Best Practices for Deploying Amazon WorkSpaces - PDF 無料ダウンロード

Amazon WorkSpaces をデプロイするためのベストプラクティスネットワークアクセスディレクトリサービスセキュリティ

2016, Amazon Web Services, Inc. or its affiliates. All rights reserved. 注意本書は情報提供のみを目的としています本書の発行時点における AWS の現行製品と慣行を表したものでありそれらは予告なく変更されることがありますお客様は本書の情報および AWS 製品またはサービスの利用について独自の評価に基づき判断する責任を負いますいずれの AWS 製品またはサービスも明示または黙示を問わずいかなる保証も伴うことなく現状のまま提供されます本書のいかなる内容も AWS その関係者サプライヤまたはライセンサーからの保証表明契約的責任条件や確約を意味するものではありませんお客様に対する AWS の責任は AWS 契約により規定されます本書は AWS とお客様の間で行われるいかなる契約の一部でもなくそのような契約の内容を変更するものでもありません 2/55 ページ

目次要約 4 はじめに 4 WorkSpaces の要件 6 ネットワークに関する考慮事項 7 VPC の設計 8 トラフィックフロー 11 一般的な設定の例 15 AWS Directory Service 21 AD DS デプロイメントのシナリオ 22 設計上の考慮事項 33 Multi-Factor Authentication (MFA) 39 セキュリティ 41 伝送中の暗号化 41 ネットワークインターフェイス 44 WorkSpace セキュリティグループ 45 暗号化された WorkSpace 46 Amazon CloudWatch の使用によるモニタリングまたはログ記録 49 WorkSpace に関する Amazon CloudWatch メトリックス 49 トラブルシューティング 52 AD Connector が Active Directory に接続できない 52 最も近い AWS リージョンに対するレイテンシーの確認方法 53 まとめ 54 寄稿者 54 その他の資料 55 3/55 ページ

要約このホワイトペーパーでは Amazon WorkSpaces のデプロイに関するベストプラクティスの概要を示しネットワークの考慮事項ディレクトリサービスユーザー認証セキュリティモニタリングログ記録について説明しますドキュメントの内容は必要な情報に早くアクセスできるように 4 つのカテゴリに分かれています読者としてネットワークエンジニアディレクトリエンジニアセキュリティエンジニアを対象としていますはじめに Amazon WorkSpaces はクラウドで提供されるマネージド型のデスクトップコンピューティングサービスです Amazon WorkSpaces を使用するとハードウェアの購入やデプロイ複雑なソフトウェアのインストールなどの負担を軽減し AWS マネジメントコンソールでの数クリックの操作 AWS コマンドラインインターフェイス (CLI) または API によってデスクトップエクスペリエンスを提供することができます Amazon WorkSpaces ではデスクトップを数分で起動してオンプレミスまたは外部ネットワークのデスクトップソフトウェアにすばやく安全かつ確実に接続およびアクセスできます次のことを行うことができます AWS Directory Service: AD Connector を使用してオンプレミスの既存 Microsoft Active Directory (AD) を活用するディレクトリを AWS Cloud に拡張する 4/55 ページ

AWS Directory Service: Microsoft AD または Simple AD を使用してマネージド型ディレクトリを構築しユーザーと WorkSpace を管理するこれに加え AD Connector を使用してオンプレミスまたはクラウドホスト型 RADIUS サーバーを活用し Multi-Factor Authentication (MFA) を WorkSpace に提供できます Amazon WorkSpaces のプロビジョニングは CLI または API を使用して自動化できますその場合は Amazon WorkSpaces を既存のプロビジョニングワークフローに組み込むことが可能になりますセキュリティについては WorkSpaces サービスによって提供される統合されたネットワーク暗号化に加えて WorkSpace 用に保管時の暗号化を有効にすることもできます ( セキュリティセクションの暗号化された WorkSpace を参照してください ) WorkSpace には Microsoft System Center Configuration Manager (SCCM) など既存のオンプレミスツールを使用するか Amazon WorkSpaces Application Manager (Amazon WAM) を活用してアプリケーションをデプロイできます以下の各セクションでは Amazon WorkSpaces の詳細を示しサービスの仕組みとサービスの開始方法を説明しますまた使用できるオプションと機能についても説明します 5/55 ページ

WorkSpaces の要件 Amazon WorkSpaces サービスを正常にデプロイするには次の 3 つのコンポーネントが必要です WorkSpaces クライアントアプリケーション Amazon WorkSpaces でサポートされているクライアントデバイス完全なリストについてはサポートされるプラットフォームとデバイスを参照してください WorkSpaces には PCoIP (Personal Computer over Internet Protocol) ゼロクライアントを使用して接続することもできます使用可能なデバイスの一覧については PCoIP Zero Clients for Amazon WorkSpaces を参照してくださいユーザーを認証し WorkSpace へのアクセスを提供するディレクトリサービス Amazon WorkSpaces は現在 AWS Directory Service および Active Directory と組み合わせて使用できますオンプレミスの Active Directory サーバーを AWS Directory Service と共に使用すると WorkSpaces で既存のエンタープライズユーザー認証情報をサポートできます Amazon WorkSpaces を実行するための Amazon Virtual Private Cloud (Amazon VPC) マルチ AZ 配置では AWS Directory Service 構造ごとに 2 つのサブネットが必要であるため 1 つの WorkSpaces デプロイメントにはサブネットが 2 つ以上必要になります 6/55 ページ

ネットワークに関する考慮事項各 WorkSpace は作成に使用した特定の Amazon VPC と AWS Directory Service 構造に関連付けられていますすべての AWS Directory Service 構造 (Simple AD AD Connector Microsoft AD) には別々のアベイラビリティーゾーンに 1 つずつ合計 2 つのサブネットが必要になりますサブネットは Directory Service 構造に永続的に関連付けられており AWS Directory Service の作成後に変更することはできませんこのため Directory Services 構造を作成する前に適切なサブネットサイズを決定することが不可欠ですサブネットを作成する前に以下の点を慎重に考慮してください長期的に必要になる WorkSpace の数は? 予測される増加の程度は? ユーザーのタイプは? 接続する Active Directory ドメインの数は? エンタープライズユーザーアカウントの場所は? Amazon では計画プロセスの一部として必要なアクセスとユーザー認証の種類に基づいてグループ ( ペルソナ ) を定義することをお勧めしていますこれらの情報は特定のアプリケーションまたはリソースへのアクセスを制限する必要がある場合に役立ちますユーザーペルソナを定義すると AWS Directory Service ネットワークアクセスコントロールリストルーティングテーブル VPC セキュリティグループを使用してアクセスを分割および制限することができます各 AWS Directory Service 構造では 2 つのサブネットが使用されその構造から起動されるすべての WorkSpace に同じ設定が適用されますたとえばある AD Connector にアタッチされたすべての WorkSpace に適用するセキュリティグ 7/55 ページ

ループを使用して MFA 認証が必要かどうかエンドユーザーが自分の WorkSpace に対してローカル管理者としてアクセスできるかどうかなどを指定できます注意 : 各 AD Connector は 1 つの Microsoft Active Directory 組織単位 (OU) に接続されますこの機能を利用できるように自身のユーザーペルソナを考慮して Directory Service を構築する必要がありますこのセクションでは VPC およびサブネットのサイズ決定トラフィックフローディレクトリサービス設計関連のベストプラクティスについて説明します VPC の設計スケーラビリティセキュリティ管理の容易さに優れた WorkSpaces 環境を構築するために Amazon WorkSpaces 用の VPC サブネットセキュリティグループルーティングポリシーネットワーク ACL を設計する際に考慮すべき点を以下に示します VPC WorkSpaces デプロイメント用に専用の VPC を使用することをお勧めします専用の VPC を使用すると必要とされるガバナンスと WorkSpaces にトラフィック分離を設定することによるセキュリティ上のガードレールを指定できますディレクトリサービス各 AWS Directory Service 構造にはサブネットのペアが必要ですこれにより可用性の高いディレクトリサービスを各 Amazon AZ 間で分割して使用することができます 8/55 ページ

