amazon workspaces - guide d'administration · Étape 2. exécution du script powershell de...

Amazon WorkSpacesGuide d'administration

Amazon WorkSpaces Guide d'administration

Amazon WorkSpaces: Guide d'administrationCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsQu'est-ce qu'Amazon WorkSpaces? ...................................................................................................... 1

Features .................................................................................................................................... 1Architecture ............................................................................................................................... 1Accès à votreWorkSpace ............................................................................................................. 2Pricing ...................................................................................................................................... 3Comment démarrer ..................................................................................................................... 3

Mise en route : configuration rapide ....................................................................................................... 4Avant de commencer .................................................................................................................. 4Fonctions de la configuration rapide .............................................................................................. 5Étape 1 : Lancement de l'WorkSpace ............................................................................................ 5Étape 2 : Se connecter à la WorkSpace ......................................................................................... 7Étape 3 : Nettoyer (Facultatif) ....................................................................................................... 7Étapes suivantes ........................................................................................................................ 8

Mise en réseau et accès ..................................................................................................................... 9Protocoles pour Amazon WorkSpaces ........................................................................................... 9Exigences du VPC .................................................................................................................... 10

Configurer un VPC avec des sous-réseaux privés et une passerelle NAT ................................... 11Configuration d'un VPC avec des sous-réseaux publics .......................................................... 15

Zones de disponibilité pour les instances WorkSpaces ................................................................... 18Exigences relatives aux adresses IP et aux ports .......................................................................... 19

Ports pour applications clientes ........................................................................................... 19Ports pour l'accès web ...................................................................................................... 20Domaines et adresses IP à ajouter à votre liste d'autorisations ................................................. 20...................................................................................................................................... 26...................................................................................................................................... 27

Serveurs de vérification de l'état ......................................................................................... 27Serveurs de passerellePCoIP ............................................................................................. 29Serveurs de passerelleWSP ............................................................................................... 31Interfaces réseau .............................................................................................................. 31

Exigences réseau ..................................................................................................................... 34Appareils approuvés .................................................................................................................. 36

Étape 1 : Créer des certificats ............................................................................................. 36Étape 2 : Déployer des certificats clients vers les appareils approuvés ....................................... 37Étape 3 : Configurer la restriction ........................................................................................ 37

Authentification par carte intelligente ............................................................................................ 37Requirements ................................................................................................................... 38Limitations ....................................................................................................................... 38Configuration du répertoire ................................................................................................. 39Activation des cartes intelligentes pour Windows WorkSpaces ................................................. 39Activation des cartes intelligentes pour Linux WorkSpaces ...................................................... 41

Accès Internet .......................................................................................................................... 45Groupes de sécurité .................................................................................................................. 46Groupes de contrôles d'accès IP ................................................................................................. 47

Création d'un groupe de contrôles d'accès IP ........................................................................ 47Association d'un groupe de contrôle d'accès IP à un annuaire .................................................. 47Copie d'un groupe de contrôles d'accès IP ........................................................................... 48Suppression d'un groupe de contrôles d'accès IP .................................................................. 48

PCoIP Client Zero ..................................................................................................................... 48Configurer Android pour les Chromebooks .................................................................................... 49Accès web ............................................................................................................................... 49

Étape 1 : Activer l'accès web à votreWorkSpaces .................................................................. 50Étape 2 : Configurer l'accès entrant et sortant aux ports pour l'accès Web .................................. 50Étape 3 : Configurer les paramètres de stratégie de groupe et de stratégie de sécurité pourpermettre aux utilisateurs de se connecter ............................................................................ 50

iii


Chiffrement de point de terminaison FIPS ..................................................................................... 53Activer des connexions SSH ...................................................................................................... 54

Conditions préalables pour les connexions SSH à Amazon Linux WorkSpaces ............................ 54Activation des connexions SSH à tous les Amazon Linux WorkSpaces d'un annuaire ................... 56Activer les connexions SSH à une Amazon Linux WorkSpace spécifique ................................... 56Se connecter à un Amazon Linux WorkSpace en utilisant Linux ou PuTTY ................................. 57

Configuration requise ................................................................................................................. 58Configuration de table de routage requise ............................................................................ 58Composants de service requis ............................................................................................ 58

Annuaires ........................................................................................................................................ 60Enregistrer un annuaire ............................................................................................................. 61Mettre à jour les détails de l'annuaire .......................................................................................... 62

Sélectionnez une unité d'organisation .................................................................................. 62Configurer les adresses IP automatiques .............................................................................. 63Contrôler l'accès à l'appareil ............................................................................................... 63Gérer des autorisations d'administrateur local ........................................................................ 64Mettre à jour le compte du connecteur AD (Connecteur AD) .................................................... 64Multi-Factor Authentication (Connecteur AD) ......................................................................... 64

Mise à jour des serveurs DNS pourWorkSpaces ............................................................................ 65Bonnes pratiques .............................................................................................................. 66Étape 1 : Mettre à jour les paramètres du serveur DNS sur votre WorkSpaces ............................ 66Étape 2 : Mettre à jour les paramètres de serveur DNS pour Active Directory .............................. 68Étape 3 : Tester les paramètres de serveur DNS mis à jour ..................................................... 68

Supprimer un annuaire .............................................................................................................. 70Activer Amazon WorkDocs pour Microsoft Active Directory .............................................................. 71Configurer l'administration de l'annuaire ....................................................................................... 72

Lancer une instance WorkSpace ......................................................................................................... 75Lancement avec AWS Managed Microsoft AD ............................................................................... 76

Avant de commencer ........................................................................................................ 76Étape 1 : Création d'un annuaire AWS Managed Microsoft AD ................................................. 76Étape 2 : Créer une WorkSpace ......................................................................................... 77Étape 3 : Se connecter au WorkSpace ................................................................................. 78Étapes suivantes .............................................................................................................. 78

Lancement avec Simple AD ....................................................................................................... 79Avant de commencer ........................................................................................................ 79Étape 1 : Créer un annuaire Simple AD ................................................................................ 80Étape 2 : Créer une WorkSpace ......................................................................................... 81Étape 3 : Se connecter au WorkSpace ................................................................................. 81Étapes suivantes .............................................................................................................. 82

Lancer avec un connecteur AD ................................................................................................... 82Avant de commencer ........................................................................................................ 83Étape 1 . Créer un connecteur AD ....................................................................................... 83Étape 2 : Créer une WorkSpace ......................................................................................... 84Étape 3 : Se connecter au WorkSpace ................................................................................. 84Étapes suivantes .............................................................................................................. 85

Lancer avec un domaine approuvé .............................................................................................. 85Avant de commencer ........................................................................................................ 86Étape 1 : Etablir une relation d'approbation ........................................................................... 86Étape 2 : Créer une WorkSpace ......................................................................................... 87Étape 3 : Se connecter au WorkSpace ................................................................................. 87Étapes suivantes .............................................................................................................. 88

Administrer les utilisateursWorkSpace .................................................................................................. 89Gérer les utilisateursWorkSpaces ................................................................................................ 89

Modification d'informations utilisateur ................................................................................... 89Ajouter ou supprimer des utilisateurs ................................................................................... 89Envoyer un e-mail d'invitation ............................................................................................. 90

Créer plusieurs WorkSpaces pour un utilisateur ............................................................................. 90

iv


Personnalisation de la façon dont les utilisateurs se connectent à leurWorkSpaces .............................. 91Activez les fonctionnalités de gestion WorkSpace en libre-service pour vos utilisateurs ......................... 93

Administrer votreWorkSpaces ............................................................................................................. 95Gestion de vos WorkSpaces Windows ......................................................................................... 95

Installer le modèle d'administration de stratégie de groupe pourPCoIP ....................................... 97Installer les fichiers du modèle d'administration de stratégie de groupe pourWSP ....................... 102Définition de la durée de vie maximale pour un ticket Kerberos .............................................. 109Configuration des paramètres du serveur proxy de l'appareil pour l'accès Internet ...................... 109

Gestion de vos Amazon Linux WorkSpaces ................................................................................ 109Contrôle du comportement de l'agent PCoIP sur Amazon Linux WorkSpaces ............................ 110Activation ou désactivation de la redirection du presse-papiers pour Amazon Linux WorkSpaces ... 110Activation ou désactivation de la redirection audio pour Amazon Linux WorkSpaces ................... 111Permet d'activer ou de désactiver la redirection de fuseau horaire pour Amazon LinuxWorkSpaces. .................................................................................................................. 111Accorder l'accès SSH aux administrateurs Amazon Linux WorkSpaces. ................................... 112Remplacer le shell par défaut pour Amazon Linux WorkSpaces .............................................. 113Protéger les référentiels personnalisés contre tout accès non autorisé ..................................... 113Utilisation du référentiel de la bibliothèque Extras Amazon Linux ............................................. 113Utiliser des cartes intelligentes pour l'authentification sur Linux WorkSpaces ............................. 114

Gérer le mode d'exécution ........................................................................................................ 114Modifier le mode d'exécution ............................................................................................. 114Arrêter et démarrer un AutoStop WorkSpace ....................................................................... 114

Modifier une WorkSpace .......................................................................................................... 115Modification des tailles de volume ..................................................................................... 115Modification des types de bundles ..................................................................................... 117

Ressources WorkSpaces de balise ............................................................................................ 117MaintenanceWorkSpace ........................................................................................................... 119

Fenêtres de maintenance pour AlwaysOn WorkSpaces ......................................................... 119Fenêtres de maintenance pour AutoStop WorkSpaces .......................................................... 119Maintenance manuelle ..................................................................................................... 120

ChiffréWorkSpaces .................................................................................................................. 120Prerequisites .................................................................................................................. 121Limits ............................................................................................................................ 122Présentation du chiffrement d'Amazon WorkSpaces avec AWS KMS ....................................... 122Amazon WorkSpacesContexte de chiffrement ...................................................................... 123Accorder à Amazon WorkSpaces l'autorisation d'utiliser une clé CMK en votre nom .................... 123Chiffrement d'WorkSpaces ................................................................................................ 127Affichage des WorkSpaces chiffrés .................................................................................... 127

Redémarrer une WorkSpace. .................................................................................................... 127Recréer une WorkSpace .......................................................................................................... 128Restaurer une WorkSpace ........................................................................................................ 129Mettre à niveau Windows 10 BYOL WorkSpaces ......................................................................... 130

Prerequisites .................................................................................................................. 130Importantes considérations ............................................................................................... 131Limitations connues ......................................................................................................... 131Résumé des paramètres de clé de registre ......................................................................... 131Étapes pour effectuer une mise à niveau sur place .............................................................. 132Troubleshooting .............................................................................................................. 135Mise à jour de votre registre WorkSpace à l'aide d'un scriptPowerShell .................................... 135

Migrer une WorkSpace ............................................................................................................ 136Limites de migration ........................................................................................................ 137Scénarios de migration disponibles .................................................................................... 137Déroulement de la migration ............................................................................................. 138Bonnes pratiques ............................................................................................................ 138Troubleshooting .............................................................................................................. 139Quelles sont les conséquences sur la facturation ................................................................. 139Migration d'une WorkSpace .............................................................................................. 139

v


Supprimer un WorkSpace ......................................................................................................... 140Bundles et images .......................................................................................................................... 141

Créer une image et un bundle personnalisés ............................................................................... 141Conditions requises pour créer des images personnalisées Windows ....................................... 142Conditions requises pour créer des images personnalisées Amazon Linux ................................ 143Bonnes pratiques ............................................................................................................ 143Étape 1 : Exécuter l'outil de vérification d'image ................................................................... 144Étape 2 : Créer une image et un bundle personnalisés .......................................................... 151Contenu des images personnalisées WorkSpaces Windows .................................................. 152Contenu des images personnaliséesAmazon LinuxWorkSpace ............................................... 153

Mettre à jour un bundle personnalisé ......................................................................................... 153Copier une image personnalisée ............................................................................................... 154Partager ou annuler le partage d'une image personnalisée ............................................................ 156Supprimer un bundle ou une image personnalisé(e) ..................................................................... 158Apportez vos propres licences d'ordinateur de bureau Windows (BYOL) .......................................... 158

Requirements ................................................................................................................. 159Versions Windows prises en charge pour BYOL .................................................................. 160Ajout de Microsoft Office à votre image BYOL ..................................................................... 160Étape 1 : Activer l'option BYOL pour votre compte à l'aide de la console Amazon WorkSpaces ..... 164Étape 2 : Exécuter le script BYOL Checker PowerShell sur une machine virtuelle Windows .......... 165Étape 3 : Exporter la machine virtuelle à partir de votre environnement de virtualisation ............... 166Étape 4 : Importer votre machine virtuelle en tant qu'image dans Amazon EC2 .......................... 166Étape 5 : Créer une image BYOL à l'aide de la console Amazon WorkSpaces ........................... 167Étape 6 : Créer un bundle personnalisé à partir de l'image BYOL ............................................ 168Étape 7 : Enregistrer un annuaire pour les WorkSpaces dédiées ............................................. 168Étape 8 : Lancer votre WorkSpaces BYOL .......................................................................... 169

Surveillance de vos WorkSpaces ....................................................................................................... 170Surveillance à l'aide de métriques CloudWatch ............................................................................ 170

Amazon WorkSpacesIndicateurs ........................................................................................ 170Dimensions pour les métriques Amazon WorkSpaces ........................................................... 172Exemple de surveillance ................................................................................................... 173

Surveillance avec CloudWatch Events ........................................................................................ 174ÉvénementsWorkSpaces .................................................................................................. 174Créer une règle pour gérer les événementsWorkSpaces ....................................................... 176

Continuité des activités .................................................................................................................... 177Redirection entre régions ......................................................................................................... 177

Prerequisites .................................................................................................................. 178Limitations ...................................................................................................................... 179Étape 1 : Créer vos alias de connexion .............................................................................. 179(Facultatif) Étape 2 : Partager un alias de connexion avec un autre compte .............................. 180Étape 3 : Association de vos alias de connexion aux annuaires dans chaque région ................... 181Étape 4 : Configurer votre service DNS et configurer vos stratégies de routage DNS .................. 181Étape 5 : Envoyer la chaîne de connexion à vos utilisateursWorkSpaces .................................. 185Que se passe-t-il au cours de la redirection entre régions ...................................................... 185Dissocier un alias de connexion d'un annuaire ..................................................................... 186Annuler le partage d'un alias de connexion ......................................................................... 186Supprimer un alias de connexion ....................................................................................... 187Autorisations IAM pour l'association et la dissociation d'alias de connexion ............................... 187Considérations de sécurité si vous arrêtez d'utiliser la redirection entre régions ......................... 188

Sécurité ......................................................................................................................................... 190Protection des données ............................................................................................................ 190

Chiffrement au repos ....................................................................................................... 191Chiffrement en transit ...................................................................................................... 191

Identity and Access Management .............................................................................................. 191Création du rôle WorkSpaces_DefaultRole .......................................................................... 194Spécification de ressources Amazon WorkSpaces dans une stratégie IAM ............................... 195

Validation de la conformité ....................................................................................................... 198

vi


Résilience .............................................................................................................................. 199Sécurité de l'infrastructure ........................................................................................................ 199

Isolement du réseau ........................................................................................................ 200Isolation sur les hôtes physiques ....................................................................................... 200Autorisation des utilisateurs d’entreprise ............................................................................. 200Faire des requêtes d’API Amazon WorkSpaces via un point de terminaison d'interface VPC ......... 200Création d'une stratégie de point de terminaison de VPC pour Amazon WorkSpaces .................. 201Connectez votre réseau privé à votre VPC .......................................................................... 202

Gestion des mises à jour ......................................................................................................... 202Amazon WAM ................................................................................................................ 203

Dépannage ..................................................................................................................................... 204Activation de la journalisation avancée ....................................................................................... 204Résolution de problèmes spécifiques ......................................................................................... 205

Je ne peux pas créer de Amazon Linux WorkSpace, car le nom d'utilisateur contient descaractères non valides ..................................................................................................... 207J'ai modifié le shell pour mon Amazon Linux WorkSpace et je ne peux plus mettre en service unesessionPCoIP ................................................................................................................. 207Mon Amazon Linux WorkSpaces ne démarre pas ................................................................ 207Le lancement de WorkSpaces dans mon annuaire connecté échoue souvent ............................ 208Le lancement de WorkSpaces échoue avec une erreur interne ............................................... 208Lorsque j'essaie d'enregistrer un annuaire, l'enregistrement échoue et quitte l'annuaire à l'étatERROR (ERREUR) ......................................................................................................... 209Mes utilisateurs ne peuvent pas se connecter à une WorkSpace Windows avec une bannière deconnexion interactive ....................................................................................................... 209Mes utilisateurs ne peuvent pas se connecter à un WorkSpace Windows ................................. 209Mes utilisateurs ont des problèmes lorsqu'ils essaient de se connecter à WorkSpaces à partir del'accès webWorkSpaces ................................................................................................... 210Le client Amazon WorkSpaces affiche un « Chargement en cours de... » gris pendant un certaintemps avant de revenir à l'écran de connexion. Aucun autre message d'erreur ne s'affiche. .......... 210Mes utilisateurs reçoivent le message « État de l'espace de travail : Défectueux. Nous n'avonspas pu vous connecter à votre WorkSpace. Veuillez réessayer dans quelques minutes. » ............ 211Mes utilisateurs reçoivent le message « Cet appareil n'est pas autorisé à accéder à l'WorkSpace.Contactez votre administrateur pour obtenir de l'aide. » ......................................................... 211Mes utilisateurs reçoivent le message « Aucun réseau. Connexion réseau perdue. Vérifiez votreconnexion réseau ou contactez votre administrateur pour obtenir de l'aide. » lors de la tentativede connexion à un WorkSpace WSP ................................................................................. 212Le client WorkSpaces signale à mes utilisateurs une erreur de réseau, mais ils sont en mesured'utiliser d'autres applications réseau activées sur leurs appareils ........................................... 212Mes utilisateurs WorkSpace voient le message d'erreur suivant : « L'appareil ne peut pas seconnecter au service d'enregistrement. Veuillez vérifier vos paramètres réseau. » ...................... 214Mes utilisateurs clients PCoIP zéro reçoivent l'erreur « Le certificat fourni n'est pas valide enraison de l'horodatage » ................................................................................................... 214Mes utilisateurs ont ignoré la mise à jour de leurs applications clientes Windows ou macOS et nesont pas invités à installer la dernière version ...................................................................... 214Mes utilisateurs ne peuvent pas installer l'application cliente Android sur leurs Chromebooks ....... 215Mes utilisateurs ne reçoivent pas d'e-mails d'invitation ou d'e-mails de réinitialisation de mot depasse ............................................................................................................................ 215Mes utilisateurs ne voient pas l’option « Mot de passe oublié ? » sur l'écran de connexion duclient ............................................................................................................................. 215Je reçois le message « L'administrateur système a défini des stratégies pour empêcher cetteinstallation » lorsque j'essaie d'installer des applications sur un WorkSpace Windows ................. 215Aucun WorkSpaces de mon annuaire ne peut se connecter à Internet ..................................... 216Mon WorkSpace a perdu son accès à Internet .................................................................... 216L'erreur « DNS unavailable » s'affiche lorsque j'essaie de me connecter à mon annuaire sur site ... 216L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à monannuaire sur site ............................................................................................................. 217L'erreur « SRV record » s'affiche lorsque je tente de me connecter à mon annuaire sur site ......... 217

vii


Mes WorkSpace Windows se mettent en veille lorsqu'ils restent inactifs ................................... 217L'un de mes WorkSpaces a l'état UNHEALTHY. .................................................................... 218Mon WorkSpace se bloque ou redémarre de façon inattendue ............................................... 219Le même nom d'utilisateur comporte plusieurs WorkSpace, mais l'utilisateur ne peut seconnecter qu'à un seul des WorkSpaces. ............................................................................ 220J'ai des difficultés à utiliser Docker avec Amazon WorkSpaces ............................................... 221Je reçois des erreurs ThrottlingException pour certains de mes appels d'API ............................ 222

Quotas ........................................................................................................................................... 223Historique du document ................................................................................................................... 224

Mises à jour antérieures ........................................................................................................... 227.................................................................................................................................................. ccxxx

viii

Amazon WorkSpaces Guide d'administrationFeatures

Qu'est-ce qu'Amazon WorkSpaces?Amazon WorkSpaces vous permet d'allouer des bureaux virtuels Microsoft Windows ou Amazon Linuxbasés sur le cloud pour vos utilisateurs, plus connus sous le nom d'WorkSpaces. Amazon WorkSpacesélimine le besoin d'acquérir et de déployer du matériel ou d'installer des logiciels complexes. Vous pouvezrapidement ajouter ou supprimer des utilisateurs à mesure que vos besoins évoluent. Les utilisateurspeuvent accéder à leurs bureaux virtuels à partir de plusieurs appareils ou navigateurs web.

Pour plus d'informations, consultezAmazon WorkSpaces.

Features• Choisissez votre système d'exploitation (Windows ou Amazon Linux) et faites votre choix parmi les

configurations matérielles, les configurations logicielles et les régions AWS. Pour de plus amplesinformations, veuillez consulter Solutions groupées Amazon WorkSpaces et .the section called “Créerune image et un bundle personnalisés” (p. 141)

• Choisissez votre protocole : PCoIP ou WorkSpaces Streaming Protocol (WSP). Pour plus d'informations,consultez Protocoles pour Amazon WorkSpaces (p. 9).

• Connectez-vous à votre WorkSpace et reprenez là où vous vous étiez arrêté. Amazon WorkSpaces offreune expérience de bureau persistante.

• Amazon WorkSpaces offre la flexibilité d'une facturation mensuelle ou horaire pour WorkSpaces. Pourplus d'informations, consultez Tarification Amazon WorkSpaces.

• Déployez et gérez des applications pour votre WorkSpaces Windows avec Amazon WorkSpacesApplication Manager (Amazon WAM).

• Pour les bureaux Windows, vous pouvez réutiliser vos licences et applications, ou les acheter à partird'AWS Marketplace for Desktop Apps.

• Créez un annuaire géré autonome pour vos utilisateurs ou connectez votre annuaire WorkSpaces à votreannuaire sur site afin que vos utilisateurs puissent utiliser leurs informations d'identification existantespour obtenir un accès transparent aux ressources de l'entreprise. Pour plus d'informations, consultezAnnuaires (p. 60).

• Utilisez les mêmes outils pour gérer WorkSpaces que ceux que vous utilisez pour gérer les bureaux sursite.

• Utilisez la Multi-Factor Authentication (MFA) pour plus de sécurité.• Utilisez AWS Key Management Service (AWS KMS) pour chiffrer les données au repos, les E/S de

disque et les instantanés de volumes.• Contrôlez les adresses IP à partir desquelles les utilisateurs sont autorisés à accéder à leur WorkSpaces.

ArchitecturePour Windows et Amazon Linux WorkSpaces, chaque WorkSpace est associé à un Virtual Private Cloud(VPC) et à un annuaire pour stocker et gérer les informations de vos utilisateurs et WorkSpaces. Pourplus d'informations, consultez the section called “Exigences du VPC” (p. 10). Les annuaires sont gérésvia l'annuaire AWS Directory Service qui offre les options suivantes : Simple AD, AD Connector ou AWSDirectory Service pour Microsoft Active Directory, plus connu sous le nom de AWS Managed Microsoft AD.Pour de plus amples informations, veuillez consulter AWS Directory Service Administration Guide.

utilise votre annuaire Simple AD, AD Connector ou Amazon WorkSpaces Managed Microsoft AD pourauthentifier les utilisateurs.AWS Les utilisateurs accèdent à leur WorkSpaces à l'aide d'une application

1

https://aws.amazon.com/workspaces/

https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles

https://aws.amazon.com/workspaces/pricing/

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/

Amazon WorkSpaces Guide d'administrationAccès à votreWorkSpace

cliente à partir d'un appareil pris en charge ou, pour Windows WorkSpaces, d'un navigateur web, et seconnectent à l'aide de leurs informations d'identification d'annuaire. Les informations de connexion sontenvoyées à une passerelle d'authentification, qui transfère le trafic vers l'annuaire de l'WorkSpace. Une foisque l'utilisateur est authentifié, le trafic de streaming est initié via la passerelle de streaming.

Les applications clientes utilisent HTTPS via le port 443 pour toutes les informations liées àl'authentification et à la session. Les applications clientes utilisent les ports 4172 (PCoIP) et 4195 (WSP)pour le streaming de pixels vers la WorkSpace et les ports 4172 et 4195 pour les vérifications de l'état duréseau. Pour plus d'informations, consultez Ports pour applications clientes (p. 19).

Chaque WorkSpace est associée à deux interfaces réseau Elastic : une interface réseau pour la gestionet le streaming (eth0) et une interface réseau principale (eth1). L'interface réseau principale possède uneadresse IP fournie par votre VPC, à partir des mêmes sous-réseaux utilisés par l'annuaire. Cela garantitque le trafic de votre WorkSpace peut facilement atteindre le répertoire. L'accès aux ressources du VPCest contrôlé par les groupes de sécurité affectés à l'interface réseau principale. Pour plus d'informations,consultez Interfaces réseau (p. 31).

Le schéma suivant illustre l'architecture d’Amazon WorkSpaces.

Pour obtenir des schémas d'architecture supplémentaires, consultez le livre blanc « Best Practices forDeploying Amazon WorkSpaces ».

Accès à votreWorkSpaceVous pouvez vous connecter à votre WorkSpaces en utilisant l'application cliente pour un appareil prisen charge ou, pour Windows WorkSpaces, en utilisant un navigateur web pris en charge sur un systèmed'exploitation pris en charge.

Note

Vous ne pouvez pas utiliser un navigateur web pour vous connecter à Amazon Linux WorkSpaces.

Il existe des applications clientes pour les appareils suivants :

• Ordinateurs Windows• OrdinateursmacOS

2

http://aws.amazon.com/workspaces/resources/


Amazon WorkSpaces Guide d'administrationPricing

• Ordinateurs Ubuntu Linux 18.04• Chromebooks• iPads• Appareils Android• Tablettes Fire• Appareils du client Zero (les appareils du client Zero Téléradici sont pris en charge uniquement avec

PCoIP.)

Sous Windows, macOS et Linux PCs, vous pouvez utiliser les navigateurs web suivants pour vousconnecter à Windows WorkSpaces :

• Chrome 53 et versions ultérieures (Windows et macOS uniquement)• Firefox 49 et version ultérieure

Pour plus d'informations, consultez Clients Amazon WorkSpaces dans le Guide de l'utilisateur AmazonWorkSpaces.

PricingAprès vous être inscrit à AWS, vous pouvez démarrer avec Amazon WorkSpaces grâce à l'offre gratuiteAmazon WorkSpaces Pour plus d'informations, consultez Tarification Amazon WorkSpaces.

Avec Amazon WorkSpaces, vous ne payez que ce que vous utilisez. Vous êtes facturé en fonction dubundle et du nombre d'WorkSpaces que vous lancez. La tarification pour Amazon WorkSpaces inclutl'utilisation de Simple AD et d'AD Connector, mais pas celle de AWS Managed Microsoft AD.

Amazon WorkSpaces assure une facturation mensuelle ou horaire pour WorkSpaces. Avec la facturationmensuelle, vous payez des frais fixes pour une utilisation illimitée, ce qui est le mieux pour les utilisateursqui utilisent leur WorkSpaces à plein temps. Avec la facturation horaire, vous payez un faible coût mensuelfixe par WorkSpace, plus un tarif horaire peu élevé pour chaque heure d'exécution de l'WorkSpace. Pourplus d'informations, consultez Tarification Amazon WorkSpaces.

Pour plus d'informations sur les régions prises en charge, consultez Tarification Amazon WorkSpaces.

Comment démarrerPour créer un WorkSpace, utilisez l'un des didacticiels suivants :

• Mise en route avec la configuration rapide Amazon WorkSpaces (p. 4)• Lancement d'un WorkSpace avec AWS Managed Microsoft AD (p. 76)• Lancement d'un WorkSpace avec Simple AD (p. 79)• Lancement d'une WorkSpace à l'aide du connecteur AD (p. 82)• Lancement d'un WorkSpace à l'aide d'un domaine approuvé (p. 85)

3

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html




Amazon WorkSpaces Guide d'administrationAvant de commencer

Mise en route avec la configurationrapide Amazon WorkSpaces

Dans ce didacticiel, vous allez apprendre à allouer un bureau virtuel Microsoft Windows ou Amazon Linuxbasé sur le cloud, plus connu sous le nom de WorkSpace, en utilisant Amazon WorkSpaces et AWSDirectory Service.

Ce didacticiel utilise l'option de configuration rapide pour lancer votre WorkSpace. Cette option estdisponible uniquement si vous n'avez jamais lancé une WorkSpace. Sinon, consultez Lancer un bureauvirtuel avec Amazon WorkSpaces (p. 75).

Note

La configuration rapide est prise en charge dans les régions AWS suivantes :

• USA Est (Virginie du Nord)• USA Ouest (Oregon)• Europe (Irlande)• Asie-Pacifique (Singapour)• Asie-Pacifique (Sydney)• Asie-Pacifique (Tokyo)

Pour changer de région, consultez Choix d'une région.

Tâches• Avant de commencer (p. 4)• Fonctions de la configuration rapide (p. 5)• Étape 1 : Lancement de l'WorkSpace (p. 5)• Étape 2 : Se connecter à la WorkSpace (p. 7)• Étape 3 : Nettoyer (Facultatif) (p. 7)• Étapes suivantes (p. 8)

Avant de commencerAvant de commencer, assurez-vous que vous respectez les exigences suivantes :

• Vous devez disposer d'un compte AWS pour créer ou administrer un WorkSpace. Les utilisateurs n'ontpas besoin d'un compte AWS pour se connecter à leur WorkSpaces et l'utiliser.

• Amazon WorkSpaces n'est pas disponible dans toutes les régions. Vérifiez les régions prises en chargeet sélectionnez une région pour votre WorkSpaces. Pour plus d'informations sur les régions prises encharge, consultez Tarification Amazon WorkSpaces par région AWS.

Il est également utile de passer en revue et de comprendre les concepts suivants avant de continuer :

• Lorsque vous lancez une WorkSpace, vous devez sélectionner un bundle WorkSpace. Pour plusd'informations, consultez Solutions groupées Amazon WorkSpaces.

4

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region


https://aws.amazon.com/workspaces/pricing/#Amazon_WorkSpaces_Pricing_by_AWS_Region


Amazon WorkSpaces Guide d'administrationFonctions de la configuration rapide

• Lorsque vous lancez une WorkSpace, vous devez sélectionner le protocole (PCoIP ou WorkSpacesStreaming Protocol [WSP]) que vous souhaitez utiliser avec votre bundle. Pour plus d'informations,consultez Protocoles pour Amazon WorkSpaces (p. 9).

• Lorsque vous lancez une WorkSpace, vous devez spécifier les informations de profil de l'utilisateur,notamment un nom d'utilisateur et une adresse e-mail. Les utilisateurs achèvent leurs profils enspécifiant un mot de passe. Les informations sur WorkSpaces et les utilisateurs sont stockées dans unannuaire. Pour plus d'informations, consultez Annuaires (p. 60).

Fonctions de la configuration rapideLa configuration rapide exécute les tâches suivantes en votre nom :

• Crée un IAMrôle pour permettre au service Amazon WorkSpaces de créer des interfaces réseau Elasticet de répertorier vos annuaires Amazon WorkSpaces. Ce rôle est nommé workspaces_DefaultRole.

• Crée un Virtual Private Cloud (VPC). Si vous souhaitez plutôt utiliser un VPC existant, assurez-vous qu'ilrépond aux exigences notées dans Configurer un VPC pour Amazon WorkSpaces (p. 10), puis suivezles étapes décrites dans l'un des didacticiels répertoriés dans Lancer un bureau virtuel avec AmazonWorkSpaces (p. 75). Choisissez le didacticiel qui correspond à la version d'Active Directory que voussouhaitez utiliser.

• Configure un annuaire Simple AD dans le VPC. Cet annuaire Simple AD est utilisé pour stocker desinformations utilisateur et WorkSpace. L'annuaire possède un compte administrateur et il est activé pourAmazon WorkDocs.

• Crée les comptes utilisateur spécifiés et les ajoute à l'annuaire.• : crée WorkSpaces. Chaque WorkSpace reçoit une adresse IP publique pour fournir un accès

Internet. Le mode d'exécution est AlwaysOn. Pour plus d'informations, consultez Gestion du moded'exécutionWorkSpace (p. 114).

• Envoie des e-mails d'invitation aux utilisateurs spécifiés. Si vos utilisateurs ne reçoivent pas leurs e-mailsd'invitation, consultez Envoyer un e-mail d'invitation (p. 90).

Note

Le premier compte utilisateur créé par Quick Setup est votre compte utilisateur Admin. Vous nepouvez pas mettre à jour ce compte utilisateur à partir de la console Amazon WorkSpaces Nepartagez pas les informations relatives à ce compte administrateur avec d'autres personnes. Sivous souhaitez inviter d'autres utilisateurs à utiliser WorkSpaces, créez des comptes utilisateurpour eux.

Étape 1 : Lancement de l'WorkSpaceAvec la configuration rapide, vous pouvez lancer votre premier WorkSpace en quelques minutes.

Pour lancer une WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Sélectionnez Pour commencer. Si vous ne voyez pas ce bouton, vous avez déjà lancé une

WorkSpace dans cette région ou vous n'utilisez pas l'une des régions qui prennent en charge laconfiguration rapide (p. 4). Dans ce cas, consultez Lancer un bureau virtuel avec AmazonWorkSpaces (p. 75).

3. Sur la page Mise en route avec Amazon WorkSpaces, à côté de Configuration rapide, choisissezLancer.

5

https://console.aws.amazon.com/workspaces/

Amazon WorkSpaces Guide d'administrationÉtape 1 : Lancement de l'WorkSpace

4. Pour Bundles (Solutions groupées), sélectionnez un bundle (matériel et logiciel) pour l'utilisateur avecle protocole approprié (PCoIP ou WSP). Pour plus d'informations sur les différents bundles publicsdisponibles pour Amazon WorkSpaces, consultez Bundles Amazon WorkSpaces.

5. Pour Entrer les détails de l'utilisateur, saisissez le Nom d'utilisateur, le Prénom, le Nom et l'E-mail.

Note

Si vous utilisez Amazon WorkSpaces pour la première fois, nous vous recommandons decréer un utilisateur pour vous-même à des fins de test.

6. Choisissez Lancer WorkSpaces.7. Sur la page de confirmation, choisissez Afficher la console WorkSpaces. Le lancement de votre

WorkSpace prend environ 20 minutes. Pour surveiller la progression, accédez au volet de navigationde gauche et choisissez Directories (Annuaires). Vous verrez un répertoire en cours de création avecun statut initial de REQUESTED, puis CREATING.

6


Amazon WorkSpaces Guide d'administrationÉtape 2 : Se connecter à la WorkSpace

Une fois que l'annuaire a été créé et a l'état ACTIVE, vous pouvez choisir WorkSpaces dansle volet de navigation de gauche pour surveiller la progression du processus de lancementWorkSpace. L'état initial de WorkSpace est PENDING. Une fois le lancement terminé, le statut estAVAILABLE et une invitation est envoyée à l'adresse e-mail que vous avez spécifiée pour chaqueutilisateur. Si vos utilisateurs ne reçoivent pas leurs e-mails d'invitation, consultez Envoyer un e-maild'invitation (p. 90).

Étape 2 : Se connecter à la WorkSpaceAprès avoir reçu l'e-mail d'invitation, vous pouvez vous connecter au WorkSpace à l'aide du client de votrechoix. Une fois connecté, le client affiche le bureau WorkSpace.

Pour se connecter au WorkSpace

1. Si vous n'avez pas encore configuré les informations d'identification de l'utilisateur, ouvrez le lien dansl'e-mail d'invitation et suivez les instructions. Retenez le mot de passe que vous spécifiez, car vous enaurez besoin pour vous connecter à votre WorkSpace.

Note

Les mots de passe sont sensibles à la casse et doivent comporter entre 8 et 64 caractères,inclus. Les mots de passe doivent contenir au moins un caractère de chacune des catégoriessuivantes : minuscules (a à z), majuscules (A à Z), chiffres (0 à 9) et le jeu de caractères ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Pour plus d'informations sur les exigences de chaque client, consultez Clients Amazon WorkSpacesdans le Guide de l'utilisateur Amazon WorkSpaces, puis effectuez l'une des actions suivantes :

• Lorsque vous y êtes invité, téléchargez l'une des applications clientes ou lancez l'accès web.• Si vous n'y êtes pas invité et que vous n'avez pas déjà installé une application cliente, ouvrez https://

clients.amazonworkspaces.com/ et téléchargez l'une des applications clientes ou lancez l'accèsweb.

Note

Vous ne pouvez pas utiliser un navigateur web (Web Access) pour vous connecter à AmazonLinux WorkSpaces.

3. Lancez le client, saisissez le code d'inscription fourni dans l'e-mail d'invitation et choisissez S'inscrire.4. Lorsque vous êtes invité à vous connecter, saisissez le nom d'utilisateur et le mot de passe, puis

choisissez Sign In (Connexion).5. (Facultatif) Lorsque vous êtes invité à enregistrer vos informations d'identification, choisissez Oui.

Pour plus d'informations sur l'utilisation des applications clientes, telles que la configuration de plusieursmoniteurs ou l'utilisation de périphériques, consultez Clients Amazon WorkSpaces et Prise en charge despériphériques dans le .Guide de l'utilisateur Amazon WorkSpaces

Étape 3 : Nettoyer (Facultatif)Si vous avez terminé avec le WorkSpace que vous avez créé pour ce didacticiel, vous pouvez le supprimer.Pour plus d'informations, consultez the section called “Supprimer un WorkSpace” (p. 140).

7



https://clients.amazonworkspaces.com/



https://docs.aws.amazon.com/workspaces/latest/userguide/peripheral_devices.html

Amazon WorkSpaces Guide d'administrationÉtapes suivantes

Étapes suivantesVous pouvez continuer à personnaliser le WorkSpace que vous venez de créer. Par exemple, vouspouvez installer un logiciel, puis créer un bundle personnalisé à partir de votre WorkSpace. Vous pouvezégalement effectuer diverses tâches administratives pour votre annuaire WorkSpaces et WorkSpaces. Pourplus d'informations, consultez la documentation suivante.

• Créer une image et un bundle WorkSpaces personnalisés (p. 141)• Administrer votreWorkSpaces (p. 95)• Gérer des annuaires pour Amazon WorkSpaces (p. 60)

Pour créer des WorkSpaces supplémentaires, consultez Lancer un bureau virtuel avec AmazonWorkSpaces (p. 75).

Pour plus d'informations sur l'utilisation des applications clientes WorkSpaces, telles que la configurationde plusieurs moniteurs ou l'utilisation de périphériques, consultez Clients Amazon WorkSpaces et Prise encharge des périphériques dans le .Guide de l'utilisateur Amazon WorkSpaces

8



Amazon WorkSpaces Guide d'administrationProtocoles pour Amazon WorkSpaces

Mise en réseau et accès pourAmazon WorkSpaces

En tant qu'administrateur WorkSpace, vous devez comprendre ce qui suit à propos de la mise en réseau etde l'accès à Amazon WorkSpaces.

Sommaire• Protocoles pour Amazon WorkSpaces (p. 9)• Configurer un VPC pour Amazon WorkSpaces (p. 10)• Zones de disponibilité pour Amazon WorkSpaces (p. 18)• Exigences relatives aux adresses IP et aux ports pour Amazon WorkSpaces (p. 19)• Amazon WorkSpacesExigences réseau du client (p. 34)• Restreindre l'accès d'WorkSpaces aux appareils approuvés (p. 36)• Utiliser des cartes intelligentes pour l'authentification (p. 37)• Fournir un accès Internet à partir de votreWorkSpace (p. 45)• Groupes de sécurité pour votreWorkSpaces (p. 46)• Groupes de contrôle d'accès IP pour vos instances WorkSpaces (p. 47)• Configuration du client Zero PCoIP pourWorkSpaces (p. 48)• Configurer Android pour les Chromebooks (p. 49)• Activer et configurer l'accès Web Amazon WorkSpaces (p. 49)• Configuration de Amazon WorkSpaces pour l'autorisation FedRAMP ou la conformité

SRGDoD (p. 53)• Activer les connexions SSH pour votre WorkSpaces Linux (p. 54)• Composants de configuration et de service requis pour WorkSpaces (p. 58)

Protocoles pour Amazon WorkSpacesprend en charge deux protocoles : Amazon WorkSpaces et PCoIP.WorkSpaces Streaming Protocol(WSP) Le protocole que vous choisissez dépend de plusieurs facteurs, tels que le type d'appareils à partirdesquels vos utilisateurs accèderont à leur WorkSpaces, le système d'exploitation sur votre WorkSpaces,les conditions réseau auxquelles vos utilisateurs seront confrontés et si vos utilisateurs nécessitent uneprise en charge vidéo bidirectionnelle.

Quand utiliser PCoIP ?

• Si vous souhaitez utiliser les clients iPad, Android ou Linux.• Si vous utilisez des appareils clients Teradici Zero.• Si vous avez besoin d'utiliser des bundles basés sur GPU (Graphics ou GraphicsPro).• Si vous avez besoin d'utiliser un bundle Linux pour des cas d'utilisation de cartes non intelligentes.

9

Amazon WorkSpaces Guide d'administrationExigences du VPC

• Si vous avez besoin d'utiliser WorkSpaces dans la région Chine (Ningxia) .

Quand utiliser WSP ?

• Si vous avez besoin d'une tolérance aux pertes/latences plus élevée pour prendre en charge lesconditions de votre réseau d'utilisateur final. A titre d'exemple, vous avez des utilisateurs qui accèdent àleurs WorkSpaces via des distances globales ou via des réseaux peu fiables.

• Si vous avez besoin que vos utilisateurs s'authentifient avec des cartes à puce ou utilisent des cartes àpuce en session.

• Si vous avez besoin des fonctionnalités de prise en charge de webcam en session. (La prise en chargedes webcams dans WSP WorkSpaces est une fonctionnalité bêta.)

Note

• Un répertoire peut contenir à la fois PCoIP et WSP WorkSpaces.• Un utilisateur peut avoir un PCoIP et un WSP WorkSpace, à condition que les deux

WorkSpaces soient situés dans des répertoires distincts. Le même utilisateur ne peut pas avoirun PCoIP et un WSP WorkSpace dans le même répertoire. Pour plus d'informations sur lacréation de plusieurs WorkSpaces pour un utilisateur, consultez Créer plusieurs WorkSpacespour un utilisateur (p. 90).

• Vous pouvez migrer une WorkSpace entre les deux protocoles à l'aide de la fonctionde migration WorkSpaces, qui nécessite une nouvelle build de l'WorkSpace. Pour plusd'informations, consultez Migrer une WorkSpace (p. 136).

Configurer un VPC pour Amazon WorkSpacesAmazon WorkSpaces lance votre WorkSpaces dans un Virtual Private Cloud (VPC). Votre WorkSpacesdoit avoir accès à Internet afin que vous puissiez installer les mises à jour sur le système d'exploitation etdéployer des applications à l'aide d'Amazon WorkSpaces Application Manager (Amazon WAM).

Vous pouvez créer un VPC avec deux sous-réseaux privés pour votre WorkSpaces et une passerelle NATdans un sous-réseau public. Sinon, vous pouvez créer un VPC avec deux sous-réseaux publics pour votreWorkSpaces et associer une adresse IP Elastic à chaque WorkSpace.

Exigences du VPC

Les sous-réseaux de votre VPC doivent résider dans différentes zones de disponibilité de la région danslaquelle vous lancez WorkSpaces. Les zones de disponibilité sont des emplacements distincts conçus pourêtre isolés des défaillances dans d'autres zones de disponibilité. En lançant des instances dans des zonesde disponibilité distinctes, vous pouvez protéger vos applications de la défaillance d'un seul emplacement.Chaque sous-réseau doit résider entièrement dans une zone de disponibilité et ne peut pas s'étendre surplusieurs zones.

Note

Amazon WorkSpaces est disponible dans un sous-ensemble des zones de disponibilité de chaquerégion prise en charge. Pour déterminer les zones de disponibilité que vous pouvez utiliser pourles sous-réseaux du VPC que vous utilisez pour WorkSpaces, consultez Zones de disponibilitépour Amazon WorkSpaces (p. 18).

Options• Configurer un VPC avec des sous-réseaux privés et une passerelle NAT (p. 11)

10

Amazon WorkSpaces Guide d'administrationConfigurer un VPC avec des sous-

réseaux privés et une passerelle NAT

• Configuration d'un VPC avec des sous-réseaux publics (p. 15)

Configurer un VPC avec des sous-réseaux privés etune passerelle NATSi vous utilisez AWS Directory Service pour créer un annuaire AWS Managed Microsoft ou Simple AD,nous vous recommandons de configurer le VPC avec un seul sous-réseau public et deux sous-réseauxprivés. Configurez votre annuaire pour lancer votre WorkSpaces dans les sous-réseaux privés. Pour fournirun accès Internet à WorkSpaces dans un sous-réseau privé, configurez une passerelle NAT dans le sous-réseau public.

Prerequisites

Si vous n'êtes pas déjà familiarisé avec l'utilisation d'VPCs et des sous-réseaux, nous vous recommandonsde lire la section relative au dimensionnement des VPC et des sous-réseaux pour IPv4 dans le AmazonVPC Guide de l'utilisateur avant d'effectuer les tâches suivantes.

Tâches• Étape 1 : Allouer une adresse IP Elastic (p. 12)• Étape 2 : Création d'un VPC (p. 12)• Étape 3 : Ajout d'un deuxième sous-réseau privé (p. 13)• Étape 4 : Vérification et nommage des tables de routage (p. 14)• Étape 5 : Acheminer votre WorkSpaces vers les sous-réseaux (p. 14)

11

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4



Note

Au lieu de la procédure suivante pour configurer un VPC avec des sous-réseaux privés et unepasserelle NAT, vous pouvez suivre les étapes du didacticiel « Mise en route du projet » , quiexplique comment configurer votre VPC et votre annuaire WorkSpaces. Ce didacticiel expliqueégalement comment lancer des WorkSpaces, créer des images et des bundles personnalisés, eteffectuer d'autres tâches liées à l'administration de votre WorkSpaces.

Étape 1 : Allouer une adresse IP ElasticAllouez une adresse IP Elastic pour votre passerelle NAT comme suit. Notez que si vous utilisez une autreméthode pour fournir un accès Internet, vous pouvez ignorer cette étape.

Pour allouer une adresse IP Elastic

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Elastic IPs.3. Choisissez Allocate Elastic IP address (Allouer l'adresse IP Elastic).4. Sur la page Allouer une adresse IP Elastic, pour Groupe d'adresses iPv4 publiques, choisissez

Amazon's pool of IPv4 addresses (Pool d'adresses Amazon), Adresse IPv4 publique que vousapportez à votre compte AWS, ou Groupe détenu par le client d'adresses IPv4, puis choisissezAllouer.

5. Notez l'adresse IP Elastic, puis choisissez Close (Fermer).

Étape 2 : Création d'un VPCCréez un VPC avec un seul sous-réseau public et deux sous-réseaux privés en procédant comme suit.

Pour créer le VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPC Dashboard (Tableau de bord VPC) dans le coin supérieur

gauche.3. Choisissez Démarrer l'assistant VPC.4. Choisissez VPC with Public and Private Subnets, puis Select.5. Configurez le VPC en procédant comme suit :

a. Pour Bloc d'adresse CIDR IPv4, entrez le bloc d'adresse CIDR du VPC. Nous vous conseillonsd’utiliser un bloc d'adresse CIDR des plages d'adresses IP privées (non publiquement routables)spécifiées dans la norme RFC 1918. Par exemple, 10.0.0.0/16. Pour plus d'informations,consultez Dimensionnement des VPC et des sous-réseaux pour IPv4 dans le Amazon VPC Guidede l'utilisateur.

b. Pour Bloc d'adresse CIDR IPv6, conservez Pas de bloc d'adresse CIDR .IPv6c. Pour Nom du VPC, entrez un nom pour le VPC.

6. Configurez le sous-réseau public en procédant comme suit :

a. Pour Bloc d'adresse CIDR IPv4, entrez le bloc d'adresse CIDR du sous-réseau. Par exemple,10.0.0.0/24. Pour plus d'informations, consultez Dimensionnement des VPC et des sous-réseaux pour IPv4 dans le Amazon VPC Guide de l'utilisateur.

b. Pour Availability Zone (Zone de disponibilité), conservez No Preference (Aucune préférence).c. Pour Public subnet name (Nom du sous-réseau public), saisissez un nom pour le sous-réseau

(par exemple, WorkSpaces Public Subnet).

12


https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html

https://console.aws.amazon.com/vpc/


http://www.faqs.org/rfcs/rfc1918.html






7. Configurez le premier sous-réseau privé en procédant comme suit :

a. Pour Bloc d'adresse CIDR IPv4 du sous-réseau privé, entrez le bloc d'adresse CIDR du sous-réseau. Par exemple, 10.0.1.0/24.

b. Pour effectuer une sélection appropriée pour Zone de disponibilité, consultez Zones dedisponibilité pour Amazon WorkSpaces (p. 18).

c. Pour Private subnet name (Nom du sous-réseau privé), saisissez un nom pour le sous-réseau (parexemple, WorkSpaces Private Subnet 1).

8. Pour Elastic IP Allocation ID (ID d'allocation d'adresses IP Elastic), choisissez l'adresse IP Elastic quevous avez créée. Notez que si vous utilisez une autre méthode pour fournir un accès Internet, vouspouvez ignorer cette étape.

9. Pour Service endpoints (Points de terminaison de service), ne rien faire.10. Pour Enable DNS hostnames (Activer les noms d'hôte DNS), conservez Yes (Oui.11. Pour Hardware tenancy (Location matérielle), conservez Default (Par défaut).12. Sélectionnez Create VPC (Créer un VPC). Notez que la configuration de votre VPC ne prend que

quelques minutes. Après avoir créé le VPC, choisissez OK.

Note

Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC et à vos sous-réseaux.Cependant, si vous configurez vos sous-réseaux pour affecter automatiquement des adressesIPv6 aux instances lancées dans le sous-réseau, vous ne pouvez pas utiliser les bundlesGraphics. (Cependant, vous pouvez utiliser des bundles GraphicsPro.) Cette restriction découled'une limitation matérielle des types d'instance de la génération précédente qui ne prennent pasen charge IPv6.Pour contourner ce problème, vous pouvez désactiver temporairement le paramètre auto-assignIPv6 addresses (affecter automatiquement les adresses ) sur les sous-réseaux WorkSpaces avantde lancer les bundles Graphics, puis réactiver ce paramètre (si nécessaire) après le lancementdes bundles Graphics afin que tous les autres bundles reçoivent les adresses IP souhaitées.Par défaut, le paramètre auto-assign IPv6 addresses (affecter automatiquement des adresses )est désactivé. Pour vérifier ce paramètre à partir de la console Amazon VPC, dans le volet denavigation, choisissez Subnets (Sous-réseaux). Sélectionnez le sous-réseau, puis choisissezActions, Modify auto-assign IP settings (Modifier les paramètres IP d'auto-affectation).Pour plus d'informations sur l'utilisation des adresses IPv6, consultez Adressage IP dans votreVPC dans le Amazon VPC Guide de l'utilisateur.

Étape 3 : Ajout d'un deuxième sous-réseau privéDans l'étape précédente, vous avez créé un VPC avec un sous-réseau public et un sous-réseau privé.Utilisez la procédure suivante pour ajouter un deuxième sous-réseau privé.

Pour ajouter un sous-réseau privé

1. Dans le volet de navigation, choisissez Subnets.2. Choisissez Create Subnet.3. Pour Name tag (Balise de nom), saisissez un nom pour le sous-réseau privé (par exemple,

WorkSpaces Private Subnet 2).4. Pour VPC, sélectionnez le VPC que vous avez créé.5. Pour effectuer une sélection appropriée pour Zone de disponibilité, consultez Zones de disponibilité

pour Amazon WorkSpaces (p. 18). Veillez à sélectionner une autre zone de disponibilité que celleque vous avez sélectionnée pour Step 7 (p. 13) précédemment.

6. Pour Bloc d'adresse CIDR IPv4, entrez le bloc d'adresse CIDR du sous-réseau. Par exemple,10.0.2.0/24.

13

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#ipv6-addresses




7. Choisissez Créer et Fermer.

Étape 4 : Vérification et nommage des tables de routageVous pouvez vérifier et nommer les tables de routage pour chaque sous-réseau.

Pour vérifier et nommer les tables de routage

1. Dans le volet de navigation, choisissez Sous-réseaux, puis sélectionnez le sous-réseau public quevous avez créé.

a. Dans l'onglet Table de routage, choisissez l'ID de la table de routage (par exemple, rtb-12345678).b. Sélectionnez la table de routage. Sous Nom, choisissez l'icône de modification (en forme de

crayon), saisissez un nom (par exemple, workspaces-public-routetable), puis sélectionnezla case à cocher pour enregistrer le nom.

c. Dans l'onglet Routes, vérifiez qu'il existe une route pour le trafic local et une autre qui envoie toutle reste du trafic vers la passerelle Internet du VPC. Par exemple, vous devez voir des entréessimilaires à celles du tableau suivant.

Destination Target

10.0.0.0/16 Locale

0.0.0.0/0 igw-12345678

2. Dans le volet de navigation, sélectionnez Sous-réseaux, puis sélectionnez le premier sous-réseauprivé que vous avez créé (par exemple, WorkSpaces Private Subnet 1).

a. Dans l'onglet Table de routage, choisissez l'ID de la table de routage.b. Sélectionnez la table de routage. Sous Nom, choisissez l'icône de modification (en forme de

crayon), entrez un nom (par exemple, workspaces-private-routetable), puis sélectionnezla case à cocher pour enregistrer le nom.

c. Dans l'onglet Routes, vérifiez qu'il existe une route pour le trafic local et une autre qui envoie toutle reste du trafic vers la passerelle NAT. Par exemple, vous devez voir des entrées similaires àcelles du tableau suivant.

Destination Target

10.0.0.0/16 Locale

0.0.0.0/0 nat-12345678

3. Dans le volet de navigation, choisissez Sous-réseaux, puis sélectionnez le deuxième sous-réseauprivé que vous avez créé (par exemple, WorkSpaces Private Subnet 2). Sous l'onglet Tablede routage, vérifiez que la table de routage est bien la table de routage privée (par exemple,workspaces-private-routetable). Si la table de routage est différente, choisissez Edit (Modifier)et sélectionnez cette table de routage.

Étape 5 : Acheminer votre WorkSpaces vers les sous-réseauxPour acheminer votre WorkSpaces vers les sous-réseaux de votre VPC, veillez à sélectionner votre VPC etvos sous-réseaux lors du processus de configuration de votre annuaire WorkSpaces.

Pour configurer votre annuaire WorkSpaces, consultez Lancer un bureau virtuel avec AmazonWorkSpaces (p. 75) et sélectionnez le didacticiel correspondant au type d'annuaire que vous souhaitez

14

Amazon WorkSpaces Guide d'administrationConfiguration d'un VPC avec des sous-réseaux publics

utiliser (AWS Managed Microsoft AD, Simple AD, AD Connector ou une relation d'approbation entre votreannuaire AWS Managed Microsoft AD et votre domaine sur site).

Configuration d'un VPC avec des sous-réseauxpublicsSi vous préférez, vous pouvez créer un VPC avec deux sous-réseaux publics. Pour fournir un accèsInternet à WorkSpaces dans des sous-réseaux publics, configurez l'annuaire pour attribuer des adresses IPElastic automatiquement ou manuellement à chaque WorkSpace.

Prerequisites

Si vous n'êtes pas déjà familiarisé avec l'utilisation d'VPCs et des sous-réseaux, nous vous recommandonsde lire le dimensionnement des VPC et des sous-réseaux pour IPv4 dans le Amazon VPC Guide del'utilisateur avant d'effectuer les tâches suivantes.

Tâches• Étape 1 : Création d'un VPC (p. 15)• Étape 2 : Ajout d'un deuxième sous-réseau public (p. 16)• Étape 3 : Affectation de l'adresse IP Elastic (p. 16)• Étape 4 : Acheminer votre WorkSpaces vers les sous-réseaux (p. 17)

Étape 1 : Création d'un VPCCréez un VPC avec un sous-réseau public comme suit.

Pour créer le VPC

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPC Dashboard (Tableau de bord VPC) dans le coin supérieur

gauche.3. Choisissez Démarrer l'assistant VPC.4. Sélectionnez VPC avec un seul sous-réseau public, puis choisissez Sélectionner.5. Pour Bloc d'adresse CIDR IPv4, entrez le bloc d'adresse CIDR du VPC. Nous vous conseillons

d’utiliser un bloc d'adresse CIDR des plages d'adresses IP privées (non publiquement routables)spécifiées dans la norme RFC 1918. Par exemple, 10.0.0.0/16. Pour plus d'informations, consultezDimensionnement des VPC et des sous-réseaux pour IPv4 dans le Amazon VPC Guide de l'utilisateur.

6. Pour Bloc d'adresse CIDR IPv6, conservez Pas de bloc d'adresse CIDR .IPv67. Pour Nom du VPC, entrez un nom pour le VPC.8. Pour Bloc d'adresse CIDR IPv4 du sous-réseau public, entrez le bloc d'adresse CIDR du sous-réseau.

Par exemple, 10.0.0.0/24. Pour plus d'informations, consultez Dimensionnement des VPC et dessous-réseaux pour IPv4 dans le Amazon VPC Guide de l'utilisateur.

9. Pour effectuer une sélection appropriée pour Zone de disponibilité, consultez Zones de disponibilitépour Amazon WorkSpaces (p. 18).

10. (Facultatif) Pour Nom du sous-réseau, entrez un nom pour le sous-réseau.11. Pour Service endpoints (Points de terminaison de service), ne rien faire.12. Pour Enable DNS hostnames (Activer les noms d'hôte DNS), conservez Yes (Oui.13. Pour Hardware tenancy (Location matérielle), conservez Default (Par défaut).14. Sélectionnez Create VPC (Créer un VPC). Après avoir créé le VPC, choisissez OK.

15



http://www.faqs.org/rfcs/rfc1918.html





Note

Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC et à vos sous-réseaux.Cependant, si vous configurez vos sous-réseaux pour affecter automatiquement des adressesIPv6 aux instances lancées dans le sous-réseau, vous ne pouvez pas utiliser les bundlesGraphics. (Cependant, vous pouvez utiliser des bundles GraphicsPro.) Cette restriction découled'une limitation matérielle des types d'instance de la génération précédente qui ne prennent pasen charge IPv6.Pour contourner ce problème, vous pouvez désactiver temporairement le paramètre auto-assignIPv6 addresses (affecter automatiquement les adresses ) sur les sous-réseaux WorkSpaces avantde lancer les bundles Graphics, puis réactiver ce paramètre (si nécessaire) après le lancementdes bundles Graphics afin que tous les autres bundles reçoivent les adresses IP souhaitées.Par défaut, le paramètre auto-assign IPv6 addresses (affecter automatiquement des adresses )est désactivé. Pour vérifier ce paramètre à partir de la console Amazon VPC, dans le volet denavigation, choisissez Subnets (Sous-réseaux). Sélectionnez le sous-réseau, puis choisissezActions, Modify auto-assign IP settings (Modifier les paramètres IP d'auto-affectation).Pour plus d'informations sur l'utilisation des adresses IPv6, consultez Adressage IP dans votreVPC dans le Amazon VPC Guide de l'utilisateur.

Étape 2 : Ajout d'un deuxième sous-réseau publicAu cours de l'étape précédente, vous avez créé un VPC avec un seul sous-réseau public. Utilisez laprocédure suivante pour ajouter un deuxième sous-réseau public et l'associer à la table de routage dupremier sous-réseau public, qui contient une route menant à la passerelle Internet du VPC.

Pour ajouter un sous-réseau public

1. Dans le volet de navigation, choisissez Subnets.2. Choisissez Create Subnet.3. Pour Balise Nom, entrez un nom pour le sous-réseau.4. Pour VPC, sélectionnez le VPC que vous avez créé.5. Pour effectuer une sélection appropriée pour Zone de disponibilité, consultez Zones de disponibilité

pour Amazon WorkSpaces (p. 18). Assurez-vous de sélectionner précédemment une autre zone dedisponibilité que celle que vous avez sélectionnée pour Step 9 (p. 15).

6. Pour Bloc d'adresse CIDR IPv4, entrez le bloc d'adresse CIDR du sous-réseau. Par exemple,10.0.1.0/24.

7. Sélectionnez Créer. Une fois le sous-réseau créé, choisissez Fermer.8. Associez le nouveau sous-réseau public à la table de routage créée pour le premier sous-réseau

comme suit :

a. Dans le volet de navigation, choisissez Subnets.b. Sélectionnez le premier sous-réseau.c. Dans l'onglet Table de routage, choisissez l'ID de la table de routage.d. Dans l'onglet Associations de sous-réseau, choisissez Edit subnet associations (Modifier les

associations de sous-réseau).e. Activez la case à cocher du deuxième sous-réseau (le sous-réseau public que vous venez de

créer) et choisissez Save (Enregistrer).

Étape 3 : Affectation de l'adresse IP ElasticVous pouvez attribuer des adresses IP Elastic (adresses IP publiques statiques) à votre WorkSpacesautomatiquement ou manuellement. Pour utiliser l'affectation automatique, consultez Configurer les

16





adresses IP automatiques (p. 63). Pour affecter des adresses IP Elastic manuellement, utilisez laprocédure suivante.

Warning

Nous vous recommandons de ne pas modifier l'interface réseau Elastic de l'WorkSpace aprèsson lancement. Si vous avez activé l'affectation automatique d'adresses IP Elastic au niveaudu répertoire, une adresse IP Elastic (à partir du pool fourni par Amazon) est attribuée à votreWorkSpace lors de son lancement. Cependant, si vous associez une adresse IP Elastic que vouspossédez à un WorkSpace, puis que vous dissociez ultérieurement cette adresse IP Elastic del'WorkSpace, l'WorkSpace perd son adresse IP publique et n'en obtient pas automatiquement unenouvelle à partir du pool fourni par Amazon.Pour associer une nouvelle adresse IP publique du groupe fourni par Amazon à l'WorkSpace,vous devez recréer l'WorkSpace. (p. 128) Si vous ne souhaitez pas recréer l'WorkSpace, vousdevez associer une autre adresse IP Elastic que vous possédez à l'WorkSpace.

Pour attribuer manuellement une adresse IP Elastic à uneWorkSpace

Pour accéder à un didacticiel vidéo expliquant comment attribuer une adresse IP Elastic à une WorkSpace,consultez la vidéo du Centre de connaissances AWS Comment associer une adresse IP Elastic à uneWorkSpace ?.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Développez la ligne (choisissez l'icône en forme de flèche) pour l'WorkSpace et notez la valeur de

l'adresse IP WorkSpace. Il s'agit de l'adresse IP privée principale du WorkSpace.4. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.5. Dans le volet de navigation, choisissez Elastic IPs. Si vous ne disposez pas d'une adresse IP Elastic

disponible, choisissez Allouer l'adresse IP Elastic et choisissez Amazon's pool of IPv4 addresses (Poold'adresses Amazon) ou Groupe détenu par le client d'adresses IPv4, puis choisissez Allouer. Notez lanouvelle adresse IP.

6. Dans le volet de navigation, choisissez Network Interfaces.7. Sélectionnez l'interface réseau pour votre WorkSpace. Pour trouver l'interface réseau de votre

WorkSpace, entrez la valeur d'adresse IPWorkSpace (que vous avez notée précédemment dans) dans la zone de recherche, puis appuyez sur Step 3 (p. 17)Entrée. La valeur IP WorkSpacecorrespond à la valeur de la colonne IP privée principale de l'interface réseau.IPv4 Notez que la valeurde l'ID de VPC de l'interface réseau correspond à l'ID de votre VPC WorkSpaces.

8. Choisissez Actions, Gérer les adresses IP. Choisissez Assign new IP (Attribuer une nouvelle adresseIP), puis choisissez Yes, Update (Oui, mettre à jour. Notez la nouvelle adresse IP.

9. Sélectionnez Actions, Associate Address.10. Sur la page Associate Elastic IP Address (Associer une adresse IP Elastic) choisissez une adresse IP

Elastic dans Address (Adresse). Pour Associate to private IP address (Associer à l'adresse IP privée),spécifiez la nouvelle adresse IP privée, puis choisissez Associate Address (Associer l'adresse).

Étape 4 : Acheminer votre WorkSpaces vers les sous-réseauxPour acheminer votre WorkSpaces vers les sous-réseaux de votre VPC, veillez à sélectionner votre VPC etvos sous-réseaux lors du processus de configuration de votre annuaire WorkSpaces.

Pour configurer votre annuaire WorkSpaces, consultez Lancer un bureau virtuel avec AmazonWorkSpaces (p. 75) et sélectionnez le didacticiel correspondant au type d'annuaire que vous souhaitezutiliser (AWS Managed Microsoft AD, Simple AD, AD Connector ou une relation d'approbation entre votreannuaire AWS Managed Microsoft AD et votre domaine sur site).

17

https://youtu.be/N45klH3ojBI

https://youtu.be/N45klH3ojBI


https://console.aws.amazon.com/ec2/

Amazon WorkSpaces Guide d'administrationZones de disponibilité pour les instances WorkSpaces

Zones de disponibilité pour Amazon WorkSpacesLorsque vous créez un Virtual Private Cloud (VPC) à utiliser avec Amazon WorkSpaces, les sous-réseauxde votre VPC doivent résider dans différentes zones de disponibilité dans la région où vous lancezWorkSpaces. Les zones de disponibilité sont des emplacements distincts conçus pour être isolés desdéfaillances dans d'autres zones de disponibilité. En lançant des instances dans des zones de disponibilitédistinctes, vous pouvez protéger vos applications de la défaillance d'un seul emplacement. Chaque sous-réseau doit résider entièrement dans une zone de disponibilité et ne peut pas s'étendre sur plusieurszones.

Une zone de disponibilité est représentée par un code de région suivi d’un identifiant de lettre ; parexemple, us-east-1a. Pour nous assurer que les ressources sont distribuées entre les zones dedisponibilité d’une région, nous mappons indépendamment les zones de disponibilité aux noms de chaquecompte AWS. Par exemple, la zone de disponibilité us-east-1a de votre compte AWS peut se trouver àun emplacement différent de la zone de disponibilité us-east-1a d'un autre compte AWS.

Pour coordonner les zones de disponibilité entre les comptes, vous devez utiliser un ID de zone dedisponibilité, qui représente l'identifiant unique et cohérent d'une zone de disponibilité. Par exemple, use1-az2 est l'ID de zone de disponibilité de la région us-east-1 dont l'emplacement est identique danschaque compte AWS.

Le nom des ID de zone de disponibilité vous permet de déterminer l'emplacement des ressources d'uncompte par rapport aux ressources d'un autre compte. Par exemple, si vous partagez un sous-réseau dansla zone de disponibilité avec l’ID AZ use1-az2 avec un autre compte, ce sous-réseau est disponible pource compte dans la zone de disponibilité dont l’ID d’AZ est également use1-az2. L’ID d’AZ pour chaqueVPC et sous-réseau est affiché dans le Amazon VPC console.

Amazon WorkSpaces est disponible dans un sous-ensemble des zones de disponibilité pour chaque régionprise en charge. Le tableau suivant répertorie les ID d’AZ que vous pouvez utiliser pour chaque région.Pour voir le mappage des ID d’AZ aux zones de disponibilité de votre compte, consultez ID d’AZ pour vosressources dans le Guide de l'utilisateur AWS RAM.

Nom de la région Code de région ID d’AZ pris en charge

USA Est (Virginie du Nord) us-east-1 use1-az2, use1-az4, use1-az6

USA Ouest (Oregon) us-west-2 usw2-az1, usw2-az2, usw2-az3

Asie-Pacifique (Séoul) ap-northeast-2 apne2-az1, apne2-az3

Asie-Pacifique (Singapour) ap-southeast-1 apse1-az1, apse1-az2

Asie-Pacifique (Sydney) ap-southeast-2 apse2-az1, apse2-az3

Asie-Pacifique (Tokyo) ap-northeast-1 apne1-az1, apne1-az4

Canada (Centre) ca-central-1 cac1-az1, cac1-az2

Europe (Francfort) eu-central-1 euc1-az2, euc1-az3

Europe (Irlande) eu-west-1 euw1-az1, euw1-az2, euw1-az3

Europe (Londres) eu-west-2 euw2-az2, euw2-az3

Amérique du Sud (São Paulo) sa-east-1 sae1-az1, sae1-az3

18

https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html

https://docs.aws.amazon.com/ram/latest/userguide/working-with-az-ids.html

Amazon WorkSpaces Guide d'administrationExigences relatives aux adresses IP et aux ports

Pour plus d’informations sur les zones de disponibilité et les ID d’AZ, consultez Régions, zones dedisponibilité et zones locales dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Exigences relatives aux adresses IP et aux portspour Amazon WorkSpaces

Pour se connecter à votre WorkSpaces, le réseau auquel vos clients Amazon WorkSpaces sont connectésdoit avoir certains ports ouverts sur les plages d'adresses IP pour les différents services AWS (regroupésen sous-ensembles). Ces plages d'adresses varient selon la région AWS De plus, ces mêmes ports doiventêtre ouverts sur n'importe quel pare-feu qui s'exécute sur le client. Pour plus d'informations sur les plagesd'adresses IP AWS des différentes régions, consultez Plages d'adresses IP AWS dans le Référencegénérale d'Amazon Web Services.

Pour un diagramme d'architecture, consultez Architecture WorkSpaces. Pour obtenir des diagrammesd'architecture supplémentaires, consultez le livre blanc « Best Practices for Deploying AmazonWorkSpaces ».

Ports pour applications clientesL'application cliente Amazon WorkSpaces nécessite un accès sortant sur les ports suivants :

Port 443 (TCP)

Ce port est utilisé pour les mises à jour d'application cliente, l'enregistrement et l'authentification. Lesapplications clientes de bureau prennent en charge l'utilisation d'un serveur proxy pour le trafic sur leport 443 (HTTPS). Pour activer l'utilisation d'un serveur proxy, ouvrez l'application cliente, choisissezparamètres Paramètres avancés, sélectionnez Utiliser le serveur proxy, spécifiez l'adresse et le port duserveur proxy et choisissez Enregistrer.

Ce port doit être ouvert aux plages d'adresses IP suivantes :• Le sous-ensemble AMAZON dans la région GLOBAL• Le sous-ensemble AMAZON dans la région où se trouve l'WorkSpace.• Le sous-ensemble AMAZON dans la région us-east-1• Le sous-ensemble AMAZON dans la région us-west-2• Le sous-ensemble S3 dans la région us-west-2

Port 4172 et 4195 (UDP et TCP)

Ces ports sont utilisés pour le streaming du bureau WorkSpace et les vérifications de l'état. Lesapplications clientes de bureau ne prennent pas en charge l'utilisation d'un serveur proxy pour les ports4172 et 4195 ; elles nécessitent une connexion directe aux ports 4172 et 4195. Ces ports doivent êtreouverts sur les plages d'adresses IP de la passerelle PCoIP et de la passerelle WorkSpaces StreamingProtocol (WSP), ainsi que sur les serveurs de vérification de l'état de la région dans laquelle setrouve la WorkSpace. Pour plus d'informations, consultez Serveurs de vérification de l'état (p. 27),Serveurs de passerellePCoIP (p. 29) et Serveurs de passerelleWSP (p. 31).

Note

Si votre pare-feu utilise un filtrage avec état, les ports éphémères (également appelésdynamiques) sont automatiquement ouverts pour permettre la communication de retour. Si votrepare-feu utilise un filtrage sans état, vous devez ouvrir les ports éphémères explicitement pourpermettre la communication en retour. La plage de ports éphémères requise que vous devezouvrir varie en fonction de votre configuration.

19

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html#architecture



Amazon WorkSpaces Guide d'administrationPorts pour l'accès web

Ports pour l'accès webAmazon WorkSpacesL'accès web requiert un accès entrant et un accès sortant sur les ports suivants :

Port 53 (UDP)

Ce port est utilisé pour accéder aux serveurs DNS. Il doit être ouvert sur les adresses IP de votreserveur DNS de manière à permettre au client de résoudre les noms de domaine public. Cetteexigence de port est facultative si vous n'utilisez pas de serveurs DNS pour la résolution de noms dedomaine.

Port 80 (UDP et TCP)

Ce port est utilisé pour les connexions initiales à https://clients.amazonworkspaces.com quibascule alors vers HTTPS. Il doit être ouvert à toutes les plages d'adresses IP du sous-ensemble EC2de la région dans laquelle se trouve l'WorkSpace.

Port 443 (UDP et TCP)

Ce port est utilisé pour l'enregistrement et l'authentification avec HTTPS. Il doit être ouvert à toutes lesplages d'adresses IP du sous-ensemble EC2 de la région dans laquelle se trouve l'WorkSpace.

En général, le navigateur web sélectionne de façon aléatoire un port source dans la plage supérieure àutiliser pour le trafic de streaming. Amazon WorkSpaces L'accès web n'a aucun contrôle sur le port que lenavigateur sélectionne. Vous devez vérifier que le trafic de retour renvoyé vers ce port est autorisé.

Amazon WorkSpacesL'accès web privilégie UDP par rapport à TCP pour le streaming de bureau, maisutilise TCP si UDP n'est pas disponible. L'accès web fonctionne sur Chrome et Firefox même si tous lesports UDP sont bloqués, à l'exception des ports 53, 80 et 443, à l'aide de connexions TCP.

Domaines et adresses IP à ajouter à votre listed'autorisationsPour que l'application cliente Amazon WorkSpaces puisse accéder au service Amazon WorkSpaces, vousdevez ajouter les domaines et adresses IP suivants à la liste d'autorisation sur le réseau à partir duquel leclient tente d'accéder au service.

