Amazon Linux で WorkSpaces ストリーミングプロトコル (WSP) の動作を制御する WorkSpaces WSP Amazon Linux のクリップボードリダイレクトを設定する WorkSpaces WSP Amazon Linux のオーディオ入力リダイレクトを有効または無効にする WorkSpaces WSP Amazon Linux のタイムゾーンリダイレクトを有効または無効にする WorkSpaces Amazon Linux で PCoIP エージェントの動作を制御する WorkSpaces PCoIP Amazon Linux のクリップボードリダイレクトを設定する WorkSpaces PCoIP Amazon Linux のオーディオ入力リダイレクトを有効または無効にする WorkSpaces PCoIP Amazon Linux のタイムゾーンリダイレクトを有効または無効にする WorkSpaces Amazon Linux WorkSpaces 管理者に SSH アクセスを付与する Amazon Linux のデフォルトシェルを上書きする WorkSpaces 不正なアクセスからカスタムリポジトリを保護する Amazon Linux Extras Library リポジトリを使用する Linux での認証にスマートカードを使用する WorkSpaces インターネットアクセス用のデバイスプロキシサーバー設定を構成する

Amazon Linux の管理 WorkSpaces

Windows と同様に WorkSpaces、Amazon Linux WorkSpaces はドメインに参加しているため、Active Directory ユーザーとグループを使用して以下を行うことができます。

Amazon Linux を管理する WorkSpaces
ユーザーにアクセス権を付与 WorkSpaces する

Linux インスタンスはグループポリシーに従っていないため、設定管理ソリューションを使用してポリシーの配信と適用を行うことをお勧めします。例えば、AWS OpsWorks for Chef Automate、AWS OpsWorks for Puppet Enterprise、または Ansible を使用できます。

注記

ローカルプリンターリダイレクトは、Amazon Linux では使用できません WorkSpaces。

Amazon Linux で WorkSpaces ストリーミングプロトコル (WSP) の動作を制御する WorkSpaces

WSP の動作は、/etc/wsp/ ディレクトリにある wsp.conf ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。

注記

wsp.conf ファイルに対して正しくない、またはサポートされていない変更を行った場合、ポリシーの変更がで新しく確立された接続に適用されない可能性があります WorkSpace。
Amazon Linux WorkSpaces on WSP バンドルには、現在次の制限があります。
- 現在、 AWS GovCloud （米国西部) および AWS GovCloud （米国東部) でのみ利用可能です。
- 動画入力はサポートされていません。
- 画面ロック時のセッション切断はサポートされていません。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。

WSP Amazon Linux のクリップボードリダイレクトを設定する WorkSpaces

デフォルトでは、はクリップボードのリダイレクト WorkSpaces をサポートします。必要に応じて、WSP 設定ファイルを使用してこの機能を設定します。この設定は、を切断して再接続するときに有効になります WorkSpace。

WSP Amazon Linux のクリップボードリダイレクトを設定するには WorkSpaces

次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
```
```
clipboard = X
```
X に指定できる値は以下のとおりです。

enabled – クリップボードリダイレクトは両方向ともに有効です (デフォルト)

disabled – クリップボードリダイレクトは両方向ともに無効です

paste-only – クリップボードリダイレクトは有効ですが、ローカルクライアントデバイスからコンテンツをコピーし、リモートホストデスクトップに貼り付けることのみが可能です。

copy-only – クリップボードリダイレクトは有効ですが、リモートホストデスクトップからコンテンツをコピーし、ローカルクライアントデバイスに貼り付けることのみが可能です。

WSP Amazon Linux のオーディオ入力リダイレクトを有効または無効にする WorkSpaces

デフォルトでは、はオーディオ入力リダイレクト WorkSpaces をサポートします。必要に応じて、WSP 設定ファイルを使用してこの機能を無効にします。この設定は、を切断して再接続するときに有効になります WorkSpace。

WSP Amazon Linux のオーディオ入力リダイレクトを有効または無効にするには WorkSpaces

次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
```
ファイルの末尾に次の行を追加します。
```
audio-in = X
```
X に指定できる値は以下のとおりです。