サブネットのサイズ WorkSpaces デプロイメントはディレクトリ構造に関連付けられ指定した AWS Directory Service と同じ VPC サブネット内に配置されます次の点を考慮する必要がありますサブネットサイズは永続的であり変更できません将来的に拡張が必要になった場合のために十分な余裕を残しておく必要があります選択した AWS Directory Service に対するデフォルトのセキュリティグループを指定できますこのセキュリティグループは特定の AWS Directory Service 構造に関連付けられているすべての WorkSpaces に適用されます複数の AWS Directory Services で同じサブネットを使用することもできます VPC を設計する際は将来の計画についても考慮しますたとえばウイルス対策サーバーパッチ管理サーバー Active Directory サーバー RADIUS MFA サーバーなどの管理コンポーネントを追加することも考えられますこのような要件に対応できるように VPC 設計内で使用可能な IP アドレスの追加も計画しておくことをお勧めします VPC の設計およびサブネットのサイズ決定に関する詳細なガイダンスと考慮事項については re:invent のプレゼンテーション Amazon.com が Amazon WorkSpaces に移行している方法を参照してください 9/55 ページ

ネットワークインターフェイス各 WorkSpace には 2 つの Elastic Network Interface (ENI) 1 つの管理ネットワークインターフェイス (eth0) 1 つのプライマリネットワークインターフェイス (eth1) があります管理ネットワークインターフェイスはクライアント接続の終端となるインターフェイスであり AWS で WorkSpace を管理するために使用されます AWS ではこのインターフェイスのためにプライベート IP アドレスが利用されますネットワークルーティングを正しく動作させるためには WorkSpaces VPC と通信する可能性のあるネットワークでこのプライベートアドレス空間を使用しないでくださいリージョンごとに使用されるプライベート IP 範囲のリストについては Amazon WorkSpaces の詳細を参照してください注意 : Amazon WorkSpaces およびこれらに関連付けられている管理ネットワークインターフェイスは VPC 内に存在しないため管理ネットワークインターフェイスまたは Amazon Elastic Compute Cloud (Amazon EC2) のインスタンス ID を AWS マネジメントコンソールで確認することはできません ( 図 4 図 5 および図 6 を参照してください ) ただしプライマリネットワークインターフェイス (eth1) のセキュリティグループ設定は AWS マネジメントコンソールで確認し変更することができますまた各 WorkSpace のプライマリネットワークインターフェイスは ENI Amazon EC2 リソースとしてカウントされ制限の対象になります WorkSpaces の大規模デプロイについては AWS マネジメントコンソールを通じてサポートチケットを開き ENI 制限の値を引き上げる必要があります 10/55 ページ

トラフィックフロー Amazon WorkSpaces のトラフィックは次の 2 つのメインコンポーネントに分けることができますクライアントデバイスと Amazon WorkSpaces サービスの間のトラフィック Amazon WorkSpaces サービスとお客様のネットワークの間のトラフィック次のセクションではこれらのコンポーネントについて説明しますクライアントデバイスから WorkSpace へのトラフィック場所 ( オンプレミスまたはリモート ) に関係なく Amazon WorkSpaces クライアントを実行するデバイスでは WorkSpaces サービスに接続するために同じ 2 つのポートが使用されますクライアントではすべての認証およびセッション関連情報についてポート 443 で https が使用され指定の WorkSpace に対するピクセルストリーミングとネットワークヘルスチェック用に TCP および UDP の両方でポート 4172 (PCoIP ポート ) が使用されますいずれのポートでもトラフィックは暗号化されますポート 443 のトラフィックは認証とセッションの情報に使用されトラフィックの暗号化には TLS が利用されますピクセルストリーミングのトラフィックではストリーミングゲートウェイを通じた WorkSpace のクライアントと eth0 との間の通信に AES-256-bit 暗号化が利用されます詳細についてはこのドキュメントのセキュリティセクションを参照してください 11/55 ページ

PCoIP ストリーミングゲートウェイとネットワークヘルスチェックのエンドポイントについてはリージョンごとの IP 範囲が公開されていますポート 4172 でのアウトバウンドトラフィックは社内ネットワークから AWS ストリーミングネットワークゲートウェイとネットワークヘルスチェックのエンドポイントに限定できますこれには Amazon WorkSpaces を使用している特定の AWS リージョンに対するポート 4172 のアウトバウンドトラフィックのみを許可します IP 範囲とネットワークヘルスチェックのエンドポイントについては Amazon WorkSpaces の PCoIP ゲートウェイ IP 範囲を参照してください Amazon WorkSpaces クライアントにはネットワークステータスチェックの機能が組み込まれていますこのユーティリティではアプリケーションの右下にあるステータスインジケータによってユーザーのネットワークで接続がサポートされているかどうかが示されますネットワークステータスに関するさらに詳しいビューにアクセスするにはクライアントの右下で [Network] を選択しますその結果を図 1 に示します図 1: WorkSpaces クライアントネットワークチェック 12/55 ページ

ユーザーは Directory Service 構造で使用されるディレクトリ ( 通常は社内ディレクトリ ) へのログイン情報を指定してクライアントから WorkSpaces サービスへの接続を開始しますログイン情報は https を通じて Amazon WorkSpaces サービスの認証ゲートウェイ (WorkSpace があるリージョン内 ) に送信されますすると Amazon WorkSpaces サービスの認証ゲートウェイは WorkSpace に関連付けられている特定の AWS Directory Service サービス構造にトラフィックを転送しますたとえば AD Connector を使用している場合 AD Connector はオンプレミスまたは AWS VPC にある Active Directory サービスに認証リクエストを直接転送します ( AD DS デプロイメントのシナリオを参照してください ) AD Connector は認証情報を保存せずステートレスプロキシとして動作します結果として AD Connector から Active Directory サーバーへの接続性が不可欠になります AD Connector は AD Connector の作成時に定義した DNS サーバーを使用して接続先の Active Directory サーバーを決定します AD Connector を使用している場合ディレクトリで MFA が有効になっていればディレクトリサービスの認証前に MFA トークンの確認が行われます MFA 検証に失敗した場合ユーザーのログイン情報は AWS Directory Service に転送されませんユーザーが認証されるとポート 4172 (PCoIP ポート ) を利用して AWS ストリーミングゲートウェイから WorkSpace へのストリーミングトラフィックが開始されますこの場合もセッション関連の情報はセッション全体で https を通じてやり取りされますストリーミングトラフィックでは VPC に接続されていない WorkSpace の最初の ENI (WorkSpace の eth0) が使用されますストリーミングゲートウェイから ENI へのネットワーク接続は AWS によって管理されますストリーミングゲートウェイから WorkSpaces のストリーミング ENI 13/55 ページ