Domaines et adresses IP à ajouter à votre liste d'autorisation

Catégorie Domaine ou adresse IP

CAPTCHA https://opfcaptcha-prod.s3.amazonaws.com/ <glsid=2>

Mise à jour automatique du client • https://d2td7dqidlhjx7.cloudfront.net/• Dans la région AWS GovCloud (US-West)

https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

Vérification de la connectivité https://connectivity.amazonworkspaces.com/

Métriques d'appareil (pour les applications clientesWorkSpaces 1.0+ et 2.0+)

https://device-metrics-us-2.amazon.com/

Métriques client (pour les applications clientesWorkSpaces 3.0+)

Domaines:

20

Amazon WorkSpaces Guide d'administrationDomaines et adresses IP à

ajouter à votre liste d'autorisations

Catégorie Domaine ou adresse IP• https://skylight-client-ds.us-

east-1.amazonaws.com• https://skylight-client-ds.us-

west-2.amazonaws.com• https://skylight-client-ds.ap-

northeast-2.amazonaws.com• https://skylight-client-ds.ap-

southeast-1.amazonaws.com• https://skylight-client-ds.ap-

southeast-2.amazonaws.com• https://skylight-client-ds.ap-

northeast-1.amazonaws.com• https://skylight-client-ds.ca-

central-1.amazonaws.com• https://skylight-client-ds.eu-

central-1.amazonaws.com• https://skylight-client-ds.eu-

west-1.amazonaws.com• https://skylight-client-ds.eu-

west-2.amazonaws.com• https://skylight-client-ds.sa-

east-1.amazonaws.com• Dans la région AWS GovCloud (US-West)

https://skylight-client-ds.us-gov-west-1.amazonaws.com

21




Dynamic Messaging Service (pour les applicationsclientes WorkSpaces 3.0+)

Domaines:

• https://ws-client-service.us-east-1.amazonaws.com

• https://ws-client-service.us-west-2.amazonaws.com

• https://ws-client-service.ap-northeast-2.amazonaws.com

• https://ws-client-service.ap-southeast-1.amazonaws.com

• https://ws-client-service.ap-southeast-2.amazonaws.com

• https://ws-client-service.ap-northeast-1.amazonaws.com

• https://ws-client-service.ca-central-1.amazonaws.com

• https://ws-client-service.eu-central-1.amazonaws.com

• https://ws-client-service.eu-west-1.amazonaws.com

• https://ws-client-service.eu-west-2.amazonaws.com

• https://ws-client-service.sa-east-1.amazonaws.com

22




Paramètres d'annuaire Authentification du client à l'annuaire du clientavant de se connecter au WorkSpace :

• https://d32i4gd7pg4909.cloudfront.net/prod/<region>/<directory ID>

Connexions à partir de clients macOS :

• https://d32i4gd7pg4909.cloudfront.net/

Paramètres d'annuaire de client :

• https://d21ui22avrxoh6.cloudfront.net/prod/<région>/<ID annuaire>

Graphiques de page de connexion pour lecomarquage de niveau annuaire de client :

• https://d1cbg795sa4g1u.cloudfront.net/prod/<région>/<ID annuaire>

Fichier CSS pour le style des pages de connexion :

• https://d3s98kk2h6f4oh.cloudfront.net/• https://dyqsoz7pkju4e.cloudfront.net/

Fichier JavaScript pour les pages de connexion :

• USA Est (Virginie du Nord) — https://d32i4gd7pg4909.cloudfront.net/

• USA Ouest (Oregon) — https://d18af777lco7lp.cloudfront.net/

• Asie-Pacifique (Séoul) — https://dtyv4uwoh7ynt.cloudfront.net/

• Asie-Pacifique (Singapour) — https://d3qzmd7y07pz0i.cloudfront.net/

• Asie-Pacifique (Sydney) — https://dwcpoxuuza83q.cloudfront.net/

• Asie-Pacifique (Tokyo) — https://d2c2t8mxjhq5z1.cloudfront.net/

• Canada (Centre) — https://d2wfbsypmqjmog.cloudfront.net/

• Europe (Francfort) — https://d1whcm49570jjw.cloudfront.net/

• Europe (Irlande) — https://d3pgffbf39h4k4.cloudfront.net/

• Europe (Londres) — https://d16q6638mh01s7.cloudfront.net/

• Amérique du Sud (São Paulo) — https://d2lh2qc5bdoq4b.cloudfront.net/

23



Catégorie Domaine ou adresse IPDans la région AWS GovCloud (US-West)

• Paramètres d'annuaire de client :

https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<directory ID>

• Graphiques de page de connexion pour lecomarquage de niveau annuaire de client :

https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<directory ID>

• Fichier CSS pour le style des pages deconnexion :

https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

• Fichier JavaScript pour les pages de connexion :

Ne s'applique pas

Service de journal Forrester https://fls-na.amazon.com/

Serveurs de vérification de l'état Serveurs de vérification de l'état (p. 27)

Dépendance d'inscription (pour les clients WebAccess et Teradici PCoIP Zero)

https://s3.amazonaws.com

Pages de connexion utilisateur https ://<directory id>.awsapps.com/ (où <directoryid> est le domaine du client) <gls id=1>

24




Agent WS Domaines:

• https://ws-broker-service.us-east-1.amazonaws.com

• https://ws-broker-service-fips.us-east-1.amazonaws.com

• https://ws-broker-service.us-west-2.amazonaws.com

• https://ws-broker-service-fips.us-west-2.amazonaws.com

• https://ws-broker-service.ap-northeast-2.amazonaws.com

• https://ws-broker-service.ap-southeast-1.amazonaws.com

• https://ws-broker-service.ap-southeast-2.amazonaws.com

• https://ws-broker-service.ap-northeast-1.amazonaws.com

• https://ws-broker-service.ca-central-1.amazonaws.com

• https://ws-broker-service.eu-central-1.amazonaws.com

• https://ws-broker-service.eu-west-1.amazonaws.com

• https://ws-broker-service.eu-west-2.amazonaws.com

• https://ws-broker-service.sa-east-1.amazonaws.com

• https://ws-broker-service.us-gov-west-1.amazonaws.com

• https://ws-broker-service-fips.us-gov-west-1.amazonaws.com

25




Points de terminaison d'APIWorkSpaces Domaines:

• https://workspaces.us-east-1.amazonaws.com• https://workspaces-fips.us-

east-1.amazonaws.com• https://workspaces.us-west-2.amazonaws.com• https://workspaces-fips.us-

west-2.amazonaws.com• https://workspaces.ap-

northeast-2.amazonaws.com• https://workspaces.ap-

southeast-1.amazonaws.com• https://workspaces.ap-

southeast-2.amazonaws.com• https://workspaces.ap-

northeast-1.amazonaws.com• https://workspaces.ca-central-1.amazonaws.com• https://workspaces.eu-central-1.amazonaws.com• https://workspaces.eu-west-1.amazonaws.com• https://workspaces.eu-west-2.amazonaws.com• https://workspaces.sa-east-1.amazonaws.com• https://workspaces.us-gov-

west-1.amazonaws.com• https://workspaces-fips.us-gov-

west-1.amazonaws.com

Domaines et adresses IP à ajouter à votre liste d'autorisations pourPCoIP


Passerelle de session PCoIP (PSG) Serveurs de passerellePCoIP (p. 29)

Session Broker (PCM) Domaines:

• https://skylight-cm.us-east-1.amazonaws.com• https://skylight-cm-fips.us-

east-1.amazonaws.com• https://skylight-cm.us-west-2.amazonaws.com• https://skylight-cm-fips.us-

west-2.amazonaws.com• https://skylight-cm.ap-

northeast-2.amazonaws.com• https://skylight-cm.ap-

southeast-1.amazonaws.com• https://skylight-cm.ap-

southeast-2.amazonaws.com• https://skylight-cm.ap-

northeast-1.amazonaws.com

26

Amazon WorkSpaces Guide d'administrationServeurs de vérification de l'état

Catégorie Domaine ou adresse IP• https://skylight-cm.ca-central-1.amazonaws.com• https://skylight-cm.eu-central-1.amazonaws.com• https://skylight-cm.eu-west-1.amazonaws.com• https://skylight-cm.eu-west-2.amazonaws.com• https://skylight-cm.sa-east-1.amazonaws.com• https://skylight-cm.us-gov-

west-1.amazonaws.com• https://skylight-cm-fips.us-gov-

west-1.amazonaws.com

Serveurs TURN d'accès web pourPCoIP web:

• turn:*.us-east-1.rdn.amazonaws.com• turn:*.us-west-2.rdn.amazonaws.com• turn:*.ap-northeast-2.rdn.amazonaws.com• turn:*.ap-southeast-1.rdn.amazonaws.com• turn:*.ap-southeast-2.rdn.amazonaws.com• turn:*.ap-northeast-1.rdn.amazonaws.com• turn:*.ca-central-1.rdn.amazonaws.com• turn:*.eu-central-1.rdn.amazonaws.com• turn:*.eu-west-1.rdn.amazonaws.com• turn:*.eu-west-2.rdn.amazonaws.com• turn:*.sa-east-1.rdn.amazonaws.com

Domaines et adresses IP à ajouter à votre liste d'autorisations pourWorkSpaces StreamingProtocol (WSP)


Passerelle de session WSP (WSG) Serveurs de passerelleWSP (p. 31)

Serveurs TURN d'accès web pourWSP web:

• Cette fonction n'est pas disponible pour WSP.

Serveurs de vérification de l'étatLes applications clientes Amazon WorkSpaces effectuent des vérifications de l'état sur les ports 4172et 4195. Elles permettent de vérifier si le trafic TCP ou UDP transite des serveurs Amazon WorkSpacesvers les applications clientes. Pour que ces vérifications aboutissent, vos stratégies de pare-feu doiventautoriser le trafic sortant vers les adresses IP des serveurs régionaux de vérification de l'état suivants.

Région Nom d'hôte de vérification del'état

Adresses IP

USA Est (Virginie du Nord) drp-iad.amazonworkspaces.com 3.209.215.252

3.212.50.30

27

Amazon WorkSpaces Guide d'administrationServeurs de vérification de l'état


Adresses IP

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

USA Ouest (Oregon) drp-pdx.amazonworkspaces.com 34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

Asie-Pacifique (Séoul) drp-icn.amazonworkspaces.com 13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

Asie-Pacifique (Singapour) drp-sin.amazonworkspaces.com 3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

Asie-Pacifique (Sydney) drp-syd.amazonworkspaces.com 3.24.11.127

13.237.232.125

Asie-Pacifique (Tokyo) drp-nrt.amazonworkspaces.com 18.178.102.247

54.64.174.128

Canada (Centre) drp-yul.amazonworkspaces.com 52.60.69.16

52.60.80.237

52.60.173.117

52.60.201.0

Europe (Francfort) drp-fra.amazonworkspaces.com 52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

28

Amazon WorkSpaces Guide d'administrationServeurs de passerellePCoIP


Adresses IP

Europe (Irlande) drp-dub.amazonworkspaces.com 18.200.177.86

52.48.86.38

54.76.137.224

Europe (Londres) drp-lhr.amazonworkspaces.com 35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

Amérique du Sud (São Paulo) drp-gru.amazonworkspaces.com 18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWS GovCloud (US-West) drp-pdt.amazonworkspaces.com 52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

Serveurs de passerellePCoIPutilise Amazon WorkSpaces pour diffuser la session de bureau aux clients via le port 4172.PCoIP Pourses serveurs de passerelle PCoIP, Amazon WorkSpaces utilise un petit nombre d'adresses Amazon EC2publiques.IPv4 Cela vous permet de définir des stratégies de pare-feu plus précises pour les appareils quiaccèdent à Amazon WorkSpaces. Notez que les clients Amazon WorkSpaces ne prennent pas en chargeles adresses IPv6 en tant qu'option de connectivité pour le moment.

Note

Nous mettons régulièrement à jour nos plages d'adresses IP dans le fichier Plages d'adressesIP AWS .ip-ranges.json Pour ingérer les plages d'adresses IP les plus récentes pourAmazon WorkSpaces, recherchez les entrées dans le fichier ip-ranges.json où service:"WORKSPACES_GATEWAYS".

Région Plage d'adresses IP publiques

USA Est (Virginie du Nord) 3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

29



Amazon WorkSpaces Guide d'administrationServeurs de passerellePCoIP


USA Ouest (Oregon) 44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

Asie-Pacifique (Séoul) 3.34.37.0 - 3.34.37.255

3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

Asie-Pacifique (Singapour) 18.141.152.0 - 18.141.152.255

18.141.154.0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

Asie-Pacifique (Sydney) 3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

Asie-Pacifique (Tokyo) 18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

Canada (Centre) 15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

Europe (Francfort) 18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

Europe (Irlande) 3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

Europe (Londres) 18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

35.176.32.0 - 35.176.32.255

Amérique du Sud (São Paulo) 18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWS GovCloud (US-West) 52.61.193.0 - 52.61.193.255

30

Amazon WorkSpaces Guide d'administrationServeurs de passerelleWSP

Serveurs de passerelleWSPImportant

À partir de juin 2020, Amazon WorkSpaces diffuse la session de bureau pour WSP WorkSpacesvers les clients via le port 4195 au lieu du port 4172. Si vous souhaitez utiliser WSP WorkSpaces,assurez-vous que le port 4195 est ouvert au trafic.

Amazon WorkSpaces utilise un petit nombre d'adresses Amazon EC2 publiques IPv4 pour ses serveurs depasserelle WSP. Cela vous permet de définir des stratégies de pare-feu plus précises pour les appareilsqui accèdent à Amazon WorkSpaces. Notez que les clients Amazon WorkSpaces ne prennent pas encharge les adresses IPv6 en tant qu'option de connectivité pour le moment.


USA Est (Virginie du Nord) 3.227.4.0/22

USA Ouest (Oregon) </s><s id="23-8-1">: 3.35.160.0/22

Asie-Pacifique (Séoul) 3.35.160.0/22

Asie-Pacifique (Singapour) 13.212.132.0/22

Asie-Pacifique (Sydney) 3,25.248.0/22

Asie-Pacifique (Tokyo) 3.114.164.0/22

Canada (Centre) : 3,9 à 7,10/22

Europe (Francfort) 18.192.216.0/22

Europe (Irlande) 3.248.176.0/22

Europe (Londres) : 18.34.68.0/22

Amérique du Sud (São Paulo) 15.228.64/22

AWS GovCloud (US-West) 3.32.139.0/24

Interfaces réseauChaque WorkSpace dispose des interfaces réseau suivantes :

• L'interface réseau principale (eth1) fournit la connectivité aux ressources au sein de votre VPC et surInternet, et est utilisée pour joindre le WorkSpace à l'annuaire.

• L'interface réseau de gestion (eth0) est connectée à un réseau de gestion Amazon WorkSpacessécurisé. Il est utilisé pour le streaming interactif du bureau WorkSpace aux clients Amazon WorkSpaceset pour permettre à Amazon WorkSpaces de gérer le WorkSpace.

Amazon WorkSpaces sélectionne l'adresse IP de l'interface réseau de gestion à partir de différentesplages d'adresses, en fonction de la région dans laquelle le WorkSpaces est créé. Lorsqu'un annuaireest enregistré, Amazon WorkSpaces teste le CIDR VPC et les tables de routage de votre VPC afin dedéterminer si ces plages d'adresses créent un conflit. Si un conflit est détecté dans toutes les plagesd'adresses disponibles de la région, un message d'erreur s'affiche et l'annuaire n'est pas enregistré. Sivous modifiez les tables de routage de votre VPC après l'enregistrement de l'annuaire, vous risquez decréer un conflit.

31

Amazon WorkSpaces Guide d'administrationInterfaces réseau

Warning

Ne modifiez pas ou ne supprimez pas les interfaces réseau attachées à une WorkSpace. Celapeut rendre l'WorkSpace inaccessible ou perdre l'accès Internet. Par exemple, si vous avezactivé l'affectation automatique d'adresses IP Elastic (p. 63) au niveau du répertoire, uneadresse IP Elastic (à partir du pool fourni par Amazon) est attribuée à votre WorkSpace lors deson lancement. Cependant, si vous associez une adresse IP Elastic que vous possédez à unWorkSpace et que vous dissociez ensuite cette adresse IP Elastic de l'WorkSpace, l'WorkSpaceperd son adresse IP publique et n'en obtient pas automatiquement une nouvelle à partir du groupefourni par Amazon.Pour associer une nouvelle adresse IP publique du groupe fourni par Amazon à l'WorkSpace,vous devez recréer l'WorkSpace (p. 128). Si vous ne souhaitez pas recréer l'WorkSpace, vousdevez associer une autre adresse IP Elastic que vous possédez à l'WorkSpace.

Plages IP de l'interface de gestionLe tableau suivant répertorie les plages d'adresses IP utilisées pour l'interface réseau de gestion.

Note

Si vous utilisez les WorkSpaces Bring Your Own License (BYOL) Windows, les plages d'adressesIP indiquées dans le tableau suivant ne s'appliquent pas. A la place, utilisez BYOL WorkSpacespour la plage d'adresses IP 54.239.224.0/20 pour le trafic de l'interface de gestion dans toutes lesrégions AWS. (Cette plage d'adresses IP est utilisée en plus du bloc d'adresse CIDR /16 que voussélectionnez pour le trafic de gestion pour votre WorkSpaces.) BYOL

Région Plage d'adresses IP

USA Est (Virginie du Nord) 172.31.0.0/16, 192.168.0.0/16, 198.19.0.0/16

USA Ouest (Oregon) 172.31.0.0/16, 192.168.0.0/16 et 198.19.0.0/16

Asie-Pacifique (Séoul) 198.19.0.0/16

Asie-Pacifique (Singapour) 198.19.0.0/16

Asie-Pacifique (Sydney) 172.31.0.0/16, 192.168.0.0/16 et 198.19.0.0/16

Asie-Pacifique (Tokyo) 198.19.0.0/16

Canada (Centre) 198.19.0.0/16

Europe (Francfort) 198.19.0.0/16

Europe (Irlande) 172.31.0.0/16, 192.168.0.0/16 et 198.19.0.0/16

Europe (Londres) 198.19.0.0/16

Amérique du Sud (São Paulo) 198.19.0.0/16

AWS GovCloud (US-West) 198.19.0.0/16

Ports de l'interface de gestionLes ports suivants doivent être ouverts sur l'interface réseau de gestion de tous les WorkSpaces :

• TCP entrant sur le port 4172. Il est utilisé pour l'établissement de la connexion de streaming sur leprotocole PCoIP.

32


Amazon WorkSpaces Guide d'administrationInterfaces réseau

• UDP entrant sur le port 4172. Utilisé pour le streaming des entrées utilisateur sur le protocole PCoIP.• TCP entrant sur le port 4489. Utilisé pour les accès à l'aide du client web. (Le client Web Access n'est

pas pris en charge pour WSP.)• TCP entrant sur le port 8200. Utilisé pour la gestion et la configuration du WorkSpace sur le protocole

PCoIP.• TCP entrant sur les ports 8201-8250. Ces ports sont utilisés pour l'établissement de la connexion de

streaming et pour le streaming des entrées utilisateur sur le protocole WSP.• TCP sortant sur les ports 8443 et 9997. Utilisé pour les accès à l'aide du client web. (Le client Web

Access n'est pas pris en charge pour WSP.)• - UDP sortant sur les ports 3478, 4172 et 4195. Utilisé pour les accès à l'aide du client web. (Le client

Web Access n'est pas pris en charge pour WSP.)• UDP sortant sur les ports 50002 et 55002. Utilisé pour le streaming. Si votre pare-feu utilise un filtrage

avec état, les ports éphémères 50002 et 55002 sont automatiquement ouverts pour permettre lacommunication en retour. Si votre pare-feu utilise un filtrage sans état, vous devez ouvrir les portséphémères 49152 à 65535 pour permettre la communication en retour.

• TCP sortant sur le port 80 à l'adresse IP 1169.254.169.254 pour l'accès au service de métadonnéesEC2. Tout proxy HTTP attribué à votre WorkSpaces doit également exclure 169.254.169.254.

• – TCP sortant sur le port 1688 vers les adresses IP 169.254.169.250 et 169.254.169.251 pour autoriserl'accès à Microsoft KMS pour l'activation Windows pour les espaces de travail basés sur des bundlespublics. Si vous utilisez les WorkSpaces Bring Your Own License (BYOL) Windows, vous devez autoriserl'accès à vos propres serveurs KMS pour l'activation de Windows.

• – TCP sortant sur le port 1688 vers l'adresse IP 54.239.236.220 pour autoriser l'accès à Microsoft KMSpour l'activation d'Office pour BYOL WorkSpaces.

Si vous utilisez Office via l'un des bundles publics d'WorkSpaces, l'adresse IP de Microsoft KMS pourl'activation d'Office varie. Pour déterminer cette adresse IP, recherchez l'adresse IP de l'interface degestion du WorkSpace, puis remplacez les deux derniers octets par 64.250. Par exemple, si l'adresseIP de l'interface de gestion est 192.168.3.5, l'adresse IP d'activation de Microsoft KMS Office est192.168.64.250.

• – TCP sortant vers l'adresse IP 127.0.0.2 pour WSP WorkSpaces lorsque l'hôte WorkSpace est configurépour utiliser un serveur proxy.

Normalement, le service Amazon WorkSpaces configure ces ports pour votre WorkSpaces. Si un logicielde sécurité ou de pare-feu est installé sur un WorkSpace qui bloque l'un de ces ports, le WorkSpace peutne pas fonctionner correctement ou être inaccessible.

Ports de l'interface principaleQuel que soit le type d'annuaire dont vous disposez, les ports suivants doivent être ouverts sur l'interfaceréseau principale de tous les WorkSpaces :

• Pour la connectivité Internet, les ports suivants doivent être ouverts en sortie vers toutes les destinationset en entrée à partir du VPC WorkSpaces. Vous devez les ajouter manuellement au groupe de sécuritéde votre WorkSpaces si vous souhaitez qu'il dispose d'un accès Internet.• TCP 80 (HTTP)• TCP 443 (HTTPS)

• Pour communiquer avec les contrôleurs d'annuaire, les ports suivants doivent être ouverts entre votreVPC WorkSpaces et les contrôleurs de votre annuaire. Pour un annuaire Simple AD, le groupe desécurité créé par AWS Directory Service aura ces ports correctement configurés. Pour un annuaire ADConnector, vous devrez peut-être ajuster le groupe de sécurité par défaut pour le VPC afin d'ouvrir cesports.• TCP/UDP 53 - DNS

33

Amazon WorkSpaces Guide d'administrationExigences réseau

• TCP/UDP 88 - Kerberos authentication• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB• TCP 1024-65535 - Dynamic ports for RPC

Si un logiciel de sécurité ou de pare-feu est installé sur un WorkSpace qui bloque l'un de ces ports, leWorkSpace peut ne pas fonctionner correctement ou être inaccessible.

Amazon WorkSpacesExigences réseau du clientVos utilisateurs Amazon WorkSpaces peuvent se connecter à leur WorkSpaces à l'aide de l'applicationcliente d'un appareil pris en charge. Ils peuvent également utiliser un navigateur web pour se connecter àWorkSpaces qui prend en charge cette forme d'accès. Pour obtenir la liste des WorkSpaces qui prennenten charge l'accès au navigateur web, consultez « Quelles solutions groupées Amazon WorkSpacesprennent en charge l'accès web ? » dans Accès client, Accès web et Expérience utilisateur.

Note

Un navigateur web ne peut pas être utilisé pour se connecter à Amazon Linux WorkSpaces.

Important

À compter du 1er octobre 2020, les clients ne pourront plus utiliser le client Web Access AmazonWorkSpaces pour se connecter à WorkSpaces personnalisé Windows 7 ou à WorkSpacesWindows 7 Bring Your Own License (BYOL).

Pour fournir à vos utilisateurs une bonne expérience avec leur WorkSpaces, vérifiez que leurs appareilsclients répondent aux exigences réseau suivantes :

• L'appareil client doit être doté d'une connexion Internet haut débit. Nous vous recommandons de planifierun minimum de 1 Mbps par utilisateur simultané regardant une fenêtre vidéo 480p. Selon vos exigencesde qualité utilisateur pour la résolution vidéo, plus de bande passante peut être nécessaire.

• Le réseau auquel l'appareil client est connecté, ainsi que le pare-feu de l'appareil client, doivent avoircertains ports ouverts vers les plages d'adresses IP de différents services AWS Pour plus d'informations,consultez Exigences relatives aux adresses IP et aux ports pour Amazon WorkSpaces (p. 19).

• Pour des performances optimales pour PCoIP, la durée du cycle (RTT) du réseau du client vers la régiondans laquelle se trouve WorkSpaces doit être inférieure à 100 ms. Si la durée RTT est comprise entre100 ms et 200 ms, l'utilisateur peut accéder à la WorkSpace, mais les performances sont affectées. Si leRTT est compris entre 200 ms et 375 ms, les performances se dégradent. Si le RTT dépasse 375 ms, laconnexion client WorkSpaces est interrompue.

Pour des performances optimales pour WorkSpaces Streaming Protocol (WSP), le RTT du réseau duclient vers la région dans laquelle se trouve le WorkSpaces doit être inférieur à 250 ms. Si le RTT estcompris entre 250 ms et 400 ms, l'utilisateur peut accéder à WorkSpace, mais les performances sedégradent.

Pour vérifier le RTT vers les différentes régions AWS à partir de votre emplacement, utilisez laVérification de l'état de la connexion Amazon WorkSpaces.

• Si les utilisateurs accèdent à leur WorkSpaces via un réseau privé virtuel (VPN), la connexion doitprendre en charge une unité de transmission maximale (MTU) d'au moins 1 200 octets.

34

https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience

https://clients.amazonworkspaces.com/Health.html

Amazon WorkSpaces Guide d'administrationExigences réseau

Note

Vous ne pouvez pas accéder à WorkSpaces via un VPN connecté à votre Virtual PrivateCloud (VPC). Pour accéder à WorkSpaces à l'aide d'un VPN, une connectivité Internet (viales adresses IP publiques du VPN) est requise, comme décrit dans Exigences relatives auxadresses IP et aux ports pour Amazon WorkSpaces (p. 19).

• Les clients exigent un accès HTTPS aux ressources Amazon WorkSpaces hébergées par le service etAmazon Simple Storage Service (Amazon S3). Les clients ne prennent pas en charge la redirection versun proxy au niveau de l'application. L'accès HTTPS est requis pour que les utilisateurs puissent terminerl'enregistrement et accéder à leur WorkSpaces.

• Pour autoriser l'accès à partir de périphériques client PCoIP Zero, vous devez lancer et configurerune instance EC2 avec le gestionnaire de connexions PCoIP pour Amazon WorkSpaces et vousdevez utiliser un bundle de protocoles PCoIP pour WorkSpaces. Pour plus d'informations, consultezDéploiement du gestionnaire de connexions PCoIP pour Amazon WorkSpaces dans le PCoIPConnection Manager User Guide. Vous devez également activer le protocole NTP (Network TimeProtocol) dans Teradici. Pour plus d'informations, consultez Configuration du client Zero PCoIPpourWorkSpaces (p. 48).

• Pour les clients 3.0+, si vous utilisez l'authentification unique (SSO) pour Amazon WorkDocs, vous devezsuivre les instructions de Authentification unique dans le AWS Directory Service Administration Guide.

Vous pouvez vérifier qu'un appareil client répond aux exigences de mise en réseau de la façon suivante.

Pour vérifier la configuration réseau requise pour les clients 3.0+1. Ouvrez le client Amazon WorkSpaces Si vous avez ouvert le client pour la première fois, vous êtes

invité à entrer le code d'enregistrement que vous avez reçu dans l'e-mail d'invitation.2. Selon le client que vous utilisez, effectuez l'une des opérations suivantes.

Si vous utilisez... Faire ceci

Clients Windows ou Linux Dans le coin supérieur droit de l'applicationcliente, sélectionnez l'icône Réseau .

ClientmacOS Choisissez Connections (Connexions), Network(Réseau).

L'application cliente teste la connexion réseau, les ports et la durée du cycle, et indique les résultats deces tests.

3. Fermez la boîte de dialogue Réseau pour revenir à la page de connexion.

Pour vérifier la configuration réseau requise pour les clients 1.0+et 2.0+1. Ouvrez le client Amazon WorkSpaces Si vous avez ouvert le client pour la première fois, vous êtes

invité à entrer le code d'enregistrement que vous avez reçu dans l'e-mail d'invitation.2. Choisissez Réseau dans le coin inférieur droit de l'application cliente. L'application cliente teste la

connexion réseau, les ports et la durée du cycle, et indique les résultats de ces tests.3. Choisissez Ignorer pour revenir à la page de connexion.

35

https://www.teradici.com/web-help/Connecting_ZC_AWS_HTML5/TER1408002_Connecting_ZC_AWS.htm


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html

Amazon WorkSpaces Guide d'administrationAppareils approuvés

Restreindre l'accès d'WorkSpaces aux appareilsapprouvés

Par défaut, les utilisateurs peuvent accéder à leur WorkSpaces à partir de n'importe quel appareil prisen charge qui est connecté à Internet. Si votre entreprise limite l'accès aux données d'entreprise auxappareils approuvés (également appelés appareils gérés), vous pouvez restreindre l'accès WorkSpacesaux appareils approuvés avec des certificats valides.

Lorsque vous activez cette fonctionnalité, Amazon WorkSpaces utilise une authentification basée sur uncertificat pour déterminer si un appareil est approuvé. Si l'application cliente WorkSpaces ne peut pasvérifier qu'un appareil est approuvé, elle bloque les tentatives de connexion ou de reconnexion à partir del'appareil.

Pour chaque annuaire, vous pouvez importer jusqu'à deux certificats racines. Si vous importez deuxcertificats racines, Amazon WorkSpaces les présente tous les deux au client qui trouve le premier certificatvalide correspondant qui se lie à l'un des certificats racines.

Important

Cette fonction s'applique uniquement aux clients Amazon WorkSpaces Windows et macOS.Cette fonction ne s'applique pas aux éléments suivants :

• Les applications clientes Amazon WorkSpaces pour Linux, Android ouiPad• Le client Web AccessAmazon WorkSpaces• Tous les clients tiers, y compris mais sans s'y limiter :

• Clients logiciels et mobiles TeradiciPCoIP• Clients Teradici PCoIP Zero• Clients RDP• Applications de bureau à distance

Étape 1 : Créer des certificatsCette fonctionnalité nécessite deux types de certificats : les certificats racines générés par une autorité decertification et les certificats clients qui se lient à un certificat racine.

Requirements

• Les certificats doivent être des fichiers encodés en Base64 au format CRT, CERT ou PEM.• Les certificats doivent inclure un nom commun.• La longueur maximale de la chaîne de certificats prise en charge est 4.• Amazon WorkSpaces ne prend actuellement pas en charge les mécanismes de révocation d'appareil,

comme les listes de révocation de certificats (CRL) ou le protocole de vérification en ligne de certificat(OCSP), pour les certificats clients.

• Utilisez un algorithme de chiffrement puissant. Nous vous recommandons SHA256 avec RSA, SHA256with ECDSA, SHA384 avec ECDSA ou SHA512 avec ECDSA.

• Assurez-vous que « key usage: Digital signature » est présent sur la clé publique, sinon l'authentificationde l'appareil échouera même si les clés publiques et privées sont présentes sur la machine et dans laconsole WorkSpaces.

• Pour macOS, si le certificat d'appareil se trouve dans le trousseau (keychain) du système, nous vousrecommandons d'autoriser l'application cliente WorkSpaces à accéder à ces certificats. Sinon, lesutilisateurs doivent saisir les informations d'identification du trousseau lorsqu'ils se connectent ou sereconnectent.

36

Amazon WorkSpaces Guide d'administrationÉtape 2 : Déployer des certificats

clients vers les appareils approuvés

Étape 2 : Déployer des certificats clients vers lesappareils approuvésVous devez installer des certificats clients sur les appareils approuvés de vos utilisateurs. Vous pouvezutiliser votre solution préférée pour installer des certificats dans votre flotte d'appareils clients ; parexemple, System Center Configuration Manager (SCCM) ou la gestion des périphériques mobiles (MDM).Notez que SCCM et CDC peuvent éventuellement effectuer une évaluation de la posture de sécurité pourdéterminer si les appareils répondent à vos stratégies d'entreprise pour accéder à WorkSpaces.

Sous Windows, l'application cliente WorkSpaces recherche les certificats client dans les magasins decertificats utilisateur et racine. Sur macOS, l'application cliente WorkSpaces recherche les certificats clientdans l'ensemble du trousseau.

Étape 3 : Configurer la restrictionAprès avoir déployé les certificats clients sur les appareils approuvés, vous pouvez activer un accèsrestreint au niveau de l'annuaire. Ceci nécessite que l'application cliente WorkSpaces valide le certificat surun appareil avant d'autoriser un utilisateur à se connecter à une WorkSpace.

Pour configurer la restriction

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Options de contrôle d'accès.5. [Windows] Choisissez Autoriser uniquement les appareils Windows approuvés pour accéder à

WorkSpaces.6. [macOS] Choisissez Autoriser uniquement les appareils macOS approuvés pour accéder à

WorkSpaces.7. Importez jusqu'à deux certificats racines. Pour chaque certificat racine, procédez comme suit :

a. Choisissez Importer.b. Copiez le corps du certificat dans le formulaire.c. Choisissez Importer.

8. (Facultatif) Spécifiez si d'autres types d'appareils ont accès à WorkSpaces.

a. Faites défiler jusqu'à la section Autres plateformes. Par défaut, les clients WorkSpaces WebAccess et Linux sont désactivés, et les utilisateurs peuvent accéder à leur WorkSpaces à partir deleurs appareils iOS, Android, Chromebooks et PCoIP Zero Client Device.

b. Sélectionnez les types d'appareils à activer et effacez ceux à désactiver.c. Pour bloquer l'accès à partir de tous les types d'appareils sélectionnés, choisissez Bloc.

9. Choisissez Update and Exit (Mettre à jour et quitter).

Utiliser des cartes intelligentes pourl'authentification

Les solutions groupées WorkSpaces Windows et Linux sur WorkSpaces Streaming Protocol (WSP)permettent l'utilisation de cartes intelligentes Common Access Card (CAC) et Personal Identity Verification(PIV) pour l'authentification.

37


https://www.cac.mil/Common-Access-Card

https://piv.idmanagement.gov/


Amazon WorkSpaces Guide d'administrationRequirements

Amazon WorkSpaces prend en charge l'utilisation de cartes intelligentes pour l'authentification pré-sessionet l'authentification en session. L'authentification préalable à la session fait référence à l'authentification parcarte intelligente effectuée lorsque les utilisateurs se connectent à leur WorkSpaces. L'authentification ensession fait référence à l'authentification effectuée après la connexion.

Par exemple, les utilisateurs peuvent utiliser des cartes intelligentes pour l'authentification en sessiontout en utilisant des applications et des navigateurs web. Elles peuvent également utiliser des cartesintelligentes pour les actions nécessitant des autorisations administratives. Par exemple, si l'utilisateurdispose d'autorisations administratives sur son WorkSpace Linux, il peut utiliser des cartes à puce pours'authentifier lors de l'exécution des commandes sudo et sudo -i.

Sommaire• Requirements (p. 38)• Limitations (p. 38)• Configuration du répertoire (p. 39)• Activation des cartes intelligentes pour Windows WorkSpaces (p. 39)• Activation des cartes intelligentes pour Linux WorkSpaces (p. 41)

Requirements• Un annuaire Active Directory Connector (AD Connector) est requis. Pour plus d'informations sur

la configuration de votre connecteur AD et de votre annuaire sur site, consultez Configuration durépertoire (p. 39).

• Pour utiliser une carte à puce avec un WorkSpace Windows ou Linux, l'utilisateur doit utiliser le clientWindows Amazon WorkSpaces version 3.1.1 ou ultérieure. Pour plus d'informations sur l'utilisation descartes à puce avec le client Windows, consultez Prise en charge des cartes à puce dans le Guide del'utilisateur Amazon WorkSpaces.

• L'autorité de certification racine et les certificats de carte intelligente doivent répondre à certainesexigences. Pour plus d'informations, consultez Activation de l'authentification par carte intelligente pourAmazon WorkSpaces dans le AWS Directory Service Administration Guide et Configuration requise pourles certificats dans la documentation Microsoft.

Outre ces exigences, les certificats utilisateur utilisés pour l'authentification par carte intelligente auprèsd'Amazon WorkSpaces doivent inclure les attributs suivants :• L'utilisateur AD userPrincipalName (UPN) dans le champ subjectAltName (SAN) du certificat. Nous

vous recommandons d'émettre des certificats de carte intelligente pour l'UPN par défaut de l'utilisateur.• L'attribut EKU (Extended Key Usage) de l'authentification client (1.3.6.1.5.5.7.3.2).• L'attribut EKU de connexion à la carte intelligente (1.3.6.1.4.1.311.20.2.2).

• Pour l'authentification préalable à la session, le protocole OCSP (Online Certificate Status Protocol) estrequis pour la vérification de la révocation des certificats. Pour l'authentification en session, OCSP estrecommandé, mais n'est pas obligatoire.

Limitations• Seule l'application cliente Windows WorkSpaces version 3.1.1 ou ultérieure est actuellement prise en

charge pour l'authentification par carte intelligente.• L'application cliente Windows WorkSpaces version 3.1.1 ou ultérieure prend en charge les cartes

intelligentes uniquement lorsque le client est exécuté sur une version 64 bits de Windows.• Seuls les répertoires AD Connector sont actuellement pris en charge pour l'authentification par carte

intelligente.

38

https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_clientauth.html


https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements

https://docs.microsoft.com/en-us/windows/security/identity-protection/smart-cards/smart-card-certificate-requirements-and-enumeration#certificate-requirements

Amazon WorkSpaces Guide d'administrationConfiguration du répertoire

• L'authentification préalable à la session est disponible uniquement dans la Région AWS GovCloud(USA Ouest) pour le moment. L'authentification en session est disponible dans toutes les régions oùWSP est pris en charge.

• Pour l'authentification en session et l'authentification pré-session sous Linux ou Windows WorkSpaces,une seule carte intelligente est actuellement autorisée à la fois.

• Pour l'authentification préalable à la session, l'activation de l'authentification par carte intelligente et del'authentification par nom d'utilisateur et mot de passe sur le même annuaire n'est actuellement pas priseen charge.

• Seules les cartes CAC et PIV sont prises en charge pour l'instant. D'autres types de cartes intelligentespeuvent également fonctionner, mais elles n'ont pas été entièrement testées pour fonctionner avec WSP.

• L'utilisation d'une carte intelligente pour déverrouiller l'écran pendant une session WorkSpaceWindows ou Linux n'est pas prise en charge actuellement. Pour contourner ce problème pourWindows WorkSpaces, consultez Pour détecter l'écran de verrouillage Windows et déconnecter lasession (p. 40). Pour contourner ce problème pour Linux WorkSpaces, consultez Pour désactiverl'écran de verrouillage sur Linux WorkSpaces (p. 42).

Configuration du répertoirePour activer l'authentification par carte intelligente, vous devez configurer votre annuaire AD Connector etvotre annuaire sur site de la manière suivante.

Configuration de l'annuaire du connecteur AD

Avant de commencer, assurez-vous que votre annuaire AD Connector a été configuré comme décrit dansPrérequis pour AD Connector dans le AWS Directory Service Administration Guide. En particulier, assurez-vous que vous avez ouvert les ports nécessaires dans votre pare-feu.

Pour terminer la configuration de votre annuaire AD Connector, suivez les instructions fournies dansActivation de l'authentification par carte intelligente pour Amazon WorkSpaces dans le AWS DirectoryService Administration Guide.

Note

Les actions d'API AWS Directory Service et les commandes de l'interface de ligne de commande(CLI) AWS Directory Service utilisées pour configurer l'authentification par carte intelligente pré-session sont actuellement disponibles uniquement dans la Région AWS GovCloud (USA Ouest).

Configuration du répertoire sur site

Outre la configuration de votre annuaire AD Connector, vous devez également vous assurer que lescertificats qui sont émis vers les contrôleurs de domaine de votre annuaire sur site ont l'utilisation étenduede clé « KDC Authentication » définie. Pour ce faire, utilisez le modèle de certificat d'authentificationKerberos par défaut des services de domaine Active Directory (AD DS). N'utilisez pas de modèlede certificat de contrôleur de domaine ou de modèle de certificat d'authentification de contrôleur dedomaine, car ces modèles ne contiennent pas les paramètres nécessaires pour l'authentification par carteintelligente.

Activation des cartes intelligentes pour WindowsWorkSpacesPour obtenir des conseils d'ordre général sur l'activation de l'authentification par carte à puce sousWindows, consultez Instructions relatives à l'activation de la connexion par carte à puce avec les autoritésde certification tierces dans la documentation Microsoft.

39

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html


https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities

https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities

Amazon WorkSpaces Guide d'administrationActivation des cartes intelligentes

pour Windows WorkSpaces

Pour détecter l'écran de verrouillage Windows et déconnecter la session

Pour permettre aux utilisateurs de déverrouiller les WorkSpaces Windows activées pour l'authentificationpréalable à la session de carte intelligente lorsque l'écran est verrouillé, vous pouvez activer la détectiond'écran de verrouillage Windows dans les sessions des utilisateurs. Lorsque l'écran de verrouillageWindows est détecté, la session WorkSpace est déconnectée et l'utilisateur peut se reconnecter à partir duclient WorkSpaces à l'aide de sa carte intelligente.

Vous pouvez activer la déconnexion de la session lorsque l'écran de verrouillage Windows est détecté enutilisant les paramètres de stratégie de groupe. Pour plus d'informations, consultez Activer ou désactiver lasession de déconnexion sur le verrouillage d'écran pour WSP (p. 108).

Pour activer l'authentification en session ou préalable à la session

Par défaut, les WorkSpaces Windows ne sont pas activés pour prendre en charge l'utilisation de cartesintelligentes pour l'authentification préalable ou pendant la session. Si nécessaire, vous pouvez activerl'authentification en session pour Windows WorkSpaces en utilisant les paramètres de stratégie de groupe.Pour plus d'informations, consultez Activation ou désactivation de la redirection de cartes intelligentespourWSP (p. 107).

Vous pouvez activer l'authentification préalable à la session via les paramètres de votre annuaire ADConnector à l'aide de l'action d'API EnableClientAuthentication ou de la commande CLI enable-client-authentication. Pour plus d'informations, consultez Activation de l'authentification par carte intelligente pourle connecteur AD dans le AWS Directory Service Administration Guide.

Pour permettre aux utilisateurs d'utiliser des cartes à puce dans un navigateur

Si vos utilisateurs utilisent Chrome comme navigateur, aucune configuration spéciale n'est requise pourutiliser des cartes à puce.

Si vos utilisateurs utilisent Firefox comme navigateur, vous pouvez leur permettre d'utiliser des cartes àpuce dans Firefox via une stratégie de groupe. Vous pouvez utiliser ces modèles de stratégie de groupeFirefox dans GitHub.

Vous devez installer la version 64 bits de OpenSC pour Windows pour prendre en charge PKCS #11, puisutiliser le paramètre de stratégie de groupe suivant, où NAME_OF_DEVICE correspond à la valeur que voussouhaitez utiliser pour identifier PKCS #11, par exemple OpenSC, et où PATH_TO_LIBRARY_FOR_DEVICEcorrespond au chemin d'accès à PKCS #11. Ce chemin doit pointer vers une bibliothèque avec uneextension .DLL, telle que C:\Windows\System32\pkcs11.dll.

Software\Policies\Mozilla\Firefox\SecurityDevices\NAME_OF_DEVICE = PATH_TO_LIBRARY_FOR_DEVICE

Troubleshooting

Pour plus d'informations sur le dépannage des cartes intelligentes, consultez Certificat et problèmes deconfiguration dans la documentation Microsoft.

Des problèmes courants peuvent entraîner des problèmes :

• Mappage incorrect des emplacements aux certificats.• Plusieurs certificats sur la carte intelligente qui peuvent correspondre à l'utilisateur. Les certificats sont

mis en correspondance à l'aide des critères suivants :• CA racine pour le certificat.• Les champs <KU> et <EKU> du certificat.• L'UPN dans l'objet du certificat.

• Avoir plusieurs certificats dont l'utilisation de clé est <EKU>msScLogin.

40



https://github.com/mozilla/policy-templates/tree/master/windows

https://github.com/mozilla/policy-templates/tree/master/windows

https://github.com/OpenSC/OpenSC/wiki

https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems

https://docs.microsoft.com/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#certificate-and-configuration-problems

Amazon WorkSpaces Guide d'administrationActivation des cartes intelligentes pour Linux WorkSpaces

En général, il est préférable d'avoir un seul certificat pour l'authentification par carte intelligente mappé autout premier emplacement de la carte.

Les outils de gestion des certificats et des clés sur la carte à puce (par exemple, la suppression ou leremappage des certificats et des clés) peuvent être spécifiques au fabricant. Pour plus d'informations,consultez la documentation fournie par le fabricant de vos cartes intelligentes.

Activation des cartes intelligentes pour LinuxWorkSpacesPour activer l'utilisation de cartes intelligentes sur Linux WorkSpaces, vous devez inclure un fichier decertificat d'autorité de certification racine au format PEM dans l'image WorkSpace.

Pour obtenir votre certificat d'autorité de certification racine

Vous pouvez obtenir votre certificat d'autorité de certification racine de différentes manières :

• Vous pouvez utiliser un certificat CA racine géré par une autorité de certification tierce.• Vous pouvez exporter votre propre certificat d'autorité de certification racine à l'aide du site Web

enrollment, qui est http://ip_address/certsrv ou http://fqdn/certsrv, où ip_addresset fqdn sont l'adresse IP et le nom de domaine complet (FQDN) du serveur d'autorité de certificationracine. Pour plus d'informations sur l'utilisation du site Web enrollment, consultez Comment exporter uncertificat d'autorité de certification racine dans la documentation Microsoft.

• Vous pouvez utiliser la procédure suivante pour exporter le certificat d'autorité de certification racine àpartir d'un serveur de certification d'autorité de certification racine qui exécute Active Directory CertificateServices (AD CS). Pour plus d'informations sur l'installation d'AD CS, consultez Installer l'autorité decertification dans la documentation Microsoft.

1. Connectez-vous au serveur d'autorité de certification racine à l'aide d'un compte d'administrateur.2. Dans le menu Démarrer de Windows, ouvrez une fenêtre d'invite de commande (Démarrer >

Système Windows > Invite de commandes).3. Utilisez la commande suivante pour exporter le certificat de l'autorité de certification racine vers un

nouveau fichier, où rootca.cer est le nom du nouveau fichier :

certutil -ca.cert rootca.cer

Pour plus d'informations sur l'exécution de certutil, consultez certutil dans la documentationMicrosoft.

4. Utilisez la commande OpenSSL suivante pour convertir le certificat CA racine exporté du formatDER au format PEM, où rootca est le nom du certificat. Pour plus d'informations sur OpenSSL,consultez www.openssl.org.

openssl x509 -inform der -in rootca.cer -out /tmp/rootca.pem

Pour ajouter votre certificat d'autorité de certification racine à votre WorkSpaces Linux

Pour vous aider à activer les cartes à puce, nous avons ajouté le script enable_smartcard à nossolutions groupées Amazon Linux WSP. Ce script effectue les actions suivantes :

• Importe votre certificat d'autorité de certification racine dans la base de données Network SecurityServices (NSS).

• Installe le module pam_pkcs11 pour l'authentification Pluggable Authentication Module (PAM).• Effectue une configuration par défaut, ce qui inclut l'activation de pkinit pendant la mise en service de

WorkSpace.

41

https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate

https://docs.microsoft.com/troubleshoot/windows-server/identity/export-root-certification-authority-certificate

https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

https://docs.microsoft.com/windows-server/networking/core-network-guide/cncg/server-certs/install-the-certification-authority

https://docs.microsoft.com/windows-server/administration/windows-commands/certutil

https://www.openssl.org/

https://developer.mozilla.org/docs/Mozilla/Projects/NSS

https://developer.mozilla.org/docs/Mozilla/Projects/NSS


La procédure suivante explique comment utiliser le script enable_smartcard pour ajouter votre certificatd'autorité de certification racine à votre WorkSpaces Linux et pour activer les cartes à puce pour votreWorkSpaces Linux.

1. Créez un nouveau WorkSpace Linux avec le protocole WSP activé. Lors du lancement de l'WorkSpacedans la console Amazon WorkSpaces, sur la page Select Bundles (Sélectionner les bundles), veillez àsélectionner WSP pour le protocole, puis sélectionnez l'un des bundles publics Amazon Linux 2.

2. Sur le nouvel WorkSpace, exécutez la commande suivante en tant que racine, où pem-path est lechemin d'accès au fichier de certificat de l'autorité de certification racine au format PEM.

/usr/lib/skylight/enable_smartcard --ca-cert pem-path

Note

Les WorkSpaces Linux supposent que les certificats des cartes à puce sont émis pour le nomd'utilisateur principal (UPN) par défaut de l'utilisateur, tel que sAMAccountName@domain, oùdomain est un nom de domaine complet (FQDN).Pour utiliser d'autres suffixes UPN, consultez run /usr/lib/skylight/enable_smartcard --help pour plus d'informations. Le mappage des autres suffixesUPN est unique pour chaque utilisateur. Par conséquent, ce mappage doit être effectuéindividuellement sur le WorkSpace de chaque utilisateur.

3. (Facultatif) Par défaut, tous les services sont activés pour utiliser l'authentification par carte intelligentesous Linux WorkSpaces. Pour limiter l'authentification par carte intelligente à des services spécifiques,vous devez modifier /etc/pam.d/system-auth. Supprimez la mise en commentaire de la ligneauth pour pam_succeed_if.so et modifiez la liste des services si nécessaire.

Une fois que la ligne auth n'est pas commentée, vous devez l'ajouter à la liste pour permettre àun service d'utiliser l'authentification par carte intelligente. Pour qu'un service utilise uniquementl'authentification par mot de passe, vous devez le supprimer de la liste.

4. (Facultatif) L'utilisation d'une carte à puce pour déverrouiller l'écran n'est pas prise en chargeactuellement. Pour désactiver l'écran de verrouillage sous Linux WorkSpaces, créez un fichier nommé/usr/share/glib-2.0/schemas/10_screensaver.gschema.override avec le contenusuivant :

[org.mate.screensaver]lock-enabled=false

Après avoir créé ce fichier, exécutez cette commande :

sudo glib-compile-schemas /usr/share/glib-2.0/schemas/

5. Effectuez des personnalisations supplémentaires sur l'WorkSpace. Par exemple, vous pouvez ajouterune stratégie à l'échelle du système pour autoriser les utilisateurs à utiliser des cartes à puce dansFirefox (p. 42). (Les utilisateurs Chrome doivent activer les cartes à puce sur leurs clients eux-mêmes. Pour plus d'informations, consultez Prise en charge des cartes intelligentes dans le Guide del'utilisateur Amazon WorkSpaces.)

6. Créez une image et un bundle WorkSpace personnalisés (p. 141) à partir de l'WorkSpace.7. Utilisez le nouveau bundle personnalisé pour lancer WorkSpaces pour vos utilisateurs.

Pour permettre aux utilisateurs d'utiliser des cartes à puce dans Firefox

Vous pouvez permettre à vos utilisateurs d'utiliser des cartes à puce dans Firefox en ajoutant une stratégieSecurityDevices à votre image WorkSpace Linux. Pour plus d'informations sur l'ajout de stratégies àl'échelle du système à Firefox, consultez les modèles de stratégie Mozilla sur GitHub.

42

https://docs.aws.amazon.com/workspaces/latest/userguide/smart_card_support.html

https://github.com/mozilla/policy-templates/releases


1. Sur l'WorkSpace que vous utilisez pour créer votre image WorkSpace, créez un fichier nommépolicies.json dans /usr/lib64/firefox/distribution/.

2. Dans le fichier JSON, ajoutez la stratégie SecurityDevices suivante, où NAME_OF_DEVICE correspondà la valeur que vous souhaitez utiliser pour identifier le module pkcs. Par exemple, vous pouvezutiliser une valeur telle que "OpenSC" :

{ "policies": { "SecurityDevices": { "NAME_OF_DEVICE": "/usr/lib64/opensc-pkcs11.so" } }}

Troubleshooting

Pour le dépannage, nous vous recommandons d'ajouter l'utilitaire pkcs11-tools. Cet utilitaire vouspermet d'effectuer les actions suivantes :

• Répertoriez chaque carte intelligente.• Répertoriez les emplacements sur chaque carte intelligente.• Répertoriez les certificats sur chaque carte intelligente.

Des problèmes courants peuvent entraîner des problèmes :

• Mappage incorrect des emplacements aux certificats.• Plusieurs certificats sur la carte intelligente qui peuvent correspondre à l'utilisateur. Les certificats sont

mis en correspondance à l'aide des critères suivants :• CA racine pour le certificat.• Les champs <KU> et <EKU> du certificat.• L'UPN dans l'objet du certificat.

• Avoir plusieurs certificats dont l'utilisation de clé est <EKU>msScLogin.

En général, il est préférable d'avoir un seul certificat pour l'authentification par carte intelligente mappé autout premier emplacement de la carte.

Les outils de gestion des certificats et des clés sur la carte à puce (par exemple, la suppression ou leremappage des certificats et des clés) peuvent être spécifiques au fabricant. Les outils supplémentairesque vous pouvez utiliser pour travailler avec des cartes intelligentes sont les suivants :

• opensc-explorer

• opensc-tool

• pkcs11_inspect

• pkcs11_listcerts

• pkcs15-tool

Pour activer la journalisation de débogage

Pour dépanner votre configuration pam_pkcs11 et pam-krb5, vous pouvez activer la journalisation dedébogage.

1. Dans le fichier /etc/pam.d/system-auth-ac, modifiez l'action auth et remplacez le paramètrenodebug de pam_pksc11.so par debug.

43


2. Dans le fichier /etc/pam_pkcs11/pam_pkcs11.conf, remplacez debug = false; par debug= true;. Comme l'option debug s'applique séparément à chaque module d'outil de mappage, vousdevrez peut-être la modifier directement sous la section pam_pkcs11 et également sous la sectiond'outil de mappage appropriée (par défaut, il s'agit de mapper generic).

3. Dans le fichier /etc/pam.d/system-auth-ac, modifiez l'action auth et ajoutez le paramètredebug ou debug_sensitive à pam_krb5.so.

Une fois que vous avez activé la journalisation de débogage, le système imprime les messages dedébogage pam_pkcs11 directement dans le terminal actif. Les messages de pam_krb5 sont consignésdans /var/log/secure.

Pour vérifier à quel nom d'utilisateur correspond un certificat de carte intelligente, utilisez la commandepklogin_finder suivante :

sudo pklogin_finder debug config_file=/etc/pam_pkcs11/pam_pkcs11.conf

Lorsque vous y êtes invité, saisissez le code PIN de la carte intelligente. pklogin_finder génère surstdout le nom d'utilisateur sur le certificat de carte intelligente au format NETBIOS\username. Ce nomd'utilisateur doit correspondre au nom d'utilisateur WorkSpace.

Dans les services de domaine Active Directory (AD DS), le nom de domaine NetBIOS est le nom dedomaine antérieur à Windows 2000. Généralement (mais pas toujours), le nom de domaine NetBIOS est lesous-domaine du nom de domaine DNS (Domain Name System). Par exemple, si le nom de domaine DNSest example.com, le nom de domaine NetBIOS est généralement EXAMPLE. Si le nom de domaine DNSest corp.example.com, le nom de domaine NetBIOS est généralement CORP.

Par exemple, pour l'utilisateur mmajor dans le domaine corp.example.com, la sortie depklogin_finder est CORP\mmajor.

Note

Si vous recevez le message "ERROR:pam_pkcs11.c:504: verify_certificate()failed", ce message indique qu'pam_pkcs11 a trouvé un certificat sur la carte intelligente quicorrespond aux critères du nom d'utilisateur, mais qu'il ne se lie pas à un certificat d'autorité decertification racine reconnu par la machine. Dans ce cas, pam_pkcs11 génère le message ci-dessus, puis tente le certificat suivant. Elle autorise l'authentification uniquement si elle trouve uncertificat qui correspond à la fois au nom d'utilisateur et à une chaîne jusqu'à un certificat d'autoritéde certification racine reconnu.

Pour dépanner votre configuration pam_krb5, vous pouvez appeler manuellement kinit en modedébogage à l'aide de la commande suivante :

KRB5_TRACE=/dev/stdout kinit -V

Cette commande doit réussir à obtenir un ticket d'octroi de ticket Kerberos (TGT). En cas d'échec, essayezd'ajouter explicitement le nom principal Kerberos correct à la commande. Par exemple, pour l'utilisateurmmajor dans le domaine corp.example.com, utilisez la commande suivante :

KRB5_TRACE=/dev/stdout kinit -V mmajor

Si cette commande réussit, le problème est probablement lié au mappage du nom d'utilisateur WorkSpaceau nom principal Kerberos. Consultez la section [appdefaults]/pam/mappings dans le fichier /etc/krb5.conf.

Si cette commande n'aboutit pas, mais qu'une commande kinit basée sur un mot de passe aboutit,vérifiez les configurations associées à pkinit_ dans le fichier /etc/krb5.conf. Par exemple,

44

Amazon WorkSpaces Guide d'administrationAccès Internet

si la carte à puce contient plusieurs certificats, vous devrez peut-être apporter des modifications àpkinit_cert_match.

Fournir un accès Internet à partir devotreWorkSpace

Votre WorkSpaces doit avoir accès à Internet afin que vous puissiez installer les mises à jour sur lesystème d'exploitation et déployer des applications. Vous pouvez utiliser l'une des options suivantes pourautoriser votre WorkSpaces dans un Virtual Private Cloud (VPC) à accéder à Internet.

Options

• Lancez votre WorkSpaces dans des sous-réseaux privés et configurez une passerelle NAT dans unsous-réseau public de votre VPC.

• Lancez votre WorkSpaces dans des sous-réseaux publics et attribuez automatiquement oumanuellement des adresses IP publiques à votre WorkSpaces.

Pour plus d'informations sur ces options, consultez les sections correspondantes dans Configurer un VPCpour Amazon WorkSpaces (p. 10).

Avec l'une de ces options, vous devez vous assurer que le groupe de sécurité de votre WorkSpacesautorise le trafic sortant sur les ports 80 (HTTP) et 443 (HTTPS) vers toutes les destinations (0.0.0.0/0).

Amazon WAM

Si vous utilisez Amazon WorkSpaces Application Manager (Amazon WAM) pour déployer des applicationssur votre WorkSpaces, votre WorkSpaces doit avoir accès à Internet.

Amazon LinuxBibliothèque Extras

Si vous utilisez le référentiel Amazon Linux, votre Amazon Linux WorkSpaces doit disposer d'un accèsInternet ou vous devez configurer des points de terminaison de VPC vers ce référentiel et vers le référentielAmazon Linux principal. Pour plus d'informations, consultez la section Exemple : autorisation d'accèsaux référentiels AMI Amazon Linux dans Points de terminaison pour Amazon S3. Les référentiels AMIAmazon Linux sont des compartiments Amazon S3 dans chaque région. Si vous voulez que des instancesdans votre VPC accèdent aux référentiels via un point de terminaison, créez une stratégie de point determinaison qui autorise l'accès à ces compartiments. La stratégie suivante accorde aux utilisateurs l'accèsaux référentiels Amazon Linux

{ "Statement": [ { "Sid": "AmazonLinux2AMIRepositoryAccess", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amazonlinux.*.amazonaws.com/*" ] } ]}

45

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html

Amazon WorkSpaces Guide d'administrationGroupes de sécurité

Groupes de sécurité pour votreWorkSpacesLorsque vous enregistrez un annuaire avec Amazon WorkSpaces, il crée deux groupes de sécurité,l'un pour les contrôleurs d'annuaire et l'autre pour WorkSpaces dans l'annuaire. Le groupe de sécuritépour les contrôleurs d'annuaire possède un nom qui se compose de l'identifiant d'annuaire suivi de_controllers (par exemple, d-12345678e1_controllers). Le groupe de sécurité pour WorkSpaces aun nom qui se compose de l'identifiant de répertoire suivi de _workspacesMembers (par exemple,d-123456fc11_workspacesMembers).

Warning

Ne modifiez pas ou ne supprimez pas les groupes de sécurité _controllers et_workspacesMembers. Si vous modifiez ou supprimez ces groupes de sécurité, votre WorkSpacesne fonctionnera pas correctement et vous ne pourrez pas recréer ces groupes et les ajouter ànouveau.

Vous pouvez ajouter un groupe de sécurité WorkSpaces par défaut à un annuaire. Une fois que vous avezassocié un nouveau groupe de sécurité à un annuaire WorkSpaces, les nouveaux WorkSpaces que vouslancez ou les WorkSpaces existants que vous recréez disposeront du nouveau groupe de sécurité. Vouspouvez également ajouter ce nouveau groupe de sécurité par défaut à des WorkSpaces existants sans lesreconstruire (p. 46), comme expliqué plus loin dans cette rubrique.

Lorsque vous associez plusieurs groupes de sécurité à un annuaire WorkSpaces, les règles de chaquegroupe de sécurité sont effectivement regroupées pour créer un seul ensemble de règles. Nous vousrecommandons de condenser le plus possible vos règles de groupe de sécurité.

Pour de plus amples informations sur les groupes de sécurité, veuillez consulter Groupes de sécurité pourvotre VPC dans le Amazon VPC Guide de l'utilisateur.

Pour ajouter un groupe de sécurité à un annuaireWorkSpaces

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Groupe de sécurité et sélectionnez un groupe de sécurité.5. Choisissez Update and Exit (Mettre à jour et quitter).

Pour ajouter un groupe de sécurité à un WorkSpace existant sans le reconstruire, vous affectez le nouveaugroupe de sécurité à l'interface réseau Elastic (ENI) de l'WorkSpace.

Pour ajouter un groupe de sécurité à un WorkSpace existant

1. Trouvez l'adresse IP pour chaque WorkSpace qui doit être mis à jour.

a. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.

b. Développez chaque WorkSpace et enregistrez son adresse IP WorkSpace.2. Recherchez l'ENI de chaque WorkSpace et mettez à jour son affectation de groupe de sécurité.

a. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.b. Sous Réseau et sécurité, choisissez Interfaces réseau.c. Recherchez la première adresse IP enregistrée à l'étape 1.d. Sélectionnez l'ENI associé à l'adresse IP, choisissez Actions, puis Modifier les groupes de

sécurité.e. Sélectionnez le nouveau groupe de sécurité, puis choisissez Enregistrer.f. Répétez ce processus si nécessaire pour tout autre WorkSpaces.

46

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html





Amazon WorkSpaces Guide d'administrationGroupes de contrôles d'accès IP

Groupes de contrôle d'accès IP pour vos instancesWorkSpaces

Une liste de contrôle d'accès IP agit en tant que pare-feu virtuel qui contrôle les adresses IP à partirdesquelles les utilisateurs sont autorisés à accéder à leurs instances WorkSpaces. Vous pouvez associerchaque groupe de contrôle d'accès IP avec un ou plusieurs annuaires. Vous pouvez créer jusqu’à100 groupes de contrôle d’accès IP par région et par compte AWS. Toutefois, vous pouvez uniquementassocier jusqu'à 25 groupes de contrôle d'accès IP à un seul annuaire.

Un groupe de contrôle d'accès IP par défaut est associé à chaque annuaire. Le groupe par défaut autorisetout le trafic. Si vous associez un groupe de contrôle d'accès IP à un annuaire, le groupe de contrôled'accès IP par défaut est dissocié.

Pour spécifier les adresses IP publiques et les plages d'adresses IP de vos réseaux approuvés,ajoutez des règles à vos groupes de contrôle d'accès IP. Si vos utilisateurs accèdent à leurs instancesWorkSpaces via une passerelle NAT ou un VPN, vous devez créer des règles qui autorisent le trafic depuisles adresses IP de la passerelle NAT ou du VPN.

Note

Les groupes de contrôle d'accès IP n'autorisent pas l'utilisation d'adresses IP dynamiques pourles NAT. Si vous utilisez un NAT, configurez-le pour qu'il utilise une adresse IP statique au lieud'une adresse IP dynamique. Assurez-vous que le NAT achemine tout le trafic UDP via la mêmeadresse IP statique pendant toute la durée de la session WorkSpaces.

Vous pouvez utiliser cette fonction avec l'accès web et les applications clientes pour macOS, iPad,Windows, Chromebook et Android. Pour utiliser cette fonction avec un client zéro PCoIP, vous ne pouvezpas utiliser le gestionnaire de connexions PCoIP.

Création d'un groupe de contrôles d'accès IPVous pouvez créer un groupe de contrôle d'accès IP de la façon suivante. Chaque groupe de contrôled'accès IP peut contenir jusqu'à 10 règles.

Pour créer un groupe de contrôles d'accès IP

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Contrôles d'accès IP.3. Choisissez Créer un groupe IP.4. Dans la boîte de dialogue Créer un groupe IP, entrez le nom et la description du groupe, puis

choisissez Créer.5. Sélectionnez le groupe et choisissez Modifier.6. Pour chaque adresse IP, choisissez Ajouter une règle. Pour Source, entrez l'adresse IP ou la plage

d'adresses IP. Pour Description, entrez une description. Lorsque vous avez fini d'ajouter des règles,choisissez Enregistrer.

Association d'un groupe de contrôle d'accès IP à unannuaireVous pouvez associer un groupe de contrôle d'accès IP à un annuaire pour vous assurer que l'accès auxinstances WorkSpaces a lieu uniquement à partir de réseaux approuvés.

Si vous associez un groupe de contrôle d'accès IP qui ne comporte pas de règles à un annuaire, celabloque tous les accès à toutes les instances WorkSpaces.

47


Amazon WorkSpaces Guide d'administrationCopie d'un groupe de contrôles d'accès IP

Pour associer un groupe de contrôle d'accès IP à un annuaire

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Groupes de contrôle d'accès IP et sélectionnez un ou plusieurs groupes de contrôle

d'accès IP.5. Choisissez Update and Exit (Mettre à jour et quitter).

Copie d'un groupe de contrôles d'accès IPVous pouvez utiliser un groupe de contrôles d'accès IP comme base pour la création d'un nouveau groupede contrôle d'accès IP.

Pour créer un groupe de contrôles d'accès IP à partir d'un groupe existant

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Contrôles d'accès IP.3. Sélectionnez le groupe, puis choisissez Actions, Copier vers le nouveau.4. Dans la boîte de dialogue Copier un groupe IP, entrez le nom et la description du nouveau groupe,

puis choisissez Copier un groupe.5. (Facultatif) Pour modifier les règles copiées à partir du groupe d'origine, sélectionnez le nouveau

groupe, puis choisissez Modifier. Ajoutez, mettez à jour ou supprimez des règles en fonction de vosbesoins. Choisissez Save.

Suppression d'un groupe de contrôles d'accès IPVous pouvez supprimer une règle d'un groupe de contrôles d'accès IP à tout moment. Si vous supprimezune règle qui était utilisée pour autoriser une connexion à une instance WorkSpace, l'utilisateur estdéconnecté de cette instance WorkSpace.

Avant de supprimer un groupe de contrôle d'accès IP, vous devez le dissocier de tous les annuaires.

Pour supprimer un groupe de contrôles d'accès IP

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez chaque annuaire qui est associé au groupe de contrôle d'accès IP, puis choisissez

Actions, Mettre à jour les détails. Développez Groupes de contrôle d'accès IP, désélectionnez la casecorrespondant au groupe de contrôle d'accès IP, puis choisissez Mettre à jour et quitter.

4. Dans le volet de navigation, sélectionnez Contrôles d'accès IP.5. Sélectionnez le groupe cible et choisissez Actions, Supprimer un groupe IP.

Configuration du client Zero PCoIPpourWorkSpaces

Les clients PCoIP Zero sont compatibles uniquement avec les bundles WorkSpaces qui utilisent leprotocole PCoIP.

48




Amazon WorkSpaces Guide d'administrationConfigurer Android pour les Chromebooks

Si votre périphérique client Zero dispose de la version 6.0.0 ou ultérieure du microprogramme, vosutilisateurs peuvent se connecter directement à leur WorkSpaces. Sinon, si le microprogramme est comprisentre 4.6.0 et 6.0.0, vous devez configurer le gestionnaire de connexions PCoIP Teradici pour AmazonWorkSpaces et fournir à vos utilisateurs le serveur URIs pour qu'ils se connectent à leur WorkSpaces via legestionnaire de connexions PCoIP Teradici pour Amazon WorkSpaces.

Pour configurer le gestionnaire de connexions PCoIP pour Amazon WorkSpaces sur une instance EC2,accédez à AWS Marketplace et recherchez une Amazon Machine Image (AMI) que vous pouvez utiliserpour lancer une instance avec le gestionnaire de connexions PCoIP. Pour plus d'informations, consultezDéploiement du gestionnaire de connexions PCoIP pour Amazon WorkSpaces dans le PCoIP ConnectionManager User Guide.

Note

Dans l'interface web d'administration (AWI) PCoIP de Teradici ou la console de gestion (MC)PCoIP de Teradici, assurez-vous d'activer le protocole NTP (Network Time Protocol). Pour le nomDNS de l'hôte NTP, utilisez pool.ntp.org et définissez le port hôte NTP sur 123. Si NTP n'estpas activé, les utilisateurs de votre client zéro PCoIP peuvent recevoir des erreurs d'échec decertificat, telles que « Le certificat fourni n'est pas valide en raison de l'horodatage. »

Pour plus d'informations sur la configuration et la connexion avec un périphérique client Zero PCoIP,consultez Client Zero PCoIP dans le document Guide de l'utilisateur Amazon WorkSpaces. Pour obtenirla liste des appareils de client Zero PCoIP approuvés, consultez Clients Zero PCoIP sur le site web deTeradici.

Les clients terminés ne sont pas pris en charge pour une utilisation avec Amazon WorkSpaces.

Configurer Android pour les ChromebooksLa version 2.4.13 est la version finale de l'application cliente Amazon WorkSpaces Chromebook. Étantdonné que Google cesse de prendre en charge les applications Chrome, aucune nouvelle mise à jour nesera apportée à l'application cliente Amazon WorkSpaces Chromebook et son utilisation n'est pas prise encharge.

Pour les Chromebooks qui prennent en charge l'installation d'applications Android, nous vousrecommandons d'utiliser l' application cliente Android Amazon WorkSpaces à la place.

Certains Chromebooks lancés avant 2019 doivent être activés pour installer les applications Androidavant que les utilisateurs puissent installer l'application cliente Amazon WorkSpaces Android. Pour de plusamples informations, veuillez consulter Systèmes Chrome OS prenant en charge les applications Android.

Pour gérer à distance l'activation des Chromebooks de vos utilisateurs pour installer des applicationsAndroid, veuillez consulter Configurer Android sur les appareils Chrome.

Activer et configurer l'accès Web AmazonWorkSpaces

La plupart des bundles WorkSpaces prennent en charge l'accès web Amazon WorkSpaces via lesnavigateurs Chrome ou Firefox. Pour obtenir la liste des WorkSpaces qui prennent en charge l'accès aunavigateur web, consultez « Quelles solutions groupées Amazon WorkSpaces prennent en charge l'accèsweb ? » dans Accès client, Accès web et Expérience utilisateur.

49

https://aws.amazon.com/marketplace/pp/B00O9E9JZ0



https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html

https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients

https://www.teradici.com/resource-center/product-service-finder/pcoip-zero-clients

https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html

https://sites.google.com/a/chromium.org/dev/chromium-os/chrome-os-systems-supporting-android-apps

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html

https://support.google.com/chromebook/answer/7021273


https://support.google.com/chrome/a/topic/9042368

https://aws.amazon.com/workspaces/faqs/#Client_Access.2C_Web_Access.2C_and_User_Experience

Amazon WorkSpaces Guide d'administrationÉtape 1 : Activer l'accès web à votreWorkSpaces

Note

• Un navigateur web ne peut pas être utilisé pour se connecter à Amazon Linux WorkSpaces.• L'accès web n'est actuellement pas pris en charge pour les WorkSpaces qui utilisent

l'WorkSpaces Streaming Protocol (WSP).

Important


Étape 1 : Activer l'accès web à votreWorkSpacesVous contrôlez l'accès web à votre WorkSpaces au niveau du répertoire. Pour chaque annuaire contenantWorkSpaces auquel vous voulez autoriser les utilisateurs à accéder via le client Web Access, procédezcomme suit.

Pour activer l'accès web à votreWorkSpaces

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Choisissez l’annuaire approprié, puis choisissez Actions, Update Details (Mettre à jour les détails).4. Développez Options de contrôle d'accès et recherchez la section Autres plateformes.5. Choisissez Web Access (Accès Web).6. Choisissez Update and Exit (Mettre à jour et quitter).

Étape 2 : Configurer l'accès entrant et sortant auxports pour l'accès WebAmazon WorkSpaces Web Access nécessite un accès entrant et sortant pour certains ports. Pour plusd'informations, consultez Ports pour l'accès web (p. 20).

Étape 3 : Configurer les paramètres de stratégie degroupe et de stratégie de sécurité pour permettre auxutilisateurs de se connecterAmazon WorkSpaces s'appuie sur une configuration d'écran de connexion spécifique pour permettre auxutilisateurs de se connecter à partir de leur client Web Access.

Pour permettre aux utilisateurs Web Access de se connecter à leur WorkSpaces, vous devez configurer unparamètre de stratégie de groupe et trois paramètres de stratégie de sécurité. Si ces paramètres ne sontpas correctement configurés, les utilisateurs peuvent être confrontés à de longs délais de connexion ou àdes écrans noirs lorsqu'ils essaient de se connecter à leur WorkSpaces. Pour configurer ces paramètres,utilisez les procédures suivantes.

Vous pouvez utiliser des objets de stratégie de groupe (GPOs) pour appliquer des paramètres afin de gérerles WorkSpaces Windows ou les utilisateurs qui font partie de votre annuaire WorkSpaces Windows. Nousvous recommandons de créer une unité d'organisation pour vos objets ordinateur WorkSpaces et une unitéd'organisation pour vos objets utilisateur WorkSpaces.

50


Amazon WorkSpaces Guide d'administrationÉtape 3 : Configurer les paramètres de stratégie

de groupe et de stratégie de sécurité pourpermettre aux utilisateurs de se connecter

Pour plus d'informations sur l'utilisation des outils d'administration Active Directory pour travailler avecGPOs, consultez Installation des outils d'administration Active Directory dans le AWS Directory ServiceAdministration Guide.

Pour activer l'agent de connexion WorkSpaces pour changer d'utilisateur

Dans la plupart des cas, lorsqu'un utilisateur tente de se connecter à un WorkSpace, le champ de nomd'utilisateur est prérempli avec le nom de cet utilisateur. Toutefois, si un administrateur a établi uneconnexion RDP au WorkSpace pour effectuer des tâches de maintenance, le champ de nom d'utilisateurest rempli avec le nom de l'administrateur.

Pour éviter ce problème, désactivez le paramètre de stratégie de groupe Hide entry points for FastUser Switching (Masquer les points d'entrée pour accélérer le changement d'utilisateur). Lorsque vousdésactivez ce paramètre, l'agent de connexion WorkSpaces peut utiliser le bouton Switch User (Changerd'utilisateur) pour renseigner le champ de nom d'utilisateur avec le nom correct.

1. Ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à et sélectionnez un objet destratégie de groupe au niveau du domaine ou du contrôleur de domaine du répertoire que vous utilisezpour votre WorkSpaces. (Si le modèle d'administration de stratégie de groupe Amazon WorkSpacesest installé dans votre domaine, vous pouvez utiliser l'objet de stratégie de groupe (p. 97) pour voscomptes de machine WorkSpaces.)WorkSpaces

2. Choisissez Action, Edit (Modifier) dans le menu principal.3. Dans l'éditeur de gestion des stratégies de groupe, choisissez Computer Configuration (Configuration

de l’ordinateur), Policies (Stratégies), Administrative Templates 5Modèle administratifs), System etLogon (Connexion).

4. Ouvrez le paramètre Hide entry points for Fast User Switching (Masquer les points d'entrée pouraccélérer le changement d'utilisateur).

5. Dans la boîte de dialogue Hide entry points for Fast User Switching (Masquer les points d'entrée pouraccélérer le changement d'utilisateur), choisissez Disabled (Désactivé), puis OK.

Pour masquer le dernier nom d'utilisateur connecté

Par défaut, la liste des derniers utilisateurs connectés s'affiche au lieu du bouton Switch User (Changerd'utilisateur). En fonction de la configuration de WorkSpace, la liste peut ne pas afficher la vignette OtherUser (Autre utilisateur). Lorsque cette situation se produit, si le nom d'utilisateur prérempli n'est pas correct,l'agent de connexion WorkSpaces ne peut pas remplir le champ avec le nom correct.

Pour éviter ce problème, activez le paramètre de stratégie de sécurité Interactive logon: Don't displaylast signed-in (Connexion interactive : Ne pas afficher la dernière connexion) ou Interactive logon: Do notdisplay last user name (Connexion interactive : Ne pas afficher le dernier nom d'utilisateur) (en fonction dela version de Windows que vous utilisez).

1. Ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à et sélectionnez un objet destratégie de groupe au niveau du domaine ou du contrôleur de domaine du répertoire que vous utilisezpour votre WorkSpaces. (Si le modèle d'administration de stratégie de groupe Amazon WorkSpacesest installé dans votre domaine, vous pouvez utiliser l'objet de stratégie de groupe (p. 97) pour voscomptes de machine WorkSpaces.)WorkSpaces


de l’ordinateur), Windows Settings (Paramètres Windows), Security Settings (Paramètres de sécurité),Local Policies (Stratégies locales) et Security Options (Options de sécurité).

4. Ouvrez l'un des paramètres suivants :

• Pour Windows 7 — Interactive logon: Don't display last signed-in (Connexion interactive : Ne pasafficher le dernier connecté)

51

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html

Amazon WorkSpaces Guide d'administrationÉtape 3 : Configurer les paramètres de stratégie

de groupe et de stratégie de sécurité pourpermettre aux utilisateurs de se connecter

• Pour Windows 10 — Interactive logon: Do not display last user name (Connexion interactive : Nepas afficher le dernier nom d'utilisateur connecté)

5. Dans la boîte de dialogue Properties (Propriétés) pour le paramètre, choisissez Enabled (Activé), puisOK.

Pour demander d'appuyer sur CTRL+ALT+SUPPR avant que les utilisateurs puissent se connecter

Pour l'accès web WorkSpaces, vous devez exiger que les utilisateurs appuient sur CTRL+ALT+SUPPRavant de pouvoir se connecter. Exiger que les utilisateurs appuient sur CTRL+ALT+SUPPR avant de seconnecter garantit qu’ils utilisent un chemin de confiance lorsqu'ils entrent leurs mots de passe.

1. Ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à un objet de stratégie degroupe et sélectionnez-le au niveau du domaine ou du contrôleur de domaine du répertoire quevous utilisez pour votre WorkSpaces. (Si le modèle d'administration de stratégie de groupe AmazonWorkSpaces est installé dans votre domaine, vous pouvez utiliser l'objet de stratégie de groupe (p. 97) pour vos comptes de machine WorkSpaces.)WorkSpaces



4. Ouvrez le paramètre Interactive logon: Do not require CTRL+ALT+DEL (Connexion interactive : Nepas exiger CTRL+ALT+SUPPR).

5. Dans l'onglet Local Security Setting (Paramètre de sécurité locale) choisissez Disbaled (Désactivé),puis OK.

Pour afficher les informations relatives au domaine et à l'utilisateur lorsque la session estverrouillée

L'agent de connexion WorkSpaces recherche le nom et le domaine de l'utilisateur. Une fois ce paramètreconfiguré, l'écran de verrouillage affiche le nom complet de l'utilisateur (s'il est spécifié dans ActiveDirectory), son nom de domaine et son nom d'utilisateur.

1. Ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à un objet de stratégie degroupe et sélectionnez-le au niveau du domaine ou du contrôleur de domaine du répertoire quevous utilisez pour votre WorkSpaces. (Si le modèle d'administration de stratégie de groupe AmazonWorkSpaces est installé dans votre domaine, vous pouvez utiliser l'objet de stratégie de groupe (p. 97) pour vos comptes de machine WorkSpaces.)WorkSpaces



4. Ouvrez le paramètre Interactive logon: Display user information when the session is locked (Connexioninteractive : Afficher les informations utilisateur lorsque la session est verrouillée).

5. Dans l'onglet Local Security Setting (Paramètre de sécurité locale) choisissez User display name,domain and user names (Nom d'affichage de l'utilisateur, noms de domaine et d'utilisateur), puis OK.

Pour appliquer les modifications apportées aux paramètres de stratégie de groupe et de stratégie desécurité

Les modifications apportées aux paramètres de stratégie de groupe et de stratégie de sécurité prennenteffet après la mise à jour suivante de la stratégie de groupe pour l'WorkSpace et après le redémarrage dela session WorkSpace. Pour appliquer les modifications apportées à la stratégie de groupe et à la stratégiede sécurité dans les procédures précédentes, effectuez l'une des opérations suivantes :

52

Amazon WorkSpaces Guide d'administrationChiffrement de point de terminaison FIPS

• Redémarrez l'WorkSpace (dans la console Amazon WorkSpaces, sélectionnez l'WorkSpace, puischoisissez Actions, Redémarrer WorkSpaces).

• À partir d'une invite de commande administrative, entrez gpupdate /force.

Configuration de Amazon WorkSpaces pourl'autorisation FedRAMP ou la conformité SRGDoD

Pour respecter le Federal Risk and Authorization Management Program (FedRAMP<gls id=1>) oule Department of Defense (DoD) Cloud Computing Security Requirements Guide (SRG), vous devezconfigurer Amazon WorkSpaces pour utiliser le chiffrement des points de terminaison FIPS (FederalInformation Processing Standards) au niveau de l'annuaire.</gls> Vous devez également utiliser une régionAWS des États-Unis qui dispose d'une autorisation FedRAMP ou qui est conforme au SRG d'DoD.

Le niveau d'autorisation FedRAMP (Modéré ou Élevé) ou DoD SRG Impact Level (2, 4 ou 5) dépend dela région AWS des États-Unis dans laquelle Amazon WorkSpaces est utilisé. Pour connaître les niveauxd'autorisation FedRAMP et de conformité aux exigences de sécurité (SRG) DoD qui s'appliquent à chaquerégion, consultez Services AWS concernés par le programme de conformité.

Note

Outre l'utilisation du chiffrement de point de terminaison FIPS, vous pouvez également chiffrervotre WorkSpaces. Pour plus d'informations, consultez ChiffréWorkSpaces (p. 120).

Requirements

• Vous devez créer votre WorkSpaces dans une région AWS des États-Unis qui dispose d'une autorisationFedRAMP ou qui est DoDconforme à SRG.

• Le répertoire WorkSpaces doit être configuré pour utiliser le Mode validation FIPS 140-2 pour lechiffrement du point de terminaison.

Note

Pour que vous puissiez utiliser le paramètre Mode validation FIPS 140-2, le répertoireWorkSpaces doit être nouveau ou tous les WorkSpaces existants du répertoire doivent utiliser leMode validation FIPS 140-2 pour le chiffrement du point de terminaison. Sinon, vous ne pouvezpas utiliser ce paramètre, et par conséquent l'WorkSpaces que vous créez ne respectera pasles exigences de sécurité FedRAMP ou DoD.

• Les utilisateurs doivent accéder à leur WorkSpaces à partir de l'une des applications clientesWorkSpaces suivantes :• Windows : 2.4.3 ou version ultérieure• macOS : 2.4.3 ou version ultérieure• Linux : 3.0.0 ou version ultérieure• iOS : 2.4.1 ou version ultérieure• Android : 2.4.1 ou version ultérieure• Fire Tablet : 2.4.1 ou version ultérieure• ChromeOS : 2.4.1 ou version ultérieure

Pour utiliser le chiffrement de point de terminaison FIPS

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Vérifiez que le répertoire dans lequel vous souhaitez créer les FedRAMP autorisées pour DoD et

conformes pour WorkSpaces SRG n'est associé à aucun WorkSpaces existant. Si des WorkSpaces

53

https://aws.amazon.com/compliance/fedramp/

https://aws.amazon.com/compliance/dod/

https://aws.amazon.com/compliance/services-in-scope/




Amazon WorkSpaces Guide d'administrationActiver des connexions SSH

sont associés à l'annuaire et que l'annuaire n'est pas déjà activé pour utiliser le mode validation FIPS140-2, arrêtez l'WorkSpaces ou créez un nouvel annuaire.

4. Choisissez l'annuaire qui répond aux critères ci-dessus, puis choisissez Actions, Update Details(Mettre à jour les détails).

5. Sur la page Mettre à jour les détails de l'annuaire, choisissez la flèche pour développer la sectionOptions de contrôle d'accès.

6. Pour Chiffrement de point de terminaison, choisissez Mode validation FIPS 140-2 au lieu du Mode dechiffrement TLS (standard).

7. Choisissez Update and Exit (Mettre à jour et quitter).8. Vous pouvez désormais créer à partir de ce répertoire des fichiers WorkSpaces autorisés et conformes

au SRG FedRAMP.DoD Pour accéder à ces WorkSpaces, les utilisateurs doivent utiliser l'une desapplications clientes WorkSpaces répertoriées précédemment dans la section Exigences (p. 53).

Activer les connexions SSH pour votre WorkSpacesLinux

Si vous ou vos utilisateurs souhaitez vous connecter à votre Amazon Linux WorkSpaces à l'aide de la lignede commande, vous pouvez activer les connexions SSH. Vous pouvez activer les connexions SSH à tousles WorkSpaces d'un annuaire ou à des WorkSpaces individuels d'un annuaire.

Pour activer les connexions SSH, vous devez créer un nouveau groupe de sécurité ou mettre à jour ungroupe de sécurité existant et ajouter une règle pour autoriser le trafic entrant à cette fin. Les groupesde sécurité font office de pare-feu pour les instances associées, en contrôlant le trafic entrant et le traficsortant au niveau de l'instance. Une fois que vous avez créé ou mis à jour votre groupe de sécurité, vosutilisateurs et d'autres peuvent utiliser PuTTY ou d'autres terminaux pour se connecter à votre AmazonLinux WorkSpaces à partir de leurs appareils.

Pour accéder à un didacticiel vidéo, consultez Comment puis-je me connecter à mon WorkSpaces Linux àl'aide de SSH ? dans le Centre de connaissances AWS.

Sommaire• Conditions préalables pour les connexions SSH à Amazon Linux WorkSpaces (p. 54)• Activation des connexions SSH à tous les Amazon Linux WorkSpaces d'un annuaire (p. 56)• Activer les connexions SSH à une Amazon Linux WorkSpace spécifique (p. 56)• Se connecter à un Amazon Linux WorkSpace en utilisant Linux ou PuTTY (p. 57)

Conditions préalables pour les connexions SSH àAmazon Linux WorkSpaces• Activation du trafic SSH entrant vers une WorkSpace — Pour ajouter une règle autorisant le trafic

SSH entrant vers une ou plusieurs Amazon Linux WorkSpaces, assurez-vous que vous disposezdes adresses IP publiques ou privées des appareils qui nécessitent des connexions SSH à votreWorkSpaces. Par exemple, vous pouvez spécifier les adresses IP publiques des appareils en dehors devotre Virtual Private Cloud (VPC) ou l'adresse IP privée d'une autre instance EC2 dans le même VPCque votre WorkSpace.

Si vous prévoyez de vous connecter à une WorkSpace à partir de votre appareil local, vous pouvezutiliser l'expression de recherche « quelle est mon adresse IP » dans un navigateur Internet ou utiliser leservice suivant : Check IP (Vérifier l'adresse IP).

54

https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/

https://aws.amazon.com/premiumsupport/knowledge-center/linux-workspace-ssh/

https://checkip.amazonaws.com/

Amazon WorkSpaces Guide d'administrationConditions préalables pour les connexions

SSH à Amazon Linux WorkSpaces

• Connexion à une WorkSpace — Les informations suivantes sont requises pour initier une connexionSSH d'un appareil à une Amazon Linux WorkSpace.• Le nom NetBIOS du domaine Active Directory auquel vous êtes connecté.• Votre nom d'utilisateur WorkSpace.• Adresse IP publique ou privée du WorkSpace auquel vous souhaitez vous connecter.

Privé : si votre VPC est attaché à un réseau d'entreprise et que vous avez accès à ce réseau, vouspouvez spécifier l'adresse IP privée du WorkSpace.

Public : si votre WorkSpace possède une adresse IP publique, vous pouvez utiliser la consoleWorkSpaces pour trouver l'adresse IP publique, comme décrit dans la procédure suivante.

Pour trouver les adresses IP de la Amazon Linux WorkSpace à laquelle vous souhaitez vousconnecter et votre nom d'utilisateur

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Dans la liste des WorkSpaces, choisissez l'WorkSpace pour lequel vous souhaitez activer les

connexions SSH.4. Dans la colonne Running mode (Mode d'exécution), vérifiez que le statut de WorkSpace est Available

(Disponible).5. Cliquez sur la flèche située à gauche du nom du WorkSpace pour afficher le récapitulatif en ligne et

notez les informations suivantes :

• L'adresse IP WorkSpace. Il s'agit de l'adresse IP privée du WorkSpace.

L'adresse IP privée est requise pour obtenir l'interface réseau Elastic associée au WorkSpace.L'interface réseau est requise pour récupérer des informations telles que le groupe de sécurité oul'adresse IP publique associée au WorkSpace.

• Le WorkSpacenom d'utilisateur. Il s'agit du nom d'utilisateur que vous spécifiez pour vous connecterau WorkSpace.

6. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.7. Dans le volet de navigation, choisissez Network Interfaces.8. Dans la zone de recherche, tapez l'adresse IP WorkSpace que vous avez notée à l'étape 5.9. Sélectionnez l'interface réseau associée à l'adresse IP WorkSpace.10. Si votre WorkSpace possède une adresse IP publique, elle s'affiche dans la colonne IP publique IPv4.

Notez cette adresse, le cas échéant.

Pour trouver le nom NetBIOS du domaine Active Directory auquel vous êtes connecté

1. Ouvrez la console AWS Directory Service à l'adresse https://console.aws.amazon.com/directoryservicev2/.

2. Dans la liste des annuaires, cliquez sur le lien ID d'annuaire de l'annuaire de l'WorkSpace.3. Dans la section Directory details (Détails de l'annuaire), notez le Directory NetBIOS name (Nom de

l'annuaire).

55



https://console.aws.amazon.com/directoryservicev2/


Amazon WorkSpaces Guide d'administrationActivation des connexions SSH à tous lesAmazon Linux WorkSpaces d'un annuaire

Activation des connexions SSH à tous les AmazonLinux WorkSpaces d'un annuairePour activer les connexions SSH à toutes les Amazon Linux WorkSpaces d'un annuaire, procédez commesuit.

Pour créer un groupe de sécurité avec une règle pour autoriser le trafic SSH entrant vers tous lesAmazon Linux WorkSpaces d'un annuaire

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, choisissez Groupes de sécurité.3. Sélectionnez Create Security Group.4. Entrez un nom et une description (facultative) pour votre groupe de sécurité.5. Pour VPC, choisissez le VPC qui contient l'WorkSpaces pour lequel vous souhaitez activer les

connexions SSH.6. Dans l'onglet Entrant, choisissez Ajouter une règle, puis effectuez les opérations suivantes :

• Pour Type, choisissez SSH.• Dans Protocol (Protocole), TCP est automatiquement spécifié lorsque vous choisissez SSH.• Dans Port Range (Plage de ports), 22 est automatiquement spécifié lorsque vous choisissez SSH.• Pour Source, choisissez Mon IP ou Personnalisé, et spécifiez une seule adresse IP ou une plage

d'adresses IP en notation CIDR. Par exemple, si votre adresse IPv4 est 203.0.113.25, spécifiez203.0.113.25/32 pour répertorier cette seule adresse IPv4 en notation CIDR. Si votre entreprisealloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24.

• Pour Description (facultatif), saisissez une description pour la règle.7. Sélectionnez Créer.

Activer les connexions SSH à une Amazon LinuxWorkSpace spécifiquePour activer les connexions SSH à une Amazon Linux WorkSpace spécifique, procédez comme suit.

Pour ajouter une règle à un groupe de sécurité existant afin d'autoriser le trafic SSH entrant versun Amazon Linux WorkSpace spécifique

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le panneau de navigation, sous Network & Security (Réseau et sécurité), choisissez Network

Interfaces (Interfaces réseau).3. Dans la barre de recherche, tapez l'adresse IP privée de l'WorkSpace pour laquelle vous souhaitez

activer les connexions SSH.4. Dans la colonne Groupes de sécurité, cliquez sur le lien du groupe de sécurité.5. Dans l'onglet Entrant, choisissez Modifier.6. Choisissez Ajouter une règle, puis effectuez les opérations suivantes :

• Pour Type, choisissez SSH.• Dans Protocol (Protocole), TCP est automatiquement spécifié lorsque vous choisissez SSH.• Dans Port Range (Plage de ports), 22 est automatiquement spécifié lorsque vous choisissez SSH.• Pour Source, choisissez Mon IP ou Personnalisé, et spécifiez une seule adresse IP ou une plage

d'adresses IP en notation CIDR. Par exemple, si votre adresse IPv4 est 203.0.113.25, spécifiez

56



Amazon WorkSpaces Guide d'administrationSe connecter à un Amazon Linux

WorkSpace en utilisant Linux ou PuTTY

203.0.113.25/32 pour répertorier cette seule adresse IPv4 en notation CIDR. Si votre entreprisealloue des adresses à partir d'une plage, spécifiez la plage complète, telle que 203.0.113.0/24.

• Pour Description (facultatif), saisissez une description pour la règle.7. Choisissez Enregistrer.

Se connecter à un Amazon Linux WorkSpace enutilisant Linux ou PuTTYUne fois que vous avez créé ou mis à jour votre groupe de sécurité et ajouté la règle requise, vosutilisateurs et d'autres peuvent utiliser Linux ou PuTTY pour se connecter à votre WorkSpaces à partir deleurs appareils.

Note

Avant d'exécuter l'une des procédures suivantes, assurez-vous de disposer des élémentssuivants :

• Le nom NetBIOS du domaine Active Directory auquel vous êtes connecté.• Le nom d'utilisateur que vous utilisez pour vous connecter au WorkSpace.• Adresse IP publique ou privée du WorkSpace auquel vous souhaitez vous connecter.

Pour obtenir des instructions sur la façon d'obtenir ces informations, consultez la section «Prérequis pour les connexions SSH à Amazon Linux WorkSpaces » plus haut dans cette rubrique.

Pour se connecter à un Amazon Linux WorkSpace à l'aide de Linux

1. Ouvrez l'invite de commande en tant qu'administrateur, puis entrez la commande suivante : DansNetBIOS name, Username, et WorkSpace IP, entrez les valeurs applicables.

ssh "NetBIOS_NAME\Username"@WorkSpaceIP

Voici un exemple de commande SSH où :

• La commande NetBIOS_NAME est anycompany• La commande Username est janedoe• La commande WorkSpace IP est 203.0.113.25

ssh "anycompany\janedoe"@203.0.113.25

2. Lorsque vous y êtes invité, saisissez le même mot de passe que celui que vous utilisez lors del'authentification auprès du client WorkSpaces (votre mot de passe Active Directory).

Pour se connecter à un Amazon Linux WorkSpace à l'aide dePuTTY

1. Ouvrez PuTTY.2. Dans la boîte de dialogue Configuration d'PuTTY, procédez comme suit :

• Pour Host Name (or IP address) (Nom d'hôte (ou adresse IP)), entrez la commande suivante.Remplacez les valeurs par le nom NetBIOS du domaine Active Directory auquel vous êtes connecté,le nom d'utilisateur que vous utilisez pour vous connecter à la WorkSpace et l'adresse IP de laWorkSpace à laquelle vous souhaitez vous connecter.

57

Amazon WorkSpaces Guide d'administrationConfiguration requise

NetBIOS_NAME\Username@WorkSpaceIP

• Pour Port, entrez 22.• Pour Connection type (Type de connexion), choisissez SSH.

Pour obtenir un exemple de commande SSH, consultez l'étape 1 de la procédure précédente.3. Choisissez Open.4. Lorsque vous y êtes invité, saisissez le même mot de passe que celui que vous utilisez lors de

l'authentification auprès du client WorkSpaces (votre mot de passe Active Directory).

Composants de configuration et de service requispour WorkSpaces

En tant qu'administrateur WorkSpace, vous devez comprendre les éléments suivants à propos de laconfiguration requise et des composants de service.

Configuration de table de routage requiseNous vous recommandons de ne pas modifier la table de routage au niveau du système d'exploitationpour une WorkSpace. Le service WorkSpaces nécessite les routes préconfigurées dans cette tablepour surveiller l'état du système et mettre à jour les composants système. Si la table de routage doitêtre modifiée pour votre organisation, contactez AWS Support ou votre équipe de compte AWS avantd'appliquer des modifications.

Composants de service requisLes composants de service sont installés dans les emplacements suivants sous Windows WorkSpaces.Vous ne devez pas supprimer, modifier, bloquer ou mettre en quarantaine ces objets. Dans ce cas,l'WorkSpace ne fonctionnera pas correctement.

Note

Si un logiciel antivirus est installé sur l'WorkSpace, excluez les emplacements suivants.

• C:\Program Files\Amazon• C:\Program Files (x86)\Teradici• C:\ProgramData\Amazon• C:\ProgramData\Teradici

Sur Amazon Linux WorkSpaces, les composants de service sont installés dans les emplacements suivants.Vous ne devez pas supprimer, modifier, bloquer ou mettre en quarantaine ces objets. Dans ce cas, leWorkSpace ne fonctionnera pas correctement.

• /etc/dhcp/dhclient.conf• /etc/os-release• /etc/pam.d/pcoip• /etc/pam.d/pcoip-session• /etc/profile.d/system-restart-check.sh• /etc/X11/default-display-manager

58

Amazon WorkSpaces Guide d'administrationComposants de service requis

• /etc/yum/pluginconf.d/halt_os_update_check.conf• /usr/lib/pcoip-agent• /usr/lib/skylight• /usr/lib/systèmed/système/pcoip.service• /usr/lib/systèmed/système/pcoip.service.d/• /usr/lib/systemd/system/skylight-agent.service• /usr/lib/yum-plugins/halt_os_update_check.py• /var/lib/pcoip-agent• /var/lib/skylight• /var/log/pcoip-agent• /var/log/skylight

59


Gérer des annuaires pour AmazonWorkSpaces

Amazon WorkSpaces utilise un annuaire pour stocker et gérer les informations de vos utilisateurs et de vosWorkSpaces. Vous pouvez utiliser l'une des options suivantes :

• AD Connector — Utilisez votre annuaire Microsoft Active Directory sur site existant. Les utilisateurspeuvent se connecter à leur WorkSpaces à l'aide de leurs informations d'identification sur site et accéderaux ressources sur site à partir de leur WorkSpaces.

• Microsoft AD — Créez un annuaire Microsoft Active Directory hébergé sur AWS.• Simple AD — Créez un annuaire compatible avec Microsoft Active Directory alimenté par Samba 4 et

hébergé sur AWS.• Approbation croisée — Créez une relation d'approbation entre votre annuaire Microsoft AD et votre

domaine sur site.

Pour obtenir des didacticiels qui montrent comment configurer ces répertoires et lancer WorkSpaces,consultez Lancer un bureau virtuel avec Amazon WorkSpaces (p. 75).

Après avoir créé un annuaire, vous exécuterez la plupart des tâches d'administration d'annuaire avecdes outils comme les outils d'administration Active Directory. Vous pouvez exécuter certaines tâchesd'administration d'annuaire avec la console Amazon WorkSpaces et d'autres tâches à l'aide de la stratégiede groupe. Pour de plus amples informations sur la gestion des utilisateurs et des groupes, veuillezconsulter Gérer les utilisateursWorkSpaces (p. 89) et Configurer des outils d'administration ActiveDirectory pour Amazon WorkSpaces (p. 72).

Note

• Les annuaires partagés ne sont actuellement pas pris en charge pour fonctionner avec AmazonWorkSpaces.

• Si vous configurez votre annuaire AWS Managed Microsoft AD pour la réplication sur plusieursrégions, seul l'annuaire de la région principale peut être enregistré pour une utilisation avecAmazon WorkSpaces. Les tentatives d'enregistrement de l'annuaire dans une région répliquéepour une utilisation avec Amazon WorkSpaces échoueront. La réplication multi-régions avecAWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avec AmazonWorkSpaces dans les régions répliquées.

Sommaire• Enregistrer un annuaire auprès de Amazon WorkSpaces (p. 61)• Mise à jour des détails de l'annuaire pour votreWorkSpaces (p. 62)• Mise à jour des serveurs DNS pourAmazon WorkSpaces (p. 65)• Suppression de l'annuaire pour votreWorkSpaces (p. 70)• Activer Amazon WorkDocs pour Microsoft Active Directory (p. 71)• Configurer des outils d'administration Active Directory pour Amazon WorkSpaces (p. 72)

60

Amazon WorkSpaces Guide d'administrationEnregistrer un annuaire

Enregistrer un annuaire auprès de AmazonWorkSpaces

Pour autoriser Amazon WorkSpaces à utiliser un annuaire AWS Directory Service existant, vous devezl'enregistrer auprès de Amazon WorkSpaces. Une fois que vous avez enregistré un annuaire, vous pouvezlancer WorkSpaces dans l'annuaire.

Note

Simple AD et AD Connector sont mis gratuitement à votre disposition avec WorkSpaces. Si aucunWorkSpaces n'est utilisé avec votre annuaire Simple AD ou AD Connector pendant 30 joursconsécutifs, cet annuaire sera automatiquement désinscrit pour une utilisation avec AmazonWorkSpaces, et vous serez facturé pour cet annuaire conformément aux conditions de tarificationAWS Directory Service.Pour supprimer des répertoires vides, consultez Suppression de l'annuaire pourvotreWorkSpaces (p. 70). Si vous supprimez votre annuaire Simple AD ou AD Connector, vouspouvez toujours en créer un nouveau lorsque vous souhaitez commencer à utiliser à nouveauWorkSpaces.

Pour enregistrer un annuaire

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire.4. Choisissez Actions, Enregistrer.

Note

Si votre annuaire AWS Managed Microsoft AD a été configuré pour la réplication dansplusieurs régions, seul l'annuaire de la région principale peut être enregistré pour uneutilisation avec Amazon WorkSpaces. Les tentatives d'enregistrement de l'annuaire dans unerégion répliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplicationmulti-régions avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisationavec Amazon WorkSpaces dans les régions répliquées.

5. Sélectionnez deux sous-réseaux qui ne sont pas issus de la même zone de disponibilité.6. Pour Enable Self Service Permissions (Activer les autorisations en libre-service), choisissez Yes (Oui)

pour permettre à vos utilisateurs de reconstruire leurs WorkSpaces, de modifier la taille du volume, letype de calcul et le mode d'exécution. L'activation de cette fonction peut avoir un impact sur le prix quevous payez pour Amazon WorkSpaces. Sinon, choisissez Non.

7. Pour Activer Amazon WorkDocs, choisissez Oui pour enregistrer l'annuaire à utiliser avec AmazonWorkDocs ou Non dans le cas contraire.

Note

Cette option s'affiche uniquement si Amazon WorkDocs est disponible dans la région et sivous n'utilisez pas Microsoft Active Directory (AD). Si vous utilisez Microsoft AD, terminezl'enregistrement de votre annuaire, puis consultez Activer Amazon WorkDocs pour MicrosoftActive Directory (p. 71).

8. Choisissez Register. Initialement la valeur de Registered (Enregistré) est REGISTERING. Une foisl'enregistrement terminé, la valeur est Yes.

Lorsque vous n'avez plus besoin d'utiliser l'annuaire avec Amazon WorkSpaces, vous pouvez annulerson enregistrement. Notez que vous devez annuler l'enregistrement d'un annuaire avant de pouvoir lesupprimer. Si vous souhaitez désenregistrer et supprimer un répertoire, vous devez d'abord rechercher et

61

http://aws.amazon.com/directoryservice/pricing/



Amazon WorkSpaces Guide d'administrationMettre à jour les détails de l'annuaire

supprimer l’ensemble des applications et des services qui sont enregistrés dans le répertoire. Pour plusd'informations, consultez Suppression de votre annuaire dans le AWS Directory Service AdministrationGuide.

Pour annuler l'enregistrement d'un annuaire

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire.4. Choisissez Actions, Annuler l'enregistrement.5. Lorsque vous êtes invité à confirmer l'opération, choisissez Annuler l'enregistrement. Une fois

l'enregistrement annulé, la valeur de Membre est No.

Mise à jour des détails de l'annuaire pourvotreWorkSpaces

Vous pouvez exécuter les tâches de gestion d'annuaire suivantes avec la console Amazon WorkSpaces

Tâches• Sélectionnez une unité d'organisation (p. 62)• Configurer les adresses IP automatiques (p. 63)• Contrôler l'accès à l'appareil (p. 63)• Gérer des autorisations d'administrateur local (p. 64)• Mettre à jour le compte du connecteur AD (Connecteur AD) (p. 64)• Multi-Factor Authentication (Connecteur AD) (p. 64)

Sélectionnez une unité d'organisationLes comptes de machine WorkSpace sont placés dans l'unité d'organisation (UO) par défaut pour lerépertoire WorkSpaces. Initialement, les comptes de machine sont placés dans l'unité d'organisationdes ordinateurs de votre annuaire ou l'annuaire auquel votre connecteur AD est connecté. Vous pouvezsélectionner une autre unité d'organisation à partir de votre annuaire ou annuaire connecté, ou spécifierune unité d'organisation dans un autre domaine cible. Notez que vous ne pouvez sélectionner qu'une seuleunité d'organisation par annuaire.

Une fois que vous avez sélectionné une nouvelle unité d'organisation, les comptes de machine pour toutesles WorkSpaces créées ou recréées sont placés dans l'unité d'organisation nouvellement sélectionnée.

Pour sélectionner une unité d'organisation

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Domaine cible et unité d'organisation.5. Pour trouver une unité d'organisation, vous pouvez saisir son nom complet ou une partie et choisir

Rechercher une unité d'organisation. Sinon, vous pouvez choisir List all OU pour répertorier tous lesOUs.

6. Sélectionnez l'unité d'organisation et choisissez Mettre à jour et quitter.7. (Facultatif) Générez à nouveau l'WorkSpaces existant pour mettre à jour l'unité d'organisation. Pour

plus d'informations, consultez Recréer une WorkSpace (p. 128).

62

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html



Amazon WorkSpaces Guide d'administrationConfigurer les adresses IP automatiques

Pour spécifier un domaine cible et l'unité d'organisation

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Domaine cible et unité d'organisation.5. Pour Unité d'organisation sélectionnée, saisissez le nom unique LDAP complet pour le

domaine cible et l'unité d'organisation, puis choisissez Mettre à jour et quitter. Par exemple,OU=WorkSpaces_machines,DC=machines,DC=example,DC=com.

6. (Facultatif) Générez à nouveau l'WorkSpaces existant pour mettre à jour l'unité d'organisation. Pourplus d'informations, consultez Recréer une WorkSpace (p. 128).

Configurer les adresses IP automatiquesUne fois que vous avez activé l'affectation automatique des adresses IP Elastic, chaque WorkSpace quevous lancez se voit attribuer une adresse IP Elastic (une adresse IP publique statique) à partir du poold'adresses IP Elastic fourni par Amazon. Ces adresses IP Elastic permettent à WorkSpaces des sous-réseaux publics d'accéder à Internet. Les WorkSpaces qui existent déjà avant l'activation de l'affectationautomatique ne reçoivent pas d'adresse IP Elastic tant que vous ne les reconstruisez pas.

Notez que vous n'avez pas besoin d'activer l'affectation automatique d'adresses IP Elastic si votreWorkSpaces se trouve dans des sous-réseaux privés et que vous avez configuré une passerelle NAT pourle Virtual Private Cloud (VPC), ou si votre WorkSpaces se trouve dans des sous-réseaux publics et quevous avez affecté manuellement des adresses IP Elastic. Pour plus d'informations, consultez Configurer unVPC pour Amazon WorkSpaces (p. 10).

Warning

Si vous associez une adresse IP Elastic que vous possédez à un WorkSpace et que vousdissociez ensuite cette adresse IP Elastic de l'WorkSpace, l'WorkSpace perd son adresse IPpublique et n'en obtient pas automatiquement une nouvelle à partir du pool fourni par Amazon.Pour associer une nouvelle adresse IP publique du groupe fourni par Amazon à l'WorkSpace,vous devez recréer l'WorkSpace (p. 128). Si vous ne souhaitez pas recréer l'WorkSpace, vousdevez associer une autre adresse IP Elastic que vous possédez à l'WorkSpace.

Pour configurer des adresses IP Elastic

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire de votre WorkSpaces.4. Choisissez Actions, Mettre à jour les détails.5. Développez Accès à Internet et sélectionnez Activer ou Désactiver.6. Sélectionnez Mise à jour.

Contrôler l'accès à l'appareilVous pouvez spécifier les types d'appareils qui ont accès à WorkSpaces. En outre, vous pouvez restreindrel'accès à WorkSpaces aux appareils approuvés (également appelés appareils gérés).

Pour contrôler l'accès de l'appareil àWorkSpaces

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).

63





Amazon WorkSpaces Guide d'administrationGérer des autorisations d'administrateur local

3. Sélectionnez l'annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Options de contrôle d'accès et recherchez la section Autres plateformes. Par défaut, les

clients WorkSpaces Web Access et Linux sont désactivés, et les utilisateurs peuvent accéder à leurWorkSpaces à partir de leurs appareils iOS, Android, Chromebooks et PCoIP de zéro appareil client.

5. Sélectionnez les types d'appareils à activer et effacez ceux à désactiver. Pour bloquer l'accès à partirde tous les types d'appareils sélectionnés, choisissez Bloc.

6. (Facultatif) Vous pouvez également restreindre l'accès aux appareils approuvés uniquement. Pour plusd'informations, consultez Restreindre l'accès d'WorkSpaces aux appareils approuvés (p. 36).

7. Choisissez Update and Exit (Mettre à jour et quitter).

Gérer des autorisations d'administrateur localVous pouvez spécifier si les utilisateurs sont des administrateurs locaux sur leur WorkSpaces, ce qui leurpermet d'installer l'application et de modifier les paramètres sur leur WorkSpaces. Les utilisateurs sont desadministrateurs locaux par défaut. Si vous modifiez ce paramètre, la modification s'applique à toutes lesnouvelles WorkSpaces que vous créez et toutes les WorkSpaces que vous reconstruisez.

Pour modifier les autorisations d'administrateur local

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Paramètre d'administrateur local.5. Pour veiller à ce que les utilisateurs soient des administrateurs locaux choisissez Activer. Dans le cas

contraire, choisissez Disable.6. Choisissez Update and Exit (Mettre à jour et quitter).

Mettre à jour le compte du connecteur AD (ConnecteurAD)Vous pouvez mettre à jour le compte AD Connector utilisé pour lire les utilisateurs et les groupes, et lier lescomptes de machine Amazon WorkSpaces à l'annuaire de votre AD Connector.

Pour mettre à jour le compte du connecteur AD

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Mettre à jour le compte du connecteur AD.5. Saisissez le nom d'utilisateur et le mot de passe du nouveau compte.6. Choisissez Update and Exit (Mettre à jour et quitter).

Multi-Factor Authentication (Connecteur AD)Vous pouvez activer l'Multi-Factor Authentication (MFA) pour votre annuaire AD Connector.

Note

• Votre serveur RADIUS peut être hébergé par AWS ou il peut se trouver sur site.• Les noms d'utilisateur doivent correspondre entre Active Directory et votre serveur RADIUS.

64



Amazon WorkSpaces Guide d'administrationMise à jour des serveurs DNS pourWorkSpaces

Pour activer Multi-Factor Authentication

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire et choisissez Actions, Mettre à jour les détails.4. Développez Authentification multi-facteurs et sélectionnez Activer l'authentification multi-facteurs.5. Pour Adresse(s) IP du serveur RADIUS, tapez les adresses IP des points de terminaison de votre

serveur RADIUS séparées par des virgules, ou saisissez l'adresse IP de l'Load Balancer de votreserveur RADIUS.

6. Pour Port, tapez le port que votre serveur RADIUS utilise pour les communications. Votre réseausur site doit autoriser le trafic entrant via le port du serveur RADIUS par défaut (1812) depuis ADConnector.

7. Pour Code secret partagé et Confirmer le code secret partagé, tapez le code secret partagé de votreserveur RADIUS.

8. Pour Protocole, choisissez le protocole de votre serveur RADIUS.9. Pour Délai d'attente du serveur, entrez la durée, en secondes, d'attente de la réponse du serveur

RADIUS. La valeur doit être comprise entre 1 et 20.10. Pour Nombre maximum de nouvelles tentatives, tapez le nombre de tentatives pour communiquer

avec le serveur RADIUS. La valeur doit être comprise entre 0 et 10.11. Choisissez Update and Exit (Mettre à jour et quitter).

La Multi-Factor Authentication est disponible lorsque le paramètre Statut RADIUS est Activé. Pendantla configuration de l'authentification multi-facteurs, les utilisateurs ne peuvent pas se connecter à leurWorkSpaces.

Mise à jour des serveurs DNS pourAmazonWorkSpaces

Si vous avez besoin de mettre à jour les adresses IP de serveur DNS pour votre annuaire Active Directoryaprès avoir lancé votre WorkSpaces, vous devez également mettre à jour votre WorkSpaces avec lesnouveaux paramètres du serveur DNS.

Vous pouvez mettre à jour votre WorkSpaces avec les nouveaux paramètres DNS de l'une des manièressuivantes :

• Mettez à jour les paramètres DNS sur l'WorkSpacesavant de mettre à jour les paramètres DNS pourActive Directory.

• Générez à nouveau l'WorkSpaces après la mise à jour des paramètres DNS pour Active Directory.

Nous vous recommandons de mettre à jour les paramètres DNS sur l'WorkSpaces avant de mettre àjour les paramètres DNS dans Active Directory (comme expliqué à l'étape 1 (p. 66) de la procéduresuivante).

Si vous souhaitez plutôt recréer l'WorkSpaces, mettez à jour l'une des adresses IP du serveur DNSdans votre Active Directory (Étape 2 (p. 68)), puis suivez la procédure décrite dans Recréer uneWorkSpace (p. 128) pour recréer votre WorkSpaces. Une fois que vous avez recréé votre WorkSpaces,suivez la procédure décrite à l'étape 3 (p. 68) pour tester les mises à jour de votre serveur DNS. Unefois cette étape terminée, mettez à jour l'adresse IP de votre deuxième serveur DNS dans Active Directory,puis reconstruisez votre WorkSpaces. Veillez à suivre la procédure décrite à l'étape 3 (p. 68) pour tester

65


Amazon WorkSpaces Guide d'administrationBonnes pratiques

votre deuxième mise à jour du serveur DNS. Comme indiqué dans la section Bonnes pratiques (p. 66),nous vous recommandons de mettre à jour les adresses IP de votre serveur DNS l'une après l'autre.

Bonnes pratiquesLorsque vous mettez à jour les paramètres de votre serveur DNS, nous vous recommandons les bonnespratiques suivantes :

• Pour éviter les déconnexions et l'inaccessibilité des ressources de domaine, nous vous recommandonsvivement d'effectuer les mises à jour du serveur DNS pendant les heures creuses ou pendant unepériode de maintenance planifiée.

• Ne lancez pas de nouveaux WorkSpaces au cours des 15 minutes précédentes et des 15 minutessuivant la modification des paramètres de votre serveur DNS.

• Pour mettre à jour les paramètres de votre serveur DNS, modifiez une adresse IP de serveur DNS à lafois. Vérifiez que la première mise à jour est correcte avant de mettre à jour la seconde adresse IP. Nousvous recommandons d'effectuer la procédure suivante (Étape 1 (p. 66), Étape 2 (p. 68) et Étape3 (p. 68)) deux fois pour mettre à jour les adresses IP une par une.

Étape 1 : Mettre à jour les paramètres du serveur DNSsur votre WorkSpacesDans la procédure suivante, les valeurs d'adresse IP du serveur DNS actuel et nouveau sont désignéescomme suit :

• Adresses IP DNS actuelles : OldIP1, OldIP2• Nouvelles adresses IP DNS : NewIP1, NewIP2

Note

Si vous effectuez cette procédure pour la deuxième fois, remplacez OldIP1 par OldIP2 etNewIP1 par NewIP2.

Met à jour les paramètres du serveur DNS pour Windows WorkSpaces.Si vous avez plusieurs WorkSpaces, vous pouvez déployer la mise à jour de registre suivante dans leWorkSpaces en appliquant un objet de stratégie de groupe (GPO) sur l'unité d'organisation Active Directorypour votre WorkSpaces. Pour plus d'informations sur l'utilisation d'GPOs, consultez Gestion de vosWorkSpaces Windows (p. 95).

Vous pouvez effectuer ces mises à jour à l'aide de l'Éditeur du Registre ou en utilisant WindowsPowerShell. Les deux procédures sont décrites dans cette section.

Pour mettre à jour les paramètres de registre DNS à l'aide de l'éditeur du Registre

1. Sur votre WorkSpace Windows, ouvrez la zone de recherche Windows et entrez registry editorpour ouvrir l'Éditeur du Registre (regedit.exe).

2. À la question « Voulez-vous autoriser cette application à apporter des modifications à votreappareil ? », choisissez Oui.

3. Dans l'Éditeur du Registre, accédez à l'entrée de registre suivante :

HKEY_LOCAL_MACHINE\\SOFTWARE\\Amazon\\SkyLight4. Ouvrez la clé de registre DomainJoinDns. Mettez à jour OldIP1 avec NewIP1, puis choisissez OK.5. Fermez l'Éditeur du Registre.

66

Amazon WorkSpaces Guide d'administrationÉtape 1 : Mettre à jour les paramètresdu serveur DNS sur votre WorkSpaces

6. Redémarrez l'WorkSpace ou redémarrez le service SkyLightWorkspaceConfigService.

Note

Une fois que vous avez redémarré le service SkyLightWorkspaceConfigService, la carteréseau peut prendre jusqu'à 1 minute pour refléter la modification.

7. Passez à l'étape 2 (p. 68) et mettez à jour les paramètres de votre serveur DNS dans ActiveDirectory pour remplacer OldIP1 par NewIP1.

Pour mettre à jour les paramètres de registre DNS à l'aide dePowerShell

La procédure suivante utilise les commandes de l'PowerShell pour mettre à jour votre registre etredémarrer le service SkyLightWorkspaceConfigService.

1. Sur votre WorkSpace Windows, ouvrez la zone de recherche Windows et entrez powershell.Choisissez Exécuter en tant qu'administrateur.


3. Dans la fenêtre PowerShell, exécutez la commande suivante pour récupérer les adresses IP duserveur DNS actuel.

Get-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS

Vous devez recevoir la sortie suivante.

DomainJoinDns : OldIP1,OldIP2PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\SkyLightPSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\AmazonPSChildName : SkyLightPSDrive : HKLMPSProvider : Microsoft.PowerShell.Core\Registry

4. Dans la fenêtre PowerShell, exécutez la commande suivante pour remplacer OldIP1 par NewIP1.Veillez à laisser OldIP2 en l'état pour l'instant.

Set-ItemProperty -Path HKLM:\SOFTWARE\Amazon\SkyLight -Name DomainJoinDNS -Value "NewIP1,OldIP2"

5. Exécutez la commande suivante pour redémarrer le service SkyLightWorkspaceConfigService.

restart-service -Name SkyLightWorkspaceConfigService

Note

Une fois que vous avez redémarré le service SkyLightWorkspaceConfigService, la carteréseau peut prendre jusqu'à 1 minute pour refléter la modification.

6. Passez à l'étape 2 (p. 68) et mettez à jour les paramètres de votre serveur DNS dans ActiveDirectory pour remplacer OldIP1 par NewIP1.

Mettre à jour les paramètres du serveur DNS pour Linux WorkSpaces

Si vous avez plusieurs WorkSpace Linux, nous vous recommandons d'utiliser une solution de gestion deconfiguration pour distribuer et appliquer la stratégie. Par exemple, vous pouvez utiliser AWS OpsWorks forChef Automate, AWS for Puppet EnterpriseOpsWorks ou Ansible.

67

https://aws.amazon.com/opsworks/chefautomate/


https://aws.amazon.com/opsworks/puppetenterprise/

https://www.ansible.com/

Amazon WorkSpaces Guide d'administrationÉtape 2 : Mettre à jour les paramètresde serveur DNS pour Active Directory

Pour mettre à jour les paramètres de serveur DNS sur un WorkSpace Linux

1. Sur votre WorkSpace Linux, ouvrez une fenêtre Terminal (Applications > Outils système > MATETerminal).

2. Utilisez la commande Linux suivante pour modifier le fichier /etc/dhcp/dhclient.conf. Vousdevez disposer de privilèges utilisateur racine pour modifier ce fichier. Passez à la racine à l'aide de lacommande sudo -i ou exécutez toutes les commandes avec sudo comme indiqué.

sudo vi /etc/dhcp/dhclient.conf

Dans le fichier /etc/dhcp/dhclient.conf, vous verrez la commande prepend suivante, oùOldIP1 et OldIP2 sont les adresses IP de vos serveurs DNS.

prepend domain-name-servers OldIP1, OldIP2; # skylight

3. Remplacez OldIP1 par NewIP1 et laissez OldIP2 en l'état pour l'instant.4. Enregistrez vos modifications dans /etc/dhcp/dhclient.conf.5. Redémarrez l'WorkSpace.6. Passez à l'étape 2 (p. 68) et mettez à jour les paramètres de votre serveur DNS dans Active

Directory pour remplacer OldIP1 par NewIP1.

Étape 2 : Mettre à jour les paramètres de serveur DNSpour Active DirectoryAu cours de cette étape, vous mettez à jour les paramètres de votre serveur DNS pour Active Directory.Comme indiqué dans la section Bonnes pratiques (p. 66), nous vous recommandons de mettre à jourles adresses IP de votre serveur DNS une par une.

Pour mettre à jour les paramètres de votre serveur DNS pour Active Directory, consultez la documentationsuivante dans le AWS Directory Service Administration Guide :

• AD Connector : Mettez à jour l'adresse DNS pour votre connecteur AD• AWS Managed Microsoft AD : Configurer des redirecteurs conditionnels DNS pour votre domaine sur

site• Simple AD : Configurer DNS

Après avoir mis à jour les paramètres de votre serveur DNS, passez à l'étape 3 (p. 68).

Étape 3 : Tester les paramètres de serveur DNS mis àjourAprès avoir terminé l'Étape 1 (p. 66) et l'Étape 2 (p. 68), utilisez la procédure suivante pour vérifierque vos paramètres de serveur DNS mis à jour fonctionnent comme prévu.

Dans la procédure suivante, les valeurs d'adresse IP du serveur DNS actuel et nouveau sont désignéescomme suit :

• Adresses IP DNS actuelles : OldIP1, OldIP2• Nouvelles adresses IP DNS : NewIP1, NewIP2

68

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_update_dns.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_onprem.html#tutorial_setup_trust_onprem_forwarder

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_onprem.html#tutorial_setup_trust_onprem_forwarder

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_dns.html

Amazon WorkSpaces Guide d'administrationÉtape 3 : Tester les paramètres de serveur DNS mis à jour

Note

Si vous effectuez cette procédure pour la deuxième fois, remplacez OldIP1 par OldIP2 etNewIP1 par NewIP2.

Test des paramètres de serveur DNS mis à jour pour WindowsWorkSpaces

1. Arrêtez le serveur DNS OldIP1.2. Connectez-vous à une WorkSpace Windows.3. Dans le menu Start (Démarrer) de Windows, choisissez Windows System (Système Windows), puis

Command Prompt (Invite de commandes).4. Exécutez la commande suivante, où AD_Name est le nom de votre Active Directory (par exemple,

corp.example.com).

nslookup AD_Name

La commande nslookup doit renvoyer la sortie suivante. (S'il s'agit de la deuxième fois que vouseffectuez cette procédure, vous devez voir NewIP2 à la place de OldIP2.)

Server: Full_AD_NameAddress: NewIP1

Name: AD_NameAddresses: OldIP2 NewIP1

5. Si la sortie n'est pas celle que vous attendiez ou si vous recevez des erreurs, répétez l'étape1 (p. 66).

6. Patientez pendant une heure et vérifiez qu'aucun problème utilisateur n'a été signalé. Vérifiezqu'NewIP1 obtient les requêtes DNS et qu'il répond avec des réponses.

7. Une fois que vous avez vérifié que le premier serveur DNS fonctionne correctement, répétez l'étape1 (p. 66) pour mettre à jour le deuxième serveur DNS, en remplaçant cette fois OldIP2 parNewIP2. Ensuite, répétez l'étape 2 et l'étape 3.

Test des paramètres de serveur DNS mis à jour pour Linux WorkSpaces

1. Arrêtez le serveur DNS OldIP1.2. Connectez-vous à une WorkSpace Linux.3. Sur votre WorkSpace Linux, ouvrez une fenêtre Terminal (Applications > Outils système > MATE

Terminal).4. Les adresses IP du serveur DNS renvoyées dans la réponse DHCP sont écrites dans le fichier /etc/

resolv.conf local de l'WorkSpace. Exécutez la commande suivante pour afficher le contenu dufichier /etc/resolv.conf .

cat /etc/resolv.conf

Vous devriez voir la sortie suivante. (S'il s'agit de la deuxième fois que vous effectuez cette procédure,vous devez voir NewIP2 à la place de OldIP2.)

; This file is generated by Amazon WorkSpaces; Modifying it can make your WorkSpace inaccessible until rebootoptions timeout:2 attempts:5; generated by /usr/sbin/dhclient-scriptsearch region.compute.internal

69

Amazon WorkSpaces Guide d'administrationSupprimer un annuaire

nameserver NewIP1nameserver OldIP2nameserver WorkSpaceIP

Note

Si vous apportez des modifications manuelles au fichier /etc/resolv.conf, cesmodifications sont perdues lorsque le WorkSpace est redémarré.

5. Si la sortie n'est pas celle que vous attendiez ou si vous recevez des erreurs, répétez l'étape1 (p. 66).

6. Les adresses IP réelles du serveur DNS sont stockées dans le fichier /etc/dhcp/dhclient.conf.Pour afficher le contenu de ce fichier, exécutez la commande suivante.

sudo cat /etc/dhcp/dhclient.conf

Vous devriez voir la sortie suivante. (S'il s'agit de la deuxième fois que vous effectuez cette procédure,vous devez voir NewIP2 à la place de OldIP2.)

# This file is generated by Amazon WorkSpaces# Modifying it can make your WorkSpace inaccessible until rebuildprepend domain-name-servers NewIP1, OldIP2; # skylight

7. Patientez pendant une heure et vérifiez qu'aucun problème utilisateur n'a été signalé. Vérifiezqu'NewIP1 obtient des requêtes DNS et qu'il répond avec des réponses.

8. Une fois que vous avez vérifié que le premier serveur DNS fonctionne correctement, répétez l'étape1 (p. 66) pour mettre à jour le deuxième serveur DNS, en remplaçant cette fois OldIP2 parNewIP2. Ensuite, répétez l'étape 2 et l'étape 3.

Suppression de l'annuaire pour votreWorkSpacesVous pouvez supprimer le répertoire de votre WorkSpaces s'il n'est plus utilisé par d'autres WorkSpaces oud'autres applications, telles que Amazon WorkDocs, Amazon WorkMail ou Amazon Chime. Notez que vousdevez annuler l'enregistrement d'un annuaire avant de pouvoir le supprimer.

Note

Simple AD et AD Connector sont mis gratuitement à votre disposition pour une utilisation avecWorkSpaces. Si aucun WorkSpaces n'est utilisé avec votre annuaire Simple AD ou AD Connectorpendant 30 jours consécutifs, cet annuaire sera automatiquement désinscrit pour une utilisationavec Amazon WorkSpaces, et vous serez facturé pour cet annuaire conformément aux conditionsde tarification AWS Directory Service.Si vous supprimez votre annuaire Simple AD ou AD Connector, vous pouvez toujours en créer unnouveau lorsque vous souhaitez commencer à utiliser à nouveau WorkSpaces.

Que se passe-t-il lorsqu'un répertoire est supprimé

Lorsqu'un annuaire Simple AD ou AWS Directory Service for Microsoft Active Directory (Enterprise Edition)est supprimé, toutes les données de l'annuaire et les instantanés sont supprimés et ne peuvent pas êtrerécupérés. Une fois l'annuaire supprimé, toutes les instances Amazon EC2 qui sont jointes à l'annuairerestent intactes. Toutefois, vous ne pouvez pas utiliser les informations d'identification de votre annuairepour vous connecter à ces instances. Vous devez vous y connecter avec un compte utilisateur qui est localà l'instance.

Lorsqu'un annuaire AD Connector est supprimé, votre annuaire sur site reste intact. Les instances AmazonEC2 qui sont jointes à l'annuaire restent également intactes et jointes à votre annuaire sur site. Vous

70



Amazon WorkSpaces Guide d'administrationActiver Amazon WorkDocs pour Microsoft Active Directory

pouvez toutefois utiliser les informations d'identification de votre annuaire pour vous connecter à cesinstances.

Pour supprimer un annuaire

1. Supprimez tous les WorkSpaces de l'annuaire. Pour plus d'informations, consultez Supprimer unWorkSpace (p. 140).

2. Recherchez et supprimez toutes les applications et tous les services qui sont enregistrés dansl'annuaire. Pour plus d'informations, consultez Suppression de votre annuaire dans le AWS DirectoryService Administration Guide.

3. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.4. Dans le volet de navigation, choisissez Directories (Répertoires).5. Sélectionnez l'annuaire et choisissez Actions, Annuler l'enregistrement.6. Lorsque vous êtes invité à confirmer l'opération, choisissez Annuler l'enregistrement.7. Sélectionnez de nouveau l'annuaire et choisissez Actions, Supprimer.8. Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer.

Note

La suppression des affectations d'applications peut parfois prendre plus de temps queprévu. Si le message d'erreur suivant s'affiche, vérifiez que vous avez supprimé toutes lesaffectations d'application, puis attendez 30 à 60 minutes avant de réessayer de supprimer lerépertoire :

An Error Has OccurredCannot delete the directory because it still has authorized applications. Additional directory details can be viewed at the Directory Service console.

9. (Facultatif) Après avoir supprimé toutes les ressources du Virtual Private Cloud (VPC) de votrerépertoire, vous pouvez supprimer le VPC et libérer l'adresse IP Elastic utilisée pour la passerelle NAT.Pour plus d'informations, voir Suppression de votre VPC et Utilisation d'adresses IP Elastic dans leAmazon VPC Guide de l'utilisateur.

10. (Facultatif) Pour supprimer tous les bundles et les images personnalisés dont vous n'avez plus besoin,consultez Supprimer un bundle ou une image WorkSpaces personnalisé(e) (p. 158).

Activer Amazon WorkDocs pour Microsoft ActiveDirectory

Si vous utilisez Microsoft Active Directory (AD) avec Amazon WorkSpaces, vous pouvez activer AmazonWorkDocs pour votre annuaire via la console Amazon WorkDocs ou la console AWS Directory Service

Pour activer WorkDocs via la consoleAmazon WorkDocs

1. Ouvrez la console Amazon WorkDocs à l'adresse https://console.aws.amazon.com/zocalo/.2. Choisissez Créer un nouveau site WorkDocs.3. Sous Standard Setup (Configuration standard), choisissez Launch (Lancer).4. Sélectionnez l'annuaire et créez le nom de votre site.5. Spécifiez l'utilisateur qui administrera le site WorkDocs. Vous pouvez utiliser l'administrateur ou

n'importe quel utilisateur créé dans l'annuaire.

Pour plus d'informations, consultez Démarrez avec AWS Managed Microsoft AD dans le AmazonWorkDocs Guide d'administration.

71

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_delete.html


https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

https://console.aws.amazon.com/zocalo/

https://docs.aws.amazon.com/workdocs/latest/adminguide/connect_directory_microsoft.html

Amazon WorkSpaces Guide d'administrationConfigurer l'administration de l'annuaire

Pour activer WorkDocs via la consoleAWS Directory Service

1. Ouvrez la console AWS Directory Service à l'adresse https://console.aws.amazon.com/directoryservicev2/.

2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sur la page Annuaires, choisissez votre annuaire.4. Sur la page Directory details (Détails de l'annuaire), choisissez l'onglet Application management

(Gestion des applications).5. Dans la section Application access URL (URL d'accès à l'application), si aucune URL d'accès n'a été

attribuée à l'annuaire, le bouton Create (Créer) s'affiche. Entrez un alias d'annuaire, puis choisissezCréer. Pour plus d'informations, consultez Création d'une URL d'accès dans le AWS Directory ServiceAdministration Guide.

6. Dans la section Application access URL (URL d'accès à l'application), choisissez Enable (Activer)pour activer l'authentification unique pour Amazon WorkDocs. Pour plus d'informations, consultezAuthentification unique dans le AWS Directory Service Administration Guide.

Configurer des outils d'administration ActiveDirectory pour Amazon WorkSpaces

Vous effectuerez les tâches les plus administratives pour votre annuaire WorkSpaces à l'aide d'outilsde gestion d'annuaire, tels que les outils d'administration Active Directory. Cependant, vous utiliserez laconsole Amazon WorkSpaces pour exécuter certaines tâches liées à l'annuaire. Pour plus d'informations,consultez Gérer des annuaires pour Amazon WorkSpaces (p. 60).

Si vous créez un annuaire avec Microsoft AD ou Simple AD comprenant cinq WorkSpaces ou plus, nousvous recommandons de centraliser l'administration sur une instance Amazon EC2. Bien que vous puissiezinstaller les outils de gestion de répertoire sur un WorkSpace, l'utilisation d'une instance Amazon EC2 estune solution plus robuste.

Pour configurer des outils d'administration Active Directory

1. Lancez une instance Windows et joignez-la à votre annuaire WorkSpaces.

Vous pouvez lier une instance Windows Amazon EC2 à votre domaine d'annuaire lorsque vous lancezl'instance. Pour plus d'informations, consultez Joindre une instance Windows à un domaine AWSDirectory Service dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Sinon, vous pouvez lier l'instance à votre annuaire manuellement. Pour de plus amples informations,veuillez consulter Ajouter manuellement une instance Windows (Simple AD et Microsoft AD) dansAWS Directory Service Administration Guide.

2. Installez les outils d'administration Active Directory sur l'instance. Pour plus d'informations, consultezInstallation des outils d'administration Active Directory dans le AWS Directory Service AdministrationGuide.

3. Exécutez les outils en tant qu'administrateur d'annuaire comme suit :

a. Ouvrez Administrative Tools.b. Maintenez la touche Shift enfoncée et cliquez avec le bouton droit sur le raccourci de l'outil, puis

choisissez Exécuter en tant qu'autre utilisateur.c. Saisissez le nom d'utilisateur et le mot de passe pour l'administrateur. Avec Simple AD, le nom

d'utilisateur est Administrator et avec Microsoft AD, l'administrateur est Admin.

72



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_create_access_url.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_single_sign_on.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_windows_instance.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html


Vous pouvez désormais exécuter des tâches d'administration d'annuaire avec des outils Active Directoryqui vous sont familiers. Par exemple, vous pouvez utiliser l'outil Utilisateurs et ordinateurs Active Directorypour ajouter/supprimer des utilisateurs, promouvoir un utilisateur auprès d'un administrateur d'annuaire ouréinitialiser un mot de passe utilisateur. Notez que vous devez être connecté à votre instance Windows entant qu'utilisateur autorisé à gérer les utilisateurs de l'annuaire.

Pour promouvoir un utilisateur en tant qu'administrateur d'annuaireNote

Cette procédure s'applique aux annuaires créés avec Simple AD, mais pas avec AWS ManagedAD. Pour les annuaires créés avec AWS Managed AD, veuillez consulter Gérer des utilisateurset des groupes dans AWS Managed Microsoft AD dans le AWS Directory Service AdministrationGuide.

1. Ouvrez l'outil Utilisateurs et ordinateurs Active Directory.2. Accédez au dossier Utilisateurs sous votre domaine et sélectionnez l'utilisateur à promouvoir.3. Choisissez Action, Propriétés.4. Dans la boîte de dialogue des propriétés de l'utilisateur, choisissez Member of.5. Ajoutez l'utilisateur aux groupes suivants et choisissez OK.

• Administrators• Domain Admins• Enterprise Admins• Group Policy Creator Owners• Schema Admins

Pour ajouter ou supprimer des utilisateurs

Vous pouvez créer de nouveaux utilisateurs à partir de la console Amazon WorkSpaces uniquementpendant le processus de lancement d'une WorkSpace, et vous ne pouvez pas supprimer des utilisateursvia la console Amazon WorkSpaces. La plupart des tâches de gestion des utilisateurs, y compris la gestiondes groupes d'utilisateurs, doivent être effectuées via votre annuaire.

Important

Avant de pouvoir supprimer un utilisateur, vous devez supprimer l'WorkSpace qui lui a été attribué.Pour plus d'informations, consultez Supprimer un WorkSpace (p. 140).

Le processus que vous utilisez pour gérer les utilisateurs et les groupes dépend du type de répertoire quevous utilisez.

• Si vous utilisez AWS Managed Microsoft AD, consultez Gestion des utilisateurs et des groupes dansAWS Managed Microsoft AD dans le AWS Directory Service Administration Guide.

• Si vous utilisez Simple AD, consultez Gestion des utilisateurs et des groupes dans Simple AD dans leAWS Directory Service Administration Guide.

• Si vous utilisez Microsoft Active Directory via le connecteur AD ou une relation d'approbation, vouspouvez gérer des utilisateurs et des groupes à l'aide d'Active Directory.

Pour réinitialiser un mot de passe utilisateur

Lorsque vous réinitialiser le mot de passe pour un utilisateur existant, ne définissez pas le paramètreL'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Sinon, les utilisateursne pourront pas se connecter à leur WorkSpaces. Au lieu de cela, affectez un mot de passe temporairesécurisé à chaque utilisateur, puis demandez aux utilisateurs de modifier manuellement leurs mots depasse depuis l'WorkSpace la prochaine fois qu'ils se connecteront.

73

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html

https://docs.microsoft.com/powershell/module/addsadministration/?view=win10-ps


Note

Si vous utilisez AD Connector ou si vos utilisateurs se trouvent dans la région AWS GovCloud(USA Ouest), vos utilisateurs ne pourront pas réinitialiser leurs propres mots de passe. (L'optionMot de passe oublié ? de l'écran de connexion de l'application cliente WorkSpaces ne sera pasdisponible.)

74


Lancer un bureau virtuel avecAmazon WorkSpaces

Avec Amazon WorkSpaces, vous pouvez allouer des bureaux virtuels Microsoft Windows basés sur lecloud ou des bureaux Amazon Linux à vos utilisateurs, plus connus sous le nom d'instances WorkSpaces.

Note

Le Nom de l’ordinateur valeur affichée pour une instance WorkSpace dans le AmazonWorkSpaces La console varie en fonction du type d’instance WorkSpace que vous avez lancée(Linux ou Windows). Le nom d’ordinateur d’une instance WorkSpace peut être dans l’un desformats suivants :

• Linux: A à 1xxxxxxxxxxxx• Windows: de l’IP-Cxxxxxx ou WSAMZN-xxxxxxx ou EC2AMAZ-xxxxxxx

Pour les instances WorkSpaces Windows, le format du nom de l’ordinateur est déterminé par letype de bundle, et dans le cas des instances WorkSpaces créées à partir de bundles publics ou debundles personnalisés basés sur des images publiques, par lorsque les images publiques ont étécréées.À partir du 22 juin 2020, les instances WorkSpaces Windows lancées à partir de bundles publicsont le WSAMZN-xxxxxxx pour les noms d’ordinateur au lieu de l’IP-Cxxxxxx .Pour les bundles personnalisés basés sur une image publique, si l’image publique a été crééeavant le 22 juin 2020, les noms d’ordinateur sont dans EC2AMAZ-xxxxxxx . Si l’image publique aété créée le 22 juin 2020 ou après, les noms des ordinateurs sont dans le WSAMZN-xxxxxxx .Pour les offres groupées Bring Your Own License (BYOL), EC2AMAZ-xxxxxxx est utilisé pour lesnoms d’ordinateur par défaut.Si vous avez spécifié un format personnalisé pour les noms d’ordinateur dans vos bundles BYOLou personnalisés, votre format personnalisé remplace ces valeurs par défaut.

Amazon WorkSpaces utilise un annuaire pour stocker et gérer les informations de vos instancesWorkSpaces et de vos utilisateurs. Vous pouvez effectuer les actions suivantes :

• Créer un annuaire Simple AD.• Créez un annuaire AWS Directory Service pour Microsoft Active Directory, également appelé AWS

Managed Microsoft AD.• Connectez-vous à un annuaire Microsoft Active Directory existant à l'aide d'Active Directory Connector.• Créez une relation d'approbation entre votre annuaire AWS Managed Microsoft AD et votre domaine sur

site.

Les didacticiels suivants vous montrent comment lancer une instance WorkSpace avec les options deservice de l'annuaire pris en charge.

Didacticiels• Lancement d'un WorkSpace avec AWS Managed Microsoft AD (p. 76)• Lancement d'un WorkSpace avec Simple AD (p. 79)• Lancement d'une WorkSpace à l'aide du connecteur AD (p. 82)

75

Amazon WorkSpaces Guide d'administrationLancement avec AWS Managed Microsoft AD

• Lancement d'un WorkSpace à l'aide d'un domaine approuvé (p. 85)

Lancement d'un WorkSpace avec AWS ManagedMicrosoft AD

Amazon WorkSpaces vous permet d'allouer des bureaux virtuels Windows basés sur le cloud pour vosutilisateurs, plus connus sous le nom d'WorkSpaces.

Amazon WorkSpaces utilise des annuaires pour stocker et gérer des informations pour vos utilisateurs etvotre WorkSpaces. Pour votre annuaire, vous pouvez choisir parmi Simple AD, AD Connector ou AWSDirectory Service pour Microsoft Active Directory, plus connu sous le nom d'AWS Managed Microsoft AD.De plus, vous pouvez établir une relation d'approbation entre votre annuaire AWS Managed Microsoft ADet votre domaine sur site.

Dans ce didacticiel, nous lançons un WorkSpace qui utilise AWS Managed Microsoft AD. Pourdes didacticiels qui utilisent les autres options, consultez Lancer un bureau virtuel avec AmazonWorkSpaces (p. 75).

Tâches• Avant de commencer (p. 76)• Étape 1 : Création d'un annuaire AWS Managed Microsoft AD (p. 76)• Étape 2 : Créer une WorkSpace (p. 77)• Étape 3 : Se connecter au WorkSpace (p. 78)• Étapes suivantes (p. 78)

Avant de commencer• Amazon WorkSpaces n'est pas disponible dans toutes les régions. Vérifiez les régions prises en charge

et sélectionnez une région pour votre WorkSpaces. Pour plus d'informations sur les régions prises encharge, consultez Tarification Amazon WorkSpaces par région AWS.

• Lorsque vous lancez une WorkSpace, vous devez sélectionner un bundle WorkSpace. Un bundle estune combinaison de système d'exploitation et de ressources de stockage, de calcul et de logiciels. Pourplus d'informations, consultez Solutions groupées Amazon WorkSpaces.

• Lorsque vous créez un annuaire à l'aide de AWS Directory Service ou lancez une WorkSpace,vous devez créer ou sélectionner un Virtual Private Cloud configuré avec un sous-réseau public etdeux sous-réseaux privés. Pour plus d'informations, consultez Configurer un VPC pour AmazonWorkSpaces (p. 10).

Étape 1 : Création d'un annuaire AWS ManagedMicrosoft ADTout d'abord, créez un annuaire AWS Managed Microsoft AD. AWS Directory Service crée deux serveursd'annuaire, un dans chaque sous-réseau privé de votre VPC. Notez qu'aucun utilisateur ne se trouveinitialement dans l'annuaire. Vous ajouterez un utilisateur à l'étape suivante lorsque vous lancerezl'WorkSpace.

Note

Si vous configurez votre annuaire AWS Managed Microsoft AD pour la réplication sur plusieursrégions, seul l'annuaire de la région principale peut être enregistré pour une utilisation avec

76



Amazon WorkSpaces Guide d'administrationÉtape 2 : Créer une WorkSpace

Amazon WorkSpaces. Les tentatives d'enregistrement de l'annuaire dans une région répliquéepour une utilisation avec Amazon WorkSpaces échoueront. La réplication multi-régions avec AWSManaged Microsoft AD n'est pas prise en charge pour une utilisation avec Amazon WorkSpacesdans les régions répliquées.

Pour créer un annuaire AWS Managed Microsoft AD

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Choisissez Configurer l'annuaire, Créer un annuaire Microsoft AD.4. Configurez l'annuaire comme suit :

a. Pour Organization name (Nom de l'organisation), entrez un nom d'organisation unique pour votreannuaire (par exemple, my-demo-directory). Ce nom doit comporter au moins quatre caractères,uniquement des caractères alphanumériques et des tirets (-), et commencer ou se terminer par uncaractère autre qu'un trait d'union.

b. Pour DNS de l'annuaire, entrez le nom complet de l'annuaire (par exemple,workspaces.demo.com).

Important

Si vous devez mettre à jour votre serveur DNS après avoir lancé votre WorkSpaces,suivez la procédure décrite dans Mise à jour des serveurs DNS pourAmazonWorkSpaces (p. 65) pour vous assurer que votre WorkSpaces est correctement mis àjour.

c. Pour Nom NetBIOS, entrez un nom abrégé pour l'annuaire (par exemple, workspaces).d. Pour Mot de passe administrateur et Confirmer le mot de passe, entrez un mot de passe pour le

compte administrateur de l'annuaire. Pour plus d'informations sur les exigences de mot de passe,consultez Création de votre annuaire AWS Managed Microsoft AD dans le AWS Directory ServiceAdministration Guide.

e. (Facultatif) Pour Description, entrez une description de l'annuaire.f. Pour VPC, sélectionnez le VPC que vous avez créé.g. Pour Sous-réseaux (subnets), sélectionnez les deux sous-réseaux privés (avec les blocs

d'adresse CIDR 10.0.1.0/24 et 10.0.2.0/24).h. Choisissez Next Step.

5. Choisissez Create Microsoft AD.6. Sélectionnez Effectué. Le statut initial de l'annuaire est Creating. Lorsque la création de l'annuaire

est terminée, le statut est Active.

Étape 2 : Créer une WorkSpaceMaintenant que vous avez créé un annuaire AWS Managed Microsoft AD, vous êtes prêt à créer unWorkSpace.

Pour créer une WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Choisissez Lancer WorkSpaces.4. Sur la page Sélectionner un annuaire, choisissez l'annuaire que vous avez créé, puis choisissez Étape

suivante. Amazon WorkSpaces enregistre votre annuaire.5. Sur la page Identify Users (Identifier les utilisateurs), ajoutez un nouvel utilisateur à votre annuaire

comme suit :

77


https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html


Amazon WorkSpaces Guide d'administrationÉtape 3 : Se connecter au WorkSpace

a. Remplissez Nom d'utilisateur, Prénom, Nom et E-mail. Utilisez une adresse e-mail à laquelle vouspouvez accéder.

b. Choisissez Créer des utilisateurs.c. Choisissez Next Step.

6. Sur la page Sélectionner un bundle, sélectionnez un bundle et choisissez Étape suivante.7. Sur la page WorkSpacesConfiguration d', choisissez un mode d'exécution, puis choisissez Étape

suivante.8. Sur la page Vérifier et lancer WorkSpaces, choisissez Lancer WorkSpaces. L'état initial de WorkSpace

est PENDING. Une fois le lancement terminé, le statut est AVAILABLE et une invitation est envoyée àl'adresse e-mail que vous avez spécifiée pour l'utilisateur.

Étape 3 : Se connecter au WorkSpaceAprès avoir reçu l'e-mail d'invitation, vous pouvez vous connecter à votre WorkSpace à l'aide du client devotre choix. Une fois connecté, le client affiche le bureau WorkSpace.


1. Ouvrez le lien dans l'e-mail d'invitation. Lorsque vous y êtes invité, spécifiez un mot de passe etactivez l'utilisateur. Retenez bien ce mot de passe, car vous en aurez besoin pour vous connecter àvotre WorkSpace.

Note

Les mots de passe sont sensibles à la casse et doivent comporter entre 8 et 64 caractères,inclus. Les mots de passe doivent contenir au moins un caractère de chacune des catégoriessuivantes : minuscules (a à z), majuscules (A à Z), chiffres (0 à 9) et ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.


• Lorsque vous y êtes invité, téléchargez l'une des applications clientes ou lancez l'accès web.• Si vous n'y êtes pas invité et n'avez pas déjà installé une application cliente, ouvrez https://


Note


3. Lancez le client, saisissez le code d'inscription fourni dans l'e-mail d'invitation et choisissez S'inscrire.4. Lorsque vous êtes invité à vous connecter, saisissez le nom d'utilisateur et le mot de passe de

l'utilisateur, puis choisissez Sign In (Connexion).5. (Facultatif) Lorsque vous êtes invité à enregistrer vos informations d'identification, choisissez Oui.

Étapes suivantesVous pouvez continuer à personnaliser le WorkSpace que vous venez de créer. Par exemple, vouspouvez installer un logiciel, puis créer un bundle personnalisé à partir de votre WorkSpace. Vous pouvezégalement effectuer diverses tâches administratives pour votre annuaire WorkSpaces et WorkSpaces.

78





Amazon WorkSpaces Guide d'administrationLancement avec Simple AD

Si vous n'avez plus besoin de votre WorkSpace, vous pouvez la supprimer. Pour plus d'informations,consultez la documentation suivante.

• Créer une image et un bundle WorkSpaces personnalisés (p. 141)• Administrer votreWorkSpaces (p. 95)• Gérer des annuaires pour Amazon WorkSpaces (p. 60)• Supprimer un WorkSpace (p. 140)

Pour plus d'informations sur l'utilisation des applications clientes WorkSpaces, comme la configuration deplusieurs moniteurs ou l'utilisation de périphériques, consultez Clients Amazon WorkSpaces et Prise encharge des appareils périphériques dans le .Guide de l'utilisateur Amazon WorkSpaces

Lancement d'un WorkSpace avec Simple ADAmazon WorkSpaces vous permet d'allouer des bureaux virtuels Microsoft Windows basés sur le cloudpour vos utilisateurs, plus connus sous le nom d'WorkSpaces.


Dans ce didacticiel, nous lançons un WorkSpace qui utilise Simple AD. Pour des didacticiels qui utilisent lesautres options, consultez Lancer un bureau virtuel avec Amazon WorkSpaces (p. 75).

Tâches• Avant de commencer (p. 79)• Étape 1 : Créer un annuaire Simple AD (p. 80)• Étape 2 : Créer une WorkSpace (p. 81)• Étape 3 : Se connecter au WorkSpace (p. 81)• Étapes suivantes (p. 82)

Avant de commencer• Simple AD n'est pas disponible dans toutes les régions. Vérifiez les régions prises en charge et

sélectionnez une région pour votre annuaire Simple AD. Pour plus d'informations sur les régions prisesen charge pour Simple AD, consultez Disponibilité des régions AWS Directory Service AWS DirectoryService.




79




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html



Amazon WorkSpaces Guide d'administrationÉtape 1 : Créer un annuaire Simple AD

Étape 1 : Créer un annuaire Simple ADCréez un annuaire Simple AD. AWS Directory Service crée deux serveurs d'annuaire, un dans chaquesous-réseau privé de votre VPC. Notez qu'aucun utilisateur ne se trouve initialement dans l'annuaire. Vousajouterez un utilisateur à l'étape suivante lorsque vous créerez l'WorkSpace.

Pour créer un annuaire Simple AD

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Choisissez Configurer l'annuaire, Simple AD, puis Suivant.4. Configurez l'annuaire comme suit :

a. Pour Organization name (Nom de l'organisation), entrez un nom d'organisation unique pourvotre annuaire (par exemple, my-example-directory). Ce nom doit comporter au moins quatrecaractères, uniquement des caractères alphanumériques et des tirets (-), et commencer ou seterminer par un caractère autre qu'un trait d'union.

b. Pour Nom DNS de l'annuaire, entrez le nom complet de l'annuaire (par exemple, example.com).

Important

Si vous devez mettre à jour votre serveur DNS après avoir lancé votre WorkSpaces,suivez la procédure décrite dans Mise à jour des serveurs DNS pourAmazonWorkSpaces (p. 65) pour vous assurer que votre WorkSpaces est correctement mis àjour.

c. Pour NetBIOSnom , entrez un nom court pour l'annuaire (par exemple, exemple).d. Pour Mot de passe administrateur et Confirmer le mot de passe, entrez un mot de passe pour le

compte administrateur de l'annuaire. Pour plus d'informations sur les exigences de mot de passe,consultez Comment créer un annuaire Microsoft AD dans le AWS Directory Service AdministrationGuide.

e. (Facultatif) Pour Description, entrez une description de l'annuaire.f. Pour Taille de l'annuaire, choisissez Petit.g. Pour VPC, sélectionnez le VPC que vous avez créé.h. Pour Sous-réseaux (subnets), sélectionnez les deux sous-réseaux privés (avec les blocs

d'adresse CIDR 10.0.1.0/24 et 10.0.2.0/24).i. Choisissez Suivant.

5. Choisissez Create directory (Créer un annuaire).6. Le statut initial de l'annuaire est Requested, puis Creating. Lorsque la création de l'annuaire est

terminée (cela peut prendre quelques minutes), le statut est Active.

Création d'annuaire

Amazon WorkSpaces exécute les tâches suivantes en votre nom :

• Crée un rôle IAM pour permettre au service Amazon WorkSpaces de créer des interfaces réseau Elasticet de répertorier vos annuaires Amazon WorkSpaces Ce rôle est nommé workspaces_DefaultRole.

• Configure un annuaire Simple AD dans le VPC utilisé pour stocker les informations relatives à l'utilisateuret à l'instance WorkSpace. L'annuaire possède un compte administrateur avec le nom d'utilisateurAdministrateur et le mot de passe spécifié.

