Amazon WorkSpaces Web – Häufig gestellte Fragen

F: Was ist Amazon WorkSpaces Web?

Amazon WorkSpaces Web ist ein vollständig verwalteter, cloudnativer, gehosteter Browserservice, der für den sicheren Zugriff auf private Websites und Software-as-a-Service (SaaS) -Webanwendungen, die Interaktion mit Online-Ressourcen und das anonyme Surfen im Internet verwendet wird. WorkSpaces Web funktioniert mit den vorhandenen Webbrowsern des Benutzers, ohne die IT-Abteilung mit der Verwaltung von Appliances, Infrastruktur, spezieller Clientsoftware oder VPN-Verbindungen (Virtual Private Network) zu belasten. Webinhalte werden an den Webbrowser des Benutzers gestreamt, während der eigentliche Browser und die Webinhalte in AWS isoliert sind. Durch die Verwendung derselben grundlegenden Technologien, die AWS-Endbenutzer-Computing-Dienste wie Amazon WorkSpaces und Amazon AppStream2.0 unterstützen, kann WorkSpaces Web kostengünstiger sein als herkömmliche virtuelle Desktops und die Komplexität reduzieren, verglichen mit der Bereitstellung von Verwaltungssoftware für unternehmenseigene Geräte.

F: Warum sollte ich WorkSpaces Web verwenden?

WorkSpaces Web ist eine Cloud-native Lösung, die sicheren Zugriff auf Unternehmensdaten über das Internet bietet und gleichzeitig das Risiko einer Datenexfiltration oder riskanter Verbindungen mit Remote-Geräten reduziert. Viele Workloads werden von der klassischen Desktopumgebung in SaaS-Anwendungen oder speziell entwickelte interne Websites verlagert. Dadurch ist der Browser zu einer wichtigen Produktivitätsanwendung für viele Benutzer geworden. Alternative Lösungen zur Sicherung des Browserverkehrs können übermäßig freizügig, teuer, komplex sein oder einschränken, welche Geräte Benutzer für den Zugriff auf Unternehmensdaten verwenden dürfen.

F: In welcher Beziehung steht WorkSpaces Web zu den Amazon WorkSpaces Family Services?

WorkSpaces Web ist Teil der WorkSpaces-Familie, die vollständig verwaltete, sichere und zuverlässige virtuelle Desktop-Lösungen für jeden Workload bietet. Amazon WorkSpaces bietet traditionelle, vollständig persistente virtuelle Windows- oder Linux-Desktops, die vollständig von AWS verwaltet werden. WorkSpaces Web bietet einen sicheren, gehosteten Browser, mit dem Sie zu geringeren Kosten als ein virtueller Desktop auf interne Websites und SaaS-Apps zugreifen können. Auf diese Dienste kann auf einer Vielzahl von verwalteten oder nicht verwalteten Geräten zugegriffen werden, einschließlich Amazon WorkSpaces Thin Client.

F: Wie kann ich WorkSpaces Web verwenden?

Suchen Sie in der AWS-Managementkonsole nach dem WorkSpaces-Webservice und erstellen Sie ein Webportal in der gewünschten Region. Wählen Sie zunächst „Create Web Portal“ und wählen Sie eine Amazon Virtual Private Cloud (VPC), Subnetze und eine Sicherheitsgruppe in Ihrem Konto aus. Diese Ressourcen verbinden Ihr Portal mit allen privaten oder internetbasierten Ressourcen, auf die Benutzer über den Service zugreifen. Erstellen Sie als Nächstes die Portaleinstellungen, indem Sie den Instance-Typ auswählen, die Browserrichtlinie (z. B. URL-Filter, Standard-Startseite usw.) und Benutzereinstellungen (z. B. Zugriff auf die Zwischenablage, Dateiübertragung usw.) festlegen. Diese Einstellungen werden während der Sitzung Ihres Benutzers durchgesetzt. Schließlich können Sie Ihren bestehenden SAML 2.0-Identitätsanbieter (IDP) (z. B. Okta, Ping, AWS IAM Identity Center) mit Ihrem Portal für Benutzerauthentifizierung und Single Sign-On verbinden. Sobald Ihr WorkSpaces-Webportal erstellt ist, können sich Benutzer anmelden und surfen.

F: Wie kommuniziert WorkSpaces Web mit meinem Unternehmensnetzwerk?

