Amazon WorkSpaces Web 常见问题

问：什么是 Amazon WorkSpaces Web？

Amazon WorkSpaces Web 是一种完全托管的云原生托管浏览器服务，用于安全地访问私有网站和软件即服务（SaaS）Web 应用程序、与在线资源交互以及匿名浏览互联网。WorkSpaces Web 可与用户现有的 Web 浏览器配合使用，不会给 IT 部门带来管理设备、基础设施、专用客户端软件或虚拟专用网络（VPN）连接方面的负担。Web 内容流式传输到用户的 Web 浏览器，而实际的浏览器和 Web 内容在 AWS 中隔离。WorkSpaces Web 使用支持 AWS 最终用户计算服务的相同底层技术（例如 Amazon WorkSpaces 和 Amazon AppStream2.0），可能会比传统虚拟桌面更具成本效益，并且没有为公司自有设备提供管理软件相比那么复杂。

问：为什么应该使用 WorkSpaces Web？

WorkSpaces Web 是一种云原生解决方案，可通过网络安全访问公司数据，同时降低数据泄露或与远程设备连接的风险。许多工作负载正在从传统的桌面环境转到 SaaS 应用程序或定制的内部网站。因此，浏览器已成为许多用户的关键生产力应用程序。保护浏览器流量的替代解决方案可能过于宽松、昂贵、复杂，或者会限制用户可以使用哪些设备访问公司数据。

问：WorkSpaces Web 与 Amazon WorkSpaces 系列服务有何关系？

WorkSpaces Web 是 WorkSpaces 系列的一部分，该系列为每种工作负载提供完全托管、安全、可靠的虚拟桌面解决方案。Amazon WorkSpaces 提供完全由 AWS 管理的传统、完全持久的 Windows 或 Linux 虚拟桌面。WorkSpaces Web 提供安全的托管浏览器，用于以比虚拟桌面更低的成本访问内部网站和 SasS 应用程序。可以在各种托管或非托管设备（包括 Amazon WorkSpaces 瘦客户端）上访问这些服务。

问：如何开始使用 WorkSpaces Web？

从 AWS 管理控制台搜索 WorkSpaces Web 服务并在您所需的区域创建 Web 门户。首先，选择“创建门户网站”，然后在您的账户中选择 Amazon Virtual Private Cloud（VPC）、子网和安全组。这些资源将您的门户与用户将通过该服务访问的任何私人或基于 Internet 的资源连接起来。接下来，通过选择实例类型、设置浏览器策略（例如，URL 筛选、默认主页等）和用户设置（例如，访问剪贴板、文件传输等）来创建门户设置。这些设置将在您的用户会话期间强制执行。最后，您可以将现有的 SAML 2.0 身份提供者（IdP）（例如 Okta、Ping、AWS IAM Identity Center）与您的门户联合以进行用户身份验证和单点登录。创建 WorkSpaces Web 门户后，用户即可登录并浏览。

问：WorkSpaces Web 如何与我的公司网络通信？

WorkSpaces Web 按需预置特定 Amazon Elastic Compute Cloud（EC2） 实例。只需创建或识别账户中已有的 VPC，选择用于 WorkSpaces Web 流量的子网，并授予 WorkSpaces Web 创建跨账户弹性网络接口（X-ENI）的权限即可，该弹性网络接口将链接到分配给您的主机。您的 VPC 必须与您希望用户使用该服务访问的内容建立稳定的连接。您可以使用 Google Chrome 的 300 多项用户和数据策略来设置和实施浏览器策略，并设置对用户对文件传输、剪贴板和本地打印机的访问的控制。您需要负责从 Amazon VPC 至互联网和任何内部内容的联网。您的内部内容可以存在于该 VPC 中（例如，托管在 Amazon EC2 实例上的应用程序）、与其对等的其他 Amazon VPC 中、本地或公共互联网中。本地托管的资源必须可访问（例如，通过 IPsec 隧道、AWS Direct Connect、AWS Transit Gateway 等方式）。

