Amazon WorkSpaces Web 常见问题

问：什么是 Amazon WorkSpaces Web？

Amazon WorkSpaces Web 是一种低成本、完全托管且基于 Linux 的服务，旨在方便安全浏览器从现有 Web 浏览器访问内部网站和软件即服务（SaaS）应用程序，而没有设备管理负担，也无需管理基础设施、专用客户端软件或虚拟专用网络（VPN）连接。

问：为什么应该使用 WorkSpaces Web？

您可以使用 WorkSpaces Web 来保护基于 Web 浏览器的生产力环境，实现从高安全性网络进行的安全浏览，或辅助轻量级自带设备（BYOD）对仅支持浏览器的资源的访问。许多工作负载正在从传统的桌面环境转到 SaaS 应用程序或定制的内部网站。因此，浏览器成为了一个关键的生产力应用程序。现有的浏览器流量保护解决方案可能过于宽松、费用昂贵、复杂性高，或者三者都有。WorkSpaces Web 专为解决这些痛点而构建，它是一种允许访问 Web 内容的简单方法，同时能够降低数据泄露风险或与远程设备的连接风险。

问：WorkSpaces Web 与其他 AWS 最终用户计算服务有何关联？

每个 AWS 最终用户计算服务都旨在提供对不同环境的安全访问：WorkSpaces 用于完全持久的 Windows 和 Linux 虚拟桌面；AppStream 2.0 用于应用程序流或具有选择性持久性的虚拟桌面；WorkSpaces Web 用于对内部 Web 和 SasS 应用程序进行的基于浏览器的低成本、安全的访问。

问：如何开始使用 WorkSpaces Web？

您可以从 AWS 管理控制台开始使用 WorkSpaces Web。 登录后，搜索 Amazon WorkSpaces，并选择用于作为主区域的 AWS 区域。（此区域将用于创建您的 WorkSpaces Web 门户，渲染网站，生成用户分析。） 从 WorkSpaces 控制台的左侧菜单中选择 WorkSpaces Web。然后，联合现有的基于 SAML 的身份提供商与 WorkSpaces Web。接下来，选择连接到互联网的 Amazon 虚拟私有云（VPC）、子网和安全组，以及您想将其与 WorkSpaces Web 连接的任何内部内容。最后将浏览器策略和会话级别控制应用于 Web 门户。创建 WorkSpaces Web 门户之后，您可以登录并浏览所连接的网站。

问：WorkSpaces Web 如何与我的公司网络通信？

WorkSpaces Web 按需预置特定 Amazon Elastic Compute Cloud (EC2) 实例。创建或识别账户中已有的 VPC，选择用于 WorkSpaces Web 流量的子网，并授予 WorkSpaces Web 创建跨账户弹性网络接口（X-ENI）的权限，该弹性网络接口将链接到分配给您的主机。您的 VPC 必须具有至您想要与 WorkSpaces Web 以及 Amazon Simple Storage Service（S3）、AWS Key Management Service（KMS）和 Amazon CloudWatch 等服务结合使用的内容的连接。您可以使用 Google Chrome 的 300 多个用户和数据策略设置浏览器策略。您可以设置对文件传输、剪贴板和本地打印机的用户访问权限。您需要负责从 Amazon VPC 至互联网和任何内部内容的联网。您的内部内容可以存在于该 VPC 中（例如，托管在 Amazon EC2 实例上的应用程序）、与其对等的其他 Amazon VPC 中、本地或公共互联网中。本地托管的资源必须可通过 IPsec 隧道、AWS Direct Connect 或 AWS Transit Gateway 访问。

问：我的最终用户如何开始使用 WorkSpaces Web？

在 AWS 管理控制台中完成设置后，您可以将 WorkSpaces Web 门户端点 URL 分配给您的用户。您可以将此 URL 添加到您的 SAML 提供商应用程序网关，通过电子邮件发送给用户，从您拥有的域进行重定向，或将 URL 作为书签推送到您管理的设备。您的最终用户使用 SAML 身份登录并开始使用现有的浏览器访问网站。

问：上市时支持哪些设备？

用户可以从笔记本电脑或台式计算机连接到 WorkSpaces Web。

问：可以将哪些 Web 应用程序与 WorkSpaces Web 配合使用？

WorkSpaces Web 像素可以流式传输最新版本的 Google Chrome 浏览器，因此如果网站内容可以显示在 Google Chrome 中，同样也可以显示在 WorkSpaces Web 中。Google Chrome 不支持需要 Flash 或 Java 的站点，因此，WorkSpaces Web 与这些站点不兼容。用户可以在会话期间将本地设备麦克风输入连接到远程 Chrome 浏览器。

