View a markdown version of this page

Amazon WorkSpaces でのテスト設定 - AWS マネジメントコンソール

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon WorkSpaces でのテスト設定

Amazon WorkSpaces を使用すると、Microsoft Windows、Amazon Linux、または Ubuntu Linux をユーザー用のクラウドベースの仮想デスクトップ (WorkSpaces と呼ばれます) として プロビジョニングできます。必要に応じてユーザーをすばやく追加または削除できます。ユーザーは、複数のデバイスまたはウェブブラウザから仮想デスクトップにアクセスできます。WorkSpaces の詳細については、「Amazon WorkSpaces 管理ガイド」を参照してください。

このセクションの例では、ユーザー環境が WorkSpace で実行されているウェブブラウザを使用してAWS マネジメントコンソールプライベートアクセスにサインインするテスト環境について説明します。次に、ユーザーは Amazon Simple Storage Service コンソールにアクセスします。この WorkSpace は、VPC 接続ネットワーク上のラップトップを使用して、ブラウザAWS マネジメントコンソールから にアクセスする企業ユーザーのエクスペリエンスをシミュレートすることを目的としています。

このチュートリアルではAWS CloudFormation、 を使用してネットワーク設定と WorkSpaces で使用する Simple Active Directory を作成および設定し、 を使用して WorkSpace をセットアップする手順を示しますAWS マネジメントコンソール。

次の図は、WorkSpace を使用して AWS マネジメントコンソール プライベートアクセス設定をテストするためのワークフローを示しています。クライアントの WorkSpace、Amazon が管理する VPC、および顧客が管理する VPC の関係を示しています。

