Personal のクロスリージョンリダイレクト WorkSpaces - Amazon WorkSpaces
前提条件制限事項ステップ 1: 接続エイリアスを作成する(オプション) ステップ 2: 接続エイリアスを別のアカウントと共有するステップ 3: 接続エイリアスを各リージョンのディレクトリに関連付けるステップ 4: DNS サービスを設定し、DNS ルーティングポリシーを設定するステップ 5: 接続文字列を WorkSpaces ユーザーに送信するクロスリージョンリダイレクトアーキテクチャ図クロスリージョンリダイレクトを開始するクロスリージョンリダイレクト時の動作ディレクトリからの接続エイリアスの関連付けを解除する接続エイリアスの共有を解除する接続エイリアスを削除する接続エイリアスを関連付けおよび関連付け解除するための IAM 許可クロスリージョンリダイレクトの使用を停止する場合のセキュリティ上の考慮事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Personal のクロスリージョンリダイレクト WorkSpaces

Amazon のクロスリージョンリダイレクト機能を使用すると WorkSpaces、 の登録コードとして完全修飾ドメイン名 (FQDN) を使用できます WorkSpaces。クロスリージョンリダイレクトは、ドメインネームシステム (DNS) ルーティングポリシーと連携して、プライマリ WorkSpaces が利用できない場合に WorkSpaces ユーザーを代替 にリダイレクト WorkSpaces します。例えば、DNS フェイルオーバールーティングポリシーを使用すると、プライマリ AWS リージョン WorkSpaces の にアクセスできないユーザーを、指定したフェイルオーバーリージョン WorkSpaces の に接続できます。

リージョン間のリダイレクトを DNS フェイルオーバールーティングポリシーとともに使用して、リージョンの耐障害性と高可用性を実現できます。この機能は、トラフィックの分散やメンテナンス WorkSpaces 期間中の代替手段の提供など、他の目的でも使用できます。DNS 設定に Amazon Route 53 を使用する場合は、Amazon CloudWatch アラームをモニタリングするヘルスチェックを利用できます。

この機能を使用するには、2 つの (またはそれ以上) AWS リージョンでユーザー WorkSpaces 用に を設定する必要があります。また、接続エイリアスと呼ばれる特別な FQDN ベースの登録コードを作成する必要があります。これらの接続エイリアスは、 WorkSpaces ユーザーのリージョン固有の登録コードを置き換えます。(リージョン固有の登録コードは有効なままです。ただし、リージョン間リダイレクトが機能するためには、ユーザーは登録コードとして代わりに FQDN を使用する必要があります)。

接続エイリアスを作成するには、www.example.com または desktop.example.com などの FQDN である接続文字列を指定します。このドメインをクロスリージョンリダイレクトで使用するには、ドメインレジストラに登録し、ドメインの DNS サービスを構成する必要があります。

接続エイリアスを作成したら、それらを異なるリージョンの WorkSpaces ディレクトリに関連付けて、関連付けペア を作成します。関連付けペアごとに、プライマリリージョンと 1 つ以上のフェイルオーバーリージョンがあります。プライマリリージョンで停止が発生した場合、DNS フェイルオーバールーティングポリシー WorkSpaces は、フェイルオーバーリージョンで設定した に WorkSpaces ユーザーをリダイレクトします。

プライマリリージョンとフェイルオーバーリージョンを指定するには、DNS フェイルオーバールーティングポリシーを設定するときに、リージョンの優先順位 (プライマリまたはセカンダリ) を定義します。

前提条件

  • 接続エイリアスで FQDN として使用するドメインを所有し、登録する必要があります。別のドメインレジストラをまだ使用していない場合は、Amazon Route 53 を使用してドメインを登録できます。詳細については、Amazon Route 53 デベロッパーガイドAmazon Route 53 を使用したドメイン名の登録を参照してください。

    重要

    Amazon と組み合わせて使用するドメイン名を使用するために必要なすべての権限が必要です WorkSpaces。お客様は、ドメイン名が第三者の法的権利を侵害または侵害しないこと、または適用法に違反しないことに同意するものとします。

    ドメイン名の長さの合計は 255 文字を超えることはできません。ドメイン名の詳細については、Amazon Route 53 デベロッパーガイドDNS ドメイン名の形式を参照してください。