enabled – オーディオ入力リダイレクトは有効です (デフォルト)

disabled – オーディオ入力リダイレクトは無効です

WSP Amazon Linux のタイムゾーンリダイレクトを有効または無効にする WorkSpaces

デフォルトでは、Workspace 内の時間は、への接続に使用されているクライアントのタイムゾーンをミラーリングするように設定されています WorkSpace。この動作は、タイムゾーンのリダイレクトによって制御されます。次のような理由から、タイムゾーンのリダイレクトをオフにすることもできます。

会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
特定のタイムゾーンで特定の時間に実行 WorkSpace することを意図したタスクがにスケジュールされている。
多くの旅行をするユーザーは、一貫性と個人設定のためにを 1 つのタイムゾーン WorkSpaces に保持したいと考えています。

必要に応じて、WSP 設定ファイルを使用してこの機能を設定します。この設定は、を切断して再接続した後に有効になります WorkSpace。

WSP Amazon Linux のタイムゾーンリダイレクトを有効または無効にするには WorkSpaces

次のコマンドを使用して、昇格された権限を持つエディタで wsp.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf
```
ファイルの末尾に次の行を追加します。
```
timezone_redirect= X
```
X に指定できる値は以下のとおりです。

[enabled] (有効) — タイムゾーンのリダイレクトは有効です (デフォルト)

disabled (無効) — タイムゾーンのリダイレクトは無効です

Amazon Linux で PCoIP エージェントの動作を制御する WorkSpaces

PCoIP Agent の動作は、pcoip-agent.conf ディレクトリにある /etc/pcoip-agent/ ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。エージェントを再起動すると、開いている接続がすべて終了されウィンドウマネージャーが再起動されます。変更を適用するには、を再起動することをお勧めします WorkSpace。

注記

pcoip-agent.conf ファイルに対して正しくない、またはサポートされていない変更を行うと、が機能 WorkSpace しなくなる可能性があります。が機能 WorkSpace しなくなった場合は、SSH WorkSpace を使用してに接続して変更をロールバックするか、を再構築 WorkSpaceする必要がある場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。使用可能な設定の完全なリストについては、任意の Amazon Linux のターミナルman pcoip-agent.confからを実行します WorkSpace。

PCoIP Amazon Linux のクリップボードリダイレクトを設定する WorkSpaces

デフォルトでは、はクリップボードのリダイレクト WorkSpaces をサポートします。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、を再起動したときに有効になります WorkSpace。

PCoIP Amazon Linux のクリップボードリダイレクトを設定するには WorkSpaces

次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
```
ファイルの末尾に次の行を追加します。
```
pcoip.server_clipboard_state = X
```
X に指定できる値は以下のとおりです。

0 – クリップボードリダイレクトは両方向ともに無効です

1 – クリップボードリダイレクトは両方向ともに有効です

2 – クリップボードリダイレクトはクライアントからエージェントへのみ有効です (ローカルクライアントデバイスからリモートホストデスクトップへのコピーと貼り付けのみを許可)

3 – クリップボードリダイレクトはエージェントからクライアントへのみ有効です (リモートホストデスクトップからローカルクライアントデバイスへのコピーと貼り付けのみを許可)

注記

クリップボードのリダイレクトは仮想チャネルとして実装されます。仮想チャンネルが無効になっている場合、クリップボードのリダイレクトは機能しません。仮想チャネルを有効にするには、Teradici のドキュメントの「PCoIP Virtual Channels」をご参照ください。

PCoIP Amazon Linux のオーディオ入力リダイレクトを有効または無効にする WorkSpaces

デフォルトでは、はオーディオ入力リダイレクト WorkSpaces をサポートします。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、を再起動したときに有効になります WorkSpace。

