Amazon WorkDocs - 管理ガイド

Amazon WorkDocs
管理ガイド
Amazon WorkDocs 管理ガイド
Amazon WorkDocs 管理ガイド
Amazon WorkDocs: 管理ガイド
Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any
manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other
trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to,
or sponsored by Amazon.
Amazon WorkDocs 管理ガイド
Table of Contents
Amazon WorkDocs とは ................................................................................................................ 1
アクセス .............................................................................................................................. 1
関連サービス ........................................................................................................................ 1
料金表 ................................................................................................................................. 2
セットアップ ................................................................................................................................ 3
AWS にサインアップする ...................................................................................................... 3
IAM ユーザーおよびグループを作成する (推奨) ......................................................................... 3
IAM ユーザーに Amazon WorkDocs に対するアクセス許可を付与する .......................................... 4
はじめに ...................................................................................................................................... 6
既存のディレクトリの有効化 .................................................................................................. 6
ディレクトリの作成 .............................................................................................................. 7
クイックスタート .......................................................................................................... 7
標準設定 ...................................................................................................................... 8
ディレクトリへの接続 ........................................................................................................... 9
Amazon WorkDocs 管理 ............................................................................................................... 11
Amazon WorkDocs コンソール ............................................................................................. 11
ディレクトリを作成または接続する ............................................................................... 11
ユーザーを管理者に昇格する ......................................................................................... 11
サイトを削除する ........................................................................................................ 12
多要素認証 ................................................................................................................. 12
シングルサインオン ..................................................................................................... 13
Amazon WorkDocs 管理ダッシュボード ................................................................................. 13
ユーザーロール ........................................................................................................... 13
アクセス許可 .............................................................................................................. 14
匿名の閲覧者 .............................................................................................................. 17
クラウドディレクトリ .................................................................................................. 18
接続したディレクトリ .................................................................................................. 20
CloudTrail のログ記録 .................................................................................................................. 22
CloudTrail での Amazon WorkDocs 情報 ................................................................................ 22
Amazon WorkDocs ログファイルエントリの概要 ..................................................................... 23
ドキュメント履歴 ........................................................................................................................ 25
iv
Amazon WorkDocs 管理ガイド
アクセス
Amazon WorkDocs とは
Amazon WorkDocs is a fully managed, secure, enterprise storage and sharing service with strong
administrative controls and feedback capabilities that improve user productivity. Your files are stored
in the cloud, safely and securely. Amazon WorkDocs even includes a synchronization application that
always keeps selected folders on your local computer in sync with your cloud folders. Your files are
only visible to you, and your designated contributors and viewers. Other members of your organization
do not have access to any of your files unless you specifically grant them access.
You can share your files with other members of your organization for collaboration or review. The
Amazon WorkDocs client applications can be used to view many different types of files, depending
on the Internet media type of the file. Amazon WorkDocs supports all common document and image
formats, and support for additional media types is constantly being added.
For more information, see Amazon WorkDocs.
アクセス
管理者は Amazon WorkDocs コンソールを使用して Amazon WorkDocs サイトの作成と非アクティブ
化を実行し、Amazon WorkDocs 管理ダッシュボード (p. 13) を使用してアクセス権限とユーザー
を管理します。
エンドユーザーはクライアントアプリケーションを使用してファイルにアクセスします。管理者でな
いユーザーは、Amazon WorkDocs コンソールまたは管理ダッシュボードを使用する必要がありませ
ん。Amazon WorkDocs には、いくつかの異なるクライアントアプリケーションとユーティリティが
用意されています。
• ドキュメント管理とレビューに使用するウェブアプリケーション。
• ドキュメントレビューに使用するモバイルデバイス用ネイティブアプリケーション。
• Mac または Windows デスクトップ上のフォルダを Amazon WorkDocs ファイルと同期するために
使用するドキュメント同期アプリケーション。
• ウェブページの画像を Amazon WorkDocs ファイルに保存できるウェブクリッパーのブラウザ拡張
機能。いくつかの人気の高いウェブブラウザ向けが用意されています。
関連サービス
Amazon WorkDocs は Amazon WorkSpaces に密接に関連しています。実際、Amazon WorkSpaces
ユーザーディレクトリに Amazon WorkDocs を接続できます。詳細については、「既存の AWS
Directory Service ディレクトリの有効化 (p. 6)」を参照してください。
1
Amazon WorkDocs 管理ガイド
料金表
料金表
Amazon WorkDocs に前払い料金などの義務はありません。アクティブなユーザーアカウントと、使
用するストレージに対する料金のみです。詳細については、「料金表」を参照してください。
2
Amazon WorkDocs 管理ガイド
AWS にサインアップする
Amazon WorkDocs をセットアップ
する
新しい Amazon WorkDocs サイトをセットアップしたり、既存のサイトを管理したりするには、以下
のタスクを完了する必要があります。
タスク
• AWS にサインアップする (p. 3)
• IAM ユーザーおよびグループを作成する (推奨) (p. 3)
• IAM ユーザーに Amazon WorkDocs に対するアクセス許可を付与する (p. 4)
AWS にサインアップする
AWS アカウントからすべてのサービスにアクセスできますが、料金はリソースを利用した分のみに課
金されます。
AWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。
AWS にサインアップするには
1.
https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。
2.