    クロスリージョンリダイレクトは、パブリックドメイン名とプライベート DNS ゾーンのドメイン名の両方で機能します。プライベート DNS ゾーンを使用している場合は、 を含む仮想プライベートクラウド (VPC) への仮想プライベートネットワーク (VPN) 接続を提供する必要があります WorkSpaces。 WorkSpaces ユーザーがパブリックインターネットからプライベート FQDN を使用しようとすると、 WorkSpaces クライアントアプリケーションは次のエラーメッセージを返します。

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • DNS サービスをセットアップし、必要な DNS ルーティングポリシーを設定する必要があります。クロスリージョンリダイレクトは、DNS ルーティングポリシーと組み合わせて機能し、必要に応じて WorkSpaces ユーザーをリダイレクトします。

  • クロスリージョンリダイレクトを設定するプライマリリージョンとフェイルオーバーリージョンごとに、ユーザー WorkSpaces 用に を作成します。各リージョンの各 WorkSpaces ディレクトリで同じユーザー名を使用していることを確認してください。Active Directory ユーザーデータを同期させるには、AD Connector を使用して、ユーザー WorkSpaces 用に設定した各リージョンで同じ Active Directory を指すことをお勧めします。の作成の詳細については WorkSpaces、「 の起動 WorkSpaces」を参照してください。

    重要

    マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合、Amazon で使用できるのはプライマリリージョンのディレクトリのみです WorkSpaces。Amazon で使用するレプリケートされたリージョンにディレクトリを登録しようとすると失敗 WorkSpaces します。 AWS Managed Microsoft AD によるマルチリージョンレプリケーションは、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

    クロスリージョンリダイレクトの設定が完了したら、 WorkSpaces ユーザーがプライマリリージョンのリージョンベースの登録コード ( などWSpdx+ABC12D) の代わりに FQDN ベースの登録コードを使用していることを確認する必要があります。これを行うには、ステップ 5: 接続文字列を WorkSpaces ユーザーに送信する の手順を使用して、FQDN 接続文字列を含む E メールを送信する必要があります。

    注記

    Active Directory でユーザーを作成する代わりに WorkSpaces コンソールでユーザーを作成すると、新しい を起動するたびに、 はリージョンベースの登録コードが記載された招待メールをユーザー WorkSpaces に自動的に送信します WorkSpace。つまり、フェイルオーバーリージョンでユーザー WorkSpaces 用に を設定すると、ユーザーはこれらのフェイルオーバー の E メールも自動的に受信します WorkSpaces。リージョンベースの登録コードを含む E メールを無視するようにユーザーに指示する必要があります。

制限事項

  • クロスリージョンリダイレクトでは、プライマリリージョンへの接続が失敗し、別のリージョンにフェイル WorkSpaces オーバーしたかどうかは自動的にチェックされません。つまり、自動フェイルオーバーは発生しません。

    自動フェイルオーバーシナリオを実装するには、リージョン間リダイレクトと組み合わせて他のメカニズムを使用する必要があります。例えば、Amazon Route 53 フェイルオーバー DNS ルーティングポリシーを、プライマリリージョンの CloudWatch アラームをモニタリングする Route 53 ヘルスチェックと組み合わせることができます。プライマリリージョンの CloudWatch アラームがトリガーされると、DNS フェイルオーバールーティングポリシーは、フェイルオーバーリージョンで WorkSpaces 設定した に WorkSpaces ユーザーをリダイレクトします。

  • クロスリージョンリダイレクトを使用している場合、ユーザーデータは異なるリージョン WorkSpaces の 間で保持されません。ユーザーがさまざまなリージョンからファイルにアクセスできるように、Amazon WorkDocs がプライマリリージョンとフェイルオーバーリージョンでサポートされている場合は、 WorkSpaces ユーザー WorkDocs 用に Amazon を設定することをお勧めします。Amazon の詳細については WorkDocs、「Amazon WorkDocs 管理ガイド」の「Amazon WorkDocs Drive」を参照してください。ユーザーに対して Amazon を有効にする方法の詳細については、 WorkSpace WorkDocs 既存の を登録する AWS Directory Service WorkSpaces 個人用の ディレクトリ「」および「」を参照してくださいAWS Managed Microsoft AD 用に Amazon WorkDocs を有効にする。 WorkSpaces ユーザーが WorkDocs で Amazon をセットアップする方法については WorkSpaces、「Amazon WorkSpaces ユーザーガイド」の「 との統合 WorkDocs」を参照してください。

