Você pode adicionar tags a recursos existentes dos seguintes tipos — WorkSpaces, diretóriosregistrados, pacotes personalizados, imagens e grupos de controle de acesso IP.

Restrições de tag

• Número máximo de tags por recurso — 50• Comprimento máximo da chave—127 caracteres Unicode• Comprimento máximo de valor—: 255 caracteres Unicode• As chaves e os valores de tags diferenciam maiúsculas de minúsculas. Os caracteres permitidos são

letras, espaços e números representáveis em UTF-8, além dos seguintes caracteres especiais: + - = ._ : / @. Não use espaços no início nem no final.

• Não use os prefixos "aws:" nem "aws:workspaces:" no nome nem nos valores das tags, pois eles sãoreservados para uso da AWS. Não é possível editar nem excluir nomes ou valores de tag com essesprefixos.

Para atualizar as tags para um recurso existente usando o console

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha um dos seguintes tipos de recurso: Directories (Diretórios),

WorkSpaces, Bundles (Pacotes), Images (Imagens) ou IP Access Controls (Controles de acesso IP).3. Escolha o recurso e selecione Actions (Ações), Manage Tags (Gerenciar tags).4. Faça uma ou mais das coisas a seguir:

• Para atualizar uma tag, edite os valores de Chave e Valor.• Para adicionar uma tag, escolha Adicionar tag e, em seguida, edite os valores de Chave e Valor.• Para excluir uma tag, escolha o ícone de exclusão (X) ao lado da tag.

5. Ao finalizar a atualização de tags, escolha Salvar.

Para atualizar as tags de um recurso existente usando a AWS CLI

Use os comandos create-tags e delete-tags.

83

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html


https://docs.aws.amazon.com/cli/latest/reference/workspaces/create-tags.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/delete-tags.html

Amazon WorkSpaces Guia de AdministraçãoManutenção do WorkSpace

Manutenção do WorkSpaceRecomendamos que você faça manutenção de seus WorkSpaces regularmente. O Amazon WorkSpacesagenda janelas de manutenção padrão para seus WorkSpaces. Durante a janela de manutenção, oWorkSpace instala atualizações importantes no Amazon WorkSpaces e reinicia conforme necessário. Sedisponíveis, as atualizações do sistema operacional também serão instaladas no servidor de atualizaçãodo sistema operacional que o WorkSpace está configurado para usar. Durante a manutenção, osWorkSpaces podem ficar indisponíveis.

Note

Por padrão, os WorkSpaces do Windows são configurados para receber atualizações do WindowsUpdate. Para configurar seus próprios mecanismos de atualização automática para o Windows,consulte a documentação do Windows Server Update Services (WSUS) e do ConfigurationManager.

Janelas de manutenção para o WorkSpacesAlwaysOnPara WorkSpaces AlwaysOn, a janela de manutenção é determinada pelas configurações do sistemaoperacional. O padrão é um período de quatro horas das 0h às 4h, no fuso horário do WorkSpace, tododomingo de manhã. Por padrão, o fuso horário de um WorkSpace AlwaysOn corresponde ao fuso horárioda região da AWS. No entanto, se você se conectar de outra região com o redirecionamento de fusohorário habilitado e se desconectar, o fuso horário do WorkSpace será atualizado para o fuso horário daregião em que estiver conectado.

É possível desativar o redirecionamento do fuso horário para WorkSpaces do Windows (p. 56) usando apolítica de grupo. Não é possível desativar o redirecionamento do fuso horário para WorkSpaces do Linux.

Para WorkSpaces do Windows, é possível configurar a janela de manutenção usando políticas de grupo.Consulte Definir configurações de políticas de grupo para atualizações automáticas. Não é possívelconfigurar a janela de manutenção para WorkSpaces do Linux.

Janelas de manutenção para WorkSpaces AutoStopOs WorkSpaces AutoStop são executados automaticamente uma vez por mês para instalar atualizaçõesimportantes. A partir da terceira segunda-feira de cada mês, e por até duas semanas, a janela demanutenção abre todo dia das 0h às 5h, no fuso horário da região da AWS do WorkSpace. A manutençãodo WorkSpace pode ser feita em qualquer dia da janela de manutenção.

Durante o período em que o WorkSpace está passando por manutenção, o estado do WorkSpace édefinido como MAINTENANCE.

Embora não seja possível modificar o fuso horário usado para manter os WorkSpaces AutoStop, é possíveldesativar a janela de manutenção dos WorkSpaces AutoStop conforme mostrado a seguir. Se vocêdesabilitar o modo de manutenção, seus WorkSpaces não serão reinicializados e não entrarão no estadoMAINTENANCE.

Como desabilitar o modo de manutenção

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Directories (Diretórios).3. Selecione o diretório e escolha Actions (Ações), Update Details (Atualizar detalhes).4. Expanda Modo de manutenção.5. Para habilitar as atualizações automáticas, escolha Enabled (Ativado). Se você preferir gerenciar as

atualizações manualmente, escolha Disabled (Desativado).

84

https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services

https://docs.microsoft.com/configmgr/sum/deploy-use/deploy-software-updates

https://docs.microsoft.com/configmgr/sum/deploy-use/deploy-software-updates

https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates


Amazon WorkSpaces Guia de AdministraçãoManutenção manual

6. Escolha Update and Exit (Atualizar e sair).

Manutenção manualSe preferir, você pode fazer a manutenção de seus WorkSpaces em seu próprio cronograma. Quandovocê executar tarefas de manutenção, recomendamos que altere o estado do WorkSpace paraADMIN_MAINTENANCE. Ao concluir, altere o estado do WorkSpace para AVAILABLE.

Quando um WorkSpace está no modo ADMIN_MAINTENANCE, ocorre o seguinte comportamento:

• O WorkSpace não responde a solicitações de reinicialização, interrupção, inicialização ou recriação.• Os usuários não conseguem fazer login no WorkSpace.• Um AutoStop WorkSpace não entra em hibernação.

Para alterar o estado do WorkSpace usando o console

Note

Para alterar o estado de um WorkSpace, o WorkSpace deve ter um status de AVAILABLE. Aconfiguração Modify State (Modificar estado) não estará disponível quando um WorkSpace tiverum status STOPPED.

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione seu WorkSpace e escolha Actions (Ações), Modify WorkSpace (Modificar WorkSpace).4. Selecione Modify State (Modificar estado). Em Intended State (Estado pretendido), escolha

ADMIN_MAINTENANCE ou AVAILABLE.5. Selecione Modify (Modificar).

Para alterar o estado do WorkSpace usando a AWS CLI

Use o comando modify-workspace-state.

WorkSpaces criptografadosO Amazon WorkSpaces é integrado ao AWS Key Management Service (AWS KMS). Isso permite que vocêcriptografe volumes de armazenamento de WorkSpaces usando as chaves mestras do cliente (CMKs).Quando você executa um WorkSpace, é possível criptografar o volume raiz (para Microsoft Windows, aunidade C: e, para Linux, /) e o volume do usuário (para Windows, a unidade D: e, para Linux, /home). Issogarante que os dados armazenados em repouso, E/S do disco para o volume e snapshots criados a partirdos volumes sejam todos criptografados.

Pré-requisitosVocê precisa de uma CMK do AWS KMS antes de iniciar o processo de criptografia.

Na primeira vez que você executa um WorkSpace não criptografado no console do Amazon WorkSpacesem uma região, o Amazon WorkSpaces cria automaticamente uma CMK gerenciada pela AWS (aws/workspaces) em sua conta. É possível selecionar essa chave gerenciada pela AWS para criptografar ousuário e os volumes raiz do seu WorkSpace. Para obter detalhes, consulte Como o Amazon WorkSpacesusa o AWS KMS no AWS Key Management Service Developer Guide.

85


https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-state.html

https://docs.aws.amazon.com/kms/latest/developerguide/services-workspaces.html

https://docs.aws.amazon.com/kms/latest/developerguide/services-workspaces.html

Amazon WorkSpaces Guia de AdministraçãoLimites

É possível visualizar essa CMK gerenciada pela AWS, incluindo as políticas e concessões, e rastrear o usoem logs do AWS CloudTrail, mas não é possível usar nem gerenciar essa CMK. O Amazon WorkSpacescria e gerencia essa CMK. Somente o Amazon WorkSpaces pode usar essa CMK e ele pode usá-lasomente para criptografar recursos do WorkSpaces em sua conta. As CMKs gerenciadas pela AWS,incluindo as compatíveis com o Amazon WorkSpaces, são alternadas a cada três anos. Para obterdetalhes, consulte Alternar chaves no AWS Key Management Service Developer Guide.

Como alternativa, é possível selecionar uma CMK simétrica gerenciada pelo cliente que você criou usandoo AWS KMS. É possível exibir, usar e gerenciar essa CMK, incluindo a configuração das políticas. Paraobter mais informações sobre a criação de CMKs, consulte Criar chaves no AWS Key ManagementService Developer Guide. Para obter mais informações sobre a criação de CMKs usando a API do AWSKMS, consulte Trabalhar com chaves no AWS Key Management Service Developer Guide.

Você deve atender aos seguintes requisitos para usar uma CMK do AWS KMS a fim de criptografar osWorkSpaces:

• A CMK deve ser simétrica. O Amazon WorkSpaces não oferece suporte a CMKs assimétricas. Paraobter informações sobre a distinção entre CMKs simétricas e assimétricas, consulte Identificar CMKssimétricas e assimétricas no AWS Key Management Service Developer Guide.

• A CMK deve estar habilitada. Para determinar se uma CMK está habilitada, consulte Exibir detalhes daCMK no AWS Key Management Service Developer Guide.

• Você deve ter as permissões e políticas corretas associadas à chave. Para obter mais informações,consulte Funções e permissões do IAM para criptografia (p. 87).

Important

Há um limite de 500 WorkSpaces por CMK. Esse limite é devido às concessões por cota principaldo favorecido no AWS KMS. Para obter mais informações sobre essa cota, consulte Concessõespor principal do favorecido no AWS Key Management Service Developer Guide.Quando estiver criptografando WorkSpaces, crie uma CMK para cada 500 WorkSpaces. Porexemplo, ao criptografar 850 WorkSpaces, crie duas CMKs.Se você estiver tentando iniciar WorkSpaces criptografados e receber a mensagem de erro "Thespecified key is not available. Please provide a valid key for encryption." (A chave especificadanão está disponível. Forneça uma chave válida para criptografia), a cota principal de concessõespor favorecido para a CMK existente foi atingida.

Limites• Não é possível criptografar um WorkSpace existente. Você deve criptografar um WorkSpace ao iniciá-lo.• Não há suporte para a criação de uma imagem personalizada de um WorkSpace criptografado.• Não há suporte para desabilitar a criptografia de um WorkSpace criptografado atualmente.• WorkSpaces iniciados com criptografia de volume raiz habilitada podem levar até uma hora para

provisionar.• Para reiniciar ou recriar um WorkSpace criptografado, primeiro verifique se a CMK do AWS KMS está

habilitada; caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma CMK está habilitada,consulte Exibir detalhes da CMK no AWS Key Management Service Developer Guide.

Criptografia de WorkSpacesPara criptografar um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. Escolha Ativar WorkSpaces e conclua as três primeiras etapas.

86

https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html

https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html

https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details


https://docs.aws.amazon.com/kms/latest/developerguide/resource-limits.html#grants-per-principal-per-key

https://docs.aws.amazon.com/kms/latest/developerguide/resource-limits.html#grants-per-principal-per-key



Amazon WorkSpaces Guia de AdministraçãoVisualização de WorkSpaces criptografados

3. Para a etapa Configuração de WorkSpaces, faça o seguinte:

a. Selecione os volumes a serem criptografados: Volume raiz, Volume de usuário ou os doisvolumes.

b. Em Encryption Key (Chave de criptografia), selecione uma CMK do AWS KMS, a CMKgerenciada pela AWS criada por Amazon WorkSpaces ou uma CMK criada por você. ACMK selecionada deve ser simétrica. O Amazon WorkSpaces não oferece suporte a CMKsassimétricas.

c. Escolha Next Step (Próxima etapa).4. Escolha Ativar WorkSpaces.

Visualização de WorkSpaces criptografadosPara ver quais WorkSpaces e volumes foram criptografados no console do Amazon WorkSpaces, escolhaWorkSpaces na barra de navegação à esquerda. A coluna Criptografia de volume mostra se cadaWorkSpace tem a criptografia habilitada ou não. Para ver quais volumes específicos foram criptografados,expanda a entrada WorkSpace e veja o campo Volumes criptografados.

Funções e permissões do IAM para criptografiaSe você selecionar uma CMK gerenciada pelo cliente a ser usada para criptografia, será necessárioestabelecer políticas que permitem que o Amazon WorkSpaces use a CMK em nome de um usuário doIAM em sua conta que inicie WorkSpaces criptografados. Esse usuário também precisa de permissão parausar o Amazon WorkSpaces.

A criptografia do Amazon WorkSpaces requer acesso limitado à CMK. Veja a seguir um exemplo depolítica de chaves que pode ser usada. Essa política separa os principais que podem gerenciar a CMKdo AWS KMS daqueles que podem usá-la. Antes de usar esse exemplo de política de chaves, substitua oexemplo de ID da conta e o nome de usuário do IAM pelos valores reais da sua conta.

A primeira declaração está em conformidade com a política de chaves do AWS KMS padrão. Isso concedeà sua conta permissão para usar políticas do IAM para controlar o acesso à CMK. A segunda e a terceiradeclarações definem quais principais da AWS podem gerenciar e usar a chave, respectivamente. Aquarta declaração permite que os serviços da AWS integrados ao AWS KMS usem a chave em nome doprincipal especificado. Essa declaração permite que os serviços da AWS criem e gerenciem concessões. Adeclaração usa um elemento de condição que limita as concessões na CMK àquelas feitas pelos serviçosda AWS em nome dos usuários em sua conta.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*",

87

Amazon WorkSpaces Guia de AdministraçãoFunções e permissões do IAM para criptografia

"kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ]}

A política do IAM para um usuário ou uma função que está criptografando um WorkSpace deve incluirpermissões de uso na CMK gerenciada pelo cliente, além de acesso ao WorkSpaces. Para concederpermissões de WorkSpaces a um usuário ou uma função do IAM, é possível anexar o exemplo de políticaa seguir ao usuário ou à função do IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ]}

A política do IAM a seguir é exigida pelo usuário para usar o AWS KMS. Ela concede ao usuário acessosomente leitura à CMK juntamente com a capacidade de criar concessões.

{

88

Amazon WorkSpaces Guia de AdministraçãoReinicie um WorkSpace

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ]}

Reinicie um WorkSpaceÀs vezes, pode ser necessário reiniciar um WorkSpace manualmente. Reiniciar um WorkSpace executaum desligamento e uma reinicialização do WorkSpace. Para evitar a perda de dados, os usuários devemsalvar todos os documentos abertos e outros arquivos de aplicativos antes de reiniciar o WorkSpace. Osdados de usuário, o sistema operacional e as configurações do sistema não são afetados.

Warning

Para reiniciar um WorkSpace criptografado, primeiro verifique se a CMK do AWS KMS estáhabilitada. Caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma CMK estáhabilitada, consulte Exibir detalhes da CMK no AWS Key Management Service Developer Guide.

Como reiniciar um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione os WorkSpaces a serem reiniciados e escolha Ações, Reinicializar WorkSpaces.4. Quando a confirmação for solicitada, escolha Reinicializar WorkSpaces.

Recriação de um WorkSpaceSe necessário, você pode recriar um WorkSpace. Isso recriará o volume raiz e o volume do usuário.

Não é possível recriar um WorkSpace a menos que seu estado seja AVAILABLE, ERROR, UNHEALTHY ouSTOPPED.

Note

Depois de 14 de janeiro de 2020, os WorkSpaces criados de um pacote público do Windows7 não podem mais ser recriados. Talvez você queira considerar a migração dos WorkSpacesdo Windows 7 para o Windows 10. Para obter mais informações, consulte Migrar umWorkSpace (p. 97).

Recriar um WorkSpace causa o seguinte:

• O sistema é atualizado com a imagem mais recente do pacote de onde o WorkSpace foi criado. Todosos aplicativos que foram instalados ou as configurações do sistema que foram alteradas após a criaçãodo WorkSpace serão perdidos.

• O volume do usuário (para Microsoft Windows, a unidade D; para Linux, /home) é recriado a partir dosnapshot mais recente. O conteúdo atual do volume do usuário é substituído.

89



Amazon WorkSpaces Guia de AdministraçãoRestaurar um WorkSpace

Os snapshots automáticos para uso durante a recriação de um WorkSpace são programados a cada 12horas. Se o WorkSpace estiver íntegro, um snapshot do volume do usuário será criado. Se o WorkSpacenão estiver íntegro, o snapshot não será criado.

• A interface de rede elástica principal é recriada. O WorkSpace recebe um novo endereço IP privado.

Como recriar um WorkSpace

Warning

Para recriar um WorkSpace criptografado, primeiro verifique se a CMK do AWS KMS estáhabilitada. Caso contrário, o WorkSpace ficará inutilizável. Para determinar se uma CMK estáhabilitada, consulte Exibir detalhes da CMK no AWS Key Management Service Developer Guide.

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione o WorkSpace a ser recriado e escolha Actions (Ações), Rebuild/Restore WorkSpace

(Recriar/Restaurar Workspace).4. Quando a confirmação for solicitada, escolha Reconstruir WorkSpace.

Note

Se você recriar um WorkSpace após alterar o atributo de nomenclatura de usuáriosAMAccountName do usuário no Active Directory, você poderá receber a seguinte mensagem deerro:

"ErrorCode": "InvalidUserConfiguration.Workspace""ErrorMessage": "The user was either not found or is misconfigured."

Para contornar esse problema, reverta para o atributo de nomenclatura de usuário original ereinicie a recriação, ou crie um WorkSpace para esse usuário.

Restaurar um WorkSpaceOs snapshots automáticos para uso durante a restauração de um WorkSpace são programados a cada 12horas. Se o WorkSpace estiver íntegro, os snapshots do volume raiz e do volume do usuário serão criadosao mesmo tempo. Se o WorkSpace não estiver íntegro, esses snapshots não serão criados.

Se necessário, você pode restaurar um WorkSpace para seu último estado íntegro conhecido. Isso recriaráo volume raiz e o volume do usuário com base nos snapshots mais recentes desses volumes que foramcriados quando o WorkSpace estava íntegro.

Não é possível restaurar um WorkSpace a menos que seu estado seja AVAILABLE, ERROR, UNHEALTHYou STOPPED.

Restaurar um WorkSpace causa o seguinte:

• O sistema é restaurado para o snapshot mais recente do volume raiz. Todos os aplicativos que foraminstalados ou as configurações do sistema que foram alteradas após a criação do snapshot mais recentesão perdidos.

• O volume do usuário (para Microsoft Windows, a unidade D; para Linux, /home) é recriado a partir dosnapshot mais recente. O conteúdo atual do volume do usuário é substituído.

90



Amazon WorkSpaces Guia de AdministraçãoAtualização do Windows 10 BYOL WorkSpaces

Como restaurar um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione o WorkSpace a ser restaurado e escolha Actions (Ações), Rebuild/Restore WorkSpace

(Recriar/Restaurar WorkSpace).4. Escolha Restore WorkSpace (Restaurar WorkSpace).

Atualização do Windows 10 BYOL WorkSpacesNos WorkSpaces Windows 10 Bring Your Own License (BYOL – Traga sua própria licença), é possívelatualizar para uma versão mais recente do Windows 10 usando o processo de atualização no local. Sigaas instruções neste tópico para fazer a atualização.

O processo de atualização no local se aplica apenas aos WorkSpaces BYOL do Windows 10.Important

Não execute o Sysprep em um WorkSpace atualizado. Se você fizer isso, poderá ocorrer um erroque impede a conclusão do Sysprep. Se você planeja executar o Sysprep, faça isso apenas emum WorkSpace que não foi atualizado.

Tópicos• Pré-requisitos (p. 91)• Considerações importantes (p. 91)• Limitações conhecidas (p. 92)• Resumo das configurações da chave do registro (p. 92)• Etapas para realizar uma atualização in-loco (p. 93)• Solução de problemas (p. 96)• Atualize seu registro do WorkSpace usando um script do PowerShell (p. 96)

Pré-requisitos• Se você tiver adiado ou pausado as atualizações do Windows 10 usando políticas de grupo ou o

System Center Configuration Manager (SCCM), habilite as atualizações do sistema operacional para osWorkSpaces do Windows 10.

• Se o WorkSpace for um WorkSpace AutoStop, altere-o para um WorkSpace AlwaysOn antesdo processo de atualização local para que ele não seja interrompido automaticamente enquantoas atualizações são aplicadas. Para obter mais informações, consulte Modificar o modo deexecução (p. 79). Se você preferir manter o WorkSpace definido como AutoStop, altere o tempo deAutoStop para três horas ou mais durante a atualização.

• O processo de atualização local recria o perfil do usuário fazendo uma cópia de um perfil especialchamado Default User (C:\Users\Default). Não use esse perfil de usuário padrão para fazerpersonalizações. Recomendamos fazer personalizações no perfil do usuário por meio de GPOs (Objetosde política de grupo). As personalizações feitas por meio de GPOs podem ser facilmente modificadas ourevertidas e são menos propensas a erros.

Considerações importantesO processo de atualização in-loco usa dois scripts de registro (enable-inplace-upgrade.ps1 eupdate-pvdrivers.ps1) para fazer as alterações necessárias nos WorkSpaces que permitem que

91


Amazon WorkSpaces Guia de AdministraçãoLimitações conhecidas

o processo do Windows Update seja executado. Essas alterações envolvem a criação de um perfil deusuário (temporário) na unidade C em vez de na unidade D. Se já existir um perfil de usuário na unidade D,os dados nesse perfil original permanecerão na unidade D.

Por padrão, os WorkSpaces criam o perfil de usuário no D:\Users\%USERNAME%. O script enable-inplace-upgrade.ps1 configura o Windows para criar um perfil de usuário em C:\Users\%USERNAME% e redireciona as pastas do shell do usuário para D:\Users\%USERNAME%. Esse perfil de usuário écriado quando um usuário faz login pela primeira vez.

Após a atualização in-loco, você tem a opção de deixar seus perfis de usuário na unidade C para permitirque seus usuários utilizem o processo do Windows Update para atualizar seus computadores no futuro.No entanto, esteja ciente de que os WorkSpaces com perfis armazenados na unidade C não podem serreconstruídos nem migrados sem que ocorra a perda de todos os dados no perfil do usuário, a menos quevocê faça backup e restaure esses dados por conta própria. Se você decidir deixar os perfis na unidadeC, poderá usar a chave de registro UserShellFoldersRedirection para redirecionar as pastas do shell dousuário para a unidade D, conforme explicado mais adiante neste tópico.

Para garantir que você possa recriar ou migrar seus WorkSpaces e evitar possíveis problemas com oredirecionamento da pasta do shell do usuário, recomendamos que você opte por restaurar seus perfisde usuário para a unidade D após a atualização in-loco. É possível fazer isso usando a chave de registroPostUpgradeRestoreProfileOnD conforme explicado mais adiante neste tópico.

Limitações conhecidas• A alteração da localização do perfil do usuário da unidade D para a unidade C não ocorre durante

as reconstruções ou migrações do WorkSpace. Se você executar uma atualização in-loco em umWorkSpace BYOL do Windows 10 e, depois, reconstruí-lo ou migrá-lo, o novo WorkSpace terá o perfil deusuário na unidade D.