WorkSpaces Web stellt bei Bedarf bestimmte EC2-Instances (Amazon Elastic Compute Cloud) bereit. Sie erstellen oder identifizieren einfach eine bestehende VPC in Ihrem Konto, wählen Subnetze für den WorkSpaces Web-Datenverkehr aus und erteilen WorkSpaces Web die Erlaubnis, kontoübergreifende Elastic-Network-Schnittstellen (X-ENIs) zu erstellen, die mit Hosts verknüpft werden, die Ihrem Konto zugewiesen sind. Ihre VPC muss über eine stabile Verbindung zu den Inhalten verfügen, auf die Benutzer mithilfe des Dienstes zugreifen sollen. Mithilfe der über 300 Nutzer- und Datenrichtlinien von Google Chrome können Sie Browserrichtlinien festlegen und durchsetzen und den Zugriff der Nutzer auf Dateiübertragungen, Zwischenablage und lokale Drucker kontrollieren. Sie sind für den Netzwerkanschluss Ihrer Amazon VPC sowohl mit dem Internet als auch mit allen internen Inhalten verantwortlich. Ihre Inhalte können sich innerhalb dieser VPC befinden (z. B. auf einer Amazon-EC2-Instance bereitgestellte Anwendungen), in einer anderen verknüpften Amazon-VPC, in einer On-Premises-Umgebung oder im öffentlichen Internet. On-premises bereitgestellte Ressourcen müssen (etwa über einen IPsec-Tunnel, über AWS Direct Connect oder AWS Transit Gateway etc.) zugänglich sein.

F: Wie können meine Endbenutzer auf WorkSpaces Web zugreifen?

Nachdem Sie ein Portal erstellt haben, teilen Sie die Portal-URL mit Ihren Benutzern. Zu den üblichen Verteilungsmethoden gehören das Erstellen eines vom Identitätsanbieter initiierten Authentifizierungsflusses, indem Sie Ihr Portal zum Anwendungs-Gateway Ihres SAML-Anbieters hinzufügen, die URL direkt per E-Mail an Benutzer senden, um eine vom Dienstanbieter initiierte Authentifizierung durchzuführen, von einer Domain, die Sie bereits besitzen, zur Portal-URL umleiten oder die erzwungene Installation der URL als Lesezeichen oder Link auf einem von Ihnen verwalteten Gerät oder einer Anwendung erzwingen. Sie können WorkSpaces Web auch mit dem WorkSpaces Thin Client verwenden. Sobald Benutzer die URL haben, können sie sich mit ihrer SAML-Identität anmelden und über den Webbrowser ihres Geräts auf Websites zugreifen.

F: Welche Geräte kann ich mit WorkSpaces Web verwenden?

Benutzer können von Desktop-, Laptop- oder Thin-Client-Computern, einschließlich dem Amazon WorkSpaces Thin Client, eine Verbindung zu WorkSpaces Web herstellen. Der Zugriff auf WorkSpaces Web erfolgt über einen Webclient. Es wird von gängigen Webbrowsern wie Chrome und Firefox sowie von wichtigen Desktop-Betriebssystemen wie Windows, macOS und Linux unterstützt.

F: Welche Webanwendungen kann ich mit WorkSpaces Web verwenden?

WorkSpaces-Web-Pixel streamt eine aktuelle Version des Google-Chrome-Browsers. Wenn also der Inhalt einer Website in Google Chrome angezeigt wird, wird er auch in WorkSpaces Web angezeigt. Google Chrome bietet jedoch keine Unterstützung für Websites, die Flash oder Java erfordern. Mit Websites dieser Art ist WorkSpaces Web daher auch nicht kompatibel.

F: Welche Webanwendungen kann ich mit WorkSpaces Web verwenden?

WorkSpaces Web kann mit internen oder mit öffentlichen SaaS-Webanwendungen verbunden werden. WorkSpaces Web ist mit jeder SaaS-Webanwendung kompatibel, die in einem aktuellen Google-Chrome-Browser ausgeführt wird.

F: Kann WorkSpaces Web mit SaaS-Anwendungen verwendet werden?

WorkSpaces Web kann mit internen oder mit öffentlichen SaaS-Webanwendungen verbunden werden. WorkSpaces Web ist mit jeder SaaS-Webanwendung kompatibel, die in einem aktuellen Google-Chrome-Browser ausgeführt wird.

F: Kann WorkSpaces Web mit E-Mail-Programmen verwendet werden?

