Amazon WorkSpaces の IP アドレスとポートの要件 - Amazon WorkSpaces

Amazon WorkSpaces の IP アドレスとポートの要件

WorkSpace に接続するためには、Amazon WorkSpaces クライアントが接続されるネットワークに複数の AWS サービス(サブセットとして配置)の IP アドレス範囲に開放された特定のポートが存在する必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じポートが、クライアントで実行されているファイアウォールで開かれている必要があります。異なるリージョンの AWS IP アドレス範囲の詳細については、アマゾン ウェブ サービス全般のリファレンスで「AWS の IP アドレス範囲」を参照してください。

アーキテクチャ図については、「WorkSpaces のアーキテクチャ」を参照してください。その他のアーキテクチャ図については、ホワイトペーパー「Amazon WorkSpaces のデプロイのベストプラクティス」を参照してください。

クライアントアプリケーションのポート

Amazon WorkSpaces クライアントアプリケーションは、次のポートでアウトバウンドのアクセスが必要です。

ポート 443 (TCP)

このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用をサポートします。プロキシサーバーの使用を有効にするには、クライアントアプリケーションを開き、[Advanced Settings] で、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスとポートを指定して、[Save] を選択します。

このポートは、次の IP アドレス範囲に開放する必要があります。

  • AMAZON リージョンの GLOBAL サブセット。

  • WorkSpace が存在するリージョンの AMAZON サブセット。

  • AMAZON リージョンの us-east-1 サブセット。

  • AMAZON リージョンの us-west-2 サブセット。

  • S3 リージョンの us-west-2 サブセット。

ポート 4172 および 4195 (UDP および TCP)

これらのポートは WorkSpace デスクトップとヘルスチェックのストリーミングに使用されます。デスクトップクライアントアプリケーションは、ポート 4172 と 4195 のトラフィックでのプロキシサーバーの使用をサポートしていません。ポート 4172 と 4195 への直接接続が必要です。これらのポートは、PCoIP ゲートウェイおよび WorkSpaces Streaming Protocol (WSP) ゲートウェイ IP アドレス範囲、ならびに WorkSpace があるリージョンのヘルスチェックサーバーに対して開放されている必要があります。詳細については、「ヘルスチェックサーバー」、「PCoIP ゲートウェイサーバー」、および「WSP ゲートウェイサーバー」を参照してください。

注記

ファイアウォールがステートフルフィルタリングを使用している場合、一時 (ダイナミックとも呼ばれる) ポートが自動的に開かれ、リターン通信が許可されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポートを明示的に開放する必要があります。開く必要のある一時ポート範囲は、構成によって異なります。

ウェブアクセスのポート

Amazon WorkSpaces ウェブアクセスは、次のポートでインバウンドおよびアウトバウンドアクセスする必要があります。

ポート 53 (UDP)

このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 80 (UDP と TCP)

このポートは https://clients.amazonworkspaces.com への最初の接続に使用され、その後に HTTPS に切り替えられます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 443 (UDP と TCP)

このポートは、HTTPS を使用して登録および認証に使用されます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

通常、ウェブブラウザは、ストリーミングトラフィックに使用するために、高範囲のソースポートをランダムに選択します。Amazon WorkSpaces ウェブアクセスは、ブラウザが選択したポートを制御できません。このポートへのリターントラフィックが許可されていることを確認する必要があります。

Amazon WorkSpaces ウェブアクセスは、デスクトップストリームの場合は TCP より UDP を優先しますが、UDP が利用できない場合は TCP に戻ります。ウェブアクセスは、53、80、および 443 以外のすべての UDP ポートがブロックされている場合、TCP 接続を使用して Chrome および Firefox で動作します。

許可リストに追加するドメインと IP アドレス

Amazon WorkSpaces クライアントアプリケーションがサービスにアクセスできるようにするには、クライアントが Amazon WorkSpaces サービスにアクセスしようとしているネットワーク上の許可リストに、次のドメインと IP アドレスを追加する必要があります。

許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
キャプチャ https://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新
  • https://d2td7dqidlhjx7.cloudfront.net/

  • AWS GovCloud (US-West) リージョン内:

    https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

接続の確認

https://connectivity.amazonworkspaces.com/

デバイスメトリクス(1.0 以上および 2.0 以上の WorkSpaces クライアントアプリケーション用) https://device-metrics-us-2.amazon.com/
クライアントメトリクス(3.0 以上の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://skylight-client-ds.us-east-1.amazonaws.com