Amazon WorkSpaces を使用してAWS マネジメントコンソールプライベートアクセスをテストするためのセットアップ設定。

次のCloudFormationテンプレートをコピーして、ネットワークをセットアップする手順のステップ 3 で使用するファイルに保存します。

Description: | AWS Management Console Private Access. Parameters: VpcCIDR: Type: String Default: 172.16.0.0/16 Description: CIDR range for VPC PrivateSubnet1CIDR: Type: String Default: 172.16.1.0/24 Description: CIDR range for Private Subnet 1 PrivateSubnet2CIDR: Type: String Default: 172.16.2.0/24 Description: CIDR range for Private Subnet 2 DSAdminPasswordResourceName: Type: String Default: ADAdminSecret Description: Password for directory services admin Resources: ######################### # VPC AND SUBNETS ######################### AppVPC: Type: AWS::EC2::VPC Properties: CidrBlock: !Ref VpcCIDR InstanceTenancy: default EnableDnsSupport: true EnableDnsHostnames: true PrivateSubnet1: Type: AWS::EC2::Subnet Properties: VpcId: !Ref AppVPC CidrBlock: !Ref PrivateSubnet1CIDR AvailabilityZone: Fn::Select: - 0 - Fn::GetAZs: "" PrivateSubnet2: Type: AWS::EC2::Subnet Properties: VpcId: !Ref AppVPC CidrBlock: !Ref PrivateSubnet2CIDR AvailabilityZone: Fn::Select: - 1 - Fn::GetAZs: "" ######################### # Route Tables ######################### PrivateRouteTable: Type: AWS::EC2::RouteTable Properties: VpcId: !Ref AppVPC PrivateSubnet1RouteTableAssociation: Type: AWS::EC2::SubnetRouteTableAssociation Properties: RouteTableId: !Ref PrivateRouteTable SubnetId: !Ref PrivateSubnet1 PrivateSubnet2RouteTableAssociation: Type: AWS::EC2::SubnetRouteTableAssociation Properties: RouteTableId: !Ref PrivateRouteTable SubnetId: !Ref PrivateSubnet2 ######################### # SECURITY GROUPS ######################### VPCEndpointSecurityGroup: Type: AWS::EC2::SecurityGroup Properties: GroupDescription: Allow TLS for VPC Endpoint VpcId: !Ref AppVPC SecurityGroupIngress: - IpProtocol: tcp FromPort: 443 ToPort: 443 CidrIp: !GetAtt AppVPC.CidrBlock ######################### # VPC ENDPOINTS ######################### VPCEndpointInterfaceSignin: Type: AWS::EC2::VPCEndpoint Properties: VpcEndpointType: Interface PrivateDnsEnabled: true SubnetIds: - !Ref PrivateSubnet1 - !Ref PrivateSubnet2 SecurityGroupIds: - !Ref VPCEndpointSecurityGroup ServiceName: !Sub com.amazonaws.${AWS::Region}.signin VpcId: !Ref AppVPC PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: '*' Action: signin:Authenticate Resource: '*' Condition: StringEquals: aws:ResourceAccount: !Ref AWS::AccountId - Effect: Allow Principal: '*' Action: - signin:AuthorizeOAuth2Access - signin:CreateOAuth2Token Resource: '*' Condition: StringEquals: aws:PrincipalAccount: !Ref AWS::AccountId VPCEndpointInterfaceConsole: Type: AWS::EC2::VPCEndpoint Properties: VpcEndpointType: Interface PrivateDnsEnabled: true SubnetIds: - !Ref PrivateSubnet1 - !Ref PrivateSubnet2 SecurityGroupIds: - !Ref VPCEndpointSecurityGroup ServiceName: !Sub com.amazonaws.${AWS::Region}.console VpcId: !Ref AppVPC PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: '*' Action: '*' Resource: '*' Condition: StringEquals: aws:PrincipalAccount: !Ref AWS::AccountId aws:ResourceAccount: !Ref AWS::AccountId aws:SourceVpc: !Ref AppVPC - Effect: Deny Principal: '*' Action: '*' Resource: '*' Condition: StringNotEquals: aws:PrincipalAccount: !Ref AWS::AccountId aws:ResourceAccount: !Ref AWS::AccountId aws:SourceVpc: !Ref AppVPC VPCEndpointInterfaceConsoleStatic: # console-static only supports the full access endpoint policy Type: AWS::EC2::VPCEndpoint Properties: VpcEndpointType: Interface PrivateDnsEnabled: true SubnetIds: - !Ref PrivateSubnet1 - !Ref PrivateSubnet2 SecurityGroupIds: - !Ref VPCEndpointSecurityGroup ServiceName: !Sub com.amazonaws.${AWS::Region}.console-static VpcId: !Ref AppVPC ######################### # WORKSPACE RESOURCES ######################### ADAdminSecret: Type: AWS::SecretsManager::Secret Properties: Name: !Ref DSAdminPasswordResourceName Description: Password for directory services admin GenerateSecretString: SecretStringTemplate: '{"username": "Admin"}' GenerateStringKey: password PasswordLength: 30 ExcludeCharacters: '"@/\' WorkspaceSimpleDirectory: Type: AWS::DirectoryService::SimpleAD Properties: Name: corp.awsconsole.com Password: Fn::Sub: "{{resolve:secretsmanager:${DSAdminPasswordResourceName}:SecretString:password}}" Size: Small VpcSettings: SubnetIds: - !Ref PrivateSubnet1 - !Ref PrivateSubnet2 VpcId: !Ref AppVPC Outputs: PrivateSubnet1: Description: Private Subnet 1 Value: !Ref PrivateSubnet1 PrivateSubnet2: Description: Private Subnet 2 Value: !Ref PrivateSubnet2 WorkspaceSimpleDirectory: Description: Directory to be used for Workspaces Value: !Ref WorkspaceSimpleDirectory WorkspacesAdminPassword: Description: The ARN of the Workspaces admin's password. Navigate to the Secrets Manager in the AWS Console to view the value. Value: !Ref ADAdminSecret
注記

このテスト設定は、米国東部 (バージニア北部) (us-east-1) リージョンで実行するように設計されています。

ネットワークを設定するには
  1. 組織の管理アカウントにサインインして、CloudFormation コンソールを開きます。

  2. [スタックの作成] を選択してください。

  3. [With new resources (standard)] (新しいリソースの使用 (標準)) を選択します。以前に作成したCloudFormationテンプレートファイルをアップロードし、次へを選択します。

