ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

これから学ぶ Amazon WorkSpaces③~ディレクトリ~

AWS WorkSpaces

はじめに

こんにちは!クラウドインテグレーション事業部
北原雅人(Kitahara Masato)です!

これから学ぶ Amazon WorkSpacesシリーズとして、
フォージビジョンエンジニアブログに投稿していきたいと思います。

本日は第3弾である「これから学ぶ Amazon WorkSpaces③~ディレクトリ~」を
投稿します!

Amazon WorkSpaces ディレクトリについて

WorkSpacesを構築する上で必要なものがActiveDirectoryになります。
その中でAWSにて提供しているディレクトリサービスは3種類あります。

 ・SimpleAD(Simple Active Directory)
 ・MSAD(Direcory Service for Microsoft Active Directory)
 ・AD Connector(Active Directory Connector)

※条件はありますが、WorkSpacesと一緒に使うと
SimpleADとAD Connectorは無料で使えます。
AD Connectorは既存AD側のお金は掛かります。

https://aws.amazon.com/jp/directoryservice/other-directories-pricing/

各ディレクトリに関する説明を実施します。

SimpleAD

SimpleADを利用した際の構成のポイントは以下の通りです
 ・Simple ADでユーザを管理
 ・Simple ADについては、AWSフルマネージドサービスであるため、
  ユーザにて管理不要
 ・冗長化構成を行うことが出来、可用性が高い
 ・Simple AD(単体)では、ADポリシーを定義することが出来ないため、
  ユーザの統制については実質出来ない
  ※厳密にはWindowsServerでドメイン参加すれば管理は可能

→小規模でWorkSpacesを始めてみたい人向け

MSAD

MSADを利用した際の構成のポイントは以下の通りです
 ・ADのポリシーを利用したいが、既存のADは利用したくない場合に、
  MSADで新規リポジトリとすることが可能
 ・MSADについては、 AWSフルマネージドサービスであるため、
  利用ユーザにてサーバ自体の管理は不要
 ・冗長化構成を行うことが出来、可用性が高い
 ・MSADについてはAD設定を実施するためのツールが必要。
  本サービス利用時、WorkSpacesにMSAD管理ツールを導入を
  実施する事でADの設定が可能

→ADポリシーでユーザ統制を取るが既存ADを利用しないパターン

AD Connector

AD Connectorを利用した際の構成のポイントは以下の通りです
 ・既存のユーザ管理、ADを踏襲したい
 ・AD Connectorはハブの為、既存ADについては、
  ユーザで管理が必要※既存ADがシングルの場合単一障害点になりうる
 ・ユーザ管理、およびADポリシーについては既存ADにて管理を実施
 ・AD ConnectorとADとの疎通に関してオンプレの場合、専用線や
  VPN接続が必要となる

→既存のオンプレミス環境と同じポリシー、ユーザで管理を行う場合に選ぶ

ディレクトリサービスの機能について

ディレクトリサービスの機能については以下8つがあります。

1.ターゲットドメインと組織ユニット
2.セキュリティグループ
3.インターネットへのアクセス
4.アクセス制御のオプション
5.ローカル管理者の設定
6.IPアクセスコントロールグループ
7.メンテナンスモード
8.ユーザーセルフサービスアクセス許可

それぞれについて解説します。

①ターゲットドメインと組織ユニット
 こちらの設定ではWorkSpacesをどのOUに作成するか
 設定する箇所になります。デフォルトではComputers直下に作成されます。

②セキュリティグループ
 デフォルトのディレクトリコントローラーとやり取りする
 セキュリティグループ以外にWorkSpaces単体でログイン制御を
 実施する場合に設定する項目です。
 基本的にWorkSpacesのクラウドの利便性を損なうものなので、
 設定はしません。

③インターネットへのアクセス
 作成されたWorkSpaces自身がパブリックIPアドレスを保持して
 インターネットゲートウェイから直接インターネットにアウト
 バウンドする場合は有効化します。AD Connector等でVPN経由で
 インターネットに出る場合は無効化を推奨します。

④アクセス制御のオプション
 各クライアント等のアクセスを制御するオプションになります。
 デフォルトではWebアクセスは無効化されているので利用する場合は
 有効化してください。また、クライアント証明書等で利用制限をする場合も
 こちらにルート証明書をインポートして利用してください。

⑤ローカル管理者の設定
 作成されたWorkSpaces自身のローカルAdmin権限の付与についての設定です。
 アプリケーションを構築し、ゴールデンイメージを配布後にユーザに管理者
 権限を渡したくない場合はこちらの設定を無効化してください。

⑥IPアクセスコントロールグループ
 こちらの設定ではディレクトリ全体でWorkSpacesにアクセスする為の
 ソースIP制限を実施する事が可能となります。
 拠点等にアクセスソースIPを制限するエンタープライズのユーザの場合は
 設定する必要がありますが、これもVDIの利用幅が狭くなることから
 実装経験はありません。

⑦メンテナンスモード
起動タイプに応じて動作が変わります。

・[Auto Stop]
 利用していない場合に停止しているWorkSpacesの
 WindowsUpdateを毎月1回自動起動して実施し、最新の更新プログラムを
 適用する機能になります

・[Always On]
 動作中のWorkSpacesに自動アップデートが入ります。
 WindowsUpdateの制御はグループポリシーで有無を設定可能です。

⑧ユーザーセルフサービスアクセス許可
 ユーザ自身がセルフサービス機能で様々な変更が行える項目です。
 ディレクトリの有効化を実施した際に有効化した場合は全て有効化と
 なっている為、設定に注意が必要な項目になります。
 管理者は要チェックです。

最後に

皆さんいかがでしたでしょうか。

次回は「これから学ぶ Amazon WorkSpaces④~最新アップデート~」
をお届けします!