AWS Black Belt Techシリーズ Amazon Workspaces
25 likes7,770 views
AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) Amazon Workspaces
![Amazon WorkSpacesのIAMポリシー
• IAMポリシーでAmazon WorkSpacesのアクセスコント
ロールが可能
{
Version: 2012-10-17,
Statement: [
{
Action: [
workspaces:*,
iam:PassRole,
iam:GetRole,
iam:CreateRole,
iam:PutRolePolicy,
ec2:CreateVpc,
ec2:CreateSubnet,
ec2:CreateNetworkInterface,
ec2:CreateInternetGateway,
ec2:CreateRouteTable,
ec2:CreateRoute,
ec2:CreateTags,
ec2:CreateSecurityGroup,
ec2:DescribeInternetGateways,
ec2:DescribeRouteTables,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeNetworkInterfaces,
ec2:DescribeAvailabilityZones,
ec2:AttachInternetGateway,
ec2:AssociateRouteTable,
ec2:AuthorizeSecurityGroupEgress,
ec2:AuthorizeSecurityGroupIngress,
ec2:DeleteSecurityGroup,
ec2:DeleteNetworkInterface,
ec2:RevokeSecurityGroupEgress,
ec2:RevokeSecurityGroupIngress,
zocalo:RegisterDirectory,
zocalo:DeregisterDirectory,
zocalo:AddUserToGroup,
zocalo:RemoveUserFromGroup
],
Effect: Allow,
Resource: *
}
]
}](https://image.slidesharecdn.com/20140910awsblackbelt-workspaces-140915230356-phpapp02/85/AWS-Black-Belt-Tech-Amazon-Workspaces-39-320.jpg)
AWS Black Belt Techシリーズ Amazon Workspaces
- 1. Amazon WorkSpaces AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) アマゾンデータサービスジャパン株式会社 ソリューションアーキテクト 渡邉源太
- 2. Agenda • Amazon WorkSpacesとは • セットアップ – Quick Setup – Advanced Setup • ディレクトリの選択 – WorkSpaces Cloud Directory – WorkSpaces Connect • インターネットへの接続 • WorkSpacesクライアント – Amazon Zocaloとの連携
- 5. Amazon WorkSpaces • クラウドで動作するフルマネージド型のデスクトップコンピューテ イングサービス • Windows/Mac/iPad/Kindle Fire/Androidタブレットなど任意の デバイスからアクセス • マネジメントコンソールを数回クリックするだけでデスクトップを ユーザー数を問わずに展開可能
- 6. ⾃自社構築 vs. EC2 vs. フルマネージド App installs Scaling High availability Backups s/w patches s/w installs OS patches OS installation Server maintenance Rack stack Power, HVAC, net App installs Scaling High availability Backups s/w patches s/w installs OS patches OS installation Server maintenance Rack stack Power, HVAC, net App installs Scaling High availability Backups s/w patches s/w installs OS patches OS installation Server maintenance Rack stack Power, HVAC, net オンプレミス XenDesktop on AWS WorkSpaces お客様がご担当する作業 AWSが提供するマネージド機能
- 7. WorkSpaces Bundle WorkSpaces Bundle ハードウェア アプリケーション Standard 1 vCPU, 3.75 GiB Memory, 50 GB User Storage ユーティリティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash) Standard Plus 1 vCPU, 3.75 GiB Memory, 50 GB User Storage Microsoft Office Professional 2010, Trend Microビジネスセ キュリティクライアント, ユーティ リティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash) Performance 2 vCPU, 7.5 GiB Memory, 100 GB User Storage ユーティリティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash) Performance Plus 2 vCPU, 7.5 GiB Memory, 100 GB User Storage Microsoft Office Professional 2010, Trend Microビジネスセ キュリティクライアント, ユーティ リティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash)
- 8. Amazon WorkSpacesセットアップ • Quick Setup – 必要な環境を⾃自動的に作成 – 20分でWorkSpaceを利利⽤用可能 – 初回セットアップ時のみ • Advanced Setup – VPCやディレクトリの選択が可能 – 社内Active Directoryとの統合
