Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces: 管理者ガイド Copyright 2016 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.
Table of Contents Amazon WorkSpaces とは... 1 セットアップ... 2 AWS 無料アカウント作成方法... 2 IAM ユーザーの作成... 2 管理者アクセス権を持つユーザーを作成する... 3 IAM ユーザー認証情報でサインインする... 3 追加ユーザーを作成する... 4 アクセスの制御... 4 IAM ポリシーで Amazon WorkSpaces リソースを指定する... 6 ネットワークの準備... 7 クライアントポート... 7 ホワイトリストに登録するドメインとポート... 8 Simple AD ディレクトリ... 9 AD Connector ディレクトリ... 13 Microsoft AD ディレクトリ... 21 はじめに... 26 クイックスタート... 26 前提条件... 26 ご利用開始にあたって... 27 セットアップタイプを選択します... 27 高速セットアップ... 28 高度な設定... 32 ディレクトリの作成... 32 ディレクトリへの接続... 34 管理... 35 詳細... 36 ネットワークインターフェイス... 36 PCoIP ゲートウェイの IP 範囲... 38 ネットワークヘルスチェックサーバー... 38 WorkSpaces セキュリティグループ... 39 制限... 40 実行モード... 40 マネジメントコンソール... 41 ディレクトリ... 41 WorkSpaces... 51 WorkSpaces バンドル... 61 WorkSpace イメージ... 63 Windows のイメージ... 65 ディレクトリの管理... 66 ディレクトリの管理 WorkSpace のセットアップ... 67 Amazon EC2 インスタンスのディレクトリへの結合... 67 Active Directory 管理ツールのインストール... 67 ユーザーおよびグループの作成... 68 ユーザーパスワード... 70 ユーザーの削除... 70 グループポリシー... 70 グループポリシー管理用テンプレートのインストール... 71 ローカルプリンターのサポート... 71 クリップボードのリダイレクト... 72 セッション再起動タイムアウト設定... 72 ファイル共有... 73 PCoIP ゼロクライアント... 73 Amazon WorkSpaces のモニタリング... 73 Amazon WorkSpaces メトリックス... 74 Amazon WorkSpaces メトリックスのディメンション... 75 iv
モニタリングの例... 75 トラブルシューティング... 76 接続したディレクトリの WorkSpaces の起動にたびたび失敗する... 77 インタラクティブなログオンバナーで WorkSpace に接続できない... 77 ディレクトリのいずれの WorkSpaces もインターネットに接続できない... 77 オンプレミスディレクトリに接続しようとすると DNS unavailable というエラーが表 示される... 77 オンプレミスディレクトリに接続しようとすると Connectivity issues detected という エラーが表示される... 78 オンプレミスディレクトリに接続しようとすると SRV record というエラーが表示さ れる... 78 WorkSpace の一部のステータスに "Unhealthy" と表示されます... 78 WorkSpace が停止したときにアプリの状態が保存されない... 79 チュートリアル... 80 Simple AD ディレクトリの作成... 80 前提条件... 80 コメント... 81 ステップ 1: VPC の作成と設定... 81 ステップ 2: Simple AD ディレクトリの作成... 85 ステップ 3: WorkSpace の作成... 85 ステップ 4: WorkSpace のテスト... 86 アプリケーションの配布... 87 ファイルサーバーの起動... 87 部門の作成... 88 アプリケーションをインストールするグループポリシーの作成... 88 結果... 90 カスタムバンドルの作成... 90 前提条件... 91 ステップ 1: イメージの作成... 91 ステップ 2: バンドルの作成... 92 ステップ 3: バンドルからの WorkSpace の起動... 92 ステップ 4: イメージの変更... 93 ステップ 5: バンドルの更新... 93 ステップ 6: カスタムバンドルの WorkSpace の再構築... 94 クライアントヘルプ... 95 サポートされるプラットフォームとデバイス... 95 ユーザープロファイルの完了... 96 前提条件... 96 レイテンシーしきい値... 97 MTU しきい値... 97 HTTPS アクセス... 97 Windows クライアント... 97 セットアップとインストール... 98 WorkSpace への接続... 98 クライアントビュー... 98 クライアントの言語... 99 プロキシサーバー... 99 コマンドショートカット... 99 トラブルシューティング... 99 OS X クライアント... 100 セットアップとインストール... 100 WorkSpace への接続... 100 クライアントビュー... 101 クライアントの言語... 101 プロキシサーバー... 102 コマンドショートカット... 102 ipad クライアント... 102 セットアップとインストール... 102 v
WorkSpace への接続... 103 ジェスチャ... 103 放射状メニュー... 104 キーボード... 106 マウスモード... 106 切断... 106 Android クライアント... 107 セットアップとインストール... 107 WorkSpace への接続... 107 ジェスチャ... 108 放射状メニュー... 109 キーボード... 110 マウスモード... 110 切断... 111 Chromebook クライアント... 111 セットアップとインストール... 111 WorkSpace への接続... 111 ジェスチャ... 112 PCoIP ゼロクライアント... 112 要件... 113 ゼロクライアント接続のセットアップ... 113 WorkSpace への接続... 113 ゼロクライアントからの切断... 113 印刷... 114 ローカルプリンター... 114 その他の印刷方法... 114 Amazon WorkDocs 同期クライアント... 114 トラブルシューティング... 115 WorkSpaces クライアントがネットワークエラーを返しますが デバイス上の他のネット ワーク対応アプリケーションは使用できます... 115 自分の WorkSpace へのログインに数分かかることがあります... 115 セッションを閉じただけでログオフしなくても WorkSpace からログオフされることがあ ります... 115 自分の WorkSpace からインターネットに接続できません... 116 サードパーティのセキュリティソフトウェアパッケージをインストールした 後 WorkSpace に接続できません... 116 WorkSpace に接続すると network connection is slow という警告が表示されます... 116 クライアントアプリケーションで無効な証明書エラーが表示されました これはどういう意 味ですか... 116 ご使用のデバイスは WorkSpaces 登録サービスに接続できません というエラーメッ セージが表示されます... 117 制限... 118 ドキュメント履歴... 119 vi
Amazon WorkSpaces とは Amazon WorkSpaces を利用すると クラウドベースのデスクトップエクスペリエンスをユーザー に容易に提供できます さまざまな CPU メモリ ストレージ アプリケーションのオプションが 用意された WorkSpace バンドルの中からいずれかを選択します 次に ユーザー情報を入力し 必要な数の WorkSpaces を起動します WorkSpace の利用準備が整うったら ユーザーは Amazon WorkSpaces クライアントをダウンロードして WorkSpace に接続できます ユーザーは PC/Mac の デスクトップコンピュータ または ipad Kindle Android タブレットから接続できます ユーザー用にスタンドアロンのマネージド型ディレクトリを作成することも AD Connector を使用 してオンプレミスのディレクトリに接続することもできます これにより ユーザーは既存の認証情 報を使用して 自社リソースにシームレスにアクセスできるようになります この統合は Amazon Virtual Private Cloud (Amazon VPC) を使用しているオンプレミスのネットワークへのセキュアなハー ドウェア VPN 接続経由で または AWS Direct Connect を使用して機能します Amazon WorkSpaces を使用すると ハードウェアの調達やデプロイ または複雑なソフトウェアの インストールといった作業にわずらわされることなく ユーザーにデスクトップエクスペリエンスを 提供できます ハードウェアやソフトウェアの管理といった労力のかかる作業や パッチやメンテナ ンスといった雑用は Amazon WorkSpaces にすべて任せて ユーザーに高品質なデスクトップエクス ペリエンスを簡単に提供することができます Amazon WorkSpaces をオンプレミスディレクトリに 接続すると オンプレミスデスクトップ用に既に使用しているツールで WorkSpace を管理でき 管 理上のコントロール力を全面的に維持することができます 詳細については Amazon WorkSpaces を参照してください 1
AWS 無料アカウント作成方法 Amazon WorkSpaces のセットアッ プ Amazon WorkSpaces を使用する前に 次のタスクを完了します タスク AWS 無料アカウント作成方法 (p. 2) IAM ユーザーの作成 (p. 2) Amazon WorkSpaces リソースへのアクセスの制御 (p. 4) ネットワークの準備 (p. 7) AWS 無料アカウント作成方法 AWS アカウントを使用すると &WSP を含めて AWS のすべてのサービスにアクセスできます 実 際に使用したリソースに対してのみ 料金が発生します 既に AWS アカウントをお持ちの場合は次のタスクに進んでください AWS アカウントをお持ちでな い場合は 次に説明する手順にしたがってアカウントを作成してください AWS アカウントを作成するには http://aws.amazon.com/ を開き [AWS アカウントの作成] を選択します オンラインの手順に従います サインアップ手順の一環として 通話呼び出しを受け取り 電話のキーパッドを用いて PIN を入 力することが求められます IAM ユーザーの作成 AWS アカウント認証情報により AWS のサービスに対してユーザーが識別され WorkSpaces など の AWS リソースを無制限に使用する許可が与えられます セキュリティ認証情報を共有することな く他のユーザーに Amazon WorkSpaces リソースの管理を許可するには AWS Identity and Access Management IAM を使用します アカウント所有者も含めた全員が IAM ユーザーとして作業する ことをお勧めします 自分用に IAM ユーザーを作成し その IAM ユーザーに管理者特権を与えて それをすべての作業に使用します 2
管理者アクセス権を持つユーザーを作成する 管理者アクセス権を持つユーザーを作成する AWS にサインアップしても ご自分の IAM ユーザーをまだ作成していない場合は IAM コンソール を使用して作成できます 管理者グループを作成するには https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソールにサ インインします ナビゲーションペインで [Groups] [Create New Group] の順に選択します [Group Name] ボックスにグループの名前 Administrators など を入力し [Next Step] を選 択します ポリシーのリストで AdministratorAccess ポリシーの横にあるチェックボックスを選択します [Filter] メニューと [Search] ボックスを使用して ポリシーのリストをフィルタリングできます 5. [Next Step] [Create Group] の順に選択します 新しいグループは [Group Name] の下に表示されます 自分用の IAM ユーザーを作成するには 管理者グループにユーザーを追加し ユーザーのパ スワードを作成します ナビゲーションペインで [Users] を選択し 続いて [Create New Users] を選択します [1] ボックスにユーザー名を入力します [Generate an access key for each user] の横にあるチェックボックスをオフにします [Create] を選択します 5. ユーザーのリストで 先ほど作成したユーザーの名前 チェックボックスではない を選択しま す [Search] ボックスを使用してユーザー名を検索できます 6. [Groups] タブを選択し [Add User to Groups] を選択します 7. 管理者グループの横にあるチェックボックスを選択します 続いて [Add to Groups] を選択しま す 8. [Security Credentials] タブを選択します [Sign-In Credentials] で [Manage Password] を選択し ます 9. [Assign a custom password] を選択します 続いて [Password] と [Confirm Password] ボックス にパスワードを入力します 完了したら [Apply] を選択します IAM ユーザー認証情報でサインインする 新規の IAM ユーザーとしてサインインするには AWS マネジメントコンソールからサインアウト し 次の URL を使用します このとき your_aws_account_id はハイフンを除いた AWS アカウン ト番号です たとえば AWS アカウント番号が 1234-5678-9012 であれば AWS アカウント ID は 123456789012 です https://your_aws_account_id.signin.aws.amazon.com/console/ 作成した IAM ユーザー名とパスワードを入力します サインインすると ナビゲーションバーに your_user_name @ your_aws_account_id が表示されます サインページの URL に AWS アカウント ID を含めない場合は アカウントのエイリアスを作成しま す IAM ダッシュボードから [Customize] を選択し エイリアス 会社名など を入力します アカ ウントエイリアスを作成した後 サインインするには 次の URL を使用します 3
