Questions fréquentes sur Amazon WorkSpaces Web

Q : Qu'est-ce qu'Amazon WorkSpaces Web ?

Amazon WorkSpaces Web est un service de navigateur hébergé entièrement géré, natif cloud, utilisé pour accéder en toute sécurité à des sites web privés et à des applications web SaaS, interagir avec des ressources en ligne et naviguer sur Internet de manière anonyme. WorkSpaces Web fonctionne avec les navigateurs web existants de l'utilisateur, sans surcharger les IT avec la gestion des appareils, de l’infrastructure, des logiciels clients spécialisés ou des connexions au réseau privé virtuel (VPN). Le contenu web est diffusé vers le navigateur web de l'utilisateur, tandis que le navigateur et le contenu web réels sont isolés dans AWS. En utilisant les mêmes technologies sous-jacentes qui alimentent les services informatiques destinés aux utilisateurs finaux d'AWS, tels qu'Amazon WorkSpaces et Amazon AppStream2.0, WorkSpaces Web s’avère plus efficace que les bureaux virtuels traditionnels et réduit la complexité par rapport à la fourniture de logiciels de gestion aux appareils détenus par l'entreprise.

Q : Pourquoi devrais-je utiliser WorkSpaces Web ?

WorkSpaces Web est une solution native cloud qui fournit un accès sécurisé aux données de l'entreprise sur le web, tout en réduisant les risques d'exfiltration de données ou de connexions risquées avec des appareils distants. Une grande partie des charges de travail passe d'un environnement de bureau traditionnel à des applications SaaS ou à des sites web internes personnalisés. Par conséquent, le navigateur est devenu une application de productivité incontournable pour bon nombre d’utilisateurs. Les solutions alternatives pour sécuriser le trafic du navigateur peuvent être trop permissives, coûteuses, complexes ou restreindre les appareils que les utilisateurs peuvent utiliser pour accéder aux données de l'entreprise.

Q : Quel est le lien entre WorkSpaces Web et les services de la famille Amazon WorkSpaces ?

WorkSpaces Web fait partie de la famille WorkSpaces, qui fournit des solutions de bureau virtuel entièrement gérées, sécurisées et fiables pour chaque charge de travail. Amazon WorkSpaces propose des bureaux virtuels Windows ou Linux traditionnels entièrement persistants et gérés par AWS. WorkSpaces Web fournit un navigateur hébergé sécurisé permettant d'accéder aux sites web internes et aux applications SaSS, avec un coût inférieur à celui d'un bureau virtuel. Ces services sont accessibles sur différents appareils, gérés ou non, y compris Amazon WorkSpaces Thin Client.

Q : Comment commencer à utiliser WorkSpaces Web ?

Recherchez le service WorkSpaces Web dans AWS Management Console et créez un portail web dans la région de votre choix. Tout d'abord, choisissez « Créer un portail web » et sélectionnez un Amazon Virtual Private Cloud (VPC), des sous-réseaux et un groupe de sécurité dans votre compte. Ces ressources connectent votre portail à toutes les ressources privées ou basées sur Internet auxquelles les utilisateurs auront accès via le service. Créez ensuite les paramètres du portail en choisissant le type d'instance, en définissant la politique du navigateur (par exemple, filtrage des URL, page d'accueil par défaut, etc.) et les paramètres utilisateur (par exemple, accès au presse-papiers, transfert de fichiers, etc.). Ces paramètres seront appliqués pendant la session de votre utilisateur. Enfin, vous pouvez fédérer votre fournisseur d'identité (IdP) SAML 2.0 existant (par exemple, Okta, Ping, AWS IAM Identity Center) avec votre portail pour l'authentification des utilisateurs et l'authentification unique. Une fois votre portail WorkSpaces Web créé, les utilisateurs peuvent se connecter et naviguer.

Q : Comment WorkSpaces Web communique-t-il avec mon réseau d'entreprise ?