WorkSpaces Web unterstützt Webschnittstellen für E-Mails. Ihre Endbenutzer können beispielsweise über Microsoft Outlook Web Access auf E-Mails zugreifen. E-Mails in nativen E-Mail-Clients unterstützt WorkSpaces Web derzeit aber noch nicht.

F: Unterstützt WorkSpaces Web webbasierte Tools für Zusammenarbeit und Besprechungen?

Ja. Kunden haben die Möglichkeit, ihren Instance-Typ zu optimieren, was besonders bei hochinteraktiven Websites hilfreich sein kann. Standardmäßig befinden sich alle Portale auf regulären Instances, die für das Surfen auf statischen Websites (z. B. Wikis, Verzeichnisse, CRM-Tools, webbasierte E-Mails) optimiert sind. Administratoren können jedoch Large-Instances auswählen, um speicherintensivere Workloads zu ermöglichen, und XL-Instances für hochinteraktive Websites wie Online-Meeting-Tools, die Audio und Video in beide Richtungen streamen.

F: Unterstützt WorkSpaces Web Mikrofone und Webcams?

Ja. Benutzer können während einer Sitzung einen Mikrofon- oder Kameraeingang mit dem Remote-Chrome-Browser verbinden.

F: Wie schützt WorkSpaces Web meine Daten?

In einer WorkSpaces-Web-Sitzung werden Webinhalte an den lokalen Browser der individuellen Benutzer gestreamt. Das Streaming verhindert, dass Daten auf Remote-Geräten gespeichert werden, und bietet wirksamen Schutz vor Angriffen, die in Webinhalte verpackt sind. Zum Schutz sensibler Unternehmensdaten wird die Instance am Ende der Sitzung gelöscht. Während des gesamten Prozesses werden die Daten bei der Übertragung durch Verschlüsselung der Unternehmensklasse geschützt. Sie können ein WorkSpaces Web-Portal mit AWS KMS erstellen, was ihnen die Erstellung und Verwaltung kryptografischer Schlüssel erleichtert. Außerdem können sie die Nutzung dieser Schlüssel so mit einer Reihe von AWS-Services steuern.

F: Was zeichnet WorkSpaces Web in puncto Sicherheit aus?

WorkSpaces Web ist ein AWS-Service. Dadurch ist gewährleistet, dass sich Ihre Daten in einer sicheren Umgebung befinden, die den AWS-Standards entspricht. Als Benutzer von WorkSpaces Web wird Ihrem Konto ein Teil der Cloud zugewiesen, der allein Ihren Daten vorbehalten ist. WorkSpaces Web ermöglicht Ihnen, unternehmensweite Browserrichtlinien und Sitzungsbeschränkungen für den Zugriff auf die Zwischenablage, den Datentransfer und Drucker zu implementieren.

F: Hindert WorkSpaces Web Webbrowser am Caching von Unternehmensdaten?

WorkSpaces Web streamt Webinhalte an den Browser, sodass Daten nicht auf lokalen Geräten oder im Webbrowser gespeichert werden.

F: Kann ich einschränken, welche Geräte auf WorkSpaces Web zugreifen können?

Standardmäßig ermöglicht WorkSpaces Web Benutzern den Zugriff auf ihr Portal von überall aus, aber Sie können IP-Zugriffskontrollen verwenden, um zu filtern, welche IP-Adressen eine Verbindung herstellen können. Wenn sie mit Ihrem Webportal verknüpft sind, erkennen die IP-Zugriffseinstellungen die Benutzer-IP vor der Authentifizierung, um festzustellen, ob sie zur Verbindung berechtigt sind. Sobald die Verbindung hergestellt ist, überwacht WorkSpaces Web kontinuierlich die IP-Adresse eines Benutzers, um sicherzustellen, dass er von einem vertrauenswürdigen Netzwerk aus verbunden bleibt. Wenn sich die IP eines Benutzers ändert, erkennt WorkSpaces Web die Sitzung und beendet sie.

F: Kann ich kontrollieren, auf welche Websites Benutzer während einer Sitzung zugreifen können?

Sie können URL-Filter verwenden, um zu steuern, auf welche URLs Benutzer zugreifen können. Sie können die Konsole verwenden, um Listen mit URLs mit erlaubten und verweigerten URLs als Portaleinstellung zu erstellen oder indem Sie eine JSON-Datei mit Browserrichtlinien hochladen, einschließlich URL-Filterung. Sie können auch die ausgehende Kommunikation von einem Portal zum Internet steuern, indem Sie Ihre VPC mit einem Webproxy verbinden. Sie können Proxyeinstellungen mithilfe der im Webbrowser integrierten Chrome-Richtlinien festlegen, indem Sie einen HTTP-Outbound-Proxy einrichten. Wenn Sie beispielsweise einen Webproxy als Gateway zum Internet verwenden, können Sie präventive Sicherheitskontrollen implementieren, z. B. die Liste zugelassener Domains und die Inhaltsfilterung.