Warning

Se você deixar o perfil de usuário na unidade C após a atualização in-loco, os dados do perfilarmazenados na unidade C serão perdidos durante reconstruções ou migrações, a menos quevocê faça backup manualmente dos dados do perfil de usuário antes de recriar ou migrar e,depois, restaure manualmente os dados do perfil após executar o processo de recriação oumigração.

• Além disso, se o seu pacote BYOL contiver a imagem baseada em uma versão anterior do Windows 10,será necessário executar a atualização in-loco novamente depois de recriar ou migrar o WorkSpace.

Resumo das configurações da chave do registroPara habilitar o processo de atualização in-loco e especificar o local do perfil de usuário após aatualização, é necessário definir uma série de chaves do registro.

Caminho do registro: HKLM:\Software\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Chave do registro Type Valores

Ativado DWORD 0 – (padrão) desativa aatualização in-loco

1 – permite a atualização in-loco

PostUpgradeRestoreProfileOnD DWORD 0 – (padrão) não tenta restauraro caminho do perfil do usuárioapós a atualização in-loco

92

Amazon WorkSpaces Guia de AdministraçãoEtapas para realizar uma atualização in-loco

Chave do registro Type Valores1 – restaura o caminho do perfildo usuário (ProfileImagePath)após a atualização in-loco

UserShellFoldersRedirection DWORD 0 – não habilita oredirecionamento de pastas doshell do usuário

1 – (padrão) habilita oredirecionamento de pastas doshell do usuário para D:\Users\%USERNAME% depois que o perfildo usuário é gerado novamenteem C:\Users\%USERNAME%

NoReboot DWORD 0 – (padrão) não permite que oscript reinicialize o WorkSpacedepois de modificar o registropara o perfil de usuário

1 – permite controlar quandoocorre uma reinicialização apósmodificar o registro para o perfilde usuário

Caminho do registro: HKLM:\Software\Amazon\WorkSpacesConfig\update-pvdrivers.ps1

Chave do registro Type Valores

Ativado DWORD 0 – (padrão) desativa aatualização de drivers do AWSPV

1 – permite a atualização dedrivers do AWS PV

Etapas para realizar uma atualização in-locoPara habilitar atualizações in-loco do Windows em seus WorkSpaces BYOL, é necessário definirdeterminadas chaves do registro, conforme descrito no procedimento a seguir. Também é preciso definirdeterminadas chaves do registo para indicar a unidade (C ou D) onde os perfis de usuário deverão estardepois de concluídas as atualizações in-loco.

É possível fazer essas alterações de registro manualmente. Se você tiver vários WorkSpaces paraatualizar, poderá usar a política de grupo ou o SCCM para enviar um script do PowerShell. Para obterum exemplo de script do PowerShell, consulte Atualize seu registro do WorkSpace usando um script doPowerShell (p. 96).

Para executar uma atualização local do Windows 10

1. Anote a versão do Windows atualmente em execução nos WorkSpaces BYOL do Windows 10 quevocê está atualizando e, depois, reinicialize-os.

93


2. Atualize as seguintes chaves do registro do sistema Windows para alterar os dados de valor deEnabled (Habilitado) de 0 para 1. Essas alterações no registro permitem atualizações locais para oWorkSpace.

• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update-pvdrivers.ps1

Note

Se essas chaves não existirem, reinicie o WorkSpace. As chaves devem ser adicionadasquando o sistema for reiniciado.

(Opcional) Se você estiver usando um fluxo de trabalho gerenciado, como as sequências de tarefasdo SCCM, para realizar a atualização, defina o seguinte valor de chave como 1 para impedir que ocomputador seja reinicializado:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\NoReboot

3. Decida em qual unidade os perfis de usuário deverão estar após o processo de atualização in-loco(para obter mais informações, consulte Considerações importantes (p. 91)) e defina as chaves deregisto da seguinte forma:

• Configurações se o local do perfil de usuário precisar ser a unidade C após a atualização:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nome da chave: PostUpgradeRestoreProfileOnD

Valor da chave: 0

Nome da chave: UserShellFoldersRedirection

Valor da chave: 1

• Configurações se o local do perfil de usuário precisar ser a unidade D após a atualização:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nome da chave: PostUpgradeRestoreProfileOnD

Valor da chave: 1

Nome da chave: UserShellFoldersRedirection

Valor da chave: 04. Depois de salvar as alterações no registro, reinicie o WorkSpace novamente para que as alterações

sejam aplicadas.

Note

Após a reinicialização, ao fazer login no WorkSpace um novo perfil de usuário será criado. Épossível ver os ícones de espaço reservado no menu Start (Iniciar). Esse comportamento éresolvido automaticamente após a conclusão da atualização no local.

(Opcional) Confirme que o valor da chave a seguir está configurado como 1. Isso desbloqueia oWorkSpace para atualizar:

94


HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\profileImagePathDeleted

5. Execute a atualização local. Você pode usar qualquer método que desejar, como SCCM, ISO ouWindows Update (WU). Dependendo da sua versão original do Windows 10 e de quantos aplicativosforam instalados, esse processo poderá levar entre 40 e 120 minutos.

6. Depois que o processo de atualização for concluído, confirme se a versão do Windows foi atualizada.

Note

Se a atualização local falhar, o Windows reverterá automaticamente para usar a versãodo Windows 10 anterior à atualização. Para obter mais informações sobre a solução deproblemas, consulte a documentação da Microsoft.

(Opcional) Para confirmar que os scripts de atualização foram executados com êxito, verifique se oseguinte valor da chave está configurado como 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\scriptExecutionComplete

7. Se você modificou o modo de execução do WorkSpace definindo-o como AlwaysOn ou alterando otempo de AutoStop para que o processo de atualização in-loco possa ser executado sem interrupção,restaure as configurações originais do modo de execução. Para obter mais informações, consulteModificar o modo de execução (p. 79).

Se você não tiver definido a chave do registro PostUpgradeRestoreProfileOnD como 1, o perfil do usuárioserá gerado novamente pelo Windows e colocado em C:\Users\%USERNAME% após a atualização in-loco, para que você não precise passar pelas etapas acima novamente para futuras atualizações in-locodo Windows 10. Por padrão, o script enable-inplace-upgrade.ps1 redireciona as seguintes pastasdo shell para a unidade D:

• D:\Users\%USERNAME%\Downloads

• D:\Users\%USERNAME%\Desktop

• D:\Users\%USERNAME%\Favorites

• D:\Users\%USERNAME%\Music

• D:\Users\%USERNAME%\Pictures

• D:\Users\%USERNAME%\Videos

• D:\Users\%USERNAME%\Documents

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates

Se você redirecionar as pastas do shell para outros locais em seu WorkSpaces, execute as operaçõesnecessárias nos WorkSpaces após as atualizações locais.

95

https://docs.microsoft.com/en-us/windows/deployment/upgrade/resolve-windows-10-upgrade-errors

Amazon WorkSpaces Guia de AdministraçãoSolução de problemas

Solução de problemasSe você tiver problemas com a atualização, verifique os seguintes itens para auxiliar na solução deproblemas:

• Logs do Windows, que, por padrão, estão localizados nos seguintes locais:

C:\Program Files\Amazon\WorkSpacesConfig\Logs\

C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED

• Visualizador de eventos do Windows

Logs do Windows > Aplicativo > Fonte: Amazon WorkSpaces

Tip

Se, durante o processo, você vir que alguns atalhos de ícone na área de trabalho não funcionammais, isso acontece porque o WorkSpaces move os perfis de usuário localizados na unidade Dpara a unidade C a fim de se preparar para a atualização. Depois de concluída a atualização, osatalhos funcionarão conforme o esperado.

Atualize seu registro do WorkSpace usando um scriptdo PowerShellVocê pode usar o seguinte exemplo de script do PowerShell para atualizar o registro no seu WorkSpacespara habilitar as atualizações locais. Siga o Etapas para realizar uma atualização in-loco (p. 93), masuse este script para atualizar o registro em cada WorkSpace.

# AWS WorkSpaces 1.28.20# Enable In-Place Update Sample Scripts# These registry keys and values will enable scripts to execute on the next reboot of the WorkSpace. $scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1")$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"$Enabled = 1$script:ErrorActionPreference = "Stop" foreach ($scriptName in $scriptlist){ $scriptRegKey = "$wsConfigRegistryRoot\$scriptName" try { if (-not(Test-Path $scriptRegKey)) { Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled." New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } else { Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'"

96

Amazon WorkSpaces Guia de AdministraçãoMigrar um WorkSpace

if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled) { Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } } } catch { write-host "Stopping script, the following error was encountered:" `r`n$_ -ForegroundColor Red break }}

Migrar um WorkSpaceÉ possível migrar um WorkSpace de um pacote para outro, mantendo os dados no volume do usuário.É possível usar esse recurso para migrar os WorkSpaces da experiência de desktop do Windows 7para a experiência de desktop do Windows 10. Também é possível usar esse recurso para migrar osWorkSpaces de um pacote público ou personalizado para outro. Por exemplo, você pode migrar depacotes habilitados para GPU (Graphics and GraphicsPro) para pacotes não habilitados para GPU evice-versa. Para obter mais informações sobre os pacotes do Amazon WorkSpaces, consulte Pacotes deWorkSpaces e imagens (p. 102).

O processo de migração recria o WorkSpace usando um novo volume raiz da imagem do pacote dedestino e o volume do usuário do último snapshot disponível do WorkSpace original. Um novo perfil deusuário é gerado durante a migração para melhor compatibilidade. O perfil de usuário antigo é renomeadoe, depois, determinados arquivos no perfil de usuário antigo são movidos para o novo perfil de usuário.(Para obter detalhes sobre o que é movido, consulte O que acontece durante a migração (p. 98).)

O processo de migração leva até uma hora por WorkSpace. Ao iniciar o processo de migração, umWorkSpace é criado. Se ocorrer um erro que impeça a migração bem-sucedida, o WorkSpace original serárecuperado e retornado ao seu estado original e o novo WorkSpace será encerrado.

Sumário• Limites de migração (p. 97)• Cenários de migração disponíveis (p. 98)• O que acontece durante a migração (p. 98)• Melhores práticas (p. 99)• Solução de problemas (p. 100)• Como o faturamento é afetado (p. 100)• Migrar um WorkSpace (p. 100)

Limites de migração• Não é possível migrar para um pacote de experiência de desktop do Windows 7 público ou

personalizado. Você também não pode migrar para pacotes do Windows 7 Traga sua própria licença(BYOL).

• É possível migrar WorkSpaces BYOL somente para outros pacotes BYOL.• Não é possível migrar um WorkSpace criado de pacotes públicos ou personalizados para um pacote

BYOL.

97

Amazon WorkSpaces Guia de AdministraçãoCenários de migração disponíveis

• Não é possível migrar entre pacotes Plus (que incluem o Microsoft Office) e pacotes não Plus. Vocêpode migrar de um pacote Plus para outro pacote Plus ou entre um pacote não Plus e outro pacote nãoPlus.

• A migração do Linux WorkSpaces não tem suporte no momento.• Nas regiões da AWS que oferecem suporte a mais de um idioma, é possível migrar WorkSpaces entre

pacotes de idiomas.• Os pacotes de origem e destino devem ser diferentes. (No entanto, em regiões que oferecem

suporte a mais de um idioma, é possível migrar para o mesmo pacote do Windows 10, desde que osidiomas sejam diferentes.) Se você quiser atualizar o WorkSpace usando o mesmo pacote, recrie oWorkSpace (p. 89).

• Não é possível migrar WorkSpaces entre regiões.• Em alguns casos, se não for possível concluir a migração com êxito, talvez você não receba uma

mensagem de erro e pode parecer que o processo de migração não foi iniciado. Se o pacote doWorkSpace permanecer o mesmo uma hora após a tentativa de migração, é sinal de que a migraçãonão foi feita com êxito. Entre em contato com o AWS Support Center para obter assistência.

Cenários de migração disponíveisA tabela a seguir mostra quais cenários de migração estão disponíveis:

SO de origem SO de destino Disponível?

Pacote público ou personalizadodo Windows 7


Sim

Pacote personalizado doWindows 7

Pacote público do Windows 7 Não



Não

Pacote público do Windows 7 Pacote personalizado doWindows 7

Não



Não


Pacote público do Windows 10 Não



Sim

Pacote BYOL do Windows 7 Pacote BYOL do Windows 7 Não

Pacote BYOL do Windows 7 Pacote BYOL do Windows 10 Sim

Pacote BYOL do Windows 10 Pacote BYOL do Windows 7 Não

Pacote BYOL do Windows 10 Pacote BYOL do Windows 10 Sim

O que acontece durante a migraçãoDurante a migração, os dados no volume do usuário (unidade D) são preservados, mas todos os dados novolume raiz (unidade C) são perdidos. Isso significa que nenhum dos aplicativos instalados, configurações

98

https://console.aws.amazon.com/support/home#/

Amazon WorkSpaces Guia de AdministraçãoMelhores práticas

e alterações no registro são preservados. A pasta de perfil de usuário antiga é renomeada com o sufixo.NotMigrated e um perfil de usuário é criado.

O processo de migração recria a unidade D com base no último snapshot do volume do usuáriooriginal. Durante a primeira inicialização do novo WorkSpace, o processo de migração move a pasta D:\Users\%USERNAME% original para uma pasta chamada D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated. Uma nova pasta D:\Users\%USERNAME%\ é gerada pelo novo sistema operacional.

Depois que o perfil de usuário é criado, os arquivos nas seguintes pastas do shell de usuário são movidosdo perfil .NotMigrated antigo para o novo perfil:

• D:\Users\%USERNAME%\Desktop

• D:\Users\%USERNAME%\Documents

• D:\Users\%USERNAME%\Downloads

• D:\Users\%USERNAME%\Favorites

• D:\Users\%USERNAME%\Music

• D:\Users\%USERNAME%\Pictures

• D:\Users\%USERNAME%\Videos

Important

O processo de migração tenta mover os arquivos do perfil de usuário antigo para o novo perfil.Todos os arquivos que não foram movidos durante a migração permanecem na pasta D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated. Se a migração for bem-sucedida, você poderáver quais arquivos foram movidos em C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs. É possível mover manualmente todos os arquivos que não forammovidos automaticamente.

Todas as tags atribuídas ao WorkSpace original são transferidas durante a migração e o modo deexecução do WorkSpace é preservado. No entanto, o novo WorkSpace obtém um novo ID do WorkSpace,nome do computador e endereço IP.

Melhores práticasAntes de migrar um WorkSpace, faça o seguinte:

• Faça backup de todos os dados importantes na unidade C para outro local. Todos os dados na unidadeC são apagados durante a migração.

• Verifique se o WorkSpace que está sendo migrado tem pelo menos 12 horas, para garantir que umsnapshot do volume do usuário tenha sido criado. Na página Migrate WorkSpaces (Migrar WorkSpaces)no console do Amazon WorkSpaces, é possível ver a hora do último snapshot. Todos os dados criadosapós o último snapshot são perdidos durante a migração.

• Para evitar possíveis perdas de dados, os usuários devem sair dos WorkSpaces e não fazer loginnovamente até que o processo de migração seja concluído. Observe que os WorkSpaces não poderãoser migrados quando estiverem no modo ADMIN_MAINTENANCE.

• Verifique se os WorkSpaces que deseja migrar têm um status AVAILABLE, STOPPED ou ERROR.• Verifique se você tem endereços IP suficientes para os WorkSpaces que está migrando. Durante a

migração, novos endereços IP serão alocados para o WorkSpaces.• Se você estiver usando scripts para migrar WorkSpaces, migre-os em lotes de até 25 WorkSpaces por

vez.

99

Amazon WorkSpaces Guia de AdministraçãoSolução de problemas

Solução de problemas• Se os usuários relatarem arquivos ausentes após a migração, verifique se seus arquivos de perfil

de usuário não foram movidos durante o processo de migração. É possível ver quais arquivosforam movidos em C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs.Os arquivos que não foram movidos estarão localizados na pasta D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated. É possível mover manualmente todos os arquivos que não forammovidos automaticamente.

• Se você estiver usando a API para migrar WorkSpaces e a migração não tiver êxito, o ID do WorkSpacede destino retornado pela API não será usado e o WorkSpace ainda terá o ID original.

• Se uma migração não for concluída com êxito, verifique o Active Directory para ver se ele foi limpoadequadamente. Talvez seja necessário remover manualmente os WorkSpaces que não são maisnecessários.

Como o faturamento é afetadoDurante o mês em que ocorre a migração, são cobrados valores pro-rata para os WorkSpaces novos eoriginais. Por exemplo, se migrar o WorkSpace A para o WorkSpace B em 10 de maio, você será cobradopelo WorkSpace A de 1º a 10 de maio e pelo WorkSpace B de 11 a 30 de maio.

Note

Se você estiver migrando um WorkSpace para um tipo de pacote diferente (por exemplo, deDesempenho para Energia ou Valor para Padrão), o tamanho do volume raiz (unidade C) e dovolume do usuário (unidade D) podem aumentar durante o processo de migração. Se necessário,o volume raiz aumentará para corresponder ao tamanho padrão do volume raiz para o novopacote. No entanto, se você já tiver especificado um tamanho (maior ou menor) para o volume dousuário diferente do padrão para o pacote original, esse mesmo tamanho de volume de usuárioserá mantido durante o processo de migração. Caso contrário, o processo de migração usará otamanho maior do volume do usuário do WorkSpace de origem e o tamanho padrão do volume dousuário para o novo pacote.

Migrar um WorkSpaceVocê pode migrar os WorkSpaces por meio do console do Amazon WorkSpaces, a interface da linha decomando (CLI) da AWS ou a API do Amazon WorkSpaces.

Como migrar um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione seu WorkSpace e escolha Actions (Ações), Migrate WorkSpaces (Migrar WorkSpaces).4. Em Select Target Bundle (Selecionar pacote de destino), selecione o pacote para o qual você deseja

migrar o WorkSpace.5. Em Assign WorkSpace Bundle (Atribuir pacote de WorkSpaces), escolha o pacote de destino para

cada usuário do WorkSpace.

Warning

Para cada WorkSpace, anote a hora do snapshot listado. Todas as alterações feitas novolume do usuário após o horário do snapshot listado são descartadas durante o processo demigração.

6. Escolha Migrate WorkSpaces (Migrar WorkSpaces).

100


Amazon WorkSpaces Guia de AdministraçãoExcluir um WorkSpace

Um novo WorkSpace com o status PENDING é exibido no console do Amazon WorkSpaces. Quandoa migração for concluída, o WorkSpace original será encerrado e o status do novo WorkSpace serádefinido como AVAILABLE.

7. (Opcional) Para excluir quaisquer pacotes personalizados e imagens que não são mais necessários,consulte Excluir uma imagem ou um pacote personalizado de WorkSpaces (p. 116).

Para migrar os WorkSpaces por meio da AWS CLI, use o comando migrate-workspace. Para migrar osWorkSpaces por meio da API do Amazon WorkSpaces, consulte MigrateWorkSpace no Referência de APIdo Amazon WorkSpaces.

Excluir um WorkSpaceQuando não precisar mais de um WorkSpace, você poderá excluí-lo. Você também pode excluir osrecursos relacionados.

Warning

Essa ação é permanente e não pode ser desfeita. Os dados do usuário do WorkSpace não sãopersistidos e são destruídos. Para obter ajuda para fazer backup dos dados do usuário, entre emcontato com o AWS Support.

Para excluir um WorkSpace

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione WorkSpaces.3. Selecione seu WorkSpace e escolha Ações, Remover WorkSpaces.4. Quando a confirmação for solicitada, escolha Remover WorkSpaces. O status do WorkSpace é

definido como TERMINATING. Quando o encerramento for concluído, o status será definido comoTERMINATED.

5. (Opcional) Para excluir todos os pacotes personalizados e imagens que não serão mais usados,consulte Excluir uma imagem ou um pacote personalizado de WorkSpaces (p. 116).

6. (Opcional) Depois de excluir todos os WorkSpaces em um diretório, você pode excluir o diretório. Paraobter mais informações, consulte Excluir o diretório dos WorkSpaces (p. 48).

7. (Opcional) Depois de excluir todos os recursos na rede virtual privada (VPC) para seu diretório, vocêpode excluir a VPC e liberar o endereço IP elástico usado para o gateway NAT. Para obter maisinformações, consulte Excluir a VPC e Trabalhar com endereços IP elásticos no Guia do usuário daAmazon VPC.

101

https://docs.aws.amazon.com/cli/latest/reference/workspaces/migrate-workspace.html

https://docs.aws.amazon.com/workspaces/latest/api/API_MigrateWorkspace.html


https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

Amazon WorkSpaces Guia de AdministraçãoCriar uma imagem personalizada e um pacote

Pacotes de WorkSpaces e imagensO pacote do WorkSpace é uma combinação de sistema operacional e recursos de armazenamento,computação e software. Quando você ativar um WorkSpace, selecione o pacote que atenda às suasnecessidades. Os pacotes padrão disponíveis para os WorkSpaces são chamados de pacotes públicos.Para obter mais informações sobre os vários pacotes públicos disponíveis para o Amazon WorkSpaces,consulte Pacotes do Amazon WorkSpaces.

Se você iniciou um WorkSpace do Windows ou do Amazon Linux e o personalizou, será possível criar umaimagem personalizada nesse WorkSpace.

Uma imagem personalizada contém apenas o sistema operacional, o software e as configurações doWorkSpace. Um pacote personalizado é uma combinação dessa imagem personalizada com o hardwareonde o WorkSpace pode ser executado.

Depois de criar uma imagem personalizada, será possível criar um pacote personalizado que combinea imagem personalizada do WorkSpace e a configuração de computação e armazenamento subjacenteselecionada. Depois, você pode especificar esse pacote personalizado ao iniciar novos WorkSpaces paragarantir que eles tenham a mesma configuração consistente (hardware e software).

Se você precisa realizar atualizações de software ou instalar software adicional em seus WorkSpaces,atualize seu pacote personalizado e recrie os WorkSpaces.

Tópicos• Criar uma imagem e um pacote personalizados de WorkSpaces (p. 102)• Atualizar um pacote personalizado de WorkSpaces (p. 114)• Copiar uma imagem personalizada de WorkSpaces (p. 115)• Excluir uma imagem ou um pacote personalizado de WorkSpaces (p. 116)• Licenças Traga seu próprio desktop Windows (p. 116)

Criar uma imagem e um pacote personalizados deWorkSpaces

Se você iniciou um WorkSpace do Windows ou do Amazon Linux e o personalizou, será possível criar umaimagem personalizada e pacotes personalizados desse WorkSpace.

Uma imagem personalizada contém apenas o sistema operacional, o software e as configurações doWorkSpace. Um pacote personalizado é uma combinação dessa imagem personalizada com o hardwareonde o WorkSpace pode ser executado.

Depois de criar uma imagem personalizada, será possível criar um pacote personalizado que combinea imagem personalizada e a configuração de computação e armazenamento subjacente selecionada.Depois, você pode especificar esse pacote personalizado ao iniciar novos WorkSpaces para garantir queeles tenham a mesma configuração consistente (hardware e software).

É possível usar a mesma imagem personalizada para criar vários pacotes personalizados selecionandodiferentes opções de computação e armazenamento para cada pacote.

102


Amazon WorkSpaces Guia de AdministraçãoRequisitos para criar imagens personalizadas do Windows

Important

• Se você planeja criar uma imagem em um WorkSpace do Windows 10, observe que a criaçãode imagens não é compatível com os sistemas do Windows 10 que foram atualizados de umaversão do Windows 10 para uma versão mais recente do Windows 10 (uma atualização derecurso/versão do Windows). No entanto, as atualizações cumulativas ou de segurança doWindows são compatíveis com o processo de criação de imagens do WorkSpaces.

