Amazon WorkSpaces Web 常見問答集

問：什麼是 Amazon WorkSpaces Web？

Amazon WorkSpaces Web 是一項全受管雲端原生託管瀏覽器服務，用於安全地存取私有網站和軟體即服務 (SaaS) Web 應用程式、與線上資源互動，以及匿名瀏覽網際網路。WorkSpaces Web 可與使用者現有的 Web 瀏覽器搭配使用，而不會讓 IT 承受管理設備、基礎設施、專門的用戶端軟體或虛擬私有網路 (VPN) 連線等負擔。Web 內容會串流至使用者的 Web 瀏覽器，而實際的瀏覽器和 Web 內容則會在 AWS 中隔離。使用與 AWS 最終使用者運算服務相同的基礎技術，例如 Amazon WorkSpaces 和 Amazon AppStream2.0，WorkSpaces Web 能夠比傳統虛擬桌面更具成本效益，並且相較於提供公司擁有的裝置搭配管理軟體，該解決方案可降低複雜性。

問：為什麼應該使用 WorkSpaces Web？

WorkSpaces Web 是一種雲端原生解決方案，透過 Web 提供對公司資料的安全存取，同時降低資料外洩或與遠端裝置連線的風險。許多工作負載正在從傳統桌面環境轉移至 SaaS 應用程式或訂製的內部網站。因此，對眾多使用者而言，瀏覽器成了關鍵的生產力應用程式。保護瀏覽器流量的替代解決方案可能過於寬鬆、昂貴、複雜，或者限制使用者可使用哪些裝置來存取公司資料。

問：WorkSpaces Web 與 Amazon WorkSpaces Family 服務有何關係？

WorkSpaces Web 是 WorkSpaces Family 的一部分，它針對每項工作負載提供全受管、安全、可靠的虛擬桌面解決方案。Amazon WorkSpaces 提供由 AWS 完全管理的傳統、完全持續性的 Windows 或 Linux 虛擬桌面。WorkSpaces Web 提供安全的託管瀏覽器，用於以比虛擬桌面更低的成本來存取內部網站和 SasS 應用程序。這些服務可在各種受管理或非管理的裝置上存取，包括 Amazon WorkSpaces 精簡型客戶端。

問：如何開始使用 WorkSpaces Web？

從 AWS 管理主控台搜尋 WorkSpaces Web 服務，然後在所需區域建立 Web 入口網站。首先，選擇「建立 Web 入口網站」，然後在您的帳戶中選取 Amazon Virtual Private Cloud (VPC)、子網路和安全群組。這些資源可將您的入口網站，連線至任何使用者可透過服務存取的私有或網際網路資源。然後，選擇執行個體類型、設定瀏覽器政策 (例如，URL 篩選、預設首頁等)，以及使用者設定 (例如，存取剪貼簿、檔案傳輸等) 來建立入口網站設定。這些設定會在使用者的工作階段期間強制執行。最後，您可將現有的 SAML 2.0 身分提供者 (IdP) (例如，Okta、Ping、AWS IAM Identity Center) 與入口網站聯合，以進行使用者驗證和單一登入。建立 WorkSpaces Web 入口網站後，使用者即可登入並瀏覽。

問：WorkSpaces Web 如何與我的公司網路通訊？

WorkSpaces Web 會隨需佈建特定的 Amazon Elastic Compute Cloud (EC2) 執行個體。您只需在您的帳戶中建立或識別現有 VPC，選取 WorkSpaces Web 流量的子網路，並為 WorkSpaces Web 提供建立跨帳戶彈性網絡介面 (X-ENI) 的許可，該介面即會連結至分配給您帳戶的主機。您的 VPC 必須與您希望使用者使用服務存取的內容具有穩定的連線。您可使用 Google Chrome 的 300 多個使用者和資料政策來設定並強制執行瀏覽器政策，並設定對檔案傳輸、剪貼簿和本機印表機使用者存取的控制。您負責從 Amazon VPC 至網際網路和任何內部內容的聯網。您的內部內容可以存在於該 VPC (例如，託管於 Amazon EC2 執行個體上的應用程式) 內、存在於該 VPC 對等的另一個 Amazon VPC 中、內部部署或公有網際網路上。舉例來說，內部部署託管的資源必須要能透過 IPsec 通道、AWS Direct Connect、AWS Transit Gateway 等進行存取。

