Amazon WorkSpaces の IP アドレスとポートの要件 - Amazon WorkSpaces

Amazon WorkSpaces の IP アドレスとポートの要件

Amazon WorkSpaces Streaming Protocol (WSP) WorkSpaces are available as a beta service and are subject to change. WSP beta WorkSpaces should not be used for production workloads. For more information about the WSP beta, see Amazon WorkSpaces Streaming Protocol (beta).

WorkSpace に接続するためには、Amazon WorkSpaces クライアントが接続されるネットワークに複数の AWS サービス(サブセットとして配置)の IP アドレス範囲に開放された特定のポートが存在する必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じポートが、クライアントで実行されているファイアウォールで開かれている必要があります。異なるリージョンの AWS IP アドレス範囲の詳細については、アマゾン ウェブ サービス全般のリファレンスで「AWS の IP アドレス範囲」を参照してください。

アーキテクチャ図については、「WorkSpaces のアーキテクチャ」を参照してください。その他のアーキテクチャ図については、ホワイトペーパー「Amazon WorkSpaces のデプロイのベストプラクティス」を参照してください。

クライアントアプリケーションのポート

Amazon WorkSpaces クライアントアプリケーションは、次のポートでアウトバウンドのアクセスが必要です。

ポート 443 (TCP)

このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用をサポートします。プロキシサーバーの使用を有効にするには、クライアントアプリケーションを開き、[Advanced Settings] で、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスとポートを指定して、[Save] を選択します。

このポートは、次の IP アドレス範囲に開放する必要があります。

  • AMAZON リージョンの GLOBAL サブセット。

  • WorkSpace が存在するリージョンの AMAZON サブセット。

  • AMAZON リージョンの us-east-1 サブセット。

  • AMAZON リージョンの us-west-2 サブセット。

  • S3 リージョンの us-west-2 サブセット。

ポート 4172 および 4195 (UDP および TCP)

これらのポートは WorkSpace デスクトップとヘルスチェックのストリーミングに使用されます。デスクトップクライアントアプリケーションは、ポート 4172 と 4195 のトラフィックでのプロキシサーバーの使用をサポートしていません。ポート 4172 と 4195 への直接接続が必要です。これらのポートは、WorkSpace があるリージョンの PCoIP ゲートウェイおよび WorkSpaces Streaming Protocol (WSP) beta の IP アドレス範囲とヘルスチェックサーバーに対して開放する必要があります。詳細については、「ヘルスチェックサーバー」、「PCoIP ゲートウェイサーバー」、および「WSP beta ゲートウェイサーバー」を参照してください。

注記

ファイアウォールがステートフルフィルタリングを使用している場合、一時 (ダイナミックとも呼ばれる) ポートが自動的に開かれ、リターン通信が許可されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポートを明示的に開放する必要があります。開く必要のある一時ポート範囲は、構成によって異なります。

ウェブアクセスのポート

Amazon WorkSpaces ウェブアクセスは、次のポートでインバウンドおよびアウトバウンドアクセスする必要があります。

ポート 53 (UDP)

このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 80 (UDP と TCP)

このポートは https://clients.amazonworkspaces.com への最初の接続に使用され、その後に HTTPS に切り替えられます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 443 (UDP と TCP)

このポートは、HTTPS を使用して登録および認証に使用されます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

通常、ウェブブラウザは、ストリーミングトラフィックに使用するために、高範囲のソースポートをランダムに選択します。Amazon WorkSpaces ウェブアクセスは、ブラウザが選択したポートを制御できません。このポートへのリターントラフィックが許可されていることを確認する必要があります。

Amazon WorkSpaces ウェブアクセスは、デスクトップストリームの場合は TCP より UDP を優先しますが、UDP が利用できない場合は TCP に戻ります。ウェブアクセスは、53、80、および 443 以外のすべての UDP ポートがブロックされている場合、TCP 接続を使用して Chrome および Firefox で動作します。

許可リストに追加するドメインと IP アドレス

Amazon WorkSpaces クライアントアプリケーションがサービスにアクセスできるようにするには、クライアントが Amazon WorkSpaces サービスにアクセスしようとしているネットワーク上の許可リストに、次のドメインと IP アドレスを追加する必要があります。