への接続に失敗した場合は CloudWatch イベントが生成されます ( このホワイトペーパーの Amazon CloudWatch の使用によるモニタリングまたはログ記録セクションを参照してください ) Amazon WorkSpaces サービスとクライアントとの間で送信されるデータの量はピクセルアクティビティのレベルによって異なりますユーザーエクスペリエンスを最適化するには WorkSpace のある AWS リージョンと WorkSpaces クライアントとの間のラウンドトリップ時間 (RTT) を 100 ms 未満に抑えることをお勧めしますこれは通常 WorkSpace がホストされているリージョンから約 3000km 以内の場所に WorkSpaces クライアントがあることを意味します Amazon WorkSpaces サービスへの接続用に最適な AWS リージョンを決定する際に参照できる接続状態の確認 Web ページが用意されています Amazon WorkSpaces Service から VPC へのトラフィッククライアントから WorkSpace への接続が認証されストリーミングトラフィックが開始すると VPC に接続されている Windows デスクトップ (WorkSpace) が WorkSpaces クライアントに表示されますネットワークステータスには接続が確立したことが示されます WorkSpace のプライマリ ENI (eth1 として識別されます ) には VPC によって提供される DHCP (Dynamic Host Configuration Protocol) サービスから IP アドレス ( 通常は AWS Directory Service と同じサブネットのアドレス ) が割り当てられます WorkSpace の存続中 WorkSpace にはこの IP アドレスが維持されます VPC の ENI は VPC 内のすべてのリソースと (VPC ピア接続 AWS Direct Connect 接続または VPN 接続を経由して ) VPC に接続したすべてのネットワークにアクセスできます 14/55 ページ

ネットワークリソースへの ENI アクセスは AWS Directory Service によって各 WorkSpace に設定されるデフォルトのセキュリティグループと ENI に割り当てられている追加のセキュリティグループで決定されます ( セキュリティグループの詳細についてはこちらを参照してください ) セキュリティグループは AWS マネジメントコンソールまたは CLI を利用して VPC 側の ENI に自由に追加できますセキュリティグループに加えてホストベースの任意のファイアウォールを WorkSpace に使用して VPC 内のリソースに対するネットワークアクセスを制限することができますここで説明したトラフィックフローについてはこのホワイトペーパーの AD DS デプロイメントのシナリオの図 4 に示されています一般的な設定の例 2 種類のユーザーが存在し AWS Directory Service のユーザー認証に中央の Active Directory が使用されるシナリオについて考えてみましょうすべての場所へのフルアクセスを必要とするワーカー ( 正社員など ) これらのユーザーはインターネットおよび内部ネットワークへのフルアクセスが許可され VPC からオンプレミスネットワークへのファイアウォールを通過できます社内ネットワーク内の限定的なアクセスのみが許可されるワーカー ( 請負業者やコンサルタントなど ) これらのユーザーには VPC 内でのプロキシサーバーを経由した限定的な ( 特定 Web サイトに対する ) インターネットアクセスが許可され VPC 内およびオンプレミスネットワークに対する制限付きネットワークアクセスが許可されます 15/55 ページ

正社員にはソフトウェアをインストールできるように WorkSpace のローカル管理者アクセスを付与し MFA による多要素認証を適用することをお勧めしますまた正社員には自分の WorkSpace からインターネットへのアクセスも制限せずに許可することをお勧めします請負業者については特定のプレインストール済みアプリケーションのみを使用できるようにローカル管理者アクセスをブロックすることをお勧めしますこれらの WorkSpace にはセキュリティグループを通じて非常に限定的なネットワークアクセスコントロールを適用します特定の内部 Web サイトに対してのみポート 80 および 443 を開きインターネットへのアクセスをブロックする必要がありますこのシナリオではネットワークおよびデスクトップアクセスの要件が異なるまったく別の 2 種類のユーザーペルソナを使用していますベストプラクティスではこれらのユーザーペルソナの WorkSpace は別々に管理および設定するようにしますこれにはユーザーペルソナごとに 1 つずつ合計 2 つの AD Connector を作成する必要があります各 AD Connector には WorkSpace 利用の増加予測に応じて十分な IP アドレスを提供するためのサブネットが 2 つ必要です注意 : 各 AWS VPC サブネットでは管理目的に 5 個の IP アドレスを使用し ( 先頭 4 個と最後の IP アドレス ) 各 AD Connector には対応するサブネットごとに 1 つの IP アドレスを使用しますこのシナリオではさらに次の点についても考慮が必要です 16/55 ページ

AWS VPC サブネットはプライベートサブネットである必要がありますこれによりインターネットアクセスなどのトラフィックを NAT Gateway またはクラウド内の Proxy-NAT サーバーを通じて制御するかオンプレミスのトラフィック管理システムを通じてルートバックすることができますオンプレミスネットワークに対するすべての VPC トラフィックバウンドに対応するファイアウォールが用意されています Microsoft Active Directory サーバーと MFA RADIUS サーバーはオンプレミス配置 ( シナリオ 1: AD Connector の使用によるオンプレミス AD DS への認証のプロキシを参照 ) の場合と AWS Cloud 実装 ( AD DS デプロイメントのシナリオのシナリオ 2 および 3 を参照 ) の一部である場合がありますすべての WorkSpace がプライベートサブネットでホストされていてなんらかの形のインターネットアクセスが許可されている場合はインターネットゲートウェイを通じてインターネットにアクセスできるパブリックサブネットも作成する必要があります正社員用にはインターネットにアクセスするための NAT ゲートウェイが必要でありコンサルタントや請負業者にはアクセスを特定の内部 Web サイトに限定するための Proxy-NAT サーバーが必要ですマルチ AZ 配置で障害に備え高可用性を考慮した設計を行いクロス AZ のトラフィック料金を制限するには 2 つの異なるサブネットに 2 つの NAT ゲートウェイおよび NAT またはプロキシサーバーを配置する必要がありますパブリックサブネットとして選択する 2 つの AZ は 3 つ以上の AZ が含まれるリージョンで WorkSpace サブネットとして使用する 2 つの AZ に一致しますクロス AZ トラフィックの料金を制限し管理を容易にするために各 WorkSpace AZ からのすべてのトラフィックを対応するパブリックサブネットにルーティングすることもできます図 2 に VPC の設定を示します 17/55 ページ

図 2: VPC 設計の概要前に示した 2 つの異なる種類の WorkSpace を設定する方法を次に示します正社員用 : Amazon WorkSpaces マネジメントコンソールでメニューバーの [Directories] オプションを選択し正社員をホストするディレクトリを選択して [Local Administrator Setting] を選択しますこのオプションを有効にすることにより新しく作成したすべての WorkSpace にローカル管理者権限が付与されますインターネットアクセスを許可するには VPC からのアウトバウンドインターネットアクセス用に NAT (Network Address Translation) を設定する必要があります MFA を有効にするには RADIUS サーバーサーバー IP ポートおよび事前共有キーを指定する必要があります 18/55 ページ

正社員の WorkSpace については AD Connector 設定を通じてデフォルトのセキュリティグループを適用することにより WorkSpace へのインバウンドトラフィックはヘルプデスクサブネットからの Remote Desktop Protocol (RDP) に限定されます請負業者およびコンサルタント用 : Amazon WorkSpaces マネジメントコンソールで [Internet Access] および [Local Administrator Setting] を無効にします次にそのディレクトリ内で作成するすべての新しい WorkSpace にセキュリティグループを適用できるように [Security Group] 設定セクションでセキュリティグループを追加しますコンサルタント用 WorkSpace の場合は AD Connector 設定で AD Connector に関連付けられているすべての WorkSpace にデフォルトのセキュリティグループを適用することにより WorkSpace に対するアウトバウンドとインバウンドのトラフィックを制限しますセキュリティグループにより WorkSpace から HTTP トラフィックおよび HTTPS トラフィック以外へのアウトバウンドアクセスとオンプレミスネットワークのヘルプデスクサブネットから RDP へのインバウンドトラフィックを防ぎます注意 : セキュリティグループは VPC 内の ENI (WorkSpace の eth1) にのみ適用されセキュリティグループを適用しても WorkSpaces クライアントから WorkSpace へのアクセスは制限されません図 3 は前に説明した最終的な WorkSpaces VPC 設計を示します 19/55 ページ