  • クロスリージョンリダイレクトは、Linux、macOS、および Windows WorkSpaces クライアントアプリケーションのバージョン 3.0.9 以降でのみサポートされています。ウェブアクセスでクロスリージョンリダイレクトを使用することもできます。

  • クロスリージョンリダイレクトは、 AWS GovCloud (US) Regionおよび中国 (寧夏) AWS リージョンを除く、Amazon WorkSpaces が利用可能なすべてのリージョンで使用できます。

ステップ 1: 接続エイリアスを作成する

同じアカウントを使用して AWS 、クロスリージョンリダイレクトを設定するプライマリリージョンとフェイルオーバーリージョンごとに接続エイリアスを作成します。

接続エイリアスを作成するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、 のプライマリ AWS リージョンを選択します WorkSpaces。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクト] で、[接続エイリアスの作成] を選択します。

  5. [接続文字列] に、www.example.com または desktop.example.com などの FQDN を入力します。接続文字列は最大 255 文字です。使用できる文字は、文字 (A~Z および a~z)、数字 (0~9)、および次の文字のみです: .-

    重要

    接続文字列を作成すると、常に AWS アカウントに関連付けられます。元のアカウントからすべてのインスタンスを削除しても、同じ接続文字列を別のアカウントで再作成することはできません。接続文字列は、アカウント用にグローバルに予約されています。

  6. (オプション) [タグ] で、接続エイリアスと関連付けるタグを指定します。

  7. [接続エイリアスの作成] を選択します。

  8. これらの手順を繰り返しますが、 ではステップ 2、必ず のフェイルオーバーリージョンを選択してください WorkSpaces。複数のフェイルオーバーリージョンがある場合は、フェイルオーバーリージョンごとにこれらのステップを繰り返します。各フェイルオーバーリージョンで接続エイリアスを作成するには、必ず同じ AWS アカウントを使用してください。

(オプション) ステップ 2: 接続エイリアスを別のアカウントと共有する

接続エイリアスは、同じ AWS リージョン内の他の 1 つの AWS アカウントと共有できます。接続エイリアスを別のアカウントと共有すると、そのエイリアスを同じリージョン内のそのアカウントが所有するディレクトリに関連付けたり、関連付けを解除したりするアクセス許可がそのアカウントに付与されます。接続エイリアスを所有するアカウントだけが、エイリアスを削除できます。

注記

接続エイリアスは、 AWS リージョンごとに 1 つのディレクトリにのみ関連付けることができます。接続エイリアスを別の AWS アカウントと共有する場合、エイリアスをそのリージョンのディレクトリに関連付けることができるのは 1 つのアカウント (お客様のアカウントまたは共有アカウント) のみです。

接続エイリアスを別の AWS アカウントと共有するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、接続エイリアスを別の AWS アカウントと共有したい AWS リージョンを選択します。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクトの関連付け] で、接続文字列を選択し、[アクション]、[接続エイリアスの共有/共有解除] を選択します。

    接続エイリアスの詳細ページからエイリアスを共有することもできます。これを行うには、[共有アカウント] で、[接続エイリアスの共有] を選択します。

  5. 「接続エイリアスの共有/共有解除」ページの「アカウントと共有」に、この AWS リージョンで接続エイリアスを共有する AWS アカウント ID を入力します。

  6. [Share] を選択します。

ステップ 3: 接続エイリアスを各リージョンのディレクトリに関連付ける

同じ接続エイリアスを 2 つ以上のリージョンの WorkSpaces ディレクトリに関連付けると、ディレクトリ間に関連付けペアが作成されます。関連付けペアごとに、プライマリリージョンと 1 つ以上のフェイルオーバーリージョンがあります。