許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
キャプチャ https://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新
  • https://d2td7dqidlhjx7.cloudfront.net/

  • AWS GovCloud (US-West) リージョン内:

    https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

接続の確認

https://connectivity.amazonworkspaces.com/

デバイスメトリクス(1.0 以上および 2.0 以上の WorkSpaces クライアントアプリケーション用) https://device-metrics-us-2.amazon.com/
クライアントメトリクス(3.0 以上の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://skylight-client-ds.us-east-1.amazonaws.com

  • https://skylight-client-ds.us-west-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-2.amazonaws.com

  • https://skylight-client-ds.ap-southeast-1.amazonaws.com

  • https://skylight-client-ds.ap-southeast-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-1.amazonaws.com

  • https://skylight-client-ds.ca-central-1.amazonaws.com

  • https://skylight-client-ds.eu-central-1.amazonaws.com

  • https://skylight-client-ds.eu-west-1.amazonaws.com

  • https://skylight-client-ds.eu-west-2.amazonaws.com

  • https://skylight-client-ds.sa-east-1.amazonaws.com

  • AWS GovCloud (US-West) リージョン内:

    https://skylight-client-ds.us-gov-west-1.amazonaws.com

ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://ws-client-service.us-east-1.amazonaws.com

  • https://ws-client-service.us-west-2.amazonaws.com

  • https://ws-client-service.ap-northeast-2.amazonaws.com

  • https://ws-client-service.ap-southeast-1.amazonaws.com

  • https://ws-client-service.ap-southeast-2.amazonaws.com

  • https://ws-client-service.ap-northeast-1.amazonaws.com

  • https://ws-client-service.ca-central-1.amazonaws.com

  • https://ws-client-service.eu-central-1.amazonaws.com

  • https://ws-client-service.eu-west-1.amazonaws.com

  • https://ws-client-service.eu-west-2.amazonaws.com

  • https://ws-client-service.sa-east-1.amazonaws.com

ディレクトリ設定

WorkSpace にログインする前のクライアントからお客様のディレクトリへの認証:

  • https://d32i4gd7pg4909.cloudfront.net/prod/<region>/<directory ID>

MacOS クライアントからの接続:

  • https://d32i4gd7pg4909.cloudfront.net/

お客様のディレクトリ設定:

  • https://d21ui22avrxoh6.cloudfront.net/prod/<region>/<directory ID>

お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

  • https://d1cbg795sa4g1u.cloudfront.net/prod/<region>/<directory ID>

ログインページのスタイル設定に使用される CSS ファイル:

  • https://d3s98kk2h6f4oh.cloudfront.net/

  • https://dyqsoz7pkju4e.cloudfront.net/

ログインページの JavaScript ファイル:

  • 米国東部(バージニア北部) — https://d32i4gd7pg4909.cloudfront.net/

  • 米国西部 (オレゴン) — https://d18af777lco7lp.cloudfront.net/

  • アジアパシフィック (ソウル) — https://dtyv4uwoh7ynt.cloudfront.net/

  • アジアパシフィック (シンガポール) — https://d3qzmd7y07pz0i.cloudfront.net/

  • アジアパシフィック (シドニー) — https://dwcpoxuuza83q.cloudfront.net/

  • アジアパシフィック (東京) — https://d2c2t8mxjhq5z1.cloudfront.net/

  • カナダ (中部) — https://d2wfbsypmqjmog.cloudfront.net/

  • 欧州 (フランクフルト) — https://d1whcm49570jjw.cloudfront.net/

  • 欧州 (アイルランド) — https://d3pgffbf39h4k4.cloudfront.net/

  • 欧州 (ロンドン) — https://d16q6638mh01s7.cloudfront.net/

  • 南米 (サンパウロ) — https://d2lh2qc5bdoq4b.cloudfront.net/

AWS GovCloud (US-West) リージョン内:

  • お客様のディレクトリ設定:

    https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<directory ID>

  • お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

    https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<directory ID>

  • ログインページのスタイル設定に使用される CSS ファイル:

    https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

  • ログインページの JavaScript ファイル:

    該当しません

Forrester Log Service https://fls-na.amazon.com/
ヘルスチェック (DRP) サーバー ヘルスチェックサーバー
登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) https://s3.amazonaws.com
ユーザーログインページ https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)
WS ブローカー

