Amazon のインフラストラクチャセキュリティ WorkSpaces - Amazon WorkSpaces
ネットワークの隔離物理ホストでの分離企業ユーザーの承認VPC インターフェイスエンドポイント経由で Amazon WorkSpaces API リクエストを行うAmazon のVPCエンドポイントポリシーを作成する WorkSpacesプライベートネットワークを に接続する VPC

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon のインフラストラクチャセキュリティ WorkSpaces

マネージドサービスである Amazon WorkSpaces は グローバル AWS ネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、AWS 「 クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、「 Security Pillar AWS Well‐Architected Framework」の「Infrastructure Protection」を参照してください。

が AWS 公開したAPI呼び出しを使用して、ネットワーク WorkSpaces 経由で にアクセスします。クライアントは以下をサポートする必要があります:

  • Transport Layer Security (TLS)。1TLS.2 が必要で、1.3 TLS をお勧めします。

  • (Ephemeral Diffie-HellmanPFS) や DHE (Elliptic Curve Ephemeral Diffie-Hellman) などの完全前方秘匿性 ECDHE () を備えた暗号スイート。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。

さらに、リクエストは、アクセスキー ID とプリンIAMシパルに関連付けられたシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

ネットワークの隔離

仮想プライベートクラウド (VPC) は、 AWS クラウド内の論理的に隔離された独自のエリアにある仮想ネットワークです。の WorkSpaces プライベートサブネットに をデプロイできますVPC。詳細については、「Personal 用の VPC WorkSpaces を設定する」を参照してください。

特定のアドレス範囲 (企業ネットワークなど) からのトラフィックのみを許可するには、 のセキュリティグループを更新するVPCか、IP アクセスコントロールグループ を使用します。

有効な証明書を使用して、信頼できるデバイス WorkSpace へのアクセスを制限できます。詳細については、「 WorkSpaces Personal の信頼されたデバイスへのアクセスを制限する」を参照してください。

物理ホストでの分離

同じ物理ホスト WorkSpaces 上の異なる は、ハイパーバイザーを介して互いに分離されます。これは、別々の物理ホスト上にあるかのようになります。 WorkSpace が削除されると、ハイパーバイザーによって割り当てられたメモリがスクラブ (ゼロに設定) されてから、新しい に割り当てられます WorkSpace。

企業ユーザーの承認

では WorkSpaces、ディレクトリは を通じて管理されます AWS Directory Service。ユーザー用のスタンドアロンのマネージド型ディレクトリを作成できます。または、既存の Active Directory 環境と統合することもできます。統合した場合、ユーザーは現在の認証情報を使用して社内リソースにシームレスにアクセスできます。詳細については、「 WorkSpaces Personal のディレクトリを管理する」を参照してください。

へのアクセスをさらに制御するには WorkSpaces、多要素認証を使用します。詳細については、「 AWS のサービスで多要素認証を有効にする方法」を参照してください。

VPC インターフェイスエンドポイント経由で Amazon WorkSpaces API リクエストを行う

インターネット経由で接続するのではなく、仮想プライベートクラウド (VPC) のインターフェイスエンドポイントを介して Amazon WorkSpaces API エンドポイントに直接接続できます。VPC インターフェイスエンドポイントを使用すると、 VPCと Amazon WorkSpaces API エンドポイント間の通信は、 AWS ネットワーク内で完全かつ安全に実施されます。

注記

この機能は、エンドポイントへの接続 WorkSpaces APIにのみ使用できます。 WorkSpaces クライアント WorkSpaces を使用して に接続するには、「」で説明されているように、インターネット接続が必要です WorkSpaces Personal の IP アドレスとポートの要件

Amazon WorkSpaces API エンドポイントは、 を使用する Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントをサポートしますAWS PrivateLink。各VPCエンドポイントは、VPCサブネット内のプライベート IP アドレスを持つ 1 つ以上のネットワークインターフェイス (Elastic Network Interface または とも呼ばれますENIs) によって表されます。