問：我的最終使用者如何開始使用 WorkSpaces Web？

建立入口網站後，與您的使用者共用入口網站 URL。常見的分發方法包括透過以下方式建立身分供應商啟動的驗證流程︰將入口網站新增至 SAML 提供者的應用程式閘道；透過電子郵件將 URL 直接傳送給使用者，以實現服務供應商啟動的驗證體驗；從您已經擁有的網域重新引導至入口網址；或強制將 URL 作為書籤或連結安裝在您管理的裝置或應用程式上。您還可以搭配 WorkSpaces 精簡型客戶端使用 WorkSpaces Web。使用者獲得 URL 後，他們即可使用其 SAML 身分登入，並開始從其裝置的 Web 瀏覽器存取網站。

問：我可以搭配 WorkSpaces Web 使用哪些裝置？

使用者可從桌上型電腦、筆記型電腦或精簡型用戶端電腦 (包括 Amazon WorkSpaces 精簡型客戶端) 連線至 WorkSpaces Web。WorkSpaces Web 可透過 Web 用戶端存取，並由常見的 Web 瀏覽器 (例如 Chrome 和 Firefox)，以及主要桌面作業系統 (例如 Windows、macOS 和 Linux) 提供支援。

問：我可以將哪些 Web 應用程式與 WorkSpaces Web 搭配使用？

WorkSpaces Web 像素會串流最新版本的 Google Chrome 瀏覽器，因此如果網站內容在 Google Chrome 中顯示，其也將在 WorkSpaces Web 中顯示。Google Chrome 不支援需要 Flash 或 Java 的網站，因此相應地，WorkSpaces Web 將與這些網站不相容。

問：我可以將哪些 Web 應用程式與 WorkSpaces Web 搭配使用？

WorkSpaces Web 可以連接至內部或公有 SaaS Web 應用程式。WorkSpaces Web 可以與在最新 Google Chrome 瀏覽器中運作的任何 SaaS Web 應用程式搭配使用。

問：WorkSpaces Web 是否能與 SaaS 應用程式搭配使用？

WorkSpaces Web 可以連接至內部或公有 SaaS Web 應用程式。WorkSpaces Web 可以與在最新 Google Chrome 瀏覽器中運作的任何 SaaS Web 應用程式搭配使用。

問：WorkSpaces Web 是否能與電子郵件搭配使用？

WorkSpaces Web 支援電子郵件的 Web 介面。例如，您可以允許最終使用者透過 Microsoft Outlook Web Access 存取電子郵件。不過，WorkSpaces Web 不支援原生電子郵件用戶端內的電子郵件。

問：WorkSpaces Web 是否支援以 Web 為基礎的協作和會議工具？

是。客戶可選擇最佳化其執行個體類型，這對於高度互動性網站特別有幫助。依預設，所有入口網站位於常規執行個體，這些執行個體已針對瀏覽靜態網站 (例如，wiki、目錄、CRM 工具、Web 型電子郵件) 進行最佳化，但管理員可選擇大型執行個體來啟用更多記憶體密集型工作負載，以及選擇 XL 執行個體用於高度互動式網站，例如雙向串流音訊和視訊的線上會議工具。

問：WorkSpaces Web 是否支援麥克風和 Web 攝影機？

是。使用者可在工作階段期間，將麥克風或攝影機輸入連線至遠端 Chrome 瀏覽器。

問：WorkSpaces Web 如何保護我的資料？

在 WorkSpaces Web 工作階段期間，Web 內容會從 WorkSpaces Web 暫時串流至本機瀏覽器中的使用者。串流會阻止資料駐留在遠端裝置上，並有效阻止封裝在 Web 內容中的攻擊。在工作階段結束時，會抹除執行個體，協助保護敏感的公司資料。在這整個過程中，傳輸中的資料都會受到企業級的加密保護。您可以選擇使用 AWS KMS 建立 WorkSpaces Web 入口網站，直接建立和管理密碼編譯金鑰並控制其在一系列 AWS 服務中的使用。

問：WorkSpaces Web 的主要安全差異為何？

WorkSpaces Web 是一項 AWS 服務，因此，我們會在與 AWS 相同標準的安全環境處理您的內容。身為 WorkSpaces Web 的使用者，您的帳戶會擁有專屬的部分雲端，且該部分只會用來處理您的資料。WorkSpaces Web 可讓您對剪貼簿、檔案傳輸和印表機的存取套用企業瀏覽器政策和工作階段控制。