例えば、プライマリリージョンが米国西部 (オレゴン) リージョンの場合、米国西部 (オレゴン) リージョンの WorkSpaces ディレクトリを米国東部 (バージニア北部) リージョンの WorkSpaces ディレクトリとペアリングできます。プライマリリージョンで停止が発生した場合、クロスリージョンリダイレクトは DNS フェイルオーバールーティングポリシーおよび米国西部 (オレゴン) リージョンで実施されているヘルスチェックと組み合わせて機能し、米国東部 (バージニア北部) WorkSpaces リージョンで設定した にユーザーをリダイレクトします。クロスリージョンリダイレクトのエクスペリエンスの詳細については、クロスリージョンリダイレクト時の動作 を参照してください。

注記

WorkSpaces ユーザーがフェイルオーバーリージョンからかなり離れている (例えば、数千マイル離れている) 場合は、通常よりも応答性が低下する WorkSpaces 可能性があります。ロケーションからさまざまな AWS リージョンへの往復時間 (RTT) を確認するには、Amazon WorkSpaces Connection Health Check を使用します。

接続エイリアスをディレクトリに関連付けるには

接続エイリアスは、 AWS リージョンごとに 1 つのディレクトリにのみ関連付けることができます。接続エイリアスを別の AWS アカウントと共有している場合、そのエイリアスをそのリージョンのディレクトリに関連付けることができるのは 1 つのアカウント (自分のアカウントまたは共有アカウント) のみです。

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、 のプライマリ AWS リージョンを選択します WorkSpaces。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクトの関連付け] で、接続文字列を選択し、[アクション]、[関連付け/関連付け解除] を選択します。

    接続エイリアスの詳細ページから、接続エイリアスをディレクトリに関連付けることもできます。これを行うには、[関連付けられたディレクトリ] で、[ディレクトリを関連付ける] を選択します。

  5. 「関連付け/関連付け解除」ページの「ディレクトリへの関連付け」で、この AWS リージョンで接続エイリアスを関連付けるディレクトリを選択します。

    注記

    マルチリージョンレプリケーション用に AWS Managed Microsoft AD ディレクトリを設定する場合、Amazon で使用できるのはプライマリリージョンのディレクトリのみです WorkSpaces。Amazon でレプリケートされたリージョンでディレクトリを使用しようとすると失敗 WorkSpaces します。 AWS Managed Microsoft AD によるマルチリージョンレプリケーションは、レプリケートされたリージョン内の Amazon WorkSpaces での使用はサポートされていません。

  6. [関連付ける] を選択します。

  7. これらの手順を繰り返しますが、 ではステップ 2、必ず のフェイルオーバーリージョンを選択してください WorkSpaces。複数のフェイルオーバーリージョンがある場合は、フェイルオーバーリージョンごとにこれらのステップを繰り返します。各フェイルオーバーリージョンのディレクトリに、同じ接続エイリアスを関連付けてください。

ステップ 4: DNS サービスを設定し、DNS ルーティングポリシーを設定する

接続エイリアスと接続エイリアスの関連付けのペアを作成したら、接続文字列で使用したドメインの DNS サービスを設定できます。この目的には、任意の DNS サービスプロバイダーを使用できます。優先 DNS サービスプロバイダーをまだお持ちでない場合は、Amazon Route 53 を使用できます。詳細については、Amazon Route 53 デベロッパーガイドAmazon Route 53 を DNS サービスとして設定するを参照してください。

ドメインの DNS サービスを設定したら、クロスリージョンリダイレクトに使用する DNS ルーティングポリシーを設定する必要があります。例えば、Amazon Route 53 ヘルスチェックを使用して、ユーザーが特定のリージョン WorkSpaces の に接続できるかどうかを判断できます。ユーザーが接続できない場合は、DNS フェイルオーバーポリシーを使用して、あるリージョンから別のリージョンに DNS トラフィックをルーティングできます。

DNS ルーティングポリシーの選択の詳細については、Amazon Route 53 デベロッパーガイドルーティングポリシーの選択を参照してください。Amazon Route 53 ヘルスチェックの詳細については、Amazon Route 53 デベロッパーガイドAmazon Route 53 によるリソースのヘルスチェック方法を参照してください。

DNS ルーティングポリシーを設定するときは、接続エイリアスとプライマリリージョンのディレクトリ間の関連付けの接続識別子が必要です。 WorkSpaces また、接続エイリアスとフェイルオーバーリージョン内の WorkSpaces ディレクトリとの関連付けには、接続識別子も必要です。

