Amazon WorkSpaces
管理者ガイド
Version 1.0
Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces: 管理者ガイド
Copyright © 2016 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Abstract
Amazon WorkSpaces を使用して、さまざまなデバイスからアクセスできるようにクラウドベースのデス
クトップを起動します。
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner
that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not
owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by
Amazon.
Amazon WorkSpaces 管理者ガイド
Table of Contents
Amazon WorkSpaces とは .............................................................................................................. 1
セットアップ ................................................................................................................................ 2
AWS アカウント ................................................................................................................... 2
IAM ユーザーを作成する ........................................................................................................ 3
アクセスの制御 ..................................................................................................................... 4
IAM ポリシーで Amazon WorkSpaces リソースを指定する .................................................. 6
ネットワークの準備 .............................................................................................................. 7
クライアントポート ...................................................................................................... 7
Simple AD ディレクトリ ................................................................................................ 8
AD Connector ディレクトリ .......................................................................................... 12
Microsoft AD ディレクトリ ............................................................................................ 20
はじめに .................................................................................................................................... 26
クイックスタート ................................................................................................................ 26
前提条件 .................................................................................................................... 27
ご利用開始にあたって .................................................................................................. 27
セットアップタイプを選択します。 ............................................................................... 28
高速セットアップ ........................................................................................................ 28
高度な設定 ......................................................................................................................... 33
ディレクトリの作成 ..................................................................................................... 34
ディレクトリへの接続 .................................................................................................. 35
管理 .......................................................................................................................................... 36
詳細 .................................................................................................................................. 37
ネットワークインターフェイス ..................................................................................... 37
PCoIP ゲートウェイの IP 範囲 ...................................................................................... 39
WorkSpaces セキュリティグループ ............................................................................... 39
制限 .......................................................................................................................... 40
マネジメントコンソール ....................................................................................................... 41
ディレクトリ .............................................................................................................. 41
WorkSpaces ............................................................................................................... 50
WorkSpaces バンドル .................................................................................................. 58
WorkSpace イメージ ................................................................................................... 60
Windows 7 のイメージ ................................................................................................. 61
ディレクトリの管理 ............................................................................................................. 62
ディレクトリの管理 WorkSpace のセットアップ .............................................................. 62
Amazon EC2 インスタンスのディレクトリへの結合 ......................................................... 63
Active Directory 管理ツールのインストール ..................................................................... 63
ユーザーおよびグループの作成 ..................................................................................... 64
ユーザーパスワード ..................................................................................................... 66
ユーザーの削除 ........................................................................................................... 66
グループポリシー ................................................................................................................ 66
グループポリシー管理用テンプレートのインストール ....................................................... 67
ローカルプリンターのサポート ..................................................................................... 67
クリップボードのリダイレクト ..................................................................................... 68
セッション再起動タイムアウト設定 ............................................................................... 68
ファイル共有 ...................................................................................................................... 69
PCoIP ゼロクライアント ...................................................................................................... 69
Amazon WorkSpaces のモニタリング ..................................................................................... 69
Amazon WorkSpaces メトリックス ................................................................................ 70
Amazon WorkSpaces メトリックスのディメンション ....................................................... 71
モニタリングの例 ........................................................................................................ 71
トラブルシューティング ....................................................................................................... 72
接続したディレクトリの WorkSpaces の起動にたびたび失敗する ....................................... 73
インタラクティブなログオンバナーで WorkSpace に接続できない ..................................... 73
ディレクトリのいずれの WorkSpaces もインターネットに接続できない .............................. 73
Version 1.0
iii
Amazon WorkSpaces 管理者ガイド
オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示
される ....................................................................................................................... 73
オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」という
エラーが表示される ..................................................................................................... 74
オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示され
る ............................................................................................................................. 74
WorkSpace の一部のステータスに "Unhealthy" と表示されます .......................................... 74
チュートリアル ........................................................................................................................... 76
Simple AD ディレクトリの作成 ............................................................................................. 76
前提条件 .................................................................................................................... 88
コメント .................................................................................................................... 77
ステップ 1: VPC の作成と設定 ...................................................................................... 77
ステップ 2: Simple AD ディレクトリの作成 ..................................................................... 81
ステップ 3: WorkSpace の作成 ...................................................................................... 82
ステップ 4: WorkSpace のテスト ................................................................................... 83
アプリケーションの配布 ....................................................................................................... 83
ファイルサーバーの起動 ............................................................................................... 84
部門の作成 ................................................................................................................. 84
アプリケーションをインストールするグループポリシーの作成 ........................................... 85
結果 .......................................................................................................................... 87
カスタムバンドルの作成 ....................................................................................................... 87
前提条件 .................................................................................................................... 88
ステップ 1: イメージの作成 .......................................................................................... 88
ステップ 2: バンドルの作成 .......................................................................................... 89
ステップ 3: バンドルからの WorkSpace の起動 ................................................................ 90
ステップ 4: イメージの変更 .......................................................................................... 90
ステップ 5: バンドルの更新 .......................................................................................... 91
ステップ 6: カスタムバンドルの WorkSpace の再構築 ...................................................... 91
クライアントヘルプ ..................................................................................................................... 93
サポートされるプラットフォームとデバイス ........................................................................... 93
ユーザープロファイルの完了 ................................................................................................. 94
前提条件 ............................................................................................................................ 94
レイテンシーしきい値 .................................................................................................. 95
MTU しきい値 ............................................................................................................. 95
HTTPS アクセス ......................................................................................................... 95
Windows クライアント ......................................................................................................... 95
セットアップとインストール ......................................................................................... 96
WorkSpace への接続 ................................................................................................... 96
クライアントビュー ..................................................................................................... 97
クライアントの言語 ..................................................................................................... 97
プロキシサーバー ........................................................................................................ 97
コマンドショートカット ............................................................................................... 97
トラブルシューティング ............................................................................................... 98
OS X クライアント .............................................................................................................. 98
セットアップとインストール ......................................................................................... 98
WorkSpace への接続 ................................................................................................... 99
クライアントビュー ..................................................................................................... 99
クライアントの言語 ..................................................................................................... 99
プロキシサーバー ...................................................................................................... 100
コマンドショートカット ............................................................................................. 100
iPad クライアント ............................................................................................................. 100
セットアップとインストール ....................................................................................... 101
WorkSpace への接続 .................................................................................................. 101
ジェスチャ ............................................................................................................... 101
放射状メニュー ......................................................................................................... 102
キーボード ............................................................................................................... 104
マウスモード ............................................................................................................ 104
切断 ......................................................................................................................... 105
Version 1.0
iv
Amazon WorkSpaces 管理者ガイド
Android クライアント .........................................................................................................
セットアップとインストール .......................................................................................
WorkSpace への接続 ..................................................................................................
ジェスチャ ...............................................................................................................
放射状メニュー .........................................................................................................
キーボード ...............................................................................................................
マウスモード ............................................................................................................
切断 .........................................................................................................................
Chromebook クライアント ..................................................................................................
セットアップとインストール .......................................................................................
WorkSpace への接続 ..................................................................................................
ジェスチャ ...............................................................................................................
PCoIP ゼロクライアント ....................................................................................................
要件 .........................................................................................................................
ゼロクライアント接続のセットアップ ...........................................................................
WorkSpace への接続 ..................................................................................................
ゼロクライアントからの切断 .......................................................................................
印刷 .................................................................................................................................
ローカルプリンター ...................................................................................................
その他の印刷方法 ......................................................................................................
Amazon WorkDocs 同期クライアント ...................................................................................
トラブルシューティング .....................................................................................................
WorkSpaces クライアントがネットワークエラーを返しますが、デバイス上の他のネットワー
ク対応アプリケーションは使用できます .......................................................................
自分の WorkSpace へのログインに数分かかることがあります ..........................................
セッションを閉じただけでログオフしなくても、WorkSpace からログオフされることがあり
ます .........................................................................................................................
自分の WorkSpace からインターネットに接続できません ................................................
サードパーティのセキュリティソフトウェアパッケージをインストールした後、WorkSpace
に接続できません ......................................................................................................
WorkSpace に接続すると、「network connection is slow」という警告が表示されます .........
クライアントアプリケーションで無効な証明書エラーが表示されました。これはどういう意
味ですか。 ...............................................................................................................
「ご使用のデバイスは WorkSpaces 登録サービスに接続できません」というエラーメッセー
ジが表示されます。 ...................................................................................................
制限 .........................................................................................................................................
ドキュメント履歴 ......................................................................................................................
Version 1.0
v
105
110
110
111
107
109
109
109
109
110
110
111
111
111
112
112
112
112
112
113
113
114
114
114
114
115
115
115
115
116
117
118
Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces とは
Abstract
Amazon WorkSpaces はクラウドで動作する、完全マネージド型のデスクトップコンピューティングサービスで
す。
Amazon WorkSpaces を利用すると、クラウドベースのデスクトップエクスペリエンスをエンドユー
ザーに容易に提供できます。さまざのな容量の CPU、メモリ、ストレージやアプリケーションの選択
肢を組み合わせてバンドルされている厳選された WorkSpace から選択するだけです。次に、ユーザー
情報を入力し、必要な数の WorkSpaces を起動します。WorkSpaces の利用準備が整うと、ユーザー
は Amazon WorkSpaces クライアントをダウンロードして、WorkSpace に接続できます。ユーザーは
PC/Mac のデスクトップコンピュータ、または iPad、Kindle、Android タブレットから接続できます。
Amazon WorkSpaces では、WorkSpaces のユーザー用にスタンドアロンのマネージド型ディレクトリ
を作成するか、AD Connector を使用してオンプレミスのディレクトリに接続するかを選択することが
できます。そのため、ユーザーは既存の認証情報を使用して、自社リソースにシームレスにアクセスで
きるようになります。この統合は、Amazon Virtual Private Cloud（Amazon VPC）を使用しているオン
プレミスのネットワークへのセキュアなハードウェア VPN 接続経由で、または AWS Direct Connect
を使用して機能します。
ハードウェアの調達や配置、または複雑なソフトウェアのインストールといった作業にわずらわされる
ことなく、ユーザーにデスクトップを利用させることができます。ハードウェアやソフトウェアの管理
といった労力のかかる作業や、パッチやメンテナンスといった雑用は Amazon WorkSpaces にすべて
任せて、ユーザーに高品質なデスクトップエクスペリエンスを簡単に提供することができます。Amazon
WorkSpaces をオンプレミスディレクトリに接続すると、オンプレミスデスクトップに使用している既
存のツールを使用して WorkSpaces を管理することができ、完全な管理制御を保持することができま
す。
詳細については、「Amazon WorkSpaces」を参照してください。
Version 1.0
1
Amazon WorkSpaces 管理者ガイド
AWS アカウント
Amazon WorkSpaces のセットアッ
プ
Abstract
Amazon WorkSpaces をセットアップします。
Amazon WorkSpaces を使用するには、次の前提条件を満たす必要があります。
トピック
• AWS アカウント (p. 2)
• IAM ユーザーを作成する (p. 3)
• Amazon WorkSpaces リソースへのアクセスの制御 (p. 4)
• ネットワークの準備 (p. 7)
AWS アカウント
AWS アカウントからすべてのサービスにアクセスできますが、料金はリソースを利用した分のみに課
金されます。
AWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。
AWS にサインアップするには
1.
2.
http://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。
オンラインの手順に従います。
ルートアカウント認証情報により、AWS のサービスに対してお客様の身分が証明され、WorkSpaces
などの AWS リソースを無制限に使用できる許可が与えられます。セキュリティ認証情報を共有するこ
となく他のユーザーに Amazon WorkSpaces リソースの管理を許可するには、AWS Identity and Access
Management（IAM）を使用します。アカウント所有者も含め、だれもが IAM ユーザーとして作業する
ことをお勧めします。自分用に IAM ユーザーを作成し、その IAM ユーザーに管理者特権を与えて、そ
れをすべての作業に使用します。
Version 1.0
2
Amazon WorkSpaces 管理者ガイド
IAM ユーザーを作成する
IAM ユーザーを作成する
AWS マネジメントコンソール ではユーザー名とパスワードが要求されます。これでリソースへのアク
セス許可があるかどうかをサービスが判断できます。ただし、ルート AWS アカウントの認証情報を使
用して AWS にアクセスすることは推奨しません。そうではなく、AWS Identity and Access Management
（IAM）を使用して IAM ユーザーを作成し、その IAM ユーザーを管理権限を持つ IAM グループに追加
することをお勧めします。これで、IAM ユーザーに管理権限が付与されます。その結果、AWS マネジ
メントコンソール に IAM ユーザーの認証情報を使用してアクセスすることになります。
AWS にサインアップしても、ご自分の IAM ユーザーをまだ作成していない場合は、IAM コンソールを
使用して作成できます。
管理者グループを作成するには
1.
AWS マネジメントコンソール にサインインし、IAM コンソール（https://console.aws.amazon.com/
iam/）を開きます。
2.
3.
ナビゲーションペインで、[Groups]、[Create New Group] の順に選択します。
[Group Name] ボックスにグループの名前（Administrators など）を入力し、[Next Step] を選
択します。
ポリシーのリストで、AdministratorAccess ポリシーの横にあるチェックボックスを選択します。
[Filter] メニューと [Search] ボックスを使用して、ポリシーのリストをフィルタリングできます。
[Next Step]、[Create Group] の順に選択します。
4.
5.
新しいグループは、[Group Name] の下に表示されます。
自分用の IAM ユーザーを作成するには、管理者グループにユーザーを追加し、ユーザーのパス
ワードを作成します。
1.
2.
3.
4.
5.
6.
7.
8.
9.
ナビゲーションペインで [Users] を選択し、続いて [Create New Users] を選択します。
[1] ボックスにユーザー名を入力します。
[Generate an access key for each user] の横にあるチェックボックスをオフにします。
[Create] を選択します。
ユーザーのリストで、先ほど作成したユーザーの名前（チェックボックスではない）を選択しま
す。[Search] ボックスを使用してユーザー名を検索できます。
[Groups] タブを選択し、[Add User to Groups] を選択します。
管理者グループの横にあるチェックボックスを選択します。続いて、[Add to Groups] を選択しま
す。
[Security Credentials] タブを選択します。[Sign-In Credentials] で、[Manage Password] を選択し
ます。
[Assign a custom password] を選択します。 続いて [Password] と [Confirm Password] ボックスに
パスワードを入力します。 完了したら、[Apply] を選択します。
新規の IAM ユーザーとしてサインインするには、 AWS マネジメントコンソールからサインアウトし、
次の URL を使用します。このとき、your_aws_account_id はハイフンを除いた AWS アカウント番号
です（たとえば AWS アカウント番号が 1234-5678-9012 であれば、AWS アカウント ID は
123456789012 です）。
https://your_aws_account_id.signin.aws.amazon.com/console/
作成した IAM ユーザー名とパスワードを入力します。サインインすると、ナビゲーションバーに
「your_user_name @ your_aws_account_id」が表示されます。
Version 1.0
3
Amazon WorkSpaces 管理者ガイド
アクセスの制御
サインページの URL に AWS アカウント ID を含めない場合は、アカウントのエイリアスを作成しま
す。IAM ダッシュボードから [Customize] をクリックし、エイリアス（会社名など）を入力します。ア
カウントエイリアスを作成した後、サインインするには、次の URL を使用します。
https://your_account_alias.signin.aws.amazon.com/console/
アカウントの IAM ユーザーのサインインリンクを確認するには、IAM コンソールを開き、ダッシュボー
ドの [AWS Account Alias] の下を確認します。
Amazon WorkSpaces リソースへのアクセス制御に IAM ポリシーを使用する方法については、「Amazon
WorkSpaces リソースへのアクセスの制御 (p. 4)」を参照してください。
Amazon WorkSpaces リソースへのアクセスの制
御
Abstract
IAM ユーザーが、どの Amazon WorkSpaces リソースを表示、作成、および変更できるようにするかを制御しま
す。
デフォルトでは、IAM ユーザーには Amazon WorkSpaces リソースへのアクセス許可がありません。
IAM ユーザーが Amazon WorkSpaces リソースを管理できるようにするには、Amazon WorkSpaces お
よび Amazon EC2リソースを作成および管理する許可を IAM ユーザーに明示的に付与する IAM ポリ
シーを作成し、このポリシーを許可を必要とする IAM ユーザーまたはグループにアタッチする必要が
あります。IAM ポリシーの詳細については、IAM ユーザーガイド ガイドの Permissions and Policies を
参照してください。
Amazon WorkSpaces はまた、Amazon WorkSpaces サービスが必要なリソースにアクセスするのを許
可する IAM ロールを作成します。
Note
アクションのプレフィックスとして "zocalo" を付けて以前に作成した IAM ポリシーは引き続
き機能します。ただし、既存のポリシーでプレフィックスを "zocalo" から "workdocs" にすべ
て変更することをお勧めします。そのためには、以下の手順を実行します。
1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM
コンソールを開きます。
2. [Navigation] ペインで、[Groups]、[Users]、または [Roles] を選択します。
3. ポリシーを修正する対象のグループ、ユーザー、ロールの名前を選択し、[Permissions] セ
クションまで下にスクロールします。
4. [Edit Policy] を選択し、すべてのインスタンスで zocalo を workdocs に置き換えます。
次のポリシーステートメントは、高速セットアップ手順の実行だけではなく、ディレクトリの作成や管
理などすべての Amazon WorkSpaces タスクを実行するためのアクセス権限を IAM ユーザーに付与し
ます。
{
"Version": "2012-10-17",
"Statement": [
Version 1.0
4
Amazon WorkSpaces 管理者ガイド
アクセスの制御
{
"Action": [
"workspaces:*",
"ds:*",
"iam:PassRole",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"workdocs:RegisterDirectory",
"workdocs:DeregisterDirectory",
"workdocs:AddUserToGroup",
"workdocs:RemoveUserFromGroup"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
次のポリシーのステートメントは、WorkSpaces の起動や削除など、WorkSpace 固有のタスクのみを
実行するためのアクセス権限を IAM ユーザーに付与します。workdocs オペレーションは、IAM ユー
ザーが Amazon WorkSpaces 内のユーザーに対して Amazon WorkDocs を有効にできる必要がある場
合にのみ必要です。これらのアクセス権限は、IAM ユーザーがディレクトリを管理したり、高速セット
アップ手順を実行したりすることを許可しません。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"workspaces:*",
"ds:*",
"workdocs:AddUserToGroup",
"workdocs:RemoveUserFromGroup"
],
Version 1.0
5
Amazon WorkSpaces 管理者ガイド
IAM ポリシーで Amazon WorkSpaces リソースを指定する
"Effect": "Allow",
"Resource": "*"
}
]
}
IAM の詳細については、以下を参照してください。
• Identity and Access Management (IAM)
• IAM ユーザーガイド
IAM ポリシーで Amazon WorkSpaces リソースを指
定する
ポリシーステートメントの Resource 要素で Amazon WorkSpaces リソースを指定するためには、リ
ソースの Amazon リソースネーム（ARN）を使用する必要があります。IAM ポリシーステートメント
の Action 要素に指定された API アクションを使用する権限を許可または拒否することで、Amazon
WorkSpaces リソースへのアクセスを制御できます。Amazon WorkSpaces は WorkSpace とバンドル
の ARN を定義します。
トピック
• WorkSpace ARN (p. 6)
• バンドル ARN (p. 6)
WorkSpace ARN
WorkSpace ARN には次の構文があります。
arn:aws:workspaces:<region>:<account_id>:workspace/<workspace_identifier>
< >
WorkSpace があるリージョン。
<account_id>
ハイフンなしの AWS アカウント ID（123456789012 など）。
<workspace_identifier>
WorkSpace の識別子（ws-0123456789 など）。
次に示すのは、特定の WorkSpace を識別するポリシーステートメントの Resource 要素の形式です。
"Resource":"arn:aws:workspaces:<region>:<account_id>:workspace/<workspace_iden
tifier>"
「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての WorkSpace を
指定できます。
バンドル ARN
バンドル ARN には次の構文があります。
Version 1.0
6
Amazon WorkSpaces 管理者ガイド
ネットワークの準備
arn:aws:workspaces:<region>:<account_id>:workspacebundle/<bundle_identifier>
< >
WorkSpace があるリージョン。
<account_id>
ハイフンなしの AWS アカウント ID（123456789012 など）。
<bundle_identifier>
WorkSpace バンドルの識別子（wsb-0123456789 など）。
次に示すのは、特定のバンドルを識別するポリシーステートメントの Resource 要素の形式です。
"Resource":"arn:aws:workspaces:<region>:<account_id>:workspacebundle/<bundle_iden
tifier>"
「*」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのバンドルを指
定できます。
ネットワークの準備
Abstract
Amazon WorkSpaces ディレクトリをセットアップする方法を説明します。
以下のトピックでは、Amazon WorkSpaces を使用するためにネットワークを準備する方法を説明しま
す。
トピック
• クライアントポート (p. 7)
• ネットワークでの Simple AD ディレクトリの準備 (p. 8)
• ネットワークでの AD Connector ディレクトリの準備 (p. 12)
• ネットワークでの Microsoft AD ディレクトリの準備 (p. 20)
クライアントポート
WorkSpace に接続するためには、Amazon WorkSpaces クライアントが接続されるネットワークに複
数の AWS サービス（サブセットとして配置）の IP アドレス範囲に開放された特定のポートが存在す
る必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じポー
トが、クライアントで実行されているファイアウォールでも開かれている必要があります。異なるリー
ジョンの IP アドレス範囲の一覧については、Amazon Web Services General Reference で AWSの IP
アドレス範囲を参照してください。
ポート 4172 アウトバウンド（UDP と TCP）
このポートは WorkSpace デスクトップとユーザー入力のストリーミングに使用されます。
• WorkSpace が所在するリージョンの EC2 サブセットに対応するすべての IP アドレス範囲を開
放する必要があります。
ポート 443 アウトバウンド（TCP）
このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップ
クライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用を
サポートします。詳細については、「プロキシサーバー - Windows (p. 97)」および「プロキシサー
バー - OS X (p. 100)」を参照してください。
Version 1.0
7
Amazon WorkSpaces 管理者ガイド
Simple AD ディレクトリ
• GLOBAL リージョンの AMAZON サブセットに対応するすべての IP アドレス範囲を開放する必要
があります。
• WorkSpace が所在するリージョンの AMAZON サブセットに対応するすべての IP アドレス範囲を
開放する必要があります。
Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 でネットワークのヘルスチェッ
クを行います。このチェックで、TCP または UDP トラフィックがクライアントアプリケーションから
Amazon WorkSpaces 本稼働サーバーにストリーミングされるかどうかを検証します。これを正常に行
うには、ファイアウォールポリシーで以下のリージョンのネットワークヘルスチェックサーバーを考慮
に入れておく必要があります。
ネットワークヘルスチェックサーバー
リージョン
ネットワークヘルスチェックサーバー
US East (N. Virginia)
drp-iad.amazonworkspaces.com
米国西部（オレゴン）
drp-pdx.amazonworkspaces.com
欧州（アイルランド）
drp-dub.amazonworkspaces.com
アジアパシフィック（シンガポール）
drp-sin.amazonworkspaces.com
アジアパシフィック（シドニー）
drp-syd.amazonworkspaces.com
アジアパシフィック（東京）
drp-nrt.amazonworkspaces.com
ネットワークでの Simple AD ディレクトリの準備
Amazon WorkSpaces は AWS Directory Service Simple AD ディレクトリを使用してユーザーと
WorkSpace の情報をクラウドに保存します。以下のトピックでは、クラウドで Simple AD ディレクト
リをセットアップするためにネットワークを準備する方法を説明します。
トピック
• アーキテクチャ (p. 8)
• 要件 (p. 9)
• Simple AD ディレクトリのインターネットアクセス (p. 9)
アーキテクチャ
次の図は、Simple AD ディレクトリにおける Amazon WorkSpaces の基本アーキテクチャを示します。
Version 1.0
8
Amazon WorkSpaces 管理者ガイド
Simple AD ディレクトリ
要件
Simple AD ディレクトリを作成するには、AWS Directory Service Administration Guideの「前提条件」
に記載されている前提条件を満たす必要があります。
Amazon WorkSpaces で使用するために VPC をセットアップする方法について説明するチュートリア
ルについては、「ステップ 1: VPC の作成と設定 (p. 77)」を参照してください。
Simple AD ディレクトリのインターネットアクセス
Simple AD ディレクトリで起動する WorkSpaces は、デフォルトではインターネットと通信すること
はできません。WorkSpaces にインターネットアクセスを許可するには、次のいずれかの方法を使用す
る必要があります。
トピック
• Simple AD ディレクトリのパブリック IP アドレス (p. 9)
• Simple AD ディレクトリの NAT ゲートウェイ (p. 11)
Simple AD ディレクトリのパブリック IP アドレス
インターネットゲートウェイをディレクトリで使用する VPC にアタッチし、各 WorkSpace にパブリッ
ク IP アドレスを割り当てます。WorkSpaces にパブリック IP アドレスを割り当てるには、各 WorkSpace
のネットワークインターフェイスに Elastic IP アドレスを手動で割り当てるか、プロビジョニングまた
は再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アドレスを割り当て
ることができます。Simple AD ディレクトリでのパブリック IP アドレスの自動割り当ての詳細につい
ては、「インターネットアクセス (p. 44)」を参照してください。
トピック
• インターネットゲートウェイとルーティング (p. 10)
• WorkSpace への Elastic IP アドレスの割り当て (p. 10)
Version 1.0
9
Amazon WorkSpaces 管理者ガイド
Simple AD ディレクトリ
インターネットゲートウェイとルーティング
インターネットゲートウェイとサブネットルーティングをセットアップするには、以下の手順を実行し
ます。
1.
2.
3.
VPC にまだインターネットゲートウェイがない場合は、インターネットゲートウェイを作成し、
ディレクトリで使用する VPC にアタッチします。詳細については、『Amazon VPC ユーザーガイ
ド』の「VPC へのインターネットゲートウェイの追加」を参照してください。
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
両方の WorkSpaces サブネットのルートテーブルを変更し、インターネットゲートウェイにすべ
ての VPC 以外のトラフィックをルーティングします。
WorkSpaces サブネットのルートテーブル
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
インターネットゲートウェイ
WorkSpace への Elastic IP アドレスの割り当て
以下の手順では、WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当
てる方法を説明します。
プロビジョニングまたは再構築された各 WorkSpace に、Amazon WorkSpaces で自動的にパブリック
IP アドレスを割り当てることができます。詳細については、「インターネットアクセス（Simple
AD） (p. 44)」または「インターネットアクセス（AD Connector） (p. 46)」を参照してください。
WorkSpace に Elastic IP アドレスを割り当てるには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択し、Elastic IP アドレスを適用する WorkSpace を選
択し、右矢印ボタンをクリックして WorkSpace の詳細を表示します。[WorkSpace IP] の値を書き
留めておきます。
3.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
目的のリージョンを選択します。
4.
ナビゲーションペインで [Elastic IPs] を選択し、使用していない VPC アドレスを選択するか、ま
たは VPC の新しいアドレスを割り当てます。
アドレスを選択し、[Associate Address] をクリックし、ステップ 2 で見つかった WorkSpace の
IP の値を [Network Interface] フィールドに入力します。その IP アドレスが割り当てられた Elastic
Network Interface (ENI) の識別子が、検索リストに表示されます。これは WorkSpace の ENI で
す。ENI 識別子を選択します。WorkSpace の IP が [Private IP Address] フィールドに表示されま
す。
[Reassociation] を選択し、必要に応じて後で Elastic IP アドレスを再割り当てできるようにして、
[Associate] をクリックします。
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
5.
6.
7.
Version 1.0
10
Amazon WorkSpaces 管理者ガイド
Simple AD ディレクトリ
8.
これで、WorkSpace からのインターネット接続が許可されました。既存の各 WorkSpace につい
て、このプロセスを繰り返します。
Simple AD ディレクトリの NAT ゲートウェイ
ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがアタッ
チされたサブネット) で、ネットワークアドレス変換 (NAT) ゲートウェイを実装します。NAT ゲート
ウェイは WorkSpaces とは別のサブネットにある必要があります。これにより、すべての WorkSpaces
がインターネットにアクセスできるようになります。この手順の詳細については、『Amazon VPC ユー
ザーガイド』の「NAT ゲートウェイ」を参照してください。
NAT ゲートウェイをセットアップし、WorkSpaces でインターネットアクセスを許可するには、以下
のステップを実行します。この例の手順では、WorkSpaces 用に 2 つのプライベートサブネットを持つ
既存の VPC があることを前提としています。完了すると、VPC は次のようになります:
NAT ゲートウェイをセットアップするには
1.
2.
3.
インターネットゲートウェイを作成して VPC にアタッチします。
NAT ゲートウェイ用に別のサブネットを作成し、このサブネットで NAT ゲートウェイを作成しま
す。NAT ゲートウェイには、Elastic IP アドレスが必要です。
NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し、すべての VPC 以
外のトラフィックをインターネットゲートウェイにルーティングするようにします。
Version 1.0
11
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
NAT サブネットルートテーブル
4.
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
インターネットゲートウェイ
すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作成
し、このルートテーブルを両方の WorkSpaces サブネットに割り当てます。このルートテーブル
は次のようになります。
WorkSpaces サブネットのルートテーブル
5.
6.