- 9. Quick Setup • WorkSpacesバンドルを選択 • ユーザーを作成してワークスペースのプロビジョンを開始
- 10. WorkSpaceのステータス確認 • 20分ほどでStatusが「Pending」から 「Running」に変わったら完了了 • ユーザーにメールで通知される
- 11. メールの受信とユーザーの登録 • メールを受信したらリンク先をブラウザで開い てパスワードを設定
- 13. WorkSpacesへの接続
- 14. Quick Setupで実⾏行行されるプロセス WorkSpaces 用のVPCを作 成 VPC内にユー ザーと WorkSpace 管理用のディ レクトリをセッ トアップ ディレクトリ管 理者アカウン トの作成 ユーザーアカ ウントの作成 とディレクトリ への追加 WorkSpaceイ ンスタンスの 作成 ユーザーへの 招待メールの 送信
- 15. Quick Setupで作成される環境 ・・・ VPC Subnet Availability Zone ・・・ Availability Zone Virtual Private Cloud AWS Cloud Internet Gateway Domain Controller VPC Subnet Domain Controller WorkSpaces WorkSpaces WorkSpaces WorkSpaces Client Mobile Client Internet
- 16. Advanced Setup • 既存のVPCやオンプレミスのActive Directory との連携を⾏行行う場合はこちらを選択 • 以下の⼿手順を⼿手動で⾏行行う – WorkSpaces⽤用のVPCの作成 – ディレクトリの作成 – WorkSpaceのプロビジョニング
- 17. ディレクトリの選択 • WorkSpaces Cloud Directory – ⾃自社に Active Directory の管理理者が不不在のユーザー向け – ディレクトリ サービスの管理理は AWS にお任せ – すぐに WorkSpaces を使いたい場合に利利⽤用 • WorkSpaces Connect – 社内の Active Directory 環境と連携 – 既存のユーザーやグループによる権限付与 – グループ ポリシーによる集中管理理
- 18. WorkSpaces Cloud Directory • ドメインと管理理者アカウントを作成する – Organization Name – Directory DNS – NetBIOS Name – Administrator Password • ディレクトリを作成するVPCを選択 – VPCには異異なる Availability Zoneに 2つ以上の Subnet が 存在する必要がある
- 19. 作成された Cloud Directory • ディレクトリ サービスは Multi-‐‑‒AZ 構成で複数の Subnet に 展開される – EC2 インスタンスとしては表⽰示されない • Active Directory の管理理ツールから操作可能 – Redircmp.exe – イベント ビューア – Active Directory ユーザーとコンピュータ Domain Controller Domain Controller Availability Zone Availability Zone Virtual Private Cloud
- 20. ディレクトリの管理理 • Active Directory 管理理ツールをインストールすることに より WorkSpaces Cloud Directory の管理理が可能 – %SystemRoot%system32dsa.msc
- 21. Security Group の設定 • Domain Controller ⽤用および WorkSpaces ⽤用 の Security Group は⾃自動的に作成される – organization name_̲controllers – organization name_̲workspacesMembers • EC2 Console から確認及び設定変更更が可能 • Workspacesからドメインにログオンできるよ うにドメインコントローラとの通信はデフォル トで許可済み
- 22. (参考)Security Groupの設定 • ドメイン コントローラーと疎通を⾏行行うために、以下の ポートの開放が必要 TCP 53 DNS TCP 88 Kerberos TCP 135 Endpoint Mapper TCP 389 LDAP TCP 445 SMB TCP 464 KPassWD TCP 636 LDAPS TCP 1024-65535 RPC が使用する動的ポート ※ UDP 53 DNS UDP 88 Kerberos UDP 123 NTP UDP 138 Endpoint Mapper UDP 389 LDAP UDP 445 SMB UDP 464 KPassWD • RPC が使⽤用する動的ポートが Windows の バージョンによって異異なるため、⾃自社の環 境に合わせて設定 • Windows のサービス概要およびネットワーク ポート要件 http://support.microsoft.com/kb/832017/ja • Windows Vista および Windows Server 2008 では TCP/IP の既定の動的ポート範囲が変更更されている http://support.microsoft.com/kb/929851/ja
- 23. ディレクトリ設定 • Organizational Unit(OU) – デフォルトでは Computer OU にコンピュータが作成される – 特定の OU を指定して変更更することが可能 • Security Group – WorkSpaces の Security Group を指定 – デフォルトの Security Group とあわせて有効になる
- 24. WorkSpaces Connect • Active Directory と接続してディレクトリ認証を ⾏行行う仕組み • 前提として必要となるもの – Amazon VPC • Internet Gateway • オンプレミス上の Active Directory と連携させる場合、VPN 接続 または Direct Connect – ドメイン アカウント • ユーザーとグループへの読み取り • コンピュータ アカウントの作成 – DNS サーバー/ドメインコントローラー 2 台の IP アドレス
