AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) Amazon Workspaces

1. Amazon WorkSpaces
AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ)
アマゾンデータサービスジャパン株式会社
ソリューションアーキテクト
渡邉源太

2. Agenda
• Amazon WorkSpacesとは
• セットアップ
– Quick Setup
– Advanced Setup
• ディレクトリの選択
– WorkSpaces Cloud Directory
– WorkSpaces Connect
• インターネットへの接続
• WorkSpacesクライアント
– Amazon Zocaloとの連携

4. AWSのさまざまなサービス

5. Amazon WorkSpaces
• クラウドで動作するフルマネージド型のデスクトップコンピューテ
イングサービス
• Windows/Mac/iPad/Kindle Fire/Androidタブレットなど任意の
デバイスからアクセス
• マネジメントコンソールを数回クリックするだけでデスクトップを
ユーザー数を問わずに展開可能

6. ⾃自社構築 vs. EC2 vs. フルマネージド
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack stack
Power, HVAC, net
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack stack
Power, HVAC, net
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack stack
Power, HVAC, net
オンプレミス
XenDesktop on AWS
WorkSpaces
お客様がご担当する作業 AWSが提供するマネージド機能

7. WorkSpaces Bundle
WorkSpaces Bundle ハードウェア アプリケーション
Standard 1 vCPU, 3.75 GiB Memory,
50 GB User Storage
ユーティリティ (Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Standard Plus 1 vCPU, 3.75 GiB Memory,
50 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ (Adobe Reader, Internet
Explorer 11, Firefox, WinZip,
Adobe Flash)
Performance 2 vCPU, 7.5 GiB Memory,
100 GB User Storage
ユーティリティ (Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Performance Plus 2 vCPU, 7.5 GiB Memory,
100 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ (Adobe Reader, Internet
Explorer 11, Firefox, WinZip,
Adobe Flash)

8. Amazon WorkSpacesセットアップ
• Quick Setup
– 必要な環境を⾃自動的に作成
– 20分でWorkSpaceを利利⽤用可能
– 初回セットアップ時のみ
• Advanced Setup
– VPCやディレクトリの選択が可能
– 社内Active Directoryとの統合

9. Quick Setup
• WorkSpacesバンドルを選択
• ユーザーを作成してワークスペースのプロビジョンを開始

10. WorkSpaceのステータス確認
• 20分ほどでStatusが「Pending」から
「Running」に変わったら完了了
• ユーザーにメールで通知される

11. メールの受信とユーザーの登録
• メールを受信したらリンク先をブラウザで開い
てパスワードを設定

12. WorkSpacesクライアントのダウンロード
• http://clients.amazonworkspaces.comから
ダウンロード可能

13. WorkSpacesへの接続

14. Quick Setupで実⾏行行されるプロセス
WorkSpaces
用のVPCを作
成
VPC内にユー
ザーと
WorkSpace
管理用のディ
レクトリをセッ
トアップ
ディレクトリ管
理者アカウン
トの作成
ユーザーアカ
ウントの作成
とディレクトリ
への追加
WorkSpaceイ
ンスタンスの
作成
ユーザーへの
招待メールの
送信

15. Quick Setupで作成される環境
・・・
VPC Subnet
Availability Zone
・・・
Availability Zone
Virtual Private Cloud
AWS Cloud
Internet
Gateway
Domain
Controller
VPC Subnet
Domain
Controller
WorkSpaces WorkSpaces
WorkSpaces WorkSpaces
Client
Mobile Client
Internet

16. Advanced Setup
• 既存のVPCやオンプレミスのActive Directory
との連携を⾏行行う場合はこちらを選択
• 以下の⼿手順を⼿手動で⾏行行う
– WorkSpaces⽤用のVPCの作成
– ディレクトリの作成
– WorkSpaceのプロビジョニング

17. ディレクトリの選択
• WorkSpaces Cloud Directory
– ⾃自社に Active Directory の管理理者が不不在のユーザー向け
– ディレクトリ サービスの管理理は AWS にお任せ
– すぐに WorkSpaces を使いたい場合に利利⽤用
• WorkSpaces Connect
– 社内の Active Directory 環境と連携
– 既存のユーザーやグループによる権限付与
– グループ ポリシーによる集中管理理

18. WorkSpaces Cloud Directory
• ドメインと管理理者アカウントを作成する
– Organization Name
– Directory DNS
– NetBIOS Name
– Administrator Password
• ディレクトリを作成するVPCを選択
– VPCには異異なる Availability Zoneに ２つ以上の Subnet が
存在する必要がある