VPC インターフェイスエンドポイントは、インターネットゲートウェイ、NATデバイス、VPN接続、または AWS Direct Connect 接続なしで、 を Amazon WorkSpaces API エンドポイントVPCに直接接続します。のインスタンスは、Amazon VPC WorkSpaces API エンドポイントと通信するためにパブリック IP アドレスを必要としません。

インターフェイスエンドポイントを作成して、 または AWS Command Line Interface (AWS CLI) コマンド WorkSpaces を使用して Amazon AWS Management Console に接続できます。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイント を作成したら、 パラメータを使用して Amazon エンドポイントへのインターフェイスエンドポイントを指定する次のCLIコマンド例を使用できます。 endpoint-url WorkSpaces API

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

VPC エンドポイントのプライベートDNSホスト名を有効にする場合、エンドポイント を指定する必要はありませんURL。CLI および Amazon WorkSpaces API がデフォルトで使用する Amazon WorkSpaces SDK DNSホスト名 (https://api.workspaces.Region.amazonaws.com) はVPCエンドポイントに解決されます。

Amazon WorkSpaces API エンドポイント WorkSpacesは、Amazon と Amazon VPC の両方が利用可能なすべての AWS リージョンでVPCエンドポイントをサポートします。Amazon WorkSpaces は、 内のすべてのパブリックAPIsへの呼び出しをサポートしていますVPC。

の詳細については AWS PrivateLink、「」のAWS PrivateLink ドキュメントを参照してください。VPC エンドポイントの料金については、「 のVPC料金」を参照してください。VPC および エンドポイントの詳細については、「Amazon VPC」を参照してください。

リージョン別の Amazon WorkSpaces API エンドポイントのリストを確認するには、WorkSpaces API「エンドポイント」を参照してください。

注記

を使用する Amazon WorkSpaces API エンドポイント AWS PrivateLink は、連邦情報処理標準 (FIPS) Amazon WorkSpaces API エンドポイントではサポートされていません。

Amazon エンドポイントのポリシーを作成してVPC WorkSpaces 、以下を指定できます。

  • アクションを実行できるプリンシパル。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、「Amazon VPCユーザーガイド」のVPC「エンドポイントを使用したサービスへのアクセスの制御」を参照してください。

注記

VPC エンドポイントポリシーは、連邦情報処理標準 (FIPS) Amazon WorkSpaces エンドポイントではサポートされていません。

次のVPCエンドポイントポリシーの例では、VPCインターフェイスエンドポイントにアクセスできるすべてのユーザーが、 という名前の Amazon WorkSpaces ホストエンドポイントを呼び出すことが許可されていることを指定しますws-f9abcdefg

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

この例では、以下のアクションが拒否されます。

  • 以外の Amazon WorkSpaces ホストエンドポイントの呼び出しws-f9abcdefg

  • 指定されたリソース (WorkSpace ID: ) 以外のリソースに対してアクションを実行しますws-f9abcdefg

注記

この例では、ユーザーは の外部から他の Amazon WorkSpaces API アクションを実行できますVPC。内からのAPI呼び出しを制限するにはVPC、アイデンティティベースのポリシーを使用して Amazon WorkSpaces API エンドポイントへのアクセスを制御する方法の詳細については、の Identity and Access Management WorkSpaces「」を参照してください。

を介して Amazon WorkSpaces API を呼び出すにはVPC、 内のインスタンスから接続するかVPC、 AWS Virtual Private Network (AWS VPN) または VPCを使用してプライベートネットワークを に接続する必要があります AWS Direct Connect。詳細については、VPN「Amazon Virtual Private Cloud ユーザーガイド」の「接続」を参照してください。 Amazon Virtual Private Cloud の詳細については AWS Direct Connect、「 ユーザーガイド」の「接続の作成AWS Direct Connect 」を参照してください。