PCoIP Amazon Linux のオーディオ入力リダイレクトを有効または無効にするには WorkSpaces

次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
```
ファイルの末尾に次の行を追加します。
```
pcoip.enable_audio = X
```
X に指定できる値は以下のとおりです。

0 – オーディオ入力リダイレクトは無効です

1 – オーディオ入力リダイレクトは有効です

PCoIP Amazon Linux のタイムゾーンリダイレクトを有効または無効にする WorkSpaces

会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。
特定のタイムゾーンで特定の時間に実行 WorkSpace することを意図したタスクがにスケジュールされている。
多くの旅行をするユーザーは、一貫性と個人設定のためにを 1 つのタイムゾーン WorkSpaces に保持したいと考えています。

Linux で必要な場合は WorkSpaces、PCoIP エージェント conf を使用してこの機能を無効にすることができます。この設定は、を再起動したときに有効になります WorkSpace。

PCoIP Amazon Linux のタイムゾーンリダイレクトを有効または無効にするには WorkSpaces

次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。
```
[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
```
ファイルの末尾に次の行を追加します。
```
pcoip.enable_timezone_redirect= X
```
X に指定できる値は以下のとおりです。

0 – タイムゾーンのリダイレクトは無効です

1 – タイムゾーンのリダイレクトは有効です

Amazon Linux WorkSpaces 管理者に SSH アクセスを付与する

デフォルトでは、ドメイン管理者グループに割り当てられたユーザーとアカウントのみが SSH WorkSpaces を使用して Amazon Linux に接続できます。

Active Directory で Amazon Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

Linux_Workspaces_Admins Active Directory グループのメンバーの sudo アクセスを有効にするには

次の例に示すように、sudoers を使用して visudo ファイルを編集します。
```
[example\username@workspace-id ~]$ sudo visudo
```

次の行を追加します。


%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

Linux_WorkSpaces_Admins Active Directory グループのメンバーのログインを有効にするには

昇格された権限で /etc/security/access.conf を編集します。
```
[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
```

次の行を追加します。


+:(example\Linux_WorkSpaces_Admins):ALL

SSH 接続の有効化の詳細については、Linux の SSH 接続を有効にする WorkSpaces を参照してください。

Amazon Linux のデフォルトシェルを上書きする WorkSpaces

Linux のデフォルトシェルを上書きするには WorkSpaces、ユーザーの ~/.bashrc ファイルを編集することをお勧めします。たとえば、Z shell シェルの代わりに Bash を使用するには、/home/username/.bashrc に次の行を追加します。


export SHELL=$(which zsh)
[ -n "$SSH_TTY" ] && exec $SHELL

注記

この変更を行った後、変更を有効にするには、を再起動するか、 WorkSpace から WorkSpace ログアウト (切断だけでなく) してから再度ログインする必要があります。

不正なアクセスからカスタムリポジトリを保護する

カスタムリポジトリへのアクセスを制御するには、パスワードではなく、Amazon Virtual Private Cloud (Amazon VPC) に組み込まれているセキュリティ機能を使用することをお勧めします。たとえば、ネットワークアクセスコントロールリスト (ACL) とセキュリティグループを使用します。これらの機能の詳細については、Amazon VPC ユーザーガイドのセキュリティを参照してください。

リポジトリを保護するためにパスワードを使用する必要がある場合は、Fedora ドキュメントの「リポジトリ定義ファイル」に示されているように、yum リポジトリ定義ファイルを作成してください。

Amazon Linux Extras Library リポジトリを使用する

Amazon Linux では、Extras Library を使用してアプリケーションおよびソフトウェア更新をインスタンスにインストールできます。Extras Library の使用については、Linux インスタンス用 Amazon EC2 ユーザーガイドの Extras Library (Amazon Linux) を参照してください。