• Crée deux groupes de sécurité, l'un pour les contrôleurs d'annuaire et l'autre pour WorkSpaces dansl'annuaire.

80




Étape 2 : Créer une WorkSpaceVous êtes maintenant prêt à lancer l'WorkSpace.

Pour créer un WorkSpace pour un utilisateur

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Choisissez Lancer WorkSpaces.4. Sur la page Sélectionner un annuaire, procédez comme suit :

a. Pour Directory (Annuaire), choisissez l'annuaire que vous avez créé.b. Pour Enable Self Service Permissions (Activer les autorisations en libre-service), choisissez Yes

(Oui) ou No (Non) et entrez une description.c. Pour Enable Amazon WorkDocs (Activer Amazon), choisissez Yes (Oui).

Note

Cette option est proposée uniquement si Amazon WorkDocs est disponible dans larégion sélectionnée.

d. Choisissez Étape suivante. Amazon WorkSpaces enregistre votre annuaire Simple AD.5. Sur la page Identify Users (Identifier les utilisateurs), ajoutez un nouvel utilisateur à votre annuaire

comme suit :

a. Remplissez Nom d'utilisateur, Prénom, Nom et E-mail. Utilisez une adresse e-mail à laquelle vouspouvez accéder.

b. Choisissez Créer des utilisateurs.c. Choisissez Next Step.

6. Sur la page Sélectionner un bundle, sélectionnez un bundle et choisissez Étape suivante.7. Sur la page WorkSpacesConfiguration d', choisissez un mode d'exécution, puis choisissez Étape

suivante.8. Sur la page Vérifier et lancer WorkSpaces, choisissez Lancer WorkSpaces. L'état initial de WorkSpace

est PENDING. Une fois le lancement terminé (cela peut prendre jusqu'à 20 minutes), le statut estAVAILABLE et une invitation est envoyée à l'adresse e-mail que vous avez spécifiée pour l'utilisateur.

Étape 3 : Se connecter au WorkSpaceUne fois que vous avez reçu l'e-mail d'invitation, vous pouvez vous connecter à votre WorkSpace à l'aidedu client de votre choix. Une fois connecté, le client affiche le bureau WorkSpace.


1. Ouvrez le lien dans l'e-mail d'invitation. Lorsque vous y êtes invité, saisissez un mot de passe etactivez l'utilisateur. Retenez ce mot de passe car vous en aurez besoin pour vous connecter à votreinstance WorkSpace.

Note



81







Note




Étapes suivantesVous pouvez continuer à personnaliser le WorkSpace que vous venez de créer. Par exemple, vouspouvez installer un logiciel, puis créer un bundle personnalisé à partir de votre WorkSpace. Vous pouvezégalement effectuer diverses tâches administratives pour votre annuaire WorkSpaces et WorkSpaces.Si vous n'avez plus besoin de votre WorkSpace, vous pouvez la supprimer. Pour plus d'informations,consultez la documentation suivante.



Lancement d'une WorkSpace à l'aide du connecteurAD

Amazon WorkSpaces vous permet d'allouer des bureaux virtuels Microsoft Windows basés sur le cloudpour vos utilisateurs, plus connus sous le nom d'WorkSpaces.


Dans ce didacticiel, nous lançons un WorkSpace qui utilise AD Connector. Pour des didacticiels qui utilisentles autres options, consultez Lancer un bureau virtuel avec Amazon WorkSpaces (p. 75).

Tâches• Avant de commencer (p. 83)• Étape 1 . Créer un connecteur AD (p. 83)

82






• Étape 2 : Créer une WorkSpace (p. 84)• Étape 3 : Se connecter au WorkSpace (p. 84)• Étapes suivantes (p. 85)

Avant de commencer• Amazon WorkSpaces n'est pas disponible dans toutes les régions. Vérifiez les régions prises en charge

et sélectionnez une région pour votre WorkSpaces. Pour plus d'informations sur les régions prises encharge, consultez Tarification Amazon WorkSpaces par région AWS.


• Créez un Virtual Private Cloud avec au moins deux sous-réseaux privés. Pour plus d'informations,consultez Configurer un VPC pour Amazon WorkSpaces (p. 10). Le VPC doit être connecté à votreréseau sur site via une connexion réseau privé virtuel (VPN) ou AWS Direct Connect. Pour de plusamples informations, veuillez consulter Prérequis pour AD Connector dans le AWS Directory ServiceAdministration Guide.

• Fournissez l'accès à Internet à partir du WorkSpace. Pour plus d'informations, consultez Fournir unaccès Internet à partir de votreWorkSpace (p. 45).

Étape 1 . Créer un connecteur ADPour créer un connecteur AD

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Choisissez Configurer l'annuaire, Créer un connecteur AD.4. Pour Organization name (Nom de l'organisation), entrez un nom d'organisation unique pour votre

annuaire (par exemple, my-example-directory). Ce nom doit comporter au moins quatre caractères,uniquement des caractères alphanumériques et des tirets (-), et commencer ou se terminer par uncaractère autre qu'un trait d'union.

5. Pour DNS de l'annuaire connecté, entrez le nom complet de votre annuaire sur site (par exemple,example.com).

6. Pour Nom de l'annuaire connectéNetBIOS, entrez le nom abrégé de votre annuaire sur site (parexemple, exemple).

7. Pour Connector account username (Nom d'utilisateur du compte de connecteur), entrez le nomd'utilisateur d'un utilisateur dans votre annuaire sur site. L'utilisateur doit disposer des autorisationspour lire des utilisateurs et des groupes, créer des objets informatiques et lier des ordinateurs audomaine.

8. Pour Connector account password (Mot de passe du compte du connecteur) et Confirm password(Confirmer le mot de passe), entrez le mot de passe du compte d'utilisateur sur site.

9. Pour DNS address (Adresse DNS), entrez l'adresse IP d'au moins un serveur DNS de votre annuairesur site.

Important

Si vous devez mettre à jour l'adresse IP de votre serveur DNS après le lancement de votreWorkSpaces, suivez la procédure décrite dans Mise à jour des serveurs DNS pourAmazonWorkSpaces (p. 65) pour vous assurer que votre WorkSpaces est correctement mis à jour.

10. (Facultatif) Pour Description, entrez une description de l'annuaire.11. Conservez la Taille sur Petit.

83



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html



12. Pour VPC, sélectionnez votre VPC.13. Pour Sous-réseaux, sélectionnez vos sous-réseaux. Les serveurs DNS spécifiés doivent être

accessibles à partir de chaque sous-réseau.14. Choisissez Next Step.15. Choisissez Créer un connecteur AD. La connexion de votre annuaire prend plusieurs minutes. Le

statut initial de l'annuaire est Requested, puis Creating. Lorsque la création de l'annuaire estterminée, le statut est Active.

Étape 2 : Créer une WorkSpaceVous êtes maintenant prêt à lancer WorkSpaces pour un ou plusieurs utilisateurs de votre annuaire sursite.

Pour lancer un WorkSpace pour un utilisateur existant

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Choisissez Lancer WorkSpaces.4. Pour Directory (Annuaire), choisissez l'annuaire que vous avez créé.5. (Facultatif) Si vous lancez une WorkSpace dans cet annuaire pour la première fois et que Amazon

WorkDocs est pris en charge dans la région, vous pouvez activer ou désactiver Amazon WorkDocspour tous les utilisateurs de l'annuaire. Pour plus d'informations, consultez Aide sur le client desynchronisation Amazon WorkDocs dans le Amazon WorkDocs Guide d'administration.

6. Choisissez Suivant. Amazon WorkSpaces enregistre votre connecteur AD.7. Sélectionnez un ou plusieurs utilisateurs existants à partir de votre annuaire sur site. N'ajoutez pas de

nouveaux utilisateurs à un annuaire sur site via la console Amazon WorkSpaces

Pour trouver des utilisateurs à sélectionner, vous pouvez saisir le nom entier de l'utilisateur ou unepartie et choisir Search (Rechercher) ou choisir Showw All Users (Afficher tous les utilisateurs). Notezque vous ne pouvez pas sélectionner un utilisateur qui ne dispose pas d'une adresse e-mail.

Après avoir sélectionné les utilisateurs, choisissez Ajouter la sélection, puis choisissez Étape suivante.8. Sous Sélectionner un bundle, choisissez le bundle WorkSpace par défaut à utiliser pour le

WorkSpaces. Sous Assign WorkSpace Bundles (Affecter des bundles), vous pouvez choisir un autrebundle pour un WorkSpace individuel si nécessaire. Lorsque vous avez terminé, choisissez Étapesuivante.

9. Choisissez un mode d'exécution pour votre WorkSpaces, puis choisissez Étape suivante. Pour plusd'informations, consultez Gestion du mode d'exécutionWorkSpace (p. 114).

10. Choisissez Lancer WorkSpaces. L'état initial de WorkSpace est PENDING. Une fois le lancementterminé, le statut est AVAILABLE.

11. Envoyez des invitations à l'adresse e-mail de chaque utilisateur. (Ces invitations ne sont pas envoyéesautomatiquement si vous utilisez AD Connector.) Pour plus d'informations, consultez Envoyer un e-mail d'invitation (p. 90).

Étape 3 : Se connecter au WorkSpaceVous pouvez vous connecter à votre WorkSpace à l'aide du client de votre choix. Une fois connecté, leclient affiche le bureau WorkSpace.


1. Ouvrez le lien dans l'e-mail d'invitation.

84


https://docs.aws.amazon.com/workdocs/latest/userguide/sync_client_help.html

https://docs.aws.amazon.com/workdocs/latest/userguide/sync_client_help.html





Note




Note

Étant donné que vous utilisez AD Connector, vos utilisateurs ne pourront pas réinitialiser leurspropres mots de passe. (L'option Mot de passe oublié ? sur l'écran de connexion de l'applicationcliente WorkSpaces ne sera pas disponible.) Pour plus d'informations sur la réinitialisation desmots de passe utilisateur, consultez Configurer des outils d'administration Active Directory pourAmazon WorkSpaces (p. 72).




Lancement d'un WorkSpace à l'aide d'un domaineapprouvé

Amazon WorkSpaces vous permet d'allouer des bureaux virtuels Microsoft Windows basés sur le cloudpour vos utilisateurs, plus connus sous le nom d'WorkSpaces.

Amazon WorkSpaces utilise des annuaires pour stocker et gérer des informations pour vos utilisateurs etvotre WorkSpaces. Pour votre annuaire, vous pouvez choisir parmi Simple AD, AD Connector ou AWS

85








Directory Service pour Microsoft Active Directory, plus connu sous le nom d'AWS Managed Microsoft AD.De plus, vous pouvez établir une relation d'approbation entre votre annuaire AWS Managed Microsoft ADet votre domaine sur site.

Dans ce didacticiel, nous lançons un WorkSpace qui utilise une relation d'approbation. Pour des didacticielsqui utilisent les autres options, consultez Lancer un bureau virtuel avec Amazon WorkSpaces (p. 75).

Tâches• Avant de commencer (p. 86)• Étape 1 : Etablir une relation d'approbation (p. 86)• Étape 2 : Créer une WorkSpace (p. 87)• Étape 3 : Se connecter au WorkSpace (p. 87)• Étapes suivantes (p. 88)

Avant de commencer• Le lancement d'WorkSpaces avec des comptes utilisateur dans un domaine approuvé distinct fonctionne

avec AWS Managed Microsoft AD lorsqu'il est configuré avec une relation d'approbation pour votreannuaire sur site. Cependant, WorkSpaces à l'aide de Simple AD ou d'AD Connector ne peut pas lancerWorkSpaces pour les utilisateurs d'un domaine approuvé.


• Lorsque vous lancez une WorkSpace, vous devez sélectionner un bundle WorkSpace. Un bundle estune combinaison de ressources de stockage, de calcul et logicielles. Pour plus d'informations, consultezSolutions groupées Amazon WorkSpaces.


Étape 1 : Etablir une relation d'approbationPour configurer la relation d'approbation

1. Configurez AWS Managed Microsoft AD dans votre Virtual Private Cloud (VPC). Pour plusd'informations, consultez Création de votre annuaire AWS Managed Microsoft AD dans le AWSDirectory Service Administration Guide.

Note

Si votre annuaire AWS Managed Microsoft AD a été configuré pour la réplication sur plusieursrégions, seul l'annuaire de la région principale peut être enregistré pour une utilisationavec Amazon WorkSpaces. Les tentatives d'enregistrement de l'annuaire dans une régionrépliquée pour une utilisation avec Amazon WorkSpaces échoueront. La réplication multi-régions avec AWS Managed Microsoft AD n'est pas prise en charge pour une utilisation avecAmazon WorkSpaces dans les régions répliquées.

2. Créez une relation d'approbation entre votre annuaire AWS Managed Microsoft AD et votre domainesur site. Prenez soin de configurer la relation d'approbation en tant que relation d'approbationbidirectionnelle. Pour plus d'informations, consultez Didacticiel : Créer une relation d'approbation entreAWS Managed Microsoft AD et votre domaine sur site dans le AWS Directory Service AdministrationGuide.

86




https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html


Une relation d'approbation bidirectionnelle est nécessaire pour que les informations d'identificationsur site puissent être utilisées pour gérer et authentifier les utilisateurs et les groupes WorkSpaces sursite.WorkSpaces

Étape 2 : Créer une WorkSpaceUne fois que vous avez établi une relation d'approbation entre votre annuaire AWS Managed Microsoft ADet votre domaine Microsoft Active Directory sur site, vous pouvez mettre en service WorkSpaces pour lesutilisateurs du domaine sur site.

Notez que vous devez prendre soin de répliquer les paramètres GPO dans les domaines avant de pouvoirles appliquer à Amazon WorkSpaces.

Pour lancer des espaces de travail pour des utilisateurs dans un domaine sur site de confiance

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Choisissez Lancer WorkSpaces.4. Sur la page Select a Directory, choisissez l'annuaire que vous venez d'enregistrer, puis sélectionnez

Next Step.5. Sur la page Identify Users (Identifier les utilisateurs), procédez comme suit :

a. Pour Select trust from forest, sélectionnez la relation d'approbation que vous avez créée.b. Sélectionnez les utilisateurs dans le domaine sur site, puis choisissez Add Selected.c. Choisissez Next Step.

6. Sélectionnez l'offre à utiliser pour le WorkSpaces, puis choisissez Étape suivante.7. Choisissez le mode d'exécution et les paramètres de chiffrement, puis configurez des balises. Lorsque

vous avez terminé, choisissez Next Step.8. Choisissez Lancer WorkSpaces. Notez que l'WorkSpaces peut prendre jusqu'à 20 minutes pour

être disponible et jusqu'à 40 minutes si le chiffrement est activé. Le statut initial de WorkSpace estPENDING. Une fois le lancement terminé, le statut est AVAILABLE.

9. Envoyez des invitations à l'adresse e-mail de chaque utilisateur. Pour plus d'informations, consultezEnvoyer un e-mail d'invitation (p. 90).

Étape 3 : Se connecter au WorkSpaceUne fois que vous avez reçu l'e-mail d'invitation, vous pouvez vous connecter à votre WorkSpace. Lesutilisateurs peuvent entrer leurs noms d'utilisateur comme suit : nom d'utilisateur, corp\\nom d'utilisateur oucorp.example.com\\nom d'utilisateur).


1. Ouvrez le lien dans l'e-mail d'invitation. Lorsque vous y êtes invité, saisissez un mot de passe etactivez l'utilisateur. Retenez bien ce mot de passe, car vous en aurez besoin pour vous connecter àvotre WorkSpace.

Note



87







Note






Pour plus d'informations sur l'utilisation des applications clientes WorkSpaces, comme la configuration deplusieurs moniteurs ou l'utilisation de périphériques, consultez Clients Amazon WorkSpaces et Prise encharge des appareils périphériques dans le .Guide de l'utilisateur Amazon WorkSpaces

88





Amazon WorkSpaces Guide d'administrationGérer les utilisateursWorkSpaces

Administrer lesutilisateursWorkSpace

Chaque WorkSpace est affecté à un seul utilisateur et ne peut pas être partagé par plusieurs utilisateurs.Par défaut, un seul WorkSpace par utilisateur et par annuaire est autorisé.

Sommaire• Gérer les utilisateursWorkSpaces (p. 89)• Créer plusieurs WorkSpaces pour un utilisateur (p. 90)• Personnalisation de la façon dont les utilisateurs se connectent à leurWorkSpaces (p. 91)• Activez les fonctionnalités de gestion WorkSpace en libre-service pour vos utilisateurs (p. 93)

Gérer les utilisateursWorkSpacesEn tant qu'administrateur pour Amazon WorkSpaces, vous pouvez effectuer les tâches suivantes pourgérer les utilisateurs WorkSpaces.

Modification d'informations utilisateurVous pouvez utiliser la console Amazon WorkSpaces pour modifier les informations utilisateur d'unWorkSpace.

Note

Cette fonctionnalité est disponible uniquement si vous utilisez le connecteur géré AWS MicrosoftAD ou Simple AD. Si vous utilisez Microsoft Active Directory via le connecteur AD ou une relationd'approbation, vous pouvez gérer des utilisateurs et des groupes à l'aide d'Active Directory.

Pour modifier des informations utilisateur

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez un utilisateur, puis choisissez Actions, Edit User.4. Mettez à jour les champs Prénom, Nom et E-mail si nécessaire.5. Sélectionnez Mise à jour.

Ajouter ou supprimer des utilisateursVous pouvez créer de nouveaux utilisateurs à partir de la console Amazon WorkSpaces uniquementpendant le processus de lancement d'un WorkSpace, et vous ne pouvez pas supprimer des utilisateurs viala console Amazon WorkSpaces. La plupart des tâches de gestion des utilisateurs, y compris la gestion desgroupes d'utilisateurs, doivent être effectuées via votre annuaire.

Pour ajouter ou supprimer des utilisateurs et des groupes

89



Amazon WorkSpaces Guide d'administrationEnvoyer un e-mail d'invitation

Pour ajouter, supprimer ou gérer des utilisateurs et des groupes, vous devez le faire via votre annuaire.Vous effectuerez les tâches les plus administratives pour votre annuaire WorkSpaces à l'aide d'outils degestion d'annuaire, tels que les outils d'administration Active Directory. Pour plus d'informations, consultezConfigurer des outils d'administration Active Directory pour Amazon WorkSpaces (p. 72).

Important

Avant de pouvoir supprimer un utilisateur, vous devez supprimer l'WorkSpace qui lui a été attribué.Pour plus d'informations, consultez Supprimer un WorkSpace (p. 140).

Le processus que vous utilisez pour gérer les utilisateurs et les groupes dépend du type de répertoire quevous utilisez.

• Si vous utilisez AWS Managed Microsoft AD, consultez Gestion des utilisateurs et des groupes dansAWS Managed Microsoft AD dans le AWS Directory Service Administration Guide.

• Si vous utilisez Simple AD, consultez Gestion des utilisateurs et des groupes dans Simple AD dans leAWS Directory Service Administration Guide.

• Si vous utilisez Microsoft Active Directory via le connecteur AD ou une relation d'approbation, vouspouvez gérer des utilisateurs et des groupes à l'aide d'Active Directory.

Envoyer un e-mail d'invitationVous pouvez envoyer un e-mail d'invitation à un utilisateur manuellement si nécessaire.

Note

Si vous utilisez AD Connector, les e-mails de bienvenue ne sont pas automatiquement envoyés àvos utilisateurs. Vous devez donc les envoyer manuellement.

Pour renvoyer un e-mail d'invitation

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sur la page WorkSpaces, utilisez la zone de recherche pour rechercher l'utilisateur auquel vous

souhaitez envoyer une invitation, puis sélectionnez le WorkSpace correspondant dans les résultats derecherche. Vous ne pouvez sélectionner qu'un seul WorkSpace à la fois.

4. Choisissez Actions, Invite User (Inviter l'utilisateur).5. Copiez le corps du texte d'e-mail et collez-le dans un e-mail pour l'utilisateur à l'aide de votre propre

application de messagerie. Vous pouvez modifier le corps du texte si vous le souhaitez. Lorsque l'e-mail d'invitation est prêt, envoyez-le à l'utilisateur.

Créer plusieurs WorkSpaces pour un utilisateurPar défaut, vous ne pouvez créer qu'un seul WorkSpace par utilisateur et par annuaire. Cependant, sinécessaire, vous pouvez créer plusieurs WorkSpace pour un utilisateur, en fonction de la configuration devotre annuaire.

• Si vous n'avez qu'un seul répertoire pour votre WorkSpaces, créez plusieurs noms d'utilisateur pourl'utilisateur. Par exemple, un utilisateur nommé Mary Major peut avoir mmajor1, mmajor2, etc. commenoms d'utilisateur. Chaque nom d'utilisateur est associé à un autre WorkSpace dans le même annuaire,mais les WorkSpaces ont le même code d'enregistrement, à condition que les WorkSpaces soient touscréés dans le même annuaire dans la même région AWS.

• Si vous avez plusieurs répertoires pour votre WorkSpaces, créez le WorkSpaces pour l'utilisateurdans des répertoires distincts. Vous pouvez utiliser le même nom d'utilisateur dans les répertoires,

90



https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_manage_users_groups.html



Amazon WorkSpaces Guide d'administrationPersonnalisation de la façon dont les

utilisateurs se connectent à leurWorkSpaces

ou vous pouvez utiliser différents noms d'utilisateur dans les répertoires. Le code d'enregistrement deWorkSpaces sera différent.

Tip

Pour pouvoir facilement localiser tous les WorkSpaces que vous avez créés pour un utilisateur,utilisez le même nom d'utilisateur de base pour chaque WorkSpace.Par exemple, si vous avez un utilisateur nommé Mary Major avec le nom d'utilisateur ActiveDirectory mmajor, créez WorkSpaces pour lui avec des noms d'utilisateur tels que mmajor,mmajor1, mmajor2, mmajor3 ou d'autres variantes, telles que mmajor_windows ou mmajor_linux.Dans la mesure où toutes les WorkSpaces ont le même nom d'utilisateur de base de départ(mmajor), vous pouvez trier le nom d'utilisateur sur votre console WorkSpaces pour regrouper tousles WorkSpaces de cet utilisateur.

Important

• Un utilisateur peut avoir un PCoIP et un WSP WorkSpace, à condition que les deuxWorkSpaces soient situés dans des répertoires distincts. Le même utilisateur ne peut pas avoirun PCoIP et un WSP WorkSpace dans le même répertoire.

• Si vous configurez plusieurs WorkSpaces à utiliser avec la redirection entre régions, vousdevez configurer le WorkSpaces dans différents répertoires de différentes régions AWS,et vous devez utiliser les mêmes noms d'utilisateur dans chaque répertoire. Pour plusd'informations sur la redirection entre régions, consultez Redirection entre régions pourAmazonWorkSpaces (p. 177).

Pour basculer entre les WorkSpaces, l'utilisateur se connecte avec le nom d'utilisateur et le coded'enregistrement associés à un espace de travail particulier. Si l'utilisateur utilise une version 3.0+ desapplications clientes WorkSpaces pour Windows, macOS ou Linux, il peut attribuer des noms différents àl'WorkSpaces en accédant à Paramètres, Gérer les informations de connexion dans l'application cliente.

Personnalisation de la façon dont les utilisateurs seconnectent à leurWorkSpaces

Personnalisez l'accès de vos utilisateurs à WorkSpaces en utilisant des identificateurs de ressourcesuniformes (URIs) pour fournir une expérience de connexion simplifiée qui s'intègre aux flux de travailexistants de votre organisation. Par exemple, vous pouvez générer automatiquement une connexion URIsqui inscrit vos utilisateurs à l'aide de leur code d'enregistrement WorkSpaces. En conséquence :

• Les utilisateurs peuvent contourner le processus d'inscription manuelle.• Leurs noms d'utilisateur sont automatiquement saisis sur leur page de connexion du client WorkSpaces.• Si l'authentification multi-facteurs (MFA) est utilisée dans votre organisation, les codes de

l'authentification multi-facteurs (MFA) et les noms d’utilisateurs sont automatiquement entrés sur leurpage de connexion client.

L'accès des URI fonctionne avec les codes d'enregistrement basés sur la région (par exemple,WSpdx+ABC12D) et les codes d'enregistrement basés sur le nom de domaine complet (FQDN) (parexemple, desktop.example.com). Pour plus d'informations sur la création et l'utilisation des codesd'enregistrement basés sur le nom de domaine complet, consultez Redirection entre régions pourAmazonWorkSpaces (p. 177).

Vous pouvez configurer l'accès de l'URI à WorkSpaces pour les applications clientes sur les appareils prisen charge suivants :

91

Amazon WorkSpaces Guide d'administrationPersonnalisation de la façon dont les

utilisateurs se connectent à leurWorkSpaces

• Ordinateurs Windows• OrdinateursmacOS• Ordinateurs Ubuntu Linux 18.04• iPads• Appareils Android

Pour utiliser URIs afin d'accéder à leur WorkSpaces, les utilisateurs doivent d'abord installer l'applicationcliente pour leur appareil en ouvrant https://clients.amazonworkspaces.com/ et en suivant les instructions.

L'accès URI est pris en charge sur les navigateurs Firefox et Chrome sous Windows et les ordinateursmacOS, sur le navigateur Firefox sous Ubuntu Linux 18.04 et sur les navigateurs Internet Explorer etMicrosoft Edge sous les ordinateurs Windows. Pour plus d'informations sur les clients WorkSpaces,consultez Clients Amazon WorkSpaces dans le .Guide de l'utilisateur Amazon WorkSpaces

Note

Sur les appareils Android, l'accès des URI fonctionne uniquement avec le navigateur Firefox, etnon avec le navigateur Google Chrome.

Pour configurer l'accès de l'URI à WorkSpaces, utilisez l'un des formats d'URI décrits dans le tableausuivant.

Note

Si le composant de données de votre URI inclut l'un des caractères réservés suivants, nous vousrecommandons d'utiliser l'encodage en pourcent dans le composant afin d'éviter cette ambiguïté :@ : / ? & =Par exemple, si vous avez des noms d'utilisateurs qui incluent l'un de ces caractères, vousdevez utiliser l'encodage en pourcent pour ces noms d'utilisateurs dans votre URI. Pour plusd'informations, consultez Uniform Resource Identifier (URI): Generic Syntax.

Syntaxe prise en charge Description

workspaces:// Ouvre l'application cliente WorkSpaces. (Remarque :l'utilisation d'espaces de travail : // n'est pas actuellementprise en charge dans l'application cliente Linux.)

workspaces://@registrationcode Enregistre un utilisateur à l'aide de son code d'enregistrementWorkSpaces. Affiche également la page de connexion duclient.

workspaces://username@registrationcode

Enregistre un utilisateur à l'aide de son code d'enregistrementWorkSpaces. Entre aussi automatiquement le nomd'utilisateur dans le champ nom d'utilisateur sur la page deconnexion du client.

workspaces://username@registrationcode?MFACode=mfa

Enregistre un utilisateur à l'aide de son code d'enregistrementWorkSpaces. Entre aussi automatiquement le nomd'utilisateur dans le champ nom d'utilisateur et le code Multi-Factor Authentication (MFA) dans le champ Code MFA sur lapage de connexion du client.

workspaces://@registrationcode?mfacode=mfa

Enregistre un utilisateur à l'aide de son code d'enregistrementWorkSpaces. Entre aussi automatiquement le code d'Multi-Factor Authentication (MFA) dans le champ MFA code (CodeMFA) sur la page de connexion du client.

92



https://www.rfc-editor.org/rfc/rfc3986.txt

Amazon WorkSpaces Guide d'administrationActivez les fonctionnalités de gestion

WorkSpace en libre-service pour vos utilisateurs

Note

Si les utilisateurs ouvrent un lien URI lorsqu'ils sont déjà connectés à un WorkSpace à partir d'unclient Windows, une nouvelle session WorkSpaces s'ouvre et leur session WorkSpaces d'originereste ouverte. Si les utilisateurs ouvrent un lien URI lorsqu'ils sont connectés à une WorkSpacedepuis un client macOS, iPad ou Android, aucune nouvelle session ne s'ouvre ; seule leur sessionWorkSpaces d'origine reste ouverte.

Activez les fonctionnalités de gestion WorkSpaceen libre-service pour vos utilisateurs

Dans Amazon WorkSpaces, vous pouvez activer des fonctionnalités de gestion WorkSpace en libre-service pour vos utilisateurs afin de leur donner davantage de contrôle sur leur expérience. Et vous pouvezégalement réduire la charge de travail de votre service support informatique pour Amazon WorkSpaces.Lorsque vous activez les fonctionnalités en libre-service, vous pouvez autoriser les utilisateurs à effectuerune ou plusieurs des tâches suivantes directement à partir de leur client Windows, macOS ou Linux pourAmazon WorkSpaces :

• Mettre en cache leurs informations d'identification sur leur client. Ils peuvent ainsi se reconnecter à leurWorkSpace sans avoir à saisir à nouveau leurs informations d'identification.

• Redémarrez (redémarrez) leur WorkSpace.• Augmente la taille des volumes racine et utilisateur sur leur WorkSpace.• Permet de modifier le type de calcul (solution groupée) de leur WorkSpace.• Permet de changer le mode d'exécution de leur WorkSpace.• Permet de reconstruire leur WorkSpace.

Procédez comme suit pour activer une ou plusieurs de ces fonctionnalités pour vos utilisateurs.

Pour activer les fonctionnalités de gestion en libre-service pour vos utilisateurs

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire, puis choisissez Actions, Update Details.4. Développez User Self-Service Permissions (Autorisations de libre-service pour l'utilisateur). Activez ou

désactivez les options suivantes si nécessaire pour déterminer les tâches de gestion WorkSpace queles utilisateurs peuvent effectuer à partir de leur client :

• Se souvenir de moi — Les utilisateurs peuvent choisir de mettre en cache leurs informationsd'identification sur leur client en cochant la case Se souvenir de moi ou Se souvenir de moi surl'écran de connexion. Les informations d'identification sont mises en cache uniquement dansla mémoire RAM. Lorsque les utilisateurs choisissent de mettre en cache leurs informationsd'identification, ils peuvent se reconnecter à leur WorkSpaces sans avoir à saisir à nouveau leursinformations d'identification. Pour contrôler la durée pendant laquelle les utilisateurs peuvent mettreen cache leurs informations d'identification, consultez Définition de la durée de vie maximale pour unticket Kerberos (p. 109).

• Redémarrer WorkSpace à partir du client Les utilisateurs — peuvent redémarrer (redémarrer) leurWorkSpace. Le redémarrage déconnecte l'utilisateur de son WorkSpace, l'arrête et le redémarre.Les données utilisateur, le système d'exploitation et les paramètres système ne sont pas affectés.

• Augmente la taille du volume Les utilisateurs peuvent étendre les volumes racine et utilisateur deleur — jusqu'à une taille spécifiée sans contacter le support informatique.WorkSpace Les utilisateurspeuvent augmenter la taille du volume racine (pour Windows, le lecteur C: ; pour Linux, /) jusqu'à

93


Amazon WorkSpaces Guide d'administrationActivez les fonctionnalités de gestion

WorkSpace en libre-service pour vos utilisateurs

175 Go, et la taille du volume utilisateur (pour Windows, le lecteur D: ; pour Linux, /home) jusqu'à100 Go. Les volumes racine et utilisateur WorkSpace sont fournis dans des groupes définis qui nepeuvent pas être modifiés. Les groupes disponibles sont \[Racine (Go), Utilisateur (Go)] : [80, 10],[80, 50], [80, 100], [175 jusqu'à 2000, 100 jusqu'à 2000]. Pour plus d'informations, consultez Modifierune WorkSpace (p. 115).

Pour une WorkSpace nouvellement créée, les utilisateurs doivent attendre 6 heures avant depouvoir augmenter la taille de ces lecteurs. Ils ne peuvent par la suite le faire qu'une seule foispar période de 6 heures. Pendant l'augmentation de la taille du volume, les utilisateurs peuventeffectuer la plupart des tâches sur leur WorkSpace. Les tâches qu'ils ne peuvent pas effectuer sontles suivantes : modification de leur type de calcul WorkSpace, changement de leur mode d'exécutionWorkSpace, redémarrage de leur WorkSpace ou reconstruction de leur WorkSpace. Une fois leprocessus terminé, le WorkSpace doit être redémarré pour que les modifications prennent effet. Ceprocessus peut prendre jusqu'à une heure.

Note

Si les utilisateurs augmentent la taille du volume sur leur WorkSpace, le taux de facturationde leur WorkSpace augmente.

• Modifier le type de calcul — Les utilisateurs peuvent basculer leur WorkSpace entre les types decalcul (solutions groupées). Pour une WorkSpace nouvellement créée, les utilisateurs doiventattendre 6 heures avant de pouvoir passer à un autre bundle. Ils peuvent ensuite opter pour unesolution groupée plus grande une seule fois dans une période de 6 heures, ou pour une solutiongroupée plus petite, une seule fois dans une période de 30 jours. Lorsqu'une modification du typede calcul WorkSpace est en cours, les utilisateurs sont déconnectés de leur WorkSpace et ils nepeuvent pas utiliser ou modifier l'WorkSpace. est automatiquement redémarré pendant le processusde modification du type de calcul.WorkSpace Ce processus peut prendre jusqu'à une heure.

Note

Si les utilisateurs modifient leur type de calcul WorkSpace, le taux de facturation de leurWorkSpace sera modifié.

• Switch running mode (Changer de mode d'exécution) — Les utilisateurs peuvent basculer leurWorkSpace entre les modes d'exécution AlwaysOn et .AutoStop Pour plus d'informations, consultezGestion du mode d'exécutionWorkSpace (p. 114).

Note

Si les utilisateurs changent le mode d'exécution de leur WorkSpace, le taux de facturationde leur WorkSpace sera modifié.

• Recréer WorkSpace à partir du client — Les utilisateurs peuvent réinitialiser le systèmed'exploitation d'un WorkSpace à son état d'origine. Lorsqu'une WorkSpace est recréée, le volumeutilisateur (lecteur D:) est recréé à partir de la dernière sauvegarde. Les sauvegardes étanteffectuées toutes les 12 heures, les données utilisateur ont au maximum 12 heures. Pour unWorkSpace nouvellement créé, les utilisateurs doivent attendre 12 heures avant de pouvoirreconstruire leur WorkSpace. Lors de la reconstruction d'une WorkSpace, les utilisateurs sontdéconnectés de leur WorkSpace et ils ne peuvent pas utiliser ou modifier leur WorkSpace. Ceprocessus peut prendre jusqu'à une heure.

5. Choisissez Update (Mettre à jour) ou Update and Exit (Mettre à jour et quitter).

94

Amazon WorkSpaces Guide d'administrationGestion de vos WorkSpaces Windows

Administrer votreWorkSpacesVous pouvez administrer votre WorkSpaces à l'aide de la console Amazon WorkSpaces.

Pour effectuer des tâches d'administration d'annuaire, consultez the section called “Configurerl'administration de l'annuaire” (p. 72).

Sommaire• Gestion de vos WorkSpaces Windows (p. 95)• Gestion de vos Amazon Linux WorkSpaces (p. 109)• Gestion du mode d'exécutionWorkSpace (p. 114)• Modifier une WorkSpace (p. 115)• Ressources WorkSpaces de balise (p. 117)• MaintenanceWorkSpace (p. 119)• ChiffréWorkSpaces (p. 120)• Redémarrer une WorkSpace. (p. 127)• Recréer une WorkSpace (p. 128)• Restaurer une WorkSpace (p. 129)• Mettre à niveau Windows 10 BYOL WorkSpaces (p. 130)• Migrer une WorkSpace (p. 136)• Supprimer un WorkSpace (p. 140)

Gestion de vos WorkSpaces WindowsVous pouvez utiliser des objets de stratégie de groupe (GPOs) pour appliquer des paramètres afin de gérerles WorkSpaces Windows ou les utilisateurs qui font partie de votre annuaire WorkSpaces Windows.

Note

Les instances Linux ne respectent pas la stratégie de groupe. Pour plus d'informationssur la gestion de Amazon Linux WorkSpaces, consultez Gestion de vos Amazon LinuxWorkSpaces (p. 109).

Nous vous recommandons de créer une unité d'organisation pour vos objets ordinateur WorkSpaces et uneunité d'organisation pour vos objets utilisateur WorkSpaces.

Pour utiliser les paramètres de stratégie de groupe spécifiques à Amazon WorkSpaces, vous devezinstaller le modèle d'administration de stratégie de groupe pour le ou les protocoles que vous utilisez,PCoIP ou WorkSpaces Streaming Protocol (WSP).

Warning

Les paramètres de stratégie de groupe peuvent affecter l'expérience de vos utilisateursWorkSpace comme suit :

95

Amazon WorkSpaces Guide d'administrationGestion de vos WorkSpaces Windows

• L'implémentation d'un message de connexion interactive pour afficher une bannière deconnexion empêche les utilisateurs d'accéder à leur WorkSpaces. Le paramètre de stratégie degroupe de message de connexion interactive n'est actuellement pas pris en charge par AmazonWorkSpaces.

• La désactivation du stockage amovible via les paramètres de stratégie de groupe entraîne unéchec de connexion qui connecte les utilisateurs à un profil temporaire sans accès au lecteur D.

• La suppression d'utilisateurs du groupe local Utilisateurs des services Bureau à distance viales paramètres de stratégie de groupe empêche ces utilisateurs de pouvoir s'authentifier viales applications clientes WorkSpaces. Pour plus d'informations sur ce paramètre de stratégiede groupe, consultez Autoriser la connexion via les services Bureau à distance dans ladocumentation Microsoft.

• Les paramètres de la stratégie de groupe peuvent être utilisés pour restreindre l'accès auxlecteurs. Si vous configurez les paramètres de stratégie de groupe pour restreindre l'accèsau lecteur C ou D, les utilisateurs ne peuvent pas accéder à leur WorkSpaces. Pour éviter ceproblème, assurez-vous que vos utilisateurs peuvent accéder aux lecteurs C et D.

• La fonction d'audio WorkSpaces nécessite un accès à la connexion locale dans l'WorkSpace. Lafonction d'entrée audio est activée par défaut pour les WorkSpaces Windows. Toutefois, si vousavez un paramètre de stratégie de groupe qui limite la connexion locale des utilisateurs dansleur WorkSpaces, l'audio entrant ne fonctionnera pas sur votre WorkSpaces. Si vous supprimezce paramètre de stratégie de groupe, la fonction d'entrée audio est activée après le prochainredémarrage de l'WorkSpace. Pour plus d'informations sur ce paramètre de stratégie de groupe,consultez Autoriser la connexion localement dans la documentation Microsoft.

Pour plus d'informations sur l'activation ou la désactivation de la redirection de la fonction audio,consultez Activation ou désactivation de la redirection audio pourPCoIP (p. 100) ou Activationou désactivation de la redirection audio pourWSP (p. 105).

• Certains paramètres de stratégie de groupe peuvent forcer les utilisateurs à se déconnecterlorsque celui-ci est déconnecté d'une session. Les applications que les utilisateurs ont ouvertessur leur WorkSpaces sont fermées.

Pour plus d'informations sur l'utilisation des outils d'administration Active Directory pour travailler avecGPOs, consultez Configurer des outils d'administration Active Directory pour Amazon WorkSpaces (p. 72).

Sommaire• Installer le modèle d'administration de stratégie de groupe pourPCoIP (p. 97)

• Configuration de la prise en charge de l'imprimante pourPCoIP (p. 97)• Activation ou désactivation de la redirection du presse-papiers pourPCoIP (p. 99)• Définir le délai de reprise de session pour PCoIP (p. 100)• Activation ou désactivation de la redirection audio pourPCoIP (p. 100)• Désactivation de la redirection de fuseau horaire pourPCoIP (p. 101)

• Installer les fichiers du modèle d'administration de stratégie de groupe pour l'WorkSpaces StreamingProtocol (WSP) (p. 102)

• Prise en charge de l'imprimante pourWSP (p. 103)• Activation ou désactivation de la redirection du presse-papiers pourWSP (p. 104)• Activation ou désactivation de la redirection de vidéo entrante pourWSP (p. 105)• Activation ou désactivation de la redirection audio pourWSP (p. 105)• Désactivation de la redirection de fuseau horaire pourWSP (p. 106)• Activation ou désactivation de la redirection de cartes intelligentes pourWSP (p. 107)• Activer ou désactiver la session de déconnexion sur le verrouillage d'écran pour

WSP (p. 108)• Définition de la durée de vie maximale pour un ticket Kerberos (p. 109)

96

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally

Amazon WorkSpaces Guide d'administrationInstaller le modèle d'administrationde stratégie de groupe pourPCoIP

• Configuration des paramètres du serveur proxy de l'appareil pour l'accès Internet (p. 109)

Installer le modèle d'administration de stratégie degroupe pourPCoIPPour utiliser les paramètres de stratégie de groupe spécifiques à Amazon WorkSpaces lors de l'utilisationdu protocole PCoIP, vous devez installer le modèle d'administration de stratégie de groupe pour PCoIP.Exécutez la procédure suivante sur une instance WorkSpace ou Amazon EC2 d'administration d'annuairejointe à votre annuaire.

Pour installer le modèle d'administration de stratégie de groupe pourPCoIP

1. Depuis un WorkSpace Windows en cours d'exécution, effectuez une copie du fichier pcoip.adm dansle répertoire C:\Program Files (x86)\Teradici\PCoIP Agent\configuration.

2. Sur une instance d'administration d'annuaire WorkSpace ou Amazon EC2 jointe à votre annuaireWorkSpaces, ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à l'unitéd'organisation de votre domaine qui contient vos comptes de machine WorkSpaces.

3. Ouvrez le menu contextuel (clic droit) de l'unité d'organisation de compte machine et choisissez Createa GPO in this domain, and link it here.

4. Dans la boîte de dialogue New GPO, entrez un nom descriptif pour l'objet de stratégie de groupe, telque WorkSpaces Machine Policies, et laissez Source Starter GPO défini sur (none). Choisissez OK.

5. Ouvrez le menu contextuel (clic droit) correspondant au nouvel objet Stratégie de groupe et choisissezModifier.

6. Dans l'éditeur de gestion des stratégies de groupe, choisissez Computer Configuration, Policies etAdministrative Templates. Choisissez Action, Ajouter/Supprimer des modèles dans le menu principal.

7. Dans la boîte de dialogue Add/Remove Templates, choisissez Add, sélectionnez le fichier pcoip.admcopié précédemment, puis choisissez Open, Close.

8. Fermez l'éditeur de gestion des stratégies de groupe. Vous pouvez désormais utiliser cet objetStratégie de groupe pour modifier les paramètres de stratégie de groupe qui sont spécifiques àAmazon WorkSpaces.

Configuration de la prise en charge de l'imprimante pourPCoIPPar défaut, Amazon WorkSpaces active l'impression à distance de base, qui offre des capacitésd'impression limitées, car il utilise un pilote d'imprimante générique côté hôte pour garantir la compatibilitéde l'impression.

L'impression à distance avancée pour les clients Windows vous permet d'utiliser des fonctions spécifiquesde votre imprimante, telles que l'impression recto-verso, mais elle nécessite l'installation du piloted'imprimante correspondant côté hôte.

L'impression à distance est implémentée en tant que canal virtuel. Si les canaux virtuels sont désactivés,l'impression à distance ne fonctionne pas.

Pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie de groupe pour configurerla prise en charge de l'imprimante en fonction des besoins.

Pour configurer la prise en charge de l'imprimante

1. Assurez-vous que le modèle d'administration de stratégie de groupe Amazon WorkSpaces le plusrécent pour PCoIP (p. 97) est installé dans votre domaine.

97


2. Sur une instance d'administration d'annuaire WorkSpace ou Amazon EC2 jointe à votre annuaireWorkSpaces, ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à l'objet Stratégiede groupe WorkSpaces de vos comptes de machine WorkSpaces, puis sélectionnez-le. ChoisissezAction, Edit (Modifier) dans le menu principal.

3. Dans l'éditeur de gestion des stratégies de groupe, choisissez Computer Configuration (Configurationde l'ordinateur), Policies (Stratégies), Administrative Templates (Modèles d'administration),Classic Administrative Templates (Modèles d'administration classiques), PCoIP Session Variables(Variables de session) et Overridable Administrator Defaults (Valeurs par défaut de l'administrateurremplaçables).

4. Ouvrez le paramètre Configure remote printing (Configurer l'impression à distance).5. Dans la boîte de dialogue Configure remote printing (Configurer l'impression à distance), effectuez

l'une des opérations suivantes :• Pour activer l'impression à distance avancée, choisissez Enabled (Activé), puis sous Options,

Configure remote printing (Configurer l'impression à distance), choisissez Basic and Advancedprinting for Windows clients (Impression de base et avancée pour les clients Windows). Pourutiliser automatiquement l'imprimante par défaut actuelle de l'ordinateur client, sélectionnezAutomatically set default printer (Définir automatiquement l'imprimante par défaut).

• Pour désactiver l'impression, choisissez Enabled (Activé), puis sous Options, Configure remoteprinting (Configurer l'impression à distance), choisissez Printing disabled (Impression désactivée).

6. Choisissez OK.7. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de

la stratégie de groupe pour l'WorkSpace et après le redémarrage de la session WorkSpace. Pourappliquer les modifications de stratégie de groupe, effectuez l'une des actions suivantes :



Par défaut, la redirection d'imprimante locale est désactivée. Vous pouvez utiliser les paramètres destratégie de groupe pour activer cette fonction afin que votre imprimante locale soit définie commeimprimante par défaut chaque fois que vous vous connectez à votre WorkSpace.

Note

La redirection d'imprimante locale n'est pas disponible pour Amazon Linux WorkSpaces.

Pour activer la redirection d'imprimante locale



3. Dans l'éditeur de gestion des stratégies de groupe, choisissez Computer Configuration (Configurationde l'ordinateur), Policies (Stratégies), Administrative Templates (Modèles d'administration), ClassicAdministrative Templates (Modèles d'administration classiques), PCoIP Session Variables (Variablesde session) et Overridable Administrator Defaults (Valeurs par défaut administrateur remplaçables).

4. Ouvrez le paramètre Configure remote printing (Configurer l'impression à distance).5. Choisissez Enabled (Activé), puis sous Options, Configure remote printing (Configurer l'impression à

distance), choisissez l'une des options suivantes :

• Impression de base et avancée pour les clients Windows

98


• Impression de base6. Sélectionnez Automatically set default printer (Définir automatiquement l'imprimante par défaut), puis

choisissez OK.7. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de




Activation ou désactivation de la redirection du presse-papierspourPCoIPPar défaut, Amazon WorkSpaces prend en charge la redirection du presse-papiers. Si nécessaire pour lesWorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie de groupe pour désactiver cettefonction.

Pour activer ou désactiver la redirection du presse-papiers



3. Dans l'éditeur de gestion des stratégies de groupe, choisissez Computer Configuration (Configurationde l'ordinateur), Policies (Stratégies), Administrative Templates (Modèles d'administration), ClassicAdministrative Templates (Modèles d'administration classiques), PCoIP Session Variables (Variablesde session) et Overridable Administrator Defaults (Valeurs par défaut administrateur remplaçables).

4. Ouvrez le paramètre Configure clipboard redirection (Configurer la redirection du presse-papiers).5. Dans la boîte de dialogue Configure clipboard redirection (Configurer la redirection du presse-papiers),

choisissez Enabled (Activé), puis choisissez l'un des paramètres suivants pour déterminer la directionautorisée pour la redirection du presse-papiers. Une fois que vous avez terminé, choisissez OK.

• Désactivé dans les deux directions• Activation agent vers client uniquement (WorkSpace vers ordinateur local)• Client activé vers l'agent uniquement (ordinateur local vers WorkSpace)• Activé dans les deux directions

6. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante dela stratégie de groupe pour l'WorkSpace et après le redémarrage de la session WorkSpace. Pourappliquer les modifications de stratégie de groupe, effectuez l'une des actions suivantes :



Limitation connue

Avec la redirection du presse-papiers activée sur le WorkSpace, si vous copiez un contenu supérieur à 890Ko à partir d'une application Microsoft Office, l'application peut devenir lente ou ne plus répondre pendantun maximum de 5 secondes.

99


Définir le délai de reprise de session pour PCoIPLorsque vous utilisez les applications clientes Amazon WorkSpaces, une interruption de la connectivitéréseau entraîne la déconnexion d'une session active. Cela peut être dû à des événements comme lafermeture de l'écran d'un portable ou la perte de votre connexion réseau sans fil. Les applications clientesAmazon WorkSpaces pour Windows et macOS tentent de reconnecter la session automatiquement si laconnectivité réseau reprend dans un certain laps de temps. Le délai d'expiration de reprise de session pardéfaut est de 20 minutes, mais vous pouvez modifier cette valeur pour les WorkSpaces qui sont contrôléspar les paramètres de stratégie de groupe de votre domaine.

Pour définir la valeur de délai d'expiration de reprise de session automatique



3. Dans l'éditeur de gestion des stratégies de groupe, choisissez Configuration de l'ordinateur, Stratégies,Modèles d'administration, Modèles d'administration classiques et Variables de sessionPCoIP.

Pour permettre à l'utilisateur de remplacer votre paramètre, choisissez Overridable AdministratorDefaults (Valeurs par défaut administrateur remplaçables) ; sinon, choisissez Not OverridableAdministrator Defaults (Valeurs par défaut administrateur non remplaçables).

4. Ouvrez le paramètre Configure Session Automatic Reconnection Policy (Configurer la stratégie dereconnexion automatique de session).

5. Dans la boîte de dialogue Configure Session Automatic Reconnection Policy, choisissez Enabled,définissez l'option Configure Session Automatic Reconnection Policy sur le délai d'expiration souhaité,en minutes, puis choisissez OK.




Activation ou désactivation de la redirection audio pourPCoIPPar défaut, Amazon WorkSpaces prend en charge la redirection des données à partir d'un microphonelocal. Si nécessaire pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie degroupe pour désactiver cette fonction.

Note

Si vous avez un paramètre de stratégie de groupe qui limite la connexion locale des utilisateursdans leur WorkSpaces, l'entrée audio ne fonctionne pas sur votre WorkSpaces. Si vous supprimezce paramètre de stratégie de groupe, la fonction d'entrée audio est activée après le prochainredémarrage de l'WorkSpace. Pour plus d'informations sur ce paramètre de stratégie de groupe,consultez Autoriser la connexion localement dans la documentation Microsoft.

Pour activer ou désactiver la redirection avec audio

1. Sur une instance d'administration d'annuaire WorkSpace ou Amazon EC2 jointe à votre annuaireWorkSpaces, ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à un objet

100

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/allow-log-on-locally


de stratégie de groupe et sélectionnez-le au niveau du domaine ou du contrôleur de domaine del'annuaire que vous utilisez pour votre WorkSpaces. (Si le modèle d'administration de stratégie degroupe Amazon WorkSpaces est installé dans votre domaine, vous pouvez utiliser l'objet de stratégiede groupe (p. 97) pour vos comptes de machine WorkSpaces.)WorkSpaces


de l'ordinateur), Policies (Stratégies), Administrative Templates (Modèles d'administration),Classic Administrative Templates (Modèles d'administration classiques), PCoIP Session Variables(Variables de session) et Overridable Administrator Defaults (Valeurs par défaut de l'administrateurremplaçables).

4. Ouvrez le paramètre Activer/Désactiver l'audio dans la PCoIPsession .5. Dans la boîte de dialogue Activer/Désactiver l'audio dans la session PCoIP, choisissez Activé ou

Désactivé.6. Choisissez OK.7. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de




Désactivation de la redirection de fuseau horaire pourPCoIPPar défaut, l'heure au sein d'un espace de travail est définie pour refléter le fuseau horaire du client utilisépour se connecter au WorkSpace. Ce comportement est contrôlé via la redirection de fuseau horaire. Vouspouvez désactiver la direction du fuseau horaire pour diverses raisons :

• Votre entreprise souhaite que tous les employés travaillent dans un fuseau horaire spécifique (même sicertains employés sont dans d'autres fuseaux horaires).

• Vous avez planifié des tâches dans un WorkSpace qui sont destinées à s'exécuter à un moment donnédans un fuseau horaire spécifique.

• Vos utilisateurs qui voyagent beaucoup souhaitent conserver leurs WorkSpaces dans un fuseau horairepour des raisons de cohérence et de préférence personnelle.

Si nécessaire pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie de groupepour désactiver cette fonction.

Pour désactiver la redirection de fuseau horaire

1. Sur une instance WorkSpace ou Amazon EC2 d'administration d'annuaire jointe à votre annuaireWorkSpaces, ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc) et accédez à un objetde stratégie de groupe et sélectionnez-le au niveau du domaine ou du contrôleur de domaine del'annuaire que vous utilisez pour votre WorkSpaces. (Si le modèle d'administration de stratégie degroupe Amazon WorkSpaces est installé dans votre domaine, vous pouvez utiliser l'objet de stratégiede groupe (p. 97) pour vos comptes de machine WorkSpaces.)WorkSpaces

2. Choisissez Action, Edit (Modifier) dans le menu principal.3. Dans l'Éditeur de gestion des stratégies de groupe, choisissez Configuration ordinateur, Stratégies,

Modèles d'administration, Composants Windows, Services Bureau à distance, Hôte de session Bureauà distance et Redirection des appareils et des ressources.

4. Ouvrez le paramètre Autoriser la redirection de fuseau horaire.5. Dans la boîte de dialogue Autoriser la redirection de fuseau horaire, choisissez Désactivé, puis OK.

101

Amazon WorkSpaces Guide d'administrationInstaller les fichiers du modèle d'administration

de stratégie de groupe pourWSP



• À partir d'une invite de commande administrative, entrez gpupdate /force.7. Définissez le fuseau horaire de l'WorkSpaces sur le fuseau horaire souhaité.

Le fuseau horaire du WorkSpaces est désormais statique et ne reflète plus le fuseau horaire des machinesclientes.

Installer les fichiers du modèle d'administration destratégie de groupe pour l'WorkSpaces StreamingProtocol (WSP)Pour utiliser les paramètres de stratégie de groupe qui sont spécifiques à Amazon WorkSpaces lors del'utilisation de l'WorkSpaces Streaming Protocol (WSP), vous devez ajouter le modèle d'administrationde stratégie de groupe wsp.admx et les fichiers wsp.adml pour WSP au magasin central du contrôleurde domaine de votre répertoire WorkSpaces. Pour plus d'informations sur les fichiers .admx et .adml,consultez Comment créer et gérer le magasin central pour les modèles d'administration de stratégie degroupe dans Windows.

La procédure suivante décrit comment créer le magasin central et y ajouter les fichiers de modèled'administration. Procédez comme suit sur une instance d'administration d'annuaire WorkSpace ouAmazon EC2 jointe à votre annuaire WorkSpaces.

Pour installer les fichiers de modèle d'administration de stratégie de groupe pourWSP

1. Depuis un WorkSpace Windows en cours d'exécution, effectuez une copie des fichiers wsp.admx etwsp.adml dans le répertoire C:\Program Files\Amazon\WSP.

2. Accédez au dossier réseau partagé du domaine sur une instance WorkSpace ou Amazon EC2d'administration d'annuaire jointe à votre annuaire WorkSpaces. Ce dossier comportera le nom dedomaine complet (FQDN) de votre organisation, tel que \\example.com. Dans l'Explorateur defichiers Windows, accédez à Réseau > .FQDN.

3. Ouvrez le dossier SYSVOL4. Ouvrez le dossier avec le nom FQDN.5. Ouvrez le dossier Policies Vous devriez maintenant être dans \\FQDN\SYSVOL\FQDN\Policies.6. S'il n'existe pas déjà, créez un dossier nommé PolicyDefinitions.7. Ouvrez le dossier PolicyDefinitions8. Copiez le fichier wsp.admx dans le dossier \\FQDN\SYSVOL\FQDN\Policies

\PolicyDefinitions.9. Créez un dossier nommé en-US dans le dossier PolicyDefinitions.10. Ouvrez le dossier en-US11. Copiez le fichier wsp.adml dans le dossier \\FQDN\SYSVOL\FQDN\Policies

\PolicyDefinitions\en-US.

Pour vérifier que les fichiers de modèle d'administration sont correctement installés

1. Sur l'instance WorkSpace ou Amazon EC2 d'administration de votre annuaire qui est jointe à votreannuaire WorkSpaces, ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc).

102

https://support.microsoft.com/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra




2. Développez la forêt (Forêt :FQDN).3. Développez Domains (Domaines).4. Développez votre nom de domaine complet (par exemple, example.com).5. Développez Group Policy Objects (Objets de stratégie de groupe).6. Sélectionnez Default Domain Policy (Stratégie de domaine par défaut), ouvrez le menu contextuel (clic

droit) et choisissez Edit (Modifier).7. Dans l'éditeur de gestion des stratégies de groupe, choisissez Configuration de l'ordinateur, Stratégies,

Modèles d'administration, Amazon et WSP.8. Vous pouvez désormais utiliser cet objet Stratégie de groupe WSP pour modifier les paramètres de

stratégie de groupe qui sont spécifiques à Amazon WorkSpaces lorsque vous utilisez WSP.

Prise en charge de l'imprimante pourWSPPar défaut, Amazon WorkSpaces active l'impression à distance de base, qui offre des capacitésd'impression limitées, car il utilise un pilote d'imprimante générique côté hôte pour garantir la compatibilitéde l'impression.

L'impression à distance avancée pour les clients Windows (non disponible pour WSP) vous permetd'utiliser des fonctions spécifiques de votre imprimante, telles que l'impression double face, mais ellenécessite l'installation du pilote d'imprimante correspondant côté hôte.

L'impression à distance est implémentée en tant que canal virtuel. Si les canaux virtuels sont désactivés,l'impression à distance ne fonctionne pas.

Pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie de groupe pour configurerla prise en charge de l'imprimante en fonction des besoins.

Pour configurer la prise en charge de l'imprimante

1. Assurez-vous que le modèle d'administration de stratégie de groupe Amazon WorkSpaces le plusrécent pour WSP (p. 102) est installé dans le magasin central du contrôleur de domaine de votrerépertoire WorkSpaces.

2. Sur l'instance WorkSpace ou Amazon EC2 de votre annuaire jointe à votre annuaire WorkSpaces,ouvrez l'outil Gestion des stratégies de groupe (gpmc.msc).



Modèles d'administration, Amazon et WSP.9. Ouvrez le paramètre Configure remote printing (Configurer l'impression à distance).10. Dans la boîte de dialogue Configure remote printing (Configurer l'impression à distance), effectuez

l'une des opérations suivantes :• Pour activer la redirection d'imprimante locale, choisissez Enabled (Activé), puis pour Printing

options (Options d'impression), choisissez Basic (Basique). Pour utiliser automatiquementl'imprimante par défaut actuelle de l'ordinateur client, sélectionnez Map local default printer to theremote host.

• Pour désactiver l'impression, choisissez Désactivé.11. Choisissez OK.

103






Activation ou désactivation de la redirection du presse-papierspourWSPPar défaut, Amazon WorkSpaces prend en charge la redirection du presse-papiers bidirectionnelle (copier/coller). Si nécessaire pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie degroupe pour désactiver cette fonction.

Pour activer ou désactiver la redirection du presse-papiers pour WindowsWorkSpaces





Modèles d'administration, Amazon et WSP.9. Ouvrez le paramètre Enable/disable clipboard redirection (Activer/désactiver la redirection du presse-

papiers).10. Dans la boîte de dialogue Enable/disable clipboard redirection, choisissez Enabled ou Disabled.11. Choisissez OK.12. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de




Limitation connue

Avec la redirection du presse-papiers activée sur l'WorkSpace, si vous copiez un contenu supérieur à 890Ko à partir d'une application Microsoft Office, l'application peut devenir lente ou ne plus répondre pendant 5secondes.

104



Activation ou désactivation de la redirection de vidéo entrantepourWSPPar défaut, Amazon WorkSpaces prend en charge la redirection des données à partir d'une caméra locale.Si nécessaire pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie de groupepour désactiver cette fonction.

Pour activer ou désactiver la redirection vidéo dans pour WindowsWorkSpaces





Modèles d'administration, Amazon et WSP.9. Ouvrez le paramètre Enable/disable video-in redirection.10. Dans la boîte de dialogue Enable/disable video-in redirection, choisissez Enabled ou Disabled.11. Choisissez OK.12. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de




Activation ou désactivation de la redirection audio pourWSPPar défaut, Amazon WorkSpaces prend en charge la redirection des données à partir d'un microphonelocal. Si nécessaire pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie degroupe pour désactiver cette fonction.

Pour activer ou désactiver la redirection de la redirection audio pour WindowsWorkSpaces



3. Développez la forêt (Forêt :FQDN).4. Développez Domains (Domaines).5. Développez votre nom de domaine complet (par exemple, example.com).6. Développez Group Policy Objects (Objets de stratégie de groupe).

105



7. Sélectionnez Default Domain Policy (Stratégie de domaine par défaut), ouvrez le menu contextuel (clicdroit) et choisissez Edit (Modifier).

8. Dans l'éditeur de gestion des stratégies de groupe, choisissez Configuration de l'ordinateur, Stratégies,Modèles d'administration, Amazon et WSP.

9. Ouvrez le paramètre Enable/disable audio-in redirection.10. Dans la boîte de dialogue Enable/disable audio-in redirection, choisissez Enabled ou Disabled.11. Choisissez OK.12. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de




Désactivation de la redirection de fuseau horaire pourWSPPar défaut, l'heure au sein d'un espace de travail est définie pour mettre en miroir le fuseau horaire duclient utilisé pour se connecter au WorkSpace. Ce comportement est contrôlé via la redirection de fuseauhoraire. Vous pouvez désactiver la direction du fuseau horaire pour diverses raisons :




Si nécessaire pour les WorkSpaces Windows, vous pouvez utiliser les paramètres de stratégie de groupepour désactiver cette fonction.

Pour désactiver la redirection de fuseau horaire pour les WorkSpaces Windows





Modèles d'administration, Amazon et WSP.9. Ouvrez le paramètre Activer/Désactiver la redirection de fuseau horaire.10. Dans la boîte de dialogue Activer/Désactiver la redirection de fuseau horaire, choisissez Désactivé.11. Choisissez OK.

106





• À partir d'une invite de commande administrative, entrez gpupdate /force.13. Définissez le fuseau horaire de l'WorkSpaces sur le fuseau horaire souhaité.

Le fuseau horaire du WorkSpaces est désormais statique et ne reflète plus le fuseau horaire des machinesclientes.

Activation ou désactivation de la redirection de cartes intelligentespourWSPPar défaut, Amazon WorkSpaces n'est pas activé pour prendre en charge l'utilisation de cartes intelligentespour l'authentification préalable à la session ou l'authentification en session. L'authentification préalableà la session fait référence à l'authentification par carte intelligente effectuée lorsque les utilisateurs seconnectent à leur WorkSpaces. L'authentification en session fait référence à l'authentification effectuéeaprès la connexion.

Si nécessaire, vous pouvez activer l'authentification en session pour Windows WorkSpaces en utilisant lesparamètres de stratégie de groupe. Vous ne pouvez pas activer l'authentification préalable à la sessionvia une stratégie de groupe, mais vous pouvez le faire via les paramètres de votre annuaire AD Connectorà l'aide de l'action d'API EnableClientAuthentication ou de la commande enable-client-authenticationde l'interface de ligne de commande AWS (AWS CLI). Pour plus d'informations, consultez Activation del'authentification par carte intelligente pour le connecteur AD dans le AWS Directory Service AdministrationGuide.

Note

Pour activer l'utilisation de cartes intelligentes avec Windows WorkSpaces, des étapessupplémentaires sont requises. Pour plus d'informations, consultez Utiliser des cartes intelligentespour l'authentification (p. 37).

Pour activer ou désactiver la redirection de cartes intelligentes pour WindowsWorkSpaces





Modèles d'administration, Amazon et WSP.9. Ouvrez le paramètre Activer/Désactiver la redirection de cartes intelligentes.10. Dans la boîte de dialogue Enable/disable smart card redirection, choisissez Enabled ou Disabled.

107





11. Choisissez OK.12. La modification du paramètre de stratégie de groupe prend effet après la mise à jour suivante de




Activer ou désactiver la session de déconnexion sur leverrouillage d'écran pour WSPSi nécessaire, vous pouvez déconnecter les sessions WorkSpaces des utilisateurs lorsque l'écran deverrouillage Windows est détecté. Pour se reconnecter à partir du client WorkSpaces, les utilisateurspeuvent utiliser leurs mots de passe ou cartes à puce pour s'authentifier eux-mêmes, en fonction du typed'authentification qui a été activé pour leur WorkSpaces.

Ce paramètre de stratégie de groupe est désactivé par défaut. Si nécessaire, vous pouvez activer ladéconnexion de la session lorsque l'écran de verrouillage Windows est détecté pour Windows WorkSpacesen utilisant les paramètres de stratégie de groupe.

Note

• Ce paramètre de stratégie de groupe est disponible uniquement dans la Région AWS GovCloud(USA Ouest) pour l'instant.

• Ce paramètre de stratégie de groupe s'applique à la fois aux sessions authentifiées par mot depasse et par carte intelligente.

• Pour activer l'utilisation de cartes intelligentes avec Windows WorkSpaces, des étapessupplémentaires sont requises. Pour plus d'informations, consultez Utiliser des cartesintelligentes pour l'authentification (p. 37).

Pour activer ou désactiver la session de déconnexion sur le verrouillage d'écran pour WindowsWorkSpaces





Modèles d'administration, Amazon et WSP.9. Ouvrez le paramètre Activer/Désactiver la session de déconnexion sur le verrouillage d'écran.10. Dans la boîte de dialogue Activer/Désactiver la session de déconnexion sur le verrouillage d'écran,

choisissez Activé ou Désactivé.11. Choisissez OK.

108

Amazon WorkSpaces Guide d'administrationDéfinition de la durée de vie

maximale pour un ticket Kerberos




Définition de la durée de vie maximale pour un ticketKerberosSi vous n'avez pas désactivé la fonction Remember Me de votre WorkSpaces Windows, vos utilisateursWorkSpace peuvent utiliser la case à cocher Remember Me ou Keep me logged in dans leur applicationcliente WorkSpaces pour enregistrer leurs informations d'identification. Cette fonction permet auxutilisateurs de se connecter facilement à leur WorkSpaces pendant que l'application cliente continue des'exécuter. Leurs informations d'identification sont mises en cache de façon sécurisée jusqu'à la fin de ladurée de vie maximale de leurs tickets Kerberos.

Si votre WorkSpace utilise un annuaire AD Connector, vous pouvez modifier la durée de vie maximaledes tickets Kerberos pour vos utilisateurs WorkSpaces via une stratégie de groupe en suivant les étapesdécrites dans Durée de vie maximale d'un ticket utilisateur dans la documentation Microsoft Windows.

Pour activer ou désactiver la fonction Remember Me (Se souvenir de moi) consultez Activez lesfonctionnalités de gestion WorkSpace en libre-service pour vos utilisateurs (p. 93).

Configuration des paramètres du serveur proxy del'appareil pour l'accès InternetPar défaut, l'application cliente Windows WorkSpaces utilise le serveur proxy spécifié dans les paramètresdu système d'exploitation de l'appareil pour le trafic HTTPS (port 443). Les applications clientes AmazonWorkSpaces utilisent le port HTTPS pour les mises à jour, l'enregistrement et l'authentification.

Note

• Les connexions de streaming de bureau au WorkSpace nécessitent que les ports 4172 et 4195soient activés, et ne passent pas par le serveur proxy.

• Les serveurs proxy qui nécessitent une authentification avec un nom d'utilisateur et un mot depasse ne sont pas pris en charge.

Vous pouvez configurer les paramètres du serveur proxy de l'appareil pour votre WorkSpaces Windowsvia une stratégie de groupe en suivant les étapes décrites dans Configurer les paramètres du proxy del'appareil et de connectivité Internet dans la documentation Microsoft.

Pour plus d'informations sur la configuration des paramètres de proxy dans l'application cliente WindowsWorkSpaces, consultez Serveur proxy dans le Guide de l'utilisateur Amazon WorkSpaces.

Gestion de vos Amazon Linux WorkSpacesComme pour les WorkSpaces Windows, les Amazon Linux WorkSpaces sont joints à un domaine. Vouspouvez donc utiliser des utilisateurs et des groupes Active Directory pour :

• Administrer votre Amazon Linux WorkSpaces

109

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/maximum-lifetime-for-user-ticket

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet

https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_proxy_server

Amazon WorkSpaces Guide d'administrationContrôle du comportement de l'agent

PCoIP sur Amazon Linux WorkSpaces

• Fournissez aux utilisateurs l'accès à ces WorkSpaces.

Comme les instances Linux ne respectent pas la stratégie de groupe, nous vous recommandons d'utiliserune solution de gestion de configuration pour distribuer et appliquer la stratégie. Par exemple, vous pouvezutiliser AWS OpsWorks for Chef Automate, AWS OpsWorks for Puppet Enterprise ou Ansible.

Note

Les bundles Linux WorkSpaces sur WorkSpaces Streaming Protocol (WSP) sont disponiblesuniquement dans la Région AWS GovCloud (USA Ouest) pour l'instant.Les limitations actuelles pour les WorkSpaces Linux sur WSP sont les suivantes :

• Les redirections de presse-papiers, d'audio entrant, de vidéo entrante et de fuseau horaire nesont pas prises en charge.

• Plusieurs moniteurs ne sont pas pris en charge.• Vous devez utiliser l'application cliente Windows WorkSpaces pour vous connecter à Linux

WorkSpaces sur WSP.

Contrôle du comportement de l'agent PCoIP surAmazon Linux WorkSpacesLe comportement de l'agent PCoIP est contrôlé par les paramètres de configuration dans le fichier pcoip-agent.conf, qui se trouve dans le répertoire /etc/pcoip-agent/. Pour déployer et appliquer lesmodifications apportées à la stratégie, utilisez une solution de gestion de configuration qui prend en chargeAmazon Linux. Toutes les modifications prennent effet lorsque l'agent démarre. Le redémarrage de l'agentmet fin aux connexions ouvertes et redémarre le gestionnaire de fenêtres. Pour appliquer les modifications,nous vous recommandons de redémarrer le WorkSpace.

Pour obtenir la liste complète des paramètres disponibles, exécutez man pcoip-agent.conf à partir duterminal d'une Amazon Linux WorkSpace.

Activation ou désactivation de la redirection du presse-papiers pour Amazon Linux WorkSpacesPar défaut, Amazon WorkSpaces prend en charge la redirection du presse-papiers. Utilisez la configurationde l'agent PCoIP pour désactiver cette fonction, si nécessaire. Ce paramètre prend effet lorsque vousredémarrez le WorkSpace.

Note

La redirection du presse-papiers n'est actuellement pas prise en charge dans l'application clienteLinux WorkSpaces ou sur l'WorkSpaces Linux à l'aide de WSP.

Pour activer ou désactiver la redirection du presse-papiers pour Amazon Linux WorkSpaces

1. Ouvrez le fichier pcoip-agent.conf dans un éditeur avec des droits élevés à l'aide de la commandesuivante.

[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf

2. Ajoutez la ligne suivante à la fin du fichier.

pcoip.server_clipboard_state = X

110


https://aws.amazon.com/opsworks/puppetenterprise/

https://www.ansible.com/

Amazon WorkSpaces Guide d'administrationActivation ou désactivation de la redirection

audio pour Amazon Linux WorkSpaces

Où les valeurs possibles pour X sont :

0 — Désactivé dans les deux directions

1 — Activé dans les deux directions

2 — Client activé vers l'agent uniquement (autoriser la copie et le collage uniquement à partir dupériphérique client local vers le bureau hôte distant)

3 — Agent activé vers le client uniquement (autoriser la copie et le collage uniquement à partir dubureau hôte distant vers le périphérique client local)

Note

La redirection du presse-papiers est implémentée en tant que canal virtuel. Si les canaux virtuelssont désactivés, la redirection du presse-papiers ne fonctionne pas. Pour activer les canauxvirtuels, consultez Virtual Channels PCoIP dans la documentation Teradici.

Activation ou désactivation de la redirection audio pourAmazon Linux WorkSpacesPar défaut, Amazon WorkSpaces prend en charge la redirection audio. Utilisez la configuration de l'agentPCoIP pour désactiver cette fonction, si nécessaire. Ce paramètre prend effet lorsque vous redémarrez leWorkSpace.

Note

La redirection vers l'audio n'est actuellement pas prise en charge sur les WorkSpaces Linux avecWSP.

Pour activer ou désactiver la redirection audio pour Amazon Linux WorkSpaces




pcoip.enable_audio = X


0 — Désactivé

1 — Activé

Permet d'activer ou de désactiver la redirection defuseau horaire pour Amazon Linux WorkSpaces.Par défaut, l'heure au sein d'un espace de travail est définie pour refléter le fuseau horaire du client utilisépour se connecter au WorkSpace. Ce comportement est contrôlé via la redirection de fuseau horaire. Vouspouvez désactiver la direction du fuseau horaire pour diverses raisons :

111

https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/20.07/admin-guide/configuring/configuring/#pcoip-virtual-channels

Amazon WorkSpaces Guide d'administrationAccorder l'accès SSH aux administrateurs

Amazon Linux WorkSpaces.




Si nécessaire pour Linux WorkSpaces, vous pouvez utiliser la configuration de l'agent PCoIP pourdésactiver cette fonction. Ce paramètre prend effet lorsque vous redémarrez le WorkSpace.

Note

La redirection de fuseau horaire n'est actuellement pas prise en charge sur les WorkSpaces Linuxà l'aide d'WSP.

Pour activer ou désactiver la redirection de fuseau horaire pour Amazon Linux WorkSpaces




pcoip.enable_timezone_redirect= X


0 — Désactivé

1 — Activé

Accorder l'accès SSH aux administrateurs AmazonLinux WorkSpaces.Par défaut, seuls les utilisateurs et comptes attribués dans le groupe des administrateurs du domainepeuvent se connecter à Amazon Linux WorkSpaces à l'aide de SSH.

Nous vous recommandons de créer un groupe d'administrateurs dédié pour vos administrateurs AmazonLinux WorkSpaces dans Active Directory.

Pour activer l'accès sudo pour les membres du groupe Linux_Workspaces_Admins ActiveDirectory

1. Modifiez le fichier sudoers en utilisant visudo, comme illustré dans l'exemple suivant.

[example\username@workspace-id ~]$ sudo visudo

2. Ajoutez la ligne suivante.

%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

Une fois que vous avez créé le groupe d'administrateurs dédié, procédez comme suit pour activer laconnexion pour les membres du groupe.

112

Amazon WorkSpaces Guide d'administrationRemplacer le shell par défaut

pour Amazon Linux WorkSpaces

Pour activer la connexion pour les membres du groupe Linux_Workspaces_Admins ActiveDirectory

1. Modifiez /etc/security/access.conf avec des droits élevés.

[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf

2. Ajoutez la ligne suivante.

+:(example\Linux_WorkSpaces_Admins):ALL

Pour plus d'informations sur vos connexions SSH, consultez Activer les connexions SSH pour votreWorkSpaces Linux (p. 54).

Remplacer le shell par défaut pour Amazon LinuxWorkSpacesPour remplacer le shell par défaut pour Linux WorkSpaces, nous vous recommandons de modifier le fichier~/.bashrc de l'utilisateur. Par exemple, pour utiliser Z shell au lieu du shell Bash, ajoutez les lignessuivantes à /home/username/.bashrc.

export SHELL=$(which zsh)[ -n "$SSH_TTY" ] && exec $SHELL

Note

Après avoir effectué cette modification, vous devez redémarrer le WorkSpace ou vousdéconnecter du WorkSpace (pas seulement vous déconnecter), puis vous reconnecter pour que lamodification prenne effet.

Protéger les référentiels personnalisés contre toutaccès non autoriséPour contrôler l'accès à vos référentiels personnalisés, nous vous recommandons d'utiliser les fonctions desécurité intégrées à Amazon Virtual Private Cloud (Amazon VPC) plutôt que d'utiliser des mots de passe.Par exemple, utilisez des listes de contrôle d'accès (ACL) réseau et des groupes de sécurité. Pour plusd'informations sur ces fonctions, consultez Sécurité dans le Amazon VPC Guide de l'utilisateur.