  4. PrivateConsoleNetworkForS3 などスタックの名前を入力し、[次へ] を選択します。

  5. VPC とサブネットの場合、希望する IP CIDR 範囲を入力するか、指定されたデフォルト値を使用してください。デフォルト値を使用する場合は、 の既存の VPC リソースと重複していないことを確認しますAWS アカウント。

  6. [スタックの作成] を選択してください。

  7. スタックが作成されたら、[リソース] タブを選択して、作成されたリソースを表示します。

  8. [出力] タブを選択すると、プライベートサブネットと Workspace Simple Directory の値が表示されます。これらの値は、次に示す WorkSpace の作成および設定手順のステップ 4 で使用するため、書き留めておいてください。

次のスクリーンショットは、プライベートサブネットと Workspace Simple Directory の値が表示された [出力] タブのビューを示しています。

プライベートサブネットと Workspace Simple Directory および対応する値。

ネットワークが作成できたので、以下の手順に従って WorkSpace を作成してアクセスします。

WorkSpace を作成するには
  1. [WorkSpaces コンソール] を開きます。

  2. ナビゲーションペインで [ディレクトリ] を選択します。

  3. [ディレクトリ] ページで、ディレクトリのステータスが [アクティブ] であることを確認します。次のスクリーンショットは、アクティブディレクトリを含む [ディレクトリ] ページを示しています。

    [ディレクトリ] ページには、ステータスがアクティブなディレクトリのエントリが表示されます。
  4. WorkSpaces のディレクトリを使用するには、そのディレクトリを登録する必要があります。ナビゲーションペインで [WorkSpaces] を選択し、[WorkSpaces の作成] を選択します。

  5. [ディレクトリを選択] で、前の手順で CloudFormation が作成したディレクトリを選択します。[アクション] メニューで、[登録] を選択します。

  6. サブネット選択については、前の手順のステップ 9 で説明した 2 つのプライベートサブネットを選択します。

  7. [セルフサービス許可を有効化] を選択し、[登録] を選択します。

  8. ディレクトリを登録したら、WorkSpace の作成を続行します。登録したディレクトリを選択し、[次へ] を選択します。

  9. [ユーザーの作成] ページで、[追加ユーザーの作成] を選択します。名前とE メールアドレスを入力して、WorkSpace を使用できるようにします。WorkSpace のログイン情報がこの E メールアドレスに送信されるときに、E メールアドレスが有効であることを確認します。

  10. [次へ] をクリックします。

  11. [ユーザーの識別] ページで、手順 9 で作成したユーザーを選択し、[次へ] を選択します。

  12. [バンドルの選択] ページで、[Amazon Linux 2 のスタンダード][次へ] の順に選択します。

  13. 実行モードとユーザーカスタマイズにデフォルト設定を使用し、次に [ワークスペースを作成] を選択します。WorkSpace のステータスは Pending で始まり、約 20 分以内に Available ステータスに移行します。

  14. WorkSpace が利用可能になると、手順 9 で指定した E メールアドレスに WorkSpace へのアクセス方法が記載されたメールが届きます。

WorkSpace にサインインした後、AWS マネジメントコンソール プライベートアクセスを使用してアクセスしていることをテストできます。

WorkSpace にアクセスするには
  1. 前の手順のステップ 14 で受信した E メールを開きます。

  2. E メールに記載されている固有のリンクを選択してプロファイルを設定し、WorkSpaces クライアントをダウンロードします。

  3. パスワードを設定します。

  4. 任意のクライアントをダウンロードします。

  5. クライアントをインストールして起動します。E メールに記載されている登録コードを入力して、[登録] を選択します。

  6. ステップ 3 で作成した認証情報を使用して Amazon WorkSpaces にサインインします。

AWS マネジメントコンソールプライベートアクセスのセットアップをテストするには
  1. WorkSpace からブラウザを開きます。次に、AWS マネジメントコンソールに移動し、認証情報を使用してサインインします。

    注記

    Firefox をブラウザとして使用している場合は、ブラウザの設定で [DNS over HTTPS を有効にする] オプションがオフになっていることを確認してください。

  2. プライベートアクセスを使用して接続していることを確認できる Amazon S3 コンソールを開きます。AWS マネジメントコンソール

  3. ナビゲーションバーのロックプライベートアイコンを選択すると、使用中の VPC と VPC エンドポイントが表示されます。次のスクリーンショットは、ロックプライベートアイコンの場所と VPC 情報を示しています。

    ロック/プライベートアイコンの場所とプライベートアクセス情報を示す Amazon S3 AWS マネジメントコンソールコンソール。