F: Unterstützt WorkSpaces Web YubiKey?

Es gibt zwei Möglichkeiten, YubiKey mit WorkSpaces Web zu verwenden. Sie können YubiKey für den Benutzerzugriff und die Authentifizierung zu Beginn der Sitzung mit Ihrem IdP verwenden. Sie können YubiKey auch während der Sitzung mit OTP verwenden. Unterstützung für U2F kommt bald.

F: Wie verwaltet WorkSpaces Web den Benutzerzugriff und die Authentifizierung?

WorkSpaces Web kann mit Ihren bestehenden Systemen verknüpft werden, sodass keine zusätzlichen Ebenen für die Benutzerverwaltung hinzukommen. Die Benutzerauthentifizierung und die Verbundanmeldung verwenden Ihren vorhandenen SAML 2.0-kompatiblen Identitätsanbieter (z. B. AWS IAM Identity Center, Okta oder Ping Identity usw.). Portale können vom Dienstanbieter oder vom Identitätsanbieter initiierte Authentifizierungsabläufe unterstützen.

F: Unterstützt WorkSpaces Web Single Sign-On?

Sie können Single Sign-On für Websites unterstützen, die denselben SAML-Anbieter verwenden, den Sie für Ihr Webportal konfiguriert haben (z. B. wenn Sie Okta verwenden, um sich beim Portal und bei Ihren logingeschützten Webdomänen zu authentifizieren). Aktivieren Sie einfach die WorkSpaces-Web-Erweiterung für Single Sign-On in Ihrem Webportal und lassen Sie Ihre Endbenutzer die lokale Erweiterung installieren (verfügbar im Chrome- oder Firefox-Browser). Wenn sich Ihre Endbenutzer dann bei ihrem WorkSpaces-Webbrowser authentifizieren, leitet der Dienst das IdP-Anmelde-Cookie nahtlos an die geschützte Domain weiter, wodurch eine zusätzliche Anmeldung verhindert wird.

F: Welche Informationen zur Serviceüberwachung sind verfügbar?

Sie können Amazon WorkSpaces Web mithilfe von CloudWatch überwachen, das Rohdaten sammelt und sie zu lesbaren Metriken verarbeitet, die nahezu in Echtzeit sind. Diese Statistiken werden 15 Monate lang aufbewahrt, sodass Sie auf historische Informationen zugreifen und einen besseren Überblick über die Leistung Ihrer Webanwendung oder Ihres Dienstes erhalten können. Sie können auch die Protokollierung des Benutzerzugriffs für Sitzungsdaten und URL-Datensätze über Kinesis-Datenstreams aktivieren.

F: Protokollieren die WorkSpaces Web APIs Aktionen in AWS CloudTrail?

Ja. Wenn Sie einen Verlauf aller durch WorkSpaces Web erfolgten API-Aufrufe für Ihr Konto abrufen möchten, können Sie in der AWS-Managementkonsole CloudTrail aktivieren.

F: Wie viel kostet WorkSpaces Web?

WorkSpaces Web ist ein Service mit nutzungsbasiertem Zahlungsmodell, der keine Mindestgebühren, Vorauszahlungen oder langfristige Verpflichtungen erfordert. Jeder Benutzer hat bis zu 200 Streaming-Stunden Zugriff pro Monat. Die Abrechnung erfolgt monatlich auf der Grundlage der Anzahl der Benutzer, die eine Verbindung zum Dienst herstellen. Die Kosten für jeden Benutzer hängen vom Instance-Typ und der Region ab, die Sie für Ihr Webportal auswählen. Auf unserer Seite mit den Preisen finden Sie aktuelle Informationen.

F: In welchen AWS-Regionen ist WorkSpaces Web verfügbar?

WorkSpaces Web ist in den folgenden Regionen verfügbar: USA Ost (Nord-Virginia), USA West (Oregon), Kanada (Zentral), Asien-Pazifik (Mumbai), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), Asien-Pazifik (Tokio), Europa (Irland), Europa (London), und Europa (Frankfurt).