amazon workspaces - guía de administración workspaces guía de administración antes de empezar...

Amazon WorkSpacesGuía de administración

Amazon WorkSpaces Guía de administración

Amazon WorkSpaces: Guía de administraciónCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of Contents¿Qué es Amazon WorkSpaces? ........................................................................................................... 1

Características ........................................................................................................................... 1Arquitectura ............................................................................................................................... 1Acceso al escritorio WorkSpace .................................................................................................... 2Precios ...................................................................................................................................... 3Cómo empezar .......................................................................................................................... 3

Introducción: Instalación rápida ............................................................................................................. 4Antes de empezar ...................................................................................................................... 4Paso 1: Lanzar el WorkSpace ...................................................................................................... 4Paso 2: Conectarse al WorkSpace ................................................................................................ 6Paso 3: Limpieza (opcional) ......................................................................................................... 8

Redes, acceso y seguridad .................................................................................................................. 9Requisitos de la VPC .................................................................................................................. 9

Paso 1: Asignar una dirección IP elástica ............................................................................. 10Paso 2: Crear una VPC ..................................................................................................... 11Paso 3: Añadir una subred ................................................................................................. 11Paso 4: Comprobar las tablas de ruteo ................................................................................ 11

Requisitos de los puertos ........................................................................................................... 12Puertos de aplicaciones cliente ........................................................................................... 12Puertos para Web Access .................................................................................................. 12Puertos y dominios en la lista blanca ................................................................................... 13Servidores de comprobación de estado y Gateway de PCoIP .................................................. 15Interfaces de red .............................................................................................................. 16

Requisitos de red ...................................................................................................................... 18Controlar el acceso ................................................................................................................... 19

Especificación de recursos de Amazon WorkSpaces en una política de IAM ............................... 21Dispositivos de confianza ........................................................................................................... 23

Paso 1: Crear los certificados ............................................................................................. 23Paso 2: Implementar certificados de cliente en los dispositivos de confianza ............................... 24Paso 3: Configurar la restricción ......................................................................................... 24

Acceso a Internet ...................................................................................................................... 24Asignar direcciones IP manualmente ................................................................................... 25

Grupos de seguridad ................................................................................................................. 25Grupos de control de acceso a direcciones IP ............................................................................... 26

Crear un grupo de control de acceso a direcciones IP ............................................................ 26Asociar un grupo de control de acceso a direcciones IP a un directorio ..................................... 27Copiar un grupo de control de acceso a direcciones IP ........................................................... 27Eliminar un grupo de control de acceso a direcciones IP ......................................................... 27

Cliente cero PCoIP ................................................................................................................... 28Directorios ....................................................................................................................................... 29

Registrar un directorio ............................................................................................................... 29Actualizar los detalles de directorio .............................................................................................. 30

Seleccionar una unidad organizativa .................................................................................... 30Configurar direcciones IP automáticas .................................................................................. 31Controlar el acceso de los dispositivos ................................................................................. 31Administrar los permisos de administrador local ..................................................................... 32Actualizar la cuenta del Conector de AD (AD Connector) ........................................................ 32Autenticación multifactor (Conector de AD) ........................................................................... 32

Eliminar directorio ..................................................................................................................... 33Configurar la Administración del directorio .................................................................................... 33Uso de la política de grupo ........................................................................................................ 35

Instalar la plantilla administrativa de la política de grupo ......................................................... 35Compatibilidad con la impresora local .................................................................................. 36Redireccionamiento del portapapeles ................................................................................... 37

iii


Ajuste del tiempo de espera para reanudar la sesión ............................................................. 37Lanzar un escritorio WorkSpace .......................................................................................................... 39

Lanzar con Microsoft AD ............................................................................................................ 39Antes de empezar ............................................................................................................. 39Paso 1: Crear el directorio de Microsoft AD .......................................................................... 40Paso 2: Crear un espacio de trabajo ................................................................................... 40Paso 3: Conectarse al WorkSpace ...................................................................................... 41Pasos siguientes ............................................................................................................... 41

Lanzar con AD sencillo .............................................................................................................. 41Antes de empezar ............................................................................................................. 42Paso 1: Crear el directorio AD sencillo ................................................................................. 42Paso 2: Crear un espacio de trabajo ................................................................................... 43Paso 3: Conectarse al WorkSpace ...................................................................................... 44Pasos siguientes ............................................................................................................... 44

Lanzar con Conector de AD ....................................................................................................... 44Antes de empezar ............................................................................................................. 45Paso 1: Crear un conector de AD ....................................................................................... 45Paso 2: Crear un espacio de trabajo ................................................................................... 46Paso 3: Conectarse al WorkSpace ...................................................................................... 46Pasos siguientes ............................................................................................................... 47

Lanzamiento usando un dominio de confianza .............................................................................. 47Antes de empezar ............................................................................................................. 47Paso 1: Establecer una relación de confianza ....................................................................... 48Paso 2: Crear un espacio de trabajo ................................................................................... 48Paso 3: Conectarse al WorkSpace ...................................................................................... 48Pasos siguientes ............................................................................................................... 49

Administrar escritorios de WorkSpaces ................................................................................................ 50Administrar usuarios de WorkSpaces ........................................................................................... 50

Edición de la información de usuario ................................................................................... 50Enviar un correo electrónico de invitación ............................................................................. 51

Controlar el modo de ejecución .................................................................................................. 51Modificar el modo de ejecución ........................................................................................... 51Comenzar y detener un WorkSpace de tipo AutoStop ............................................................ 51Establecer el modo de mantenimiento .................................................................................. 52

Modificar un escritorio de WorkSpaces ......................................................................................... 52Etiquetado de un espacio de trabajo ............................................................................................ 53Cifrado de un espacio de trabajo ................................................................................................ 54

Requisitos previos ............................................................................................................. 54Límites ............................................................................................................................ 54Cifrado de espacios de trabajo ........................................................................................... 54Visualización de WorkSpaces cifrados ................................................................................. 55Permisos y roles de IAM para el cifrado ............................................................................... 55

Reinicio de un espacio de trabajo ............................................................................................... 57Reconstrucción de un espacio de trabajo ..................................................................................... 57Eliminar WorkSpaces ................................................................................................................ 57Actualización de Workspaces BYOL de Windows 10 ...................................................................... 58

Limitaciones conocidas ...................................................................................................... 59Solución de problemas ...................................................................................................... 60Actualización del registro de un Workspace con script de PowerShell ........................................ 60

Imágenes y paquetes ........................................................................................................................ 61Creación de un paquete personalizado ........................................................................................ 61Actualizar un paquete personalizado ............................................................................................ 63Eliminar un paquete personalizado .............................................................................................. 64Usar imágenes de escritorio de Windows propias .......................................................................... 64

Requisitos ........................................................................................................................ 64Introducción ..................................................................................................................... 65

Monitorización .................................................................................................................................. 66

iv


Métricas de Amazon WorkSpaces ............................................................................................... 66Dimensiones de métricas de Amazon WorkSpaces ........................................................................ 68Ejemplo de monitorización ......................................................................................................... 68

Solución de problemas ...................................................................................................................... 70A menudo, se producen errores cuando intento iniciar WorkSpaces en mi directorio conectado .............. 70El lanzamiento de WorkSpaces arroja un error interno .................................................................... 70No se puede establecer conexión con un espacio de trabajo a través de un banner de inicio de sesióninteractivo ................................................................................................................................ 71Ninguno de los escritorios de WorkSpaces de mi directorio puede conectarse a Internet ....................... 71Aparece el error "DNS no disponible" cuando intento conectarme a mi directorio on-premise ................. 71Aparece el error "Problemas de conectividad detectados" cuando intento conectarme a mi directorioon-premise ............................................................................................................................... 71Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise ........................ 72Uno de mis espacios de trabajo tiene un estado de mal funcionamiento ............................................ 72El estado de mis aplicaciones no se guardó cuando el espacio de trabajo dejó de funcionar .................. 73

Límites ............................................................................................................................................ 74Historial de revisión ........................................................................................................................... 75

v

Amazon WorkSpaces Guía de administraciónCaracterísticas

¿Qué es Amazon WorkSpaces?Amazon WorkSpaces permite aprovisionar escritorios de Microsoft Windows basados en la nube parasus usuarios, conocidos como escritorios de WorkSpaces. Amazon WorkSpaces elimina la necesidadde adquirir e implementar hardware, así como de instalar software complejo. Puede agregar o eliminarrápidamente a los usuarios en función de las necesidades. Los usuarios tienen acceso a los escritoriosvirtuales desde diversos dispositivos o navegadores web.

Para obtener más información, consulte Amazon WorkSpaces.

Características• Seleccione entre una amplia variedad de configuraciones de hardware y software, y de regiones de

AWS. Para obtener más información, consulte Paquetes de Amazon WorkSpaces.• Conéctese al escritorio de WorkSpace y retómelo desde donde lo dejó. Amazon WorkSpaces

proporciona una experiencia uniforme.• Amazon WorkSpaces ofrece flexibilidad de facturación por mes o por hora de los WorkSpaces. Para

obtener más información, consulte los Precios de Amazon WorkSpaces.• Implemente y administre aplicaciones para los WorkSpaces con Amazon WorkSpaces Application

Manager (Amazon WAM).• Traiga sus licencias y aplicaciones, o adquiéralas en AWS Marketplace for Desktop Apps.• Cree un directorio administrado e independiente para los usuarios o conecte el WorkSpace al directorio

local para que los usuarios puedan usar sus credenciales de acceso sin problemas a los recursoscorporativos.

• Utilice las mismas herramientas para administrar los escritorios de WorkSpaces que emplea paraadministrar los escritorios locales.

• Utilice la autenticación multifactor (MFA) para obtener más seguridad.• Utilice AWS Key Management Service (AWS KMS) para cifrar los datos en reposo, E/S de disco y las

instantáneas de volúmenes.• Controle las direcciones IP desde las que los usuarios pueden acceder a sus escritorios de WorkSpaces.

ArquitecturaCada escritorio de WorkSpaces está asociado a la nube privada virtual (VPC) y a un directorio dondese guarda y gestiona la información de los escritorios y los usuarios de WorkSpaces. Los directorios seadministran a través de AWS Directory Service, que ofrece las siguientes opciones: AD sencillo, Conectorde AD, o bien AWS Directory Service para Microsoft Active Directory (Enterprise Edition), también conocidocomo Microsoft AD. Para obtener más información, consulte la AWS Directory Service AdministrationGuide.

Amazon WorkSpaces utiliza un directorio, ya sea AWS Directory Service o Microsoft AD, para autenticar alos usuarios. Los usuarios tienen acceso a los escritorios de WorkSpaces con una aplicación cliente desdeun dispositivo o un navegador web compatible, e inician sesión con sus credenciales de directorio. Lainformación de inicio de sesión se envía a una gateway de autenticación, que reenvía el tráfico al directoriopara el escritorio de WorkSpaces. Una vez que el usuario está autenticado, se inicia el tráfico de streaminga través de la gateway de transmisión.

1

https://aws.amazon.com/workspaces/

https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles

https://aws.amazon.com/workspaces/pricing/

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/

Amazon WorkSpaces Guía de administraciónAcceso al escritorio WorkSpace

Las aplicaciones cliente utilizan HTTPS a través del puerto 443 para todas las sesiones de autenticación yla información relacionada. Las aplicaciones cliente utilizan el puerto 4172 para la transmisión de píxeles alescritorio de WorkSpaces y para las comprobaciones de estado de la red. Para obtener más información,consulte Puertos de aplicaciones cliente (p. 12).

Cada escritorio de WorkSpaces tiene dos interfaces de red elástica (ENI) asociada: una para laadministración y la transmisión (eth0) y una ENI principal (eth1). La ENI principal tiene una dirección IPproporcionada por la VPC, de las mismas subredes que utiliza el directorio. De este modo se garantiza queel tráfico del WorkSpace alcanza el directorio. El acceso a los recursos de la VPC se controlan mediantelos grupos de seguridad asignados a la ENI principal. Para obtener más información, consulte Interfaces dered (p. 16).

En el siguiente diagrama se muestra la arquitectura de Amazon WorkSpaces.

Acceso al escritorio WorkSpacePuede conectarse a los escritorios de WorkSpaces mediante la aplicación cliente admitida para undispositivo compatible o con un navegador compatible en un sistema operativo compatible.

Hay aplicaciones cliente para las siguientes plataformas y dispositivos:

• Equipos Windows• Equipos Mac• Chromebooks• iPads• Tabletas Android• Tabletas Fire• Dispositivos cliente de Zero

Los siguientes navegadores web son compatibles con Windows, macOS y Linux:

2

Amazon WorkSpaces Guía de administraciónPrecios

• Chrome 53 y versiones posteriores• Firefox 49 y versiones posteriores

Para obtener más información, consulte Amazon WorkSpaces Clients en la Guía del usuario de AmazonWorkSpaces.

PreciosDespués de registrarse en AWS; puede comenzar a utilizar Amazon WorkSpaces de forma gratuitautilizando la oferta de la capa gratuita de Amazon WorkSpaces. Para obtener más información, consultelos Precios de Amazon WorkSpaces.

Con Amazon WorkSpaces, paga únicamente lo que utiliza. Se le factura según el paquete y el númerode escritorios de WorkSpaces que lance. Los precios para Amazon WorkSpaces incluyen el uso de ADsencillo y Conector de AD, pero no el uso de Microsoft AD.

Amazon WorkSpaces proporciona facturación mensual o por horas de los WorkSpaces. Con la facturaciónpor horas, paga una tarifa fija de uso ilimitado, que es la mejor opción para los usuarios que utilizanlos escritorios de WorkSpaces a tiempo completo. Con la facturación por hora, paga una pequeñacuota mensual por cada WorkSpace, además de una tarifa reducida por cada hora que el escritorio deWorkSpaces se ejecuta. Para obtener más información, consulte los Precios de Amazon WorkSpaces.

Cómo empezarPara crear un escritorio de WorkSpaces, pruebe con uno de los siguientes tutoriales:

• Introducción a la instalación rápida de Amazon WorkSpaces (p. 4)• Lanzar un escritorio de WorkSpaces con Microsoft AD (p. 39)• Lanzar un escritorio de WorkSpaces con Simple AD (p. 41)• Lanzar un escritorio de WorkSpaces con AD Connector (p. 44)• Lanzar escritorios de WorkSpaces usando un dominio de confianza (p. 47)

3

http://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html



Amazon WorkSpaces Guía de administraciónAntes de empezar

Introducción a la instalación rápida deAmazon WorkSpaces

En este tutorial, aprenderá a aprovisionar un escritorio virtual de Microsoft Windows en la nube, conocidocomo un escritorio WorkSpace, utilizando Amazon WorkSpaces y AWS Directory Service.

En este tutorial se utiliza la opción de configuración rápida para lanzar el escritorio WorkSpace. Estaopción solo está disponible si nunca ha lanzado un escritorio de WorkSpaces.

Note

La instalación rápida no se admite en la región UE (Fráncfort).

Para otras opciones, consulte Lanzar un escritorio virtual con Amazon WorkSpaces (p. 39).

Tareas• Antes de empezar (p. 4)• Paso 1: Lanzar el WorkSpace (p. 4)• Paso 2: Conectarse al WorkSpace (p. 6)• Paso 3: Limpieza (opcional) (p. 8)

Antes de empezar• Debe disponer de una cuenta de AWS para crear o administrar un WorkSpace. Los usuarios no

necesitan una cuenta de AWS para conectarse y utilizar los WorkSpaces.• Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Para obtener

más información, consulte Paquetes de Amazon WorkSpaces.• Cuando se inicia un escritorio de WorkSpaces, debe especificar la información de perfil del usuario,

incluyendo un nombre y una dirección de correo electrónico. El usuario completa su perfil especificandouna contraseña. La información sobre WorkSpaces y los usuarios se almacena en un directorio.

• Amazon WorkSpaces no está disponible en todas las regiones. Compruebe las regiones que soncompatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de lasregiones compatibles, consulte Precios de Amazon WorkSpaces por región de AWS.

Paso 1: Lanzar el WorkSpaceCon la Configuración rápida, puede lanzar el primer WorkSpace en unos minutos.

Para lanzar un WorkSpace

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. Seleccione Get Started Now.3. En la página Get Started with Amazon WorkSpaces, junto a Quick Setup, elija Launch.

4


https://aws.amazon.com/workspaces/pricing/#Amazon_WorkSpaces_Pricing_by_AWS_Region

https://console.aws.amazon.com/workspaces/

Amazon WorkSpaces Guía de administraciónPaso 1: Lanzar el WorkSpace

4. En Bundles, seleccione un paquete para el usuario.

5. En Enter User Details, complete Username, First Name, Last Name, Email.

6. Elija Launch WorkSpaces.7. En la página de confirmación, elija View the WorkSpaces Console. El estado inicial del WorkSpace es

PENDING. Cuando el lanzamiento ha terminado, el estado es AVAILABLE y se envía una invitación ala dirección de correo electrónico que especificó para el usuario.

Instalación rápida

La instalación rápida realiza las siguientes tareas:

5

Amazon WorkSpaces Guía de administraciónPaso 2: Conectarse al WorkSpace

• Genera un rol de IAM que permite al servicio de Amazon WorkSpaces crear interfaces de red elásticas ymostrar los directorios de Amazon WorkSpaces. El nombre de este rol es workspaces_DefaultRole.

• Crea una nube virtual privada (VPC).• Establece un directorio de AD sencillo en la VPC que se usa para almacenar la información de los

usuarios y de los WorkSpaces. El directorio tiene una cuenta de administrador habilitada para AmazonWorkDocs.

• Crea las cuentas de usuarios especificadas y las añade al directorio.• Crea instancias de WorkSpaces. Cada escritorio de WorkSpaces recibe una dirección IP pública para

ofrecer acceso a Internet. El modo de ejecución es AlwaysOn. Para obtener más información, consulteControlar el modo de ejecución de WorkSpaces (p. 51).

• Envía los e-mails de invitación a los usuarios especificados.

Paso 2: Conectarse al WorkSpaceUna vez recibido el correo electrónico de invitación, puede conectarse al WorkSpace utilizando el clientede su elección. Después de iniciar sesión, el cliente muestra el escritorio de WorkSpaces.

Para conectarse al WorkSpace

1. Si todavía no ha creado las credenciales para el usuario, abra el enlace del correo electrónico deinvitación y siga las indicaciones. Recuerde la contraseña que especifique ya que la necesitará paraconectarse al WorkSpace.

Observe que las contraseñas distinguen entre mayúsculas y minúsculas, así como tener entre 8 y 64caracteres. Las contraseñas deben contener al menos un carácter de una de estas tres categorías:minúsculas (a-z), mayúsculas (A-Z), números (0-9) y el conjunto de ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Cuando se le solicite, descargue una de las aplicaciones cliente o inicie Web Access. Para obtenermás información acerca de los requisitos de cada cliente, consulte Clientes de Amazon WorkSpacesen la Guía del usuario de Amazon WorkSpaces.

6

http://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-clients.html


Si no se le solicita y no ha instalado una aplicación cliente todavía, abra https://clients.amazonworkspaces.com y siga las indicaciones.

3. Inicie el cliente y escriba el código de registro que se incluye en el correo de invitación y elija Register.

4. Cuando se le pida que inicie sesión, escriba el nombre de usuario y la contraseña y elija Sign In.

5. (Opcional) Cuando se le solicite guardar las credenciales, elija Yes.

7

https://clients.amazonworkspaces.com/

https://clients.amazonworkspaces.com/

Amazon WorkSpaces Guía de administraciónPaso 3: Limpieza (opcional)

Paso 3: Limpieza (opcional)Si ha terminado de usar el WorkSpace que ha creado para este tutorial, puede eliminarlo.

Para eliminar el WorkSpace

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione el WorkSpace y elija Actions, Remove WorkSpaces.4. Cuando se le pida confirmación, seleccione Remove WorkSpaces.5. (Opcional) Si no va a utilizar el directorio con otra aplicación, como Amazon WorkDocs, Amazon

WorkMail o Amazon Chime, puede eliminarlo de la siguiente manera:

a. En el panel de navegación, elija Directories (Directorios).b. Seleccione el directorio y elija Actions, Deregister.c. Seleccione el directorio de nuevo y elija Actions, Delete.d. Cuando se le indique que confirme, seleccione Delete.

8


Amazon WorkSpaces Guía de administraciónRequisitos de la VPC

Redes, acceso y seguridad paraAmazon WorkSpaces

Como administrador de WorkSpaces, debe saber lo siguiente sobre redes y seguridad en AmazonWorkSpaces.