追加ユーザーを作成する https://your_account_alias.signin.aws.amazon.com/console/ アカウントの IAM ユーザーのサインインリンクを確認するには IAM コンソールを開き ダッシュ ボードの [AWS Account Alias] の下を確認します 追加ユーザーを作成する 追加ユーザーを作成し IAM ポリシーを使用して より制限の厳しいアクセス権を AWS に付与する こともできます 詳細については Amazon WorkSpaces リソースへのアクセスの制御 (p. 4) を参照してください Amazon WorkSpaces リソースへのアクセスの制 御 デフォルトでは IAM ユーザーには Amazon WorkSpaces リソースへのアクセス許可がありま せん IAM ユーザーが Amazon WorkSpaces リソースを管理できるようにするには Amazon WorkSpaces および Amazon EC2リソースを作成および管理する許可を IAM ユーザーに明示的に 付与する IAM ポリシーを作成し このポリシーを許可を必要とする IAM ユーザーまたはグループ にアタッチする必要があります IAM ポリシーの詳細については IAM ユーザーガイド ガイドの Permissions and Policies を参照してください Amazon WorkSpaces はまた Amazon WorkSpaces サービスが必要なリソースにアクセスするのを 許可する IAM ロールを作成します Important Amazon WorkSpaces では API とコマンドラインツールでアクションおよびリソースレベル のアクセス権限が完全にサポートされていますが Amazon WorkSpaces コンソールを正常に 使用するためには アクションとリソースの両方が "*" に設定されている必要があります Note アクションのプレフィックスとして "zocalo" を付けて以前に作成した IAM ポリシーは引き続 き機能します ただし 既存のポリシーでプレフィックスを "zocalo" から "workdocs" にすべ て変更することをお勧めします そのためには 以下の手順を実行します https://console.aws.amazon.com/iam/ で Identity and Access Management (IAM) コンソー ルを開きます [Navigation] ペインで [Groups] [Users] または [Roles] を選択します ポリシーを修正する対象のグループ ユーザー ロールの名前を選択し [Permissions] セ クションまで下にスクロールします [Edit Policy] を選択し すべてのインスタンスで zocalo を workdocs に置き換えます 次のポリシーステートメントは 高速セットアップ手順の実行だけではなく ディレクトリの作成や 管理などすべての Amazon WorkSpaces タスクを実行するためのアクセス権限を IAM ユーザーに付与 します { "Version": "2012-10-17", "Statement": [ { 4
アクセスの制御 "Action": [ "workspaces:*", "ds:*", "iam:passrole", "iam:getrole", "iam:createrole", "iam:putrolepolicy", "kms:listaliases", "kms:listkeys", "ec2:createvpc", "ec2:createsubnet", "ec2:createnetworkinterface", "ec2:createinternetgateway", "ec2:createroutetable", "ec2:createroute", "ec2:createtags", "ec2:createsecuritygroup", "ec2:describeinternetgateways", "ec2:describeroutetables", "ec2:describevpcs", "ec2:describesubnets", "ec2:describenetworkinterfaces", "ec2:describeavailabilityzones", "ec2:attachinternetgateway", "ec2:associateroutetable", "ec2:authorizesecuritygroupegress", "ec2:authorizesecuritygroupingress", "ec2:deletesecuritygroup", "ec2:deletenetworkinterface", "ec2:revokesecuritygroupegress", "ec2:revokesecuritygroupingress", "workdocs:registerdirectory", "workdocs:deregisterdirectory", "workdocs:addusertogroup", "workdocs:removeuserfromgroup" ], "Effect": "Allow", "Resource": "*" } ] } 次のポリシーのステートメントは WorkSpaces の起動や削除など WorkSpace 固有のタスクのみを 実行するためのアクセス権限を IAM ユーザーに付与します workdocs オペレーションは IAM ユー ザーが Amazon WorkSpaces 内のユーザーに対して Amazon WorkDocs を有効にできる必要がある場 合にのみ必要です これらのアクセス権限は IAM ユーザーがディレクトリを管理したり 高速セッ トアップ手順を実行したりすることを許可しません { "Version": "2012-10-17", "Statement": [ { "Action": [ "workspaces:*", "ds:*", "workdocs:addusertogroup", "workdocs:removeuserfromgroup" ], 5
IAM ポリシーで Amazon WorkSpaces リソースを指定する "Effect": "Allow", "Resource": "*" } ] } IAM の詳細については 以下を参照してください Identity and Access Management (IAM) IAM ユーザーガイド IAM ポリシーで Amazon WorkSpaces リソースを指 定する ポリシーステートメントの Resource 要素で Amazon WorkSpaces リソースを指定するためには リ ソースの Amazon リソースネーム ARN を使用する必要があります IAM ポリシーステートメント の Action 要素に指定された API アクションを使用する権限を許可または拒否することで Amazon WorkSpaces リソースへのアクセスを制御できます Amazon WorkSpaces は WorkSpace とバンドル の ARN を定義します トピック WorkSpace ARN (p. 6) バンドル ARN (p. 6) WorkSpace ARN WorkSpace ARN には次の構文があります arn:aws:workspaces:<region>:<account_id>:workspace/<workspace_identifier> ##### WorkSpace があるリージョン account_id ハイフンなしの AWS アカウント ID 123456789012 など workspace_identifier WorkSpace の識別子 ws-0123456789 など 次に示すのは 特定の WorkSpace を識別するポリシーステートメントの Resource 要素の形式です "Resource":"arn:aws:workspaces:<region>:<account_id>:workspace/ <workspace_identifier>" * ワイルドカードを使用して 特定リージョンの特定のアカウントに属するすべての WorkSpace を指定できます バンドル ARN バンドル ARN には次の構文があります arn:aws:workspaces:<region>:<account_id>:workspacebundle/<bundle_identifier> 6
ネットワークの準備 ##### WorkSpace があるリージョン account_id ハイフンなしの AWS アカウント ID 123456789012 など bundle_identifier WorkSpace バンドルの識別子 wsb-0123456789 など 次に示すのは 特定のバンドルを識別するポリシーステートメントの Resource 要素の形式です "Resource":"arn:aws:workspaces:<region>:<account_id>:workspacebundle/ <bundle_identifier>" * ワイルドカードを使用して 特定リージョンの特定のアカウントに属するすべてのバンドルを指 定できます ネットワークの準備 以下のトピックでは Amazon WorkSpaces を使用するためにネットワークを準備する方法を説明し ます トピック クライアントポート (p. 7) ホワイトリストに登録するドメインとポート (p. 8) ネットワークでの Simple AD ディレクトリの準備 (p. 9) ネットワークでの AD Connector ディレクトリの準備 (p. 13) ネットワークでの Microsoft AD ディレクトリの準備 (p. 21) クライアントポート WorkSpace に接続するためには Amazon WorkSpaces クライアントが接続されるネットワークに 複数の AWS サービス サブセットとして配置 の IP アドレス範囲に開放された特定のポートが存在 する必要があります これらのアドレス範囲は AWS リージョンごとに異なります これらと同じ ポートが クライアントで実行されているファイアウォールでも開かれている必要があります 異な るリージョンの IP アドレス範囲の一覧については アマゾン ウェブ サービス全般のリファレンス で AWSの IP アドレス範囲を参照してください ポート 4172 アウトバウンド UDP と TCP このポートは WorkSpace デスクトップとユーザー入力のストリーミングに使用されます WorkSpace が所在するリージョンの EC2 サブセットに対応するすべての IP アドレス範囲を開 放する必要があります ポート 443 アウトバウンド TCP このポートは クライアントアプリケーションの更新 登録 認証に使用されます デスクトッ プクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用 をサポートします 詳細については プロキシサーバー - Windows (p. 99) および プロキ シサーバー - OS X (p. 102) を参照してください GLOBAL リージョンの AMAZON サブセットに対応するすべての IP アドレス範囲を開放する必要 があります WorkSpace が所在するリージョンの AMAZON サブセットに対応するすべての IP アドレス範囲 を開放する必要があります 7