- 25. 社内ディレクトリとの統合 Subnet 1 AZ ‘A’ Subnet 2 AZ ‘B’ Workspaces API End-point Customer Network VPN Connection Public IP OAuth Gateway Secure Auth (443) Public IP WorkSpaces Connect WS User1 Public IP WS User2 On-premises Domain Controllers Directory Join Directory Join WorkSpaces Connect On-premises Resources
- 26. WorkSpaces Connect の作成 • Active Directory ドメイン情報を⼊入⼒力力 – Organization Name – Directory DNS – NetBIOS Name – Account username – Administrator Password • ディレクトリを作成する VPC を選択 – VPCには異異なる Availability Zone に 2つ以上の Subnet が存 在する必要がある
- 27. 作成された WorkSpaces Connect • VPC 上に認証⽤用プロキシが作成される – プロキシを経由してドメイン コントローラーに対して認証 – 既存のユーザー認証およびポリシーを適⽤用可能 WorkSpaces Connect WorkSpaces Connect Availability Zone Availability Zone Virtual Private Cloud VPN Gateway Customer Gateway Domain Controller Corporate Data center
- 28. Multi-‐‑‒Factor Authentication • オンプレミスの RADIUS サーバーを利利⽤用した 多要素認証(MFA)に対応 – ユーザー名とパスワードに加えてワンタイム パスワード等の 利利⽤用が可能 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Server でテスト済 – PAP/CHAP/MS-‐‑‒CHAP1/MS-‐‑‒CHAP2 をサポート
- 29. (例例) Google Authenticatorを使った⽅方法 • スマートフォンに無料料でインストールできる Google Authenticator をソフトウェアトークンとして使⽤用する。 • サーバ側は、オープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させて実現させる。 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
- 30. 認証の流流れ -‐‑‒ 1 • デバイスで初回使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
- 31. 認証の流流れ -‐‑‒ 2 • Active Directoryで使っている のと同じユーザ名とパスワード を⼊入⼒力力します。
- 32. 認証の流流れ -‐‑‒ 3 • トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
- 33. ネットワークインターフェース • それぞれのWorkSpaceは2つのネットワークイン ターフェース(ENI)をもつ – VPCおよびインターネット接続⽤用ネットワーク – WorkSpace管理理⽤用および画⾯面転送⽤用ネットワーク • 管理理⽤用ネットワークでは以下のポートを利利⽤用する – インバウンド • TCP/UDP 4172 • TCP 8200 – アウトバウンド • UDP 55000
- 34. インターネットへの接続 • WorkSpacesがインターネット接続するために はNATインスタンスもしくはEIPの付与が必要 – Cloud Directory NAT Instanceパターン – Connected Directory NAT Instanceパターン – On-‐‑‒Premise Firewallパターン – Elastic IP Addressパターン
- 35. 構成1:Cloud Directory NAT Instanceパターン • NATインスタンスを経由してインターネットへ アクセス Router Availability Zone Availability ZoneVirtual Private Cloud AWS Cloud NAT Internet Gateway Internet
- 36. 構成2:Connected Directory NAT Instanceパター ン • インターネットと社内リソースの両⽅方にアクセ スすることが可能 Router Availability Zone Availability ZoneVirtual Private Cloud AWS Cloud NAT Internet Gateway Internet Virtual Private Gateway VPN Connection Customer Gateway Corporate Data center
- 37. 構成3:On-‐‑‒Premise Firewallパターン • インターネットへの接続ポリシーをオンプレミ スのファイアウォールでコントロール可能 Virtual Private Cloud AWS Cloud Availability Zone Availability Zone Router Virtual Private Gateway VPN Connection Customer Gateway Internet Corporate Data center
- 38. 構成4:EIP(Elastic IP Address)パターン • WorkSpacesのENIに直接EIPを付与することで 直接インターネットアクセスへ可能 Availability ZoneVirtual Private Cloud AWS Cloud Availability Zone Router Internet Gateway Internet