オンラインの手順に従います。
ルートアカウント認証情報により、AWS のサービスに対してお客様の身分が証明され、Amazon
WorkDocs サイトなどの AWS リソースを無制限に使用できる許可が与えられます。セキュリティ認
証情報を共有することなく、新しい Amazon WorkDocs サイトのセットアップや既存のサイトの管
理を他のユーザーに対して許可するには、AWS Identity and Access Management（IAM）を使用しま
す。アカウント所有者も含め、だれもが IAM ユーザーとして作業することをお勧めします。自分用に
IAM ユーザーを作成し、その IAM ユーザーに管理者特権を与えて、それをすべての作業に使用しま
す。
IAM ユーザーおよびグループを作成する (推奨)
AWS マネジメントコンソールではユーザー名とパスワードが要求されます。これでリソースへのア
クセス許可があるかどうかをサービスが判断できます。AWS にアクセスするためにルートアカウン
トの認証情報は使用しないことをお勧めします。これは、ルートアカウントの認証情報に対しては、
3
Amazon WorkDocs 管理ガイド
IAM ユーザーに Amazon WorkDocs
に対するアクセス許可を付与する
どのような方法を使用しても許可を取り消したり、制限したりすることができないためです。代わり
に、AWS Identity and Access Management（IAM）を使用して IAM ユーザーを作成し、管理権限を使
用して IAM ユーザーを IAM グループに追加します。これで、IAM ユーザーに管理権限が付与されま
す。これにより、IAM ユーザーの認証情報を使用して AWS マネジメントコンソールにアクセスする
ことが可能になります。
AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソール
を使用して作成できます。IAM ユーザーの作成の詳細については、『IAM ユーザーガイド』ガイドの
「個々の IAM ユーザーの作成」を参照してください。
IAM ユーザーに Amazon WorkDocs に対するアク
セス許可を付与する
デフォルトで、IAM ユーザーには Amazon WorkDocs リソースを管理するアクセス許可がありませ
ん。そのため、そのようなアクセス許可を IAM ユーザーに明示的に付与する IAM ポリシーを作成し
て、アクセス許可を必要とする特定の IAM ユーザーまたはグループにそのポリシーをアタッチする
必要があります。IAM ポリシーの詳細については、IAM ユーザーガイドガイドの Permissions and
Policies を参照してください。
以下のポリシーステートメントは、Amazon WorkDocs リソースに対するフルアクセス権を IAM ユー
ザーに与えます。このポリシーは、ユーザーに対して、すべての Amazon WorkDocs および AWS
Directory Service 操作へのアクセス権、および、ユーザーの代わりに Amazon WorkDocs が実行でき
る必要のあるいくつかの Amazon EC2 操作へのアクセス権を与えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"workdocs:*",
"ds:*",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
以下のポリシーステートメントは、Amazon WorkDocs リソースに対する読み取り専用アクセス権
を IAM ユーザーに与えます。このポリシーは、ユーザーに対して、Amazon WorkDocs のすべての
4
Amazon WorkDocs 管理ガイド
IAM ユーザーに Amazon WorkDocs
に対するアクセス許可を付与する
Describe 操作へのアクセス権を与えます。Amazon WorkDocs が VPC とサブネットのリストを取得
するには、2 つの Amazon EC2 操作へのアクセスが必要です。AWS Directory Service ディレクトリ
に関する情報を取得するには、AWS Directory Service の DescribeDirectories 操作へのアクセス
が必要です。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"workdocs:Describe*",
"ds:DescribeDirectories",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
5
Amazon WorkDocs 管理ガイド
既存のディレクトリの有効化
Amazon WorkDocs のご利用開始に
あたって
Amazon WorkDocs は、属するユーザーを含む組織や、各ユーザーのフォルダとドキュメントに関す
る情報に基づいています。組織情報は AWS Directory Service ディレクトリ (Simple AD ディレクトリ
または AD Connector ディレクトリ) に保存されます。Amazon WorkDocs で既存のディレクトリを操
作できるようにするか、Amazon WorkDocs で自動的にディレクトリを作成することができます。
目次
• 既存の AWS Directory Service ディレクトリの有効化 (p. 6)
• Simple AD ディレクトリの作成 (p. 7)
• オンプレミスディレクトリへの接続 (p. 9)
既存の AWS Directory Service ディレクトリの有
効化
現在のリージョンに既存の AWS Directory Service ディレクトリが存在する場合は、Amazon
WorkDocs を既存のディレクトリに接続できます。これは、Simple AD ディレクトリまたは AD
Connector ディレクトリのいずれかです。既存の AWS Directory Service ディレクトリに接続するに
は、次のステップを実行します。
既存のディレクトリに接続するには
1.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
2.
[Manage Your WorkDocs Sites] ページで、[Create a New WorkDocs Site] を選択します。
3.
[Select a Directory] ページで、[Available Directories] リストから AWS Directory Service ディレク
トリを選択して、[Enable Directory] を選択します。
4.
[Set WorkDocs Administrator] ページで、AWS Directory Service ディレクトリから Amazon
WorkDocs 管理者となるユーザー名を入力し、[Select Administrator] を選択します。
ディレクトリが正常に有効になると、サイトの [Status] 値が Active に変わります。
6
Amazon WorkDocs 管理ガイド
ディレクトリの作成
Simple AD ディレクトリの作成
Amazon WorkDocs は AWS Directory Service Simple AD ディレクトリを使用してユーザー情報をクラ
ウドに保存します。Simple AD ディレクトリは次の 2 つの方法のいずれかで作成できます。クイック
スタート手順 (p. 7)は、すばやくセットアップを行うために使用され、小規模な組織のために設計
されています。クイックスタート手順では、ディレクトリで使用する VPC を作成、設定し、管理者ア
カウントも作成します。特定のリージョンでディレクトリを作成すると、クイックスタートオプショ
ンは使用できなくなります。
Simple AD ディレクトリを作成すると、Amazon WorkDocs が自動的に次のタスクを実行します。
• ユーザー情報を格納するために使用される VPC 内で Simple AD ディレクトリをセットアップしま
す。
• 管理者のメールをユーザー名として使用してディレクトリ管理者アカウントを作成します。メール
は、登録を完了する手順と共に管理者に送信されます。このアカウントを使用してディレクトリを
管理します。
ディレクトリ設定を詳細に制御する必要がある場合、標準セットアップ (p. 8)を選択できます。標
準セットアップでは、独自のディレクトリドメイン名のほか、ディレクトリで使用する既存の VPC の
1 つを指定できます。また、Amazon WorkDocs で VPC を作成、設定するオプションもあります。
目次
• クイックスタートを使用した Simple AD ディレクトリの作成 (p. 7)
• 標準設定を使用した Simple AD ディレクトリの作成 (p. 8)
クイックスタートを使用した Simple AD ディレクト
リの作成
クイックスタート手順を使用して Simple AD ディレクトリを作成するには、次のステップを実行しま
す。
クイックスタートを使用して Simple AD ディレクトリを作成するには
1.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
選択したリージョンで一度もディレクトリを作成または接続していない場合、Amazon WorkDocs
開始ページが表示されます。特定のリージョンでディレクトリを作成すると、[スタート] ページ
が使用できなくなり、代わりに [Manage Your WorkDocs Sites] ページが表示されます。
2.
