Amazon WorkLink 单击一下，即可通过移动设备安全地访问内部网站和应用程序

我们想要为您和您的同事提供一种更简单的方式，来使用移动设备访问内部公司网站和应用程序。我们的目标是为您的员工提供重要内部网内容的受控访问权限，同时维护强大的安全配置文件。

介绍 Amazon WorkLink

今天，我想为大家介绍一下 Amazon WorkLink。您可以通过移动设备流畅地访问内部网站和应用程序，而无需修改或迁移任何内容。Amazon WorkLink 是一项完全托管的“即用即付”型服务，经过扩展后可满足任何组织的需求。该服务便于设置和运行，并且不需要您迁移或修改任何现有站点或内容。您对可通过移动设备访问的域拥有完全控制权，可以使用现有的基于 SAML 的身份提供商 (IdP) 来管理用户群。

Amazon WorkLink 通过 Virtual Private Cloud (VPC) 来获得内部资源的访问权限。这些资源可以存在于该 VPC（例如，EC2 实例上托管的应用程序）中、与其对等的其他 VPC 中，或者在本地。如果在本地，相关资源必须可以通过 IPsec 隧道、AWS Direct Connect 或新的 AWS Transit Gateway 进行访问。在 VPC 中运行的应用程序可以使用 AWS PrivateLink 访问 AWS 服务，同时将所有流量保留在 AWS 网络中。

您的用户将获得安全、非侵入式的浏览体验。公司内容在 AWS 云中呈现，并且通过安全连接传输到每一台设备中。我们将在运行 iOS 12 的设备上推出这项服务，并在随后的几周内支持运行 Android 6+ 的设备。

Amazon WorkLink 内部

Amazon WorkLink 可让您将域关联至您创建的每个 WorkLink 队列。例如，您可以关联 phones.example.com, 、payroll.example.com 和 tickets.example.com，为用户提供您的手机目录、薪资计算系统和故障报告系统的访问权限。您在将某个域关联至队列时，您需要向 WorkLink 证明您可以控制此域。WorkLink 会为此域签发 SSL/TLS 证书，然后创建并管理终端节点，处理该域的请求。

创建队列后，您可以使用 WorkLink 提供的电子邮件模板，向用户发送邀请。用户接受邀请，安装 WorkLink 应用，并使用现有的企业身份进行登录。

该应用会将其本身安装为第一级 DNS 解析器，并配置设备的 VPN 连接，以便访问 WorkLink 队列。当某移动设备用户访问与他们的队列关联的域时，系统会通过 TLS 连接提取、呈现、传输所请求的内容（以矢量形式），然后在用户的现有移动浏览器中显示。您的用户可以照常与内容进行互动：缩放、滚动和按预期打印所有内容。所有 HTML、CSS 和 JavaScript 内容都在与其他 AWS 客户隔离的 EC2 实例队列上的云中呈现；本地设备上的浏览器不会存储或缓存任何内容。用户设备上的 WorkLink 应用会存储加密的 Cookie。这些 Cookie 绝不会在设备上解密，但是，如果用户拥有新的云呈现容器，系统会发回相关 Cookie 以继续会话。如果域没有与 WorkLink 关联，传入和传出该域的流量会继续按照之前的方式流动，不会经过 WorkLink。

设置 Amazon WorkLink

下面我们将逐步介绍如何设置 WorkLink 队列。我没有真正的公司网络或内部网，因此我必须略而不证了。打开 Amazon WorkLink 控制台，首先单击 Create fleet（创建队列）：

为队列设置一个编程名称 (my-fleet)，一个显示名称 (MyFleet)，然后单击 Create fleet（创建队列）以继续：

我的队列很快便创建完成了，可以进行接下来的设置了：

单击 my-fleet 以继续，我们可以一目了然地查看必选和可选的设置步骤：

单击 Link IdP 以使用现有的基于 SAML 的身份提供商，单击选择文件，上传说明元数据提供商的 XML 文档，然后再次单击 Link IdP 以继续：

WorkLink 验证并处理该文档，并生成服务提供商元数据文档。下载文档，将其传递给身份提供商的运算符。相应地，提供商使用此文档完成身份提供商的 SAML 身份验证：

然后，单击 Link network（关联网络），将用户关联至公司内容。我可以创建新的 VPC，也可以使用现有 VPC。无论如何，都应在两个或多个可用区中选择子网，以最大程度提高可用性。所选的子网必须拥有足够的免费 IP 地址，以支持要访问队列的用户的数；WorkLink 将为每个已连接用户创建和管理弹性网络接口 (ENI)。我将使用现有的 VPC：

配置了身份提供商并关联了网络后，我可以单击 Associate domain（关联域），表示我希望用户可以访问我网络中的部分内容。输入域名，然后单击下一步以继续操作（我们假设 www.jeff-barr.com 是一个内部网站点）：

现在我需要证明我拥有此域的控制权。我可以修改 DNS 配置，也可以回应电子邮件请求。我选择第一个选项：

控制台显示我需要对域做一些必要的更改（额外的 CNAME 记录）：

我使用 Amazon Route 53 维护 DNS 条目，这样添加 CNAME 非常简单：

Amazon WorkLink 将验证 DNS 条目（这将花费四五个小时的时间；电子邮件会快一点）。我可以针对所有需要的域重复此步骤，甚至可以稍后继续添加。

在域完成验证后，单击 User invites（用户邀请），获得可以向用户发送的电子邮件邀请：

您的用户只需按照提示操作，即可开始畅享远程访问功能，只需几分钟即可访问允许的的站点和应用程序。例如：

其他强大的管理功能包括：设置和使用设备政策，配置将审核日志交付给新的或现有的 Amazon Kinesis Data Stream：

注意事项

评估 Amazon WorkLink 时，有一些需要记住的注意事项：

设备支持 – 我们将在运行 iOS 12 的设备上推出此服务，并将在几周后支持 Android 6 设备。

兼容性 – Amazon WorkLink 旨在处理和呈现大多数现代格式的 Web 内容，并且正在计划支持视频和音频。不支持利用 Flash、Silverlight、WebGL 或小程序的内容。

身份提供商 – Amazon WorkLink 现在可以与基于 SAML 的身份提供商结合使用，并计划根据客户请求和反馈支持其他类型的提供商。

区域 – 现在，您可以在北美和欧洲的 AWS 区域创建 Amazon WorkLink 队列。在今年晚些时候，我们将陆续对其他区域提供支持。

定价 – 价格根据指定月内有效浏览器会话中的用户数量而定。每月每位活动用户 5 美元。

现已推出

现已推出 Amazon WorkLink，您可以立即开始使用！

作者介绍：

Jeff Barr

AWS 首席布道师； 2004 年开始发布博客，此后便笔耕不辍。

本文转载自 AWS 技术博客。

原文链接：

https://amazonaws-china.com/cn/blogs/china/amazon-worklink-secure-one-click-mobile-access-to-internal-websites-and-applications/