• Depois de 14 de janeiro de 2020, as imagens não podem ser criadas de pacotes públicos doWindows 7. Talvez você queira considerar a migração dos WorkSpaces do Windows 7 para oWindows 10. Para obter mais informações, consulte Migrar um WorkSpace (p. 97).

Os pacotes personalizados custam o mesmo que os pacotes públicos pelos quais são criados. Para obtermais informações sobre a definição de preço, consulte Definição de preço do Amazon WorkSpaces.

Tópicos• Requisitos para criar imagens personalizadas do Windows (p. 103)• Requisitos para criar imagens personalizadas do Amazon Linux (p. 104)• Melhores práticas (p. 104)• Etapa 1: Executar o Verificador de Imagens (p. 105)• Etapa 2: Criar uma imagem e um pacote personalizados (p. 112)• O que está incluído nas imagens personalizadas dos WorkSpaces do Windows (p. 113)• O que está incluído nas imagens personalizadas do WorkSpace do Amazon Linux (p. 114)

Requisitos para criar imagens personalizadas doWindows• O status do WorkSpace deve ser Disponível e seu estado de modificação deve ser Nenhum.• Todos os aplicativos e perfis de usuário em imagens de WorkSpaces devem ser compatíveis com o

Microsoft Sysprep.• Todos os aplicativos a serem incluídos na imagem devem ser instalados na unidade C.• O perfil do usuário deve existir, deve estar localizado em D:\Users\username e seu tamanho total

(arquivos e dados) deve ser menor do que 10 GB.• A unidade C deve ter pelo menos 12 GB de espaço disponível.• Todos os serviços de aplicativos em execução no WorkSpace devem usar uma conta do sistema local,

em vez de credenciais de usuário de domínio. Por exemplo, você não pode ter uma instalação doMicrosoft SQL Server Express em execução com as credenciais de um usuário do domínio.

• O WorkSpace não deve ser criptografado. A criação de imagem a partir de um WorkSpace criptografadonão tem suporte no momento.

• Os componentes a seguir são necessários em uma imagem. Sem esses componentes, os WorkSpacesiniciados a partir da imagem não funcionarão corretamente:• Windows PowerShell versão 3.0 ou posterior• Serviços de desktop remoto• Drivers PV da AWS• Gerenciamento remoto do Windows (WinRM)• Agentes e drivers do Teradici PCoIP• Agentes e drivers do STXHD• Certificados da AWS e dos WorkSpaces• Agente do Skylight

103

http://aws.amazon.com/workspaces/pricing/

Amazon WorkSpaces Guia de AdministraçãoRequisitos para criar imagens

personalizadas do Amazon Linux

Requisitos para criar imagens personalizadas doAmazon Linux• O status do WorkSpace deve ser Disponível e seu estado de modificação deve ser Nenhum.• Todos os aplicativos a serem incluídos na imagem devem ser instalados fora do volume do usuário (o

diretório /home).• O volume raiz (/) deve estar com menos de 97% de sua capacidade ocupada.• O WorkSpace não deve ser criptografado. A criação de imagem a partir de um WorkSpace criptografado

não tem suporte no momento.• Os componentes a seguir são necessários em uma imagem. Sem esses componentes, os WorkSpaces

iniciados a partir da imagem não funcionarão corretamente:• Cloud-init• Agentes e drivers do Teradici PCoIP• Agente do Skylight

Melhores práticasAntes de criar uma imagem de um WorkSpace, faça o seguinte:

• Use uma VPC separada que não esteja conectada ao ambiente de produção.• Implante o WorkSpace em uma sub-rede privada e use uma instância NAT para tráfego de saída.• Use um pequeno diretório do Simple AD.• Use o menor tamanho de volume para o WorkSpace de origem e ajuste o tamanho do volume conforme

necessário ao criar o pacote personalizado.• Instale todas as atualizações do sistema operacional (exceto as atualizações de recurso/versão do

Windows) e todas as atualizações de aplicativos no WorkSpace. Para obter mais informações, consultea Observação importante (p. 103) no início deste tópico.

• Exclua os dados em cache no WorkSpace que não devem ser incluídos no pacote (por exemplo,histórico de navegador, arquivos em cache e cookies do navegador).

• Exclua as definições de configuração do WorkSpace que não devem ser incluídas no pacote (porexemplo, perfis de e-mail).

• Alterne para configurações de endereço IP dinâmico usando DHCP.• Não exceda sua cota para imagens do WorkSpace permitidas em uma região. Por padrão, são

permitidas 20 imagens do WorkSpace por região. Se você atingiu essa cota, ocorrerão falhas em novastentativas de criar uma imagem. Para solicitar um aumento de cota, use o formulário Limites do AmazonWorkSpaces.

• Verifique se não está tentando criar uma imagem a partir de um WorkSpace criptografado. A criação deimagem a partir de um WorkSpace criptografado não tem suporte no momento.

• Se você estiver executando qualquer software antivírus no WorkSpace, desative-o enquanto estivertentando criar uma imagem.

• Se você tiver um firewall habilitado no WorkSpace, certifique-se de que ele não esteja bloqueandonenhuma porta necessária. Para obter mais informações, consulte Requisitos de endereço IP e portapara o Amazon WorkSpaces (p. 14).

• Para WorkSpaces do Windows, não configure GPOs (Objetos de política de grupo) antes da criação daimagem.

• Para WorkSpaces do Windows, não personalize o perfil do usuário padrão (C:\Users\Default) antesde criar uma imagem. Recomendamos fazer personalizações no perfil do usuário por meio de GPOse aplicá-los após a criação da imagem. Os GPOs podem ser facilmente modificados ou revertidos e,portanto, são menos propensos a erros do que as personalizações feitas no perfil do usuário padrão.

104

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces

Amazon WorkSpaces Guia de AdministraçãoEtapa 1: Executar o Verificador de Imagens

• Para WorkSpaces Linux, consulte também o whitepaper “Melhores práticas para preparar seus AmazonWorkSpaces para imagens Linux”.

Etapa 1: Executar o Verificador de ImagensNote

O Verificador de Imagens está disponível apenas para WorkSpaces do Windows. Se você estivercriando uma imagem de um WorkSpace do Linux, vá para Etapa 2: Criar uma imagem e umpacote personalizados (p. 112).

Para confirmar se o WorkSpace do Windows atende aos requisitos de criação de imagem, recomendamosexecutar o Verificador de Imagens. O Verificador de Imagens executa uma série de testes no WorkSpaceque você deseja usar para criar a imagem e fornece orientações sobre como resolver quaisquer problemasencontrados.

Important

• O WorkSpace deve passar em todos os testes executados pelo Verificador de Imagens paraque você possa usá-lo para criação de imagem.

• Antes de executar o Verificador de Imagens, verifique se as atualizações cumulativas e desegurança do Windows mais recentes estão instaladas no WorkSpace.

Para obter o Verificador de Imagens, siga um destes procedimentos:

• Reinicialize o WorkSpace. O Verificador de imagens é baixado automaticamente durante areinicialização e instalado em C:\Program Files\Amazon\ImageChecker.exe.

• Faça download do Verificador de imagens do Amazon WorkSpaces em https://tools.amazonworkspaces.com/ImageChecker.zip e extraia o arquivo ImageChecker.exe. Copie essearquivo em C:\Program Files\Amazon\.

Como executar o Verificador de Imagens

1. No menu Start (Iniciar) do Windows, escolha Windows System (Sistema Windows) e selecioneCommand Prompt (Prompt de comando).

2. Na janela Prompt de Comando, insira os comandos a seguir, um de cada vez, e pressione Enter apóscada comando.

c:cd C:\Program Files\AmazonImageChecker.exe

3. Quando perguntado “Deseja permitir que este aplicativo faça alterações no seu dispositivo?”, escolhaSim.

4. Na caixa de diálogo Amazon WorkSpaces Image Checker (Verificador de imagens do AmazonWorkSpaces) escolha Run (Executar).

5. Após a conclusão de cada teste, você pode visualizar o status do teste.

Para qualquer teste com o status FAILED (Com falha), selecione Info (Informações) para exibirinformações sobre como resolver o problema que provocou a falha. Para obter mais informaçõessobre como resolver esses problemas, consulte Dicas para resolver problemas detectados peloVerificador de imagens (p. 106).

Se algum teste exibir o status WARNING (Aviso), selecione o botão Fix all warnings (Corrigir todos osavisos).

105

https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html

https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html

https://tools.amazonworkspaces.com/ImageChecker.zip

https://tools.amazonworkspaces.com/ImageChecker.zip


A ferramenta gera um arquivo de log de saída no mesmo diretório onde o Verificador de Imagensestá localizado. Por padrão, esse arquivo está localizado em C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log.

Tip

Não exclua esse arquivo de log. Se ocorrer um problema, esse arquivo de log poderá ser útilna solução de problemas.

6. Se aplicável, resolva quaisquer problemas que causem falhas de teste e avisos e repita o processo deexecução do Verificador de Imagens até que o WorkSpace passe em todos os testes. Todas as falhase avisos devem ser resolvidos para que você possa criar uma imagem.

7. Depois que o WorkSpace passar em todos os testes, você verá a mensagem Validation Successful(Validação bem-sucedida). Agora você está pronto para criar um pacote personalizado.

Dicas para resolver problemas detectados pelo Verificador deimagensAlém de consultar as dicas a seguir para resolver problemas detectados pelo Verificador deimagens, verifique o arquivo de log do Verificador de imagens em C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log.

O PowerShell versão 3.0 ou posterior deve ser instalado

Instale a versão mais recente do Microsoft Windows PowerShell.

Important

A política de execução do PowerShell para um WorkSpace deve ser definida para permitir scriptsRemoteSigned. Para verificar a política de execução, execute o comando Get-ExecutionPolicydo PowerShell. Se a política de execução não estiver definida como Unrestricted (Irrestrito) ouRemoteSigned, execute o comando Set-ExecutionPolicy —ExecutionPolicy RemoteSigned paraalterar o valor da política de execução. A configuração RemoteSigned permite a execução descripts no Amazon WorkSpaces, o que é necessário para criar uma imagem.

Somente as unidades C e D podem estar presentes

Somente as unidades C e D podem estar presentes em um WorkSpace que é usado para criação deimagens. Remova todas as outras unidades, incluindo unidades virtuais.

Nenhuma reinicialização pendente devido às atualizações do Windows pode ser detectada

• O processo de criação de imagem não pode ser executado até que o Windows tenha sido reiniciadopara concluir a instalação de atualizações de segurança ou cumulativas. Reinicie o Windows para aplicaressas atualizações e certifique-se de que nenhuma outra atualização de segurança ou cumulativa doWindows precise ser instalada.

• Não há suporte para a criação de imagens nos sistemas Windows 10 que foram atualizados de umaversão do Windows 10 para uma mais recente (uma atualização de recurso/versão do Windows). Noentanto, as atualizações cumulativas ou de segurança do Windows são compatíveis com o processo decriação de imagens do WorkSpaces.

O arquivo Sysprep deve existir e não pode estar em branco

Se houver problemas com o arquivo Sysprep, entre em contato com o AWS Support Center para repararseu EC2Config ou EC2Launch.

106

https://docs.microsoft.com/powershell



O tamanho do perfil do usuário deve ser inferior a 10 GB

O perfil do usuário (D:\Users\username) deve ter menos de 10 GB no total. Remova os arquivosconforme necessário para reduzir o tamanho do perfil do usuário.

A unidade C deve ter espaço livre suficiente

Você deve ter pelo menos 12 GB de espaço livre na unidade C. Remova os arquivos conforme necessáriopara liberar espaço na unidade C.

Nenhum serviço pode estar em execução em uma conta de domínio

Para executar o processo de criação de imagem, nenhum serviço no WorkSpace pode estar em execuçãoem uma conta de domínio. Todos os serviços devem estar em execução em uma conta local.

Como executar serviços em uma conta local

1. Abra C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log e localize a lista deserviços que estão em execução em uma conta de domínio.

2. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços doWindows.

3. Em Log On As (Fazer login como), procure os serviços que estão em execução em contas de domínio.(Os serviços executados como Local System (Sistema local), Local Service (Serviço local) ou NetworkService (Serviço de rede) não interferem na criação de imagens.)

4. Selecione um serviço que esteja em execução em uma conta de domínio e escolha Action (Ação),Properties (Propriedades).

5. Abra a guia Log On (Fazer login). Em Log on as (Fazer login como), escolha Local System account(Conta do sistema local).

6. Escolha OK.

Amazon WorkSpaces Application Manager (Amazon WAM) deve ser instalado

Se você tiver usado o Amazon WAM para atribuir aplicativos aos seus usuários, deverá configurar oinstalador do Amazon WAM no WorkSpace. Ao terminar, o atalho do Amazon WAM será exibido na áreade trabalho do WorkSpace.

O WorkSpace deve ser configurado para usar DHCP

É necessário configurar todos os adaptadores de rede no WorkSpace para usar DHCP em vez deendereços IP estáticos.

Como definir todos os adaptadores de rede para usar DHCP

1. Na caixa de pesquisa do Windows, digite control panel para abrir o Painel de Controle.2. Escolha Rede e Internet.3. Escolha Central de Rede e Compartilhamento.4. Escolha Alterar as configurações do adaptador e selecione um adaptador.5. Escolha Alterar as configurações desta conexão.6. Na guia Rede selecione Protocolo TCP/IP Versão 4 (TCP/IPv4) e, depois, escolha Propriedades.7. Na caixa de diálogo Propriedades de Protocolo TCP/IP Versão 4 (TCP/IPv4) selecione Obter um

endereço IP automaticamente.8. Escolha OK.

107

https://docs.aws.amazon.com/wam/latest/adminguide/setup_wam.html

https://docs.aws.amazon.com/wam/latest/adminguide/setup_wam.html


9. Repita esse processo para todos os adaptadores de rede no WorkSpace.

Os Serviços de área de trabalho remota devem estar habilitados

O processo de criação de imagem requer que os Serviços de área de trabalho remota sejam habilitados.

Como habilitar os Serviços de área de trabalho remota


2. Na coluna Name (Nome) localize Remote Desktop Services (Serviços de área de trabalho remota).3. Selecione Remote Desktop Services (Serviços de área de trabalho remota) e, depois, escolha Action

(Ação), Properties (Propriedades).4. Na guia General (Geral), em Startup type (Tipo de inicialização), escolha Manual ou Automatic

(Automático).5. Escolha OK.

Deve existir um perfil do usuário

O WorkSpace que você está usando para criar imagens deve ter um perfil do usuário (D:\Users\username). Se ocorrer uma falha nesse teste, entre em contato com o AWS Support Center para obterassistência.

O caminho da variável de ambiente deve ser configurado corretamente

O caminho da variável de ambiente para a máquina local não tem entradas para System32 e WindowsPowerShell. Essas entradas são necessárias para a execução do processo de criação de imagem.

Como configurar o caminho da variável de ambiente

1. Na caixa de pesquisa do Windows, insira environment variables e escolha Edit the systemenvironment variables (Editar as variáveis de ambiente do sistema).

2. Na caixa de diálogo System Properties (Propriedades do sistema), abra a guia Advanced (Avançado)e escolha Environment Variables (Variáveis de ambiente).

3. Na caixa de diálogo Environment Variables (Variáveis de ambiente), em System variables (Variáveisde sistema), selecione a entrada Path (Caminho) e escolha Edit (Editar).

4. Escolha New (Novo) e adicione o seguinte caminho:

C:\Windows\System32

5. Escolha New (Novo) novamente e adicione o seguinte caminho:

C:\Windows\System32\WindowsPowerShell\v1.0\

6. Escolha OK.7. Reinicie o WorkSpace.

Tip

A ordem em que os itens aparecem no caminho da variável de ambiente é importante.Para determinar a ordem correta, convém comparar o caminho da variável de ambiente doWorkSpace com um de um WorkSpace recém-criado ou uma nova instância do Windows.

O instalador de módulos do Windows deve estar habilitado

O processo de criação de imagem requer que o serviço Instalador de módulos do Windows estejahabilitado.

108



Como habilitar o serviço Instalador de módulos do Windows


2. Na coluna Name (Nome), localize Windows Modules Installer (Instalador de módulos do Windows).3. Selecione Windows Modules Installer (Instalador de módulos do Windows) e, depois, escolha Action

(Ação), Properties (Propriedades).4. Na guia General (Geral), em Startup type (Tipo de inicialização), escolha Manual ou Automatic

(Automático).5. Escolha OK.

O Amazon SSM Agent deve ser desativado

O processo de criação de imagem requer que o serviço Amazon SSM Agent seja desativado.

Como desativar o serviço Amazon SSM Agent


2. Na coluna Name (Nome), localize o Amazon SSM Agent.3. Selecione Amazon SSM Agent e, depois, escolha Action (Ação), Properties (Propriedades).4. Na guia General (Geral), em Startup type (Tipo de inicialização), escolha Disabled (Desativado).5. Escolha OK.

O SSL3 e o TLS versão 1.2 devem estar habilitados

Para configurar o SSL/TLS para Windows, consulte Como habilitar o TLS 1.2 na documentação doMicrosoft Windows.

Somente um perfil do usuário pode existir no WorkSpace

Só pode haver um perfil do usuário dos WorkSpaces (D:\Users\username) no WorkSpace quevocê está usando para criar imagens. Exclua todos os perfis do usuário que não pertençam ao usuáriopretendido do WorkSpace.

Para que a criação de imagens funcione, o WorkSpace pode ter apenas três perfis do usuário:

• O perfil do usuário pretendido do WorkSpace (D:\Users\username)• O perfil do usuário padrão (também conhecido como perfil padrão)• O perfil do usuário Administrador

Se houver perfis do usuário adicionais, será possível excluí-los por meio das propriedades avançadas dosistema no Painel de Controle do Windows.

Como excluir um perfil do usuário

1. Para acessar as propriedades avançadas do sistema, siga um destes procedimentos:

• Pressione a tecla Windows+Pause Break e escolha Advanced system settings (Configuraçõesavançadas do sistema) no painel esquerdo da caixa de diálogo Control Panel (Painel de Controle) >System and Security (Sistema e Segurança) > System (Sistema).

• Na caixa de pesquisa do Windows, digite control panel. No Painel de Controle, escolha Systemand Security (Sistema e Segurança), escolha System (Sistema) e, depois, selecione Advanced

109

https://docs.microsoft.com/configmgr/core/plan-design/security/enable-tls-1-2


system settings (Configurações avançadas do sistema) no painel esquerdo da caixa de diálogoControl Panel (Painel de Controle) > System and Security (Sistema e Segurança) > System(Sistema).

2. Na caixa de diálogo System Properties (Propriedades do sistema) na guia Advanced (Avançado)escolha Settings (Configurações) em User Profiles (Perfis do usuário).

3. Se estiver listado qualquer perfil que não seja o Administrador, o perfil padrão e o perfil do usuário doWorkSpaces pretendido, selecione esse perfil adicional e escolha Delete (Excluir).

4. Quando perguntado se deseja excluir o perfil, escolha Yes (Sim).5. Se necessário, repita as Etapas 3 e 4 para remover quaisquer outros perfis que não pertençam ao

WorkSpace.6. Escolha OK duas vezes e feche o Painel de Controle.7. Reinicie o WorkSpace.

Nenhum pacote AppX pode estar em um estado de preparo

Um ou mais pacotes AppX estão em um estado de preparo. Isso pode causar um erro de Sysprep durantea criação da imagem.

Como remover todos os pacotes do AppX preparados

1. Na caixa de pesquisa do Windows, digite powershell. Escolha Executar como administrador.2. Quando perguntado “Deseja permitir que este aplicativo faça alterações no seu dispositivo?”, escolha

Sim.3. Na janela do Windows PowerShell, digite os seguintes comandos para listar todos os pacotes do AppX

preparados e pressione Enter após cada um.

$workSpaceUserName = $env:username

$allAppxPackages = Get-AppxPackage -AllUsers

$packages = $allAppxPackages | Where-Object { ` (($_.PackageUserInformation -like "*S-1-5-18*" -and !($_.PackageUserInformation -like "*$workSpaceUserName*")) -and ` ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or ` ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and ` $_.PackageUserInformation -like "*Staged*") }

4. Digite o comando a seguir para remover todos os pacotes AppX preparados e pressione Enter.

$packages | Remove-AppxPackage -ErrorAction SilentlyContinue

5. Execute o Verificador de imagens novamente. Se este teste ainda falhar, digite os comandos a seguirpara remover todos os pacotes AppX e pressione Enter após cada um.

Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -ErrorAction SilentlyContinue

Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue

110


O Windows não pode ter sido atualizado de uma versão anterior

Não há suporte para a criação de imagens nos sistemas Windows que foram atualizados de uma versãodo Windows 10 para uma mais recente (atualização de um recurso/versão do Windows).

Para criar imagens, use um WorkSpace que não tenha sido submetido a uma atualização de recurso/versão do Windows.

A contagem de rearmação do Windows não deve ser 0

O recurso rearmar permite que você estenda o período de ativação para a versão de avaliação doWindows. O processo de criação de imagem requer que a contagem de rearmação seja um valor diferentede 0.

Como verificar a contagem de rearmação do Windows

1. No menu Start (Iniciar) do Windows, escolha Windows System (Sistema Windows) e selecioneCommand Prompt (Prompt de comando).

2. Na janela Command Prompt (Prompt de comando), digite o comando a seguir e depois pressioneEnter.

cscript C:\Windows\System32\slmgr.vbs /dlv

Para redefinir a contagem de rearmação como um valor diferente de 0, consulte Sysprep (Generalize)uma instalação do Windows na documentação do Microsoft Windows.

Outras dicas de solução de problemas

Se o WorkSpace passar em todos os testes executados pelo Verificador de imagens, mas você ainda nãoconseguir criar uma imagem a partir do WorkSpace, verifique os seguintes problemas:

• Certifique-se de que o WorkSpace não esteja atribuído a um usuário dentro de um grupo Convidados dodomínio. Para verificar se existem contas de domínio, execute o comando do PowerShell a seguir.

Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "*$env:USERDOMAIN*" }

• Somente para WorkSpaces do Windows 7: se ocorrerem problemas enquanto o perfil do usuário estiversendo copiado durante a criação da imagem, verifique os seguintes problemas:• Caminhos de perfil longos podem causar erros de criação de imagem. Certifique-se de que os

caminhos de todas as pastas dentro do perfil do usuário tenham menos de 261 caracteres.• Certifique-se de conceder permissões totais na pasta de perfil para o sistema e todos os pacotes de

aplicativos.• Se algum arquivo no perfil do usuário estiver bloqueado por um processo ou estiver em uso durante a

criação da imagem, poderá ocorrer uma falha na cópia do perfil.• Alguns GPOs (Objetos de política de grupo) restringem o acesso à impressão digital do certificado RDP

quando ela é solicitada pelo serviço EC2Config ou pelos scripts EC2Launch durante a configuração dainstância do Windows. Antes de tentar criar uma imagem, mova o WorkSpace para uma nova unidadeorganizacional (UO) com herança bloqueada e nenhum GPO aplicado.

• Verifique se o serviço Gerenciamento Remoto do Windows (WinRM) está configurado para ser iniciadoautomaticamente. Faça o seguinte:1. Na caixa de pesquisa do Windows, digite services.msc para abrir o Gerenciador de Serviços do

Windows.2. Na coluna Nome localize Gerenciamento Remoto do Windows (WS-Management).3. Selecione Gerenciamento Remoto do Windows (WS-Management) e escolha Ação, Propriedades.