Amazon WorkDocs 開始ページが表示されている場合は、次のステップを実行します。
1.
[Get Started Now] を選択します。
2.
[Get Started with WorkDocs] ページで、[Quick Start] の [Launch] を選択します。
[Manage Your WorkDocs Sites] ページが表示されている場合は、次のステップを実行します。
1.
[Create a New WorkDocs Site] を選択します。
2.
[Get Started with WorkDocs] ページで、[Quick Start] の [Launch] を選択します。
3.
次の値を入力し、[Complete Setup] を選択します。
4.
[Access Point] セクションに次の値を入力します。
リージョン
リージョンを確認します。
7
Amazon WorkDocs 管理ガイド
標準設定
[Site URL]
Amazon WorkDocs サイトの URL を入力します。
[Set WorkDocs Administrator] セクションに次の値を入力します。
E メール
ディレクトリ管理者の E メールアドレス。この E メールアドレスに登録メールが送信されま
す。
名
姓
ディレクトリ管理者の名。
ディレクトリ管理者の姓。
ディレクトリと Amazon WorkDocs サイトが作成されるまでに数分かかります。ディレクトリが
正常に作成されると、サイトの [Status] 値が Active に変わります。
標準設定を使用した Simple AD ディレクトリの作成
Simple AD ディレクトリを作成するには、『AWS Directory Service Administration Guide;』の
「Simple AD 前提条件」に記載されている前提条件を満たす必要があります。
標準セットアップを使用して Amazon WorkDocs クラウドディレクトリを作成するには、次のステッ
プを実行します。
クラウドのディレクトリを作成するには (標準設定を使用)
1.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
2.
選択したリージョンで一度もディレクトリを作成または接続していない場合、Amazon WorkDocs
開始ページが表示されます。特定のリージョンでディレクトリを作成すると、[スタート] ページ
が使用できなくなり、代わりに [Manage Your WorkDocs Sites] ページが表示されます。
Amazon WorkDocs 開始ページが表示されている場合は、次のステップを実行します。
1.
[Get Started Now] を選択します。
2.
[Get Started with WorkDocs] ページで、[Standard Setup] の [Launch] を選択します。
[Manage Your WorkDocs Sites] ページが表示されている場合は、次のステップを実行します。
1.
2.
[Create a New WorkDocs Site] を選択します。
[Get Started with WorkDocs] ページで、[Standard Setup] の [Launch] を選択します。
3.
4.
[Set up a Directory] で、[Create Simple AD] を選択します。
次の値を入力し、[Continue] を選択します。
5.
[Access Point] セクションに次の値を入力します。
リージョン
リージョンを確認します。
[Site URL]
Amazon WorkDocs サイトの URL を入力します。
[Directory Details] セクションに次の値を入力します。
Directory DNS
ディレクトリの完全修飾名。例: corp.example.com。
8
Amazon WorkDocs 管理ガイド
ディレクトリへの接続
NetBIOS name
ディレクトリの NetBIOS 名。例: CORP。
[Set WorkDocs Administrator] セクションに次の値を入力します。
E メール
ディレクトリ管理者の E メールアドレス。この E メールアドレスに登録メールが送信されま
す。
名
姓
ディレクトリ管理者の名。
ディレクトリ管理者の姓。
[VPC Details] では、既存の VPC を使用することも、Amazon WorkDocs で自動的に VPC を作成
および設定することもできます。Amazon WorkDocs で自動的に VPC を作成するには、[Set up a
new VPC on my behalf] を選択します。既存の VPC を使用するには、[Select an existing VPC to
use with WorkDocs] を選択し、次の値を入力します。
6.
VPC
ディレクトリが作成される VPC。
Subnets
ディレクトリが作成される VPC のサブネット。2 つのサブネットは、異なるアベイラビリ
ティゾーンに存在している必要があります。[No Preference] を選択すると、2 つの異なるサ
ブネットがランダムに選択されます。
ディレクトリ情報を確認し、必要な変更を加えます。情報が正しい場合は、[Create Directory] を
選択します。
ディレクトリと Amazon WorkDocs サイトが作成されるまでに数分かかります。ディレクトリが
正常に作成されると、サイトの [Status] 値が Active に変わります。
オンプレミスディレクトリへの接続
Amazon WorkDocs は AWS Directory Service AD Connector ディレクトリを使用してオンプレミス
ディレクトリに接続します。AD Connector を使用してオンプレミスディレクトリに接続するには、
『AWS Directory Service Administration Guide』の「AD Connector の前提条件」に示されている前提
条件を満たす必要があります。
Note
AD Connector と Amazon WorkDocs を使用する場合、社外のファイル表示のリンクを共有し
たり、外部ユーザーを寄稿者として招待したりすることはできません。
オンプレミスディレクトリに接続するには、以下の手順を実行します。
オンプレミスディレクトリに接続するには
1.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
2.
選択したリージョンで一度もディレクトリを作成または接続していない場合、Amazon WorkDocs
開始ページが表示されます。特定のリージョンでディレクトリを作成すると、[スタート] ページ
が使用できなくなり、代わりに [Manage Your WorkDocs Sites] ページが表示されます。
Amazon WorkDocs 開始ページが表示されている場合は、次のステップを実行します。
1.
[Get Started Now] を選択します。
9
Amazon WorkDocs 管理ガイド
ディレクトリへの接続
2.
[Get Started with WorkDocs] ページで、[Standard Setup] の [Launch] を選択します。
[Manage Your WorkDocs Sites] ページが表示されている場合は、次のステップを実行します。
3.