WorkSpaces Web crée des instances Amazon Elastic Compute Cloud (EC2) spécifiques sur demande. Créez ou identifiez simplement un VPC existant dans votre compte, sélectionnez les sous-réseaux pour le trafic de WorkSpaces Web et autorisez ce dernier à créer des interfaces de réseau Elastic (X-ENI) inter-comptes qui seront liées aux hôtes qui sont attribués à votre compte. Votre VPC doit disposer d'une connexion stable au contenu auquel vous souhaitez que les utilisateurs accèdent à l'aide du service. Vous pouvez définir et appliquer la politique du navigateur à l'aide des plus de 300 règles relatives aux utilisateurs et aux données de Google Chrome, et définir des contrôles sur l'accès des utilisateurs au transfert de fichiers, au presse-papiers et aux imprimantes locales. Vous êtes responsable des réseaux de votre Amazon VPC vers Internet et tout contenu interne. Votre contenu interne peut exister dans ce VPC (par exemple, des applications hébergées sur une instance Amazon EC2), dans un autre Amazon VPC qui lui est apparié, sur site ou sur l'internet public. Les ressources hébergées sur site doivent être accessibles (p. ex., par un tunnel IPsec, AWS Direct Connect ou AWS Transit Gateway, etc).

Q : Comment mes utilisateurs finaux peuvent-ils démarrer avec WorkSpaces Web ?

Une fois que vous avez créé un portail, partagez l'URL du portail avec vos utilisateurs. Les méthodes de distribution courantes incluent la création d'un flux d'authentification initié par le fournisseur d'identité en ajoutant votre portail à la passerelle d'applications de votre fournisseur SAML, en envoyant l'URL directement aux utilisateurs pour une expérience d'authentification initiée par le fournisseur de services, en redirigeant vers l'URL du portail depuis un domaine que vous possédez déjà ou en installant de force l'URL sous forme de signet ou de lien sur un appareil ou une application que vous gérez. Vous pouvez également utiliser WorkSpaces Web avec WorkSpaces Thin Client. Une fois que les utilisateurs disposent de l'URL, ils peuvent se connecter avec leur identité SAML et commencer à accéder à des sites web à partir du navigateur web de leur appareil.

Q : Quels appareils puis-je utiliser avec WorkSpaces Web ?

Les utilisateurs peuvent se connecter à WorkSpaces Web depuis un ordinateur de bureau, un ordinateur portable ou un client léger, y compris Amazon WorkSpaces Thin Client. L'accès à WorkSpaces Web via un client web est pris en charge par les navigateurs web courants, tels que Chrome et Firefox, et par les principaux systèmes d'exploitation de bureau, tels que Windows, macOS et Linux.

Q : Quelles applications web puis-je utiliser avec WorkSpaces Web ?

Le pixel WorkSpaces Web diffuse une version actualisée du navigateur Google Chrome. Par conséquent, si le contenu du site web s'affiche dans Google Chrome, il s'affichera dans WorkSpaces Web. Google Chrome ne prend pas en charge les sites nécessitant Flash ou Java. Par conséquent, WorkSpaces Web ne serait pas compatible avec ces sites.

Q : Quelles applications web puis-je utiliser avec WorkSpaces Web ?

WorkSpaces Web peut se connecter à des applications web SaaS internes ou publiques. WorkSpaces Web peut fonctionner avec toute application web SaaS utilisant un navigateur Google Chrome à jour.

Q : WorkSpaces Web fonctionne-t-il avec des applications SaaS ?

WorkSpaces Web peut se connecter à des applications Web SaaS internes ou publiques. WorkSpaces Web peut fonctionner avec toute application Web SaaS utilisant un navigateur Google Chrome à jour.

Q : WorkSpaces Web prend-il en charge la fonction de messagerie (e-mail) ?