111

https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation

https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation

Amazon WorkSpaces Guia de AdministraçãoEtapa 2: Criar uma imagem e um pacote personalizados

4. Na guia Geral, em Tipo de inicialização, escolha Automático.5. Escolha OK.

Etapa 2: Criar uma imagem e um pacotepersonalizadosDepois de validar a imagem do WorkSpace, é possível prosseguir com a criação da imagem e do pacotepersonalizados.

Como criar uma imagem e um pacote personalizados

1. Se você ainda estiver conectado ao WorkSpace, desconecte-se.2. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.3. No painel de navegação, selecione WorkSpaces.4. Selecione o WorkSpace e escolha Actions (Ações), Create Image (Criar imagem).5. Uma mensagem é exibida, solicitando que você reinicie o WorkSpace antes de continuar. Reiniciar o

WorkSpace atualiza o software Amazon WorkSpaces para a versão mais recente.

Reinicie o WorkSpace fechando a mensagem e siga as etapas em Reinicie um WorkSpace (p. 89).Quando terminar, repita Step 4 (p. 112) desse procedimento, mas desta vez selecione Próximoquando a mensagem de reinicialização for exibida. Para criar uma imagem, o status do WorkSpacedeve ser Available (Disponível) e o estado de modificação deve ser None (Nenhum).

6. Insira um nome de imagem e uma descrição que o ajudarão a identificar a imagem e escolhaCreate Image (Criar imagem). Enquanto a imagem é criada, o status do WorkSpace é Suspended(Suspenso), e ele fica indisponível.

7. No painel de navegação, selecione Images (Imagens). A imagem estará concluída quando o status doWorkSpace for alterado para Available (Disponível).

8. Selecione a imagem e Actions (Ações), Create Bundle (Criar pacote).9. Insira o nome de um pacote e uma descrição. Depois, faça o seguinte:

• Em Bundle Type (Tipo de pacote), escolha o hardware a ser usado ao iniciar os WorkSpaces apartir desse pacote personalizado.

• Em Root Volume Size (Tamanho do volume raiz), deixe o valor padrão ou insira um novo valor igualou maior que o tamanho atual. Depois, insira um valor para User Volume Size (Tamanho do volumedo usuário).

Os tamanhos disponíveis padrão para o volume raiz (para Microsoft Windows, a unidade C e, paraLinux, /) e o volume do usuário (para Windows, a unidade D e, para Linux, /home) são:• Raiz: 80 GB, usuário: 10 GB, 50 GB ou 100 GB• Raiz: 175 GB, usuário: 100 GB• Somente para WorkSpaces Graphics e GraphicsPro: raiz: 100 GB, Usuário: 100 GB

Também é possível expandir os volumes raiz e do usuário para até 2.000 GB cada um.Note

Para garantir que os dados sejam preservados, não é possível diminuir o tamanho da raiz eos volumes do usuário ou depois que você iniciar um WorkSpace. Em vez disso, certifique-se de especificar os tamanhos mínimos para esses volumes ao iniciar um WorkSpace. Épossível iniciar um WorkSpace Value, Standard, Performance, Power ou PowerPro com nomínimo 80 GB para o volume raiz e 10 GB para o volume do usuário. É possível iniciar umWorkSpace Graphics ou GraphicsPro com no mínimo 100 GB para o volume raiz e 100 GBpara o volume do usuário.

112


Amazon WorkSpaces Guia de AdministraçãoO que está incluído nas imagens

personalizadas dos WorkSpaces do Windows

10. Escolha Criar pacote.

O que está incluído nas imagens personalizadas dosWorkSpaces do WindowsAo criar uma imagem a partir de um WorkSpace do Windows 7 ou 10, todo o conteúdo da unidade C éincluído.

Para WorkSpaces do o Windows 10, o perfil do usuário em D:\Users\username não é incluído naimagem personalizada.

Para WorkSpaces do Windows 7, todo o conteúdo do perfil do usuário em D:\Users\username éincluído, exceto os seguintes itens:

• Contatos• Downloads• Música• Imagens• Jogos salvos• Vídeos• Podcasts• Máquinas virtuais• .virtualbox• Rastreamento• appdata\local\temp• appdata\roaming\apple computer\mobilesync\• appdata\roaming\apple computer\logs\• appdata\roaming\apple computer\itunes\iphone software updates\• appdata\roaming\macromedia\flash player\macromedia.com\support\flashplayer\sys\• appdata\roaming\macromedia\flash player\#sharedobjects\• appdata\roaming\adobe\flash player\assetcache\• appdata\roaming\microsoft\windows\recent\• appdata\roaming\microsoft\office\recent\• appdata\roaming\microsoft office\live meeting• appdata\roaming\microsoft shared\livemeeting shared\• appdata\roaming\mozilla\firefox\crash reports\• appdata\roaming\mcafee\common framework\• appdata\local\microsoft\feeds cache• appdata\local\microsoft\windows\temporary internet files\• appdata\local\microsoft\windows\history\• appdata\local\microsoft\internet explorer\domstore\• appdata\local\microsoft\internet explorer\imagestore\• appdata\locallow\microsoft\internet explorer\iconcache\• appdata\locallow\microsoft\internet explorer\domstore\

113

Amazon WorkSpaces Guia de AdministraçãoO que está incluído nas imagens

personalizadas do WorkSpace do Amazon Linux

• appdata\locallow\microsoft\internet explorer\imagestore\• appdata\local\microsoft\internet explorer\recovery\• appdata\local\mozilla\firefox\profiles\

O que está incluído nas imagens personalizadas doWorkSpace do Amazon LinuxQuando você cria uma imagem usando um WorkSpace do Amazon Linux, todo o conteúdo do volumedo usuário (/home) é removido. O conteúdo do volume raiz (/) é incluído, exceto as seguintes pastas echaves, que são removidas:

• /tmp• /var/spool/mail• /var/tmp• /var/lib/dhcp• /var/lib/cloud• /var/cache• /var/backups• /etc/sudoers.d• /etc/udev/rules.d/70-persistent-net.rules• /etc/network/interfaces.d/50-cloud-init.cfg• /etc/security/access.conf• /var/log/amazon/ssm• /var/log/pcoip-agent• /var/log/skylight• /var/lock/.skylight.domain-join.lock• /var/lib/skylight/domain-join-status• /var/lib/skylight/configuration-data• /var/lib/skylight/config-data.json• /home

As seguintes chaves são destruídas durante a criação da imagem personalizada:

• /etc/ssh/ssh_host_*_key• /etc/ssh/ssh_host_*_key.pub• /var/lib/skylight/tls.*• /var/lib/skylight/private.key• /var/lib/skylight/public.key

Atualizar um pacote personalizado de WorkSpacesÉ possível atualizar um pacote de WorkSpaces personalizados existente modificando um WorkSpace combase no pacote, criando uma imagem do WorkSpace e atualizando o pacote com a nova imagem. Vocêpode ativar novos WorkSpaces usando o pacote atualizado.

114

Amazon WorkSpaces Guia de AdministraçãoCopiar uma imagem personalizada

Important

Os WorkSpaces existentes não são atualizados automaticamente quando você atualiza o pacoteno qual eles são baseados. Para atualizar os WorkSpaces existentes baseados em um pacoteque você atualizou, você deve recriar os WorkSpaces ou excluí-los e recriá-los.

Como atualizar um pacote

1. Conecte-se a um WorkSpace com base no pacote e faça as alterações desejadas. Por exemplo, vocêpode aplicar os patches mais recentes do sistema operacional e dos aplicativos e instalar aplicativosadicionais.

Você também pode criar um WorkSpace com o mesmo pacote de software base (Plus ou Standard)que a imagem usada para criar o pacote e fazer alterações.

2. Se você ainda estiver conectado ao WorkSpace, desconecte-se.3. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.4. No painel de navegação, selecione WorkSpaces.5. Selecione o WorkSpace e escolha Actions (Ações), Create Image (Criar imagem).6. Insira um nome de imagem e uma descrição, e escolha Create Image (Criar imagem). O WorkSpace

permanece indisponível enquanto a imagem está sendo criada.7. No painel de navegação, selecione Pacotes.8. Selecione o pacote e Ações, Atualizar pacote.9. Em Atualizar pacote de WorkSpace, selecione a imagem que você criou e escolha Atualizar pacote.10. Conforme necessário, atualize todos os WorkSpaces existentes baseados no pacote recriando os

WorkSpaces ou excluindo-os e recriando-os. Para obter mais informações, consulte Recriação de umWorkSpace (p. 89).

Copiar uma imagem personalizada de WorkSpacesVocê pode copiar uma imagem personalizada de WorkSpaces em uma região ou entre regiões da AWS.A cópia de uma imagem resulta na criação de uma imagem idêntica, mas com seu próprio identificadorexclusivo.

É possível copiar uma imagem BYOL (Bring Your Own License) para outra região, desde que a região dedestino esteja habilitada para BYOL.

Não há cobrança adicional para a cópia de imagens entre regiões. No entanto, é aplicada a cota denúmero de imagens na região de destino.

É possível copiar imagens uma a uma usando o console. Para copiar imagens em massa, use a operaçãode API CopyWorkspaces ou o comando copy-workspace-image na interface da linha de comando (CLI)da AWS. Para obter mais informações, consulte CopyWorkspaceImage no Referência de API do AmazonWorkSpaces ou consulte copy-workspace-image no AWS CLI Command Reference.

Como copiar uma imagem

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Images (Imagens).3. Selecione a imagem personalizada e escolha Actions (Ações), Copy Image (Copiar imagem).4. Forneça um nome, descrição e região para a imagem copiada e selecione Copy Image (Copiar

imagem).

115


https://docs.aws.amazon.com/workspaces/latest/api/API_CopyWorkspaceImage.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/copy-workspace-image.html


Amazon WorkSpaces Guia de AdministraçãoExcluir uma imagem ou um pacote personalizado

Excluir uma imagem ou um pacote personalizadode WorkSpaces

Você pode excluir pacotes personalizados não utilizados, conforme necessário. Se você excluir um pacoteque estiver sendo usado por um WorkSpace, ele será colocado em uma fila de exclusão e será excluídoapós todos os WorkSpaces baseados no pacote serem excluídos.

Como excluir um pacote

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Pacotes.3. Selecione o pacote e Ações, Excluir pacote.4. Quando a confirmação for solicitada, escolha Excluir pacote.

Depois de excluir um pacote personalizado, é possível excluir a imagem que usou para criar ou atualizar opacote.

Para excluir uma imagem

Note

Para excluir uma imagem, primeiro é necessário excluir todos os pacotes associados à imageme cancelar o compartilhamento da imagem, caso ela seja compartilhada com outras contas. Aimagem também não pode estar no estado PENDING nem VALIDATING.

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Images (Imagens).3. Selecione a imagem personalizada e Ações, Excluir imagem.4. Quando a confirmação for solicitada, escolha Excluir imagem.

Licenças Traga seu próprio desktop WindowsSe o seu acordo de licenciamento com a Microsoft permitir, será possível usar as licenças de desktop doWindows 10 Enterprise ou do Windows 10 Pro nos WorkSpaces. Para fazer isso, é necessário trazer suaprópria licença do Windows (BYOL) e fornecer uma licença do Windows 10 que atenda aos requisitos aseguir. Para permanecer em conformidade com os termos de licenciamento da Microsoft, a AWS executaos WorkSpaces BYOL em um hardware dedicado a você na Nuvem AWS. Ao trazer sua própria licença,você pode proporcionar uma experiência consistente para os seus usuários. Para obter mais informações,consulte a Definição de preço do Amazon WorkSpaces.

Important

Não há suporte para a criação de imagens nos sistemas Windows 10 que foram atualizadosde uma versão do Windows 10 para uma mais recente (uma atualização de recurso/versãodo Windows). No entanto, as atualizações cumulativas ou de segurança do Windows sãocompatíveis com o processo de criação de imagens do WorkSpaces.

Para começar, abra o console do Amazon WorkSpaces e selecione Account settings (Configurações daconta) para ativar sua conta para BYOL.

116




Amazon WorkSpaces Guia de AdministraçãoRequisitos

Tópicos• Requisitos (p. 117)• Versões do Windows com suporte para BYOL (p. 118)• Etapa 1: Ativar BYOL para sua conta usando o console do Amazon WorkSpaces (p. 118)• Etapa 2: Executar o script BYOL Checker PowerShell em uma VM do Windows (p. 119)• Etapa 3: Exportar a VM a partir do seu ambiente de virtualização (p. 120)• Etapa 4: importar a VM como uma imagem para o Amazon EC2 (p. 121)• Etapa 5: Criar uma imagem BYOL usando o console do Amazon WorkSpaces (p. 121)• Etapa 6: Criar um pacote personalizado a partir da imagem de BYOL. (p. 122)• Etapa 7: Registrar um diretório para WorkSpaces dedicados (p. 122)• Etapa 8: Ativar o WorkSpace BYOL (p. 123)

RequisitosAntes de começar, verifique o seguinte:

• Seu contrato de licenciamento da Microsoft permite que o Windows seja executado em um ambiente dehost virtual.

• Se você pretende usar pacotes não habilitados para GPU (pacotes que não sejam Graphics eGraphicsPro), garanta que usará, no mínimo, 200 Amazon WorkSpaces. Esses 200 WorkSpaces podemser qualquer combinação de WorkSpaces AlwaysOn e AutoStop. Usar no mínimo 200 WorkSpaces é umrequisito para executar Amazon WorkSpaces no hardware dedicado. É necessário executar seu AmazonWorkSpaces em hardware dedicado para estar em conformidade com os requisitos de licenciamento daMicrosoft. O hardware dedicado é provisionado no lado da AWS, para que sua VPC possa permanecerna locação padrão.

Se planeja usar pacotes habilitados para GPU (Graphics and GraphicsPro), verifique se você executaráum mínimo de 4 WorkSpaces AlwaysOn ou 20 AutoStop habilitados para GPU em uma região por mêsem um hardware dedicado.

• O Amazon WorkSpaces pode usar uma interface de gerenciamento no intervalo de endereço IP /16.A interface de gerenciamento está conectada a uma rede de gerenciamento do Amazon WorkSpacessegura usada para streaming interativo. Isso permite que o Amazon WorkSpaces gerencie osWorkSpaces. Para obter mais informações, consulte Interfaces de rede (p. 24). É necessário reservaruma máscara de rede /16 de pelo menos um dos seguintes intervalos de endereços IP para este fim:• 10.0.0.0/8• 100.64.0.0/10• 172.16.0.0/12• 192.168.0.0/16• 198.18.0.0/15

Note

À medida que você adotar o serviço do WorkSpaces, os intervalos de endereços IP da interfacede gerenciamento disponíveis mudam com frequência. Para determinar quais intervalos estãodisponíveis no momento, execute o comando list-available-management-cidr-ranges da AWSCommand Line Interface (AWS CLI).

• Você tem uma máquina virtual (VM) que executa uma versão de 64 bits do Windows. Para obter umalista de versões compatíveis, consulte a próxima seção deste tópico, Versões do Windows com suportepara BYOL (p. 118). A VM também deve atender a estes requisitos:• O sistema operacional Windows precisa estar ativado em relação aos servidores de gerenciamento de

chaves.

117

https://docs.aws.amazon.com/cli/latest/reference/workspaces/list-available-management-cidr-ranges.html

Amazon WorkSpaces Guia de AdministraçãoVersões do Windows com suporte para BYOL

• O sistema operacional Windows deve ter English (United States) [inglês (Estados Unidos)] como oidioma principal.

• Nenhum software além dos fornecidos com o Windows pode ser instalado na VM. Você podeadicionar outros softwares, como uma solução antivírus, ao criar uma imagem personalizadaposteriormente.

• Não personalize o perfil do usuário padrão (C:\Users\Default) nem faça outras personalizaçõesantes de criar uma imagem. Todas as personalizações devem ser feitas após a criação da imagem.Recomendamos fazer personalizações no perfil do usuário por meio de GPOs (Objetos de política degrupo) e aplicá-los após a criação da imagem. Isso ocorre porque as personalizações feitas por meiode GPOs podem ser facilmente modificadas ou revertidas e são menos propensas a erros do que aspersonalizações feitas no perfil do usuário padrão.

• É necessário criar uma conta WorkSpaces_BYOL com acesso de administrador local antes decompartilhar a imagem. A senha para essa conta pode ser necessária mais tarde, portanto, anote-a.

• A VM deve estar em um único volume com um tamanho máximo de 70 GB e pelo menos 10 GB deespaço livre.

• Sua VM deve executar o Windows PowerShell versão 4 ou posterior.• Verifique se você instalou os patches mais recentes do Microsoft Windows antes de executar o script

BYOL Checker PowerShell na Etapa 2 (p. 119) posteriormente neste tópico.

Versões do Windows com suporte para BYOLA VM deve executar uma das seguintes versões do Windows:

• Windows 10 versão 1803 (April 2018 Update)• Windows 10 versão 1809 (atualização de outubro de 2018)• Windows 10 versão 1903 (atualização de maio de 2019)• Windows 10 versão 1909 (atualização de novembro de 2019)

Todas as versões de sistema operacionais compatíveis oferecem suporte a todos os tipos de computaçãodisponíveis na região da AWS onde você está usando WorkSpaces. As versões do Windows que não têmmais suporte da Microsoft não têm garantia de funcionamento e não têm suporte do AWS Support.

Etapa 1: Ativar BYOL para sua conta usando oconsole do Amazon WorkSpacesPara habilitar o BYOL na sua conta, você deve especificar uma interface de rede de gerenciamento. Elaé conectada a uma rede de gerenciamento segura do Amazon WorkSpaces. Ela é usada para streaminginterativo da área de trabalho do WorkSpace para os clientes Amazon WorkSpaces e para permitir que oAmazon WorkSpaces gerencie o WorkSpace.

Note

As etapas neste procedimento para habilitar o BYOL na sua conta precisam ser realizadassomente uma vez por conta, por região.

Para habilitar o BYOL na sua conta usando o console do Amazon WorkSpaces

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Account Settings (Configurações da conta). Se sua conta não

estiver qualificada para BYOL, uma mensagem apresenta orientações para as próximas etapas.

118


Amazon WorkSpaces Guia de AdministraçãoEtapa 2: Executar o script BYOL Checker

PowerShell em uma VM do Windows

3. Em Bring Your Own License (BYOL) (Traga sua própria licença), na área Management networkinterface IP address range (Intervalo de endereços IP da rede de gerenciamento), escolha umintervalo de endereços IP e selecione Display available CIDR blocks (Exibir blocos CIDR disponíveis).

O Amazon WorkSpaces procura e exibe os intervalos de endereços IP disponíveis como blocos deroteamento sem classe entre domínios (CIDR) IPv4, dentro do intervalo que você especificar. Se vocêprecisar de um intervalo de endereços IP determinado, pode editar o intervalo de pesquisa.

Important

Depois de especificar um intervalo de endereços IP, você não poderá modificá-lo. Lembre-se de especificar um intervalo de endereços IP que não entre em conflito com os intervalosusados em sua rede interna. Se você tiver alguma dúvida sobre qual intervalo especificar,entre em contato com o gerente de conta ou representante de vendas da AWS ou entre emcontato com o AWS Support Center antes de prosseguir.

4. Escolha o bloco CIDR que você deseja na lista de resultados e, em seguida, escolha Enable BYOL(Ativar BYOL).

Esse processo pode levar várias horas. Enquanto o Amazon WorkSpaces estiver habilitando contapara BYOL, vá para a próxima etapa.

Etapa 2: Executar o script BYOL Checker PowerShellem uma VM do WindowsDepois de habilitar o BYOL para a sua conta, você deve confirmar se a VM atende aos requisitos deBYOL. Para fazer isso, execute estas etapas para fazer download e executar o script BYOL CheckerPowerShell do Amazon WorkSpaces. O script executa uma série de testes na VM que você planeja usarpara criar sua imagem.

Important

A VM deve passar em todos os testes para que você possa usá-la para BYOL.

Para fazer o download do script BYOL Checker

Antes de fazer download e executar o script BYOL Checker, verifique se as atualizações de segurança doWindows mais recentes estão instaladas na sua VM. Enquanto o script é executado, ele desativa o serviçoWindows Update.

1. Faça download do arquivo .zip do script do BYOL Checker de https://tools.amazonworkspaces.com/BYOLChecker.zip para a pasta Downloads.

2. Na pasta Downloads, crie uma pasta BYOL.3. Extraia os arquivos de BYOLChecker.zip e copie-os na pasta Downloads\BYOL.4. Exclua a pasta Downloads\BYOLChecker.zip para que apenas os arquivos extraídos

permaneçam.

Realize essas etapas para executar o script BYOL Checker.

Para executar o script BYOL Checker

1. Na área de trabalho do Windows, abra o Windows PowerShell. Selecione o botão Start (Iniciar) noWindows, clique com o botão direito em Windows PowerShell (PowerShell do Windows) e selecioneRun as administrator (Executar como administrador). Se você for solicitado pelo Controle de conta deusuário a escolher se deseja permitir que o PowerShell faça alterações no seu dispositivo, selecioneYes (Sim).

119


https://tools.amazonworkspaces.com/BYOLChecker.zip

https://tools.amazonworkspaces.com/BYOLChecker.zip

Amazon WorkSpaces Guia de AdministraçãoEtapa 3: Exportar a VM a partir

do seu ambiente de virtualização

2. No prompt de comando do PowerShell, altere para o diretório onde o script do BYOL Checkerestá localizado. Por exemplo, se o script estiver localizado no diretório Downloads\BYOL, insira ocomando a seguir e pressione Enter:

cd C:\Users\username\Downloads\BYOL

3. Insira o comando a seguir para atualizar a política de execução do PowerShell no computador. Issopermite que o script BYOL Checker execute:

Set-ExecutionPolicy Unrestricted

4. Quando solicitado a confirmar se deseja alterar a política de execução do PowerShell, insira A paraindicar Sim para todos.

5. Insira o comando a seguir para executar o script BYOL Checker.

.\BYOLChecker.ps1

6. Se uma notificação de segurança for exibida, pressione a tecla R para executar uma vez.7. Na caixa de diálogo Amazon WorkSpaces Image Validation (Validação da imagem), selecione Begin

Tests (Iniciar tarefas).8. Após a conclusão de cada teste, você pode visualizar o status do teste. Para qualquer teste com o

status FAILED (Com falha), selecione Info (Informações) para exibir informações sobre como resolvero problema que provocou a falha. Se algum teste exibir o status WARNING (Aviso), selecione o botãoFix all warnings (Corrigir todos os avisos).

9. Se aplicável, resolva qualquer problema que causam avisos e falhas de teste e repita Step 7 (p. 120)e Step 8 (p. 120) até que a VM passe em todos os testes. Todas as falhas e avisos devem serresolvidos antes de exportar a VM.

10. O script do BYOL Checker gera dois arquivos de registro, BYOLPrevalidationlogYYYY-MM-DD_HHmmss.txt e ImageInfo.text. Esses arquivos estão localizados no diretório que contém osarquivos do script BYOL Checker.

Tip

Não exclua esses arquivos. Se ocorrer algum problema, eles poderão ajudar a resolver.11. Depois que sua VM é aprovada em todos os testes, você recebe a mensagem Validation Successful

(Validação bem-sucedida). Revise as configurações regionais da VM exibidas na ferramenta. Paraatualizar as configurações regionais, siga estas instruções na documentação da Microsoft e execute oscript BYOL Checker novamente.