注記

接続識別子が接続エイリアス ID と同じではありません。接続エイリアス ID は wsca- で始まります。

接続エイリアスの関連付けの接続識別子を見つけるには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、 のプライマリ AWS リージョンを選択します WorkSpaces。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクトの関連付け] で、接続文字列テキスト (FQDN) を選択し、接続エイリアスの詳細ページを表示します。

  5. 接続エイリアスの詳細ページの [関連付けられたディレクトリ] で、[接続識別子] に表示される値をメモします。

  6. これらの手順を繰り返しますが、 ではステップ 2、必ず のフェイルオーバーリージョンを選択してください WorkSpaces。複数のフェイルオーバーリージョンがある場合は、これらのステップを繰り返して、各フェイルオーバーリージョンの接続 ID を調べます。

例: Route 53 を使用して DNS フェイルオーバールーティングポリシーを設定するには

次の例では、ドメインのパブリックホストゾーンを設定します。ただし、パブリックホストゾーンまたはプライベートホストゾーンを設定できます。ホストゾーンの設定の詳細については、Amazon Route 53 デベロッパーガイドホストゾーンの使用を参照してください。

この例では、フェイルオーバールーティングポリシーも使用します。クロスリージョンリダイレクト戦略には、他のルーティングポリシータイプを使用できます。DNS ルーティングポリシーの選択の詳細については、Amazon Route 53 デベロッパーガイドルーティングポリシーの選択を参照してください。

Route 53 でフェイルオーバールーティングポリシーを設定する場合、プライマリリージョンのヘルスチェックが必要です。Route 53 でのヘルスチェックの作成の詳細については、Amazon Route 53 デベロッパーガイドAmazon Route 53 ヘルスチェックの作成と DNS フェイルオーバーの設定および ヘルスチェックの作成、更新、および削除を参照してください。

Route 53 ヘルスチェックで Amazon CloudWatch アラームを使用する場合は、プライマリリージョンのリソースをモニタリングするアラームも設定 CloudWatch する必要があります。の詳細については CloudWatch、「Amazon ユーザーガイド」の「Amazon CloudWatchとは」を参照してください。 CloudWatch Route 53 がヘルスチェックで CloudWatch アラームを使用する方法の詳細については、Amazon Route 53 デベロッパーガイドの CloudWatch 「アラームをモニタリングするヘルスチェックのステータスを Route 53 が判断する方法」および CloudWatch 「アラームのモニタリング」を参照してください。

Route 53 で DNS フェイルオーバールーティングポリシーを設定するには、まずドメインのホストゾーンを作成する必要があります。

  1. Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで、[ホストゾーン] を選択し、[ホストゾーンの作成] を選択します。

  3. [作成されたホストゾーン] ページで、[ドメイン名] にドメイン名 (example.com など) を入力します。

  4. [タイプ] で、[パブリックホストゾーン] を選択します。

  5. [ホストゾーンの作成] を選択します。

次に、プライマリリージョンのヘルスチェックを作成します。

  1. Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで、[ヘルスチェック] を選択し、[ヘルスチェックの作成] を選択します。

  3. [ヘルスチェックの設定] ページで、ヘルスチェックの名前を入力します。

  4. モニタリング対象 で、エンドポイント 他のヘルスチェックのステータス (計算されたヘルスチェック)、または CloudWatch アラームの状態 を選択します。

  5. 前のステップで選択した内容に応じて、ヘルスチェックを設定し、[次へ] を選択します。

  6. [ヘルスチェックが失敗したときに通知を受け取る] ページの [アラームの作成] で、[はい] または [いいえ] を選択します。

  7. [ヘルスチェックの作成] を選択します。

ヘルスチェックを作成したら、DNS フェイルオーバーレコードを作成できます。

  1. Route 53 コンソール (https://console.aws.amazon.com/route53/) を開きます。

  2. ナビゲーションペインで [Hosted zones] を選択します。

  3. [ホストゾーン] ページで、ドメイン名を選択します。

  4. ドメイン名の詳細ページで、[レコードの作成] を選択します。

  5. [ルーティングポリシーの選択] ページで、[フェイルオーバー] を選択し、[次へ] を選択します。

  6. [レコードの設定] ページの [基本設定] で、[レコード名] にサブドメイン名を入力します。たとえば、FQDN が desktop.example.com の場合は、desktop と入力します。