Si vous devez utiliser des mots de passe pour protéger vos référentiels, veillez à créer vos fichiers dedéfinition de référentiel yum comme indiqué dans Fichiers de définition de référentiel dans la documentationFedora.

Utilisation du référentiel de la bibliothèque ExtrasAmazon LinuxAvec Amazon Linux, vous pouvez utiliser la bibliothèque Extras pour installer les mises à jour d'applicationet logicielles sur vos instances. Pour plus d'informations sur l'utilisation de la bibliothèque Extras, consultezBibliothèque Extras (Amazon Linux) dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Note

Si vous utilisez le référentiel Amazon Linux, votre Amazon Linux WorkSpaces doit avoir accès àInternet, ou vous devez configurer des points de terminaison VPC (Virtual Private Cloud) vers ce

113

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html

https://docs.fedoraproject.org/en-US/Fedora_Core/3/html/Software_Management_Guide/sn-writing-repodefs.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/amazon-linux-ami-basics.html#extras-library

Amazon WorkSpaces Guide d'administrationUtiliser des cartes intelligentes pour

l'authentification sur Linux WorkSpaces

référentiel et vers le référentiel Amazon Linux principal. Pour plus d'informations, consultez Fournirun accès Internet à partir de votreWorkSpace (p. 45).

Utiliser des cartes intelligentes pour l'authentificationsur Linux WorkSpacesLes solutions groupées Linux WorkSpaces sur WorkSpaces Streaming Protocol (WSP) permettentd'utiliser des cartes intelligentes Common Access Card (CAC) et Personal Identity Verification (PIV)pour l'authentification. Pour plus d'informations, consultez Utiliser des cartes intelligentes pourl'authentification (p. 37).

Gestion du mode d'exécutionWorkSpaceLe mode d'exécution d'un WorkSpace détermine sa disponibilité immédiate et son mode de tarification.Vous pouvez choisir entre les modes d'exécution suivants lorsque vous créez l'WorkSpace :

• AlwaysOn — À utiliser lorsque vous payez des frais mensuels fixes pour une utilisation illimitée de votreWorkSpaces. Ce mode convient le mieux aux utilisateurs qui utilisent leur WorkSpace à plein tempscomme bureau principal.

• AutoStop — À utiliser lorsque vous payez pour votre WorkSpaces à l'heure. Avec ce mode, votreWorkSpaces s'arrête après une période de déconnexion spécifiée, et l'état des applications et desdonnées est enregistré. Pour définir l'heure d'arrêt automatique, utilisez AutoStopHeure (heures).

Lorsque cela est possible, l'état du bureau est enregistré sur le volume racine de l'WorkSpace.L'WorkSpace reprend lorsqu'un utilisateur se connecte et que tous les documents ouverts et lesprogrammes en cours d'exécution reviennent à leur état enregistré.

Pour plus d'informations, consultez Tarification Amazon WorkSpaces.

Modifier le mode d'exécutionVous pouvez changer de mode d'exécution à tout moment.

Pour modifier le mode d'exécution d'une WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez l'WorkSpace à modifier, puis choisissez Actions, Modify Running Mode Properties

(Modifier les propriétés du mode d'exécution).4. Sélectionnez le nouveau mode d'exécution, AlwaysOn ou AutoStop, puis choisissez Modifier.

Arrêter et démarrer un AutoStop WorkSpaceLorsque vos AutoStop WorkSpaces sont déconnectées, elles sont automatiquement arrêtées après unepériode de déconnexion spécifiée, et la mesure horaire est suspendue. Afin d'optimiser davantage lescoûts, vous pouvez suspendre les frais horaires associés à AutoStop WorkSpaces. L'WorkSpace estarrêtée, et toutes les applications et données sont enregistrées pour la prochaine fois qu'un utilisateur seconnecte à l'WorkSpace.

Note

peut détecter la déconnexion uniquement lorsque les utilisateurs utilisent des clients AmazonWorkSpaces.Amazon WorkSpaces Si les utilisateurs utilisent des clients tiers, il se peut

114

https://www.cac.mil/Common-Access-Card




Amazon WorkSpaces Guide d'administrationModifier une WorkSpace

qu'Amazon WorkSpaces ne puisse pas détecter la déconnexion. Par conséquent, il se peut quel'WorkSpace ne s'arrête pas automatiquement et que la mesure ne soit pas suspendue.

Lorsqu'un utilisateur se reconnecte à une WorkSpace arrêtée, il reprend là où il s'était arrêté, généralementen moins de 90 secondes.

Vous pouvez redémarrer (redémarrer) les AutoStop WorkSpaces qui sont disponibles ou dans un étatd'erreur.

Pour arrêter un AutoStop WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez l'WorkSpace à arrêter, puis choisissez Actions, Arrêter WorkSpaces.4. Lorsque vous êtes invité à confirmer l'opération, choisissez Arrêter.

Pour démarrer un AutoStop WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez l'WorkSpaces à démarrer, puis choisissez Actions, Démarrer WorkSpaces.4. Lorsque vous êtes invité à confirmer l'opération, choisissez Démarrer.

Pour supprimer les coûts d'infrastructure fixes associés à AutoStop WorkSpaces, supprimez l'WorkSpacede votre compte. Pour plus d'informations, consultez Supprimer un WorkSpace (p. 140).

Modifier une WorkSpaceAprès avoir lancé une WorkSpace, vous pouvez modifier sa configuration de deux manières :

• Vous pouvez modifier la taille de son volume racine (pour Windows, lecteur C ; pour Linux, /) et de sonvolume utilisateur (pour Windows, lecteur D ; pour Linux /home).

• Vous pouvez modifier son type de calcul pour sélectionner un nouveau bundle.

L'état de modification actuel d'un WorkSpace s'affiche dans le paramètre État de la console AmazonWorkSpaces. Les valeurs possibles pour State (État) sont Modifying Compute (Modification du calcul),Modifying Storage (Modification du stockage) et None (Aucune).

Si vous souhaitez modifier un WorkSpace, il doit avoir le statut AVAILABLE ou STOPPED. Lorsque vousmodifiez la taille du volume, vous ne pouvez pas modifier le type de calcul en même temps, et inversement.

La modification de la taille du volume ou du type de calcul d'une WorkSpace modifiera le taux defacturation de l'WorkSpace.

Pour permettre à vos utilisateurs de modifier eux-mêmes leurs volumes et leurs types de calcul,reportez-vous à la section Activez les fonctionnalités de gestion WorkSpace en libre-service pour vosutilisateurs (p. 93).

Modification des tailles de volumeVous pouvez augmenter la taille des volumes racine et utilisateur d'un WorkSpace, jusqu'à 2 000 Gochacun. Les volumes racine et utilisateur WorkSpace sont fournis dans des groupes définis qui ne peuventpas être modifiés. Les groupes disponibles sont :

115



Amazon WorkSpaces Guide d'administrationModification des tailles de volume

[Racine (Go), Utilisateur (Go)]

[80, 10]

[80, 50]

[80, 100]

[175 à 2000, 100 à 2000]

Vous pouvez développer les volumes racine et utilisateur, qu'ils soient chiffrés ou non, et vous pouvezdévelopper les deux volumes une fois sur une période de 6 heures. Toutefois, vous ne pouvez pasaugmenter la taille des volumes racine et utilisateur en même temps. Pour de plus amples informations,veuillez consulter Limitations relatives à l'augmentation des volumes (p. 116).

Note

Lorsque vous développez un volume pour un WorkSpace, Amazon WorkSpaces étendautomatiquement la partition du volume dans Windows ou Linux. Une fois le processus terminé,vous devez redémarrer WorkSpace pour que les modifications prennent effet.

Pour vous assurer que vos données sont conservées, vous ne pouvez pas diminuer la taille des volumesracine ou utilisateur après avoir lancé une WorkSpace. À la place, veillez à spécifier les tailles minimalespour ces volumes lors du lancement d'une WorkSpace. Vous pouvez lancer une PowerPro Value,Standard, Performance, Power ou WorkSpace avec un minimum de 80 Go pour le volume racine et 10 Gopour le volume utilisateur. Vous pouvez lancer un Graphics ou GraphicsPro WorkSpace avec un minimumde 100 Go pour le volume racine et 100 Go pour le volume utilisateur.

Pendant l'augmentation de la taille du disque WorkSpace, les utilisateurs peuvent effectuer la plupartdes tâches sur leur WorkSpace. Toutefois, ils ne peuvent pas modifier leur type de calcul WorkSpace,changer le mode d'exécution WorkSpace, reconstruire leur WorkSpace ou redémarrer (redémarrer) leurWorkSpace.

Le processus d'augmentation de la taille du disque peut prendre jusqu'à une heure.

Limites d'augmentation des volumes

• Vous pouvez redimensionner uniquement les volumes SSD.• Lorsque vous lancez une WorkSpace, vous devez attendre 6 heures avant de pouvoir modifier la taille de

ses volumes.• Vous ne pouvez pas augmenter la taille des volumes racine et utilisateur en même temps. Pour

augmenter le volume racine, vous devez d'abord modifier le volume utilisateur en le définissant sur100 Go. Une fois cette modification effectuée, vous pouvez mettre à jour le volume racine en utilisantn'importe quelle valeur comprise entre 175 et 2 000 Go. Une fois que le volume racine a été modifié pourune valeur comprise entre 175 et 2 000 Go, vous pouvez mettre à jour le volume utilisateur, en utilisantn'importe quelle valeur comprise entre 100 et 2 000 Go.

Note

Si vous souhaitez augmenter les deux volumes, vous devez attendre 20 à 30 minutes avant quela première opération se termine pour que vous puissiez commencer la deuxième.

• À moins que le WorkSpace soit une valeur Graphics ou GraphicsPro WorkSpace, le volume racinene peut pas être inférieur à 175 Go lorsque le volume utilisateur est de 100 Go. Les graphiques etGraphicsPro WorkSpaces peuvent avoir les volumes racine et utilisateur définis sur 100 Go au minimum.

• Si le volume utilisateur est de 50 Go, vous ne pouvez pas mettre à jour le volume racine en utilisant unevaleur autre que 80 Go. Si le volume racine est de 80 Go, le volume utilisateur ne peut être que de 10, 50ou 100 Go.

116

Amazon WorkSpaces Guide d'administrationModification des types de bundles

Pour modifier les tailles de volume d'uneWorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez WorkSpace et choisissez Actions, Modify WorkSpace (Modifier Lambda).4. Pour augmenter la taille du volume racine ou d'un volume utilisateur, choisissez Modify Volume Sizes

(Modifier les tailles de volume) et entrez la nouvelle valeur.5. Sélectionnez Modify.6. Lorsque l'augmentation de la taille du disque est terminée, vous devez redémarrer

WorkSpace (p. 127) pour que les modifications prennent effet. Pour éviter la perte de données,assurez-vous que l'utilisateur enregistre tous les fichiers ouverts avant de redémarrer l'WorkSpace.

Modification des types de bundlesVous pouvez basculer un WorkSpace entre les bundles Value, Standard, Performance, Power etPowerPro. Pour plus d'informations sur ces types de bundle, consultez Bundles Amazon WorkSpaces.

Note

Vous ne pouvez pas modifier le type de calcul pour Graphics et GraphicsPro WorkSpaces.

Lorsque vous demandez une modification de bundle, Amazon WorkSpaces redémarre le WorkSpace àl'aide du nouveau bundle. Amazon WorkSpaces conserve le système d'exploitation, les applications, lesdonnées et les paramètres de stockage pour le WorkSpace.

Vous pouvez demander une solution groupée plus grande une fois par période de 1 heures ou une solutiongroupée plus petite une fois tous les 30 jours. Pour une WorkSpace nouvellement lancée, vous devezattendre 1 heure avant de demander un bundle plus grand.

Lorsqu'une modification du type de calcul WorkSpace est en cours, les utilisateurs sont déconnectés deleur WorkSpace et ils ne peuvent pas utiliser ou modifier l'WorkSpace. est automatiquement redémarrépendant le processus de modification du type de calcul.WorkSpace

Important

Pour éviter la perte de données, assurez-vous que les utilisateurs enregistrent tous les documentsouverts et autres fichiers d'application avant de modifier le type de calcul WorkSpace.

Le processus de modification de type de calcul peut prendre jusqu'à une heure.

Pour modifier le type de bundle d'unWorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez WorkSpace et choisissez Actions, Modifier WorkSpace.4. Pour modifier le bundle, choisissez Change Compute Type (Modifier le type de calcul) et sélectionnez

le nouveau type de bundle.5. Sélectionnez Modify.

Ressources WorkSpaces de baliseVous pouvez organiser et gérer les ressources de votre WorkSpaces en affectant vos propresmétadonnées à chaque ressource sous la forme de balises. Vous spécifiez une clé et une valeur pour

117


http://aws.amazon.com/workspaces/features/#Amazon_WorkSpaces_Bundles


Amazon WorkSpaces Guide d'administrationRessources WorkSpaces de balise

chaque balise. Une clé peut être une catégorie générale, comme un « projet », un « propriétaire » ou un« environnement » avec des valeurs associées spécifiques. Les balises constituent une méthode simpleet puissante de gestion des ressources AWS et d'organisation des données, y compris les données defacturation.

Lorsque vous ajoutez des balises à une ressource existante, elles n'apparaissent dans votre rapport derépartition des coûts que le premier jour du mois suivant. Par exemple, si vous ajoutez des balises à unWorkSpace existant le 15 juillet, les balises n'apparaîtront dans votre rapport de répartition des coûts qu'aumoins le 1er août. Pour plus d'informations, consultez Utilisation des balises de répartition des coûts dansle AWS Billing and Cost Management Guide de l'utilisateur.

Note

Pour afficher vos balises de ressource WorkSpaces dans Cost Explorer, vous devez activerles balises que vous avez appliquées à vos ressources WorkSpaces en suivant les instructionsfournies dans Activation des balises de répartition des coûts définies par l'utilisateur dans le AWSBilling and Cost Management Guide de l'utilisateur.Bien que les balises apparaissent 24 heures après leur activation, il peut s'écouler 4 à 5 joursavant que les valeurs associées à ces balises apparaissent dans Cost Explorer. De plus, pourafficher et fournir les données de coût dans Cost Explorer, les ressources WorkSpaces qui ont étébalisées doivent générer des frais au cours de cette période. Cost Explorer affiche uniquement lesdonnées de coût à partir du moment où les balises ont été activées. Aucune donnée historiquen'est disponible pour l'instant.

Ressources que vous pouvez baliser

• Vous pouvez ajouter des balises aux ressources suivantes lorsque vous les créez—WorkSpaces, auximages importées et aux groupes de contrôle d'accès IP.

• Vous pouvez ajouter des balises aux ressources existantes des types suivants—WorkSpaces, auxrépertoires enregistrés, aux bundles personnalisés, aux images et aux groupes de contrôle d'accès IP.

Restrictions liées aux balises

• Nombre maximal de balises par ressource —50• Longueur de clé maximale — 127 caractères Unicode• Valeur de clé maximale — 255 caractères Unicode• Les clés et valeurs de balise sont sensibles à la casse. Les caractères autorisés sont les lettres, les

espaces et les chiffres représentables en UTF-8, ainsi que les caractères spéciaux suivants : + - = . _ : /@. N'utilisez pas d'espaces de début ou de fin.

• N'utilisez pas les préfixes « aws: » ou « aws:workspaces: » dans les noms ou les valeurs de balise, carils sont réservés à l'utilisation par AWS. Vous ne pouvez pas modifier ou supprimer des noms ou valeursde balise ayant ces préfixes.

Pour mettre à jour les balises d'une ressource existante à l'aide de la console

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez l'un des types de ressources suivants : Directories (Annuaires),

WorkSpaces, Bundles (Solutions groupées), Images ou IP Access Controls (Contrôles d'accès IP).3. Sélectionnez la ressource et choisissez Actions, Manage Tags (Gérer les balises).4. Effectuez une ou plusieurs des actions suivantes :

• Pour mettre à jour une balise, modifiez les valeurs de Clé et Valeur.• Pour ajouter une nouvelle balise, choisissez Ajouter une balise , et modifiez les valeurs pour Clé et

Valeur.

118

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/activating-tags.html


Amazon WorkSpaces Guide d'administrationMaintenanceWorkSpace

• Pour supprimer une balise, choisissez l'icône de suppression (X) à côté de la balise.5. Lorsque vous avez terminé de mettre à jour les balises, choisissez Enregistrer.

Pour mettre à jour les balises d'une ressource existante à l'aide de l'AWS CLI

Utilisez les commandes create-tags et delete-tags.

MaintenanceWorkSpaceNous vous recommandons d'effectuer la maintenance de votre WorkSpaces régulièrement. AmazonWorkSpaces planifie des fenêtres de maintenance par défaut pour votre WorkSpaces. Pendant la fenêtrede maintenance, l'WorkSpace installe les mises à jour importantes de Amazon WorkSpaces et redémarresi nécessaire. Le cas échéant, les mises à jour du système d'exploitation sont également installées à partirdu serveur de mise à jour du système d'exploitation que le WorkSpace est configuré pour utiliser. Pendantla maintenance, votre WorkSpaces est peut-être indisponible.

Note

Par défaut, vos WorkSpaces Windows sont configurées pour recevoir des mises à jour deWindows Update. Pour configurer vos propres mécanismes de mise à jour automatique pourWindows, veuillez consulter la documentation pour Windows Server Update Services (WSUS) etConfiguration Manager.

Fenêtres de maintenance pour AlwaysOn WorkSpacesPour AlwaysOn WorkSpaces, la fenêtre de maintenance est déterminée par les paramètres du systèmed'exploitation. La période par défaut est de quatre heures, de minuit à 04h00, dans le fuseau horaire del'WorkSpace, chaque dimanche matin. Par défaut, le fuseau horaire d'un AlwaysOn WorkSpace est lefuseau horaire de la région AWS de l'WorkSpace. Cependant, si vous vous connectez à partir d'une autrerégion et que la redirection de fuseau horaire est activée, puis que vous vous déconnectez, le fuseauhoraire de l'WorkSpace est mis à jour en fonction du fuseau horaire de la région à partir de laquelle vousvous êtes connecté.

Vous pouvez désactiver la redirection de fuseau horaire pour Windows WorkSpaces (p. 101) àl'aide d'une stratégie de groupe. Vous pouvez désactiver la redirection de fuseau horaire pour lesWorkSpaces (p. 111) Linux à l'aide de l'agent PCoIP conf.

Pour les WorkSpaces Windows, vous pouvez configurer la fenêtre de maintenance à l'aide de lastratégie de groupe ; consultez Configurer les paramètres de stratégie de groupe pour les mises à jourautomatiques. Vous ne pouvez pas configurer la fenêtre de maintenance pour les WorkSpaces Linux.

Fenêtres de maintenance pour AutoStop WorkSpacesAutoStop Les WorkSpaces sont démarrés automatiquement une fois par mois afin d'installer les misesà jour importantes. Depuis le troisième lundi du mois et pour une durée maximale de deux semaines, lafenêtre de maintenance est ouverte chaque jour entre 00h00 et 05h00 dans le fuseau horaire de la régionAWS de l'WorkSpace. L'WorkSpace peut faire l'objet d'une maintenance chaque jour dans la fenêtre demaintenance.

Pendant la période pendant laquelle l'WorkSpace est en cours de maintenance, l'état de l'WorkSpace estdéfini sur MAINTENANCE.

Même si vous ne pouvez pas modifier le fuseau horaire utilisé pour gérer AutoStop WorkSpaces, vouspouvez désactiver la fenêtre de maintenance de votre AutoStop WorkSpaces comme suit. Si vous

119

https://docs.aws.amazon.com/cli/latest/reference/workspaces/create-tags.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/delete-tags.html

https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services

https://docs.microsoft.com/configmgr/sum/deploy-use/deploy-software-updates

https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates

https://docs.microsoft.com/windows-server/administration/windows-server-update-services/deploy/4-configure-group-policy-settings-for-automatic-updates

Amazon WorkSpaces Guide d'administrationMaintenance manuelle

désactivez le mode maintenance, vos WorkSpaces ne sont pas redémarrées et ne passent pas à l'étatMAINTENANCE.

Pour désactiver le mode maintenance

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez votre annuaire, puis choisissez Actions, Update Details.4. Développez le Mode maintenance.5. Pour activer les mises à jour automatiques, choisissez Enabled (Activé). Si vous préférez gérer les

mises à jour manuellement, choisissez Disabled (Désactivé).6. Choisissez Update and Exit (Mettre à jour et quitter).

Maintenance manuelleSi vous préférez, vous pouvez conserver votre WorkSpaces selon votre propre calendrier. Lorsque vouseffectuez des tâches de maintenance, nous vous recommandons de remplacer l'état du WorkSpace parADMIN_MAINTENANCE. Lorsque vous avez terminé, remplacez l'état de l'WorkSpace par AVAILABLE.

Lorsqu'une WorkSpace est en mode ADMIN_MAINTENANCE, les comportements suivants se produisent :

• Le WorkSpace ne répond pas aux demandes de redémarrage, d'arrêt, de démarrage ou dereconstruction.

• Les utilisateurs ne peuvent pas se connecter à WorkSpace.• Un AutoStop WorkSpace n'est pas mis en veille prolongée.

Pour modifier l'état du WorkSpace à l'aide de la console

Note

Pour modifier l'état d'un WorkSpace, le WorkSpace doit avoir l'état AVAILABLE. Le paramètreModify State (Modifier l'état) n'est pas disponible lorsqu'un WorkSpace a l'état STOPPED.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez votre WorkSpace, puis choisissez Actions, Modifier WorkSpace.4. Choisissez Modify State (Modifier l’état). Pour Intended State (État ciblé), sélectionnez

ADMIN_MAINTENANCE ou AVAILABLE.5. Sélectionnez Modify.

Pour modifier l'état du WorkSpace à l'aide de l'AWS CLI

Utilisez la commande modify-workspace-state.

ChiffréWorkSpacesAmazon WorkSpaces est intégré à AWS Key Management Service (AWS KMS). Cela vous permet dechiffrer des volumes de stockage de WorkSpaces à l'aide de clés principales client (CMKs). Lorsque vouslancez une WorkSpace, vous pouvez chiffrer le volume racine (pour Microsoft Windows, le lecteur C ; pour

120



https://docs.aws.amazon.com/cli/latest/reference/workspaces/modify-workspace-state.html

Amazon WorkSpaces Guide d'administrationPrerequisites

Linux, /) et le volume utilisateur (pour Windows, le lecteur D ; pour Linux, /home). Vous garantissez ainsique les données stockées au repos, les E/S de disque vers le volume et les instantanés créés à partir desvolumes sont tous chiffrés.

Note

Outre le chiffrement de votre WorkSpaces, vous pouvez également utiliser le chiffrement depoint de terminaison FIPS dans certaines régions des États-Unis AWS. Pour plus d'informations,consultez Configuration de Amazon WorkSpaces pour l'autorisation FedRAMP ou la conformitéSRGDoD (p. 53).

Rubriques• Prerequisites (p. 121)• Limits (p. 122)• Présentation du chiffrement d'Amazon WorkSpaces avec AWS KMS (p. 122)• Amazon WorkSpacesContexte de chiffrement (p. 123)• Accorder à Amazon WorkSpaces l'autorisation d'utiliser une clé CMK en votre nom (p. 123)• Chiffrement d'WorkSpaces (p. 127)• Affichage des WorkSpaces chiffrés (p. 127)

PrerequisitesVous avez besoin d'une clé CMK AWS KMS avant de commencer le processus de chiffrement. Cette cléCMK peut être la clé CMK gérée par AWS pour Amazon WorkSpaces (aws/workspaces) ou une clé CMKsymétrique gérée par le client.

• Clé CMK gérée par AWS La première fois que vous lancez une – non chiffrée à partir de la consoleWorkSpace dans une région, Amazon WorkSpaces crée automatiquement une clé CMK gérée parAWS (Amazon WorkSpacesaws/workspaces) dans votre compte. Vous pouvez sélectionner cette cléCMK gérée par AWS pour chiffrer les volumes utilisateur et racine de votre WorkSpace. Pour plusd'informations, consultez Présentation du chiffrement d'Amazon WorkSpaces avec AWS KMS (p. 122).

Vous pouvez consulter cette clé CMK gérée par AWS, y compris ses stratégies et attributions, et suivreson utilisation dans les journaux AWS CloudTrail, mais vous ne pouvez pas utiliser ou gérer cette cléCMK. Elle est créée et gérée par Amazon WorkSpaces Seul Amazon WorkSpaces peut utiliser cette cléCMK et WorkSpaces peut l'utiliser uniquement pour chiffrer les ressources WorkSpaces de votre compte.

Les CMKs gérées par AWS, y compris celle prise en charge par Amazon WorkSpaces, font l'objet d'unerotation tous les trois ans. Pour plus d'informations, consultez Rotation des clés principales client dans leAWS Key Management Service Developer Guide.

• Clé CMK gérée par le client Sinon, vous pouvez sélectionner une clé CMK gérée par le client symétriqueque vous avez créée à l'aide d'–.AWS KMS Vous pouvez afficher, utiliser et gérer cette CMK, y comprisen définissant ses stratégies. Pour plus d'informations sur la création de CMKs, consultez Création declés dans le AWS Key Management Service Developer Guide. Pour plus d'informations sur la création deCMKs à l'aide de l'API AWS KMS, consultez Utilisation des clés dans le AWS Key Management ServiceDeveloper Guide.

Vous devez respecter les exigences suivantes pour utiliser une clé CMK AWS KMS pour chiffrer votreWorkSpaces :

• La clé CMK doit être symétrique. Amazon WorkSpaces ne prend pas en charge les CMKs asymétriques.Pour de plus amples informations sur la distinction entre les CMKs symétriques et asymétriques, veuillezconsulter Identification des CMKs symétriques et asymétriques dans le AWS Key Management ServiceDeveloper Guide.

121

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk

https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html


https://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html

Amazon WorkSpaces Guide d'administrationLimits

• La clé CMK doit être activée. Pour déterminer si une clé CMK est activée, consultez Affichage desdétails des clés CMK dans le AWS Key Management Service Developer Guide.

• Vous devez disposer des autorisations et des stratégies appropriées associées à la clé CMK. Pourplus d'informations, consultez 2e partie : Accorder aux administrateurs WorkSpaces des autorisationssupplémentaires avec une stratégie IAM (p. 124).

Important

Il existe une limite de 500 WorkSpaces par clé CMK. Cette limite est liée aux octrois pour unmandataire donné par quota CMK dans AWS KMS. Pour plus d'informations sur ce quota,consultez Attributions pour un mandataire donné par clé CMK dans le AWS Key ManagementService Developer Guide.Lorsque vous chiffrez WorkSpaces, créez une clé CMK toutes les 500 WorkSpaces. Par exemple,si vous chiffrez 850 WorkSpaces, créez deux CMKs. Pour plus d'informations sur la création deCMKs, consultez Création de clés dans le AWS Key Management Service Developer Guide.Si vous essayez de lancer un WorkSpaces chiffré et que vous recevez le message d'erreur « Laclé spécifiée n'est pas disponible. Veuillez fournir une clé valide pour le chiffrement », cela signifieque les octrois pour un mandataire donné par quota CMK pour la CMK existante ont été atteints.

Limits• Vous ne pouvez pas chiffrer un WorkSpace existant. Vous devez chiffrer une WorkSpace lorsque vous la

lancez.• La création d'une image personnalisée à partir d'un WorkSpace chiffré n'est pas prise en charge.• La désactivation du chiffrement pour un WorkSpace chiffré n'est actuellement pas prise en charge.• Des WorkSpaces lancées avec le chiffrement du volume racine activé peuvent prendre jusqu'à une

heure pour être provisionnées.• Pour redémarrer ou recréer une clé WorkSpace chiffrée, assurez-vous d'abord que la clé CMK AWS

KMS est activée ; sinon, la clé WorkSpace devient inutilisable. Pour déterminer si une clé CMK estactivée, consultez Affichage des détails des clés CMK dans le AWS Key Management ServiceDeveloper Guide.

Présentation du chiffrement d'Amazon WorkSpacesavec AWS KMSLorsque vous créez des WorkSpaces avec des volumes chiffrés, Amazon WorkSpaces utilise AmazonElastic Block Store (Amazon EBS) pour créer et gérer ces volumes. Amazon EBS chiffre vos volumesavec une clé de données à l'aide de l'algorithme AES-256 standard. Les deux Amazon EBS et AmazonWorkSpaces utilisent votre clé CMK pour utiliser les volumes chiffrés. Pour plus d'informations surle chiffrement de volume EBS, consultez Chiffrement Amazon EBS dans le .Amazon EC2 Guide del'utilisateur pour les instances Windows

Lorsque vous lancez WorkSpaces avec des volumes chiffrés, le processus de bout en bout fonctionnecomme suit :

1. Vous spécifiez la clé CMK à utiliser pour le chiffrement, ainsi que l'utilisateur et l'annuaire pourl'WorkSpace. Cette action crée un octroi qui autorise Amazon WorkSpaces à utiliser votre clé CMKuniquement pour cet WorkSpace—c'est-à-dire, uniquement pour l'WorkSpace associé à l'utilisateur etau répertoire spécifiés.

2. Amazon WorkSpaces crée un volume EBS chiffré pour le WorkSpace et spécifie la clé CMK à utiliser,ainsi que l'utilisateur et le répertoire du volume. Cette action crée un octroi qui permet à Amazon EBSd'utiliser votre clé CMK uniquement pour cet WorkSpace et ce volume—c'est-à-dire uniquement pourl'WorkSpace associé à l'utilisateur et au répertoire spécifiés, et uniquement pour le volume spécifié.

122

https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys-console.html#viewing-console-details


https://docs.aws.amazon.com/kms/latest/developerguide/resource-limits.html#grants-per-principal-per-key



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html

https://docs.aws.amazon.com/kms/latest/developerguide/grants.html

Amazon WorkSpaces Guide d'administrationAmazon WorkSpacesContexte de chiffrement

3. Amazon EBS demande une clé de données de volume chiffrée sous votre clé CMK et spécifiel'identifiant de sécurité (SID) et l'ID d'annuaire WorkSpace de l'utilisateur AWS Directory Service, ainsique l'ID de volume Amazon EBS en tant que contexte de chiffrement (p. 123).

4. AWS KMS crée une nouvelle clé de données, la chiffre sous votre clé CMK, puis envoie la clé dedonnées chiffrée à Amazon EBS.

5. Amazon WorkSpaces utilise Amazon EBS pour attacher le volume chiffré à votre WorkSpace. AmazonEBS envoie la clé de données chiffrée à AWS KMS avec une demande Decrypt et spécifie le SID del'utilisateur WorkSpace, l'ID d'annuaire et l'ID de volume, qui est utilisé comme contexte de chiffrement.

6. AWS KMS utilise votre clé CMK pour déchiffrer la clé de données, puis envoie la clé de données entexte brut à Amazon EBS.

7. Amazon EBS utilise la clé de données en texte brut pour chiffrer toutes les données entrant et sortantdu volume chiffré. Amazon EBS conserve la clé de données en texte brut en mémoire aussi longtempsque le volume est attaché au WorkSpace.

8. Amazon EBS stocke la clé de données chiffrée (reçue à l'adresse Step 4 (p. 123)) avec lesmétadonnées du volume pour une utilisation ultérieure dans le cas où vous redémarrez oureconstruisez l'WorkSpace.

9. Lorsque vous utilisez l'AWS Management Console pour supprimer un WorkSpace (ou utilisez l'actionTerminateWorkspaces dans l'API Amazon WorkSpaces), Amazon WorkSpaces et Amazon EBSabandonnent les octrois qui leur ont permis d'utiliser votre clé CMK pour cet WorkSpace.

Amazon WorkSpacesContexte de chiffrementAmazon WorkSpaces n'utilise pas votre clé CMK directement pour les opérations de chiffrement (tellesque Encrypt, Decrypt, GenerateDataKey, etc.), ce qui signifie que Amazon WorkSpaces n'envoie pasde demandes à AWS KMS incluant un contexte de chiffrement . Toutefois, quand Amazon EBS demandeune clé de données chiffrée pour les volumes chiffrés de votre WorkSpaces (Step 3 (p. 123) dans lePrésentation du chiffrement d'Amazon WorkSpaces avec AWS KMS (p. 122)) et quand il demande unecopie en texte brut de cette clé de données (Step 5 (p. 123)), il inclut le contexte de chiffrement dans lademande.

Le contexte de chiffrement fournit des données authentifiées supplémentaires (données AAD) qu'AWSKMS utilise pour garantir l'intégrité des données. Le contexte de chiffrement est également écrit dans vosfichiers journaux AWS CloudTrail, ce qui peut vous aider à comprendre pourquoi une clé CMK donnée aété utilisée. Amazon EBS utilise les éléments suivants comme contexte de chiffrement :

• Identifiant de sécurité (SID) de l'utilisateur Active Directory associé à WorkSpace.• L'ID d'annuaire de l'annuaire AWS Directory Service associé à WorkSpace.• L'ID de volume Amazon EBS du volume chiffré

L'exemple suivant montre une représentation JSON du contexte de chiffrement qu'Amazon EBS utilise :

{ "aws:workspaces:sid-directoryid": "[S-1-5-21-277731876-1789304096-451871588-1107]@[d-1234abcd01]", "aws:ebs:id": "vol-1234abcd"}

Accorder à Amazon WorkSpaces l'autorisationd'utiliser une clé CMK en votre nomVous pouvez protéger vos données WorkSpace sous la clé CMK gérée par AWS pour AmazonWorkSpaces (aws/workspaces) ou sous la forme d'une clé CMK gérée par le client. Si vous utilisez une clé

123

https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html

https://docs.aws.amazon.com/workspaces/latest/devguide/API_TerminateWorkspaces.html

https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html

https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html

https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context

https://docs.aws.amazon.com/crypto/latest/userguide/cryptography-concepts.html#term-aad

Amazon WorkSpaces Guide d'administrationAccorder à Amazon WorkSpaces l'autorisation

d'utiliser une clé CMK en votre nom

CMK gérée par le client, vous devez accorder à Amazon WorkSpaces l'autorisation d'utiliser la clé CMK aunom des administrateurs Amazon WorkSpaces de votre compte. La clé CMK gérée par AWS pour AmazonWorkSpaces possède les autorisations requises par défaut.

Pour préparer votre clé CMK gérée par le client pour une utilisation avec Amazon WorkSpaces, utilisez laprocédure suivante.

1. Ajouter vos administrateurs WorkSpaces à la liste des utilisateurs de clé dans la stratégie de clé de laclé CMK (p. 124)

2. Accordez à vos administrateurs WorkSpaces des autorisations supplémentaires avec unestratégieIAM (p. 124)

Vos administrateurs WorkSpaces ont également besoin d'une autorisation pour utiliser AmazonWorkSpaces. Pour plus d'informations sur ces autorisations, consultez Identity and Access Managementpour Amazon WorkSpaces (p. 191).

1ère partie : Ajout d'administrateurs WorkSpaces aux utilisateursde clé d'une clé CMKPour fournir aux administrateurs Amazon WorkSpaces les autorisations dont ils ont besoin, vous pouvezutiliser AWS Management Console ou l'API AWS KMS

Pour ajouter des administrateurs WorkSpaces en tant qu'utilisateurs de clé pourune clé CMK (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service(AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

2. Pour changer de région AWS, utilisez le sélecteur de région dans l’angle supérieur droit de la page.3. Dans le volet de navigation, choisissez Customer managed keys (Clés gérées par le client).4. Choisissez l'ID de clé ou l'alias de votre clé CMK gérée par le client préférée.5. Choisissez l'onglet Stratégie de clé. Sous Utilisateurs de clé, choisissez Ajouter.6. Dans la liste des utilisateurs et des rôles IAM, sélectionnez les utilisateurs et les rôles qui

correspondent à vos administrateurs WorkSpaces, puis choisissez Ajouter.

Pour ajouter des administrateurs WorkSpaces en tant qu'utilisateurs de clé pourune clé CMK (API)

1. Utilisez l'opération GetKeyPolicy pour obtenir la stratégie de clé existante, puis enregistrez ledocument de stratégie dans un fichier.

2. Ouvrez le document de stratégie dans votre éditeur de texte préféré. Ajoutez les utilisateurs et lesrôles IAM qui correspondent à vos administrateurs WorkSpaces dans les déclarations de stratégie qui accordent l'autorisation aux utilisateurs de clé. Ensuite, enregistrez le fichier.

3. Utilisez l'opération PutKeyPolicy pour appliquer la stratégie de clé à la clé CMK.

2e partie : Accorder aux administrateurs WorkSpaces desautorisations supplémentaires avec une stratégie IAMSi vous sélectionnez une clé CMK gérée par le client à utiliser pour le chiffrement, vous devez établir desstratégies IAM qui autorisent Amazon WorkSpaces à utiliser la clé CMK au nom d'un utilisateur IAM devotre compte qui lance l' chiffré.WorkSpaces Cet utilisateur a également besoin d'une autorisation pourutiliser Amazon WorkSpaces. Pour plus d'informations sur la création et la modification des stratégies

124

https://console.aws.amazon.com/kms

https://docs.aws.amazon.com/kms/latest/APIReference/API_GetKeyPolicy.html

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users

https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html



utilisateur IAM, consultez Gestion des stratégies IAM dans le IAM Guide de l'utilisateur et Identity andAccess Management pour Amazon WorkSpaces (p. 191).

Amazon WorkSpaces nécessite un accès limité à la CMK. Voici un modèle de stratégie de clé que vouspouvez utiliser. Cette stratégie sépare les principaux responsables qui peuvent gérer la CMK AWS KMSde ceux qui peuvent l'utiliser. Avant d'utiliser cet exemple de stratégie de clé, remplacez l'exemple d'ID decompte et le nom d'utilisateur IAM par des valeurs réelles de votre compte.

La première instruction correspond à la stratégie de clé AWS KMS par défaut. Il donne à votre comptel'autorisation d'utiliser des stratégies IAM pour contrôler l'accès à la CMK. Les deuxième et troisièmeinstructions définissent les mandataires AWS qui peuvent gérer et utiliser la clé, respectivement. Laquatrième instruction permet aux services AWS qui sont intégrés à AWS KMS d'utiliser la clé au nomdu mandataire spécifié. Cette instruction permet aux services AWS de créer et gérer des autorisations.L'instruction utilise un élément de condition qui limite les autorisations sur la CMK à celles effectuées parles services AWS au nom des utilisateurs de votre compte.

Note

Si vos administrateurs WorkSpaces utilisent AWS Management Console pour créer desWorkSpaces avec des volumes chiffrés, ils doivent être autorisés à répertorier les alias et les clés(autorisations "kms:ListAliases" et "kms:ListKeys"). Si vos administrateurs WorkSpacesutilisent uniquement l'API Amazon WorkSpaces (pas la console), vous pouvez omettre lesautorisations "kms:ListAliases" et "kms:ListKeys".

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, {

125

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html



"Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ]}

La stratégie IAM pour un utilisateur ou un rôle qui chiffre un WorkSpace doit inclure des autorisationsd'utilisation sur la clé CMK gérée par le client, ainsi que l'accès à WorkSpaces. Pour accorder desautorisations IAM à un utilisateur ou à un rôle WorkSpaces, vous pouvez attacher l'exemple de stratégiesuivant à l'utilisateur ou au rôle IAM.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "workspaces:CreateWorkspaces", "workspaces:DescribeWorkspaceBundles", "workspaces:DescribeWorkspaceDirectories", "workspaces:DescribeWorkspaces", "workspaces:RebootWorkspaces", "workspaces:RebuildWorkspaces" ], "Resource": "*" } ]}

La stratégie IAM suivante est requise par l'utilisateur pour l'utilisation de AWS KMS. Il donne à l'utilisateurun accès en lecture seule à la CMK ainsi que la possibilité de créer des octrois.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ]}

Si vous souhaitez spécifier la clé CMK dans votre stratégie, utilisez une stratégie IAM similaire à lasuivante. Remplacez l'exemple d'ARN CMK par un ARN valide.

{

126

Amazon WorkSpaces Guide d'administrationChiffrement d'WorkSpaces

"Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:CreateGrant", "Resource": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, { "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ]}

Chiffrement d'WorkSpacesPour chiffrer un WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Choisissez Lancer WorkSpaces et effectuez les trois premières étapes.3. Pour l'étape Configuration de WorkSpaces, procédez comme suit :

a. Sélectionnez les volumes à chiffrer : Volume racine, Volume utilisateur ou les deux volumes.b. Pour Clé de chiffrement, sélectionnez une clé CMK AWS KMS, soit la clé CMK gérée par AWS

créée par Amazon WorkSpaces, soit une clé CMK que vous avez créée. La clé CMK que voussélectionnez doit être symétrique. Amazon WorkSpaces ne prend pas en charge les CMKsasymétriques.

c. Choisissez Next Step.4. Choisissez Lancer WorkSpaces.

Affichage des WorkSpaces chiffrésPour voir quels volumes et WorkSpaces ont été chiffrés à partir de la console Amazon WorkSpaces,choisissez WorkSpaces dans la barre de navigation de gauche. La colonne Volume Encryption(Chiffrement du volume) indique si le chiffrement est activé ou désactivé pour chaque WorkSpace. Pourvoir quels volumes spécifiques ont été chiffrés, développez l'entrée WorkSpace pour afficher le champEncrypted Volumes (Volumes chiffrés).

Redémarrer une WorkSpace.Il peut arriver que vous ayez besoin de redémarrer (redémarrer) manuellement une WorkSpace. Leredémarrage d'une WorkSpace déconnecte l'utilisateur, puis effectue un arrêt et un redémarrage del'WorkSpace. Pour éviter la perte de données, assurez-vous que l'utilisateur enregistre tous les documentsouverts et autres fichiers d'application avant de redémarrer le WorkSpace. Les données utilisateur, lesystème d'exploitation et les paramètres système ne sont pas affectés.

Warning

Pour redémarrer un WorkSpace chiffré, assurez-vous d'abord que la clé CMK AWS KMS estactivée ; sinon, le WorkSpace devient inutilisable. Pour déterminer si une clé CMK est activée,

127


Amazon WorkSpaces Guide d'administrationRecréer une WorkSpace

consultez Affichage des détails des clés CMK dans le AWS Key Management Service DeveloperGuide.

Pour redémarrer une WorkSpace

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez l'WorkSpaces à redémarrer, puis choisissez Actions, Redémarrer WorkSpaces.4. Lorsque vous êtes invité à confirmer l'opération, choisissez Redémarrer WorkSpaces.

Recréer une WorkSpaceSi nécessaire, vous pouvez reconstruire une WorkSpace. Cela recrée le volume racine, le volumeutilisateur et l'interface réseau Elastic principale.

La reconstruction d'une WorkSpace entraîne les événements suivants :

• Le volume racine (pour Microsoft Windows, lecteur C ; pour Linux, /) est actualisé avec l'image la plusrécente du bundle à partir de laquelle l'WorkSpace a été créé. Les applications qui ont été installées oules paramètres système qui ont été modifiés après la création du WorkSpace sont perdus.

• Le volume utilisateur (pour Microsoft Windows, le lecteur D: ; pour Linux, /home) est recréé à partir del'instantané le plus récent. Le contenu actuel du volume utilisateur est remplacé.

Les instantanés automatiques à utiliser lors de la recréation d'une WorkSpace sont planifiés toutes les12 heures. Ces instantanés du volume utilisateur sont pris quel que soit l'état de l'WorkSpace. Lorsquevous choisissez Actions, Rebuild / Restore WorkSpace, la date et l'heure de l'instantané le plus récents'affichent.

• L'interface réseau Elastic principale est recréée. La WorkSpace reçoit une nouvelle adresse IP privée.

Important

Après le 14 janvier 2020, WorkSpaces créé à partir d'un bundle Windows 7 public ne peut plusêtre reconstruit. Vous pouvez envisager de migrer votre WorkSpaces Windows 7 vers Windows10. Pour plus d'informations, consultez Migrer une WorkSpace (p. 136).

Vous pouvez reconstruire une WorkSpace uniquement si les conditions suivantes sont remplies :

• doit avoir l'état WorkSpace, AVAILABLE, ERROR, UNHEALTHY, STOPPED ou REBOOTING. Pour recréerune WorkSpace avec l'état REBOOTING, vous devez utiliser l'opération d'API RebuildWorkspaces ou lacommande rebuild-workspaces de l'interface de ligne de commande (CLI) AWS.

• Un instantané du volume utilisateur doit exister.

Pour reconstruire une WorkSpaceWarning

Pour recréer une clé WorkSpace chiffrée, assurez-vous d'abord que la clé CMK AWS KMS estactivée ; sinon, la clé WorkSpace devient inutilisable. Pour déterminer si une clé CMK est activée,consultez Affichage des détails des clés CMK dans le AWS Key Management Service DeveloperGuide.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez les WorkSpace à générer à nouveau, puis choisissez Actions, Rebuild / Restore

WorkSpace.

128



https://docs.aws.amazon.com/workspaces/latest/api/API_RebuildWorkspaces.html

https://docs.aws.amazon.com/workspaces/latest/api/API_RebuildWorkspaces.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/rebuild-workspaces.html



Amazon WorkSpaces Guide d'administrationRestaurer une WorkSpace

4. Sélectionnez l'option Reconstruire WorkSpace.5. Choisissez Rebuild / Restore (Reconstruire/Restaurer) WorkSpace.

Note

Si vous reconstruisez une WorkSpace après avoir modifié l'attribut de dénomination d'utilisateursAMAccountName de l'utilisateur dans Active Directory, vous pouvez recevoir le message d'erreursuivant :

"ErrorCode": "InvalidUserConfiguration.Workspace""ErrorMessage": "The user was either not found or is misconfigured."

Pour contourner ce problème, revenez à l'attribut de dénomination utilisateur d'origine, puisrelancez la reconstruction, ou créez un nouveau WorkSpace pour cet utilisateur.

Restaurer une WorkSpaceSi nécessaire, vous pouvez restaurer une WorkSpace à son dernier état sain connu. Cela recrée le volumeracine et le volume utilisateur, en fonction des instantanés les plus récents de ces volumes qui ont étécréés lorsque l'WorkSpace était sain.

La restauration d'une WorkSpace entraîne les événements suivants :

• Le volume racine (pour Microsoft Windows, lecteur C ; pour Linux, /) est restauré à l'instantané le plusrécent. Les applications qui ont été installées ou les paramètres système qui ont été modifiés après lacréation de l'instantané le plus récent sont perdus.

• Le volume utilisateur (pour Microsoft Windows, le lecteur D: ; pour Linux, /home) est recréé à partir del'instantané le plus récent. Le contenu actuel du volume utilisateur est remplacé.

Lorsque les instantanés sont pris

Les instantanés du volume racine et du volume utilisateur sont pris sur la base suivante. Lorsque vouschoisissez Actions, Rebuild / Restore WorkSpace, la date et l'heure des instantanés les plus récents sontaffichées.

• Une fois qu'un WorkSpace a été créé — Généralement, les instantanés initiaux des volumes racineet utilisateur sont pris peu de temps après la création d'un WorkSpace (souvent dans les 30 minutes).Dans certaines régions AWS, la création des instantanés initiaux peut prendre plusieurs heures après lacréation d'un WorkSpace.

Si une WorkSpace devient défectueuse avant que les instantanés initiaux ne soient pris, l'WorkSpace nepeut pas être restauré. Dans ce cas, vous pouvez essayer de reconstruire la ou contacter AWS Supportpour obtenir de l'aide.WorkSpace (p. 128)

• Au cours d'une utilisation régulière Les instantanés automatiques à utiliser lors de la restauration d'une sont planifiés toutes les 12 heures.—WorkSpace Si l'WorkSpace est sain, les instantanés du volumeracine et du volume utilisateur sont créés à peu près en même temps. Si l'WorkSpace n'est pas sain, cesinstantanés ne sont pas créés.

• Une fois qu'un WorkSpace a été restauré — Lorsque vous restaurez un WorkSpace, de nouveauxinstantanés sont pris peu de temps après la fin de la restauration (souvent dans les 30 minutes). Danscertaines régions AWS, la prise de ces instantanés peut prendre plusieurs heures après la restaurationd'une WorkSpace.

Une fois qu'une WorkSpace a été restaurée, si l'WorkSpace devient défectueuse avant la prise denouveaux instantanés, l'WorkSpace ne peut pas être restauré à nouveau. Dans ce cas, vous pouvezessayer de reconstruire l'WorkSpace ou contacter AWS Support pour obtenir de l'aide. (p. 128)

129

Amazon WorkSpaces Guide d'administrationMettre à niveau Windows 10 BYOL WorkSpaces

Vous pouvez restaurer une WorkSpace uniquement si les conditions suivantes sont remplies :

• doit avoir l'état WorkSpace, AVAILABLE, ERROR ou UNHEALTHY.STOPPED• Des instantanés des volumes racine et utilisateur doivent exister.

Pour restaurer une WorkSpace.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez l'WorkSpace à restaurer, puis choisissez Actions, Rebuild / Restore WorkSpace

(Reconstruire/Restaurer).4. Sélectionnez l'option Restaurer WorkSpace.5. Choisissez Rebuild / Restore (Reconstruire/Restaurer) WorkSpace.

Mettre à niveau Windows 10 BYOL WorkSpacesSur votre WorkSpaces Windows 10 Bring Your Own License (BYOL), vous pouvez effectuer une mise àniveau vers une version plus récente de Windows 10 à l'aide du processus de mise à niveau sur place.Suivez les instructions de cette rubrique pour cela.

Le processus de mise à niveau sur place s'applique uniquement aux WorkSpaces BYOL Windows 10.

Important

N'exécutez pas Sysprep sur un WorkSpace mis à niveau. Dans ce cas, une erreur qui empêcheSysprep de se terminer peut se produire. Si vous prévoyez d'exécuter Sysprep, faites-leuniquement sur un WorkSpace qui n'a pas été mis à niveau.

Sommaire• Prerequisites (p. 130)• Importantes considérations (p. 131)• Limitations connues (p. 131)• Résumé des paramètres de clé de registre (p. 131)• Étapes pour effectuer une mise à niveau sur place (p. 132)• Troubleshooting (p. 135)• Mise à jour de votre registre WorkSpace à l'aide d'un scriptPowerShell (p. 135)

Prerequisites• Si vous avez reporté ou suspendu les mises à niveau Windows 10 à l'aide d'une stratégie de groupe ou

de System Center Configuration Manager (SCCM), activez les mises à niveau du système d'exploitationpour vos WorkSpaces Windows 10.

• Si l'WorkSpace est un AutoStop WorkSpace, remplacez-le par un AlwaysOn WorkSpace avant leprocessus de mise à niveau sur place, afin qu'il ne soit pas arrêté automatiquement pendant l'applicationdes mises à jour. Pour plus d'informations, consultez Modifier le mode d'exécution (p. 114). Si vouspréférez conserver la valeur WorkSpace définie sur AutoStop, modifiez la durée AutoStop à trois heuresou plus pendant la mise à niveau.

• Le processus de mise à niveau sur place recrée le profil utilisateur en effectuant une copie d'un profilspécial nommé Utilisateur par défaut (C:\Users\Default). N'utilisez pas ce profil utilisateur par défautpour effectuer des personnalisations. Nous vous recommandons plutôt d'effectuer des personnalisations

130


Amazon WorkSpaces Guide d'administrationImportantes considérations

au profil utilisateur via des objets de stratégie de groupe (GPO). Les personnalisations effectuées viaGPOs peuvent être facilement modifiées ou annulées et sont moins sujettes aux erreurs.

• Le processus de mise à niveau sur place peut sauvegarder et recréer un seul profil utilisateur. Si vousavez plusieurs profils utilisateur sur le lecteur D, supprimez tous les profils à l'exception de celui dontvous avez besoin.

Importantes considérationsLe processus de mise à niveau sur place utilise deux scripts de registre (enable-inplace-upgrade.ps1 et update-pvdrivers.ps1) pour apporter les modifications nécessaires à votreWorkSpaces afin de permettre l'exécution du processus Windows Update. Ces modifications impliquent lacréation d'un profil utilisateur (temporaire) sur le lecteur C au lieu du lecteur D. Si un profil utilisateur existedéjà sur le lecteur D, les données de ce profil utilisateur d'origine restent sur le lecteur D.

Par défaut, WorkSpaces crée le profil utilisateur dans D:\Users\%USERNAME%. Le script enable-inplace-upgrade.ps1 configure Windows pour créer un nouveau profil utilisateur dans C:\Users\%USERNAME% et redirige les dossiers shell utilisateur vers D:\Users\%USERNAME%. Ce nouveau profilutilisateur est créé lorsqu'un utilisateur se connecte pour la première fois.

Après la mise à niveau sur place, vous pouvez laisser vos profils utilisateur sur le lecteur C afin depermettre à vos utilisateurs d'utiliser le processus Windows Update pour mettre à niveau leurs machinesultérieurement. Cependant, sachez qu'WorkSpaces avec des profils stockés sur le lecteur C ne peut pasêtre reconstruit ou migré sans perdre toutes les données du profil de l'utilisateur, sauf si vous sauvegardezet restaurez ces données vous-même. Si vous décidez de laisser les profils sur le lecteur C, vous pouvezutiliser la clé de registre UserShellFoldersRedirection pour rediriger les dossiers shell utilisateur vers lelecteur D, comme expliqué plus loin dans cette rubrique.

Pour vous assurer que vous pouvez reconstruire ou migrer votre WorkSpaces et éviter tout problèmepotentiel avec la redirection des dossiers shell utilisateur, nous vous recommandons de choisir de restaurervos profils utilisateur sur le lecteur D après la mise à niveau sur place. Vous pouvez le faire à l'aide de laclé de registre PostUpgradeRestoreProfileOnD, comme expliqué plus loin dans cette rubrique.

Limitations connues• Aucune modification de l'emplacement du profil utilisateur du lecteur D au lecteur C ne se produit

pendant les reconstructions ou les migrations WorkSpace. Si vous effectuez une mise à niveau sur placesur un WorkSpace BYOL Windows 10, puis le reconstruisez ou le migrez, le nouveau WorkSpace aura leprofil utilisateur sur le lecteur D.

Warning

Si vous laissez le profil utilisateur sur le lecteur C après la mise à niveau sur place, les donnéesdu profil utilisateur stockées sur le lecteur C seront perdues pendant les reconstructions ou lesmigrations, sauf si vous sauvegardez manuellement les données du profil utilisateur avant lareconstruction ou la migration, puis restaurez manuellement les données du profil utilisateuraprès l'exécution du processus de reconstruction ou de migration.

• Si votre bundle BYOL par défaut contient une image basée sur une version antérieure de Windows 10,vous devez effectuer à nouveau la mise à niveau sur place une fois que la WorkSpace a été reconstruiteou migrée.

Résumé des paramètres de clé de registrePour activer le processus de mise à niveau sur place et spécifier où vous souhaitez que le profil utilisateurse trouve après la mise à niveau, vous devez définir un certain nombre de clés de registre.

131

Amazon WorkSpaces Guide d'administrationÉtapes pour effectuer une mise à niveau sur place

Chemin d'accès du registre : HKLM:\Software\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Clé de registre Type Valeurs

Activé DWORD 0 – (Par défaut) Désactive lamise à niveau sur place

1 – Active la mise à niveau surplace

PostUpgradeRestoreProfileOnD DWORD 0 – (Valeur par défaut) Ne tentepas de restaurer le chemind'accès au profil utilisateur aprèsla mise à niveau sur place

1 – Restaure le chemin du profilutilisateur (ProfileImagePath)après la mise à niveau sur place

UserShellFoldersRedirection DWORD 0 – N'active pas la redirection desdossiers shell utilisateur

1 – (Valeur par défaut) Activela redirection des dossiersshell utilisateur vers D:\Users\%USERNAME% après lareconstruction du profil sur C:\Users\%USERNAME%

NoReboot DWORD 0 – (Par défaut) Vous permetde contrôler le moment où unredémarrage se produit après lamodification du registre pour leprofil utilisateur

1 – N'autorise pas le script àredémarrer le WorkSpace aprèsla modification du registre pour leprofil utilisateur

Chemin d'accès du registre : HKLM:\Software\Amazon\WorkSpacesConfig\update-pvdrivers.ps1

Clé de registre Type Valeurs

Activé DWORD 0 – (Valeur par défaut) Désactivela mise à jour des pilotes PVAWS

1 – Active la mise à jour despilotes PV AWS

Étapes pour effectuer une mise à niveau sur placePour activer les mises à niveau Windows sur votre WorkSpaces BYOL, vous devez définir certaines clés deregistre, comme décrit dans la procédure suivante. Vous devez également définir certaines clés de registre

132


pour indiquer le lecteur (C ou D) où vous souhaitez que les profils utilisateur soient situés une fois les misesà niveau sur place terminées.

Vous pouvez effectuer ces modifications de registre manuellement. Si vous devez mettre à jourplusieurs WorkSpaces, vous pouvez utiliser une stratégie de groupe ou SCCM pour transmettre unscript PowerShell. Pour obtenir un exemple de script PowerShell, consultez Mise à jour de votre registreWorkSpace à l'aide d'un scriptPowerShell (p. 135).

Pour exécuter une mise à niveau sur place de Windows 10

1. Notez la version de Windows en cours d'exécution sur l'WorkSpaces BYOL Windows 10 que vousmettez à jour, puis redémarrez-les.

2. Mettez à jour les clés de registre système Windows afin que la valeur de Enabled (Activé) passe de 0 à1. Ces modifications de registre permettent des mises à niveau sur place pour le kit WorkSpace.

• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update-pvdrivers.ps1

Note

Si ces clés n'existent pas, redémarrez le WorkSpace. Les clés doivent être ajoutées auredémarrage du système.

(Facultatif) Si vous utilisez un flux de travail géré tel que SCCM Task Sequences pour effectuer la miseà niveau, définissez la valeur de clé suivante sur 1 pour empêcher le redémarrage de l'ordinateur :

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\NoReboot

3. Choisissez le lecteur sur lequel vous souhaitez que les profils utilisateur soient situés aprèsle processus de mise à niveau sur place (pour de plus amples informations, veuillez consulterImportantes considérations (p. 131)) et définissez les clés de registre comme suit :

• Paramètres si vous souhaitez que le profil utilisateur soit sur le lecteur C après la mise à niveau :

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nom de clé : PostUpgradeRestoreProfileOnD

Valeur de la clé : 0

Nom de clé : UserShellFoldersRedirection


• Paramètres si vous souhaitez que le profil utilisateur soit sur le lecteur D après la mise à niveau :

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1

Nom de la clé : PostUpgradeRestoreProfileOnD


Nom de la clé : UserShellFoldersRedirection

Valeur de la clé : 04. Une fois les modifications enregistrées dans le registre, redémarrez à nouveau le WorkSpace afin que

les modifications soient appliquées.133


Note

Après le redémarrage, la connexion à WorkSpace crée un nouveau profil utilisateur. Vouspouvez voir des icônes d'espace réservé dans le menu Démarrer. Ce comportement estautomatiquement résolu une fois la mise à niveau sur place terminée.

(Facultatif) Vérifiez que la valeur de clé suivante est définie sur 1, ce qui débloque le WorkSpace pourla mise à jour :

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\profileImagePathDeleted

5. Effectuez la mise à niveau sur place. Vous pouvez utiliser la méthode de votre choix, comme SCCM,ISO ou Windows Update (WU). En fonction de votre version Windows 10 d'origine et du nombred'applications installées, ce processus peut prendre entre 40 et 120 minutes.

6. Une fois le processus de mise à jour terminé, vérifiez que la version Windows a été mise à jour.

Note

Si la mise à niveau sur place échoue, Windows revient automatiquement à l'utilisation dela version Windows 10 qui était en place avant le début de la mise à niveau. Pour plusd'informations sur le dépannage, consultez la documentation Microsoft.

(Facultatif) Pour confirmer que les scripts de mise à jour ont été exécutés avec succès, vérifiez que lavaleur de clé suivante est définie sur 1 :

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\scriptExecutionComplete

7. Si vous avez modifié le mode d'exécution de l'WorkSpace en le définissant sur AlwaysOn ou enmodifiant la période AutoStop afin que le processus de mise à niveau sur place puisse s'exécuter sansinterruption, redéfinissez le mode d'exécution sur vos paramètres d'origine. Pour plus d'informations,consultez Modifier le mode d'exécution (p. 114).

Si vous n'avez pas défini la clé de registre PostUpgradeRestoreProfileOnD sur 1, le profil utilisateur estgénéré à nouveau par Windows et placé dans C:\Users\%USERNAME% après la mise à niveau sur place,de sorte que vous n'avez pas à suivre à nouveau les étapes ci-dessus pour les futures mises à niveau surplace de Windows 10. Par défaut, le script enable-inplace-upgrade.ps1 redirige les dossiers shellsuivants vers le lecteur D :

• D:\Users\%USERNAME%\Downloads

• D:\Users\%USERNAME%\Desktop

• D:\Users\%USERNAME%\Favorites

• D:\Users\%USERNAME%\Music

• D:\Users\%USERNAME%\Pictures

• D:\Users\%USERNAME%\Videos

• D:\Users\%USERNAME%\Documents

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Network Shortcuts

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Printer Shortcuts

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\SendTo

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

134

https://docs.microsoft.com/en-us/windows/deployment/upgrade/resolve-windows-10-upgrade-errors

Amazon WorkSpaces Guide d'administrationTroubleshooting

• D:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Templates

Si vous redirigez les dossiers shell vers d'autres emplacements sur votre WorkSpaces, effectuez lesopérations nécessaires sur l'WorkSpaces après les mises à niveau sur place.

TroubleshootingSi vous rencontrez des problèmes liés à la mise à jour, vous pouvez vérifier les éléments suivants pourfaciliter le dépannage :

• Les journaux Windows, qui se trouvent, par défaut, dans les emplacements suivants :

C:\Program Files\Amazon\WorkSpacesConfig\Logs\

C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED

• Observateur d'événements Windows

Journaux Windows > Application > Source : Amazon WorkSpaces

Tip

Au cours du processus de mise à niveau sur place, si vous constatez que certains raccourcisd'icône sur le bureau ne fonctionnent plus, c'est parce que WorkSpaces déplace tous les profilsutilisateur situés sur le lecteur D vers le lecteur C pour préparer la mise à niveau. Une fois la miseà niveau terminée, les raccourcis fonctionneront comme prévu.

Mise à jour de votre registre WorkSpace à l'aide d'unscriptPowerShellVous pouvez utiliser l'exemple de script PowerShell suivant pour mettre à jour le registre sur votreWorkSpaces afin d'activer les mises à niveau sur place. Suivez les instructions de Étapes pour effectuerune mise à niveau sur place (p. 132), mais utilisez ce script pour mettre à jour le registre sur chaqueWorkSpace.

# AWS WorkSpaces 1.28.20# Enable In-Place Update Sample Scripts# These registry keys and values will enable scripts to execute on the next reboot of the WorkSpace. $scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1")$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"$Enabled = 1$script:ErrorActionPreference = "Stop" foreach ($scriptName in $scriptlist){ $scriptRegKey = "$wsConfigRegistryRoot\$scriptName" try { if (-not(Test-Path $scriptRegKey)) { Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled." New-Item -Path $wsConfigRegistryRoot -Name $scriptName | Out-Null New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null

135

Amazon WorkSpaces Guide d'administrationMigrer une WorkSpace

Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } else { Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled) { Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } } } catch { write-host "Stopping script, the following error was encountered:" `r`n$_ -ForegroundColor Red break }}

Migrer une WorkSpaceVous pouvez migrer un WorkSpace d'un bundle à un autre, tout en conservant les données sur le volumeutilisateur. Vous pouvez utiliser cette fonction pour migrer WorkSpaces de l'expérience de bureau Windows7 vers l'expérience de bureau Windows 10, ou du protocole PCoIP vers l'WorkSpaces Streaming Protocol(WSP). Vous pouvez également utiliser cette fonction pour migrer WorkSpaces d'un bundle public oupersonnalisé à un autre. Par exemple, vous pouvez migrer des bundles GPU (Graphics et GraphicsPro)vers des bundles non GPU, et inversement. Pour plus d'informations sur les groupes Amazon WorkSpaces,consultez Bundles et imagesWorkSpace (p. 141).

Le processus de migration recrée le WorkSpace en utilisant un nouveau volume racine à partir de l'imagede bundle cible et le volume utilisateur à partir du dernier instantané disponible du WorkSpace d'origine.Un nouveau profil utilisateur est généré lors de la migration pour une meilleure compatibilité. L'ancienprofil utilisateur est renommé, puis certains fichiers de l'ancien profil utilisateur sont déplacés vers lenouveau profil utilisateur. (Pour plus de détails sur ce qui est déplacé, consultez Déroulement de lamigration (p. 138).)

Le processus de migration prend jusqu'à une heure par WorkSpace. Lorsque vous lancez le processusde migration, un nouveau WorkSpace est créé. Si une erreur empêche la réussite de la migration,l'WorkSpace d'origine est récupérée et rétablie à son état d'origine, et la nouvelle WorkSpace est arrêtée.

Table des matières• Limites de migration (p. 137)• Scénarios de migration disponibles (p. 137)• Déroulement de la migration (p. 138)• Bonnes pratiques (p. 138)• Troubleshooting (p. 139)• Quelles sont les conséquences sur la facturation (p. 139)• Migration d'une WorkSpace (p. 139)

136

Amazon WorkSpaces Guide d'administrationLimites de migration

Limites de migration• Vous ne pouvez pas migrer vers un bundle d'expérience de bureau Windows 7 public ou personnalisé.

Vous ne pouvez pas non plus migrer vers les bundles Bring Your Own License (BYOL) Windows 7.• Des WorkSpaces ne peuvent être migrées que vers d'autres bundles BYOL.• Vous ne pouvez pas migrer un WorkSpace créé à partir de bundles publics ou personnalisés vers un

bundle BYOL.• La migration de WorkSpaces Linux n'est pas prise en charge actuellement.• Dans les régions AWS qui prennent en charge plusieurs langues, vous pouvez migrer WorkSpaces entre

des bundles linguistiques.• Les bundles source et cible doivent être différents. (Toutefois, dans les régions qui prennent en charge

plusieurs langues, vous pouvez migrer vers le même bundle Windows 10 à condition que les languesdiffèrent.) Si vous souhaitez actualiser votre WorkSpace en utilisant le même bundle, générez à nouveaule WorkSpace (p. 128).

• Vous ne pouvez pas migrer WorkSpaces d'une région à une autre.• Dans certains cas, si la migration ne parvient pas à se terminer correctement, il se peut qu’aucun

message d'erreur ne se soit affiché et que le processus de migration n'ait pas démarré. Si le bundleWorkSpace reste le même une heure après la tentative de migration, la migration échoue. Contactez leAWS Support Center pour obtenir de l'aide.

Scénarios de migration disponiblesLe tableau suivant présente les scénarios de migration disponibles :

Système d'exploitation source Système d'exploitation cible Disponible ?

Bundle public ou personnaliséWindows 7


Oui

Bundle personnalisé Windows 7 Bundle public Windows 7 Non

Bundle personnalisé Windows 7 Bundle personnalisé Windows 7 Non

Bundle public Windows 7 Bundle personnalisé Windows 7 Non



Non

Bundle personnalisé Windows 10 Bundle public Windows 10 Non


Bundle personnalisé Windows 10 Oui

Pack Windows 7 BYOL Pack Windows 7 BYOL Non

Pack Windows 7 BYOL Pack Windows 10 BYOL Oui

Pack Windows 10 BYOL Pack Windows 7 BYOL Non

Pack Windows 10 BYOL Pack Windows 10 BYOL Oui

137

https://console.aws.amazon.com/support/home#/

Amazon WorkSpaces Guide d'administrationDéroulement de la migration

Déroulement de la migrationPendant la migration, les données qui se trouvent sur le volume utilisateur (lecteur D) sont conservées,mais toutes celles qui se trouvent sur le volume racine (lecteur C) sont perdues. Cela signifie que la totalitédes applications installées, des paramètres définis et des modifications apportées au Registre est éliminé.L'ancien dossier de profil utilisateur est renommé avec le suffixe .NotMigrated et un nouveau profilutilisateur est créé.

Le processus de migration recrée le lecteur D en fonction du dernier instantané du volume utilisateurd'origine. Au cours du premier démarrage du nouveau WorkSpace, le processus de migration déplacele dossier D:\Users\%USERNAME% d'origine vers un dossier nommé D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated. Un nouveau dossier D:\Users\%USERNAME%\ est généré par lenouveau système d'exploitation.

Une fois le nouveau profil utilisateur créé, les fichiers des dossiers shell utilisateur suivants sont déplacésde l'ancien profil .NotMigrated vers le nouveau profil :

• D:\Users\%USERNAME%\Desktop

• D:\Users\%USERNAME%\Documents

• D:\Users\%USERNAME%\Downloads

• D:\Users\%USERNAME%\Favorites

• D:\Users\%USERNAME%\Music

• D:\Users\%USERNAME%\Pictures

• D:\Users\%USERNAME%\Videos

Important

Le processus de migration tente de déplacer les fichiers de l'ancien profil utilisateur vers lenouveau. Tous les fichiers qui n'ont pas été déplacés pendant la migration restent dans le dossierD:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated Si la migration réussit, vous pouvezvoir quels fichiers ont été déplacés dans C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs. Vous pouvez déplacer manuellement tous les fichiers qui n'ont pas étédéplacés automatiquement.

Toutes les balises affectées à l'WorkSpace d'origine sont reportées au cours de la migration et le moded'exécution de l'WorkSpace est préservé. Cependant, le nouveau WorkSpace obtient un nouvel IDWorkSpace, un nom d'ordinateur et une adresse IP.

Bonnes pratiquesAvant de migrer une WorkSpace, procédez comme suit :

• Sauvegardez toutes les données importantes sur le lecteur C vers un autre emplacement. Toutes lesdonnées du lecteur C sont effacées pendant la migration.

• Assurez-vous que la WorkSpace en cours de migration a au moins 12 heures, afin de vous assurerqu'un instantané du volume utilisateur a été créé. Sur la page Migrer WorkSpaces de la console AmazonWorkSpaces, vous pouvez voir l'heure du dernier instantané. Toutes les données créées après le dernierinstantané sont perdues pendant la migration.

• Pour éviter une perte potentielle de données, assurez-vous que vos utilisateurs se déconnectent de leurWorkSpaces et ne se reconnectent pas tant que le processus de migration n'est pas terminé. Notez queles WorkSpaces ne peuvent pas être migrées lorsqu'elles sont en mode ADMIN_MAINTENANCE.

• Assurez-vous que l'WorkSpaces que vous souhaitez migrer a le statut AVAILABLE, STOPPED ou ERROR.• Assurez-vous d'avoir suffisamment d'adresses IP pour le WorkSpaces que vous migrez. Lors de la

migration, de nouvelles adresses IP seront allouées pour le WorkSpaces.

138

Amazon WorkSpaces Guide d'administrationTroubleshooting

• Si vous utilisez des scripts pour migrer WorkSpaces, migrez-les par lots ne dépassant pas 25WorkSpaces à la fois.

Troubleshooting• Si vos utilisateurs signalent des fichiers manquants après la migration, vérifiez si leurs fichiers

de profil utilisateur n'ont pas été déplacés pendant le processus de migration. Vous pouvez voirquels fichiers ont été déplacés dans C:\Program Files\Amazon\WorkspacesConfig\Logs\MigrationLogs. Les fichiers qui n'ont pas été déplacés seront situés dans le dossier D:\Users\%USERNAME%MMddyyTHHmmss%.NotMigrated. Vous pouvez déplacer manuellement tous les fichiersqui ne l'ont pas été automatiquement.

• Si vous utilisez l'API pour migrer WorkSpaces et que la migration échoue, l'ID WorkSpace cible renvoyépar l'API ne sera pas utilisé et l'WorkSpace aura toujours l'ID WorkSpace d'origine.

• Si une migration ne se termine pas correctement, vérifiez dans Active Directory si elle a été nettoyée enconséquence. Vous devrez peut-être supprimer manuellement les WorkSpaces dont vous n'avez plusbesoin.

Quelles sont les conséquences sur la facturationAu cours du mois au cours duquel la migration a lieu, vous êtes facturé au prorata des montants pour lenouveau WorkSpaces et le initial. Par exemple, si vous migrez WorkSpace A vers WorkSpace B le 10 mai,vous serez facturé pour WorkSpace A du 1er au 10 mai, et pour WorkSpace B du 11 mai au 30 mai.

Note

Si vous migrez une WorkSpace vers un autre type de bundle (par exemple, de Performance versPower ou Value vers Standard), la taille du volume racine (lecteur C) et du volume utilisateur(lecteur D) peut augmenter pendant le processus de migration. Si nécessaire, le volume racineaugmente pour s’adapter à la taille du volume racine par défaut du nouveau bundle. Toutefois, sivous aviez déjà spécifié pour le volume utilisateur une taille différente (supérieure ou inférieure) decelle par défaut du bundle d'origine, cette même taille de volume utilisateur est conservée pendantle processus de migration. Sinon, le processus de migration utilise la plus grande taille du volumeutilisateur WorkSpace source et la taille du volume utilisateur par défaut pour le nouveau bundle.

Migration d'une WorkSpaceVous pouvez migrer WorkSpaces via la console Amazon WorkSpaces, l'interface de ligne de commande(CLI) AWS ou l'API Amazon WorkSpaces.

Pour migrer un WorkSpace.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez votre WorkSpace et choisissez Actions, Migrer WorkSpaces.4. Sous Sélectionner le bundle cible, sélectionnez le bundle vers lequel vous souhaitez migrer votre

WorkSpace.5. Sous Assign WorkSpace Bundle (Affecter un bundle), choisissez le bundle cible pour chaque

utilisateur WorkSpace.Warning

Pour chaque WorkSpace, notez l'heure de l'instantané répertoriée. Toutes les modificationsapportées au volume utilisateur après l’heure d'instantané répertoriée sont ignorées au coursdu processus de migration.

139


Amazon WorkSpaces Guide d'administrationSupprimer un WorkSpace

6. Choisissez Migrer WorkSpaces.

Un nouveau WorkSpace avec le statut PENDING s'affiche dans la console Amazon WorkSpaces. Unefois la migration terminée, l'WorkSpace d'origine est arrêté et l'état de la nouvelle WorkSpace est définisur AVAILABLE.

7. (Facultatif) Pour supprimer les bundles et les images personnalisés dont vous n'avez plus besoin,consultez Supprimer un bundle ou une image WorkSpaces personnalisé(e) (p. 158).

Pour migrer WorkSpaces via l'interface de ligne de commande AWS, utilisez la commande migrate-workspace. Pour migrer WorkSpaces via l'API Amazon WorkSpaces, consultez MigrateWorkSpace dans ledocument Référence d'API Amazon WorkSpaces.

Supprimer un WorkSpaceLorsque vous avez terminé avec une WorkSpace, vous pouvez la supprimer. Vous pouvez égalementsupprimer des ressources associées.

Warning

La suppression d'un WorkSpace est une action permanente et ne peut pas être annulée.Les données de l'utilisateur WorkSpace ne sont pas conservées et sont détruites. Pour plusd'informations sur la sauvegarde des données utilisateur, contactez AWS Support.Note

Les Simple AD et les AD Connector sont mis gratuitement à votre disposition avec WorkSpaces.Si aucun WorkSpaces n'est utilisé avec votre annuaire Simple AD ou AD Connector pendant 30jours consécutifs, cet annuaire sera automatiquement désinscrit pour une utilisation avec AmazonWorkSpaces, et vous serez facturé pour cet annuaire conformément aux conditions de tarificationAWS Directory Service.Pour supprimer des répertoires vides, consultez Suppression de l'annuaire pourvotreWorkSpaces (p. 70). Si vous supprimez votre annuaire Simple AD ou AD Connector, vouspouvez toujours en créer un nouveau lorsque vous souhaitez commencer à utiliser à nouveauWorkSpaces.