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
NAT ゲートウェイ
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
これで、WorkSpaces からのインターネット接続が許可されました。WorkSpace に接続し、ウェ
ブブラウザを使ってインターネットに接続できることを確認します。
Note
または、パブリックサブネットで NAT インスタンスを作成することもできます。ただし、
NAT インスタンスが 1 つの場合、単一障害点が発生します。NAT ゲートウェイを使用す
ることをお勧めします。
ネットワークでの AD Connector ディレクトリの準備
Amazon WorkSpaces は AWS Directory Service AD Connector ディレクトリを使用してオンプレミス
ディレクトリに接続します。以下のトピックでは、オンプレミスのディレクトリに Amazon WorkSpaces
を接続するように準備する方法を説明します。
トピック
• アーキテクチャ (p. 13)
• 要件 (p. 14)
• AD Connector ディレクトリのインターネットアクセス (p. 14)
• 多要素認証の前提条件 (p. 17)
• 接続権限の委任 (p. 17)
• 接続の確認 (p. 20)
Version 1.0
12
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
アーキテクチャ
AD Connector ディレクトリおよび VPN を使用した Amazon WorkSpaces の基本システムアーキテク
チャを次に示します。
AD Connector ディレクトリおよび AWS Direct Connect を使用した Amazon WorkSpaces の基本シス
テムアーキテクチャを次に示します。
Version 1.0
13
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
要件
AD Connector を使用してオンプレミスディレクトリに接続するには、『AWS Directory Service
Administration Guide』の「 の前提条件」に示されている前提条件を満たす必要があります。
また、以下が必要になります。
• Amazon WorkSpaces の場合、オンプレミスのディレクトリと通信するには、オンプレミスのネット
ワークのファイアウォールで VPC の両方のサブネットの CIDR に対して次のポートが開かれている
必要があります。
• TCP/UDP 53 - DNS
• TCP/UDP 88 - Kerberos 認証
• UDP 123 - NTP
• TCP 135 - RPC
• UDP 137-138 - Netlogon
• TCP 139 - Netlogon
• TCP/UDP 389 - LDAP
• TCP/UDP 445 - SMB
• TCP 1024-65535 - RPC 用ダイナミックポート
これらの条件が満たされるかどうかテストするには、オンプレミスのディレクトリに接続する前に、
「接続の確認 (p. 20)」を参照してください。
AD Connector ディレクトリのインターネットアクセス
AD Connector ディレクトリで起動する WorkSpaces は、デフォルトではインターネットと通信するこ
とはできません。WorkSpaces にインターネットアクセスを許可するには、次のいずれかの方法を使用
する必要があります。
トピック
• オンプレミスのファイアウォール (p. 14)
• AD Connector ディレクトリのパブリック IP アドレス (p. 15)
• AD Connector ディレクトリの NAT ゲートウェイ (p. 15)
オンプレミスのファイアウォール
WorkSpaces にオンプレミスのネットワークのインターネットファイアウォールへのアクセスを許可し
ます。サブネットにファイアウォールへのアクセスを許可するようにルートテーブルを調整する必要が
あります。
Version 1.0
14
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
AD Connector ディレクトリのパブリック IP アドレス
Abstract
インターネットゲートウェイをディレクトリで使用する VPC にアタッチし、各 WorkSpace にパブリック IP アド
レスを割り当てます。
WorkSpaces にパブリック IP アドレスを割り当てるには、各 WorkSpace のネットワークインターフェ
イスに Elastic IP アドレスを手動で割り当てるか、プロビジョニングまたは再構築されたすべての
WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アドレスを割り当てることができます。
AD Connector ディレクトリでのパブリック IP アドレスの自動割り当ての詳細については、「インター
ネットアクセス (p. 46)」を参照してください。
インターネットゲートウェイをセットアップし、WorkSpaces に Elastic IP アドレスを割り当てる方法
の詳細については、「Simple AD ディレクトリのパブリック IP アドレス (p. 9)」を参照してくださ
い。
AD Connector ディレクトリの NAT ゲートウェイ
ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがアタッ
チされたサブネット) で、ネットワークアドレス変換 (NAT) ゲートウェイを実装します。これにより、
すべての WorkSpaces がインターネットにアクセスできるようになります。この手順の詳細について
は、『Amazon VPC ユーザーガイド』の「NAT ゲートウェイ」を参照してください。
WorkSpaces でインターネットアクセスを許可にするように NAT ゲートウェイをセットアップする方
法については、「Simple AD ディレクトリの NAT ゲートウェイ (p. 11)」を参照してください。完了す
ると、VPC は次のようになります:
Version 1.0
15
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
NAT ゲートウェイをセットアップするには
1.
2.
3.
インターネットゲートウェイを作成して VPC にアタッチします。
NAT ゲートウェイ用に別のサブネットを作成し、このサブネットで NAT ゲートウェイを作成しま
す。NAT ゲートウェイには、Elastic IP アドレスが必要です。
NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し、すべての VPC 以
外のトラフィックをインターネットゲートウェイにルーティングするようにします。
NAT サブネットルートテーブル
4.
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
インターネットゲートウェイ
すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作成
し、このルートテーブルを両方の WorkSpaces サブネットに割り当てます。このルートテーブル
は次のようになります。
Version 1.0
16
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
WorkSpaces サブネットのルートテーブル
5.
6.
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
NAT ゲートウェイ
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
これで、WorkSpaces からのインターネット接続が許可されました。WorkSpace に接続し、ウェ
ブブラウザを使ってインターネットに接続できることを確認します。
Note
または、パブリックサブネットで NAT インスタンスを作成することもできます。ただし、
NAT インスタンスが 1 つの場合、単一障害点が発生します。NAT ゲートウェイを使用す
ることをお勧めします。
多要素認証の前提条件
AD Connector ディレクトリで多要素認証をサポートするには、以下が必要です。
• 2 個のクライアントのエンドポイントを持つ、オンプレミスネットワーク内の Remote Authentication
Dial In User Service (RADIUS) サーバー。RADIUS クライアントエンドポイントには次の要件があり
ます。
• エンドポイントを作成するには、AD Connector サーバーの IP アドレスが必要です。これらの IP
アドレスは、Amazon WorkSpaces ディレクトリの詳細の [Directory IP Address] フィールドから
取得できます。
• 2 つの RADIUS エンドポイントが同じ共有シークレットコードを使用する必要があります。
• オンプレミスネットワークでは、AD Connector サーバーからのデフォルトの RADIUS サーバーポー
ト（1812）を介した受信トラフィックが許可されている必要があります。
• RADIUS サーバーとオンプレミスディレクトリの間でユーザー名が同じである必要があります。
AD Connector ディレクトリで多要素認証を有効にする方法の詳細については、「多要素認証 (p. 47)」
を参照してください。
接続権限の委任
AD Connector がオンプレミスディレクトリに接続するには、特定の権限を持つ、オンプレミスディレ
クトリでのアカウントの認証情報が必要です。ドメインの管理者グループのメンバーにはディレクトリ
に接続するための十分な権限がありますが、ベストプラクティスとして、そのディレクトリへの接続に
必要な最小限の権限のみを持つアカウントを使用してください。以下の手順は、
WorkSpaces_Connectors という新しいグループを作成し、Amazon WorkSpaces をディレクトリに
接続するために必要な権限をこのグループに委任する方法を示しています。
この手順はディレクトリに結合され、[Active Directory User and Computers] MMC スナップインがイン
ストールされたマシンで実行される必要があります。ドメイン管理者としてログインする必要がありま
す。
Version 1.0
17
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
1.
[Active Directory User and Computers] を開き、ナビゲーションツリーのドメインルートを選択し
ます。
2.
3.
左のペインの一覧で、[Users] を右クリックし、[New] を選択して、[Group] を選択します。
[New Object - Group] ダイアログボックスで次のように入力し、[OK] をクリックします。
4.
フィールド
値/選択
グループ名
WorkSpaces_Connectors
Group scope
グローバル
Group type
セキュリティ
[Active Directory User and Computers] ナビゲーションツリーで、ドメインルートを選択します。
メニューで [Action] を選択し、[Delegate Control] を選択します。
Version 1.0
18
Amazon WorkSpaces 管理者ガイド
AD Connector ディレクトリ
5.
6.
[Delegation of Control Wizard] ページで [Next] をクリックし、[Add] をクリックします。
[Select Users, Computers, or Groups] ダイアログボックスで「WorkSpaces_Connectors」と入
力し、[OK] をクリックします。複数のオブジェクトがある場合は、上記で作成した
WorkSpaces_Connectors グループを選択します。[Next] をクリックします。
7.
[Tasks to Delegate] ページで、[Read all user information] および [Join a computer to the domain]
のみを選択し、[Next] をクリックします。
8.
9.
[Completing the Delegation of Control Wizard] ページの情報を確認し、[Finish] をクリックします。
強力なパスワードでユーザーを作成し、そのユーザーを WorkSpaces_Connectors グループに追
加します。ユーザーには、ディレクトリに Amazon WorkSpaces を接続するための十分な権限が
与えられます。
Version 1.0
19
Amazon WorkSpaces 管理者ガイド
Microsoft AD ディレクトリ
接続の確認
AD Connector でオンプレミスディレクトリに接続するには、オンプレミスネットワークのファイア
ウォールで VPC の両方のサブネットの CIDR に対して特定のポートが開かれている必要があります。
これらの要件が満たされているかどうかをテストするには、以下の手順を実行します。詳細について
は、『AWS Directory Service Administration Guide』の「接続の確認」を参照してください。
接続を確認するには
1.
VPC で Windows インスタンスを起動し、RDP 経由でインスタンスに接続します。残りの手順は、
VPC インスタンスで実行します。
2.
DirectoryServicePortTest テストアプリケーションをダウンロードして解凍します。ソースコード
と Visual Studio プロジェクトファイルが含まれており、必要に応じてテストアプリケーションを
変更できます。
Windows のコマンドプロンプトで、次のオプションを指定して DirectoryServicePortTest テストア
プリケーションを実行します。
3.
DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp
"53,88,135,389,445,3268,5722,9389" -udp "53,88,123,138,389,445"
<domain_name>
完全修飾ドメイン名。これは、フォレストとドメインの機能レベルをテストするために使用さ
れます。ドメイン名を除外した場合、機能レベルはテストされません。
<server_IP_address>
オンプレミスドメインのドメインコントローラーの IP アドレス。ポートはこの IP アドレスに
対してテストされます。IP アドレスを除外した場合、ポートはテストされません。
これによって、必要なポートが VPC からドメインに開かれているかどうかを特定します。テスト
アプリケーションは、最小限のフォレストとドメインの機能レベルも確認します。
出力は以下のようになります。
Testing forest functional level.
Forest Functional Level = Windows2008R2Forest : PASSED
Testing domain functional level.
Domain Functional Level = Windows2008R2Domain : PASSED
Testing required TCP ports to <server_IP_address>:
Checking TCP port 53: PASSED
...
Testing required UDP ports to <server_IP_address>:
Checking UDP port 53: PASSED
...
ネットワークでの Microsoft AD ディレクトリの準備
Amazon WorkSpaces は Microsoft AD ディレクトリを使用してユーザーと WorkSpace の情報をクラウ
ドに保存します。以下のトピックでは、クラウドで Microsoft AD ディレクトリをセットアップするた
めにネットワークを準備する方法を説明します。
Version 1.0
20
Amazon WorkSpaces 管理者ガイド
Microsoft AD ディレクトリ
トピック
• アーキテクチャ (p. 21)
• 要件 (p. 21)
• Microsoft AD ディレクトリのインターネットアクセス (p. 21)
アーキテクチャ
次の図は、Microsoft AD ディレクトリにおける Amazon WorkSpaces の基本アーキテクチャを示して
います。
要件
Microsoft AD ディレクトリを作成するには、AWS Directory Service Administration Guideの「前提条
件」に記載されている前提条件を満たす必要があります。
Amazon WorkSpaces で使用するために VPC をセットアップする方法について説明するチュートリア
ルについては、「ステップ 1: VPC の作成と設定 (p. 77)」を参照してください。
Microsoft AD ディレクトリのインターネットアクセス
Microsoft AD ディレクトリで起動する WorkSpaces は、デフォルトではインターネットと通信するこ
とはできません。WorkSpaces にインターネットアクセスを許可するには、次のいずれかの方法を使用
する必要があります。
トピック
• Microsoft AD ディレクトリのパブリック IP アドレス (p. 22)
• Microsoft AD ディレクトリの NAT ゲートウェイ (p. 23)
Version 1.0
21
Amazon WorkSpaces 管理者ガイド
Microsoft AD ディレクトリ
Microsoft AD ディレクトリのパブリック IP アドレス
インターネットゲートウェイをディレクトリで使用する VPC にアタッチし、各 WorkSpace にパブリッ
ク IP アドレスを割り当てます。WorkSpaces にパブリック IP アドレスを割り当てるには、各 WorkSpace
のネットワークインターフェイスに Elastic IP アドレスを手動で割り当てるか、プロビジョニングまた
は再構築された各 WorkSpace に Amazon WorkSpaces で自動的にパブリック IP アドレスを割り当て
ることができます。Microsoft AD ディレクトリでのパブリック IP アドレスの自動割り当ての詳細につ
いては、「インターネットアクセス (p. 44)」を参照してください。
トピック
• インターネットゲートウェイとルーティング (p. 22)
• WorkSpace への Elastic IP アドレスの割り当て (p. 22)
インターネットゲートウェイとルーティング
インターネットゲートウェイとサブネットルーティングをセットアップするには、以下の手順を実行し
ます。
インターネットゲートウェイとサブネットのルーティングを設定するには
1.
2.
3.
VPC にまだインターネットゲートウェイがない場合は、インターネットゲートウェイを作成し、
ディレクトリで使用する VPC にアタッチします。詳細については、Amazon VPC ユーザーガイド
の「VPC へのインターネットゲートウェイの追加」を参照してください。
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
両方の WorkSpaces サブネットのルートテーブルを変更し、インターネットゲートウェイにすべ
ての VPC 以外のトラフィックをルーティングします。
WorkSpaces サブネットのルートテーブル
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
インターネットゲートウェイ
WorkSpace への Elastic IP アドレスの割り当て
以下の手順では、WorkSpace のネットワークインターフェイスに Elastic IP アドレスを手動で割り当
てる方法を説明します。
プロビジョニングまたは再構築された各 WorkSpace に、Amazon WorkSpaces で自動的にパブリック
IP アドレスを割り当てることができます。詳細については、「インターネットアクセス（Simple
AD） (p. 44)」または「インターネットアクセス（AD Connector） (p. 46)」を参照してください。
WorkSpace に Elastic IP アドレスを割り当てるには
1.
2.
3.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択し、Elastic IP アドレスを適用する WorkSpace を選
択し、右矢印ボタンを選択して WorkSpace の詳細を表示します。[WorkSpace IP] の値を書き留め
ておきます。
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
Version 1.0
22
Amazon WorkSpaces 管理者ガイド
Microsoft AD ディレクトリ
4.
5.
6.
7.
8.
目的のリージョンを選択します。
ナビゲーションペインで [Elastic IPs] を選択し、使用していない VPC アドレスを選択するか、ま
たは VPC の新しいアドレスを割り当てます。
アドレスを選択し、[Associate Address] を選択して、ステップ 2 で見つかった WorkSpace の IP
の値を [Network Interface] フィールドに入力します。その IP アドレスが割り当てられた Elastic
Network Interface (ENI) の識別子が、検索リストに表示されます。これは WorkSpace の ENI で
す。ENI 識別子を選択します。WorkSpace の IP が [Private IP Address] フィールドに表示されま
す。
[Reassociation] を選択し、必要に応じて後で Elastic IP アドレスを再割り当てできるようにして、
[Associate] を選択します。
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
これで、WorkSpace からのインターネット接続が許可されました。既存の各 WorkSpace につい
て、このプロセスを繰り返します。
Microsoft AD ディレクトリの NAT ゲートウェイ
ディレクトリで使用されている VPC のパブリックサブネット (インターネットゲートウェイがアタッ
チされたサブネット) で、ネットワークアドレス変換 (NAT) ゲートウェイを実装します。NAT ゲート
ウェイは WorkSpaces とは別のサブネットにある必要があります。これにより、すべての WorkSpaces
がインターネットにアクセスできるようになります。この手順の詳細については、『Amazon VPC ユー
ザーガイド』の「NAT ゲートウェイ」を参照してください。
NAT ゲートウェイをセットアップし、WorkSpaces でインターネットアクセスを許可するには、以下
のステップを実行します。この例の手順では、WorkSpaces 用に 2 つのプライベートサブネットを持つ
既存の VPC があることを前提としています。完了すると、VPC は次の図のようになります。
Version 1.0
23
Amazon WorkSpaces 管理者ガイド
Microsoft AD ディレクトリ
NAT ゲートウェイをセットアップするには
1.
2.
3.
インターネットゲートウェイを作成して VPC にアタッチします。
NAT ゲートウェイ用に別のサブネットを作成し、このサブネットで NAT ゲートウェイを起動しま
す。NAT ゲートウェイには、Elastic IP アドレスが必要です。
NAT ゲートウェイを含むサブネットに割り当てられたルートテーブルを変更し、すべての VPC 以
外のトラフィックをインターネットゲートウェイにルーティングするようにします。
NAT サブネットルートテーブル
4.
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
インターネットゲートウェイ
すべての VPC 以外のトラフィックをNAT ゲートウェイにルーティングするルートテーブルを作成
し、このルートテーブルを両方の WorkSpaces サブネットに割り当てます。このルートテーブル
は次のようになります。
Version 1.0
24
Amazon WorkSpaces 管理者ガイド
Microsoft AD ディレクトリ
WorkSpaces サブネットのルートテーブル
5.
6.
送信先
ターゲット
VPC CIDR
ローカル
0.0.0.0/0
NAT ゲートウェイ
WorkSpaces のセキュリティグループで、すべての宛先（0.0.0.0/0）へのポート 80（HTTP）と
443（HTTPS）のアウトバウンドトラフィック（HTTPS）を許可します。WorkSpaces セキュリ
ティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を参照
してください。
これで、WorkSpaces からのインターネット接続が許可されました。WorkSpace に接続し、ウェ
ブブラウザを使ってインターネットに接続できることを確認します。
1 つの NAT インスタンスにより、単一の障害点が発生します。高可用性を実現するために、異なるア
ベイラビリティーゾーンで複数の NAT インスタンスを作成する必要があります。詳細については、
「Amazon VPC NAT インスタンスの高可用性: 例」を参照してください。
Note
または、パブリックサブネットで NAT インスタンスを作成することもできます。ただし、NAT
インスタンスが 1 つの場合、単一障害点が発生します。NAT ゲートウェイを使用することをお
勧めします。
Version 1.0
25
Amazon WorkSpaces 管理者ガイド
クイックスタート
Amazon WorkSpaces の使用開始
Abstract
Amazon WorkSpaces を起動して実行します。
Amazon WorkSpaces を開始するには、2 とおりの方法があります。Simple AD ディレクトリを使用し
て Amazon WorkSpaces をすばやく起動し実行するクイックスタート手順 (p. 26)があります。クイッ
クスタート手順はサービスの評価に使用するものです。特定のリージョンでクイックスタート手順を完
了した後は、再実行はできません。詳細については、「Amazon WorkSpaces Quick Start Guide (p. 26)」
を参照してください。
2 番目の方法は、より高度な方法で、ディレクトリの作成をさらに細かく制御できます。詳細について
は、「高度な設定 (p. 33)」を参照してください。
トピック
• Amazon WorkSpaces Quick Start Guide (p. 26)
• 高度な設定 (p. 33)
Amazon WorkSpaces Quick Start Guide
Abstract
Amazon WorkSpaces を起動して実行します。
Amazon WorkSpaces Quick Start Guide を使用すると、Amazon WorkSpaces をすばやく簡単に起動し
て実行することができます。開始するには、以下のリンクをクリックします。
トピック
• 前提条件 (p. 27)
• ご利用開始にあたって (p. 27)
• セットアップタイプを選択します。 (p. 28)
• 高速セットアップ (p. 28)
Version 1.0
26
Amazon WorkSpaces 管理者ガイド
前提条件
前提条件
Abstract
Amazon WorkSpaces 使用の前提条件です。
Amazon WorkSpaces のクイックスタート手順を使用するには、次の前提条件を満たす必要がありま
す。
AWS アカウント
Amazon WorkSpaces を使用するには、AWS アカウントが必要です。詳細については、「AWS ア
カウント (p. 2)」を参照してください。
Amazon WorkSpaces クライアントの前提条件
いずれかの Amazon WorkSpaces クライアントアプリケーションを使用して WorkSpace にアクセ
スするには、「Amazon WorkSpaces クライアントの前提条件 (p. 94)」に説明されている要件を満
たす必要があります。
ご利用開始にあたって
Abstract
Amazon WorkSpaces の使用を開始します。
希望するリージョンの Amazon WorkSpaces コンソールを開き、AWS の認証情報でサインインし、
[Get Started Now] をクリックします。
Note
選択するリージョンがわからない場合は、接続状態の確認ウェブサイトで最適なリージョンを
選択することをお勧めします。推奨内容は、ポートの接続性、接続速度、Amazon WorkSpaces
サービスに接続するデバイスの機能などの、いくつかの要因に基づいています。
Version 1.0
27
Amazon WorkSpaces 管理者ガイド
セットアップタイプを選択します。
セットアップタイプを選択します。
Abstract
Amazon WorkSpaces の高速セットアップを使用するか、高度な設定を使用するか選択します。
Amazon WorkSpaces はネットワークディレクトリを使用して、ユーザーと WorkSpace 情報を格納し
ます。使用する Amazon WorkSpaces ディレクトリのセットアップタイプを選択します。
[Quick Setup] 手順を使用すると、Amazon WorkSpaces をすばやく簡単に起動して実行できます。
Amazon WorkSpaces は、最小限の管理のみを必要とするディレクトリをクラウドに作成し、セット
アップします。
[Advanced Setup] 手順を使用すると、Amazon WorkSpaces ディレクトリの設定をより詳細に制御でき
ます。ディレクトリは、クラウドに配置するか、オンプレミスのディレクトリに接続できます。
次のいずれかのオプションを選択します。
• 高速セットアップを使用するには、[Launch Quick Setup] をクリックし、「高速セットアップ (p. 28)」
を参照してください。
• 高度な設定を使用するには、[Launch Advanced Setup] をクリックし、「高度な設定 (p. 33)」を参照
してください。
高速セットアップ
Abstract
Amazon WorkSpaces 高速セットアップ手順を実行します。
高速セットアップ手順を使用すると、Amazon WorkSpaces をすばやく簡単に起動して実行できます。
Amazon WorkSpaces は、最小限の管理のみを必要とするディレクトリをクラウドに作成し、セット
アップします。
高速セットアップの前提条件
この手順では、ユーザーに代わって仮想プライベートゲートウェイクラウド（VPC）を作成します。こ
のため、AWS アカウントでは、WorkSpaces を作成するリージョンで少なくとも 1 つの利用可能な
Version 1.0
28
Amazon WorkSpaces 管理者ガイド
高速セットアップ
VPC を作成する必要があります。この VPC 内で、Amazon WorkSpaces はインターネットゲートウェ
イも作成する必要があるので、AWS アカウントでは WorkSpaces を作成するリージョンで少なくとも
1 つの利用可能なインターネットゲートウェイを作成する必要があります。
VPC の詳細については、「Amazon VPC とは」を参照してください（「Amazon VPC ユーザーガイ
ド」）。
インターネットゲートウェイの詳細については、『Amazon VPC ユーザーガイド』の「VPC へのイン
ターネットゲートウェイの追加」を参照してください。
WorkSpace バンドルの選択とユーザーの作成
Abstract
Amazon WorkSpaces ユーザーを作成し、ユーザーに割り当てる WorkSpace バンドルを選択します。
1.
2.
3.
[Available WorkSpace Bundles] セクションで、希望する WorkSpace バンドルを選択します。リー
ジョンで複数のオペレーティングシステムの言語を使用できる場合は、目的のオペレーティングシ
ステムの言語を選択することもできます。利用可能なさまざまなバンドルの詳細については、
「Amazon WorkSpaces 製品の詳細」を参照してください。
[Enter User Details] セクションで、WorkSpace ユーザーについてリクエストされた情報を入力し
ます。入力される最初のユーザーが Amazon WorkSpaces 管理者になり、管理者権限が与えられ
ます。
複数のユーザーを追加するには、[Create Additional Users] をクリックし、次のユーザーのフィー
ルドに入力します。すべてのユーザーに対してこれを繰り返します。すべてのユーザー情報を入力
したら、[Launch WorkSpaces] をクリックします。
Note
上の画像は参考のために示しているものです。実際のバンドル、バンドルの内容、料金は異な
る場合があります。
クイックスタート手順で Amazon WorkSpaces によって行われる操作の詳細については、「高速セッ
トアップの詳細 (p. 32)」を参照してください。
Version 1.0
29
Amazon WorkSpaces 管理者ガイド
高速セットアップ
WorkSpaces の起動
Abstract
WorkSpaces が起動されるまで待ちます。
Amazon WorkSpaces インフラストラクチャが作成され、WorkSpaces が起動されるまでには数分かか
ります。[View the WorkSpaces Console] をクリックすると、WorkSpaces のステータスを監視できま
す。
WorkSpace のステータスの監視
Abstract
新しい WorkSpaces のステータスを監視します。
WorkSpaces が起動されている間、Amazon WorkSpaces コンソールの [WorkSpaces] セクションでス
テータスを監視できます。WorkSpaces は "Pending" 状態で開始され、起動が完了すると、"Running"
状態に変わります。
Version 1.0
30
Amazon WorkSpaces 管理者ガイド
高速セットアップ
WorkSpaces の準備完了
Abstract
WorkSpaces のユーザーに対してようこそ E メールを作成します。
WorkSpaces が使用できるようになると、ようこそ E メールが個々のユーザーに送信されます。よう
こそ E メールにはユーザーがアカウントを作成し、Amazon WorkSpaces クライアントをダウンロード
およびインストールする手順と、WorkSpace にログインする手順が含まれています。E メールのテキ
ストは以下のようなものになります。
Greetings,
A new Amazon WorkSpace has been provided for you. Follow the steps below to
quickly get up and running with your WorkSpace:
1. Complete your user profile and download a WorkSpace client using the following
link: link_to_registration.
2. Launch the client and enter the following registration code: registra
tion_code.
3. Log in with your newly created password. Your username is username.
If you have any issues connecting to your WorkSpace, please contact your admin
istrator.