- 39. Amazon WorkSpacesのIAMポリシー • IAMポリシーでAmazon WorkSpacesのアクセスコント ロールが可能 { Version: 2012-10-17, Statement: [ { Action: [ workspaces:*, iam:PassRole, iam:GetRole, iam:CreateRole, iam:PutRolePolicy, ec2:CreateVpc, ec2:CreateSubnet, ec2:CreateNetworkInterface, ec2:CreateInternetGateway, ec2:CreateRouteTable, ec2:CreateRoute, ec2:CreateTags, ec2:CreateSecurityGroup, ec2:DescribeInternetGateways, ec2:DescribeRouteTables, ec2:DescribeVpcs, ec2:DescribeSubnets, ec2:DescribeNetworkInterfaces, ec2:DescribeAvailabilityZones, ec2:AttachInternetGateway, ec2:AssociateRouteTable, ec2:AuthorizeSecurityGroupEgress, ec2:AuthorizeSecurityGroupIngress, ec2:DeleteSecurityGroup, ec2:DeleteNetworkInterface, ec2:RevokeSecurityGroupEgress, ec2:RevokeSecurityGroupIngress, zocalo:RegisterDirectory, zocalo:DeregisterDirectory, zocalo:AddUserToGroup, zocalo:RemoveUserFromGroup ], Effect: Allow, Resource: * } ] }
- 40. WorkSpaces のポリシー管理理・パッチ管理理 • WorkSpaces クライアントは Active Directory ドメインのコンピュータとして管理理される – 既存の管理理ツールを利利⽤用しての管理理 – VPC 内に EC2 インスタンスとして管理理サーバーを配置する ことも可能 Domain Controller VPC Subnet WSUS WorkSpace Server Availability Zone Virtual Private Cloud Customer Gateway 管理サーバー Corporate Data center VPN Gateway
- 41. Tips – ローカルポリシー • WorkSpaceには以下のポリシーがデフォルトで適 ⽤用済み – コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム – ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル – 個⼈人設定
- 42. Tips – ソフトウェア配布 • WSUSを使ってWindowsパッチ適⽤用を管理理 • グループポリシーを使ったアプリ配布 (.msi / .zip) http://docs.aws.amazon.com/workspaces/latest/adminguide/ gpo_̲app_̲install.html • ログオンスクリプトでインストール • サードパーティソフトを使ってアプリ配布
- 43. WorkSpacesクライアント • サポートするプラットフォーム – Windows 7以降降 – Mac OS X 10.8.1以降降 – iOS 7.0以降降 – Android 4.2以降降 – Kindle Fire HDXまたはHD 7 • ネットワーク要件 – TCP/UDP 4172 – TCP 443 (HTTPS) – TCP 22 (SSH) – RTT 100ms以下を推奨
- 44. Registration Codeの⼊入⼒力力 • Registration Codeを再 ⼊入⼒力力することにより異異 なるディレクトリに接 続することが可能 – Registration Codeはディレ クトリごとに固有のID
- 45. ⾔言語の選択とプロキシサポート • WorkSpacesクライアント の⾔言語設定 – English – ⽇日本語 • WorkSpacesクライアント からプロキシを設定可能 – 社内ネットワークからのプロキシ 接続に対応 – WindowsまたはMac OS X
- 46. ローカルプリンターのサポート • WorkSpaceからクライアントPCに接続されて いるローカルおよびネットワークプリンターに 印刷することが可能 – Mac OS Xは未サポート – ローカルプリンターは⾃自動的に認識識される • Cortado ThinPrintやGoogle Cloud Printなど のクラウド印刷ソリューションも利利⽤用可能
- 47. Amazon Zocalo Sync(WorkSpaces Sync) • ローカルのフォルダをWorkSpaceと同期 – ユーザーあたり50GB – 管理理者により無効化することが可能 • Amazon WorkSpacesとは独⽴立立して動作する – https://amazonzocalo.com/clientsより AmazonZocaloSetup.exeを別途導⼊入して実⾏行行 Client Internet Amazon Zocalo WorkSpaces Sync
- 48. Amazon Zocalo • フルマネージド型の企業向け⽂文書保存・共有サービ ス – データは暗号化のうえ、指定したリージョンに保管される – 既存ADとも連携可能なユーザ権限管理理機能を備える • 1⼈人あたり200GBの容量量を⽉月額5ドルで利利⽤用可能 – 1GBあたり⽉月額0.03ドルの追加料料⾦金金でストレージの増量量にも対応 • WorkSpacesユーザは50GBまで無料料でZocaloを利利⽤用で きる (⽉月額2ドルで200GBにアップグレード)
- 49. Amazon WorkSpacesアップデート • 以下のリージョンで利利⽤用可能 – US-‐‑‒East-‐‑‒1 (N.Virginia) – US-‐‑‒West-‐‑‒2 (Oregon) – EU (Ireland) – Asia Pacific (Sydney) • 8/27より東京リージョンでも利利⽤用可能に! – Asia Pacific (Tokyo)
- 50. まとめ • Amazon WorkSpacesは東京リージョンで利利⽤用 可能 – デスクトップ及びクライアントの⽇日本語化 • WorkSpaces Connectにより既存ディレクトリ との連携が可能 • Amazon Zocaloとの連携でドキュメントの同期 およびバックアップに対応 – 現在東京リージョンではZocalo Syncのみ
- 51. 参考資料料 • Amazon WorkSpaces Administration Guide – http://docs.aws.amazon.com/workspaces/latest/adminguide/ what_̲is.html • Amazon WorkSpacesのよくある質問 – http://aws.amazon.com/jp/workspaces/faqs/ • 料料⾦金金表 – http://aws.amazon.com/jp/glacier/pricing/