WorkSpaces の IP アクセスコントロールグループ - Amazon WorkSpaces

WorkSpaces の IP アクセスコントロールグループ

Amazon WorkSpaces では、WorkSpaces にアクセスできる IP アドレスを制御できます。IP アドレスに基づくコントロールグループを使用すると、信頼できる IP アドレスのグループを定義および管理し、信頼できるネットワークに接続しているときにだけ WorkSpaces にアクセスできるようにすることができます。

IP アクセスアクセスコントロールグループは、ユーザーが自分の WorkSpaces にアクセスできる IP アドレスを制御する仮想ファイアウォールとして機能します。CIDR アドレス範囲を指定するには、IP アクセスコントロールグループにルールを追加し、グループをディレクトリに関連付けます。各 IP アクセスコントロールグループを1 つまたは複数のディレクトリに関連付けることができます。AWS アカウントあたり最大 100 の IP アクセスコントロールグループをリージョンごとに作成できます。ただし、1 つのディレクトリに関連付けることができるのは、最大 25 の IP アクセスコントロールグループのみです。

デフォルトの IP アクセスコントロールグループが各ディレクトリに関連付けられています。このデフォルトのグループには、ユーザーがどこからでも自分の WorkSpaces にアクセスできるようにするデフォルトのルールが含まれています。ディレクトリのデフォルトの IP アクセスコントロールグループを変更することはできません。IP アクセスコントロールグループをディレクトリに関連付けない場合は、デフォルトのグループが使用されます。IP アクセスコントロールグループをディレクトリに関連付けると、デフォルトの IP アクセスコントロールグループの関連付けが解除されます。

信頼できるネットワークのパブリック IP アドレスと IP アドレスの範囲を指定するには、IP アクセスコントロールグループにルールを追加します。ユーザーが NAT ゲートウェイまたは VPN 経由で WorkSpaces にアクセスする場合は、NAT ゲートウェイまたは VPN のパブリック IP アドレスからのトラフィックを許可するルールを作成する必要があります。

注記
  • IP アクセスコントロールグループでは、NAT 用に動的 IP アドレスを使用することはできません。NAT を使用している場合は、動的 IP アドレスではなく静的 IP アドレスを使用するように設定します。WorkSpaces セッションの間、NAT がすべての UDP トラフィックを同じ静的 IP アドレス経由でルーティングするようにします。

  • IP アクセス制御グループは、ユーザーが WorkSpaces にストリーミングセッションを接続できる IP アドレスを制御します。ユーザーは、Amazon WorkSpaces パブリック API を使用して、任意の IP アドレスから再起動、再構築、シャットダウンなどの機能を実行できます。

この機能は、Web Access、PCoIP ゼロクライアント、ならびに macOS、iPad、Windows、Chromebook、および Android 用のクライアントアプリケーションで使用できます。

IP アクセスコントロールグループを作成する

IP アクセスコントロールグループは、次のように作成できます。各 IP アクセスコントロールグループには、最大 10 個のルールを含めることができます。

IP アクセスコントロールグループを作成するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [IP アクセスコントロール] を選択します。

  3. [IP グループの作成] を選択します。

  4. [IP グループの作成] ダイアログボックスで、グループ名と説明を入力し、[作成] を選択します。

  5. グループを選択してから、[編集] を選択します。

  6. 各 IP アドレスで、[Add Rule (ルールの追加)] を選択します。[Source (送信元)] に IP アドレスまたは IP アドレスの範囲を入力します。[説明] に説明を入力します。ルールの追加を完了したら、[保存] を選択します。

IP アクセスコントロールグループをディレクトリに関連付ける

IP アクセスコントロールグループをディレクトリに関連付けることで、信頼できるネットワークからのみ WorkSpaces にアクセスできるようにすることができます。

ルールを持たない IP アクセスコントロールグループをディレクトリに関連付けると、すべての WorkSpaces へのすべてのアクセスがブロックされます。

IP アクセスコントロールグループをディレクトリに関連付けるには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [Directories] を選択します。

  3. ディレクトリを選択し、[Actions]、[Update Details] の順に選択します。

  4. [IP アクセスコントロールグループ] を展開し、1 つ以上の IP アクセスコントロールグループを選択します。

  5. [Update and Exit] を選択します。

IP アクセスコントロールグループをコピーする

既存の IP アクセスコントロールグループを新しい IP アクセスコントロールグループを作成するためのベースとして使用できます。

既存の IP アクセスコントロールグループから新しいグループを作成するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [IP アクセスコントロール] を選択します。

  3. グループを選択して、[アクション]、[コピーして新規作成] の順に選択します。

  4. [IP グループのコピー] ダイアログボックスで、新しいグループの名前と説明を入力し、[グループのコピー] を選択します。

  5. (オプション) 元のグループからコピーしたルールを変更するには、新しいグループを選択し、[編集] を選択します。必要に応じてルールを追加、更新、または削除します。[保存] を選択します。

IP アクセスコントロールグループを削除する

IP アクセスコントロールグループからいつでもルールを削除できます。WorkSpace への接続を許可するために使用されたルールを削除すると、そのユーザーは WorkSpace から切断されます。

IP アクセスコントロールグループを削除する前に、任意のディレクトリから関連付けを解除する必要があります。

IP アクセスコントロールグループを削除するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. ナビゲーションペインで [Directories] を選択します。

  3. IP アクセスコントロールグループに関連付けられている各ディレクトリで、ディレクトリを選択し、[アクション]、[更新の詳細] の順に選択します。[IP アクセスコントロールグループ] を展開し、IP アクセスコントロールグループのチェックボックスをオフにして、[更新と終了] を選択します。

  4. ナビゲーションペインで [IP アクセスコントロール] を選択します。

  5. グループを選択し、[アクション]、[IP グループの削除] を選択します。