1. [Create a New WorkDocs Site] を選択します。
2. [Get Started with WorkDocs] ページで、[Standard Setup] の [Launch] を選択します。
[Set up a Directory] ページで、[Create AD Connector] を選択します。
4.
次の値を入力し、[Continue] を選択します。
5.
[Directory Details] セクションに次の値を入力します。
Directory DNS
オンプレミスディレクトリの完全修飾名。例: corp.example.com。Amazon WorkDocs は
このディレクトリ内のユーザーアカウントにのみアクセスできます。ユーザーアカウントを
親ディレクトリ（例: example.com）に含めることはできません。
NetBIOS Name
オンプレミスディレクトリの NetBIOS の名前。例: CORP。
Account Username
オンプレミスディレクトリのユーザーのユーザー名。
Account Password
オンプレミスのユーザーアカウント用のパスワード。
[Confirm Password]
オンプレミスのユーザーアカウント用のパスワードを再度入力します。これは、ディレクト
リに接続する前に、入力エラーを防止するために必要です。
DNS アドレス
オンプレミスのディレクトリの DNS サーバーまたはドメインコントローラの IP アドレス。
このサーバーは、以下で指定される各サブネットからアクセスできる必要があります。
[Access Point] セクションに次の値を入力します。
リージョン
リージョンを確認します。
[Site URL]
Amazon WorkDocs サイトの URL を入力します。
[VPC Configuration] セクションに次の値を入力します。
6.
VPC
ディレクトリが接続されている VPC。
Subnets
オンプレミスディレクトリに接続するために使用する VPC のサブネット。2 つのサブネット
は、異なるアベイラビリティゾーンに存在している必要があります。
ディレクトリ情報を確認し、必要な変更を加えます。情報が正しい場合は、[Connect Directory]
をクリックします。
ディレクトリが接続され、Amazon WorkDocs サイトが作成されるまでに数分かかります。ディ
レクトリが正常に接続されると、サイトの [Status] 値が Active に変わります。
10
Amazon WorkDocs 管理ガイド
Amazon WorkDocs コンソール
Amazon WorkDocs 管理
Amazon WorkDocs の管理作業の大半は Amazon WorkDocs ウェブアプリケーションの管理ダッシュ
ボードで実行され、Amazon WorkDocs コンソールは Amazon WorkDocs ディレクトリやサイトを管
理するために使用されます。
目次
• Amazon WorkDocs コンソール (p. 11)
• Amazon WorkDocs 管理ダッシュボード (p. 13)
Amazon WorkDocs コンソール
Amazon WorkDocs コンソールは、Amazon WorkDocs ディレクトリやサイトを管理するために使用
されます。Amazon WorkDocs コンソールでは以下のオペレーションを実行できます。
タスク
• ディレクトリを作成または接続する (p. 11)
• ユーザーを管理者に昇格する (p. 11)
• サイトを削除する (p. 12)
• 多要素認証 (p. 12)
• シングルサインオン (p. 13)
ディレクトリを作成または接続する
Amazon WorkDocs コンソールを使用して、クラウドディレクトリを作成したり、オンプレミスディ
レクトリに接続したりします。クラウドにディレクトリを作成する方法の詳細については、「Simple
AD ディレクトリの作成 (p. 7)」を参照してください。オンプレミスディレクトリに接続する方法の詳
細については、「オンプレミスディレクトリへの接続 (p. 9)」を参照してください。
ユーザーを管理者に昇格する
Amazon WorkDocs コンソールを使用して、ユーザーを管理者に昇格します。昇格するには、ユー
ザーがアクティブである必要があります。ユーザーのアクティブ化の詳細については、「ユーザーの
編集 (p. 19)」を参照してください。
ユーザーを管理者に昇格するには
1.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
11
Amazon WorkDocs 管理ガイド
サイトを削除する
2.
[Manage Your WorkDocs Sites] ページで、目的のディレクトリを選択し、[Actions]、[Set an
Administrator] の順に選択します。
3.
[Set WorkDocs Administrator] ページで、昇格するユーザー名を入力して、[Set Administrator] を
選択します。
Amazon WorkDocs 管理ダッシュボードを使用して、管理者を降格することもできます。詳細につい
ては、「ユーザーの編集 (p. 19)」を参照してください。
サイトを削除する
Amazon WorkDocs コンソールを使用して、Amazon WorkDocs サイトを削除します。
Warning
サイトを削除すると、すべてのユーザー情報とすべてのファイルが失われます。サイトを削
除するのは、サイトのこの情報がもう必要ないと確信が持てる場合のみにしてください。
サイトを削除するには
1.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
2.
[Manage Your WorkDocs Sites] ページで、目的のサイトを選択し、[Actions]、[Delete WorkDocs
Site] の順に選択します。
3.
[Delete Selected WorkDocs Site] ダイアログボックスで、ユーザーディレクトリも削除するか選
択します。これにより、Amazon WorkDocs ユーザー情報を保存するために使用されている AWS
Directory Service Simple AD または AD Connector ディレクトリが削除されます。ディレクトリ
を削除する場合、他の AWS アプリケーションを有効にすることはできません。詳細について
は、『AWS Directory Service Administration Guide』の「Simple AD ディレクトリの削除」また
は「AD Connector ディレクトリの削除」を参照してください。
4.
適切なサイトを削除しようとしていることを確認し、確認フィールドに「DELETE」と入力して、
[Delete WorkDocs Site] を選択します。
サイトはすぐに削除され、使用できなくなります。
多要素認証
以下の手順を実行して、AD Connector ディレクトリの多要素認証を有効にすることができます。
Note
多要素認証は、Simple AD ディレクトリでは使用できません。
多要素認証を有効にするには
1.
2.
3.
