WorkSpaces Personal で Amazon Linux WorkSpaces を管理する

Windows WorkSpaces と同様に、Amazon Linux WorkSpaces はドメイン結合されているため、Active Directory ユーザーとグループを使用して以下を実行できます。

Amazon Linux WorkSpaces を管理する
ユーザーにこれらの WorkSpaces へのアクセスを許可する

Linux インスタンスはグループポリシーに従っていないため、設定管理ソリューションを使用してポリシーの配信と適用を行うことをお勧めします。例えば、AWS OpsWorks for Chef Automate、AWS OpsWorks for Puppet Enterprise、または Ansible を使用できます。

注記

ローカルプリンターのリダイレクトは Amazon Linux WorkSpaces ではご利用になれません。

Amazon Linux WorkSpaces で DCV の動作を制御する

DCV の動作は、/etc/wsp/ ディレクトリにある wsp.conf ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

注記

誤った変更またはサポートされていない変更を wsp.conf ファイルに加えた場合、ポリシー変更は WorkSpaces に新たに確立された接続に適用されない場合があります。
現在、Amazon Linux WorkSpaces DCV バンドルには、次の制限があります。
- 現在、AWS GovCloud (米国西部) および AWS GovCloud (米国東部) でのみ利用できます。
- 動画入力はサポートされていません。
- 画面ロック時のセッション切断はサポートされていません。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

DCV Amazon Linux WorkSpaces のクリップボードリダイレクトを設定する

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。この設定は、WorkSpace を切断して再接続したときに有効になります。

DCV Amazon Linux WorkSpaces のクリップボードリダイレクトを設定するには

次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
```
```
clipboard = X
```
X に指定できる値は以下のとおりです。

enabled – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

disabled – クリップボードリダイレクトは両方向ともに無効です

paste-only – クリップボードリダイレクトは有効ですが、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップに貼り付けることのみが可能です。

copy-only – クリップボードリダイレクトは有効ですが、リモートホストデスクトップからコンテンツをコピーし、ローカルクライアントデバイスに貼り付けることのみが可能です。

DCV Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にする

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。必要に応じて、DCV 設定ファイルを使用してこの機能を無効にします。この設定は、WorkSpace を切断して再接続したときに有効になります。

DCV Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには

次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
```
ファイルの末尾に次の行を追加します。
```
audio-in = X
```
X に指定できる値は以下のとおりです。

enabled – オーディオ入力リダイレクトは有効です (デフォルト)

disabled – オーディオ入力リダイレクトは無効です

DCV Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にする

デフォルトでは、WorkSpaces 内の時間は、WorkSpaces への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。

会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

必要に応じて、DCV 設定ファイルを使用してこの機能を設定します。この設定は、WorkSpace を切断して再接続した後に有効になります。

DCV Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには

次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf
```
ファイルの末尾に次の行を追加します。
```
timezone_redirect= X
```
X に指定できる値は以下のとおりです。

[enabled] (有効) — タイムゾーンのリダイレクトは有効です (デフォルト)

disabled (無効) — タイムゾーンのリダイレクトは無効です

Amazon Linux WorkSpaces で PCoIP エージェントの動作を制御する

PCoIP Agent の動作は、pcoip-agent.conf ディレクトリにある /etc/pcoip-agent/ ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。エージェントを再起動すると、開いている接続がすべて終了されウィンドウマネージャーが再起動されます。変更を適用するには、WorkSpace を再起動することをお勧めします。

注記

pcoip-agent.conf ファイルに正しくない変更またはサポートされていない変更を加えた場合、WorkSpace が動作しなくなる可能性があります。WorkSpace が動作しなくなった場合は、SSH を使用して WorkSpace に接続して変更をロールバックするか、WorkSpace を再構築する必要がある場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。利用可能な設定の一覧については、Amazon Linux WorkSpace のターミナルから man pcoip-agent.conf を実行します。

PCoIP Amazon Linux WorkSpaces のクリップボードリダイレクトを設定する

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

PCoIP Amazon Linux WorkSpaces のクリップボードリダイレクトを設定するには

次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
```
ファイルの末尾に次の行を追加します。
```
pcoip.server_clipboard_state = X
```
X に指定できる値は以下のとおりです。

0 – クリップボードリダイレクトは両方向ともに無効です

1 – クリップボードリダイレクトは両方向ともに有効です

2 – クリップボードリダイレクトはクライアントからエージェントへのみ有効です (ローカルクライアントデバイスからリモートホストデスクトップへのコピーと貼り付けのみを許可)

3 – クリップボードリダイレクトはエージェントからクライアントへのみ有効です (リモートホストデスクトップからローカルクライアントデバイスへのコピーと貼り付けのみを許可)

注記

クリップボードのリダイレクトは仮想チャネルとして実装されます。仮想チャンネルが無効になっている場合、クリップボードのリダイレクトは機能しません。仮想チャネルを有効にするには、Teradici のドキュメントの「PCoIP Virtual Channels」をご参照ください。