図 3: WorkSpace の設計とユーザーペルソナ 20/55 ページ

AWS Directory Service はじめにに記述したとおり Amazon WorkSpaces は AWS Directory Service をベースとしています AWS Directory Service では 3 種類のディレクトリを作成できます最初の 2 つは AWS Cloud 内に維持されます Microsoft Active Directory (Enterprise Edition) (Microsoft AD とも呼ばれます ) 用の AWS Directory Service には Windows Server 2012 R2 を使用します Simple AD は Samba 4 を使用するマネージド型ディレクトリサービスです 3 番目の AD Connector は認証リクエストとユーザー / グループルックアップを既存のオンプレミス Microsoft Active Directory にプロキシするためのディレクトリゲートウェイです次のセクションは Amazon WorkSpaces ブローカーサービスと AWS Directory Service との間の認証時の通信フロー AWS Directory Service で WorkSpaces を実装するためのベストプラクティス MFA などの高度な概念について説明します大規模な Amazon WorkSpaces のインフラストラクチャアーキテクチャの概念 Amazon VPC の要件のほか AWS Directory Service ( オンプレミスの Microsoft Active Directory Domain Services (AD DS) との統合を含む ) について説明します 21/55 ページ

AD DS デプロイメントのシナリオ Amazon WorkSpaces は AWS Directory Service を基盤としておりディレクトリサービスの適切な設計とデプロイメントが重要です次の 3 つのシナリオの基になっている Microsoft Active Directory Domain Services のクイックスタートガイドでは WorkSpaces との統合など AD DS のベストプラクティスのデプロイメントオプションが詳細に示されていますこの章の設計上の考慮事項セクションでは WorkSpaces の全体的な設計の概念に不可欠な部分である AD Connector を WorkSpaces に使用する場合の具体的な要件およびベストプラクティスを説明しますシナリオ 1: AD Connector の使用によるオンプレミス AD DS への認証のプロキシこのシナリオではお客様へのネットワーク接続 (VPN/Direct Connect (DX)) が用意されており AWS Directory Service (AD Connector) を通じてすべての認証がお客様のオンプレミス AD DS にプロキシされますシナリオ 2: オンプレミス AD DS の AWS への拡張 ( レプリカ ) このシナリオはシナリオ 1 と似ていますがこちらでは AD Connector と共にお客様の AD DS のレプリカが AWS にデプロイされますこれにより AD DS および AD DS グローバルカタログへの認証 / クエリリクエストのレイテンシーが短縮されますシナリオ 3: AWS Cloud で AWS Directory Service を使用する分離型のスタンドアロンデプロイメントこれは分離型のシナリオでありお客様への認証用接続は含まれていませんこのアプローチでは AWS Directory Service (Microsoft AD) と AD Connector を使用しますこのシナリオで認証はお客様への接続に依存しませんが VPN または DX を通じて必要な箇所にアプリケーショントラフィックのプロビジョニングを行います 22/55 ページ

シナリオ 1: AD Connector の使用によるオンプレミス AD DS への認証のプロキシこのシナリオはオンプレミスの AD DS を AWS に拡張したくないお客様や AD DS の新しいデプロイメントという選択肢がない場合を対象としています図 4: オンプレミスの Active Directory に対する AD Connector は各コンポーネントの概要とユーザー認証フローを示しています図 4: オンプレミスの Active Directory に対する AD Connector このシナリオでは AD Connector を通じてお客様のオンプレミス AD DS にプロキシされたすべてのユーザーまたは MFA 認証に AWS Directory Service (AD Connector) が使用されています ( 図 5) 認証プロセスに使用されるプロトコルまたは暗号化の詳細についてはこのホワイトペーパーのセキュリティセクションを参照してください 23/55 ページ

図 5: 認証ゲートウェイによるユーザー認証シナリオ 1 はお客様のリソースが既に AWS にあり WorkSpaces からアクセスできるオンプレミスのデータセンターにもリソースがあることが考えられるハイブリッドアーキテクチャを示していますお客様はユーザーおよび MFA 認証に既存のオンプレミス AD DS および RADIUS サーバーを利用できますこのアーキテクチャでは次のコンポーネントまたは構造が使用されますアマゾンウェブサービス : Amazon VPC: 2 つのアベイラビリティーゾーンに 2 つ以上のプライベートサブネットを持つ Amazon VPC を作成します DHCP オプションセット : Amazon VPC DHCP オプションセットを作成しますこれによりお客様指定のドメイン名とドメインネームサーバー (DNS) ( オンプレミスサービス ) の定義が可能になります ( 詳細については DHCP オプションセットを参照してください ) Amazon 仮想プライベートゲートウェイ : IPsec VPN トンネルまたは AWS Direct Connect 接続を通じて独自のネットワークとの通信を可能にします 24/55 ページ

AWS Directory Service: AD Connector は Amazon VPC プライベートサブネットのペアにデプロイされます Amazon WorkSpaces: WorkSpaces は AD Connector と同じプライベお客様 : ートサブネットにデプロイされます ( 設計上の考慮事項で AD Connector に関する記述を参照してください ) ネットワーク接続 : 会社の VPN または Direct Connect エンドポイント AD DS: 会社の AD DS MFA ( オプション ): 会社の RADIUS サーバーエンドユーザーデバイス : Amazon WorkSpaces サービスへのアクセスに使用される会社または BYOL のエンドユーザーデバイス (Windows Mac ipad または Android タブレットゼロクライアント Chromebook など ) ( サポートされるプラットフォームとデバイスを参照してください ) このソリューションは AD DS をクラウドにデプロイしたくないお客様に最適ですが落とし穴もあります接続への依存 : データセンターへの接続が失われるとユーザーはそれぞれの WorkSpace にログインできなくなります Kerberos/TGT の有効期間中既存の接続についてはアクティブな状態が維持されますレイテンシー : 接続を介したレイテンシーが存在する場合 ( これは DX より VPN の場合に該当します ) WorkSpaces 認証や AD DS 関連のアクティビティ ( グループポリシー (GPO) の適用など ) の所要時間が長くなります 25/55 ページ

トラフィックコスト : すべての認証は VPN または DX リンクを経由するため接続タイプに依存しますこれは Amazon EC2 からインターネットへのデータ送信かデータ送信 (DX) です注意 : AD Connector はプロキシサービスですユーザー認証情報の保存またはキャッシュは行われません代わりにすべての認証ルックアップ管理リクエストは Active Directory によって処理されますディレクトリサービスでは委任権限のあるアカウントが必要ですこのアカウントにすべてのユーザー情報に対する読み取り権限とコンピューターをドメインに参加させる権限を付与する必要があります AD Connector 用のディレクトリ内でユーザーを設定する方法の詳細については接続権限の委任を参照してください一般的に WorkSpaces のエクスペリエンスは図 4 に示されている項目 5 に大きく左右されますシナリオ 2: オンプレミス AD DS の AWS への拡張 ( レプリカ ) このシナリオはシナリオ 1 と似ていますがシナリオ 2 では AD Connector と共にお客様の AD DS のレプリカが AWS にデプロイされますこれにより AD DS への認証 / クエリリクエストのレイテンシーが短縮されます図 6 は各コンポーネントの概要とユーザー認証フローを示しています 26/55 ページ

図 6: お客様の Active Directory ドメインをクラウドに拡張するシナリオ 1 と同様すべてのユーザーまたは MFA 認証 ( お客様の AD DS にプロキシされる ) に AD Connector が使用されます ( 図 5) シナリオ 2 では Amazon EC2 インスタンスのアベイラビリティーゾーンにユーザー AD DS がデプロイされますこれらは AWS Cloud で実行されるお客様のオンプレミス Active Directory フォレスト内のドメインコントローラーに昇格されます AWS Cloud で AD DS の可用性を高めるために各ドメインコントローラーは VPC のプライベートサブネットにデプロイされます AWS Cloud で AD DS をデプロイする際のベストプラクティスについてはこのホワイトペーパーの設計上の考慮事項を参照してくださいデプロイされた WorkSpaces インスタンスは安全で低レイテンシーのディレクトリサービスと DNS のためにクラウドベースのドメインコントローラーにアクセスできます AD DS の通信認証リクエストおよび Active Directory レプリケーションを含むすべてのネットワークトラフィックはプライベートサブネット内お客様の VPN トンネル DX でセキュリティ保護されます 27/55 ページ