Amazon WorkDocs コンソール（https://console.aws.amazon.com/zocalo/）を開きます。
[Manage Your WorkDocs Sites] ページで、目的のサイトを選択し、[Actions]、[Manage MFA] の
順に選択します。
以下の値を入力して、[Update MFA] を選択します。
Multi-Factor Authentication の有効化
オンにすると、多要素認証が有効になります。
[RADIUS server IP address(es)]
RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバラ
ンサーの IP アドレス。カンマで区切って、複数の IP アドレスを入力できます（たとえ
ば、192.0.0.0,192.0.0.12）。
12
Amazon WorkDocs 管理ガイド
シングルサインオン
ポート
RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークでは、AD
Connector サーバーからのデフォルトの RADIUS サーバーポート（1812）を介した受信トラ
フィックが許可されている必要があります。
[Shared secret code]
RADIUS エンドポイントの作成時に指定された共有シークレットコード。
[Confirm shared secret code]
RADIUS エンドポイントの共有シークレットコードを確認します。
プロトコル
RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。
[Server timeout]
RADIUS サーバーのレスポンスを待つ時間（秒）。これは 1～60 の範囲の値にする必要があ
ります。
最大再試行回数
RADIUS サーバーとの通信を試みる回数。これは 0～10 の範囲の値にする必要があります。
多要素認証は、[RADIUS Status] が [Enabled] に変わると使用できます。多要素認証のセットアッ
プ中は、ユーザーが Amazon WorkDocs サイトにログインすることはできません。
シングルサインオン
AWS Directory Service により、ユーザーは Amazon WorkDocs が登録されているものと同じディレ
クトリに結合されているコンピュータから Amazon WorkDocs にアクセスできます。認証情報を個
別に入力する必要はありません。ディレクトリでシングルサインオンを有効にする方法の詳細につい
ては、『AWS Directory Service Administration Guide』の「シングルサインオン」を参照してくださ
い。
Amazon WorkDocs ユーザーは、シングルサインオンを有効化するためにウェブブラウザ設定を変
更しなければならない場合があります。詳細については、『Amazon WorkDocs ユーザーガイド』の
「シングルサインオンの有効化」を参照してください。
Amazon WorkDocs 管理ダッシュボード
管理ダッシュボードでは、Amazon WorkDocs サイトを管理することができます。管理ダッシュボー
ドは、Amazon WorkDocs ウェブアプリケーションで Amazon WorkDocs 管理者が使用できます。管
理ダッシュボードを開くには、サイトの Amazon WorkDocs ウェブアプリケーションを開き、ユー
ザーコントロールペインで [Administration] を選択します。
管理ダッシュボードは、クラウドディレクトリを使用しているか、それとも接続したディレクトリを
使用しているかに応じて変わります。
目次
• ユーザーロール (p. 13)
• アクセス許可 (p. 14)
• 匿名の閲覧者 (p. 17)
• クラウドディレクトリ (p. 18)
• 接続したディレクトリ (p. 20)
Amazon WorkDocs のユーザーロール
Amazon WorkDocs では次のユーザーロールが定義されます。
13
Amazon WorkDocs 管理ガイド
アクセス許可
WS ユーザー
Amazon WorkSpaces ワークスペースが割り当てられたユーザー。
• すべての Amazon WorkDocs 機能にアクセス
• 50 GB のデフォルトストレージ (有料で 1 TB にアップグレード可能)
• 月額料金なし
アップグレードされた WS ユーザー
Amazon WorkSpaces ワークスペースが割り当てられ、アップグレードされたユーザー。
• すべての Amazon WorkDocs 機能にアクセス
• 1 TB のデフォルトストレージ (従量制の追加のストレージを利用できます)
• 月額料金の対象
Amazon WorkDocs ユーザー
Amazon WorkSpaces ワークスペースが割り当てられていないアクティブな Amazon WorkDocs ユー
ザー。
• すべての Amazon WorkDocs 機能にアクセス
• 1 TB のデフォルトストレージ (従量制の追加のストレージを利用できます)
• 月額料金の対象
Amazon WorkSpaces ユーザーのアップグレードまたはダウングレードの詳細については、「クラウ
ドディレクトリユーザー (p. 19)」および「接続したディレクトリユーザー (p. 21)」を参照して
ください。料金の詳細については、「Amazon WorkDocs 料金表」を参照してください。
Amazon WorkDocs の共有許可
Amazon WorkDocs controls access to folders and files through the use of permissions. Permissions
are applied based on the role of the user.
Contents
• Roles (p. 14)
• Shared Folder Permissions (p. 15)
• File Permissions (p. 15)
• Shared File Permissions (p. 16)
Roles
Both folder and file permissions are granted based on user roles. The following are the roles defined by
Amazon WorkDocs that apply to folders:
• Folder owner – The owner of the folder or file.
• Folder co-owner – A user or group that the owner designates as the co-owner of the folder or file.
• Folder contributor – Someone who the folder has been shared with, without limited access to the
folder.
• Folder viewer – Someone who a folder has been shared with, but has been given limited access
(view only) to the folder.
14
Amazon WorkDocs 管理ガイド
アクセス許可
The following roles apply to files:
• Owner – The owner of the file.
• Co-Owner – A user or group that the owner designates as the co-owner of the file.
• Contributor – Someone who has been asked for feedback on file.
• Viewer – Someone who a file has been shared with, but has been given limited access (view only) to
the file.
• Anonymous viewer – A non-registered user outside of the organization who can view a file that has
been shared via an external viewing link. Unless otherwise indicated, an anonymous viewer has the
same permissions as a viewer.
Shared Folder Permissions
The following are the permissions defined by Amazon WorkDocs for shared folders:
• View – View the contents of a shared folder.
• View sub-folder – View a sub-folder.
• View shares – View the other users a folder is shared with.
• Add sub-folder – Add a sub-folder.
• Share – Share the top-level folder with other users.
• Revoke share – Revoke the sharing of the top-level folder.
• Delete sub-folder – Delete a sub-folder.
• Delete top-level folder – Delete the top-level shared folder.