Contenido• Configurar una VPC para Amazon WorkSpaces (p. 9)• Requisitos de los puertos para Amazon WorkSpaces (p. 12)• Requisitos de red del cliente de Amazon WorkSpaces (p. 18)• Controlar el acceso a los recursos de Amazon WorkSpaces (p. 19)• Limitar el acceso a WorkSpaces a los dispositivos de confianza (p. 23)• Proporcionar acceso a Internet desde WorkSpaces (p. 24)• Grupos de seguridad para WorkSpaces (p. 25)• Grupos de control de acceso a direcciones IP para los escritorios de WorkSpaces (p. 26)• Configuración del cliente de PCoIP Zero para WorkSpaces (p. 28)

Configurar una VPC para Amazon WorkSpacesAmazon WorkSpaces lanza los WorkSpaces en una nube virtual privada (VPC). Si utiliza AWS DirectoryService para crear Microsoft AD o AD sencillo, le recomendamos que configure la VPC con una subredpública y dos subredes privadas. Configure el directorio para que los escritorios de WorkSpaces se lancenen las subredes privadas.

Tenga en cuenta que puede asociar un bloque de CIDR IPv6 a la VPC y subredes. Sin embargo, siconfigura automáticamente las subredes para que asignen direcciones IPv6 a las instancias lanzadasen la subred, no puede lanzar WorkSpaces usando los paquetes Performance o Graphics. De formapredeterminada, este valor está deshabilitado. Para comprobar esta configuración, abra la consola deAmazon VPC, seleccione la subred y elija Subnet Actions, Modify auto-assign IP settings.

Para proporcionar acceso a Internet a WorkSpaces en una subred privada, configure una gateway NATen la subred pública. Para conocer otros métodos de proporcionar acceso a Internet a los escritorios deWorkSpaces, consulte Proporcionar acceso a Internet desde WorkSpaces (p. 24). Tenga en cuenta queWorkSpaces requiere una conexión a Internet para recibir aplicaciones a través de Amazon WAM.

9

Amazon WorkSpaces Guía de administraciónPaso 1: Asignar una dirección IP elástica

Para configurar la VPC para su uso con Amazon WorkSpaces, complete las siguientes tareas. Paraobtener más información sobre Amazon VPC, consulte Guía del usuario de Amazon VPC.

Tareas• Paso 1: Asignar una dirección IP elástica (p. 10)• Paso 2: Crear una VPC (p. 11)• Paso 3: Añadir una subred (p. 11)• Paso 4: Comprobar las tablas de ruteo (p. 11)

Paso 1: Asignar una dirección IP elásticaAsigne una dirección IP elástica a la gateway NAT como sigue. Si utiliza un método alternativo paraproporcionar acceso a Internet, puede omitir este paso.

Para asignar una dirección IP elástica

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de navegación, elija Elastic IPs.3. Elija Allocate new address.4. En la página Allocate new address elija Allocate.

10

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/

https://console.aws.amazon.com/vpc/

Amazon WorkSpaces Guía de administraciónPaso 2: Crear una VPC

Paso 2: Crear una VPCCree una VPC con una subred pública y dos subredes privadas como se indica a continuación.

Para configurar una VPC

1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.2. En el panel de VPC, elija Start VPC Wizard.3. Elija VPC with Public and Private Subnets y, a continuación, Select.4. Configure la VPC del modo siguiente:

a. Para IPv4 CIDR block, escriba el CIDR block de la VPC.b. En VPC name, escriba un nombre de la VPC.

5. Configure la subred pública de la siguiente manera:

a. Para IPv4 CIDR block, escriba el CIDR block para la subred.b. En Availability Zone, mantenga No Preference.c. En Public subnet name, escriba un nombre para la subred.

6. Configure la primera subred privada de la siguiente manera:

a. En Private subnet's IPv4 CIDR, escriba el CIDR block para la subred.b. En Availability Zone, seleccione la primera de la lista (por ejemplo, us-west-2a).c. En Private subnet name, escriba un nombre para la subred.

7. En Elastic IP Allocation ID, elija la dirección IP elástica que ha creado. Si utiliza un método alternativopara proporcionar acceso a Internet, puede omitir este paso.

8. Elija Create VPC. Tenga en cuenta que se necesitan varios minutos para configurar la VPC. Una vezcreada la VPC, elija Aceptar.

Paso 3: Añadir una subredEl asistente de VPC ha creado una VPC con una subred pública y de una subred privada. Utilice elsiguiente procedimiento para añadir una segunda subred privada.

Para agregar una subred

1. En el panel de navegación, elija Subnets.2. Elija Create Subnet.3. En Name tag, escriba un nombre para la subred.4. En VPC, seleccione la VPC que ha creado.5. En Availability Zone, seleccione la segunda de la lista (por ejemplo, us-west-2b).6. Para IPv4 CIDR block, escriba el CIDR block para la subred.7. Elija Yes, Create.

Paso 4: Comprobar las tablas de ruteoPuede verificar las tablas de ruteo que el asistente de VPC ha creado.

Para comprobar las tablas de ruteo

1. En el panel de navegación, elija Subnets.

11

https://console.aws.amazon.com/vpc/

Amazon WorkSpaces Guía de administraciónRequisitos de los puertos

2. Seleccione la subred pública.3. En la pestaña Route Table, elija el ID de la tabla de ruteo (por ejemplo, rtb-12345678).4. Seleccione la tabla de ruteo. Escriba un nombre (por ejemplo, workspaces-public) y elija el icono para

guardar. En la pestaña Routes, compruebe que hay una ruta para el tráfico local y otra que envía elresto del tráfico hacia la gateway de Internet de la VPC.

5. Borre el filtro de búsqueda y seleccione el resto de la tabla de ruteo de la VPC, que figura como latabla de ruteo principal para la VPC. Escriba un nombre (por ejemplo, workspaces-private) y elija elicono para guardar. En la pestaña Routes, compruebe que hay una ruta para el tráfico local y otra queenvía el resto del tráfico hacia la gateway NAT.

Requisitos de los puertos para AmazonWorkSpaces

Para conectarse a los espacios de trabajo, la red a la que están conectados los clientes de AmazonWorkSpaces debe tener determinados puertos abiertos para los intervalos de direcciones IP de losdiferentes servicios de AWS (agrupados en subredes). Estos intervalos de direcciones varían en funciónde la región de AWS. Estos puertos también deben estar abiertos en los firewalls que se ejecuten enel cliente. Para obtener más información sobre los intervalos de direcciones IP de AWS en diferentesregiones, consulte el tema Intervalos de direcciones IP de AWS de la Referencia general de Amazon WebServices.

Puertos de aplicaciones clienteLa aplicación cliente de Amazon WorkSpaces debe tener acceso de salida en los siguientes puertos

Puerto 443 (TCP)

Este puerto se utiliza para las actualizaciones, el registro y la autenticación de las aplicaciones cliente.Las aplicaciones cliente de escritorio pueden usar un servidor proxy para el tráfico del puerto 443(HTTPS). Para habilitar el uso de un servidor proxy, abra la aplicación cliente, elija Advanced Settings,seleccione Use Proxy Server, especifique la dirección y el puerto del servidor proxy, y elija Save.

Este puerto debe estar abierto para los siguientes intervalos de direcciones IP:• El subconjunto AMAZON de la región GLOBAL.• El subconjunto AMAZON de la región en la que se encuentra el espacio de trabajo.• El subconjunto AMAZON de la región us-east-1.• El subconjunto AMAZON de la región us-west-2.• El subconjunto S3 de la región us-west-2.

Puerto 4172 (UDP y TCP)

Este puerto se utiliza para las transmisiones del escritorio WorkSpace y las comprobaciones deestado Debe estar abierto para todos los intervalos de direcciones IP PCoIP Gateway y los servidoresde comprobación de estado en la región en la que se encuentre el WorkSpace. Para obtener másinformación, consulte Servidores de comprobación de estado y Gateway de PCoIP (p. 15).

Puertos para Web AccessAmazon WorkSpaces Web Access debe tener acceso de entrada y salida en los siguientes puertos:

12

http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

Amazon WorkSpaces Guía de administraciónPuertos y dominios en la lista blanca

Puerto 53 (UDP)

Este puerto se utiliza para acceder a los servidores DNS. Debe estar abierto para las direcciones IPdel servidor DNS, de modo que el cliente pueda resolver los nombres de dominio público. Si no seutilizan servidores DNS para resolver nombres de dominio, este puerto es opcional.


Este puerto se utiliza para las conexiones iniciales a http://clients.amazonworkspaces.comy, a continuación, cambia a HTTPS. Debe estar abierto para todos los intervalos de direcciones IP delsubconjunto EC2 de la región en la que se encuentre el espacio de trabajo.


Este puerto se utiliza para el registro y la autenticación a través de HTTPS. Debe estar abierto paratodos los intervalos de direcciones IP del subconjunto EC2 de la región en la que se encuentre elespacio de trabajo.

Normalmente, el navegador web selecciona de forma aleatoria un puerto de origen en el intervalo superiorpara usarlo con el tráfico de streaming. Amazon WorkSpaces Web Access no tiene control sobre el puertoque el navegador selecciona, por lo que debe asegurarse de que el tráfico de retorno a este puerto estápermitido.

Amazon WorkSpaces Web Access prefiere UDP frente a TCP para las transmisiones de escritorio, peroutiliza TCP si UDP no está disponible, tal y como se indica a continuación:

• Amazon WorkSpaces Web Access funcionará en Chrome incluso si todos los puertos UDP (salvo el 53,el 80 y el 443) están bloqueados a través de conexiones TCP.

• Amazon WorkSpaces Web Access no funcionará en Firefox si todos los puertos UDP están bloqueadossalvo el 53, el 80 y el 443. En este caso, será necesario abrir otros puertos UDP para poder realizar latransmisión.

Puertos y dominios en la lista blancaPara que la aplicación cliente de Amazon WorkSpaces pueda obtener acceso al servicio AmazonWorkSpaces, los siguientes dominios y puertos deben estar en la lista blanca de la red desde la que elcliente está tratando de obtener acceso al servicio.

Puertos y dominios en la lista blanca

Categoría En la lista blanca

Agente de sesiones (PCM) Dominios:

• https://skylight-cm.us-east-1.amazonaws.com• https://skylight-cm.us-west-2.amazonaws.com• https://skylight-cm.ca-central-1.amazonaws.com• https://skylight-cm.eu-west-1.amazonaws.com• https://skylight-cm.eu-central-1.amazonaws.com• https://skylight-cm.eu-west-2.amazonaws.com• https://skylight-cm.ap-

southeast-1.amazonaws.com• https://skylight-cm.ap-

southeast-2.amazonaws.com• https://skylight-cm.ap-

northeast-2.amazonaws.com

13

Amazon WorkSpaces Guía de administraciónPuertos y dominios en la lista blanca

Categoría En la lista blanca• https://skylight-cm.ap-

northeast-1.amazonaws.com• https://skylight-cm.sa-east-1.amazonaws.com

Gateway de sesión PCoIP (PSG) Servidores de comprobación de estado y Gatewayde PCoIP (p. 15)

Comprobación del estado de PCoIP (DRP) TCP:4172 y UDP:4172 en estos dominios:

• drp-iad.amazonworkspaces.com• drp-pdx.amazonworkspaces.com• drp-yul.amazonworkspaces.com• drp-dub.amazonworkspaces.com• drp-fra.amazonworkspaces.com• drp-lhr.amazonworkspaces.com• drp-sin.amazonworkspaces.com• drp-syd.amazonworkspaces.com• drp-icn.amazonworkspaces.com• drp-nrt.amazonworkspaces.com• drp-gru.amazonworkspaces.com

Métricas de dispositivo https://device-metrics-us-2.amazon.com/

Servicio de registro de Forrester https://fls-na.amazon.com/

Configuración de directorios Configuración de directorios de clientes:

• https://d21ui22avrxoh6.cloudfront.net/prod/<región>/<nombre del directorio>

Gráficos de la página de inicio de sesión de lamarca compartida en el nivel del directorio delcliente:

• https://d1cbg795sa4g1u.cloudfront.net/prod/<región>/<nombre del directorio>

Archivo CSS para el estilo de las páginas de iniciode sesión:

• https://d3s98kk2h6f4oh.cloudfront.net/

Archivo de JavaScript para las páginas de inicio desesión:

• https://d1whcm49570jjw.cloudfront.net/

CAPTCHA https://opfcaptcha-prod.s3.amazonaws.com/

Actualización automática del cliente https://d2td7dqidlhjx7.cloudfront.net/

Dependencia de registro https://s3.amazonaws.com

14

Amazon WorkSpaces Guía de administraciónServidores de comprobación de estado y Gateway de PCoIP

Categoría En la lista blanca

Comprobación de la conectividad https://connectivity.amazonworkspaces.com/

Páginas de inicio de sesión del usuario https://<id. del directorio>.awsapps.com/ (donde<id. del directorio> es el dominio del cliente)

Cliente web Reglas del grupo de seguridad de salida:

• TCP:8443• TCP:9997• UDP:4172• UDP:3478

Reglas del grupo de seguridad de entrada:

• TCP:4489

Servidores TURN de Web Access Servidores:

• turn:*.us-east-1.rdn.amazonaws.com• turn:*.us-west-2.rdn.amazonaws.com• turn:*.ca-central-1.rdn.amazonaws.com• turn:*.eu-west-1.rdn.amazonaws.com• turn:*.eu-central-1.rdn.amazonaws.com• turn:*.eu-west-2.rdn.amazonaws.com• turn:*.ap-southeast-1.rdn.amazonaws.com• turn:*.ap-southeast-2.rdn.amazonaws.com• turn:*.ap-northeast-2.rdn.amazonaws.com• turn:*.ap-northeast-1.rdn.amazonaws.com• turn:*.sa-east-1.rdn.amazonaws.com

Servidores de comprobación de estado y Gateway dePCoIPAmazon WorkSpaces utiliza PCoIP para transmitir la sesión de escritorio a los clientes a través del puerto4172. Amazon WorkSpaces utiliza un pequeño rango de direcciones IP públicas de Amazon EC2 parasus servidores de gateway de PCoIP. Esto permite establecer políticas de firewall más detalladas para losdispositivos que obtienen acceso a Amazon WorkSpaces.

Región Rango de direcciones IP públicas

US East (N. Virginia) 52.23.61.0 – 52.23.62.255

EE.UU. Oeste (Oregón) 54.244.46.0 – 54.244.47.255

Canadá (Central) 35.183.255.0 - 35.183.255.255

UE (Irlanda) 52.19.124.0 – 52.19.125.255

UE (Fráncfort) 52.59.127.0 - 52.59.127.255

15

Amazon WorkSpaces Guía de administraciónInterfaces de red

Región Rango de direcciones IP públicas

UE (Londres) 35.176.32.0 - 35.176.32.255

Asia Pacífico (Singapur) 52.76.127.0 – 52.76.127.255

Asia Pacífico (Sídney) 54.153.254.0 – 54.153.254.255

Asia Pacífico (Seúl) 13.124.247.0 - 13.124.247.255

Asia Pacífico (Tokio) 54.250.251.0 – 54.250.251.255

América del Sur (São Paulo) 54.233.204.0 - 54.233.204.255

La aplicación cliente de Amazon WorkSpaces realiza una comprobación de estado de PCoIP a travésdel puerto 4172. Esto valida si el tráfico TCP o UDP se transmite desde los servidores de AmazonWorkSpaces a la aplicación cliente. Para hacerlo correctamente, en las políticas de firewall se deben teneren cuenta los siguientes servidores de comprobación de estado de PCoIP regional.

Región Servidor de comprobación de estado

US East (N. Virginia) drp-iad.amazonworkspaces.com

EE.UU. Oeste (Oregón) drp-pdx.amazonworkspaces.com

Canadá (Central) drp-yul.amazonworkspaces.com

UE (Irlanda) drp-dub.amazonworkspaces.com

UE (Fráncfort) drp-fra.amazonworkspaces.com

UE (Londres) drp-lhr.amazonworkspaces.com

Asia Pacífico (Singapur) drp-sin.amazonworkspaces.com

Asia Pacífico (Sídney) drp-syd.amazonworkspaces.com

Asia Pacífico (Seúl) drp-icn.amazonworkspaces.com

Asia Pacífico (Tokio) drp-nrt.amazonworkspaces.com

América del Sur (São Paulo) drp-gru.amazonworkspaces.com

Interfaces de redCada WorkSpace tiene las interfaces de red siguientes:

• La interfaz de red principal proporciona conectividad a los recursos dentro de la VPC, además de enInternet, y se utiliza para conectarse al directorio del WorkSpace.

• La interfaz de red de administración está conectada a una red de administración segura de AmazonWorkSpaces. Se utiliza para la transmisión interactiva del escritorio de WorkSpaces a los clientes deAmazon WorkSpaces y permitir a Amazon WorkSpaces administrar el WorkSpace.

Amazon WorkSpaces selecciona la dirección IP de la interfaz de red de administración desde variosrangos de direcciones, en función de la región en la que se crean los WorkSpaces. Cuando se registraun directorio, Amazon WorkSpaces prueba el CIDR VPC y las tablas de ruteo en la VPC para determinar

16

Amazon WorkSpaces Guía de administraciónInterfaces de red

si estos rangos de direcciones generan conflicto. Si se encuentra un conflicto en todos los rangos dedirecciones disponibles en la región, se muestra un mensaje de error y el directorio no se registra. Sicambia las tablas de ruteo en la VPC después de registrar el directorio, puede provocar un conflicto.

No modifique ni elimine ninguna de las interfaces de red conectadas a un espacio de trabajo. Si lo hace,podría provocar que el WorkSpace fuera inaccesible.

Rangos IP de la interfaz de administraciónEn la siguiente tabla se muestran los rangos de direcciones IP para la interfaz de red de administración.

Región Rangos de direcciones IP

US East (N. Virginia) 172.31.0.0/16, 192.168.0.0/16 y 198.19.0.0/16

EE.UU. Oeste (Oregón) 172.31.0.0/16 y 192.168.0.0/16

Canadá (Central) 198.19.0.0/16

UE (Irlanda) 172.31.0.0/16 y 192.168.0.0/16

UE (Fráncfort) 198.19.0.0/16

UE (Londres) 198.19.0.0/16

Asia Pacífico (Singapur) 198.19.0.0/16

Asia Pacífico (Sídney) 172.31.0.0/16 y 192.168.0.0/16

Asia Pacífico (Seúl) 198.19.0.0/16

Asia Pacífico (Tokio) 198.19.0.0/16

América del Sur (São Paulo) 198.19.0.0/16

Puertos de la interfaz de administraciónAl crear un Workspace, Amazon WorkSpaces abre los siguientes puertos para asegurarse de que sepuede tener acceso al él y de que funciona correctamente. No instale en el Workspace software de firewallque bloquee estos puertos.

• TCP de entrada en el puerto 4172. Se utiliza para establecer la conexión de streaming.• UDP de entrada en el puerto 4172. Se utiliza para realizar streaming de la entrada del usuario.• TCP de entrada en el puerto 8200. Se utiliza para la administración y la configuración del espacio de

trabajo.• UDP de salida en el puerto 55002. Se utiliza para streaming de PCoIP. Si el firewall utiliza filtrado con

estado, se abre automáticamente el puerto efímero 55002 para permitir la comunicación de retorno.Si el firewall utiliza filtrado sin estado, debe abrir los puertos efímeros 49152 - 65535 para permitir lacomunicación de retorno.

Puertos de interfaces principalesCon independencia del tipo de directorio que tenga, los siguientes puertos deben estar abiertos en lainterfaz de red principal de todos los espacios de trabajo:

17

Amazon WorkSpaces Guía de administraciónRequisitos de red

• Para conectarse a Internet, los siguientes puertos deben estar abiertos en dirección de salida a todos losdestinos y en dirección de entrada desde la VPC de WorkSpaces. Debe añadirlos manualmente al grupode seguridad de los espacios de trabajo si desea que tengan acceso a Internet.• TCP 80 (HTTP)• TCP 443 (HTTPS)

• Para comunicarse con los controladores del directorio, los siguientes puertos deben estar abiertos entrela VPC de WorkSpaces y los controladores de directorio. Para el directorio de Simple AD, estos puertosestarán configurados correctamente en el grupo de seguridad creado por AWS Directory Service. Para eldirectorio de AD Connector, puede que tenga que ajustar el grupo de seguridad predeterminado para laVPC para abrir estos puertos.• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos authentication• UDP 123 - NTP• TCP 135 - RPC• UDP 137-138 - Netlogon• TCP 139 - Netlogon• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB• TCP 1024-65535 - Dynamic ports for RPC

Si hay instalado un software de seguridad o un firewall en un espacio de trabajo que bloquea alguno deestos puertos, es posible que el espacio de trabajo no funcione correctamente o sea inaccesible.

• Todos los espacios de trabajo requieren que el puerto 80 (HTTP) esté abierto para la dirección IP169.254.169.254 para permitir el acceso al servicio de metadatos de EC2. Cualquier proxy HTTPasignado a los espacios de trabajo debe excluir 169.254.169.254.