12. Desligue a VM e crie um snapshot dela.13. Escolha Run Sysprep (Executar o Sysprep). Se o Sysprep for bem-sucedido, a VM exportada após

Step 12 (p. 120) poderá ser importada para o Amazon Elastic Compute Cloud (Amazon EC2). Casocontrário, revise os logs do Sysprep, reverta para o snapshot criado em Step 12 (p. 120), resolva osproblemas relatados, crie um snapshot e execute o script do BYOL Checker novamente.

O motivo mais comum para o Sysprep falhar é que os pacotes Modern AppX não estão desinstaladospara todos os usuários. Use o cmdlet Remove-AppxPackage do PowerShell para remover os pacotesAppX.

14. Depois de criar sua imagem com êxito, você pode remover a conta WorkSpaces_BYOL.

Etapa 3: Exportar a VM a partir do seu ambiente devirtualizaçãoPara criar uma imagem para BYOL, você deve primeiro exportar a VM do seu ambiente de virtualização. AVM deve estar em um único volume com um tamanho máximo de 70 GB e pelo menos 10 GB de espaçolivre. Para obter mais informações, consulte a documentação do seu ambiente de virtualização e exportesua VM a partir do ambiente de virtualização no guia do usuário sobre importação e exportação da VM.

120

https://docs.microsoft.com/previous-versions/windows/hardware/previsioning-framework/dn965674(v=vs.85)

https://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html#export-vm-image

https://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html#export-vm-image

Amazon WorkSpaces Guia de AdministraçãoEtapa 4: importar a VM como

uma imagem para o Amazon EC2

Etapa 4: importar a VM como uma imagem para oAmazon EC2Depois de exportar a VM, analise os requisitos de importação de sistemas operacionais Windows de umaVM. Tome ações conforme necessário. Para obter mais informações, consulte Requisitos do VM Import/Export.

Note

A importação de uma VM com um disco criptografado não é compatível.

Importe sua VM para o Amazon EC2 como uma imagem de máquina da Amazon (AMI). Use um dosseguintes métodos:

• Use o comando import-image com a AWS CLI. Para obter mais informações, consulte import-image noAWS CLI Command Reference.

• Use a operação de API ImportImage. Para obter mais informações, consulte ImportImage no AmazonEC2 API Reference.

Para obter mais informações, consulte Como importar uma VM como uma imagem no guia do usuáriosobre importação e exportação de VM.

Etapa 5: Criar uma imagem BYOL usando o consoledo Amazon WorkSpacesRealize essas etapas para criar uma imagem BYOL do Amazon WorkSpaces.

Note

Para executar este procedimento, verifique se você tem as permissões do AWS Identity andAccess Management (IAM) para:

• Chame o ImportWorkspaceImage do Amazon WorkSpaces.• Chame DescribeImages do Amazon EC2 na imagem do Amazon EC2 que você deseja usar

para criar a imagem BYOL.• Chame ModifyImageAttribute do Amazon EC2 na imagem do Amazon EC2 que você

deseja usar para criar a imagem BYOL.

Para obter mais informações, consulte Alterar permissões para um usuário do IAM no Guia dousuário do IAM.Para criar um pacote Graphics ou GraphicsPro usando sua imagem, entre em contato com o AWSSupport Center para adicionar sua conta à lista de permissões. Depois que sua conta estiver nalista de permissões, você poderá usar o comando import-workspace-image da CLI da AWS paraconsumir a imagem Graphics ou GraphicsPro. Para obter mais informações, consulte import-workspace-image no AWS CLI Command Reference.

Para criar uma imagem a partir da VM do Windows

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, selecione Images (Imagens).3. Selecione Actions (Ações), Create BYOL Image (Criar imagem de BYOL).4. Na caixa de diálogo Create BYOL Image (Criar imagem de BYOL), faça o seguinte:

121

https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html

https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/import-image.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImportImage.html

https://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html



https://docs.aws.amazon.com/cli/latest/reference/workspaces/import-workspace-image.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/import-workspace-image.html


Amazon WorkSpaces Guia de AdministraçãoEtapa 6: Criar um pacote personalizado

a partir da imagem de BYOL.

• Em ID de AMI, clique no link Console do EC2 e selecione a imagem do Amazon EC2 que vocêimportou, conforme descrito na seção anterior (Etapa 4: importar a VM como uma imagem para oAmazon EC2). O nome da imagem deve começar com ami- e ser seguido pelo identificador da AMI(por exemplo, ami-1234567e).

• Em BYOL image name (Nome de imagem de BYOL), insira um nome exclusivo para a imagem.• Em Image description (Descrição da imagem), insira uma descrição que ajude a identificar

rapidamente a imagem.• Em Ingestion process (Processo de ingestão), selecione o tipo de pacote apropriado (Regular,

Graphics ou GraphicsPro). Para pacotes não habilitados para GPU (pacotes que não sejamGraphics ou GraphicsPro), selecione Regular.

5. Escolha Create (Criar).

Enquanto a imagem estiver sendo criada, o status dela no registro de imagens do console aparececomo Pending (Pendente). Se a validação da imagem não for bem-sucedida, o console exibiráum código de erro. Quando a criação da imagem estiver concluída, o status muda para Available(Disponível).

Etapa 6: Criar um pacote personalizado a partir daimagem de BYOL.Depois que sua imagem de BYOL estiver criada, você pode usá-la para criar um pacote personalizado.Para obter mais informações, consulte Criar uma imagem e um pacote personalizados deWorkSpaces (p. 102).

Etapa 7: Registrar um diretório para WorkSpacesdedicadosPara usar imagens de BYOL para WorkSpaces, você deve registrar um diretório para essa finalidade. Parafazer isso, siga estas etapas.

Para registrar um diretório para WorkSpaces dedicados

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.2. No painel de navegação, escolha Diretórios.3. Selecione o diretório e escolha Actions (Ações), Register (Registro).4. Na caixa de diálogo Register directory (Diretório de registro), em Enable Dedicated WorkSpaces

(Habilitar WorkSpaces dedicados), selecione Yes (Sim).5. Escolha Register.

Se você já tiver registrado AWS Directory Service for Microsoft Active Directory ou um diretório ADConnector para WorkSpaces que não sejam executados em hardware dedicado, você pode configurarum novo diretório do Microsoft Active Directory ou do AD Connector para essa finalidade. Você tambémpode cancelar o registro do diretório e, em seguida, registrar novamente como um diretório dedicado paraWorkSpaces. Para fazer isso, siga estas etapas.

Note

Você só pode executar esse procedimento se não houver WorkSpaces associadas ao diretório.

Para cancelar o registro de um diretório e registrar novamente para WorkSpaces dedicados

1. Abra o console do Amazon WorkSpaces em https://console.aws.amazon.com/workspaces/.

122



Amazon WorkSpaces Guia de AdministraçãoEtapa 8: Ativar o WorkSpace BYOL

2. Encerre os WorkSpaces existentes.3. No painel de navegação, escolha Diretórios.4. Selecione o diretório e escolha Ações, Cancelar o registro.5. Quando a confirmação for solicitada, escolha Cancelar registro.6. Selecione o diretório novamente e selecione Actions (Ações), Register (Registro).7. Na caixa de diálogo Register directory (Diretório de registro), em Enable Dedicated WorkSpaces

(Habilitar WorkSpaces dedicados), selecione Yes (Sim).8. Escolha Register.

Etapa 8: Ativar o WorkSpace BYOLDepois de registrar um diretório dedicado para WorkSpaces, você pode iniciar seu WorkSpace BYOLnesse diretório. Para obter informações sobre como iniciar WorkSpaces, consulte Ativar um desktop virtualusando Amazon WorkSpaces (p. 61).

123

Amazon WorkSpaces Guia de AdministraçãoMonitorar usando métricas do CloudWatch

Monitorar seu WorkSpacesSaiba mais sobre os recursos a seguir para monitorar seu WorkSpaces.

Métricas do CloudWatch

O Amazon WorkSpaces publica pontos de dados no Amazon CloudWatch sobre seu WorkSpaces.O CloudWatch permite que você recupere estatísticas sobre os pontos de dados como um conjuntoordenado de dados da série de tempo, conhecido como métricas. Você pode usar essas métricaspara verificar se o WorkSpaces está funcionando conforme o esperado. Para obter mais informações,consulte Monitorar seu WorkSpaces usando métricas do CloudWatch (p. 124).

Eventos do CloudWatch

O Amazon WorkSpaces pode enviar eventos ao Eventos do Amazon CloudWatch quando os usuáriosfazem login em seu WorkSpace. Isso permite que você responda quando o evento ocorrer. Para obtermais informações, consulte Monitorar seu WorkSpaces usando o Eventos do CloudWatch (p. 128).

Logs do CloudTrail

O AWS CloudTrail fornece um registro das ações executadas por um usuário, uma função ou umproduto da AWS no Amazon WorkSpaces. Usando as informações coletadas pelo CloudTrail, épossível determinar a solicitação que foi feita ao Amazon WorkSpaces, o endereço IP da solicitação,quem a fez e quando ela foi feita, além de outros detalhes. Para obter mais informações, consulteRegistro de chamadas de API do Amazon WorkSpaces usando o CloudTrail.

Monitorar seu WorkSpaces usando métricas doCloudWatch

O Amazon WorkSpaces e o Amazon CloudWatch são integrados, então é possível reunir e analisarmétricas de desempenho. É possível monitorar essas métricas usando o console do CloudWatch, ainterface da linha de comando do CloudWatch ou de forma programática usando a API do CloudWatch. OCloudWatch também permite que você defina alarmes para quando um limite de uma métrica for atingido.

Para obter mais informações sobre o uso do CloudWatch e alarmes, consulte a Guia do usuário doAmazon CloudWatch.

Pré-requisitos

Para obter as métricas do CloudWatch, habilite o acesso na porta 443 do subconjunto AMAZON na regiãous-east-1. Para obter mais informações, consulte Requisitos de endereço IP e porta para o AmazonWorkSpaces (p. 14).

Tópicos• Métricas do Amazon WorkSpaces (p. 124)• Dimensões para métricas do Amazon WorkSpaces (p. 126)• Exemplo de monitoramento (p. 126)

Métricas do Amazon WorkSpacesO namespace AWS/WorkSpaces inclui as métricas a seguir.

124

https://docs.aws.amazon.com/workspaces/latest/api/cloudtrail_logging.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/

Amazon WorkSpaces Guia de AdministraçãoMétricas do Amazon WorkSpaces

Métrica Descrição Dimensões Estatísticasdisponíveis

Unidades

Available1 O número deWorkSpaces queretornaram umstatus saudável.

DirectoryId

WorkspaceId

Média, soma,máximo, mínimo,amostragens dedados

Contagem

Unhealthy1 O número deWorkSpacesque retornaramum status nãosaudável.

DirectoryId

WorkspaceId


Contagem

ConnectionAttempt2 O número detentativas deconexão.

DirectoryId

WorkspaceId


Contagem

ConnectionSuccess2 O número deconexões bem-sucedidas.

DirectoryId

WorkspaceId


Contagem

ConnectionFailure2 O número deconexões comfalha.

DirectoryId

WorkspaceId


Contagem

SessionLaunchTime2 O temponecessáriopara iniciaruma sessão deWorkSpaces.

DirectoryID

WorkspaceID


Segundos(tempo)

InSessionLatency2 O tempo de idae volta entreo cliente doWorkSpaces e oWorkSpace.

DirectoryID

WorkspaceID


Milissegundos(tempo)

SessionDisconnect2 O número deconexões queforam fechadas,incluindoconexões comfalha e iniciadaspelo usuário.

DirectoryID

WorkspaceID


Contagem

UserConnected3 O número deWorkSpaces quetêm um usuárioconectado.

DirectoryID

WorkspaceID


Contagem

Stopped O número deEspaços detrabalho queestão parados.

DirectoryID

WorkspaceID


Contagem

125

Amazon WorkSpaces Guia de AdministraçãoDimensões para métricas do Amazon WorkSpaces

Métrica Descrição Dimensões Estatísticasdisponíveis

Unidades

Maintenance4 O númerode Espaçosde trabalhoque estão emmanutenção.

DirectoryID

WorkspaceID


Contagem

1 O Amazon WorkSpaces envia periodicamente solicitações de status para um WorkSpace. UmWorkSpace é marcado com Available quando responde a essas solicitações e com Unhealthy quandofalha em responder a essas solicitações. Essas métricas estão disponíveis em granularidade porWorkSpace e também são agrupadas para todos os WorkSpaces em uma organização.2 O Amazon WorkSpaces registra métricas em conexões feitas com cada WorkSpace. Essas métricas sãoemitidas depois que um usuário é autenticado com êxito por meio do cliente do WorkSpaces e o clienteinicia a sessão. As métricas estão disponíveis em granularidade por WorkSpace e também são agrupadaspara todos os WorkSpaces em um diretório.3 O Amazon WorkSpaces envia periodicamente solicitações de status de conexão para um WorkSpace. Osusuários são reportados como conectados quando estão utilizando ativamente suas sessões. Essa métricaestá disponível em granularidade por WorkSpace e também são agrupadas para todos os WorkSpaces emuma organização.4 Esta métrica se aplica a WorkSpaces configurados com modo em execução AutoStop. Se você tem amanutenção habilitada para o WorkSpaces, esta métrica captura o número de WorkSpaces que estãoatualmente em manutenção. Esta métrica está disponível em granularidade por WorkSpace, que descrevequando um WorkSpace entrou em manutenção e quando foi removido.

Dimensões para métricas do Amazon WorkSpacesPara filtrar os dados das métricas, use as dimensões a seguir.

Dimensão Descrição

DirectoryId Filtra os dados de métrica para o WorkSpaces nodiretório especificado. O formato do ID do diretórioé d-XXXXXXXXXX.

WorkspaceId Filtra os dados de métrica para o WorkSpaceespecificado. O formato do ID do WorkSpace éws-XXXXXXXXXX.

Exemplo de monitoramentoO exemplo a seguir demonstra como você pode usar a AWS CLI para responder a um alarme doCloudWatch e determinar quais WorkSpaces em um diretório passaram por falhas de conexão.

Para responder a um alarme do CloudWatch

1. Determine o diretório ao qual o alarme se aplica usando o comando describe-alarms.

aws cloudwatch describe-alarms --state-value "ALARM"

126

https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/describe-alarms.html

Amazon WorkSpaces Guia de AdministraçãoExemplo de monitoramento

{ "MetricAlarms": [ { ... "Dimensions": [ { "Name": "DirectoryId", "Value": "directory_id" } ], ... } ]}

2. Obtenha a lista de WorkSpaces no diretório especificado usando o comando describe-workspaces.

aws workspaces describe-workspaces --directory-id directory_id

{ "Workspaces": [ { ... "WorkspaceId": "workspace1_id", ... }, { ... "WorkspaceId": "workspace2_id", ... }, { ... "WorkspaceId": "workspace3_id", ... } ]}

3. Obtenha as métricas do CloudWatch de cada WorkSpace no diretório usando o comando get-metric-statistics.

aws cloudwatch get-metric-statistics \--namespace AWS/WorkSpaces \--metric-name ConnectionFailure \--start-time 2015-04-27T00:00:00Z \--end-time 2015-04-28T00:00:00Z \--period 3600 \--statistics Sum \--dimensions "Name=WorkspaceId,Value=workspace_id"

{ "Datapoints" : [ { "Timestamp": "2015-04-27T00:18:00Z", "Sum": 1.0, "Unit": "Count" }, { "Timestamp": "2014-04-27T01:18:00Z", "Sum": 0.0, "Unit": "Count" } ],

127

https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html

https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html

https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html

Amazon WorkSpaces Guia de AdministraçãoMonitorar usando o Eventos do CloudWatch

"Label" : "ConnectionFailure"}

Monitorar seu WorkSpaces usando o Eventos doCloudWatch

É possível usar eventos do Eventos do Amazon CloudWatch para visualizar, pesquisar, fazer download,arquivar, analisar e responder a logins bem-sucedidos em seu WorkSpaces. Por exemplo, é possível usareventos para as seguintes finalidades:

• Armazenar ou arquivar eventos de login do WorkSpaces como logs para referência futura, analisar oslogs para procurar padrões e tomar medidas com base nesses padrões.

• Usar o endereço IP da WAN para determinar de onde os usuários estão conectados e usar políticas parapermitir que os usuários acessem somente arquivos ou dados do WorkSpaces que atendam aos critériosde acesso encontrados no tipo de evento do CloudWatch de WorkSpaces Access.

• Analisar os dados de login, que estão disponíveis quase que em tempo real e executar açõesautomatizadas usando o AWS Lambda.

• Usar controles de política para bloquear o acesso a arquivos e aplicativos de endereços IP nãoautorizados.

Para obter mais informações sobre eventos, consulte o Guia do usuário do Eventos do AmazonCloudWatch.

Eventos de WorkSpacesOs aplicativos cliente de Amazon WorkSpaces enviam eventos de acesso dos WorkSpaces ao Eventosdo CloudWatch quando um usuário faz login com êxito em um WorkSpace. Todos os clientes do AmazonWorkSpaces enviam esses eventos.

Os eventos são representados como objetos JSON. A seguir, um exemplo de dados para um evento deWorkSpaces Access.

{ "version": "0", "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7", "detail-type": "WorkSpaces Access", "source": "aws.workspaces", "account": "123456789012", "time": "2018-07-01T17:53:06Z", "region": "us-east-2", "resources": [], "detail": { "clientIpAddress": "192.0.2.3", "actionType": "successfulLogin", "workspacesClientProductName": "WorkSpaces Desktop client", "loginTime": "2018-07-01T17:52:51.595Z", "clientPlatform": "Windows", "directoryId": "d-123456789", "workspaceId": "ws-xyskdga" }}

128

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/

Amazon WorkSpaces Guia de AdministraçãoCriar uma regra para lidar com eventos de WorkSpaces

Campos específicos de eventos

clientIpAddress

O endereço IP da WAN do aplicativo cliente. Para clientes zero PCoIP, este é o endereço IP do clientede autenticação Teradici.

actionType

Esse valor é sempre successfulLogin.workspacesClientProductName

• WorkSpaces Desktop client – clientes Windows, macOS e Linux• Amazon WorkSpaces Mobile client — cliente iOS• WorkSpaces Mobile client — clientes Android• WorkSpaces Chrome client — clientes Chromebook• WorkSpaces Web client — cliente Web Access• Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell WysePCoIP Client — Zero Client

loginTime

A hora em que o usuário se conectou ao WorkSpace.clientPlatform

• Android

• Chrome

• iOS

• Linux

• OSX

• Windows

• Teradici PCoIP Zero Client and Tera2

• Web

directoryId

O identificador do diretório do WorkSpace.workspaceId

O identificador do WorkSpace.

Criar uma regra para lidar com eventos deWorkSpacesUse o procedimento a seguir para criar uma regra do Eventos do CloudWatch para lidar com os eventos deWorkSpaces.

Para criar uma regra para lidar com eventos de WorkSpaces

1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Events.3. Selecione Criar regra.4. Em Origem do evento, faça o seguinte:

a. Selecione Event Pattern (Padrão de evento) e, em seguida, Build event pattern to match eventsby service (Criar padrão de eventos para corresponder a eventos por serviço) (o padrão).

129

https://console.aws.amazon.com/cloudwatch/

Amazon WorkSpaces Guia de AdministraçãoCriar uma regra para lidar com eventos de WorkSpaces

b. Em Service Name (Nome do serviço), selecione WorkSpaces.c. Em Event Type (Tipo de evento), selecione WorkSpaces Access (Acesso dos WorkSpaces).

5. Em Targets (Destinos), selecioneAdd target (Adicionar destino) e depois escolha o serviço que deveráagir quando um evento do WorkSpaces for detectado. Forneça as informações necessárias para esteserviço.

6. Selecione Configure details (Configurar detalhes). Em Rule definition (Definição de regra), insira umnome e uma descrição.

7. Selecione Criar regra.

130

Amazon WorkSpaces Guia de AdministraçãoProteção de dados

Segurança no Amazon WorkSpacesA segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com asmaiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve isso como a segurança da nuvem e a segurança na nuvem:

• Segurança da nuvem – A AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança.Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dosProgramas de conformidade da AWS. Para saber mais sobre os programas de conformidade que seaplicam ao Amazon WorkSpaces, consulte Produtos da AWS no escopo por programa de conformidade.

• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos daempresa e as leis e os regulamentos aplicáveis

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usaro Amazon WorkSpaces. Ela mostra como configurar o Amazon WorkSpaces para atender aos objetivosde segurança e conformidade. Saiba também como usar outros produtos da AWS que ajudam você amonitorar e proteger os recursos do Amazon WorkSpaces.

Tópicos• Proteção de dados no Amazon WorkSpaces (p. 131)• Identity and Access Management para o Amazon WorkSpaces (p. 132)• Validação de conformidade do Amazon WorkSpaces (p. 138)• Resiliência no Amazon WorkSpaces (p. 138)• Segurança da infraestrutura no Amazon WorkSpaces (p. 139)• Gerenciamento de atualizações no Amazon WorkSpaces (p. 142)

Proteção de dados no Amazon WorkSpacesO Amazon WorkSpaces está em conformidade com o modelo de responsabilidade compartilhada daAWS, que inclui regulamentos e diretrizes de proteção de dados. A AWS é responsável por protegera infraestrutura global que executa todos os produtos da AWS. A AWS mantém controle dos dadoshospedados nessa infraestrutura, incluindo os controles de configuração de segurança para lidar com oconteúdo e com os dados pessoais do cliente. Os clientes da AWS e os parceiros do APN, atuando comocontroladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam naNuvem AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da sua conta da AWSe configure contas de usuário individuais com o AWS Identity and Access Management (IAM), de modoque cada usuário receba somente as permissões necessárias para cumprir suas funções. Recomendamostambém que você proteja seus dados das seguintes formas:

• Use uma autenticação multifator (MFA) com cada conta.• Use TLS para se comunicar com os recursos da AWS.

131

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



Amazon WorkSpaces Guia de AdministraçãoCriptografia em repouso

• Configure a API e o registro em log das atividades do usuário com o AWS CloudTrail.• Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos

serviços da AWS.• Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e

proteger dados pessoais que são armazenados no Amazon S3.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, comonúmeros de conta dos clientes, em campos de formato livre ou metadados, como nomes de funções etags. Todos os dados que você insere nos metadados podem ser separados para inclusão em logs dediagnóstico. Ao fornecer um URL para um servidor externo, não inclua informações de credenciais no URLpara validar a solicitação a esse servidor.

Para obter mais informações sobre proteção de dados, consulte a publicação AWS Shared ResponsibilityModel and GDPR (Modelo de responsabilidade compartilhada da AWS e GDPR) no Blog de segurança daAWS.

Criptografia em repousoVocê pode criptografar volumes de armazenamento de WorkSpaces usando as chaves mestres declientes (CMK) do AWS Key Management Service. Para obter mais informações, consulte WorkSpacescriptografados (p. 85).

Criptografia em trânsitoOs dados em trânsito são criptografados usando a criptografia TLS 1.2 e a assinatura de solicitação SigV4.O protocolo PCOIP usa o tráfego UDP criptografado, com criptografia AES, para streaming de pixels.

Identity and Access Management para o AmazonWorkSpaces

Por padrão, os usuários do IAM não têm permissões para recursos e operações do Amazon WorkSpaces.Para permitir que os usuários do IAM gerenciem os recursos do Amazon WorkSpaces, você deve criaruma política do IAM que concede explicitamente permissões a eles e anexar a política aos usuários doIAM ou aos grupos que exigem essas permissões. Para obter mais informações sobre as políticas do IAM,consulte Políticas e permissões no guia Guia do usuário do IAM.