Permissions for shared folders
Permission
Folder owner
Folder co-owner
Folder contributor
Folder viewer
View
X
X
X
X
View Sub-folders
X
X
X
X
View Shares
X
X
X
X
Add Sub-folder
X
X
X
Share
X
X
Revoke Sharing
X
X
Delete Sub-folder
X
X
Delete Top-level
folder
X
File Permissions
The following are the permissions defined by Amazon WorkDocs for files that are not in a shared
folder:
• View – View a file.
• Delete – Delete a file.
• Annotate – Can add feedback to a file.
15
Amazon WorkDocs 管理ガイド
アクセス許可
• View Shares – View the other users that a file is shared with.
• View Annotations – View feedback from other users.
• View Activity – View the activity history of a file.
• View Versions – View previous versions of a file.
• Download – Download a file. This is the default permission. The ability to download shared files can
be allowed or denied in the file properties.
• Prevent Download – Prevent a file from being downloaded.
• Upload – Upload new versions of a file.
• Share – Share a file with other users.
• Revoke Sharing – Revoke the sharing of a file.
Permissions for a file not in a shared folder
Permission
Owner/Co-Owner
Contributor
Viewer
Anonymous
Viewer
View
X
X
X
X
View Shares
X
X
X
X
Download
X
X
X
Annotate
X
X
View Annotations
X
X
View Activity
X
X
View Versions
X
X
Upload
X
X
Delete
X
Prevent Download X
Share
X
Revoke Sharing
X
Shared File Permissions
The following are the permissions defined by Amazon WorkDocs for files in a shared folder:
• View – View a file in a shared folder.
• View Shares – View the other users that a file is shared with.
• Download – Download a file.
• Annotate – Can add feedback to a file.
• View Annotations – View feedback from other users.
• View Activity – View the activity history of a file.
• View Versions – View previous versions of a file.
• Upload – Upload new versions of a file.
• Delete – Delete a file in a shared folder.
16
Amazon WorkDocs 管理ガイド
匿名の閲覧者
• Prevent Download – Prevent a file from being downloaded. This is the default permission for files in
the folder.
• Share – Share a file with other users.
• Revoke Sharing – Revoke the sharing of a file.
• Private Comments – Owner/Co-owner can see all private comments for a document, even it if is not
a reply to their comment.
Permissions for a file in a shared folder
Permission
Folder Owner/
Co-Owner
File Owner*
Folder
Contributor
Folder Viewer
Anonymous
Viewer
View
X
X
X
X
X
View Shares
X
X
X
X
X
Download
X
X
X
X
Annotate
X
X
X
View
Annotations
X
X
X
View Activity
X
X
X
View Versions X
X
X
Upload
X
X
X
Delete
X
X
X
Rename
X
X
X
Prevent
Download
X
X
Share
X
X
Revoke
Sharing
X
X
See All
Private
Comments**
X
X
* - The file owner, in this case, is the person that uploaded the original version of a file to a folder that
was shared with them. The permissions for this role apply only to the owned file, not all files in the
shared folder.
** File Owner/Co-Owner can see all private comments. Contributors can see private comments only if
they are replies to their comments.
Amazon WorkDocs の匿名の閲覧者
Amazon WorkDocs を使用すると、匿名のユーザーを招待してそれらのユーザーがファイルを表示で
きるように、組織を設定できます。匿名の閲覧者は、[Disallow others to download] オプションが有効
になっていない限り、共有しているファイルをダウンロードすることもできます。
匿名の閲覧者をサポートするには、次の条件が true である必要があります。
17
Amazon WorkDocs 管理ガイド
クラウドディレクトリ
• 組織の [External Share Settings] が [Users can send external view links to anyone] に設定されてい
る必要があります。Simple AD ディレクトリについては、『セキュリティ (p. 18)』を参照して
ください。AD Connector ディレクトリについては、『セキュリティ (p. 20)』を参照してくださ
い。
• 組織の [Invite Settings] が [Only administrators can invite new users] に設定されている必要がありま
す。
これらの条件がすべて満たされると、招待を送信するときに匿名の閲覧者の E メールアドレスを入力
することで、Amazon WorkDocs ユーザーは匿名の閲覧者を招待することができます。
Amazon WorkDocs クラウドディレクトリ
クラウドディレクトリの Amazon WorkDocs 管理ダッシュボードで、以下の項目を管理できます。
目次
• ストレージ (p. 18)
• セキュリティ (p. 18)
• クラウドディレクトリユーザー (p. 19)
ストレージ
[Storage] セクションでは、新しいユーザーが受け取るストレージ量を指定できます。この設定を変更
するには、[Storage] セクションで [Change] を選択します。[Storage Limit] ダイアログボックスで、
新しいユーザーに割り当てるストレージの容量を無制限にするか、特定の容量に制限するかを選択
します。この設定は、設定が変更された後に追加されたユーザーにのみ影響します。既存のユーザー
に割り当てられたストレージの量は変更されません。既存のユーザーのストレージ制限を変更するに
は、「ユーザーの編集 (p. 19)」を参照してください。
セキュリティ
[Security] セクションで、以下の項目を指定できます。
外部共有の設定
ユーザーが組織外の人物にファイル表示リンクを送信できるかを指定します。次の設定から選択しま
す。
[Users can send external view links to anyone ]
ユーザーは組織外の誰にでもリンクを送信できます。
[Users can send external view links to a few specific domains]
ユーザーは指定したドメインのメンバーである人物にリンクを送信できます。
[Users cannot send external view links]
ユーザーは組織外の誰にも表示リンクを送信できません。
招待の設定
該当する場合、ユーザーがクラウド組織に新しいユーザーを招待できるかを指定します。クラウド
ディレクトリの場合、次の設定から選択します。
[Users can invite new people from anywhere by sharing files or folders with them]
ユーザーは、ファイルまたはフォルダを共有することで、組織外の新しい人物を招待することが
できます。
18
Amazon WorkDocs 管理ガイド
クラウドディレクトリ
[Users can invite new people from a few specific domains by sharing files or folders with them]
ユーザーは、ファイルまたはフォルダを共有することで、指定のドメインから新しい人物を招待
することができます。
[Only administrators can invite new users]
ユーザーは新しいユーザーを招待できません。
クラウドディレクトリユーザー
クラウドディレクトリの [Manage Users] セクションで、以下のタスクを実行できます。
タスク
• 新しいユーザーを招待する (p. 19)
• ユーザーの編集 (p. 19)
• ユーザーを削除する (p. 19)
新しいユーザーを招待する
クラウドディレクトリの場合、ディレクトリに参加するよう新しいユーザーを招待します。
新しいユーザーをクラウドディレクトリに招待するには
1.