ドメイン:

  • https://ws-broker-service.us-east-1.amazonaws.com

  • https://ws-broker-service-fips.us-east-1.amazonaws.com

  • https://ws-broker-service.us-west-2.amazonaws.com

  • https://ws-broker-service-fips.us-west-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-2.amazonaws.com

  • https://ws-broker-service.ap-southeast-1.amazonaws.com

  • https://ws-broker-service.ap-southeast-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-1.amazonaws.com

  • https://ws-broker-service.ca-central-1.amazonaws.com

  • https://ws-broker-service.eu-central-1.amazonaws.com

  • https://ws-broker-service.eu-west-1.amazonaws.com

  • https://ws-broker-service.eu-west-2.amazonaws.com

  • https://ws-broker-service.sa-east-1.amazonaws.com

  • https://ws-broker-service.us-gov-west-1.amazonaws.com

  • https://ws-broker-service-fips.us-gov-west-1.amazonaws.com

WorkSpaces API エンドポイント

ドメイン:

  • https://workspaces.us-east-1.amazonaws.com

  • https://workspaces-fips.us-east-1.amazonaws.com

  • https://workspaces.us-west-2.amazonaws.com

  • https://workspaces-fips.us-west-2.amazonaws.com

  • https://workspaces.ap-northeast-2.amazonaws.com

  • https://workspaces.ap-southeast-1.amazonaws.com

  • https://workspaces.ap-southeast-2.amazonaws.com

  • https://workspaces.ap-northeast-1.amazonaws.com

  • https://workspaces.ca-central-1.amazonaws.com

  • https://workspaces.eu-central-1.amazonaws.com

  • https://workspaces.eu-west-1.amazonaws.com

  • https://workspaces.eu-west-2.amazonaws.com

  • https://workspaces.sa-east-1.amazonaws.com

  • https://workspaces.us-gov-west-1.amazonaws.com

  • https://workspaces-fips.us-gov-west-1.amazonaws.com

PCoIP の許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
PCoIP Session Gateway (PSG) PCoIP ゲートウェイサーバー
セッションブローカー(PCM)

ドメイン:

  • https://skylight-cm.us-east-1.amazonaws.com

  • https://skylight-cm-fips.us-east-1.amazonaws.com

  • https://skylight-cm.us-west-2.amazonaws.com

  • https://skylight-cm-fips.us-west-2.amazonaws.com

  • https://skylight-cm.ap-northeast-2.amazonaws.com

  • https://skylight-cm.ap-southeast-1.amazonaws.com

  • https://skylight-cm.ap-southeast-2.amazonaws.com

  • https://skylight-cm.ap-northeast-1.amazonaws.com

  • https://skylight-cm.ca-central-1.amazonaws.com

  • https://skylight-cm.eu-central-1.amazonaws.com

  • https://skylight-cm.eu-west-1.amazonaws.com

  • https://skylight-cm.eu-west-2.amazonaws.com

  • https://skylight-cm.sa-east-1.amazonaws.com

  • https://skylight-cm.us-gov-west-1.amazonaws.com

  • https://skylight-cm-fips.us-gov-west-1.amazonaws.com

PCoIP のウェブアクセス TURN サーバー

サーバー:

  • turn:*.us-east-1.rdn.amazonaws.com

  • turn:*.us-west-2.rdn.amazonaws.com

  • turn:*.ap-northeast-2.rdn.amazonaws.com

  • turn:*.ap-southeast-1.rdn.amazonaws.com

  • turn:*.ap-southeast-2.rdn.amazonaws.com

  • turn:*.ap-northeast-1.rdn.amazonaws.com

  • turn:*.ca-central-1.rdn.amazonaws.com

  • turn:*.eu-central-1.rdn.amazonaws.com

  • turn:*.eu-west-1.rdn.amazonaws.com

  • turn:*.eu-west-2.rdn.amazonaws.com

  • turn:*.sa-east-1.rdn.amazonaws.com

WorkSpaces Streaming Protocol (WSP) beta の許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
WSP beta セッションゲートウェイ (WSG) WSP beta ゲートウェイサーバー
WSP beta のウェブアクセス TURN サーバー

サーバー:

  • この機能は WSP beta では使用できません。

ヘルスチェックサーバー

Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 および 4195 でヘルスチェックを行います。これらのチェックで、TCP または UDP トラフィックが Amazon WorkSpaces サーバーからクライアントアプリケーションにストリーミングされるかどうかを検証します。これらのチェックが正常に完了するには、ファイアウォールポリシーで、以下のリージョン別ヘルスチェックサーバーの IP アドレスへのアウトバウンドトラフィックを許可する必要があります。

サービス対象 ヘルスチェックホスト名 IP アドレス
米国東部(バージニア北部) drp-iad.amazonworkspaces.com

3.209.215.252

3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

米国西部 (オレゴン) drp-pdx.amazonworkspaces.com

34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

アジアパシフィック (ソウル) drp-icn.amazonworkspaces.com

13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com

3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com

3.24.11.127

13.237.232.125

アジアパシフィック (東京) drp-nrt.amazonworkspaces.com

18.178.102.247

54.64.174.128

カナダ (中部) drp-yul.amazonworkspaces.com

52.60.69.16

52.60.80.237

52.60.173.117

52.60.201.0

欧州 (フランクフルト) drp-fra.amazonworkspaces.com

52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

欧州 (アイルランド) drp-dub.amazonworkspaces.com

18.200.177.86

52.48.86.38

54.76.137.224

欧州 (ロンドン) drp-lhr.amazonworkspaces.com

35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

南米 (サンパウロ) drp-gru.amazonworkspaces.com

18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWS GovCloud (US-West) drp-pdt.amazonworkspaces.com

52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

PCoIP ゲートウェイサーバー

Amazon WorkSpaces は、PCoIP を使用してポート 4172 を介してクライアントにデスクトップセッションをストリーミングします。PCoIP ゲートウェイサービスでは、Amazon WorkSpaces は PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IPv4 アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、 Amazon WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていません。

注記

AWS では、AWS IP Address Ranges ip-ranges.json ファイルの IP アドレス範囲を定期的に更新しています。Amazon WorkSpaces の最新の IP アドレス範囲を取り込むには、ip-ranges.json ファイルで service: "WORKSPACES_GATEWAYS" のエントリを見つけます。

リージョン パブリック IP アドレス範囲
米国東部(バージニア北部)

3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

米国西部 (オレゴン)

44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

アジアパシフィック (ソウル)

3.34.37.0 - 3.34.37.255

3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

アジアパシフィック (シンガポール)

18.141.152.0 - 18.141.152.255

18.141.154.0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

アジアパシフィック (シドニー)

3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

アジアパシフィック (東京)

18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

カナダ (中部)

15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

欧州 (フランクフルト)

18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

欧州 (アイルランド)

3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

欧州 (ロンドン)

18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

35.176.32.0 - 35.176.32.255

南米 (サンパウロ)

18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWS GovCloud (US-West)

52.61.193.0 - 52.61.193.255

WSP beta ゲートウェイサーバー

重要

現在、Amazon WorkSpaces は WSP beta プロトコルを使用して WorkSpaces のデスクトップセッションをポート 4172 経由でクライアントにストリーミングします。2020 年 6 月以降、WSP beta WorkSpaces のストリーミングトラフィックはポート 4195 に移行します。WSP beta WorkSpaces を使用する場合、この移行期間中に、6 月に備えて必ずポート 4172 とポート 4195 の両方をトラフィックに解放してください。

Amazon WorkSpaces は WSP beta ゲートウェイサーバー用に小さな Amazon EC2 パブリック IPv4 アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、 Amazon WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていません。

リージョン パブリック IP アドレス範囲
米国東部(バージニア北部) 3.227.4.0/22
米国西部 (オレゴン) 34.223.96.0/22
アジアパシフィック (ソウル) このリージョンは WSP beta ではサポートされていません。
アジアパシフィック (シンガポール) このリージョンは WSP beta ではサポートされていません。
アジアパシフィック (シドニー) このリージョンは WSP beta ではサポートされていません。
アジアパシフィック (東京) 3.114.164.0/22
カナダ (中部) このリージョンは WSP beta ではサポートされていません。
欧州 (フランクフルト) このリージョンは WSP beta ではサポートされていません。
欧州 (アイルランド) 3.248.176.0/22
欧州 (ロンドン) このリージョンは WSP beta ではサポートされていません。
南米 (サンパウロ) このリージョンは WSP beta ではサポートされていません。
AWS GovCloud (US-West) このリージョンは WSP beta ではサポートされていません。