Pour supprimer une WorkSpace

Vous pouvez supprimer un WorkSpace qui est dans n'importe quel état à l'exception de SUSPENDED.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez votre WorkSpace et choisissez Actions, Supprimer WorkSpaces.4. Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer WorkSpaces. La suppression

d'un WorkSpace prend environ 5 minutes. Lors de la suppression, l'état du WorkSpace est défini surTERMINATING. Une fois la suppression terminée, le statut est très brièvement défini sur TERMINATEDavant que le WorkSpace ne disparaisse de la console.

5. (Facultatif) Pour supprimer tous les bundles et les images personnalisés dont vous n'avez plus besoin,consultez Supprimer un bundle ou une image WorkSpaces personnalisé(e) (p. 158).

6. (Facultatif) Une fois que vous avez supprimé tous les WorkSpaces d'un annuaire, vous pouvezsupprimer l'annuaire. Pour plus d'informations, consultez Suppression de l'annuaire pourvotreWorkSpaces (p. 70).

7. (Facultatif) Après avoir supprimé toutes les ressources du Virtual Private Cloud (VPC) de votrerépertoire, vous pouvez supprimer le VPC et libérer l'adresse IP Elastic utilisée pour la passerelle NAT.Pour plus d'informations, voir Suppression de votre VPC et Utilisation d'adresses IP Elastic dans leAmazon VPC Guide de l'utilisateur.

140

https://docs.aws.amazon.com/cli/latest/reference/workspaces/migrate-workspace.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/migrate-workspace.html

https://docs.aws.amazon.com/workspaces/latest/api/API_MigrateWorkspace.html




https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html#WorkWithEIPs

Amazon WorkSpaces Guide d'administrationCréer une image et un bundle personnalisés

Bundles et imagesWorkSpaceUn bundle WorkSpace est une combinaison de système d'exploitation et de ressources de stockage, decalcul et logicielles. Lorsque vous lancez une WorkSpace, vous sélectionnez le bundle qui répond à vosbesoins. Les bundles par défaut disponibles pour WorkSpaces sont appelés bundles publics. Pour plusd'informations sur les différents bundles publics disponibles pour Amazon WorkSpaces, consultez BundlesAmazon WorkSpaces.

Si vous avez lancé un Windows ou Amazon Linux WorkSpace et que vous l'avez personnalisé, vouspouvez créer une image personnalisée à partir de cet WorkSpace.

Une image personnalisée contient uniquement le système d'exploitation, le logiciel et les paramètres del'WorkSpace. Un bundle personnalisé est une combinaison de cette image personnalisée et du matériel àpartir duquel une WorkSpace peut être lancée.

Une fois que vous avez créé une image personnalisée, vous pouvez créer un bundle personnalisé quicombine l'image WorkSpace personnalisée et la configuration de calcul et de stockage sous-jacente quevous sélectionnez. Vous pouvez ensuite spécifier ce bundle personnalisé lorsque vous lancez un nouveauWorkSpaces pour vous assurer que le nouveau WorkSpaces a la même configuration cohérente (matérielet logiciel).

Si vous avez besoin d'effectuer des mises à jour logicielles ou d'installer d'autres logiciels sur votreWorkSpaces, vous pouvez mettre à jour votre bundle personnalisé et l'utiliser pour recréer votreWorkSpaces.

Sommaire• Créer une image et un bundle WorkSpaces personnalisés (p. 141)• Mettre à jour un bundle WorkSpaces personnalisé (p. 153)• Copier une image WorkSpaces personnalisée (p. 154)• Partager ou annuler le partage d'une image WorkSpaces personnalisée (p. 156)• Supprimer un bundle ou une image WorkSpaces personnalisé(e) (p. 158)• Apportez vos propres licences d'ordinateur de bureau Windows (BYOL) (p. 158)

Créer une image et un bundle WorkSpacespersonnalisés

Si vous avez lancé un Windows ou Amazon Linux WorkSpace et que vous l'avez personnalisé, vouspouvez créer une image personnalisée et des bundles personnalisés à partir de cet WorkSpace.

Une image personnalisée contient uniquement le système d'exploitation, le logiciel et les paramètres del'WorkSpace. Un bundle personnalisé est une combinaison de cette image personnalisée et du matériel àpartir duquel une WorkSpace peut être lancée.

Après avoir créé une image personnalisée, vous pouvez créer un bundle personnalisé qui combine l'imagepersonnalisée et la configuration de calcul et de stockage sous-jacente que vous sélectionnez. Vouspouvez ensuite spécifier ce bundle personnalisé lorsque vous lancez une nouvelle WorkSpaces pour vousassurer que la nouvelle WorkSpaces a la même configuration cohérente (matériel et logiciel).

141



Amazon WorkSpaces Guide d'administrationConditions requises pour créer desimages personnalisées Windows

Vous pouvez utiliser la même image personnalisée pour créer différents lots personnalisés en sélectionnantdifférentes options de calcul et de stockage pour chaque lot.

Important

• Si vous prévoyez de créer une image à partir d'une WorkSpace Windows 10, notez que lacréation d'image n'est pas prise en charge sur les systèmes Windows 10 qui ont été mis àniveau d'une version de Windows 10 vers une version plus récente de Windows 10 (miseà niveau de fonctionnalité/version Windows). Toutefois, les mises à jour cumulatives ou desécurité Windows sont prises en charge par le processus de création d'image WorkSpaces.

• Après le 14 janvier 2020, les images ne peuvent pas être créées à partir de packs Windows7 publics. Vous pouvez envisager de migrer votre WorkSpaces Windows 7 vers Windows 10.Pour plus d'informations, consultez Migrer une WorkSpace (p. 136).

Les lots personnalisés coûtent autant que les lots publics à partir desquels ils sont créés. Pour plusd'informations sur la tarification, consultez Tarification Amazon WorkSpaces.

Sommaire• Conditions requises pour créer des images personnalisées Windows (p. 142)• Conditions requises pour créer des images personnalisées Amazon Linux (p. 143)• Bonnes pratiques (p. 143)• Étape 1 : Exécuter l'outil de vérification d'image (p. 144)• Étape 2 : Créer une image et un bundle personnalisés (p. 151)• Contenu des images personnalisées WorkSpaces Windows (p. 152)• Contenu des images personnaliséesAmazon LinuxWorkSpace (p. 153)

Conditions requises pour créer des imagespersonnalisées Windows• L'état du WorkSpace doit être Disponible et son état de modification doit être Aucun.• Toutes les applications et tous les profils utilisateur sur les images WorkSpaces doivent être compatibles

avec Microsoft Sysprep.• Toutes les applications à inclure dans l'image doivent être installées sur le lecteur C• Le profil utilisateur doit exister, se trouver sous D:\Users\username et avoir une taille totale (fichiers et

données) inférieure à 10 Go.• L'espace disponible du lecteur C doit être d'au moins 12 Go.• Tous les services d'application exécutés sur l'WorkSpace doivent utiliser un compte système local au lieu

des informations d'identification de l'utilisateur du domaine. Par exemple, une installation de MicrosoftSQL Server Express ne peut pas s'exécuter avec les informations d'identification d'un utilisateur dedomaine.

• Le WorkSpace ne doit pas être chiffré. La création d'image à partir d'un WorkSpace chiffré n'est pasprise en charge actuellement.

• Les composants suivants sont requis dans une image. Sans ces composants, le WorkSpaces que vouslancez à partir de l'image ne fonctionnera pas correctement :• Windows PowerShell version 3.0 ou ultérieure• Services Bureau à distance• Pilotes PV AWS• Gestion à distance Windows (WinRM)• Agents et pilotes PCoIP Teradici

142

http://aws.amazon.com/workspaces/pricing/

Amazon WorkSpaces Guide d'administrationConditions requises pour créer des

images personnalisées Amazon Linux

• Agents et pilotes STXHD• Certificats AWS etWorkSpaces• Agent Skylight

Conditions requises pour créer des imagespersonnalisées Amazon Linux• L'état du WorkSpace doit être Disponible et son état de modification doit être Aucun.• Toutes les applications à inclure dans l'image doivent être installées en dehors du volume utilisateur (le

répertoire /home• Le volume racine (/) doit être plein à moins de 97 %.• Le WorkSpace ne doit pas être chiffré. La création d'image à partir d'un WorkSpace chiffré n'est pas

prise en charge actuellement.• Les composants suivants sont requis dans une image. Sans ces composants, le WorkSpaces que vous

lancez à partir de l'image ne fonctionnera pas correctement :• Cloud-init• Agents et pilotes PCoIP Teradici• Agent Skylight

Bonnes pratiquesAvant de créer une image à partir d'un WorkSpace, procédez comme suit :

• Utilisez un VPC distinct, qui n'est pas connecté à votre environnement de production.• Déployez le WorkSpace dans un sous-réseau privé et utilisez une instance NAT pour le trafic sortant.• Utilisez un petit répertoire Simple AD.• Utilisez la plus petite taille de volume pour l'WorkSpace source, puis ajustez la taille de volume selon vos

besoins lors de la création du bundle personnalisé.• Installez toutes les mises à jour du système d'exploitation (sauf les mises à jour des fonctionnalités/

versions Windows) et toutes les mises à jour de l'application sur l'WorkSpace. Pour plus d'informations,consultez la remarque importante (p. 142) au début de cette rubrique.

• Supprimez les données mises en cache du WorkSpace qui ne doivent pas être incluses dans le bundle(par exemple, l'historique du navigateur, les fichiers mis en cache et les cookies du navigateur).

• Supprimez les paramètres de configuration du WorkSpace qui ne doivent pas être inclus dans le bundle(par exemple, les profils d'e-mail).

• Basculez vers les paramètres d'adresse IP dynamique à l'aide de DHCP.• Assurez-vous que vous n'avez pas dépassé votre quota pour les images WorkSpace autorisées dans

une région. Par défaut, vous avez autorisé 40 images WorkSpace par région. Si vous avez atteint cequota, les nouvelles tentatives de création d'une image échoueront. Pour demander une augmentationde quota, utilisez le formulaire Limites Amazon WorkSpaces.

• Assurez-vous que vous n'essayez pas de créer une image à partir d'un WorkSpace chiffré. La créationd'image à partir d'un WorkSpace chiffré n'est actuellement pas prise en charge.

• Si vous exécutez un logiciel antivirus sur l'WorkSpace, désactivez-le pendant que vous essayez de créerune image.

• Si un pare-feu est activé sur votre WorkSpace, assurez-vous qu'il ne bloque pas les ports nécessaires.Pour plus d'informations, consultez Exigences relatives aux adresses IP et aux ports pour AmazonWorkSpaces (p. 19).

143

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces

Amazon WorkSpaces Guide d'administrationÉtape 1 : Exécuter l'outil de vérification d'image

• Pour les WorkSpaces Windows, ne configurez aucun objet de stratégie de groupe (GPOs) avant de créerl'image.

• Pour les WorkSpaces Windows, ne personnalisez pas le profil utilisateur par défaut (C:\Users\Default) avant de créer une image. Nous vous recommandons d'effectuer toutes lespersonnalisations au profil utilisateur via GPOs et de les appliquer après la création de l'image. LesGPOs peuvent être facilement modifiées ou annulées et sont donc moins sujettes aux erreurs que lespersonnalisations effectuées sur le profil utilisateur par défaut.

• Pour les WorkSpaces Linux, consultez également le livre blanc « Best Practices to Prepare Your AmazonWorkSpaces for Linux Images ».

• Si vous souhaitez utiliser des cartes à puce sur des WorkSpaces Linux avec WorkSpaces StreamingProtocol (WSP) activé, consultez Utiliser des cartes intelligentes pour l'authentification (p. 37) pourconnaître les personnalisations que vous devez effectuer à votre WorkSpace Linux avant de créer votreimage.

Étape 1 : Exécuter l'outil de vérification d'imageNote

L'outil de vérification d'image est disponible uniquement pour les WorkSpaces Windows. Si vouscréez une image à partir d'un WorkSpace Linux, passez directement à Étape 2 : Créer une imageet un bundle personnalisés (p. 151).

Pour confirmer que votre WorkSpace Windows répond aux exigences pour la création d'image, nous vousrecommandons d'exécuter l'outil de vérification d'image. L'outil de vérification d'image effectue une série detests sur l'WorkSpace que vous souhaitez utiliser pour créer votre image et fournit des conseils sur la façonde résoudre les problèmes détectés.

Important

• doit réussir tous les tests exécutés par l'outil de vérification d'image avant que vous puissiezl'utiliser pour créer l'image.WorkSpace

• Avant d'exécuter l'outil de vérification d'image, vérifiez que les dernières mises à jour de sécuritéWindows et les mises à jour cumulatives sont installées sur votre WorkSpace.

• L'outil de vérification d'image ne vérifie pas la taille du profil utilisateur pour Windows 10WorkSpaces. Si vous disposez d'une WorkSpace Windows 10, assurez-vous que la taille duprofil utilisateur est inférieure à 10 Go.

Pour obtenir l'outil de vérification d'image, effectuez l'une des opérations suivantes :

• Redémarrez votre WorkSpace (p. 127). L'outil de vérification d'image est téléchargé automatiquementpendant le redémarrage et installé à l'adresse C:\Program Files\Amazon\ImageChecker.exe.

• Téléchargez l'outil de vérification d'image Amazon WorkSpaces à partir de https://tools.amazonworkspaces.com/<gls id=1>ImageChecker.zip</gls> .ImageChecker.exe Copiez cefichier dans C:\Program Files\Amazon\.

Pour exécuter le l'outil de vérification d'image

1. Ouvrez le fichier C:\Program Files\Amazon\ImageChecker.exe2. Dans la boîte de dialogue Amazon WorkSpaces Image Checker, choisissez Exécuter.3. Lorsqu'un test est terminé, vous pouvez en afficher le statut.

Pour tout test dont l'état est FAILED (ÉCHEC), choisissez Info pour afficher des informations surla façon de résoudre le problème qui a provoqué l'échec. Pour de plus amples informations sur la

144

https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html

https://docs.aws.amazon.com/whitepapers/latest/workspaces-linux-best-practices/welcome.html

https://tools.amazonworkspaces.com/ImageChecker.zip

https://tools.amazonworkspaces.com/ImageChecker.zip


résolution de ces problèmes, veuillez consulter Conseils pour résoudre les problèmes détectés parl'outil de vérification d'image (p. 145).

Si des tests affichent le statut WARNING (AVERTISSEMENT), choisissez le bouton Fix All Warnings(Corriger tous les avertissements).

L'outil génère un fichier journal de sortie dans le répertoire où se trouve l'outil de vérificationd'image. Par défaut, ce fichier est situé à l'emplacement suivant : C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log.

Tip

Ne supprimez pas ce fichier journal. Si un problème se produit, ce fichier journal peut êtreutile pour le résoudre.

4. Le cas échéant, résolvez les problèmes qui entraînent l'échec des tests et des avertissements,et répétez le processus d'exécution de l'outil de vérification d'image jusqu'à ce que le WorkSpaceréussisse tous les tests. Tous les échecs et avertissements doivent être résolus pour pouvoir créer uneimage.

5. Une fois que votre WorkSpace a réussi tous les tests, un message Validation Successful (Validationréussie) s'affiche. Vous êtes maintenant prêt pour créer un bundle personnalisé.

Conseils pour résoudre les problèmes détectés par l'outil devérification d'imageEn plus de consulter les conseils suivants pour résoudre les problèmes détectés par l'outil de vérificationd'image, assurez-vous de consulter le fichier journal de l'outil de vérification d'image à l'adresse C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log.

doit être installéPowerShell

Installez la dernière version de Microsoft Windows PowerShell.

Important

La stratégie d'exécution PowerShell pour un WorkSpace doit être définie pour autoriser les scriptsRemoteSigned. Pour vérifier la stratégie d'exécution, exécutez la commande Get-ExecutionPolicyde l'PowerShell. Si la stratégie d'exécution n'est pas définie sur Unrestricted ou RemoteSigned,exécutez la commande Set-ExecutionPolicy –ExecutionPolicy RemoteSigned pour modifier lavaleur de la stratégie d'exécution. Le paramètre RemoteSigned permet l'exécution de scripts surAmazon WorkSpaces, ce qui est nécessaire pour créer une image.

Seuls les lecteurs C et D peuvent être présents

Seuls les lecteurs C et D peuvent être présents sur un WorkSpace utilisé pour les images. Retirez tous lesautres lecteurs, y compris les lecteurs virtuels.

Aucun redémarrage en attente dans le cadre de mises à jour Windows ne peut être détecté

• Le processus de création d'image ne peut pas être exécuté tant que Windows n'a pas été redémarrépour terminer l'installation des mises à jour de sécurité ou des mises à jour cumulatives. RedémarrezWindows pour appliquer ces mises à jour et assurez-vous qu'aucune autre mise à jour cumulative ou desécurité Windows en attente ne doit être installée.

• La création d'image n'est pas prise en charge sur les systèmes Windows 10 mis à niveau depuis uneversion de Windows 10 vers une version plus récente de Windows 10 (mise à niveau d'une fonction/version Windows). Toutefois, les mises à jour cumulatives ou de sécurité Windows sont prises en chargepar le processus de création d'image WorkSpaces.

145

https://docs.microsoft.com/powershell


Le fichier Sysprep doit exister et ne peut pas être vide

Si vous rencontrez des problèmes avec votre fichier Sysprep, contactez le AWS Support Center pour quevotre EC2Config ou EC2Launch soit réparé.

La taille du profil utilisateur doit être inférieure à 10 Go

Le profil utilisateur (D:\Users\username) doit être inférieur à 10 Go au total. Pour réduire la taille duprofil utilisateur, supprimez des fichiers.

Le lecteur C doit avoir suffisamment d'espace libre

Vous devez disposer d'au moins 12 Go d'espace libre sur le lecteur C. Afin de libérer de l'espace sur lelecteur C, supprimez des fichiers.

Aucun service ne peut être exécuté sous un compte de domaine

Pour exécuter le processus de création d'image, aucun service sur l'WorkSpace ne peut être exécuté sousun compte de domaine. Tous les services doivent être exécutés sous un compte local.

Pour exécuter des services sous un compte local

1. Ouvrez C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log et recherchez laliste des services qui s'exécutent sous un compte de domaine.

2. Dans la zone de recherche Windows, entrez services.msc pour ouvrir le Gestionnaire des servicesWindows.

3. Sous Ouvrir une session en tant que, recherchez les services qui s'exécutent sous des comptesde domaine. (Les services s'exécutant en tant que Système local, Service local ou Service réseaun'interfèrent pas avec la création de l'image.)

4. Sélectionnez un service qui s'exécute sous un compte de domaine, puis choisissez Action, Propriétés.5. Ouvrez l'onglet Connexion. Sous Ouvrir une session en tant que, choisissez Compte système local.6. Choisissez OK.

Amazon WorkSpaces Application Manager (Amazon WAM) doit être installé

Si vous avez utilisé Amazon WAM pour attribuer des applications à vos utilisateurs, vous devez configurerle programme d'installation Amazon WAM sur votre WorkSpace. Lorsque vous avez terminé, le raccourciAmazon WAM s'affiche sur votre bureau WorkSpace.

doit être configuré pour utiliser DHCPWorkSpace

Vous devez configurer toutes les cartes réseau sur la WorkSpace pour utiliser DHCP au lieu des adressesIP statiques.

Pour configurer toutes les cartes réseau afin qu'elles utilisent DHCP

1. Dans la zone de recherche Windows, entrez control panel pour ouvrir le Panneau deconfiguration.

2. Choisissez Réseau et Internet.3. Choisissez Centre Réseau et partage.4. Choisissez Modifier les paramètres de la carte, puis sélectionnez une carte.5. Choisissez Modifier les paramètres de cette connexion.6. Sous l'onglet Mise en réseau sélectionnez Protocole Internet Version 4 (TCP/IPv4), puis choisissez

Propriétés.

146


https://docs.aws.amazon.com/wam/latest/adminguide/setup_wam.html

https://docs.aws.amazon.com/wam/latest/adminguide/setup_wam.html


7. Dans la boîte de dialogue Propriétés du protocole Internet Version 4 (TCP/IPv4) sélectionnez Obtenirune adresse IP automatiquement.

8. Choisissez OK.9. Répétez cette procédure pour toutes les cartes réseau de l'WorkSpace.

Les services Bureau à distance doivent être activés

Le processus de création d'image nécessite l'activation des services Bureau à distance.

Pour activer les services Bureau à distance


2. Dans la colonne Nom recherchez Services Bureau à distance.3. Sélectionnez Services Bureau à distance, puis choisissez Action, Propriétés.4. Sous l'onglet Général pour Type de démarrage, choisissez Manuel ou Automatique.5. Choisissez OK.

Un profil utilisateur doit exister

Le WorkSpace que vous utilisez pour créer des images doit avoir un profil utilisateur (D:\Users\username). Si ce test échoue, contactez AWS Support Center pour obtenir de l'aide.

Le chemin d'accès de la variable d'environnement doit être correctement configuré

Le chemin d'accès de la variable d'environnement pour l'ordinateur local ne contient pas d'entrées pourSystem32 et pour Windows PowerShell. Ces entrées sont requises pour que l'exécution de l'image soitterminée.

Pour configurer le chemin d'accès de votre variable d'environnement

1. Dans la zone de recherche Windows, entrez environment variables et choisissez Modifier lesvariables d'environnement système.

2. Dans la boîte de dialogue Propriétés système ouvrez l'onglet Avancé et choisissez Variablesd'environnement.

3. Dans la boîte de dialogue Variables d'environnement sous Variables système, sélectionnez l'entréeChemin puis choisissez Modifier.

4. Choisissez Nouveau, puis ajoutez le chemin d'accès suivant :

C:\Windows\System32

5. Choisissez à nouveau Nouveau et ajoutez le chemin d'accès suivant :

C:\Windows\System32\WindowsPowerShell\v1.0\

6. Choisissez OK.7. Redémarrer l'WorkSpace.

Tip

L'ordre dans lequel les éléments apparaissent dans le chemin de la variable d'environnementest important. Afin de déterminer l'ordre correct, vous pouvez comparer le chemin de lavariable d'environnement de votre WorkSpace avec celui d'une WorkSpace nouvellementcréée ou d'une nouvelle instance Windows.

147



Le programme d'installation pour les modules Windows doit être activé

Le processus de création d'image nécessite l'activation du service Programme d’installation pour lesmodules Windows.

Pour activer le service Programme d’installation pour les modules Windows


2. Dans la colonne Nom recherchez le Programme d’installation pour les modules Windows.3. Sélectionnez le Programme d’installation pour les modules Windows, puis choisissez Action,

Propriétés.4. Sous l'onglet Général pour Type de démarrage, choisissez Manuel ou Automatique.5. Choisissez OK.

L'agent Amazon SSM doit être désactivé

Le processus de création d'image nécessite la désactivation du service Amazon SSM Agent.

Pour désactiver le service Amazon SSM Agent


2. Dans la colonne Nom recherchez Amazon SSM Agent.3. Sélectionnez Agent Amazon SSM, puis choisissez Action, Propriétés.4. Sous l'onglet Général pour Type de démarrage, choisissez Désactivé.5. Choisissez OK.

SSL3 et TLS version 1.2 doivent être activés

Pour configurer SSL/TLS pour Windows, consultez Comment activer TLS 1.2 dans la documentationMicrosoft Windows.

Un seul profil utilisateur peut exister sur l'WorkSpace

Il ne peut y avoir qu'un seul profil utilisateur WorkSpaces (D:\Users\username) sur la WorkSpaceque vous utilisez pour créer des images. Supprimez tous les profils utilisateur qui n'appartiennent pas àl'utilisateur prévu de l'WorkSpace.

Pour que la création d'image fonctionne, votre WorkSpace ne peut avoir que trois profils utilisateur :

• Profil de l'utilisateur prévu de l'WorkSpace (D:\Users\username)• Le profil utilisateur par défaut (également connu sous le nom de Profil par défaut)• Le profil utilisateur Administrateur

Si d'autres profils utilisateur sont présents, vous pouvez les supprimer via les propriétés système avancéesdu Panneau de configuration Windows.

Pour supprimer un profil utilisateur

1. Pour accéder aux propriétés système avancées, effectuez l'une des opérations suivantes :

• Appuyez sur la touche Windows+Pause Break, puis choisissez Advanced system settings dans levolet de gauche de la boîte de dialogue Control Panel > System and Security > System.

148

https://docs.microsoft.com/configmgr/core/plan-design/security/enable-tls-1-2


• Dans la zone de recherche Windows, entrez control panel. Dans le Panneau de configuration,choisissez Système et sécurité, puis Système, puis Paramètres système avancés dans le voletgauche de la boîte de dialogue Panneau de configuration > Système et sécurité > Système.

2. Dans la boîte de dialogue Propriétés système sous l'onglet Avancé choisissez Paramètres sous Profilsutilisateur.

3. Si un profil autre que le profil Administrateur, le profil par défaut et le profil de l'utilisateur WorkSpacesprévu est répertorié, sélectionnez ce profil supplémentaire et choisissez Supprimer.

4. À la question sur la suppression du profil, choisissez Oui.5. Si nécessaire, répétez les étapes 3 et 4 pour supprimer tous les autres profils qui n'appartiennent pas

à l'WorkSpace.6. Choisissez OK deux fois et fermez le Panneau de configuration.7. Redémarrer l'WorkSpace.

Aucun package AppX ne peut être dans un état intermédiaire

Un ou plusieurs packages AppX sont dans un état intermédiaire. Cela peut provoquer une erreur Syspreplors de la création d'image.

Pour supprimer tous les packages AppX intermédiaires

1. Dans la zone de recherche Windows, entrez powershell. Choisissez Exécuter en tantqu'administrateur.


3. Dans la fenêtre Windows PowerShell, entrez les commandes suivantes pour répertorier tous lespackages AppX intermédiaires, puis appuyez sur Entrée après chacun d'entre eux.

$workSpaceUserName = $env:username

$allAppxPackages = Get-AppxPackage -AllUsers

$packages = $allAppxPackages | Where-Object { ` (($_.PackageUserInformation -like "*S-1-5-18*" -and !($_.PackageUserInformation -like "*$workSpaceUserName*")) -and ` ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or ` ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and ` $_.PackageUserInformation -like "*Staged*") }

4. Entrez la commande suivante pour supprimer tous les packages AppX intermédiaires, puis appuyezsur Entrée.

$packages | Remove-AppxPackage -ErrorAction SilentlyContinue

5. Exécutez à nouveau l'outil de vérification d'image. Si ce test échoue toujours, entrez les commandessuivantes pour supprimer tous les packages AppX et appuyez sur Entrée après chacun d'entre eux.

Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue

Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue

149


Windows ne doit pas avoir été mis à niveau à partir d'une version précédente

La création d'image n'est pas prise en charge sur les systèmes Windows mis à niveau depuis une versionde Windows 10 vers une version plus récente de Windows 10 (mise à niveau d'une fonction/versionWindows).

Pour créer des images, utilisez une WorkSpace qui n'a pas subi de mise à niveau de fonction/versionWindows.

Le nombre de réinitialisations Windows ne doit pas être nul

La fonction de réinitialisation vous permet de prolonger la période d'activation de la version d'évaluationde Windows. Le processus de création d'image nécessite que la valeur du nombre de réinitialisations soitdifférente de 0.

Pour vérifier le nombre de réinitialisations Windows

1. Dans le menu Start (Démarrer) de Windows, choisissez Windows System (Système Windows), puisCommand Prompt (Invite de commandes).

2. À l'invite de commande, saisissez la commande suivante, puis appuyez sur Entrée.

cscript C:\Windows\System32\slmgr.vbs /dlv

Pour réinitialiser le nombre de réinitialisations à une valeur autre que 0, consultez Sysprep (Generalize) aWindows installation dans la documentation Microsoft Windows.

Autres conseils pour la résolution des problèmes

Si votre WorkSpace réussit tous les tests exécutés par l'outil de vérification d'image, mais que vous neparvenez toujours pas à créer une image à partir de l'WorkSpace, vérifiez les problèmes suivants :

• Assurez-vous que le WorkSpace n'est pas attribué à un utilisateur au sein d'un groupe Invités dudomaine. Pour vérifier s'il existe des comptes de domaine, exécutez la commande PowerShell suivante.

Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "*$env:USERDOMAIN*" }

• Pour Windows 7 WorkSpaces uniquement : si des problèmes se produisent pendant la copie du profilutilisateur lors de la création de l'image, vérifiez les problèmes suivants :• Les chemins de profil longs peuvent provoquer des erreurs de création d'image. Assurez-vous que la

longueur des chemins de tous les dossiers du profil utilisateur est inférieure à 261 caractères.• Assurez-vous d'accorder des autorisations complètes sur le dossier de profil au système et à tous les

packages d'application.• Si des fichiers du profil utilisateur sont verrouillés par un processus ou sont utilisés lors de la création

de l'image, la copie du profil peut échouer.• Certains objets de stratégie de groupe (GPOs) limitent l'accès à l'empreinte numérique du certificat RDP

lorsqu'elle est demandée par le service EC2Config ou les scripts EC2Launch lors de la configuration del'instance Windows. Avant d'essayer de créer une image, déplacez le WorkSpace vers une nouvelle unitéd'organisation avec un héritage bloqué et aucun GPOs appliqué.

• Assurez-vous que le service Gestion à distance de Windows (WinRM) est configuré de manière àdémarrer automatiquement. Procédez comme suit :1. Dans la zone de recherche Windows, entrez services.msc pour ouvrir le Gestionnaire des services

Windows.2. Dans la colonne Nom recherchez Gestion à distance de Windows (Gestion WSM).3. Sélectionnez Gestion à distance de Windows (Gestion WSM), puis choisissez Action, Propriétés.

150

https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation

https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation

Amazon WorkSpaces Guide d'administrationÉtape 2 : Créer une image et un bundle personnalisés

4. Sous l'onglet Général pour Type de démarrage, choisissez Automatique.5. Choisissez OK.

Étape 2 : Créer une image et un bundle personnalisésUne fois que vous avez validé votre image WorkSpace, vous pouvez continuer à créer votre imagepersonnalisée et votre bundle personnalisé.

Pour créer une image et un bundle personnalisés

1. Si vous êtes toujours connecté à l'WorkSpace, déconnectez-vous en choisissant Amazon WorkspacesAmazon WorkSpaces Disconnect (Déconnexion).

2. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.3. Dans le volet de navigation, choisissez WorkSpaces.4. Sélectionnez WorkSpace et choisissez Actions, Créer une image.5. Un message s'affiche, vous invitant à redémarrer (redémarrer) votre WorkSpace avant de continuer.

Le redémarrage de votre logiciel WorkSpace met à jour votre logiciel Amazon WorkSpaces vers ladernière version.

Redémarrez votre WorkSpace en fermant le message et en suivant les étapes de Redémarrer uneWorkSpace. (p. 127). Une fois que vous avez terminé, répétez Step 4 (p. 151) cette procédure, maiscette fois, choisissez Suivant lorsque le message de redémarrage s'affiche. Pour créer une image, lestatut de WorkSpace doit être Disponible et son état de modification doit être Aucun.

6. Saisissez un nom et une description pour l'image qui vous permettront de l'identifier, puis choisissezCreate Image (Créer une image). Pendant la création de l'image, l'état de l'WorkSpace est Suspended(Interrompu) et l'WorkSpace n'est pas disponible.

7. Dans le volet de navigation, sélectionnez Images. L'image est terminée lorsque l'état du WorkSpacepasse à Disponible (cela peut prendre jusqu'à 45 minutes).

8. Sélectionnez l'image et choisissez Actions, Créer un bundle.9. Saisissez un nom et une description pour le bundle, puis effectuez les opérations suivantes :

• Pour Type de bundle, choisissez le matériel à utiliser lors du lancement d'WorkSpaces à partir de cebundle personnalisé.

• Pour Root Volume Size (Taille du volume racine), conservez la valeur par défaut ou entrez unenouvelle valeur égale ou supérieure à la taille actuelle. Saisissez ensuite une valeur pour UserVolume Size (Taille du volume utilisateur).

Les tailles disponibles pour le volume racine (pour Microsoft Windows, le lecteur C, pour Linux, /) etle volume utilisateur (pour Windows, le lecteur D, pour Linux, /home) sont les suivantes :• Racine : 80 Go, Utilisateur : 10 Go, 50 Go ou 100 Go• Racine : 175 Go, Utilisateur : 100 Go• Pour les graphiques et GraphicsPro WorkSpaces uniquement : racine : 100 Go, utilisateur : 100

Go

Vous pouvez également étendre les volumes racine et utilisateur jusqu'à 2 000 Go chacun.

Note

Pour vous assurer que vos données sont conservées, vous ne pouvez pas diminuer lataille des volumes racine ou utilisateur après avoir lancé une WorkSpace. À la place, veillezà spécifier les tailles minimales pour ces volumes lors du lancement d'une WorkSpace.Vous pouvez lancer une PowerPro Value, Standard, Performance, Power ou WorkSpaceavec un minimum de 80 Go pour le volume racine et 10 Go pour le volume utilisateur. Vous

151


Amazon WorkSpaces Guide d'administrationContenu des images personnalisées WorkSpaces Windows

pouvez lancer un Graphics ou GraphicsPro WorkSpace avec un minimum de 100 Go pourle volume racine et 100 Go pour le volume utilisateur.

10. Choisissez Créer une offre.11. Pour confirmer que votre bundle a été créé, choisissez Bundles et vérifiez que le bundle est répertorié.

Contenu des images personnalisées WorkSpacesWindowsLorsque vous créez une image à partir d'une WorkSpace Windows 7 ou 10, le contenu entier du lecteur Cest inclus.

Pour Windows 10 WorkSpaces, le profil utilisateur dans D:\Users\username n'est pas inclus dansl'image personnalisée.

Pour les WorkSpaces Windows 7, le contenu entier du profil utilisateur dans D:\Users\username estinclus, à l'exception des éléments suivants :

• Contacts• Téléchargements• Musique• Images• Jeux enregistrés• Vidéos• Podcasts• Machines virtuelles• .virtualbox• Suivi• appdata\local\temp• appdata\roaming\apple computer\mobilesync\• appdata\roaming\apple computer\logs\• appdata\roaming\apple computer\itunes\iphone software updates\• appdata\roaming\macromedia\flash player\macromedia.com\support\flashplayer\sys\• appdata\roaming\macromedia\flash player\#sharedobjects\• appdata\roaming\adobe\flash player\assetcache\• appdata\roaming\microsoft\windows\recent\• appdata\roaming\microsoft\office\recent\• appdata\roaming\microsoft office\live meeting• appdata\roaming\microsoft shared\livemeeting shared\• appdata\roaming\mozilla\firefox\crash reports\• appdata\roaming\mcafee\common framework\• appdata\local\microsoft\feeds cache• appdata\local\microsoft\windows\temporary internet files\• appdata\local\microsoft\windows\history\• appdata\local\microsoft\internet explorer\domstore\• appdata\local\microsoft\internet explorer\imagestore\• appdata\locallow\microsoft\internet explorer\iconcache\

152

Amazon WorkSpaces Guide d'administrationContenu des images

personnaliséesAmazon LinuxWorkSpace

• appdata\locallow\microsoft\internet explorer\domstore\• appdata\locallow\microsoft\internet explorer\imagestore\• appdata\local\microsoft\internet explorer\recovery\• appdata\local\mozilla\firefox\profiles\

Contenu des images personnaliséesAmazonLinuxWorkSpaceLorsque vous créez une image à partir d'un Amazon Linux WorkSpace, le contenu entier du volumeutilisateur (/home) est supprimé. Le contenu du volume racine (/) est inclus, à l'exception des clés etdossiers suivants qui sont enlevés :

• /tmp• /var/spool/mail• /var/tmp• /var/lib/dhcp• /var/lib/cloud• /var/cache• /var/backups• /etc/sudoers.d• /etc/udev/rules.d/70-persistent-net.rules• /etc/network/interfaces.d/50-cloud-init.cfg• /etc/security/access.conf• /var/log/amazon/ssm• /var/log/pcoip-agent• /var/log/skylight• /var/lock/.skylight.domain-join.lock• /var/lib/skylight/domain-join-status• /var/lib/skylight/configuration-data• /var/lib/skylight/config-data.json• /home

Les clés suivantes sont détruites lors de la création de l'image personnalisée :

• /etc/ssh/ssh_host_*_key• /etc/ssh/ssh_host_*_key.pub• /var/lib/skylight/tls.*• /var/lib/skylight/private.key• /var/lib/skylight/public.key

Mettre à jour un bundle WorkSpaces personnaliséVous pouvez mettre à jour un bundle WorkSpaces personnalisé existant en modifiant un WorkSpace basésur le bundle, en créant une image à partir de l'WorkSpace et en mettant à jour le bundle avec la nouvelleimage. Vous pouvez ensuite lancer de nouvelles WorkSpaces à l'aide du bundle mis à jour.

153

Amazon WorkSpaces Guide d'administrationCopier une image personnalisée

Important

Les WorkSpaces existantes ne sont pas automatiquement mises à jour lorsque vous mettez à jourle bundle sur lequel elles sont basées. Pour mettre à jour les WorkSpaces existantes basées surun bundle que vous avez mis à jour, vous devez reconstruire l'WorkSpaces ou les supprimer et lesrecréer.

Pour mettre à jour une offre

1. Connectez-vous à un WorkSpace basé sur le bundle et apportez les modifications souhaitées. Parexemple, vous pouvez appliquer les derniers correctifs du système d'exploitation et de l'application, etinstaller d'autres applications.

Sinon, vous pouvez créer un nouveau WorkSpace avec le même package logiciel de base (Plus ouStandard) que l'image utilisée pour créer le bundle et apporter des modifications.

2. Si vous êtes toujours connecté au WorkSpace, déconnectez-vous.3. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.4. Dans le volet de navigation, choisissez WorkSpaces.5. Sélectionnez WorkSpace et choisissez Actions, Créer une image.6. Saisissez le nom et la description de l'image, puis choisissez Create Image (Créer une image). n'est

pas disponible pendant la création de l'image.WorkSpace7. Dans le volet de navigation, choisissez Bundles.8. Sélectionnez le bundle et choisissez Actions, Mettre à jour le bundle.9. Pour Mettre à jour le bundle WorkSpace, sélectionnez l'image que vous avez créée et choisissez

Mettre à jour le bundle.10. Si nécessaire, mettez à jour toutes les WorkSpaces existantes basées sur le bundle en reconstruisant

l'WorkSpaces ou en les supprimant et en les recréant. Pour plus d'informations, consultez Recréer uneWorkSpace (p. 128).

Copier une image WorkSpaces personnaliséeVous pouvez copier une image WorkSpaces personnalisée dans ou entre des régions AWS. La copie d'uneimage permet de créer une image identique avec son propre identificateur unique.

Vous pouvez copier une image BYOL (licence à fournir) dans une autre région tant que la région dedestination est activée pour l'option BYOL.

Note

Dans Région Chine (Ningxia), vous pouvez copier des images uniquement dans la même région.Dans la Région AWS GovCloud (USA Ouest), pour copier des images vers et depuis d'autresrégions AWS, contactez AWS Support.

Vous pouvez également copier une image qui a été partagée avec vous par un autre compte AWS. Pourplus d'informations sur les images partagées, consultez Partager ou annuler le partage d'une imageWorkSpaces personnalisée (p. 156).

Il n'y a pas de frais supplémentaires pour la copie d'une image dans ou entre régions. Cependant, le quotapour le nombre d'images de la région de destination s'applique. Pour de plus amples informations sur lesquotas Amazon WorkSpaces, veuillez consulter Quotas Amazon WorkSpaces (p. 223).

Autorisations IAM pour la copie d'une image

Si vous utilisez un utilisateur IAM pour copier une image, l'utilisateur doit disposer des autorisations pourworkspaces:DescribeWorkspaceImages et workspaces:CopyWorkspaceImage.

154


Amazon WorkSpaces Guide d'administrationCopier une image personnalisée

L'exemple de stratégie suivant permet à l'utilisateur de copier l'image spécifiée dans le compte spécifié dela région spécifiée.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:DescribeWorkspaceImages", "workspaces:CopyWorkspaceImage" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:workspaceimage/wsi-a1bcd2efg" ] } ]}

Important

Si vous créez une stratégie IAM pour copier des images partagées pour les comptes qui ne sontpas propriétaires des images, vous ne pouvez pas spécifier d'ID de compte dans l'ARN. A laplace, vous devez utiliser * comme ID de compte, comme illustré dans l'exemple de stratégiesuivant.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:DescribeWorkspaceImages", "workspaces:CopyWorkspaceImage" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:workspaceimage/wsi-a1bcd2efg" ] } ]}

Vous pouvez spécifier un ID de compte dans l'ARN uniquement lorsque ce compte possède lesimages à copier.

Pour plus d'informations sur l'utilisation d'IAM, consultez Identity and Access Management pour AmazonWorkSpaces (p. 191).

Copier une image

Vous pouvez copier les images une par une à l'aide de la console. Pour copier des images en bloc, utilisezl'opération d'API CopyWorkspaceImage ou la commande copy-workspace-image de l'interface de lignede commande (CLI) AWS. Pour plus d'informations, consultez CopyWorkspaceImage dans le Référenced'API Amazon WorkSpaces ou image-espace de travail-copie dans le .AWS CLI Command Reference

Important

Avant de copier une image partagée, assurez-vous de vérifier qu'elle a été partagée à partirdu bon compte AWS. Pour déterminer si une image a été partagée et pour voir l'ID de compteAWS qui possède une image, utilisez les opérations d'API DescribeWorkSpaceImages et

155

https://docs.aws.amazon.com/workspaces/latest/api/API_CopyWorkspaceImage.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/copy-workspace-image.html

https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html

Amazon WorkSpaces Guide d'administrationPartager ou annuler le partage d'une image personnalisée

DescribeWorkspaceImagePermissions ou les commandes describe-workspace-images etdescribe-workspace-image-permissions de l'interface de ligne de commande AWS.

Pour copier une image à l'aide de la console

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Images.3. Sélectionnez l'image et choisissez Actions, Copy Image (Copier l’image).4. Fournissez un nom, une description et la région pour l'image copiée, puis choisissez Copy Image

(Copier l'image).

Partager ou annuler le partage d'une imageWorkSpaces personnalisée

Vous pouvez partager des images WorkSpaces personnalisées entre plusieurs comptes AWS de la mêmerégion AWS. Une fois qu'une image a été partagée, le compte de destinataire peut copier l'image versd'autres régions AWS si nécessaire. Pour plus d'informations sur la copie d'images, consultez Copier uneimage WorkSpaces personnalisée (p. 154).

Note

Dans Région Chine (Ningxia), vous pouvez copier des images uniquement dans la même région.Dans la Région AWS GovCloud (USA Ouest), pour copier des images vers et depuis d'autresrégions AWS, contactez AWS Support.

Le partage d'une image n'entraîne aucun frais supplémentaires. Cependant, le quota pour le nombred'images dans la région AWS s'applique. Une image partagée n'est pas prise en compte dans le quota ducompte destinataire tant que le destinataire ne copie pas l'image. Pour de plus amples informations sur lesquotas Amazon WorkSpaces, veuillez consulter Quotas Amazon WorkSpaces (p. 223).

Pour supprimer une image partagée, vous devez annuler le partage de l'image avant de pouvoir lasupprimer.

Partage de vos propres images de licence

Vous pouvez partager des images Bring Your Own License (BYOL) uniquement avec des comptes AWSactivés pour BYOL. Le compte AWS avec lequel vous souhaitez partager des images BYOL doit égalementfaire partie de votre organisation (sous le même compte payeur).

Note

Le partage d'images BYOL entre plusieurs comptes AWS n'est pas pris en charge à l'heureactuelle dans la région AWS GovCloud (US-West). Pour partager des images BYOL entreplusieurs comptes de la région AWS GovCloud (US-West), contactez le support AWS.

Images partagées avec vous

Si les images sont partagées avec vous, vous pouvez les copier. Vous pouvez ensuite utiliser vos copiesdes images partagées pour créer des bundles afin de lancer de nouvelles WorkSpaces.

Important

Avant de copier une image partagée, assurez-vous de vérifier qu'elle a été partagée à partir dubon compte AWS. Pour déterminer par programmation si une image a été partagée, utilisez les

156

https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImagePermissions.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-image-permissions.html


Amazon WorkSpaces Guide d'administrationPartager ou annuler le partage d'une image personnalisée

opérations d'API DescribeWorkSpaceImages et DescribeWorkspaceImagePermissions ou lescommandes describe-workspace-images et describe-workspace-image-permissions de l'interfacede ligne de commande AWS.

La date de création affichée pour une image qui a été partagée avec vous correspond à la date à laquellel'image a été créée initialement, et non à la date à laquelle l'image a été partagée avec vous.

Si une image a été partagée avec vous, vous ne pouvez pas continuer à la partager avec d'autres comptes.

Pour partager une image

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Images.3. Sélectionnez l'image et choisissez Actions, View details (Afficher les détails).4. Sur la page des détails de l'image, dans la section Shared accounts (Comptes partagés), choisissez

Add account (Ajouter un compte).5. Sur la page Ajouter un compte, sous Ajouter un compte avec lequel partager, saisissez l'ID du compte

avec lequel vous souhaitez partager l'image.

Important

Avant de partager l'image, vérifiez que vous partagez vers l'ID de compte AWS correct.6. Choisissez Partager l'image.

Note

Pour utiliser l'image partagée, le compte destinataire doit d'abord copier l'image (p. 154). Lecompte destinataire peut ensuite utiliser sa copie de l'image partagée pour créer des bundlesafin de lancer de nouvelles WorkSpaces.

Pour arrêter le partage d'une image

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Images.3. Sélectionnez l'image et choisissez Actions, View details (Afficher les détails).4. Sur la page des détails de l'image, dans la section Shared accounts (Comptes partagés), sélectionnez

le compte AWS avec lequel vous souhaitez arrêter le partage, puis choisissez Unshare (Annuler lepartage).

5. Lorsque vous êtes invité à confirmer l'annulation du partage de l'image, choisissez Unshare (Annuler lepartage).

Note

Si vous souhaitez supprimer l'image après avoir annulé son partage, vous devez d'abordannuler le partage de tous les comptes avec lesquels elle a été partagée.

Une fois que vous avez cessé de partager une image, le compte destinataire ne peut plus en copier.Cependant, toutes les copies d'images partagées qui se trouvent déjà dans le compte destinataire restentdans ce compte et de nouvelles WorkSpaces peuvent être lancées à partir de ces copies.

Pour partager ou annuler le partage d'images par programmation

Pour partager ou annuler le partage d'images par programmation, utilisez l'opération d'APIUpdateWorkspaceImagePermission ou la commande d'interface de ligne de commande AWS update-workspace-image-permission. Pour déterminer si une image a été partagée, utilisez l'opération d'APIDescribeWorkspaceImagePermissions ou la commande CLI describe-workspace-image-permissions.

157

https://docs.aws.amazon.com/workspaces/latest/api/API_DescribeWorkspaceImages.html


https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspace-images.html




https://docs.aws.amazon.com/workspaces/latest/api/API_UpdateWorkspaceImagePermission.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/update-workspace-image-permission.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/update-workspace-image-permission.html



Amazon WorkSpaces Guide d'administrationSupprimer un bundle ou une image personnalisé(e)

Supprimer un bundle ou une image WorkSpacespersonnalisé(e)

Vous pouvez supprimer des bundles personnalisés si nécessaire. Si vous supprimez un bundle en coursd'utilisation par un WorkSpace, celui-ci est placé dans une file d'attente de suppression et est supprimé unefois que toutes les WorkSpaces basées sur le bundle ont été supprimées.

Pour supprimer une offre

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Bundles.3. Sélectionnez le bundle et choisissez Actions, Supprimer le bundle.4. Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer le bundle.

Lorsque vous supprimez un bundle personnalisé, vous pouvez supprimer l'image utilisée pour créer oumettre à jour le bundle.

Pour supprimer une imageNote

Pour supprimer une image, vous devez d'abord supprimer tous les groupes associés à celle-ci etannuler le partage de l'image si elle est partagée avec d'autres comptes. L'image ne peut pas nonplus être à l'état PENDING ou VALIDATING

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Images.3. Sélectionnez l'image et choisissez Actions, Supprimer l'image.4. Lorsque vous êtes invité à confirmer l'opération, choisissez Supprimer l'image.

Apportez vos propres licences d'ordinateur debureau Windows (BYOL)

Si votre contrat de licence Microsoft vous le permet, vous pouvez utiliser vos licences de bureau Windows10 Entreprise ou Windows 10 Professionnel pour votre WorkSpaces. Pour ce faire, vous devez apportervotre propre licence (BYOL) et fournir une licence Windows 10 répondant aux exigences suivantes.Pour rester conforme aux conditions de licence Microsoft, AWS exécute votre BYOL WorkSpaces surun matériel qui vous est dédié dans le cloud AWS. En apportant votre propre licence, vous pouvez offrirune expérience cohérente à vos utilisateurs. Pour plus d'informations, consultez Tarification AmazonWorkSpaces.

Important

La création d'image n'est pas prise en charge sur les systèmes Windows 10 mis à niveau depuisune version de Windows 10 vers une version plus récente de Windows 10 (mise à niveau d'unefonction/version Windows). Toutefois, les mises à jour cumulatives ou de sécurité Windows sontprises en charge par le processus de création d'image WorkSpaces.

Pour commencer, ouvrez la console Amazon WorkSpaces et choisissez Paramètres du compte pouractiver votre compte pour BYOL.

Sommaire• Requirements (p. 159)

158





Amazon WorkSpaces Guide d'administrationRequirements

• Versions Windows prises en charge pour BYOL (p. 160)• Ajout de Microsoft Office à votre image BYOL (p. 160)• Étape 1 : Activer l'option BYOL pour votre compte à l'aide de la console Amazon

WorkSpaces (p. 164)• Étape 2 : Exécuter le script BYOL Checker PowerShell sur une machine virtuelle Windows (p. 165)• Étape 3 : Exporter la machine virtuelle à partir de votre environnement de virtualisation (p. 166)• Étape 4 : Importer votre machine virtuelle en tant qu'image dans Amazon EC2 (p. 166)• Étape 5 : Créer une image BYOL à l'aide de la console Amazon WorkSpaces (p. 167)• Étape 6 : Créer un bundle personnalisé à partir de l'image BYOL (p. 168)• Étape 7 : Enregistrer un annuaire pour les WorkSpaces dédiées (p. 168)• Étape 8 : Lancer votre WorkSpaces BYOL (p. 169)

RequirementsAvant de commencer, vérifiez les éléments suivants :

• Votre contrat de licence Microsoft autorise l'exécution de Windows dans un environnement hébergévirtuel.

• Si vous utilisez des bundles non GPU (bundles autres que Graphics et GraphicsPro), vérifiez que vousutiliserez un minimum de 200 Amazon WorkSpaces par région. Ces 200 WorkSpaces peuvent êtren'importe quel mélange de AlwaysOn et de AutoStop WorkSpaces. L'utilisation d'un minimum de 200WorkSpaces par région est requise pour exécuter votre Amazon WorkSpaces sur un matériel dédié.L'exécution de votre Amazon WorkSpaces sur un matériel dédié est nécessaire pour se conformer auxexigences de licence Microsoft. Le matériel dédié est provisionné côté AWS, de sorte que votre VPCpeut rester en location par défaut.

Si vous prévoyez d'utiliser des solutions groupées GPU (Graphics et GraphicsPro), vérifiez que vousallez exécuter au moins 4 AlwaysOn ou 20 AutoStop GPU WorkSpaces dans une région par mois sur unmatériel dédié.

• Amazon WorkSpaces peut utiliser une interface de gestion dans la plage d'adresses IP /16. L'interfacede gestion est connectée à un réseau de gestion Amazon WorkSpaces sécurisé utilisé pour le streaminginteractif. Cela permet à Amazon WorkSpaces de gérer votre WorkSpaces. Pour plus d'informations,consultez Interfaces réseau (p. 31). Vous devez réserver un masque de réseau /16 à partir d'au moinsune des plages d'adresses IP suivantes à cette fin :• 10.0.0.0/8• 100.64.0.0/10• 172.16.0.0/12• 192.168.0.0/16• 198.18.0.0/15

Note

• Au fur et à mesure que vous adoptez le service WorkSpaces, les plages d'adresses IPde l'interface de gestion disponibles changent fréquemment. Pour déterminer les plagesactuellement disponibles, exécutez la commande list-available-management-cidr-rangesAWS Command Line Interface (AWS CLI).

• Outre le bloc d'adresse CIDR /16 que vous sélectionnez, la plage d'adresses IP54.239.224.0/20 est utilisée pour le trafic de l'interface de gestion dans toutes les régionsAWS.

• Vérifiez que vous avez ouvert les ports nécessaires de l'interface de gestion pour Microsoft Windows etl'activation de Microsoft Office KMS pour BYOL WorkSpaces. Pour plus d'informations, consultez Portsde l'interface de gestion (p. 32).

159

https://docs.aws.amazon.com/cli/latest/reference/workspaces/list-available-management-cidr-ranges.html

Amazon WorkSpaces Guide d'administrationVersions Windows prises en charge pour BYOL

• Vous disposez d'une machine virtuelle (VM) qui exécute une version 64 bits de Windows prise encharge. Pour obtenir la liste des versions prises en charge, consultez la section suivante de cetterubrique Versions Windows prises en charge pour BYOL (p. 160). La machine virtuelle doit égalementrépondre à ces exigences :• Votre système d'exploitation Windows doit être activé sur vos serveurs de gestion des clés.• La langue principale de votre système d'exploitation Windows est French (France).• Aucun logiciel outre ceux inclus avec Windows ne peut être installé sur la machine virtuelle. Vous

pouvez ajouter d'autres logiciels, comme une solution anti-virus, lorsque vous créez ultérieurement uneimage personnalisée.

• Ne personnalisez pas le profil utilisateur par défaut (C:\Users\Default) et n'effectuez pas d'autrespersonnalisations avant de créer une image. Toutes les personnalisations doivent être effectuéesaprès la création de l'image. Nous vous recommandons de personnaliser le profil utilisateur via desobjets de stratégie de groupe (GPO) et d'appliquer les personnalisations après la création de l'image.En effet, les personnalisations effectuées via GPOs peuvent être facilement modifiées ou annulées etsont moins sujettes aux erreurs que les personnalisations effectuées sur le profil utilisateur par défaut.

• Vous devez créer un compte WorkSpaces_BYOL avec un accès administrateur local avant de partagerl'image. Le mot de passe du compte peut être requis ultérieurement. Notez-le.

• La machine virtuelle doit se trouver sur un seul volume avec une taille maximale de 70 Go et au moins10 Go d'espace libre. Si vous envisagez également de vous abonner à Microsoft Office pour votreimage BYOL, la machine virtuelle doit se trouver sur un seul volume avec une taille maximale de 70Go et au moins 20 Go d'espace libre.

• Votre machine virtuelle doit exécuter Windows PowerShell version 4 ou ultérieure.• Veillez à avoir installé les derniers correctifs Microsoft Windows avant d'exécuter le script PowerShell

BYOL Checker dans l'étape 2 (p. 165) plus loin dans cette rubrique.

Versions Windows prises en charge pour BYOLVotre machine virtuelle doit être exécutée sur l'une des versions Windows suivantes :

• Windows 10 Version 1803 (Mise à jour avril 2018)• Windows 10 Version 1809 (Mise à jour octobre 2018)• Windows 10 version 1903 (mise à jour de mai 2019)• Windows 10 Version 1909 (mise à jour de novembre 2019)• Windows 10 version 2004 (mise à jour de mai 2020)• Windows 10 Version 20H2 (Mise à jour octobre 2020)

Toutes les versions de système d'exploitation prises en charge prennent en charge tous les types de calculdisponibles dans la région AWS où vous utilisez WorkSpaces. Les versions de Windows qui ne sont plusprises en charge par Microsoft ne sont pas prises en charge par AWS Support. Leur fonctionnement n'estpas garanti.

Note

Pour les ensembles Graphics ou BYOL GraphicsPro, vous devez utiliser Windows 10 Version1803 (mise à jour avril 2018.

Ajout de Microsoft Office à votre image BYOLAu cours du processus d'ingestion d'images BYOL, si vous utilisez Windows 10, vous avez la possibilité devous abonner à Microsoft Office Professional 2016 (32 bits) ou 2019 (64 bits) via AWS. Si vous choisissezcette option, Office est préinstallé dans votre image BYOL et inclus sur toute WorkSpaces que vous lancezà partir de cette image.

160

Amazon WorkSpaces Guide d'administrationAjout de Microsoft Office à votre image BYOL

Si vous choisissez de vous abonner à Office via AWS, des frais supplémentaires s'appliquent. Pour plusd'informations, consultez Tarification Amazon WorkSpaces.

Important

• Si Microsoft Office est déjà installé sur la machine virtuelle que vous utilisez pour créer votreimage BYOL, vous devez la désinstaller de celle-ci si vous souhaitez vous abonner à Office viaAWS.

• Si vous prévoyez de vous abonner à Office via AWS, assurez-vous que votre machine virtuelledispose d'au moins 20 Go d'espace disque disponible.

Si vous choisissez de vous abonner à Office, le processus d'ingestion d'images BYOL prend au moins 3heures.

Pour plus d'informations sur l'abonnement à Office pendant le processus d'intégration BYOL, consultezÉtape 5 : Créer une image BYOL à l'aide de la console Amazon WorkSpaces (p. 167).

Paramètres du langage de bureau

Nous choisissons la langue utilisée pour votre abonnement Office en fonction de la région AWS danslaquelle vous effectuez votre ingestion d'image BYOL. Par exemple, si vous effectuez votre ingestiond'image BYOL dans le Région Asie-Pacifique (Tokyo), votre abonnement Office a le japonais commelangue.

Par défaut, nous installons un certain nombre de packs de langage Office fréquemment utilisés sur votreWorkSpaces. Si le pack de langues souhaité n'est pas installé, vous pouvez télécharger des packs delangues supplémentaires à partir de Microsoft. Pour plus d'informations, consultez Langage – Pack pourOffice dans la documentation Microsoft.

Pour modifier la langue pour Office, vous disposez de plusieurs options :

Option 1 : Autoriser les utilisateurs individuels à personnaliser leurs paramètres delangue OfficeDes utilisateurs individuels peuvent ajuster les paramètres de langue Office sur leur WorkSpaces.Pour plus d'informations, consultez Ajouter un langage de modification ou de création, ou définir despréférences de langage dans Office dans la documentation Microsoft.

Option 2 : Utiliser des modèles d'administration GPO (.admx/.adml) pour appliquerles paramètres de langue Office par défaut pour tous vos utilisateursWorkSpacesVous pouvez utiliser des paramètres d'objet de stratégie de groupe (GPO) pour appliquer les paramètresde langue Office par défaut à vos utilisateurs WorkSpaces.

Note

Vos utilisateurs WorkSpaces ne pourront pas remplacer les paramètres de langue appliqués vial'objet de stratégie de groupe.

Pour plus d'informations sur l'utilisation de GPO pour définir le langage pour Office, consultezPersonnalisation de la configuration et des paramètres de langage pour Office dans la documentationMicrosoft. Office 2016 et Office 2019 utilisent les mêmes paramètres GPO (étiquetés avec Office 2016).

Pour utiliser GPOs, vous devez installer les outils d'administration Active Directory. Pour plus d'informationssur l'utilisation des outils d'administration Active Directory pour travailler avec GPOs, consultez Configurerdes outils d'administration Active Directory pour Amazon WorkSpaces (p. 72).

Avant de pouvoir configurer les paramètres de stratégie Office 2016 ou Office 2019, vous deveztélécharger les fichiers du modèle d'administration (.admx/.adml) pour Office à partir du Centre de

161


https://support.microsoft.com/office/language-accessory-pack-for-office-82ee1236-0f9a-45ee-9c72-05b026ee809f

https://support.microsoft.com/office/language-accessory-pack-for-office-82ee1236-0f9a-45ee-9c72-05b026ee809f

https://support.microsoft.com/office/add-an-editing-or-authoring-language-or-set-language-preferences-in-office-663d9d94-ca99-4a0d-973e-7c4a6b8a827d#ID0EAACAAA=Newer_versions

https://support.microsoft.com/office/add-an-editing-or-authoring-language-or-set-language-preferences-in-office-663d9d94-ca99-4a0d-973e-7c4a6b8a827d#ID0EAACAAA=Newer_versions

https://docs.microsoft.com/deployoffice/office2016/customize-language-setup-and-settings-for-office-2016#customize-language-settings

https://www.microsoft.com/download/details.aspx?id=49030


téléchargement Microsoft. Après avoir téléchargé les fichiers du modèle d'administration, vous devezajouter les fichiers office16.admx et office16.adml au magasin central du contrôleur de domainepour votre répertoire WorkSpaces. (Les fichiers office16.admx et office16.adml s'appliquent à Office2016 et Office 2019.) Pour plus d'informations sur l'utilisation des fichiers .admx et .adml, consultez Comment créer et gérer le magasin central pour les modèles d'administration de stratégie de groupe dansWindows dans la documentation Microsoft.

La procédure suivante décrit comment créer le magasin central et y ajouter les fichiers de modèled'administration. Procédez comme suit sur une instance d'administration d'annuaire WorkSpace ouAmazon EC2 jointe à votre annuaire WorkSpaces.

Pour installer les fichiers de modèle d'administration de stratégie de groupe pour Office

1. Téléchargez les fichiers du modèle d'administration (.admx/.adml) pour Office à partir du Centre detéléchargement Microsoft.

2. Sur une instance WorkSpace ou Amazon EC2 d'administration d'annuaire jointe à votre annuaireWorkSpaces, accédez au dossier réseau partagé du domaine. Le nom de domaine complet (FQDN)de votre organisation sera attribué à ce dossier, par exemple \\example.com. Dans l'Explorateur defichiers Windows, accédez à Réseau > .FQDN.

3. Ouvrez le dossier SYSVOL4. Ouvrez le dossier avec le nom FQDN.5. Ouvrez le dossier Policies Vous devriez maintenant être dans \\FQDN\SYSVOL\FQDN\Policies.6. S'il n'existe pas déjà, créez un dossier nommé PolicyDefinitions.7. Ouvrez le dossier PolicyDefinitions8. Copiez le fichier office16.admx dans le dossier \\FQDN\SYSVOL\FQDN\Policies

\PolicyDefinitions.9. Créez un dossier nommé en-US dans le dossier PolicyDefinitions.10. Ouvrez le dossier en-US11. Copiez le fichier office16.adml dans le dossier \\FQDN\SYSVOL\FQDN\Policies

\PolicyDefinitions\en-US.

Pour configurer les paramètres de langage GPO pour Office


2. Développez la forêt (Forêt :FQDN).3. Développez Domains (Domaines).4. Développez votre nom de domaine complet (par exemple, example.com).5. Sélectionnez votre nom de domaine complet, ouvrez le menu contextuel (clic droit) ou ouvrez le menu

Action, puis choisissez Create a GPO in this domain, and Link it here (Créer un GPO dans ce domaineet le lier ici).

6. Nommez votre objet Stratégie de groupe (par exemple, Office).7. Sélectionnez votre objet de stratégie de groupe, ouvrez le menu contextuel (clic droit) ou ouvrez le

menu Action, puis choisissez Modifier.8. Dans l'éditeur de gestion des stratégies de groupe, choisissez User Configuration (Configuration de

l'utilisateur), Policies (Stratégies), Administrative Template Policy definitions (Fichiers ADMX) retrievefrom the local computer (Définitions de stratégie de modèle d'administration (fichiers ADMX)) à partirde l'ordinateur local, Microsoft Office 2016 et Language Preferences (Préférences de langue).

Note

Office 2016 et Office 2019 utilisent les mêmes paramètres GPO (étiquetés avec Office2016). Si vous ne voyez pas les définitions de stratégie de modèle d'administration (fichiers

162




https://www.microsoft.com/download/details.aspx?id=49030


ADMX) extraits de l'ordinateur local sous Configuration de l'utilisateur, Stratégies, les fichiersoffice16.admx et office16.adml ne sont pas correctement installés sur votre contrôleurde domaine.

9. Sous Préférences de langue, spécifiez la langue souhaitée pour les paramètres suivants. Veillez àdéfinir chaque paramètre sur Enabled (Activé), puis sous Options, sélectionnez la langue souhaitée.Choisissez OK pour enregistrer chaque paramètre.

• Langue d'affichage > Afficher l'aide dans• Langue d'affichage > Afficher les menus et les boîtes de dialogue dans• Langues d'édition > Langue d'édition principale

10. Fermez l'outil de gestion des stratégies de groupe lorsque vous avez terminé.11. Les modifications apportées aux paramètres de stratégie de groupe prennent effet après la mise

à jour suivante de la stratégie de groupe pour l'WorkSpace et après le redémarrage de la sessionWorkSpace. Pour appliquer les modifications de stratégie de groupe, effectuez l'une des actionssuivantes :



Option 3 : Mettre à jour les paramètres de registre du langage Office sur votreWorkSpaces

Pour définir les paramètres du langage Office via le registre, mettez à jour les paramètres de registresuivants :

• niveau HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Office\\16.0\\Common\\LanguageResources\\UILanguage

• niveau HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Office\\16.0\\Common\\LanguageResources\\HelpLanguage

Pour ces paramètres, ajoutez une valeur de clé DWORD avec l'ID local Office (LCID) approprié. Parexemple, la valeur pour l'anglais (US) est 1033. Étant donné que LCIDs sont des valeurs décimales, vousdevez définir l'option Base pour la valeur DWORD sur Decimal. Pour obtenir la liste des LCIDs Office,consultez Language identifiers and OptionState Id values in Office 2016 dans la documentation Microsoft.

Vous pouvez appliquer ces paramètres de registre à votre WorkSpaces via des paramètres d'objet destratégie de groupe ou un script de connexion.

Pour plus d'informations sur l'utilisation des paramètres de langage pour Office, consultez Personnalisationde la configuration et des paramètres de langage pour Office dans la documentation Microsoft.

Ajout d'un bureau à votre WorkSpaces BYOL existant

Vous pouvez également ajouter un abonnement à Office à votre BYOL WorkSpaces existant. Une foisque vous avez créé un bundle BYOL avec Office installé, vous pouvez utiliser la fonction de migrationWorkSpaces pour migrer votre WorkSpaces BYOL existant vers le bundle BYOL qui est abonné à Office.Pour plus d'informations, consultez Migrer une WorkSpace (p. 136).

Migration entre les versions de Microsoft Office

Pour migrer d'Office 2016 vers Office 2019 ou d'Office 2019 vers Office 2016, vous devez créer un bundleBYOL qui est abonné à la version d'Office vers laquelle vous souhaitez migrer. Ensuite, vous utilisez lafonctionnalité de migration WorkSpaces pour migrer vos WorkSpaces BYOL existantes qui sont abonnéesà Office vers le bundle BYOL qui est abonné à la version d'Office vers laquelle vous souhaitez migrer.

163

https://docs.microsoft.com/deployoffice/office2016/language-identifiers-and-optionstate-id-values-in-office-2016

https://docs.microsoft.com/deployoffice/office2016/customize-language-setup-and-settings-for-office-2016

https://docs.microsoft.com/deployoffice/office2016/customize-language-setup-and-settings-for-office-2016

Amazon WorkSpaces Guide d'administrationÉtape 1 : Activer l'option BYOL pour votre compte

à l'aide de la console Amazon WorkSpaces

Par exemple, pour migrer d'Office 2016 vers Office 2019, créez un bundle BYOL abonné à Office 2019.Utilisez ensuite la fonction de migration WorkSpaces pour migrer vos WorkSpaces BYOL existantesabonnés à Office 2016 vers le bundle BYOL abonné à Office 2019.

Pour plus d'informations sur le processus de migration, consultez Migrer une WorkSpace (p. 136).

Désabonnement d' Office

Pour vous désabonner d'Office, vous devez créer un bundle BYOL qui n'est pas abonné à Office. Utilisezensuite la fonction de migration WorkSpaces pour migrer votre WorkSpaces BYOL existant vers le bundleBYOL qui n'est pas abonné à Office. Pour plus d'informations, consultez Migrer une WorkSpace (p. 136).

Mises à jour Office

Si vous êtes abonné à Office via AWS, les mises à jour Office sont incluses dans le cadre de vos mises àjour Windows régulières. Pour rester informé de tous les correctifs et mises à jour de sécurité, nous vousrecommandons de mettre régulièrement à jour vos images de base BYOL.

Étape 1 : Activer l'option BYOL pour votre compte àl'aide de la console Amazon WorkSpacesPour activer l'option BYOL pour votre compte, vous devez définir une interface réseau de gestion. Cetteinterface est connectée à un réseau de gestion Amazon WorkSpaces sécurisé. Elle est utilisée pourle streaming interactif du bureau WorkSpace vers les clients Amazon WorkSpaces et pour permettre àAmazon WorkSpaces de gérer le WorkSpace.

Note

Les étapes de cette procédure visant à activer l'option BYOL pour votre compte ne doivent êtreexécutées qu'une seule fois par compte et par région.

Pour activer l'option BYOL pour votre compte à l'aide de la console Amazon WorkSpaces

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte). Si votre

compte n'est actuellement pas éligible à l'option BYOL, un message vous fournit des indications sur laprocédure à suivre.

3. Sous Bring Your Own License (Réutilisez vos licences - BYOL), dans la zone Management networkinterface IP address range (Plage d'adresses IP d'interface de réseau de gestion), choisissez uneplage d'adresses IP, puis choisissez Display available CIDR blocks (Afficher les blocs d'adresses CIDRdisponibles).

Amazon WorkSpaces recherche et affiche les plages d'adresses IP disponibles sous forme de blocsd'adresse CIDR (Classless Inter-Domain Routing) IPv4, dans la plage que vous spécifiez. Si vous avezbesoin d'une plage d'adresses IP spécifique, vous pouvez modifier la plage de recherche.

Important

Une fois que vous spécifiez une plage d'adresses IP, vous ne pouvez pas la modifier.Assurez-vous de spécifier une plage d'adresses IP qui ne soit pas en conflit avec les plagesutilisées par votre réseau interne. En cas de question sur la plage à spécifier, contactez votreresponsable de compte AWS ou votre représentant commercial, ou contactez AWS SupportCenter avant de continuer.

4. Sélectionnez le bloc d'adresse CIDR de votre choix dans la liste des résultats, puis choisissez EnableBYOL (Activer BYOL).

Ce processus peut prendre plusieurs heures. Pendant qu'Amazon WorkSpaces active votre comptepour BYOL, passez à l'étape suivante.

164




Amazon WorkSpaces Guide d'administrationÉtape 2 : Exécuter le script BYOL Checker

PowerShell sur une machine virtuelle Windows

Étape 2 : Exécuter le script BYOL Checker PowerShellsur une machine virtuelle WindowsUne fois que vous avez activé BYOL pour votre compte, vous devez confirmer que votre machine virtuellerépond aux exigences pour BYOL. Pour ce faire, effectuez ces étapes pour télécharger et exécuter lescript Amazon WorkSpaces BYOL CheckerPowerShell. Le script effectue une série de tests sur la machinevirtuelle que vous prévoyez d'utiliser pour créer votre image.

Important

La machine virtuelle doit réussir tous les tests avant que vous ne puissiez l'utiliser pour BYOL.

Pour télécharger le script BYOL Checker

Avant de télécharger et d'exécuter le script BYOL Checker, vérifiez que les dernières mises à jour desécurité Windows sont installées sur votre machine virtuelle. Au cours de son exécution, ce script désactivele service Windows Update.

1. Téléchargez le fichier .zip du script BYOL Checker depuis https://tools.amazonworkspaces.com/<glsid=1>BYOLChecker.zip</gls> .Downloads

2. Dans votre dossier Downloads, créez un dossier BYOL3. Récupérez les fichiers dans BYOLChecker.zip et copiez-les dans le dossier Downloads\BYOL4. Supprimez le dossier Downloads\BYOLChecker.zip afin de ne conserver que les fichiers

récupérés.

Effectuez les étapes suivantes pour exécuter le script BYOL Checker.

Pour exécuter le script BYOL Checker

1. Depuis le bureau Windows, ouvrez Windows PowerShell. Choisissez le bouton WindowsDémarrer, cliquez avec le bouton droit sur Windows PowerShell, puis choisissez Exécuter en tantqu'administrateur. Si le Contrôle de compte d'utilisateur vous invite à indiquer si vous souhaitezqu'PowerShell modifie votre appareil, choisissez Oui.

2. A l'invite de commande de l'PowerShell, accédez au répertoire où se trouve le script BYOL Checker.Par exemple, si le script se trouve dans le répertoire Downloads\BYOL, entrez la commande suivanteet appuyez sur Entrée :

cd C:\Users\username\Downloads\BYOL

3. Entrez la commande suivante pour mettre à jour la stratégie d'exécution PowerShell sur l'ordinateur.Cela permet au script BYOL Checker de s'exécuter :

Set-ExecutionPolicy Unrestricted

4. Lorsque vous êtes invité à confirmer la modification de la stratégie d'exécution PowerShell, entrez Apour spécifier Oui pour tout.

5. Entrez la commande suivante pour exécuter le script BYOL Checker :

.\BYOLChecker.ps1

6. Si une notification de sécurité s'affiche, appuyez sur la touche R pour exécuter une fois.7. Dans la boîte de dialogue Amazon WorkSpaces Image Validation (Validation d'image), choisissez

Begin Tests (Commencer les tests).8. Lorsqu'un test est terminé, vous pouvez en afficher le statut. Pour tout test dont l'état est FAILED

(ÉCHEC), choisissez Info pour afficher des informations sur la façon de résoudre le problème qui a

165

https://tools.amazonworkspaces.com/BYOLChecker.zip

https://tools.amazonworkspaces.com/BYOLChecker.zip

Amazon WorkSpaces Guide d'administrationÉtape 3 : Exporter la machine virtuelle à partir

de votre environnement de virtualisation

provoqué l'échec. Si des tests affichent le statut WARNING (AVERTISSEMENT), choisissez le boutonFix All Warnings (Corriger tous les avertissements).

9. Le cas échéant, résolvez l'ensemble des problèmes qui entraînent soit l'échec des tests soit desavertissements, et répétez les étapes Step 7 (p. 165) et Step 8 (p. 165) jusqu'à ce que la machinevirtuelle réussisse tous les tests. Tous les échecs et avertissements doivent être résolus avantd'exporter la machine virtuelle.

10. Le vérificateur de script BYOL génère deux fichiers journaux, BYOLPrevalidationlogYYYY-MM-DD_HHmmss.txt et ImageInfo.text. Ces fichiers se trouvent dans le répertoire qui contient lesfichiers de script BYOL Checker.

Tip

Ne supprimez pas ces fichiers. Si un problème se produit, ces fichiers peuvent être utiles pourle résoudre.

11. Une fois que votre machine virtuelle a réussi tous les tests, vous obtenez un message ValidationSuccessful (Validation réussie). Passez en revue les paramètres régionaux de la machine virtuelleaffichés dans l'outil. Pour mettre à jour les paramètres régionaux, suivez ces instructions dans ladocumentation Microsoft et exécutez à nouveau le script BYOL Checker.

12. Arrêtez la machine virtuelle et créez un instantané de celle-ci.13. Démarrez à nouveau la machine virtuelle. Choisissez Run Sysprep. Si Sysprep aboutit, la machine

virtuelle que vous avez exportée après Step 12 (p. 166) peut être importée dans Amazon ElasticCompute Cloud (Amazon EC2). Dans le cas contraire, passez en revue les journaux Sysprep, revenezà l'instantané pris à Step 12 (p. 166), résolvez les problèmes signalés, prenez un nouvel instantanéet exécutez à nouveau le script BYOL Checker.

La raison la plus courante de l'échec de Sysprep est que les packages AppX modernes ne sontpas désinstallés pour tous les utilisateurs. Utilisez l'applet de commande Remove-AppxPackagePowerShell pour supprimer les packages AppX.

14. Une fois que vous avez créé votre image, vous pouvez supprimer le compte WorkSpaces_BYOL.

Étape 3 : Exporter la machine virtuelle à partir de votreenvironnement de virtualisationPour créer une image pour BYOL, vous devez d'abord exporter la machine virtuelle à partir de votreenvironnement de virtualisation. La machine virtuelle doit se trouver sur un seul volume avec une taillemaximale de 70 Go et au moins 10 Go d'espace libre. Pour plus d'informations, reportez-vous à ladocumentation de votre environnement de virtualisation et à la section Exportation de votre machinevirtuelle à partir de son environnement de virtualisation dans le Guide de l'utilisateur de VM Import/Export.