  • https://skylight-client-ds.us-west-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-2.amazonaws.com

  • https://skylight-client-ds.ap-southeast-1.amazonaws.com

  • https://skylight-client-ds.ap-southeast-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-1.amazonaws.com

  • https://skylight-client-ds.ca-central-1.amazonaws.com

  • https://skylight-client-ds.eu-central-1.amazonaws.com

  • https://skylight-client-ds.eu-west-1.amazonaws.com

  • https://skylight-client-ds.eu-west-2.amazonaws.com

  • https://skylight-client-ds.sa-east-1.amazonaws.com

  • AWS GovCloud (US-West) リージョン内:

    https://skylight-client-ds.us-gov-west-1.amazonaws.com

ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://ws-client-service.us-east-1.amazonaws.com

  • https://ws-client-service.us-west-2.amazonaws.com

  • https://ws-client-service.ap-northeast-2.amazonaws.com

  • https://ws-client-service.ap-southeast-1.amazonaws.com

  • https://ws-client-service.ap-southeast-2.amazonaws.com

  • https://ws-client-service.ap-northeast-1.amazonaws.com

  • https://ws-client-service.ca-central-1.amazonaws.com

  • https://ws-client-service.eu-central-1.amazonaws.com

  • https://ws-client-service.eu-west-1.amazonaws.com

  • https://ws-client-service.eu-west-2.amazonaws.com

  • https://ws-client-service.sa-east-1.amazonaws.com

ディレクトリ設定

WorkSpace にログインする前のクライアントからお客様のディレクトリへの認証:

  • https://d32i4gd7pg4909.cloudfront.net/prod/<region>/<directory ID>

MacOS クライアントからの接続:

  • https://d32i4gd7pg4909.cloudfront.net/

お客様のディレクトリ設定:

  • https://d21ui22avrxoh6.cloudfront.net/prod/<region>/<directory ID>

お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

  • https://d1cbg795sa4g1u.cloudfront.net/prod/<region>/<directory ID>

ログインページのスタイル設定に使用される CSS ファイル:

  • https://d3s98kk2h6f4oh.cloudfront.net/

  • https://dyqsoz7pkju4e.cloudfront.net/

ログインページの JavaScript ファイル:

  • 米国東部(バージニア北部) — https://d32i4gd7pg4909.cloudfront.net/

  • 米国西部 (オレゴン) — https://d18af777lco7lp.cloudfront.net/

  • アジアパシフィック (ソウル) — https://dtyv4uwoh7ynt.cloudfront.net/

  • アジアパシフィック (シンガポール) — https://d3qzmd7y07pz0i.cloudfront.net/

  • アジアパシフィック (シドニー) — https://dwcpoxuuza83q.cloudfront.net/

  • アジアパシフィック (東京) — https://d2c2t8mxjhq5z1.cloudfront.net/

  • カナダ (中部) — https://d2wfbsypmqjmog.cloudfront.net/

  • 欧州 (フランクフルト) — https://d1whcm49570jjw.cloudfront.net/

  • 欧州 (アイルランド) — https://d3pgffbf39h4k4.cloudfront.net/

  • 欧州 (ロンドン) — https://d16q6638mh01s7.cloudfront.net/

  • 南米 (サンパウロ) — https://d2lh2qc5bdoq4b.cloudfront.net/

AWS GovCloud (US-West) リージョン内:

  • お客様のディレクトリ設定:

    https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<directory ID>

  • お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

    https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<directory ID>

  • ログインページのスタイル設定に使用される CSS ファイル:

    https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

  • ログインページの JavaScript ファイル:

    該当しません

Forrester Log Service https://fls-na.amazon.com/
ヘルスチェック (DRP) サーバー ヘルスチェックサーバー
登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) https://s3.amazonaws.com
ユーザーログインページ https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)
WS ブローカー

ドメイン:

  • https://ws-broker-service.us-east-1.amazonaws.com

  • https://ws-broker-service-fips.us-east-1.amazonaws.com

  • https://ws-broker-service.us-west-2.amazonaws.com

  • https://ws-broker-service-fips.us-west-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-2.amazonaws.com

  • https://ws-broker-service.ap-southeast-1.amazonaws.com

  • https://ws-broker-service.ap-southeast-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-1.amazonaws.com

