Amazon Linux WorkSpaces を管理する - Amazon WorkSpaces

Amazon Linux WorkSpaces を管理する

Windows WorkSpaces と同様に、Amazon Linux WorkSpaces はドメイン結合されているため、Active Directory ユーザーとグループを使用して以下を実行できます。

  • Amazon Linux WorkSpaces を管理する

  • ユーザーにこれらの WorkSpaces へのアクセスを許可する

Linux インスタンスはグループポリシーに従っていないため、設定管理ソリューションを使用してポリシーの配信と適用を行うことをお勧めします。例えば、AWS OpsWorks for Chef AutomateAWS OpsWorks for Puppet Enterprise、または Ansible を使用できます。

注記

Linux WorkSpaces on WorkSpaces Streaming Protocol (WSP) バンドルは、現時点では AWS GovCloud (米国西部) リージョンでのみ利用できます。

現在、WSP の Linux WorkSpaces には、次の制限があります。

  • ビデオ入力とタイムゾーンのリダイレクトはサポートされていません。

  • マルチモニターはサポートされていません。

  • WSP の Linux WorkSpaces に接続するには、WorkSpaces Windows クライアントアプリケーションを使用する必要があります。

Amazon Linux WorkSpaces で PCoIP エージェントの動作を制御する

PCoIP Agent の動作は、pcoip-agent.conf ディレクトリにある /etc/pcoip-agent/ ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。エージェントを再起動すると、開いている接続がすべて終了されウィンドウマネージャーが再起動されます。変更を適用するには、WorkSpace を再起動することをお勧めします。

注記

pcoip-agent.conf ファイルに正しくない変更またはサポートされていない変更を加えた場合、WorkSpace が動作しなくなる可能性があります。WorkSpace が動作しなくなった場合は、SSH を使用して WorkSpace に接続して変更をロールバックするか、WorkSpace を再構築する必要がある場合があります。

以降のセクションでは、特定の機能を有効または無効にする方法について説明します。利用可能な設定の一覧については、Amazon Linux WorkSpace のターミナルから man pcoip-agent.conf を実行します。

注記

ローカルプリンターのリダイレクトは Linux WorkSpaces ではご利用になれません。

Amazon Linux WorkSpaces のクリップボードのリダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

注記

現在、WSP を使用する Linux WorkSpaces では、クリップボードのリダイレクトはサポートされていません。

Amazon Linux WorkSpaces のクリップボードのリダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. ファイルの末尾に次の行を追加します。

    pcoip.server_clipboard_state = X

    X に指定できる値は以下のとおりです。

    0 - 双方向で無効

    1 - 双方向で有効

    2 — クライアントからエージェントのみ有効 (ローカルクライアントデバイスからリモートデスクトップへのコピーと貼り付けのみを許可)

    3 — エージェントからクライアントのみ有効 (リモートホストデスクトップからローカルクライアントデバイスへのコピーと貼り付けのみを許可)

注記

クリップボードのリダイレクトは仮想チャネルとして実装されます。仮想チャンネルが無効になっている場合、クリップボードのリダイレクトは機能しません。仮想チャネルを有効にするには、Teradici のドキュメントの「PCoIP Virtual Channels」をご参照ください。

Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効化/無効化する

デフォルトでは、WorkSpaces はオーディオインリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

注記

現在、オーディオ入力リダイレクトは、WSP を使用する Linux WorkSpaces でサポートされていません。

Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. ファイルの末尾に次の行を追加します。

    pcoip.enable_audio = X

    X に指定できる値は以下のとおりです。

    0 — 無効

    1 — 有効

Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効化/無効化する

デフォルトでは、WorkSpace 内の時間は、WorkSpace への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • WorkSpaces で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。

  • よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Linux WorkSpaces のために必要な場合は、PCoIP エージェントの設定を使用してこの機能を無効にすることができます。この設定は、WorkSpace を再起動したときに有効になります。

注記

現在、タイムゾーンのリダイレクトは、WSP を使用する Linux WorkSpaces でサポートされていません。

Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. ファイルの末尾に次の行を追加します。

    pcoip.enable_timezone_redirect= X

    X に指定できる値は以下のとおりです。

    0 — 無効

    1 — 有効

Amazon Linux WorkSpaces 管理者に SSH アクセスを付与する

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Amazon Linux WorkSpaces に接続できます。

Active Directory で Amazon Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

Linux_Workspaces_Admins Active Directory グループのメンバーの sudo アクセスを有効にするには

  1. 次の例に示すように、sudoers を使用して visudo ファイルを編集します。

    [example\username@workspace-id ~]$ sudo visudo
  2. 次の行を追加します。

    %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

Linux_WorkSpaces_Admins Active Directory グループのメンバーのログインを有効にするには

  1. 昇格された権限で /etc/security/access.conf を編集します。

    [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
  2. 次の行を追加します。

    +:(example\Linux_WorkSpaces_Admins):ALL

SSH 接続の有効化の詳細については、Linux WorkSpaces の SSH 接続を有効にする を参照してください。

Amazon Linux WorkSpaces のデフォルトシェルを上書きする

Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの ~/.bashrc ファイルを編集することをお勧めします。たとえば、Z shell シェルの代わりに Bash を使用するには、/home/username/.bashrc に次の行を追加します。

export SHELL=$(which zsh) [ -n "$SSH_TTY" ] && exec $SHELL
注記

この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

不正なアクセスからカスタムリポジトリを保護する

カスタムリポジトリへのアクセスを制御するには、パスワードではなく、Amazon Virtual Private Cloud (Amazon VPC) に組み込まれているセキュリティ機能を使用することをお勧めします。たとえば、ネットワークアクセスコントロールリスト (ACL) とセキュリティグループを使用します。これらの機能の詳細については、Amazon VPC ユーザーガイドセキュリティを参照してください。

リポジトリを保護するためにパスワードを使用する必要がある場合は、Fedora ドキュメントの「リポジトリ定義ファイル」に示されているように、yum リポジトリ定義ファイルを作成してください。

Amazon Linux Extras Library リポジトリを使用する

Amazon Linux では、Extras Library を使用してアプリケーションおよびソフトウェア更新をインスタンスにインストールできます。Extras Library の使用については、Linux インスタンス用 Amazon EC2 ユーザーガイドExtras Library (Amazon Linux) を参照してください。

注記

Amazon Linux リポジトリを使用している場合は、Amazon Linux WorkSpaces がインターネットにアクセスできるか、このリポジトリおよびメイン Amazon Linux リポジトリへの仮想プライベートクラウド (VPC) エンドポイントを設定する必要があります。詳細については、「WorkSpace からのインターネットアクセスを提供する」を参照してください。

Linux WorkSpaces での認証にスマートカードを使用する

WorkSpaces Streaming Protocol (WSP) バンドルの Linux WorkSpaces では、認証に共通アクセスカード (CAC) およびパーソナル ID 検証 (PIV) スマートカードを使用できます。詳細については、「認証にスマートカードを使用する」を参照してください。