You may download clients for additional devices at http://clients.amazonwork
spaces.com/
Sincerely,
Amazon WorkSpaces
ユーザー登録
Abstract
WorkSpaces のユーザー登録を完了します。
ユーザーは、最初に E メールに記載されている登録リンクに移動してプロファイルを完了する必要が
あります。ユーザーは E メールの送信後 7 日以内に登録を完了する必要があります。そうしないと招
待は期限切れになり、別の招待を送信しなければならなくなります。
ユーザー名と E メールアドレスは変更できませんが、ユーザーは姓と名を変更することができます。
また、ユーザーはアカウントのパスワードを設定する必要もあります。パスワードは大文字と小文字が
区別され、8～64 文字の長さにする必要があります。また、以下の 3 つのカテゴリから少なくとも 1
文字を含める必要があります。
• 英小文字（a～z）
• 英大文字（A～Z）
• 番号（0～9）
• アルファベット以外の文字（~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/）
Version 1.0
31
Amazon WorkSpaces 管理者ガイド
高速セットアップ
クライアントのダウンロード
Abstract
Amazon WorkSpaces クライアントアプリケーションをダウンロードし、インストールします。
ユーザーは Amazon WorkSpaces Client Downloads ページからいつでもクライアントアプリケーショ
ンをダウンロードできます。利用できるクライアントアプリケーションの詳細については、「サポート
されるプラットフォームとデバイス (p. 93)」を参照してください。
クライアントアプリケーションの登録
Abstract
Amazon WorkSpaces クライアントアプリケーションを登録します。
招待 E メールに記載された登録コードは、初回ログイン時にのみ使用します。このコードにより、ク
ライアントアプリケーションは適切な Amazon WorkSpaces ディレクトリに接続できます。何らかの
理由でクライアントアプリケーションを再登録する必要がある場合、メニューから [Manage Registrations]
を選択します。
クライアントアプリケーションは、入力された直近 10 の登録コードを自動的に保存します。以前の登
録コードをすばやく取得するには、[Saved registrations] を選択して、アクセスする WorkSpace に属す
る保存済み登録コードを選択し、その WorkSpace のログイン情報を入力します。同じコードを使用し
て、別のリージョンやディレクトリ内の WorkSpace にアクセスすることができます。保存された登録
コードを削除するには、登録コードの横にある [X] ボタンを選択します。必要に応じてこのページに戻
るには、クライアントアプリケーションのメニューから [Manage Registrations] を選択します。
Note
この情報はローカルに保存され、デバイスには残りません。
クライアントのサインイン
Abstract
WorkSpace にサインインします。
クライアントアプリケーションが登録された後で、ユーザーはサインインページに移動します。ここで
は、ユーザーはユーザープロファイルを入力 (p. 31)したときに入力した Amazon WorkSpaces ユーザー
名とパスワードを入力します。ユーザーがサインインすると、クライアントアプリケーションは
WorkSpace に接続し、WorkSpace デスクトップが表示されます。
高速セットアップの詳細
Abstract
Amazon WorkSpaces クイックスタート手順について説明します。
Amazon WorkSpaces 高速セットアップ手順を実行すると、Amazon WorkSpaces はユーザーに代わっ
て次のタスクを実行します。
• IAM ロールを作成して、Amazon WorkSpaces サービスが Elastic Network Interface を作成し、Amazon
WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールには、
workspaces_DefaultRole という名前が付きます。
• アカウントで仮想プライベートゲートウェイクラウド（VPC）を作成します。
Version 1.0
32
Amazon WorkSpaces 管理者ガイド
高度な設定
Caution
特に指示がない限り、この VPC のセキュリティグループ、ゲートウェイ、その他の設定を
いずれも変更しないでください。変更すると、Amazon WorkSpaces 環境が機能しなくなる
可能性があります。
• ユーザーおよび WorkSpace 情報を格納するために使用される VPC 内の Simple AD ディレクトリを
セットアップします。
• ディレクトリの管理者アカウントを作成します。
• 指定したユーザーアカウントを作成し、ディレクトリに追加します。
• WorkSpace インスタンスを作成します。
• 高速セットアップ中に作成された各 WorkSpace には、インターネットアクセスを提供するためのパ
ブリック IP アドレスが割り当てられます。後でさらに WorkSpaces を作成する場合は、WorkSpaces
にインターネットアクセスを提供する必要があります。詳細については、「Simple AD ディレクトリ
のインターネットアクセス (p. 9)」を参照してください。
• 指定されたユーザーに招待 E メールを送信します。
高度な設定
Abstract
Amazon WorkSpaces の高度な設定手順を実行します。
Amazon WorkSpaces では、AWS Directory Service ディレクトリを使用して、ユーザーおよび WorkSpace
アカウントの情報を格納します。格納先は Microsoft AD ディレクトリ、Simple AD ディレクトリ、AD
Connector ディレクトリのいずれかです。Amazon WorkSpaces で既存のディレクトリを操作できるよ
うにするか、Amazon WorkSpaces で自動的にディレクトリを作成することができます。
次のいずれかのオプションを選択します。
• Amazon WorkSpaces で既存の AWS Directory Service ディレクトリを操作できるようにする場合は、
「ディレクトリへの登録 (p. 42)」を参照してください。
• Amazon WorkSpaces で Microsoft AD の AWS Directory Service を操作できるようにする場合は、
「ネットワークでの Microsoft AD ディレクトリの準備 (p. 20)」を参照してください。
• クラウドにディレクトリを作成する場合は、「クラウドでの Amazon WorkSpaces ディレクトリの
作成 (p. 34)」で、クラウドに Simple AD ディレクトリを作成する方法を参照してください。
• オンプレミスディレクトリに接続する場合は、「ディレクトリへの Amazon WorkSpaces の接
続 (p. 35)」で、AD Connector を使用してディレクトリに接続する方法を参照してください。
• 手動で新しい Amazon VPC、Simple AD ディレクトリ、および WorkSpace を作成して設定するため
に必要なすべての手順を説明するチュートリアルについては、「チュートリアル: Simple AD ディレ
クトリの作成 (p. 76)」を参照してください。
トピック
• クラウドでの Amazon WorkSpaces ディレクトリの作成 (p. 34)
• ディレクトリへの Amazon WorkSpaces の接続 (p. 35)
Version 1.0
33
Amazon WorkSpaces 管理者ガイド
ディレクトリの作成
クラウドでの Amazon WorkSpaces ディレクトリの
作成
Abstract
クラウドに Amazon WorkSpaces ディレクトリを作成します。
Amazon WorkSpaces は、WorkSpace とユーザー情報の保存と管理にディレクトリを使用します。
Amazon WorkSpaces が Simple AD または Microsoft AD を使用してこのディレクトリをクラウドに作
成するように指定できます。
Simple AD または Microsoft AD ディレクトリの作成
Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには、2 つの異なるサービスコン
ソールを使用できます。
• AWS Directory Service
• Amazon WorkSpaces
トピック
• AWS Directory Service コンソールを使ってディレクトリを作成する (p. 34)
• Amazon WorkSpaces コンソールを使ってディレクトリを作成する (p. 34)
AWS Directory Service コンソールを使ってディレクトリを作成する
AWS Directory Service コンソールを使って Simple AD ディレクトリまたは Microsoft AD ディレクトリ
をを作成するには、以下の手順を実行します。
Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには
1.
2.
AWS Directory Service コンソールを開きます。
AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。
Amazon WorkSpaces コンソールを使ってディレクトリを作成する
Amazon WorkSpaces コンソールを使って Simple AD ディレクトリまたは Microsoft AD ディレクトリ
を作成するには、以下の手順を実行します。
Simple AD ディレクトリまたは Microsoft AD ディレクトリを作成するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで、[Directories] を選択し、[Set up Directory] を選択します。
3.
AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。
Simple AD および Microsoft AD ディレクトリのセットアップの
詳細
Simple AD または Microsoft AD ディレクトリを作成すると、Amazon WorkSpaces が自動的に以下の
タスクを実行します。
Version 1.0
34
Amazon WorkSpaces 管理者ガイド
ディレクトリへの接続
• IAM ロールを作成して、Amazon WorkSpaces サービスが Elastic Network Interface を作成し、Amazon
WorkSpaces ディレクトリの一覧を表示できるようにします。そのロールには、
workspaces_DefaultRole という名前が付きます。
• ユーザーおよび WorkSpace 情報を格納するために使用される VPC 内のディレクトリをセットアッ
プします。
• ユーザー名 Administrator と指定されたパスワードを使用してディレクトリ管理者アカウントを
作成します。このアカウントを使用してディレクトリを管理します。
• 2 つのセキュリティグループを作成します。1 つはディレクトリコントローラ用で、もう 1 つはディ
レクトリ内の WorkSpaces 用です。
ディレクトリへの Amazon WorkSpaces の接続
Abstract
Amazon WorkSpaces をオンプレミスディレクトリに接続します。
Amazon WorkSpaces は、WorkSpace とユーザー情報の保存と管理にネットワークディレクトリを使
用します。AD Connector を使用して Amazon WorkSpaces をオンプレミスディレクトリに接続できる
ため、ユーザーはオンプレミスの認証情報を使用して自分の WorkSpace にサインインすることができ
ます。また、ローカルにアクセスできる同じオンプレミスのリソースに、WorkSpace からもアクセス
できるようになります。
ディレクトリに接続するには、2 つの異なるサービスコンソールを使用できます。
• AWS Directory Service
• Amazon WorkSpaces
AWS Directory Service コンソールを使ってディレクトリに接続
する
AD Connector を使って AWS Directory Service コンソールでオンプレミスディレクトリに接続するに
は、以下の手順を実行します。
ディレクトリに接続するには
1.
2.
AWS Directory Service コンソールを開きます。
AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。
Amazon WorkSpaces コンソールを使ってディレクトリに接続
する
AD Connector を使って Amazon WorkSpaces コンソールでオンプレミスディレクトリに接続するに
は、以下の手順を実行します。
ディレクトリに接続するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで、[Directories] を選択し、[Set up Directory] を選択します。
3.
AWS Directory Service Administration Guideの [ディレクトリの作成] の手順に従います。
Version 1.0
35
Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces 管理
Abstract
Amazon WorkSpaces ディレクトリの高度な管理を実行する方法について説明します。
Amazon WorkSpaces はクラウドで動作する、完全マネージド型のデスクトップコンピューティング
サービスです。Amazon WorkSpaces を使うと、クラウドベースのデスクトップを起動して、エンド
ユーザーに必要なドキュメント、アプリケーション、およびリソースが、ノート PC、iPad、Kindle
Fire、Android タブレットなど任意のデバイスからアクセスできるようになります。詳細については、
「Amazon WorkSpaces」を参照してください。
Amazon WorkSpaces はネットワークディレクトリを使用して、ユーザーと WorkSpace 情報を格納し
ます。このディレクトリは、クラウドのディレクトリか、オンプレミスディレクトリに接続されていま
す。
クラウドディレクトリでは、ユーザーおよび WorkSpace 情報は VPC の 1 つに存在するスタンドアロ
ンディレクトリに格納されます。WorkSpace ユーザーはこのディレクトリ内にのみ存在し、外部ディ
レクトリにはリンクされていません。クラウドディレクトリを作成すると、Amazon WorkSpaces がこ
のディレクトリを自動的にセットアップします。オンプレミスディレクトリがない場合、またはオンプ
レミスリソースにアクセスする必要がない場合は、クラウドディレクトリを使用してください。詳細に
ついては、「クラウドでの Amazon WorkSpaces ディレクトリの作成 (p. 34)」を参照してください。
接続したディレクトリの場合は、ユーザーおよび WorkSpace 情報はオンプレミスディレクトリに格納
されます。WorkSpace ユーザーは、オンプレミスディレクトリ内にすでに存在しているユーザーから
選択されます。作成した WorkSpaces は、ディレクトリ内にコンピュータアカウントとして表されま
す。オンプレミスリソースにアクセスする必要がある場合は、接続したディレクトリを使用する必要が
あります。詳細については、「ディレクトリへの Amazon WorkSpaces の接続 (p. 35)」を参照してく
ださい。
どちらのタイプのディレクトリを使用する場合も、WorkSpaces へのインターネットアクセスを提供す
る必要があります。これを実現するための具体的な方法については、それぞれに関連したトピックで説
明しています。
Amazon WorkSpaces は、ユーザーおよび WorkSpace 情報を格納するために Active Directory と互換
性があるディレクトリを使用するため、使い慣れた Active Directory ツールを使用してこれらのオブジェ
クトを管理することができます。これらの操作を実行するために、Amazon WorkSpaces 内にディレク
トリ管理 WorkSpace を簡単にセットアップできます。詳細については、「ディレクトリの管理
WorkSpace のセットアップ (p. 62)」を参照してください。もう 1 つの方法として、Windows EC2 イ
ンスタンスをこのディレクトリに結合し、そのインスタンスに Active Directory 管理ツールをインストー
ルできます。Windows インスタンスとディレクトリの結合に関する詳細は、「Amazon EC2 インスタ
Version 1.0
36
Amazon WorkSpaces 管理者ガイド
詳細
ンスのディレクトリへの結合 (p. 63)」を参照してください。WorkSpace またはインスタンスに Active
Directory 管理ツールをインストールする方法の詳細については、「Active Directory 管理ツールのイン
ストール (p. 63)」を参照してください。
トピック
• Amazon WorkSpaces の詳細 (p. 37)
• Amazon WorkSpaces マネジメントコンソール (p. 41)
• Amazon WorkSpaces ディレクトリの管理 (p. 62)
• グループポリシーを使用した WorkSpaces とユーザーの管理 (p. 66)
• ファイル共有 (p. 69)
• PCoIP ゼロクライアントの有効化 (p. 69)
• Amazon WorkSpaces メトリックスのモニタリング (p. 69)
• Amazon WorkSpaces の管理の問題のトラブルシューティング (p. 72)
Amazon WorkSpaces の詳細
以下のセクションでは、Amazon WorkSpaces サービスの機能に関する重要な情報を提供します。
トピック
• ネットワークインターフェイス (p. 37)
• PCoIP ゲートウェイの IP 範囲 (p. 39)
• WorkSpaces セキュリティグループ (p. 39)
• 制限 (p. 40)
ネットワークインターフェイス
各 WorkSpace に 2 つのネットワークインターフェイスがあります。1 つはプライマリネットワークイ
ンターフェイスと呼ばれるインターフェイスで、VPC 内だけでなくインターネットでのリソースへの
接続を可能にし、WorkSpaces ディレクトリとの結合に使用されます。
もう 1 つは管理ネットワークインターフェイスと呼ばれるインターフェイスで、セキュアな Amazon
WorkSpaces 管理ネットワークに接続します。管理ネットワークインターフェイスを使用すると、
WorkSpace デスクトップと Amazon WorkSpaces クライアントアプリケーションとのインタラクティ
ブなストリーミングを行ったり、Amazon WorkSpaces サービスで WorkSpace を管理することもでき
ます。Amazon WorkSpaces サービスは、WorkSpaces が作成されたリージョンに応じて、さまざまな
アドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが
登録されるときに、Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これ
らのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で
競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリ
が登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。使用する IP
アドレス範囲を手動で指定することはできません。次の表は、各リージョンで使用される IP アドレス
範囲の一覧です。
管理インターフェイスの IP アドレス範囲
リージョン
管理インターフェイスの IP アドレス範囲
US East (N. Virginia)
172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
米国西部（オレゴン）
172.31.0.0/16 と 192.168.0.0/16
欧州（アイルランド）
172.31.0.0/16 と 192.168.0.0/16
Version 1.0
37
Amazon WorkSpaces 管理者ガイド
ネットワークインターフェイス
リージョン
管理インターフェイスの IP アドレス範囲
アジアパシフィック（シドニー）
172.31.0.0/16 と 192.168.0.0/16
アジアパシフィック（東京）
198.19.0.0/16
アジアパシフィック（シンガポール）
198.19.0.0/16
WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。変
更/削除すると、WorkSpace にアクセスできなくなる可能性があります。
管理インターフェイスポート
次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要がありま
す。
•
•
•
•
ポート 4172 のインバウンド TCP。これはストリーミング接続の確立に使用されます。
ポート 4172 のインバウンド UDP。これはユーザー入力をストリーミングするために使用されます。
ポート 8200 のインバウンド TCP。これは、WorkSpace の管理と設定に使用されます。
ポート 55002 のアウトバウンド UDP。これは PCoIP のストリーミングに使用されます。ファイア
ウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 55002
が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リ
ターン通信用に一時ポート 49152～65535 を開放する必要があります。
通常の状況では、Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを正しく設定
します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォール
ソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあ
れば、アクセスできないこともあります。
プライマリインターフェイスポート
ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイ
スで、次のポートが開いている必要があります。
• インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に
対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、
WorkSpaces のセキュリティグループに手動で追加する必要があります。
• TCP 80（HTTP）
• TCP 443（HTTPS）
• ディレクトリコントローラと通信するには、WorkSpaces VPC とディレクトリコントローラの間で
次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service
によって作成されたセキュリティグループでは、これらのポートが正しく設定されます。AD Connector
ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調
整が必要になる場合があります。
• TCP/UDP 53 - DNS
• TCP/UDP 88 - Kerberos 認証
• UDP 123 - NTP
• TCP 135 - RPC
• UDP 137-138 - Netlogon
• TCP 139 - Netlogon
• TCP/UDP 389 - LDAP
• TCP/UDP 445 - SMB
Version 1.0
38
Amazon WorkSpaces 管理者ガイド
PCoIP ゲートウェイの IP 範囲
• TCP 1024-65535 - RPC 用ダイナミックポート
これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフト
ウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、
アクセスできないこともあります。
• すべての WorkSpace では、EC2 メタデータサービスへのアクセスができるようにポート 80（HTTP）
が IP アドレス 169.254.169.254 に開放されている必要があります。WorkSpace に割り当てられ
ているすべての HTTP プロキシで、169.254.169.254 が除外されている必要があります。
PCoIP ゲートウェイの IP 範囲
Amazon WorkSpaces では、PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IP アド
レス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォール
ポリシーを非常に細かく設定することができます。Amazon WorkSpaces サービスは PCoIP ゲートウェ
イを使用して、デスクトップセッションをポート 4172 経由でクライアントアプリケーションにスト
リーミングします。
PCoIP ゲートウェイサーバーのパブリック IP アドレス範囲
リージョン
PCoIP ゲートウェイサーバーのパブリック IP ア
ドレス範囲
US East (N. Virginia)
52.23.61.0 – 52.23.62.255
米国西部（オレゴン）
54.244.46.0 – 54.244.47.255
欧州（アイルランド）
52.19.124.0 – 52.19.125.255
アジアパシフィック（シンガポール）
52.76.127.0 – 52.76.127.255
アジアパシフィック（シドニー）
54.153.254.0 – 54.153.254.255
アジアパシフィック（東京）
54.250.251.0 – 54.250.251.255
WorkSpaces セキュリティグループ
Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に割
り当てます。このセキュリティグループの識別子は、次の図に示すように、ディレクトリの詳細の
[Security Groups] フィールドで確認できます。
新しいセキュリティグループを追加することにより、WorkSpaces の作成または再構築時に追加のセ
キュリティグループを適用するオプションがあります。詳細については、次のトピックを参照してくだ
さい。
Version 1.0
39
Amazon WorkSpaces 管理者ガイド
制限
クラウドのディレクトリ
セキュリティグループの追加 (p. 43)
AD Connector ディレクトリ
セキュリティグループの追加 (p. 46)
Microsoft AD ディレクトリ
セキュリティグループの追加 (p. 49)
WorkSpaces セキュリティグループを元の設定にリセットする必要がある場合、WorkSpaces セキュリ
ティグループの最小ポート要件は次のとおりです。設定によっては追加ポートが開かれていることが必
要になる可能性があります。ディレクトリコントローラのセキュリティグループには、ディレクトリ識
別子とそれに続く _controllers で構成される名前（d-92673056e8_controllers など）がありま
す。
アウトバウンドルール:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
TCP 53 - directory controllers セキュリティグループ
TCP 80 - 0.0.0.0/0
TCP 88 - directory controllers セキュリティグループ
TCP 135 - directory controllers セキュリティグループ
TCP 389 - directory controllers セキュリティグループ
TCP 443 - 0.0.0.0/0
TCP 445 - directory controllers セキュリティグループ
TCP 464 - directory controllers セキュリティグループ
TCP 636 - directory controllers セキュリティグループ
TCP 1024 ～ 65535 - directory controllers セキュリティグループ
TCP 3268 ～ 3269 - directory controllers セキュリティグループ
UDP 53 - directory controllers セキュリティグループ
UDP 80 - 0.0.0.0/0
UDP 88 - directory controllers セキュリティグループ
UDP 123 - directory controllers セキュリティグループ
UDP 138 - directory controllers セキュリティグループ
UDP 389 - directory controllers セキュリティグループ
UDP 443 - 0.0.0.0/0
UDP 445 - directory controllers セキュリティグループ
UDP 464 - directory controllers セキュリティグループ
ICMP すべて - directory controllers セキュリティグループ
制限
Amazon WorkSpaces には次の制限があります。
トピック
• ユーザーアクセス制御 (p. 41)
• ファイアウォール (p. 41)
• ユーザーアカウント (p. 41)
Version 1.0
40
Amazon WorkSpaces 管理者ガイド
マネジメントコンソール
ユーザーアクセス制御
ユーザーアクセス制御（UAC）は WorkSpaces ではサポートされません。管理者またはユーザーが
WorkSpace の UAC 設定を変更した場合、WorkSpace に接続できなくなる可能性があり、その場合は、
WorkSpace の再構築が必要です。
ファイアウォール
WorkSpace には、あらゆるタイプのセキュリティまたはファイアウォールソフトウェアをインストー
ルできますが、Amazon WorkSpaces には、WorkSpace で開かれている特定のインバウンドおよびア
ウトバウンドポートが必要です。インストールしたセキュリティまたはファイアウォールソフトウェア
がこれらのポートをブロックしている場合は、WorkSpace が適切に機能しないか、アクセスできない
可能性があります。これを解決するには、WorkSpace を再構築する必要があります。WorkSpace に
オープンする必要があるポートの詳細については、「管理インターフェイスポート (p. 38)」および「プ
ライマリインターフェイスポート (p. 38)」を参照してください。
ユーザーアカウント
Amazon WorkSpaces では、ユーザーアカウントについて以下の制限があります。
• Active Directory ユーザーとコンピュータツールを使用して新しいユーザーを作成するか、既存のユー
ザーのパスワードをリセットするときに、[User must change password at next logon] を設定しない
でください。ユーザーは WorkSpace に接続できなくなります。代わりに、安全な一時パスワードを
ユーザーに割り当てて、ユーザーが次回ログオンしたときに WorkSpace 内から手動でパスワードを
変更するように指示します。
Amazon WorkSpaces マネジメントコンソール
Abstract
Amazon WorkSpaces マネジメントコンソールを使用して、WorkSpaces とディレクトリを管理します。
ディレクトリが作成されたら、Amazon WorkSpaces コンソールを使用して、WorkSpaces の起動、
ディレクトリの削除など、特定の機能を実行します。
トピック
• ディレクトリ管理 (p. 41)
• WorkSpace 管理 (p. 50)
• WorkSpace バンドルの管理 (p. 58)
• WorkSpace イメージの管理 (p. 60)
• Windows 7 デスクトップイメージを使用する (p. 61)
ディレクトリ管理
Abstract
Amazon WorkSpaces とディレクトリの管理。
Amazon WorkSpaces マネジメントコンソールを使用して、新しいディレクトリの作成や既存ディレク
トリとの削除など、特定のディレクトリ関連アクションを実行できます。ディレクトリを作成すると、
ほとんどの管理機能は、Active Directory 管理ツールなどのディレクトリ管理ツールで実行されます。
詳細については、「Amazon WorkSpaces ディレクトリの管理 (p. 62)」を参照してください。
Version 1.0
41
Amazon WorkSpaces 管理者ガイド
ディレクトリ
トピック
• 登録 (p. 42)
• Simple AD ディレクトリの管理 (p. 43)
• AD Connector ディレクトリの管理 (p. 45)
• Microsoft AD ディレクトリの管理 (p. 48)
登録
Amazon WorkSpaces では、既存の AWS Directory Service ディレクトリを使用して、Amazon
WorkSpaces ユーザーおよびリソースを格納できます。[Directories] リストには現在のリージョンにあ
るすべての AWS Directory Service ディレクトリが表示され、Amazon WorkSpaces がそれぞれのディ
レクトリに登録されているかどうかが表示されます。
トピック
• ディレクトリへの登録 (p. 42)
• ディレクトリからの登録解除 (p. 42)
ディレクトリへの登録
既存の AWS Directory Service ディレクトリの使用を Amazon WorkSpaces に許可するには、Amazon
WorkSpaces をそのディレクトリに登録する必要があります。
ディレクトリに登録するには
1.
2.
3.
4.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
登録するディレクトリを選択し、[Actions]、[Register] の順に選択します。
[Register directory] ダイアログボックスで Amazon WorkDocs をこのディレクトリに登録するかど
うかを選び、[Register] を選択します。
Note
このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表示
されます。
このサービスがディレクトリに登録されると、ディレクトリ内のユーザーの WorkSpace を起動で
きます。
ディレクトリからの登録解除
このサービスでの使用を停止するために、ディレクトリから Amazon WorkSpaces の登録解除ができ
ます。ディレクトリを削除する前に、ディレクトリからこのサービスの登録解除をする必要がありま
す。ユーザーに割り当てられた Amazon WAM アプリケーションがある場合、ディレクトリを削除する
前にこれらの割り当てもすべて削除する必要があります。詳細については、Amazon WAM Administration
Guide の Removing All Application Assignments を参照してください。
ディレクトリから Amazon WorkSpaces を登録解除するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Deregister] の順に選択します。
Version 1.0
42
Amazon WorkSpaces 管理者ガイド
ディレクトリ
4.
[Deregister directory] ダイアログボックスで、ディレクトリからサービスの登録を解除することを
確認し、[Deregister] を選択します。
Simple AD ディレクトリの管理
次のトピックでは、Simple AD ディレクトリで実行できるさまざまな管理アクションを説明します。
トピック
• Simple AD ディレクトリ情報の更新 (p. 43)
• Simple AD ディレクトリの削除 (p. 44)
Simple AD ディレクトリ情報の更新
Amazon WorkSpaces コンソールを使用して、Simple AD ディレクトリの次の設定を変更できます。
目次
•
•
•
•
デフォルトの組織単位 (p. 43)
セキュリティグループの追加 (p. 43)
インターネットアクセス (p. 44)
ローカル管理者の設定 (p. 44)
デフォルトの組織単位
デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置される組織単位です。これが設
定されていない場合、WorkSpaces のコンピュータアカウントはコンピュータの組織単位に配置されま
す。現在の WorkSpaces ディレクトリから組織単位を自分で選択するか、個別のターゲットドメイン
で組織単位を指定します。
組織単位を選択するには
1.
2.
3.
4.
5.
6.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Target Domain and Organizational Unit] セクションを展開します。
希望する組織単位名の全体または一部を入力し、[Search OU] を選択します。または、[List all OU]
を選択して、すべての組織単位を検索することもできます。
希望する組織単位を選択し、[Update] を選択します。この設定が変更された後で作成または再構築
されたすべての WorkSpaces のコンピュータアカウントは、選択された組織単位に配置されます。
セキュリティグループの追加
Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に割
り当てます。WorkSpaces の作成時または再構築時に、以下の手順に従って WorkSpaces にセキュリ
ティグループを追加できます。
セキュリティグループを追加するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
4.
[Security Group] セクションを展開します。
Version 1.0
43
Amazon WorkSpaces 管理者ガイド
ディレクトリ
5.
6.
新しいセキュリティグループを作成するには、[Create New] を選択します。
希望するセキュリティグループを選択し、[Update] を選択します。この設定が変更された後で作成
または再構築されたすべての WorkSpaces には、指定したセキュリティグループが含まれます。
インターネットアクセス
You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned
or rebuilt.
To enable public IP addresses
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
4.
In the navigation pane, choose Directories.
Select your directory, then choose Actions and Update Details.
Expand the Internet Access section.
5.
To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or
rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose
Update.
This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you
need to have a public IP address applied to an existing WorkSpace, you must either rebuild the WorkSpace,
or manually assign an Elastic IP address to the WorkSpace. For more information about rebuilding a
WorkSpace, see WorkSpace の再構築 (p. 57). For more information about assigning an Elastic IP address
to an existing WorkSpace, see WorkSpace への Elastic IP アドレスの割り当て (p. 10).
ローカル管理者の設定
ユーザーが各自の WorkSpace でローカル管理者であるかどうかを選択できます。デフォルトではユー
ザーはローカル管理者に設定されており、WorkSpace でアプリケーションのインストールと設定の変
更を行うことができる権限があります。
ローカル管理者の権限を設定するには
1.
2.
3.
4.
5.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Local Administrator Setting] セクションを展開します。
ローカル管理者としてユーザーを設定するには、[Enable] を選択します。それ以外の場合は、
[Disable] を選択します。
6.
[Update] を選択します。この設定は、設定が変更されたのちに作成または再構成されたすべての
WorkSpace に適用されます。
Simple AD ディレクトリの削除
Simple AD ディレクトリを削除する前に、まずディレクトリからすべての WorkSpaces を削除する必
要があります。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 57)」を参照してくだ
さい。クラウドのディレクトリを削除するには、次のステップを実行します。
ディレクトリを削除するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
3.
削除するディレクトリを選択し、[Actions]、[Deregister] の順に選択します。
Version 1.0
44
Amazon WorkSpaces 管理者ガイド
ディレクトリ
4.
5.
6.
[Deregister Directory] ダイアログボックスの情報を確認して、[Deregister] を選択します。
削除するディレクトリを選択し、[Actions]、[Delete] の順に選択します。
[Delete Directory] ダイアログボックスの情報を確認して、[Delete] を選択します。
AD Connector ディレクトリの管理
Amazon WorkSpaces をオンプレミスディレクトリに接続する場合、Amazon WorkSpaces に、
WorkSpaces を使用するユーザーのアイデンティティのソースとしてオンプレミスのディレクトリを使
用するように指示します。
トピック
• 接続したディレクトリ情報の更新 (p. 45)
• ディレクトリの切断 (p. 48)
接続したディレクトリ情報の更新
接続したディレクトリの次の設定を変更するために Amazon WorkSpaces コンソールを使用すること
ができます。
トピック
• ターゲットドメインとデフォルトの組織単位 (p. 45)
• セキュリティグループの追加 (p. 46)
• インターネットアクセス (p. 46)
• WorkSpaces 接続アカウントの更新 (p. 47)
• 多要素認証 (p. 47)
ターゲットドメインとデフォルトの組織単位
デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置された組織単位です。これが設
定されていない場合、WorkSpaces のコンピュータアカウントは、AD Connector ディレクトリが接続
されているディレクトリのコンピュータの組織単位に配置されます。接続されているディレクトリから
組織単位を自分で選択するか、別のターゲットドメインで組織単位を指定します。WorkSpaces のコン
ピュータアカウントに対して複数の組織単位が必要な場合は、それぞれに個別の AD Connector ディレ
クトリを作成する必要があります。
ターゲットドメインは WorkSpace のコンピュータアカウントを作成するディレクトリです。これによ
り、WorkSpaces で個別のユーザーおよびリソースのディレクトリを使用することができます。ター
ゲットドメインが指定されていない場合、WorkSpace のコンピュータアカウントは AD Connector ディ
レクトリが接続されているディレクトリに作成されます。次はターゲットドメインの要件です。
• ターゲットドメインは AD Connector ディレクトリが接続されているディレクトリの子であるか、ま
たは少なくともこのディレクトリと一方向の信頼がある必要があります。
• AD Connector ディレクトリの DNS サーバーは、ターゲットドメインの完全修飾識別子名を解決で
きる必要があります。
• VPC とオンプレミスディレクトリ間の接続およびファイアウォールの要件と同じ要件が、VPC と
ターゲットドメイン間にもある必要があります。詳細については、「要件 (p. 14)」を参照してくだ
さい。
• AD Connector ディレクトリのサービスアカウントは、ターゲットドメインで以下の権限が必要です。
• コンピュータのオブジェクトの作成
• コンピュータのドメインへの結合
Version 1.0
45
Amazon WorkSpaces 管理者ガイド
ディレクトリ
組織単位を選択するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
4.
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Target Domain and Organizational Unit] セクションを展開します。
5.
希望する組織単位名の全体または一部を入力し、[Search OU] を選択します。または、[List all OU]
を選択して、すべての組織単位を検索することもできます。
希望する組織単位を選択し、[Update] を選択します。この設定が変更された後で作成または再構築
されたすべての WorkSpaces のコンピュータアカウントは、選択された組織単位に配置されます。
6.
ターゲットドメインと組織単位を指定するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
3.
4.
5.