このアーキテクチャでは次のコンポーネントまたは構造が使用されますアマゾンウェブサービス : Amazon VPC: 2 つのアベイラビリティーゾーンに 4 つ以上のプライベートサブネット ( お客様の AD DS 用に 2 つ AD Connector または WorkSpaces 用に 2 つ ) を持つ Amazon VPC を作成します DHCP オプションセット : Amazon VPC DHCP オプションセットを作成しますこれによりお客様指定のドメイン名と DNS (AD DS ローカル ) の定義が可能になります詳細については DHCP オプションセットを参照してください Amazon 仮想プライベートゲートウェイ : IPsec VPN トンネルまたは AWS Direct Connect 接続を通じて独自のネットワークとの通信を可能にします Amazon EC2: 専用のプライベート VPC サブネットで Amazon EC2 インスタンスにデプロイされたお客様の会社の AD DS ドメインコントローラーお客様の " オプションの " RADIUS サーバー (MFA 用 ) AWS Directory Service: AD Connector は Amazon VPC プライベートサブネットのペアにデプロイされます Amazon WorkSpaces: WorkSpaces は AD Connector と同じプライベートサブネットにデプロイされます ( 設計上の考慮事項で AD Connector に関する記述を参照してください ) 28/55 ページ

お客様 : ネットワーク接続 : 会社の VPN または AWS Direct Connect エンドポイント AD DS: 会社の AD DS ( レプリケーション用に必要 ) MFA ( オプション ): 会社の RADIUS サーバーエンドユーザーデバイス : Amazon WorkSpaces サービスへのアクセスに使用される会社または BYOL のエンドユーザーデバイス (Windows Mac ipad または Android タブレットゼロクライアント Chromebook など ) ( サポートされるプラットフォームとデバイスを参照してください ) このソリューションにはシナリオ 1 の場合と同じ落とし穴はありませんこのため WorkSpaces と AWS Directory Service は接続に依存性しません接続への依存 : お客様のデータセンターへの接続が失われても認証と " オプションの " MFA はローカルで処理するためエンドユーザーは作業を続行できますレイテンシー : レプリケーショントラフィックを例外として ( 設計上の考慮事項の Active Directory: サイトとサービスを参照してください ) すべての認証は低レイテンシーでありローカルで処理されますトラフィックコスト : このシナリオでは認証がローカルで処理され VPN または DX リンクを経由する必要があるのは AD DS レプリケーションのみであるためデータ転送が少なくなります 29/55 ページ

一般的に WorkSpaces のエクスペリエンスは拡張され図 6 に示されている項目 5 に大きく左右されることはありませんこれは特に AD DS グローバルカタログクエリとの関連で何千ものデスクトップ用に WorkSpaces を拡大するような場合に該当します ( このトラフィックは WorkSpaces 環境に対してローカルのままであるため ) シナリオ 3: AWS Cloud で AWS Directory Service を使用する分離型のスタンドアロンデプロイメント図 7 に示されているこのシナリオでは分離型のスタンドアロン環境で AWS Cloud に AD DS がデプロイされていますこのシナリオでは AWS Directory Service だけが使用されます AD DS を自分でフルに管理する代わりに可用性の高いディレクトリトポロジの構築ドメインコントローラーのモニタリングバックアップとスナップショットの設定などのタスクに AWS Directory Service を使用できます図 7: クラウドのみ - AWS Directory Services (Microsoft AD) 30/55 ページ

シナリオ 2 と同様 2 つのアベイラビリティーゾーンにまたがる専用サブネットに AD DS (Microsoft AD) をデプロイし AWS Cloud での AD DS の可用性を高めます Microsoft AD に加えて WorkSpaces 認証または MFA 用に AD Connector がデプロイされます (3 つのシナリオすべてに共通 ) これにより Amazon VPC 内でロールや機能を分離することができますこれは標準的なベストプラクティスです ( 設計上の考慮事項でネットワークの分離に関する記述を参照してください ) シナリオ 3 はすべてが含まれた標準的な設定であり AWS Directory Service のデプロイパッチ高可用性モニタリングを AWS で管理したいお客様に適していますこのシナリオは分離型であるため本稼働に加えて PoC ( 実証支援 ) やラボ環境にも適しています図 7 では AWS Directory Service の配置に加えてユーザーからワークスペースへのトラフィックフローやワークスペースと AD サーバーおよび MFA サーバーとのやり取りについても示していますこのアーキテクチャでは次のコンポーネントまたは構造が使用されますアマゾンウェブサービス : Amazon VPC: 2 つのアベイラビリティーゾーンに 4 つ以上のプライベートサブネット (AD DS (Microsoft AD) 用に 2 つ AD Connector または WorkSpaces 用に 2 つ ) を持つ Amazon VPC を作成します ( ロールの分離 ) DHCP オプションセット : Amazon VPC DHCP オプションセットを作成しますこれによりお客様指定のドメイン名と DNS (Microsoft AD) の定義が可能になります詳細については DHCP オプションセットを参照してください 31/55 ページ

オプション : Amazon 仮想プライベートゲートウェイ : IPsec VPN トンネル (VPN) または AWS Direct Connect 接続を通じて独自のネットワークとの通信を可能にしますオンプレミスのバックエンドシステム用に使用します AWS Directory Service: Microsoft AD は専用の VPC サブネットのペアにデプロイされます (AD DS マネージドサービス ) Amazon EC2: お客様の " オプションの " RADIUS サーバー (MFA 用 ) AWS Directory Service: AD Connector は Amazon VPC プライベートサブネットのペアにデプロイされます Amazon WorkSpaces: WorkSpaces は AD Connector と同じプライベーお客様 : トサブネットにデプロイされます ( 設計上の考慮事項で AD Connector に関する記述を参照してください ) オプション : ネットワーク接続 : 会社の VPN または AWS Direct Connect エンドポイントエンドユーザーデバイス : Amazon WorkSpaces サービスへのアクセスに使用される会社または BYOL のエンドユーザーデバイス (Windows Mac ipad または Android タブレットゼロクライアント Chromebook など ) ( サポートされるプラットフォームとデバイスを参照してください) シナリオ 2 と同様このソリューションにはお客様のオンプレミスデータセンターへの接続に対する依存レイテンシーデータ送信コストの問題がありません (VPC 内で WorkSpaces に対するインターネットアクセスが有効になっている場合を除く ) このシナリオは分離型またはクラウドのみのシナリオとして設計されているためです 32/55 ページ

設計上の考慮事項十分に機能する AD DS を AWS Cloud にデプロイするには Active Directory の概念と特定の AWS サービスについてよく理解しておく必要がありますこのセクションでは WorkSpaces 用に AD DS をデプロイする場合の設計上の重要な考慮事項について説明しますまた AWS Directory Service を使用する場合の VPC のベストプラクティス DHCP および DNS の要件 AD Connector の仕様 Active Directory のサイトとサービスについても説明します VPC の設計このドキュメントのネットワークに関する考慮事項セクションに記載されているとおりまたシナリオ 2 および 3 について説明したとおり AWS Cloud の AD DS は 2 つのアベイラビリティーゾーンにまたがるプライベートサブネットの専用ペアにデプロイし AD Connector または WorkSpaces のサブネットから分離する必要がありますこのような構造にすることで Amazon VPC 内でロールや機能の分離に関する標準的なベストプラクティスを維持しつつ WorkSpaces への AD DS サービスに対して可用性が高くレイテンシーを抑えたアクセスを提供できます図 8 では専用のプライベートサブネットへの AD DS と AD Connector の分離 ( シナリオ 3) を示していますこの例ではすべてのサーバーが同じ Amazon VPC にあるものと想定しています 33/55 ページ