O Amazon WorkSpaces também cria uma função do IAM para permitir que o serviço do AmazonWorkSpaces acesse os recursos necessários.

Note

O Amazon WorkSpaces não oferece suporte ao provisionamento de credenciais do IAM em umWorkSpace (como com um perfil de instância).

Para obter mais informações sobre o IAM, consulte o Identity and Access Management (IAM) e o Guia dousuário do IAM. É possível encontrar recursos, ações e chaves de contexto de condição específicos doWorkSpaces para uso nas políticas de permissão do IAM em Ações, recursos e chaves de condição para oAmazon WorkSpaces no Guia do usuário do IAM.

Para obter uma ferramenta que ajuda a criar políticas do IAM, consulte o Gerador de políticas da AWS.Também é possível usar o IAM Policy Simulator para testar se uma política permitiria ou negaria umasolicitação específica à AWS.

132

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

https://aws.amazon.com/iam

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html

http://aws.amazon.com/blogs/aws/aws-policy-generator/

https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/

Amazon WorkSpaces Guia de AdministraçãoIdentity and Access Management

Example 1: executar todas as tarefas do Amazon WorkSpaces

A declaração de política a seguir concede a um usuário do IAM permissão para executar todas as tarefasdo Amazon WorkSpaces, incluindo a criação e o gerenciamento de diretórios. Ela também concedepermissão para executar o procedimento de configuração rápida.

Observe que, embora o Amazon WorkSpaces ofereça suporte total aos elementos Action e Resourceao usar a API e as ferramentas de linha de comando, é necessário defini-los como "*" para usar o consoledo Amazon WorkSpaces com êxito.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" } ]}

Example 2: executar tarefas específicas do WorkSpace

A seguinte declaração de política concede a um usuário do IAM permissão para executar tarefasespecíficas do WorkSpace, como executar e remover WorkSpaces. Na declaração de política, a açãods:* concede permissões amplas — controle total sobre todos os objetos do Directory Services na conta.

{

133

Amazon WorkSpaces Guia de AdministraçãoCriar a função workspaces_DefaultRole

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PutRolePolicy" ], "Resource": "*" } ]}

Para também conceder ao usuário a capacidade de habilitar o Amazon WorkDocs para usuários noAmazon WorkSpaces, adicione a operação workdocs, conforme mostrado no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup" ], "Resource": "*" } ]}

Para também conceder ao usuário a capacidade de usar o assistente de inicialização do WorkSpaces,adicione as operações kms conforme exibido no exemplo a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ]}

Criar a função workspaces_DefaultRoleAntes de registrar um diretório usando a API, você deverá criar a função workspaces_DefaultRole, caso elaainda não exista.

Como criar a função workspaces_DefaultRole

1. Faça login no Console de gerenciamento da AWS e abra o console da IAM em https://console.aws.amazon.com/iam/.

134

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/iam/

Amazon WorkSpaces Guia de AdministraçãoEspecificação de recursos do AmazonWorkSpaces em uma política do IAM

2. No painel de navegação à esquerda, escolha Roles (Funções).3. Selecione Create role.4. Em Select type of trusted entity (Selecionar tipo de entidade confiável), selecione Another AWS

account (Outra conta da AWS).5. Em Account ID (ID da conta), insira seu ID de conta sem hífens ou espaços.6. Em Options (Opções), não especifique a autenticação multifator (MFA).7. Escolha Próximo: Permissões.8. Na página Attach permissions policies (Anexar políticas de permissões), selecione as políticas

gerenciadas da AWS AmazonWorkSpacesServiceAccess e AmazonWorkSpacesSelfServiceAccess.9. Em Set permissions boundary (Definir limite de permissões), recomendamos que você não use

um limite de permissões devido ao potencial para conflitos com as políticas anexadas à funçãoworkspaces_DefaultRole. Tais conflitos podem bloquear determinadas permissões necessárias para afunção.

10. Escolha Next: Tags (Próximo: tags).11. Na página Add tags (optional) (Adicionar tags (opcional)), adicione tags se necessário.12. Selecione Next: Review (Próximo: análise).13. Na página Review (Revisar), em Role name (Nome da função), insira workspaces_DefaultRole.14. (Opcional ) Em Role description (Descrição da função), insira uma descrição.15. Selecione Create Role.16. Na página Summary (Resumo) da função workspaces_DefaultRole, escolha a guia Trust relationships

(Relações de confiança).17. Na guia Trust relationships (Relações de confiança), escolha Edit trust relationship (Editar relação de

confiança).18. Na página Edit Trust Relationship (Editar relação de confiança), substitua a declaração de política

existente pela declaração a seguir.

{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

19. Escolha Update Trust Policy.

Especificação de recursos do Amazon WorkSpacesem uma política do IAMPara especificar um recurso do Amazon WorkSpaces no elemento Resource da declaração de política,use o nome de recurso da Amazon (ARN) do recurso. Você controla o acesso aos seus recursos doAmazon WorkSpaces permitindo ou negando permissões para usar as ações de API especificadas noelemento Action da instrução de política do IAM. O Amazon WorkSpaces define ARNs para WorkSpaces,pacotes, grupos de IP e diretórios.

ARN do WorkSpaceUm ARN do WorkSpace tem a sintaxe mostrada no exemplo a seguir.

135


arn:aws:workspaces:region:account_id:workspace/workspace_identifier

region

A região em que o WorkSpace está (por exemplo, us-east-2).account_id

O ID da conta da AWS, sem hífens (por exemplo, 123456789012).workspace_identifier

O ID do WorkSpace (por exemplo, ws-0123456789).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica umWorkSpace específico.

"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

É possível usar o caractere curinga * para especificar todos os WorkSpaces que pertencem a uma contaespecífica em determinada região.

ARN de pacoteUm ARN de pacote tem a sintaxe mostrada no exemplo a seguir.

arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier

region


O ID da conta da AWS, sem hífens (por exemplo, 123456789012).bundle_identifier

O ID do pacote do WorkSpace (por exemplo, wsb-0123456789).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um pacoteespecífico.

"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

É possível usar o caractere curinga * para especificar todos os pacotes que pertencem a uma contaespecífica em determinada região.

ARN do grupo de IPUm ARN de grupo IP tem a sintaxe mostrada no exemplo a seguir.

arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier

region

A região em que o WorkSpace está (por exemplo, us-east-2).

136


account_id

O ID da conta da AWS, sem hífens (por exemplo, 123456789012).ipgroup_identifier

O ID do grupo de IP (por exemplo, wsipg-a1bcd2efg).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um grupo deIP específico.

"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

É possível usar o caractere curinga * para especificar todos os grupos de IP que pertencem a uma contaespecífica determinada região.

ARN do diretórioUm ARN de diretório tem a sintaxe mostrada no exemplo a seguir.

arn:aws:workspaces:region:account_id:directory/directory_identifier

region


O ID da conta da AWS, sem hífens (por exemplo, 123456789012).directory_identifier

O ID do diretório (por exemplo, d-12345a67b8).

Veja a seguir o formato do elemento Resource de uma declaração de política que identifica um diretórioespecífico.

"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

É possível usar o caractere curinga * para especificar todos os diretórios que pertencem a uma contaespecífica em determinada região.

Ações da API sem suporte de permissões no nível de recursoVocê não pode especificar um ARN de recurso com as seguintes ações de API:

• AssociateIpGroups

• CreateIpGroup

• CreateTags

• DeleteTags

• DeleteWorkspaceImage

• DescribeAccount

• DescribeAccountModifications

• DescribeTags

• DescribeWorkspaceDirectories

• DescribeWorkspaceImages

137

Amazon WorkSpaces Guia de AdministraçãoValidação de conformidade

• DescribeWorkspaces

• DescribeWorkspacesConnectionStatus

• DisassociateIpGroups

• ImportWorkspaceImage

• ListAvailableManagementCidrRanges

• ModifyAccount

Para ações de API que não oferecem suporte a permissões no nível de recurso, é necessário especificar ainstrução de recurso mostrada no exemplo a seguir.

"Resource": "*"

Validação de conformidade do AmazonWorkSpaces

Auditores de terceiros avaliam a segurança e a conformidade do Amazon WorkSpaces como parte devários programas de conformidade da AWS. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.

Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulteServiços da AWS no escopo pelo programa de conformidade. Para obter informações gerais, consulteProgramas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter maisinformações, consulte Fazer download de relatórios no AWS Artifact.

Para obter mais informações sobre o Amazon WorkSpaces e FedRAMP, consulte Configurar o AmazonWorkSpaces para a autorização do FedRAMP ou a conformidade com o SRG do DoD (p. 38).

Sua responsabilidade com relação à conformidade ao usar o Amazon WorkSpaces é determinada pelaconfidencialidade dos dados, pelos objetivos de conformidade da empresa e pelos regulamentos e leisaplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:

• Guias Quick Start de segurança e conformidade – esses guias de implantação abordam asconsiderações de arquitetura e fornecem etapas para implantação de ambientes de linha de basefocados em conformidade e segurança na AWS.

• Whitepaper Arquitetura para segurança e conformidade com HIPAA – esse whitepaper descreve comoas empresas podem usar a AWS para criar aplicativos em conformidade com a HIPAA.

• Recursos de conformidade da AWS – esta coleção de manuais e guias pode ser aplicada ao seu setor elocal.

• Avaliar recursos com regras no AWS Config Developer Guide – AWS Config; avalia como asconfigurações de recursos estão em conformidade com as práticas internas, diretrizes do setor eregulamentos.

• AWS Security Hub – esse serviço da AWS fornece uma visão abrangente do estado da segurança naAWS que ajuda você a verificar sua conformidade com padrões e melhores práticas de segurança dosetor.

Resiliência no Amazon WorkSpacesA infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS. Asregiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas

138

http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

Amazon WorkSpaces Guia de AdministraçãoSegurança da infraestrutura

com baixa latência, altas taxas de transferência e redes altamente redundantes. Com as zonas dedisponibilidade, você pode projetar e operar aplicativos e bancos de dados que automaticamenteexecutam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamentedisponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.

Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.

Segurança da infraestrutura no AmazonWorkSpaces

Como um serviço gerenciado, o Amazon WorkSpaces é protegido pelos procedimentos de segurança darede global da AWS que estão descritos no whitepaper Amazon Web Services: Visão geral dos processosde segurança.

Use chamadas de API publicadas pela AWS para acessar o Amazon WorkSpaces por meio da rede.Os clientes devem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. RecomendamosTLS 1.2 ou posterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo deencaminhamento perfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte aesses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Isolamento de redeUma nuvem privada virtual (VPC) é uma rede virtual na área isolada logicamente na Nuvem AWS. Vocêpode implantar o WorkSpaces em uma sub-rede privada na VPC. Para obter mais informações, consulteConfigurar uma VPC para o Amazon WorkSpaces (p. 8).

Para permitir o tráfego somente em intervalos de endereços específicos (por exemplo, da redecorporativa), atualize o grupo de segurança para a VPC ou use um grupo de controle de acesso IP (p. 32).

Você pode restringir o acesso ao WorkSpace a dispositivos confiáveis com certificados válidos. Para obtermais informações, consulte Restringir o acesso dos WorkSpaces a dispositivos confiáveis (p. 28).

Isolamento em hosts físicosWorkSpaces diferentes no mesmo host físico são isolados uns dos outros por meio do hipervisor. É comose estivessem em hosts físicos separados. Quando um WorkSpace é excluído, a memória alocada paraele será removida (definida como 0) pelo hipervisor antes de ser alocada para outro WorkSpace.

Autorização de usuários corporativosCom o Amazon WorkSpaces, os diretórios são gerenciados pelo AWS Directory Service. É possível criarum diretório gerenciado autônomo para os usuários. Ou é possível integrar com seu ambiente do ActiveDirectory existente para que os usuários possam usar suas credenciais atuais para obter acesso contínuoaos recursos corporativos. Para obter mais informações, consulte Gerenciar diretórios para o AmazonWorkSpaces (p. 44).

Para controlar ainda mais o acesso aos WorkSpaces, use a autenticação multifator. Para obter maisinformações, consulte Como habilitar a autenticação multifator para produtos da AWS.

139

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

http://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/

Amazon WorkSpaces Guia de AdministraçãoFazer solicitações de API do Amazon

WorkSpaces por um endpoint de interface da VPC

Fazer solicitações de API do Amazon WorkSpaces porum endpoint de interface da VPCVocê pode se conectar diretamente a endpoints de API do Amazon WorkSpaces por meio de um endpointde interface em sua Virtual Private Cloud (VPC), em vez de se conectar pela Internet. Quando você usaum endpoint de interface VPC, a comunicação entre a VPC e o endpoint de API do Amazon WorkSpaces érealizada inteiramente e com segurança na rede da AWS.

Note

Esse recurso pode ser usado somente para conexão com endpoints de API do WorkSpaces.Para se conectar ao WorkSpaces usando os clientes do WorkSpaces, é necessária conectividadecom a Internet, conforme descrito em Requisitos de endereço IP e porta para o AmazonWorkSpaces (p. 14).

Os endpoints de API do Amazon WorkSpaces oferecem suporte aos endpoints de interface da AmazonVirtual Private Cloud (Amazon VPC) que são desenvolvidos pelo AWS PrivateLink. Cada VPC endpoint érepresentado por uma ou mais interfaces de rede (também conhecidas como interfaces de rede elástica ouENIs) com endereços IP privados nas sub-redes da VPC.

O endpoint de interface VPC conecta a VPC diretamente ao endpoint de API do Amazon WorkSpaces semum gateway da Internet, dispositivo NAT, conexão VPN ou conexão do AWS Direct Connect. As instânciasna VPC não precisam de endereços IP públicos para a comunicação com o endpoint de API do AmazonWorkSpaces.

É possível criar um endpoint de interface para se conectar ao Amazon WorkSpaces com o console daAWS ou com comandos da AWS Command Line Interface (AWS CLI). Para obter instruções, consulteCriar um endpoint de interface.

Depois que criar um VPC endpoint, você poderá usar os seguintes comandos da CLI de exemplo queusam o parâmetro endpoint-url para especificar endpoints de interface para o endpoint de API doAmazon WorkSpaces:

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

Se você habilitar nomes de hosts DNS privados para seu VPC endpoint, não precisará especificar a URLdo endpoint. O nome de host DNS da API do Amazon WorkSpaces que a CLI e o Amazon WorkSpacesSDK usam por padrão (https://api.workspaces.Região.amazonaws.com) é resolvido para seu VPCendpoint.

O endpoint de API do Amazon WorkSpaces oferece suporte a VPC endpoints em todas as regiões daAWS em que tanto a Amazon VPC quanto o Amazon WorkSpaces estejam disponíveis. O AmazonWorkSpaces oferece suporte a chamadas para todas as APIs públicas dentro de sua VPC.

Para saber mais sobre o AWS PrivateLink, consulte a documentação do AWS PrivateLink. Para obter opreço dos VPC endpoints, consulte a Definição de preço da VPC. Para saber mais sobre VPC e endpoints,consulte Amazon VPC.

140

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html

https://aws.amazon.com/privatelink/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint

https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region

https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services

https://docs.aws.amazon.com/workspaces/latest/api/welcome.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink

https://aws.amazon.com/vpc/pricing/

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html

Amazon WorkSpaces Guia de AdministraçãoCriar uma política de VPC endpoint

para o Amazon WorkSpaces

Para ver uma lista de endpoints de API do Amazon WorkSpaces por região, consulte Endpoints de API doWorkSpaces (p. 21).

Note

Os endpoints de API do Amazon WorkSpaces com AWS PrivateLink não oferecem suporte aendpoints de API do Amazon WorkSpaces do padrão Federal Information Processing Standard(FIPS - Padrão de processamento de informações federal).

Criar uma política de VPC endpoint para o AmazonWorkSpacesÉ possível criar uma política para Amazon VPC endpoints para o Amazon WorkSpaces especificar oseguinte:

• O principal que pode executar ações.• As ações que podem ser executadas.• Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia dousuário do Amazon VPC.

Note

As políticas de VPC endpoint não oferecem suporte para os endpoints do padrão FederalInformation Processing Standard (FIPS - Padrão de processamento de informações federal) paraendpoints do Amazon WorkSpaces.

O exemplo de política de VPC endpoint a seguir especifica que todos os usuários com acesso ao endpointda interface de VPC têm permissão para invocar o endpoint hospedado do Amazon WorkSpaces,chamado ws-f9abcdefg.

{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ]}

Neste exemplo, as seguintes ações são negadas:

• Invocar endpoints hospedados no Amazon WorkSpaces que não sejam ws-f9abcdefg.• Executar uma ação em qualquer recurso além da especificada (ID do WorkSpace: ws-f9abcdefg).

Note

Neste exemplo, os usuários ainda podem realizar outras ações da API do Amazon WorkSpacesde fora da VPC. Para restringir chamadas de API para esses de dentro da VPC, consulte Identityand Access Management para o Amazon WorkSpaces (p. 132) para obter informações sobrecomo usar políticas baseadas em identidade para controlar o acesso a endpoints de API doAmazon WorkSpaces.

141

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html

Amazon WorkSpaces Guia de AdministraçãoConectar sua rede privada à sua VPC

Conectar sua rede privada à sua VPCPara chamar a API do Amazon WorkSpaces por meio da VPC, é necessário se conectar de uma instânciaque esteja dentro da VPC ou conectar sua rede privada à sua VPC usando uma rede virtual privada (VPN)da Amazon ou o AWS Direct Connect. Para obter informações sobre a Amazon VPN, consulte ConexõesVPN, no Guia do Usuário da Amazon Virtual Private Cloud. Para obter informações sobre o AWS DirectConnect, consulte Creating a Connection (Criar conexão), no AWS Direct Connect User Guide (Guia doUsuário do AWS Direct Connect).

Gerenciamento de atualizações no AmazonWorkSpaces

Recomendamos corrigir, atualizar e proteger regularmente o sistema operacional e os aplicativos noWorkSpaces. Você pode configurar o WorkSpaces para ser atualizado pelo Amazon WorkSpaces duranteuma janela de manutenção regular ou você mesmo pode atualizá-lo. Para obter mais informações,consulte Manutenção do WorkSpace (p. 84).

Para aplicativos no WorkSpaces, você pode usar todos os serviços de atualização automática fornecidosou seguir as recomendações para instalar atualizações fornecidas pelo provedor do aplicativo.

Amazon WAMO Amazon WorkSpaces Application Manager (Amazon WAM) oferece uma maneira rápida, flexível esegura de implantar e gerenciar aplicativos para WorkSpaces do Windows. Para obter mais informações,consulte o Amazon WAM Administration Guide.

142

https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html

http://docs.aws.amazon.com/wam/latest/adminguide/

Amazon WorkSpaces Guia de AdministraçãoHabilitação do registro em log avançado

Solução de problemas do AmazonWorkSpaces

As informações a seguir podem ajudá-lo a solucionar problemas com seus WorkSpaces.

Habilitação do registro em log avançadoPara ajudar a solucionar problemas que seus usuários possam enfrentar, habilite o registro em logavançado em qualquer cliente do Amazon WorkSpaces. O registro em log avançado será habilitado paracada sessão de cliente subsequente até que você o desabilite.

O registro em log avançado gera arquivos de log que contêm informações de diagnóstico e detalhes nonível da depuração, incluindo dados de desempenho detalhados. Para os clientes 1.0+ e 2.0+, essesarquivos de log avançados são automaticamente carregados em um banco de dados na AWS.

Note

Para que a AWS analise os arquivos de log que são gerados pelo registro em log avançado epara receber suporte técnico para problemas com seus clientes do WorkSpaces, entre em contatocom o AWS Support. Para obter mais informações, consulte o AWS Support Center.

Como habilitar o registro em log avançado para clientes do 3.0 eposteriorOs logs de cliente no Windows são armazenados no local a seguir:

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

Como habilitar o log avançado para clientes no Windows

1. Feche o cliente do Amazon WorkSpaces.2. Abra o aplicativo de prompt de comando.3. Inicie o cliente do WorkSpaces com o sinalizador -l3.

c:

cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

workspaces.exe -l3

Os logs do cliente no macOS são armazenados no local a seguir:

~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

Como habilitar o registro em log avançado para clientes no macOS

1. Feche o cliente do Amazon WorkSpaces.

143


Amazon WorkSpaces Guia de AdministraçãoSolução de problemas específicos

2. Abra o terminal.3. Execute o seguinte comando.

open -a workspaces --args -l3

Os logs de cliente no Linux são armazenados no local a seguir:

~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

Como habilitar o log avançado para clientes no Linux

1. Feche o cliente do Amazon WorkSpaces.2. Abra o terminal.3. Execute o seguinte comando.

/opt/workspacesclient/workspacesclient -l3

Como habilitar o log avançado para clientes do 1.0 e posterior edo 2.0 e posterior1. Abra o cliente do WorkSpaces.2. Escolha o ícone de engrenagem no canto superior direito do aplicativo cliente.3. Escolha Advanced Settings (Configurações avançadas).4. Marque a caixa de seleção Enable Advanced Logging (Habilitar o registro em log avançado).5. Escolha Save (Salvar).

Os logs de cliente no Windows são armazenados no local a seguir:

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

Os logs do cliente no macOS são armazenados no local a seguir:

~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

Solução de problemas específicosAs informações a seguir podem ajudar você a solucionar problemas específicos com seu WorkSpaces.

Problemas• Não consigo criar um WorkSpace do Amazon Linux porque há caracteres inválidos no nome de

usuário (p. 145)• Alterei o shell do meu WorkSpace do Amazon Linux e agora não consigo provisionar uma sessão

PCoIP (p. 146)• A inicialização de WorkSpaces em meu diretório conectado falha com frequência (p. 146)• Falha ao ativar os WorkSpaces com um erro interno (p. 146)• Muitos usuários não conseguem se conectar a um WorkSpace do Windows com um banner de logon

interativo (p. 146)• Meus usuários não conseguem se conectar a um Windows WorkSpace (p. 146)

144

Amazon WorkSpaces Guia de AdministraçãoNão consigo criar um WorkSpace do Amazon Linuxporque há caracteres inválidos no nome de usuário

• Meus usuários estão tendo problemas ao tentar fazer login no WorkSpaces pelo WorkSpaces WebAccess (p. 147)

• O cliente do Amazon WorkSpaces exibe uma tela cinza “Carregando...” por um tempo antes deretornar para a tela de login. Nenhuma outra mensagem de erro é exibida. (p. 148)

• Meus usuários recebem a mensagem “Status do WorkSpace: Não íntegro. Não foi possível conectá-loao WorkSpace. Tente novamente em alguns minutos”. (p. 148)

• Meus usuários recebem a mensagem “Este dispositivo não está autorizado a acessar o WorkSpace.Entre em contato com o administrador para obter ajuda”. (p. 149)

• O cliente dos WorkSpaces mostra aos usuários um erro de rede, mas eles podem usar outrosaplicativos habilitados para rede em seus dispositivos (p. 149)

• Meus usuários do WorkSpace veem a seguinte mensagem de erro: "O dispositivo não pode seconectar ao serviço de registro. Verifique suas configurações de rede." (p. 151)

• Meus usuários de cliente zero PCoIP estão recebendo o erro "The supplied certificate is invalid due totimestamp" (O certificado fornecido é inválido devido ao time stamp) (p. 151)

• Meus usuários ignoraram a atualização dos aplicativos cliente Windows ou macOS e não foramsolicitados a instalar a versão mais recente (p. 151)

• Meus usuários não conseguem instalar o aplicativo cliente Android em seus Chromebooks (p. 152)• Meus usuários não estão recebendo e-mails de convite nem e-mails de redefinição de senha (p. 152)• Meus usuários não veem a opção Esqueceu sua senha? na tela de login do cliente (p. 152)• Recebo a mensagem “The system administrator has set policies to prevent this installation (O

administrador de sistema definiu políticas para prevenir essa instalação)” quando tento instalaraplicativos em um WorkSpace do Windows (p. 152)

• Nenhum dos WorkSpaces no meu diretório consegue se conectar à internet (p. 153)• Meu WorkSpace perdeu o acesso à Internet (p. 153)• Eu recebo um erro de "DNS indisponível" quando tento me conectar ao meu diretório local (p. 153)• Eu recebo um erro "Problemas de conectividade detectados" quando tento me conectar ao meu

diretório local (p. 154)• Eu recebo um erro "Registro SRV" quando tento me conectar ao meu diretório local (p. 154)• Meu WorkSpace do Windows fica inativo quando permanece ocioso (p. 154)• Um dos meus WorkSpaces tem um estado de "Não íntegro" (p. 155)• Meu WorkSpace está falhando ou reiniciando de forma inesperada. (p. 155)• O mesmo nome de usuário tem mais de um WorkSpace, mas o usuário só pode fazer login em um dos

WorkSpaces (p. 157)• Estou tendo problemas para usar o Docker com o Amazon WorkSpaces (p. 158)• Recebo erros ThrottlingException em algumas das minhas chamadas de API (p. 158)

Não consigo criar um WorkSpace do Amazon Linuxporque há caracteres inválidos no nome de usuárioEm WorkSpaces do Amazon Linux, os nomes de usuários:

• Podem conter 20 caracteres no máximo• Podem conter letras, espaços e números que são representáveis em UTF-8• Podem incluir os seguintes caracteres especiais: _.-#• Não é possível começar com um símbolo de traço (-) como o primeiro caractere do nome de usuário

145

Amazon WorkSpaces Guia de AdministraçãoAlterei o shell do meu WorkSpace do Amazon Linuxe agora não consigo provisionar uma sessão PCoIP

Note

Essas limitações não se aplicam aos WorkSpaces do Windows. Os WorkSpaces do Windows sãocompatíveis com os símbolos @ e - para todos os caracteres no nome de usuário.