PCoIP Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

PCoIP Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効化/無効化するには

次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
```
ファイルの末尾に次の行を追加します。
```
pcoip.enable_audio = X
```
X に指定できる値は以下のとおりです。

0 – オーディオ入力リダイレクトは無効です

1 – オーディオ入力リダイレクトは有効です

PCoIP Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効化/無効化する

会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。
よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Linux WorkSpaces のために必要な場合は、PCoIP エージェントの設定を使用してこの機能を無効にすることができます。この設定は、WorkSpace を再起動したときに有効になります。

PCoIP Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効化/無効化するには

次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
```
ファイルの末尾に次の行を追加します。
```
pcoip.enable_timezone_redirect= X
```
X に指定できる値は以下のとおりです。

0 – タイムゾーンのリダイレクトは無効です

1 – タイムゾーンのリダイレクトは有効です

Amazon Linux WorkSpaces 管理者に SSH アクセスを付与する

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Amazon Linux WorkSpaces に接続できます。

Active Directory で Amazon Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

Linux_Workspaces_Admins Active Directory グループのメンバーの sudo アクセスを有効にするには

次の例に示すように、sudoers を使用して visudo ファイルを編集します。
```
[example\username@workspace-id ~]$ sudo visudo
```

次の行を追加します。


%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

Linux_WorkSpaces_Admins Active Directory グループのメンバーのログインを有効にするには

昇格された権限で /etc/security/access.conf を編集します。
```
[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
```

次の行を追加します。


+:(example\Linux_WorkSpaces_Admins):ALL

SSH 接続の有効化の詳細については、WorkSpaces Personal で Linux WorkSpaces の SSH 接続を有効にするを参照してください。

Amazon Linux WorkSpaces のデフォルトシェルを上書きする

Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの ~/.bashrc ファイルを編集することをお勧めします。たとえば、Z shell シェルの代わりに Bash を使用するには、/home/username/.bashrc に次の行を追加します。


export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL

注記

この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

不正なアクセスからカスタムリポジトリを保護する

カスタムリポジトリへのアクセスを制御するには、パスワードではなく、Amazon Virtual Private Cloud (Amazon VPC) に組み込まれているセキュリティ機能を使用することをお勧めします。たとえば、ネットワークアクセスコントロールリスト (ACL) とセキュリティグループを使用します。これらの機能の詳細については、Amazon VPC ユーザーガイドのセキュリティを参照してください。

リポジトリを保護するためにパスワードを使用する必要がある場合は、Fedora ドキュメントの「リポジトリ定義ファイル」に示されているように、yum リポジトリ定義ファイルを作成してください。

Amazon Linux Extras Library リポジトリを使用する

Amazon Linux では、Extras Library を使用してアプリケーションおよびソフトウェア更新をインスタンスにインストールできます。Extras Library の使用については、Linux インスタンス用 Amazon EC2 ユーザーガイドの Extras Library (Amazon Linux) を参照してください。

注記

Amazon Linux リポジトリを使用している場合は、Amazon Linux WorkSpaces がインターネットにアクセスできるか、このリポジトリおよびメイン Amazon Linux リポジトリへの仮想プライベートクラウド (VPC) エンドポイントを設定する必要があります。詳細については、「WorkSpaces Personal でのインターネットアクセス」を参照してください。

Linux WorkSpaces での認証にスマートカードを使用する

Linux WorkSpaces DCV バンドルでは、認証に Common Access Card (CAC) および Personal Identity Verification (PIV) スマートカードを使用できます。詳細については、「WorkSpaces Personal での認証にスマートカードを使用する」を参照してください。

インターネットアクセス用のデバイスプロキシサーバー設定を構成する

デフォルトでは、WorkSpaces クライアントアプリケーションは、デバイスオペレーティングシステム設定で HTTPS (ポート 443) トラフィック用に指定したプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

注記

サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「デバイスプロキシとインターネット接続の設定の構成」の手順に従って、グループポリシーを通じて Linux WorkSpaces のデバイスプロキシサーバー設定を構成できます。

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」のプロキシサーバーを参照してください。

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「プロキシサーバー」を参照してください。

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の構成の詳細については、「Amazon WorkSpaces ユーザーガイド」の「プロキシサーバー」を参照してください。

デスクトップトラフィックのプロキシ

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィック) に対するプロキシサーバーの使用も、TLS の復号と検査もサポートしていません。ポート 4172 に直接接続する必要があります。

DCV WorkSpaces の場合、WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) と macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックに対する HTTP プロキシサーバーの使用をサポートしています。TLS の復号および検査はサポートしていません。

DCV は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックに対するプロキシの使用をサポートしているのは、WorkSpaces Windows および macOS デスクトップクライアントアプリケーションと Web Access のみです。

注記

プロキシサーバーを使用する場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

プロキシサーバーの使用に関する推奨事項

WorkSpaces デスクトップトラフィックでのプロキシサーバーの使用はお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシを使用してもセキュリティは向上しません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするようには設計されていないため、ストリーミングの品質と安定性に影響する可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーの増大を避けるため、プロキシサーバーを WorkSpace クライアントのできるだけ近く、できれば同じネットワーク内に配置してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Windows WorkSpaces を管理する

Ubuntu WorkSpaces の管理