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Target Domain and Organizational Unit] セクションを展開します。
ターゲットドメインと組織単位の完全 LDAP 識別子名を [Selected OU] フィールドに入力し (例:
OU=WorkSpaces_machines,DC=machines,DC=example,DC=com)、[Update] を選択します。こ
の設定が変更された後で作成または再構築されたすべての WorkSpaces のコンピュータアカウン
トは、指定されたドメインおよび組織単位に作成されます。
セキュリティグループの追加
Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に割
り当てます。WorkSpaces の作成時または再構築時に、以下の手順に従って WorkSpaces にセキュリ
ティグループを追加できます。
セキュリティグループを追加するには
1.
2.
3.
4.
5.
6.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Security Group] セクションを展開します。
新しいセキュリティグループを作成するには、[Create New] を選択します。
希望するセキュリティグループを選択し、[Update] を選択します。この設定が変更された後で作成
または再構築されたすべての WorkSpaces には、指定したセキュリティグループが含まれます。
インターネットアクセス
You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned
or rebuilt.
To enable public IP addresses
1.
2.
3.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
In the navigation pane, choose Directories.
Select your directory, then choose Actions and Update Details.
4.
5.
Expand the Internet Access section.
To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or
rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose
Update.
Version 1.0
46
Amazon WorkSpaces 管理者ガイド
ディレクトリ
This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you
need to have a public IP address applied to an existing WorkSpace, you must either rebuild the WorkSpace,
or manually assign an Elastic IP address to the WorkSpace. For more information about rebuilding a
WorkSpace, see WorkSpace の再構築 (p. 57). For more information about assigning an Elastic IP address
to an existing WorkSpace, see WorkSpace への Elastic IP アドレスの割り当て (p. 10).
WorkSpaces 接続アカウントの更新
WorkSpaces 接続アカウントは、ユーザーとグループの読み取りや、ディレクトリに Amazon WorkSpaces
コンピュータアカウントを作成する際に使用するアカウントです。このアカウントの詳細については、
「要件 (p. 14)」セクションを参照してください。
WorkSpaces 接続アカウントを更新するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
3.
4.
5.
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Update WorkSpaces Connect Account] セクションを展開します。
新しいサービスアカウントのユーザー名およびパスワードを入力し、[Update] をクリックします。
新しいアカウントはオンプレミスディレクトリへのアクセスに使用されます。
多要素認証
以下の手順を実行して、AD Connector ディレクトリの多要素認証を有効にすることができます。Amazon
WorkSpaces での多要素認証を使用の詳細については、「多要素認証の前提条件 (p. 17)」を参照して
ください。
多要素認証を有効にするには
1.
2.
3.
4.
5.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Multi-Factor Authentication] セクションを展開します。
以下の値を入力し、[Update] または [Update and Exit] を選択します。
Multi-Factor Authentication の有効化
オンにすると、多要素認証が有効になります。
[RADIUS server IP address(es)]
RADIUS サーバーエンドポイントの IP アドレス、または、RADIUS サーバーロードバランサー
の IP アドレス。カンマで区切って、複数の IP アドレスを入力できます（たとえば、
192.0.0.0,192.0.0.12）。
ポート
RADIUS サーバーが通信のために使用しているポート。オンプレミスネットワークでは、AD
Connector サーバーからのデフォルトの RADIUS サーバーポート（1812）を介した受信トラ
フィックが許可されている必要があります。
[Shared secret code]
RADIUS エンドポイントの作成時に指定された共有シークレットコード。
[Confirm shared secret code]
RADIUS エンドポイントの共有シークレットコードを確認します。
プロトコル
RADIUS エンドポイントの作成時に指定されたプロトコルを選択します。
[Server timeout]
RADIUS サーバーのレスポンスを待つ時間（秒）。これは 1～60 の範囲の値にする必要があ
ります。
Version 1.0
47
Amazon WorkSpaces 管理者ガイド
ディレクトリ
最大再試行回数
RADIUS サーバーとの通信を試みる回数。これは 0～10 の範囲の値にする必要があります。
多要素認証は、[RADIUS Status] が [Enabled] に変わると使用できます。多要素認証のセットアッ
プ中は、ユーザーが WorkSpaces にログインすることはできません。
ディレクトリの切断
ディレクトリから切断する前に、まずディレクトリからすべての WorkSpaces を削除する必要があり
ます。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 57)」を参照してください。ディ
レクトリを切断するには、次のステップを実行します。
ディレクトリから切断するには
1.
2.
3.
4.
5.
6.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
切断するディレクトリを選択し、[Directory Actions]、[Deregister] の順に選択します。
[Deregister Directory] ダイアログボックスの情報を確認して、[Deregister] を選択します。
切断するディレクトリを選択し、[Actions]、[Delete] の順に選択します。
[Delete Directory] ダイアログボックスの情報を確認して、[Delete] を選択します。
Microsoft AD ディレクトリの管理
以下のトピックでは、Microsoft AD ディレクトリで実行できるさまざまな管理アクションを説明しま
す。
トピック
• Microsoft AD ディレクトリ情報の更新 (p. 48)
• Microsoft AD ディレクトリの削除 (p. 50)
Microsoft AD ディレクトリ情報の更新
Amazon WorkSpaces コンソールを使用して、Microsoft AD ディレクトリの以下の設定を変更できま
す。
目次
• デフォルトの組織単位 (p. 48)
• セキュリティグループの追加 (p. 49)
• インターネットアクセス (p. 49)
• ローカル管理者の設定 (p. 49)
デフォルトの組織単位
デフォルトの組織単位は WorkSpace のコンピュータアカウントが配置される組織単位です。これが設
定されていない場合、WorkSpaces のコンピュータアカウントはコンピュータの組織単位に配置されま
す。現在の WorkSpaces ディレクトリから組織単位を自分で選択するか、個別のターゲットドメイン
で組織単位を指定します。
組織単位を選択するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
Version 1.0
48
Amazon WorkSpaces 管理者ガイド
ディレクトリ
2.
3.
4.
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Target Domain and Organizational Unit] セクションを展開します。
5.
希望する組織単位名の全体または一部を入力し、[Search OU] を選択します。または、[List all OU]
を選択して、すべての組織単位を検索することもできます。
希望する組織単位を選択し、[Update] を選択します。この設定が変更された後で作成または再構築
されたすべての WorkSpaces のコンピュータアカウントは、選択された組織単位に配置されます。
6.
セキュリティグループの追加
Amazon WorkSpaces はセキュリティグループを作成し、ディレクトリ内のすべての WorkSpaces に割
り当てます。WorkSpaces の作成時または再構築時に、以下の手順に従って WorkSpaces にセキュリ
ティグループを追加できます。
セキュリティグループを追加するには
1.
2.
3.
4.
5.
6.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Security Group] セクションを展開します。
新しいセキュリティグループを作成するには、[Create New] を選択します。
希望するセキュリティグループを選択し、[Update] を選択します。この設定が変更された後で作成
または再構築されたすべての WorkSpaces には、指定したセキュリティグループが含まれます。
インターネットアクセス
You can have Amazon WorkSpaces assign a public IP address to all WorkSpaces that are provisioned
or rebuilt.
To enable public IP addresses
1.
2.
3.
4.
5.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
In the navigation pane, choose Directories.
Select your directory, then choose Actions and Update Details.
Expand the Internet Access section.
To have Amazon WorkSpaces assign a public IP address to every WorkSpace that is created or
rebuilt, choose Enable. Otherwise, choose Disable. When you have completed your selection, choose
Update.
This setting only applies to WorkSpaces that are provisioned or rebuilt after the setting is enabled. If you
need to have a public IP address applied to an existing WorkSpace, you must either rebuild the WorkSpace,
or manually assign an Elastic IP address to the WorkSpace. For more information about rebuilding a
WorkSpace, see WorkSpace の再構築 (p. 57). For more information about assigning an Elastic IP address
to an existing WorkSpace, see WorkSpace への Elastic IP アドレスの割り当て (p. 10).
ローカル管理者の設定
ユーザーが各自の WorkSpace でローカル管理者であるかどうかを選択できます。デフォルトではユー
ザーはローカル管理者に設定されており、WorkSpace でアプリケーションのインストールと設定の変
更を行うことができる権限があります。
Version 1.0
49
Amazon WorkSpaces 管理者ガイド
WorkSpaces
ローカル管理者の権限を設定するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
4.
ナビゲーションペインで [Directories] を選択します。
ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。
[Local Administrator Setting] セクションを展開します。
5.
ローカル管理者としてユーザーを設定するには、[Enable] を選択します。それ以外の場合は、
[Disable] を選択します。
[Update] を選択します。この設定は、設定が変更されたのちに作成または再構成されたすべての
WorkSpace に適用されます。
6.
Microsoft AD ディレクトリの削除
Microsoft AD ディレクトリを削除する前に、まずディレクトリからすべての WorkSpaces を削除する
必要があります。WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 57)」を参照してく
ださい。クラウドのディレクトリを削除するには、次のステップを実行します。
ディレクトリを削除するには
1.
2.
3.
4.
5.
6.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [Directories] を選択します。
削除するディレクトリを選択し、[Actions]、[Deregister] の順に選択します。
[Deregister Directory] ダイアログボックスの情報を確認して、[Deregister] を選択します。
削除するディレクトリを選択し、[Actions]、[Delete] の順に選択します。
[Delete Directory] ダイアログボックスの情報を確認して、[Delete] を選択します。
WorkSpace 管理
Abstract
WorkSpaces を管理する方法を学びます。
Amazon WorkSpaces では、各 WorkSpace は単一のユーザーに割り当てられます。したがって、新し
い WorkSpace を起動するときはいつでも、まだ WorkSpace を持っていないユーザーにその WorkSpace
を割り当てる必要があります。WorkSpaces は単一ユーザーのみが使用でき、個別のユーザー間で共有
することはできません。
Amazon WorkSpaces 管理者は、ユーザーおよび WorkSpaces を管理する次のタスクの実行するために
Amazon WorkSpaces 管理コンソールを使用します。
トピック
• WorkSpace の起動 (p. 51)
• 招待の再送信 (p. 53)
• WorkSpace を暗号化します。 (p. 53)
• WorkSpace の再起動 (p. 57)
• WorkSpace の再構築 (p. 57)
• WorkSpace の削除 (p. 57)
• ユーザー情報の編集 (p. 58)
Version 1.0
50
Amazon WorkSpaces 管理者ガイド
WorkSpaces
WorkSpace の起動
WorkSpace を起動する方法は、使用するディレクトリのタイプによって異なります。
• クラウドのディレクトリで WorkSpace を起動する場合は、「クラウドのディレクトリで WorkSpaces
を起動する (p. 51)」を参照してください。
• 接続したディレクトリで WorkSpace を起動する場合は、「接続したディレクトリで WorkSpaces を
起動する (p. 52)」を参照してください。
クラウドのディレクトリで WorkSpaces を起動する
Amazon WorkSpaces クラウドのディレクトリで WorkSpaces にアクセスできるユーザーを作成するに
は、Amazon WorkSpaces を使用します。
ユーザーの WorkSpace を起動するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
ナビゲーションペインで [WorkSpaces] を選択し、次に [Launch WorkSpaces] を選択します。
[Select a Directory] で、クラウドのディレクトリを選択します。これはユーザーを選択するディレ
クトリです。
このディレクトリで初めて WorkSpace を起動する場合は、このディレクトリのすべてのユーザー
に対して Amazon WorkDocs サービスを有効にするか無効にするかを選択できます。Amazon
WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期ク
ライアントのヘルプ」を参照してください。内容を選択して [Next] を選択します。
Note
このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表示
されます。
4.
WorkSpace を起動する対象のユーザーを選択します。ユーザー名全体か一部で検索できます。ま
た、ワイルドカード文字（*）を使用して拡張検索できます。[Show All Users] を選択することもで
きます。ユーザーに E メールアドレスがない場合、そのユーザーに WorkSpace を起動できませ
ん。
希望するユーザーを選択したら、[Add Selected] を選択します。選択したユーザーは [WorkSpaces]
の一覧に追加されます。
新しいユーザーを作成するには、新しいユーザーの情報を入力します。他のユーザーを作成するに
は、[Create Additional Users] を選択し、追加のユーザーの情報を入力します。すべての新しいユー
ザーにこのプロセスを繰り返し、[Create Users] を選択します。新しいユーザーは [WorkSpaces]
の一覧に追加されます。
希望するユーザーをすべて選択または作成するまでこのステップを繰り返し、[Next] を選択しま
す。
5.
WorkSpaces 用に使用するデフォルトの WorkSpace バンドルを選択します。リージョンで複数の
オペレーティングシステムの言語を使用できる場合は、目的のオペレーティングシステムの言語を
選択することもできます。必要に応じて、[Assign WorkSpace Bundles] リストで個々の WorkSpaces
についてこれらの設定をカスタマイズできます。利用可能なさまざまなバンドルの詳細について
は、「Amazon WorkSpaces 製品の詳細」を参照してください。選択が完了したら、[Next] を選択
します。
6.
ユーザーの一覧または WorkSpace で使用するバンドルに必要な変更を行い、[Launch WorkSpaces]
を選択します。
Version 1.0
51
Amazon WorkSpaces 管理者ガイド
WorkSpaces
クラウドのディレクトリで WorkSpaces を起動する場合、Amazon WorkSpaces でディレクトリのメン
バー用に作成したセキュリティグループを WorkSpace に割り当てます。セキュリティグループの詳細
については、「WorkSpaces セキュリティグループ (p. 39)」を参照してください。
WorkSpaces の起動には数分かかります。WorkSpaces が使用できるようになると、登録手順を案内す
る招待 E メールが未登録ユーザーに送信されます。すでにユーザーが登録されている場合は、代わり
にようこそ E メールを送信する必要があります。ようこそ E メールには Amazon WorkSpaces クライ
アントのダウンロードおよびインストール手順と WorkSpace のログイン手順が含まれています。詳細
については、「招待の再送信 (p. 53)」を参照してください。
接続したディレクトリで WorkSpaces を起動する
Amazon WorkSpaces がオンプレミスのディレクトリに接続されている場合、Amazon WorkSpaces コ
ンソールではユーザーの追加や削除は行いません。代わりに WorkSpaces を起動している時にディレ
クトリの既存のユーザーを選択します。
既存のユーザーの WorkSpace を起動するには
1.
2.
3.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択し、次に [Launch WorkSpaces] を選択します。
[Select a Directory] で、接続されているディレクトリを選択します。これはユーザーを選択する
ディレクトリです。
このディレクトリで初めて WorkSpace を起動する場合は、このディレクトリのすべてのユーザー
に対して Amazon WorkDocs サービスを有効にするか無効にするかを選択できます。Amazon
WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期ク
ライアントのヘルプ」を参照してください。内容を選択して [Next] を選択します。
Note
このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表示
されます。
4.
WorkSpace を起動する対象のユーザーを選択します。ユーザー名全体か一部で検索できます。ま
た、ワイルドカード文字（*）を使用して拡張検索できます。[Show All Users] を選択することもで
きます。ユーザーに E メールアドレスがない場合、そのユーザーに WorkSpace を起動できませ
ん。
希望するユーザーを選択したら、[Add Selected] を選択します。選択したユーザーは [WorkSpaces]
の一覧に移動されます。
5.
6.
希望するユーザーをすべて選択するまでこのステップを繰り返し、[Next] を選択します。
WorkSpaces 用に使用するデフォルトの WorkSpace バンドルを選択します。リージョンで複数の
オペレーティングシステムの言語を使用できる場合は、目的のオペレーティングシステムの言語を
選択することもできます。必要に応じて、[Assign WorkSpace Bundles] リストで個々の WorkSpaces
についてこれらの設定をカスタマイズできます。利用可能なさまざまなバンドルの詳細について
は、「Amazon WorkSpaces 製品の詳細」を参照してください。選択が完了したら、[Next] を選択
します。
ユーザーの一覧または WorkSpace で使用するバンドルに必要な変更を行い、[Launch WorkSpaces]
を選択します。
接続したディレクトリの WorkSpaces を起動する場合、Amazon WorkSpaces は WorkSpace にデフォ
ルトの VPC セキュリティグループを割り当てます。
WorkSpaces の起動には数分かかります。WorkSpaces が使用できるようになったら、ようこそ E メー
ルを個々のユーザーに送信する必要があります。ようこそ E メールにはユーザーが Amazon WorkSpaces
Version 1.0
52
Amazon WorkSpaces 管理者ガイド
WorkSpaces
クライアントをダウンロードおよびインストールする手順と、WorkSpace にログインする手順が含ま
れています。詳細については、「招待の再送信 (p. 53)」を参照してください。
招待の再送信
場合によっては、ユーザーに招待 E メールを手動で送信する必要があります。
招待 E メールを再送信するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
4.
ナビゲーションペインで [WorkSpaces] を選択します。
招待を送信するユーザーを選択し、[Actions] を選択して、[Invite User] を選択します。
メールアプリケーションを使用して、E メール本文テキストをコピーしユーザー宛のメールに貼り
付けます。必要な場合は本文テキストを変更します。招待 E メールの準備ができたら、ユーザー
に送信します。
WorkSpace を暗号化します。
Amazon WorkSpaces が AWS Key Management Service (AWS KMS) と統合されました。これにより、
お客様のマスターキー (CMK) を使用してストレージボリュームの WorkSpace を暗号化できるように
なりました。新しい WorkSpace を起動すると、ルートボリューム (C: ドライブ) とユーザーボリュー
ム (D: ドライブ) 暗号化を選択できます。これにより、保管時のデータ、ボリュームへのディスク I/O、
ボリュームから作成されたスナップショットを暗号化することができます。
ストレージボリュームは、Amazon WorkSpaces コンソールから、または Amazon WorkSpaces API
Note
を使用してストレージボリュームを暗号化できます。
暗号化された WorkSpace からのカスタムイメージの作成は、現在サポートされていません。
ルートボリュームの暗号化を有効にした状態で起動された WorkSpace では、プロビジョニン
グに最大 1 時間かかり場合があります。
前提条件
暗号化プロセスを開始する前に、AWS KMS CMKが必要となります。
リージョンの Amazon WorkSpaces コンソールから最初に WorkSpace を起動すると、デフォルトの
CMK が自動的に作成されます。このキーを選択して、WorkSpace のユーザーとルートボリュームを暗
号化することができます。
また、AWS KMS を使用して別に作成した CMK を選択することもできます。IAM コンソールを使用し
てキーを作成する方法の詳細については、「キーの作成」（『AWS Key Management Service Developer
Guide』）を参照してください。AWS KMS API を使用してプログラムでキーを作成する方法の詳細に
ついては、「キーの使用」（『AWS Key Management Service Developer Guide』を参照してくださ
い。
Note
単一の AWS KMS CMK を使用して、リージョンで最大 30 個 の WorkSpace を暗号化できま
す。
AWS KMS CMK を使用して WorkSpace を暗号化するには、次の条件を満たす必要があります:
Version 1.0
53
Amazon WorkSpaces 管理者ガイド
WorkSpaces
• キーを有効にする必要があります。
• キーに正しいアクセス権限とポリシーを関連付ける必要があります。詳細については、「暗号化での
IAM のアクセス権限とロール (p. 54)」を参照してください。
WorkSpace の暗号化
WorkSpace の暗号化は、コンソールからまたは API を使用して行うことができます。
コンソールから WorkSpace を暗号化するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
4.
新しい WorkSpace を起動します。詳細については、「WorkSpace の起動 (p. 51)」を参照してく
ださい。
暗号化するボリュームを選択するよう要求されるので、ボリュームを選択します。値は、Root
Volume、User Volume、または両方のボリュームとなります。
使用する AWS KMS CMK を[Encryption Key] メニューから選択します。
5.
6.
[Next Step] を選択して、指定した暗号化情報を確認します。
[Launch WorkSpaces] を選択してプロセスを完了します。
3.
Note
暗号化された Workspace の暗号化を無効にすることは、現在サポートされていません。
API を使用して WorkSpace を暗号化するには
•
CreateWorkSpaces アクションを使用して、次のフィールドを設定します:
• RootVolumeEncryptionEnabled
• UserVolumeEncryptionEnabled
• VolumeEncyptionKey
暗号化された WorkSpace の維持
どの WorkSpace とボリュームが Amazon WorkSpaces コンソールから暗号化されたのかを表示するに
は、左のナビゲーションバーから [WorkSpaces] を選択します。[Volume Encryption] 列に、各 WorkSpace
で暗号化が [Enabled] になっているか [Disabled] になっているかが表示されます。特定のボリュームが
暗号化されているかどうかを表示するには、WorkSpace エントリを展開して [Encrypted Volumes] を
確認します。
または、DescribeWorkSpaces アクションで同じ暗号化情報を確認できます。
暗号化された WorkSpace を再起動または再構築するには、AWS KMS CMK が有効であることを最初
に確認します。有効でない場合、WorkSpace は使用できません。
暗号化での IAM のアクセス権限とロール
Amazon WorkSpaces 暗号化のアクセス権限には限定的な AWS KMS アクセスが必要で、これは暗号
化された WorkSpace を起動する IAM ユーザーの特定のキーに対するものです。次は、使用できるサン
プルキーのポリシーです。このポリシーを使用すると、AWS KMS CMK を管理するプリンシパルを、
キーを使用できるプリンシパルから分離することができます。アカウント ID と IAMユーザー名は、ア
カウントに一致するように変更する必要があります。
Version 1.0
54
Amazon WorkSpaces 管理者ガイド
WorkSpaces
最初のステートメントは、デフォルトの AWS KMS キーポリシーと一致します。2 番目と 3 番目のプ
リンシパルは、キーを管理できる AWS プリンシパルと、キーを使用できる AWS プリンシパルをそれ
ぞれ定義します。4 番目のプリンシパルでは、AWS KMS と統合された AWS サービスが、指定された
プリンシパルに代わってキーを使用できるようにします。このステートメントは、AWS サービスが許
可を作成、管理できるようにします。条件では、顧客の代わりに AWS KMS サービスで行われた AWS
の呼び出しに対してのみ設定されるコンテキストキーを使用します。
Note
デフォルトの AWS KMS CMK (Amazon WorkSpaces が自分用に作成) を使用している場合は、
以下の AWS KMS キーポリシーをスキップして、下記の 2 番目と 3 番目の IAM ユーザーベー
スポリシーに進みます。
{
"Id": "key-consolepolicy-1",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::012345678901:root"},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::012345678901:user/Alice"},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::012345678901:user/Alice"},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
Version 1.0
55
Amazon WorkSpaces 管理者ガイド
WorkSpaces
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::012345678901:user/Alice"},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {"Bool": {"kms:GrantIsForAWSResource": "true"}}
}
]
}
WorkSpace を暗号化しているロールまたはユーザーに適用する IAM ポリシーには、CMK の使用権限
と WorkSpace へのアクセス権限が必要です。以下は、WorkSpace のアクセス権限を IAM ユーザーに
付与するサンプルポリシーです。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1436283658000",
"Effect": "Allow",
"Action": [
"ds:*",
"ds:DescribeDirectories",
"workspaces:*",
"workspaces:DescribeWorkspaceBundles",
"wam:CreateWorkspaces",
"wam:DescribeWorkspaceBundles",
"wam:DescribeWorkspaceDirectories",
"wam:DescribeWorkspaces",
"wam:RebootWorkspaces",
"wam:RebuildWorkspaces"
],
"Resource": [
"*"
]
}
]
}
以下は IAM ポリシーで、AWS KMS を使用するユーザーに必要となるものです。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1442434118000",
"Effect": "Allow",
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:List*"
],
"Resource": [
Version 1.0
56
Amazon WorkSpaces 管理者ガイド
WorkSpaces
"*"
]
}
]
}
WorkSpace の再起動
場合によっては、WorkSpace を手動で再起動する必要があります。WorkSpace を再起動すると、
WorkSpace のシャットダウンと再開が実行されます。ユーザーデータ、オペレーティングシステム、
およびシステム設定には影響しません。
WorkSpace を再起動するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択します。
3.
4.
再起動する WorkSpace を選択して [Actions] を選択し、[Reboot WorkSpaces] を選択します。
[WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「REBOOT」と入力して、
[Reboot WorkSpaces] を選択します。
WorkSpace の再構築
必要に応じて、WorkSpace のオペレーティングシステムを元の状態に再構築できます。WorkSpace を
再構築すると、次の状況が発生します。
• システムは、WorkSpace の作成に使用したバンドルの最新のイメージから復元されます。WorkSpace
が作成されてからインストールされたアプリケーションや行われたシステム設定はすべて失われま
す。
• 最後に自動作成されたデータドライブのスナップショットから、データドライブ（D ドライブ）が再
作成されます。データドライブの現在の内容は上書きされます。データドライブの自動スナップショッ
トは 12 時間ごとに作成されるため、スナップショットは作成後、最大で 12 時間経過している場合
があります。
WorkSpace を再構築するには、次のステップを実行します。
WorkSpace を再構築するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
ナビゲーションペインで [WorkSpaces] を選択します。
再構築する WorkSpace に割り当てられたユーザーを選択して [Actions] を選択し、[Rebuild
WorkSpace] を選択します。
[Rebuild WorkSpace] ダイアログボックスの情報を確認して、[Rebuild WorkSpace] を選択します。
4.
WorkSpace は [Status] の値が [Running] に変更された後で再構築され使用可能になります。
WorkSpace の削除
WorkSpace を削除すると、ユーザーは WorkSpace にアクセスできなくなります。
Version 1.0
57
Amazon WorkSpaces 管理者ガイド
WorkSpaces バンドル
Important
これは永続的オペレーションで、取消すことはできません。ユーザーのデータは保存されず、
破壊されます。ユーザーデータをアーカイブする必要がある場合は、WorkSpace へのアクセス
を取り消す前に Amazon Web Services にお問い合わせください。
WorkSpace を削除するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
4.
ナビゲーションペインで [WorkSpaces] を選択します。
削除する WorkSpace を選択して [Actions] を選択し、[Remove WorkSpaces] を選択します。
[WorkSpaces] ダイアログボックスの情報を確認し、確認フィールドに「REMOVE」と入力して、
[Remove WorkSpaces] を選択します。
ユーザー情報の編集
Amazon WorkSpaces コンソールを使用して、ユーザーの以下の情報を編集できます。
• 名
• 姓
• E メールアドレス
ユーザー情報を編集するには
1.
2.
3.
4.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択します。
ユーザーを選択して [Actions] を選択し、[Edit User] を選択します。
[Edit User] ダイアログボックスのユーザー情報を変更し、[Update] を選択します。
WorkSpace バンドルの管理
Abstract
Amazon WorkSpaces バンドルを管理します。
Amazon WorkSpaces では、カスタム WorkSpace バンドルを作成、保存できます。これにより、事前
に設定され、必要なすべてのソフトウェアが既にインストールされている独自のバンドルから
WorkSpaces を起動できます。
トピック
• 新しいバンドルの作成 (p. 58)
• バンドルの更新 (p. 59)
• バンドルの削除 (p. 59)
新しいバンドルの作成
新しいバンドルを作成するには、以下の手順を実行します。
新しいバンドルを作成するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
Version 1.0
58
Amazon WorkSpaces 管理者ガイド
WorkSpaces バンドル
2.
3.
4.
ナビゲーションペインで [WorkSpace Images] を選択します。
作成するバンドルの基になるイメージを選択して [Actions] をクリックし、[Create Bundle] を選択
します。
[Create WorkSpace Bundle] ダイアログボックスで、バンドルの名前と説明を入力し、目的のハー
ドウェアを選択して、[Create Bundle] をクリックします。バンドルはすぐに使用できます。
[WorkSpace Bundles] リストでバンドルを選択し、[Launch WorkSpaces] をクリックすることに
よって、バンドルから WorkSpace を起動できます。
バンドルの更新
バンドル作成した後、そのバンドルを更新できます。たとえば、バンドルから起動した WorkSpaces
で最新のオペレーティングシステムとアプリケーションのパッチを利用できるようにすることができま
す。新しい WorkSpaces で使用できるように、バンドルにさらにアプリケーションを追加することも
できます。
コメント
• 新しいイメージは元のイメージとベースソフトウェアパッケージ（Plus または Standard）が同じで
ある必要があります。
• 更新されるバンドルに基づく既存の WorkSpaces は影響を受けません。最新のバンドルを使用して
実行中の WorkSpace を更新するには、WorkSpace を再構築する必要があります。
バンドルを更新するには、以下の手順を実行します。
バンドルを更新するには
1.
2.
3.
4.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpace Bundles] を選択します。
更新するバンドルを選択して [Actions] をクリックし、[Update Bundle] を選択します。
[Update WorkSpace Bundle] ダイアログボックスで、新しいイメージまたは更新されたイメージを
選択し、[Update Bundle] をクリックします。
バンドルの削除
必要に応じて、未使用のバンドルを削除できます。使用されているバンドルを削除する場合は、バンド
ルは削除キューに配置され、そのバンドルから作成されたすべての WorkSpaces が削除された後で削
除されます。
バンドルを削除するには、以下の手順を実行します。
バンドルを削除するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpace Bundles] を選択します。
3.
4.
