WorkSpacesクライアント

Amazon WorkSpaces
AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ)
アマゾンデータサービスジャパン株式会社
ソリューションアーキテクト
渡邉源太
Agenda
•  Amazon WorkSpacesとは
•  セットアップ
–  Quick Setup
–  Advanced Setup
•  ディレクトリの選択
–  WorkSpaces Cloud Directory
–  WorkSpaces Connect
•  インターネットへの接続
•  WorkSpacesクライアント
–  Amazon Zocaloとの連携
AWSのさまざまなサービス
Amazon WorkSpaces
•  クラウドで動作するフルマネージド型のデスクトップコンピューテ
イングサービス
•  Windows/Mac/iPad/Kindle Fire/Androidタブレットなど任意の
デバイスからアクセス
•  マネジメントコンソールを数回クリックするだけでデスクトップを
ユーザー数を問わずに展開可能
⾃自社構築 vs. EC2 vs. フルマネージド
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack & stack
Power, HVAC, net
オンプレミス
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack & stack
Power, HVAC, net
XenDesktop on AWS
お客様がご担当する作業
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack & stack
Power, HVAC, net
WorkSpaces
AWSが提供するマネージド機能
WorkSpaces Bundle
WorkSpaces Bundle
ハードウェア
アプリケーション
Standard
1 vCPU, 3.75 GiB Memory,
50 GB User Storage
ユーティリティ (Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Standard Plus
1 vCPU, 3.75 GiB Memory,
50 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ (Adobe Reader, Internet
Explorer 11, Firefox, WinZip,
Adobe Flash)
Performance
2 vCPU, 7.5 GiB Memory,
100 GB User Storage
ユーティリティ (Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Performance Plus
2 vCPU, 7.5 GiB Memory,
100 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ (Adobe Reader, Internet
Explorer 11, Firefox, WinZip,
Adobe Flash)
Amazon WorkSpacesセットアップ
•  Quick Setup
–  必要な環境を⾃自動的に作成
–  20分でWorkSpaceを利利⽤用可能
–  初回セットアップ時のみ
•  Advanced Setup
–  VPCやディレクトリの選択が可能
–  社内Active Directoryとの統合
Quick Setup
•  WorkSpacesバンドルを選択
•  ユーザーを作成してワークスペースのプロビジョンを開始
WorkSpaceのステータス確認
•  20分ほどでStatusが「Pending」から
「Running」に変わったら完了了
•  ユーザーにメールで通知される
メールの受信とユーザーの登録
•  メールを受信したらリンク先をブラウザで開い
てパスワードを設定
WorkSpacesクライアントのダウンロード
•  http://clients.amazonworkspaces.comから
ダウンロード可能
WorkSpacesへの接続
Quick Setupで実⾏行行されるプロセス
WorkSpaces
用のVPCを作
成
WorkSpaceイ
ンスタンスの
作成
ディレクトリ管
理者アカウン
トの作成
VPC内にユー
ザーと
WorkSpace
管理用のディ
レクトリをセッ
トアップ
ユーザーアカ
ウントの作成
とディレクトリ
への追加
ユーザーへの
招待メールの
送信
Quick Setupで作成される環境
・・・
Client
Domain
Controller
Internet
Mobile Client
WorkSpaces
WorkSpaces
VPC Subnet
Availability Zone
Internet
Gateway
・・・
Domain
Controller
WorkSpaces
VPC Subnet
Availability Zone
Virtual Private Cloud
AWS Cloud
WorkSpaces
Advanced Setup
•  既存のVPCやオンプレミスのActive Directory
との連携を⾏行行う場合はこちらを選択
•  以下の⼿手順を⼿手動で⾏行行う
–  WorkSpaces⽤用のVPCの作成
–  ディレクトリの作成
–  WorkSpaceのプロビジョニング
ディレクトリの選択
•  WorkSpaces Cloud Directory
–  ⾃自社に Active Directory の管理理者が不不在のユーザー向け