図 8: AD DS ネットワーク分離図 9 はシナリオ 1 と似た設計を示していますがこのシナリオではオンプレミス部分が専用の Amazon VPC に配置されています図 9: 専用の WorkSpaces VPC 注意 : 既存の AWS デプロイメントで AD DS を使用している場合は WorkSpaces を専用の VPC に配置し AD DS の通信用に VPC ピア接続を使用することをお勧めします 34/55 ページ

AD DS 用の専用プライベートサブネットの作成に加えてドメインコントローラーとメンバーサーバーには AD DS レプリケーションユーザー認証 Windows Time サービス分散ファイルシステム (DFS) などのサービスにトラフィックを許可するために複数のセキュリティグループルールが必要になります注意 : ベストプラクティスでは必要なセキュリティグループのルールを WorkSpaces のプライベートサブネットに制限しシナリオ 2 の場合は次の表に示すようにオンプレミスと AWS Cloud との間で双方向の AD DS 通信を有効にしますプロトコルポート用途送信先 tcp 53, 88, 135, 139, 389, 445, 464, 636 認証 ( プライマリ ) Active Directory ( プライベートデータセンターまたは EC2)* tcp 49152 65535 RPC ハイポート Active Directory ( プライベートデータセンターまたは EC2)** tcp 3268-3269 信頼 Active Directory ( プライベートデータセンターまたは EC2)* tcp 9389 リモートの Microsoft Windows PowerShell ( オプション ) Active Directory ( プライベートデータセンターまたは EC2)* udp 53, 88, 123, 137, 138, 389, 445, 464 認証 ( プライマリ ) Active Directory ( プライベートデータセンターまたは EC2)* udp 1812 認証 (MFA) ( オプション ) RADIUS ( プライベートデータセンターまたは EC2)* 35/55 ページ

* Active Directory and Active Directory Domain Services Port Requirements を参照してください ** Windows のサービス概要およびネットワークポート要件を参照してくださいルールを実装する詳しい手順については Amazon Elastic Compute Cloud ユーザーガイドのセキュリティグループへのルールの追加を参照してください VPC の設計 : DHCP と DNS Amazon VPC ではデフォルトでインスタンスに DHCP サービスが提供されますデフォルトではすべての VPC は内部 DNS サーバーを提供しますこの DNS サーバーは Classless Inter-Domain Routing (CIDR) +2 のアドレス空間を通じてアクセスできデフォルトの DHCP オプションセットを通じてすべてのインスタンスに割り当てられます DHCP オプションセットはドメイン名などの範囲オプションや DHCP を介してインスタンスに渡すべきネームサーバーを定義するために Amazon VPC 内で使用されます VPC 内で Windows サービスが正しく動作するかどうかはこの DHCP の範囲オプションによって左右されるため正しく設定する必要があります前に示した各シナリオではドメイン名とネームサーバーを定義する独自の範囲を作成し割り当てますこれによりドメインに参加した Windows インスタンスまたは WorkSpaces が Active Directory DNS を使用するように設定されます次の表は WorkSpaces と AWS Directory Services が正しく動作するために作成する必要のある DHCP 範囲オプションのカスタムセット例を示しています 36/55 ページ

パラメーター値キーに name value に特定の文字列を指定し名前タグてタグを作成します例 : exampleco.com ドメイン名 exampleco.com カンマで区切った DNS サーバーの IP アドレドメインネームサーバース例 : 10.0.0.10 10.0.1.10 NTP サーバーこのフィールドは空白にしておきますドメインネームサーバーと同様にコンマで区 NetBIOS ネームサーバー切った IP を入力します例 : 10.0.0.10 10.0.1.10 NetBIOS ノードの種類 2 カスタム DHCP オプション設定を作成し Amazon VPC と関連付ける方法の詳細については Amazon Virtual Private Cloud ユーザーガイドの DHCP オプションセットを使用するを参照してくださいシナリオ 1 では DHCP 範囲はオンプレミスの DNS または AD DS になりますこれはシナリオ 2 または 3 ではローカルにデプロイされたディレクトリサービスになります (Amazon EC2 の AD DS か AWS Directory Services: Microsoft AD) AWS Cloud に配置する各ドメインコントローラーをグローバルカタログとディレクトリが統合された DNS にすることをお勧めします 37/55 ページ

Active Directory: サイトとサービスシナリオ 2 ではサイトとサービスは AD DS の正しい機能の重要なコンポーネントですサイトトポロジは同じサイト内のドメインコントローラーやサイトの境界を超えたドメインコントローラーの間で Active Directory レプリケーションを制御しますシナリオ 2 では 2 つ以上のサイトが存在します ( オンプレミスとクラウド内の AWS WorkSpaces) 正しいサイトトポロジを定義することによりクライアントアフィニティを確保できますつまりクライアント ( この場合は WorkSpaces) にクライアント側で指定されたローカルドメインコントローラーが使用されます図 10: Active Directory サイトとサービス : クライアントアフィニティベストプラクティス : オンプレミスの AD DS と AWS Cloud との間のサイトリンクについて最大コストを定義しておきます図 10 はサイトに依存しないクライアントアフィニティを確保するためにサイトリンクに割り当てるコストの例です ( コスト 100) 38/55 ページ

このような関連付けにより AD DS レプリケーションクライアント認証などのトラフィックでドメインコントローラーへの最も効率的なパスが使用されるようになりますシナリオ 2 および 3 の場合はレイテンシーの短縮とクロスリンクトラフィックの削減につながります Multi-Factor Authentication (MFA) MFA を実装するには WorkSpaces インフラストラクチャで AWS Directory Service として AD Connector を使用し RADIUS サーバーを指定する必要がありますこのドキュメントでは RADIUS サーバーのデプロイメントについては説明しませんが前の AD DS デプロイメントのシナリオセクションには各シナリオでの RADIUS の配置について記載されています MFA 2 要素認証 Amazon WorkSpaces では AWS Directory Service である AD Connector とお客様所有の RADIUS サーバーを通じて MFA がサポートされます有効になるとユーザーは各自の WorkSpace デスクトップへの認証用に WorkSpaces クライアントに [Username] [Password] および [MFA Code] を指定するよう求められます図 11: MFA が有効になった場合の WorkSpaces クライアント 39/55 ページ

ハードルール : MFA 認証の実装には AD Connector の使用が求められます AD Connector は AD Connector 設定によってグローバルであるため " ユーザーごとの " 選択的な MFA はサポートされません " ユーザーごとの " 選択的な MFA が必要な場合はユーザーを AD Connector で分離する必要があります WorkSpace の MFA には 1 台以上の RADIUS サーバーが必要ですこれらは RSA などの既存ソリューションであることが一般的ですがサーバーを VPC 内にデプロイすることもできます (AD DS デプロイメントのシナリオを参照してください ) 新しい RADIUS ソリューションをデプロイする場合現在使用可能な実装として FreeRADIUS などがありクラウドサービスとして Duo Security などがあります Amazon WorkSpaces に MFA を実装するための前提条件のリストについては Amazon WorkSpaces 管理者ガイドのネットワークでの AD Connector ディレクトリの準備を参照してください MFA 用に AD Connector を設定するプロセスについては Amazon WorkSpaces 管理者ガイドの AD Connector ディレクトリの管理の多要素認証を参照してください 40/55 ページ