削除するバンドルを選択して [Actions] をクリックし、[Delete Bundle] を選択します。
[Delete WorkSpace Bundle] ダイアログボックスで、バンドルを削除することを確認し、[Delete
Bundle] をクリックします。
Version 1.0
59
Amazon WorkSpaces 管理者ガイド
WorkSpace イメージ
WorkSpace イメージの管理
Abstract
Amazon WorkSpaces イメージを管理します。
Amazon WorkSpaces では、実行中の WorkSpaces からカスタムイメージを作成でき、それらのイメー
ジからカスタムバンドルを作成できます。これにより、事前に設定され、必要なすべてのソフトウェア
が既にインストールされている独自のバンドルから WorkSpaces を起動できます。カスタムポリシー
の詳細については、「WorkSpace バンドルの管理 (p. 58)」を参照してください。
イメージを作成すると、以下の項目が WorkSpace から取得されます。
• C:\ ドライブのすべての内容。
• ユーザーの ディレクトリを除く、D:\Users\<username> にあるユーザープロファイルのす
べての内容。
トピック
• 要件 (p. 60)
• イメージ作成のベストプラクティス (p. 60)
• イメージの作成 (p. 61)
• イメージの削除 (p. 61)
要件
イメージを作成するための要件を以下に示します。
• すべてのアプリケーションは C:\ ドライブに、または D:\Users\<username> のユーザープロファ
イルにインストールしてください。これ以外の場所にインストールされているアプリケーションは取
得されません。
• インストールされるすべてのアプリケーションには、Microsoft Sysprep との互換性が必要です。
• WorkSpace のユーザープロファイルを削除しないでください。ユーザープロファイルはイメージの
作成に必要です。
• ユーザープロファイル（ファイルとデータ）の合計サイズは 10 GB 未満である必要があります。
• C:\ドライブには、ユーザープロファイルの内容を収容可能なスペースに加え、別に 2 GB の容量が
必要です。
• イメージを作成するときに、ドメインユーザー認証情報を使用するアプリケーションサービスを
WorkSpace で実行することはできません。たとえば、イメージを作成するときに、ドメインユーザー
の認証情報を使用して、インストール済みの Microsoft SQL Server Express を実行することはできま
せん。代わりに、ローカルシステムアカウントを使用する必要があります。
イメージ作成のベストプラクティス
WorkSpace のイメージを作成するときは、以下のベストプラクティスに従うことをお勧めします:
• WorkSpace の C:\ ドライブに、インストールする予定のアプリケーション用の十分な容量があるこ
とを確認します。
• イメージを作成する前に、オペレーティングシステムとアプリケーションの更新プログラムやパッチ
をすべてインストールしていることを確認します。
• 保持する必要がないキャッシュされたデータを WorkSpace から削除します。これには、ブラウザの
履歴、キャッシュされたデータやファイル、ブラウザの Cookie などがあります。
Version 1.0
60
Amazon WorkSpaces 管理者ガイド
Windows 7 のイメージ
• Eメールプロファイルなど、すべてのアプリケーションの設定は、イメージにキャプチャされます。
このイメージから作成される WorkSpaces にコピーしたくない設定はすべて削除してください。
• イメージ名を選択するときには、イメージを識別しやすくするために、短縮名とバージョンや日付を
含む名前を使用します。
• カスタムイメージから作成した Amazon WorkSpaces で Amazon WAM を使用したい場合は、カスタ
ムイメージを作成するために使用した WorkSpace で Amazon WAM クライアントを起動しないでく
ださい。これにより、作成するカスタムイメージから起動する WorkSpaces では、最初にイメージ
を作成した WorkSpace に関連付けられている Amazon WAM 設定は使用されません。
イメージの作成
実行中の WorkSpace からイメージを作成するには、以下の手順を実行します。
イメージを作成するには
1.
作成するイメージの基になる WorkSpace からユーザーがログアウトしている（切断されている）
ことを確認します。
2.
3.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択し、作成するイメージの基になる WorkSpace を選
択します。
[Actions] をクリックし、[Create Image] を選択します。
[Create WorkSpace Image] ダイアログボックスで、イメージの名前と説明を入力します。既存の
イメージを上書きすることはできないため、一意の名前を選択する必要があります。完了したら、
[Create Image] をクリックします。
4.
5.
イメージが作成されるまでに最大で 1 時間かかる可能性があります。この間、作成するイメージの
基になる WorkSpace は使用できません。ナビゲーションペインで [WorkSpace Images] を選択す
ることによって、イメージのステータスを監視できます。イメージの作成が完了すると、ステータ
スは [Available] に変わります。
イメージの削除
イメージはいずれも削除できます。イメージを使用するバンドルに基づく既存の WorkSpaces は影響
を受けませんが、このようなバンドルを使用する WorkSpaces を再構築または起動することはできな
くなります。ベストプラクティスとして、カスタムバンドルで使用されているイメージは削除しないで
ください。
WorkSpace イメージを削除するには、以下の手順を実行します。
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpace Images] を選択します。
3.
4.
削除するイメージを選択して [Actions] をクリックし、[Delete Image] を選択します。
[Delete WorkSpace Image] ダイアログボックスで、イメージを削除することを確認し、[Delete
Image] をクリックします。
Windows 7 デスクトップイメージを使用する
Abstract
Amazon WorkSpaces で Windows 7 デスクトップイメージを使用します。
Microsoft との間でエンタープライズ契約をお持ちの場合は、Amazon WorkSpaces で Windows 7
Enterprise または Professional OS をご利用になれます。この機能は Bring your Windows 7 Desktop
Version 1.0
61
Amazon WorkSpaces 管理者ガイド
ディレクトリの管理
License to Amazon WorkSpaces (BYOL) と呼ばれます。BYOL をサポートするために、Amazon
WorkSpaces には AWSクラウドの専用のハードウェアで動作する機能が用意されています。この機能
により、Amazon WorkSpaces 用の Windows 7 デスクトップイメージを使用して、物理的なデスクトッ
プとクラウドデスクトップの間で一貫性のあるユーザー体験を得ることができます。
開始するには、担当の AWS アカウントマネージャーまたは販売担当者にお問い合わせいただくか、
Amazon WorkSpaces の技術サポートケースを開きます。担当者が、お客様のアカウントに十分な容量
が割り当てられているかどうかを確認したうえで、BYOL のセットアップをお手伝いします。
前提条件
開始する前に、以下の前提条件を満たしていることを確認してください。
• Windows オペレーティング システムをインポートするための要件と制限を確認しました。
• Windows 7 OS は 64 ビットで、キー管理サーバーを通じてアクティブになります。
• インポートしたイメージの形式は OVA です。
• インポートする画像は単一のボリュームで 60 GB 以下となります。
• イメージを共有する前に、ローカル管理者アクセス権を持つアカウント WorkSpaces_BYOL を選択
します。このアカウントのパスワードは、後でリクエストされます。
Amazon WorkSpaces ディレクトリの管理
ディレクトリを作成すると、ほとんどの管理機能は、Active Directory 管理ツールなどのディレクトリ
管理ツールで実行されます。Amazon WorkSpaces マネジメントコンソールを使用して、新しいディレ
クトリの作成や既存ディレクトリとの削除など、特定のディレクトリ関連アクションを実行できます。
詳細については、「ディレクトリ管理 (p. 41)」を参照してください。
トピック
• ディレクトリの管理 WorkSpace のセットアップ (p. 62)
• Amazon EC2 インスタンスのディレクトリへの結合 (p. 63)
• Active Directory 管理ツールのインストール (p. 63)
• ユーザーおよびグループの作成 (p. 64)
• ユーザーパスワード (p. 66)
• ユーザーの削除 (p. 66)
ディレクトリの管理 WorkSpace のセットアップ
Abstract
Amazon WorkSpaces ディレクトリの管理に使用できる WorkSpace を起動します。
管理 WorkSpace をセットアップするには
1.
自分または別のディレクトリ管理者用に WorkSpace を作成します。
2.
WorkSpace がセットアップされ、実行されたら、いずれかの Amazon WorkSpaces クライアント
アプリケーションで WorkSpace に接続します。
「Active Directory 管理ツールのインストール (p. 63)」で説明しているように、Active Directory 管
理ツールをインストールします。
3.
Version 1.0
62
Amazon WorkSpaces 管理者ガイド
Amazon EC2 インスタンスのディレクトリへの結合
以下に、この WorkSpace から使用できる管理ツールの一部を示します。
ツール
説明
redircmp.exe
新しい WorkSpaces が作成されたデフォルトコン
テナを、指定された組織単位（OU）に変更しま
す。
イベントビューアー
WorkSpace のイベントログを表示できるようにし
ます。WorkSpace の IP アドレスにイベントビュー
アーを接続します。これは WorkSpace の詳細ペー
ジから利用できます。
Active Directory ユーザーとコンピュータ
ユーザー、グループ、組織単位など、ディレクト
リの情報を管理し、公開するために使用されま
す。
Amazon EC2 インスタンスのディレクトリへの結合
Abstract
Amazon EC2 インスタンスを起動し、Amazon WorkSpaces ディレクトリに結合します。
Amazon EC2 Simple Systems Manager を使ってインスタンスを起動すると、ディレクトリドメインに
シームレスに EC2 インスタンスを結合できます。詳細については、Microsoft Windows インスタンス
の Amazon EC2 ユーザーガイド の Seamlessly Joining a Windows Instance to an AWS Directory Service
Domain を参照してください。
手動でインスタンスを起動してディレクトリに結合する方法についての詳細は、AWS Directory Service
Administration Guide の Joining an Instance to an AWS Directory Service Directory を参照してくださ
い。
Active Directory 管理ツールのインストール
WorkSpace または Amazon EC2 Windows インスタンスからディレクトリを管理するには、WorkSpace
またはインスタンスで Active Directory ドメインサービスおよび Active Directory ライトウェイトディレ
クトリサービスツールをインストールする必要があります。詳細については、AWS Directory Service
Administration Guide の Installing the Active Directory Administration Tools を参照してください。
トピック
• Simple AD ディレクトリの管理 (p. 63)
Simple AD ディレクトリの管理
Simple AD ディレクトリを作成すると、ディレクトリの管理者アカウントが作成されます。ユーザー名
は Administrator で、パスワードはディレクトリを作成したときに指定したパスワードです。Simple
AD ディレクトリを管理するために、このアカウントを使用します。いずれかの Active Directory 管理
ツールを実行するときは、次の手順に従ってディレクトリの管理者としてそれらを実行する必要があり
ます。
1.
2.
3.
[Administrative Tools] を開きます。
Shift キーを押しながらツールのショートカットを右クリックし、[Run as different user] を選択し
ます。
ユーザー名および管理者パスワードとして「Administrator」と入力します。
Version 1.0
63
Amazon WorkSpaces 管理者ガイド
ユーザーおよびグループの作成
これで、必要なディレクトリ管理タスクを実行することができます。また、Amazon WorkSpaces のい
ずれのユーザーアカウントもディレクトリ管理者に昇格できます。そのためには、以下の手順を実行し
ます。
ユーザーのディレクトリ管理者への昇格
1.
2.
ディレクトリ管理者として Active Directory ユーザーとコンピュータツールを実行します。
ドメインの下の Users フォルダに移動し、昇格するユーザーを選択します。
3.
4.
メニューで、[Action] - > [Properties] を選択します。
ユーザープロパティのダイアログボックスで、[Member of] タブを選択します。
5.
ユーザーを以下のグループに追加し、[OK] をクリックします。
• Administrators
•
•
•
•
Domain Admins
Enterprise Admins
Group Policy Creator Owners
Schema Admins
これで、ユーザーはディレクトリ管理者になりました。
ユーザーおよびグループの作成
Active Directory ドメインサービスおよび Active Directory ライトウェイトディレクトリサービスツール
の一部である [Active Directory ユーザーとコンピュータ] ツールを使用して、ユーザーとグループを作
成できます。ユーザーは、ディレクトリにアクセスできる個別の人またはエンティティを表します。グ
ループは、個別のユーザーごとに権限を付与するのではなく、ユーザーのグループに権限を付与または
拒否するために非常に便利です。ユーザーが他の組織に移動した場合、そのユーザーを別のグループに
移動すると、新しい組織で必要な権限が自動的に与えられます。
以下の例は、ユーザーを作成し、グループを作成し、ユーザーをグループに追加する方法を示していま
す。ディレクトリでユーザーとグループを作成するには、ディレクトリのメンバーである Windows イ
ンスタンスに接続されていて、ユーザーとグループを作成する権限を持つユーザーとしてログインして
いる必要があります。
ユーザーを作成するには
1.
Open the Active Directory Users and Computers tool. There is a shortcut to this tool in the
Administrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the Active
Directory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2.
ディレクトリツリーで、ディレクトリを開き、Users フォルダを選択します。
3.
[Action] メニューの [New] をクリックし、[User] をクリックして新しいユーザーウィザードを開き
ます。
新しいユーザーウィザードの最初のページで、[First name] に「Mary」、[Last name] に「Major」、
[User logon name] に「marym」と入力します。[Next] をクリックします。
4.
Version 1.0
64
Amazon WorkSpaces 管理者ガイド
ユーザーおよびグループの作成
5.
新しいユーザーウィザードの 2 番目のページで、[Password] および [Confirm Password] に安全な
パスワードを入力します。[User must change password at next logon] オプションが選択されてい
ないことを確認します。ディレクトリでの必要に応じて他のオプションを設定し、[Next] をクリッ
クします。
6.
新しいユーザーウィザードの 3 番目のページで、新しいユーザー情報が正しいことを確認し、
[Finish] をクリックします。新しいユーザー、Mary Major が Users フォルダに表示されます。
グループを作成するには
1.
Open the Active Directory Users and Computers tool. There is a shortcut to this tool in the
Administrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the Active
Directory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2.
3.
4.
ディレクトリツリーで、ディレクトリを開き、Users フォルダを選択します。
[Action] メニューの [New] をクリックし、[Group] をクリックして新しいグループウィザードを開
きます。
[Group name] に「Division Managers」と入力し、[Group scope] で [Global] を選択し、[Group
type] で [Security] を選択します。[OK] をクリックします。新しいグループ、Division Managers が
Users フォルダに表示されます。
ユーザーをグループに追加するには
1.
Open the Active Directory Users and Computers tool. There is a shortcut to this tool in the
Administrative Tools folder.
Tip
You can run the following from a command prompt on the instance to open the Active
Directory Users and Computers tool box directly.
%SystemRoot%\system32\dsa.msc
2.
3.
4.
ディレクトリツリーでディレクトリを開き、Users フォルダを選択し、Division Managers グルー
プを選択します。
[Action] メニューの [Properties] をクリックして Division Managers グループのプロパティダイアロ
グボックスを開きます。
[Members] タブを選択し、[Add...] をクリックします。
5.
[Enter the object names to select] に「marym」と入力し、[OK] をクリックします。Mary Major が
[Members] リストに表示されます。もう一度 [OK] をクリックしてグループのメンバーシップを更
新します。
6.
Mary Major が Division Managers グループのメンバーになったことを確認します。そのためには、
[Users] フォルダで [Mary Major] を選択し、[Action] メニューの [Properties] をクリックして Mary
Major のプロパティダイアログボックスを開きます。[Member Of] タブを選択します。Division
Managers が、Mary Major が属するグループのリストに追加されました。
Version 1.0
65
Amazon WorkSpaces 管理者ガイド
ユーザーパスワード
ユーザーパスワード
ユーザーは、「Windows パスワードの変更」の手順に従うことによって、WorkSpace 内からパスワー
ドを変更できます。
ディレクトリ管理者は、Active Directory ユーザーとコンピューターツールを使用して既存ユーザーの
パスワードをリセットできます。これを行うときに、[User must change password at next logon] の設
定を変更しないでください。ユーザーは WorkSpace に接続できなくなります。代わりに、安全な一時
パスワードをユーザーに割り当てて、ユーザーが次回ログオンしたときに WorkSpace 内から手動でパ
スワードを変更するように指示します。
ユーザーの削除
Amazon WorkSpaces は Active Directory を使用してそのユーザー情報を格納するため、使い慣れてい
る任意の Active Directory ツールを使用して、ユーザーオブジェクトを削除することができます。これ
らのオブジェクトへのアクセスの詳細については、「ディレクトリ管理 (p. 41)」を参照してください。
Note
ユーザーを削除する前に、ユーザーに割り当てられた WorkSpace を削除する必要があります。
WorkSpaces の削除の詳細については、「WorkSpace の削除 (p. 57)」を参照してください。
グループポリシーを使用した WorkSpaces とユー
ザーの管理
Amazon WorkSpaces は、Active Directory と互換性のあるディレクトリを使用するため、ディレクト
リに含まれる WorkSpaces とユーザーにグループポリシー設定を適用することができます。Amazon
WorkSpaces コンピュータアカウント用の組織単位と Amazon WorkSpaces ユーザーアカウント用の別
の組織単位を作成して管理することをお勧めします。これにより、WorkSpaces 固有のグループポリ
シー設定をこれらの組織単位に適用できるようになり、その設定はすべての WorkSpaces または Amazon
WorkSpaces ユーザーに適用されます。
グループポリシー設定は、WorkSpace ユーザーのエクスペリエンスにさまざまな影響を与える可能性
があります。
• WorkSpace に適用されたカスタムグループポリシー設定の数によって、WorkSpace の起動または再
起動後、ユーザーが最初にログインするときは数分かかる場合があります。
• グループポリシー設定を変更すると、ユーザーが WorkSpace に接続されない場合は、アクティブな
セッションが終了する可能性があります。
• グループポリシー設定によっては、セッションから切断されているときに、ユーザーを強制的にログ
オフします。ユーザーが WorkSpace で開いていたアプリケーションは、すべて閉じられます。
• ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは
自分の WorkSpace にアクセスできなくなります。現在、インタラクティブのログオンメッセージの
グループポリシー設定は Amazon WorkSpaces でサポートされていません。
グループのポリシーを使用してアプリケーションを WorkSpace に配布する方法の詳細は、「チュート
リアル: グループポリシーを使用したアプリケーションの配布 (p. 83)」を参照してください。
トピック
• グループポリシー管理用テンプレートのインストール (p. 67)
• ローカルプリンターのサポート (p. 67)
• クリップボードのリダイレクト (p. 68)
Version 1.0
66
Amazon WorkSpaces 管理者ガイド
グループポリシー管理用テンプレートのインストール
• セッション再起動タイムアウト設定 (p. 68)
グループポリシー管理用テンプレートのインストー
ル
Amazon WorkSpaces 固有のグループポリシーの設定を使用するには、グループポリシー管理用テンプ
レートをインストールする必要があります。ディレクトリの管理 WorkSpace またはディレクトリに結
合されている Amazon EC2 インスタンスで、次の手順を実行します。
グループポリシー管理用テンプレートのインストールには
1.
実行中の WorkSpace から、C:\Program Files (x86)\Teradici\PCoIP
Agent\configuration ディレクトリにある pcoip.adm ファイルをコピーします。
2.
グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントが含まれるドメイン
の組織単位に移動します。
3.
コンピュータアカウントの組織単位のコンテキスト（右クリック）メニューを開き、[Create a GPO
in this domain, and link it here] を選択します。
[New GPO] ダイアログボックスで、グループポリシーオブジェクトのわかりやすい名前
（「WorkSpaces Machine Policies」など）を入力し、[Source Starter GPO] は [(none)] のままに
します。[OK] を選択します。
新規グループポリシーオブジェクトのコンテキスト（右クリック）メニューを開き、[Edit] を選択
します。
グループポリシー管理エディタで、[Computer Configuration] - [Policies] - [Administrative Templates]
に移動し、メインメニューから [Action] - [Add/Remove Templates] の順に選択します。
[Add/Remove Templates] ダイアログボックスで、[Add] を選び、事前にコピーした pcoip.adm
ファイルを選択し、[Open] を選びます。次に、[Close] を選択します。
[Group Policy Management Editor] を終了します。これで、このグループポリシーオブジェクトを
使用して、Amazon WorkSpaces に固有のグループポリシーの設定を変更できます。
4.
5.
6.
7.
8.
ローカルプリンターのサポート
デフォルトでは、Amazon WorkSpaces はローカルプリンターへのリダイレクトをサポートしていま
す。必要に応じて、グループポリシーの設定を使用してこの機能を無効にすることができます。無効に
するには、以下の手順を実行します。
ローカルプリンターのサポートを無効にするには
1.
2.
3.
4.
5.
ドメインに Amazon WorkSpaces グループポリシー管理用テンプレート (p. 67) がインストールさ
れていることを確認します。
グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グ
ループポリシーオブジェクトに移動して選択します。メインメニューの [Action] - [Edit] を選択しま
す。
グループポリシー管理エディタで、[Computer Configuration] - [Policies] - [Administrative Templates]
- [Classic Administrative Templates] - [PCoIP Session Variables] - [Overridable Administration
Defaults] の順に進みます。
[Configure remote printing] 設定を開きます。
[Configure remote printing] ダイアログボックスで [Enabled] を選び、[Configure remote printing] オ
プションを必要に応じて有効または無効に設定して、[OK] を選択します。
グループポリシーの設定の変更は、WorkSpace で次回グループポリシーの設定を更新し、セッション
が再開された後に有効になります。
Version 1.0
67
Amazon WorkSpaces 管理者ガイド
クリップボードのリダイレクト
クリップボードのリダイレクト
デフォルトでは、Amazon WorkSpaces はクリップボードのリダイレクトをサポートしています。必要
に応じて、グループポリシーの設定を使用してこの機能を無効にすることができます。無効にするに
は、以下の手順を実行します。
クリップボードのリダイレクトを有効または無効にするには
1.
ドメインに Amazon WorkSpaces グループポリシー管理用テンプレート (p. 67) がインストールさ
れていることを確認します。
2.
グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グ
ループポリシーオブジェクトに移動して選択します。メインメニューの [Action] - [Edit] を選択しま
す。
グループポリシー管理エディタで、[Computer Configuration] - [Policies] - [Administrative Templates]
- [Classic Administrative Templates] - [PCoIP Session Variables] - [Overridable Administration
Defaults] の順に進みます。
[Configure clipboard redirection] 設定を開きます。
3.
4.
5.
[Configure clipboard redirection] ダイアログボックスで [Enabled] を選び、[Configure clipboard
redirection] オプションを必要に応じて有効または無効に設定して [OK] を選択します。
グループポリシーの設定の変更は、WorkSpace で次回グループポリシーの設定を更新し、セッション
が再開された後に有効になります。
セッション再起動タイムアウト設定
Amazon WorkSpaces クライアントアプリケーションを使用中にネットワーク接続が停止すると、現行
のセッションは切断されます。これはノートパソコンの蓋を閉じた場合やワイヤレスネットワーク接続
の喪失から発生する場合があります。Windows および OS X 用の Amazon WorkSpaces クライアント
アプリケーションは、ネットワーク接続がある程度の時間内に回復すればセッションを自動的に再接続
するよう試みます。デフォルト設定のセッション再起動タイムアウトは 20 分ですが、ドメインのグ
ループポリシー設定で制御される WorkSpace では、この値の変更ができます。
自動セッション再起動タイムアウト値を設定するには
1.
2.
3.
4.
5.
ドメインに最新の Amazon WorkSpaces グループポリシー管理用テンプレート (p. 67) がインス
トールされていることを確認します。
グループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グ
ループポリシーオブジェクトに移動して選択します。メインメニューの [Action]、[Edit] を選択し
ます。
グループポリシー管理エディタで、[Computer Configuration]、[Policies]、[Administrative
Templates]、[Classic Administrative Templates]、[PCoIP Session Variables] の順に選択します。
ユーザーによる設定の上書きを許可する場合には、[Overridable Administration Defaults] を選択し
ます。ユーザーによる設定の上書きを許可しない場合には、[Not Overridable Administration Defaults]
を選択します。
[Configure Session Automatic Reconnection Policy] 設定を開きます。
[Configure Session Automatic Reconnection Policy] ダイアログボックスで [Enabled] を選び、
[Configure Session Automatic Reconnection Policy] オプションを希望するタイムアウト値（分単
位）に設定して [OK] を選択します。
グループポリシーの設定の変更は、WorkSpace で次回グループポリシーの設定を更新し、セッション
が再開された後に有効になります。
Version 1.0
68
Amazon WorkSpaces 管理者ガイド
ファイル共有
ファイル共有
WorkSpaces/インスタンスが実行されている VPC（10.0.0.0/16 など）からのポート 445 でのイン
バウンドおよびアウトバウンド TCP トラフィックを許可することにより、WorkSpaces 間だけでなく、
ディレクトリに結合されている Amazon EC2 インスタンス間でもファイルを共有できます。既存のセ
キュリティグループを変更するか、新しいセキュリティグループを作成して WorkSpaces/インスタン
スに追加することができます。WorkSpaces のセキュリティグループと VPC の識別子は、どちらも
Amazon WorkSpaces コンソールのディレクトリの詳細で確認できます。クラウドディレクトリの
WorkSpaces に対するセキュリティグループの追加の詳細については、「セキュリティグループの追
加 (p. 43)」を参照してください。接続したディレクトリの WorkSpaces に対するセキュリティグルー
プの追加の詳細については、「セキュリティグループの追加 (p. 46)」を参照してください。WorkSpaces
セキュリティグループを見つける方法については、「WorkSpaces セキュリティグループ (p. 39)」を
参照してください。
フォルダを共有する場合は、WorkSpace またはインスタンスが属するディレクトリから、少なくとも
認証ユーザーが存在するフォルダのみを共有する必要があります。そのためには、フォルダを共有する
ユーザーを選択するときに、Authenticated Users グループを選択します。共有へのアクセスをさ
らに制限する必要がある場合は、個々のユーザーまたはグループを選択できます。
フォルダを共有すると、マシンの IP アドレスとフォルダのパス
（\\<machine_IP_address>\<share_name> など）を使用して、別の WorkSpace やインスタンス
から共有フォルダにアクセスできます。ファイルを共有しているマシンの DNS 名を解決できる場合、
\\<machine_name>\<share_name> などの UNC パスを使用できます。
PCoIP ゼロクライアントの有効化
PCoIP ゼロクライアントデバイスから WorkSpaces にアクセスできるようにするには、PCoIP Connection
Manager for Amazon WorkSpaces を使用して EC2 インスタンスを起動して設定する必要があります。
PCoIP Connection Manager for Amazon WorkSpaces でインスタンスを起動するために使用できる
Amazon マシンイメージ (AMI) は、AWS Marketplace で入手できます。AMI を起動し、Connection
Manager を設定する方法の詳細および操作手順については、『PCoIP Connection Manager User Guide』
の「Deploying the PCoIP Connection Manager for Amazon WorkSpaces」を参照してください。
PCoIP ゼロクライアントデバイスをセットアップし、接続する方法については、「PCoIP ゼロクライ
アントのヘルプ (p. 111)」を参照してください。
Amazon WorkSpaces メトリックスのモニタリン
グ
パフォーマンスメトリックスを収集して分析できるように Amazon WorkSpaces と Amazon CloudWatch
が統合されました。これらのメトリックスは、CloudWatch コンソールまたは CloudWatch コマンドラ
インインターフェイスを使用して、あるいはプログラムによって CloudWatch API を使用してモニタリ
ングできます。CloudWatch では、メトリックスについて指定したしきい値にアラームを設定すること
もできます。
CloudWatch とアラームの使用方法の詳細については、Amazon CloudWatch 開発者ガイド を参照して
ください。
トピック
• Amazon WorkSpaces メトリックス (p. 70)
• Amazon WorkSpaces メトリックスのディメンション (p. 71)
Version 1.0
69
Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces メトリックス
• モニタリングの例 (p. 71)
Amazon WorkSpaces メトリックス
次のメトリックスは Amazon WorkSpaces から入手できます。
Amazon WorkSpaces CloudWatch のメトリックス
メトリックス
1
Available
1
説明
ディメンション
利用可能な統計情
報
正常な状態を返し
た WorkSpace の
数。
DirectoryId
Average、Sum、 カウント
Maximum、Minimum、Data
Samples
WorkspaceId
単位
Unhealthy
正常でない状態を DirectoryId
返した WorkSpace
WorkspaceId
の数。
Average、Sum、 カウント
Maximum、Minimum、Data
Samples
ConnectionAt2
tempt
接続試行の数。
Average、Sum、 カウント
Maximum、Minimum、Data
Samples
DirectoryId
WorkspaceId
ConnectionSuc- 成功した接続の
2
数。
cess
DirectoryId
WorkspaceId
ConnectionFail- 失敗した接続の
2
数。
ure
DirectoryId
WorkspaceId
SessionLaunch- WorkSpaces セッ
2
ションを開始する
Time
ためにかかる時
間。
DirectoryID
WorkSpaces クラ
イアントと WorkSpace 間のラウン
ドトリップ時間。
DirectoryID
SessionDiscon- ユーザーが開始し
2
て失敗した接続を
nect
含む、閉じられた
接続の数。
DirectoryID
InSession2
Latency
WorkspaceID
WorkspaceID
WorkspaceID
1
Average、Sum、 カウント
Maximum、Minimum、Data
Samples
Average、Sum、 カウント
Maximum、Minimum、Data
Samples
Average、Sum、 秒（時間）
Maximum、Minimum、Data
Samples
Average、Sum、 ミリ秒（時間）
Maximum、Minimum、Data
Samples
Average、Sum、 カウント
Maximum、Minimum、Data
Samples
Amazon WorkSpaces は定期的にステータスリクエストを WorkSpace に送信します。WorkSpace
は、これらのリクエストに応答すると Available とマークされ、リクエストに応答できないと
Unhealthy とマークされます。これらのメトリックスは WorkSpace の粒度で利用でき、組織のすべ
ての WorkSpace で集計されます。
Version 1.0
70
Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces メトリックスのディメンション
2
Amazon WorkSpaces は、各 WorkSpace に対して行われた接続のメトリックスを記録します。これ
らのメトリックスは、ユーザーが WorkSpace クライアント経由で正常に認証され、クライアントが
セッションを開始した後で出力されます。メトリックスは WorkSpace の粒度で利用でき、ディレクト
リのすべての WorkSpace で集計されます。
Amazon WorkSpaces メトリックスのディメンショ
ン
Amazon WorkSpaces メトリックスは、次のディメンションで使用できます。
Amazon WorkSpaces CloudWatch ディメンション
ディメンション
説明
DirectoryId
指定したディレクトリの WorkSpace で受け取る
データを制限します。DirectoryId 値の形式は
d-XXXXXXXXXX です。
WorkspaceId
指定した WorkSpace で受け取るデータを制限し
ます。WorkspaceId 値の形式は ws-XXXXXXXXXX
です。
モニタリングの例
次の例では、Amazon WorkSpaces CLI と CloudWatch CLI を使用して CloudWatch アラームに応答し、
ディレクトリ内で接続障害を起こした WorkSpace を特定する方法を示します。
1.
