Amazon WorkSpacesでVDI環境（仮想デスクトップ）

Amazon WorkSpaces概要

VDI（仮想デスクトップ）

セキュリティとアクセス制御

MFA (Multi-Factor Authentication)
ディレクトリサービスにSimpelADを使った場合はMFAできない
RADIUS連携, SaaS RADIUS連携(OneLoginなど)
許可する送信元IPアドレス制限
デフォルトでは、クリップボードが許可されています。
クリップボードを禁止にするのは管理画面から簡単にできるのではなく、ADのグループポリシーで実現します。

Amazon WorkSpacesでのVPC設計メモ

Simple ADと WorkSpacesは同じサブネットに構築されます

VPC
  Availability Zone A
    VPC Subnet
        Amazon Workspaces
        Simple AD


  Availability Zone C
     VPC Subnet
         Amazon Workspaces
         Simple AD

AWS Directory Service

Amazon WorkSpacesを使う場合、以下の3種のAWS Directory Serviceのいずれかを使う必要があります。

SimpleAD

フルマネージドのディレクトリサービス
安いが、MFA設定できないので注意
リージョンによっては利用できないです。

AWS Managed Microsoft AD

マネージド型 Microsoft Active Directory
Windows Server2012R2によるActive Directory機能の提供
既存ドメイン/フォレストとの信頼関係がサポートされる
WorkSpaceは2016なので、機能で「Active Directory管理ツール」と「グループポリシー管理ツール」をインストールして、クリップボード制御などを行う必要があります。
MFA可能

AD Connector

既存のディレクトリサービスへの接続
既存のオンプレミスやEC2の Microsoft Active Directory を使用することができます。

WorkSpacesからインターネットへの接続

NAT Gatewayを利用する方法

WorkSpaces用Private Subnet1
WorkSpaces用Private Subnet2
Public Subnet1 : NAT gateway, Proxy
Public Subnet2 : NAT gateway, Proxy

Amazon WorkSpaces構築方法

構築方法１：Quick Setup

VPC：自動的に新規作成される
Directoryサービス：SimpleADが新規作成される。

構築方法２：Advanced Setup

VPC：既存のVPCを選択可能。
Directoryサービス：AWS Directory Serviceの3種から選択できる。
詳細な設定：以下を選択可能。
- 実行モード
- 暗号化の選択
- タグの管理

Amazon WorkSpaces構築手順

VPC/サブネットの作成

事前にAmazon WorkSpacesで利用するVPC/サブネットを作成しておきます。

Simple AD ディレクトリの作成手順

[Set up Directory]、[Create Simple AD] の順にクリック

ディレクトリを設定します。

Organization name	ディレクトリの一意の組織名英数字とハイフン（-）のみ	例: my-example-directory
Directory DNS	ディレクトリの完全修飾名	例: example.com
NetBIOS name	ディレクトリの短縮名
Admin password
Directory size		Small
VPC
Subnets	2 つのプライベートサブネットを選択

WorkSpace の作成手順

参考

20190226 AWS Black Belt Online Seminar Amazon WorkSpaces from Amazon Web Services Japan

目次