Requisitos de red del cliente de AmazonWorkSpaces

Los usuarios de Amazon WorkSpaces obtienen acceso a los WorkSpaces mediante la aplicación cliente deun dispositivo o navegador web compatible. Para proporcionar a los usuarios una buena experiencia conlos escritorios de WorkSpaces, compruebe que sus dispositivos cliente cumplen los siguientes requisitosde red:

• El dispositivo cliente debe tener una conexión a Internet de banda ancha.• La red a la que está conectado el dispositivo cliente, y cualquier firewall que esté en el propio dispositivo

cliente, deben tener abiertos determinados puertos en los rangos de direcciones IP de diversosservicios de AWS. Para obtener más información, consulte Requisitos de los puertos para AmazonWorkSpaces (p. 12).

• El tiempo de ida y vuelta (RTT) de la red del cliente a la región en la que están los WorkSpaces debe serinferior a 100ms. Si el RTT está entre 100ms y 250ms, el usuario puede obtener acceso al escritorio deWorkSpaces, pero el desempeño se reduce.

• Si los usuarios van a obtener acceso a un WorkSpace a través de una red privada virtual (VPN), laconexión debe permitir una unidad de transmisión máxima (MTU) de 1.200 bytes como mínimo.

• Los clientes requieren acceso HTTPS a los recursos de Amazon WorkSpaces que aloja el servicioy Amazon Simple Storage Service (Amazon S3). El cliente no admite el redireccionamiento proxyen el nivel de aplicaciones. Se requiere acceso HTTPS para que los usuarios puedan completarcorrectamente el registro y obtener acceso a los WorkSpaces.

• Para permitir el acceso desde dispositivos de cliente PCoIP zero, debe lanzar y configurar una instanciaEC2 con PCoIP Connection Manager para Amazon WorkSpaces. Para obtener más información,

18

Amazon WorkSpaces Guía de administraciónControlar el acceso

consulte Deploying the PCoIP Connection Manager for Amazon WorkSpaces en la PCoIP ConnectionManager User Guide.

Puede verificar si un dispositivo cliente satisface los requisitos de red como sigue.

Para verificar los requisitos de red del cliente

1. Abra el cliente de Amazon WorkSpaces. Si es la primera vez que abra el cliente, se le pedirá queescriba el código de registro que recibió en el email de invitación.

2. Elija Network en la esquina inferior derecha de la aplicación cliente. La aplicación cliente prueba laconexión de red, los puertos y el tiempo de ida y vuelta y notifica los resultados de estas pruebas.

3. Elija Dismiss para volver a la página de inicio de sesión.

Controlar el acceso a los recursos de AmazonWorkSpaces

De forma predeterminada, los usuarios de IAM no tienen permisos para los recursos y las operaciones deAmazon WorkSpaces. Para permitir a los usuarios administrar recursos de Amazon WorkSpaces, debecrear una política de IAM que les conceda explícitamente los permisos y conectar la política a los usuarioso grupos de IAM que necesitan esos permisos. Para obtener más información sobre las políticas de IAM,consulte la sección sobre permisos y políticas en la guía Guía del usuario de IAM.

Amazon WorkSpaces también crea un rol de IAM para permitir que el servicio Amazon WorkSpacesacceda a los recursos necesarios.

Para obtener más información sobre IAM, consulte la sección Identity and Access Management (IAM) y laGuía del usuario de IAM.

Example 1: Realizar todas las tareas de Amazon WorkSpaces

La siguiente instrucción de política concede un permiso de usuario de IAM para realizar todas las tareasde Amazon WorkSpaces, incluida la creación y administración de directorios, así como la ejecución delprocedimiento de configuración rápida.

Tenga en cuenta que aunque Amazon WorkSpaces es totalmente compatible con los elementos Actiony Resource, al utilizar la API y las herramientas de línea de comandos, deberá establecerlos en "*" parautilizar la consola de Amazon WorkSpaces correctamente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "iam:PassRole", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "kms:ListAliases", "kms:ListKeys", "ec2:CreateVpc", "ec2:CreateSubnet", "ec2:CreateNetworkInterface",

19

http://www.teradici.com/web-help/Connecting_ZC_AWS_HTML5/TER1408002_Connecting_ZC_AWS.htm


http://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html

http://aws.amazon.com/iam

http://docs.aws.amazon.com/IAM/latest/UserGuide/

Amazon WorkSpaces Guía de administraciónControlar el acceso

"ec2:CreateInternetGateway", "ec2:CreateRouteTable", "ec2:CreateRoute", "ec2:CreateTags", "ec2:CreateSecurityGroup", "ec2:DescribeInternetGateways", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:AttachInternetGateway", "ec2:AssociateRouteTable", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DeleteSecurityGroup", "ec2:DeleteNetworkInterface", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "workdocs:RegisterDirectory", "workdocs:DeregisterDirectory", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup" ], "Resource": "*" } ]}

Example 2: Realizar tareas específicas del espacio de trabajo

Las siguientes instrucciones de políticas conceden un permiso de usuario de IAM para realizar únicamentetareas específicas de WorkSpaces, como lanzar y eliminar WorkSpaces. El usuario puede realizar algunastareas en el directorio de WorkSpaces, como la activación o la desactivación de la configuración para elacceso a Internet, el acceso de administrador local y el modo de mantenimiento.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*" ], "Resource": "*" } ]}

Para conceder también al usuario la capacidad de permitir que los usuarios utilicen Amazon WorkDocs enAmazon WorkSpaces, añada las operaciones de workdocs que se muestran aquí:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup",

20

Amazon WorkSpaces Guía de administraciónEspecificación de recursos de Amazon

WorkSpaces en una política de IAM

"workdocs:RemoveUserFromGroup" ], "Resource": "*" } ]}

Para conceder también al usuario la capacidad de utilizar el Asistente de inicio de WorkSpaces, añada lasoperaciones kms que se muestran aquí:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*", "workdocs:AddUserToGroup", "workdocs:RemoveUserFromGroup", "kms:ListAliases", "kms:ListKeys" ], "Resource": "*" } ]}

Para conceder a los usuarios la posibilidad de realizar tareas específicas en WorkSpaces excepto las decertificados, agregue una declaración que deniegue las operaciones de certificados:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:*", "ds:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "workspaces:DeleteCertificate", "workspaces:ImportCertificate", "workspaces:DescribeCertificates" ], "Resource": "*" } ]}

Especificación de recursos de Amazon WorkSpacesen una política de IAMPara especificar un recurso de Amazon WorkSpaces en el elemento Resource de la instrucción de lapolítica, tendrá que utilizar el nombre de recurso de Amazon (ARN) del recurso. Puede controlar el acceso

21

Amazon WorkSpaces Guía de administraciónEspecificación de recursos de Amazon

WorkSpaces en una política de IAM

a los recursos de Amazon WorkSpaces permitiendo o denegando permisos para utilizar las acciones dela API especificadas en el elemento Action de la política de IAM. Amazon WorkSpaces define ARN paraespacios de trabajo y paquetes.

ARN de espacio de trabajoUn ARN de espacio de trabajo tiene la siguiente sintaxis:

arn:aws:workspaces:region:account_id:workspace/workspace_identifier

region

La región en la que se encuentra el WorkSpace (por ejemplo, us-east-2).id_cuenta

El ID de la cuenta de AWS, sin guiones (por ejemplo, 123456789012).identificador_espacio_trabajo

El ID del WorkSpace (por ejemplo, ws-0123456789).

Este es el formato del elemento Resource de una instrucción de política que identifica un espacio detrabajo específico:

"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"

Puede utilizar el comodín * para especificar todos los espacios de trabajo que pertenecen a una cuentaespecífica en una región específica.

ARN de paqueteUn ARN de paquete tiene la siguiente sintaxis:

arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier

region

La región en la que se encuentra el WorkSpace (por ejemplo, us-east-2).id_cuenta

El ID de la cuenta de AWS, sin guiones (por ejemplo, 123456789012).identificador_paquete

El ID del paquete de WorkSpace (por ejemplo, wsb-0123456789).

Este es el formato del elemento Resource de una instrucción de política que identifica un paqueteespecífico:

"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"

Puede utilizar el comodín * para especificar todos los paquetes que pertenecen a una cuenta específica enuna región específica.

22

Amazon WorkSpaces Guía de administraciónDispositivos de confianza

Acciones de API que no admiten los permisos a nivel de recursosNo puede especificar el ARN de un recurso con las siguientes acciones de API:

• CreateTags

• DeleteTags

• DescribeTags

• DescribeWorkspaceDirectories

• DescribeWorkspaces

• DescribeWorkspacesConnectionStatus

Para las acciones del API que no admiten los permisos a nivel de recursos, debe especificar la siguienteinstrucción de recursos:

"Resource": "*"

Limitar el acceso a WorkSpaces a los dispositivosde confianza

De forma predeterminada, los usuarios pueden obtener acceso a WorkSpaces desde cualquier dispositivocompatible conectado a Internet. Si en su organización se limita el acceso a datos corporativos a losdispositivos de confianza (también conocidos como dispositivos administrados), puede restringir el accesoa WorkSpaces a los dispositivos de confianza con certificados válidos.

Al habilitar esta característica, Amazon WorkSpaces utiliza la autenticación basada en certificados paradeterminar si un dispositivo es de confianza. Si la aplicación cliente de WorkSpaces no puede verificar siun dispositivo es de confianza, bloquea los intentos de iniciar sesión o de reconectar desde el dispositivo.

Para cada directorio, puede importar hasta dos certificados raíz. Si importa dos certificados raíz, AmazonWorkSpaces presenta ambos al cliente y este busca el primer certificado coincidente válido que seencadena hasta uno de los certificados raíz.

Important

Esta característica es compatible con equipos Windows y Mac.

Paso 1: Crear los certificadosEsta característica requiere dos tipos de certificados: certificados raíz generados por una entidad decertificación (CA) interna y certificados de cliente que se encadenan hasta un certificado raíz.

Requisitos

• Los certificados deben ser archivos de certificado codificados en Base64, con formato CRT, CERT oPEM.

• Los certificados deben incluir un Nombre común.• La longitud máxima que se admite para una cadena de certificados es 4.• Actualmente Amazon WorkSpaces no admite los mecanismos de revocación de dispositivos, por

ejemplo, listas de revocación de certificados (CRL) u Online Certificate Status Protocol (OCSP), para loscertificados de cliente.

23

Amazon WorkSpaces Guía de administraciónPaso 2: Implementar certificados de

cliente en los dispositivos de confianza

• Utilice un algoritmo de cifrado sólido. Recomendamos SHA256 con RSA, SHA256 con ECDSA, SHA381con ECDSA o SHA512 con ECDSA.

• Con sistemas operativos Mac, si el dispositivo está en el llavero del sistema, recomendamos queautorice a la aplicación cliente de WorkSpaces el acceso a los certificados. De lo contrario, los usuariostendrán que escribir las credenciales de llavero cuando inician sesión o vuelven a conectarse.

Paso 2: Implementar certificados de cliente en losdispositivos de confianzaDebe instalar los certificados de cliente en los dispositivos de confianza para sus usuarios. Puede utilizarla solución que prefiera para instalar los certificados en la flota de dispositivos cliente, por ejemplo, SystemCenter Configuration Manager (SCCM) o Mobile Device Management (MDM). Tenga en cuenta que SCCMy MDM pueden; opcionalmente, realizar una evaluación para determinar si los dispositivos cumplen laspolíticas de su organización para el acceso a WorkSpaces.

En Windows, la aplicación cliente WorkSpaces busca los certificados del cliente tanto en los almacenes decertificados de usuario como raíz. En macOS, la aplicación cliente de WorkSpaces busca certificados decliente en toda la cadena de claves.

Paso 3: Configurar la restricciónUna vez que ha implementado los certificados de cliente en los dispositivos de confianza, puede permitir elacceso restringido en el nivel de directorio. Esto requiere que la aplicación cliente de WorkSpaces valide elcertificado en un dispositivo para permitir que un usuario inicie sesión en WorkSpaces.

Para configurar la restricción

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Amplíe Access Control Options.5. [Windows] Elija Only Permitir Trusted Windows Dispositivos Access WorkSpaces.6. [macOS] Elija Only Permitir Trusted macOS Dispositivos Access WorkSpaces.7. Importe hasta dos certificados raíz. Con cada certificado raíz, haga lo siguiente:

a. Elija Import.b. Copie el cuerpo del certificado en el formulario.c. Elija Import.

8. Elija Update and Exit.

Proporcionar acceso a Internet desde WorkSpacesLe recomendamos que inicie los escritorios de WorkSpaces en subredes privadas de la nube privadavirtual (VPC) y que use una de las siguientes opciones para que los escritorios de WorkSpaces tenganacceso a Internet:

Opciones

• Configure una gateway NAT en la VPC. Para obtener más información, consulte Configurar una VPCpara Amazon WorkSpaces (p. 9).

24


Amazon WorkSpaces Guía de administraciónAsignar direcciones IP manualmente

• Configure la asignación automática de direcciones IP públicas. Para obtener más información, consulteConfigurar direcciones IP automáticas (p. 31).

• Asigne manualmente las direcciones IP públicas a los escritorios de WorkSpaces. Para obtener másinformación, consulte Asignar direcciones IP manualmente (p. 25).

Con cualquiera de estas opciones, debe asegurarse de que el grupo de seguridad para los escritorios deWorkSpaces permite el tráfico saliente en los puertos 80 (HTTP) y 443 (HTTPS) para todos los destinos(0.0.0.0/0).

Amazon WAM

Si utiliza Amazon WorkSpaces Application Manager (Amazon WAM) para implementar aplicaciones enWorkSpaces, estos deben tener acceso a Internet.

Asignar direcciones IP manualmentePara asignar manualmente una dirección IP elástica a un WorkSpace.

Requisitos previos

• La VPC debe tener una gateway de Internet asociada. Para obtener más información, consulte Attachingan Internet Gateway en la Guía del usuario de Amazon VPC.

• La tabla de ruteo para las subredes de WorkSpaces deben tener una ruta para el tráfico local y otra queenvía el resto de tráfico hacia la gateway de Internet.

Para asignar una dirección IP elástica a un espacio de trabajo

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Amplíe la fila del escritorio de WorkSpaces y anote el valor de WorkSpaces IP. Esta es la dirección IP

privada principal del WorkSpace.4. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.5. En el panel de navegación, elija Elastic IPs. Si no tiene una dirección IP elástica disponible, elija

Allocate new address y siga las instrucciones.6. En el panel de navegación, elija Network Interfaces.7. Seleccione la interfaz de red de WorkSpace. Observe que el valor VPC ID coincide con el ID de la

VPC de WorkSpaces y el valor de Primary private IPv4 IP coincide con la dirección IP privada principalde WorkSpaces que ha anotado antes.

8. Elija Actions, Associate Address.9. En la página Associate Elastic IP Address, elija una dirección IP elástica en Address y, a continuación,

elija Associate Address.

Grupos de seguridad para WorkSpacesCuando registra un directorio con Amazon WorkSpaces, crea dos grupos de seguridad: uno para loscontroladores del directorio y otro para los WorkSpaces del directorio. El grupo de seguridad para loscontroladores de directorio tiene un nombre que consiste en el identificador del directorio seguido por_controllers (por ejemplo, d-92673056e8_controllers) y el grupo de seguridad de WorkSpaces tiene unnombre que consiste en el identificador del directorio seguido por _workspacesMembers (por ejemplo,d-926720fc18_workspacesMembers).

25

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway



https://console.aws.amazon.com/ec2/

Amazon WorkSpaces Guía de administraciónGrupos de control de acceso a direcciones IP

Tiene la opción de disponer de un grupo de seguridad adicional para WorkSpaces. Después de agregar elgrupo de seguridad al directorio, se asocia con los nuevos escritorios de WorkSpaces que lance, o con losque ya existen y vuelve a compilar.

Para añadir un grupo de seguridad a un directorio

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y elija Actions, Update Details.4. Amplíe Security Group y seleccione un grupo de seguridad.5. Elija Update and Exit.

Grupos de control de acceso a direcciones IP paralos escritorios de WorkSpaces

Un grupo de control de acceso a direcciones IP actúa como un firewall virtual que controla las direccionesIP desde las que los usuarios pueden tener acceso a sus escritorios de WorkSpaces. Puede asociar cadagrupo de control de acceso a direcciones IP a uno o varios directorios. Puede asociar hasta 25 grupos decontrol de acceso a direcciones IP a cada directorio.

Existe un grupo de control de acceso a direcciones IP predeterminado asociado a cada directorio. El grupopredeterminado permite todo el tráfico. Si asocia un grupo de control de acceso a direcciones IP a undirectorio, se desvincula el grupo predeterminado.

Para especificar las direcciones IP y los intervalos de direcciones IP para sus redes de confianza, añadareglas a sus grupos de control de acceso a direcciones IP. Si los usuarios tienen acceso a los escritoriosde WorkSpaces a través de una gateway NAT o VPN, debe crear reglas que permitan el tráfico desde lasdirecciones IP para la gateway NAT o VPN.

Puede utilizar esta característica con Web Access y las aplicaciones cliente en Mac OS X, iPad, Windows,Android y Chromebook. Si desea utilizar esta característica con un cliente cero PCoIP, no puede utilizarPCoIP Connection Manager.

Crear un grupo de control de acceso a direcciones IPPuede crear hasta 25 grupos de control de acceso a direcciones IP. Cada grupo de control de acceso adirecciones IP puede contener hasta 10 reglas.

Para crear un grupo de control de acceso a direcciones IP

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione IP Access Controls (Controles de acceso a direcciones IP).3. Elija Create IP Group (Crear grupo de IP).4. En el cuadro de diálogo Create IP Group (Crear grupo de IP), escriba un nombre y una descripción

para el grupo, y elija Create (Crear).5. Seleccione el grupo y elija Edit (Editar).6. Para cada dirección IP, elija Add Rule (Añadir regla). En Source (Origen), escriba la dirección IP o el

intervalo de direcciones IP. En Description, escriba una descripción. Cuando haya acabado de añadirreglas, elija Save (Guardar).

26



Amazon WorkSpaces Guía de administraciónAsociar un grupo de control de acceso

a direcciones IP a un directorio

Asociar un grupo de control de acceso a direccionesIP a un directorioPuede asociar un grupo de control de acceso a direcciones IP a un directorio para asegurarse de que solose tenga acceso a los escritorios de WorkSpaces desde redes de confianza.

Si asocia un grupo de control de acceso a direcciones IP que no tiene reglas a un directorio, se bloqueatodo el acceso a todos los escritorios de WorkSpaces.

Para asociar un grupo de control de acceso a direcciones IP a un directorio

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y elija Actions, Update Details.4. Expanda IP Access Control Groups (Grupos de control de acceso a direcciones IP) y seleccione uno o

varios grupos.5. Elija Update and Exit.

Copiar un grupo de control de acceso a direcciones IPPuede utilizar un grupo de control de acceso a direcciones IP existente como punto de partida para crearun nuevo grupo de control de acceso a direcciones IP.

Para crear un grupo de control de acceso a direcciones IP a partir de uno existente

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione IP Access Controls (Controles de acceso a direcciones IP).3. Seleccione el grupo y elija Actions (Acciones), Copy to New (Copiar en nuevo).4. En el cuadro de diálogo Copy IP Group (Copiar grupo de IP), escriba un nombre y una descripción

para el nuevo grupo, y elija Copy Group (Copiar grupo).5. (Opcional) Para modificar las reglas copiadas del grupo original, seleccione el nuevo grupo y elija Edit

(Editar). Añada, actualice o elimine reglas según sea necesario. Seleccione Save.

Eliminar un grupo de control de acceso a direccionesIPPuede eliminar una regla de un grupo de control de acceso a direcciones IP en cualquier momento. Sielimina una regla que se utilizó para permitir una conexión a un escritorio de WorkSpaces, el usuario sedesconecta del escritorio de WorkSpaces.

Para poder eliminar un grupo de control de acceso a direcciones IP, debe desvincularlo de todos losdirectorios.

Para eliminar un grupo de control de acceso a direcciones IP

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Para cada directorio asociado al grupo de control de acceso a direcciones IP, seleccione el directorio

y haga clic en Actions (Acciones), Update Details (Actualizar detalles). Expanda IP Access Control

27




Amazon WorkSpaces Guía de administraciónCliente cero PCoIP

Groups (Grupos de control de acceso a direcciones IP), desactive la casilla del grupo de control deacceso a direcciones IP y, a continuación, seleccione Update and Exit (Actualizar y salir).

4. En el panel de navegación, seleccione IP Access Controls (Controles de acceso a direcciones IP).5. Seleccione el grupo y elija Actions (Acciones), Delete IP Group (Eliminar grupo de IP).