    注記

    ルートドメインを使用する場合は、[レコード名] を空白のままにします。ただし、 での使用専用にドメインを設定していない限りworkspacesdesktopや などのサブドメインを使用することをお勧めします WorkSpaces。

  7. [レコードのタイプ] で、[TXT – E メールの送信者の確認およびアプリケーション固有の値の確認に使用します] を選択します。

  8. [TTL 秒] の設定はデフォルトのままにします。

  9. [your_domain_nameに追加するフェイルオーバーレコード] で、[フェイルオーバーレコードの定義] を選択します。

次に、プライマリリージョンとフェイルオーバーリージョンのフェイルオーバーレコードを設定する必要があります。

例: プライマリリージョンのフェイルオーバーレコードを設定するには

  1. [フェイルオーバーレコードの定義] ダイアログボックスの [値/トラフィックのルーティング先] で、[レコードのタイプに応じた IP アドレスまたは別の値] を選択します。

  2. サンプルテキストエントリを入力するためのボックスが開きます。プライマリリージョンの接続エイリアスの関連付けの接続識別子を入力します。

  3. [フェイルオーバーレコードタイプ] で、[プライマリ] を選択します。

  4. [ヘルスチェック] で、プライマリリージョン用に作成したヘルスチェックを選択します。

  5. [レコード ID] に、このレコードを識別するための説明を入力します。

  6. [フェイルオーバーレコードの定義] を選択します。新しいフェイルオーバーレコードは、[your_domain_name に追加するフェイルオーバーレコード] の下に表示されます。

例: フェイルオーバーリージョンのフェイルオーバーレコードを設定するには

  1. [your_domain_nameに追加するフェイルオーバーレコード] で、[フェイルオーバーレコードの定義] を選択します。

  2. [フェイルオーバーレコードの定義] ダイアログボックスの [値/トラフィックのルーティング先] で、[レコードのタイプに応じた IP アドレスまたは別の値] を選択します。

  3. サンプルテキストエントリを入力するためのボックスが開きます。フェイルオーバーリージョンの接続エイリアスの関連付けの接続識別子を入力します。

  4. [フェイルオーバーレコードタイプ] で、[セカンダリ] を選択します。

  5. (オプション) [ヘルスチェック] に、フェイルオーバーリージョン用に作成したヘルスチェックを入力します。

  6. [レコード ID] に、このレコードを識別するための説明を入力します。

  7. [フェイルオーバーレコードの定義] を選択します。新しいフェイルオーバーレコードは、[your_domain_name に追加するフェイルオーバーレコード] の下に表示されます。

プライマリリージョンに設定したヘルスチェックが失敗した場合、DNS フェイルオーバールーティングポリシーは WorkSpaces ユーザーをフェイルオーバーリージョンにリダイレクトします。Route 53 は引き続きプライマリリージョンのヘルスチェックをモニタリングし、プライマリリージョンのヘルスチェックが失敗しなくなった場合、Route 53 は自動的に WorkSpaces ユーザーをプライマリリージョン WorkSpaces の にリダイレクトします。

DNS レコードの作成の詳細については、Amazon Route 53 デベロッパーガイドAmazon Route 53 コンソールを使用したレコードの作成を参照してください。DNS TXT レコードの設定の詳細については、Amazon Route 53 デベロッパーガイドTXT レコードタイプを参照してください。

ステップ 5: 接続文字列を WorkSpaces ユーザーに送信する

停止中にユーザーの WorkSpaces が必要に応じてリダイレクトされるようにするには、接続文字列 (FQDN) をユーザーに送信する必要があります。既にリージョンベースの登録コード ( などWSpdx+ABC12D) を WorkSpaces ユーザーに発行している場合、それらのコードは有効です。ただし、クロスリージョンリダイレクトを機能させるには、 WorkSpaces ユーザーはクライアントアプリケーション WorkSpaces に WorkSpaces を登録するときに、接続文字列を登録コードとして使用する必要があります。

重要

Active Directory でユーザーを作成する代わりに WorkSpaces コンソールでユーザーを作成すると、 WorkSpaces 新しい を起動するたびに、 はリージョンベースの登録コード ( などWSpdx+ABC12D) を含む招待メールをユーザーに自動的に送信します WorkSpace。クロスリージョンリダイレクトを既に設定している場合でも、新しい に自動的に送信される招待 E メールには、接続文字列の代わりにこのリージョンベースの登録コード WorkSpaces が含まれています。