ネットワークインターフェイス

各 WorkSpace に次のネットワークインターフェイスがあります。

  • プライマリネットワークインターフェイス (eth1) は、VPC およびインターネット内でのリソースへの接続を可能にし、WorkSpace とディレクトリとの結合に使用されます。

  • 管理ネットワークインターフェイス (eth0) は、セキュアな Amazon WorkSpaces 管理ネットワークに接続します。Amazon WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、Amazon WorkSpaces が WorkSpace を管理するために使用されます。

Amazon WorkSpaces は、WorkSpaces が作成されたリージョンに応じて、さまざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが登録されるときに、Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。

警告

WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。そうすると、WorkSpace にアクセスできなくなったり、インターネットにアクセスできなくなったりすることがあります。たとえば、ディレクトリレベルで Elastic IP アドレスの自動割り当てを有効にしている場合、(Amazon が提供するプールからの) Elastic IP アドレスは、起動時に WorkSpace に割り当てられます。ただし、所有している Elastic IP アドレスを WorkSpace に関連付けた後、その Elastic IP アドレスと WorkSpace との関連付けを解除すると、WorkSpace はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。

Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpace に関連付けるには、WorkSpace を再構築する必要があります。WorkSpace を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpace に関連付ける必要があります。

管理インターフェイスの IP 範囲

次の表は、管理ネットワークインターフェイスで使用される IP アドレス範囲の一覧です。

リージョン IP アドレス範囲
米国東部(バージニア北部) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
米国西部 (オレゴン) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (ソウル) 198.19.0.0/16
アジアパシフィック (シンガポール) 198.19.0.0/16
アジアパシフィック (シドニー) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (東京) 198.19.0.0/16
カナダ (中部) 198.19.0.0/16
欧州 (フランクフルト) 198.19.0.0/16
欧州 (アイルランド) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
欧州 (ロンドン) 198.19.0.0/16
南米 (サンパウロ) 198.19.0.0/16
AWS GovCloud (US-West) 198.19.0.0/16

管理インターフェイスポート

次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。

  • ポート 4172 のインバウンド TCP。これは、PCoIP プロトコルでストリーミング接続を確立するために使用されます。

  • ポート 4172 のインバウンド UDP。これは、PCoIP プロトコルでユーザー入力をストリーミングするために使用されます。

  • ポート 4489 のインバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。(ウェブアクセスクライアントは、WSP beta ではサポートされていません)。

  • ポート 8200 のインバウンド TCP。これは、PCoIP プロトコルでの WorkSpace の管理および設定に使用されます。

  • ポート 8201-8250 のインバウンド TCP。これらのポートは、ストリーミング接続の確立および WSP beta プロトコルでのユーザー入力のストリーミングに使用されます。

  • ポート 8443 および 9997 のアウトバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。(ウェブアクセスクライアントは、WSP beta ではサポートされていません)。

  • ポート 3478、4172、および 4195 のアウトバウンド UDP。これはウェブクライアントを使用したアクセスに使用されます。(ウェブアクセスクライアントは、WSP beta ではサポートされていません)。

  • ポート 50002 および 55002 のアウトバウンド UDP。これはストリーミングに使用されます。ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 50002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポート 49152~65535 を開放する必要があります。

  • EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。

  • Microsoft KMS for Windows および Office のアクティベーションへのアクセスを許可する、ポート 1688 での IP アドレス 169.254.169.251 および 169.254.169.250 へのアウトバウンド TCP。

通常の状況では、Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

プライマリインターフェイスポート

ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイスで、次のポートが開いている必要があります。

  • インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、WorkSpaces のセキュリティグループに手動で追加する必要があります。

    • TCP 80(HTTP)

    • TCP 443(HTTPS)

  • ディレクトリコントローラーと通信するには、WorkSpaces VPC とディレクトリコントローラーの間で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service によって作成されたセキュリティグループでは、これらのポートが正しく設定されます。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調整が必要になる場合があります。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - Dynamic ports for RPC

    これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。