WorkSpaces Web prend en charge les interfaces web de messagerie électronique. Vous pouvez, par exemple, autoriser les utilisateurs finaux à accéder à leur adresse électronique via Microsoft Outlook Web Access. En revanche, le service WorkSpaces Web ne prend pas en charge les e-mails des clients de messagerie natifs.

Q : WorkSpaces Web prend-il en charge les outils de collaboration et de réunion sur le web ?

Oui. Les clients ont la possibilité d'optimiser leur type d'instance, ce qui peut s'avérer particulièrement utile pour les sites web hautement interactifs. Par défaut, tous les portails utilisent des instances standard, optimisées pour la navigation sur des sites web statiques (par exemple, des wikis, des annuaires, des outils CRM, des e-mails web), mais les administrateurs peuvent sélectionner des instances de grande taille pour permettre des charges de travail plus gourmandes en mémoire, et des instances XL pour les sites web hautement interactifs tels que les outils de réunion en ligne qui diffusent du contenu audio et vidéo bidirectionnel.

Q : WorkSpaces Web prend-il en charge les microphones et les webcams ?

Oui. Les utilisateurs peuvent connecter une entrée micro ou caméra au navigateur Chrome distant pendant une session.

Q : Comment WorkSpaces Web protège-t-il mes données ?

Lors d'une session WorkSpaces Web, le contenu web est diffusé de façon éphémère depuis WorkSpaces Web vers l'utilisateur dans son navigateur local. Le streaming rend impossible le stockage des données sur des dispositifs distants et constitue une barrière efficace contre les attaques intégrées au contenu web. À la fin de la session, l'instance est effacée, ce qui permet de protéger les données sensibles de l'entreprise. Tout au long de ce processus, les données en transit sont protégées par un chiffrement de niveau entreprise. Vous avez la possibilité de créer un portail WorkSpaces Web avec AWS KMS qui permet de créer et gérer directement des clés cryptographiques et de contrôler leur utilisation sur une gamme de services AWS.

Q : Quels sont les principaux différenciateurs de sécurité de WorkSpaces Web ?

WorkSpaces Web est un service AWS. Par conséquent, votre contenu est traité dans un environnement sécurisé conforme aux standards AWS. En tant qu'utilisateur de WorkSpaces Web, une partie du cloud vous est dédiée et ne traite que vos données. WorkSpaces Web vous autorise à appliquer des politiques de navigateur d'entreprise et des contrôles de session sur l'accès au presse-papiers, le transfert de fichiers et l'imprimante.

Q : WorkSpaces Web empêche-t-il les navigateurs web de mettre en cache les données de l'entreprise ?

Le pixel de WorkSpaces Web diffuse le contenu web au navigateur, ce qui empêche les données de résider sur le périphérique local ou dans le navigateur web.

Q : Puis-je limiter les appareils autorisés à accéder à WorkSpaces Web ?

Par défaut, WorkSpaces Web permet aux utilisateurs d'accéder à leur portail depuis n'importe où, mais vous pouvez utiliser les contrôles d'accès IP pour filtrer les adresses IP susceptibles de se connecter. Lorsqu'ils sont associés à votre portail web, les paramètres d'accès IP détectent l'adresse IP de l'utilisateur avant l'authentification afin de déterminer s'il est éligible à la connexion. Une fois connecté, WorkSpaces Web surveille en permanence l'adresse IP d'un utilisateur pour s'assurer qu'il reste connecté à un réseau fiable. Si l'adresse IP d'un utilisateur change, WorkSpaces Web détectera et mettra fin à la session.

Q : Puis-je contrôler les sites web auxquels les utilisateurs peuvent accéder pendant une session ?