WorkSpaces ユーザーがリージョンベースの登録コードではなく接続文字列を使用していることを確認するには、次の手順を使用して、接続文字列を含む別の E メールを送信する必要があります。

接続文字列を WorkSpaces ユーザーに送信するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、 のプライマリ AWS リージョンを選択します WorkSpaces。

  3. ナビゲーションペインで、 を選択しますWorkSpaces

  4. WorkSpaces ページで、検索ボックスを使用して招待を送信するユーザーを検索し、検索結果 WorkSpace から対応するユーザーを選択します。一度に選択できる は 1 WorkSpace つだけです。

  5. [アクション]、[Invite User (ユーザーを招待)] の順に選択します。

  6. ユーザーを招待 WorkSpacesページに、ユーザーに送信する E メールテンプレートが表示されます。

  7. (オプション) WorkSpaces ディレクトリに複数の接続エイリアスが関連付けられている場合は、接続エイリアス文字列リストからユーザーに使用する接続文字列を選択します。E メールテンプレートが更新され、選択した文字列が表示されます。

  8. メールアプリケーションを使用して、E メールテンプレートテキストをコピーしユーザー宛のメールに貼り付けます。E メールアプリケーションでは、必要に応じてテキストを変更できます。招待 E メールの準備ができたら、ユーザーに送信します。

クロスリージョンリダイレクトアーキテクチャ図

次の図は、クロスリージョンリダイレクトのデプロイプロセスを示しています。

クロスリージョンリダイレクト
注記

クロスリージョンリダイレクトは、クロスリージョンフェイルオーバーとフォールバックのみを容易にします。セカンダリリージョン WorkSpaces での の作成と保守が容易ではなく、クロスリージョンデータレプリケーションも許可されません。 WorkSpaces プライマリリージョンとセカンダリリージョンの両方で個別に管理する必要があります。

クロスリージョンリダイレクトを開始する

停止が発生した場合は、DNS レコードを手動で更新するか、フェイルオーバーリージョンを決定するヘルスチェックに基づいて自動ルーティングポリシーを使用できます。 Amazon Route 53 を使用したディザスタリカバリメカニズムの作成で説明されているディザスタリカバリメカニズムに従うことをお勧めします。

クロスリージョンリダイレクト時の動作

リージョンのフェイルオーバー中、 WorkSpaces ユーザーはプライマリリージョン WorkSpaces の から切断されます。再接続しようとすると、次のエラーメッセージが表示されます。

We can't connect to your WorkSpace. Check your network connection, and then try again.

その後、ユーザーは再度ログインするように求められます。登録コードとして FQDN を使用している場合、再度ログインすると、DNS フェイルオーバールーティングポリシー WorkSpaces によって、フェイルオーバーリージョンで設定した にリダイレクトされます。

注記

場合によっては、ユーザーが再度ログインしたときに再接続できないことがあります。この動作が発生した場合は、 WorkSpaces クライアントアプリケーションを閉じて再起動してから、再度ログインを試みる必要があります。

ディレクトリからの接続エイリアスの関連付けを解除する

ディレクトリから接続エイリアスの関連付けを解除できるのは、ディレクトリを所有するアカウントだけです。

接続エイリアスを別のアカウントと共有していて、そのアカウントがそのアカウントが所有するディレクトリに接続エイリアスを関連付けている場合は、そのアカウントを使用して接続エイリアスとディレクトリとの関連付けを解除する必要があります。

ディレクトリから接続エイリアスの関連付けを解除するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、関連付けを解除する接続エイリアスを含む AWS リージョンを選択します。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクトの関連付け] で、接続文字列を選択し、[アクション]、[関連付け/関連付け解除] を選択します。

    接続エイリアスの詳細ページから接続エイリアスの関連付けを解除することもできます。これを行うには、[関連付けられたディレクトリ] で、[関連付け解除] を選択します。

  5. [関連付け/関連付け解除] ページで、[関連付けを解除] を選択します。

  6. 関連付けの解除を確認するダイアログボックスで、[関連付けを解除] を選択します。

接続エイリアスの共有を解除する

接続エイリアスの所有者だけがエイリアスを共有解除できます。接続エイリアスをアカウントと共有解除すると、そのアカウントは接続エイリアスをディレクトリに関連付けることができなくなります。

