Amazon Linux WorkSpaces の管理 - Amazon WorkSpaces

Amazon Linux WorkSpaces の管理

Windows WorkSpaces と同様に、Amazon Linux WorkSpaces はドメイン結合されているため、Active Directory ユーザーとグループを使用して以下を実行できます。

  • Amazon Linux WorkSpaces の管理

  • ユーザーにこれらの WorkSpaces へのアクセスを許可する

Linux インスタンスはグループポリシーに従っていないため、設定管理ソリューションを使用してポリシーの配信と適用を行うことをお勧めします。例えば、AWS OpsWorks for Chef AutomateAWS OpsWorks for Puppet EnterpriseAnsible などを使用できます。

注記

WorkSpaces Streaming Protocol (WSP) バンドルの Linux WorkSpaces は、現時点では AWS GovCloud (米国西部) リージョン でのみ利用可能です。

現在、WSP の Linux WorkSpaces には、次の制限があります。

  • クリップボード、オーディオ入力、ビデオ入力、およびタイムゾーンのリダイレクトはサポートされていません。

  • マルチモニターはサポートされていません。

  • WSP の Linux WorkSpaces に接続するには、WorkSpaces Windows クライアントアプリケーションを使用する必要があります。

Amazon Linux WorkSpaces で PCoIP エージェントの動作を制御する

PCoIP Agent の動作は、/etc/pcoip-agent/ ディレクトリにある pcoip-agent.conf ファイルの構成設定によって制御されます。ポリシーの変更をデプロイして適用するには、Amazon Linux をサポートする設定管理ソリューションを使用します。変更はすべて、エージェントの起動時に有効になります。エージェントを再起動すると、開いている接続がすべて終了されウィンドウマネージャーが再起動されます。変更を適用するには、WorkSpace を再起動することをお勧めします。

利用可能な設定の一覧については、Amazon Linux WorkSpace のターミナルから man pcoip-agent.conf を実行します。

注記

ローカルプリンターのリダイレクトは Linux WorkSpaces ではご利用になれません。

Amazon Linux WorkSpaces のクリップボードのリダイレクトの有効化または無効化

デフォルトでは、WorkSpaces はクリップボードのリダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

注記

現在、クリップボードのリダイレクトは、WorkSpaces Linux クライアントアプリケーションまたは WSP を使用する Linux WorkSpaces ではサポートされていません。

Amazon Linux WorkSpaces のクリップボードのリダイレクトの有効化または無効化するには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. ファイルの末尾に次の行を追加します。

    pcoip.server_clipboard_state = X

    X に指定できる値は以下のとおりです。

    0 — 双方向で無効

    1 — 双方向で有効

    2 — クライアントからエージェントのみ有効 (ローカルクライアントデバイスからリモートデスクトップへのコピーと貼り付けのみを許可)

    3 — エージェントからクライアントのみ有効 (リモートホストデスクトップからローカルクライアントデバイスへのコピーと貼り付けのみを許可)

注記

クリップボードのリダイレクトは仮想チャネルとして実装されます。仮想チャンネルが無効になっている場合、クリップボードのリダイレクトは機能しません。仮想チャネルを有効にするには、Teradici のドキュメントの「PCoIP Virtual Channels」をご参照ください。

Amazon Linux WorkSpaces のオーディオ入力リダイレクトの有効化または無効化

デフォルトでは、WorkSpaces はオーディオ入力リダイレクトをサポートしています。PCoIP エージェント設定を使用して、必要に応じてこの機能を無効にします。この設定は、WorkSpace を再起動したときに有効になります。

注記

現在、オーディオ入力リダイレクトは、WSP を使用する Linux WorkSpaces でサポートされていません。

Amazon Linux WorkSpaces のオーディオ入力リダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. ファイルの末尾に次の行を追加します。

    pcoip.enable_audio = X

    X に指定できる値は以下のとおりです。

    0 — 無効

    1 — 有効

Amazon Linux WorkSpaces のタイムゾーンのリダイレクトの有効化または無効化

デフォルトでは、WorkSpace 内の時間は、WorkSpace への接続に使用されているクライアントのタイムゾーンを反映するように設定されます。この動作は、タイムゾーンのリダイレクトによって制御されます。次のようにさまざまな理由から、タイムゾーンのリダイレクトをオフにすることもできます。