アラームの対象になっているディレクトリを特定します。
aws cloudwatch describe-alarms --state-value "ALARM"
{
"MetricAlarms" : [
{
...
"Dimensions" : [
{
"Name" : "DirectoryId",
"Value" : "<directory_id>"
}
],
...
}
]
}
2.
指定したディレクトリの WorkSpace のリストを取得します。
aws workspaces describe-workspaces --directory-id <directory_id>
{
"Workspaces" : [
{
Version 1.0
71
Amazon WorkSpaces 管理者ガイド
トラブルシューティング
...
"WorkspaceId" : "<workspace1_id>",
...
},
{
...
"WorkspaceId" : "<workspace2_id>",
...
},
{
...
"WorkspaceId" : "<workspace3_id>",
...
}
]
}
3.
ディレクトリ内の各 WorkSpace の CloudWatch メトリックスを取得します。
aws cloudwatch get-metric-statistics \
--namespace AWS/WorkSpaces \
--metric-name ConnectionFailure \
--start-time 2015-04-27T00:00:00Z \
--end-time 2015-04-28T00:00:00Z \
--period 3600 \
--statistics Sum \
--dimensions "Name=WorkspaceId,Value=<workspace_id>"
{
"Datapoints" : [
{
"Timestamp" : "2015-04-27T00:18:00Z",
"Sum" : 1.0,
"Unit" : "Count"
},
{
"Timestamp" : "2014-04-27T01:18:00Z",
"Sum" : 0.0,
"Unit" : "Count"
}
],
"Label" : "ConnectionFailure"
}
Amazon WorkSpaces の管理の問題のトラブル
シューティング
Abstract
Amazon WorkSpaces の管理の問題をトラブルシューティングします。
トピック
Version 1.0
72
Amazon WorkSpaces 管理者ガイド
接続したディレクトリの WorkSpaces の起動にたびたび失
敗する
• 接続したディレクトリの WorkSpaces の起動にたびたび失敗する (p. 73)
• インタラクティブなログオンバナーで WorkSpace に接続できない (p. 73)
• ディレクトリのいずれの WorkSpaces もインターネットに接続できない (p. 73)
• オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示され
る (p. 73)
• オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラー
が表示される (p. 74)
• オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される (p. 74)
• WorkSpace の一部のステータスに "Unhealthy" と表示されます (p. 74)
接続したディレクトリの WorkSpaces の起動にたび
たび失敗する
オンプレミスのディレクトリの 2 つの DNS サーバーまたはドメインコントローラが、ディレクトリに
接続したときに指定した各サブネットからアクセス可能であることを確認します。各サブネットで EC2
インスタンスを起動し、2 つの DNS サーバーの IP アドレスを使用してディレクトリにインスタンスを
結合することで、この接続を確認できます。ディレクトリへのインスタンスの結合の詳細については、
「Amazon EC2 インスタンスのディレクトリへの結合 (p. 63)」を参照してください。
インタラクティブなログオンバナーで WorkSpace に
接続できない
ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは自
分の WorkSpace にアクセスできなくなります。現在、インタラクティブのログオンメッセージのグ
ループポリシー設定は Amazon WorkSpaces でサポートされていません。
ディレクトリのいずれの WorkSpaces もインターネッ
トに接続できない
WorkSpaces はデフォルトではインターネットと通信することができません。明示的にインターネット
アクセスを許可する必要があります。クラウドのディレクトリについては、「Simple AD ディレクトリ
のインターネットアクセス (p. 9)」を参照してください。接続されたディレクトリについては、「AD
Connector ディレクトリのインターネットアクセス (p. 14)」を参照してください。
オンプレミスディレクトリに接続しようとすると、
「DNS unavailable」というエラーが表示される
オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
DNS unavailable (TCP port 53) for IP: <DNS IP address>
AD Connector は、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信できる
必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の
TCP および UDP 通信を許可していることを確認します。詳細については、「ネットワークでの AD
Connector ディレクトリの準備 (p. 12)」を参照してください。
Version 1.0
73
Amazon WorkSpaces 管理者ガイド
オンプレミスディレクトリに接続しようとすると、
「Connectivity issues detected」というエラーが表示され
る
オンプレミスディレクトリに接続しようとすると、
「Connectivity issues detected」というエラーが表示
される
オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: <IP ad
dress>
Kerberos/authentication unavailable (TCP port 88) for IP: <IP address>
Please ensure that the listed ports are available and retry the operation.
AD Connector は、以下のポート上で TCP および UDP によってオンプレミスドメインコントローラー
と通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これ
らのポート上の TCP および UDP 通信を許可していることを確認します。詳細については、「ネット
ワークでの AD Connector ディレクトリの準備 (p. 12)」を参照してください。
• 88 (Kerberos)
• 389 (LDAP)
オンプレミスディレクトリに接続しようとすると、
「SRV record」というエラーが表示される
オンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示され
ます。
SRV record for LDAP does not exist for IP: <DNS IP address>
SRV record for Kerberos does not exist for IP: <DNS IP address>
AD Connector は、ディレクトリに接続するときに、_ldap._tcp.<DnsDomainName> および
_kerberos._tcp.<DnsDomainName> SRV レコードを取得する必要があります。ディレクトリに接
続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、この
エラーが表示されます。DNS サーバーにこれらの SRV レコードが含まれていることを確認します。
SRV レコードの詳細については、Microsoft TechNet の「SRV リソースレコード」を参照してくださ
い。
WorkSpace の一部のステータスに "Unhealthy" と表
示されます
Amazon WorkSpaces サービスは定期的にステータスリクエストを WorkSpace に送信します。このリ
クエストに応答しない WorkSpace は、"Unhealthy" と表示されます。この問題に対する一般的な原因
は次のとおりです。
• WorkSpace のアプリケーションがネットワークポートをブロックして、WorkSpace によるステータ
スリクエストへの応答を妨げています。
• 高 CPU 使用率は、WorkSpace によるステータスリクエストへの応答を一時的に妨ぐことがありま
す。
• WorkSpace のコンピュータ名が変更された場合。これにより、Amazon WorkSpaces と WorkSpace
の間に確立されるべき安全な交信が妨げられます。
Version 1.0
74
Amazon WorkSpaces 管理者ガイド
WorkSpace の一部のステータスに "Unhealthy" と表示され
ます
次の方法を使用して、この状況を修正するよう試みることができます。
• Amazon WorkSpaces コンソールから WorkSpace を再起動します。詳細については、「WorkSpace
の再起動 (p. 57)」を参照してください。
• 以下の手順に従って不具合のある WorkSpace に接続します。
Note
この手順は、トラブルシューティングの場合にのみ使用します。
1.
2.
3.
WorkSpace クライアントを使用して、不具合のある WorkSpace と同じディレクトリ内の動作
している WorkSpace に接続します。
動作している WorkSpace から、Remote Desktop Protocol（RDP）を使って、不具合のある
WorkSpace の IP アドレスから不具合のある WorkSpace に接続します。WorkSpace の IP アド
レスは、Amazon WorkSpaces コンソールの WorkSpace 情報から確認できます。WorkSpace の
問題の規模により、不具合のある WorkSpace に接続できない場合もあります。
不具合のある WorkSpace で最低限のポート要件が満たされていることを確認します。Workspaces
の最低限のポート要件については、「Amazon WorkSpaces の詳細 (p. 37)」を参照してくださ
い。
• Amazon WorkSpaces コンソールから WorkSpace を再構築します。詳細については、「WorkSpace
の再構築 (p. 57)」を参照してください。WorkSpace の再構築ではデータ損失が発生する可能性があ
るため、その他のすべての問題対処方法が失敗した場合にのみ、このオプションを実行してくださ
い。
Version 1.0
75
Amazon WorkSpaces 管理者ガイド
Simple AD ディレクトリの作成
チュートリアル
Abstract
Amazon WorkSpaces 管理のチュートリアルや最適な活用方法。
次のチュートリアルは、Amazon WorkSpaces サービスを使用して詳細なタスクを実行するのに役立ち
ます。
トピック
• チュートリアル: Simple AD ディレクトリの作成 (p. 76)
• チュートリアル: グループポリシーを使用したアプリケーションの配布 (p. 83)
• チュートリアル: カスタムバンドルの作成 (p. 87)
チュートリアル: Simple AD ディレクトリの作成
Abstract
新しい Amazon VPC、Amazon WorkSpaces ディレクトリ、および WorkSpace を作成し、設定します。
次のチュートリアルでは、Amazon WorkSpaces で Simple AD ディレクトリをセットアップするため
に必要なすべての手順を説明します。このチュートリアルでは、次のタスクを完了する方法を説明しま
す。
• Simple AD ディレクトリで使用する VPC を作成します。この VPC には次のものが含まれます。
• 1 つのパブリックサブネットと 2 つのプライベートサブネット。
• パブリックサブネットで使用するインターネットゲートウェイ。WorkSpaces には 2 つのプライ
ベートサブネットが使用されます。
• ネットワークアドレス変換 (NAT) を実行する Amazon EC2 インスタンス、つまり NAT ゲートウェ
イ。WorkSpaces にインターネットアクセスを許可するには、NAT デバイスが必要です。
• VPC で Simple AD ディレクトリを作成します。
• ディレクトリでユーザーを作成し、そのユーザーの WorkSpace を起動して、WorkSpace をテスト
します。
Version 1.0
76
Amazon WorkSpaces 管理者ガイド
前提条件
前提条件
このチュートリアルでは、以下のことを前提としています。
• アクティブな AWS アカウントがある。
• アカウントは、Amazon WorkSpaces を使用するリージョンで VPC の制限に達していない。
• CIDR が 10.0.0.0/16 のリージョンに既存の VPC がない。
• NAT ゲートウェイ用のアカウントに、VPC に使用できる Elastic IP アドレスがある。
コメント
このチュートリアルは、すばやく簡単に Amazon WorkSpaces の使用を開始するためのものですが、
大規模な本稼働環境で使用することは想定されていません。ここで示している各注意事項に、詳細情報
が示されています。
• Amazon VPC の詳細については、『Amazon VPC ユーザーガイド』の次のトピックを参照してくだ
さい。
• Amazon VPC とは?
• VPC のサブネット
• ディレクトリの管理方法の詳細については、「Simple AD ディレクトリの管理 (p. 63)」を参照して
ください。
• 1 つの NAT インスタンスにより、単一の障害点が発生します。代わりに NAT ゲートウェイを作成す
ることをお勧めします。NAT インスタンスを使用する場合、可用性を高めるため、さまざまなアベ
イラビリティーゾーンに複数の NAT インスタンスを作成する必要があります。詳細については、
「Amazon VPC NAT インスタンスの高可用性: 例」を参照してください。
ステップ 1: VPC の作成と設定
以下のセクションでは、Simple AD で使用するために VPC を作成し、設定する方法を示しています。
トピック
• 新しい VPC の作成 (p. 77)
• 2 番目のプライベートサブネットを追加します (p. 78)
• ルートテーブルを変更します。 (p. 79)
• (オプション) NAT インスタンスオプションを設定します。 (p. 80)
新しい VPC の作成
このチュートリアルでは、いずれかの VPC 作成ウィザードを使用して次のものを作成します。
• VPC
• パブリックサブネット
• いずれかのプライベートサブネット
• インターネットゲートウェイ
• NAT ゲートウェイ
VPC ウィザードを使用して VPC を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
Version 1.0
77
Amazon WorkSpaces 管理者ガイド
ステップ 1: VPC の作成と設定
2.
3.
4.
ナビゲーションペインで、[VPC ダッシュボード]、[VPC ウィザードの開始] の順に選択します。ま
だ VPC リソースがない場合は、ダッシュボードの [Your Virtual Private Cloud] 領域で、[Get started
creating a VPC] を選択します。
[VPC with Public and Private Subnets]、[Select] の順に選択します。
ウィザードに以下の情報を入力し、[Create VPC] を選択します。
VPC ウィザードのフィールド
IP CIDR ブロック
10.0.0.0/16
VPC 名
WorkSpaces VPC
パブリックサブネット
10.0.0.0/24
アベイラビリティーゾーン
指定なし
パブリックサブネット名
NAT Subnet
プライベートサブネット
10.0.1.0/24
アベイラビリティーゾーン
指定なし
プライベートサブネット名
WorkSpaces Subnet 1
Elastic IP 割り当て ID
NAT ゲートウェイに割り当てるに使用可能な Elastic IP アドレスを選択します
DNS ホスト名を有効化
デフォルトの選択をそのままにしておきます
ハードウェアのテナンシー
デフォルト
5.
VPC が作成されるまでに数分かかります。VPC を作成した後、次のセクションに進みます。
Note
代わりに NAT インスタンスを起動する場合、ウィザードで [Use a NAT instance instead]
を選択し、インスタンスタイプとキーペアを選択します。
2 番目のプライベートサブネットを追加します
次の手順を実行して 2 番目のプライベートサブネットを作成します。
1.
2.
3.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで、[Subnets] を選択し、WorkSpaces subnet 1 という名前のサブネット
を選択して、ページの下部にある [Summary] タブを選択します。このサブネットのアベイラビリ
ティーゾーンを書き留めておきます。
[Create Subnet] を選択し、次の情報を [Create Subnet] ダイアログボックスに入力して、[Yes,
Create] を選択します。
Version 1.0
78
Amazon WorkSpaces 管理者ガイド
ステップ 1: VPC の作成と設定
サブネット 2 の設定
名前タグ
WorkSpaces subnet 2
VPC
VPC を選択します。これは WorkSpaces VPC という名前の VPC です。
アベイラビリティーゾーン
ステップ 2 で書き留めたもの以外の任意のアベイラビリティーゾーンを選択します。Amazon
WorkSpaces で使用される 2 つのサブネットは、異なるアベイラビリティーゾーンに存在する
必要があります。
CIDR ブロック
10.0.2.0/24
ルートテーブルを変更します。
次の手順を実行して、サブネットのルートテーブルを変更します。
1.
2.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
ナビゲーションペインで [Subnets] を選択し、NAT subnet という名前のサブネットを選択しま
す。ページの下部の [Route Table] タブを選択し、サブネットの Route Table 識別子を書き留めて
おきます。ルートテーブルの識別子は rtb-XXXXXXXX のようになります。
3.
ナビゲーションペインで、[Route Tables] を選択し、前のステップで識別されたルートテーブルを
選択して、名前を NAT route table に変更します。
4.
ページの下部で、[Routes] タブを選択し、次のエントリが NAT route table のルートテーブル
にあることを確認します。必要に応じてルートテーブルを変更し、[Edit] を選択します。
NAT サブネットルートテーブル
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
igw-XXXXXXXX
これは VPC 用にローカルに送信されるすべてのトラフィックをルーティングし、他のすべての IP
アドレスに送信されるトラフィックを、Amazon VPC ウィザードで作成したインターネットゲー
トウェイにルーティングします。igw-XXXXXXXX はインターネットを識別します
5.
ナビゲーションペインで [Subnets] を選択し、WorkSpaces subnet 1 という名前のサブネット
を選択します。ページの下部の [Route Table] タブを選択し、サブネットの Route Table 識別子を
書き留めておきます。ルートテーブルの識別子は rtb-XXXXXXXX のようになります。
6.
WorkSpaces subnet 2 という名前のサブネットを選択し、ページの下部にある [Route Table] タ
ブを選択します。ルートテーブルの識別子は WorkSpaces subnet 1 と WorkSpaces subnet
2 で同じである必要があります。WorkSpaces subnet 2 のルートテーブルが異なる場合、
WorkSpaces subnet 2 のルートテーブルを、WorkSpaces subnet 1 と同じルートテーブルに
変更します。
7.
ナビゲーションペインで [Route Tables] を選択し、以前に識別した WorkSpaces ルートテーブル
を選択して、名前を WorkSpaces route table に変更します。
8.
ページの下部で、[Routes] タブを選択し、次のエントリが WorkSpaces route table のルート
テーブルにあることを確認します。必要に応じてルートテーブルを変更し、[Edit] を選択します。
Version 1.0
79
Amazon WorkSpaces 管理者ガイド
ステップ 1: VPC の作成と設定
WorkSpaces サブネットのルートテーブル
送信先
ターゲット
10.0.0.0/16
ローカル
0.0.0.0/0
/nat-XXXXXXXXXXXXXXXXX
これは VPC にローカルに送信されるすべてのトラフィックをルーティングし、他のすべての IP ア
ドレスに送信されるトラフィックを NAT ゲートウェイにルーティングします。
nat-XXXXXXXXXXXXXXXXX は、NAT ゲートウェイを識別します。
Note
代わりに NAT インスタンスを起動した場合、ルートは NAT インスタンスの
eni-XXXXXXXX/i-XXXXXXXX を示します。
(オプション) NAT インスタンスオプションを設定します。
NAT ゲートウェイの代わりに NAT インスタンスを起動した場合、NAT インスタンスに関連付けられた
セキュリティグループを変更して、次のインバウンドルールが含まれるようにします。
NAT セキュリティグループのインバウンドルール
タイプ
プロトコル
ポート範囲
送信元
HTTP
TCP
80
10.0.1.0/24
HTTP
TCP
80
10.0.2.0/24
HTTPS
TCP
443
10.0.1.0/24
HTTPS
TCP
443
10.0.2.0/24
これにより、2 つのプライベートサブネットから NAT に対してポート 80（HTTP）と 443（HTTPS）
でインバウンドトラフィックが許可されます。
NAT インスタンスに関連付けられているセキュリティグループを変更し、次のアウトバウンドルール
を含めます。
NAT セキュリティグループのアウトバウンドルール
タイプ
プロトコル
ポート範囲
送信先
HTTP
TCP
80
0.0.0.0/0
HTTPS
TCP
443
0.0.0.0/0
これにより、任意の宛先に対してポート 80（HTTP）と 443（HTTPS）でアウトバウンドトラフィッ
クが許可されます。
NAT インスタンスが正しく動作するためには、Source/Destination Check 属性が無効になってい
る必要があります。Amazon VPC ウィザードではこの操作は自動的に実行されませんが、これらの手
Version 1.0
80
Amazon WorkSpaces 管理者ガイド
ステップ 2: Simple AD ディレクトリの作成
順が含まれているので、必要に応じて自分で実行することができます。また、この手順を使用して、
Source/Destination Check 属性が無効になっていることを確認することもできます。
1.
2.
https://console.aws.amazon.com/ec2/）にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで [Instances] を選択し、VPC にある NAT インスタンスを見つけます。NAT
インスタンスは、10.0.0.0/24 の範囲のプライベート IP アドレスを持ちます。NAT インスタンスの
名前を WorkSpaces NAT Instance に変更します。
3.
[WorkSpaces NAT Instance] を選択した状態で、[Actions] を選択して、[Change Source/Dest]
を選択してください。チェック. [Status] が [Disabled] の場合は、この設定を変更する必要はあり
ません。[Status] が [Enabled] の場合は、[Yes, Disable] を選択します。
ステップ 2: Simple AD ディレクトリの作成
Simple AD ディレクトリを作成するには、以下の手順を実行します。このプロセスの詳細については、
「Amazon WorkSpaces コンソールを使ってディレクトリを作成する (p. 34)」を参照してください。
クラウドのディレクトリを作成するには
1.
2.
3.
4.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで、[Directories] を選択し、[Set up Directory] を選択します。
[Simple AD] エリアで、[Create Simple AD] を選択します。
以下のフィールドに値を入力します。
組織名
yourname-example-dir など、組織用のグローバルに一意の名前を入力します。これは長さ
が 4 文字以上である必要があり、英数字とハイフンのみを使用できます。名前をハイフンで開
始または終了することはできません。組織名が既に使用されている場合、[Continue] を選択す
るとエラーが返されます。
Directory DNS
example.com
NetBIOS name
EXAMPLE
Administrator password
ディレクトリ管理者のパスワードです。ディレクトリの作成プロセスでは、ユーザー名
Administrator とこのパスワードを使用して管理者アカウントが作成されます。パスワード
の要件については、次の表の注意事項を参照してください。
ディレクトリ管理者のパスワードは大文字と小文字が区別され、8～64 文字の長さにする必要
があります。また、以下の 4 つのカテゴリうち 3 つから少なくとも 1 文字を含める必要があ
ります。
• 小文字（a～z）
• 大文字（A～Z）
• 番号（0～9）
• アルファベット以外の文字（~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/）
[Confirm Password]
管理者パスワードを再入力します。
5.
[VPC Details] セクションの次のフィールドに値を入力し、[Continue] を選択します。
VPC
ディレクトリ用の VPC。
Version 1.0
81
Amazon WorkSpaces 管理者ガイド
ステップ 3: WorkSpace の作成
Subnets
ディレクトリサーバーのサブネットを選択します。2 つのサブネットは、異なるアベイラビリ
ティゾーンに存在している必要があります。
6.
ディレクトリ情報を確認し、必要な変更を加えます。情報が正しい場合は、[Create Simple AD] を
選択します。
ステップ 3: WorkSpace の作成
次の手順では、Simple AD ディレクトリに新しいユーザーを作成し、そのユーザーの WorkSpace を起
動します。この手順の詳細については、「クラウドのディレクトリで WorkSpaces を起動する (p. 51)」
を参照してください。
ユーザーの WorkSpace を起動するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
ナビゲーションペインで、[WorkSpaces]、[Launch WorkSpaces] の順に選択します。
[Select Directory] で、クラウドのディレクトリ example.com を選択します。[Enable WorkDocs
for all users in this Directory] で、[Yes]、[Next] の順に選択します。
Amazon WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs
同期クライアントのヘルプ」を参照してください。
Note
このオプションは、選択したリージョン Amazon WorkDocs が使用できる場合にのみ表示
されます。
4.
新しいユーザーについて次の情報を入力し、[Create Users] を選択します。これにより、新しい
ユーザーが [WorkSpaces] リストに追加されます。[Next] を選択します。
ユーザー情報のテスト
[Username]
johndoe
名
John
姓
Doe
E メール
利用できる有効な E メールアドレスを入力します。この E メールアドレスに登録と招待の E
メールが送信されます。
5.
6.
[WorkSpace Bundles] で、[Value] バンドルを選択し、[Next] を選択します。
ユーザーと WorkSpaces に使用するバンドルを確認し、[Launch WorkSpaces] を選択します。
WorkSpace の起動には数分かかります。WorkSpace が利用可能になると、新しいユーザー用に指
定された E メールアドレスに招待 E メールが送信されます。この E メールには、ユーザープロ
ファイルを完了する方法、Amazon WorkSpaces をダウンロードしてインストールする方法、およ
び WorkSpace にログインする方法の手順が含まれています。
7.
招待メールを受け取ったら、E メールのリンクを開いてユーザープロファイルを完了します。新し
いユーザーのパスワードを入力して、新しいパスワードを確認し、[Update User] を選択してユー
Version 1.0
82
Amazon WorkSpaces 管理者ガイド
ステップ 4: WorkSpace のテスト
ザープロファイルを完了します。このパスワードを忘れないでください。これは WorkSpace に接
続するときに使用します。
ステップ 4: WorkSpace のテスト
WorkSpace をテストし、インターネットに接続できることを確認するには、次の手順を実行します。
1.
2.
3.
4.
http://clients.amazonworkspaces.com/ から希望する Amazon WorkSpaces クライアントアプリケー
ションをダウンロードし、インストールします。
クライアントアプリケーションを起動します。初めてこのクライアントでアプリケーションを実行
する場合は、招待 E メールに記載されている登録コードを入力し、[Register] を選択します。クラ
イアントアプリケーションがこのクライアントに既に登録されている場合は、ログインページの上
部にある歯車アイコンを選択し、[Register] を選択します。招待 E メールに記載されている登録
コードを入力し、[Register] を選択します。
ユーザーのユーザー名 (johndoe) とパスワードを入力して WorkSpace に接続し、[Sign In] を選択
します。
WorkSpace デスクトップが表示されたら、ウェブブラウザを開いて
http://aws.amazon.com/workspaces/ にアクセスし、ページを表示できることを確認します。
おめでとうございます。Amazon WorkSpaces クラウドのディレクトリが作成されました。また、最初
の WorkSpace は正しく動作していて、インターネットにアクセスできます。
チュートリアル: グループポリシーを使用したアプ
リケーションの配布
グループポリシー設定の一般的な用途は、特定のユーザーの WorkSpaces に特定のアプリケーション
をインストールすることです。以下の例では、特定の Active Directory 部門（OU）に属するすべての
ユーザーの WorkSpaces に AWS CLI をインストールするために必要なすべての手順について、順を
追って説明します。このシナリオを完了するには、以下が必要です。
• Amazon WorkSpaces クラウドディレクトリ。
• 次のいずれかです。
• Active Directory 管理ツールおよびグループポリシー管理ツールがインストールされた管理
WorkSpace。詳細については、「ディレクトリの管理 WorkSpace のセットアップ (p. 62)」および
「Active Directory 管理ツールのインストール (p. 63)」を参照してください。
• Active Directory 管理ツールおよびグループポリシー管理ツールがインストールされたディレクト
リに結合されている EC2 インスタンス。詳細については、「Amazon EC2 インスタンスのディレ
クトリへの結合 (p. 63)」および「Active Directory 管理ツールのインストール (p. 63)」を参照して
ください。
• アプリケーションをインストールする 1 つ以上の WorkSpace。
Note
グループポリシーを使用してインストールできるのは、.msi および .zap ファイルのみで
す。.exe ファイルはインストールできません。
トピック
• ファイルサーバーの起動 (p. 84)
• 部門の作成 (p. 84)
Version 1.0
83
Amazon WorkSpaces 管理者ガイド
ファイルサーバーの起動
• アプリケーションをインストールするグループポリシーの作成 (p. 85)
• 結果 (p. 87)
ファイルサーバーの起動
VPC 内の EC2 インスタンスをファイルサーバーとして機能するように起動します。ファイルサーバー
は、アプリケーションインストールパッケージのソースになります。
ファイルサーバーを起動するには
1.
2.
3.
4.
5.
6.
インスタンス内部から、インスタンスの名前を FS1 のような意味のある名前に変えます。Amazon
WorkSpaces ディレクトリに結合される前のほうが、はるかに簡単にマシン名を変更することがで
きます。
このインスタンスをディレクトリに結合します。手順については、「Amazon EC2 インスタンス
のディレクトリへの結合 (p. 63)」を参照してください。
VPC 内のすべてのアドレスから 445 ポートへのインバウンドとアウトバウンドの TCP トラフィッ
クを許可するように、ファイルサーバーとディレクトリメンバーのセキュリティグループを変更し
ます。実装によって、これらが同じセキュリティグループになる場合と、ならない場合がありま
す。詳細については、「ファイル共有 (p. 69)」を参照してください。
ファイルサーバーにディレクトリを作成し、Installers のように意味のある名前を付けます。
そのディレクトリの Authenticated Users グループに共有への読み取りアクセス権を付与して、ディ
レクトリを共有します。この共有には、\\FS1\Installers などの UNC パスを使用してアクセ
スできます。
64 ビットの AWS CLI インストーラを https://s3.amazonaws.com/aws-cli/AWSCLI64.msi からダウ
ンロードし、それを \\FS1\Installers 共有にコピーします。
部門の作成
グループポリシーを割り当てる Active Directory 部門を作成します。この OU のメンバーであるすべて
のユーザーにグループポリシーが適用されます。
[Active Directory Users and Computers] で、次の手順を実行します。
部門を作成するには
1.
WorkSpaces 部門（OU）を作成します。[WorkSpaces] OU の下に、[Developers] OU を作成しま
す。
2.
アプリケーションをインストールする必要のある Amazon WorkSpaces ユーザーを [Developers]
OU に移動します。デフォルトでは、Amazon WorkSpaces はドメインの下の [Users] フォルダに
ユーザーを作成します。
Version 1.0
84
Amazon WorkSpaces 管理者ガイド
アプリケーションをインストールするグループポリシーの
作成
アプリケーションをインストールするグループポリ
シーの作成
AWS CLI をインストールする OU にグループポリシー設定を追加します。
グループのポリシーを使用してアプリケーションをインストールするには
1.
グループポリシーの管理ツールを開き、ドメインの Developers OU に移動します。これは、「部
門の作成 (p. 84)」で作成した OU です。
Version 1.0
85
Amazon WorkSpaces 管理者ガイド
アプリケーションをインストールするグループポリシーの
作成
2.
3.
4.
5.
6.
[Developers] OU のコンテキスト（右クリック）メニューを開き、[Create a GPO in this domain,
and link it here] を選択します。
[New GPO] ダイアログボックスで、[Name] に「Install AWS CLI」と入力し、[Source Starter GPO]
は [(none)] の設定のままにします。[OK] を選択します。
[Install AWS CLI] GPO のコンテキスト（右クリック）メニューを開き、[Edit] を選択します。
[Group Policy Management Editor] で、[User Configuration] - [Policies] - [Software Settings] - [Software
installation] の順に選択します。
[Software installation] のコンテキスト（右クリック）メニューを開き、[New] - [Package] の順に選
択します。[Open] ダイアログボックスで、AWS CLI インストーラを含む共有フォルダの UNC パ
ス（たとえば \\FS1\Installers）を入力し、AWS CLI インストーラを選択します。[Deploy
Software] ダイアログボックスで [Assigned] を選び、[OK] を選択します。
Version 1.0
86
Amazon WorkSpaces 管理者ガイド
結果
7.