[Manage Users] セクションで、[Invite Users] を選択します。
2.
[Invite Users] ダイオログボックスで、招待するユーザーのメールアドレスを [Who would you like
to invite] フィールドに入力して、Enter キーを押します。招待するユーザーごとに、これを繰り
返します。
3.
必要に応じてカスタマイズした件名とメール本文を入力して、[Send] を選択します。Amazon
WorkDocs アカウントの作成方法を記載した招待メールがそれぞれの受取人に送信されます。
ユーザーの編集
既存のユーザーを修正するには、ユーザー名の横にある鉛筆アイコン（）をクリックします。
[Edit User] ダイアログボックスで、次の設定を変更できます。
名
姓
ユーザーの名前。
ユーザーの姓。
Status
ユーザーがアクティブかどうかを指定します。
ロール
ユーザーがユーザーか管理者かを指定します。Amazon WorkSpaces ワークスペースが割り当て
られたユーザーをアップグレードまたはダウングレードすることもできます。詳細については、
「Amazon WorkDocs のユーザーロール (p. 13)」を参照してください。
ストレージ
既存ユーザーのストレージ制限を指定します。
ユーザーを削除する
Amazon WorkDocs 管理ダッシュボードでは、Amazon WorkDocs アカウントをまだ作成していない
クラウドユーザーのみを削除できます。これらのユーザーの 1 人を削除するには、ユーザー名の横に
あるごみ箱アイコン（）を選択します。
19
Amazon WorkDocs 管理ガイド
接続したディレクトリ
登録されたユーザーを削除することはお勧めできません。代わりに、ユーザーを非アクティブにし
て、Amazon WorkDocs サイトにアクセスできないようにしてください。ユーザーの非アクティブ化
の詳細については、「ユーザーの編集 (p. 19)」を参照してください。
お客様の Amazon WorkDocs サイトには少なくとも 1 人のアクティブユーザーが常に存在している必
要があります。すべてのユーザーを削除する場合は、Amazon WorkDocs サイト全体を削除する必要
があります。
Amazon WorkDocs の接続したディレクトリ
接続したディレクトリの管理ダッシュボードで、以下の項目を管理できます。
目次
• ストレージ (p. 20)
• セキュリティ (p. 20)
• 接続したディレクトリユーザー (p. 21)
ストレージ
[Storage] セクションでは、新しいユーザーが受け取るストレージ量を指定できます。この設定を変更
するには、[Storage] セクションで [Change] を選択します。[Storage Limit] ダイアログボックスで、
新しいユーザーに割り当てるストレージの容量を無制限にするか、特定の容量に制限するかを選択し
ます。この設定は、設定が変更された後に有効にされたユーザーにのみ影響します。現在有効なユー
ザーに割り当てられたストレージの量は変更されません。有効なユーザーのストレージ制限を変更す
るには、「ユーザーの編集 (p. 21)」を参照してください。
セキュリティ
[Security] セクションで、以下の項目を指定できます。
外部共有の設定
ユーザーが組織外の人物にファイル表示リンクを送信できるかを指定します。次の設定から選択しま
す。
[Users can send external view links to anyone ]
ユーザーは組織外の誰にでもリンクを送信できます。
[Users can send external view links to a few specific domains]
ユーザーは指定したドメインのメンバーである人物にリンクを送信できます。
[Users cannot send external view links]
ユーザーは組織外の誰にも表示リンクを送信できません。
招待の設定
接続したディレクトリの場合、ディレクトリに参加するよう新しいユーザーを招待することはありま
せん。ディレクトリに既に存在するユーザーに対して Amazon WorkDocs を使用可能にできるだけで
す。接続したディレクトリの場合、次の設定から選択します。
[Users can enable new people from your directory by sharing files or folders with them]
ユーザーは、ファイルまたはフォルダを共有することで、ディレクトリに既に存在するユーザー
に対して Amazon WorkDocs を使用可能にすることができます。
[Only administrators can enable new users]
Amazon WorkDocs 管理者のみが、ユーザーに対して Amazon WorkDocs を使用可能にできま
す。
20
Amazon WorkDocs 管理ガイド
接続したディレクトリ
接続したディレクトリユーザー
接続したディレクトリの [Manage Users] セクションで、以下のタスクを実行できます。
タスク
• ユーザーを有効にする (p. 21)
• ユーザーの編集 (p. 21)
ユーザーを有効にする
接続したディレクトリの場合、ディレクトリに参加するよう新しいユーザーを招待することはありま
せん。ディレクトリに既に存在するユーザーに対して Amazon WorkDocs を使用可能にします。ユー
ザーの有効化の詳細については、「ユーザーの編集 (p. 21)」を参照してください。
ユーザーの編集
既存のユーザーを修正するには、ユーザー名の横にある鉛筆アイコン（）を選択します。
[Edit User] ダイアログボックスで、次の設定を変更できます。
Status
ユーザーがアクティブかどうかを指定します。
ロール
ユーザーがユーザーか管理者かを指定します。Amazon WorkSpaces ワークスペースが割り当て
られたユーザーをアップグレードまたはダウングレードすることもできます。詳細については、
「Amazon WorkDocs のユーザーロール (p. 13)」を参照してください。
ストレージ
既存ユーザーのストレージ制限を指定します。
21
Amazon WorkDocs 管理ガイド
CloudTrail での Amazon WorkDocs 情報
AWS CloudTrail を使用した
Amazon WorkDocs API 呼び出しの
ログ記録
Amazon WorkDocs は CloudTrail と統合されています。これは、AWS アカウントで Amazon
WorkDocs によって行われたか、それに代わって行われた API 呼び出しを記録し、指定した Amazon
S3 バケットにログファイルを渡すサービスです。CloudTrail は Amazon WorkDocs コンソールか
らの API 呼び出しをキャプチャします。CloudTrail によって収集された情報を使用して、Amazon
WorkDocs に対してどのようなリクエストが行われたか（リクエストの実行元 IP アドレス、実行
者、実行日時など）を判断できます。CloudTrail を設定して有効にする方法などの詳細については、