问：WorkSpaces Web 是否适用于 SaaS 应用程序？

WorkSpaces Web 可以连接到内部或公共 SaaS Web 应用程序。WorkSpaces Web 可与在最新 Google Chrome 浏览器中运行的任何 SaaS Web 应用程序配合使用。

问：WorkSpaces Web 是否可与电子邮件结合使用？

WorkSpaces Web 支持通过 Web 界面访问电子邮件。例如，您可以允许最终用户通过 Microsoft Outlook Web Acces 访问电子邮件。但是，WorkSpaces Web 不支持在本机电子邮件客户端中访问电子邮件。

问：WorkSpaces Web 如何管理用户权限和身份验证？

WorkSpaces Web 适用于您的现有系统，并且不会增加额外的用户管理层。WorkSpaces Web 支持使用任何符合 SAML 2.0 规范的身份提供程序进行用户身份验证和联合身份登录，例如 AWS IAM Identity Center（AWS SSO 的后继者）、OneLogin、Okta 或 Ping Identity，等等。

问：如何保护我的数据？

在 WorkSpaces Web 会话期间，Web 内容将被短暂地从 WorkSpaces Web 流式传输到本地浏览器中的用户。流式传输可防止数据驻留在远程设备上，并提供针对打包在 Web 内容中的攻击的有效屏障。在会话结束时，实例被擦除，帮助公司敏感数据受到保护。在此过程中，传输中数据受企业级加密保护。您可以选择使用 AWS KMS 创建 WorkSpaces Web 门户，从而轻松创建和管理加密密钥并控制它们在一系列 AWS 服务中的使用。

问：WorkSpaces Web 在安全性方面具有哪些主要优势？

WorkSpaces Web 是一项 AWS 服务，因此您的内容在符合 AWS 标准的安全环境中进行处理。作为 WorkSpaces Web 用户，一部分云专用于您的账户，仅处理您的数据。WorkSpaces Web 允许您将企业浏览器策略和会话控制应用于对剪贴板、文件传输和打印机的访问。

问：WorkSpaces Web 是否阻止 Web 浏览器缓存公司数据？

WorkSpaces Web 像素将 Web 内容流式传输到浏览器，防止数据驻留在本地设备或 Web 浏览器中。 

问：我可以从 WorkSpaces Web 监控中获得哪些信息？

WorkSpaces Web 提供两种类型的指标 - Cloudwatch 和用户访问日志。Cloudwatch 指标提供以下使用信息：

• SessionAttempt：WorkSpaces Web 会话尝试的次数。
• SessionSuccess：成功开始 WorkSpaces Web 会话的次数。
• SessionFailure：WorkSpaces Web 会话启动失败的次数。

Workspaces Web 还使客户能够记录用户访问日志。客户可以选择启用通过 kinesis 流提供的用户访问日志记录。它们记录以下事件：

• 会话开始 - 标记 WSW 会话的开始。
• 会话结束 - 标记 WSW 会话的结束。
• URL 导航 - 记录用户加载的 URL。

每个事件都包括时间、用户名和 Web 门户 ARN。

问：WorkSpaces Web API 是否会在 AWS CloudTrail 中记录操作日志？

是。要获取账户发起的 WorkSpaces Web API 调用历史记录，您可以在 AWS 管理控制台中打开 CloudTrail。

问：WorkSpaces Web 如何收费？

WorkSpaces Web 是一种按实际用量付费的服务，无需最低消费和预付费用，也无需签订长期合同。借助 WorkSpaces Web，用户对连接的内容拥有长达 200 个流式传输小时的访问权限。每月根据连接到服务的用户数量向您收费。请参阅我们的定价页面，了解最新信息。

问：哪些 AWS 区域提供 WorkSpaces Web？

WorkSpaces Web 在以下区域可用：美国东部（弗吉尼亚州北部）、美国西部（俄勒冈州）、加拿大（中部）、亚太地区（孟买）、亚太地区（新加坡）、亚太地区（悉尼）、亚太地区（东京）、欧洲地区（爱尔兰）、欧洲地区（伦敦）和欧洲地区（法兰克福）。