问：我的最终用户如何开始使用 WorkSpaces Web？

创建门户后，与您的用户共享门户 URL。常见的分发方法包括通过将门户添加到 SAML 提供商的应用程序网关来创建身份提供者发起的身份验证流程、将 URL 直接通过电子邮件发送给用户以获得服务提供者发起的身份验证体验、从您已经拥有的域重定向到门户 URL，或强制将 URL 作为书签或链接安装在您管理的设备或应用程序上。您还可以将 WorkSpaces Web 与 WorkSpaces 瘦客户端结合使用。用户获得 URL 后，就可以使用其 SAML 身份登录并开始从设备的 Web 浏览器访问网站。

问：哪些设备可以与 WorkSpaces Web 一起使用？

用户可以从台式机、笔记本电脑或瘦客户端计算机（包括 Amazon WorkSpaces 瘦客户端）连接到 WorkSpaces Web。WorkSpaces Web 通过 Web 客户端进行访问，并受常见 Web 浏览器（例如 Chrome 和 Firefox）以及主要桌面操作系统（例如 Windows、macOS 和 Linux）的支持。

问：可以将哪些 Web 应用程序与 WorkSpaces Web 配合使用？

WorkSpaces Web 像素可以流式传输最新版本的 Google Chrome 浏览器，因此如果网站内容可以显示在 Google Chrome 中，同样也可以显示在 WorkSpaces Web 中。Google Chrome 不支持需要 Flash 或 Java 的站点，因此，WorkSpaces Web 与这些站点不兼容。

问：可以将哪些 Web 应用程序与 WorkSpaces Web 配合使用？

WorkSpaces Web 可以连接到内部或公共 SaaS Web 应用程序。WorkSpaces Web 可与在最新 Google Chrome 浏览器中运行的任何 SaaS Web 应用程序配合使用。

问：WorkSpaces Web 是否适用于 SaaS 应用程序？

WorkSpaces Web 可以连接到内部或公共 SaaS Web 应用程序。WorkSpaces Web 可与在最新 Google Chrome 浏览器中运行的任何 SaaS Web 应用程序配合使用。

问：WorkSpaces Web 是否可与电子邮件结合使用？

WorkSpaces Web 支持通过 Web 界面访问电子邮件。例如，您可以允许最终用户通过 Microsoft Outlook Web Acces 访问电子邮件。但是，WorkSpaces Web 不支持在本机电子邮件客户端中访问电子邮件。

问：WorkSpaces Web 是否支持基于 Web 的协作和会议工具？

是的。客户可以选择优化其实例类型，这对于高度交互的网站尤其有用。默认情况下，所有门户均位于常规实例上，该实例针对浏览静态网站（例如 wiki、目录、CRM 工具、基于 Web 的电子邮件）进行了优化，但管理员可以选择大型实例以支持更多内存密集型工作负载，并选择 XL 实例以支持高度交互的网站，例如可传输双向音频和视频的在线会议工具。

问：WorkSpaces Web 是否支持麦克风和网络摄像头？

是的。用户可以在会话期间将麦克风或摄像头输入连接到远程 Chrome 浏览器。

问：WorkSpaces Web 如何保护我的数据？

在 WorkSpaces Web 会话期间，Web 内容将被短暂地从 WorkSpaces Web 流式传输到本地浏览器中的用户。流式传输可防止数据驻留在远程设备上，并提供针对打包在 Web 内容中的攻击的有效屏障。在会话结束时，实例被擦除，帮助公司敏感数据受到保护。在此过程中，传输中数据受企业级加密保护。您可以选择使用 AWS KMS 创建 WorkSpaces Web 门户，从而轻松创建和管理加密密钥并控制它们在一系列 AWS 服务中的使用。

问：WorkSpaces Web 在安全性方面具有哪些主要优势？

WorkSpaces Web 是一项 AWS 服务，因此您的内容在符合 AWS 标准的安全环境中进行处理。作为 WorkSpaces Web 用户，一部分云专用于您的账户，仅处理您的数据。WorkSpaces Web 允许您将企业浏览器策略和会话控制应用于对剪贴板、文件传输和打印机的访问。