19. 作成された Cloud Directory
• ディレクトリ サービスは Multi-‐‑‒AZ 構成で複数の Subnet に
展開される
– EC2 インスタンスとしては表⽰示されない
• Active Directory の管理理ツールから操作可能
– Redircmp.exe
– イベント ビューア
– Active Directory ユーザーとコンピュータ
Domain
Controller
Domain
Controller
Availability Zone Availability Zone
Virtual Private Cloud

20. ディレクトリの管理理
• Active Directory 管理理ツールをインストールすることに
より WorkSpaces Cloud Directory の管理理が可能
– %SystemRoot%system32dsa.msc

21. Security Group の設定
• Domain Controller ⽤用および WorkSpaces ⽤用
の Security Group は⾃自動的に作成される
– organization name_̲controllers
– organization name_̲workspacesMembers
• EC2 Console から確認及び設定変更更が可能
• Workspacesからドメインにログオンできるよ
うにドメインコントローラとの通信はデフォル
トで許可済み

22. （参考）Security Groupの設定
• ドメイン コントローラーと疎通を⾏行行うために、以下の
ポートの開放が必要
TCP 53 DNS
TCP 88 Kerberos
TCP 135 Endpoint Mapper
TCP 389 LDAP
TCP 445 SMB
TCP 464 KPassWD
TCP 636 LDAPS
TCP 1024-65535 RPC が使用する動的ポート ※
UDP 53 DNS
UDP 88 Kerberos
UDP 123 NTP
UDP 138 Endpoint Mapper
UDP 389 LDAP
UDP 445 SMB
UDP 464 KPassWD
• RPC が使⽤用する動的ポートが Windows の
バージョンによって異異なるため、⾃自社の環
境に合わせて設定
• Windows のサービス概要およびネットワーク ポート要件
http://support.microsoft.com/kb/832017/ja
• Windows Vista および Windows Server 2008 では
TCP/IP の既定の動的ポート範囲が変更更されている
http://support.microsoft.com/kb/929851/ja

23. ディレクトリ設定
• Organizational Unit（OU）
– デフォルトでは Computer OU にコンピュータが作成される
– 特定の OU を指定して変更更することが可能
• Security Group
– WorkSpaces の Security Group を指定
– デフォルトの Security Group とあわせて有効になる

24. WorkSpaces Connect
• Active Directory と接続してディレクトリ認証を
⾏行行う仕組み
• 前提として必要となるもの
– Amazon VPC
• Internet Gateway
• オンプレミス上の Active Directory と連携させる場合、VPN 接続
または Direct Connect
– ドメイン アカウント
• ユーザーとグループへの読み取り
• コンピュータ アカウントの作成
– DNS サーバー/ドメインコントローラー 2 台の IP アドレス

25. 社内ディレクトリとの統合
Subnet 1
AZ ‘A’
Subnet 2
AZ ‘B’
Workspaces API
End-point
Customer
Network
VPN
Connection
Public IP
OAuth
Gateway
Secure Auth (443)
Public IP
WorkSpaces
Connect
WS User1
Public IP
WS User2
On-premises
Domain Controllers
Directory
Join
Directory
Join
WorkSpaces
Connect
On-premises
Resources

26. WorkSpaces Connect の作成
• Active Directory ドメイン情報を⼊入⼒力力
– Organization Name
– Directory DNS
– NetBIOS Name
– Account username
– Administrator Password
• ディレクトリを作成する VPC を選択
– VPCには異異なる Availability Zone に ２つ以上の Subnet が存
在する必要がある

27. 作成された WorkSpaces Connect
• VPC 上に認証⽤用プロキシが作成される
– プロキシを経由してドメイン コントローラーに対して認証
– 既存のユーザー認証およびポリシーを適⽤用可能
WorkSpaces
Connect
WorkSpaces
Connect
Availability Zone Availability Zone
Virtual Private Cloud
VPN
Gateway
Customer
Gateway Domain Controller
Corporate Data center

28. Multi-‐‑‒Factor Authentication
• オンプレミスの RADIUS サーバーを利利⽤用した
多要素認証（MFA）に対応
– ユーザー名とパスワードに加えてワンタイム パスワード等の
利利⽤用が可能
• Symantec Validation and ID Protection
Service (VIP) および Microsoft RADIUS
Server でテスト済
– PAP/CHAP/MS-‐‑‒CHAP1/MS-‐‑‒CHAP2 をサポート