  • https://ws-broker-service.ca-central-1.amazonaws.com

  • https://ws-broker-service.eu-central-1.amazonaws.com

  • https://ws-broker-service.eu-west-1.amazonaws.com

  • https://ws-broker-service.eu-west-2.amazonaws.com

  • https://ws-broker-service.sa-east-1.amazonaws.com

  • https://ws-broker-service.us-gov-west-1.amazonaws.com

  • https://ws-broker-service-fips.us-gov-west-1.amazonaws.com

WorkSpaces API エンドポイント

ドメイン:

  • https://workspaces.us-east-1.amazonaws.com

  • https://workspaces-fips.us-east-1.amazonaws.com

  • https://workspaces.us-west-2.amazonaws.com

  • https://workspaces-fips.us-west-2.amazonaws.com

  • https://workspaces.ap-northeast-2.amazonaws.com

  • https://workspaces.ap-southeast-1.amazonaws.com

  • https://workspaces.ap-southeast-2.amazonaws.com

  • https://workspaces.ap-northeast-1.amazonaws.com

  • https://workspaces.ca-central-1.amazonaws.com

  • https://workspaces.eu-central-1.amazonaws.com

  • https://workspaces.eu-west-1.amazonaws.com

  • https://workspaces.eu-west-2.amazonaws.com

  • https://workspaces.sa-east-1.amazonaws.com

  • https://workspaces.us-gov-west-1.amazonaws.com

  • https://workspaces-fips.us-gov-west-1.amazonaws.com

PCoIP の許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
PCoIP Session Gateway (PSG) PCoIP ゲートウェイサーバー
セッションブローカー(PCM)

ドメイン:

  • https://skylight-cm.us-east-1.amazonaws.com

  • https://skylight-cm-fips.us-east-1.amazonaws.com

  • https://skylight-cm.us-west-2.amazonaws.com

  • https://skylight-cm-fips.us-west-2.amazonaws.com

  • https://skylight-cm.ap-northeast-2.amazonaws.com

  • https://skylight-cm.ap-southeast-1.amazonaws.com

  • https://skylight-cm.ap-southeast-2.amazonaws.com

  • https://skylight-cm.ap-northeast-1.amazonaws.com

  • https://skylight-cm.ca-central-1.amazonaws.com

  • https://skylight-cm.eu-central-1.amazonaws.com

  • https://skylight-cm.eu-west-1.amazonaws.com

  • https://skylight-cm.eu-west-2.amazonaws.com

  • https://skylight-cm.sa-east-1.amazonaws.com

  • https://skylight-cm.us-gov-west-1.amazonaws.com

  • https://skylight-cm-fips.us-gov-west-1.amazonaws.com

PCoIP のウェブアクセス TURN サーバー

サーバー:

  • turn:*.us-east-1.rdn.amazonaws.com

  • turn:*.us-west-2.rdn.amazonaws.com

  • turn:*.ap-northeast-2.rdn.amazonaws.com

  • turn:*.ap-southeast-1.rdn.amazonaws.com

  • turn:*.ap-southeast-2.rdn.amazonaws.com

  • turn:*.ap-northeast-1.rdn.amazonaws.com

  • turn:*.ca-central-1.rdn.amazonaws.com

  • turn:*.eu-central-1.rdn.amazonaws.com

  • turn:*.eu-west-1.rdn.amazonaws.com

  • turn:*.eu-west-2.rdn.amazonaws.com

  • turn:*.sa-east-1.rdn.amazonaws.com

WorkSpaces Streaming Protocol (WSP) の許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
WSP セッションゲートウェイ (WSG) WSP ゲートウェイサーバー
WSP のウェブアクセス TURN サーバー

サーバー:

  • この機能は WSP では使用できません。

ヘルスチェックサーバー

Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 および 4195 でヘルスチェックを行います。これらのチェックで、TCP または UDP トラフィックが Amazon WorkSpaces サーバーからクライアントアプリケーションにストリーミングされるかどうかを検証します。これらのチェックが正常に完了するには、ファイアウォールポリシーで、以下のリージョン別ヘルスチェックサーバーの IP アドレスへのアウトバウンドトラフィックを許可する必要があります。