–  ディレクトリサービスの管理理は AWS にお任せ
–  すぐに WorkSpaces を使いたい場合に利利⽤用
•  WorkSpaces Connect
–  社内の Active Directory 環境と連携
–  既存のユーザーやグループによる権限付与
–  グループポリシーによる集中管理理
WorkSpaces Cloud Directory
•  ドメインと管理理者アカウントを作成する
– 
– 
– 
– 
Organization Name
Directory DNS
NetBIOS Name
Administrator Password
•  ディレクトリを作成するVPCを選択
–  VPCには異異なる Availability Zoneに２つ以上の Subnet が
存在する必要がある
作成された Cloud Directory
•  ディレクトリサービスは Multi-‐‑‒AZ 構成で複数の Subnet に
展開される
–  EC2 インスタンスとしては表⽰示されない
•  Active Directory の管理理ツールから操作可能
–  Redircmp.exe
–  イベントビューア
–  Active Directory ユーザーとコンピュータ
Domain
Controller
Availability Zone
Virtual Private Cloud
Domain
Controller
Availability Zone
ディレクトリの管理理
•  Active Directory 管理理ツールをインストールすることに
より WorkSpaces Cloud Directory の管理理が可能
–  %SystemRoot%\system32\dsa.msc
Security Group の設定
•  Domain Controller ⽤用および WorkSpaces ⽤用
の Security Group は⾃自動的に作成される
–  <organization name>_̲controllers
–  <organization name>_̲workspacesMembers
•  EC2 Console から確認及び設定変更更が可能
•  Workspacesからドメインにログオンできるよ
うにドメインコントローラとの通信はデフォル
トで許可済み
（参考）Security Groupの設定
•  ドメインコントローラーと疎通を⾏行行うために、以下の
ポートの開放が必要
TCP 53
TCP 88
TCP 135
TCP 389
TCP 445
TCP 464
TCP 636
TCP 1024-65535
UDP 53
UDP 88
UDP 123
UDP 138
UDP 389
UDP 445
UDP 464
DNS
Kerberos
Endpoint Mapper
LDAP
SMB
KPassWD
LDAPS
RPC が使用する動的ポート ※
DNS
Kerberos
NTP
Endpoint Mapper
LDAP
SMB
KPassWD
• 
RPC が使⽤用する動的ポートが Windows の
バージョンによって異異なるため、⾃自社の環
境に合わせて設定
• 
Windows のサービス概要およびネットワークポート要件
http://support.microsoft.com/kb/832017/ja
• 
Windows Vista および Windows Server 2008 では TCP/IP の既定の動的ポート範囲が変更更されている
http://support.microsoft.com/kb/929851/ja
ディレクトリ設定
•  Organizational Unit（OU）
–  デフォルトでは Computer OU にコンピュータが作成される
–  特定の OU を指定して変更更することが可能
•  Security Group
–  WorkSpaces の Security Group を指定
–  デフォルトの Security Group とあわせて有効になる
WorkSpaces Connect
•  Active Directory と接続してディレクトリ認証を
⾏行行う仕組み
•  前提として必要となるもの
–  Amazon VPC
•  Internet Gateway
•  オンプレミス上の Active Directory と連携させる場合、VPN 接続
または Direct Connect
–  ドメインアカウント
•  ユーザーとグループへの読み取り
•  コンピュータアカウントの作成
–  DNS サーバー/ドメインコントローラー 2 台の IP アドレス
社内ディレクトリとの統合
Workspaces API
End-point
WorkSpaces
Connect
Secure Auth (443)
Public IP
OAuth
Gateway
WS User1
Directory
Subnet 1
Join
On-premises
Domain Controllers
AZ ‘A’
Public IP
VPN
Connection
Directory
Join
Public IP
WS User2
WorkSpaces
Connect
Subnet 2
AZ ‘B’
On-premises
Resources
Customer
Network
WorkSpaces Connect の作成
•  Active Directory ドメイン情報を⼊入⼒力力
– 
– 
– 
– 
– 
Organization Name
Directory DNS
NetBIOS Name
Account username
Administrator Password
•  ディレクトリを作成する VPC を選択
–  VPCには異異なる Availability Zone に２つ以上の Subnet が存
在する必要がある