ホワイトリストに登録するドメインとポート Amazon WorkSpaces クライアントアプリケーションは ポート 4172 でネットワークのヘルス チェックを行います このチェックで TCP または UDP トラフィックがクライアントアプリケー ションから Amazon WorkSpaces 本稼働サーバーにストリーミングされるかどうかを検証します こ れを正常に行うには ファイアウォールポリシーで以下のリージョンのネットワークヘルスチェック サーバーを考慮に入れておく必要があります ネットワークヘルスチェックサーバー リージョン ネットワークヘルスチェックサーバー 米国東部 バージニア北部 drp-iad.amazonworkspaces.com 米国西部 オレゴン drp-pdx.amazonworkspaces.com 欧州 アイルランド drp-dub.amazonworkspaces.com アジアパシフィック シンガポール drp-sin.amazonworkspaces.com アジアパシフィック シドニー drp-syd.amazonworkspaces.com アジアパシフィック (東京) drp-nrt.amazonworkspaces.com ホワイトリストに登録するドメインとポート Amazon WorkSpaces クライアントアプリケーションが Amazon WorkSpaces サービスにアクセスで きるようにするには クライアントがサービスへのアクセスを試みるネットワーク上のホワイトリス トに 以下のドメインとポートを登録している必要があります ホワイトリストに登録するドメインとポート カテゴリ ホワイトリストに登録するドメイン/ポート セッションブローカー PCM https://skylight-cm.us-west-amazonaws.com https://skylight-cm.us-east-amazonaws.com https://skylight-cm.eu-west-amazonaws.com https://skylight-cm.apnortheast-amazonaws.com https://skylight-cm.apsoutheast-amazonaws.com https://skylight-cm.apsoutheast-amazonaws.com PCoIP Session Gateway (PSG) 詳細については Amazon WorkSpaces の詳 細 (p. 36) の PCoIP ゲートウェイの IP 範 囲 を参照してください PCoIP Healthcheck DRP drppdx.amazonworkspaces.com tcp/4172 udp/4172 drpiad.amazonworkspaces.com tcp/4172 udp/4172 drpdub.amazonworkspaces.com tcp/4172 udp/4172 drpnrt.amazonworkspaces.com tcp/4172 udp/4172 drpsin.amazonworkspaces.com tcp/4172 udp/4172 8
Simple AD ディレクトリ カテゴリ ホワイトリストに登録するドメイン/ポート drpsyd.amazonworkspaces.com tcp/4172 udp/4172 デバイスメトリックス https://device-metrics-us-amazon.com/ Forrester Log Service https://fls-na.amazon.com/ ディレクトリ設定 お客様のディレクトリ設定: https:// d21ui22avrxoh6.cloudfront.net/prod/<region>/ <directory name> お客様のディレクトリレベルの共同ブランド 化に使用されるログインページのグラフィッ ク: https:// d1cbg795sa4g1u.cloudfront.net/ prod/<region>/<directory name> ログインページのスタイル設定に使用され る CSS ファイル: https://workspaces-clientcss.samazonaws.com クライアントの自動更新 https://d2td7dqidlhjx7.cloudfront.net/ 登録の依存関係 https://samazonaws.com 接続の確認 https://connectivity.amazonworkspaces.com/ ユーザーログインページ https://<directory id>.awsapps.com/ Note <directory id> はお客様のドメインで す ネットワークでの Simple AD ディレクトリの準備 Amazon WorkSpaces は AWS Directory Service Simple AD ディレクトリを使用してユーザーと WorkSpace の情報をクラウドに保存します 以下のトピックでは クラウドで Simple AD ディレク トリをセットアップするためにネットワークを準備する方法を説明します トピック アーキテクチャ (p. 9) 要件 (p. 10) Simple AD ディレクトリのインターネットアクセス (p. 10) アーキテクチャ 次の図は Simple AD ディレクトリにおける Amazon WorkSpaces の基本アーキテクチャを示しま す 9
Simple AD ディレクトリ 要件 Simple AD ディレクトリを作成するには AWS Directory Service Administration Guideの 前提条 件 に記載されている前提条件を満たす必要があります Amazon WorkSpaces で使用するために VPC をセットアップする方法について説明するチュートリア ルについては ステップ 1: VPC の作成と設定 (p. 81) を参照してください Simple AD ディレクトリのインターネットアクセス Simple AD ディレクトリで起動する WorkSpaces は デフォルトではインターネットと通信すること はできません WorkSpaces にインターネットアクセスを許可するには 次のいずれかの方法を使用 する必要があります トピック Simple AD ディレクトリのパブリック IP アドレス (p. 10) Simple AD ディレクトリの NAT ゲートウェイ (p. 12) Simple AD ディレクトリのパブリック IP アドレス インターネットゲートウェイをディレクトリで使用する VPC にアタッチし 各 WorkSpace にパブ リック IP アドレスを割り当てます WorkSpaces にパブリック IP アドレスを割り当てるには 各 WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当てるか プロビ ジョニングまたは再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アド レスを割り当てることができます Simple AD ディレクトリでのパブリック IP アドレスの自動割り当 ての詳細については インターネットアクセス (p. 43) を参照してください トピック インターネットゲートウェイとルーティング (p. 11) WorkSpace への Elastic IP アドレスの割り当て (p. 11) 10
Simple AD ディレクトリ インターネットゲートウェイとルーティング インターネットゲートウェイとサブネットルーティングをセットアップするには 以下の手順を実行 します VPC にまだインターネットゲートウェイがない場合は インターネットゲートウェイを作成し ディレクトリで使用する VPC にアタッチします 詳細については Amazon VPC ユーザーガ イド の VPC へのインターネットゲートウェイの追加 を参照してください WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください 両方の WorkSpaces サブネットのルートテーブルを変更し インターネットゲートウェイにすべ ての VPC 以外のトラフィックをルーティングします WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ WorkSpace への Elastic IP アドレスの割り当て 以下の手順では WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当 てる方法を説明します プロビジョニングまたは再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリッ ク IP アドレスを割り当てることができます 詳細については インターネットアクセス Simple AD (p. 43) または インターネットアクセス AD Connector (p. 46) を参照してくださ い WorkSpace に Elastic IP アドレスを割り当てるには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [WorkSpaces] を選択し Elastic IP アドレスを適用する WorkSpace を 選択したら 右矢印ボタンを選択して WorkSpace の詳細を表示します [WorkSpace IP] の値を 書き留めておきます https://console.aws.amazon.com/ec2/ にある Amazon EC2 コンソールを開きます 目的のリージョンを選択します ナビゲーションペインで [Elastic IPs] を選択し 使用していない VPC アドレスを選択するか ま たは VPC の新しいアドレスを割り当てます 5. アドレスを選択し [Associate Address] を選択して ステップ 2 で見つかった WorkSpace の IP の値を [Network Interface] フィールドに入力します その IP アドレスが割り当てられた Elastic Network Interface (ENI) の識別子が 検索リストに表示されます これは WorkSpace の ENI で す ENI 識別子を選択します WorkSpace の IP が [Private IP Address] フィールドに表示されま す 6. [Reassociation] を選択し 必要に応じて後で Elastic IP アドレスを再割り当てできるようにし て [Associate] を選択します 7. WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください 11
Simple AD ディレクトリ 8. これで WorkSpace からのインターネット接続が許可されました 既存の各 WorkSpace につい て このプロセスを繰り返します Simple AD ディレクトリの NAT ゲートウェイ ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがア タッチされたサブネット) で ネットワークアドレス変換 (NAT) ゲートウェイを実装します NAT ゲートウェイは WorkSpaces とは別のサブネットにある必要があります これにより すべての WorkSpaces がインターネットにアクセスできるようになります この手順の詳細については Amazon VPC ユーザーガイド の NAT ゲートウェイ を参照してください NAT ゲートウェイをセットアップし WorkSpaces でインターネットアクセスを許可するには 以下 のステップを実行します この例の手順では WorkSpaces 用に 2 つのプライベートサブネットを持 つ既存の VPC があることを前提としています 完了すると VPC は以下のようになります NAT ゲートウェイをセットアップするには インターネットゲートウェイを作成して VPC にアタッチします NAT ゲートウェイ用に別のサブネットを作成し このサブネットで NAT ゲートウェイを作成し ます NAT ゲートウェイには Elastic IP アドレスが必要です NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し すべての VPC 以外のトラフィックをインターネットゲートウェイにルーティングするようにします 12
AD Connector ディレクトリ NAT サブネットルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作 成し このルートテーブルを両方の WorkSpaces サブネットに割り当てます このルートテーブ ルは次のようになります WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 NAT ゲートウェイ 5. WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください 6. これで WorkSpaces からのインターネット接続が許可されました WorkSpace に接続し ウェ ブブラウザを使ってインターネットに接続できることを確認します Note または パブリックサブネットで NAT インスタンスを作成することもできます ただ し NAT インスタンスが 1 つの場合 単一障害点が発生します NAT ゲートウェイを使 用することをお勧めします ネットワークでの AD Connector ディレクトリの準 備 Amazon WorkSpaces は AWS Directory Service AD Connector ディレクトリを使用してオンプレ ミスディレクトリに接続します 以下のトピックでは オンプレミスのディレクトリに Amazon WorkSpaces を接続するように準備する方法を説明します トピック アーキテクチャ (p. 13) 要件 (p. 14) AD Connector ディレクトリのインターネットアクセス (p. 15) 多要素認証の前提条件 (p. 18) 接続権限の委任 (p. 18) 接続の確認 (p. 20) アーキテクチャ AD Connector ディレクトリおよび VPN を使用した Amazon WorkSpaces の基本システムアーキテク チャを次に示します 13
AD Connector ディレクトリ AD Connector ディレクトリおよび AWS Direct Connect を使用した Amazon WorkSpaces の基本シス テムアーキテクチャを次に示します 要件 AD Connector を使用してオンプレミスディレクトリに接続するには AWS Directory Service Administration Guide の の前提条件 に示されている前提条件を満たす必要があります また 以下が必要になります 14