问：WorkSpaces Web 是否阻止 Web 浏览器缓存公司数据？

WorkSpaces Web 像素将 Web 内容流式传输到浏览器，防止数据驻留在本地设备或 Web 浏览器中。

问：我可以限制哪些设备可以访问 WorkSpaces Web？

默认情况下，WorkSpaces Web 允许用户从任何地方访问其门户，但您可以使用 IP 访问控制来筛选可以连接的 IP 地址。当与您的 Web 门户关联时，IP 访问设置将在身份验证之前检测用户 IP，以确定他们是否有资格连接。连接后，WorkSpaces Web 会持续监控用户的 IP 地址，以确保他们通过可信网络保持连接。如果用户的 IP 发生变化，WorkSpaces Web 将检测并终止会话。

问：我能否控制用户在会话期间可以访问哪些网站？

您可以使用 URL 筛选来控制用户可以访问哪些 URL。您可以使用控制台创建允许和拒绝的 URL 列表作为门户设置，或者通过上传包含 URL 筛选的浏览器策略 JSON 文件。您还可以通过将 VPC 连接到 Web 代理来控制从门户到 Internet 的出站通信。您可以通过设置 HTTP 出站代理，使用网络浏览器内置的 Chrome 策略来设置代理设置。例如，如果您使用 Web 代理作为 Internet 的网关，则可以实施预防性安全控制措施，例如域允许列表和内容筛选。

问：WorkSpaces Web 支持 YubiKey 吗？

您可以通过两种方式在 WorkSpaces Web 中使用 YubiKey。您可以在与 IdP 的会话开始时使用 YubiKey 进行用户访问和身份验证。您还可以在会话期间使用带有 OTP 的 YubiKey。即将推出 U2F 支持。

问：WorkSpaces Web 如何管理用户权限和身份验证？

WorkSpaces Web 适用于您的现有系统，并且不会增加额外的用户管理层。用户身份验证和联合登录使用现有的符合 SAML 2.0 的身份提供者（例如 AWS IAM Identity Center、Okta 或 Ping Identity 等）。门户可以支持服务提供商发起的或身份提供者发起的身份验证流程。

问：WorkSpaces Web 支持单点登录吗？

对于使用为 Web 门户配置的相同 SAML 提供者的网站（例如，如果您使用 Okta 对门户和受登录保护的 Web 域进行身份验证），可以支持单点登录。只需在您的 Web 门户中启用 WorkSpaces Web 扩展进行单点登录，然后让您的最终用户安装本地扩展（可在 Chrome 或 Firefox 浏览器上使用）即可。然后，当您的最终用户对其 WorkSpaces Web 浏览器进行身份验证时，该服务会将 IdP 登录 Cookie 无缝传递到受保护的域，从而抢占额外登录的机会。

问：有哪些服务监控信息可用？

您可以使用 CloudWatch 监控 Amazon WorkSpaces Web，CloudWatch 会收集原始数据并将其处理为可读、近乎实时的指标。这些统计数据会保留 15 个月，以便您可以访问历史信息并更好地了解您的 Web 应用程序或服务的执行情况。您还可以通过 kinesis 数据流启用会话数据和 URL 记录的用户访问日志记录。

问：WorkSpaces Web API 是否会在 AWS CloudTrail 中记录操作日志？

是。要获取账户发起的 WorkSpaces Web API 调用历史记录，您可以在 AWS 管理控制台中打开 CloudTrail。

问：WorkSpaces Web 如何收费？

WorkSpaces Web 是一种按实际用量付费的服务，无需最低消费和预付费用，也无需签订长期合同。每个用户每月最多可以使用 200 个流媒体小时，并且您需要根据连接到该服务的用户数量按月付费。每个用户的费用取决于您为门户网站选择的实例类型和区域。请参阅我们的定价页面，了解最新信息。

问：哪些 AWS 区域提供 WorkSpaces Web？

WorkSpaces Web 在以下区域可用：美国东部（弗吉尼亚州北部）、美国西部（俄勒冈州）、加拿大（中部）、亚太地区（孟买）、亚太地区（新加坡）、亚太地区（悉尼）、亚太地区（东京）、欧洲地区（爱尔兰）、欧洲地区（伦敦）和欧洲地区（法兰克福）。