Configuración del cliente de PCoIP Zero paraWorkSpaces

Si el dispositivo de cliente cero tiene firmware versión 6.0.0 o posterior, los usuarios pueden conectarsea sus WorkSpaces directamente. De lo contrario, si el firmware tiene la versión entre 4.6.0 y 6.0.0, debeconfigurar Teradici PCoIP Connection Manager para Amazon WorkSpaces y proporcionar a sus usuarioslos URI de servidor para conectarse a sus WorkSpaces a través de Teradici PCoIP Connection Managerpara Amazon WorkSpaces.

Para configurar PCoIP Connection Manager para Amazon WorkSpaces en una instancia EC2, vaya a AWSMarketplace y busque una imagen de máquina de Amazon (AMI) que pueda usar para lanzar una instanciacon PCoIP Connection Manager. Para obtener más información, consulte Deploying the PCoIP ConnectionManager for Amazon WorkSpaces en la PCoIP Connection Manager User Guide.

Para obtener información acerca de cómo configurar y conectar con un dispositivo cliente de PCoIP Zero,consulte PCoIP Zero Client en la Guía del usuario de Amazon WorkSpaces.

28

https://aws.amazon.com/marketplace/pp/B00O9E9JZ0

https://aws.amazon.com/marketplace/pp/B00O9E9JZ0


http://docs.aws.amazon.com/workspaces/latest/userguide/amazon-workspaces-pcoip-zero-client.html

Amazon WorkSpaces Guía de administraciónRegistrar un directorio

Administrar directorios para AmazonWorkSpaces

Amazon WorkSpaces utiliza un directorio para almacenar y administrar la información de los usuarios y losWorkSpaces. Puede utilizar una de las siguientes opciones:

• Conector de AD – use el Microsoft Active Directory local existente. Los usuarios pueden iniciar sesión enlos escritorios de WorkSpaces con sus credenciales locales y tener acceso a los recursos locales de losescritorios de WorkSpaces.

• Microsoft AD - cree un Microsoft Active Directory alojado en AWS.• AD sencillo - cree un directorio compatible con Microsoft Active Directory, activado por Samba 4 y

alojado en AWS.• Confianza cruzada – cree una relación de confianza entre el directorio de Microsoft AD y el dominio local.

Para encontrar tutoriales sobre cómo configurar estos directorios y lanzar WorkSpaces, consulte Lanzar unescritorio virtual con Amazon WorkSpaces (p. 39).

Después de crear un directorio, llevará a cabo la mayoría de las tareas administrativas del directorio conherramientas como las herramientas de administración de Active Directory. Puede realizar algunas tareasde administración de directorios con la consola de Amazon WorkSpaces y otras utilizando la directiva degrupo.

Contenido• Registrar un directorio con Amazon WorkSpaces (p. 29)• Actualizar los detalles del directorio para los WorkSpaces (p. 30)• Eliminar el directorio de los escritorios WorkSpaces (p. 33)• Configurar las herramientas de administración de Amazon WorkSpaces (p. 33)• Administrar los WorkSpaces usando la política de grupo (p. 35)

Registrar un directorio con Amazon WorkSpacesPara que Amazon WorkSpaces utilice un directorio de AWS Directory Service existente, debe registrarlocon Amazon WorkSpaces. Después de registrar un directorio, puede lanzar en él escritorios deWorkSpaces.

Para anular el registrar de un directorio

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio.4. Elija Actions, Register.5. En Habilitar Amazon WorkDocs, elija Yes para registrar el directorio para usarlo con Amazon

WorkDocs o No para no usarlo.

Note

Esta opción solo está disponible si Amazon WorkDocs también lo está en la región.

29


Amazon WorkSpaces Guía de administraciónActualizar los detalles de directorio

6. Elija Register. Inicialmente el valor de Registered es REGISTERING. Una vez completado el registro,el valor es Yes.

Cuando termine de utilizar el directorio con Amazon WorkSpaces, puede anular su registro. Tenga encuenta que debe anular el registro de un directorio si quiere eliminarlo. Si tiene alguna aplicación deAmazon WAM asignada a los usuarios, debe eliminar también dichas asignaciones para poder eliminar undirectorio. Para obtener más información, consulte Eliminación de todas las asignaciones de aplicacionesen la Amazon WAM Administration Guide.

Para anular el registro de un directorio

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio.4. Elija Actions, Deregister.5. Cuando se le pida que confirme, elija Deregister. Una vez hecha la anulación, el valor de Registered

es No.

Actualizar los detalles del directorio para losWorkSpaces

Puede completar las siguientes tareas de administración de directorios con la consola de AmazonWorkSpaces.

Tareas• Seleccionar una unidad organizativa (p. 30)• Configurar direcciones IP automáticas (p. 31)• Controlar el acceso de los dispositivos (p. 31)• Administrar los permisos de administrador local (p. 32)• Actualizar la cuenta del Conector de AD (AD Connector) (p. 32)• Autenticación multifactor (Conector de AD) (p. 32)

Seleccionar una unidad organizativaLas cuentas de la máquina de WorkSpace están en la unidad organizativa predeterminada (OU) deldirectorio de WorkSpaces. En principio, las cuentas de la máquina se guardan en la unidad organizativaComputers del directorio al que está conectado el directorio de Conector de AD. Puede seleccionar otrasunidades organizativas del directorio o directorio conectado, o bien especificar una en un dominio dedestino independiente. Tenga en cuenta que solo puede seleccionar una unidad organizativa por directorio.

Una vez seleccionada una nueva unidad, las cuentas de la máquina de todos los WorkSpaces que secrean o recompilan se guardan en la unidad organizativa recién seleccionada.

Para seleccionar una unidad organizativa

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Expanda Target Domain and Organizational Unit.

30

http://docs.aws.amazon.com/wam/latest/adminguide/remove_all_assignments.html



Amazon WorkSpaces Guía de administraciónConfigurar direcciones IP automáticas

5. Para encontrar una OU, puede escribir todo o parte de su nombre y elegir Search OU. También puedeelegir List all OU para enumerar todas las OU.

6. Seleccione la OU y elija Update and Exit.7. (Opcional) Recompile el WorkSpace existente para actualizar la OU. Para obtener más información,

consulte Reconstrucción de un espacio de trabajo (p. 57).

Para especificar un dominio de destino y unidad organizativa

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Expanda Target Domain and Organizational Unit.5. En Selected OU, escriba el nombre LDAP del dominio y OU de destino y, a continuación, elija Update

and Exit. Por ejemplo, OU=WorkSpaces_machines,DC=machines,DC=example,DC=com.6. (Opcional) Recompile el WorkSpace existente para actualizar la OU. Para obtener más información,


Configurar direcciones IP automáticasDespués de habilitar la asignación automática de direcciones IP públicas, a cada escritorio de WorkSpacesque lance se le asignará una dirección IP pública. Esto permite que los escritorios de WorkSpaces tenganacceso a Internet. Los WorkSpaces existentes en el momento de habilitar la asignación automática noreciben una dirección IP pública hasta que los recompila.

Tenga en cuenta que no es necesario permitir la asignación automática de acceso a IP públicas si haconfigurado la VPC con una gateway NAT. Para obtener más información, consulte Configurar una VPCpara Amazon WorkSpaces (p. 9).

Requisitos previos

• La VPC debe tener una gateway de Internet asociada. Para obtener más información, consulte Attachingan Internet Gateway en la Guía del usuario de Amazon VPC.

• La tabla de ruteo para las subredes de WorkSpaces deben tener una ruta para el tráfico local y otra queenvía el resto de tráfico hacia la gateway de Internet.

Para configurar direcciones IP públicas

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio de los escritorios de WorkSpaces.4. Elija Actions, Update Details.5. Amplíe Access to Internet y seleccione Enable o Disable.6. Elija Update.

Controlar el acceso de los dispositivosPuede especificar los tipos de dispositivos que tienen acceso a WorkSpaces. Además puede limitarel acceso a WorkSpaces a los dispositivos de confianza (también conocidos como dispositivosadministrados).

31





Amazon WorkSpaces Guía de administraciónAdministrar los permisos de administrador local

Para controlar el acceso de los dispositivos a WorkSpaces

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Amplíe Access Control Options y busque la sección Other Platforms. De forma predeterminada,

WorkSpaces Web Access está deshabilitado y los usuarios tienen acceso a los escritorios deWorkSpaces desde los dispositivos iOS, Android, Chromebooks y dispositivos de cliente PCoIP zero.

5. Seleccione los tipos de dispositivo que va a habilitar y deseleccione los que va a deshabilitar. Parabloquear el acceso de todos los tipos dispositivos seleccionados, elija Block.

6. (Opcional) Puede restringir el acceso a los dispositivos de confianza. Para obtener más información,consulte Limitar el acceso a WorkSpaces a los dispositivos de confianza (p. 23).

7. Elija Update and Exit.

Administrar los permisos de administrador localPuede especificar si los usuarios son administradores locales en los WorkSpaces, lo que les permiteinstalar aplicaciones y modificar la configuración de los WorkSpaces. Los usuarios son los administradoreslocales de forma predeterminada. Si modifica esta opción, el cambio se aplicará a todos los WorkSpacesque cree y a los que recompile.

Para modificar los permisos de administrador local

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Expanda Local Administrator Setting.5. Para garantizar que los usuarios son administradores locales, elija Enable. En caso contrario, elija

Disable.6. Elija Update and Exit.

Actualizar la cuenta del Conector de AD (ADConnector)Puede actualizar la cuenta del Conector de AD que se utiliza para leer usuarios y grupos, y unir las cuentasde la máquina Amazon WorkSpaces con el directorio de Conector de AD.

Para actualizar la cuenta del Conector de AD

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Expanda Update AD Connector Account.5. Escriba el nombre de usuario y la contraseña para la nueva cuenta.6. Elija Update and Exit.

Autenticación multifactor (Conector de AD)Puede habilitar la autenticación multifactor para el directorio de Conector de AD.

32




Amazon WorkSpaces Guía de administraciónEliminar directorio

Para habilitar la autenticación multifactor

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y después elija Actions, Update Details.4. Amplíe Multi-Factor Authentication y, a continuación, seleccione Enable Multi-Factor Authentication.5. En RADIUS server IP address(es), escriba las direcciones IP de los puntos de enlace del servidor

RADIUS separadas por comas o escriba la dirección IP del balanceador de carga del servidorRADIUS.

6. En Port, escriba el puerto que el servidor RADIUS utiliza para las comunicaciones. La red local debepermitir el tráfico entrante procedente de puerto del servidor RADIUS predeterminado (1812)de ADConnector.

7. En Shared secret code y Confirm shared secret code, escriba del código secreto compartido delservidor RADIUS.

8. En Protocol, elija el protocolo del servidor RADIUS.9. En Server timeout, escriba el tiempo, en segundos, que hay que esperar a que el servidor RADIUS

responda. Este valor debe estar entre 1 y 20.10. En Max retries, escriba el número de veces que se intenta la comunicación con el servidor RADIUS.

Este valor debe estar entre 0 y 10.11. Elija Update and Exit.

La autenticación multifactor está disponible cuando RADIUS status está Enabled. Aunque la autenticaciónmultifactor esté configurada, los usuarios no pueden iniciar sesión en los escritorios de WorkSpaces.

Eliminar el directorio de los escritorios WorkSpacesPuede eliminar el directorio de los WorkSpaces si ya no están en uso por otros WorkSpaces niaplicaciones como Amazon WorkDocs, Amazon WorkMail o Amazon Chime. Tenga en cuenta que debeanular el registro de un directorio si quiere eliminarlo.

Para eliminar un directorio

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y elija Actions, Deregister.4. Cuando se le pida que confirme, elija Deregister.5. Seleccione el directorio de nuevo y elija Actions, Delete.6. Cuando se le indique que confirme, seleccione Delete.

Configurar las herramientas de administración deAmazon WorkSpaces

Llevará a cabo la mayoría de las funciones administrativas del directorio WorkSpaces con herramientas deadministración de directorios, como las herramientas de administración de Active Directory. Sin embargo,utilizará la consola de Amazon WorkSpaces para realizar algunas tareas relativas al directorio. Paraobtener más información, consulte Administrar directorios para Amazon WorkSpaces (p. 29).

33



Amazon WorkSpaces Guía de administraciónConfigurar la Administración del directorio

Si crea un Microsoft AD o un AD sencillo con cinco o más escritorios de WorkSpaces, le recomendamosque centralice la administración en una instancia Amazon EC2. Aunque es posible instalar lasherramientas de administración de directorios en un escritorio de WorkSpaces, existen limitaciones, yutilizar una instancia es una solución más sólida.

Configurar las herramientas de administración de Active Directory

1. Lance una instancia de Windows y únala al directorio de WorkSpaces.

Puede incluir una instancia de Windows Amazon EC2 en el dominio de directorios cuando lancela instancia. Para obtener más información, consulte la sección sobre cómo unir una instancia deWindows a un dominio de AWS Directory Service en la Guía del usuario de Amazon EC2 parainstancias de Windows.

También puede unir la instancia con el directorio manualmente. Para obtener más información,consulte Añadir manualmente una instancia de Windows (Simple AD y Microsoft AD) en la AWSDirectory Service Administration Guide.

2. Instale las herramientas de administración de Active Directory en la instancia. Para obtener másinformación, consulte Instalar las herramientas de administración de Active Directory en la AWSDirectory Service Administration Guide.

3. Ejecute las herramientas como administrador del directorio del modo siguiente:

a. Abra Administrative Tools.b. Mantenga presionada la tecla Mayús, haga clic con el botón derecho en el acceso directo de la

herramienta y seleccione Run as different user.c. Escriba el nombre de usuario y la contraseña del administrador. Con AD sencillo, el nombre de

usuario es Administrator y con Microsoft AD, el administrador es Admin.

A partir de ahora, puede realizar las tareas de administración de directorios con las herramientas deActive Directory que ya conoce. Por ejemplo, puede utilizar la herramienta de Usuarios y equipos deActive Directory para añadir y eliminar usuarios, promocionar un usuario a administrador del directorio orestablecer una contraseña de usuario. Tenga en cuenta que debe haber iniciado sesión en la instancia deWindows como un usuario con permisos para administrar usuarios en el directorio.

Para promocionar un usuario a administrador del directorio

1. Abra la herramienta Usuarios y equipos de Active Directory.2. Vaya a la carpeta Users del dominio y seleccione el usuario que desea promocionar.3. Elija Action, Properties.4. En el cuadro de diálogo de propiedades del usuario, elija Member of.5. Añada el usuario a los siguientes grupos y seleccione OK.

• Administradores• Administradores de dominio• Administradores de empresas• Propietarios del creador de directiva de grupo• Administradores de esquemas

Para agregar o eliminar usuarios

Puede utilizar las herramientas de Active Directory que prefiera para administrar los objetos usuario.Tenga en cuenta que antes de eliminar un usuario, debe eliminar el escritorio de WorkSpaces que tengaasignado. Para obtener más información, consulte Eliminar WorkSpaces (p. 57).

34

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-join-aws-domain.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_a_directory.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/install_ad_tools.html

Amazon WorkSpaces Guía de administraciónUso de la política de grupo

Para restablecer una contraseña de usuario

Cuando restablezca la contraseña de un usuario, no configure User must change password at next logon.Si lo hace, los usuarios no podrán conectarse a los escritorios de WorkSpaces. En lugar de eso, asigneuna contraseña temporal segura a cada usuario y pídales que la cambien manualmente desde el espaciode trabajo la próxima vez que inicie sesión.

Administrar los WorkSpaces usando la política degrupo

Puede aplicar la configuración de directiva de grupo a los WorkSpaces o a los usuarios que forman partede los WorkSpaces.

Le recomendamos que cree una unidad organizativa para las cuentas de la máquina de WorkSpaces yotra para la cuentas de los usuarios de WorkSpaces.

La configuración de una política de grupo puede afectar a la experiencia del usuario de WorkSpaces dediversas formas:

• En función del número de opciones personalizadas de la configuración de la política de grupo que seapliquen a un WorkSpace, es posible que el usuario tarde varios minutos en entrar después de iniciarlo oreiniciarlo.

• Los cambios en la configuración de la política de grupo pueden provocar que una sesión activa se cierrecuando un usuario no está conectado al WorkSpace.

• Algunas configuraciones de la política de grupo fuerzan a un usuario a que cierre sesión cuando sedesconecta de una sesión. Las aplicaciones que haya abierto el usuario en el espacio de trabajo secierran.

• La implementación de un mensaje de inicio de sesión interactivo para abrir un banner de inicio de sesiónimpide que los usuarios puedan acceder a su espacio de trabajo. Actualmente Amazon WorkSpaces noadmite la configuración de políticas de grupo de mensajes de inicio de sesión interactivos.

Contenido• Instalar la plantilla administrativa de la política de grupo (p. 35)• Compatibilidad con la impresora local (p. 36)• Redireccionamiento del portapapeles (p. 37)• Ajuste del tiempo de espera para reanudar la sesión (p. 37)

Instalar la plantilla administrativa de la política degrupoPara utilizar la configuración de política de grupo específica de Amazon WorkSpaces, debe instalar laplantilla administrativa de la política de grupo. Realice el siguiente procedimiento en una instancia deAmazon EC2 o del espacio de trabajo de administración de directorios que está vinculada a su directorio.

Para instalar la plantilla administrativa de política de grupo

1. En un escritorio de WorkSpaces en ejecución, haga una copia del archivo pcoip.adm del directorioC:\Program Files (x86)\Teradici\PCoIP Agent\configuration.

2. Abra la herramienta de administración de políticas de grupo y vaya a la unidad organizativa deldominio que contenga las cuentas de su máquina de espacios de trabajo.

35

Amazon WorkSpaces Guía de administraciónCompatibilidad con la impresora local

3. Abra el menú contextual (haga clic con el botón derecho) de la unidad organizativa de la cuenta de lamáquina y elija Create a GPO in this domain, and link it here.

4. En el cuadro de diálogo New GPO, escriba un nombre descriptivo para el objeto directiva de grupo,como WorkSpaces Machine Policies y deje Source Starter GPO establecido en (none). SeleccioneAceptar.

5. Abra el menú contextual (clic derecho) del nuevo objeto de política de grupo y elija Edit.6. En el editor de administración de políticas de grupo, elija Computer Configuration, Policies y

Administrative Templates. Elija Action, Add/Remove Templates en el menú principal.7. En el cuadro de diálogo Add/Remove Templates, elija Add, seleccione el archivo pcoip.adm copiado

previamente y elija Open, Close.8. Cierre el editor de administración de políticas de grupo. A partir de ahora, puede utilizar este objeto

de política de grupo para modificar la configuración de política de grupo específica de AmazonWorkSpaces.

Compatibilidad con la impresora localDe forma predeterminada, Amazon WorkSpaces desactiva el redireccionamiento a la impresora local.Puede utilizar la configuración de la política de grupo para habilitar esta característica si es necesario.

El cambio realizado en la configuración de la política de grupo se aplicará la siguiente vez que seactualicen las opciones de configuración de la política de grupo y cuando se reinicie la sesión.

Para habilitar o deshabilitar el soporte de impresora local

1. Asegúrese de que haya instalada en su dominio la plantilla administrativa de políticas de grupo deAmazon WorkSpaces (p. 35) más reciente.

2. Abra la herramienta de administración de políticas de grupo y diríjase al objeto de políticas degrupo de espacios de trabajo de las cuentas de su máquina de espacios de trabajo. A continuación,selecciónelo. Elija Action, Edit en el menú principal.

3. En el editor de administración de políticas de grupo, elija Computer Configuration, Policies,Administrative Templates, Classic Administrative Templates, PCoIP Session Variables y OverridableAdministration Defaults.

4. Abra la configuración de Configure remote printing.5. En el cuadro de diálogo Configure remote printing (Configurar impresión remota), elija Enabled

(Habilitado) o Disabled (Deshabilitado) y, a continuación, elija OK (Aceptar).

De forma predeterminada, el redireccionamiento automático a la impresora local está deshabilitado. Puedeutilizar la configuración de la política de grupo para habilitar esta característica de modo que la impresoralocal se establezca como la impresora predeterminada cada vez que se conecte a su Workspace.

Para habilitar o deshabilitar el redireccionamiento automático a la impresora local



3. En el editor de administración de políticas de grupo, elija Computer Configuration, Policies,Administrative Templates, Classic Administrative Templates, PCoIP Session Variables y OverridableAdministration Defaults.

4. Abra la configuración de Configure remote printing.

36

Amazon WorkSpaces Guía de administraciónRedireccionamiento del portapapeles

5. En el cuadro de diálogo Configure remote printing (Configurar impresión remota), elija Enabled(Habilitado), seleccione o anule la selección de Automatically set default printer (Establecerautomáticamente la impresora predeterminada) y, a continuación, elija OK (Aceptar).

