Amazon WorkSpaces のインフラストラクチャセキュリティ

マネージドサービスである Amazon WorkSpaces は AWS グローバルネットワークセキュリティで保護されています。AWSセキュリティサービスと AWS がインフラストラクチャを保護する方法については、「AWS クラウドセキュリティ」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して AWS 環境を設計するには、「セキュリティの柱 - AWS Well-Architected Framework」の「インフラストラクチャ保護」を参照してください。

AWS が発行している APIコールを使用して、ネットワーク経由で WorkSpaces にアクセスします。クライアントは以下をサポートする必要があります。

• Transport Layer Security (TLS) TLS 1.2 および TLS 1.3 をお勧めします。

• DHE (Ephemeral Diffie-Hellman) や ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) などの Perfect Forward Secrecy (PFS) を使用した暗号スイートです。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。

また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。または、AWS Security Token Service (AWS STS) を使用して、一時セキュリティ認証情報を生成し、リクエストに署名することもできます。

ネットワークの隔離

仮想プライベートクラウド (VPC) は、AWS クラウド内の論理的に隔離された領域にある仮想ネットワークです。VPC のプライベートサブネットに WorkSpaces をデプロイできます。詳細については、「の VPC を設定する WorkSpaces」を参照してください。

特定のアドレス範囲 (企業ネットワークなど) からのトラフィックのみを許可するには、VPC のセキュリティグループを更新するか、IP アクセスコントロールグループを使用します。

有効な証明書を使用して、信頼できるデバイスへの WorkSpace アクセスを制限できます。詳細については、「信頼できるデバイス WorkSpaces へのアクセスを制限する」を参照してください。

物理ホストでの分離

同じ物理ホスト上の異なる WorkSpaces は、ハイパーバイザーを介して互いに分離されます。これは、別々の物理ホスト上にあるかのようになります。WorkSpace が削除されると、割り当てられたメモリがハイパーバイザーによってスクラブ (ゼロに設定) されてから、新しい WorkSpace に割り当てられます。

企業ユーザーの承認

WorkSpaces では、ディレクトリは AWS Directory Service を介して管理されます。ユーザー用のスタンドアロンのマネージド型ディレクトリを作成できます。または、既存の Active Directory 環境と統合することもできます。統合した場合、ユーザーは現在の認証情報を使用して社内リソースにシームレスにアクセスできます。詳細については、「WorkSpaces のディレクトリを管理する」を参照してください。

WorkSpaces へのアクセスをさらに制御するには、多要素認証を使用します。詳細については、「 AWS サービスの多要素認証を有効にする方法」を参照してください。

VPC インターフェイスエンドポイント経由で Amazon WorkSpaces API リクエストを行う

インターネット経由で接続するのではなく、Virtual Private Cloud (VPC) のインターフェイスエンドポイントを通じて Amazon WorkSpaces API エンドポイントに直接接続できます。VPC インターフェイスエンドポイントを使用すると、AWS ネットワーク内で VPC と Amazon WorkSpaces API エンドポイント間の通信が完全かつ安全に実施されます。

注記

この機能は、WorkSpaces API エンドポイントへの接続にのみ使用できます。WorkSpaces クライアントを使用して WorkSpaces に接続するには、「の IP アドレスとポートの要件 WorkSpaces」で説明されているように、インターネット接続が必要です。

Amazon WorkSpaces API エンドポイントでは、Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイントがサポートされています。このエンドポイントは、AWS PrivateLink を使用します。各 VPC エンドポイントは VPC サブネットの 1 つ以上のネットワークインスタンス（別名: Elastic Network Interface (ENI)）とプライベート IP アドレスで表されます。

VPC インターフェイスエンドポイントは VPC を Amazon WorkSpaces API エンドポイントに直接接続します。その際、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を使用しません。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon WorkSpaces API エンドポイントと通信できます。

インターフェイスエンドポイントを作成し、AWS Management Console または AWS Command Line Interface (AWS CLI) コマンドのいずれかを使用して、Amazon WorkSpaces と接続できます。手順については、「インターフェイスエンドポイントの作成」を参照してください。

VPC エンドポイントを作成すると、endpoint-url パラメータを使用して、Amazon WorkSpaces API エンドポイントへのインターフェイスエンドポイントを指定する次のサンプル CLI コマンドを使用できます。

aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com

aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com

aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com  \
   --endpoint-name Endpoint_Name \
   --body "Endpoint_Body" \
   --content-type "Content_Type" \
       Output_File

VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。CLI および Amazon WorkSpaces SDK がデフォルトで使用する Amazon WorkSpaces API DNS ホスト名 (https://api.workspaces.Region.amazonaws.com) は、ご自身の VPC エンドポイントに解決されます。

Amazon WorkSpaces API エンドポイントは、すべてのAWS両方Amazon VPCおよびAmazon WorkSpacesが利用不可。Amazon WorkSpaces では、すべてのパブリック APIを VPC 内に配置します。

AWS PrivateLink の詳細については、AWS PrivateLink ドキュメントを参照してください。VPC エンドポイントの料金については、「VPC の料金」を参照してください。VPC およびエンドポイントの詳細については、「Amazon VPC」を参照してください。

リージョンごとの Amazon WorkSpaces API エンドポイントのリストについては、「WorkSpaces API エンドポイント」を参照してください。

注記

AWS PrivateLink がある Amazon WorkSpaces API エンドポイントは、連邦情報処理規格 (Federal Information Processing Standards/FIPS)Amazon WorkSpaces API エンドポイントではサポートされません。

Amazon WorkSpaces の VPC エンドポイントポリシーの作成

Amazon WorkSpaces の Amazon VPC エンドポイントに対するポリシーを作成して、以下を指定することができます。

• アクションを実行できるプリンシパル。

• 実行可能なアクション。

• このアクションを実行できるリソース。

詳細については、『Amazon VPC ユーザーガイド』の「VPC エンドポイントでサービスへのアクセスを制御する」を参照してください。

注記

VPC エンドポイントポリシーは、連邦情報処理規格 (Federal Information Processing Standards/FIPS)Amazon WorkSpaces エンドポイントではサポートされません。

次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、Amazon WorkSpaces でホストされた、ws-f9abcdefg という名前のエンドポイントを呼び出すことが許可されます。

{
     "Statement": [
         {
             "Action": "workspaces:*",
             "Effect": "Allow",
             "Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
             "Principal": "*"
         }
     ]
}

この例では、以下のアクションが拒否されます。

• 以外の Amazon WorkSpaces でホストされたエンドポイントの呼び出しws-f9abcdefg。

• 指定された 1 つのリソース (WorkSpace ID: ws-f9abcdefg) 以外のリソースに対するアクションの実行。

注記

この例では、ユーザーは VPC の外部からその他の Amazon WorkSpaces API アクションをまだ実行できます。API コールを VPC 内部からに制限するには、ID ベースポリシーを使用して API エンドポイントへのアクセスを制御する方法について「 WorkSpaces の Identity and Access Management 」を参照してください。

プライベートネットワークを VPC に接続する

VPC 経由で Amazon WorkSpaces API を呼び出すには、VPC 内にあるインスタンスから接続するか、Amazon Virtual Private Network (VPN) AWS Virtual Private Network (AWS VPN) または AWS Direct Connect を使用してプライベートネットワークを VPC に接続する必要があります。Amazon VPN については、Amazon Virtual Private Cloud ユーザーガイドの「VPN 接続」を参照してください。AWS Direct Connect の詳細については、AWS Direct Connect ユーザーガイドの「コネクションの作成」を参照してください。