問：WorkSpaces Web 能夠阻止 Web 瀏覽器快取公司資料嗎？

WorkSpaces Web 像素會將 Web 內容串流至瀏覽器，從而阻止資料駐留本機裝置或 Web 瀏覽器上。

問：是否可限制哪些裝置存取 WorkSpaces Web？

依預設，WorkSpaces Web 允許使用者從任意位置存取入口網站，但您可使用 IP 存取控制來篩選可能連線的 IP 位址。在與您的 Web 入口網站關聯時，IP 存取設定會在驗證前偵測使用者 IP，以判斷其是否符合連線資格。連線後，WorkSpaces Web 會持續監控使用者的 IP 位址，以確保使用者仍然透過受信任的網路連線。如果使用者的 IP 變更，WorkSpaces Web 會偵測並終止工作階段。

問：是否能夠控制使用者在工作階段期間可存取哪些網站？

您能夠使用 URL 篩選來控制使用者可存取哪些 URL。您能夠使用主控台來建立允許和拒絕 URL 清單做為入口網站設定，或透過上傳包含 URL 篩選的瀏覽器政策 JSON 檔案。您還可將 VPC 連線至 Web 代理，來控制從入口網站到網際網路的傳出通訊。您可設定 HTTP 傳出代理，以使用 Chrome 內建的政策來進行代理設定。例如，如果您使用 Web 代理做為網際網路的閘道，則可實作預防性安全控制，例如網域允許清單和內容篩選。

問：WorkSpaces Web 是否支援 YubiKey？

有兩種方式可將 YubiKey 與 WorkSpaces Web 搭配使用。您可在透過 IdP 啟動工作階段時，使用 YubiKey 進行使用者存取和驗證。您還可在工作階段期間，搭配 OTP 使用 YubiKey。即將推出 U2F 支援。

問：WorkSpaces Web 如何管理使用者存取與身分驗證？

WorkSpaces Web 專為配合您現有的系統所設計，且並未新增額外的使用者管理層。使用者驗證與聯合登入使用您現有符合 SAML 2.0 規範的身分供應商 (例如，AWS IAM Identity Center、Okta 或 Ping Identity 等)。入口網站可支援啟動服務供應商或身分供應商的驗證流程。

問：WorkSpaces Web 是否支援單一登入？

對於使用您為 Web 入口網站設定的 SAML 供應商相同的網站，您可支援單一登入 (例如，如果您使用 Okta 對入口網站以及受登入保護的 Web 網域進行身分驗證)。只需啟用 WorkSpaces Web 延伸，即可在您的 Web 入口網站進行單一登入，並讓您的最終使用者安裝本機延伸 (可在 Chrome 或 Firefox 瀏覽器上使用)。然後，在您的最終使用者對其 WorkSpaces Web 瀏覽器進行身分驗證時，該服務會將 IdP 登入 Cookie 無縫傳遞給受保護的網域，以預先進行其他登入。

問：提供哪些服務監控資訊？

您可使用 CloudWatch 來監控 Amazon WorkSpaces Web，該服務會收集原始資料並將其處理為可讀且近乎即時的指標。這些統計資料會保存 15 個月，以便您存取歷史資訊，並對您的 Web 應用程式或服務效能有更深入的了解。您還可透過 kinesis 資料串流，啟用工作階段資料和 URL 記錄的使用者存取記錄。

問：WorkSpaces Web API 是否會將動作記錄在 AWS CloudTrail 中？

是。若要取得從您帳戶發出的 WorkSpaces Web API 呼叫歷史記錄，您可以在 AWS 管理主控台中開啟 CloudTrail。

問：WorkSpaces Web 的費用是多少？

WorkSpaces Web 是依用量計費的服務，沒有最低費用，無需前期承諾或簽訂長期合約。每位使用者每月可使用多達 200 小時的串流時間，並且會根據連線至此服務的使用者人數向您收取相關費用。每位使用者的費用取決於您為 Web 入口網站選取的執行個體類型和區域。請參閱定價頁面了解最新資訊。

問：WorkSpaces Web 在哪些 AWS 區域可用？

WorkSpaces Web 在以下區域可用：美國東部 (維吉尼亞北部)、美國西部 (奧勒岡)、加拿大 (中部)、亞太區域 (孟買)、亞太區域 (新加坡)、亞太區域 (雪梨)、亞太區域 (東京)、歐洲 (愛爾蘭)、歐洲 (倫敦) 和歐洲 (法蘭克福)。