Redireccionamiento del portapapelesDe forma predeterminada, Amazon WorkSpaces admite el redireccionamiento del portapapeles. Puedeutilizar la configuración de políticas de grupo para deshabilitar esta característica si es necesario.


Para habilitar o deshabilitar el redireccionamiento del portapapeles



3. En el Editor de administración de políticas de grupo, elija Computer Configuration, Policies,Administrative Templates, Classic Administrative Templates, PCoIP Session Variables y OverridableAdministration Defaults.

4. Abra la configuración Configure clipboard redirection.5. En el cuadro de diálogo Configure clipboard redirection, elija Enabled y establezca la opción Configure

clipboard redirection en el valor deseado, habilitado o deshabilitado, y elija Aceptar.

Limitación conocida

Con el redireccionamiento del portapapeles habilitado en el Workspace, si copia contenido con más de890 KB desde una aplicación de Microsoft Office, la aplicación podría volverse lenta o dejar de responderdurante un máximo de 5 segundos.

Ajuste del tiempo de espera para reanudar la sesiónCuando se utilizan aplicaciones cliente de Amazon WorkSpaces, una interrupción de la conexión de redproduce la desconexión de una sesión activa. Esto puede ser debido a eventos como, por ejemplo, cerrarla tapa del portátil o la pérdida de la conexión de red inalámbrica. Las aplicaciones cliente de AmazonWorkSpaces para Windows y OS X intentan volver a conectar automáticamente la sesión si, trascurridoun tiempo, se recupera la conexión de red. El tiempo de espera predeterminado para reanudar la sesiónes de 20 minutos, pero puede modificar ese valor para espacios de trabajo que se controlan mediante laconfiguración de políticas de grupo de su dominio.


Para establecer el valor del tiempo de espera para reanudar la sesión automático



3. En el editor de administración de políticas de grupo, elija Computer Configuration, Policies,Administrative Templates, Classic Administrative Templates y PCoIP Session Variables.

37

Amazon WorkSpaces Guía de administraciónAjuste del tiempo de espera para reanudar la sesión

Para permitir al usuario anular la configuración, elija Overridable Administration Defaults; para nopermitirlo, elija Not Overridable Administration Defaults.

4. Abra la configuración Configure Session Automatic Reconnection Policy.5. En el cuadro de diálogo Configure Session Automatic Reconnection Policy, elija Enabled, establezca

la opción Configure Session Automatic Reconnection Policy en el tiempo de espera deseado, enminutos, y elija Aceptar.

38

Amazon WorkSpaces Guía de administraciónLanzar con Microsoft AD

Lanzar un escritorio virtual conAmazon WorkSpaces

Con Amazon WorkSpaces, puede aprovisionar escritorios de Microsoft Windows basados en la nube parasus usuarios, conocidos como WorkSpaces.

Amazon WorkSpaces utiliza un directorio para almacenar y administrar la información de los usuariosy los WorkSpaces. Puede crear un directorio AD sencillo o un directorio Microsoft AD, conectarse a undominio existente de Microsoft Active Directory con Active Directory Connector, o bien crear una relaciónde confianza entre el directorio Microsoft AD y el dominio local.

En los siguientes tutoriales se muestra cómo lanzar un escritorio WorkSpace utilizando las opciones deservicio de directorio admitidas.

Tutoriales• Lanzar un escritorio de WorkSpaces con Microsoft AD (p. 39)• Lanzar un escritorio de WorkSpaces con Simple AD (p. 41)• Lanzar un escritorio de WorkSpaces con AD Connector (p. 44)• Lanzar escritorios de WorkSpaces usando un dominio de confianza (p. 47)

Lanzar un escritorio de WorkSpaces con MicrosoftAD

Amazon WorkSpaces permite aprovisionar escritorios de Microsoft Windows basados en la nube para sususuarios, conocidos como escritorios WorkSpaces.

Amazon WorkSpaces utiliza directorios para almacenar y administrar la información de los usuarios y losWorkSpaces. Para su directorio, puede elegir entre AD sencillo, conector de AD, o bien AWS DirectoryService para Microsoft Active Directory (Enterprise Edition), también conocido como Microsoft AD.Además, puede establecer una relación de confianza entre el directorio Microsoft AD y su dominio local.

En este tutorial, se lanza un escritorio WorkSpace que utiliza Microsoft AD. Para encontrar tutoriales queutilicen las otras opciones, consulte Lanzar un escritorio virtual con Amazon WorkSpaces (p. 39).

Tareas• Antes de empezar (p. 39)• Paso 1: Crear el directorio de Microsoft AD (p. 40)• Paso 2: Crear un espacio de trabajo (p. 40)• Paso 3: Conectarse al WorkSpace (p. 41)• Pasos siguientes (p. 41)

Antes de empezar• Amazon WorkSpaces no está disponible en todas las regiones. Compruebe las regiones que son

compatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de lasregiones compatibles, consulte Precios de Amazon WorkSpaces por región de AWS.

39


Amazon WorkSpaces Guía de administraciónPaso 1: Crear el directorio de Microsoft AD

• Cuando lanza un escritorio de WorkSpaces, debe seleccionar un paquete de WorkSpaces. Un paquetees una combinación de capacidad informática, almacenamiento y recursos de software. Para obtenermás información, consulte Paquetes de Amazon WorkSpaces.

• Cuando crea un directorio con AWS Directory Service o lanza un escritorio WorkSpace, debe crear oseleccionar una nube virtual privada configurada con una subred pública y dos subredes privadas. Paraobtener más información, consulte Configurar una VPC para Amazon WorkSpaces (p. 9).

Paso 1: Crear el directorio de Microsoft ADCree un directorio de Microsoft AD. AWS Directory Service crea dos servidores de directorios, uno encada una de las subredes privadas de la VPC. Tenga en cuenta que en el directorio no hay usuariosinicialmente. En el siguiente paso agregará un usuario cuando lance el escritorio de WorkSpaces.

Para crear un directorio Microsoft AD

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Elija Set up Directory, Create Microsoft AD.4. Configure el directorio del modo siguiente:

a. En Organization name, escriba un nombre único de organización para el directorio (por ejemplo,my-demo-directory). Este nombre debe tener al menos cuatro caracteres, incluir caracteresalfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion.

b. En Directory DNS, escriba el nombre de la ruta completa del directorio (por ejemplo,workspaces.demo.com).

c. En NetBIOS name, escriba un nombre abreviado para el directorio (por ejemplo, workspaces).d. En Admin password y Confirm password, escriba una contraseña para la cuenta del administrador

del directorio. Para obtener más información acerca de los requisitos de contraseña, consulteCómo crear un directorio de Microsoft AD en la AWS Directory Service Administration Guide.

e. (Opcional) En Description, escriba una descripción para el directorio.f. En VPC, seleccione la VPC que ha creado.g. En Subnets, seleccione las dos subredes privadas (con los bloques CIDR 10.0.1.0/24 y

10.0.2.0/24).h. Seleccione Next Step.

5. Seleccione Create Microsoft AD.6. Seleccione Listo. El estado inicial del directorio es Creating. Cuando la creación del directorio se

completa, el estado cambia a Active.

Paso 2: Crear un espacio de trabajoAhora que ha creado un directorio Microsoft AD, ya puede crear un escritorio WorkSpace.

Para crear un escritorio WorkSpace

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Elija Launch WorkSpaces.4. En la página Select a Directory, elija el directorio que ha creado y, a continuación, elija Next Step.

Amazon WorkSpaces registra el directorio.5. En la página Identify Users, agregue un nuevo usuario al directorio del modo siguiente:

40



http://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html



a. Complete Username, First Name, Last Name y Email. Utilice una dirección de correo electrónico ala que tenga acceso.

b. Seleccione Create Users.c. Seleccione Next Step.

6. En la página Select Bundle, seleccione un paquete y después elija Next Step.7. En la página WorkSpaces Configuration, elija un modo de ejecución y después elija Next Step.8. En la página Review & Launch WorkSpaces, elija Launch WorkSpaces. El estado inicial del

WorkSpace es PENDING. Cuando el lanzamiento ha terminado, el estado es AVAILABLE y se envíauna invitación a la dirección de correo electrónico que especificó para el usuario.

Paso 3: Conectarse al WorkSpaceDespués de recibir el correo electrónico de invitación, puede conectarse al WorkSpace utilizando el clientede su elección. Después de iniciar sesión, el cliente muestra el escritorio de WorkSpaces.


1. Abra el enlace del correo electrónico de invitación. Cuando se le solicite, especifique una contraseña yactive el usuario. Recuerde esta contraseña, ya que la necesitará para iniciar sesión en el WorkSpace.

Note

Las contraseñas distinguen entre mayúsculas y minúsculas y debe tener un mínimo de 8caracteres y un máximo de 64. Las contraseñas deben contener al menos un carácter de unade estas tres categorías: minúsculas (a-z), mayúsculas (A-Z), números (0-9) y ~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/.

2. Cuando se le solicite, descargue una de las aplicaciones cliente o inicie Web Access.

Si no se le solicita y no ha instalado una aplicación cliente todavía, abra http://clients.amazonworkspaces.com/ y siga las indicaciones.

3. Inicie el cliente y escriba el código de registro que se incluye en el correo de invitación y elija Register.4. Cuando se le pida que inicie sesión, escriba el nombre de usuario y la contraseña y, luego, elija Sign

In.5. (Opcional) Cuando se le solicite guardar las credenciales, elija Yes.

Pasos siguientesPuede seguir y personalizar el WorkSpace que acaba de crear. Por ejemplo, puede instalar software y,después, crear un paquete personalizado del WorkSpace. Si ya ha terminado con él, puede eliminarlo.Para obtener más información, consulte la documentación siguiente.

• Creación de un paquete WorkSpaces personalizado (p. 61)• Administrar escritorios de WorkSpaces (p. 50)• Administrar directorios para Amazon WorkSpaces (p. 29)• Eliminar WorkSpaces (p. 57)

Lanzar un escritorio de WorkSpaces con Simple ADAmazon WorkSpaces permite aprovisionar escritorios de Microsoft Windows basados en la nube para sususuarios, conocidos como escritorios WorkSpaces.

41

http://clients.amazonworkspaces.com/




En este tutorial, se lanza un escritorio de WorkSpaces que utiliza AD sencillo. Para encontrar tutoriales queutilicen las otras opciones, consulte Lanzar un escritorio virtual con Amazon WorkSpaces (p. 39).

Tareas• Antes de empezar (p. 42)• Paso 1: Crear el directorio AD sencillo (p. 42)• Paso 2: Crear un espacio de trabajo (p. 43)• Paso 3: Conectarse al WorkSpace (p. 44)• Pasos siguientes (p. 44)

Antes de empezar• Simple AD no está disponible en todas las regiones. Compruebe las regiones que son compatibles y

seleccione una para su directorio de AD sencillo. Para obtener más información acerca de las regionesadmitidas, consulte la tabla de Simple AD en AWS Directory Service.

• Amazon WorkSpaces no está disponible en todas las regiones. Compruebe las regiones que soncompatibles y seleccione una para los WorkSpaces. Para obtener más información acerca de lasregiones compatibles, consulte Precios de Amazon WorkSpaces por región de AWS.


• Cuando crea un directorio con AWS Directory Service o lanza un escritorio WorkSpace, debe crear oseleccionar una nube virtual privada configurada con una subred pública y dos subredes privadas. Paraobtener más información, consulte Configurar una VPC para Amazon WorkSpaces (p. 9).

Paso 1: Crear el directorio AD sencilloCree un directorio de AD sencillo. AWS Directory Service crea dos servidores de directorios, uno encada una de las subredes privadas de la VPC. Tenga en cuenta que en el directorio no hay usuariosinicialmente. Agregará un usuario en el siguiente paso al crear el escritorio de WorkSpaces.

Para crear un directorio de AD sencillo

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Elija Set up Directory, Create Simple AD.4. Configure el directorio del modo siguiente:

a. En Organization name, escriba un nombre único de organización para el directorio (por ejemplo,my-example-directory). Este nombre debe tener al menos cuatro caracteres, incluir caracteresalfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion.

b. En Directory DNS, escriba el nombre de la ruta completa correspondiente del directorio (porejemplo, example.com).

c. En NetBIOS name, escriba un nombre corto para el directorio (por ejemplo, example).d. En Admin password y Confirm password, escriba una contraseña para la cuenta del administrador

del directorio. Para obtener más información acerca de los requisitos de contraseña, consulteCómo crear un directorio de Microsoft AD en la AWS Directory Service Administration Guide.

42

http://docs.aws.amazon.com/general/latest/gr/rande.html#ds_region





Amazon WorkSpaces Guía de administraciónPaso 2: Crear un espacio de trabajo

e. (Opcional) En Description, escriba una descripción para el directorio.f. Mantenga Directory size en Small.g. En VPC, seleccione la VPC que ha creado.h. En Subnets, seleccione las dos subredes privadas (con los bloques CIDR 10.0.1.0/24 y

10.0.2.0/24).i. Seleccione Next Step.

5. Elija Create Simple AD.6. Seleccione Listo. El estado inicial del directorio es Requested y luego Creating. Cuando la creación

del directorio se completa, el estado cambia a Active.

Crear directorios

Amazon WorkSpaces realiza las siguientes tareas:

• Genera un rol de IAM que permite al servicio de Amazon WorkSpaces crear interfaces de red elásticas ymostrar los directorios de Amazon WorkSpaces. El nombre de este rol es workspaces_DefaultRole.

• Establece un directorio de AD sencillo en la VPC que se usa para almacenar la información de losusuarios y de los WorkSpaces. El directorio tiene una cuenta de administrador con el nombre de usuarioAdministrator y la contraseña especificada.

• Crea dos grupos de seguridad: uno para los controladores del directorio y otro para los WorkSpaces deldirectorio.

Paso 2: Crear un espacio de trabajoAhora ya puede lanzar el WorkSpace.

Para crear un WorkSpace para un usuario

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Elija Launch WorkSpaces.4. En la página Select a Directory, haga lo siguiente:

a. En Directory, elija el directorio que ha creado.b. En Enable Amazon WorkDocs, seleccione Yes.

Note

Esta opción solo está disponible si Amazon WorkDocs también lo está en la regiónseleccionada.

c. Seleccione Next. Amazon WorkSpaces registra el directorio de AD sencillo.5. En la página Identify Users, agregue un nuevo usuario al directorio del modo siguiente:

a. Complete Username, First Name, Last Name y Email. Utilice una dirección de correo electrónico ala que tenga acceso.

b. Seleccione Create Users.c. Seleccione Next Step.

6. En la página Select Bundle, seleccione un paquete y después elija Next Step.7. En la página WorkSpaces Configuration, elija un modo de ejecución y después elija Next Step.8. En la página Review & Launch WorkSpaces, elija Launch WorkSpaces. El estado inicial del

WorkSpace es PENDING. Cuando el lanzamiento ha terminado, el estado es AVAILABLE y se envíauna invitación a la dirección de correo electrónico que especificó para el usuario.

43



Paso 3: Conectarse al WorkSpaceDespués de recibir el correo electrónico de invitación, puede conectarse al WorkSpace utilizando el clientede su elección. Después de iniciar sesión, el cliente muestra el escritorio de WorkSpaces.


1. Abra el enlace del correo electrónico de invitación. Cuando se le solicite, escriba una contraseña yactive el usuario. Recuerde esta contraseña, ya que la necesitará para iniciar sesión en el WorkSpace.

Note








Lanzar un escritorio de WorkSpaces con ADConnector



En este tutorial, se lanza un escritorio de WorkSpaces que utiliza un Conector de AD. Paraencontrar tutoriales que utilicen las otras opciones, consulte Lanzar un escritorio virtual con AmazonWorkSpaces (p. 39).

44




Tareas• Antes de empezar (p. 45)• Paso 1: Crear un conector de AD (p. 45)• Paso 2: Crear un espacio de trabajo (p. 46)• Paso 3: Conectarse al WorkSpace (p. 46)• Pasos siguientes (p. 47)




• Cree una cloud virtual privada al menos con dos subredes privadas. La VPC debe estar conectada ala red on-premise a través de una conexión de red privada virtual (VPN) o AWS Direct Connect. Paraobtener más información, consulte Requisitos previos de AD Connector en la AWS Directory ServiceAdministration Guide.

• Proporcione acceso a Internet desde WorkSpaces. Para obtener más información, consulte Proporcionaracceso a Internet desde WorkSpaces (p. 24).

Paso 1: Crear un conector de ADPara crear un conector de AD

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Elija Set up Directory, Create AD Connector.4. En Organization name, escriba un nombre único de organización para el directorio (por ejemplo,

my-example-directory). Este nombre debe tener al menos cuatro caracteres, incluir caracteresalfanuméricos y guiones (-), y comenzar o terminar por un carácter distinto de un guion.

5. En Connected directory DNS, escriba el nombre de la ruta completa correspondiente del directoriolocal (por ejemplo, example.com).

6. En Connected directory NetBIOS name, escriba el nombre abreviado de la ruta completacorrespondiente del directorio local (por ejemplo, example.com).

7. En Connector account username, escriba el nombre de usuario de un usuario de su directorio local.El usuario debe tener permisos para leer usuarios y grupos, crear objetos del equipo y unir equipos aldominio.

8. En Connector account password y Confirm password, escriba la contraseña de la cuenta del usuariolocal.

9. En DNS address, escriba la dirección IP de al menos un servidor DNS de su directorio local.10. (Opcional) En Description, escriba una descripción para el directorio.11. Mantenga Size en Small.12. En VPC, seleccione la VPC.13. En Subnets, seleccione las subredes. Los servidores DNS que especifique deben ser accesibles

desde cada subred.14. Seleccione Next Step.

45



http://docs.aws.amazon.com/directoryservice/latest/admin-guide/cloud_prereq.html#cloud_prereq_connector


Amazon WorkSpaces Guía de administraciónPaso 2: Crear un espacio de trabajo

15. Elija Create AD Connector. Se tarda unos minutos en conectar a su directorio. El estado inicial deldirectorio es Requested y luego Creating. Cuando la creación del directorio se completa, el estadocambia a Active.

Paso 2: Crear un espacio de trabajoAhora ya puede lanzar WorkSpaces para uno o varios usuarios del directorio local.

Para iniciar un espacio de trabajo para un usuario existente

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Elija Launch WorkSpaces.4. En Directory, elija el directorio que ha creado.5. (Opcional) Si es la primera vez que inicia un escritorio de WorkSpaces en este directorio, y Amazon

WorkDocs se admite en la región, puede habilitar o deshabilitar el servicio de Amazon WorkDocs paratodos los usuarios del directorio. Para obtener más información, consulte la Amazon WorkDocs SyncClient Help en la Guía de administración Amazon WorkDocs.

6. Seleccione Next. Amazon WorkSpaces registra el Conector de AD.7. Seleccione uno o varios usuarios existentes en su directorio local. No añada nuevos usuarios a un

directorio local a través de la consola de Amazon WorkSpaces.

Para buscar a los usuarios que va a seleccionar, escriba todo o parte del nombre del usuario y elijaSearch o Show All Users. Tenga en cuenta que no puede seleccionar un usuario que no tengadirección de correo electrónico.

Después de seleccionar a los usuarios, elija Add Selected y, a continuación, elija Next Step.8. En Select Bundle, elija el paquete de WorkSpace predeterminado que se utilizará para los

WorkSpaces. En Assign WorkSpace Bundles, puede elegir otro paquete distinto para un WorkSpaceindividual, si es necesario. Cuando haya terminado, seleccione Next Step.

9. Elija un modo de ejecución para los Workspaces y después, Next Step. Para obtener más información,consulte Controlar el modo de ejecución de WorkSpaces (p. 51).

10. Elija Launch WorkSpaces. El estado inicial del WorkSpace es PENDING. Cuando el lanzamiento secompleta, el estado cambia a AVAILABLE.

11. Envíe invitaciones a la dirección de correo electrónico de cada usuario. Para obtener más información,consulte Enviar un correo electrónico de invitación (p. 51).

Paso 3: Conectarse al WorkSpacePuede conectarse al escritorio WorkSpace utilizando el cliente de su elección. Después de iniciar sesión, elcliente muestra el escritorio de WorkSpaces.


1. Abra el enlace del correo electrónico de invitación.2. Cuando se le solicite, descargue una de las aplicaciones cliente o inicie Web Access.



In.

46


http://docs.aws.amazon.com/workdocs/latest/userguide/sync_client_help.html

http://docs.aws.amazon.com/workdocs/latest/userguide/sync_client_help.html



Amazon WorkSpaces Guía de administraciónPasos siguientes

5. (Opcional) Cuando se le solicite guardar las credenciales, elija Yes.



Lanzar escritorios de WorkSpaces usando undominio de confianza



En este tutorial, se lanza un escritorio WorkSpace que utiliza una relación de confianza. Paraencontrar tutoriales que utilicen las otras opciones, consulte Lanzar un escritorio virtual con AmazonWorkSpaces (p. 39).