注記

Amazon Linux リポジトリを使用している場合は、Amazon Linux WorkSpaces にインターネットアクセスがあるか、このリポジトリとメインの Amazon Linux リポジトリに Virtual Private Cloud (VPC) エンドポイントを設定する必要があります。詳細については、「からのインターネットアクセスを提供する WorkSpace」を参照してください。

Linux での認証にスマートカードを使用する WorkSpaces

Linux WorkSpaces on WorkSpaces Streaming Protocol (WSP) バンドルでは、認証に共通アクセスカード (CAC) と個人識別検証 (PIV) スマートカードを使用できます。詳細については、「認証にスマートカードを使用する」を参照してください。

インターネットアクセス用のデバイスプロキシサーバー設定を構成する

デフォルトでは、 WorkSpaces クライアントアプリケーションは HTTPS (ポート 443) トラフィックのデバイスオペレーティングシステム設定で指定されているプロキシサーバーを使用します。Amazon WorkSpaces クライアントアプリケーションは、更新、登録、認証に HTTPS ポートを使用します。

注記

サインイン認証情報を使用した認証を必要とするプロキシサーバーはサポートされていません。

Microsoft ドキュメントの「デバイスプロキシとインターネット接続の設定を構成する」の手順に従って、グループポリシー WorkSpaces を通じて Linux のデバイスプロキシサーバー設定を設定できます。 https://docs.microsoft.com/windows/security/threat-protection/microsoft-defender-atp/configure-proxy-internet

WorkSpaces Windows クライアントアプリケーションでのプロキシ設定の設定の詳細については、「Amazon ユーザーガイド」の「プロキシサーバー」を参照してください。 WorkSpaces

WorkSpaces macOS クライアントアプリケーションでのプロキシ設定の設定の詳細については、「Amazon ユーザーガイド」の「プロキシサーバー」を参照してください。 WorkSpaces

WorkSpaces Web Access クライアントアプリケーションでのプロキシ設定の設定の詳細については、「Amazon ユーザーガイド」の「プロキシサーバー」を参照してください。 WorkSpaces

デスクトップトラフィックのプロキシ

PCoIP WorkSpaces の場合、デスクトップクライアントアプリケーションは、UDP のポート 4172 トラフィック (デスクトップトラフィックの場合) のプロキシサーバーの使用や TLS 復号化および検査をサポートしていません。ポート 4172 に直接接続する必要があります。

WSP の場合 WorkSpaces、 WorkSpaces Windows クライアントアプリケーション (バージョン 5.1 以降) および macOS クライアントアプリケーション (バージョン 5.4 以降) は、ポート 4195 TCP トラフィックの HTTP プロキシサーバーの使用をサポートしています。TLS の復号および検査はサポートしていません。

WSP は、UDP 経由のデスクトップトラフィックに対するプロキシの使用をサポートしていません。TCP トラフィックのプロキシの使用をサポートしているのは、 WorkSpaces Windows および macOS デスクトップクライアントアプリケーションと WSP ウェブアクセスのみです。

注記

プロキシサーバーを使用する場合、クライアントアプリケーションが WorkSpaces サービスに対して行う API コールもプロキシされます。API コールとデスクトップトラフィックの両方が同じプロキシサーバーを通過する必要があります。

プロキシサーバーの使用に関する推奨事項

WorkSpaces デスクトップトラフィックでプロキシサーバーを使用することはお勧めしません。

Amazon WorkSpaces デスクトップトラフィックは既に暗号化されているため、プロキシはセキュリティを向上させません。プロキシを使用すると、ネットワークパスに余分なホップが発生してレイテンシーをもたらし、ストリーミング品質に影響する可能性があります。プロキシのサイズがデスクトップストリーミングトラフィックの処理に適切でない場合、プロキシによってスループットが低下する可能性もあります。さらに、ほとんどのプロキシは長時間実行される WebSocket (TCP) 接続をサポートするように設計されておらず、ストリーミングの品質と安定性に影響を与える可能性があります。

プロキシを使用する必要がある場合は、ストリーミングの品質と応答性に悪影響を及ぼす可能性のあるネットワークレイテンシーを追加しないように、プロキシサーバーを可能な限り WorkSpace クライアントの近く、できれば同じネットワーク内に配置してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Windows の管理 WorkSpaces

Ubuntu を管理する WorkSpaces