AD Connector ディレクトリ Amazon WorkSpaces の場合 オンプレミスのディレクトリと通信するには オンプレミスのネッ トワークのファイアウォールで VPC の両方のサブネットの CIDR に対して以下のポートが開かれて いる必要があります TCP/UDP 53 - DNS TCP/UDP 88 - Kerberos 認証 UDP 123 - NTP TCP 135 - RPC UDP 137-138 - Netlogon TCP 139 - Netlogon TCP/UDP 389 - LDAP TCP/UDP 445 - SMB TCP 1024-65535 - RPC 用ダイナミックポート これらの条件が満たされるかどうかテストするには オンプレミスのディレクトリに接続する前に 接続の確認 (p. 20) を参照してください AD Connector ディレクトリのインターネットアクセス AD Connector ディレクトリで起動する WorkSpaces は デフォルトではインターネットと通信する ことはできません WorkSpaces にインターネットアクセスを許可するには 次のいずれかの方法を 使用する必要があります トピック オンプレミスのファイアウォール (p. 15) AD Connector ディレクトリのパブリック IP アドレス (p. 16) AD Connector ディレクトリの NAT ゲートウェイ (p. 16) オンプレミスのファイアウォール WorkSpaces にオンプレミスのネットワークのインターネットファイアウォールへのアクセスを許可 します サブネットにファイアウォールへのアクセスを許可するようにルートテーブルを調整する必 要があります 15
AD Connector ディレクトリ AD Connector ディレクトリのパブリック IP アドレス WorkSpaces にパブリック IP アドレスを割り当てるには 各 WorkSpace のネットワークインター フェイスに Elastic IP アドレスを手動で割り当てるか プロビジョニングまたは再構築されたすべて の WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アドレスを割り当てることができま す AD Connector ディレクトリでのパブリック IP アドレスの自動割り当ての詳細については イ ンターネットアクセス (p. 46) を参照してください インターネットゲートウェイをセットアップし WorkSpaces に Elastic IP アドレスを割り当てる方 法の詳細については Simple AD ディレクトリのパブリック IP アドレス (p. 10) を参照してく ださい AD Connector ディレクトリの NAT ゲートウェイ ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがアタッ チされたサブネット) で ネットワークアドレス変換 (NAT) ゲートウェイを実装します これによ り すべての WorkSpaces がインターネットにアクセスできるようになります この手順の詳細につ いては Amazon VPC ユーザーガイド の NAT ゲートウェイ を参照してください WorkSpaces でインターネットアクセスを許可にするように NAT ゲートウェイをセットアップする方 法については Simple AD ディレクトリの NAT ゲートウェイ (p. 12) を参照してください 完 了すると VPC は以下のようになります 16
AD Connector ディレクトリ NAT ゲートウェイをセットアップするには インターネットゲートウェイを作成して VPC にアタッチします NAT ゲートウェイ用に別のサブネットを作成し このサブネットで NAT ゲートウェイを作成し ます NAT ゲートウェイには Elastic IP アドレスが必要です NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し すべての VPC 以外のトラフィックをインターネットゲートウェイにルーティングするようにします NAT サブネットルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作 成し このルートテーブルを両方の WorkSpaces サブネットに割り当てます このルートテーブ ルは次のようになります WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 17
AD Connector ディレクトリ 送信先 ターゲット 0.0.0.0/0 NAT ゲートウェイ 5. WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください 6. これで WorkSpaces からのインターネット接続が許可されました WorkSpace に接続し ウェ ブブラウザを使ってインターネットに接続できることを確認します Note または パブリックサブネットで NAT インスタンスを作成することもできます ただ し NAT インスタンスが 1 つの場合 単一障害点が発生します NAT ゲートウェイを使 用することをお勧めします 多要素認証の前提条件 AD Connector ディレクトリで多要素認証をサポートするには 以下が必要です 2 個のクライアントのエンドポイントを持つ オンプレミスネットワーク内の Remote Authentication Dial In User Service (RADIUS) サーバー RADIUS クライアントエンドポイントには 次の要件があります エンドポイントを作成するには AD Connector サーバーの IP アドレスが必要です これらの IP アドレスは Amazon WorkSpaces ディレクトリの詳細の [Directory IP Address] フィールドから 取得できます 2 つの RADIUS エンドポイントが同じ共有シークレットコードを使用する必要があります オンプレミスネットワークでは AD Connector サーバーからのデフォルトの RADIUS サーバー ポート 1812 を介した受信トラフィックが許可されている必要があります RADIUS サーバーとオンプレミスディレクトリの間でユーザー名が同じである必要があります AD Connector ディレクトリで多要素認証を有効にする方法の詳細については 多要素認 証 (p. 47) を参照してください 接続権限の委任 AD Connector がオンプレミスディレクトリに接続するには 特定の権限を持つ オンプレミス ディレクトリでのアカウントの認証情報が必要です ドメインの管理者グループのメンバーには ディレクトリに接続するための十分な権限がありますが ベストプラクティスとして そのディ レクトリへの接続に必要な最小限の権限のみを持つアカウントを使用してください 以下の手順 は WorkSpaces_Connectors という新しいグループを作成し Amazon WorkSpaces をディレクト リに接続するために必要な権限をこのグループに委任する方法を示しています この手順はディレクトリに結合され [Active Directory User and Computers] MMC スナップインがイ ンストールされたマシンで実行される必要があります ドメイン管理者としてログインする必要があ ります [Active Directory User and Computers] を開き ナビゲーションツリーのドメインルートを選択し ます 18
AD Connector ディレクトリ 左側のペインのリストで [Users] のコンテキスト 右クリック メニューを開き [New] [Group] を選択します [New Object - Group] ダイアログボックスで 以下の値を入力し [OK] を選択します フィールド 値/選択 グループ名 WorkSpaces_Connectors Group scope グローバル Group type セキュリティ [Active Directory User and Computers] ナビゲーションツリーで ドメインルートを選択します メニューで [Action] [Delegate Control] の順に選択します 19
AD Connector ディレクトリ 5. [Delegation of Control Wizard] ページで [Next] [Add] の順に選択します 6. [Select Users, Computers, or Groups] ダイアログボックスで WorkSpaces_Connectors と入力し [OK] を選択します 複数のオブジェクトがある場合は 上記で作成した WorkSpaces_Connectors グループを選択します [Next] を選択します 7. [Tasks to Delegate] ページで [Read all user information] と [Join a computer to the domain] のみ を選択したら [Next] を選択します 8. [Completing the Delegation of Control Wizard] ページの情報を確認し [Finish] を選択します 9. 強力なパスワードでユーザーを作成し そのユーザーを WorkSpaces_Connectors グループに 追加します ユーザーには ディレクトリに Amazon WorkSpaces を接続するための十分な権限 が与えられます 接続の確認 AD Connector でオンプレミスディレクトリに接続するには オンプレミスネットワークのファイア ウォールで VPC の両方のサブネットの CIDR に対して特定のポートが開かれている必要があります 20
Microsoft AD ディレクトリ これらの要件が満たされているかどうかをテストするには 以下の手順を実行します 詳細について は AWS Directory Service Administration Guide の 接続の確認 を参照してください 接続を確認するには VPC で Windows インスタンスを起動し RDP 経由でインスタンスに接続します 残りの手順 は VPC インスタンスで実行します DirectoryServicePortTest テストアプリケーションをダウンロードして解凍します ソースコード と Visual Studio プロジェクトファイルが含まれており 必要に応じてテストアプリケーションを 変更できます Windows のコマンドプロンプトで 次のオプションを指定して DirectoryServicePortTest テスト アプリケーションを実行します DirectoryServicePortTest.exe -d <domain_name> -ip <server_ip_address> -tcp "53,88,135,389,445,3268,5722,9389" -udp "53,88,123,138,389,445" <domain_name> 完全修飾ドメイン名 これは フォレストとドメインの機能レベルをテストするために使用 されます ドメイン名を除外した場合 機能レベルはテストされません <server_ip_address> オンプレミスドメインのドメインコントローラーの IP アドレス ポートはこの IP アドレス に対してテストされます IP アドレスを除外した場合 ポートはテストされません これによって 必要なポートが VPC からドメインに開かれているかどうかを特定します テスト アプリケーションは 最小限のフォレストとドメインの機能レベルも確認します 出力は以下のようになります Testing forest functional level. Forest Functional Level = Windows2008R2Forest : PASSED Testing domain functional level. Domain Functional Level = Windows2008R2Domain : PASSED Testing required TCP ports to <server_ip_address>: Checking TCP port 53: PASSED... Testing required UDP ports to <server_ip_address>: Checking UDP port 53: PASSED... ネットワークでの Microsoft AD ディレクトリの準備 Amazon WorkSpaces は Microsoft AD ディレクトリを使用してユーザーと WorkSpace の情報をクラ ウドに保存します 以下のトピックでは クラウドで Microsoft AD ディレクトリをセットアップする ためにネットワークを準備する方法を説明します トピック アーキテクチャ (p. 22) 要件 (p. 22) Microsoft AD ディレクトリのインターネットアクセス (p. 22) 21
Microsoft AD ディレクトリ アーキテクチャ 次の図は Microsoft AD ディレクトリにおける Amazon WorkSpaces の基本アーキテクチャを示して います 要件 Microsoft AD ディレクトリを作成するには AWS Directory Service Administration Guideの 前提条 件 に記載されている前提条件を満たす必要があります Amazon WorkSpaces で使用するために VPC をセットアップする方法について説明するチュートリア ルについては ステップ 1: VPC の作成と設定 (p. 81) を参照してください Microsoft AD ディレクトリのインターネットアクセス Microsoft AD ディレクトリで起動する WorkSpaces は デフォルトではインターネットと通信するこ とはできません WorkSpaces にインターネットアクセスを許可するには 次のいずれかの方法を使 用する必要があります トピック Microsoft AD ディレクトリのパブリック IP アドレス (p. 22) Microsoft AD ディレクトリの NAT ゲートウェイ (p. 24) Microsoft AD ディレクトリのパブリック IP アドレス インターネットゲートウェイをディレクトリで使用する VPC にアタッチし 各 WorkSpace にパブ リック IP アドレスを割り当てます WorkSpaces にパブリック IP アドレスを割り当てるには 各 WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当てるか プロビ ジョニングまたは再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アド レスを割り当てることができます Microsoft AD ディレクトリでのパブリック IP アドレスの自動割り 当ての詳細については インターネットアクセス (p. 43) を参照してください トピック 22