  • 会社は、すべての従業員が特定のタイムゾーンで業務を行うことを希望している (一部の従業員が他のタイムゾーンにいる場合でも)。

  • WorkSpace で、特定のタイムゾーン内の特定の時刻に実行するタスクをスケジュールした。

  • よく出張するユーザーが、一貫性と個人設定のため WorkSpaces を 1 つのタイムゾーンにまとめておきたいと考えている。

Linux WorkSpaces のために必要な場合は、PCoIP エージェントの設定を使用してこの機能を無効にすることができます。この設定は、WorkSpace を再起動したときに有効になります。

注記

現在、タイムゾーンのリダイレクトは、WSP を使用する Linux WorkSpaces でサポートされていません。

Amazon Linux WorkSpaces のタイムゾーンのリダイレクトを有効または無効にするには

  1. 次のコマンドを使用して、昇格された権限を持つエディタで pcoip-agent.conf ファイルを開きます。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. ファイルの末尾に次の行を追加します。

    pcoip.enable_timezone_redirect= X

    X に指定できる値は以下のとおりです。

    0 — 無効

    1 — 有効

Amazon Linux WorkSpaces 管理者に SSH アクセスを付与する

デフォルトでは、割り当て済みユーザーおよびドメイン管理者グループのアカウントのみが SSH を使用して Amazon Linux WorkSpaces に接続できます。

Active Directory で Amazon Linux WorkSpaces 管理者専用の管理者グループを作成することをお勧めします。

Linux_Workspaces_Admins Active Directory グループのメンバーの sudo アクセスを有効にするには

  1. 次の例に示すように、visudo を使用して sudoers ファイルを編集します。

    [example\username@workspace-id ~]$ sudo visudo
  2. 次の行を追加します。

    %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

専用の管理者グループを作成したら、次のステップに従ってグループのメンバーのログインを有効にします。

Linux_WorkSpaces_Admins Active Directory グループのメンバーのログインを有効にするには

  1. 昇格された権限で /etc/security/access.conf を編集します。

    [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
  2. 次の行を追加します。

    +:(example\Linux_WorkSpaces_Admins):ALL

SSH 接続の有効化の詳細については、「Linux WorkSpaces の SSH 接続を有効にする」を参照してください。

Amazon Linux WorkSpaces のデフォルトシェルを上書きする

Linux WorkSpaces のデフォルトシェルを上書きするには、ユーザーの ~/.bashrc ファイルを編集することをお勧めします。たとえば、Bash シェルの代わりに Z shell を使用するには、/home/username/.bashrc に次の行を追加します。

export SHELL=$(which zsh) [ -n "$SSH_TTY" ] && exec $SHELL
注記

この変更を行った後、WorkSpace を再起動するか (切断だけでなく) WorkSpace からログアウトし、再度ログインして変更を有効にする必要があります。

不正なアクセスからカスタムリポジトリを保護する

カスタムリポジトリへのアクセスを制御するには、パスワードではなく、Amazon Virtual Private Cloud (Amazon VPC) に組み込まれているセキュリティ機能を使用することをお勧めします。たとえば、ネットワークアクセスコントロールリスト (ACL) とセキュリティグループを使用します。これらの機能の詳細については、Amazon VPC ユーザーガイドの「セキュリティ」を参照してください。

リポジトリを保護するためにパスワードを使用する必要がある場合は、Fedora ドキュメントの「リポジトリ定義ファイル」に示されているように、yum リポジトリ定義ファイルを作成してください。

Amazon Linux Extras Library リポジトリの使用

Amazon Linux では、Extras Library を使用してアプリケーションおよびソフトウェア更新をインスタンスにインストールできます。Extras Library の使用については、Amazon EC2 Linux インスタンス用 ユーザーガイドの「Extras Library (Amazon Linux)」を参照してください。

注記

Amazon Linux リポジトリを使用している場合は、Amazon Linux WorkSpaces がインターネットにアクセスできるか、このリポジトリおよびメイン Amazon Linux リポジトリへの Virtual Private Cloud (VPC) エンドポイントを設定する必要があります。詳細については、「WorkSpace からのインターネットアクセスを提供する」を参照ください。

Linux WorkSpaces での認証にスマートカードを使用する

WorkSpaces Streaming Protocol (WSP) バンドルの Linux WorkSpaces では、認証に共通アクセスカード (CAC) およびパーソナル ID 検証 (PIV) スマートカードを使用できます。詳細については、「認証にスマートカードを使用する」をご参照ください。