クラウドソリューション事業部のエンジニアの上野です。
新型コロナウイルスの影響で今年に入ってから世間は一気にリモートワークが進みました。そんな中、サービスとして躍動したのは自宅からリモートで作業するための仮想デスクトップ環境になります。
AWSにおいても Amazon WorkSpaces というデスクトップ (DaaS) ソリューションがあります。今回はこちらを利用したので、簡単なセットアップ〜接続までをご紹介します。
なお、シーズでは従業員1人1人にノートパソコン(基本はMacBook)を支給し、リモートでも滞りなく作業ができる環境を整備しています。
そのような環境にある弊社ですが、MacBookを支給されている社員が Windows のWebブラウザによる動作確認する環境がほしいということが発端となり、WorkSpacesの利用を検討することになりました。
WorkSpacesを作ってみる
それでは構築を進めていきます。
AWSのマネジメントコンソールにログインし、すべてのサービスからWorkSpacesを選択します。WorkSpacesをまだ作成したことがない場合は下記の画面が表示されます。
WorkSpacesは高速セットアップに対応しているので、ここで高速セットアップを起動すると簡単に起動させることができますが、今回は手動で作成していきたいと思います。
まずはWorkSpacesのユーザー認証に使われるディレクトリサービスを作成します。WorkSpacesの画面で左側メニューからディレクトリを選択します。すると下記の画面が表示されますので、Simple ADを選択します。
次にディレクトリ情報を入力します。
ディレクトリのサイズはユーザー数は少ないのでスモールを選択。
組織名やディレクトリのDNS名と管理者用パスワードを設定します。
ADを動かすVPCとサブネットを選択します。
必要に応じて新しいVPCやサブネットを作成しましょう。
最後に設定内容を確認して、Simple ADを作成します。
ディレクトリが作成されたことが確認できましたら、対象のディレクトリを『登録』します。
対象のディレクトリを選択してアクションメニューから『登録』を選択します。
サブネットを選択し、画面下部の設定はいずれも有効化します。
ディレクトリが完成したら、いよいよ本題のWorkSpacesを作成します。
左のメニューから『WorkSpaces』を選択します。『ディレクトリの選択』では先程作成したディレクトリを選びます。
WorkSpacesの接続時に利用するユーザーを作成します。
EメールにはWorkSpacesへの接続情報が含まれたメールが後ほど届くので、間違えないように注意しましょう。
次にバンドルつまり稼働させるOSを選択します。
今回はWindowsクライアントとして利用したいので、日本語版のWindows 10を選択します。
次にWorkSpacesの設定を行います。
まず実行モードを『AlwaysOn』か『AutoStop』の2種類から選択します。
AlwaysOn
AutoStop
今回は用途として必要なときにスポットで使用するという形になるので、費用削減も兼ねて『AutoStop』を選択します。
暗号化についてはお勧めされているので有効化しましょう。
最後に設定のレビューと起動を行います。
なお、WorkSpacesの起動まで数十分かかりますので、気長に待ちましょう。
WorkSpacesにアクセスしてみる
WorkSpacesにアクセスできるようになるとAWSからアクセス情報を含んだメールが届きます。メールに記載されているURLからWorkSpaces用のクライアントソフトをダウンロードします。
クライアントソフト起動後に登録コードの入力を求められるので、メールに記載されているコードを入力します。
次にWorkSpaces作成時に登録したユーザー情報でログインします。
ログインに成功するとデスクトップ画面が表示されます。
アクセス制限してみる
WorkSpacesは作成されましたが、無条件にアクセスを許可せずに特定のIPアドレスからのみアクセスできるようにしたいと思います。
WorkSpacesの左側メニューから『IPアクセスコントロール』を選択します。
IPアクセスコントロールの画面が表示されるので、『IPグループ』の作成ボタンを押します。
すると下記の画面になりますので、グループ名と説明を記入しましょう。ここではまだIPアドレスの設定は行いません。
作成されたIPグループを選択すると、画面下部にルールが表示されますので、許可したいソースIPアドレスを設定します。
作成したIPアクセスコントロールのルールを適用します。
適用先はWorkSpacesではなく、ディレクトリになります。ディレクトリを選択し、アクションメニューから『詳細の更新』を選択します。
IPアクセスコントロールグループの項目があるので、作成したグループを選択します。
許可されていないIPアドレスからWorkSpacesのクライアントソフトを起動するとエラーが表示されるようになります。
なお、同じ画面上からソースIPアドレスによる制限以外にも以下のようなアクセス制限を行うこともできますので、必要に応じて適用してください。
・証明書を利用したクライアント認証
・プラットフォーム(デバイス)によるアクセス制御
さいごに
今回はWorkSpacesを手動で構築していきましたが、非常に簡単に仮想デスクトップ環境を作ることができました。
過去にオンプレミスの環境でVDI(仮想デスクトップ)システムの導入を行ったことがありますが、あれだけ大掛かりだったものがAWSだとマネジメントコンソール上から操作するだけで、短時間かつ簡単に構築できてしまうというところにクラウドの凄さをあらためて実感しています。