Étape 4 : Importer votre machine virtuelle en tantqu'image dans Amazon EC2Après avoir exporté votre machine virtuelle, vérifiez les prérequis pour l'importation des systèmesd'exploitation Windows à partir d'une machine virtuelle. Prenez les mesures appropriées le cas échéant.Pour plus d’informations, consultez Prérequis VM Import/Export.

Note

L'importation d'une machine virtuelle avec un disque chiffré n'est pas prise en charge. Si vousvous êtes inscrit au chiffrement par défaut pour les volumes Amazon Elastic Block Store (AmazonEBS), vous devez désélectionner cette option avant d'importer votre machine virtuelle.

Importez votre machine virtuelle dans Amazon EC2 en tant qu'AMI (Amazon Machine Image). Utilisez l'unedes méthodes suivantes :

166

https://docs.microsoft.com/previous-versions/windows/hardware/previsioning-framework/dn965674(v=vs.85)

https://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html#export-vm-image

https://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html#export-vm-image

https://docs.aws.amazon.com/vm-import/latest/userguide/vmie_prereqs.html

Amazon WorkSpaces Guide d'administrationÉtape 5 : Créer une image BYOL à l'aide

de la console Amazon WorkSpaces

• Utilisez la commande import-image avec l'AWS CLI. Pour plus d'informations, consultez import-imagedans le AWS CLI Command Reference.

• Utilisez l'opération d'API ImportImage Pour plus d'informations, consultez ImportImage dans le documentAmazon EC2 API Reference.

Pour plus d'informations, consultez Importation d'une machine virtuelle en tant qu'image dans le documentVM Import/Export User Guide.

Étape 5 : Créer une image BYOL à l'aide de la consoleAmazon WorkSpacesEffectuez les étapes suivantes pour créer une image BYOL Amazon WorkSpaces

Note

Pour effectuer cette procédure, vérifiez que vous disposez des autorisations AWS Identity andAccess Management (IAM) pour :

• Appelez Amazon WorkSpaces ImportWorkspaceImage.• Appeler Amazon EC2 DescribeImages sur l'image Amazon EC2 que vous souhaitez utiliser

pour créer l'image BYOL.• Appeler Amazon EC2 ModifyImageAttribute sur l'image Amazon EC2 que vous souhaitez

utiliser pour créer l'image BYOL.

Pour plus d'informations, consultez Modification des autorisations pour un utilisateur IAM dans leIAM Guide de l'utilisateur.Pour créer un bundle Graphics ou GraphicsPro à partir de votre image, contactez le AWS SupportCenter pour que votre compte soit ajouté à la liste d'autorisation. Une fois que votre comptefigure sur la liste d'autorisation, vous pouvez utiliser la commande import-workspace-image del'interface de ligne de commande AWS pour ingérer l'image Graphics ou GraphicsPro. Pour plusd'informations, consultez import-workspace-image dans le AWS CLI Command Reference.

Pour créer une image à partir de la machine virtuelle Windows

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, sélectionnez Images.3. Choisissez Actions, Create BYOL Image (Créer une image BYOL).4. Dans la boîte de dialogue Create BYOL Image, procédez comme suit :

• Pour ID d'AMI, cliquez sur le lien Console EC2 et choisissez l'image Amazon EC2 que vous avezimportée comme décrit dans la section précédente (Étape 4 : Importer votre machine virtuelle entant qu'image dans Amazon EC2 (p. 166)). Le nom de l'image doit commencer par ami-, suivi del'identifiant de l'AMI (par exemple, ami-1234567e).

• Pour BYOL image name (Nom de l'image BYOL), entrez un nom unique pour l'image.• Pour Description de l'image, entrez une description qui vous permettra d'identifier rapidement

l'image.• Pour Ingestion process (Processus d'intégration), choisissez le type de bundle approprié (Regular

(Régulaire), Graphics (Graphiques) ou GraphicsPro), en fonction du protocole que vous souhaitezutiliser pour votre image, PCoIP ou WorkSpaces Streaming Protocol (WSP). Pour les bundles nonGPU (bundles autres que Graphics ou GraphicsPro), choisissez Regular.

• (Facultatif) Pour Applications, choisissez la version de Microsoft Office à laquelle vous souhaitezvous abonner. Pour plus d'informations, consultez Ajout de Microsoft Office à votre imageBYOL (p. 160).

167

https://docs.aws.amazon.com/cli/latest/reference/ec2/import-image.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ImportImage.html

https://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html



https://docs.aws.amazon.com/cli/latest/reference/workspaces/import-workspace-image.html


Amazon WorkSpaces Guide d'administrationÉtape 6 : Créer un bundle

personnalisé à partir de l'image BYOL

5. Sélectionnez Créer.

Pendant la création de votre image, l'état de l'image dans le registre d'images de la console apparaîtcomme Pending (En suspens). Le processus d'ingestion BYOL prend au minimum 90 minutes. Si vousêtes également abonné à Office, attendez-vous à ce que le processus dure au moins 3 heures.

Si la validation de l'image n'aboutit pas, la console affiche un code d'erreur. Lorsque la création del'image est terminée, l'état passe à Available (Disponible).

Étape 6 : Créer un bundle personnalisé à partir del'image BYOLUne fois votre image BYOL créée, vous pouvez l'utiliser pour créer une solution groupée personnalisée.Pour plus d'informations, consultez Créer une image et un bundle WorkSpaces personnalisés (p. 141).

Étape 7 : Enregistrer un annuaire pour lesWorkSpaces dédiéesPour utiliser les images BYOL pour WorkSpaces, vous devez enregistrer un répertoire à cette fin. Pour cefaire, procédez comme suit.

Pour enregistrer un annuaire pour un WorkSpaces dédié

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez Directories (Répertoires).3. Sélectionnez l'annuaire et choisissez Actions, Register (Enregistrer).4. Dans la boîte de dialogue Register directory, pour Enable Dedicated WorkSpaces, choisissez Yes.5. Choisissez Register.

Si vous avez déjà enregistré un annuaire AWS Managed Microsoft AD ou un annuaire AD Connector pourWorkSpaces qui ne s'exécute pas sur un matériel dédié, vous pouvez configurer un nouvel annuaire AWSManaged Microsoft AD ou un nouvel annuaire AD Connector à cette fin. Vous pouvez également annulerl'enregistrement du répertoire, puis le réenregistrer en tant que répertoire pour un WorkSpaces dédié. Pource faire, effectuez les étapes suivantes.

Note

Vous ne pouvez effectuer cette procédure que si aucun WorkSpaces n'est associé à l'annuaire.

Pour annuler l'enregistrement d'un annuaire et le réenregistrer pour une WorkSpaces dédiée

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Permet de résilier les WorkSpaces existants.3. Dans le volet de navigation, choisissez Directories (Répertoires).4. Sélectionnez l'annuaire et choisissez Actions, Annuler l'enregistrement.5. Lorsque vous êtes invité à confirmer l'opération, choisissez Annuler l'enregistrement.6. Sélectionnez à nouveau l'annuaire et choisissez Actions, Register (Enregistrer).7. Dans la boîte de dialogue Register directory, pour Enable Dedicated WorkSpaces, choisissez Yes.8. Choisissez Register.

168



Amazon WorkSpaces Guide d'administrationÉtape 8 : Lancer votre WorkSpaces BYOL

Étape 8 : Lancer votre WorkSpaces BYOLUne fois que vous avez enregistré un annuaire pour les WorkSpaces dédiées, vous pouvez lancer votreBYOL WorkSpaces dans cet annuaire. Pour plus d'informations sur le lancement des WorkSpaces,consultez Lancer un bureau virtuel avec Amazon WorkSpaces (p. 75).

169

Amazon WorkSpaces Guide d'administrationSurveillance à l'aide de métriques CloudWatch

Surveillance de vos WorkSpacesVous pouvez utiliser les fonctions suivantes pour surveiller votre WorkSpaces.

MétriquesCloudWatch

publie des points de données sur Amazon WorkSpaces concernant votre Amazon CloudWatch.WorkSpaces vous permet de récupérer des statistiques sur ces points de données sous la forme d'unensemble classé de données chronologiques, appelées CloudWatchmétriques. Vous pouvez utiliserces métriques pour vérifier que vos WorkSpaces fonctionnent comme prévu. Pour plus d'informations,consultez Surveiller votre WorkSpaces à l'aide des métriquesCloudWatch (p. 170).

ÉvénementsCloudWatch

peut envoyer des événements à Amazon WorkSpaces lorsque les utilisateurs se connectent à votreAmazon CloudWatch Events.WorkSpace Cela vous permet de répondre lorsque l'événement seproduit. Pour plus d'informations, consultez Surveillance de votre WorkSpaces à l'aide d'CloudWatchEvents (p. 174).

CloudTrailJournaux

AWS CloudTrail fournit un enregistrement des actions réalisées par un utilisateur, un rôle ou un serviceAWS dans Amazon WorkSpaces. Les informations collectées par CloudTrail vous permettent dedéterminer quelle demande a été envoyée à Amazon WorkSpaces, l'adresse IP source à partir delaquelle la demande a été effectuée, qui a effectué la demande, quand, ainsi que d'autres informations.Pour plus d'informations, consultez Journalisation des appels d’API Amazon WorkSpaces avecCloudTrail.

Surveiller votre WorkSpaces à l'aide desmétriquesCloudWatch

Amazon WorkSpaces et Amazon CloudWatch sont intégrés. Vous pouvez donc collecter et analyser lesmétriques de performance. Vous pouvez surveiller ces métriques à l'aide de la console CloudWatch,de l'interface de ligne de commande CloudWatch ou par programmation à l'aide de l'API CloudWatch.CloudWatch vous permet aussi de définir des alarmes lorsque vous atteignez le seuil spécifié d'unemétrique.

Pour plus d'informations sur l'utilisation de CloudWatch et des alarmes, consultez Guide de l'utilisateurAmazon CloudWatch.

Prerequisites

Pour obtenir les métriques CloudWatch, activez l'accès sur le port 443 du sous-ensemble AMAZON dans larégion us-east-1 Pour plus d'informations, consultez Exigences relatives aux adresses IP et aux portspour Amazon WorkSpaces (p. 19).

Sommaire• Amazon WorkSpacesIndicateurs (p. 170)• Dimensions pour les métriques Amazon WorkSpaces (p. 172)• Exemple de surveillance (p. 173)

Amazon WorkSpacesIndicateursL'espace de noms AWS/WorkSpaces inclut les métriques suivantes.

170

https://docs.aws.amazon.com/workspaces/latest/api/cloudtrail_logging.html

https://docs.aws.amazon.com/workspaces/latest/api/cloudtrail_logging.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/

Amazon WorkSpaces Guide d'administrationAmazon WorkSpacesIndicateurs

Métrique Description Dimensions Statistiquesdisponibles

Unités

Available1 Nombre deWorkSpacesayant renvoyé unétat sain.

DirectoryId

WorkspaceId

Moyenne,Somme,Maximum,Minimum etExemples dedonnées

Nombre

Unhealthy1 Nombre deWorkSpacesayant renvoyé unstatut non sain.

DirectoryId

WorkspaceId


Nombre

ConnectionAttempt2 Nombre detentatives deconnexion.

DirectoryId

WorkspaceId


Nombre

ConnectionSuccess2 Nombre deconnexions ayantréussi.

DirectoryId

WorkspaceId


Nombre

ConnectionFailure2 Nombre deconnexions ayantéchoué.

DirectoryId

WorkspaceId


Nombre

SessionLaunchTime2 Tempsnécessaire pourinitier une sessionWorkSpaces.

DirectoryId

WorkspaceId


Seconde(temps)

InSessionLatency2 Temps aller-retour entrele clientWorkSpaces et leWorkSpace.

DirectoryId

WorkspaceId


Milliseconde(temps)

SessionDisconnect2 Nombre deconnexions quiont été fermées,y compris lesconnexionsinitiées par

DirectoryId

WorkspaceId


Nombre

171

Amazon WorkSpaces Guide d'administrationDimensions pour les métriques Amazon WorkSpaces

Métrique Description Dimensions Statistiquesdisponibles

Unités

l'utilisateur etcelles ayantéchoué.

UserConnected3 Nombre deWorkSpacesayant unutilisateurconnecté.

DirectoryId

WorkspaceId


Nombre

Stopped Nombred'WorkSpaces quisont arrêtés.

DirectoryId

WorkspaceId


Nombre

Maintenance4 Nombred'WorkSpaces quisont en cours demaintenance.

DirectoryId

WorkspaceId


Nombre

1 Amazon WorkSpaces envoie périodiquement des demandes d'état à un WorkSpace. Un WorkSpace estmarqué Available lorsqu'il répond à ces demandes, et Unhealthy lorsqu'il ne parvient pas à répondreà ces demandes. Ces métriques sont disponibles par WorkSpace et sont également regroupées pour tousles WorkSpaces d'une organisation.2 Amazon WorkSpaces enregistre les métriques sur les connexions effectuées à chaque WorkSpace. Cesmétriques sont émises une fois qu'un utilisateur s'est authentifié avec succès via le client WorkSpaces etque le client lance une session. Les métriques sont disponibles par WorkSpace et regroupées pour tous lesWorkSpaces d'un annuaire.3 Amazon WorkSpaces envoie périodiquement des demandes d'état de connexion à un WorkSpace. Lesutilisateurs sont signalés comme connectés lorsqu'ils utilisent activement leurs sessions. Cette métrique estdisponible à une granularité par WorkSpace et est également regroupée pour tous les WorkSpaces d'uneorganisation.4 Cette métrique s'applique aux WorkSpaces configurés avec un mode d'exécution AutoStop. Si lamaintenance est activée pour votre WorkSpaces, cette métrique capture le nombre d'WorkSpaces qui sontactuellement en cours de maintenance. Cette métrique est disponible à une granularité parWorkSpace, quidécrit quand une WorkSpace a fait l'objet d'une maintenance et quand elle a été supprimée.

Dimensions pour les métriques Amazon WorkSpacesPour filtrer les données de métriques, utilisez les dimensions suivantes.

Dimension Description

DirectoryId Permet de filtrer les données des métriques surle WorkSpaces dans le répertoire spécifié. Leformulaire de l'ID de répertoire est d-XXXXXXXXXX.

172

Amazon WorkSpaces Guide d'administrationExemple de surveillance

Dimension Description

WorkspaceId Permet de filtrer les données des métriques sur leWorkSpace spécifié. Le formulaire de l'ID d'espacede travail est ws-XXXXXXXXXX.

Exemple de surveillanceL'exemple suivant montre comment utiliser l'AWS CLI pour répondre à une alarme CloudWatch etdéterminer quel WorkSpaces d'un annuaire a rencontré des échecs de connexion.

Pour répondre à une alarme CloudWatch

1. Déterminez le répertoire auquel l'alarme s'applique à l'aide de la commande describe-alarms.

aws cloudwatch describe-alarms --state-value "ALARM"

{ "MetricAlarms": [ { ... "Dimensions": [ { "Name": "DirectoryId", "Value": "directory_id" } ], ... } ]}

2. Obtenez la liste des WorkSpaces dans le répertoire spécifié à l'aide de la commande describe-workspaces.

aws workspaces describe-workspaces --directory-id directory_id

{ "Workspaces": [ { ... "WorkspaceId": "workspace1_id", ... }, { ... "WorkspaceId": "workspace2_id", ... }, { ... "WorkspaceId": "workspace3_id", ... } ]}

3. Obtenez les métriques CloudWatch pour chaque WorkSpace du répertoire à l'aide de la commandeget-metric-statistics.

173

https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/describe-alarms.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html

https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html

https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html

Amazon WorkSpaces Guide d'administrationSurveillance avec CloudWatch Events

aws cloudwatch get-metric-statistics \--namespace AWS/WorkSpaces \--metric-name ConnectionFailure \--start-time 2015-04-27T00:00:00Z \--end-time 2015-04-28T00:00:00Z \--period 3600 \--statistics Sum \--dimensions "Name=WorkspaceId,Value=workspace_id"

{ "Datapoints" : [ { "Timestamp": "2015-04-27T00:18:00Z", "Sum": 1.0, "Unit": "Count" }, { "Timestamp": "2014-04-27T01:18:00Z", "Sum": 0.0, "Unit": "Count" } ], "Label" : "ConnectionFailure"}

Surveillance de votre WorkSpaces à l'aided'CloudWatch Events

Vous pouvez utiliser les événements d'Amazon CloudWatch Events pour afficher, rechercher, télécharger,archiver, analyser et répondre aux connexions réussies à votre WorkSpaces. Par exemple, vous pouvezutiliser des événements aux fins suivantes :

• Stockez ou archivez les événements de connexion WorkSpaces en tant que journaux à des fins deréférence ultérieure, analysez les journaux pour rechercher des modèles et prendre des mesures enfonction de ces modèles.

• Utilisez l'adresse IP WAN pour déterminer à partir d'où les utilisateurs sont connectés, puis utilisez desstratégies pour permettre aux utilisateurs d'accéder uniquement aux fichiers ou données de WorkSpacesqui répondent aux critères d'accès indiqués dans le type d'événement CloudWatch de WorkSpacesAccess.

• Analysez les données de connexion, disponibles en temps quasi réel, et effectuez des actionsautomatisées à l'aide d'AWS Lambda.

• Utilisez les contrôles de stratégie pour bloquer l'accès aux fichiers et applications à partir d'adresses IPnon autorisées.

Pour de plus amples informations sur les événements , veuillez consulter Guide de l'utilisateurAmazon CloudWatch Events.

ÉvénementsWorkSpacesLes applications clientes Amazon WorkSpaces envoient des événements d'accès WorkSpaces àCloudWatch Events lorsqu'un utilisateur se connecte avec succès à une WorkSpace. Tous les clientsAmazon WorkSpaces envoient ces événements.

174

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/

Amazon WorkSpaces Guide d'administrationÉvénementsWorkSpaces

Note

Les événements sont émis au mieux.

Les événements sont représentés sous la forme d'objets JSON. Voici un exemple de données pour unévénement WorkSpaces Access

{ "version": "0", "id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7", "detail-type": "WorkSpaces Access", "source": "aws.workspaces", "account": "123456789012", "time": "2018-07-01T17:53:06Z", "region": "us-east-2", "resources": [], "detail": { "clientIpAddress": "192.0.2.3", "actionType": "successfulLogin", "workspacesClientProductName": "WorkSpaces Desktop client", "loginTime": "2018-07-01T17:52:51.595Z", "clientPlatform": "Windows", "directoryId": "d-123456789", "workspaceId": "ws-xyskdga" }}

Champs spécifiques aux événements

clientIpAddress

Adresse IP de réseau étendu (WAN) de l'application cliente. Pour les clients PCoIP Zero, il s'agit del'adresse IP du client auth Teradici.

actionType

Cette valeur est toujours successfulLogin.workspacesClientProductName

• WorkSpaces Desktop client — Clients Windows, macOS et Linux• Amazon WorkSpaces Mobile client — Client iOS• WorkSpaces Mobile client — Clients Android• WorkSpaces Chrome client — Client Chromebook• WorkSpaces Web Client — Client Web Access• Teradici PCoIP Zero Client, Teradici PCoIP Desktop Client, or Dell WysePCoIP Client — Client Zero

loginTime

Heure à laquelle l'utilisateur s'est connecté à WorkSpace.clientPlatform

• Android

• Chrome

• iOS

• Linux

• OSX

• Windows

• Teradici PCoIP Zero Client and Tera2

175

Amazon WorkSpaces Guide d'administrationCréer une règle pour gérer les événementsWorkSpaces

• Web

directoryId

Identifiant de l'annuaire pour le WorkSpace.workspaceId

Identifiant du WorkSpace.

Créer une règle pour gérer lesévénementsWorkSpacesUtilisez la procédure suivante pour créer une règle CloudWatch Events afin de gérer les événementsWorkSpaces.

Pour créer une règle pour gérer les événementsWorkSpaces

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Événements.3. Choisissez Create rule.4. Pour Source de l'événement, procédez comme suit :

a. Choisissez Event Pattern (Modèle d'événement) et Build event pattern to match events by service(Créer un modèle d'événement correspondant aux événements par service) (valeur par défaut).

b. Pour Service Name (Nom du service), choisissez WorkSpaces.c. Pour Type d'événement, choisissez Accès à WorkSpaces.

5. Pour Cibles, choisissez Ajouter une cible, puis choisissez le service qui doit agir lorsqu'un événementWorkSpaces est détecté. Fournissez les informations requises par ce service.

6. Sélectionnez Configurer les détails. Pour Rule definition (Définition de règle), entrez un nom et unedescription.

7. Choisissez Create rule.

176

https://console.aws.amazon.com/cloudwatch/

Amazon WorkSpaces Guide d'administrationRedirection entre régions

Continuité des activités pour AmazonWorkSpaces

Amazon WorkSpaces est construite sur le AWS de l’infrastructure mondiale, qui est organisée en AWSRégions et zones de disponibilité. Ces régions et zones de disponibilité fournissent une résilience entermes d’isolation physique et de redondance des données. Pour plus d'informations, consultez la sectionRésilience dans Amazon WorkSpaces (p. 199).

Amazon WorkSpaces fournit également une redirection entre régions, une fonctionnalité qui fonctionneavec vos stratégies de routage DNS (Domain Name System) pour rediriger vos utilisateurs d’instancesWorkSpaces vers d’autres instances WorkSpaces lorsque leurs instances WorkSpaces principales ne sontpas disponibles. Par exemple, en utilisant les stratégies de routage de basculement DNS, vous pouvezconnecter vos utilisateurs aux instances WorkSpaces dans votre région de basculement spécifiée lorsqu’ilsne peuvent pas accéder à leurs instances WorkSpaces dans la région principale.

Vous pouvez utiliser la redirection entre régions pour atteindre la résilience régionale et la hautedisponibilité. Vous pouvez également l’utiliser à d’autres fins, telles que la distribution du trafic ou lafourniture d’instances WorkSpaces alternatives pendant les périodes de maintenance. Si vous utilisezAmazon Route 53 pour votre configuration DNS, vous pouvez tirer parti des vérifications de l’état quisurveillent Amazon CloudWatch alarmes.

Table des matières• Redirection entre régions pourAmazon WorkSpaces (p. 177)

Redirection entre régions pourAmazon WorkSpacesAvec la fonction de redirection entre régions dans Amazon WorkSpaces, vous pouvez utiliser un nom dedomaine complet (FQDN) comme code d'enregistrement pour votre WorkSpaces. La redirection entrerégions fonctionne avec vos stratégies de routage du système de noms de domaine (DNS) pour redirigervos utilisateurs WorkSpaces vers d'autres WorkSpaces lorsque leurs WorkSpaces principaux ne sontpas disponibles. Par exemple, en utilisant les stratégies de routage de basculement DNS, vous pouvezconnecter vos utilisateurs à WorkSpaces dans la région AWS de basculement spécifiée lorsqu'ils nepeuvent pas accéder à leur WorkSpaces dans la région principale.

Vous pouvez utiliser la redirection entre régions avec vos stratégies de routage de basculement DNS pourobtenir une résilience régionale et une haute disponibilité. Vous pouvez également utiliser cette fonction àd'autres fins, telles que la répartition du trafic ou la fourniture d'autres WorkSpaces pendant les périodes demaintenance. Si vous utilisez Amazon Route 53 pour votre configuration DNS, vous pouvez tirer parti desvérifications de l'état qui surveillent les alarmes Amazon CloudWatch.

Pour utiliser cette fonctionnalité, vous devez configurer WorkSpaces pour vos utilisateurs dans deuxrégions AWS (ou plus). Vous devez également créer des codes d'enregistrement FQDN spéciaux appelésalias de connexion. Ces alias de connexion remplacent les codes d'enregistrement spécifiques à unerégion pour vos utilisateurs WorkSpaces. (Les codes d'enregistrement spécifiques aux régions restentvalides ; toutefois, pour que la redirection entre régions fonctionne, vos utilisateurs doivent utiliser le nomde domaine complet (FQDN) comme code d'enregistrement.)

Pour créer un alias de connexion, vous spécifiez une chaîne de connexion, qui est votre nom de domainecomplet, comme www.example.com ou desktop.example.com. Pour utiliser ce domaine pour laredirection entre régions, vous devez l'enregistrer auprès d'un bureau d'enregistrement de domaine etconfigurer le service DNS pour votre domaine.

177

Amazon WorkSpaces Guide d'administrationPrerequisites

Une fois que vous avez créé vos alias de connexion, vous les associez à vos annuaires WorkSpaces dansdifférentes régions pour créer des paires d'association. Chaque paire d'associations possède une régionprincipale et une ou plusieurs régions de basculement. En cas de panne dans la région principale, vosstratégies de routage de basculement DNS redirigent vos utilisateurs WorkSpaces vers les WorkSpacesque vous avez configurées pour eux dans la région de basculement.

Pour désigner vos régions principale et de basculement, vous définissez la priorité de région (principale ousecondaire) lors de la configuration de vos stratégies de routage de basculement DNS.

Sommaire• Prerequisites (p. 178)• Limitations (p. 179)• Étape 1 : Créer vos alias de connexion (p. 179)• (Facultatif) Étape 2 : Partager un alias de connexion avec un autre compte (p. 180)• Étape 3 : Association de vos alias de connexion aux annuaires dans chaque région (p. 181)• Étape 4 : Configurer votre service DNS et configurer vos stratégies de routage DNS (p. 181)• Étape 5 : Envoyer la chaîne de connexion à vos utilisateursWorkSpaces (p. 185)• Que se passe-t-il au cours de la redirection entre régions (p. 185)• Dissocier un alias de connexion d'un annuaire (p. 186)• Annuler le partage d'un alias de connexion (p. 186)• Supprimer un alias de connexion (p. 187)• Autorisations IAM pour l'association et la dissociation d'alias de connexion (p. 187)• Considérations de sécurité si vous arrêtez d'utiliser la redirection entre régions (p. 188)

Prerequisites• Vous devez posséder et enregistrer le domaine que vous souhaitez utiliser comme nom de domaine

complet dans vos alias de connexion. Si vous n'utilisez pas déjà un autre bureau d'enregistrementde domaine, vous pouvez utiliser Amazon Route 53 pour enregistrer votre domaine. Pour plusd'informations, consultez Enregistrement de noms de domaine à l'aide d'Amazon Route 53 dans leAmazon Route 53 Manuel du développeur.

Important

Vous devez disposer de tous les droits nécessaires pour utiliser n'importe quel nom de domaineque vous utilisez conjointement avec Amazon WorkSpaces. Vous acceptez que le nom dedomaine n'enfreigne ou ne viole pas les droits juridiques d'un tiers ou la loi applicable.

La longueur totale de votre nom de domaine ne peut pas dépasser 255 caractères. Pour plusd'informations sur les noms de domaine, consultez Format de nom de domaine DNS dans le AmazonRoute 53 Manuel du développeur.

La redirection entre régions fonctionne avec les noms de domaine public et les noms de domainedans les zones DNS privées. Si vous utilisez une zone DNS privée, vous devez fournir une connexionréseau privé virtuel (VPN) au cloud privé virtuel (VPC) qui contient votre WorkSpaces. Si vos utilisateursWorkSpaces tentent d'utiliser un nom de domaine complet privé à partir de l'Internet public, lesapplications clientes WorkSpaces renvoient le message d'erreur suivant :

"We're unable to register the WorkSpace because of a DNS server issue.Contact your administrator for help."

• Vous devez configurer votre service DNS et les stratégies de routage DNS nécessaires. La redirectionentre régions fonctionne conjointement avec vos stratégies de routage DNS pour rediriger vos utilisateursWorkSpaces en fonction des besoins.

178

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DomainNameFormat.html

Amazon WorkSpaces Guide d'administrationLimitations

• Dans chaque région principale et de basculement dans laquelle vous souhaitez configurer la redirectionentre régions, créez WorkSpaces pour vos utilisateurs. Veillez à utiliser les mêmes noms d'utilisateurdans chaque annuaire WorkSpaces de chaque région. Pour assurer la synchronisation de vos donnéesutilisateur Active Directory, nous vous recommandons d'utiliser AD Connector pour pointer vers le mêmeActive Directory dans chaque région où vous avez configuré WorkSpaces pour vos utilisateurs. Pour plusd'informations sur la création de WorkSpaces, consultez Lancer WorkSpaces (p. 75).

Une fois que vous avez terminé la configuration de la redirection entre régions, vous devez vousassurer que vos utilisateurs WorkSpaces utilisent le code d'enregistrement basé sur le nom dedomaine complet au lieu du code d'enregistrement basé sur la région (par exemple, WSpdx+ABC12D)pour leur région principale. Pour ce faire, vous devez leur envoyer un e-mail avec la chaîne deconnexion FQDN en suivant la procédure décrite dans Étape 5 : Envoyer la chaîne de connexion à vosutilisateursWorkSpaces (p. 185).

Note

Si vous créez vos utilisateurs dans la console WorkSpaces au lieu de les créer dans ActiveDirectory, WorkSpaces envoie automatiquement un e-mail d'invitation à vos utilisateurs avec uncode d'enregistrement basé sur la région chaque fois que vous lancez un nouveau WorkSpace.Cela signifie que lorsque vous configurez WorkSpaces pour vos utilisateurs dans la régionde basculement, vos utilisateurs reçoivent également automatiquement des e-mails pour cesWorkSpaces de basculement. Vous devrez demander à vos utilisateurs d'ignorer les e-mailsavec des codes d'enregistrement basés sur la région.

Limitations• La redirection entre régions ne vérifie pas automatiquement si les connexions à la région principale ont

échoué, puis fait échouer votre WorkSpaces dans une autre région. En d'autres termes, le basculementautomatique ne se produit pas.

Pour implémenter un scénario de basculement automatique, vous devez utiliser un autre mécanismeconjointement avec la redirection entre régions. Par exemple, vous pouvez utiliser une stratégie deroutage DNS de basculement Amazon Route 53 associée à une vérification de l'état Route 53 quisurveille une alarme CloudWatch dans la région principale. Si l'alarme CloudWatch dans la régionprincipale est déclenchée, votre stratégie de routage de basculement DNS redirige vos utilisateursWorkSpaces vers le WorkSpaces que vous avez configuré pour eux dans la région de basculement.

• Lorsque vous utilisez la redirection entre régions, les données utilisateur ne sont pas conservées entreWorkSpaces dans différentes régions. Pour garantir que les utilisateurs puissent accéder à leurs fichiersà partir de différentes régions, nous vous recommandons de configurer le lecteur Amazon WorkDocspour vos utilisateurs WorkSpaces.

• La redirection entre régions est prise en charge uniquement sur la version 3.0.9 ou ultérieure desapplications clientes Linux, macOS et Windows WorkSpaces.

• La redirection entre régions est disponible dans toutes les régions AWS où Amazon WorkSpaces estdisponible, à l'exception des régions Région AWS GovCloud (USA Ouest) et Région Chine (Ningxia).

Étape 1 : Créer vos alias de connexionAvec le même compte AWS, créez des alias de connexion dans chaque région principale et debasculement dans laquelle vous souhaitez configurer la redirection entre régions.

Pour créer un alias de connexion

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.

179

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

http://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/


Amazon WorkSpaces Guide d'administration(Facultatif) Étape 2 : Partager un aliasde connexion avec un autre compte

2. Dans le coin supérieur droit de la console, sélectionnez la région AWS principale pour votreWorkSpaces.

3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Redirection entre régions, choisissez Créer un alias de connexion.5. Pour Chaîne de connexion, entrez un nom de domaine complet, tel que www.example.com ou

desktop.example.com. Une chaîne de connexion peut comporter 255 caractères au maximum. Ilpeut inclure uniquement des lettres (A-Z et a-z), des chiffres (0-9) et les caractères suivants : .-

Important

Une fois que vous avez créé une chaîne de connexion, elle est toujours associée à votrecompte AWS. Vous ne pouvez pas recréer la même chaîne de connexion avec un comptedifférent, même si vous en supprimez toutes les instances du compte d'origine. La chaîne deconnexion est globalement réservée pour votre compte.

6. (Facultatif) Sous Balises, spécifiez les balises que vous souhaitez associer à votre alias de connexion.7. Choisissez Créer un alias de connexion.8. Répétez ces étapes, mais dans Step 2 (p. 180), veillez à sélectionner la région de basculement pour

votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pour chacuned'elles. Veillez à utiliser le même compte AWS pour créer l'alias de connexion dans chaque région debasculement.

(Facultatif) Étape 2 : Partager un alias de connexionavec un autre compteVous pouvez partager un alias de connexion avec un autre compte AWS dans la même région AWSLe partage d'un alias de connexion avec un autre compte accorde à ce dernier l'autorisation d'associerou d'annuler l'association de cet alias à un répertoire appartenant à ce compte dans la même régionuniquement. Seul le compte qui possède un alias de connexion peut supprimer l'alias.

Note

Un alias de connexion peut être associé à un seul répertoire par région AWS Si vous partagezun alias de connexion avec un autre compte AWS, un seul compte (votre compte ou le comptepartagé) peut associer l'alias à un répertoire dans cette région.

Pour partager un alias de connexion avec un autre compteAWS

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le coin supérieur droit de la console, sélectionnez la région AWS dans laquelle vous souhaitez

partager l'alias de connexion avec un autre compte AWS.3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Cross-Region redirection associations (Associations de redirection entre régions), sélectionnez

la chaîne de connexion, puis choisissez Actions, Share/unshare connection alias (Partager/annuler lepartage de l'alias de connexion).

Vous pouvez également partager un alias à partir de la page des détails de votre alias de connexion.Pour ce faire, sous Shared account (Compte partagé), choisissez Share connection alias (Partagerl'alias de connexion).

5. Sur la page Share/unshare connection alias, sous Share with an account, entrez l'ID de compte AWSavec lequel vous souhaitez partager votre alias de connexion dans cette région AWS.

6. Choisissez Share.

180


Amazon WorkSpaces Guide d'administrationÉtape 3 : Association de vos alias de

connexion aux annuaires dans chaque région

Étape 3 : Association de vos alias de connexion auxannuaires dans chaque régionL'association du même alias de connexion à un annuaire WorkSpaces dans deux régions ou plus crée unepaire d'associations entre les annuaires. Chaque paire d'associations possède une région principale et uneou plusieurs régions de basculement.

Par exemple, si votre région principale est l'Région USA Ouest (Oregon), vous pouvez associer votreannuaire WorkSpaces dans le Région USA Ouest (Oregon) à un annuaire WorkSpaces dans le RégionUSA Est (Virginie du N.). En cas de panne dans la région principale, la redirection entre régions fonctionneconjointement avec vos stratégies de routage de basculement DNS et toutes les vérifications de l'étatque vous avez mises en place sur l'Région USA Ouest (Oregon) pour rediriger vos utilisateurs versl'WorkSpaces que vous avez configurée pour eux dans l'Région USA Est (Virginie du N.). Pour plusd'informations sur l'expérience de redirection entre régions, consultez Que se passe-t-il au cours de laredirection entre régions (p. 185).

Note

Si vos utilisateurs WorkSpaces se trouvent à une distance importante de la région de basculement(par exemple, des milliers de kilomètres), leur expérience WorkSpaces peut être moins réactiveque d'habitude. Pour vérifier la durée du cycle (RTT) vers les différentes régions AWS à partir devotre emplacement, utilisez la Vérification de l'état de la connexion Amazon WorkSpaces.

Pour associer un alias de connexion à un annuaire

Vous pouvez associer un alias de connexion à un seul répertoire par région AWS Si vous avez partagé unalias de connexion avec un autre compte AWS, un seul compte (votre compte ou le compte partagé) peutassocier l'alias à un répertoire dans cette région.

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le coin supérieur droit de la console, sélectionnez la région AWS principale pour votre

WorkSpaces.3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Cross-Region redirection associations (Associations de redirection entre régions), sélectionnez la

chaîne de connexion, puis choisissez Actions, Associate/disassociate (Associer/dissocier).

Vous pouvez également associer un alias de connexion à un annuaire à partir de la page des détailsde votre alias de connexion. Pour ce faire, sous Associated directory (Annuaire associé), choisissezAssociate directory (Associer un annuaire).

5. Sur la page Associate/disassociate, sous Associate to a directory, sélectionnez l'annuaire auquel voussouhaitez associer votre alias de connexion dans cette région AWS.

6. Choisissez Associate.7. Répétez ces étapes, mais dans Step 2 (p. 181), veillez à sélectionner la région de basculement

pour votre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pourchacune d'elles. Veillez à associer le même alias de connexion à un annuaire dans chaque région debasculement.

Étape 4 : Configurer votre service DNS et configurervos stratégies de routage DNSUne fois que vous avez créé vos alias de connexion et vos paires d'association d'alias de connexion, vouspouvez configurer le service DNS pour le domaine que vous avez utilisé dans vos chaînes de connexion.

181

https://clients.amazonworkspaces.com/Health.html


Amazon WorkSpaces Guide d'administrationÉtape 4 : Configurer votre service DNS etconfigurer vos stratégies de routage DNS

Vous pouvez utiliser n'importe quel fournisseur de services DNS à cette fin. Si vous n'avez pas encore defournisseur de services DNS préféré, vous pouvez utiliser Amazon Route 53. Pour plus d'informations,consultez Configuration d'Amazon Route 53 en tant que service DNS dans le Amazon Route 53 Manuel dudéveloppeur.

Une fois que vous avez configuré le service DNS pour votre domaine, vous devez configurer les stratégiesde routage DNS que vous souhaitez utiliser pour la redirection entre régions. Par exemple, vous pouvezutiliser les vérifications de l'état Amazon Route 53 pour déterminer si vos utilisateurs peuvent se connecterà leur WorkSpaces dans une région particulière. Si vos utilisateurs ne peuvent pas se connecter, vouspouvez utiliser une stratégie de basculement DNS pour acheminer votre trafic DNS d'une région à uneautre.

Pour plus d'informations sur le choix de votre stratégie de routage DNS, consultez Choix d'une stratégie deroutage dans le Amazon Route 53 Manuel du développeur. Pour plus d'informations sur les vérificationsde l'état Amazon Route 53, consultez Comment Amazon Route 53 vérifie l'état de vos ressources dans leAmazon Route 53 Manuel du développeur.

Lorsque vous configurez vos stratégies de routage DNS, vous avez besoin de l'identifiant de connexionpour l'association entre l'alias de connexion et l'annuaire WorkSpaces dans la région principale. Vous aurezégalement besoin de l'identifiant de connexion pour l'association entre l'alias de connexion et l'annuaireWorkSpaces dans votre ou vos régions de basculement.

Note

L'identifiant de connexion n'est pas le même que l'ID d'alias de connexion. L'ID d'alias deconnexion commence par wsca-.

Pour rechercher l'identifiant de connexion d'une association d'alias de connexion


WorkSpaces.3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Cross-Region redirection associations (Associations de redirection entre régions), sélectionnez

le texte de la chaîne de connexion (le nom de domaine complet) pour afficher la page des détails del'alias de connexion.

5. Sur la page des détails de votre alias de connexion, sous Associated directory (Annuaire associé),notez la valeur affichée pour Connection identifier (Identifiant de connexion).

6. Répétez ces étapes, mais dans Step 2 (p. 182), veillez à sélectionner la région de basculement pourvotre WorkSpaces. Si vous avez plusieurs régions de basculement, répétez ces étapes pour trouverl'identifiant de connexion pour chaque région de basculement.

Exemple : Pour configurer une stratégie de routage de basculement DNS à l'aide de Route 53

L'exemple suivant configure une zone hébergée publique pour votre domaine. Cependant, vous pouvezconfigurer une zone hébergée publique ou privée. Pour plus d'informations sur la configuration d'une zonehébergée, consultez Utilisation des zones hébergées dans le Amazon Route 53 Manuel du développeur.

Cet exemple utilise également une stratégie de routage par basculement. Vous pouvez utiliser d'autrestypes de stratégie de routage pour votre stratégie de redirection entre régions. Pour plus d'informations surle choix de votre stratégie de routage DNS, consultez Choix d'une stratégie de routage dans le AmazonRoute 53 Manuel du développeur.

Lorsque vous configurez une stratégie de routage par basculement dans Route 53, une vérification de l'étatest requise pour la région principale. Pour plus d'informations sur la création d'une vérification de l'état dans

182

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-policy.html


https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html


https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-working-with.html



Route 53, consultez Création de Amazon Route 53 et configuration du basculement DNS et Création, miseà jour et suppression de vérifications de l'état dans le Amazon Route 53 Manuel du développeur.

Si vous souhaitez utiliser une alarme Amazon CloudWatch avec votre vérification de l'état Route 53,vous devez également configurer une alarme CloudWatch pour surveiller les ressources de votre régionprincipale. Pour plus d'informations sur CloudWatch, consultez Qu'est-ce qu'Amazon CloudWatch ? dansle Guide de l'utilisateur Amazon CloudWatch. Pour plus d'informations sur la façon dont Route 53 utiliseles alarmes CloudWatch dans ses vérifications de l'état, consultez Comment Route 53 détermine le statutdes vérifications de l'état qui surveillent les alarmes CloudWatch et Surveillance d'une alarme dans leCloudWatch.Amazon Route 53 Manuel du développeur

Pour configurer une stratégie de routage de basculement DNS dans Route 53, vous devez d'abord créerune zone hébergée pour votre domaine.

1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.2. Dans le volet de navigation, choisissez Hosted zones (Zones hébergées), puis Create hosted zone

(Créer une zone hébergée).3. Sur la page Created hosted zone (Zone hébergée créée), entrez votre nom de domaine (par exemple,

example.com) sous Domain name (Nom de domaine).4. Sous Type, choisissez Zone hébergée publique.5. Sélectionnez Créer une zone hébergée.

Créez ensuite une vérification de l'état pour votre région principale.

1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.2. Dans le volet de navigation, choisissez Health checks (Vérifications de l'état), puis Create health check

(Créer une vérification de l'état).3. Sur la page Configure health check (Configurer la vérification de l'état), entrez un nom pour votre

vérification de l'état.4. Pour What to monitor, sélectionnez Endpoint, Status of other health checks (calculated health check)

ou State of CloudWatch alarm.5. En fonction de ce que vous avez sélectionné à l'étape précédente, configurez votre vérification de

l'état, puis choisissez Suivant.6. Sur la page Get notification when health check fails, pour Create alarm, choisissez Yes ou No.7. Choisissez Create health check (Créer une vérification de l'état).

Une fois que vous avez créé votre vérification de l'état, vous pouvez créer les enregistrements debasculement DNS.

1. Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.2. Dans le volet de navigation, choisissez Hosted zones.3. Sur la page Hosted zones (Zones hébergées), sélectionnez votre nom de domaine.4. Sur la page des détails de votre nom de domaine, choisissez Create record (Créer un enregistrement).5. Sur la page Choose routing policy (Choisir une stratégie de routage), sélectionnez Failover

(Basculement), puis Next (Suivant).6. Sur la page Configurer les enregistrements, sous Configuration de base, pour Nom de

l'enregistrement, entrez le nom de votre sous-domaine. Par exemple, si votre nom de domaine completest desktop.example.com, entrez desktop.

Note

Si vous souhaitez utiliser le domaine racine, laissez le champ Record name (Nom del'enregistrement) vide. Cependant, nous vous recommandons d'utiliser un sous-domaine, tel

183

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover-determining-health-of-endpoints.html#dns-failover-determining-health-of-endpoints-cloudwatch

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-cloudwatch

https://console.aws.amazon.com/route53/




que desktop ou workspaces, sauf si vous avez configuré le domaine uniquement pour uneutilisation avec votre WorkSpaces.

7. Pour Record type (Type d'enregistrement), sélectionnez TXT – Utilisé pour vérifier les expéditeurs d'e-mails et les valeurs spécifiques à l'application.

8. Conservez la valeur par défaut des paramètres TTL seconds (Durée de vie en secondes).9. Sous Failover records to add to (Enregistrements de basculement à ajouter à) your_domain_name,

choisissez Define failover record (Définir un enregistrement de basculement).

Maintenant, vous devez configurer les enregistrements de basculement pour vos régions principale et debasculement.

Exemple : Pour configurer l'enregistrement de basculement pour votre région principale

1. Dans la boîte de dialogue Define failover record (Définir un enregistrement de basculement), pourValue/route traffic to (Valeur/acheminer le trafic vers), sélectionnez IP address or another value selonle type d'enregistrement.

2. Une zone s'ouvre pour vous permettre d'entrer vos exemples d'entrée de texte. Entrez l'identifiant deconnexion de l'association d'alias de connexion pour votre région principale.

3. Pour Failover record type (Type d'enregistrement de basculement), choisissez Primary (Principal).4. Pour Vérification de l'état, sélectionnez une vérification de l'état que vous avez créée pour votre région

principale.5. Pour ID d'enregistrement, entrez une description pour identifier cet enregistrement.6. Choisissez Define failover record (Définir un enregistrement de basculement). Votre nouvel

enregistrement de basculement apparaît sous Enregistrements de basculement à ajouter àyour_domain_name.

Exemple : Pour configurer l'enregistrement de basculement pour votre région de basculement

1. Sous Failover records to add to (Enregistrements de basculement à ajouter à) your_domain_name,choisissez Define failover record (Définir un enregistrement de basculement).

2. Dans la boîte de dialogue Define failover record (Définir un enregistrement de basculement), pourValue/route traffic to (Valeur/acheminer le trafic vers), sélectionnez IP address or another value basedselon le type d'enregistrement.

3. Une zone s'ouvre pour vous permettre d'entrer vos exemples d'entrée de texte. Saisissez l'identifiantde connexion de l'association d'alias de connexion pour votre région de basculement.

4. Pour Type d'enregistrement de basculement, choisissez Secondaire.5. (Facultatif) Pour Vérification de l'état, entrez une vérification de l'état que vous avez créée pour votre

région de basculement.6. Pour ID d'enregistrement, entrez une description pour identifier cet enregistrement.7. Choisissez Define failover record (Définir un enregistrement de basculement). Votre nouvel

enregistrement de basculement apparaît sous Enregistrements de basculement à ajouter àyour_domain_name.

Si la vérification de l'état que vous avez configurée pour votre région principale échoue, votre stratégiede routage de basculement DNS redirige vos utilisateurs WorkSpaces vers votre région de basculement.Route 53 continue de surveiller la vérification de l'état pour votre région principale et, lorsque la vérificationde l'état pour votre région principale n'échoue plus, Route 53 redirige automatiquement vos utilisateursWorkSpaces vers leur WorkSpaces dans la région principale.

Pour plus d'informations sur la création d'enregistrements DNS, consultez Création d'enregistrementsà l'aide de la console Amazon Route 53 dans le .Amazon Route 53 Manuel du développeur Pour plus

184

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating.html

Amazon WorkSpaces Guide d'administrationÉtape 5 : Envoyer la chaîne de

connexion à vos utilisateursWorkSpaces

d'informations sur la configuration des enregistrements TXT DNS, consultez Type d'enregistrement TXTdans le Amazon Route 53 Manuel du développeur.

Étape 5 : Envoyer la chaîne de connexion à vosutilisateursWorkSpacesPour vous assurer que l'WorkSpaces de vos utilisateurs sera redirigé le cas échéant pendant une panne,vous devez envoyer la chaîne de connexion (FQDN) à vos utilisateurs. Si vous avez déjà attribué descodes d'enregistrement basés sur la région (par exemple, WSpdx+ABC12D) à vos utilisateurs WorkSpaces,ces codes restent valides. Toutefois, pour que la redirection entre régions fonctionne, vos utilisateursWorkSpaces doivent utiliser la chaîne de connexion comme code d'enregistrement lors de l'enregistrementde leur WorkSpaces dans l'application cliente WorkSpaces.

Important

Si vous créez vos utilisateurs dans la console WorkSpaces au lieu de les créer dans ActiveDirectory, WorkSpaces envoie automatiquement un e-mail d'invitation à vos utilisateurs avecun code d'enregistrement basé sur la région (par exemple, WSpdx+ABC12D) chaque fois quevous lancez un nouveau WorkSpace. Même si vous avez déjà configuré la redirection entrerégions, l'e-mail d'invitation envoyé automatiquement pour le nouvel WorkSpaces contient ce coded'enregistrement basé sur la région au lieu de votre chaîne de connexion.Pour vous assurer que vos utilisateurs WorkSpaces utilisent la chaîne de connexion au lieu ducode d'enregistrement basé sur la région, vous devez envoyer un autre e-mail avec la chaîne deconnexion en suivant la procédure ci-dessous.

Pour envoyer la chaîne de connexion à vos utilisateursWorkSpaces


WorkSpaces.3. Dans le volet de navigation, choisissez WorkSpaces.4. Sur la page WorkSpaces, utilisez la zone de recherche pour rechercher un utilisateur auquel vous

souhaitez envoyer une invitation, puis sélectionnez le WorkSpace correspondant dans les résultats derecherche. Vous ne pouvez sélectionner qu'un seul WorkSpace à la fois.

5. Choisissez Actions, Invite User (Inviter l'utilisateur).6. Sur la page Inviter des utilisateurs à leurs WorkSpaces, vous verrez un modèle d'e-mail à envoyer à

vos utilisateurs.7. (Facultatif) Si plusieurs alias de connexion sont associés à votre annuaire WorkSpaces, sélectionnez

la chaîne de connexion que vos utilisateurs doivent utiliser dans la liste Chaîne d'alias de connexion.Le modèle d'e-mail est mis à jour pour afficher la chaîne que vous avez choisie.

8. Copiez le texte du modèle d'e-mail et collez-le dans un e-mail pour les utilisateurs utilisant votre propreapplication de messagerie. Dans votre application de messagerie, vous pouvez modifier le texte selonvos besoins. Lorsque l'e-mail d'invitation est prêt, envoyez-le à vos utilisateurs.

Que se passe-t-il au cours de la redirection entrerégionsEn cas de panne, vos utilisateurs WorkSpaces sont déconnectés de leur WorkSpaces dans la régionprincipale. Lorsqu'ils tentent de se reconnecter, ils reçoivent le message d'erreur suivant :

We can't connect to your WorkSpace. Check your network connection, and then tryagain.

185

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#TXTFormat


Amazon WorkSpaces Guide d'administrationDissocier un alias de connexion d'un annuaire

Vos utilisateurs sont ensuite invités à se reconnecter. S'ils utilisent le nom de domaine complet commecode d'enregistrement, lorsqu'ils se reconnectent, vos stratégies de routage de basculement DNS lesredirigent vers le WorkSpaces que vous avez configuré pour eux dans la région de basculement.

Note

Dans certains cas, les utilisateurs peuvent ne pas être en mesure de se reconnecter lorsqu'ils sereconnectent. Si ce comportement se produit, ils doivent fermer et redémarrer l'application clienteWorkSpaces, puis essayer de se connecter à nouveau.

Dissocier un alias de connexion d'un annuaireSeul le compte propriétaire d'un annuaire peut dissocier un alias de connexion de l'annuaire.

Si vous avez partagé un alias de connexion avec un autre compte et que ce compte a associé l'alias deconnexion à un annuaire appartenant à ce compte, ce compte doit être utilisé pour dissocier l'alias deconnexion de l'annuaire.

Pour dissocier un alias de connexion d'un annuaire

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le coin supérieur droit de la console, sélectionnez la région AWS qui contient l'alias de connexion

que vous souhaitez dissocier.3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Cross-Region redirection associations (Associations de redirection entre régions), sélectionnez la

chaîne de connexion, puis choisissez Actions, Associate/disassociate (Associer/dissocier).

Vous pouvez également dissocier un alias de connexion de la page des détails de l'alias de connexion.Pour ce faire, sous Associated directory (Annuaire associé), choisissez Disassociate (Dissocier).

5. Sur la page Associer/Dissocier, choisissez Dissocier.6. Dans la boîte de dialogue qui vous demande de confirmer la dissociation, choisissez Disassociate

(Dissocier).

Annuler le partage d'un alias de connexionSeul le propriétaire d'un alias de connexion peut annuler le partage de l'alias. Si vous annulez le partaged'un alias de connexion avec un compte, ce dernier ne peut plus associer l'alias de connexion à unannuaire.

Pour annuler le partage d'un alias de connexion


dont vous souhaitez annuler le partage.3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Cross-Region redirection associations (Associations de redirection entre régions), sélectionnez

la chaîne de connexion, puis choisissez Actions, Share/unshare connection alias (Partager/annuler lepartage de l'alias de connexion).

Vous pouvez également annuler le partage d'un alias de connexion à partir de la page des détailsde l'alias de connexion. Pour ce faire, sous Shared account (Compte partagé), choisissez Unshare(Annuler le partage).

5. Sur la page Share/unshare connection alias, choisissez Unshare.

186



Amazon WorkSpaces Guide d'administrationSupprimer un alias de connexion

6. Dans la boîte de dialogue qui vous demande de confirmer l'annulation du partage de l'alias deconnexion, choisissez Unshare (Annuler le partage).

Supprimer un alias de connexionVous pouvez supprimer un alias de connexion uniquement s'il appartient à votre compte et s'il n'est pasassocié à un annuaire.

Si vous avez partagé un alias de connexion avec un autre compte et que ce compte a associé l'alias deconnexion à un annuaire appartenant à ce compte, ce compte doit d'abord dissocier l'alias de connexion del'annuaire pour que vous puissiez supprimer l'alias de connexion.

Important

Une fois que vous avez créé une chaîne de connexion, elle est toujours associée à votre compteAWS. Vous ne pouvez pas recréer la même chaîne de connexion avec un compte différent,même si vous en supprimez toutes les instances du compte d'origine. La chaîne de connexion estglobalement réservée pour votre compte.

Warning

Si vous n'utilisez plus un nom de domaine complet comme code d'enregistrement pour vosutilisateurs WorkSpaces, vous devez prendre certaines précautions pour éviter les problèmes desécurité potentiels. Pour plus d'informations, consultez Considérations de sécurité si vous arrêtezd'utiliser la redirection entre régions (p. 188).

Pour supprimer un alias de connexion


que vous souhaitez supprimer.3. Dans le panneau de navigation, choisissez Account Settings (Paramètres du compte).4. Sous Cross-Region redirection associations (Associations de redirection entre régions), sélectionnez la

chaîne de connexion, puis choisissez Delete (Supprimer).

Vous pouvez également supprimer un alias de connexion à partir de la page des détails de cet alias.Pour ce faire, choisissez Delete (Supprimer) dans le coin supérieur droit de la page.

Note

Si le bouton Supprimer est désactivé, assurez-vous que vous êtes le propriétaire de l'alias etassurez-vous que l'alias n'est pas associé à un annuaire.

5. Dans la boîte de dialogue qui vous demande de confirmer la suppression, choisissez Supprimer.

Autorisations IAM pour l'association et la dissociationd'alias de connexionSi vous utilisez un utilisateur IAM pour associer ou dissocier des alias de connexion, l'utilisateurdoit disposer des autorisations pour workspaces:AssociateConnectionAlias etworkspaces:DisassociateConnectionAlias.

{ "Version": "2012-10-17", "Statement": [ {

187


Amazon WorkSpaces Guide d'administrationConsidérations de sécurité si vous arrêtez

d'utiliser la redirection entre régions

"Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ]}

Important

Si vous créez une stratégie IAM pour associer ou dissocier des alias de connexion pour lescomptes qui n'en sont pas propriétaires, vous ne pouvez pas spécifier d'ID de compte dans l'ARN.A la place, vous devez utiliser * comme ID de compte, comme illustré dans l'exemple de stratégiesuivant.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ]}

Vous pouvez spécifier un ID de compte dans l'ARN uniquement lorsque ce compte possède l'aliasde connexion à associer ou dissocier.

Pour plus d'informations sur l'utilisation d'IAM, consultez Identity and Access Management pour AmazonWorkSpaces (p. 191).

Considérations de sécurité si vous arrêtez d'utiliser laredirection entre régionsSi vous n'utilisez plus un nom de domaine complet comme code d'enregistrement pour vos utilisateursWorkSpaces, vous devez prendre les précautions suivantes pour éviter les problèmes de sécuritépotentiels :

• Veillez à émettre à vos utilisateurs WorkSpaces le code d'enregistrement spécifique à la région (parexemple, WSpdx+ABC12D) pour leur annuaire WorkSpaces et demandez-leur d'arrêter d'utiliser le nomde domaine complet comme code d'enregistrement.

• Si vous possédez toujours ce domaine, veillez à mettre à jour votre enregistrement TXT DNS poursupprimer ce domaine afin qu'il ne puisse pas être exploité dans une attaque d'hameçonnage. Si voussupprimez ce domaine de votre enregistrement TXT DNS et que vos utilisateurs WorkSpaces tententd'utiliser le nom de domaine complet comme code d'enregistrement, leurs tentatives de connexionéchouent sans risque.

• Si vous ne possédez plus ce domaine, vos utilisateurs WorkSpaces doivent utiliser leur coded'enregistrement spécifique à la région. S'ils continuent d'essayer d'utiliser le nom de domaine complet

188

Amazon WorkSpaces Guide d'administrationConsidérations de sécurité si vous arrêtez

d'utiliser la redirection entre régions

comme code d'enregistrement, leurs tentatives de connexion peuvent être redirigées vers un sitemalveillant.

189

Amazon WorkSpaces Guide d'administrationProtection des données

Sécurité dans le AmazonWorkSpaces

Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vousbénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences desorganisations les plus pointilleuses en termes de sécurité.

La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilitépartagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :

• Sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des servicesAWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toutesécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans lecadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformitéqui s'appliquent à Amazon WorkSpaces, consultez Services AWS concernés par le programme deconformitéServices AWS concernés par le programme de conformité

• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vousêtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences devotre entreprise,et la législation et la réglementation applicables.

Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagéelors de l'utilisation d'Amazon WorkSpaces. Elle vous explique comment configurer Amazon WorkSpacespour atteindre vos objectifs en matière de sécurité et de conformité. Vous apprendrez également à utiliserd'autres services AWS pour surveiller et sécuriser vos ressources Amazon WorkSpaces

Sommaire• Protection des données dans Amazon WorkSpaces (p. 190)• Identity and Access Management pour Amazon WorkSpaces (p. 191)• Validation de la conformité pour Amazon WorkSpaces (p. 198)• Résilience dans Amazon WorkSpaces (p. 199)• Sécurité de l'infrastructure dans Amazon WorkSpaces (p. 199)• Gestion des mises à jour dans Amazon WorkSpaces (p. 202)

Protection des données dans Amazon WorkSpacesLe modèle de responsabilité partagée AWS s'applique à la protection des données dans AmazonWorkSpaces. Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructureglobale sur laquelle l'ensemble du cloud AWS s’exécute. La gestion du contrôle de votre contenu hébergésur cette infrastructure est de votre responsabilité. Ce contenu comprend les tâches de configuration et degestion de la sécurité des services AWS que vous utilisez. Pour plus d'informations sur la confidentialitédes données, veuillez consulter FAQ sur la confidentialité des données. Pour plus d'informations sur laprotection des données en Europe, veuillez consulter le billet de blog AWSShared Responsibility Model andGDPR sur la page AWSSecurity Blog.

À des fins de protection des données, nous vous recommandons de protéger les informationsd'identification du compte AWS et de configurer les comptes d'utilisateur individuels avec AWS Identityand Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisationsnécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos donnéescomme indiqué ci-dessous :

190

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

Amazon WorkSpaces Guide d'administrationChiffrement au repos

• Utilisez l'authentification multi-facteurs (MFA) avec chaque compte.• Utilisez SSL/TLS pour communiquer avec des ressources AWS. Nous recommandons TLS 1.2 ou

version ultérieure.• Configurez l'API et la consignation des activités utilisateur avec AWS CloudTrail.• Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des

services AWS.• Utilisez des services de sécurité gérés comme Amazon Macie, qui contribue à la découverte et à la

sécurisation des données personnelles stockées dans Amazon S3.• Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lorsque vous accédez à AWS

via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour deplus amples informations sur les points de terminaison FIPS disponibles, consultez Federal InformationProcessing Standard (FIPS) 140-2.

Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles quedes numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela inclut lorsquevous utilisez WorkSpaces ou d'autres services AWS à l'aide de la console, de l'API, de l'interface de lignede commande (AWS CLI) ou des kits SDK AWS. Toutes les données que vous entrez dans WorkSpacesou d'autres services peuvent être récupérées pour être insérées dans des journaux de diagnostic. Lorsquevous fournissez une URL à un serveur externe, n'incluez pas les informations d'identification non chiffréesdans l'URL pour valider votre demande adressée au serveur.

Pour plus d'informations sur Amazon WorkSpaces et le chiffrement des points de terminaison FIPS,consultez Configuration de Amazon WorkSpaces pour l'autorisation FedRAMP ou la conformitéSRGDoD (p. 53).

Chiffrement au reposVous pouvez chiffrer les volumes de stockage pour votre WorkSpaces à l'aide de clés principalesclient (CMK) à partir de AWS Key Management Service. Pour plus d'informations, consultezChiffréWorkSpaces (p. 120).

Lorsque vous créez des WorkSpaces avec des volumes chiffrés, Amazon WorkSpaces utilise AmazonElastic Block Store (Amazon EBS) pour créer et gérer ces volumes. EBS chiffre vos volumes avec uneclé de données à l'aide de l'algorithme AES-256 standard. Pour plus d'informations, consultez ChiffrementAmazon EBS dans le Amazon EC2 Guide de l'utilisateur pour les instances Windows.

Chiffrement en transitPour PCoIP, les données en transit sont chiffrées à l'aide du chiffrement TLS 1.2 et de la signature dedemande SigV4. Le protocole PCoIP utilise le trafic UDP chiffré, avec chiffrement AES, pour le streamingde pixels.

Pour WorkSpaces Streaming Protocol (WSP), le streaming et le contrôle des données en transit sontchiffrés à l'aide du chiffrement DTLS 1.2 pour le trafic UDP et TLS 1.2 pour le trafic TCP, avec deschiffrements AES-256.

Identity and Access Management pour AmazonWorkSpaces

Par défaut, les utilisateurs IAM ne disposent pas d'autorisations pour des ressources et des opérationsAmazon WorkSpaces Pour permettre aux utilisateurs IAM de gérer des ressources Amazon WorkSpaces,vous devez créer une stratégie IAM qui leur donne explicitement les autorisations et attacher la stratégie

191

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/



Amazon WorkSpaces Guide d'administrationIdentity and Access Management

aux utilisateurs ou groupes IAM qui requièrent ces autorisations. Pour plus d'informations sur les stratégiesIAM, consultez Stratégies et autorisations dans le .IAM Guide de l'utilisateur

Amazon WorkSpaces crée également un rôle IAM pour permettre au service Amazon WorkSpacesd'accéder aux ressources requises.

Note

Amazon WorkSpaces ne prend pas en charge la mise en service des informations d'identificationIAM dans un WorkSpace (par exemple avec un profil d'instance).

Pour plus d'informations sur IAM, consultez Gestion des identités et des accès (IAM) et IAM Guide del'utilisateur. Pour trouver les ressources, actions et clés de contexte de condition spécifiques à WorkSpacesà utiliser dans les stratégies d'autorisation IAM, consultez Actions, ressources et clés de condition pourAmazon WorkSpaces dans le IAM Guide de l'utilisateur.

Pour obtenir un outil qui vous aide à créer des stratégies IAM, consultez AWS Policy Generator. Vouspouvez également utiliser l'IAM Policy Simulator pour tester si une stratégie autorise ou refuse unedemande spécifique à AWS.

Example 1 : Exécutez toutes les tâches Amazon WorkSpaces

La déclaration de stratégie suivante accorde à un utilisateur IAM l'autorisation d'effectuer toutes lestâches Amazon WorkSpaces, y compris la création et la gestion des annuaires. Elle accorde égalementl'autorisation d'exécuter la procédure de configuration rapide.

Notez que même si Amazon WorkSpaces prend entièrement en charge les éléments Action et Resourcelors de l'utilisation de l'API et des outils de ligne de commande, vous devez définir ces deux éléments sur« * » pour pouvoir utiliser la console Amazon WorkSpaces

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface", "ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress",

192

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html

https://aws.amazon.com/iam

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html

http://aws.amazon.com/blogs/aws/aws-policy-generator/

https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/

Amazon WorkSpaces Guide d'administrationIdentity and Access Management

"ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup" ], "Resource": "*" } ]}

Example 2 : Effectuer des tâches spécifiques àWorkSpace

La déclaration de stratégie suivante accorde à un utilisateur IAM l'autorisation d'effectuer des tâchesspécifiques à WorkSpace, telles que le lancement et la suppression d'WorkSpaces. Dans la déclaration destratégie, l'action ds:* accorde de larges autorisations, avec un contrôle total — sur tous les objets desservices d'annuaire du compte.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PutRolePolicy" ], "Resource": "*" } ]}

Pour accorder également à l'utilisateur la possibilité d'activer Amazon WorkDocs pour les utilisateurs dansAmazon WorkSpaces, ajoutez les opérations workdocs comme indiqué dans l'exemple suivant.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup" ], "Resource": "*" } ]}

Pour accorder également à l'utilisateur la possibilité d'utiliser l'assistant de lancement WorkSpaces, ajoutezles opérations kms comme indiqué dans l'exemple suivant.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

193

Amazon WorkSpaces Guide d'administrationCréation du rôle WorkSpaces_DefaultRole

"Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ]}

Création du rôle WorkSpaces_DefaultRoleAvant de pouvoir enregistrer un annuaire à l'aide de l'API, vous devez créer le rôleWorkspaces_DefaultRole, s'il n'existe pas déjà.

Pour créer le rôle workspaces_defaultRole

1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation de gauche, choisissez Roles (Rôles).3. Choisissez Créer un rôle.4. Sous Select type of trusted entity (Sélectionner un type d’entité de confiance), choisissez Another AWS

account (Un autre compte AWS).5. Pour ID de compte, saisissez votre ID de compte sans trait d'union ni espace.6. Pour Options, ne spécifiez pas Multi-Factor Authentication (MFA).7. Sélectionnez Étape suivante : autorisations.8. Sur la page Attach permissions policies (Attacher des stratégies d'autorisations),

sélectionnez les stratégies gérées AWS AmazonWorkSpacesServiceAccess etAmazonWorkSpacesSelfServiceAccess.

9. Sous Définir une limite d'autorisations, nous vous recommandons de ne pas utiliser delimite d'autorisations en raison du risque de conflits avec les stratégies attachées au rôleWorkspaces_DefaultRole. De tels conflits pourraient bloquer certaines autorisations nécessaires pourle rôle.

10. Choisissez Suivant : Balises.11. Sur la page Ajouter des balises (facultatif), ajoutez des balises si nécessaire.12. Choisissez Next: Review.13. Sur la page Review (Vérification), pour Role name (Nom du rôle), saisissez

workspaces_DefaultRole.14. (Facultatif) Pour Description du rôle, entrez une description.15. Choisissez Create Role (Créer le rôle).16. Sur la page Récapitulatif du rôle Workspaces_DefaultRole, choisissez l'onglet Relations d'approbation.17. Dans l'onglet Relations d'approbation, choisissez Modifier la relation d'approbation.18. Sur la page Modifier la relation d'approbation, remplacez la déclaration de stratégie existante par la

déclaration suivante.

{ "Statement": [ { "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" },

194

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/iam/

Amazon WorkSpaces Guide d'administrationSpécification de ressources AmazonWorkSpaces dans une stratégie IAM

"Action": "sts:AssumeRole" } ]}

19. Choisissez Update Trust Policy.

Spécification de ressources Amazon WorkSpacesdans une stratégie IAMPour spécifier une ressource Amazon WorkSpaces dans l'élément Resource de la déclaration destratégie, utilisez l'Amazon Resource Name (ARN) de la ressource. Vous contrôlez l'accès à vosressources Amazon WorkSpaces en octroyant ou en refusant les autorisations d'utiliser les actions d'APIspécifiées dans l'élément Action de votre déclaration de stratégie IAM. Amazon WorkSpaces définit ARNspour WorkSpaces, les groupes, les groupes d'adresses IP et les répertoires.

ARNWorkSpaceLa syntaxe d'un ARN WorkSpace est celle de l'exemple suivant.

arn:aws:workspaces:region:account_id:workspace/workspace_identifier

région

La région dans laquelle se trouve le WorkSpace (par exemple, us-east-1).ID_compte

L'ID du compte AWS, sans trait d'union (par exemple, 123456789012).identificateur_espace de travail

ID du WorkSpace (par exemple, ws-a1bcd2efg).

Voici le format de l'élément Resource d'une déclaration de stratégie qui identifie un WorkSpace spécifique.

"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

Vous pouvez utiliser le caractère générique * pour spécifier toutes les WorkSpaces qui appartiennent à uncompte spécifique dans une région spécifique.

ARN de l'imageLa syntaxe d'un ARN d'image WorkSpace est celle de l'exemple suivant.

arn:aws:workspaces:region:account_id:workspaceimage/image_identifier

région

Région dans laquelle se trouve l'image WorkSpace (par exemple, us-east-1).ID_compte

L'ID du compte AWS sans trait d'union (par exemple, 123456789012).bundle_identifier

ID de l'image WorkSpace (par exemple, wsi-a1bcd2efg).

195


Voici le format de l'élément Resource d'une déclaration de stratégie qui identifie une image spécifique.

"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"

Vous pouvez utiliser le caractère générique * pour spécifier toutes les images qui appartiennent à uncompte spécifique dans une région spécifique.

ARN de bundleLa syntaxe d’un ARN d’offre est celle de l'exemple suivant.

arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier

région


ID du compte AWS, sans trait d'union (par exemple, 123456789012).bundle_identifier

ID du bundle WorkSpace (par exemple, wsb-a1bcd2efg).

Voici le format de l'élément Resource d'une déclaration de stratégie qui identifie un bundle spécifique.

"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

Vous pouvez utiliser le caractère générique * pour spécifier tous les bundles qui appartiennent à un comptespécifique dans une région spécifique.

ARN de groupe d'IPLa syntaxe d’un ARN de groupe IP est celle de l'exemple suivant.

arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier

région


L'ID du compte AWS, sans trait d'union (par exemple, 123456789012).ipgroup_identifier

ID du groupe d'IP (par exemple, wsipg-a1bcd2efg).

Voici le format de l'élément Resource d'une déclaration de stratégie qui identifie un groupe d'IP spécifique.

"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"

Vous pouvez utiliser le caractère générique * pour spécifier tous les groupes d'adresses IP quiappartiennent à un compte spécifique dans une région spécifique.

196


ARN d'annuaireLa syntaxe d’un ARN d’annuaire est celle de l'exemple suivant.

arn:aws:workspaces:region:account_id:directory/directory_identifier

région


L'ID du compte AWS, sans trait d'union (par exemple, 123456789012).directory_identifier

ID de l'annuaire (par exemple, d-12345a67b8).

Voici le format de l'élément Resource d'une déclaration de stratégie qui identifie un annuaire spécifique.

"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"

Vous pouvez utiliser le caractère générique * pour spécifier tous les répertoires qui appartiennent à uncompte spécifique dans une région spécifique.

ARN d'alias de connexionLa syntaxe d'un ARN d'alias de connexion est celle de l'exemple suivant.

arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier

région

Région dans laquelle se trouve l'alias de connexion (par exemple, us-east-1).ID_compte

L'ID du compte AWS, sans trait d'union (par exemple, 123456789012).identifiant_alias_connexion

ID de l'alias de connexion (par exemple, wsca-12345a67b8).

Voici le format de l'élément Resource d'une déclaration de stratégie qui identifie un alias de connexionspécifique.

"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"

Vous pouvez utiliser le caractère générique * pour spécifier tous les alias de connexion qui appartiennent àun compte spécifique dans une région spécifique.

Actions d'API sans aucune prise en charge des autorisations auniveau des ressourcesVous ne pouvez pas spécifier un ARN de ressource avec les actions d'API suivantes :

• AssociateIpGroups

197

Amazon WorkSpaces Guide d'administrationValidation de la conformité

• CreateIpGroup

• CreateTags

• DeleteTags

• DeleteWorkspaceImage

• DescribeAccount

• DescribeAccountModifications

• DescribeTags

• DescribeWorkspaceDirectories

• DescribeWorkspaceImages

• DescribeWorkspaces

• DescribeWorkspacesConnectionStatus

• DisassociateIpGroups

• ImportWorkspaceImage

• ListAvailableManagementCidrRanges

• ModifyAccount

Pour les actions d'API qui ne prennent pas en charge les autorisations au niveau des ressources, vousdevez spécifier l'instruction de ressource indiquée dans l'exemple suivant.

"Resource": "*"

Actions d'API qui ne prennent pas en charge les restrictions auniveau du compte sur les ressources partagéesPour les actions d'API suivantes, vous ne pouvez pas spécifier d'ID de compte dans l'ARN de ressourcelorsque la ressource n'appartient pas au compte :

• AssociateConnectionAlias

• CopyWorkspaceImage

• DisassociateConnectionAlias

Pour ces actions d'API, vous pouvez spécifier un ID de compte dans l'ARN de ressource uniquementlorsque ce compte possède les ressources sur lesquelles agir. Lorsque le compte ne possède pas lesressources, vous devez spécifier * pour l'ID de compte, comme illustré dans l'exemple suivant.

"arn:aws:workspaces:region:*:resource_type/resource_identifier"

Validation de la conformité pour AmazonWorkSpaces

Des auditeurs tiers évaluent la sécurité et la conformité d'Amazon WorkSpaces dans le cadre de plusieursprogrammes de conformité AWS Il s'agit notamment des certifications SOC, PCI, FedRAMP, HIPAA etautres.

Pour obtenir la liste des services AWS relevant de programmes de conformité spécifiques, consultezles Services AWS relevant de programmes de conformité. Pour obtenir des renseignements généraux,consultez les Programmes de conformitéAWS .

198


http://aws.amazon.com/compliance/programs/

Amazon WorkSpaces Guide d'administrationRésilience

Vous pouvez télécharger les rapports de l'audit externe avec AWS Artifact. Pour plus d'informations, voirTéléchargement de rapports dans AWS Artifact.

Pour plus d'informations sur Amazon WorkSpaces et FedRAMP, consultez Configuration de AmazonWorkSpaces pour l'autorisation FedRAMP ou la conformité SRGDoD (p. 53).

Votre responsabilité en matière de conformité lorsque vous utilisez le Amazon WorkSpaces est déterminéepar la sensibilité de vos données, des objectifs de conformité de votre entreprise, ainsi que de la législationet de la réglementation en vigueur. AWS fournit les ressources suivantes pour faciliter le respect de laconformité :

• Guides de démarrage rapide de la sécurité et de la conformité – Ces guides de déploiement proposentdes considérations architecturales et fournissent des étapes pour déployer des environnements deréférence centrés sur la sécurité et la conformité sur AWS.

• Livre blanc sur l'architecture pour la sécurité et la conformité HIPAA – Le livre blanc décrit comment lesentreprises peuvent utiliser AWS pour créer des applications conformes à la loi HIPAA.

• Ressources de conformité AWS – Cet ensemble de manuels et de guides peut s'appliquer à votresecteur et à votre emplacement.

• Évaluation des ressources à l'aide de règles dans le AWS Config Developer Guide – AWS Configévalue dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, auxdirectives sectorielles et aux réglementations.

• AWS Security Hub – Ce service AWS fournit une vue complète de votre état de sécurité au sein d'AWSqui vous permet de vérifier votre conformité aux normes du secteur et aux bonnes pratiques de sécurité.

Résilience dans Amazon WorkSpacesL'infrastructure mondiale dAWS repose sur des régions et des zones de disponibilité AWS Les régionsfournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau àlatence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoiret exploiter des applications et des bases de données qui basculent automatiquement d'une zone à l'autresans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes etévolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.

Pour plus d'informations sur les régions et les zones de disponibilité AWS, consultez Infrastructuremondiale AWS.

fournit également une redirection entre régions, une fonction qui fonctionne avec vos stratégies de routagede basculement DNS (système de noms de domaine) pour rediriger vos utilisateurs Amazon WorkSpacesvers une autre WorkSpaces dans une autre région WorkSpaces lorsque leurs AWS principaux ne sontpas disponibles.WorkSpaces Pour plus d'informations, consultez Redirection entre régions pourAmazonWorkSpaces (p. 177).