Microsoft AD ディレクトリ インターネットゲートウェイとルーティング (p. 23) WorkSpace への Elastic IP アドレスの割り当て (p. 23) インターネットゲートウェイとルーティング インターネットゲートウェイとサブネットルーティングをセットアップするには 以下の手順を実行 します インターネットゲートウェイとサブネットのルーティングを設定するには VPC にまだインターネットゲートウェイがない場合は インターネットゲートウェイを作成し ディレクトリで使用する VPC にアタッチします 詳細については Amazon VPC ユーザーガイ ドの VPC へのインターネットゲートウェイの追加 を参照してください WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください 両方の WorkSpaces サブネットのルートテーブルを変更し インターネットゲートウェイにすべ ての VPC 以外のトラフィックをルーティングします WorkSpaces サブネットのルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ WorkSpace への Elastic IP アドレスの割り当て 以下の手順では WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当 てる方法を説明します プロビジョニングまたは再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリッ ク IP アドレスを割り当てることができます 詳細については インターネットアクセス Simple AD (p. 43) または インターネットアクセス AD Connector (p. 46) を参照してくださ い WorkSpace に Elastic IP アドレスを割り当てるには 5. 6. Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [WorkSpaces] を選択し Elastic IP アドレスを適用する WorkSpace を 選択し 右矢印ボタンを選択して WorkSpace の詳細を表示します [WorkSpace IP] の値を書き 留めておきます https://console.aws.amazon.com/ec2/ にある Amazon EC2 コンソールを開きます 目的のリージョンを選択します ナビゲーションペインで [Elastic IPs] を選択し 使用していない VPC アドレスを選択するか ま たは VPC の新しいアドレスを割り当てます アドレスを選択し [Associate Address] を選択して ステップ 2 で見つかった WorkSpace の IP の値を [Network Interface] フィールドに入力します その IP アドレスが割り当てられた Elastic Network Interface (ENI) の識別子が 検索リストに表示されます これは WorkSpace の ENI で す ENI 識別子を選択します WorkSpace の IP が [Private IP Address] フィールドに表示されま す [Reassociation] を選択し 必要に応じて後で Elastic IP アドレスを再割り当てできるようにし て [Associate] を選択します 23
Microsoft AD ディレクトリ 7. WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください 8. これで WorkSpace からのインターネット接続が許可されました 既存の各 WorkSpace につい て このプロセスを繰り返します Microsoft AD ディレクトリの NAT ゲートウェイ ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがア タッチされたサブネット) で ネットワークアドレス変換 (NAT) ゲートウェイを実装します NAT ゲートウェイは WorkSpaces とは別のサブネットにある必要があります これにより すべての WorkSpaces がインターネットにアクセスできるようになります この手順の詳細については Amazon VPC ユーザーガイド の NAT ゲートウェイ を参照してください NAT ゲートウェイをセットアップし WorkSpaces でインターネットアクセスを許可するには 以下 のステップを実行します この例の手順では WorkSpaces 用に 2 つのプライベートサブネットを持 つ既存の VPC があることを前提としています 完了すると VPC は次の図のようになります NAT ゲートウェイをセットアップするには インターネットゲートウェイを作成して VPC にアタッチします NAT ゲートウェイ用に別のサブネットを作成し このサブネットで NAT ゲートウェイを起動し ます NAT ゲートウェイには Elastic IP アドレスが必要です 24
Microsoft AD ディレクトリ NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し すべての VPC 以外のトラフィックをインターネットゲートウェイにルーティングするようにします NAT サブネットルートテーブル 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 インターネットゲートウェイ すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作 成し このルートテーブルを両方の WorkSpaces サブネットに割り当てます このルートテーブ ルは次のようになります WorkSpaces サブネットのルートテーブル 5. 6. 送信先 ターゲット VPC CIDR ローカル 0.0.0.0/0 NAT ゲートウェイ WorkSpaces のセキュリティグループで すべての宛先 0.0.0.0/0 へのポート 80 HTTP と 443 HTTPS のアウトバウンドトラフィック HTTPS を許可します WorkSpaces セキュリ ティグループを見つける方法については WorkSpaces セキュリティグループ (p. 39) を参 照してください これで WorkSpaces からのインターネット接続が許可されました WorkSpace に接続し ウェ ブブラウザを使ってインターネットに接続できることを確認します 1 つの NAT インスタンスにより 単一の障害点が発生します 高可用性を実現するために 異なるア ベイラビリティーゾーンで複数の NAT インスタンスを作成する必要があります 詳細については Amazon VPC NAT インスタンスの高可用性: 例 を参照してください Note または パブリックサブネットで NAT インスタンスを作成することもできます ただ し NAT インスタンスが 1 つの場合 単一障害点が発生します NAT ゲートウェイを使用す ることをお勧めします 25
クイックスタート Amazon WorkSpaces の使用開始 Amazon WorkSpaces を開始するには 2 とおりの方法があります Simple AD ディレクトリを使用 して Amazon WorkSpaces をすばやく起動し実行するクイックスタート手順 (p. 26)があります クイックスタート手順はサービスの評価に使用するものです 特定のリージョンでクイックスター ト手順を完了した後は 再実行はできません 詳細については Amazon WorkSpaces Quick Start Guide (p. 26) を参照してください 2 番目の方法は より高度な方法で ディレクトリの作成をさらに細かく制御できます 詳細につい ては 高度な設定 (p. 32) を参照してください トピック Amazon WorkSpaces Quick Start Guide (p. 26) 高度な設定 (p. 32) Amazon WorkSpaces Quick Start Guide Amazon WorkSpaces Quick Start Guide を使用すると Amazon WorkSpaces をすばやく簡単に起動 して実行することができます トピック 前提条件 (p. 26) ご利用開始にあたって (p. 27) セットアップタイプを選択します (p. 27) 高速セットアップ (p. 28) 前提条件 Amazon WorkSpaces のクイックスタート手順を使用するには 次の前提条件を満たす必要がありま す AWS アカウント Amazon WorkSpaces を使用するには AWS アカウントが必要です 詳細については AWS 無料アカウント作成方法 (p. 2) を参照してください 26
ご利用開始にあたって Amazon WorkSpaces クライアントの前提条件 いずれかの Amazon WorkSpaces クライアントアプリケーションを使用して WorkSpace にアク セスするには Amazon WorkSpaces クライアントの前提条件 (p. 96) に説明されている要 件を満たす必要があります ご利用開始にあたって 希望するリージョンの Amazon WorkSpaces コンソールを開き AWS の認証情報でサインインし て [Get Started Now] を選択します Note 選択するリージョンがわからない場合は 接続状態の確認ウェブサイトで最適なリージョ ンを選択することをお勧めします 推奨内容は ポートの接続性 接続速度 Amazon WorkSpaces サービスに接続するデバイスの機能などの いくつかの要因に基づいています セットアップタイプを選択します Amazon WorkSpaces はネットワークディレクトリを使用して ユーザーと WorkSpace 情報を格納し ます 使用する Amazon WorkSpaces ディレクトリのセットアップタイプを選択します [Quick Setup] 手順を使用すると Amazon WorkSpaces をすばやく簡単に起動して実行できま す Amazon WorkSpaces は 最小限の管理のみを必要とするディレクトリをクラウドに作成し セットアップします [Advanced Setup] 手順を使用すると Amazon WorkSpaces ディレクトリの設定をより詳細に制御で きます ディレクトリは クラウドに配置するか オンプレミスのディレクトリに接続できます 次のいずれかのオプションを選択します 高速セットアップを使用するには [Launch Quick Setup] を選択し 高速セットアッ プ (p. 28) を参照してください 高度なセットアップを使用するには [Launch Advanced Setup] を選択し 高度な設 定 (p. 32) を参照してください 27
高速セットアップ 高速セットアップ 高速セットアップ手順を使用すると Amazon WorkSpaces をすばやく簡単に起動して実行できま す Amazon WorkSpaces は 最小限の管理のみを必要とするディレクトリをクラウドに作成し セットアップします 高速セットアップの前提条件 この手順では ユーザーに代わって仮想プライベートゲートウェイクラウド VPC を作成します このため AWS アカウントでは WorkSpaces を作成するリージョンで少なくとも 1 つの利用可能 な VPC を作成する必要があります この VPC 内で Amazon WorkSpaces はインターネットゲート ウェイも作成する必要があるので AWS アカウントでは WorkSpaces を作成するリージョンで少な くとも 1 つの利用可能なインターネットゲートウェイを作成する必要があります VPC の詳細については Amazon VPC とは を参照してください Amazon VPC ユーザーガイ ド インターネットゲートウェイの詳細については Amazon VPC ユーザーガイド の VPC へのイン ターネットゲートウェイの追加 を参照してください WorkSpace バンドルの選択とユーザーの作成 [Available WorkSpace Bundles] セクションで 希望する WorkSpace バンドルを選択します リージョンで複数のオペレーティングシステムの言語を使用できる場合は 目的のオペレーティ ングシステムの言語を選択することもできます 利用可能なさまざまなバンドルの詳細について は Amazon WorkSpaces 製品の詳細 を参照してください [Enter User Details] セクションで WorkSpace ユーザーについてリクエストされた情報を入力し ます 入力される最初のユーザーが Amazon WorkSpaces 管理者になり 管理者権限が与えられ ます 複数のユーザーを追加するには [Create Additional Users] を選択し 次のユーザーのフィールド に入力します すべてのユーザーに対してこれを繰り返します すべてのユーザー情報を入力し たら [Launch WorkSpaces] を選択します 28
高速セットアップ Note 上の画像は参考のために示しているものです 実際のバンドル バンドルの内容 料金は異 なる場合があります クイックスタート手順で Amazon WorkSpaces によって行われる操作の詳細については 高速セッ トアップの詳細 (p. 31) を参照してください WorkSpaces の起動 Amazon WorkSpaces インフラストラクチャが作成され WorkSpaces が起動されるまでには数分か かります [View the WorkSpaces Console] を選択すると WorkSpaces のステータスをモニタリング できます 29