Alterei o shell do meu WorkSpace do Amazon Linux eagora não consigo provisionar uma sessão PCoIPPara substituir o shell padrão para WorkSpaces do Linux, consulte Substituir o shell padrão paraWorkSpaces do Amazon Linux (p. 59).

A inicialização de WorkSpaces em meu diretórioconectado falha com frequênciaVerifique se os dois servidores DNS ou controladores de domínio em seu diretório local são acessíveis apartir de cada uma das sub-redes que você especificou quando se conectou ao seu diretório. É possívelverificar essa conectividade executando uma instância do Amazon EC2 em cada sub-rede e associando ainstância ao seu diretório, usando os endereços IP dos dois servidores DNS.

Falha ao ativar os WorkSpaces com um erro internoVerifique se suas sub-redes estão configuradas para atribuir automaticamente endereços IPv6 a instânciasativadas na sub-rede. Para verificar essa configuração, abra o console da Amazon VPC, selecionesua sub-rede e escolha Ações de sub-rede, Modificar configurações de IP de autoatribuição. Se essaconfiguração for ativada, não será possível ativar os WorkSpaces usando o pacote Performance nemGraphics. Em vez disso, desative essa configuração e especifique endereços IPv6 manualmente ao ativarsuas instâncias.

Muitos usuários não conseguem se conectar a umWorkSpace do Windows com um banner de logoninterativoSe uma mensagem de logon interativa foi implementada para exibir um banner de logon, isso impedeque os usuários consigam acessar os WorkSpaces do Windows. A configuração de política de grupode mensagem de logon interativa não é compatível com o Amazon WorkSpaces atualmente. Mova oWorkSpaces para uma unidade organizacional (UO) na qual a Política de grupo Interactive logon: Messagetext for users attempting to log on não é aplicada.

Meus usuários não conseguem se conectar a umWindows WorkSpaceMeus usuários recebem o seguinte erro quando tentam se conectar aos seus WorkSpaces do Windows:

"An error occurred while launching your WorkSpace. Please try again."

Esse erro geralmente ocorre quando o WorkSpace não consegue carregar a área de trabalho do Windowsusando PCoIP. Verifique o seguinte:

146

Amazon WorkSpaces Guia de AdministraçãoMeus usuários estão tendo problemas ao tentar fazerlogin no WorkSpaces pelo WorkSpaces Web Access

• Esta mensagem aparece se o serviço PCoIP Standard Agent for Windows não estiver em execução.Conecte-se usando RDP para verificar se o serviço está em execução, que está definido para iniciarautomaticamente e que pode se comunicar pela interface de gerenciamento (eth0).

• Se o agente PCoIP tiver sido desinstalado, reinicie o WorkSpace por meio do console do AmazonWorkSpaces para reinstalá-lo automaticamente.

• Você também pode receber esse erro no cliente do Amazon WorkSpaces após um longo atraso seo grupo de segurança do WorkSpaces (p. 31) tiver sido modificado para restringir o tráfego de saída.Restringir o tráfego de saída impede que o Windows se comunique com os controladores de diretóriopara login. Verifique se os grupos de segurança permitem que os WorkSpaces se comuniquem com oscontroladores do diretório em todas as portas obrigatórias (p. 14) pela interface de rede primária.

Outra causa deste erro está relacionada à Política de grupo de atribuição de direitos de usuário. Se aseguinte política de grupo estiver configurada incorretamente, ela impedirá que os usuários acessem seusWorkSpaces do Windows:

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment(Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos de usuário)

• Política incorreta:

Política: Access this computer from the network (Acessar este computador pela rede)

Configuração: Nome de domínio\Computadores de domínio

GPO vencedor: permitir acesso a arquivos• Política correta:

Política: Access this computer from the network (Acessar este computador pela rede)

Configuração: Nome de domínio\Usuários de domínio

GPO vencedor: permitir acesso a arquivos

Note

Esta definição de política deve ser aplicada a Domain users (Usuários do domínio) em vez deDomain Computers (Computadores do domínio).

Para obter mais informações, consulte Acessar este computador pela rede – configuração de política desegurança e Definir configurações de política de segurança na documentação do Microsoft Windows.

Meus usuários estão tendo problemas ao tentar fazerlogin no WorkSpaces pelo WorkSpaces Web AccessO Amazon WorkSpaces conta com uma configuração de tela de login específica para permitir que osusuários façam logon com êxito no cliente do Web Access.

Para permitir que os usuários do Web Access façam logon no WorkSpaces, é necessário definir umaconfiguração de política de grupo e três configurações de política de segurança. Se essas configuraçõesnão estiverem definidas corretamente, os usuários podem enfrentar longos tempos de login ou telas pretasao tentarem fazer logon no WorkSpaces. Para definir essas configurações, consulte Ativar e configurar oAmazon WorkSpaces Web Access (p. 34).

147

https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings

Amazon WorkSpaces Guia de AdministraçãoO cliente do Amazon WorkSpaces exibe uma tela cinza“Carregando...” por um tempo antes de retornar para a

tela de login. Nenhuma outra mensagem de erro é exibida.Important


O cliente do Amazon WorkSpaces exibe uma telacinza “Carregando...” por um tempo antes de retornarpara a tela de login. Nenhuma outra mensagem deerro é exibida.Esse comportamento geralmente indica que o cliente do WorkSpaces pode autenticar pela porta 443,mas não pode estabelecer uma conexão de streaming pela porta 4172. Esta situação pode ocorrerquando os pré-requisitos da rede (p. 14) não são atendidos. Os problemas do lado do cliente geralmenteimpedem que a verificação de rede no canto inferior direito do cliente seja executada com êxito. Para verquais verificações de integridade estão falhando, escolha o ícone de verificação de rede (geralmente umtriângulo vermelho com um ponto de exclamação).

Note

A causa mais comum desse problema é um firewall ou proxy do lado do cliente que impede oacesso pela porta 4172 (TCP e UDP). Se esta verificação de integridade falhar, verifique asconfigurações de firewall locais.

Se a verificação de rede for aprovada, pode haver um problema com a configuração da rede doWorkSpace. Por exemplo, uma regra do Windows Firewall pode bloquear a porta UDP 4172 na interfacede gerenciamento. Conecte-se ao WorkSpace usando um cliente Remote Desktop Protocol (RDP –Protocolo de área de trabalho remota) para verificar se o WorkSpace atende aos requisitos de porta (p. 14)necessários.

Meus usuários recebem a mensagem “Status doWorkSpace: Não íntegro. Não foi possível conectá-loao WorkSpace. Tente novamente em alguns minutos”.Esse erro indica que o serviço SkyLightWorkSpacesConfigService não está respondendo às verificaçõesde integridade.

Se você acabou de reiniciar ou iniciar o WorkSpace, espere alguns minutos e tente novamente.

Se o WorkSpace estiver sendo executado por algum tempo e esse erro persistir, conecte-se usando oRDP para verificar que o serviço SkyLightWorkSpacesConfigService:

• Está em execução.

• Está definido para iniciar automaticamente.

• Pode se comunicar pela interface de gerenciamento (eth0).

• Não está bloqueado por um software antivírus de terceiros.

148





Amazon WorkSpaces Guia de AdministraçãoMeus usuários recebem a mensagem “Este dispositivo

não está autorizado a acessar o WorkSpace. Entreem contato com o administrador para obter ajuda”.

Meus usuários recebem a mensagem “Este dispositivonão está autorizado a acessar o WorkSpace. Entre emcontato com o administrador para obter ajuda”.Esse erro indica que os grupos de controle de acesso IP (p. 32) estão configurados no diretório doWorkSpace, mas o endereço IP do cliente não está na lista de permissões.

Verifique as configurações no diretório. Confirme se o endereço IP público do qual o usuário está seconectando permite o acesso ao WorkSpace.

O cliente dos WorkSpaces mostra aos usuários umerro de rede, mas eles podem usar outros aplicativoshabilitados para rede em seus dispositivosOs aplicativos clientes dos WorkSpaces contam com acesso a recursos na Nuvem AWS e exigem umaconexão que forneça largura de banda de download de, pelo menos, 1 Mbps. Se o dispositivo tiver umaconexão intermitente com a rede, o aplicativo cliente dos WorkSpaces poderá relatar um problema com arede.

O Amazon WorkSpaces passou a exigir o uso de certificados digitais emitidos pelo Amazon Trust Servicesem maio de 2018. O Amazon Trust Services já é uma CA (autoridade de certificação) raiz confiávelnos sistemas operacionais compatíveis com o Amazon WorkSpaces. Se a lista de Root CA do sistemaoperacional não estiver atualizada, o dispositivo não poderá se conectar aos WorkSpaces e o clientegerará um erro de rede.

Para reconhecer problemas de conexão devido a falhas de certificado

• PCoIP zero clients — a seguinte mensagem de erro é exibida:

Failed to connect. The server provided a certificate that is invalid. See below for details:- The supplied certificate is invalid due to timestamp- The supplied certificate is not rooted in the devices local certificate store

• Outros clientes — as verificações de integridade falham com um triângulo de aviso vermelho paraInternet.

Para resolver falhas de certificado• Aplicativo cliente do Windows (p. 149)• Clientes zero PCoIP (p. 150)• Outros aplicativos cliente (p. 150)

Aplicativo cliente do WindowsUse uma das seguintes soluções para falhas de certificado.

Solução 1: atualizar o aplicativo cliente

Faça download do aplicativo cliente do Windows mais recente e instale-o de Amazon WorkSpaces ClientDownloads. Durante a instalação, o aplicativo cliente garante que seu sistema operacional confie emcertificados emitidos pelo Amazon Trust Services.

149



Amazon WorkSpaces Guia de AdministraçãoO cliente dos WorkSpaces mostra aos usuáriosum erro de rede, mas eles podem usar outros

aplicativos habilitados para rede em seus dispositivosSolução 2: adicionar o Amazon Trust Services à lista local de autoridades de certificação raiz

1. Acesse https://www.amazontrust.com/repository/.2. Faça download do certificado Starfield no formato DER

(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92).3. Abra o Console de Gerenciamento Microsoft. (No prompt de comando, execute mmc.)4. Selecione File (Arquivo), Add/Remove Snap-in (Adicionar/Remover snap-in), Certificates (Certificados)

e Add (Adicionar).5. Na página Certificates snap-in (Snap-in de certificados), selecione Computer account (Conta de

computador) e Next (Avançar). Mantenha o padrão, Local computer (Computador local). EscolhaFinish (Concluir). Clique em OK.

6. Expanda Certificates (Local Computer) [Certificados (computador local)] e selecione Trusted RootCertification Authorities (Autoridades de certificação raiz confiáveis). Selecione Action (Ação), AllTasks (Todas as tarefas) e Import (Importar).

7. Siga o assistente para importar o certificado que você obteve por download.8. Saia e reinicie o aplicativo cliente dos WorkSpaces.

Solução 3: implantar o Amazon Trust Services como uma CA confiável usando a política de grupo

Adicione o certificado Starfield às CAs raiz confiáveis do domínio usando a política de grupo. Para obtermais informações, consulte Usar política para distribuir certificados.

Clientes zero PCoIPPara se conectar diretamente a um WorkSpace usando firmware versão 6.0 ou posterior, baixe e instale ocertificado emitido pelo Amazon Trust Services.

Para adicionar o Amazon Trust Services como uma CA raiz confiável

1. Abra https://certs.secureserver.net/repository/.2. Faça o download do certificado em Starfield Certificate Chain (Cadeia de certificado Starfield) com a

impressão digital 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C867 75 21 FB 5F B6 58.

3. Carregue o certificado para o cliente zero. Para obter mais informações, consulte Upload decertificados na documentação do Teradici.

Outros aplicativos clienteAdicione o certificado Starfield(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) no Amazon Trust Services.Para obter mais informações sobre como adicionar uma CA raiz, consulte a seguinte documentação:

• Android: Adicionar e remover certificados• Chrome OS: Gerenciar certificados de cliente em dispositivos Chrome• macOS e iOS: Instalar o certificado raiz de uma CA no dispositivo de teste

150

https://www.amazontrust.com/repository/

https://docs.microsoft.com/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772491(v=ws.11)

https://certs.secureserver.net/repository/

https://www.teradici.com/web-help/TER1504003/6.0/default.htm#05_Managing/04_UploadCertificate.htm

https://www.teradici.com/web-help/TER1504003/6.0/default.htm#05_Managing/04_UploadCertificate.htm

https://www.amazontrust.com/repository/

https://support.google.com/nexus/answer/2844832

https://support.google.com/chrome/a/answer/6080885

https://developer.apple.com/library/content/qa/qa1948/_index.html#/apple_ref/doc/uid/DTS40017603-CH1-SECINSTALLING

Amazon WorkSpaces Guia de AdministraçãoMeus usuários do WorkSpace veem a seguinte mensagem

de erro: "O dispositivo não pode se conectar ao serviçode registro. Verifique suas configurações de rede."

Meus usuários do WorkSpace veem a seguintemensagem de erro: "O dispositivo não pode seconectar ao serviço de registro. Verifique suasconfigurações de rede."Quando ocorre uma falha no serviço de registro, os usuários de WorkSpace podem ver a seguintemensagem de erro na página Connection Health Check (Verificação de integridade da conexão) : "Seudispositivo não consegue se conectar ao serviço de registro dos WorkSpaces." Não será possível registrarseu dispositivo no WorkSpaces. Please check your network settings."

Esse erro ocorre quando o aplicativo cliente dos WorkSpaces não consegue entrar em contato com oserviço de registro. Isso costuma ocorrer quando o diretório de WorkSpaces foi excluído. Para resolveresse erro, verifique se o código de registro é válido e corresponde a um diretório em execução na NuvemAWS.

Meus usuários de cliente zero PCoIP estão recebendoo erro "The supplied certificate is invalid due totimestamp" (O certificado fornecido é inválido devidoao time stamp)Se o Network Time Protocol (NTP) não estiver habilitado no Teradici, seus usuários de cliente zero PCoIPpoderão receber erros de falha de certificado. Para configurar o NTP, consulte Configurar o PCoIP ZeroClient para WorkSpaces (p. 34).

Meus usuários ignoraram a atualização dos aplicativoscliente Windows ou macOS e não foram solicitados ainstalar a versão mais recenteQuando os usuários ignoram atualizações para o aplicativo cliente para Windows do Amazon WorkSpaces,a chave de registro SkipThisVersion é definida e eles não são mais solicitados a atualizar seus clientesquando uma nova versão do cliente é lançada. Para atualizar para a versão mais recente, é possível editaro registro conforme descrito em Atualizar o aplicativo cliente para Windows do WorkSpaces para umaversão mais recente no Guia do usuário do Amazon WorkSpaces. Também é possível executar o seguintecomando do PowerShell:

Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

Quando os usuários ignoram atualizações do aplicativo cliente para macOS do Amazon WorkSpaces,a preferência SUSkippedVersion é definida e eles não são mais solicitados a atualizar seus clientesquando uma nova versão do cliente é lançada. Para atualizar para a versão mais recente, é possívelredefinir essa preferência, conforme descrito em Atualizar o aplicativo cliente para macOS do WorkSpacespara uma versão mais recente no Guia do usuário do Amazon WorkSpaces.

151

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup

Amazon WorkSpaces Guia de AdministraçãoMeus usuários não conseguem instalar o

aplicativo cliente Android em seus Chromebooks

Meus usuários não conseguem instalar o aplicativocliente Android em seus ChromebooksA versão 2.4.13 é a versão final do aplicativo cliente Chromebook do Amazon WorkSpaces. Como oGoogle está eliminando gradualmente o suporte aos aplicativos do Chrome, não haverá atualizaçõesadicionais para o aplicativo cliente do Chromebook para o WorkSpaces e não haverá suporte ao seu uso.

Para Chromebooks compatíveis com a instalação de aplicativos Android, recomendamos usar o aplicativocliente Android do Amazon WorkSpaces.

Em alguns casos, talvez seja necessário habilitar os Chromebooks de seus usuários parainstalar aplicativos Android. Para obter mais informações, consulte Configurar o Android paraChromebooks (p. 34).

Meus usuários não estão recebendo e-mails deconvite nem e-mails de redefinição de senhaOs usuários não recebem e-mails de boas-vindas nem de redefinição de senha automaticamente paraWorkSpaces criados usando o AD Connector.

Para enviar manualmente e-mails de boas-vindas a esses usuários, consulte Enviar um convite por e-mail (p. 74).

Para redefinir senhas de usuário, consulte Configurar as ferramentas de administração do Active Directorydo Amazon WorkSpaces (p. 50).

Meus usuários não veem a opção Esqueceu suasenha? na tela de login do clienteSe você estiver usando o AD Connector, seus usuários não poderão redefinir as próprias senhas. (Aopção Esqueceu sua senha? na tela de login do aplicativo cliente do WorkSpaces não estará disponível.)Para obter informações sobre como redefinir senhas de usuários, consulte Configurar as ferramentas deadministração do Active Directory do Amazon WorkSpaces (p. 50).

Recebo a mensagem “The system administrator hasset policies to prevent this installation (O administradorde sistema definiu políticas para prevenir essainstalação)” quando tento instalar aplicativos em umWorkSpace do WindowsVocê pode resolver esse problema modificando a configuração de política de grupo do Windows Installer.Para implantar essa política em vários WorkSpaces no diretório, aplique essa configuração a um objetode política de grupo vinculado à unidade organizacional (UO) do WorkSpaces em uma instância do EC2associada ao domínio. Se você estiver usando o AD Connector, poderá fazer essas alterações por umcontrolador de domínio. Para obter mais informações sobre como usar as ferramentas de administração doActive Directory para trabalhar com objetos de política de grupo, consulte Instalação das ferramentas deadministração do Active Directory no AWS Directory Service Administration Guide.

O seguinte procedimento mostra como definir a configuração do Windows Installer para o objeto de políticade grupo do Amazon WorkSpaces.

152

https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html






Amazon WorkSpaces Guia de AdministraçãoNenhum dos WorkSpaces no meu

diretório consegue se conectar à internet


2. Abra a ferramenta de gerenciamento de políticas de grupo em seu cliente de WorkSpace do Windowse navegue até e selecione o objeto de políticas de grupo dos WorkSpaces para suas contas demáquina dos WorkSpaces. No menu principal, escolha Action (Ação), Edit (Editar).

3. No editor de gerenciamento de política de grupo, selecione Computer Configuration (Configuraçãodo computador), Policies (Políticas), Administrative Templates (Modelos administrativos), ClassicAdministrative Templates (Modelos administrativos clássicos), Windows Components (Componentesdo Windows) e Windows Installer.

4. Abra a configuração Turn Off Windows Installer (Desativar o Windows Installer).5. Na caixa de diálogo Turn Off Windows Installer (Desativar o Windows Installer), altere Not Configured

(Não configurado) para Enabled (Habilitado) e defina Disable Windows Installer (Desativar o WindowsInstaller) como Never (Nunca).

6. Escolha OK.7. Para aplicar as alterações de política de grupo, execute um destes procedimentos:

• Reinicialize o WorkSpace (no console do Amazon WorkSpaces, selecione o WorkSpace eescolha Actions (Ações), Reboot WorkSpaces (Reinicializar WorkSpaces)).

• Em um prompt de comando administrativo, insira gpupdate /force.

Nenhum dos WorkSpaces no meu diretório conseguese conectar à internetO WorkSpaces não consegue se comunicar com a internet por padrão. Você deve fornecer explicitamenteo acesso à internet. Para obter mais informações, consulte Fornecer acesso à Internet a partir de seuWorkSpace (p. 30).

Meu WorkSpace perdeu o acesso à InternetSe o WorkSpace perdeu o acesso à Internet e você não conseguir se conectar ao WorkSpace usandoo RDP, esse problema provavelmente é causado pela perda do endereço IP público do WorkSpace. Sevocê ativou a atribuição automática de endereços IP elásticos (p. 46) no nível do diretório, um endereçoIP elástico (do grupo fornecido pela Amazon) será atribuído ao WorkSpace quando ele for iniciado. Noentanto, se você associar um endereço IP elástico que possui a um WorkSpace e, depois, desassociaresse endereço IP elástico do WorkSpace, o WorkSpace perderá o endereço IP público e não obteráautomaticamente um novo do grupo fornecido pela Amazon.

Para associar um novo endereço IP público do grupo fornecido pela Amazon ao WorkSpace, é necessáriorecriar o WorkSpace (p. 89). Se você não quiser recriar o WorkSpace, será necessário associar outroendereço IP elástico que possui ao WorkSpace.

Recomendamos que você não modifique a interface de rede elástica de um WorkSpace após ele seriniciado. Depois que um endereço IP elástico for atribuído a um WorkSpace, o WorkSpace mantém omesmo endereço IP público, a menos que o WorkSpace seja recriado, caso em que ele obtém um novoendereço IP público.

Eu recebo um erro de "DNS indisponível" quandotento me conectar ao meu diretório localVocê recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório local.

DNS unavailable (TCP port 53) for IP: dns-ip-address

153





Amazon WorkSpaces Guia de AdministraçãoEu recebo um erro "Problemas de conectividade

detectados" quando tento me conectar ao meu diretório local

O AD Connector deve conseguir se comunicar com seus servidores DNS no local por meio de TCP e UDPna porta 53. Verifique se seus grupos de segurança e firewalls locais permitem a comunicação de TCP eUDP por essa porta.