セキュリティここでは Amazon WorkSpaces サービスの使用時に暗号化でデータを保護する方法について説明します伝送中と保管時の暗号化のほかセキュリティグループを利用して WorkSpaces へのネットワークアクセスを保護する方法を示します認証に関する追加情報 (MFA サポートに関する情報を含む ) については AWS Directory Service セクションを参照してください伝送中の暗号化 Amazon WorkSpaces では暗号を使用することにより通信の各ステージ ( 伝送中 ) における機密性を保護し保管時のデータも保護します ( 暗号化された WorkSpace) 伝送中に Amazon WorkSpaces で使用される暗号化の各ステージのプロセスについては以下の各セクションで説明します保管時の暗号化の詳細についてはこのホワイトペーパーの暗号化された WorkSpace を参照してください登録と更新デスクトップクライアントアプリケーションは登録と更新のために https を使用して Amazon と通信します認証ステージデスクトップクライアントは認証情報を認証ゲートウェイに送信することで認証を開始しますデスクトップクライアントと認証ゲートウェイの間の通信には https が使用されますこのステージの終了時に認証に成功していれば認証ゲートウェイは同じ https 接続を使用してデスクトップクライアントに OAuth 2.0 トークンを返します 41/55 ページ

注意 : デスクトップクライアントアプリケーションでは更新登録認証用のポート 443 (HTTPS) トラフィックにプロキシサーバーの使用がサポートされますクライアントから認証情報を受信すると認証ゲートウェイは AWS Directory Service に認証リクエストを送信します認証ゲートウェイから AWS Directory Service への通信には HTTPS が使用されるためユーザー認証情報がクリアテキストで送信されることはありません認証 - AD Connector AD Connector では LDAP にバインドして後続の LDAP クエリを実行できるようにオンプレミス AD との認証済み通信を確立する際に Kerberos が使用されます現時点では AWS Directory Service では LDAP with TLS (LDAPs) がサポートされていませんただしどのような場合もユーザー認証情報がクリアテキストで送信されることはありませんセキュリティの向上のために VPN 接続を使用して WorkSpaces VPC を (AD が存在する ) オンプレミスネットワークに接続することができます AWS ハードウェアの VPN 接続を使用する場合は伝送中の暗号化をセットアップしますこれには標準の IPSEC (IKE および IPSEC SA) に AES-128 または AES-256 対称暗号化キー整合性ハッシュ用の SHA-1 または SHA-256 DH グループ ( フェーズ 1 用に 2 14-18 22 23 24 フェーズ 2 用に 1 2 5 14-18 22 23 24) PFS を使用します 42/55 ページ

ブローカーステージ ( 認証に成功した場合に認証ゲートウェイから ) OAuth 2.0 トークンを受信した後デスクトップクライアントは HTTPS を使用して Amazon WorkSpaces サービス ( ブローカー接続マネージャー ) を照会しますデスクトップクライアントは OAuth 2.0 トークンを送信することで自身の認証を行いその結果 WorkSpaces ストリーミングゲートウェイのエンドポイント情報を受信しますストリーミングステージデスクトップクライアントはストリーミングゲートウェイに PCoIP セッションを開くようリクエストします (OAuth 2.0 トークンを使用 ) このセッションは aes256 暗号化され通信制御用に PCoIP ポート (4172/tcp) が使用されますストリーミングゲートウェイは OAuth2.0 トークンを使用して https 経由で WorkSpaces サービスにユーザー固有の WorkSpace 情報をリクエストしますストリーミングゲートウェイはクライアントから TGT ( クライアントユーザーのパスワードを使用して暗号化済み ) も受信し取得したユーザーの Kerberos TGT パススルーを使用して WorkSpace への Windows ログインを開始します次に WorkSpace は標準の Kerberos 認証を使用して設定された AWS Directory Service への認証リクエストを開始します WorkSpace へのログインが成功すると PCoIP ストリーミングが開始します接続はポート tcp 4172 でクライアントによって開始されます ( リターントラフィックはポート udp 4172) さらに管理インターフェイスを使用したストリーミングゲートウェイと WorkSpace デスクトップの初期接続には UDP 55002 が使用されます (Amazon Workspaces に関するドキュメント Amazon 43/55 ページ

WorkSpaces の詳細を参照してください初期アウトバウンド UDP ポートは 55002 です ) ポート 4172 (tcp と udp) を使用するストリーミング接続は AES 128 ビットおよび 256 ビット暗号化方式を使用して暗号化されますがデフォルトは 128 ビットですこの設定は PCoIP 固有の Active Directory GPO (pcoip.adm) を使用して 256 ビットへ明示的に変更することができますネットワークインターフェイス各 Amazon WorkSpace にはプライマリネットワークインターフェイスおよび管理ネットワークインターフェイスという 2 つのネットワークインターフェイスがありますプライマリネットワークインターフェイスは AWS Directory Service インターネット社内ネットワークへのアクセスなど VPC 内のリソースへの接続を提供しますこのプライマリネットワークインターフェイスにはセキュリティグループをアタッチすることもできます (ENI へのアタッチと同様 ) 概念上この ENI にアタッチされるセキュリティグループはデプロイメントの範囲に基づいて区別されます (WorkSpace セキュリティグループと ENI セキュリティグループ ) 管理ネットワークインターフェイス管理ネットワークインターフェイスをセキュリティグループで制御することはできませんが WorkSpace でホストベースのファイアウォールを利用してポートのブロックやアクセスの制御を行うことができます管理ネットワークインターフェイスに制限を適用することはお勧めしませんホストベースのファイアウォールルールを追加してこのインターフェイスを管理する場合は WorkSpaces サービスで WorkSpace へのアクセスと状態を管理できるように Amazon WorkSpaces 管理者ガイドの説明に従っていくつかのポートを開けておく必要があります 44/55 ページ

WorkSpace セキュリティグループデフォルトのセキュリティグループは AWS Directory Service によって作成され特定のディレクトリに含まれるすべての WorkSpace に自動的にアタッチされます他のセキュリティグループと同様 WorkSpace セキュリティグループの場合もルールを変更することができます変更を適用すると結果は直ちに有効になります WorkSpace とセキュリティグループの関連付けを変更することで AWS Directory Service にアタッチされたデフォルトの WorkSpace セキュリティグループを変更することもできます注意 : 新しく関連付けたセキュリティグループは変更後に作成または再構築された WorkSpace にのみアタッチされます ENI セキュリティグループプライマリネットワークインターフェイスは通常の ENI であるためさまざまな AWS 管理ツールを使用して設定を管理できます ( Elastic Network Interfaces (ENI) を参照してください ) 特に (Amazon WorkSpaces コンソールの WorkSpace ページで ) WorkSpace IP を探しその IP アドレスをフィルタとして使用して (Amazon EC2 コンソールのネットワークインターフェイスセクションで ) 対応する ENI を検索できます 45/55 ページ

ENI が見つかったらそこから直接セキュリティグループを管理できますプライマリネットワークインターフェイスにセキュリティグループを手動で割り当てる場合は Amazon WorkSpaces の詳細に説明されているように Amazon WorkSpaces のポート要件を考慮してください図 12: セキュリティグループの関連付けの管理暗号化された WorkSpace 各 WorkSpace にはルートボリューム (C: ドライブ ) とユーザーボリューム (D: ドライブ ) が用意されています暗号化された WorkSpace の機能を使用するといずれかのボリュームまたは両方のボリュームを暗号化できます暗号化の対象保管時のデータボリュームへのディスク I/O 暗号化されたボリュームから作成されたスナップショットはすべて暗号化されます 46/55 ページ

暗号化のタイミング WorkSpace の暗号化は WorkSpace の起動時 ( 作成時 ) に指定する必要があります WorkSpace ボリュームを暗号化できるのは起動時のみです起動後はボリュームの暗号化ステータスを変更できません図 13 は新しい WorkSpace の起動時に暗号化を選択するための Amazon WorkSpaces コンソールページを示しています図 13: WorkSpace ボリュームの暗号化新しい WorkSpace の暗号化の仕組み暗号化された WorkSpace のオプションは Amazon WorkSpaces コンソールまたは AWS CLI から選択することも新しい WorkSpace の起動時に Amazon WorkSpaces API を使用して選択することもできます 47/55 ページ