高速セットアップ WorkSpace のステータスの監視 WorkSpaces が起動されている間 Amazon WorkSpaces コンソールの [WorkSpaces] セクションでス テータスを監視できます WorkSpaces は "Pending" 状態で開始され 起動が完了すると "Running" 状態に変わります WorkSpaces の準備完了 WorkSpaces が使用できるようになると ようこそ E メールが個々のユーザーに送信されます よう こそ E メールにはユーザーがアカウントを作成し Amazon WorkSpaces クライアントをダウンロー ドおよびインストールする手順と WorkSpace にログインする手順が含まれています E メールのテ キストは以下のようなものになります Greetings, A new Amazon WorkSpace has been provided for you. Follow the steps below to quickly get up and running with your WorkSpace: Complete your user profile and download a WorkSpace client using the following link: link_to_registration. Launch the client and enter the following registration code: registration_code. Log in with your newly created password. Your username is username. If you have any issues connecting to your WorkSpace, please contact your administrator. You may download clients for additional devices at http:// clients.amazonworkspaces.com/ Sincerely, Amazon WorkSpaces 30
高速セットアップ ユーザー登録 ユーザーは 最初に E メールに記載されている登録リンクに移動してプロファイルを完了する必要が あります ユーザーは E メールの送信後 7 日以内に登録を完了する必要があります そうしないと招 待は期限切れになり 別の招待を送信しなければならなくなります ユーザー名と E メールアドレスは変更できませんが ユーザーは姓と名を変更することができます また ユーザーはアカウントのパスワードを設定する必要もあります パスワードは大文字と小文字 が区別され 8 64 文字の長さにする必要があります また 以下の 3 つのカテゴリから少なくとも 1 文字を含める必要があります 英小文字 a z 英大文字 A Z 番号 0 9 アルファベット以外の文字 ~!@#$%^&*_-+=` \(){}[]:;"'<>,.?/ クライアントのダウンロード ユーザーは Amazon WorkSpaces Client Downloads ページからいつでもクライアントアプリケーショ ンをダウンロードできます 利用できるクライアントアプリケーションの詳細については サポー トされるプラットフォームとデバイス (p. 95) を参照してください クライアントアプリケーションの登録 招待 E メールに記載された登録コードは 初回ログイン時にのみ使用します このコードにより クライアントアプリケーションは適切な Amazon WorkSpaces ディレクトリに接続できます 何ら かの理由でクライアントアプリケーションを再登録する必要がある場合 メニューから [Manage Registrations] を選択します クライアントアプリケーションは 入力された直近 10 の登録コードを自動的に保存します 以前の 登録コードをすばやく取得するには [Saved registrations] を選択して アクセスする WorkSpace に属する保存済み登録コードを選択し その WorkSpace のログイン情報を入力します 同じコード を使用して 別のリージョンやディレクトリ内の WorkSpace にアクセスできます 保存された登録 コードを削除するには 登録コードの横にある [X] ボタンを選択します 必要に応じてこのページに 戻るには クライアントアプリケーションのメニューから [Manage Registrations] を選択します Note この情報はローカルに保存され デバイスには残りません クライアントのサインイン クライアントアプリケーションが登録された後で ユーザーはサインインページに移動します ここ では ユーザーはユーザープロファイルを入力 (p. 31)したときに入力した Amazon WorkSpaces ユーザー名とパスワードを入力します ユーザーがサインインすると クライアントアプリケーショ ンは WorkSpace に接続し WorkSpace デスクトップが表示されます 高速セットアップの詳細 Amazon WorkSpaces 高速セットアップ手順を実行すると Amazon WorkSpaces はユーザーに代 わって次のタスクを実行します IAM ロールを作成して Amazon WorkSpaces サービスが Elastic Network Interface を作成 し Amazon WorkSpaces ディレクトリの一覧を表示できるようにします そのロールに は workspaces_defaultrole という名前が付きます 31
高度な設定 アカウントで仮想プライベートゲートウェイクラウド VPC を作成します Caution 特に指示がない限り この VPC のセキュリティグループ ゲートウェイ その他の設定を いずれも変更しないでください 変更すると Amazon WorkSpaces 環境が機能しなくなる 可能性があります ユーザーおよび WorkSpace 情報を格納するために使用される VPC 内の Simple AD ディレクトリを セットアップします ディレクトリの管理者アカウントを作成します 指定したユーザーアカウントを作成し ディレクトリに追加します WorkSpace インスタンスを作成します 高速セットアップ中に作成された各 WorkSpace には インターネットアクセスを提供する ためのパブリック IP アドレスが割り当てられます 後でさらに WorkSpaces を作成する場合 は WorkSpaces にインターネットアクセスを提供する必要があります 詳細については Simple AD ディレクトリのインターネットアクセス (p. 10) を参照してください 指定されたユーザーに招待 E メールを送信します 高度な設定 Amazon WorkSpaces では AWS Directory Service ディレクトリを使用して ユーザーおよび WorkSpace アカウントの情報を格納します 格納先は Microsoft AD ディレクトリ Simple AD ディ レクトリ AD Connector ディレクトリのいずれかです Amazon WorkSpaces で既存のディレクトリ を操作できるようにするか Amazon WorkSpaces で自動的にディレクトリを作成することができま す 次のいずれかのオプションを選択します Amazon WorkSpaces で既存の AWS Directory Service ディレクトリを操作できるようにする場合 は ディレクトリへの登録 (p. 41) を参照してください Amazon WorkSpaces で Microsoft AD の AWS Directory Service を操作できるようにする場合は ネットワークでの Microsoft AD ディレクトリの準備 (p. 21) を参照してください クラウドにディレクトリを作成する場合は クラウドでの Amazon WorkSpaces ディレクトリの 作成 (p. 32) で クラウドに Simple AD ディレクトリを作成する方法を参照してください オンプレミスディレクトリに接続する場合は ディレクトリへの Amazon WorkSpaces の接 続 (p. 34) で AD Connector を使用してディレクトリに接続する方法を参照してください 手動で新しい VPC Simple AD ディレクトリ WorkSpace を作成して設定するために必要なすべ ての手順を説明するチュートリアルについては チュートリアル: Simple AD ディレクトリの作 成 (p. 80) を参照してください トピック クラウドでの Amazon WorkSpaces ディレクトリの作成 (p. 32) ディレクトリへの Amazon WorkSpaces の接続 (p. 34) クラウドでの Amazon WorkSpaces ディレクトリの 作成 Amazon WorkSpaces は WorkSpace とユーザー情報の保存と管理にディレクトリを使用しま す Amazon WorkSpaces が Simple AD または Microsoft AD を使用してこのディレクトリをクラウド に作成するように指定できます 32
ディレクトリの作成 Simple AD または Microsoft AD ディレクトリの作成 Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには 2 つの異なるサービスコ ンソールを使用できます AWS Directory Service Amazon WorkSpaces トピック AWS Directory Service コンソールを使ってディレクトリを作成する (p. 33) Amazon WorkSpaces コンソールを使ってディレクトリを作成する (p. 33) AWS Directory Service コンソールを使ってディレクトリを作成する AWS Directory Service コンソールを使って Simple AD ディレクトリまたは Microsoft AD ディレクト リをを作成するには 以下の手順を実行します Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには AWS Directory Service コンソールを開きます AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います Amazon WorkSpaces コンソールを使ってディレクトリを作成する Amazon WorkSpaces コンソールを使って Simple AD ディレクトリまたは Microsoft AD ディレクトリ を作成するには 以下のステップを実行します Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [Directories] [Set up Directory] の順に選択します AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います Simple AD および Microsoft AD ディレクトリのセットアップ の詳細 Simple AD または Microsoft AD ディレクトリを作成すると Amazon WorkSpaces が自動的に以下の タスクを実行します IAM ロールを作成して Amazon WorkSpaces サービスが Elastic Network Interface を作成 し Amazon WorkSpaces ディレクトリの一覧を表示できるようにします そのロールに は workspaces_defaultrole という名前が付きます ユーザーおよび WorkSpace 情報を格納するために使用される VPC 内のディレクトリをセットアッ プします ユーザー名 Administrator と指定されたパスワードを使用してディレクトリ管理者アカウントを 作成します このアカウントを使用してディレクトリを管理します 2 つのセキュリティグループを作成します 1 つはディレクトリコントローラ用で もう 1 つは ディレクトリ内の WorkSpaces 用です 33
ディレクトリへの接続 ディレクトリへの Amazon WorkSpaces の接続 Amazon WorkSpaces は WorkSpace とユーザー情報の保存と管理にネットワークディレクトリを使 用します AD Connector を使用して Amazon WorkSpaces をオンプレミスディレクトリに接続でき るため ユーザーはオンプレミスの認証情報を使用して自分の WorkSpace にサインインすることが できます また ローカルにアクセスできる同じオンプレミスのリソースに WorkSpace からもアク セスできるようになります ディレクトリに接続するには 2 つの異なるサービスコンソールを使用できます AWS Directory Service Amazon WorkSpaces AWS Directory Service コンソールの使用によるディレクトリ への接続 AD Connector を使って AWS Directory Service コンソールでオンプレミスディレクトリに接続するに は 以下の手順を実行します ディレクトリに接続するには AWS Directory Service コンソールを開きます AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います Amazon WorkSpaces コンソールの使用によるディレクトリへ の接続 AD Connector を使って Amazon WorkSpaces コンソールでオンプレミスディレクトリに接続するに は 以下の手順を実行します ディレクトリに接続するには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [Directories] [Set up Directory] の順に選択します AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います 34