Tareas• Antes de empezar (p. 47)• Paso 1: Establecer una relación de confianza (p. 48)• Paso 2: Crear un espacio de trabajo (p. 48)• Paso 3: Conectarse al WorkSpace (p. 48)• Pasos siguientes (p. 49)




47



Amazon WorkSpaces Guía de administraciónPaso 1: Establecer una relación de confianza

Paso 1: Establecer una relación de confianzaPara establecer la relación de confianza

1. Configure Microsoft AD en la nube virtual privada (VPC). Para obtener más información, consulte lasección sobre la creación de un directorio de Microsoft AD en la AWS Directory Service AdministrationGuide.

2. Cree una relación de confianza entre Microsoft AD y el dominio local. Asegúrese de que la confianzase configura de manera bidireccional. Para obtener más información, consulte el tutorial sobre lacreación de una relación de confianza entre Microsoft AD y el dominio local en la AWS DirectoryService Administration Guide.

Paso 2: Crear un espacio de trabajoDespués de establecer una relación de confianza entre el Microsoft AD de AWS y el dominio de MicrosoftActive Directory local, puede aprovisionar espacios de trabajo para los usuarios en el dominio local.

Tenga en cuenta que deberá asegurarse de que la configuración de GPO se replique en los dominiosantes de poder aplicarla a Amazon WorkSpaces.

Para iniciar espacios de trabajos para usuarios en un dominio local de confianza

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Elija Launch WorkSpaces.4. En la página Select a Directory, elija el directorio que acaba de registrar y, a continuación, elija Next

Step.5. En la página Identify Users, haga lo siguiente:

a. En Select trust from forest, seleccione la relación de confianza que ha creado.b. Seleccione los usuarios del dominio local y, a continuación, elija Add Selected.c. Seleccione Next Step.

6. Seleccione el paquete que se va a utilizar para WorkSpaces y, a continuación, elija Next Step.7. Elija el modo de ejecución, elija la configuración de cifrado y configure las etiquetas. Cuando haya

terminado, seleccione Next Step.8. Elija Launch WorkSpaces. Tenga en cuenta que los espacios de trabajo podrían tardar hasta 20

minutos en estar disponibles y hasta 40 minutos si está habilitado el cifrado. El estado inicial delWorkSpace es PENDING. Cuando el lanzamiento ha terminado, el estado es AVAILABLE y se envíauna invitación a la dirección de correo electrónico de cada usuario.

Paso 3: Conectarse al WorkSpaceUna vez recibido el correo electrónico de invitación, puede conectarse al WorkSpace. Los usuarios puedenintroducir los nombres de usuario como username, corp\username o corp.example.com\username).


1. Abra el enlace del correo electrónico de invitación. Cuando se le solicite, escriba una contraseña yactive el usuario. Recuerde esta contraseña, ya que la necesitará para iniciar sesión en el WorkSpace.

48


http://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html

http://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html


Amazon WorkSpaces Guía de administraciónPasos siguientes

Note








49



Amazon WorkSpaces Guía de administraciónAdministrar usuarios de WorkSpaces

Administrar escritorios deWorkSpaces

Puede administrar los WorkSpaces con la consola de Amazon WorkSpaces.

Programas de mantenimiento de Amazon WorkSpaces para escritorios WorkSpaces. Durante el periodode mantenimiento, descargamos e instalamos actualizaciones importantes. Para AlwaysOn WorkSpaces,el periodo de mantenimiento es el domingos por la mañana, desde 00:00 a las 04:00 en la zona horariade la región de AWS del escritorio WorkSpaces. Es posible que, durante este tiempo, los escritorios deWorkSpaces no estén disponibles. Para AutoStop WorkSpaces, puede activar el modo de mantenimientoo instalar las actualizaciones manualmente. Para obtener más información, consulte Establecer el modo demantenimiento (p. 52).

Contenido• Administrar usuarios de WorkSpaces (p. 50)• Controlar el modo de ejecución de WorkSpaces (p. 51)• Modificar un escritorio de WorkSpaces (p. 52)• Etiquetado de un espacio de trabajo (p. 53)• Cifrado de un espacio de trabajo (p. 54)• Reinicio de un espacio de trabajo (p. 57)• Reconstrucción de un espacio de trabajo (p. 57)• Eliminar WorkSpaces (p. 57)• Actualización de Workspaces BYOL de Windows 10 (p. 58)

Administrar usuarios de WorkSpacesCada escritorio de WorkSpaces se asigna a un único usuario y no se puede compartir entre variosusuarios. Siempre que inicie un nuevo WorkSpace, debe asignarlo a un usuario que no disponga de uno.

Como administrador de Amazon WorkSpaces, puede utilizar la consola de Amazon WorkSpaces para lassiguientes tareas de administración de usuarios de WorkSpaces.

Edición de la información de usuarioPuede utilizar la consola de Amazon WorkSpaces para modificar la siguiente información de unWorkSpace:

Note

Esta característica solo está disponible si utiliza Microsoft AD o AD sencillo. Si utiliza MicrosoftActive Directory a través de Conector de AD o una relación de confianza, puede administrar losusuarios y grupos utilizando Usuarios y equipos de Active Directory.

Para editar la información de usuario

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione un usuario y elija Actions, Edit User.4. Actualice First Name, Last Name, Email según sea necesario.5. Elija Update.

50

https://technet.microsoft.com/en-us/library/cc754217.aspx


Amazon WorkSpaces Guía de administraciónEnviar un correo electrónico de invitación

Enviar un correo electrónico de invitaciónPuede enviar un correo electrónico de invitación a un usuario manualmente si es necesario.

Para volver a enviar un correo electrónico de invitación

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione el usuario al que se envía la invitación y elija Actions, Invite User.4. Copie el texto del correo electrónico y péguelo en el correo electrónico que va a enviar al usuario

utilizando su propia aplicación de correo electrónico. Puede modificar el texto si lo desea. Cuando elcorreo electrónico de invitación esté listo, envíelo al usuario.

Controlar el modo de ejecución de WorkSpacesEl modo de ejecución de un WorkSpace determina su disponibilidad inmediata y el modo en que se paga.Puede elegir entre los siguientes modos de ejecución cuando cree el Workspace:

• AlwaysOn – se utiliza cuando se paga una tarifa mensual fija por el uso ilimitado de los WorkSpaces.Este modo es la mejor opción para los usuarios que utilizan su espacio de trabajo a tiempo completocomo escritorio principal.

• AutoStop – se utiliza cuando los WorkSpaces se pagan por horas. Con este modo, los espacios detrabajo se paran después de un periodo determinado de inactividad y el estado de las aplicaciones y losdatos se guarda. Para establecer el tiempo de parada automática, utilice AutoStop Time (hours).

Cuando sea posible, el estado del escritorio se guarda en el volumen raíz del espacio de trabajo.El Workspace se reanuda cuando un usuario inicia sesión, y todos los documentos abiertos y losprogramas en ejecución se mantienen en el estado en que se guardaron.

Para obtener más información, consulte los Precios de Amazon WorkSpaces.

Modificar el modo de ejecuciónPuede cambiar el modo de ejecución en cualquier momento.

Para modificar el modo de ejecución de un escritorio de WorkSpaces

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione los escritorios de WorkSpaces que se van a modificar y elija Actions, Modify Running Mode

Properties.4. Seleccione el nuevo modo de ejecución, AlwaysOn o AutoStop y, a continuación, elija Modify.

Comenzar y detener un WorkSpace de tipo AutoStopCuando los espacios de trabajo de tipo AutoStop no se están utilizando, se paran automáticamentetranscurrido un periodo de tiempo especificado de inactividad y el recuento de horas se suspende. Paraoptimizar los costos aún más, puede suspender los cargos por hora asociados a los espacios de trabajo detipo AutoStop. El WorkSpace se para y se guardan todas las aplicaciones y los datos para la próxima vezque un usuario inicie sesión.

51




Amazon WorkSpaces Guía de administraciónEstablecer el modo de mantenimiento

Cuando un usuario vuelve a conectarse a un espacio de trabajo parado, se reanuda donde se hayaquedado, normalmente en menos de 90 segundos.

Puede reiniciar espacios de trabajo de tipo AutoStop que están disponibles o en un estado de error.

Para parar un espacio de trabajo de tipo AutoStop

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione los que desea parar y elija Actions, Stop WorkSpaces.4. Cuando se le pida que confirme, elija Stop.

Para iniciar un espacio de trabajo de tipo AutoStop

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione los que desea iniciar y elija Actions, Start WorkSpaces.4. Cuando se le pida que confirme, elija Start.

Para eliminar los costos de la infraestructura fija asociados a espacios de trabajo de tipo AutoStop,elimine el espacio de trabajo de su cuenta. Para obtener más información, consulte EliminarWorkSpaces (p. 57).

Establecer el modo de mantenimientoSi habilita el modo de mantenimiento para los Workspaces de tipo AutoStop, se iniciarán automáticamenteuna vez al mes para descargar e instalar las actualizaciones importantes de servicio, de seguridad y deWindows. Salvo que las actualizaciones se retrasen, programamos el periodo de mantenimiento para eltercer lunes del mes, de 00:00 a 05:00 en la zona horaria de la región del Workspace.

Después de habilitar el modo de mantenimiento, asegúrese de que los Workspaces se encuentran enestado detenido entre las 00:00 y las 02:00 del periodo de mantenimiento. De lo contrario, no se hará elmantenimiento automáticamente.

Si administra las actualizaciones en los espacios de trabajo de forma periódica, puede deshabilitar el modode mantenimiento.

Para establecer el modo de mantenimiento

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Directories.3. Seleccione el directorio y elija Actions, Update Details.4. Amplíe Maintenance Mode.5. Para habilitar las actualizaciones automáticas, elija Enabled. Si administra las actualizaciones de

forma manual, elija Disabled.6. Elija Update and Exit.

Modificar un escritorio de WorkSpacesPuede aumentar el tamaño de los volúmenes raíz y de usuario de un escritorio de WorkSpaces hasta unmáximo de 1000 GB cada uno. Además, puede ampliar estos volúmenes independientemente de si estáncifrados o no. Puede solicitar una expansión de volumen una vez cada 24 horas. Para asegurarse de que

52




Amazon WorkSpaces Guía de administraciónEtiquetado de un espacio de trabajo

se conservan los datos, no se puede reducir el tamaño del volumen raíz ni de los volúmenes de usuariodespués de lanzar un Workspace.

Puede cambiar un escritorio de WorkSpaces entre los paquetes Value, Standard, Performance y Power.Si solicita un cambio de paquete, Amazon WorkSpaces reinicia el escritorio de WorkSpaces con el nuevopaquete. Amazon WorkSpaces conserva el sistema operativo, las aplicaciones, los datos y la configuraciónde almacenamiento del escritorio de WorkSpaces. Puede solicitar un paquete más grande una vez cada24 horas o un paquete más pequeño una vez cada 30 días. Para un nuevo escritorio de WorkSpace reciénlanzado, debe esperar 24 horas antes de solicitar un paquete de gran tamaño.

Para modificar la configuración de un escritorio de WorkSpaces

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione el WorkSpace y elija Actions, Modify WorkSpace.4. Para aumentar el tamaño del volumen raíz o de usuario, seleccione Modify Volume Sizes e introduzca

los nuevos valores.5. Para cambiar el paquete, elija Change Compute Type y seleccione el nuevo tipo de paquete.6. Elija Modify.

Etiquetado de un espacio de trabajoPuede organizar y administrar los WorkSpaces asignando sus propios metadatos a cada WorkSpacecomo etiquetas. Especificará una clave y un valor para cada etiqueta. Una clave puede ser una categoríageneral, como "proyecto", "propietario" o "entorno", con valores específicos asociados. El uso de lasetiquetas es una forma sencilla y potente para gestionar los recursos de AWS y organizar los datos,incluidos los datos de facturación.

Puede aplicar etiquetas a un escritorio de WorkSpaces cuando lo lanza, o bien, hacerlo posteriormente.Cada etiqueta se aplica automáticamente a todas las aplicaciones de WAM y cargos de serviciosrelacionados con WAM por el WorkSpace. Las etiquetas añadidas a los Workspaces existentes apareceránen el informe de asignación de costos a principios del mes siguiente para los Workspaces renovados esemes. Para obtener más información, consulte Informe de asignación de costos mensual.

Restricciones de las etiquetas

• El número máximo de etiquetas por espacio de trabajo es 50.• La longitud máxima de la clave es de 127 caracteres.• La longitud máxima del valor es de 255 caracteres.• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas.• Las etiquetas con el prefijo "aws:" o "aws:workspaces:" no pueden utilizarse. Estos prefijos están

reservados para AWS y WorkSpaces, respectivamente. Las etiquetas con estos prefijos no se puedeneditar ni eliminar.

Para actualizar las etiquetas de un WorkSpaces existente

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione el WorkSpace y elija Actions, Manage Tags.4. Realice una o más de las siguientes acciones:

a. Para actualizar una etiqueta, modifique los valores Key y Value.

53


http://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html


Amazon WorkSpaces Guía de administraciónCifrado de un espacio de trabajo

b. Para agregar una etiqueta, elija Add Tag y, a continuación, modifique los valores Key y Value.c. Para eliminar una etiqueta, elija el icono de eliminación (X) situado junto a la etiqueta.

5. Cuando termine de actualizar las etiquetas, elija Save.

Cifrado de un espacio de trabajoAmazon WorkSpaces se integra con AWS Key Management Service (AWS KMS). Esto le permite cifrarvolúmenes de almacenamiento de espacios de trabajo a través de claves maestras del cliente (CMK).Cuando inicia un nuevo WorkSpace, tiene la opción de cifrar el volumen raíz (disco C:) y el volumen delusuario (disco D:). Esto garantiza que se cifre todo: los datos almacenados en reposo, la E/S de disco en elvolumen y las instantáneas creadas a partir de los volúmenes.

Requisitos previosNecesita una CMK de AWS KMS para poder comenzar el proceso de cifrado.

La primera vez que inicia un espacio de trabajo desde la consola de Amazon WorkSpaces en unaregión, se crea automáticamente una CMK predeterminada. Puede seleccionar esta clave para cifrar losvolúmenes raíz y de usuario de su espacio de trabajo.

Si lo desea, puede seleccionar una CMK que haya creado utilizando AWS KMS. Para obtener másinformación sobre la creación de claves, consulte la sección sobre creación de claves en la AWSKey Management Service Developer Guide. Para obtener más información sobre la creación declaves mediante la API de AWS KMS, consulte la sección sobre el trabajo con claves de la AWS KeyManagement Service Developer Guide.

Debe cumplir los requisitos siguientes para utilizar una CMK de AWS KMS para cifrar los Workspaces:

• La clave debe estar habilitada.• Debe contar con los permisos y políticas correctos asociados a la clave. Para obtener más información,

consulte Permisos y roles de IAM para el cifrado (p. 55).

Límites• No se permite la creación de una imagen personalizada desde un espacio de trabajo cifrado.• No está permitido deshabilitar el cifrado de un espacio de trabajo cifrado.• El aprovisionamiento de los espacios de trabajo que tengan habilitado el cifrado de volumen raíz en el

momento de iniciarse puede tardar hasta una hora.• Para reiniciar o reconstruir un espacio de trabajo cifrado, primero asegúrese de que la CMK de AWS

KMS está habilitada; de lo contrario, el espacio de trabajo sería inutilizable.

Cifrado de espacios de trabajoPara cifrar un escritorio WorkSpace

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. Elija Launch WorkSpaces y complete los tres primeros pasos.3. En el paso WorkSpaces Configuration, haga lo siguiente:

a. Seleccione los volúmenes que se van a cifrar: volumen raíz, volumen de usuarios o ambos.

54

http://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

http://docs.aws.amazon.com/kms/latest/developerguide/programming-keys.html


Amazon WorkSpaces Guía de administraciónVisualización de WorkSpaces cifrados

b. En Encryption Key, elija su AWS KMS CMK.c. Seleccione Next Step.

4. Elija Launch WorkSpaces.

Visualización de WorkSpaces cifradosPara ver los volúmenes y WorkSpaces que se han cifrado en la consola de Amazon WorkSpaces, elijaWorkSpaces en la barra de navegación de la izquierda. La columna Volume Encryption muestra si cadaespacio de trabajo tiene habilitado o deshabilitado el cifrado. Para ver qué volúmenes específicos se hancifrado, expanda la entrada WorkSpace para ver el campo Encrypted Volumes.

Permisos y roles de IAM para el cifradoLos privilegios de cifrado de Amazon WorkSpaces requieren un acceso limitado a AWS KMS en unadeterminada clave para el usuario de IAM que inicia espacios de trabajo cifrados. A continuación, se ofreceuna política de claves de ejemplo que se puede utilizar. Esta política permite separar los principales quepueden administrar la CMK de AWS KMS de los que pueden utilizarla. El ID de cuenta y el nombre deusuario de IAM se deben modificar por los de su cuenta.

La primera instrucción coincide con la política de claves predeterminada de AWS KMS. La segunday la tercera instrucción definen los principales de AWS que pueden administrar y utilizar la clave,respectivamente. La cuarta instrucción permite a los servicios de AWS que están integrados con AWSKMS utilizar la clave en nombre del principal especificado. Esta instrucción permite a los servicios de AWScrear y administrar concesiones. La condición utiliza un clave de contexto que se establece únicamentepara las llamadas de AWS KMS que realizan los servicios de AWS en nombre de los clientes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:root"}, "Action": "kms:*", "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Create*", "kms:Describe*", "kms:Enable*", "kms:List*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Get*", "kms:Delete*" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:Encrypt", "kms:Decrypt",

55

Amazon WorkSpaces Guía de administraciónPermisos y roles de IAM para el cifrado

"kms:ReEncrypt", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::123456789012:user/Alice"}, "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant" ], "Resource": "*", "Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}} } ]}

La política de IAM para un usuario o rol que cifre un espacio de trabajo debe incluir los permisos de uso dela CMK, así como el acceso a los espacios de trabajo. A continuación, se ofrece un ejemplo de política quese puede asociar a un usuario de IAM para concederle los privilegios de los espacios de trabajo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:*", "ds:DescribeDirectories", "workspaces:*", "workspaces:DescribeWorkspaceBundles", "wam:CreateWorkspaces", "wam:DescribeWorkspaceBundles", "wam:DescribeWorkspaceDirectories", "wam:DescribeWorkspaces", "wam:RebootWorkspaces", "wam:RebuildWorkspaces" ], "Resource": "*" } ]}

A continuación, está la política de IAM que el usuario necesita para utilizar AWS KMS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:CreateGrant", "kms:Describe*", "kms:List*" ], "Resource": "*" } ]}

56

Amazon WorkSpaces Guía de administraciónReinicio de un espacio de trabajo

Reinicio de un espacio de trabajoOcasionalmente, es posible que sea necesario reiniciar un espacio de trabajo manualmente. Al reiniciarun espacio de trabajo, este se cierra y se vuelve a iniciar. Esto no afecta a los datos de usuario, el sistemaoperativo y la configuración del sistema.

Para reiniciar un espacio de trabajo

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione los WorkSpaces que desea volver a arrancar y elija Actions, Reboot WorkSpaces.4. Cuando se le pida confirmación, elija Reboot WorkSpaces.

Reconstrucción de un espacio de trabajoSi es necesario, puede reconstruir el sistema operativo de un espacio de trabajo para recuperar su estadooriginal. La reconstrucción de un espacio de trabajo tiene las siguientes consecuencias:

• El sistema se restablece a la imagen más reciente del paquete desde el que se creó el espacio detrabajo. Se pierden las aplicaciones que se hayan instalado o la configuración del sistema que se hayarealizado después de haber creado el espacio de trabajo.

• La unidad de datos (D) se vuelve a crear desde la última instantánea automática tomada de la unidad dedatos. Se sobrescribe el contenido actual de la unidad de datos. Se toman instantáneas automáticas delos datos cada 12 horas, por lo que antigüedad de la instantánea no es superior a 12 horas.

Para reconstruir un espacio de trabajo

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione los WorkSpaces que desea volver a compilar y elija Actions, Rebuild WorkSpaces.4. Cuando se le pida confirmación, elija Rebuild WorkSpaces.

Eliminar WorkSpacesCuando ya no necesite una WorkSpace, puede eliminarlo. También puede eliminar los recursosrelacionados.

Warning

Se trata de una acción permanente y no se puede deshacer. Los datos del usuario del Workspaceno se conservan y se destruyen. Para obtener ayuda para realizar el backup de los datos deusuario, póngase en contacto con AWS Support.