作成された WorkSpaces Connect
•  VPC 上に認証⽤用プロキシが作成される
–  プロキシを経由してドメインコントローラーに対して認証
–  既存のユーザー認証およびポリシーを適⽤用可能
WorkSpaces
Connect
Availability Zone
Virtual Private Cloud
WorkSpaces
Connect
Availability Zone
VPN
Gateway
Customer
Domain Controller
Gateway
Corporate Data center
Multi-‐‑‒Factor Authentication
•  オンプレミスの RADIUS サーバーを利利⽤用した
多要素認証（MFA）に対応
–  ユーザー名とパスワードに加えてワンタイムパスワード等の
利利⽤用が可能
•  Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Server でテスト済
–  PAP/CHAP/MS-‐‑‒CHAP1/MS-‐‑‒CHAP2 をサポート
(例例) Google Authenticatorを使った⽅方法
•  スマートフォンに無料料でインストールできる
Google Authenticator
をソフトウェアトークンとして使⽤用する。
•  サーバ側は、オープンソースのFreeRADIUSと
Google AuthenticatorのPAM（Pluggable Authentication Module）を連携させて実現させる。
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
認証の流流れ -‐‑‒ 1
•  デバイスで初回使う時、
招待メールに記載されていた
登録コードを⼊入⼒力力します。
認証の流流れ -‐‑‒ 2
•  Active Directoryで使っている
のと同じユーザ名とパスワード
を⼊入⼒力力します。
認証の流流れ -‐‑‒ 3
•  トークンに表⽰示されている
ワンタイムパスワードを
確認して⼊入⼒力力します。
ネットワークインターフェース
•  それぞれのWorkSpaceは２つのネットワークイン
ターフェース（ENI）をもつ
–  VPCおよびインターネット接続⽤用ネットワーク
–  WorkSpace管理理⽤用および画⾯面転送⽤用ネットワーク
•  管理理⽤用ネットワークでは以下のポートを利利⽤用する
–  インバウンド
•  TCP/UDP 4172
•  TCP 8200
–  アウトバウンド
•  UDP 55000
インターネットへの接続
•  WorkSpacesがインターネット接続するために
はNATインスタンスもしくはEIPの付与が必要
– 
– 
– 
– 
Cloud Directory NAT Instanceパターン
Connected Directory NAT Instanceパターン
On-‐‑‒Premise Firewallパターン
Elastic IP Addressパターン
構成1:Cloud Directory NAT Instanceパターン
•  NATインスタンスを経由してインターネットへ
アクセス
Router
Availability Zone
Availability Zone Virtual Private Cloud
AWS Cloud
NAT
Internet
Gateway
Internet
構成2:Connected Directory NAT Instanceパター
ン
•  インターネットと社内リソースの両⽅方にアクセ
スすることが可能
Router
Availability Zone
NAT
Internet
Gateway
Virtual Private
Gateway
Availability Zone Virtual Private Cloud
AWS Cloud
Internet
VPN
Connection
Customer
Gateway
Corporate
Data center
構成3:On-‐‑‒Premise Firewallパターン
•  インターネットへの接続ポリシーをオンプレミ
スのファイアウォールでコントロール可能
Internet
Availability Zone
Router
Availability Zone
Virtual Private Cloud
AWS Cloud
Virtual Private
Gateway
VPN
Connection
Customer
Gateway
Corporate
Data center
構成4:EIP（Elastic IP Address）パターン
•  WorkSpacesのENIに直接EIPを付与することで
直接インターネットアクセスへ可能
Availability Zone
Router
Availability Zone Virtual Private Cloud
AWS Cloud
Internet
Gateway
Internet
Amazon WorkSpacesのIAMポリシー •  IAMポリシーでAmazon WorkSpacesのアクセスコント
ロールが可能
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"workspaces:*",
"iam:PassRole",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"zocalo:RegisterDirectory",
"zocalo:DeregisterDirectory",
"zocalo:AddUserToGroup",
"zocalo:RemoveUserFromGroup"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