29. (例例) Google Authenticatorを使った⽅方法
• スマートフォンに無料料でインストールできる
Google Authenticator
をソフトウェアトークンとして使⽤用する。
• サーバ側は、オープンソースのFreeRADIUSと
Google AuthenticatorのPAM（Pluggable Authentication
Module）を連携させて実現させる。
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。

30. 認証の流流れ -‐‑‒ 1
• デバイスで初回使う時、
招待メールに記載されていた
登録コードを⼊入⼒力力します。

31. 認証の流流れ -‐‑‒ 2
• Active Directoryで使っている
のと同じユーザ名とパスワード
を⼊入⼒力力します。

32. 認証の流流れ -‐‑‒ 3
• トークンに表⽰示されている
ワンタイムパスワードを
確認して⼊入⼒力力します。

33. ネットワークインターフェース
• それぞれのWorkSpaceは２つのネットワークイン
ターフェース（ENI）をもつ
– VPCおよびインターネット接続⽤用ネットワーク
– WorkSpace管理理⽤用および画⾯面転送⽤用ネットワーク
• 管理理⽤用ネットワークでは以下のポートを利利⽤用する
– インバウンド
• TCP/UDP 4172
• TCP 8200
– アウトバウンド
• UDP 55000

34. インターネットへの接続
• WorkSpacesがインターネット接続するために
はNATインスタンスもしくはEIPの付与が必要
– Cloud Directory NAT Instanceパターン
– Connected Directory NAT Instanceパターン
– On-‐‑‒Premise Firewallパターン
– Elastic IP Addressパターン

35. 構成1:Cloud Directory NAT Instanceパターン
• NATインスタンスを経由してインターネットへ
アクセス
Router
Availability Zone
Availability ZoneVirtual Private Cloud
AWS Cloud
NAT Internet
Gateway
Internet

36. 構成2:Connected Directory NAT Instanceパター
ン
• インターネットと社内リソースの両⽅方にアクセ
スすることが可能
Router
Availability Zone
Availability ZoneVirtual Private Cloud
AWS Cloud
NAT Internet
Gateway
Internet
Virtual Private
Gateway
VPN
Connection
Customer
Gateway
Corporate
Data center

37. 構成3:On-‐‑‒Premise Firewallパターン
• インターネットへの接続ポリシーをオンプレミ
スのファイアウォールでコントロール可能
Virtual Private Cloud
AWS Cloud
Availability Zone
Availability Zone
Router
Virtual Private
Gateway
VPN
Connection
Customer
Gateway
Internet
Corporate
Data center

38. 構成4:EIP（Elastic IP Address）パターン
• WorkSpacesのENIに直接EIPを付与することで
直接インターネットアクセスへ可能
Availability ZoneVirtual Private Cloud
AWS Cloud
Availability Zone
Router
Internet
Gateway
Internet

39. Amazon WorkSpacesのIAMポリシー
• IAMポリシーでAmazon WorkSpacesのアクセスコント
ロールが可能
{
Version: 2012-10-17,
Statement: [
{
Action: [
workspaces:*,
iam:PassRole,
iam:GetRole,
iam:CreateRole,
iam:PutRolePolicy,
ec2:CreateVpc,
ec2:CreateSubnet,
ec2:CreateNetworkInterface,
ec2:CreateInternetGateway,
ec2:CreateRouteTable,
ec2:CreateRoute,
ec2:CreateTags,
ec2:CreateSecurityGroup,
ec2:DescribeInternetGateways,
ec2:DescribeRouteTables,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeNetworkInterfaces,
ec2:DescribeAvailabilityZones,
ec2:AttachInternetGateway,
ec2:AssociateRouteTable,
ec2:AuthorizeSecurityGroupEgress,
ec2:AuthorizeSecurityGroupIngress,
ec2:DeleteSecurityGroup,
ec2:DeleteNetworkInterface,
ec2:RevokeSecurityGroupEgress,
ec2:RevokeSecurityGroupIngress,
zocalo:RegisterDirectory,
zocalo:DeregisterDirectory,
zocalo:AddUserToGroup,
zocalo:RemoveUserFromGroup
],
Effect: Allow,
Resource: *
}
]
}

40. WorkSpaces のポリシー管理理・パッチ管理理
• WorkSpaces クライアントは Active Directory
ドメインのコンピュータとして管理理される
– 既存の管理理ツールを利利⽤用しての管理理
– VPC 内に EC2 インスタンスとして管理理サーバーを配置する
ことも可能
Domain
Controller VPC Subnet
WSUS WorkSpace
Server
Availability Zone
Virtual Private Cloud
Customer
Gateway 管理サーバー
Corporate Data center
VPN
Gateway