『AWS CloudTrail User Guide』を参照してください。
CloudTrail での Amazon WorkDocs 情報
AWS アカウントで CloudTrail のログ記録を有効にすると、Amazon WorkDocs アクションに対する
API 呼び出しがログファイルに記録されます。Amazon WorkDocs レコードは、他の AWS サービスレ
コードと一緒にログファイルに記録されます。CloudTrail は、期間とファイルサイズに基づいて、新
しいファイルをいつ作成して書き込むかを決定します。
各ログエントリには、誰がリクエストを生成したかに関する情報が含まれます。ログのユーザー ID 情
報は、リクエストが、ルートまたは IAM ユーザーの認証情報を使用して送信されたか、ロールまたは
フェデレーションユーザーの一時的な認証情報を使用して送信されたか、あるいは別の AWS サービ
スによって送信されたかを確認するのに役立ちます。詳細については、CloudTrail Event Reference の
userIdentity フィールドを参照してください。
必要な場合はログファイルを自身のバケットに保管できますが、ログファイルを自動的にアーカイブ
または削除するにように Amazon S3 ライフサイクルルールを定義することもできます。デフォルト
では Amazon S3 のサーバー側の暗号化 (SSE) を使用して、ログファイルが暗号化されます。
ログファイルの配信時にすぐにアクションを実行する場合、新しいログファイルの配信時に
CloudTrail により Amazon SNS 通知を発行することを選択できます。詳細については、「Amazon
SNS 通知の構成」を参照してください。
また、複数の AWS リージョンと複数の AWS アカウントからの Amazon WorkDocs ログファイルを 1
つの Amazon S3 バケットに集約することもできます。詳細については、「CloudTrail ログファイルの
単一の Amazon S3 バケットへの集約」を参照してください。
22
Amazon WorkDocs 管理ガイド
Amazon WorkDocs ログファイルエントリの概要
Amazon WorkDocs ログファイルエントリの概要
CloudTrail ログファイルには、複数の JSON 形式イベントで構成される 1 つ以上のログエントリが
記録されます。ログエントリは任意の送信元からの単一のリクエストを表し、リクエストされたアク
ション、パラメータ、アクションの日時などに関する情報を含みます。ログエントリは、特定の順序
になるように生成されるわけではありません。つまり、パブリック API 呼び出しの順序付けられたス
タックトレースではありません。
Amazon WorkDocs が生成する CloudTrail エントリには、コントロールプレーンからのエントリと、
データプレーンからのエントリの 2 種類があります。2 つの重要な違いは、コントロールプレーンの
エントリのユーザー ID は IAM ユーザーであるのに対し、データプレーンのエントリのユーザー ID は
Amazon WorkDocs ディレクトリユーザーであることです。
パスワード、認証トークン、ファイルコメント、ファイルコンテンツなどの機密情報は、ログエント
リには表示されません。
次の例は、Amazon WorkDocs の 2 つの CloudTrail ログエントリを示しています。最初のレコード
はコントロールプレーンのアクションを対象としていて、2 番目のレコードはデータプレーンのアク
ションを対象としています。
{
Records : [
{
"eventVersion" : "1.01",
"userIdentity" :
{
"type" : "IAMUser",
"principalId" : "user_id",
"arn" : "user_arn",
"accountId" : "account_id",
"accessKeyId" : "access_key_id",
"userName" : "user_name"
},
"eventTime" : "event_time",
"eventSource" : "workdocs.amazonaws.com",
"eventName" : "RemoveUserFromGroup",
"awsRegion" : "region",
"sourceIPAddress" : "ip_address",
"userAgent" : "user_agent",
"requestParameters" :
{
"directoryId" : "directory_id",
"userSid" : "user_sid",
"group" : "group"
},
"responseElements" : null,
"requestID" : "request_id",
"eventID" : "event_id"
},
{
"eventVersion" : "1.01",
"userIdentity" :
{
"type" : "Unknown",
"principalId" : "user_id",
"accountId" : "account_id",
"userName" : "user_name"
},
23
Amazon WorkDocs 管理ガイド
Amazon WorkDocs ログファイルエントリの概要
"eventTime" : "event_time",
"eventSource" : "workdocs.amazonaws.com",
"eventName" : "LogoutUser",
"awsRegion" : "region",
"sourceIPAddress" : "ip_address",
"userAgent" : "user_agent",
"requestParameters" :
{
"AuthenticationToken" : "**-redacted-**"
},
"responseElements" : null,
"requestID" : "request_id",
"eventID" : "event_id"
}
]
}
24
Amazon WorkDocs 管理ガイド
ドキュメント履歴
次の表は、『Amazon WorkDocs 管理ガイド』への重要な追加事項について示しています。
• ドキュメントの最新更新日: 2016 年 11 月 22 日
変更
説明
変更日
ストレージ制限が 1 TB に
引き上げ
ユーザー用の新しいストレージ制限のドキュメントを追
加しました。詳細については、「Amazon WorkDocs の
ユーザーロール (p. 13)」を参照してください。
2016 年 11
月 22 日
シングルサインオンサ
ポートを追加
シングルサインオンをサポートするドキュメントが追
加されました。詳細については、「シングルサインオ
ン (p. 13)」を参照してください。
2015 年 3 月
31 日
多要素認証のサポート
多要素認証情報の情報を追加しました。
2014 年 11
月3日
初回リリース
Amazon WorkDocs 管理ガイドの初回リリース。
2014 年 7 月
10 日
25

Download Report