8.
作成した AWS CLI パッケージのコンテキスト（右クリック）メニューを開き [Properties] を選択
します。プロパティダイアログボックスで、[Deployment] タブを選択します。[Deployment options]
から、[Install this application at logon] を選択します。[Installation user interface options] で [Basic]
を選択します。[OK] を選択します。
[Group Policy Management Editor] を終了します。
結果
Developers OU に属するユーザーが次に WorkSpace にログインすると、AWS CLI がインストールさ
れています。WorkSpace でコマンドプロンプトを開き、aws --version コマンドを発行することで、イ
ンストールを検証できます。
D:\Users\johndoe>aws --version
aws-cli/x.x.x Python/x.x.x Windows/2008ServerR2
AWS CLI バージョン情報が表示されます。AWS CLI がインストールされていない場合は、エラーが返
されます。
チュートリアル: カスタムバンドルの作成
Abstract
カスタム Amazon WorkSpaces バンドルを作成する方法を説明します。
以下の手順では、カスタムバンドルの作成、バンドルの更新、バンドルから作成された WorkSpace の
更新に必要なすべての手順を説明します。
トピック
• 前提条件 (p. 88)
• ステップ 1: イメージの作成 (p. 88)
Version 1.0
87
Amazon WorkSpaces 管理者ガイド
前提条件
• ステップ 2: バンドルの作成 (p. 89)
• ステップ 3: バンドルからの WorkSpace の起動 (p. 90)
• ステップ 4: イメージの変更 (p. 90)
• ステップ 5: バンドルの更新 (p. 91)
• ステップ 6: カスタムバンドルの WorkSpace の再構築 (p. 91)
前提条件
このチュートリアルでは、以下のことを前提としています。
• アクティブな AWS アカウントがある。
• 既存の Simple AD ディレクトリまたは AD Connector ディレクトリがある。
• AWS アカウントに 2 個の WorkSpaces を作成する容量がある。[Amazon WorkSpaces Limits] フォー
ムを使用して、この制限の引き上げをリクエストできます。
• AWS アカウントにディレクトリで 2 個の WorkSpace イメージを作成する容量がある。
• ディレクトリ内の WorkSpaces がインターネットにアクセスできる。詳細については、「Simple AD
ディレクトリのインターネットアクセス (p. 9)」または「AD Connector ディレクトリのインター
ネットアクセス (p. 14)」を参照してください。
ステップ 1: イメージの作成
WorkSpace を起動し、WorkSpace をカスタマイズして、WorkSpace のイメージを作成します。
Note
イメージを作成すると、以下の項目が WorkSpace から取得されます。
• C:\ ドライブ内のすべての項目
• C:\Users\Default にコピーされる以下のフォルダ以外の D:\Users\<user_name> のすべての項
目。
• 連絡先
• ダウンロード
• お気に入り
• 音楽
• 画像
• ゲームのセーブデータ
• 動画
• ポッドキャスト
• 仮想マシン
• 一時フォルダ
• キャッシュフォルダ
• デフォルトユーザーにもコピーされる、現在のユーザーの HKey (HKCU) からのすべてのレ
ジストリエントリ
イメージを作成するには
1.
ディレクトリで 2 つの WorkSpace ユーザーを作成します。1 つは image_gen というユーザー名
で、もう 1 つは bundle_user というユーザー名で作成します。
Version 1.0
88
Amazon WorkSpaces 管理者ガイド
ステップ 2: バンドルの作成
2.
3.
「WorkSpace の起動 (p. 51)」の手順に従って、image_gen に割り当てられた WorkSpace を起動
します。バンドルのインフラストラクチャタイプはバンドルの作成時に設定されるため、WorkSpace
のインフラストラクチャタイプは重要ではありません。この WorkSpace のコストを削減するため
に、最も低コストなインフラストラクチャタイプを選択してください。バンドルに Plus パッケー
ジも必要な場合は、それも選択します。
image_gen の WorkSpace が 利用可能になったら、この WorkSpace に接続します。
4.
image_gen の WorkSpace で、以下の手順を実行します。
• http://notepad-plus-plus.org/ から Notepad++ をインストールします。
• Mozilla Firefox に http://aws.amazon.com/documentation/ のブックマークを追加します。
• オペレーティングシステムとアプリケーションの更新プログラムやパッチをすべてダウンロード
してインストールします。
• すべてのブラウザ履歴、キャッシュされたコンテンツ、Cookie を削除します。
5.
image_gen の WorkSpace からログオフします。
6.
7.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択します。次に、image_gen の WorkSpace を選択し
ます。
[Actions] をクリックし、[Create Image] を選択します。
[Create WorkSpace Image] ダイアログボックスで、以下の情報を入力し、[Create Image] をクリッ
クします。
8.
9.
イメージ名
Image 1
説明
My first image
イメージが作成されるまでに最大で 1 時間かかる可能性があります。イメージが作成されたら、
「ステップ 2: バンドルの作成 (p. 89)」に進みます。
ステップ 2: バンドルの作成
WorkSpace イメージからカスタムバンドルを作成します。
バンドルを作成するには
1.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
2.
3.
ナビゲーションペインで [WorkSpace Images] を選択します。
Image 1 イメージを選択して [Actions] をクリックし、[Create Bundle] を選択します。
4.
[Create WorkSpace Bundle] ダイアログボックスで、以下の情報を入力し、[Create Bundle] をク
リックします。
[Bundle Name]
Bundle 1
説明
My first bundle
[Hardware Type]
バリュー
Version 1.0
89
Amazon WorkSpaces 管理者ガイド
ステップ 3: バンドルからの WorkSpace の起動
バンドルが作成されたら、「ステップ 3: バンドルからの WorkSpace の起動 (p. 90)」に進みます。
ステップ 3: バンドルからの WorkSpace の起動
カスタムバンドルから WorkSpace を起動し、イメージに対して行った変更が WorkSpace に含まれて
いることを確認します。
カスタムバンドルから WorkSpace を起動し、イメージを確認するには
1.
2.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpace Bundles] を選択します。
3.
4.
作成する WorkSpace の基になるバンドルを選択し、[Launch WorkSpace] をクリックします。
WorkSpace を起動するステップに進みます。WorkSpace を起動するユーザーを選択するときに、
bundle_user を選択します。
5.
bundle_user の WorkSpace が利用可能になったら、いずれかの WorkSpaces クライアントアプ
リケーションを使用して WorkSpace に接続します。
6.
bundle_user の WorkSpace で、以下を確認します。
• Notepad++ がインストールされ、機能している。
• Mozilla Firefox に http://aws.amazon.com/documentation/ のブックマークが含まれてい
る。
ステップ 4: イメージの変更
イメージを変更します。
1.
image_gen の WorkSpace に接続します。
2.
image_gen の WorkSpace で、以下の変更を行います。
• http://www.google.com/chrome/browser/ から Google Chrome ブラウザをインストールします。
• Text Document.txt というファイルを My Documents フォルダに追加します。テキストエディ
タで Text Document.txt を開き、ファイルに次のテキストを追加してファイルを保存します。
The quick brown fox jumps over the lazy dog.
3.
image_gen の WorkSpace からログオフします。WorkSpace をシャットダウンしないでくださ
い。
4.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
5.
ナビゲーションペインで [WorkSpaces] を選択します。次に、image_gen の WorkSpace を選択し
ます。
[Actions] をクリックし、[Create Image] を選択します。
6.
7.
[Create WorkSpace Image] ダイアログボックスで、以下の情報を入力し、[Create Image] をクリッ
クします。
イメージ名
Image 2
説明
My second image
Version 1.0
90
Amazon WorkSpaces 管理者ガイド
ステップ 5: バンドルの更新
イメージが作成されるまでに最大で 1 時間かかる可能性があります。イメージが作成されたら、
「ステップ 5: バンドルの更新 (p. 91)」に進みます。
ステップ 5: バンドルの更新
更新されたイメージを使用するようにカスタムバンドルを更新します。
1.
2.
3.
4.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpace Bundles] を選択します。
[WorkSpace Bundles] ページで Bundle 1 を選択して [Actions] をクリックし、[Update Bundle] を
選択します。
[Update WorkSpace Bundle] ダイアログボックスで、Image 2 を選択し、[Update Bundle] をクリッ
クします。
の [Image NameBundle 1] を「Image 2」に更新します。ステップ 6: カスタムバンドルの
WorkSpace の再構築 (p. 91) に進みます。
ステップ 6: カスタムバンドルの WorkSpace の再構
築
既存の WorkSpace を再構築して新しいイメージに更新します。
1.
2.
3.
Amazon WorkSpaces コンソール（https://console.aws.amazon.com/workspaces/）を開きます。
ナビゲーションペインで [WorkSpaces] を選択します。
bundle_user の WorkSpace を選択して [Actions] をクリックし、[Rebuild WorkSpace] を選択し
ます。
bundle_user の WorkSpace が再び実行中になったら、次のステップに進みます。
4.
5.
再構築した bundle_user の WorkSpace が利用可能になったら、いずれかの WorkSpaces クライ
アントアプリケーションを使用して WorkSpace に接続します。
bundle_user の WorkSpace で、以下を確認します。
• Notepad++ がインストールされ、機能している。
• Mozilla Firefox に http://aws.amazon.com/documentation/ のブックマークが含まれてい
る。
• Google Chrome ブラウザがインストールされ、機能している。
• Text Document.txt ファイルが My Documents フォルダに存在し、次のテキストが含まれて
いる。
The quick brown fox jumps over the lazy dog.
6.
これで、このチュートリアルはこれで終わりです。今後必要ではない場合、以下のオブジェクトは
削除しても問題ありません。
• bundle_user WorkSpace。
• image_gen WorkSpace。
• Bundle 1 バンドル。
• Image 1 イメージ。
• Image 2 イメージ。
Version 1.0
91
Amazon WorkSpaces 管理者ガイド
ステップ 6: カスタムバンドルの WorkSpace の再構築
• image_gen ユーザーと bundle_user ユーザー。これらのユーザーは、任意の Active Directory
管理ツールを使用して削除する必要があります。
Version 1.0
92
Amazon WorkSpaces 管理者ガイド
サポートされるプラットフォームとデバイス
Amazon WorkSpaces クライアント
ヘルプ
Abstract
Amazon WorkSpaces クライアントアプリケーションのセットアップおよびインストール方法。
トピック
• サポートされるプラットフォームとデバイス (p. 93)
• ユーザープロファイルの完了 (p. 94)
• Amazon WorkSpaces クライアントの前提条件 (p. 94)
• Amazon WorkSpaces Windows クライアントヘルプ (p. 95)
• Amazon WorkSpaces クライアントのヘルプ (p. 98)
• Amazon WorkSpaces iPad クライアントヘルプ (p. 100)
• Amazon WorkSpaces Android クライアントのヘルプ (p. 105)
• Amazon WorkSpaces Chromebook クライアントヘルプ (p. 109)
• PCoIP ゼロクライアントのヘルプ (p. 111)
• WorkSpace からの印刷 (p. 112)
• Amazon WorkDocs 同期クライアントのヘルプ (p. 113)
• Amazon WorkSpaces クライアントの問題のトラブルシューティング (p. 114)
サポートされるプラットフォームとデバイス
クライアントアプリケーションは、次のプラットフォームとデバイスで利用できます。
• Microsoft Windows 7 以降
• Apple Mac OS X 10.8.1 以降
• Apple iPad 2（iOS 7.0 以降）
• Apple iPad Retina（iOS 7.0 以降）
• Amazon Kindle Fire HDX および Kindle HD 7
• Samsung、Nexus のタブレット（Android OS 4.2 以降を搭載）
• Chrome OS バージョン 45 以降の Chromebook
Version 1.0
93
Amazon WorkSpaces 管理者ガイド
ユーザープロファイルの完了
Amazon WorkSpaces クライアントアプリケーションでは、ほとんどのキーボードとポインティングデ
バイスがサポートされます。これには、さまざまなタイプの USB および Bluetooth の入力デバイスが
含まれます。特定のデバイスで問題が発生した場合は、https://console.aws.amazon.com/support/home#/
に問題を報告してください。ストレージデバイスなどその他のローカルで接続する周辺機器は、サポー
トされません。
ユーザープロファイルの完了
ユーザーアカウントを最初に作成するときは、ようこそ E メールで指定された登録リンクを使用して、
ユーザープロフィールを完了する必要があります。E メールが送信されてから 7 日以内に登録を完了さ
せる必要があります。登録しないと、招待が有効期限切れになり、管理者は再度招待 E メールを送信
しなければならなくなります。ユーザー名と E メールアドレスは変更できませんが、姓名は変更でき
ます。このアカウントのパスワードも設定する必要があります。パスワードは大文字と小文字が区別さ
れ、8～64 文字の長さにする必要があります。また、以下の 3 つのカテゴリから少なくとも 1 文字を
含める必要があります。
•
•
•
•
英小文字（a～z）
英大文字（A～Z）
番号（0～9）
アルファベット以外の文字（~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/）
ページで情報を入力し、[Update User] を選択します。
ユーザー登録が完了したら、Amazon WorkSpaces Client Downloads から Amazon WorkSpaces クライ
アントアプリケーションをダウンロードできます。
Amazon WorkSpaces クライアントの前提条件
Amazon WorkSpaces クライアントアプリケーションには、適切に動作してユーザーが満足できるクラ
イアントエクスペリエンスを提供するために満たす必用のある最小要件があります。
• Amazon WorkSpaces ユーザーには、Amazon WorkSpaces クライアントアプリケーションを実行す
る PC、Mac、iPad、Kindle、または Android タブレットまたは Chromebook などのクライアントデ
バイスが必用です。
• Amazon WorkSpaces クライアントアプリケーションには、ブロードバンドインターネット接続が必
要です。
• クライアントが接続されているネットワーク、およびクライアント自体のファイアウォールに、さま
ざまな AWS サービスの IP アドレス範囲に対して開かれている特定のポートが存在している必要が
あります。これらと同じポートが、クライアントで実行されているファイアウォールでも開かれてい
る必要があります。一部のネットワークでは、これらのポートの一部またはすべてが閉じている場合
があります。その場合、ネットワーク管理者との共同作業により、これらのポートを有効化する必要
があります。詳細については、「クライアントポート (p. 7)」を参照してください。
• WorkSpace があるリージョンへのラウンドトリップ時間（RTT）は、100ms 未満であることが推奨
されます。ネットワークレイテンシーのテストなど、詳細については、「レイテンシーしきい
値 (p. 95)」を参照してください。
• ユーザーが仮想プライベートネットワーク（VPN）経由で WorkSpace にアクセスする場合は、少な
くとも 1200 バイトの最大送信単位（MTU）をサポートする接続が必用です。詳細については、「MTU
しきい値 (p. 95)」を参照してください。
• Amazon WorkSpaces クライアントアプリケーションには、サービスと Amazon Simple Storage
Service（S3）がホストする Amazon WorkSpaces リソースへの HTTPS アクセスが必要です。Amazon
WorkSpaces クライアントアプリケーションは、アプリケーションレベルのプロキシリダイレクトを
Version 1.0
94
Amazon WorkSpaces 管理者ガイド
レイテンシーしきい値
サポートしていません。これは、Amazon WorkSpaces クライアントアプリケーションを正しく登録
し、使用するために必要です。詳細については、「HTTPS アクセス (p. 95)」を参照してください。
以下の手順を実行することによって、これらの要件がすべて満たされていることを確認できます。
クライアントのネットワークアクセスをテストするには
1.
いずれかの Amazon WorkSpaces クライアントアプリケーション開き、登録コードを入力します。
2.
クライアントアプリケーションの右下隅にある [Network] を選択します。クライアントアプリケー
ションによって、ネットワーク接続、ポート、ラウンドトリップ時間がテストされ、これらのテス
トの結果がレポートされます。
3.
[Dismiss]を選択してログインページに戻ります。
トピック
• レイテンシーしきい値 (p. 95)
• MTU しきい値 (p. 95)
• HTTPS アクセス (p. 95)
レイテンシーしきい値
他のネットワーキングサービスと同様に、ネットワークレイテンシーは、Amazon WorkSpaces クライ
アントアプリケーションのパフォーマンスに影響します。最適なパフォーマンスのためには、クライア
ントネットワークから WorkSpaces があるリージョンまでのラウンドトリップ時間（RTT）が 100ms
未満でなければなりません。Amazon WorkSpaces クライアントアプリケーションは、RTT が 100ms
と 250ms の間にあれば、パフォーマンスは低下しますが、機能し続けます。
MTU しきい値
仮想プライベートネットワーク（VPN）経由で WorkSpace にアクセスする場合は、少なくとも 1200
バイトの最大送信単位（MTU）をサポートする接続が必用です。
HTTPS アクセス
Amazon WorkSpaces クライアントアプリケーションは、サービスと Amazon Simple Storage Service
（Amazon S3）でホストされる Amazon WorkSpaces リソースに HTTPS アクセスする必要がありま
す。これは、Amazon WorkSpaces クライアントアプリケーションを正しく登録し、使用するために必
要です。
Amazon WorkSpaces Windows クライアントヘル
プ
Abstract
Amazon WorkSpaces Windows クライアントアプリケーションの使用を開始します。
Amazon WorkSpaces Windows クライアントアプリケーションの使用を開始する際に、以下の情報が
役立ちます。
目次
Version 1.0
95
Amazon WorkSpaces 管理者ガイド
セットアップとインストール
• セットアップとインストール (p. 96)
• WorkSpace への接続 (p. 96)
• クライアントビュー (p. 97)
• クライアントの言語 (p. 97)
• プロキシサーバー (p. 97)
• コマンドショートカット (p. 97)
• トラブルシューティング (p. 98)
セットアップとインストール
Amazon WorkSpaces Windows クライアント アプリケーションには、次のいずれかが必要です。
• Microsoft Windows 7 以降
• Windows Server 2008 以降
Amazon WorkSpaces Client Downloads から Windows クライアントアプリケーションをダウンロード
して、インストールします。
WorkSpace への接続
WorkSpace に接続するには、以下の手順を実行します。
WorkSpace に接続するには
1.
2.
3.
4.
クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E
メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する
WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを
後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動し、ログ
イン画面メニューの [Options] - [Register] をクリックすると、別の登録コードを入力できます。
ログイン画面でユーザー名とパスワードを入力し、[Sign In] を選択します。If your Amazon
WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces,
you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator
will provide more information about how to obtain your passcode.
Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace
に簡単に接続できるように、自分の認証情報を安全に保存しておくかどうかを確認するメッセージ
が表示されます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全
にキャッシュに保存されます。
クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ
れます。
（オプション）WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet
ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最
大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合は、Amazon
WorkSpaces フォーラムでヘルプを検索してください。
インターネット接続が停止すると、現行のセッションは切断されます。これはノートパソコンの蓋を閉
じた場合やワイヤレスネットワーク接続の喪失から発生する場合があります。Windows 用の Amazon
WorkSpaces クライアントアプリケーションは、ネットワーク接続がある程度の時間内に回復すれば
セッションを自動的に再接続するよう試みます。デフォルト設定のセッション再起動タイムアウトは
20 分ですが、この時間はネットワーク管理者によってドメイングループポリシー設定で変更されてい
る場合もあります。詳細については、「セッション再起動タイムアウト設定 (p. 68)」を参照してくだ
さい。
Version 1.0
96
Amazon WorkSpaces 管理者ガイド
クライアントビュー
クライアントビュー
クライアントアプリケーションメニューで [View]、[Show Fullscreen] を選択すると、フル画面モード
に切り替えることができます。
フル画面モードでは、画面の上部にマウスカーソルを移動することにより、ウィンドウモードに戻るこ
とができます。クライアントアプリケーションメニューが表示され、クライアントアプリケーションメ
ニューで [View] - [Exit Fullscreen ] をクリックできます。
Amazon WorkSpaces Windows クライアントアプリケーションがサポートするモニタは 2 つまでです。
クライアントアプリケーションは、全画面表示モードになると、自動的に両方のモニタを使用します。
各モニタのサポートされている最大解像度は 2560x1600 ピクセルです。
クライアントの言語
次の手順で実行することによって、クライアントで表示される言語を選択できます。
クライアントの言語を選択するには
1.
2.
Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボックス
を開きます。
[Select a language] リストで目的の言語を選び、[Save] を選択します。
プロキシサーバー
ネットワークでインターネットにアクセスするためにプロキシサーバーを使用する必要がある場合は、
Amazon WorkSpaces クライアントアプリケーションで HTTPS（ポート 443 ）トラフィックでのプロ
キシの使用を許可することができます。認証を伴うプロキシは現在サポートされていません。
Note
Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポート
を使用します。WorkSpace へのデスクトップストリーミング接続では、ポート 4172 が有効に
なっている必要があり、プロキシサーバーを経由しません。
プロキシサーバーを使用するには
1.
2.
Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボックス
を開きます。
[Proxy Server Setting] エリアで、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスと
ポートを入力して、[Save] を選択します。
コマンドショートカット
Amazon WorkSpaces Windows クライアントは、次のコマンドショートカットをサポートします。
• Ctrl+Alt+Enter - 全画面表示の切り替え
• Ctrl+Alt+F12 - セッションの切断
Version 1.0
97
Amazon WorkSpaces 管理者ガイド
トラブルシューティング
トラブルシューティング
トピック
• ログイン後、クライアントアプリケーションが常に白いページのみを表示し、WorkSpace に接続
できません。 (p. 98)
ログイン後、クライアントアプリケーションが常に白いページ
のみを表示し、WorkSpace に接続できません。
この問題は、クライアントコンピュータ（WorkSpace ではない）の VeriSign/Symantec 証明書の失効
によって発生している可能性があります。これらの証明書を見つけて削除するには、次の手順を実行し
ます。
失効した VeriSign/Symantec 証明書を見つけて削除するには
1.
2.
3.
4.
5.
Windows の [Control Panel] で、[Internet Options] を選択します。
[Internet Properties] ダイアログボックスで、[Content] タブを選択し、[Certificates] を選択します。
[Certificates] ダイアログボックスで、[Intermediate Certificate Authorities] タブを選択します。証明
書リストで、VeriSign または Symantec 発行の現在失効している証明書をすべて選び、[Remove]
を選択します。失効していない証明書は削除しないでください。
[Trusted Root Certificate Authorities] タブで、VeriSign または Symantec 発行の現在失効している
証明書をすべて選び、[Remove] を選択します。失効していない証明書は削除しないでください。
[Certificates] ダイアログボックスと、[Internet Properties] ダイアログボックスを閉じます。
クライアントアプリケーションを再度起動すると、接続できます。
Amazon WorkSpaces クライアントのヘルプ
Abstract
Amazon WorkSpaces OS X クライアントアプリケーションの使用を開始します。
Amazon WorkSpaces OS X クライアントアプリケーションの使用を開始する際に、以下の情報が役立
ちます。
目次
• セットアップとインストール (p. 98)
• WorkSpace への接続 (p. 99)
• クライアントビュー (p. 99)
• クライアントの言語 (p. 99)
• プロキシサーバー (p. 100)
• コマンドショートカット (p. 100)
セットアップとインストール
Amazon WorkSpaces OS X クライアントアプリケーションには、以下が必要です。
• Mac OS X（10.8.1）以降
Version 1.0
98
Amazon WorkSpaces 管理者ガイド
WorkSpace への接続
Amazon WorkSpaces Client Downloads から Amazon WorkSpaces OS X クライアントをダウンロード
してインストールします。
WorkSpace への接続
WorkSpace に接続するには、以下の手順を実行します。
WorkSpace に接続するには
1.
2.
3.
4.
クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E
メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する
WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを
後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動し、ログ
イン画面メニューの [Options] - [Register] をクリックすると、別の登録コードを入力できます。
ログインの画面でユーザー名とパスワードを入力し、[Sign In] をクリックします。If your Amazon
WorkSpaces administrator has enabled multi-factor authentication for your organization's WorkSpaces,
you are prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator
will provide more information about how to obtain your passcode.
Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace
に簡単に接続できるように、自分の認証情報を安全に保存しておくかどうかを確認するメッセージ
が表示されます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全
にキャッシュに保存されます。
クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ
れます。
（オプション）WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet
ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最
大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合は、Amazon
WorkSpaces フォーラムでヘルプを検索してください。
インターネット接続が停止すると、現行のセッションは切断されます。これはノートパソコンの蓋を閉
じた場合やワイヤレスネットワーク接続の喪失から発生する場合があります。OS X 用の Amazon
WorkSpaces クライアントアプリケーションは、ネットワーク接続がある程度の時間内に回復すれば
セッションを自動的に再接続するよう試みます。デフォルト設定のセッション再起動タイムアウトは
20 分ですが、この時間はネットワーク管理者によってドメイングループポリシー設定で変更されてい
る場合もあります。詳細については、「セッション再起動タイムアウト設定 (p. 68)」を参照してくだ
さい。
クライアントビュー
クライアントアプリケーションメニューで [View]、[Show Fullscreen] を選択すると、フル画面モード
に切り替えることができます。
フル画面モードでは、画面の上部にマウスカーソルを移動することにより、ウィンドウモードに戻るこ
とができます。クライアントアプリケーションメニューが表示されたら、クライアントアプリケーショ
ンメニューで [View]、[Exit Fullscreen] を選択します。
Amazon WorkSpaces OS X のクライアントアプリケーションは最大 2 台のモニタをサポートします。
クライアントアプリケーションは、フル画面モードに切り替わると、自動的に最初の 2 台のモニタを使
用します。各モニタのサポートされている最大解像度は 2560x1600 ピクセルです。
クライアントの言語
次の手順で実行することによって、クライアントで表示される言語を選択できます。
Version 1.0
99
Amazon WorkSpaces 管理者ガイド
プロキシサーバー
クライアントの言語を選択するには
1.
Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボックス
を開きます。
2.
[Select a language] リストで目的の言語を入力し、[Save] を選択します。
プロキシサーバー
ネットワークでインターネットにアクセスするためにプロキシサーバーを使用する必要がある場合は、
Amazon WorkSpaces クライアントアプリケーションで HTTPS（ポート 443 ）トラフィックでのプロ
キシの使用を許可することができます。認証を伴うプロキシは現在サポートされていません。
Note
Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポート
を使用します。WorkSpace へのデスクトップストリーミング接続では、ポート 4172 が有効に
なっている必要があり、プロキシサーバーを経由しません。
プロキシサーバーを使用するには
1.
2.
Amazon WorkSpaces クライアントアプリケーションで、[Advanced Settings] ダイアログボックス
を開きます。
[Proxy Server Setting] エリアで、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスと
ポートを入力して、[Save] を選択します。
コマンドショートカット
Amazon WorkSpaces OS X クライアントは、以下のコマンドショートカットをサポートしています。
• Control+Option+Return — 全画面表示の切り替え
• Control+Option+F12 — セッションの切断
Amazon WorkSpaces iPad クライアントヘルプ
Abstract
Amazon WorkSpaces iPad クライアントアプリケーションの使用を開始します。
Amazon WorkSpaces iPad クライアントアプリケーションの使用を開始する際に、以下の情報が役立
ちます。
目次
• セットアップとインストール (p. 101)
• WorkSpace への接続 (p. 101)
• ジェスチャ (p. 101)
• 放射状メニュー (p. 102)
• キーボード (p. 104)
• マウスモード (p. 104)
• 切断 (p. 105)
Version 1.0
100
Amazon WorkSpaces 管理者ガイド
セットアップとインストール
セットアップとインストール
Amazon WorkSpaces iPad クライアントアプリケーションには、以下が必要です。
• iPad 2 または iPad Retina（iOS 7.0 以降）.
クライアントアプリケーションをダウンロードしてインストールするには、以下の手順を実行します。
クライアントアプリケーションをダウンロードしてインストールするには
1.
iPad で App Store を検索し、Amazon WorkSpaces クライアントアプリケーションを見つけます。
2.
3.
アプリケーションをダウンロードし、インストールします。
Amazon WorkSpaces クライアントアプリケーションのアイコンが iPad のデスクトップの 1 つに
表示されていることを確認します。
WorkSpace への接続
WorkSpace に接続するには、以下の手順を実行します。
WorkSpace に接続するには
1.
2.
3.
4.
iPad で、Amazon WorkSpaces クライアントアプリケーションを開きます。
クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E
メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する
WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを
後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動してログ
イン画面で [Enter new registration code] をタップすることで、別の登録コードを入力することが
できます。
ユーザー名とパスワードを入力し、[Sign In] をタップします。If your Amazon WorkSpaces
administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are
prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide
more information about how to obtain your passcode.
Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace
に簡単に接続できるように、自分の認証情報を安全に保存しておくかどうかを確認するメッセージ
が表示されます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全
にキャッシュに保存されます。
クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ
れます。
（オプション）WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet
ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最
大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合は、Amazon
WorkSpaces フォーラムでヘルプを検索してください。
ジェスチャ
以下に、Amazon WorkSpaces iPad クライアントアプリケーションでサポートされるジェスチャを示
します。
Version 1.0
101
Amazon WorkSpaces 管理者ガイド
放射状メニュー
シングルタップ
Windows でのシングルクリックに相当します。
ダブルタップ
Windows でのダブルクリックに相当します。
2 本指シングルタップ
Windows での右クリックに相当します。
2 本指ダブルタップ
画面上のキーボード表示を切り替えます。
左からのスワイプ
放射状のメニューを表示します。詳細については、「放射状メニュー (p. 102)」を参照してください。
2 本指スクロール
上下（垂直）にスクロールします。
2 本指ピンチ
表示をズームイン/ズームアウトします。
2 本指パン
ズームイン時にデスクトップをパンします。
放射状メニュー
放射状メニューは、画面の左側からスワイプすると表示されます。
Version 1.0
102
Amazon WorkSpaces 管理者ガイド
放射状メニュー
放射状メニューを使用すると、次の機能に簡単にアクセスできます。
接続のステータス
接続のステータスを表示します。
切断
ログオフしないでクライアントアプリケーションを切断できます。
ダイレクトマウスモード
入力をダイレクトマウスモードに設定します。詳細については、「マウスモード (p. 104)」を参照して
ください。
Version 1.0
103
Amazon WorkSpaces 管理者ガイド
キーボード
ヘルプ
コマンドとジェスチャのチュートリアルを表示します。
キーボード
画面上のキーボード表示を切り替えます。
Windows スタートメニュー
Windows のスタートメニューを表示します。
オフセットマウスモード
入力をオフセットマウスモードに設定します。詳細については、「マウスモード (p. 104)」を参照して
ください。
キーボード
画面上のキーボードの表示を切り替えるには、画面の任意の場所を 2 本指でダブルタップします。キー
ボードの一番上の行に、特殊キーの組み合わせが表示されます。
マウスモード
マウスモードは放射状メニュー (p. 102)を使用して設定します。
ダイレクトモード
ダイレクトマウスモードでは、指でタップした位置にマウスカーソルが置かれます。このモードでは、
シングルタップは、マウスの左ボタンをクリックするのと同じで、2 本指シングルタップはマウスの右
ボタンをクリックするのと同じです。
オフセットモード
オフセットマウスモードでは、マウスカーソルが画面上の指の動きを追跡します。このモードでは、マ
ウスの左ボタンアイコンをタップすることで、マウスの左ボタンのクリックをシミュレートします。
Version 1.0
104
Amazon WorkSpaces 管理者ガイド
切断
マウスの右ボタンアイコンをタップすることで、マウスの右ボタンのクリックをシミュレートします。
切断
iPad クライアントを切断するには、放射状メニューを表示し、切断アイコンをタップして、[Disconnect]
をタップします。WorkSpace をログオフしても、クライアントが切断されます。
Amazon WorkSpaces Android クライアントのヘル
プ
Abstract
Amazon WorkSpaces Android クライアントアプリケーションの使用を開始します。
Amazon WorkSpaces Android クライアントアプリケーションの使用を開始する際に、以下の情報が役
立ちます。
目次
• セットアップとインストール (p. 110)
• WorkSpace への接続 (p. 110)
• ジェスチャ (p. 111)
• 放射状メニュー (p. 107)
• キーボード (p. 109)
• マウスモード (p. 109)
• 切断 (p. 109)
セットアップとインストール
Amazon WorkSpaces Android クライアントアプリケーションには、以下が必要です。
• Amazon Kindle Fire HDX または Kindle HD 7
• Samsung または Nexus のタブレット（Android OS 4.2 以降を搭載）。Amazon WorkSpaces Android
クライアントアプリケーションは、Android バージョン 4.2 以降を搭載したほとんどの Android タブ
レットで動作しますが、互換性のないデバイスが存在している可能性もあります。特定のデバイスの
問題が発生した場合は、Amazon WorkSpaces フォーラムで問題を報告してください。
クライアントアプリケーションをダウンロードしてインストールするには、以下の手順を実行します。
Version 1.0
105
Amazon WorkSpaces 管理者ガイド
WorkSpace への接続
クライアントアプリケーションをダウンロードしてインストールするには
1.
タブレットで http://clients.amazonworkspaces.com/ にアクセスし、ご使用のタブレットのリンク
をクリックします。
2.
3.
アプリケーションをダウンロードし、インストールします。
Amazon WorkSpaces クライアントアプリケーションのアイコンがタブレットのデスクトップの 1
つに表示されていることを確認します。
WorkSpace への接続
WorkSpace に接続するには、以下の手順を実行します。
WorkSpace に接続するには
1.
2.
3.
4.
タブレットで、Amazon WorkSpaces クライアントアプリケーションを開きます。
クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E
メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する
WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを
後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動してログ
イン画面で [Enter new registration code] をタップすることで、別の登録コードを入力することが
できます。
ユーザー名とパスワードを入力し、[Sign In] をタップします。If your Amazon WorkSpaces
administrator has enabled multi-factor authentication for your organization's WorkSpaces, you are
prompted for a passcode to complete your login. Your Amazon WorkSpaces administrator will provide
more information about how to obtain your passcode.
Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace
に簡単に接続できるように、自分の認証情報を安全に保存しておくかどうかを確認するメッセージ
が表示されます。認証情報は、ユーザーの Kerberos チケットの最大有効期間が終了するまで安全
にキャッシュに保存されます。
クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ
れます。
（オプション）WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet
ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最
大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合は、Amazon
WorkSpaces フォーラムでヘルプを検索してください。
ジェスチャ
次は Amazon WorkSpaces Android クライアントアプリケーションでサポートされるジェスチャです。
シングルタップ
Windows でのシングルクリックに相当します。
ダブルタップ
Windows でのダブルクリックに相当します。
2 本指シングルタップ
Windows での右クリックに相当します。
Version 1.0
106
Amazon WorkSpaces 管理者ガイド
放射状メニュー
2 本指ダブルタップ
画面上のキーボード表示を切り替えます。
左からのスワイプ
放射状のメニューを表示します。詳細については、「放射状メニュー (p. 107)」を参照してください。
2 本指スクロール
上下（垂直）にスクロールします。
2 本指ピンチ
表示をズームイン/ズームアウトします。
2 本指パン
ズームイン時にデスクトップをパンします。
放射状メニュー
放射状メニューは、画面の左側からスワイプすると表示されます。
放射状メニューを使用すると、次の機能に簡単にアクセスできます。
Version 1.0
107
Amazon WorkSpaces 管理者ガイド
放射状メニュー
接続のステータス
接続のステータスを表示します。
切断
ログオフしないでクライアントアプリケーションを切断できます。
ダイレクトマウスモード
入力をダイレクトマウスモードに設定します。詳細については、「マウスモード (p. 109)」を参照して
ください。
ヘルプ
コマンドとジェスチャのチュートリアルを表示します。
キーボード
画面上のキーボード表示を切り替えます。
Windows スタートメニュー
Windows のスタートメニューを表示します。
オフセットマウスモード
入力をオフセットマウスモードに設定します。詳細については、「マウスモード (p. 109)」を参照して
ください。
Version 1.0
108
Amazon WorkSpaces 管理者ガイド
キーボード
キーボード
画面上のキーボードの表示を切り替えるには、画面の任意の場所を 2 本指でダブルタップします。キー
ボードの一番上の行に、特殊キーの組み合わせが表示されます。
マウスモード
マウスモードは放射状メニュー (p. 107)を使用して設定します。
ダイレクトモード
ダイレクトマウスモードでは、指でタップした位置にマウスカーソルが置かれます。このモードでは、
シングルタップは、マウスの左ボタンをクリックするのと同じで、2 本指シングルタップはマウスの右
ボタンをクリックするのと同じです。
オフセットモード
オフセットマウスモードでは、マウスカーソルが画面上の指の動きを追跡します。このモードでは、マ
ウスの左ボタンアイコンをタップすることで、マウスの左ボタンのクリックをシミュレートします。
マウスの右ボタンアイコンをタップすることで、マウスの右ボタンのクリックをシミュレートします。
切断
Android クライアントを切断するには、放射状メニューを表示し、切断アイコンをタップして [Disconnect]
をタップします。WorkSpace をログオフしても、クライアントが切断されます。
Amazon WorkSpaces Chromebook クライアント
ヘルプ
Abstract
Amazon WorkSpaces Chromebook クライアントアプリケーションの使用を開始します。
Amazon WorkSpaces Chromebook クライアントアプリケーションの使用を開始する際に、以下の情報
が役立ちます。
目次
• セットアップとインストール (p. 110)
Version 1.0
109
Amazon WorkSpaces 管理者ガイド
セットアップとインストール
• WorkSpace への接続 (p. 110)
• ジェスチャ (p. 111)
セットアップとインストール
Amazon WorkSpaces Chromebook クライアントアプリケーションには、以下が必要です。
• Chrome OS バージョン 45 以降の Chromebook。Amazon WorkSpaces Chromebook クライアントア
プリケーションは、Chromebook バージョン 45 以降を搭載したほとんどの Chromebook タブレット
で動作しますが、互換性のないデバイスが存在している可能性もあります。特定のデバイスの問題が
発生した場合は、Amazon WorkSpaces フォーラムで問題を報告してください。
クライアントアプリケーションをダウンロードしてインストールするには、以下の手順を実行します。
クライアントアプリケーションをダウンロードしてインストールするには
1.
2.
3.
お使いの Chromebook で http://clients.amazonworkspaces.com/ に移動して、Chromebook のリン
クを選択します。
アプリケーションをダウンロードし、インストールします。
Amazon WorkSpaces クライアントアプリケーションのアイコンが Chromebook の検索で表示さ
れることを確認します。
WorkSpace への接続
WorkSpace に接続するには、以下の手順を実行します。
WorkSpace に接続するには
1.
2.
3.
4.
Chromebook で、Amazon WorkSpaces クライアントアプリケーションを開きます。
クライアントアプリケーションを初めて実行すると、登録コードが求められます。これは招待 E
メールに含まれています。Amazon WorkSpaces クライアントアプリケーションは、接続する
WorkSpace を識別する登録コードとユーザー名を使用します。クライアントアプリケーションを
後で起動すると、同じ登録コードが使用されます。クライアントアプリケーションを起動してログ
イン画面で [Enter new registration code] をクリックすることで、別の登録コードを入力すること
ができます。
ユーザー名とパスワードを入力し、[Sign In] を選択します。If your Amazon WorkSpaces administrator
has enabled multi-factor authentication for your organization's WorkSpaces, you are prompted for a
passcode to complete your login. Your Amazon WorkSpaces administrator will provide more
information about how to obtain your passcode.
Amazon WorkSpaces 管理者が [Remember Me] 機能を無効にしていない場合、それ以降 WorkSpace
に簡単に接続できるように、自分の認証情報を安全に保存しておくかどうかを確認するメッセージ
が表示されます。アプリケーションが稼働している間、認証情報は安全にキャッシュされます。
クライアントアプリケーションが WorkSpace に接続すると、WorkSpace デスクトップが表示さ
れます。
（オプション）WorkSpace で AD Connector ディレクトリを使用している場合は、Microsoft TechNet
ライブラリの「Kerberos ポリシーの構成」に示されている手順に従って、Kerberos チケットの最
大有効期間を更新できます。[Remember Me] 機能を無効にする必要がある場合は、Amazon
WorkSpaces フォーラムでヘルプを検索してください。
Version 1.0
110
Amazon WorkSpaces 管理者ガイド
ジェスチャ
ジェスチャ
以下に、Amazon WorkSpaces Chromebook クライアントアプリケーションでサポートされるジェス
チャを示します。
シングルタップ
Windows でのシングルクリックに相当します。
ダブルタップ
Windows でのダブルクリックに相当します。
2 本指シングルタップ
Windows での右クリックに相当します。
2 本指スクロール
上下（垂直）にスクロールします。
PCoIP ゼロクライアントのヘルプ
Abstract
Amazon WorkSpaces の PCoIP ゼロクライアントデバイス接続をセットアップして使用します。
このトピックでは、Amazon WorkSpaces で PCoIP ゼロクライアントデバイスをセットアップして使
用する方法を説明します。詳細については、『PCoIP Connection Manager User Guide』の「Connecting
to Amazon WorkSpaces Desktops」を参照してください。
トピック
• 要件 (p. 111)
• ゼロクライアント接続のセットアップ (p. 112)
• WorkSpace への接続 (p. 112)
• ゼロクライアントからの切断 (p. 112)
要件
Amazon WorkSpaces で PCoIP ゼロクライアントを使用できるようにするには、以下が必要です。
• Teradici PCoIP Connection Manager for Amazon WorkSpaces を含む EC2 インスタンス。これは
Amazon WorkSpaces 管理者によってセットアップされます。管理者から WorkSpace に接続するた
めに必要なサーバー URI が提供されます。詳細については、「PCoIP ゼロクライアントの有効
化 (p. 69)」を参照してください。
• ファームウェアバージョン 4.6.0 以降の Tera2 ゼロクライアントデバイス。詳細については、「PCoIP
ゼロクライアント」を参照してください。
Version 1.0
111
Amazon WorkSpaces 管理者ガイド
ゼロクライアント接続のセットアップ
ゼロクライアント接続のセットアップ
WorkSpace に初めてゼロクライアントデバイスを接続する前に、一部の設定の変更が必要になる場合
があります。Amazon WorkSpaces 管理者から、特定の環境に必要な追加のセットアップ手順が指示さ
れる場合があります。
セッション接続
セッション接続を設定するには、以下の手順を実行します。
セッション接続を設定するには
1.
PCoIP ゼロクライアントデバイスから、[Options] > [Configuration] の順にクリックし、[Session]
タブを選択します。
2.
ページがロックされている場合は、[Unlock] をクリックし、ゼロクライアントのパスワードを入力
します（必要な場合）。
[Connection Type] フィールドで、[PCoIP Connection Manager] を選択します。
[Server URI] フィールドに、管理者から提供されたサーバー URI を入力し、[OK] をクリックしま
す。
3.
4.
WorkSpace への接続
PCoIP ゼロクライアントデバイスを使用して WorkSpace に接続するには、以下の手順を実行します。
WorkSpace に接続するには
1.
2.
PCoIP ゼロクライアントデバイスで、[Server] リストから [PCoIP Connection Manager for Amazon
WorkSpaces] を選択し、[Connect] をクリックします。
ログインページで、Amazon WorkSpaces ユーザー名とパスワードを入力し、[Login] をクリック
します。
ゼロクライアントからの切断
WorkSpace からゼロクライアントを切断するには、ディスプレイの上部のメニューにある切断アイコ
ンをクリックします。WorkSpace をログオフしても、クライアントが切断されます。
WorkSpace からの印刷
Amazon WorkSpaces では以下の出力方法がサポートされています。
トピック
• ローカルプリンター (p. 112)
• その他の印刷方法 (p. 113)
ローカルプリンター
Amazon WorkSpaces はローカルプリンターへのリダイレクトをサポートしています。WorkSpace で
アプリケーションから印刷するときに、使用できるプリンターのリストにローカルプリンターが含まれ
ています。ローカルプリンターの場合、プリンターの表示名に「(Local – <workspace
Version 1.0
112
Amazon WorkSpaces 管理者ガイド
その他の印刷方法
username>.<directory name>.<client computer name>)」が追加されます。いずれかのロー
カルプリンターを選択すると、そのプリンターでドキュメントが印刷されます。
場合によっては、使用するローカルプリンター用の Windows Server 2008 R2 ドライバを、WorkSpace
で手動でダウンロードしてインストールする必要があります。WorkSpace でプリンタードライバをイ
ンストールする場合、異なるタイプのドライバが見つかることがあります。
• プリンターの追加ウィザードのドライバ。このドライバにはプリンタードライバのみが含まれ、
Windows のプリンターの追加ウィザードを使用したインストールに慣れているユーザーを対象とし
ています。
• プリンターとの通信を必要としないプリンターモデル固有のドライバ。このような場合、プリンター
ドライバを直接インストールできます。
• プリンターとの通信を必要とするプリンターモデル固有のドライバ。このような場合、プリンタード
ライバファイルを使用して、既存のポート（LPT1:）を使用するローカルプリンターを追加できま
す。ポートを選択した後、[Have Disk] を選択し、プリンタードライバの .INF ファイルを選択しま
す。
プリンタードライバをインストールしたら、新しいプリンターが認識されるように WorkSpace を再起
動する必要があります。
WorkSpace からローカルプリンターで印刷できない場合は、クライアントコンピュータからローカル
プリンターで印刷できることを確認してください。クライアントコンピュータから印刷できない場合
は、プリンターのドキュメントを参照するか、プリンターのサポートに問い合わせて問題を解決してく
ださい。クライアントコンピュータから印刷できる場合、詳細については、AWS サポートにお問い合
わせください。
その他の印刷方法
次のいずれかの方法を使用して、WorkSpace から印刷することもできます。
• 接続したディレクトリで、Active Directory によって公開されているネットワークプリンターに
WorkSpace をアタッチできます。
• Google Cloud Print や HP Mobile Printing などのクラウド印刷サービスを使用します。
• ファイルに出力して、そのファイルをローカルデスクトップに転送し、アタッチされているプリン
ターでローカルにファイルを印刷します。
Amazon WorkDocs 同期クライアントのヘルプ
Abstract
Amazon WorkDocs を使用して WorkSpace と他のコンピュータ間でファイルを同期させます。
Amazon WorkDocs にはクライアント同期アプリケーションが用意されており、WorkSpace から Amazon
WorkDocs サービスへ継続して自動的かつ安全にドキュメントをバックアップできます。Amazon
WorkDocs の詳細については、『Amazon WorkDocs 管理ガイド』の「Amazon WorkDocs 同期クライ
アントのヘルプ」を参照してください。
Version 1.0
113
Amazon WorkSpaces 管理者ガイド
トラブルシューティング
Amazon WorkSpaces クライアントの問題のトラ
ブルシューティング
Abstract
Amazon WorkSpaces クライアントの問題をトラブルシューティングします。
WorkSpaces クライアントで発生する可能性がある一般的な問題を以下に示します。
問題点
• WorkSpaces クライアントがネットワークエラーを返しますが、デバイス上の他のネットワーク対
応アプリケーションは使用できます (p. 114)
• 自分の WorkSpace へのログインに数分かかることがあります (p. 114)
• セッションを閉じただけでログオフしなくても、WorkSpace からログオフされることがありま
す (p. 114)
• 自分の WorkSpace からインターネットに接続できません (p. 115)
• サードパーティのセキュリティソフトウェアパッケージをインストールした後、WorkSpace に接
続できません (p. 115)
• WorkSpace に接続すると、「network connection is slow」という警告が表示されます (p. 115)
• クライアントアプリケーションで無効な証明書エラーが表示されました。これはどういう意味です
か。 (p. 115)
• 「ご使用のデバイスは WorkSpaces 登録サービスに接続できません」というエラーメッセージが表
示されます。 (p. 116)
WorkSpaces クライアントがネットワークエラーを
返しますが、デバイス上の他のネットワーク対応ア
プリケーションは使用できます
WorkSpaces のクライアントアプリケーションは AWS クラウド内のリソースへのアクセスに依存して
いるため、最低 1 Mbps のダウンロード帯域幅を提供する接続が必要です。デバイスがネットワークに
断続的に接続している場合、WorkSpaces クライアントアプリケーションがネットワークに関する問題
を報告することがあります。
自分の WorkSpace へのログインに数分かかることが
あります
システム管理者が設定したグループポリシー設定が原因で、WorkSpace が起動または再起動された後
のログインが遅延することがあります。この遅延はグループポリシー設定が WorkSpace に適用されて
いる間に発生し、正常です。
セッションを閉じただけでログオフしなくても、
WorkSpace からログオフされることがあります
システム管理者が WorkSpace に適用した新規または更新後のグループポリシー設定で、接続解除され
したセッションからのログオフが必要とされています。
Version 1.0
114
Amazon WorkSpaces 管理者ガイド
自分の WorkSpace からインターネットに接続できません
自分の WorkSpace からインターネットに接続できま
せん
WorkSpaces はデフォルトではインターネットと通信することができません。管理者は、明示的にイン
ターネットアクセスを許可する必要があります。WorkSpace へのインターネットアクセスの許可の詳
細については、「Simple AD ディレクトリのインターネットアクセス (p. 9)」または「AD Connector
ディレクトリのインターネットアクセス (p. 14)」を参照してください。
サードパーティのセキュリティソフトウェアパッケー
ジをインストールした後、WorkSpace に接続できま
せん
WorkSpace には、あらゆるタイプのセキュリティまたはファイアウォールソフトウェアをインストー
ルできますが、Amazon WorkSpaces には、WorkSpace で開かれている特定のインバウンドおよびア
ウトバウンドポートが必要です。インストールしたセキュリティまたはファイアウォールソフトウェア
がこれらのポートをブロックしている場合は、WorkSpace が適切に機能しないか、アクセスできなく
なる可能性があります。WorkSpace にオープンする必要があるポートの詳細については、「管理イン
ターフェイスポート (p. 38)」および「プライマリインターフェイスポート (p. 38)」を参照してくださ
い。
WorkSpace を復元するには、管理者に WorkSpace の再構築を要請します。ソフトウェアを再インス
トールし、WorkSpace へのポートアクセスを正しく設定する必要があります。
WorkSpace に接続すると、「network connection is
slow」という警告が表示されます
クライアントから WorkSpace へのラウンドトリップ時間が 100ms より長い場合は、そのまま WorkSpace
を使用できますが、品質が低下する可能性があります。ラウンドトリップ時間が長くなる要因は多数あ
りますが、以下の要因が最も一般的です。
• WorkSpace が存在している AWS リージョンから離れ過ぎています。最良の WorkSpace エクスペリ
エンスのためには、WorkSpace が存在する AWS リージョンから 2000 km 以内にいる必用がありま
す。
• ネットワーク接続に一貫性がないか、低速です。最良のエクスペリエンスのためには、ネットワーク
接続の能力として、最低でも 300 kbps 以上、WorkSpace で動画を再生したり、グラフィックを多用
するアプリケーションを使用するときは 1 Mbps 以上が求められます。
クライアントアプリケーションで無効な証明書エラー
が表示されました。これはどういう意味ですか。
WorkSpace のクライアントアプリケーションは、SSL 証明書を介して WorkSpace サービスの ID を認
証します。Amazon WorkSpaces サービスのルート証明機関が確認できない場合には、クライアントア
プリケーションはエラーを表示し、サービスへの接続を防ぎます。最も一般的な原因は、プロキシサー
バーによりルート証明機関が削除され、クライアントアプリケーションに不完全な証明書が送り返され
る場合です。詳しい情報についてはネットワーク管理者にご連絡ください。
Version 1.0
115
Amazon WorkSpaces 管理者ガイド
「ご使用のデバイスは WorkSpaces 登録サービスに接続で
きません」というエラーメッセージが表示されます。
「ご使用のデバイスは WorkSpaces 登録サービスに
接続できません」というエラーメッセージが表示さ
れます。
登録サービスでエラーが発生すると、[Connection Health Check] ページに次のメッセージが表示され
ます。「ご使用のデバイスは WorkSpaces 登録サービスに接続できません。ごのデバイスは WorkSpaces
に登録できません。ネットワーク設定を確認してください。」
このエラーは、WorkSpaces クライアントアプリケーションが登録サービスにアクセスできない場合に
発生します。通常、これは、WorkSpaces ディレクトリが削除された場合に発生します。このエラーを
解決するには、登録コードが有効であり、AWS クラウドで実行中のディレクトリに対応していること
を確認します。詳細については、「高度な設定 (p. 33)」を参照してください。
Version 1.0
116
Amazon WorkSpaces 管理者ガイド
Amazon WorkSpaces 制限
Abstract
Amazon WorkSpaces リソース制限を拡大します。
次の表に Amazon WorkSpaces の制限の一覧を示します。特記されていない場合は、これらの制限は
リージョンごとに存在します。[Amazon WorkSpaces Limits] フォームを使用して、これらの制限の一
部の引き上げをリクエストできます。
Amazon WorkSpaces の制限
リソース
制限
コメント
WorkSpaces
5
Amazon WorkSpaces サービスの
新規アカウントにはこの制限が適
用されます。[Amazon WorkSpaces Limits] フォームを使用し
て、この制限の引き上げをリクエ
ストできます。
イメージ
5
Version 1.0
117
Amazon WorkSpaces 管理者ガイド
ドキュメント履歴
Abstract
Amazon WorkSpaces ドキュメントの改訂日、関連リリース、重要な変更を確認できます。
次の表は、Amazon WorkSpaces サービスおよびそのドキュメントセットへの重要な追加項目を示して
います。また、お客様からいただいたフィードバックに対応するために、ドキュメントを頻繁に更新し
ています。
• ドキュメントの最新更新日: 2015 年 12 月 3 日
変更
説明
日付変更
Microsoft AD サポート
Microsoft AD サポートの複数のアップデートが追加され
ました。
2015 年 12 月
3日
複数の機能リリース
Windows 7 デスクトップのライセンスを Amazon Work- 2015 年 10 月
Spaces (BYOL) に導入します。詳細については、「Win- 1 日
dows 7 デスクトップイメージを使用する (p. 61)」を参
照してください。
Chromebook クライアントが追加されました。詳細につ
いては、「Amazon WorkSpaces Chromebook クライア
ントヘルプ (p. 109)」を参照してください。
WorkSpace の暗号化。詳細については、「WorkSpace
を暗号化します。 (p. 53)」を参照してください。
CloudWatch モニタリング
の追加
CloudWatch モニタリングについての情報を追加しまし
た。詳細については、「Amazon WorkSpaces メトリッ
クスのモニタリング (p. 69)」を参照してください。
Version 1.0
118
2015 年 4 月
28 日
Amazon WorkSpaces 管理者ガイド
変更
説明
日付変更
自動セッション再接続
WorkSpace のデスクトップクライアントアプリケーショ 2015 年 3 月
ンの自動セッション再接続機能についての情報を追加し 31 日
ました。詳細については、次のトピックを参照してくだ
さい。
• WorkSpace への接続 (p. 96)
• WorkSpace への接続 (p. 99)
• セッション再起動タイムアウト設定 (p. 68)
パブリック IP アドレス
自動的に WorkSpaces にパブリック IP アドレスを割り 2015 年 1 月
当てるためのサポートを追加しました。詳細については、 23 日
次のトピックを参照してください。
• Simple AD のインターネットアクセス (p. 44)
• AD Connector のインターネットアクセス (p. 46)
Amazon WorkSpaces を ア Amazon WorkSpaces が アジアパシフィック（シンガ
ジアパシフィック（シンガ ポール） リージョンで利用可能になりました。
ポール） で開始
2015 年 1 月
15 日
Value バンドルの追加、Standard
Valueバンドルの更新、Office
バンドルが利用できるようになりました。Standard
2013 の追加
2014
バンドルのハードウェアがアップ
年 11 月
6日
イメージとバンドルのサ
ポート
イメージとカスタムバンドルのサポートが追加されまし 2014 年 10 月
た。詳細については、次のトピックを参照してください。 28 日
• WorkSpace イメージの管理 (p. 60)
• WorkSpace バンドルの管理 (p. 58)
PCoIP ゼロクライアントの Amazon WorkSpaces は、PCoIP ゼロクライアントデバ 2014 年 10 月
サポート
イスからアクセスできるようになりました。詳細につい 15 日
ては、次のトピックを参照してください。
• PCoIP ゼロクライアントの有効化 (p. 69)
• PCoIP ゼロクライアントのヘルプ (p. 111)
Amazon WorkSpaces を ア Amazon WorkSpaces が アジアパシフィック（東京）
ジアパシフィック（東京） リージョンで利用可能になりました。
で開始
2014 年 8 月
26 日
ローカルプリンターのサ
ポート
ローカルプリンターのサポートが追加されました。詳細 2014 年 8 月
については、「WorkSpace からの印刷 (p. 112)」を参照 26 日
してください。
多要素認証
接続したディレクトリでの多要素認証のサポートが追加
されました。詳細については、次のトピックを参照して
ください。
• 多要素認証の前提条件 (p. 17)
• 多要素認証 (p. 47)
Version 1.0
119
2014 年 8 月
11 日
Amazon WorkSpaces 管理者ガイド
変更
説明
日付変更
デフォルト OU のサポート WorkSpace のコンピュータアカウントが配置されるデ
フォルトの部門（OU）を選択する機能。詳細について
は、次のトピックを参照してください。
2014 年 7 月
7日
Simple AD ディレクトリ
デフォルトの組織単位 (p. 43)
AD Connector ディレクトリ
ターゲットドメインとデフォルトの組織単位 (p. 45)
ターゲットドメインのサ
ポート
WorkSpace のコンピュータアカウントが作成される他の 2014 年 7 月
ドメインを選択する機能。詳細については、「ターゲッ 7 日
トドメインとデフォルトの組織単位 (p. 45)」を参照して
ください。
セキュリティグループの追 WorkSpace にセキュリティグループを追加する機能。詳 2014 年 7 月
加
細については、次のトピックを参照してください。
7日
Simple AD ディレクトリ
セキュリティグループの追加 (p. 43)
AD Connector ディレクトリ
セキュリティグループの追加 (p. 46)
Amazon WorkSpaces を ア Amazon WorkSpaces が アジアパシフィック（シドニー） 2014 年 5 月
ジアパシフィック（シド
リージョンで利用可能になりました。
15 日
ニー） で開始
Amazon WorkSpaces を 欧 Amazon WorkSpaces が 欧州（アイルランド） リージョ 2014 年 5 月
州（アイルランド） で開始 ンで利用可能になりました。
5日
公開ベータ版
公開ベータ版.
Version 1.0
120
2014 年 3 月
25 日

（平成28年2月9日）（PDF：91KB）

ご案内 - 株式会社ヒロエンタープライズ

悪質な偽サイトにご注意ください

手回し式充電ラジオライト「プチサンダー」を発売しました。

Amazon 商品の評価の見方

Shoheiのプロフィールレポート - 現役慶應生Shoheiがネットビジネスで

もれなく プレゼント！ - 『プラウド』

タグバンガーズ 資料（PDF） - AWS Summit Tokyo 2015