41. Tips – ローカルポリシー
• WorkSpaceには以下のポリシーがデフォルトで適
⽤用済み
– コンピューターの構成
-‐‑‒ 管理理⽤用テンプレート
-‐‑‒ Windows コンポーネント
-‐‑‒ リモート デスクトップ サービス
例例）オーディオのリダイレクトを許可
-‐‑‒ システム
– ユーザーの構成
-‐‑‒ 管理理⽤用テンプレート
-‐‑‒ Windows コンポーネント
-‐‑‒ エクスプローラー
例例）Cドライブの⾮非表⽰示
-‐‑‒ コントロールパネル
– 個⼈人設定

42. Tips – ソフトウェア配布
• WSUSを使ってWindowsパッチ適⽤用を管理理
• グループポリシーを使ったアプリ配布
（.msi / .zip）
http://docs.aws.amazon.com/workspaces/latest/adminguide/
gpo_̲app_̲install.html
• ログオンスクリプトでインストール
• サードパーティソフトを使ってアプリ配布

43. WorkSpacesクライアント
• サポートするプラットフォーム
– Windows 7以降降
– Mac OS X 10.8.1以降降
– iOS 7.0以降降
– Android 4.2以降降
– Kindle Fire HDXまたはHD 7
• ネットワーク要件
– TCP/UDP 4172
– TCP 443 (HTTPS)
– TCP 22 (SSH)
– RTT 100ms以下を推奨

44. Registration Codeの⼊入⼒力力
• Registration Codeを再
⼊入⼒力力することにより異異
なるディレクトリに接
続することが可能
– Registration Codeはディレ
クトリごとに固有のID

45. ⾔言語の選択とプロキシサポート
• WorkSpacesクライアント
の⾔言語設定
– English
– ⽇日本語
• WorkSpacesクライアント
からプロキシを設定可能
– 社内ネットワークからのプロキシ
接続に対応
– WindowsまたはMac OS X

46. ローカルプリンターのサポート
• WorkSpaceからクライアントPCに接続されて
いるローカルおよびネットワークプリンターに
印刷することが可能
– Mac OS Xは未サポート
– ローカルプリンターは⾃自動的に認識識される
• Cortado ThinPrintやGoogle Cloud Printなど
のクラウド印刷ソリューションも利利⽤用可能

47. Amazon Zocalo Sync（WorkSpaces Sync）
• ローカルのフォルダをWorkSpaceと同期
– ユーザーあたり50GB
– 管理理者により無効化することが可能
• Amazon WorkSpacesとは独⽴立立して動作する
– https://amazonzocalo.com/clientsより
AmazonZocaloSetup.exeを別途導⼊入して実⾏行行
Client Internet Amazon Zocalo WorkSpaces
Sync

48. Amazon Zocalo
• フルマネージド型の企業向け⽂文書保存・共有サービ
ス
– データは暗号化のうえ、指定したリージョンに保管される
– 既存ADとも連携可能なユーザ権限管理理機能を備える
• 1⼈人あたり200GBの容量量を⽉月額5ドルで利利⽤用可能
– 1GBあたり⽉月額0.03ドルの追加料料⾦金金でストレージの増量量にも対応
• WorkSpacesユーザは50GBまで無料料でZocaloを利利⽤用で
きる
（⽉月額2ドルで200GBにアップグレード）

49. Amazon WorkSpacesアップデート
• 以下のリージョンで利利⽤用可能
– US-‐‑‒East-‐‑‒1 (N.Virginia)
– US-‐‑‒West-‐‑‒2 (Oregon)
– EU (Ireland)
– Asia Pacific (Sydney)
• 8/27より東京リージョンでも利利⽤用可能に！
– Asia Pacific (Tokyo)

50. まとめ
• Amazon WorkSpacesは東京リージョンで利利⽤用
可能
– デスクトップ及びクライアントの⽇日本語化
• WorkSpaces Connectにより既存ディレクトリ
との連携が可能
• Amazon Zocaloとの連携でドキュメントの同期
およびバックアップに対応
– 現在東京リージョンではZocalo Syncのみ

51. 参考資料料
• Amazon WorkSpaces Administration Guide
– http://docs.aws.amazon.com/workspaces/latest/adminguide/
what_̲is.html
• Amazon WorkSpacesのよくある質問
– http://aws.amazon.com/jp/workspaces/faqs/
• 料料⾦金金表
– http://aws.amazon.com/jp/glacier/pricing/