Para eliminar WorkSpaces

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, seleccione WorkSpaces.3. Seleccione el WorkSpace y elija Actions, Remove WorkSpaces.4. Cuando se le pida confirmación, seleccione Remove WorkSpaces. El estado del WorkSpace se

establece en TERMINATING. Cuando la operación ha terminado, el estado cambia a TERMINATED.

57




Amazon WorkSpaces Guía de administraciónActualización de Workspaces BYOL de Windows 10

5. (Opcional) Para eliminar paquetes e imágenes personalizados que no vaya a volver a usar, consulteEliminar un paquete de WorkSpaces personalizado (p. 64).

6. (Opcional) Una vez eliminados todos los escritorios WorkSpaces de un directorio, puede eliminarel directorio. Para obtener más información, consulte Eliminar el directorio de los escritoriosWorkSpaces (p. 33).

7. (Opcional) Después de eliminar todos los recursos de la nube virtual privada (VPC) para el directorio,puede eliminarla y liberar la dirección IP elástica utilizada para la gateway NAT.

Actualización de Workspaces BYOL de Windows 10Si usa Workspaces BYOL de Windows 10, puede actualizar un Workspace de Windows 10 a una versiónmás reciente de Windows 10 mediante la actualización in situ. Siga las instrucciones de este tema parahacerlo.

Note

Estas directrices se aplican únicamente a los Workspaces BYOL de Windows 10. LosWorkspaces con la experiencia de escritorio de Windows 10 se basan en Windows Server 2016 yno necesitan actualizaciones periódicas de la versión del sistema operativo de Microsoft.

Requisitos previos

• Si ha aplazado o puesto en pausa las actualizaciones de Windows 10 mediante la política de grupo ocon System Center Configuration Manager (SCCM), habilite las actualizaciones del sistema operativopara los Workspaces de Windows 10.

• Si el Workspace es de tipo AutoStop, cámbielo a un Workspace AlwaysOn antes de que se realiceel proceso de actualización in situ para que no se detenga automáticamente mientras se aplican lasactualizaciones. Para obtener más información, consulte Modificar el modo de ejecución (p. 51). Sidesea dejarlos como AutoStop, cambie la hora de AutoStop a tres horas o más mientras se realizan lasactualizaciones.

• El proceso de actualización in situ vuelve a crear el perfil de usuario realizando una copia de un perfilespecial denominado Default User (Usuario predeterminado) (C:\Users\Default). Para conservarlos valores personalizados de las preferencias de Windows y de la configuración de las aplicaciones quealmacenan en el Registro de Windows, modifique C:\Users\Default\NTUSER.DAT en el Workspaceantes de llevar a cabo las actualizaciones in situ.

Para realizar una actualización in situ de Windows 10

1. Compruebe la versión de Windows que se está ejecutando actualmente en los Workspaces BYOL deWindows 10 que se van a actualizar y, a continuación, reinícielos.

2. Actualice las siguientes claves del registro del sistema de Windows para cambiar el valor de Enabled(Habilitado) de 0 a 1. Estos cambios en el registro permiten que se realice la actualización in situ delWorkspace.

Puede hacerlo manualmente. Si tiene que actualizar varios Workspaces, puede utilizar la política degrupo o SCCM para enviar un script de PowerShell (p. 60).

• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1• HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\upgrade-pvdrivers.ps1

Note

Si estas claves no existen, reinicie el Workspace. Las claves deben añadirse cuando sereinicia el sistema.

58

Amazon WorkSpaces Guía de administraciónLimitaciones conocidas

3. Después de guardar los cambios en el registro, reinicie el Workspace de nuevo para que se apliquenlos cambios.

Note

Tras el reinicio, se crea un nuevo perfil de usuario al iniciar sesión en el Workspace. Esposible que vea iconos de marcador de posición en el menú Inicio. Esto se solucionaautomáticamente después de que finalice la actualización in situ.

[Comprobación opcional]: Asegúrese de que el valor de la clave siguiente está establecido en 1, lo quedesbloquea el Workspace para actualizarlo:

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\profileImagePathDeleted

4. Realice la actualización in situ. Puede utilizar el método que prefiera; por ejemplo, SCCM, ISO oWindows Update (WU). En función de la versión original de Windows 10 y del número de aplicacionesinstaladas, la actualización puede tardar entre 40 y 120 minutos.

5. Una vez completada la actualización, compruebe que la versión de Windows se ha actualizado.

Note

Si se produce un error en la actualización in situ, Windows restaura automáticamente laversión de Windows 10 que existía antes de iniciar la actualización. Para obtener másinformación sobre solución de problemas, consulte la documentación de Microsoft.

[Comprobación opcional]: Para confirmar que los scripts de actualización se han ejecutadocorrectamente, verifique que el valor de la clave siguiente se ha establecido en 1.

HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\enable-inplace-upgrade.ps1\scriptExecutionComplete

Después de las actualizaciones in situ, el archivo NTUSER.DAT del usuario se vuelve a generar y secoloca en la unidad C, de modo que no sea necesario volver a realizar los pasos anteriores para futurasactualizaciones in situ de Windows 10. WorkSpaces redirige las siguientes carpetas del shell a la unidad D:

• D:\Users\%USERNAME%\Downloads

• D:\Users\%USERNAME%\AppData\Roaming

• D:\Users\%USERNAME%\Desktop

• D:\Users\%USERNAME%\Favorites

• D:\Users\%USERNAME%\Music

• D:\Users\%USERNAME%\Pictures

• D:\Users\%USERNAME%\Videos

• D:\Users\%USERNAME%\Documents

Si redirige las carpetas del shell a otras ubicaciones de WorkSpaces, realice las operaciones necesarias enWorkSpaces después de las actualizaciones in situ.

Limitaciones conocidasEl cambio de ubicación de NTUSER.DAT no se produce durante las reconstrucciones de los Workspaces.Si realiza una actualización in situ en un Workspace BYOL de Windows 10 y, a continuación, loreconstruye, el Workspace nuevo utiliza el archivo NTUSER.DAT de la unidad D. Además, si el paquetepredeterminado contiene la imagen que se basa en una versión anterior de Windows 10, debe realizar laactualización in situ de nuevo después de reconstruir el Workspace.

59

https://docs.microsoft.com/en-us/windows/deployment/upgrade/resolve-windows-10-upgrade-errors

Amazon WorkSpaces Guía de administraciónSolución de problemas

Solución de problemasSi se produce algún problema con la actualización, puede comprobar lo siguiente para solucionarlo:

• Logs de Windows, que se encuentran, de forma predeterminada, en las ubicaciones siguientes:

C:\Program Files\Amazon\WorkSpacesConfig\Logs\

C:\Program Files\Amazon\WorkSpacesConfig\Logs\TRANSMITTED

• Visor de eventos de Windows

Registros de Windows > Aplicación > Origen: Amazon WorkSpaces• Si, durante el proceso, observa que algunos iconos de acceso directo del escritorio ya no funcionan, se

debe a que WorkSpaces mueve los perfiles de usuario de la unidad D a la unidad C para prepararsepara la actualización. Cuando finaliza la actualización, los accesos directos funcionan según lo previsto.

Actualización del registro de un Workspace con scriptde PowerShellPuede utilizar el siguiente ejemplo de script de PowerShell para actualizar el registro de los Workspacescon objeto de permitir la actualización in situ. Siga los pasos de la sección anterior, pero utilice este scriptpara actualizar el registro en cada Workspace.

# AWS WorkSpaces 2.13.18# Enable In-Place Update Sample Scripts# These registry keys and values will enable scripts to execute on next reboot of the WorkSpace. $scriptlist = ("update-pvdrivers.ps1","enable-inplace-upgrade.ps1")$wsConfigRegistryRoot="HKLM:\Software\Amazon\WorkSpacesConfig"$Enabled = 1 foreach ($scriptName in $scriptlist){ $scriptRegKey = "$wsConfigRegistryRoot\$scriptName" if (-not(Test-Path $scriptRegKey)) { Write-Host "Registry key not found. Creating registry key '$scriptRegKey' with 'Update' enabled." New-Item -Path $wsConfigRegistryRoot -Name $scriptName -ErrorAction SilentlyContinue | Out-Null New-ItemProperty -Path $scriptRegKey -Name Enabled -PropertyType DWord -Value $Enabled | Out-Null Write-Host "Value created. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } else { Write-Host "Registry key is already present with value '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" if((Get-ItemProperty -Path $scriptRegKey).Enabled -ne $Enabled) { Set-ItemProperty -Path $scriptRegKey -Name Enabled -Value $Enabled Write-Host "Value updated. '$scriptRegKey' Enabled='$((Get-ItemProperty -Path $scriptRegKey).Enabled)'" } }}

60

Amazon WorkSpaces Guía de administraciónCreación de un paquete personalizado

Imágenes y paquetes deWorkSpaces

Un paquete de WorkSpaces especifica el hardware y el software del escritorio de WorkSpaces. Cuandolanza un escritorio de WorkSpaces, puede seleccionar el paquete que se adapte a sus necesidades. Paraobtener más información, consulte Paquetes de Amazon WorkSpaces.

Puede crear una imagen de un escritorio de WorkSpaces que haya personalizado, crear un paquete deWorkSpace personalizado de la imagen y lanzar el WorkSpace desde el paquete personalizado. Con unpaquete personalizado, se asegura de que los escritorios de WorkSpaces de los usuarios tienen todo loque necesitan ya instalado. Si necesita realizar actualizaciones de software o instalar software adicionalen los escritorios de WorkSpaces, puede actualizar el paquete personalizado y volver a compilar losescritorios.

Contenido• Creación de un paquete WorkSpaces personalizado (p. 61)• Actualizar un paquete de WorkSpaces personalizado (p. 63)• Eliminar un paquete de WorkSpaces personalizado (p. 64)• Usar imágenes de escritorio de Windows propias (p. 64)

Creación de un paquete WorkSpaces personalizadoDespués de lanzar un WorkSpaces y personalizarlo, puede crear una imagen del mismo y, a continuación,crear un paquete personalizado de la imagen. Puede especificar este paquete cuando lance nuevosescritorios de WorkSpaces para garantizar que tienen la misma configuración y software que el escritorioWorkSpace que utilizó para crear el paquete.

Requisitos

• Todas las aplicaciones que se incluyen en la imagen deben estar instaladas en la unidad C:\ o en elperfil de usuario, en D:\Users\username. También deben ser compatible con Microsoft Sysprep.

• El perfil de usuario debe existir y el tamaño total (archivos y datos) debe ser inferior a 10 GB.• La unidad C:\ debe tener espacio libre suficiente para el contenido del perfil de usuario y 2 GB

adicionales.• Todos los servicios de aplicaciones que se ejecuten en el escritorio WorkSpaces deben utilizar una

cuenta de sistema local en lugar de las credenciales de usuario de dominio. Por ejemplo, no puedehaber una instalación de Microsoft SQL Server Express en ejecución con las credenciales de un usuariodel dominio.

• Los siguientes componentes son necesarios en una imagen; de lo contrario, los WorkSpaces que lancea partir desde la imagen no funcionarán correctamente:• PowerShell• Servicios de Escritorio remoto• Controladores AWS PV• EC2Config o EC2Launch (Windows Server 2016)• [EC2Launch 1.2.0 o anterior] Administración remota de Windows (WinRM)

61


Amazon WorkSpaces Guía de administraciónCreación de un paquete personalizado

• Agentes y controladores de Teradici PCoIP• Agentes y controladores de STXHD• Certificados de AWS y WorkSpaces• Agente de Skylight

Prácticas recomendadas

Antes de crear una imagen de WorkSpaces, haga lo siguiente:

• Instale todas las actualizaciones de las aplicaciones y del sistema operativo en el escritorio deWorkSpaces.

• Elimine los datos almacenados en la memoria caché del WorkSpace que no deban incluirse en elpaquete (por ejemplo, el historial de navegación, los archivos almacenados en caché y las cookies delnavegador).

• Elimine los valores de configuración del escritorio de WorkSpaces que no debería incluirse en el paquete(por ejemplo, perfiles de correo electrónico).

Para crear un paquete personalizado

1. Si aún está conectado al escritorio de WorkSpaces, desconéctese.2. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.3. En el panel de navegación, seleccione WorkSpaces.4. Seleccione el WorkSpace y elija Actions, Create Image.5. Escriba un nombre y una descripción de la imagen que le ayuden a identificarla y, a continuación, elija

Create Image. El escritorio de WorkSpaces no está disponible mientras se crea la imagen.6. En el panel de navegación, elija Images. La imagen se habrá completado cuando el estado cambie a

Available.7. Seleccione la imagen y elija Actions, Create Bundle.8. Escriba un nombre y una descripción para el paquete, seleccione un tipo de hardware y elija Crear

Bundle.

Crear imágenes

Cuando se crea una imagen, se incluye todo el contenido de la unidad C:\. Se incluye todo el contenidodel perfil de usuario guardado en D:\Users\username, excepto los siguientes elementos:

• Contactos• Descargas• Música• Imágenes• Juegos guardados• Vídeos• Podcasts• Máquinas virtuales• .virtualbox• Tracing• appdata\local\temp• appdata\roaming\apple computer\mobilesync\• appdata\roaming\apple computer\logs\

62


Amazon WorkSpaces Guía de administraciónActualizar un paquete personalizado

• appdata\roaming\apple computer\itunes\iphone software updates\• appdata\roaming\macromedia\flash player\macromedia.com\support\flashplayer\sys\• appdata\roaming\macromedia\flash player\#sharedobjects\• appdata\roaming\adobe\flash player\assetcache\• appdata\roaming\microsoft\windows\recent\• appdata\roaming\microsoft\office\recent\• appdata\roaming\microsoft office\live meeting• appdata\roaming\microsoft shared\livemeeting shared\• appdata\roaming\mozilla\firefox\crash reports\• appdata\roaming\mcafee\common framework\• appdata\local\microsoft\feeds cache• appdata\local\microsoft\windows\temporary internet files\• appdata\local\microsoft\windows\history\• appdata\local\microsoft\internet explorer\domstore\• appdata\local\microsoft\internet explorer\imagestore\• appdata\locallow\microsoft\internet explorer\iconcache\• appdata\locallow\microsoft\internet explorer\domstore\• appdata\locallow\microsoft\internet explorer\imagestore\• appdata\local\microsoft\internet explorer\recovery\• appdata\local\mozilla\firefox\profiles\

Actualizar un paquete de WorkSpacespersonalizado

Puede actualizar un paquete de WorkSpaces personalizado modificando un escritorio de WorkSpacebasado en el paquete, creando una imagen del WorkSpace y actualizando el paquete con la nuevaimagen. Puede lanzar escritorios de WorkSpaces nuevos usando el paquete actualizado. Para actualizarlos WorkSpaces existentes que se basan en el paquete, vuelva a compilar el WorkSpace.

Para actualizar un paquete

1. Conéctese a un WorkSpace que se base en el paquete y haga algún cambio. Por ejemplo, puedeaplicar las revisiones más recientes del sistema operativo y las aplicaciones, así como instalar otrasaplicaciones.

También puede crear un WorkSpace con el mismo paquete de software de base (Plus o Standard)como la imagen utilizada para crear el paquete y hacer cambios.

2. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.3. En el panel de navegación, seleccione WorkSpaces.4. Seleccione el WorkSpace y elija Actions, Create Image.5. Escriba un nombre y una descripción para la imagen y, luego, elija Create Image. El escritorio de

WorkSpaces no está disponible mientras se crea la imagen.6. En el panel de navegación, elija Bundles.7. Seleccione el paquete y elija Actions, Update Bundle.8. En Update WorkSpace Bundle, seleccione la imagen que ha creado y elija Update Bundle.9. (Opcional) Recompile el WorkSpace existente basado en el paquete. Para obtener más información,


63


Amazon WorkSpaces Guía de administraciónEliminar un paquete personalizado

Eliminar un paquete de WorkSpaces personalizadoPuede eliminar los paquetes personalizados que no utilice según lo necesite. Si elimina un paquete queestá utilizando un escritorio de WorkSpaces, el paquete se sitúa en una cola de eliminación y se eliminarádespués de suprimir todos los WorkSpaces basados en el paquete.

Para eliminar un paquete

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Bundles.3. Seleccione el paquete y elija Actions, Delete Bundle.4. Cuando se le pida que confirme, elija Delete Bundle.

Después de eliminar un paquete personalizado, puede eliminar la imagen que usó para crearlo oactualizarlo.

Para eliminar una imagen

1. Abra la consola de Amazon WorkSpaces en https://console.aws.amazon.com/workspaces/.2. En el panel de navegación, elija Images.3. Seleccione la imagen y elija Actions, Delete Image.4. Cuando se le pida que confirme, elija Delete Image.

Usar imágenes de escritorio de Windows propiasSi su acuerdo de licencia con Microsoft lo permite, puede utilizar las imágenes de escritorio de Windows 7o Windows 10 Enterprise o Professional con WorkSpaces. Para ello, debe utilizar el programa BYOL("traiga su propia licencia") de Microsoft Windows y proporcionar una imagen de Windows 7 o Windows 10que cumpla los requisitos que se indican a continuación. Para cumplir las condiciones de licencia deMicrosoft, también debe ejecutar el Amazon WorkSpaces en un hardware dedicado de la nube de AWS. Sitrae su licencia, ahorrará dinero y podrá ofrecer una experiencia uniforme a los usuarios. Para obtener másinformación, consulte los Precios de Amazon WorkSpaces.

RequisitosAntes de comenzar, haga lo siguiente:

• Revise los requisitos previos y las limitaciones que se aplican a la importación de sistemas operativos deWindows en una VM. Para obtener más información, consulte Importing a VM as an Image.

• Compruebe que el acuerdo de licencia de Microsoft Windows permite que Windows se ejecute en unentorno de alojamiento virtual.

• Compruebe que el sistema operativo Windows es de 64 bits y que está activado en los servidores deadministración clave.

• Compruebe que el sistema operativo Windows tiene "English (United States)" como idioma principal.• Compruebe que la imagen base no contiene ningún otro software salvo el que viene con Windows 7

o Windows 10. Puede agregar software adicional, como una solución antivirus, y crear una imagenpersonalizada más adelante.

• Ejecute Sysprep para preparar la imagen.• Cree la cuenta siguiente con acceso de administrador local antes de compartir la imagen:

WorkSpaces_BYOL. La contraseña de esta cuenta se le solicitará más adelante.

64




http://docs.aws.amazon.com/vm-import/latest/userguide/vmimport-image-import.html

Amazon WorkSpaces Guía de administraciónIntroducción

• Compruebe que la imagen que va a importar se encuentra en un solo volumen de menos de 80 GB yque el formato de imagen es OVA.

• Amazon WorkSpaces utiliza una interfaz de administración. Esta está conectada a una red deadministración segura de Amazon WorkSpaces que se utiliza para realizar streaming interactivo. Estopermite a Amazon WorkSpaces administrar los WorkSpaces. Para obtener más información, consulteInterfaces de red (p. 16). Asegúrese de que Amazon WorkSpaces puede usar un rango /16 para lainterfaz de administración al menos en uno de los rangos IP siguientes:• 10.0.0.0/8• 100.64.0.0/10• 172.16.0.0/12• 192.168.0.0/16• 198.18.0.0/15

• Debe utilizar un mínimo de 200 espacios de trabajo de Amazon WorkSpaces para poder ejecutarAmazon WorkSpaces en un hardware dedicado. Es obligatorio ejecutar Amazon WorkSpaces en unhardware dedicado para cumplir con los requisitos de las licencias de Microsoft.

IntroducciónPara empezar, póngase en contacto con el administrador de la cuenta de AWS o con un representantede ventas. También puede crear un caso de soporte técnico para Amazon WorkSpaces. Su contactocomprobará si ha asignado suficiente capacidad dedicada suficiente en la cuenta y le guiará a través delproceso de configuración de BYOL.

65

https://aws.amazon.com/contact-us/aws-sales/

https://aws.amazon.com/contact-us/aws-sales/

https://console.aws.amazon.com/support/home?region=us-east-1#/case/create

Amazon WorkSpaces Guía de administraciónMétricas de Amazon WorkSpaces

Monitorización de AmazonWorkSpaces

Amazon WorkSpaces y Amazon CloudWatch están integrados, por lo que puede recopilar y analizarlas métricas de rendimiento. Puede monitorizar estas métricas a través de la consola de CloudWatch,la interfaz de línea de comandos de CloudWatch o mediante programación con la API de CloudWatch.CloudWatch también le permite establecer alarmas cuando alcance un umbral especificado para unamétrica.

Para obtener más información sobre el uso de CloudWatch y las alarmas, consulte Guía del usuario deAmazon CloudWatch.

Requisitos previos

Para obtener métricas de CloudWatch, habilite el acceso en el puerto 443 en el subconjunto AMAZON dela us-east-1 región. Para obtener más información, consulte Requisitos de los puertos para AmazonWorkSpaces (p. 12).

