ネットワークトラフィックの制御

WorkSpaces アプリケーションストリーミングインスタンスへのネットワークトラフィックを制御するには、以下のオプションを検討してください。

• Amazon AppStream ストリーミングインスタンスを起動する場合には、VPC 内のあるサブネットにおいて起動することになります。インターネットからアクセスできないようにするには、プライベートサブネットにストリーミングインスタンスをデプロイします。

• プライベートサブネットのストリーミングインスタンスへのインターネットアクセスを提供するには、NAT ゲートウェイを使用します。詳細については、「プライベートサブネットの VPC および NAT ゲートウェイを設定する」を参照してください。

• VPC に属するセキュリティグループを使用すると、WorkSpaces アプリケーションストリーミングインスタンスと、ライセンスサーバー、ファイルサーバー、データベースサーバーなどの VPC リソース間のネットワークトラフィックを制御できます。セキュリティグループは、ストリーミングインスタンスと WorkSpaces アプリケーション管理サービス間のトラフィックも分離します。

  セキュリティグループを使用して、ストリーミングインスタンスへのアクセスを制限します。この方法を使うと、たとえば、社内ネットワークのアドレス範囲に属するアドレスからのトラフィックのみ認めるといったことができます。詳細については、「Amazon WorkSpaces アプリケーションのセキュリティグループ」を参照してください。

• パブリックインターネットを経由せずに、VPC 内の WorkSpaces アプリケーションストリーミングインスタンスからストリーミングできます。これを行うには、インターフェイス VPC エンドポイント（インターフェイスエンドポイント）を使用します。詳細については、「チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング」を参照してください。

  インターフェイスエンドポイントを使用して、パブリックインターネット経由でトラフィックを送信せずに、VPC から WorkSpaces Applications API オペレーションを呼び出すこともできます。詳細については、「インターフェイス VPC エンドポイントを介して WorkSpaces アプリケーション API オペレーションと CLI コマンドにアクセスする」を参照してください。

• IAM ロールとポリシーを使用して、WorkSpaces アプリケーション、Application Auto Scaling、Amazon S3 バケットへの管理者アクセスを管理します。詳細については、以下の各トピックを参照してください。

  • AWS マネージドポリシーとリンクされたロールを使用して WorkSpaces アプリケーションリソースへの管理者アクセスを管理する

  • IAM ポリシーを使用して Application Auto Scaling への管理者アクセスを管理する

  • ホームフォルダおよびアプリケーション設定の永続化用の Amazon S3 バケットへの管理者アクセスの制限

• SAML 2.0 を使用して、認証を WorkSpaces アプリケーションにフェデレーションできます。詳細については、「Amazon WorkSpaces Applications Service Quotas」を参照してください。

  注記

  WorkSpaces アプリケーションの小規模なデプロイでは、WorkSpaces アプリケーションのユーザープールを使用できます。デフォルトでは、ユーザープールは最大 50 人のユーザーをサポートします。WorkSpaces アプリケーションのクォータ (制限とも呼ばれます) の詳細については、「」を参照してくださいAmazon WorkSpaces Applications Service Quotas。100 人以上の WorkSpaces Applications ユーザーをサポートする必要があるデプロイの場合は、SAML 2.0 を使用することをお勧めします。