Amazon WorkSpaces 管理 Amazon WorkSpaces はクラウドで動作する 完全マネージド型のデスクトップコンピューティング サービスです Amazon WorkSpaces を使うと クラウドベースのデスクトップを起動して エンド ユーザーに必要なドキュメント アプリケーション およびリソースが ノート PC ipad Kindle Fire Android タブレットなど任意のデバイスからアクセスできるようになります 詳細については Amazon WorkSpaces を参照してください Amazon WorkSpaces はネットワークディレクトリを使用して ユーザーと WorkSpace 情報を格納し ます このディレクトリは クラウドのディレクトリか オンプレミスディレクトリに接続されてい ます クラウドディレクトリでは ユーザーおよび WorkSpace 情報は VPC の 1 つに存在するスタンドアロ ンディレクトリに格納されます WorkSpace ユーザーはこのディレクトリ内にのみ存在し 外部ディ レクトリにはリンクされていません クラウドディレクトリを作成すると Amazon WorkSpaces が このディレクトリを自動的にセットアップします オンプレミスディレクトリがない場合 またはオ ンプレミスリソースにアクセスする必要がない場合は クラウドディレクトリを使用してください 詳細については クラウドでの Amazon WorkSpaces ディレクトリの作成 (p. 32) を参照してくだ さい 接続したディレクトリの場合は ユーザーおよび WorkSpace 情報はオンプレミスディレクトリに格 納されます WorkSpace ユーザーは オンプレミスディレクトリ内にすでに存在しているユーザーか ら選択されます 作成した WorkSpaces は ディレクトリ内にコンピュータアカウントとして表され ます オンプレミスリソースにアクセスする必要がある場合は 接続したディレクトリを使用する必 要があります 詳細については ディレクトリへの Amazon WorkSpaces の接続 (p. 34) を参照し てください どちらのタイプのディレクトリを使用する場合も WorkSpaces へのインターネットアクセスを提供 する必要があります これを実現するための具体的な方法については それぞれに関連したトピック で説明しています Amazon WorkSpaces は ユーザーおよび WorkSpace 情報を格納するために Active Directory と互 換性があるディレクトリを使用するため 使い慣れた Active Directory ツールを使用してこれらのオ ブジェクトを管理することができます これらの操作を実行するために Amazon WorkSpaces 内に ディレクトリ管理 WorkSpace を簡単にセットアップできます 詳細については ディレクトリの 管理 WorkSpace のセットアップ (p. 67) を参照してください もう 1 つの方法として Windows EC2 インスタンスをこのディレクトリに結合し そのインスタンスに Active Directory 管理ツールを インストールできます Windows インスタンスとディレクトリの結合に関する詳細は Amazon EC2 インスタンスのディレクトリへの結合 (p. 67) を参照してください WorkSpace またはイン スタンスに Active Directory 管理ツールをインストールする方法の詳細については Active Directory 管理ツールのインストール (p. 67) を参照してください 35
詳細 トピック Amazon WorkSpaces の詳細 (p. 36) Amazon WorkSpaces コンソール (p. 41) Amazon WorkSpaces ディレクトリの管理 (p. 66) グループポリシーを使用した WorkSpaces とユーザーの管理 (p. 70) ファイル共有 (p. 73) PCoIP ゼロクライアントの有効化 (p. 73) Amazon WorkSpaces メトリックスのモニタリング (p. 73) Amazon WorkSpaces の管理の問題のトラブルシューティング (p. 76) Amazon WorkSpaces の詳細 以下のセクションでは Amazon WorkSpaces サービスの機能に関する重要な情報を提供します トピック ネットワークインターフェイス (p. 36) PCoIP ゲートウェイの IP 範囲 (p. 38) ネットワークヘルスチェックサーバー (p. 38) WorkSpaces セキュリティグループ (p. 39) 制限 (p. 40) 実行モード (p. 40) ネットワークインターフェイス 各 WorkSpace に 2 つのネットワークインターフェイスがあります 1 つはプライマリネットワーク インターフェイスと呼ばれるインターフェイスで VPC 内だけでなくインターネットでのリソースへ の接続を可能にし WorkSpaces ディレクトリとの結合に使用されます もう 1 つは管理ネットワークインターフェイスと呼ばれるインターフェイスで セキュアな Amazon WorkSpaces 管理ネットワークに接続します 管理ネットワークインターフェイスを使用する と WorkSpace デスクトップと Amazon WorkSpaces クライアントアプリケーションとのインタラク ティブなストリーミングを行ったり Amazon WorkSpaces サービスで WorkSpace を管理することも できます Amazon WorkSpaces サービスは WorkSpaces が作成されたリージョンに応じて さま ざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します ディレク トリが登録されるときに Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテスト し これらのアドレス範囲が競合するかどうかを確認します リージョンで使用可能なすべてのアド レス範囲で競合が見つかった場合 エラーメッセージが表示され ディレクトリは登録されません ディレクトリが登録された後で VPC のルートテーブルを変更すると 競合が生じる可能性がありま す 使用する IP アドレス範囲を手動で指定することはできません 次の表は 各リージョンで使用さ れる IP アドレス範囲の一覧です 管理インターフェイスの IP アドレス範囲 リージョン 管理インターフェイスの IP アドレス範囲 米国東部 バージニア北部 1730.0/16 19168.0.0/16 198.19.0.0/16 米国西部 オレゴン 1730.0/16 と 19168.0.0/16 欧州 アイルランド 1730.0/16 と 19168.0.0/16 アジアパシフィック シドニー 1730.0/16 と 19168.0.0/16 36
ネットワークインターフェイス リージョン 管理インターフェイスの IP アドレス範囲 アジアパシフィック (東京) 198.19.0.0/16 アジアパシフィック シンガポール 198.19.0.0/16 WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください 変 更/削除すると WorkSpace にアクセスできなくなる可能性があります 管理インターフェイスポート 次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要がありま す ポート 4172 のインバウンド TCP これはストリーミング接続の確立に使用されます ポート 4172 のインバウンド UDP これはユーザー入力をストリーミングするために使用されま す ポート 8200 のインバウンド TCP これは WorkSpace の管理と設定に使用されます ポート 55002 のアウトバウンド UDP これは PCoIP のストリーミングに使用されます ファイア ウォールがステートフルフィルタリングを使用している場合 リターン通信用に一時ポート 55002 が自動的に開放されます ファイアウォールがステートレスフィルタリングを使用する場合には リターン通信用に一時ポート 49152 65535 を開放する必要があります 通常の状況では Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを正しく 設定します これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイア ウォールソフトウェアが WorkSpace にインストールされている場合 WorkSpace は適切に機能する こともあれば アクセスできないこともあります プライマリインターフェイスポート ディレクトリの種類にかかわらず すべての WorkSpaces のプライマリネットワークインターフェイ スで 次のポートが開いている必要があります インターネット接続の場合 次のポートがすべての宛先への送信と WorkSpaces VPC からの受信 に対して開いている必要があります これらのポートは インターネットアクセスを許可する場 合 WorkSpaces のセキュリティグループに手動で追加する必要があります TCP 80 HTTP TCP 443 HTTPS ディレクトリコントローラと通信するには WorkSpaces VPC とディレクトリコントローラの間 で次のポートが開かれている必要があります Simple AD ディレクトリの場合 AWS Directory Service によって作成されたセキュリティグループでは これらのポートが正しく設定されま す AD Connector ディレクトリでは VPC がそれらのポートを開くために デフォルトのセキュ リティグループの調整が必要になる場合があります TCP/UDP 53 - DNS TCP/UDP 88 - Kerberos 認証 UDP 123 - NTP TCP 135 - RPC UDP 137-138 - Netlogon TCP 139 - Netlogon TCP/UDP 389 - LDAP TCP/UDP 445 - SMB TCP 1024-65535 - RPC 用ダイナミックポート 37
PCoIP ゲートウェイの IP 範囲 これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフ トウェアが WorkSpace にインストールされている場合 WorkSpace は適切に機能することもあれ ば アクセスできないこともあります すべての WorkSpace では EC2 メタデータサービスへのアクセスができるようにポート 80 HTTP が IP アドレス 169.25169.254 に開放されている必要があります WorkSpace に 割り当てられているすべての HTTP プロキシで 169.25169.254 が除外されている必要があり ます PCoIP ゲートウェイの IP 範囲 Amazon WorkSpaces では PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IP アドレス範囲を使用します そのため Amazon WorkSpaces にアクセスするデバイスのファイア ウォールポリシーを非常に細かく設定することができます Amazon WorkSpaces サービスは PCoIP ゲートウェイを使用して デスクトップセッションをポート 4172 経由でクライアントアプリケー ションにストリーミングします PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲 リージョン PCoIP ゲートウェイサーバーのパブリック IP ア ドレス範囲 米国東部 バージニア北部 5260 526255 米国西部 オレゴン 52446.0 52447.255 欧州 アイルランド 519.120 519.125.255 アジアパシフィック シンガポール 576.127.0 576.127.255 アジアパシフィック シドニー 515250 51525255 アジアパシフィック (東京) 5250.250 5250.25255 ネットワークヘルスチェックサーバー Amazon WorkSpaces クライアントアプリケーションは ポート 4172 でネットワークのヘルス チェックを行います このチェックで TCP または UDP トラフィックがクライアントアプリケー ションから Amazon WorkSpaces 本稼働サーバーにストリーミングされるかどうかを検証します こ れを正常に行うには ファイアウォールポリシーで以下のリージョンのネットワークヘルスチェック サーバーを考慮に入れておく必要があります ネットワークヘルスチェックサーバー リージョン ネットワークヘルスチェックサーバー 米国東部 バージニア北部 drp-iad.amazonworkspaces.com 米国西部 オレゴン drp-pdx.amazonworkspaces.com 欧州 アイルランド drp-dub.amazonworkspaces.com アジアパシフィック シンガポール drp-sin.amazonworkspaces.com アジアパシフィック シドニー drp-syd.amazonworkspaces.com アジアパシフィック (東京) drp-nrt.amazonworkspaces.com 38