Sécurité de l'infrastructure dans AmazonWorkSpaces

En tant que service géré, Amazon WorkSpaces est protégé par les procédures de sécurité du réseaumondial AWS qui sont décrites dans le livre blanc Amazon Web Services : Présentation des procédures desécurité.

Vous utilisez les appels d'API AWS publiés pour accéder à Amazon WorkSpaces via le réseau. Les clientsdoivent prendre en charge le protocole TLS (Transport Layer Security) 1.0 ou version ultérieure. Nousrecommandons TLS 1.2 ou version ultérieure. Les clients doivent également prendre en charge les suitesde chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve

199

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

Amazon WorkSpaces Guide d'administrationIsolement du réseau

Ephemeral Diffie-Hellman (ECDHE) La plupart des systèmes modernes telles que Java 7 et versionsultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrèteassociée à un mandataire IAM Vous pouvez également utiliser l'AWS Security Token Service (AWS STS)pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement du réseauUn cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans lecloud AWS. Vous pouvez déployer votre WorkSpaces dans un sous-réseau privé de votre VPC. Pour plusd'informations, consultez Configurer un VPC pour Amazon WorkSpaces (p. 10).

Pour autoriser le trafic uniquement à partir de plages d'adresses spécifiques (par exemple, à partir de votreréseau d'entreprise), mettez à jour le groupe de sécurité de votre VPC ou utilisez un groupe de contrôled'accès IP (p. 47).

Vous pouvez restreindre l'accès d'WorkSpace aux appareils approuvés avec des certificats valides. Pourplus d'informations, consultez Restreindre l'accès d'WorkSpaces aux appareils approuvés (p. 36).

Isolation sur les hôtes physiquesLes différents WorkSpaces sur le même hôte physique sont isolés les uns des autres via l'hyperviseur.C'est comme si elles se trouvaient sur des hôtes physiques distincts. Lorsqu'un WorkSpace est supprimé,la mémoire qui lui est allouée est nettoyée (définie sur zéro) par l'hyperviseur avant d'être allouée à unnouvel WorkSpace.

Autorisation des utilisateurs d’entrepriseAvec Amazon WorkSpaces, les répertoires sont gérés via le AWS Directory Service. Vous pouvez créerun annuaire autonome géré pour les utilisateurs. Vous pouvez également intégrer directement votreenvironnement Active Directory de manière à ce que vos utilisateurs puissent utiliser leurs informationsd'identification existantes pour accéder en toute transparence aux ressources de l'entreprise. Pour plusd'informations, consultez Gérer des annuaires pour Amazon WorkSpaces (p. 60).

Pour contrôler davantage l'accès à votre WorkSpaces, utilisez l'authentification multi-facteurs. Pour plusd'informations, consultez les informations relatives à la manière d’activer l'authentification multi-facteurspour les services AWS.

Faire des requêtes d’API Amazon WorkSpaces via unpoint de terminaison d'interface VPCAu lieu de vous connecter à Internet, vous pouvez vous connecter directement aux points de terminaisonde l'API Amazon WorkSpaces via un point de terminaison d'interface dans votre Virtual Private Cloud(VPC). Lorsque vous utilisez un point de terminaison d'interface VPC, la communication entre votre VPC etle point de terminaison d’API Amazon WorkSpaces est gérée entièrement au sein du réseau AWS.

Note

Cette fonction ne peut être utilisée que pour la connexion aux points de terminaison de l'APIWorkSpaces. Pour vous connecter à WorkSpaces à l'aide des clients WorkSpaces, uneconnectivité Internet est requise, comme décrit dans Exigences relatives aux adresses IP et auxports pour Amazon WorkSpaces (p. 19).

Les points de terminaison d'API Amazon WorkSpaces prennent en charge les points de terminaisond'interface Amazon Virtual Private Cloud Amazon Virtual Private Cloud) à technologie AWS Amazon

200

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

http://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/

http://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html

Amazon WorkSpaces Guide d'administrationCréation d'une stratégie de point de

terminaison de VPC pour Amazon WorkSpaces

VPC.PrivateLink Chaque point de terminaison d'un VPC est représenté par une ou plusieurs interfacesréseau (également appelées interfaces réseau Elastic, ou ENIs) avec des adresses IP privées dans vossous-réseaux VPC.

Le point de terminaison d'interface VPC connecte votre VPC directement au point de terminaison d’APIAmazon WorkSpaces sans passerelle Internet, périphérique NAT, connexion VPN ou connexion AWSDirect Connect Les instances de votre VPC ne nécessitent pas d'adresses IP publiques pour communiqueravec le point de terminaison d’API Amazon WorkSpaces

1Vous pouvez créer un point de terminaison d'interface pour vous connecter à Amazon WorkSpacesavec la console AWS ou les commandes de AWS Command Line InterfaceAWS CLI Pour obtenir desinstructions, consultez Création d'un point de terminaison d'interface.

Une fois que vous avez créé un point de terminaison de VPC, vous pouvez utiliser les exemples decommandes d'interface de ligne de commande qui utilisent le paramètre endpoint-url pour spécifier despoints de terminaison d'interface à l'API ou à une point de terminaison d’API Amazon WorkSpaces

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \ --endpoint-name Endpoint_Name \ --body "Endpoint_Body" \ --content-type "Content_Type" \ Output_File

Si vous activez des noms d'hôte DNS privés pour votre point de terminaison de VPC, il n'est pasnécessaire d'indiquer l'URL du point de terminaison. Le nom d'hôte DNS de l'API Amazon WorkSpacesque l'interface de ligne de commande et le kit SDK Amazon WorkSpaces utilisent par défaut (https://api.workspaces.)Region.amazonaws.com) est résolu par votre point de terminaison de VPC.

Le point de terminaison d'API Amazon WorkSpaces prend en charge les points de terminaison d'unVPC dans toutes les régions AWS où Amazon VPC et Amazon WorkSpaces sont disponibles. AmazonWorkSpaces prend en charge les appels à tous ses publics APIs au sein de votre VPC.

Pour en savoir plus sur AWS PrivateLink, consultez la documentation AWS PrivateLink. Pour connaître leprix des points de terminaison VPC, veuillez consulter Tarification VPC. Pour en savoir plus sur les VPC etles points de terminaison, consultez Amazon VPC.

Pour afficher la liste des points de terminaison d'API Amazon WorkSpaces par région, consultez Points determinaison d'API WorkSpaces. (p. 26)

Note

Les points de terminaison d’API Amazon WorkSpaces avec AWS PrivateLink ne sont pas pris encharge pour les points de terminaison d’API Amazon WorkSpaces Federal Information ProcessingStandard (FIPS).

Création d'une stratégie de point de terminaison deVPC pour Amazon WorkSpacesVous pouvez créer une stratégie pour les points de terminaison Amazon VPC pour Amazon WorkSpacesdans laquelle vous pouvez spécifier :

• Le mandataire qui peut exécuter des actions.

201

https://aws.amazon.com/privatelink/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint

https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region

https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services

https://docs.aws.amazon.com/workspaces/latest/api/welcome.html

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink

https://aws.amazon.com/vpc/pricing/

https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html

Amazon WorkSpaces Guide d'administrationConnectez votre réseau privé à votre VPC

• Les actions qui peuvent être effectuées.• Les ressources sur lesquelles les actions peuvent être exécutées.

Pour de plus amples informations, consultez Contrôle de l'accès aux services avec des points determinaison de VPC dans le Guide de l'utilisateur Amazon VPC.

Note

Les stratégies de point de terminaison de VPC ne sont pas prises en charge pour les points determinaison Amazon WorkSpaces FIPS (Federal Information Processing Standard).

L'exemple suivant de stratégie de point de terminaison de VPC spécifie que tous les utilisateurs qui ontaccès au point de terminaison de l'interface VPC sont autorisés à appeler le point de terminaison hébergépar Amazon WorkSpaces, nommé ws-f9abcdefg.

{ "Statement": [ { "Action": "workspaces:*", "Effect": "Allow", "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg", "Principal": "*" } ]}

Dans cet exemple, les actions suivantes sont refusées :

• Appel des points de terminaison hébergés par Amazon WorkSpaces autres que ws-f9abcdefg.• Exécution d'une action sur une ressource autre que celle spécifiée (ID WorkSpace : ws-f9abcdefg).

Note

Dans cet exemple, les utilisateurs peuvent encore entreprendre d'autres actions d'API AmazonWorkSpaces depuis l'extérieur du VPC. Pour restreindre les appels d’API à ceux du VPC,consulter Identity and Access Management pour Amazon WorkSpaces (p. 191) pour plusd'informations sur l'utilisation de stratégies basées sur l'identité pour contrôler l'accès aux pointsde terminaison d’API Amazon WorkSpaces

Connectez votre réseau privé à votre VPCPour appeler l'API Amazon WorkSpaces via votre VPC, vous devez vous connecter à partir d'une instancesituée dans le VPC ou connecter votre réseau privé à votre VPC à l'aide d'un Amazon Virtual PrivateNetwork (VPN) ou d'AWS Direct Connect. Pour obtenir des informations sur Amazon VPN, consultezConnexions VPN dans le guide de l'utilisateur Amazon Virtual Private Cloud. Pour obtenir des informationssur AWS Direct Connect, consultez Création d'une connexion dans le guide de l'utilisateur AWS DirectConnect.

Gestion des mises à jour dans AmazonWorkSpaces

Nous vous recommandons d'appliquer régulièrement des correctifs, de mettre à jour et de sécuriserle système d'exploitation et les applications sur votre WorkSpaces. Vous pouvez configurer

202

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html

Amazon WorkSpaces Guide d'administrationAmazon WAM

votre WorkSpaces pour qu'il soit mis à jour par Amazon WorkSpaces au cours d'une fenêtre demaintenance régulière ou vous pouvez les mettre à jour vous-même. Pour plus d'informations, consultezMaintenanceWorkSpace (p. 119).

Pour les applications sur votre WorkSpaces, vous pouvez utiliser tous les services de mise à jourautomatique fournis ou suivre les recommandations d'installation des mises à jour fournies par lefournisseur de l'application.

Amazon WAMAmazon WorkSpaces Application Manager (Amazon WAM) offre un moyen rapide, flexible et sécurisé dedéployer et de gérer des applications pour votre WorkSpaces Windows. Pour plus d'informations, consultezle Amazon WAM Administration Guide.

203

http://docs.aws.amazon.com/wam/latest/adminguide/

Amazon WorkSpaces Guide d'administrationActivation de la journalisation avancée

Résolution des problèmes rencontrésavec Amazon WorkSpaces

Les informations suivantes peuvent vous aider à résoudre les problèmes courants avec votre WorkSpaces.

Activation de la journalisation avancéePour aider à résoudre les problèmes que vos utilisateurs peuvent rencontrer, vous pouvez activer lajournalisation avancée sur n'importe quel client Amazon WorkSpaces La journalisation avancée est activéepour chaque session client suivante jusqu'à ce que vous la désactiviez.

La journalisation avancée génère des fichiers journaux qui contiennent des informations de diagnostic etdes détails de niveau débogage, avec notamment des données de performance détaillées. Pour les clients1.0+ et 2.0+, ces fichiers de journalisation avancés sont automatiquement téléchargés dans une base dedonnées dans AWS.

Note

Pour qu'AWS examine les fichiers journaux générés par la journalisation avancée et reçoive unsupport technique pour tout problème lié à vos clients WorkSpaces, contactez AWS Support. Pourplus d'informations, consultez Centre AWS Support.

Pour activer la journalisation avancée pour les clients 3.0+Les journaux du client Windows sont stockés à l'emplacement suivant :

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

Pour activer la journalisation avancée pour les clients Windows

1. Fermez le client Amazon WorkSpaces2. Ouvrez l’application Invite de commande.3. Lancez le client WorkSpaces avec l'indicateur -l3.

c:

cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

workspaces.exe -l3

Note

Si WorkSpaces est installé pour un utilisateur et non pour tous les utilisateurs, utilisez lescommandes suivantes :c:cd "%LocalAppData%\Programs\Amazon Web Services, Inc\AmazonWorkSpaces"

204


Amazon WorkSpaces Guide d'administrationRésolution de problèmes spécifiques

workspaces.exe -l3

Les journaux du client macOS sont stockés à l'emplacement suivant :

~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

Pour activer la journalisation avancée pour les clientsmacOS

1. Fermez le client Amazon WorkSpaces2. Ouvrez Terminal.3. Exécutez la commande suivante.

open -a workspaces --args -l3

Les journaux du client Linux sont stockés à l'emplacement suivant :

~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

Pour activer la journalisation avancée pour les clients Linux

1. Fermez le client Amazon WorkSpaces2. Ouvrez Terminal.3. Exécutez la commande suivante.

/opt/workspacesclient/workspacesclient -l3

Pour activer la journalisation avancée pour les clients 1.0+ et 2.0+1. Ouvrez le client WorkSpaces2. Choisissez l'icône d'engrenage dans le coin supérieur droit de l'application cliente.3. Choisissez Advanced Settings (Paramètres avancés).4. Cochez la case Enable Advanced Logging (Activer la journalisation avancée).5. Choisissez Enregistrer.

Les journaux du client Windows sont stockés à l'emplacement suivant :

%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

Les journaux du client macOS sont stockés à l'emplacement suivant :

~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

Résolution de problèmes spécifiquesLes informations suivantes peuvent vous aider à résoudre des problèmes spécifiques liés à votreWorkSpaces.

Problèmes• Je ne peux pas créer de Amazon Linux WorkSpace, car le nom d'utilisateur contient des caractères

non valides (p. 207)

205

Amazon WorkSpaces Guide d'administrationRésolution de problèmes spécifiques

• J'ai modifié le shell pour mon Amazon Linux WorkSpace et je ne peux plus mettre en service unesessionPCoIP (p. 207)

• Mon Amazon Linux WorkSpaces ne démarre pas (p. 207)• Le lancement de WorkSpaces dans mon annuaire connecté échoue souvent (p. 208)• Le lancement de WorkSpaces échoue avec une erreur interne (p. 208)• Lorsque j'essaie d'enregistrer un annuaire, l'enregistrement échoue et quitte l'annuaire à l'état ERROR

(ERREUR) (p. 209)• Mes utilisateurs ne peuvent pas se connecter à une WorkSpace Windows avec une bannière de

connexion interactive (p. 209)• Mes utilisateurs ne peuvent pas se connecter à un WorkSpace Windows (p. 209)• Mes utilisateurs ont des problèmes lorsqu'ils essaient de se connecter à WorkSpaces à partir de l'accès

webWorkSpaces (p. 210)• Le client Amazon WorkSpaces affiche un « Chargement en cours de... » gris pendant un certain temps

avant de revenir à l'écran de connexion. Aucun autre message d'erreur ne s'affiche. (p. 210)• Mes utilisateurs reçoivent le message « État de l'espace de travail : Défectueux. Nous n'avons pas pu

vous connecter à votre WorkSpace. Veuillez réessayer dans quelques minutes. » (p. 211)• Mes utilisateurs reçoivent le message « Cet appareil n'est pas autorisé à accéder à l'WorkSpace.

Contactez votre administrateur pour obtenir de l'aide. » (p. 211)• Mes utilisateurs reçoivent le message « Aucun réseau. Connexion réseau perdue. Vérifiez votre

connexion réseau ou contactez votre administrateur pour obtenir de l'aide. » lors de la tentative deconnexion à un WorkSpace WSP (p. 212)

• Le client WorkSpaces signale à mes utilisateurs une erreur de réseau, mais ils sont en mesure d'utiliserd'autres applications réseau activées sur leurs appareils (p. 212)

• Mes utilisateurs WorkSpace voient le message d'erreur suivant : « L'appareil ne peut pas se connecterau service d'enregistrement. Veuillez vérifier vos paramètres réseau. » (p. 214)

• Mes utilisateurs clients PCoIP zéro reçoivent l'erreur « Le certificat fourni n'est pas valide en raison del'horodatage » (p. 214)

• Mes utilisateurs ont ignoré la mise à jour de leurs applications clientes Windows ou macOS et ne sontpas invités à installer la dernière version (p. 214)

• Mes utilisateurs ne peuvent pas installer l'application cliente Android sur leurs Chromebooks (p. 215)• Mes utilisateurs ne reçoivent pas d'e-mails d'invitation ou d'e-mails de réinitialisation de mot de

passe (p. 215)• Mes utilisateurs ne voient pas l’option « Mot de passe oublié ? » sur l'écran de connexion du

client (p. 215)• Je reçois le message « L'administrateur système a défini des stratégies pour empêcher cette

installation » lorsque j'essaie d'installer des applications sur un WorkSpace Windows (p. 215)• Aucun WorkSpaces de mon annuaire ne peut se connecter à Internet (p. 216)• Mon WorkSpace a perdu son accès à Internet (p. 216)• L'erreur « DNS unavailable » s'affiche lorsque j'essaie de me connecter à mon annuaire sur

site (p. 216)• L'erreur « Connectivity issues detected » s'affiche lorsque je tente de me connecter à mon annuaire sur

site (p. 217)• L'erreur « SRV record » s'affiche lorsque je tente de me connecter à mon annuaire sur site (p. 217)• Mes WorkSpace Windows se mettent en veille lorsqu'ils restent inactifs (p. 217)• L'un de mes WorkSpaces a l'état UNHEALTHY. (p. 218)• Mon WorkSpace se bloque ou redémarre de façon inattendue (p. 219)• Le même nom d'utilisateur comporte plusieurs WorkSpace, mais l'utilisateur ne peut se connecter qu'à

un seul des WorkSpaces. (p. 220)

206

Amazon WorkSpaces Guide d'administrationJe ne peux pas créer de Amazon Linux WorkSpace, carle nom d'utilisateur contient des caractères non valides

• J'ai des difficultés à utiliser Docker avec Amazon WorkSpaces (p. 221)• Je reçois des erreurs ThrottlingException pour certains de mes appels d'API (p. 222)

Je ne peux pas créer de Amazon Linux WorkSpace,car le nom d'utilisateur contient des caractères nonvalidesPour Amazon Linux WorkSpaces, les noms d'utilisateur :

• Peuvent contenir un maximum de 20 caractères• Peuvent contenir des lettres, des espaces et des chiffres qui sont représentables en UTF-8• Peuvent inclure les caractères spéciaux suivants : _ -#• Impossible de commencer par un tiret (-) comme premier caractère du nom d'utilisateur

Note

Ces limitations ne s'appliquent pas aux WorkSpaces Windows. Les WorkSpaces Windowsprennent en charge les symboles @ et - pour tous les caractères du nom d'utilisateur.

J'ai modifié le shell pour mon Amazon LinuxWorkSpace et je ne peux plus mettre en service unesessionPCoIPPour remplacer le shell par défaut pour Linux WorkSpaces, consultez Remplacer le shell par défaut pourAmazon Linux WorkSpaces (p. 113).

Mon Amazon Linux WorkSpaces ne démarre pasÀ compter du 20 juillet 2020, Amazon Linux WorkSpaces utilisera de nouveaux certificats de licence. Cesnouveaux certificats sont compatibles uniquement avec les versions 2.14.1.1, 2.14.7 et 2.14.9 de l'agentPCoIP.

Si vous utilisez une version non prise en charge de l'agent PCoIP, vous devez la mettre à niveau versla dernière version (2.14.9), qui comporte les dernières corrections et améliorations des performancescompatibles avec les nouveaux certificats. Si vous n'effectuez pas ces mises à niveau d'ici le 20 juillet, lamise en service de session pour votre WorkSpaces Linux échoue et vos utilisateurs finaux ne pourront passe connecter à leur WorkSpaces.

Pour mettre à niveau votre agent PCoIP vers la dernière version

1. Ouvrez la console Amazon WorkSpaces à l'adresse https://console.aws.amazon.com/workspaces/.2. Dans le volet de navigation, choisissez WorkSpaces.3. Sélectionnez votre WorkSpace Linux et redémarrez-la en choisissant Actions, Redémarrer

WorkSpaces. Si le statut de WorkSpace est STOPPED, vous devez choisir Actions, Start WorkSpaces(Démarrer d'abord) et attendre que son statut soit AVAILABLE avant de pouvoir le redémarrer.

4. Une fois que votre WorkSpace a redémarré et que son statut est AVAILABLE, nous vousrecommandons de remplacer le statut de l'WorkSpace par ADMIN_MAINTENANCE pendant que

207


Amazon WorkSpaces Guide d'administrationLe lancement de WorkSpaces dans

mon annuaire connecté échoue souvent

vous effectuez cette mise à niveau. Lorsque vous avez terminé, remplacez l'état de l'WorkSpace parAVAILABLE. Pour plus d'informations sur le mode ADMIN_MAINTENANCE, consultez Maintenancemanuelle.

Pour remplacer l'état d'un WorkSpace par ADMIN_MAINTENANCE, procédez comme suit :

a. Sélectionnez WorkSpace et choisissez Actions, Modify WorkSpace (Modifier Lambda).b. Choisissez Modify State (Modifier l’état).c. Pour Intended State (État ciblé), sélectionnez ADMIN_MAINTENANCE.d. Sélectionnez Modify.

5. Connectez-vous à votre WorkSpace Linux via SSH. Pour plus d'informations, consultez Activer lesconnexions SSH pour votre WorkSpaces Linux (p. 54).

6. Pour mettre à jour l'agent PCoIP, exécutez la commande suivante :

sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-2.14.9

7. Pour vérifier la version de l'agent et confirmer que la mise à jour a abouti, exécutez la commandesuivante :

rpm -q pcoip-agent-standard

La commande de vérification doit produire le résultat suivant :

pcoip-agent-standard-2.14.9-27877.el7.x86_64

8. Déconnectez-vous de la WorkSpace et redémarrez-la à nouveau.9. Si vous définissez l'état de WorkSpace sur ADMIN_MAINTENANCE dans Step 4 (p. 207), répétez

Step 4 (p. 207) et définissez Intended State sur AVAILABLE.

Si votre WorkSpace Linux ne démarre toujours pas après la mise à niveau de l'agent PCoIP, contactezAWS Support.

Le lancement de WorkSpaces dans mon annuaireconnecté échoue souventVérifiez que les deux serveurs DNS ou les contrôleurs de domaine de votre annuaire sur site sontaccessibles à partir de chacun des sous-réseaux que vous avez spécifiés lorsque vous vous êtes connectéà votre annuaire. Vous pouvez vérifier cette connectivité en lançant une instance Amazon EC2 danschaque sous-réseau et en joignant l'instance à votre annuaire en utilisant les adresses IP des deuxserveurs DNS.

Le lancement de WorkSpaces échoue avec une erreurinterneVérifiez si vos sous-réseaux sont configurés pour attribuer automatiquement des adresses IPv6aux instances lancées dans le sous-réseau. Pour vérifier ce paramètre, ouvrez la console AmazonVPC, sélectionnez votre sous-réseau et choisissez Actions de sous-réseau (subnet), Modifier lesparamètres d'attribution automatique d'adresses IP. Si ce paramètre est activé, vous ne pouvez paslancer WorkSpaces à l'aide des bundles Performance ou Graphics. A la place, désactivez ce paramètre etspécifiez les adresses IPv6 manuellement lorsque vous lancez vos instances.

208

https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html#admin-maintenance

https://docs.aws.amazon.com/workspaces/latest/adminguide/workspace-maintenance.html#admin-maintenance

Amazon WorkSpaces Guide d'administrationLorsque j'essaie d'enregistrer un annuaire, l'enregistrement

échoue et quitte l'annuaire à l'état ERROR (ERREUR)

Lorsque j'essaie d'enregistrer un annuaire,l'enregistrement échoue et quitte l'annuaire à l'étatERROR (ERREUR)Ce problème peut se produire si vous essayez d'enregistrer un annuaire AWS Managed Microsoft AD qui aété configuré pour la réplication sur plusieurs régions. Même si l'annuaire de la région principale peut êtreenregistré avec succès pour une utilisation avec Amazon WorkSpaces, la tentative d'enregistrement del'annuaire dans une région répliquée échoue. La réplication multi-régions avec AWS Managed Microsoft ADn'est pas prise en charge pour une utilisation avec Amazon WorkSpaces dans les régions répliquées.

Mes utilisateurs ne peuvent pas se connecter à uneWorkSpace Windows avec une bannière de connexioninteractiveSi un message de connexion interactive a été mis en œuvre pour afficher une bannière de connexion, celaempêche les utilisateurs d'accéder à leur WorkSpaces Windows. Le paramètre de stratégie de groupede message de connexion interactive n'est actuellement pas pris en charge par Amazon WorkSpaces.Déplacez l'WorkSpaces vers une unité d'organisation (UO) où la stratégie de groupe Interactive logon:Message text for users attempting to log on n'est pas appliquée.

Mes utilisateurs ne peuvent pas se connecter à unWorkSpace WindowsMes utilisateurs reçoivent le message d'erreur suivant lorsqu'ils essaient de se connecter à leurWorkSpaces Windows :

"An error occurred while launching your WorkSpace. Please try again."

Cette erreur se produit souvent lorsque le WorkSpace ne peut pas charger le bureau Windows à l'aide dePCoIP. Vérifiez les points suivants :

• Ce message s'affiche si l'agent standard PCoIP pour le service Windows n'est pas en cours d'exécution.Connectez-vous à l'aide de RDP pour vérifier que le service est en cours d'exécution, qu'il est configurépour démarrer automatiquement et qu'il peut communiquer via l'interface de gestion (eth0).

• Si l'agent PCoIP a été désinstallé, redémarrez le WorkSpace via la console Amazon WorkSpaces pour leréinstaller automatiquement.

• Vous pouvez également recevoir cette erreur sur le client Amazon WorkSpaces après un long délai si legroupe de sécurité WorkSpaces a été modifié pour limiter le trafic sortant. (p. 46) La restriction du traficsortant empêche Windows de communiquer avec vos contrôleurs d'annuaire pour la connexion. Vérifiezque vos groupes de sécurité permettent à votre WorkSpaces de communiquer avec vos contrôleursd'annuaire sur tous les ports requis (p. 19) via l'interface réseau principale.

Une autre cause de cette erreur est liée à la stratégie de groupe d'attribution de droits d'utilisateur. Si lastratégie de groupe suivante n'est pas correctement configurée, elle empêche les utilisateurs d'accéder àleur WorkSpaces Windows :

209

https://aws.amazon.com/premiumsupport/knowledge-center/connect-workspace-rdp/

Amazon WorkSpaces Guide d'administrationMes utilisateurs ont des problèmes lorsqu'ils

essaient de se connecter à WorkSpacesà partir de l'accès webWorkSpaces

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment(Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributiondes droits utilisateur)

• Stratégie erronées :

Stratégie : Acces this computer from the network (Accéder à cet ordinateur à partir du réseau)

Paramètre : Domain nameOrdinateurs \\Domain

GPO gagnant : Autoriser l'accès au fichier• Stratégie correcte :

Stratégie : Acces this computer from the network (Accéder à cet ordinateur à partir du réseau)

Paramètre : Domain nameUtilisateurs \\Domain

GPO gagnant : Autoriser l'accès au fichier

Note

Ce paramètre de stratégie doit être appliqué aux Domain Users (Utilisateurs de domaine) au lieudes Domain Computers (Ordinateurs de domaine).

Pour plus d'informations, consultez Accéder à cet ordinateur à partir du réseau - Paramètre de stratégie desécurité et Configurer les paramètres de stratégie de sécurité dans la documentation Microsoft Windows.

Mes utilisateurs ont des problèmes lorsqu'ils essaientde se connecter à WorkSpaces à partir de l'accèswebWorkSpacesAmazon WorkSpaces s'appuie sur une configuration d'écran de connexion spécifique pour permettre auxutilisateurs de se connecter à partir de leur client Web Access.

Pour permettre aux utilisateurs Web Access de se connecter à leur WorkSpaces, vous devez configurer unparamètre de stratégie de groupe et trois paramètres de stratégie de sécurité. Si ces paramètres ne sontpas correctement configurés, les utilisateurs peuvent être confrontés à de longs délais de connexion ou àdes écrans noirs lorsqu'ils essaient de se connecter à leur WorkSpaces. Pour configurer ces paramètres,consultez Activer et configurer l'accès Web Amazon WorkSpaces (p. 49).

Important


Le client Amazon WorkSpaces affiche un« Chargement en cours de... » gris pendant un certaintemps avant de revenir à l'écran de connexion. Aucunautre message d'erreur ne s'affiche.Ce comportement indique généralement que le client WorkSpaces peut s'authentifier sur le port 443, maisne peut pas établir de connexion en streaming sur le port 4172 (PCoIP) ou le port 4195 (WSP). Cette

210

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network

https://docs.microsoft.com/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings

Amazon WorkSpaces Guide d'administrationMes utilisateurs reçoivent le message « État del'espace de travail : Défectueux. Nous n'avons

pas pu vous connecter à votre WorkSpace.Veuillez réessayer dans quelques minutes. »situation peut se produire lorsque les conditions préalables du réseau (p. 19) ne sont pas remplies. Les

problèmes côté client provoquent souvent l'échec de la vérification du réseau dans le client. Pour voirquelles vérifications de l'état échouent, choisissez l'icône de vérification du réseau (généralement untriangle rouge avec un point d'exclamation dans le coin inférieur droit de l'écran de connexion pour lesclients 2.0+ ou l'icône de réseau dans le coin supérieur droit des clients 3.0+).

Note

La cause la plus courante de ce problème est un pare-feu côté client ou un proxy empêchantl'accès via le port 4172 ou 4195 (TCP et UDP). Si ce contrôle d'intégrité échoue, vérifiez lesparamètres de votre pare-feu local.

Si la vérification du réseau réussit, il peut y avoir un problème avec la configuration du réseau del'WorkSpace. Par exemple, une règle de pare-feu Windows peut bloquer le port UDP 4172 ou 4195 surl'interface de gestion. Connectez-vous au WorkSpace à l'aide d'un client RDP (Remote Desktop Protocol)pour vérifier que le WorkSpace répond aux exigences de port (p. 19) nécessaires.

Mes utilisateurs reçoivent le message « État del'espace de travail : Défectueux. Nous n'avons pas puvous connecter à votre WorkSpace. Veuillez réessayerdans quelques minutes. »Cette erreur indique généralement que le service SkyLightWorkSpacesConfigService ne répond pas auxvérifications de l'état.

Si vous venez de redémarrer ou de démarrer votre WorkSpace, attendez quelques minutes, puisréessayez.

Si le WorkSpace est en cours d'exécution depuis un certain temps et que cette erreur s'affiche toujours,connectez-vous à l'aide de RDP pour vérifier que le service SkyLightWorkSpacesConfigService :

• Est en cours d'exécution.

• Est configuré pour démarrer automatiquement.

• Peut communiquer via l'interface de gestion (eth0).

• N'est pas bloqué par un logiciel antivirus tiers.

Mes utilisateurs reçoivent le message « Cet appareiln'est pas autorisé à accéder à l'WorkSpace. Contactezvotre administrateur pour obtenir de l'aide. »Cette erreur indique que les groupes de contrôle d'accès IP (p. 47) sont configurés dans le répertoireWorkSpace, mais que l'adresse IP du client n'est pas sur la liste blanche.

Vérifiez les paramètres de votre répertoire. Vérifiez que l'adresse IP publique à partir de laquelle l'utilisateurse connecte autorise l'accès au WorkSpace.

211



Amazon WorkSpaces Guide d'administrationMes utilisateurs reçoivent le message « Aucun réseau.

Connexion réseau perdue. Vérifiez votre connexion réseauou contactez votre administrateur pour obtenir de l'aide.

» lors de la tentative de connexion à un WorkSpace WSPMes utilisateurs reçoivent le message « Aucun réseau.Connexion réseau perdue. Vérifiez votre connexionréseau ou contactez votre administrateur pour obtenirde l'aide. » lors de la tentative de connexion à unWorkSpace WSPSi cette erreur se produit et que vos utilisateurs n'ont pas de problèmes de connectivité, assurez-vous quele port 4195 est ouvert sur les pare-feu de votre réseau. Pour les WorkSpaces utilisant le WorkSpacesStreaming Protocol (WSP), le port utilisé pour diffuser la session client a été modifié de 4172 à 4195.

Le client WorkSpaces signale à mes utilisateurs uneerreur de réseau, mais ils sont en mesure d'utiliserd'autres applications réseau activées sur leursappareilsLes applications clientes WorkSpaces reposent sur l'accès aux ressources dans le cloud AWS etnécessitent une connexion qui fournit une bande passante de téléchargement d'au moins 1 Mbit/s. Siun périphérique dispose d'une connexion intermittente au réseau, l'application cliente WorkSpaces peutsignaler un problème lié au réseau.

Amazon WorkSpaces exige l'utilisation de certificats numériques émis par Amazon Trust Services depuismai 2018. Amazon Trust Services est déjà une CA racine de confiance sur les systèmes d'exploitation quisont pris en charge par Amazon WorkSpaces. Si la liste de CA racine du système d'exploitation n'est pas àjour, l'appareil ne peut pas se connecter à WorkSpaces et le client affiche une erreur de réseau.

Pour reconnaître les problèmes de connexion dus à des échecs de certificat

• PCoIP Client zéro — Le message d'erreur suivant s'affiche.

Failed to connect. The server provided a certificate that is invalid. See below for details:- The supplied certificate is invalid due to timestamp- The supplied certificate is not rooted in the devices local certificate store

• Autres clients — Les vérifications de l'état échouent avec un triangle d'avertissement rouge pour Internet.

Pour résoudre les échecs de certificat• Application cliente Windows (p. 212)• Clients PCoIP Zero (p. 213)• Autres applications clientes (p. 213)

Application cliente WindowsUtilisez l'une des solutions suivantes pour les échecs de certificat.

Solution 1 : Mettre à jour l'application cliente

212

Amazon WorkSpaces Guide d'administrationLe client WorkSpaces signale à mes utilisateurs uneerreur de réseau, mais ils sont en mesure d'utiliser

d'autres applications réseau activées sur leurs appareilsTéléchargez et installez la dernière application cliente Windows depuis Amazon WorkSpaces ClientDownloads. Pendant l'installation, l'application cliente s'assure que votre système d'exploitation approuveles certificats émis par Amazon Trust Services.

Solution 2 : Ajouter Amazon Trust Services à la liste de CA racine locale

1. Ouvrez https://www.amazontrust.com/repository/.2. Téléchargez le certificat Starfield au format DER

(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92).3. Ouvrez la console de gestion Microsoft. (À partir de l'invite de commande, exécutez mmc.)4. Choisissez Fichier, Ajouter/Supprimer un composant logiciel enfichable, Certificats, Ajouter.5. Sur la page Composant logiciel enfichable Certificats, sélectionnez Un compte d’ordinateur et

choisissez Suivant. Conservez la valeur par défaut, Ordinateur local. Choisissez Finish. ChoisissezOK.

6. Développez Certificats (ordinateur local) et sélectionnez Autorités de certification racines de confiance.Choisissez Action, Toutes les tâches, Importer.

7. Suivez l'assistant pour importer le certificat que vous avez téléchargé.8. Quittez et redémarrez l'application cliente WorkSpaces.

Solution 3 : Déployer Amazon Trust Services en tant que CA (autorité de certification) approuvée à l'aided'une stratégie de groupe

Ajoutez le certificat Starfield à la racine approuvée CAs du domaine à l'aide d'une stratégie de groupe. Pourplus d'informations, consultez Use Policy to Distribute Certificates.

Clients PCoIP ZeroPour vous connecter directement à une WorkSpace à l'aide du microprogramme version 6.0 ou ultérieure,téléchargez et installez le certificat émis par Amazon Trust Services.

Pour ajouter Amazon Trust Services en tant que CA racine approuvée

1. Ouvrez https://certs.secureserver.net/repository/.2. Téléchargez le certificat sous Starfield Certificate Chain (Chaîne de certificats Starfield) avec

l'empreinte numérique 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2C8 67 75 21 FB 5F B6 58.

3. Chargez le certificat sur le client Zero. Pour plus d'informations, consultez Uploading Certificates dansla documentation Teradici.

Autres applications clientesAjoutez le certificat Starfield(2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) depuis Amazon TrustServices. Pour plus d'informations sur l'ajout d'une CA racine, consultez la documentation suivante :

• Android : Add & remove certificates• Chrome OS : Manage client certificates on Chrome devices• macOS et iOS : Installation du certificat racine d'une autorité de certification sur votre appareil de test

213



https://www.amazontrust.com/repository/

https://docs.microsoft.com/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc772491(v=ws.11)

https://certs.secureserver.net/repository/

https://www.teradici.com/web-help/TER1504003/6.0/default.htm#05_Managing/04_UploadCertificate.htm



https://support.google.com/nexus/answer/2844832

https://support.google.com/chrome/a/answer/6080885

https://developer.apple.com/library/content/qa/qa1948/_index.html#/apple_ref/doc/uid/DTS40017603-CH1-SECINSTALLING

Amazon WorkSpaces Guide d'administrationMes utilisateurs WorkSpace voient le message d'erreur

suivant : « L'appareil ne peut pas se connecter au serviced'enregistrement. Veuillez vérifier vos paramètres réseau. »

Mes utilisateurs WorkSpace voient le messaged'erreur suivant : « L'appareil ne peut pas se connecterau service d'enregistrement. Veuillez vérifier vosparamètres réseau. »En cas d'échec d'un service d'enregistrement, le message d'erreur suivant peut s'afficher sur la pageWorkSpaceConnection Health Check (Vérification de l'état de la connexion) : « Votre appareil ne peut passe connecter au service d'enregistrement .WorkSpaces Vous ne pourrez pas inscrire votre appareil auprèsd'WorkSpaces. Please check your network settings. »

Cette erreur se produit lorsque l'application cliente WorkSpaces ne peut pas accéder au serviced'enregistrement. Cela se produit généralement lorsque le répertoire WorkSpaces a été supprimé. Pourrésoudre cette erreur, assurez-vous que le code d'enregistrement est valide et correspond à un annuaireen cours d'exécution dans le cloud AWS.

Mes utilisateurs clients PCoIP zéro reçoivent l'erreur« Le certificat fourni n'est pas valide en raison del'horodatage »Si le protocole NTP (Network Time Protocol) n'est pas activé dans Teradici, les utilisateurs de votreclient PCoIP zéro peuvent recevoir des erreurs d'échec de certificat. Pour configurer NTP, consultezConfiguration du client Zero PCoIP pourWorkSpaces (p. 48).

Mes utilisateurs ont ignoré la mise à jour de leursapplications clientes Windows ou macOS et ne sontpas invités à installer la dernière versionLorsque les utilisateurs ignorent les mises à jour de l'application cliente Windows Amazon WorkSpaces, laclé de registre SkipThisVersion est définie et ils ne sont plus invités à mettre à jour leurs clients lorsqu'unenouvelle version du client est publiée. Pour mettre à jour vers la dernière version, vous pouvez modifierle registre comme décrit dans Mise à jour de l'application cliente Windows WorkSpaces vers une versionplus récente dans le Guide de l'utilisateur Amazon WorkSpaces. Vous pouvez également exécuter lacommande PowerShell suivante :

Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

Lorsque les utilisateurs ignorent les mises à jour de l'application cliente Amazon WorkSpaces macOS,la préférence SUSkippedVersion est définie et ils ne sont plus invités à mettre à jour leurs clientslorsqu'une nouvelle version du client est publiée. Pour mettre à jour vers la dernière version, vous pouvezréinitialiser cette préférence comme décrit dans Mettre à jour l'application cliente WorkSpaces macOS versune version plus récente dans le Guide de l'utilisateur Amazon WorkSpaces.

214

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-windows-client.html#windows_setup

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-osx-client.html#osx_setup

Amazon WorkSpaces Guide d'administrationMes utilisateurs ne peuvent pas installer

l'application cliente Android sur leurs Chromebooks

Mes utilisateurs ne peuvent pas installer l'applicationcliente Android sur leurs ChromebooksLa version 2.4.13 est la version finale de l'application cliente Amazon WorkSpaces Chromebook. Étantdonné que Google cesse de prendre en charge les applications Chrome, aucune autre mise à jour ne seraapportée à l'application cliente Chromebook WorkSpaces et son utilisation n'est pas prise en charge.

Pour les Chromebooks qui prennent en charge l'installation d'applications Android, nous vousrecommandons d'utiliser plutôt l'application cliente Android Amazon WorkSpaces.

Dans certains cas, vous devrez peut-être activer les Chromebooks de vos utilisateurs pour installer desapplications Android. Pour plus d'informations, consultez Configurer Android pour les Chromebooks (p. 49).

Mes utilisateurs ne reçoivent pas d'e-mails d'invitationou d'e-mails de réinitialisation de mot de passeLes utilisateurs ne reçoivent pas automatiquement d'e-mails de bienvenue ou de réinitialisation de mot depasse pour WorkSpaces qui ont été créés à l'aide d'AD Connector ou d'un domaine approuvé.

Pour envoyer manuellement des e-mails de bienvenue à ces utilisateurs, consultez Envoyer un e-maild'invitation (p. 90).

Pour réinitialiser les mots de passe utilisateur, veuillez consulter Configurer des outils d'administrationActive Directory pour Amazon WorkSpaces (p. 72).

Mes utilisateurs ne voient pas l’option « Mot de passeoublié ? » sur l'écran de connexion du clientSi vous utilisez AD Connector ou un domaine approuvé, vos utilisateurs ne pourront pas réinitialiserleurs propres mots de passe. (L'option Mot de passe oublié ? sur l'écran de connexion de l'applicationcliente WorkSpaces ne sera pas disponible.) Pour plus d'informations sur la réinitialisation des motsde passe utilisateur, consultez Configurer des outils d'administration Active Directory pour AmazonWorkSpaces (p. 72).

Je reçois le message « L'administrateur système adéfini des stratégies pour empêcher cette installation» lorsque j'essaie d'installer des applications sur unWorkSpace WindowsVous pouvez résoudre ce problème en modifiant le paramètre de stratégie de groupe Windows Installer.Pour déployer cette stratégie sur plusieurs WorkSpaces de votre annuaire, appliquez ce paramètre à unobjet Stratégie de groupe lié à l'unité d'organisation (UO) WorkSpaces à partir d'une instance EC2 jointe àun domaine. Si vous utilisez AD Connector, vous pouvez effectuer ces modifications à partir d'un contrôleurde domaine. Pour plus d'informations sur l'utilisation des outils d'administration Active Directory pour utiliserles objets de stratégie de groupe, consultez Installation des outils d'administration Active Directory dans leAWS Directory Service Administration Guide.

La procédure suivante montre comment configurer le paramètre Windows Installer pour l'objet Stratégie degroupe Amazon WorkSpaces

215

https://blog.chromium.org/2020/01/moving-forward-from-chrome-apps.html


https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-android-client.html


Amazon WorkSpaces Guide d'administrationAucun WorkSpaces de mon annuaire

ne peut se connecter à Internet

1. Assurez-vous que le dernier modèle d'administration de stratégie de groupe Amazon WorkSpaces estinstallé dans votre domaine. (p. 97)

2. Ouvrez l'outil Gestion des stratégies de groupe sur votre client WorkSpace Windows, puis accédez àl'objet Stratégie de groupe WorkSpaces et sélectionnez-le pour vos comptes de machine WorkSpaces.Dans le menu principal, choisissez Action, Edition.

3. Dans l'éditeur de gestion des stratégies de groupe, choisissez Computer Configuration (Configurationde l'ordinateur), Policies (Stratégies), Administrative Templates (Modèles d'administration), ClassicAdministrative Templates (Modèles d'administration classiques), Windows Components (ComposantsWindows), Windows Installer.

4. Ouvrez le paramètre Turn Off Windows Installer.5. Dans la boîte de dialogue Turn Off Windows Installer (Désactiver le programme d'installation Windows)

remplacez Not Configured (Non configuré) par Enabled (Activé), puis définissez Disable WindowsInstaller (Désactiver le programme d'installation Windows) sur Never (Jamais).

6. Choisissez OK.7. Pour appliquer les modifications de stratégie de groupe, effectuez l'une des actions suivantes :



Aucun WorkSpaces de mon annuaire ne peut seconnecter à InternetWorkSpaces ne peut pas communiquer avec Internet par défaut. Vous devez fournir explicitement l'accèsInternet. Pour plus d'informations, consultez Fournir un accès Internet à partir de votreWorkSpace (p. 45).

Mon WorkSpace a perdu son accès à InternetSi votre WorkSpace a perdu l'accès à Internet et que vous ne pouvez pas vous connecter à l'WorkSpaceà l'aide de RDP, ce problème est probablement dû à la perte de l'adresse IP publique de l'WorkSpace.Si vous avez activé l'affectation automatique d'adresses IP Elastic (p. 63) au niveau de l'annuaire, uneadresse IP Elastic (à partir du pool fourni par Amazon) est attribuée à votre WorkSpace lors de sonlancement. Cependant, si vous associez une adresse IP Elastic que vous possédez à un WorkSpace etque vous dissociez ensuite cette adresse IP Elastic de l'WorkSpace, l'WorkSpace perd son adresse IPpublique et n'en obtient pas automatiquement une nouvelle à partir du pool fourni par Amazon.

Pour associer une nouvelle adresse IP publique du groupe fourni par Amazon à l'WorkSpace, vous devezrecréer l'WorkSpace (p. 128). Si vous ne souhaitez pas recréer l'WorkSpace, vous devez associer uneautre adresse IP Elastic que vous possédez à l'WorkSpace.

Nous vous recommandons de ne pas modifier l'interface réseau Elastic d'une WorkSpace après lelancement de l'WorkSpace. Une fois qu'une adresse IP Elastic a été attribuée à un WorkSpace, leWorkSpace conserve la même adresse IP publique (sauf si le WorkSpace est recréé, auquel cas il obtientune nouvelle adresse IP publique).

L'erreur « DNS unavailable » s'affiche lorsque j'essaiede me connecter à mon annuaire sur siteUn message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :

DNS unavailable (TCP port 53) for IP: dns-ip-address

216




Amazon WorkSpaces Guide d'administrationL'erreur « Connectivity issues detected » s'affiche

lorsque je tente de me connecter à mon annuaire sur site

AD Connector doit être capable de communiquer avec vos serveurs DNS sur site via les protocoles TCP etUDP sur le port 53. Vérifiez que vos groupes de sécurité et pare-feu sur site autorisent la communicationTCP et UDP sur ce port.

L'erreur « Connectivity issues detected » s'affichelorsque je tente de me connecter à mon annuaire sursiteUn message d'erreur similaire à ce qui suit s'affiche lors de la connexion à votre annuaire sur site :

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-addressKerberos/authentication unavailable (TCP port 88) for IP: ip-addressPlease ensure that the listed ports are available and retry the operation.

AD Connector doit être capable de communiquer avec vos contrôleurs de domaine sur site via lesprotocoles TCP et UDP sur les ports suivants. Vérifiez que vos groupes de sécurité et pare-feu sur siteautorisent la communication TCP et UDP sur ces ports :

• 88 (Kerberos)• 389 (LDAP)

L'erreur « SRV record » s'affiche lorsque je tente deme connecter à mon annuaire sur siteUn message d'erreur similaire à un ou plusieurs des messages suivants s'affiche lors de la connexion àvotre annuaire sur site :

SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address

AD Connector doit obtenir les enregistrements SRV _ldap._tcp.dns-domain-name et_kerberos._tcp.dns-domain-name lors de la connexion à votre annuaire. Cette erreur s'affiche si leservice ne peut pas obtenir ces enregistrements auprès des serveurs DNS que vous avez spécifiés lors dela connexion à votre annuaire. Assurez-vous que vos serveurs DNS contiennent ces enregistrements SRV.Pour plus d'informations, consultez Enregistrements de ressources SRV sur Microsoft TechNet.

Mes WorkSpace Windows se mettent en veillelorsqu'ils restent inactifsPour résoudre ce problème, connectez-vous à la WorkSpace et modifiez le plan d'alimentation en Highperformance (Hautes performances) à l'aide de la procédure suivante :

1. Depuis WorkSpace, ouvrez le Panneau de configuration, puis choisissez Matériel et son.2. Sous Power Options (Options d'alimentation), choisissez Choose a power plan (Choisir un plan

d'alimentation).3. Dans le volet Choose or customize a power plan (Choisir ou personnaliser un plan d'alimentation),

choisissez le plan d'alimentation High performance (Hautes performances). Si ce plan n'est pas visible,choisissez la flèche à droite de Show additional plans (Afficher les plans supplémentaires) pour l'afficher.

217

https://technet.microsoft.com/en-us/library/cc961719.aspx

Amazon WorkSpaces Guide d'administrationL'un de mes WorkSpaces a l'état UNHEALTHY.

Si les étapes précédentes ne permettent pas de résoudre le problème, procédez comme suit :

1. Dans le volet Choisir ou personnaliser un plan d'alimentation, choisissez le lien Modifier les paramètresdu plan à droite du plan d'alimentation Hautes performances, puis choisissez le lien Modifier lesparamètres d'alimentation avancés.

2. Dans la boîte de dialogue Power Options (Options d'alimentation), dans la liste des paramètres,choisissez le signe plus à gauche de Hard disk (Disque dur) pour afficher les paramètres appropriés.

3. Vérifiez que la valeur Turn off hard disk after (Désactiver le disque dur après) pour Plugged in (Sursecteur) est supérieure à celle de On battery (Sur batterie) (la valeur par défaut est de 20 minutes).

4. Choisissez le signe plus à gauche de PCI Express et faites de même pour Link State PowerManagement.

5. Vérifiez que les paramètres Link State Power Management sont définis sur Off (Désactivé).6. Choisissez OK (ou Apply (Appliquer) si vous avez modifié des paramètres) pour fermer la boîte de

dialogue.7. Dans le volet Change settings for the plan (Modifier les paramètres du plan), si vous avez modifié le

moindre paramètre, choisissez Enregistrer les modifications.

L'un de mes WorkSpaces a l'état UNHEALTHY.Le service Amazon WorkSpaces envoie périodiquement des demandes d'état à un WorkSpace. UnWorkSpace est marqué UNHEALTHY lorsqu'il ne parvient pas à répondre à ces demandes. Les causescourantes de ce problème sont les suivantes :

• Une application sur le WorkSpace bloque les ports réseau, ce qui empêche le WorkSpace de répondre àla demande d'état.

• Une utilisation élevée de l'UC empêche le WorkSpace de répondre à la demande d'état dans un délairaisonnable.

• Le nom d'ordinateur de l'WorkSpace a été modifié. Cela empêche un canal sécurisé d'être établi entreAmazon WorkSpaces et le WorkSpace.

Vous pouvez tenter de remédier à cette situation à l'aide des méthodes suivantes :

• Redémarrez le WorkSpace à partir de la console Amazon WorkSpaces.• Connectez-vous à l'WorkSpace défectueuse à l'aide de la procédure suivante, qui doit être utilisée

uniquement à des fins de dépannage :

1. Connectez-vous à un WorkSpace opérationnel dans le même annuaire que l'WorkSpace non sain.2. Depuis l'WorkSpace opérationnel, utilisez le protocole RDP (Remote Desktop Protocol) pour vous

connecter à l'WorkSpace non sain à l'aide de l'adresse IP de l'WorkSpace non sain. En fonction del'ampleur du problème, vous pouvez ne pas être en mesure de vous connecter à l'WorkSpace nonsain.

3. Sur l'WorkSpace non sain, vérifiez que les exigences de port (p. 19) minimales sont remplies.• Assurez-vous que le service SkyLightWorkSpacesConfigService peut répondre aux vérifications de

l'état. Pour résoudre ce problème, consultez Mes utilisateurs reçoivent le message « État de l'espace detravail : Défectueux. Nous n'avons pas pu vous connecter à votre WorkSpace. Veuillez réessayer dansquelques minutes. » (p. 211).

• Générez à nouveau le WorkSpace à partir de la console Amazon WorkSpaces. Étant donné que lareconstruction d'une WorkSpace peut potentiellement entraîner une perte de données, cette option nedoit être utilisée que si toutes les autres tentatives visant à corriger le problème ont échoué.

218

Amazon WorkSpaces Guide d'administrationMon WorkSpace se bloque ouredémarre de façon inattendue

Mon WorkSpace se bloque ou redémarre de façoninattendueSi votre WorkSpace se bloque ou redémarre de manière répétée et que vos journaux d'erreursou vidages sur incident pointent vers des problèmes avec spacedeskHookKmode.sys ouspacedeskHookUmode.dll, ou si vous recevez les messages d'erreur suivants, vous devrez peut-êtredésactiver l'accès web à l'WorkSpace :

The kernel power manager has initiated a shutdown transition.Shutdown reason: Kernel API

The computer has rebooted from a bugcheck.

Note

• Vous devez désactiver Web Access uniquement si vous n'autorisez pas vos utilisateurs à utiliserWeb Access.

• L'accès web est disponible uniquement pour PCoIP WorkSpaces. L'accès web n'est pasdisponible pour WorkSpaces Streaming Protocol (WSP) WorkSpaces.

Pour désactiver l'accès web à l'WorkSpace, vous devez définir une stratégie de groupe et modifier deuxparamètres de registre. Pour de plus amples informations sur l'utilisation des outils d'administrationActive Directory afin d'utiliser les objets de stratégie de groupe, veuillez consulter Installation des outilsd'administration Active Directory dans le AWS Directory Service Administration Guide.

Étape 1 : Définir une stratégie de groupe pour désactiver l'accès web au niveau du répertoire

Vous devez effectuer ces modifications à partir d'un PCoIP WorkSpace au lieu d'un contrôleur de domaine,car le service d'application hébergée STXHD doit être présent.

1. Modifiez le groupe de sécurité utilisé par WorkSpaces pour autoriser les connexions RDP. Pour plusd'informations, consultez Comment puis-je me connecter à mon WorkSpace à l'aide de RDP ?.

2. Utilisez RDP pour vous connecter à une WorkSpace. Veillez à utiliser un compte utilisateur disposantdes autorisations sur le domaine pour créer et modifier GPOs. Si vous utilisez Simple AD pour votreannuaire WorkSpace, le nom d'utilisateur est Administrator. Si vous utilisez Microsoft AD, le nomd'utilisateur administrateur est Admin.

3. Installez les outils d'administration Active Directory (RSAT) pour obtenir l'outil de gestion des stratégiesde groupe. Pour installer ces outils, consultez Installation des outils d'administration Active Directorydans le AWS Directory Service Administration Guide.

Vous pouvez également installer ces outils en exécutant la commande Windows PowerShell suivanteen tant qu'administrateur :

Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server

4. Ouvrez l'éditeur de gestion des stratégies de groupe (gpmc.msc) et recherchez la stratégie d'objet destratégie de groupe (GPO) au niveau du contrôleur de domaine de votre annuaire.

219





Amazon WorkSpaces Guide d'administrationLe même nom d'utilisateur comporte plusieurs

WorkSpace, mais l'utilisateur ne peut seconnecter qu'à un seul des WorkSpaces.

Note

Si le domaine utilisé par le WorkSpaces est un annuaire Microsoft Active Directory géré parAWS, vous devez créer et lier l'objet de stratégie de groupe sous le conteneur de domaine quidispose des privilèges délégués. Pour plus d'informations, consultez Qu'est-ce qui est créé ?dans le AWS Directory Service Administration Guide.

5. Choisissez Action, Edit (Modifier).6. Accédez au paramètre suivant :

Configuration de l'ordinateur\\Stratégies\\Paramètres Windows\\Paramètres de sécurité\\Servicessystème\\Service d'application hébergée STXHD

7. Dans la boîte de dialogue Propriétés du service d'application hébergée STXHD, dans l'ongletParamètres de stratégie de sécurité, cochez la case Définir ce paramètre de stratégie.

8. Sous Sélectionner le mode de démarrage du service, sélectionnez Désactivé.9. Choisissez OK.10. Empêchez le redémarrage de l'ordinateur jusqu'à ce que vous ayez terminé de modifier le registre

(étape 2).

Étape 2 : Modifier le registre pour désactiver l'accès web

Nous vous recommandons de repousser ces modifications de registre via l'objet de stratégie de groupe.

1. Définissez la valeur de clé de registre suivante sur 1 (activé) :

KeyPath = HKEY_LOCAL_MACHINE\\SOFTWARE\\Amazon\\WorkSpacesConfig\\update-webaccess.ps1

KeyName = RebootCount

KeyType = DWORD

KeyValue = 12. Définissez la valeur de clé de registre suivante sur 4 (désactivé) :

KeyPath = HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\spacedeskHookKmode

KeyName = Début

KeyType = DWORD

KeyValue = 43. Redémarrez la machine.

Le même nom d'utilisateur comporte plusieursWorkSpace, mais l'utilisateur ne peut se connecterqu'à un seul des WorkSpaces.Si vous supprimez un utilisateur dans Active Directory (AD) sans d'abord supprimer son WorkSpace, puisque vous l'ajoutez à Active Directory et créez un nouveau WorkSpace pour cet utilisateur, le même nomd'utilisateur aura désormais deux WorkSpaces dans le même répertoire. Toutefois, si l'utilisateur tente dese connecter à son WorkSpace d'origine, il reçoit l'erreur suivante :

220

https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html

Amazon WorkSpaces Guide d'administrationJ'ai des difficultés à utiliser Docker

avec Amazon WorkSpaces

"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

En outre, les recherches du nom d'utilisateur dans la console Amazon WorkSpaces renvoient uniquementle nouveau WorkSpace, même si les deux WorkSpaces existent toujours. (Vous pouvez trouverl'WorkSpace d'origine en recherchant l'ID d'WorkSpace au lieu du nom d'utilisateur.)

Ce comportement peut également se produire si vous renommez un utilisateur dans Active Directory sanssupprimer au préalable son WorkSpace. Si vous remplacez ensuite son nom d'utilisateur par son nomd'utilisateur d'origine et créez un nouveau WorkSpace pour l'utilisateur, le même nom d'utilisateur auradeux WorkSpaces dans le répertoire.

Ce problème se produit, car Active Directory utilise l'identificateur de sécurité (SID), plutôt que le nomd'utilisateur, pour identifier de manière unique l'utilisateur. Lorsqu'un utilisateur est supprimé et recréédans Active Directory, un nouveau SID lui est attribué, même si son nom d'utilisateur reste le même. Lorsde la recherche d'un nom d'utilisateur, la console Amazon WorkSpaces utilise le SID pour rechercher lescorrespondances dans Active Directory. Les clients Amazon WorkSpaces utilisent également le SID pouridentifier les utilisateurs lorsqu'ils se connectent à WorkSpaces.

Pour résoudre ce problème, effectuez l'une des opérations suivantes :

• Si ce problème s'est produit, car l'utilisateur a été supprimé et recréé dans Active Directory, vous pouvezrestaurer l'objet utilisateur supprimé d'origine si vous avez activé la fonctionnalité Corbeille dans ActiveDirectory. Si vous êtes en mesure de restaurer l'objet utilisateur d'origine, assurez-vous que l'utilisateurpeut se connecter à son WorkSpace d'origine. Si c'est le cas, vous pouvez supprimer le nouveauWorkSpace (p. 140) après avoir sauvegardé et transféré manuellement les données utilisateur dunouveau WorkSpace vers le WorkSpace d'origine (si nécessaire).

• Si vous ne pouvez pas restaurer l'objet utilisateur d'origine, supprimez le WorkSpace (p. 140) d'originede l'utilisateur. L'utilisateur doit pouvoir se connecter et utiliser son nouveau WorkSpace à la place.Veillez à sauvegarder et à transférer manuellement les données utilisateur du WorkSpace d'origine versle nouveau WorkSpace.

Warning

La suppression d'un WorkSpace est une action permanente et ne peut pas être annulée.Les données de l'utilisateur WorkSpace ne sont pas conservées et sont détruites. Pour plusd'informations sur la sauvegarde des données utilisateur, contactez AWS Support.

J'ai des difficultés à utiliser Docker avec AmazonWorkSpacesWindowsWorkSpaces

La virtualisation imbriquée (y compris l'utilisation de Docker) n'est pas prise en charge sur les WorkSpacesWindows. Pour plus d'informations, consultez la documentation Docker .

Linux WorkSpaces

Pour utiliser Docker sur Linux WorkSpaces, assurez-vous que les blocs d'adresse CIDR utilisés parDocker ne chevauchent pas les blocs d'adresse CIDR utilisés dans les deux interfaces réseau Elastic(ENIs) associées à l'WorkSpace. Si vous rencontrez des problèmes avec l'utilisation de Docker sur LinuxWorkSpaces, contactez Docker pour obtenir de l'aide.

221

https://docs.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-

https://docs.microsoft.com/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-

https://docs.docker.com/docker-for-windows/troubleshoot/#running-docker-desktop-in-nested-virtualization-scenarios

Amazon WorkSpaces Guide d'administrationJe reçois des erreurs ThrottlingException

pour certains de mes appels d'API

Je reçois des erreurs ThrottlingException pour certainsde mes appels d'APILe débit autorisé par défaut pour les appels d'API Amazon WorkSpaces est un débit constant de deuxappels d'API par seconde, avec un débit de transmission « en rafales » autorisé maximal de cinq appelsd'API par seconde. Le tableau suivant montre comment la limite de débit de transmission en rafalesfonctionne pour les demandes d'API.

Seconde Nombre dedemandesenvoyées

Nombrenet dedemandesautorisé

Détails

1 0 5 Au cours de la première seconde (seconde 1), cinqdemandes sont autorisées, avec un débit en rafalemaximal de cinq appels par seconde.

2 2 5 Comme deux appels ou moins ont été émis pendant laseconde 1, la capacité totale de transmission en rafales decinq appels est toujours disponible.

3 5 5 Étant donné que seulement deux appels ont été émis dansla seconde 2, la capacité totale de transmission en rafalesde cinq appels est toujours disponible.

4 2 2 Comme, la capacité totale de transmission en rafales a étéutilisée dans la seconde 3, seul le débit constant de deuxappels par seconde est disponible.

5 3 2 Comme il ne reste pas de capacité de transmission enrafales, seuls deux appels sont autorisés pour l'instant.Cela signifie que l'un des trois appels d'API est limité.L'appel limité répondra après un court délai.

6 0 1 Comme l'un des appels de la seconde 5 fait l'objet d'unenouvelle tentative pendant la seconde 6, une capacitéd'un seul appel supplémentaire est disponible pendant laseconde 6 en raison de la limite de débit constant de deuxappels par seconde.

7 0 3 Maintenant que plus aucun appel d'API n'est limité dansla file d'attente, la limite de débit continue d'augmenterjusqu'à la limite de débit de transmission en rafales de cinqappels.

8 0 5 Comme aucun appel n'a été émis au cours de laseconde 7, le nombre maximal de demandes est autorisé.

9 0 5 Même si aucun appel n'a été émis au cours de laseconde 8, la limite de débit n'augmente pas au-delà decinq.

222


Quotas Amazon WorkSpacesVoici les quotas (également appelés limites) pour Amazon WorkSpaces dans votre compte AWS. Pourdemander une augmentation de quota, utilisez le formulaire Limites Amazon WorkSpaces.

WorkSpace et quotas d'image

Note

Vous pouvez demander une augmentation de ces quotas, y compris le quota par défaut de1 instance WorkSpace par région.

• Espaces de travail par région : 1• WorkSpaces graphiques par région : 0 USD• Espaces de travail GraphicsPro par région : 0 USD• Images par région : 40• Alias de connexion par région : 20 (Ce quota ne peut pas être augmenté.)

Quotas du groupe de contrôle d’accès IP

Important

Les quotas du groupe de contrôle d’accès IP ne peuvent pas être augmentés.

• Groupes de contrôle d’accès IP par région : 100• Règles par groupe de contrôle d’accès IP : 10• Groupes de contrôle d’accès IP par annuaire : 25

223

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-workspaces


Historique du documentLe tableau suivant décrit les modifications importantes apportées au service Amazon WorkSpaceset au Amazon WorkSpaces Administration Guide à partir du 1er janvier 2018. Nous mettons aussi ladocumentation à jour régulièrement pour prendre en compte les commentaires qui nous sont envoyés.

Pour recevoir des notifications sur ces mises à jour, vous pouvez vous abonner au flux RSS AmazonWorkSpaces

update-history-change update-history-description update-history-date

WorkSpaces Streaming Protocol(WSP)

est désormais disponible pourles WorkSpaces StreamingProtocol (WSP) avec licenceincluse (Windows Server 2016)et BYOL Windows 10 sur tous lestypes de bundles, à l'exceptionde Graphics et WorkSpaces.GraphicsPro est égalementdisponible pour les WSP Linuxdans le WorkSpaces.RégionAWS GovCloud (USA Ouest)

December 1, 2020

Cartes intelligentes Amazon WorkSpacesprend désormais en chargel'authentification préalablede session (connexion) etl'authentification par carteintelligente en session surWindows et Linux WorkSpacesdans l'Région AWS GovCloud(USA Ouest).

December 1, 2020

Partage d'images personnalisées Vous pouvez désormais partagerdes images WorkSpacespersonnalisées entre plusieurscomptes AWS. Une fois qu'uneimage a été partagée, le comptedestinataire peut copier l'image etl'utiliser pour créer des bundlesafin de lancer de nouvellesWorkSpaces.

October 1, 2020

Redirection entre régions Vous pouvez désormais utiliserla redirection entre régions, unefonction qui fonctionne avecvos stratégies de routage DNS(système de noms de domaine)pour rediriger vos utilisateurs versune autre WorkSpaces lorsqueleurs WorkSpaces principales nesont pas disponibles.

September 10, 2020

224

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-protocols.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/share-custom-image.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/cross-region-redirection.html


Abonnement à Microsoft Office2016 ou 2019 pour BYOLWorkSpaces

Vous pouvez désormais vousabonner à Microsoft OfficeProfessional 2016 ou 2019fourni par AWS sur Bring YourOwn Windows License (BYOL)WorkSpaces.

September 3, 2020

Automatisation BYOL dans Chine(Ningxia)

Vous pouvez utiliserl'automatisation Réutilisez voslicences (BYOL) pour simplifierle processus d'utilisation de voslicences de bureau Windows 10pour votre WorkSpaces dansChine (Ningxia).

April 2, 2020

Vérificateur d'image L'outil de vérification d'imagevous aide à déterminer si votreWorkSpace Windows répondaux exigences pour la créationd'image. L'outil de vérificationd'image effectue une série detests sur l'WorkSpace que voussouhaitez utiliser pour créer votreimage et fournit des conseilssur la façon de résoudre lesproblèmes détectés.

March 30, 2020

Migrer WorkSpaces La fonction de migrationWorkSpaces d'Amazon vouspermet de migrer une WorkSpaced'un bundle à un autre, tout enconservant les données sur levolume utilisateur. Vous pouvezutiliser cette fonction pour migrerWorkSpaces de l'expériencede bureau Windows 7 versl'expérience de bureau Windows10. Vous pouvez égalementutiliser cette fonction pour migrerWorkSpaces d'un bundle publicou personnalisé à un autre.

January 9, 2020

PrivateLink Intégration de pourAmazon WorkSpaces APIs

Au lieu de vous connecter àInternet, vous pouvez vousconnecter directement àdes points de terminaisond’API Amazon WorkSpaces àtravers un point de terminaisond'interface de votre VirtualPrivate Cloud (VPC). Lorsquevous utilisez un point determinaison d'interface VPC, lacommunication entre votre VPCet le point de terminaison d’APIAmazon WorkSpaces est géréeentièrement au sein du réseauAWS.

November 25, 2019

225

https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html





https://docs.aws.amazon.com/workspaces/latest/adminguide/create-custom-bundle.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/migrate-workspaces.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint

https://docs.aws.amazon.com/workspaces/latest/adminguide/infrastructure-security.html#interface-vpc-endpoint


Client Linux pour AmazonWorkSpaces

Les utilisateurs peuventdésormais utiliser le client Linuxpour accéder à leur WorkSpaces.

November 25, 2019

Amazon WorkSpacesLancementd' dans la région Chine (Ningxia)

Amazon WorkSpaces estdisponible dans la région RégionChine (Ningxia).

November 13, 2019

Restaurer WorkSpaces à sondernier état sain connu

Vous pouvez utiliser la fonctionde restauration pour restaurerun WorkSpace à son dernier étatsain connu.

September 18, 2019

Chiffrement de point determinaison FIPS

Pour vous conformerau Federal Risk andAuthorization ManagementProgram (FedRAMP) ou auCloud Computing SecurityRequirements Guide (SRG) duDépartement de la Défense desÉtats-Unis (DoD), vous devezconfigurer Amazon WorkSpacespour utiliser le chiffrement despoints de terminaison FIPS(Federal Information ProcessingStandards) au niveau del'annuaire.

September 12, 2019

Copier des imagesWorkSpace Vous pouvez copier vos imagesdans la même région ou d’unerégion à une autre.

June 27, 2019

Capacités de gestion WorkSpaceen libre-service pour lesutilisateurs

Vous pouvez activer lesfonctionnalités de gestionWorkSpace en libre-servicepour vos utilisateurs afin de leurdonner davantage de contrôle surleur expérience.

November 19, 2018

Automatisation BYOL Vous pouvez utiliserl'automatisation Bring Your OwnLicense (BYOL) pour simplifierle processus d'utilisation de voslicences de bureau Windows7 et Windows 10 pour votreWorkSpaces.

November 16, 2018

Bundles PowerPro etGraphicsPro Les bundles PowerPro etGraphicsPro sont désormaisdisponibles pour AmazonWorkSpaces.

October 18, 2018

Surveiller les connexionsWorkSpace réussies

Vous pouvez utiliser lesévénements d'AmazonCloudWatch Events poursurveiller les connexionsWorkSpace réussies et yrépondre.

September 17, 2018

226

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-linux-client.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces.html


https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/restore-workspace.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/fips-encryption.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/fips-encryption.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/copy-custom-image.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/enable-user-self-service-workspace-management.html




https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-bundles.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/cloudwatch-events.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/cloudwatch-events.html

Amazon WorkSpaces Guide d'administrationMises à jour antérieures

Accès web pour Windows 10WorkSpaces

Les utilisateurs peuventdésormais utiliser le clientWeb Access pour accéderà un WorkSpace exécutantl'expérience de bureau Windows10.

August 24, 2018

Connexion d'URI Vous pouvez utiliser desidentificateurs de ressourceuniformes (URIs) pour fourniraux utilisateurs l'accès à leurWorkSpaces.

July 31, 2018

Amazon Linux WorkSpaces Pour vos utilisateurs, vouspouvez allouer des AmazonLinux WorkSpaces.

June 26, 2018

Groupes de contrôles d'accès IP Vous pouvez contrôler lesadresses IP à partir desquellesles utilisateurs peuvent accéder àleur WorkSpaces.

April 30, 2018

Mises à niveau sur place Vous pouvez mettre à niveauvotre WorkSpaces Windows10 BYOL vers une version plusrécente de Windows 10.

March 9, 2018

Mises à jour antérieuresLe tableau suivant décrit les ajouts importants apportés au service Amazon WorkSpaces et à sadocumentation avant le 1er janvier 2018.

Modification Description Date

Options de calcul flexibles Vous pouvez faire basculer votre WorkSpacesentre les bundles Value, Standard, Performance etPower

22 décembre2017

Stockage configurable Vous pouvez configurer la taille des volumes racineet utilisateur de votre WorkSpaces lorsque vous leslancez et augmenter la taille de ces volumes par lasuite.

22 décembre2017

Contrôler l'accès à l'appareil Vous pouvez spécifier les types d'appareils quiont accès à WorkSpaces. En outre, vous pouvezrestreindre l'accès à WorkSpaces aux appareilsapprouvés (également appelés appareils gérés).

19 juin 2017

Approbations entre forêts Vous pouvez établir une relation d'approbationentre votre annuaire AWS Managed Microsoft ADet votre domaine Microsoft Active Directory sursite, puis mettre en service WorkSpaces pour lesutilisateurs du domaine sur site.

9 février 2017

Offres Windows Server 2016 Amazon WorkSpaces propose des solutionsgroupées qui incluent un environnement

29 novembre 2016

227

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html

https://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-web-access.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/customize-workspaces-user-login.html


https://docs.aws.amazon.com/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html

https://docs.aws.amazon.com/workspaces/latest/adminguide/upgrade-windows-10-byol-workspaces.html

modify-workspaces.html

modify-workspaces.html

update-directory-details.html

launch-workspace-trusted-domain.html

amazon-workspaces-bundles.html


Modification Description Dated'ordinateur de bureau Windows 10, alimentées parWindows Server 2016.

Accès web Vous pouvez accéder à votre WorkSpacesWindows à partir d'un navigateur web à l'aide del'accès web Amazon WorkSpaces.

18 novembre 2016

Par heure WorkSpaces Vous pouvez configurer votre WorkSpaces afin queles utilisateurs soient facturés à l'heure.

18 août 2016

Windows 10 BYOL Vous pouvez réutiliser vos licences de bureauWindows 10 sur Amazon WorkSpaces (BYOL).

21 juillet 2016

Prise en charge du balisage Vous pouvez utiliser des balises pour gérer etsuivre vos WorkSpaces.

17 mai 2016

Enregistrements enregistrés Chaque fois que vous entrez un nouveau coded'enregistrement, le client WorkSpaces le stocke. Ilest ainsi plus facile de basculer entre WorkSpacesdans différents répertoires ou régions.

28 janvier 2016

Windows 7 BYOL,client Chromebook,chiffrementWorkSpace

Vous pouvez apporter votre licence d'ordinateurde bureau Windows 7 sur Amazon WorkSpaces(BYOL), utiliser le client Chromebook et utiliser lechiffrement WorkSpace.

1 octobre 2015

CloudWatch surveillance Ajout d'informations sur la surveillance CloudWatch 28 avril 2015

Reconnexion de sessionautomatique

Ajout d'informations sur la fonction de reconnexionde session automatique dans les applicationsclientes de bureau WorkSpaces.

31 mars 2015

Adresses IP publiques Vous pouvez attribuer automatiquement uneadresse IP publique à votre WorkSpaces.

23 janvier 2015

Amazon WorkSpaces lancé dansAsie-Pacifique (Singapour)

Amazon WorkSpaces est disponible dans la régionAsie-Pacifique (Singapour)

15 janvier 2015

Ajout de l'offre groupée Value,mise à jour de l'offre groupéeStandard, ajout d'Office 2013

L'offre Value est disponible, le matériel del'offre Standard a été mis à niveau et MicrosoftOffice 2013 est disponible dans les packages Plus.

6 novembre 2014

Prise en charge des images etdes offres

Vous pouvez créer une image à partir d'unWorkSpace que vous avez personnalisé et d'unbundle WorkSpace personnalisé à partir de l'image.

28 octobre 2014

PCoIP Prise en charge du clientzéro

Vous pouvez accéder à des périphériques clientsAmazon WorkSpaces PCoIP Zero.

15 octobre 2014

Amazon WorkSpaces lancé dansAsie-Pacifique (Tokyo)

Amazon WorkSpaces est disponible dans la régionAsie-Pacifique (Tokyo)

26 août 2014

Prise en charge d'une imprimantelocale

Vous pouvez activer la prise en charge d'uneimprimante locale pour votre WorkSpaces.

26 août 2014

Multi-factor Authentication Vous pouvez utiliser l'authentification multi-facteursdans des annuaires connectés.

11 août 2014

228

amazon-workspaces.html

running-mode.html

byol-windows-images.html

tag-workspaces.html





amazon-workspaces-monitoring.html















group_policy.html

group_policy.html



Modification Description Date

Prise en charge d'une UO pardéfaut et prise en charge d'undomaine cible

Vous pouvez sélectionner une unité d'organisation(UO) par défaut dans laquelle sont placés voscomptes de machine WorkSpace et un domainedistinct dans lequel vos comptes de machineWorkSpace sont créés.

7 juillet 2014

Ajout de groupes de sécurité Vous pouvez ajouter un groupe de sécurité à votreWorkSpaces.

7 juillet 2014

Amazon WorkSpaces lancé dansAsie-Pacifique (Sydney)

Amazon WorkSpaces est disponible dans la régionAsie-Pacifique (Sydney)

15 mai 2014

Amazon WorkSpaces lancé dansEurope (Irlande)

Amazon WorkSpaces est disponible dans la régionEurope (Irlande)

5 mai 2014

Version bêta publique Amazon WorkSpaces est disponible dans uneversion bêta publique.

25 mars 2014

229




amazon-workspaces-security-groups.html







Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenud'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ccxxx