Eu recebo um erro "Problemas de conectividadedetectados" quando tento me conectar ao meudiretório localVocê recebe uma mensagem de erro semelhante à seguinte quando se conecta ao seu diretório local.

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-addressKerberos/authentication unavailable (TCP port 88) for IP: ip-addressPlease ensure that the listed ports are available and retry the operation.

O AD Connector deve conseguir se comunicar com seus controladores de domínio no local por meio deTCP e UDP nas seguintes portas. Verifique se seus grupos de segurança e firewalls locais permitem acomunicação de TCP e UDP por estas portas:

• 88 (Kerberos)• 389 (LDAP)

Eu recebo um erro "Registro SRV" quando tento meconectar ao meu diretório localVocê recebe uma mensagem de erro semelhante a uma ou mais das seguintes quando se conecta ao seudiretório local.

SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address

O AD Connector precisa obter os registros de SRV _ldap._tcp.dns-domain-name e_kerberos._tcp.dns-domain-name quando se conecta ao seu diretório. Você receberá esse erro seo serviço não conseguir obter esses registros dos servidores DNS que você especificou ao se conectar aoseu diretório. Certifique-se de que os seus servidores DNS contenham esses registros de SRV. Para obtermais informações, consulte Registros de recursos SRV no Microsoft TechNet.

Meu WorkSpace do Windows fica inativo quandopermanece ociosoPara resolver esse problema, conecte-se ao WorkSpace e altere o plano de alimentação para Altodesempenho usando o seguinte procedimento:

1. No WorkSpace, abra Painel de Controle e selecione Hardware e Sons.2. Em Opções de Energia, selecione Escolher um plano de energia.3. No painel Escolher ou personalizar um plano de energia, selecione o plano de energia Alto

desempenho. Se esse plano não estiver visível, selecione a seta à direita de Mostrar planos adicionaispara exibi-lo.

Se as etapas anteriores não resolverem o problema, faça o seguinte:

154

https://technet.microsoft.com/en-us/library/cc961719.aspx

Amazon WorkSpaces Guia de AdministraçãoUm dos meus WorkSpaces tem um estado de "Não íntegro"

1. No painel Escolher ou personalizar um plano de energia, selecione o link Alterar configurações do planoà direita do plano de energia Alto desempenho e, em seguida, selecione o link Alterar configurações deenergia avançadas.

2. Na caixa de diálogo Opções de energia, na lista de configurações, escolha o sinal de mais à esquerdade Disco rígido para exibir as configurações relevantes.

3. Verifique se o valor de Desligar o disco rígido após para Na tomada é maior que o valor de Na bateria (ovalor padrão é de 20 minutos).

4. Selecione o sinal de mais à esquerda de PCI Express e faça o mesmo para Gerenciamento de Energiado Estado da Conexão.

5. Verifique se as configurações de Gerenciamento de Energia do Estado da Conexão estão no modoDesligado.

6. Selecione OK (ou Aplicar se você alterou qualquer configuração) para fechar a caixa de diálogo.7. No painel Alterar configurações do plano, se você alterou qualquer configuração, selecione Salvar

alterações.

Um dos meus WorkSpaces tem um estado de "Nãoíntegro"O serviço do Amazon WorkSpaces envia periodicamente solicitações de status ao WorkSpace. UmWorkSpace é marcado como Unhealthy quando ele não responde a essas solicitações. As causascomuns para esse problema são:

• Um aplicativo no WorkSpace está bloqueando as portas de rede, impedindo que o WorkSpace respondaà solicitação de status.

• O alto nível de utilização da CPU está impedindo que o WorkSpace responda à solicitação de status emtempo hábil.

• O nome do computador do WorkSpace foi alterado. Isso impede que um canal seguro seja estabelecidoentre o Amazon WorkSpaces e o WorkSpace.

Você pode tentar corrigir a situação usando os seguintes métodos:

• Reinicie o WorkSpace do console do Amazon WorkSpaces.• Conecte-se ao WorkSpace não íntegro usando o procedimento a seguir, que deve ser usado apenas

para fins de solução de problemas:

1. Conecte-se a um WorkSpace operacional no mesmo diretório que o WorkSpace não íntegro.2. No WorkSpace operacional, use o Remote Desktop Protocol (RDP) para se conectar ao WorkSpace

não íntegro usando o endereço IP do WorkSpace não íntegro. Dependendo da extensão doproblema, talvez você não consiga se conectar ao WorkSpace não íntegro.

3. No WorkSpace não íntegro, confirme se os requisitos mínimos de porta (p. 14) são atendidos.• Recrie o WorkSpace do console do Amazon WorkSpaces. Como a recriação de um WorkSpace pode

causar uma perda de dados, essa opção deve ser usada somente se todas as outras tentativas paracorrigir o problema não tenham tido bom êxito.

Meu WorkSpace está falhando ou reiniciando deforma inesperada.Se o WorkSpace está falhando ou reiniciando repetidamente e os logs de erro ou os despejosde memória estiverem apontando para problemas com o spacedeskHookKmode.sys ou

155

Amazon WorkSpaces Guia de AdministraçãoMeu WorkSpace está falhando oureiniciando de forma inesperada.

spacedeskHookUmode.dll, ou se estiver recebendo as seguintes mensagens de erro, talvez sejanecessário desabilitar o Web Access do WorkSpace:

The kernel power manager has initiated a shutdown transition.Shutdown reason: Kernel API

The computer has rebooted from a bugcheck.

Note

Você deve desativar o Web Access somente se não estiver permitindo que os usuários utilizem oWeb Access.

Para desabilitar o Web Access do WorkSpace, é necessário definir uma política de grupo e modificar duasconfigurações de registro. Para obter informações sobre como usar as ferramentas de administração doActive Directory para trabalhar com objetos de política de grupo, consulte Instalação das ferramentas deadministração do Active Directory no AWS Directory Service Administration Guide.

Etapa 1: Definir uma política de grupo para desabilitar o Web Access no nível do diretório

É possível fazer essas alterações da máquina que você usa para administrar o domínio, ou por meio deum controlador de domínio.

1. Abra o Editor de Gerenciamento de Política de Grupo (gpmc.msc) e localize a política do Objeto dePolítica de Grupo (GPO) no nível do controlador de domínio do diretório.

2. Selecione Action (Ação), Edit (Editar).3. Navegue até a seguinte configuração:

Computer Configuration\Windows Settings\Security Settings\System Services\STXHD HostedApplication Service

4. Na caixa de diálogo STXHD Hosted Application Service Properties (Propriedades do serviço deaplicativos hospedados no STXHD) na guia Security Policy Setting (Configuração da política desegurança), marque a caixa de seleção Define this policy setting (Definir esta configuração depolítica).

5. Em Select Service Startup Mode (Selecionar modo de inicialização do serviço), selecione Disabled(Desativado).

6. Escolha OK.7. Impeça que a máquina reinicie até que você termine de editar o registro (Etapa 2).

Etapa 2: Editar o registro para desabilitar o Web Access

Recomendamos que você envie essas alterações de registro pelo GPO.

1. Defina o valor de chave de registro a seguir como 1 (ativado):

KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update-webaccess.ps1

KeyName = RebootCount

KeyType = DWORD

156



Amazon WorkSpaces Guia de AdministraçãoO mesmo nome de usuário tem mais de um WorkSpace,

mas o usuário só pode fazer login em um dos WorkSpaces

KeyValue = 12. Defina o valor de chave de registro a seguir como 4 (desativado):

KeyPath = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spacedeskHookKmode

KeyName = Start

KeyType = DWORD

KeyValue = 43. Reinicie a máquina.

O mesmo nome de usuário tem mais de umWorkSpace, mas o usuário só pode fazer login em umdos WorkSpacesSe você excluir um usuário no Active Directory (AD) sem antes excluir o WorkSpace dele e, depois,adicionar o usuário de volta ao Active Directory e criar um WorkSpace para ele, o mesmo nome de usuárioterá dois WorkSpaces no mesmo diretório. No entanto, se o usuário tentar se conectar ao WorkSpaceoriginal, ele receberá o seguinte erro:

"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

Além disso, as pesquisas pelo nome de usuário no console do Amazon WorkSpaces retornam apenas onovo WorkSpace, mesmo que ambos os WorkSpaces ainda existam. (É possível encontrar o WorkSpaceoriginal pesquisando o ID do WorkSpace em vez do nome de usuário.)

Esse comportamento também poderá ocorrer se você renomear um usuário no Active Directory semantes excluir o WorkSpace dele. Se você alterar o nome de usuário de volta para o original e criar umWorkSpace para o usuário, o mesmo nome de usuário terá dois WorkSpaces no diretório.

Esse problema ocorre porque o Active Directory usa o identificador de segurança (SID) do usuário, em vezdo nome de usuário, para identificar exclusivamente o usuário. Quando um usuário é excluído e recriadono Active Directory, ele recebe um novo SID, mesmo que seu nome de usuário permaneça o mesmo.Nas pesquisas por um nome de usuário, o console do Amazon WorkSpaces usa o SID para pesquisarcorrespondências no Active Directory. Os clientes do Amazon WorkSpaces também usam o SID paraidentificar usuários quando eles estão se conectando ao WorkSpaces.

Para resolver esse problema, execute um dos seguintes procedimentos:

• Se o problema ocorreu porque o usuário foi excluído e recriado no Active Directory, talvez seja possívelrestaurar o objeto do usuário original excluído caso o recurso Lixeira no Active Directory estejahabilitado. Se conseguir restaurar o objeto do usuário original, verifique se o usuário consegue seconectar ao WorkSpace original. Se ele conseguir, você poderá excluir o novo WorkSpace (p. 101)após fazer backup e transferir manualmente todos os dados do usuário do novo WorkSpace para oWorkSpace original (se necessário).

• Se não for possível restaurar o objeto do usuário original, exclua o WorkSpace original dousuário (p. 101). O usuário deve ser capaz de se conectar ao seu novo WorkSpace e utilizá-lo. Façabackup e transfira manualmente todos os dados do usuário do WorkSpace original para o novoWorkSpace.

157

https://docs.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-

Amazon WorkSpaces Guia de AdministraçãoEstou tendo problemas para usar oDocker com o Amazon WorkSpaces

Warning

A exclusão de um WorkSpace é uma ação permanente e não pode ser desfeita. Os dadosdo usuário do WorkSpace não são persistidos e são destruídos. Para obter ajuda para fazerbackup dos dados do usuário, entre em contato com o AWS Support.

Estou tendo problemas para usar o Docker com oAmazon WorkSpacesA virtualização aninhada (incluindo o uso do Docker) não é compatível com o Amazon WorkSpaces paraWindows.

O uso do Docker em WorkSpaces Linux também não é compatível. Se você usar o Docker emWorkSpaces Linux, talvez tenha alguns problemas.

Recebo erros ThrottlingException em algumas dasminhas chamadas de APIA taxa padrão permitida para chamadas de API do Amazon WorkSpaces é uma taxa constante de duaschamadas de API por segundo, com uma taxa máxima de "intermitência" permitida de cinco chamadasde API por segundo. A tabela a seguir mostra como o limite da taxa de intermitência funciona parasolicitações de API.

Segundo Número desolicitaçõesenviadas

Solicitaçõeslíquidaspermitidas

Detalhes

1 0 5 Durante o primeiro segundo (segundo 1), cincosolicitações são permitidas, até a taxa máxima deintermitência de cinco chamadas por segundo.

2 2 5 Como duas ou menos chamadas foram emitidas nosegundo 1, a capacidade de intermitência total de cincochamadas ainda está disponível.

3 5 5 Como apenas duas chamadas foram emitidas no segundo2, a capacidade de intermitência total de cinco chamadasainda está disponível.

4 2 2 Como a capacidade de intermitência total foi usada nosegundo 3, apenas a taxa constante de duas chamadaspor segundo está disponível.

5 3 2 Como não há capacidade de intermitência restante,apenas duas chamadas são permitidas no momento. Issosignifica que uma das três chamadas de API é limitada. Achamada limitada responderá após um curto atraso.

6 0 1 Como uma das chamadas do segundo 5 está sendorepetida no segundo 6, há capacidade para apenas umachamada adicional no segundo 6 devido ao limite de taxaconstante de duas chamadas por segundo.

158

Amazon WorkSpaces Guia de AdministraçãoRecebo erros ThrottlingException em

algumas das minhas chamadas de API

Segundo Número desolicitaçõesenviadas

Solicitaçõeslíquidaspermitidas

Detalhes

7 0 3 Agora que não há mais nenhuma chamada de API limitadana fila, o limite da taxa continuará a aumentar, até o limitede taxa de intermitência de cinco chamadas.

8 0 5 Como nenhuma chamada foi emitida no segundo 7, onúmero máximo de solicitações é permitido.

9 0 5 Embora nenhuma chamada tenha sido emitida no segundo8, o limite de taxa não aumenta acima de cinco.

159


Cotas do Amazon WorkSpacesVeja a seguir as cotas (também conhecidas como limites) do Amazon WorkSpaces para sua conta daAWS. Para solicitar um aumento de cota, use o formulário Limites do Amazon WorkSpaces.

Cotas do WorkSpace e de imagem

• WorkSpaces por região: 1• WorkSpaces com o pacote Graphics por região: 0• WorkSpaces com o pacote GraphicsPro por região: 0• Imagens por região: 20

Cotas de controle de acesso IP

• Grupos de controle de acesso IP por região: 100• Regras por grupo de controle de acesso IP: 10• Grupos de controle de acesso IP por diretório: 25

160

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-workspaces


Histórico do documentoA tabela a seguir descreve as mudanças importantes no serviço do Amazon WorkSpaces e no AmazonWorkSpaces Administration Guide de 1º de janeiro de 2018 em diante. Também atualizamos adocumentação com frequência para abordar os comentários enviados por você.

Para receber notificações sobre essas atualizações, você pode se inscrever no feed RSS do AmazonWorkSpaces.

update-history-change update-history-description update-history-date

Automação do BYOL em China(Ningxia)

É possível usar a automação doBring Your Own License (BYOL– Traga sua própria licença) parasimplificar o processo de uso delicenças de desktop do Windows10 para o WorkSpaces na regiãoChina (Ningxia).

April 2, 2020

Verificador de imagens A ferramenta Verificador deImagens ajuda a determinarse o Windows WorkSpaceatende aos requisitos de criaçãode imagem. O Verificador deImagens executa uma sériede testes no WorkSpace quevocê deseja usar para criar aimagem e fornece orientaçõessobre como resolver quaisquerproblemas encontrados.

March 30, 2020

Migrar WorkSpaces O recurso de migração doAmazon WorkSpaces permitemigrar um WorkSpace de umpacote para outro, mantendo osdados no volume do usuário.É possível usar esse recursopara migrar os WorkSpacesda experiência de desktop doWindows 7 para a experiênciade desktop do Windows 10.Também é possível usaresse recurso para migrar osWorkSpaces de um pacotepúblico ou personalizado paraoutro.

January 9, 2020

Integração do PrivateLink paraAPIs do Amazon WorkSpaces

É possível se conectardiretamente a endpoints de APIdo Amazon WorkSpaces pormeio de um endpoint de interfaceem sua nuvem privada virtual(VPC) em vez de se conectarpela Internet. Quando vocêusa um endpoint de interface

November 25, 2019

161

https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html


https://docs.aws.amazon.com/workspaces/latest/adminguide/create-custom-bundle.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/migrate-workspaces.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint


VPC, a comunicação entre aVPC e o endpoint de API doAmazon WorkSpaces é realizadainteiramente e com segurança narede da AWS.

Cliente do Linux para AmazonWorkSpaces

Os usuários agora podem usar ocliente Linux para acessar seusWorkSpaces.

November 25, 2019

Amazon WorkSpaces executadoem China (Ningxia)

O Amazon WorkSpaces estádisponível em Região da China(Ningxia).

November 13, 2019

Restaurar WorkSpaces para oúltimo estado íntegro conhecido

É possível usar o recurso derestauração para reverter umWorkSpace para seu últimoestado íntegro conhecido.

September 18, 2019

Criptografia de endpoints doFIPS

Para estar em conformidadecom o Federal Risk andAuthorization ManagementProgram (FedRAMP – Programafederal de gerenciamento deriscos e autorizações) ou como Department of Defense (DoD)Cloud Computing SecurityRequirements Guide (Guiade requisitos de segurançade computação em nuvem doDepartamento de Defesa), épossível configurar o AmazonWorkSpaces para usar acriptografia de endpoint doFederal Information ProcessingStandards (FIPS – Padrões deprocessamento de informaçõesfederais) no nível do diretório.

September 12, 2019

Copiar imagens do WorkSpace Você pode copiar suas imagensna mesma região ou entreregiões.

June 27, 2019

Recursos de gerenciamento deautoatendimento para os seususuários do WorkSpace

Você pode habilitar osrecursos de gerenciamento deautoatendimento para os seususuários do WorkSpace parafornecer mais controle sobre suaexperiência.

November 19, 2018

Automação do BYOL É possível usar a automação doBring Your Own License (BYOL– Traga sua própria licença)para simplificar o processo deuso de licenças de desktop doWindows 7 e Windows 10 para oWorkSpaces.

November 16, 2018

162

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html


https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/fips-encryption.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/fips-encryption.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/copy-custom-image.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/enable-user-self-service-workspace-management.html




Amazon WorkSpaces Guia de AdministraçãoAtualizações anteriores

Pacotes PowerPro e GraphicsPro Os pacotes PowerPro eGraphicsPro agora estãodisponíveis para AmazonWorkSpaces.

October 18, 2018

Monitorar logins bem-sucedidosno WorkSpace

Você pode usar eventos deeventos do Amazon CloudWatchEvents para monitorar eresponder a logins bem-sucedidos no WorkSpace.

September 17, 2018

Web Access para Windows 10WorkSpaces

Os usuários agora podem usar ocliente Web Access para acessarum WorkSpace executandoa experiência de desktop doWindows 10.

August 24, 2018

Login de URI Você pode usar identificadoresde recursos uniforme (URIs) parafornecer aos usuários acesso aseus WorkSpaces.

July 31, 2018

WorkSpaces do Amazon Linux Você pode provisionarWorkSpaces do Amazon Linuxpara seus usuários.

June 26, 2018

Grupos de controle de acesso IP Você pode controlar osendereços IP de onde osusuários podem acessar seusWorkSpaces.

April 30, 2018

Atualizações no local Você pode atualizar o Windows10 BYOL WorkSpaces para umaversão mais recente do Windows10.

March 9, 2018

Atualizações anterioresA tabela a seguir descreve adições importantes feitas ao serviço do Amazon WorkSpaces e em seuconjunto de documentação definidas antes de 1º de janeiro de 2018.

Alteração Descrição Data

Opções flexíveis de computação Você pode alternar seus WorkSpaces entre ospacotes Value, Standard, Performance e Power

22 dedezembro de2017

Armazenamento configurável Você pode configurar o tamanho da raiz e volumesde usuário para seus WorkSpaces quando elesforem iniciados, e aumentar o tamanho dessesvolumes posteriormente.

22 dedezembro de2017

Controlar o acesso dedispositivos

Você pode especificar os tipos de dispositivosque têm acesso aos WorkSpaces. Além disso,você pode restringir o acesso aos WorkSpaces a

19 de junho de2017

163

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-bundles.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/cloudwatch-events.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/cloudwatch-events.html

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/customize-workspaces-user-login.html


https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/upgrade-windows-10-byol-workspaces.html

modify-workspaces.html

modify-workspaces.html

update-directory-details.html



Alteração Descrição Datadispositivos confiáveis (também conhecidos comodispositivos gerenciados).

Confiança entre florestas É possível estabelecer uma relação de confiançaentre o Microsoft AD gerenciado pela AWS e odomínio local do Microsoft Active Directory e,assim, provisionar WorkSpaces para usuários nodomínio no local.

9 de fevereirode 2017

Pacotes do Windows Server2016

O Amazon WorkSpaces oferece pacotes queincluem uma experiência de desktop do Windows10, promovida pelo Windows Server 2016.

29 denovembro de2016

Web Access Você pode acessar seus WorkSpaces do Windowsem um navegador da web usando o AmazonWorkSpaces Web Access.

18 denovembro de2016

WorkSpaces por hora Você pode configurar os WorkSpaces para que osusuários sejam cobradas por hora.

18 de agostode 2016

Windows 10 BYOL Você pode trazer sua licença do Windows 10 paradesktop para o Amazon WorkSpaces (BYOL).

21 de julho de2016

Compatibilidade com marcação Você pode usar tags para gerenciar e monitorarseus WorkSpaces.

17 de maio de2016

Registros salvos Sempre que você insere um novo código deregistro, o cliente de WorkSpaces o armazena.Isso facilita a alternância entre WorkSpaces emdiferentes diretórios ou regiões.

28 de janeirode 2016

Windows 7 (BYOL), cliente doChromebook, criptografia doWorkSpace

Você pode usar a licença do Windows 7 paradesktop para o Amazon WorkSpaces (BYOL), usaro cliente do Chromebook e usar a criptografia doWorkSpace.

1 de outubro de2015

Monitoramento do CloudWatch Adição de informações sobre o monitoramento doCloudWatch.

28 de abril de2015

Reconexão automática dasessão

Adição de informações sobre o recurso dereconexão automática de sessão nas aplicaçõescliente de desktop de WorkSpaces.

31 de março de2015

Endereços IP públicos É possível atribuir automaticamente um endereçoIP público aos WorkSpaces.


Amazon WorkSpaces executadona Ásia-Pacífico (Cingapura)

O Amazon WorkSpaces está disponível na regiãoÁsia-Pacífico (Cingapura).


Adição do pacote Value,atualizações do pacote Standard,adição do Office 2013

O pacote Value está disponível, o hardware dopacote Standard foi atualizado e o Microsoft Office2013 está disponível em pacotes Plus.

6 de novembrode 2014

Suporte a imagens e pacotes É possível criar uma imagem a partir doWorkSpace que você personalizou e um pacote doWorkSpace personalizado a partir da imagem.

28 de outubrode 2014

164

launch-workspace-trusted-domain.html

amazon-workspaces-bundles.html


amazon-workspaces.html

running-mode.html

byol-windows-images.html

tag-workspaces.html





amazon-workspaces-monitoring.html











Alteração Descrição Data

Suporte ao cliente PCoIP zero É possível acessar dispositivos clientes PCoIPzero do Amazon WorkSpaces.

15 de outubrode 2014

Amazon WorkSpaces executadona Ásia-Pacífico (Tóquio)

O Amazon WorkSpaces está disponível na regiãoÁsia-Pacífico (Tóquio).

26 de agostode 2014

Suporte a impressora local É possível habilitar o suporte a impressora localpara os WorkSpaces.

26 de agostode 2014

Autenticação multifator É possível usar a autenticação multifator emdiretórios conectados.

11 de agostode 2014

Suporte à UO padrão e suporte adomínio de destino

É possível selecionar uma unidade organizacional(UO) padrão na qual as contas de máquinado WorkSpace são colocadas, e um domínioseparado no qual as contas de máquina doWorkSpace são criadas.

7 de julho de2014

Adição de grupos de segurança É possível adicionar um security group aosWorkSpaces.

7 de julho de2014

Amazon WorkSpaces executadona Ásia-Pacífico (Sydney)

O Amazon WorkSpaces está disponível na regiãoÁsia-Pacífico (Sydney).

15 de maio de2014

Amazon WorkSpaces executadona Europa (Irlanda)

O Amazon WorkSpaces está disponível na regiãoEuropa (Irlanda).

5 de maio de2014

Beta público O Amazon WorkSpaces está disponível como betapúblico.

25 de março de2014

165




group_policy.html




amazon-workspaces-security-groups.html