サービス対象 ヘルスチェックホスト名 IP アドレス
米国東部(バージニア北部) drp-iad.amazonworkspaces.com

3.209.215.252

3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

米国西部 (オレゴン) drp-pdx.amazonworkspaces.com

34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

アジアパシフィック (ソウル) drp-icn.amazonworkspaces.com

13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com

3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com

3.24.11.127

13.237.232.125

アジアパシフィック (東京) drp-nrt.amazonworkspaces.com

18.178.102.247

54.64.174.128

カナダ (中部) drp-yul.amazonworkspaces.com

52.60.69.16

52.60.80.237

52.60.173.117

52.60.201.0

欧州 (フランクフルト) drp-fra.amazonworkspaces.com

52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

欧州 (アイルランド) drp-dub.amazonworkspaces.com

18.200.177.86

52.48.86.38

54.76.137.224

欧州 (ロンドン) drp-lhr.amazonworkspaces.com

35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

南米 (サンパウロ) drp-gru.amazonworkspaces.com

18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWS GovCloud (US-West) drp-pdt.amazonworkspaces.com

52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

PCoIP ゲートウェイサーバー

Amazon WorkSpaces は、PCoIP を使用してポート 4172 を介してクライアントにデスクトップセッションをストリーミングします。PCoIP ゲートウェイサービスでは、Amazon WorkSpaces は PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IPv4 アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、 Amazon WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていません。

注記

AWS では、AWS IP Address Ranges ip-ranges.json ファイルの IP アドレス範囲を定期的に更新しています。Amazon WorkSpaces の最新の IP アドレス範囲を取り込むには、ip-ranges.json ファイルで service: "WORKSPACES_GATEWAYS" のエントリを見つけます。

リージョン パブリック IP アドレス範囲
米国東部(バージニア北部)

3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

米国西部 (オレゴン)

44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

アジアパシフィック (ソウル)

3.34.37.0 - 3.34.37.255

3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

アジアパシフィック (シンガポール)

18.141.152.0 - 18.141.152.255

18.141.154.0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

アジアパシフィック (シドニー)

3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

アジアパシフィック (東京)

18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

カナダ (中部)

15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

欧州 (フランクフルト)

18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

欧州 (アイルランド)

3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

欧州 (ロンドン)

18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

35.176.32.0 - 35.176.32.255

南米 (サンパウロ)

18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWS GovCloud (US-West)

52.61.193.0 - 52.61.193.255

WSP ゲートウェイサーバー

重要

2020 年 6 月から、Amazon WorkSpaces は WSP WorkSpaces のデスクトップセッションをポート 4172 ではなくポート 4195 経由でクライアントにストリーミングします。WSP WorkSpaces を使用する場合は、ポート 4195 がトラフィックに対して開かれていることを確認してください。

Amazon WorkSpaces は WSP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IPv4 アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、 Amazon WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていません。

リージョン パブリック IP アドレス範囲
米国東部(バージニア北部) 3.227.4.0/22
米国西部 (オレゴン) 34.223.96.0/22
アジアパシフィック (ソウル) 3.35.160.0/22
アジアパシフィック (シンガポール) 13.212.132.0/22
アジアパシフィック (シドニー) 3.25.248.0/22
アジアパシフィック (東京) 3.114.164.0/22
カナダ (中部) 3.97.20.0/22
欧州 (フランクフルト) 18.192.216.0/22
欧州 (アイルランド) 3.248.176.0/22
欧州 (ロンドン) 18.134.68.0/22
南米 (サンパウロ) 15.228.64.0/22
AWS GovCloud (US-West) 3.32.139.0/24

ネットワークインターフェイス

各 WorkSpace に次のネットワークインターフェイスがあります。

  • プライマリネットワークインターフェイス (eth1) は、VPC およびインターネット内でのリソースへの接続を可能にし、WorkSpace とディレクトリとの結合に使用されます。

  • 管理ネットワークインターフェイス (eth0) は、セキュアな Amazon WorkSpaces 管理ネットワークに接続します。Amazon WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、Amazon WorkSpaces が WorkSpace を管理するために使用されます。

Amazon WorkSpaces は、WorkSpaces が作成されたリージョンに応じて、さまざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが登録されるときに、Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。

警告

WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。そうすると、WorkSpace にアクセスできなくなったり、インターネットにアクセスできなくなったりすることがあります。たとえば、ディレクトリレベルで Elastic IP アドレスの自動割り当てを有効にしている場合、(Amazon が提供するプールからの) Elastic IP アドレスは、起動時に WorkSpace に割り当てられます。ただし、所有している Elastic IP アドレスを WorkSpace に関連付けた後、その Elastic IP アドレスと WorkSpace との関連付けを解除すると、WorkSpace はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。

Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpace に関連付けるには、WorkSpace を再構築する必要があります。WorkSpace を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpace に関連付ける必要があります。

管理インターフェイスの IP 範囲

次の表は、管理ネットワークインターフェイスで使用される IP アドレス範囲の一覧です。

注記

ライセンス持ち込み (BYOL) Windows WorkSpaces を使用している場合は、次の表の IP アドレスの範囲は適用されません。代わりに、BYOL WorkSpaces は、すべての AWS リージョンの管理インターフェイストラフィックに 54.239.224.0/20 IP アドレス範囲を使用します。(この IP アドレス範囲は、BYOL WorkSpaces の管理トラフィック用に選択した /16 CIDR ブロックに加えて使用されます。)

リージョン IP アドレス範囲
米国東部(バージニア北部) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
米国西部 (オレゴン) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (ソウル) 198.19.0.0/16
アジアパシフィック (シンガポール) 198.19.0.0/16
アジアパシフィック (シドニー) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (東京) 198.19.0.0/16
カナダ (中部) 198.19.0.0/16
欧州 (フランクフルト) 198.19.0.0/16
欧州 (アイルランド) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
欧州 (ロンドン) 198.19.0.0/16
南米 (サンパウロ) 198.19.0.0/16
AWS GovCloud (US-West) 198.19.0.0/16

管理インターフェイスポート

次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。

  • ポート 4172 のインバウンド TCP。これは、PCoIP プロトコルでストリーミング接続を確立するために使用されます。

  • ポート 4172 のインバウンド UDP。これは、PCoIP プロトコルでユーザー入力をストリーミングするために使用されます。

  • ポート 4489 のインバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。(Web Access クライアントは、WSP ではサポートされていません。)

  • ポート 8200 のインバウンド TCP。これは、PCoIP プロトコルでの WorkSpace の管理および設定に使用されます。

  • ポート 8201-8250 のインバウンド TCP。これらのポートは、ストリーミング接続の確立および WSP プロトコルでのユーザー入力のストリーミングに使用されます。

  • ポート 8443 および 9997 のアウトバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。(Web Access クライアントは、WSP ではサポートされていません。)

  • ポート 3478、4172、および 4195 のアウトバウンド UDP。これはウェブクライアントを使用したアクセスに使用されます。(Web Access クライアントは、WSP ではサポートされていません。)

  • ポート 50002 および 55002 のアウトバウンド UDP。これはストリーミングに使用されます。ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 50002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポート 49152~65535 を開放する必要があります。

  • EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。

  • パブリックバンドルに基づく WorkSpaces の Windows アクティベーション用の Microsoft KMS へのアクセスを許可する、ポート 1688 での IP アドレス 169.254.169.250 および 169.254.169.251 への送信 TCP。ライセンス持ち込み (BYOL) Windows WorkSpaces を使用している場合は、Windows アクティベーションのために独自の KMS サーバーへのアクセスを許可する必要があります。

  • ポート 1688 での IP アドレス 54.239.236.220 への送信 TCP を使用して、BYOL WorkSpaces の Office 用 Microsoft KMS のアクティベーションのためのアクセスを許可します。

    WorkSpaces パブリックバンドルの 1 つを通じて Office を使用している場合は、Office アクティベーション用の Microsoft KMS の IP アドレスは異なります。その IP アドレスを特定するには、WorkSpace の管理インターフェイスの IP アドレスを検索し、最後の 2 つのオクテットを 64.250 に置き換えます。例えば、管理インターフェイスの IP アドレスが 192.168.3.5 の場合、Microsoft KMS Office アクティベーションの IP アドレスは 192.168.64.250 です。

  • WorkSpace ホストがプロキシサーバーを使用するように設定されている場合における、WSP WorkSpaces 用の IP アドレス 127.0.0.2 への送信 TCP。

通常の状況では、Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

プライマリインターフェイスポート

ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイスで、次のポートが開いている必要があります。

  • インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、WorkSpaces のセキュリティグループに手動で追加する必要があります。

    • TCP 80(HTTP)

    • TCP 443(HTTPS)

  • ディレクトリコントローラーと通信するには、WorkSpaces VPC とディレクトリコントローラーの間で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service によって作成されたセキュリティグループでは、これらのポートが正しく設定されます。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調整が必要になる場合があります。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - Dynamic ports for RPC

    これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。