WorkSpaces セキュリティグループ WorkSpaces セキュリティグループ Amazon WorkSpaces はセキュリティグループを作成し ディレクトリ内のすべての WorkSpaces に 割り当てます このセキュリティグループの識別子は 次の図に示すように ディレクトリの詳細の [Security Groups] フィールドで確認できます 新しいセキュリティグループを追加することにより WorkSpaces の作成または再構築時に追加のセ キュリティグループを適用するオプションがあります 詳細については 次のトピックを参照してく ださい クラウドのディレクトリ セキュリティグループを追加する (p. 43) AD Connector ディレクトリ セキュリティグループを追加する (p. 46) Microsoft AD ディレクトリ セキュリティグループを追加する (p. 49) WorkSpaces セキュリティグループを元の設定にリセットする必要がある場合 WorkSpaces セキュ リティグループの最小ポート要件は次のとおりです 設定によっては追加ポートが開かれていること が必要になる可能性があります ディレクトリコントローラのセキュリティグループには ディレク トリ識別子とそれに続く _controllers で構成される名前 d-92673056e8_controllers など があります アウトバウンドルール: TCP 53 - directory controllers セキュリティグループ TCP 80-0.0.0.0/0 TCP 88 - directory controllers セキュリティグループ TCP 135 - directory controllers セキュリティグループ TCP 389 - directory controllers セキュリティグループ TCP 443-0.0.0.0/0 TCP 445 - directory controllers セキュリティグループ TCP 464 - directory controllers セキュリティグループ TCP 636 - directory controllers セキュリティグループ TCP 1024 65535 - directory controllers セキュリティグループ TCP 3268 3269 - directory controllers セキュリティグループ UDP 53 - directory controllers セキュリティグループ UDP 80-0.0.0.0/0 UDP 88 - directory controllers セキュリティグループ UDP 123 - directory controllers セキュリティグループ 39
制限 UDP 138 - directory controllers セキュリティグループ UDP 389 - directory controllers セキュリティグループ UDP 443-0.0.0.0/0 UDP 445 - directory controllers セキュリティグループ UDP 464 - directory controllers セキュリティグループ ICMP すべて - directory controllers セキュリティグループ 制限 Amazon WorkSpaces には次の制限があります トピック ユーザーアクセス制御 (p. 40) ファイアウォール (p. 40) ユーザーアカウント (p. 40) ユーザーアクセス制御 ユーザーアクセス制御は WorkSpaces でサポートされています UAC 設定はカスタムイメージまた はグループポリシーで定義できます WorkSpaces に対する管理者特権のあるユーザーは Windows Control Panel により UAC 設定を変更することもできます ファイアウォール WorkSpace には あらゆるタイプのセキュリティまたはファイアウォールソフトウェアをインストー ルできますが Amazon WorkSpaces には WorkSpace で開かれている特定のインバウンドおよびア ウトバウンドポートが必要です インストールしたセキュリティまたはファイアウォールソフトウェ アがこれらのポートをブロックしている場合は WorkSpace が適切に機能しないか アクセスできな い可能性があります これを解決するには WorkSpace を再構築する必要があります WorkSpace にオープンする必要があるポートの詳細については 管理インターフェイスポート (p. 37) およ び プライマリインターフェイスポート (p. 37) を参照してください ユーザーアカウント Amazon WorkSpaces では ユーザーアカウントについて以下の制限があります Active Directory ユーザーとコンピュータツールを使用して新しいユーザーを作成するか 既存の ユーザーのパスワードをリセットするときに [User must change password at next logon] を設定 しないでください ユーザーは WorkSpace に接続できなくなります 代わりに 安全な一時パス ワードをユーザーに割り当てて ユーザーが次回ログオンしたときに WorkSpace 内から手動でパ スワードを変更するように指示します 実行モード WorkSpaces は 実行モードによって すぐに使用できるかどうかとお支払い方法が異なります 次 のうち いずれかの実行モードを選択できます AlwaysOn 固定月額料金で WorkSpaces を無制限にご利用いただけます このモード は WorkSpace をプライマリデスクトップとしてフルタイム使用するユーザー用に最適です AutoStop WorkSpaces のご利用に対し 時間単位で料金が発生します このモードでは アプリ およびデータを保存した状態と指定の長さのアイドル状態が発生した後 WorkSpaces が停止しま す 自動停止時間を設定するには [AutoStop Time (hours)] を使用します 40
マネジメントコンソール 可能な場合は WorkSpace のルートボリュームにデスクトップの状態が保存されます ユーザーが ログインすると WorkSpace が再開し 開いていたドキュメントや実行中のプログラムの状態が保 存されていれば その状態に戻ります WorkSpace の実行モードは コンソールまたは Amazon WorkSpaces API を使用して いつでも切り 替えることができます Amazon WorkSpaces コンソール ディレクトリが作成されたら Amazon WorkSpaces コンソールを使用して WorkSpaces の起動 ディレクトリの削除など 特定の機能を実行します トピック ディレクトリ管理 (p. 41) WorkSpace 管理 (p. 51) WorkSpace バンドルの管理 (p. 61) WorkSpace イメージの管理 (p. 63) Windows デスクトップイメージの使用 (p. 65) ディレクトリ管理 Amazon WorkSpaces マネジメントコンソールを使用して 新しいディレクトリの作成や既存ディレ クトリとの削除など 特定のディレクトリ関連アクションを実行できます ディレクトリを作成する と ほとんどの管理機能は Active Directory 管理ツールなどのディレクトリ管理ツールで実行されま す 詳細については Amazon WorkSpaces ディレクトリの管理 (p. 66) を参照してください トピック 登録 (p. 41) Simple AD ディレクトリの管理 (p. 42) AD Connector ディレクトリの管理 (p. 45) Microsoft AD ディレクトリの管理 (p. 48) 登録 Amazon WorkSpaces では 既存の AWS Directory Service ディレクトリを使用して Amazon WorkSpaces ユーザーおよびリソースを格納できます [Directories] リストには現在のリージョンにあ るすべての AWS Directory Service ディレクトリが表示され Amazon WorkSpaces がそれぞれのディ レクトリに登録されているかどうかが表示されます トピック ディレクトリへの登録 (p. 41) ディレクトリからの登録解除 (p. 42) ディレクトリへの登録 既存の AWS Directory Service ディレクトリの使用を Amazon WorkSpaces に許可するには Amazon WorkSpaces をそのディレクトリに登録する必要があります 41
ディレクトリ ディレクトリに登録するには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [Getting Started] [Advanced Setup] [Create Simple AD] [Directories] の順に選択します 登録するディレクトリを選択し [Actions] [Register] の順に選択します [Register directory] ダイアログボックスで Amazon WorkDocs をこのディレクトリに登録するか どうかを選び [Register] を選択します Note このオプションは 選択したリージョン Amazon WorkDocs が使用できる場合にのみ表 示されます このサービスがディレクトリに登録されると ディレクトリ内のユーザーの WorkSpace を起動 できます ディレクトリからの登録解除 このサービスでの使用を停止するために ディレクトリから Amazon WorkSpaces の登録解除がで きます ディレクトリを削除する前に ディレクトリからこのサービスの登録解除をする必要があ ります ユーザーに割り当てられた Amazon WAM アプリケーションがある場合 ディレクトリを 削除する前にこれらの割り当てもすべて削除する必要があります 詳細については Amazon WAM Administration Guide の Removing All Application Assignments を参照してください ディレクトリから Amazon WorkSpaces を登録解除するには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [Directories] を選択します ディレクトリを選択し [Actions] [Deregister] の順に選択します [Deregister directory] ダイアログボックスで ディレクトリからサービスの登録を解除することを 確認し [Deregister] を選択します Simple AD ディレクトリの管理 次のトピックでは Simple AD ディレクトリで実行できるさまざまな管理アクションを説明します トピック Simple AD ディレクトリ情報の更新 (p. 42) Simple AD ディレクトリの削除 (p. 44) Simple AD ディレクトリ情報の更新 Amazon WorkSpaces コンソールを使用して Simple AD ディレクトリの次の設定を変更できます 目次 デフォルトの組織単位 (p. 43) セキュリティグループを追加する (p. 43) インターネットアクセス (p. 43) ローカル管理者の設定 (p. 44) メンテナンスモード (p. 44) 42
ディレクトリ デフォルトの組織単位 デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置される組織単位です これが 設定されていない場合 WorkSpaces のコンピュータアカウントはコンピュータの組織単位に配置さ れます 現在の WorkSpaces ディレクトリから組織単位を自分で選択するか 個別のターゲットドメ インで組織単位を指定します 組織単位を選択するには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [Directories] を選択します ディレクトリを選択し [Actions] [Update Details] の順に選択します [Target Domain and Organizational Unit] セクションを展開します 5. 希望する組織単位名の全体または一部を入力し [Search OU] を選択します または [List all OU] を選択して すべての組織単位を検索することもできます 6. 希望する組織単位を選択し [Update] を選択します この設定が変更された後で作成または再構 築されたすべての WorkSpaces のコンピュータアカウントは 選択された組織単位に配置されま す セキュリティグループを追加する Amazon WorkSpaces はセキュリティグループを作成し ディレクトリ内のすべての WorkSpaces に 割り当てます WorkSpaces の作成時または再構築時に 以下の手順に従って WorkSpaces にセキュ リティグループを追加できます セキュリティグループを追加するには Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます ナビゲーションペインで [Directories] を選択します ディレクトリを選択し [Actions] [Update Details] の順に選択します [Security Group] セクションを展開します 5. 新しいセキュリティグループを作成するには [Create New] を選択します 6. 希望するセキュリティグループを選択し [Update] を選択します この設定が変更された後で作 成または再構築されたすべての WorkSpaces には 指定したセキュリティグループが含まれま す インターネットアクセス You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned or rebuilt. To enable public IP addresses Amazon WorkSpaces コンソール https://console.aws.amazon.com/workspaces/ を開きます In the navigation pane, choose Directories. Select your directory, then choose Actions and Update Details. Expand the Internet Access section. 5. To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose Update. This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you need to have a public IP address applied to an existing WorkSpace, you must either rebuild the 43