Contenido• Métricas de Amazon WorkSpaces (p. 66)• Dimensiones de métricas de Amazon WorkSpaces (p. 68)• Ejemplo de monitorización (p. 68)

Métricas de Amazon WorkSpacesEl espacio de nombres de AWS/WorkSpaces incluye las siguientes métricas.

Métrica Descripción Dimensiones Estadísticasdisponibles

unidades

Available1 El número deinstancias deWorkSpacesque devuelvenun estado defuncionamientocorrecto.

DirectoryId

WorkspaceId

Promedio,mínimo, máximo,suma, muestrasde datos

Recuento

Unhealthy1 El número deinstancias deWorkSpacesque devuelvenun estado defuncionamientoincorrecto.

DirectoryId

WorkspaceId


Recuento

ConnectionAttempt2 El número deintentos deconexión.

DirectoryId

WorkspaceId


Recuento

66

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/

Amazon WorkSpaces Guía de administraciónMétricas de Amazon WorkSpaces

Métrica Descripción Dimensiones Estadísticasdisponibles

unidades

ConnectionSuccess2 El número deconexionesrealizadascorrectamente.

DirectoryId

WorkspaceId


Recuento

ConnectionFailure2 El número deconexiones quehan producido unerror.

DirectoryId

WorkspaceId


Recuento

SessionLaunchTime2 La cantidad detiempo que setarda en iniciaruna sesión deWorkSpaces.

DirectoryID

WorkspaceID


Segundo(tiempo)

InSessionLatency2 El tiempo de iday vuelta entreel cliente deWorkSpaces yla instancia deWorkSpaces.

DirectoryID

WorkspaceID


Milisegundo(tiempo)

SessionDisconnect2 El número deconexiones quese cerraron,incluidas lasiniciadas por elusuario y las queprodujeron unerror.

DirectoryID

WorkspaceID


Recuento

UserConnected3 El número deinstancias deWorkSpaces quetienen un usuarioconectado.

DirectoryID

WorkspaceID


Recuento

Stopped El número deinstancias deWorkSpaces quese han detenido.

DirectoryID

WorkspaceID


Recuento

Maintenance4 El número deinstancias deWorkSpaces quese encuentran enmantenimiento.

DirectoryID

WorkspaceID


Recuento

1 Amazon WorkSpaces envía periódicamente solicitudes de estado a una instancia de WorkSpaces.Una instancia de WorkSpaces se marca como Available cuando responde a estas solicitudes ycomo Unhealthy cuando no responde a estas solicitudes. Estas métricas se ofrecen para cada instanciade WorkSpaces y también para todas las instancias de WorkSpaces de una organización.

67

Amazon WorkSpaces Guía de administraciónDimensiones de métricas de Amazon WorkSpaces

2 Amazon WorkSpaces registra métricas de las conexiones realizadas a cada instancia de WorkSpaces.Estas métricas se emiten después de que un usuario se haya autenticado correctamente a travésdel cliente de WorkSpaces y tras iniciar una sesión. Las métricas se ofrecen para cada instancia deWorkSpaces y también para todas las instancias de WorkSpaces de un directorio.3 Amazon WorkSpaces envía periódicamente solicitudes de estado de conexión a una instancia deWorkSpaces. Los usuarios se registran como conectados cuando utilizan activamente sus sesiones. Estamétrica se ofrece para cada instancia de WorkSpaces y también para todas las instancias de WorkSpacesde una organización.4 Esta métrica se aplica a las instancias de WorkSpaces configuradas con el modo de funcionamientoAutoStop. Si ha habilitado el mantenimiento para sus instancias de WorkSpaces, esta métrica obtiene elnúmero de instancias de WorkSpaces que se encuentran actualmente en mantenimiento. Esta métrica seofrece para cada instancia de WorkSpaces e indica cuándo una instancia de WorkSpaces se sometió amantenimiento y cuándo se eliminó.

Dimensiones de métricas de Amazon WorkSpacesHay métricas de Amazon WorkSpaces disponibles para las siguientes dimensiones.

Dimensión Descripción

DirectoryId Limita los datos que recibe en las instanciasde WorkSpaces en el directorio especificado.El valor de DirectoryId tiene el formato d-XXXXXXXXXX.

WorkspaceId Limita los datos que recibe en la instanciade WorkSpaces especificada. El valor deWorkspaceId tiene el formato ws-XXXXXXXXXX.

Ejemplo de monitorizaciónEl siguiente ejemplo ilustra cómo usar la AWS CLI para responder a una alarma de CloudWatch ydeterminar qué espacios de trabajo de un directorio han experimentado errores de conexión.

Para responder a una alarma de CloudWatch

1. Determine a qué directorio se aplica la alarma usando el comando describe-alarms.

aws cloudwatch describe-alarms --state-value "ALARM"

{ "MetricAlarms": [ { ... "Dimensions": [ { "Name": "DirectoryId", "Value": "directory_id" } ], ... } ]

68

http://docs.aws.amazon.com/cli/latest/reference/cloudwatch/describe-alarms.html

Amazon WorkSpaces Guía de administraciónEjemplo de monitorización

}

2. Obtenga la lista de los WorkSpaces en el directorio especificado con el comando describe-workspaces.

aws workspaces describe-workspaces --directory-id directory_id

{ "Workspaces": [ { ... "WorkspaceId": "workspace1_id", ... }, { ... "WorkspaceId": "workspace2_id", ... }, { ... "WorkspaceId": "workspace3_id", ... } ]}

3. Consiga las métricas de CloudWatch para cada escritorio de WorkSpaces del directorio usando elcomando get-metric-statistics.

aws cloudwatch get-metric-statistics \--namespace AWS/WorkSpaces \--metric-name ConnectionFailure \--start-time 2015-04-27T00:00:00Z \--end-time 2015-04-28T00:00:00Z \--period 3600 \--statistics Sum \--dimensions "Name=WorkspaceId,Value=workspace_id"

{ "Datapoints" : [ { "Timestamp": "2015-04-27T00:18:00Z", "Sum": 1.0, "Unit": "Count" }, { "Timestamp": "2014-04-27T01:18:00Z", "Sum": 0.0, "Unit": "Count" } ], "Label" : "ConnectionFailure"}

69

http://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html

http://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces.html

http://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html

Amazon WorkSpaces Guía de administraciónA menudo, se producen errores cuando intentoiniciar WorkSpaces en mi directorio conectado

Solución de problemas de AmazonWorkSpaces

La siguiente información puede ayudarle a solucionar problemas de WorkSpaces.

Problemas• A menudo, se producen errores cuando intento iniciar WorkSpaces en mi directorio

conectado (p. 70)• El lanzamiento de WorkSpaces arroja un error interno (p. 70)• No se puede establecer conexión con un espacio de trabajo a través de un banner de inicio de sesión

interactivo (p. 71)• Ninguno de los escritorios de WorkSpaces de mi directorio puede conectarse a Internet (p. 71)• Aparece el error "DNS no disponible" cuando intento conectarme a mi directorio on-premise (p. 71)• Aparece el error "Problemas de conectividad detectados" cuando intento conectarme a mi directorio

on-premise (p. 71)• Aparece el error "Registro SRV" cuando intento conectarme a mi directorio on-premise (p. 72)• Uno de mis espacios de trabajo tiene un estado de mal funcionamiento (p. 72)• El estado de mis aplicaciones no se guardó cuando el espacio de trabajo dejó de funcionar (p. 73)

A menudo, se producen errores cuando intentoiniciar WorkSpaces en mi directorio conectado

Compruebe que se puede obtener acceso a los dos servidores DNS o controladores de dominio deldirectorio on-premise desde cada una de las subredes que especificó cuando se conectó al directorio.Para comprobar la conectividad, puede iniciar una instancia EC2 en cada subred y vincular la instancia aldirectorio utilizando las direcciones IP de los dos servidores DNS.

El lanzamiento de WorkSpaces arroja un errorinterno

Compruebe si las subredes están configuradas para asignar direcciones IPv6 automáticamente a lasinstancias lanzadas en la subred. Para comprobar esta configuración, abra la consola de Amazon VPC,seleccione la subred y elija Subnet Actions, Modify auto-assign IP settings. Si este valor está habilitado,no puede lanzar WorkSpaces con los paquetes Performance o Graphics. En su lugar, desactive estaconfiguración y especifique las direcciones IPv6 manualmente cuando lance las instancias.

70

Amazon WorkSpaces Guía de administraciónNo se puede establecer conexión con un espacio de

trabajo a través de un banner de inicio de sesión interactivo

No se puede establecer conexión con un espaciode trabajo a través de un banner de inicio de sesióninteractivo

La implementación de un mensaje de inicio de sesión interactivo que muestre un anuncio de inicio desesión impide que los usuarios tengan acceso a WorkSpaces. Actualmente Amazon WorkSpaces noadmite la configuración de políticas de grupo de mensajes de inicio de sesión interactivos.

Ninguno de los escritorios de WorkSpaces de midirectorio puede conectarse a Internet

Los espacios de trabajo no pueden comunicarse con Internet de forma predeterminada. Para que tenganconexión a Internet, debe proporcionarles acceso de manera explícita. Para obtener más información,consulte Proporcionar acceso a Internet desde WorkSpaces (p. 24).

Aparece el error "DNS no disponible" cuandointento conectarme a mi directorio on-premise

Cuando se conecta al directorio on-premise, aparece un error similar al siguiente:

DNS unavailable (TCP port 53) for IP: dns-ip-address

Es necesario que AD Connector pueda comunicarse con los servidores DNS on-premise a través de TCPy UDP en el puerto 53. Asegúrese de que los grupos de seguridad y los firewalls on-premise permiten lacomunicación TCP y UDP a través de dicho puerto.

Aparece el error "Problemas de conectividaddetectados" cuando intento conectarme a midirectorio on-premise

Cuando se conecta al directorio on-premise, aparece un error similar al siguiente:

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address Kerberos/authentication unavailable (TCP port 88) for IP: ip-address. Asegúrese de que los puertos enumerado están disponibles y vuelve a intentar la operación.

Es necesario que AD Connector pueda comunicarse con los controladores de dominio on-premise a travésde TCP y UDP en los siguientes puertos. Asegúrese de que los grupos de seguridad y los firewall on-premise permiten la comunicación TCP y UDP a través de dichos puertos.

• 88 (Kerberos)

71

Amazon WorkSpaces Guía de administraciónAparece el error "Registro SRV" cuando

intento conectarme a mi directorio on-premise

• 389 (LDAP)

Aparece el error "Registro SRV" cuando intentoconectarme a mi directorio on-premise

Al conectarse al directorio on-premise, puede aparecer un error similar a los siguientes:

SRV record for LDAP does not exist for IP: dns-ip-address SRV record for Kerberos does not exist for IP: dns-ip-address

Cuando AD Connector se conecta al directorio, necesita obtener los registros SRV _ldap._tcp.dns-domain-name y _kerberos._tcp.dns-domain-name. Este error aparecerá si el servicio no puedeobtener estos registros de los servidores DNS que especificó al conectarse a su directorio. Asegúrese deque los servidores DNS contienen estos registros SRV. Para obtener más información, consulte Registrosde recursos SRV en Microsoft TechNet.

Uno de mis espacios de trabajo tiene un estado demal funcionamiento

El servicio Amazon WorkSpaces envía periódicamente solicitudes de estado a los espacios de trabajo. Siun espacio de trabajo no responde a estas solicitudes, se le asignará el estado Unhealthy. Las causasmás comunes de este problema son:

• Una aplicación del espacio de trabajo está bloqueando los puertos de red, lo que impide que el espaciode trabajo pueda responder a la solicitud de estado.

• Un uso elevado de la CPU impide que el espacio de trabajo pueda responder a tiempo a la solicitud deestado.

• El nombre de equipo del espacio de trabajo se ha modificado. Esto impide que se establezca un canalseguro entre Amazon WorkSpaces y el espacio de trabajo.

Puede intentar solucionar esta situación a través de los siguientes métodos:

• Reinicie el espacio de trabajo desde la consola de Amazon WorkSpaces.• Conéctese al escritorio de WorkSpaces en mal estado utilizando el siguiente procedimiento, algo que

solo debe utilizarse para solucionar problemas:

1. Conéctese a un WorkSpace que funcione correctamente y que se encuentre en el mismo directorioque el que no funciona.

2. En el espacio de trabajo que funciona bien, utilice el Protocolo de escritorio remoto (RDP) paraconectarse al espacio de trabajo en mal estado utilizando la dirección IP de este último. Según lagravedad de los problemas, tal vez no pueda conectarse al escritorio en mal estado.

3. En el escritorio del espacio de trabajo con problemas, asegúrese de que se cumplen los requisitosmínimos de los puertos.

• Vuelva a compilar el espacio de trabajo desde la consola de Amazon WorkSpaces. Como al recompilarel espacio de trabajo podría producirse una pérdida de información, esta opción solo debe utilizarse sitodos los demás intentos para solucionar el problema no han tenido éxito.

72

http://technet.microsoft.com/en-us/library/cc961719.aspx

http://technet.microsoft.com/en-us/library/cc961719.aspx

Amazon WorkSpaces Guía de administraciónEl estado de mis aplicaciones no se guardó

cuando el espacio de trabajo dejó de funcionar

El estado de mis aplicaciones no se guardó cuandoel espacio de trabajo dejó de funcionar

Para poder guardar el estado de las aplicaciones, debe disponer de suficiente espacio libre en el volumenraíz del espacio de trabajo como para almacenar la memoria total que se proporciona en el paquete deespacios de trabajo. Por ejemplo, un espacio de trabajo estándar tiene 4 GB de memoria, por lo que debedisponer de 4 GB de espacio libre en el volumen raíz del espacio de trabajo.

Asimismo, si el servicio Amazon WorkSpaces no puede comunicarse con el escritorio de WorkSpacescuando se emite una solicitud de detención, el sistema operativo se detendrá y el estado de lasaplicaciones no se guardará.

73


Límites de Amazon WorkSpacesA continuación se indican los límites de Amazon WorkSpaces por región. Para solicitar un aumento de loslímites, utilice el formulario de límites de Amazon WorkSpaces.

Recurso Límite

WorkSpaces 1

Graphics WorkSpaces 0

Imágenes 5

74

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-workspaces


Historial de revisiónEn la tabla siguiente se describen los cambios importantes realizados en el servicio Amazon WorkSpaces ysu documentación. Actualizamos la documentación con frecuencia para dar cuenta de los comentarios quenos envía.

Cambio Descripción Fecha

Grupos de control deacceso a direcciones IP

Puede controlar las direcciones IP desde las que losusuarios tienen acceso a sus escritorios de WorkSpaces.Para obtener más información, consulte Grupos decontrol de acceso a direcciones IP para los escritorios deWorkSpaces (p. 26).

30 de abrilde 2018

Actualizaciones in situ Puede actualizar sus escritorios de WorkSpaces BYOLde Windows 10 a una versión más reciente de Windows10. Para obtener más información, consulte Actualizaciónde Workspaces BYOL de Windows 10 (p. 58).

9 de marzode 2018

Opciones de computaciónflexibles

Puede cambiar sus escritorios de WorkSpaces entre lospaquetes Value, Standard, Performance y Power. Paraobtener más información, consulte Modificar un escritoriode WorkSpaces (p. 52).

22 dediciembre de2017

Almacenamientoconfigurable

Puede configurar el tamaño de los volúmenes raíz yde usuario de sus escritorios de WorkSpaces cuandolos lance y aumentar el tamaño de estos volúmenesmás adelante. Para obtener más información, consulteModificar un escritorio de WorkSpaces (p. 52).

22 dediciembre de2017

Controlar el acceso de losdispositivos

Puede especificar los tipos de dispositivos que tienenacceso a WorkSpaces. Además puede limitar el accesoa WorkSpaces a los dispositivos de confianza (tambiénconocidos como dispositivos administrados). Para obtenermás información, consulte Controlar el acceso de losdispositivos (p. 31).

19 de juniode 2017

Confianzas entre bosques Puede establecer una relación de confianza entreMicrosoft AD para AWS y el dominio on-premise deMicrosoft Active Directory, y aprovisionar despuésespacios de trabajo para los usuarios en el dominioon-premise. Para obtener más información, consulteLanzar escritorios de WorkSpaces usando un dominio deconfianza (p. 47).

9 de febrerode 2017

Paquetes de WindowsServer 2016

Ahora, Amazon WorkSpaces dispone de paquetescon tecnología Windows Server 2016 que ofrecen unaexperiencia de escritorio de Windows 10.

29 denoviembrede 2016

Web Access Obtenga acceso a los WorkSpaces desde un navegadorweb utilizando Amazon WorkSpaces Web Access.


Espacios de trabajo porhoras

Puede configurar los espacios de trabajo para que lafacturación se realice por horas. Para obtener más

18 de agostode 2016

75


Cambio Descripción Fechainformación, consulte Controlar el modo de ejecución deWorkSpaces (p. 51).

BYOL de Windows 10 Traiga su propia licencia de Windows 10 Desktop aAmazon WorkSpaces (BYOL).

21 de juliode 2016

Compatibilidad deletiquetado

Ahora puede usar etiquetas para administrar y controlarlos espacios de trabajo. Para obtener más información,consulte Etiquetado de un espacio de trabajo (p. 53).

17 de mayode 2016

Registros guardados Cada vez que introduce un nuevo código de registro,el cliente de WorkSpaces lo guarda. De este modo,resulta más sencillo cambiar entre espacios de trabajo dediferentes directorios o regiones.

28 de enerode 2016

BYOL de Windows 7

Cliente de Chromebook

Cifrado de espacios detrabajo

Traiga su propia licencia de Windows 7 Desktop a AmazonWorkSpaces (BYOL).

Use el cliente de Chromebook.

Use el cifrado de WorkSpace (consulte Cifrado de unespacio de trabajo (p. 54)).

1 de octubrede 2015

Monitorización deCloudWatch

Se ha añadido información sobre la monitorización deCloudWatch. Para obtener más información, consulteMonitorización de Amazon WorkSpaces (p. 66).

28 de abrilde 2015

Reconexión automática desesiones

Se ha añadido información sobre la característica dereconexión automática de sesiones en las aplicacionescliente de escritorio de WorkSpaces.

31 de marzode 2015

Direcciones IP públicas Se ha ampliado la compatibilidad para asignarautomáticamente una dirección IP pública a los espaciosde trabajo. Para obtener más información, consulteConfigurar direcciones IP automáticas (p. 31).

23 de enerode 2015

Lanzamiento de AmazonWorkSpaces en AsiaPacífico (Singapur)

Amazon WorkSpaces ya está disponible en la región AsiaPacífico (Singapur).

15 de enerode 2015

Paquete de oferta añadido

Actualizaciones depaquetes estándar

Office 2013 añadido

El paquete Value ya está disponible.

El hardware del paquete Standard se ha actualizado.

Microsoft Office 2013 ya está disponible en los paquetesPlus.


Compatibilidad conimágenes y paquetes

Se ha agregado la compatibilidad con imágenes ypaquetes personalizados. Para obtener más información,consulte Imágenes y paquetes de WorkSpaces (p. 61).

28 deoctubre de2014

Compatibilidad con elcliente cero PCoIP

Ahora, puede obtener acceso a los dispositivos de clientecero PCoIP de Amazon WorkSpaces.

15 deoctubre de2014

Lanzamiento de AmazonWorkSpaces en AsiaPacífico (Tokio)

Amazon WorkSpaces ya está disponible en la región AsiaPacífico (Tokio).

26 de agostode 2014

76


Cambio Descripción Fecha

Compatibilidad conimpresoras locales

Se ha incorporado la compatibilidad con impresoraslocales.

26 de agostode 2014

Autenticación multifactor Se ha agregado la compatibilidad con la autenticaciónmultifactor en los directorios conectados.

11 de agostode 2014

Compatibilidad con OUpredeterminadas

Ahora, puede seleccionar una unidad organizativa (OU)predeterminada en la que ubicar las cuentas de equipo delos espacios de trabajo.

7 de julio de2014

Compatibilidad con eldominio de destino

Ahora, puede seleccionar un dominio diferente para que secreen allí las cuentas de equipo de los espacios de trabajo.

7 de julio de2014

Añadir grupo de seguridad Ahora tiene la posibilidad de añadir un grupo de seguridada los espacios de trabajo. Para obtener más información,consulte Grupos de seguridad para WorkSpaces (p. 25).

7 de julio de2014

Lanzamiento de AmazonWorkSpaces en AsiaPacífico (Sídney)

Amazon WorkSpaces ya está disponible en la región AsiaPacífico (Sídney).

15 de mayode 2014

Lanzamiento de AmazonWorkSpaces en UE(Irlanda)

Amazon WorkSpaces ya está disponible en la región UE(Irlanda).

5 de mayode 2014

Versión beta pública Amazon WorkSpaces ya está disponible como versiónbeta pública.

25 de marzode 2014

77