Vous pouvez utiliser le filtrage d'URL pour contrôler les URL auxquelles les utilisateurs peuvent accéder. Vous pouvez utiliser la console pour créer des listes d'URL autorisées et refusées en tant que paramètre de portail, ou en téléchargeant un fichier JSON de politique de navigateur avec filtrage d'URL inclus. Vous pouvez également contrôler les communications sortantes depuis un portail vers Internet en connectant votre VPC à un proxy web. Vous pouvez définir les paramètres du proxy à l'aide des politiques de Chrome intégrées au navigateur web en configurant un proxy HTTP sortant. Par exemple, si vous utilisez un proxy web comme passerelle vers Internet, vous pouvez mettre en œuvre des contrôles de sécurité préventifs, tels que la liste des domaines autorisés et le filtrage du contenu.

Q : Est-ce que WorkSpaces Web est compatible avec YubiKey ?

Vous pouvez utiliser YubiKey avec WorkSpaces Web, de deux manières. Vous pouvez utiliser YubiKey pour l'accès et l'authentification des utilisateurs au début de la session avec votre IdP. Vous pouvez également utiliser YubiKey avec OTP pendant la session. Le support pour U2F sera bientôt disponible.

Q : Comment WorkSpaces Web gère-t-il l'accès et l'authentification des utilisateurs ?

WorkSpaces Web est conçu pour fonctionner avec vos systèmes existants et n'ajoute pas de couches supplémentaires de gestion des utilisateurs. L'authentification des utilisateurs et la connexion fédérée utilisent votre fournisseur d'identité compatible SAML 2.0 existant (par exemple, AWS IAM Identity Center, Okta ou Ping Identity, etc.). Les portails peuvent prendre en charge les flux d'authentification initiés par le fournisseur de services ou par le fournisseur d'identité.

Q : WorkSpaces Web prend-il en charge l'authentification unique ?

Vous pouvez prendre en charge l'authentification unique pour les sites web qui utilisent le même fournisseur SAML que celui que vous avez configuré pour votre portail web (par exemple, si vous utilisez Okta pour vous authentifier auprès du portail et de vos domaines web protégés par connexion). Activez simplement l'extension WorkSpaces Web pour l'authentification unique sur votre portail web et demandez à vos utilisateurs finaux d'installer l'extension locale (disponible sur les navigateurs Chrome ou Firefox). Ensuite, lorsque vos utilisateurs finaux s'authentifient auprès de leur navigateur WorkSpaces Web, le service transmet facilement le cookie de connexion IdP au domaine protégé, empêchant ainsi toute connexion supplémentaire.

Q : Quelles sont les informations de surveillance des services disponibles ?

Vous pouvez surveiller Amazon WorkSpaces Web à l'aide de CloudWatch, qui collecte les données brutes et les transforme en mesures lisibles, et en temps quasi réel. Ces statistiques sont conservées pendant 15 mois, afin que vous puissiez accéder à des informations historiques et avoir une meilleure idée des performances de votre application ou service web. Vous pouvez également activer la journalisation des accès utilisateur pour les données de session et les enregistrements d'URL via Kinesis Data Streams.

Q : Les API de WorkSpaces Web enregistrent-elles les actions dans AWS CloudTrail ?

Oui. Pour obtenir un historique des appels d'API de WorkSpaces Web effectués sur votre compte, activez CloudTrail dans la console de gestion AWS.

Q : Combien coûte WorkSpaces Web ?

WorkSpaces Web est un service de paiement à l'utilisation, sans frais minimums, sans engagements initiaux et sans contrat à long terme. Chaque utilisateur dispose d'un maximum de 200 heures d'accès au streaming par mois, et vous êtes facturé mensuellement en fonction du nombre d'utilisateurs qui se connectent au service. Le coût pour chaque utilisateur dépend du type d'instance et de la région que vous sélectionnez pour votre portail web. Pour obtenir des informations à jour, consultez la page de tarification.

Q : Dans quelles régions AWS WorkSpaces Web est-il disponible ?

WorkSpaces Web est disponible dans les régions suivantes : USA Est (Virginie du Nord), USA Ouest (Oregon), Canada (Centre), Asie-Pacifique (Mumbai), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo), Europe (Irlande), Europe (Londres) et Europe (Francfort).