接続エイリアスを共有解除するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、共有を解除する接続エイリアスを含む AWS リージョンを選択します。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクトの関連付け] で、接続文字列を選択し、[アクション]、[接続エイリアスの共有/共有解除] を選択します。

    接続エイリアスの詳細ページから接続エイリアスの共有を解除することもできます。これを行うには、[共有アカウント] で [共有解除] を選択します。

  5. [接続の共有/共有解除] ページで、[共有解除] を選択します。

  6. 接続エイリアスの共有解除を確認するダイアログボックスで、[共有解除] を選択します。

接続エイリアスを削除する

接続エイリアスは、アカウントによって所有され、ディレクトリに関連付けられていない場合にのみ、削除できます。

接続エイリアスを別のアカウントと共有していて、そのアカウントがそのアカウントが所有するディレクトリに接続エイリアスを関連付けている場合、接続エイリアスを削除する前に、そのアカウントと接続エイリアスをディレクトリから関連付け解除する必要があります。

重要

接続文字列を作成すると、常に AWS アカウントに関連付けられます。元のアカウントからすべてのインスタンスを削除しても、同じ接続文字列を別のアカウントで再作成することはできません。接続文字列は、アカウント用にグローバルに予約されています。

警告

ユーザーの登録コード WorkSpaces として FQDN を使用しなくなる場合は、潜在的なセキュリティ問題を防ぐために、特定の予防措置を講じる必要があります。詳細については、「クロスリージョンリダイレクトの使用を停止する場合のセキュリティ上の考慮事項」を参照してください。

接続エイリアスを削除するには

  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

  2. コンソールの右上で、削除する接続エイリアスを含む AWS リージョンを選択します。

  3. ナビゲーションペインで [アカウント設定] を選択します。

  4. [クロスリージョンリダイレクトの関連付け] で、接続文字列を選択し、[削除] を選択します。

    接続エイリアスの詳細ページから接続エイリアスを削除することもできます。これを行うには、ページの右上の [削除] を選択します。

    注記

    [削除] ボタンが無効になっている場合は、そのエイリアスの所有者であることを確認し、エイリアスがディレクトリに関連付けられていないことを確認します。

  5. 削除の確認を求めるダイアログボックスで、[削除] を選択します。

接続エイリアスを関連付けおよび関連付け解除するための IAM 許可

IAM ユーザーを使用して接続エイリアスを関連付け、または関連付けを解除する場合、ユーザーには workspaces:AssociateConnectionAlias および workspaces:DisassociateConnectionAlias のアクセス許可が必要です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
重要

接続エイリアスを所有していないアカウントの接続エイリアスを関連付け、または関連付けを解除するための IAM ポリシーを作成する場合は、ARN でアカウント ID を指定できません。代わりに、次のポリシー例に示すように、アカウント ID には * を使用する必要があります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

ARN でアカウント ID を指定できるのは、関連付け、または関連付けを解除する接続エイリアスをそのアカウントが所有している場合だけです。

IAM の操作方法の詳細については、の Identity and Access Management WorkSpaces を参照してください。

クロスリージョンリダイレクトの使用を停止する場合のセキュリティ上の考慮事項

WorkSpaces ユーザーの登録コードとして FQDN を使用しなくなる場合は、潜在的なセキュリティ問題を防ぐために、次の予防措置を講じる必要があります。

  • ディレクトリのリージョン固有の登録コード ( などWSpdx+ABC12D) を WorkSpaces ユーザーに発行 WorkSpaces し、登録コードとして FQDN の使用を停止するように指示してください。

  • まだこのドメインを所有している場合は、フィッシング攻撃で悪用されないように、DNS TXT レコードを更新してこのドメインを削除してください。DNS TXT レコードからこのドメインを削除し、 WorkSpaces ユーザーが登録コードとして FQDN を使用しようとすると、接続試行は無害に失敗します。

  • このドメイン を所有しなくなった場合、 WorkSpaces ユーザーはリージョン固有の登録コードを使用する必要があります。登録コードとして FQDN を使用し続けると、接続試行が悪意のあるサイトにリダイレクトされる可能性があります。