ボリュームを暗号化するために Amazon WorkSpaces では AWS Key Management Service (KMS) から取得したカスタマーマスターキー (CMK) が使用されますリージョン内で WorkSpace が初めて起動されるとデフォルトの AWS KMS CMK が作成されます (CMK にはリージョン範囲が設定されます ) お客様が管理する CMK を作成して暗号化された WorkSpace に使用することもできます CMK はデータキーの暗号化に使用されこれらのデータキーは Amazon WorkSpaces サービスによるボリュームの暗号化に使用されます ( 厳密にはボリュームを暗号化するのは Amazon Elastic Block Store (Amazon EBS) サービスです ) 各 CMK は最大 30 個の WorkSpace の暗号化に使用できます注意 : 暗号化された WorkSpace からのカスタムイメージの作成は現在サポートされていませんまたルートボリュームの暗号化を有効にした状態で起動された WorkSpace ではプロビジョニングに最大 1 時間かかる場合があります WorkSpace の暗号化プロセスの詳細については AWS KMS を使用した Amazon WorkSpaces 暗号化の概要を参照してください AWS KMS カスタマーマスターキーおよびデータキーの追加情報については AWS Key Management Service の概念を参照してください 48/55 ページ

Amazon CloudWatch の使用によるモニタリングまたはログ記録モニタリングはネットワークサーバーログなどどのようなインフラストラクチャにおいても不可欠な部分です Amazon WorkSpaces をデプロイするお客様は全体的な状態や個々の WorkSpace の接続ステータスなどについてデプロイメントをモニタリングする必要があります WorkSpace に関する Amazon CloudWatch メトリックス WorkSpace に関する Amazon CloudWatch メトリックスは全体的な状態や個々の WorkSpace の接続ステータスなどの情報を管理者が詳しく確認できるように設計されていますメトリックスは WorkSpace 単位で利用でき組織のすべての WorkSpace について指定のディレクトリ内で集計されます (AD Connector の ID を参照してください ) メトリックス ( すべての CloudWatch メトリックスなど ) は AWS マネジメントコンソール ( 図 13) で確認し CloudWatch API でアクセスして CloudWatch アラームやサードパーティー製ツールでモニタリングできます 49/55 ページ

図 14: CloudWatch メトリックス ConnectionAttempt/ConnectionFailure デフォルトでは次のメトリックスが無料で有効になり使用可能です Available: ステータスチェックに応答した WorkSpace はこのメトリックスにカウントされます Unhealthy: 同じステータスチェックに応答しない WorkSpace はこのメトリックスにカウントされます ConnectionAttempt: WorkSpace に対する接続の試行数 ConnectionSuccess: 接続に成功した試行数 ConnectionFailure: 接続に成功しなかった試行数 SessionLaunchTime: セッションの開始にかかった時間 (WorkSpaces クライアントが計測 ) InSessionLatency: WorkSpaces クライアントと WorkSpace 間のラウンドトリップ時間 ( クライアントが計測および報告 ) SessionDisconnect: ユーザーが開始して自動的に閉じられたセッションの数これに加え図 15 に示されているようにアラームを作成することもできます 50/55 ページ

図 15: WorkSpace 接続エラー用の CloudWatch アラームを作成する 51/55 ページ

トラブルシューティング "Your device is not able to connect to the WorkSpaces Registration service" などのエラーメッセージが表示されたりインタラクティブなログオンバナーで WorkSpace に接続できないなど管理またはクライアントに関する一般的な問題については Amazon WorkSpaces 管理者ガイドのクライアントおよび管理の問題に関するトラブルシューティングのページを参照してください AD Connector が Active Directory に接続できない AD Connector でオンプレミスディレクトリに接続するにはオンプレミスネットワークのファイアウォールで VPC の両方のサブネットの CIDR に対して特定のポートが開かれている必要があります ( AD Connector を参照してください ) これらの要件が満たされているかどうかをテストするには以下の手順を実行します接続を確認するには 1. VPC で Windows インスタンスを起動し RDP 経由でインスタンスに接続します残りの手順は VPC インスタンスで実行します 2. DirectoryServicePortTest というテストアプリケーションをダウンロードして解凍しますソースコードと Visual Studio プロジェクトファイルが含まれており必要であればテストアプリケーションを変更できます 3. Windows のコマンドプロンプトで次のオプションを指定して DirectoryServicePortTest テストアプリケーションを実行します 52/55 ページ

DirectoryServicePortTest.exe -d <domain_name> -ip <server_ip_address> -tcp "53,88,135,139,389,445,464,636,49152" -udp "53,88,123,137,138,389,445,464" <domain_name> <domain_name> フォレストとドメインの機能レベルをテストするために使用される完全修飾ドメイン名ドメイン名を除外した場合機能レベルはテストされません <server_ip_address> オンプレミスドメインのドメインコントローラーの IP アドレスポートはこの IP アドレスに対してテストされます IP アドレスを除外した場合ポートはテストされませんこれによって必要なポートが VPC からドメインに開かれているかどうかを特定しますテストアプリケーションでは最小限のフォレストとドメインの機能レベルの確認も行われます最も近い AWS リージョンに対するレイテンシーの確認方法 2015 年 10 月 Amazon WorkSpaces では接続状態の確認 Web サイトが開始されましたこの Web サイトでは WorkSpaces を使用するために必要なすべてのサービスにアクセスできるかどうかをすばやく確認できますまた WorkSpace が実行されている各 AWS リージョンのパフォーマンスチェックも行われユーザーにとってどのリージョンが速度面で最も優れているかが示されます 53/55 ページ

まとめ各組織がアジャイル性を促進しデータの保護を強化してワーカーの生産性を高めようと努力する中でエンドユーザーコンピューティングにおける戦略が変わろうとしていますクラウドコンピューティングで既に実現している利点の多くがエンドユーザーコンピューティングにも当てはまります Amazon WorkSpaces でエンドユーザーのデスクトップを AWS Cloud に移動することで組織ではワーカーの増加に伴う拡張を迅速に行うことができるようになりますまたオフデバイスでデータを保管することによってセキュリティ体制を強化し好みのデバイスを使用してどこからでもアクセスが可能なポータブルデスクトップをワーカーに提供できます Amazon WorkSpaces は既存の IT システムおよびプロセスに統合できるように設計されておりこのホワイトペーパーではそのためのベストプラクティスについて説明していますこのホワイトペーパーに記載されているガイドラインに従うことで費用効率に優れたクラウドデスクトップのデプロイが可能になり AWS のグローバルなインフラストラクチャでビジネスに合わせて拡張することができます寄稿者本書の執筆に当たり次の方々に寄稿していただきました Justin Bradley ソリューションアーキテクトアマゾンウェブサービス Mahdi Sajjadpour シニアコンサルタント AWS プロフェッショナルサービス Mauricio Munoz ソリューションアーキテクトアマゾンウェブサービス 54/55 ページ

その他の資料追加情報については次の資料を参照してください AWS Directory Service の管理の問題のトラブルシューティング Amazon WorkSpaces の管理の問題のトラブルシューティング Amazon WorkSpaces クライアントの問題のトラブルシューティング Amazon WorkSpaces 管理者ガイド Amazon WorkSpaces 開発者ガイドサポートされるプラットフォームとデバイス Amazon WorkSpaces で AWS KMS を使用する方法 AWS CLI コマンドリファレンス workspaces Amazon WorkSpaces メトリックスのモニタリング 55/55 ページ