WorkSpaces のポリシー管理理・パッチ管理理
•  WorkSpaces クライアントは Active Directory
ドメインのコンピュータとして管理理される
–  既存の管理理ツールを利利⽤用しての管理理
–  VPC 内に EC2 インスタンスとして管理理サーバーを配置する
ことも可能
Domain
Controller
WSUS
ServerVPC Subnet
WorkSpace
Availability Zone
Virtual Private Cloud
VPN
Gateway
Customer
Gateway
管理サーバー
Corporate Data center
Tips – ローカルポリシー
•  WorkSpaceには以下のポリシーがデフォルトで適
⽤用済み
–  コンピューターの構成
-‐‑‒ 管理理⽤用テンプレート
-‐‑‒ Windows コンポーネント
-‐‑‒ リモートデスクトップサービス
例例）オーディオのリダイレクトを許可
-‐‑‒ システム
–  ユーザーの構成
-‐‑‒ 管理理⽤用テンプレート
-‐‑‒ Windows コンポーネント
-‐‑‒ エクスプローラー
例例）Cドライブの⾮非表⽰示
-‐‑‒ コントロールパネル
–  個⼈人設定
Tips – ソフトウェア配布
•  WSUSを使ってWindowsパッチ適⽤用を管理理
•  グループポリシーを使ったアプリ配布
（.msi / .zip）
http://docs.aws.amazon.com/workspaces/latest/adminguide/
gpo_̲app_̲install.html
•  ログオンスクリプトでインストール
•  サードパーティソフトを使ってアプリ配布
WorkSpacesクライアント
•  サポートするプラットフォーム
– 
– 
– 
– 
– 
Windows 7以降降
Mac OS X 10.8.1以降降
iOS 7.0以降降
Android 4.2以降降
Kindle Fire HDXまたはHD 7
– 
– 
– 
– 
TCP/UDP 4172
TCP 443 (HTTPS)
TCP 22 (SSH)
RTT 100ms以下を推奨
•  ネットワーク要件
Registration Codeの⼊入⼒力力
•  Registration Codeを再
⼊入⼒力力することにより異異
なるディレクトリに接
続することが可能
–  Registration Codeはディレ
クトリごとに固有のID
⾔言語の選択とプロキシサポート
•  WorkSpacesクライアント
の⾔言語設定
–  English
–  ⽇日本語
•  WorkSpacesクライアント
からプロキシを設定可能
–  社内ネットワークからのプロキシ
接続に対応
–  WindowsまたはMac OS X
ローカルプリンターのサポート
•  WorkSpaceからクライアントPCに接続されて
いるローカルおよびネットワークプリンターに
印刷することが可能
–  Mac OS Xは未サポート
–  ローカルプリンターは⾃自動的に認識識される
•  Cortado ThinPrintやGoogle Cloud Printなど
のクラウド印刷ソリューションも利利⽤用可能
Amazon Zocalo Sync（WorkSpaces Sync）
•  ローカルのフォルダをWorkSpaceと同期
–  ユーザーあたり50GB
–  管理理者により無効化することが可能
•  Amazon WorkSpacesとは独⽴立立して動作する
–  https://amazonzocalo.com/clientsより
AmazonZocaloSetup.exeを別途導⼊入して実⾏行行
Client
Internet
Amazon Zocalo
Sync
WorkSpaces
Amazon Zocalo
•  フルマネージド型の企業向け⽂文書保存・共有サービ
ス
–  データは暗号化のうえ、指定したリージョンに保管される
–  既存ADとも連携可能なユーザ権限管理理機能を備える
•  1⼈人あたり200GBの容量量を⽉月額5ドルで利利⽤用可能
–  1GBあたり⽉月額0.03ドルの追加料料⾦金金でストレージの増量量にも対応
•  WorkSpacesユーザは50GBまで無料料でZocaloを利利⽤用で
きる
（⽉月額2ドルで200GBにアップグレード）
Amazon WorkSpacesアップデート
•  以下のリージョンで利利⽤用可能
– 
– 
– 
– 
US-‐‑‒East-‐‑‒1 (N.Virginia)
US-‐‑‒West-‐‑‒2 (Oregon)
EU (Ireland) Asia Paciﬁc (Sydney) •  8/27より東京リージョンでも利利⽤用可能に！
–  Asia Paciﬁc (Tokyo)
まとめ
•  Amazon WorkSpacesは東京リージョンで利利⽤用
可能
–  デスクトップ及びクライアントの⽇日本語化
•  WorkSpaces Connectにより既存ディレクトリ
との連携が可能
•  Amazon Zocaloとの連携でドキュメントの同期
およびバックアップに対応
–  現在東京リージョンではZocalo Syncのみ
参考資料料
•  Amazon WorkSpaces Administration Guide
–  http://docs.aws.amazon.com/workspaces/latest/adminguide/
what_̲is.html
•  Amazon WorkSpacesのよくある質問
–  http://aws.amazon.com/jp/workspaces/faqs/
•  料料⾦金金表
–  http://aws.amazon.com/jp/glacier/pricing/

Download Report