WorkSpaces の IP アドレスとポートの要件 - Amazon WorkSpaces

WorkSpaces の IP アドレスとポートの要件

WorkSpace に接続するためには、WorkSpaces クライアントが接続されるネットワークに複数の AWS のサービス (サブセットとして配置) の IP アドレス範囲に開放された特定のポートが存在する必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じポートが、クライアントで実行されているファイアウォールで開かれている必要があります。異なるリージョンの AWS IP アドレス範囲の詳細については、アマゾン ウェブ サービスの全般のリファレンスAWS IP アドレス範囲を参照してください。

アーキテクチャ図については、WorkSpaces のアーキテクチャを参照してください。その他のアーキテクチャ図については、ホワイトペーパーの Amazon WorkSpaces のデプロイのベストプラクティスを参照してください。

クライアントアプリケーションのポート

WorkSpaces クライアントアプリケーションは、次のポートでアウトバウンドのアクセスが必要です。

ポート 443 (TCP)

このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用をサポートします。プロキシサーバーの使用を有効にするには、クライアントアプリケーションを開き、[Advanced Settings] で、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスとポートを指定して、[Save] を選択します。

このポートは、次の IP アドレス範囲に開放する必要があります。

  • AMAZON リージョンの GLOBAL サブセット。

  • WorkSpace が存在するリージョンの AMAZON サブセット。

  • AMAZON リージョンの us-east-1 サブセット。

  • AMAZON リージョンの us-west-2 サブセット。

  • S3 リージョンの us-west-2 サブセット。

ポート 4172 および 4195 (UDP および TCP)

これらのポートは WorkSpace デスクトップとヘルスチェックのストリーミングに使用されます。デスクトップクライアントアプリケーションは、ポート 4172 と 4195 のトラフィックでのプロキシサーバーの使用をサポートしていません。ポート 4172 と 4195 への直接接続が必要です。これらのポートは、PCoIP Gateway および WorkSpaces Streaming Protocol (WSP) Gateway IP アドレス範囲、ならびに WorkSpace があるリージョンのヘルスチェックサーバーに対して開放されている必要があります。詳細については、「ヘルスチェックサーバー」、「PCoIP ゲートウェイサーバー」、および「WSP ゲートウェイサーバー」を参照してください。

注記

ファイアウォールがステートフルフィルタリングを使用している場合、一時 (ダイナミックとも呼ばれる) ポートが自動的に開かれ、リターン通信が許可されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポートを明示的に開放する必要があります。開く必要のある一時ポート範囲は、構成によって異なります。

ウェブアクセスのポート

WorkSpaces Web Access は、次のポートでインバウンドおよびアウトバウンドアクセスする必要があります。

ポート 53 (UDP)

このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 80 (UDP と TCP)

このポートは https://clients.amazonworkspaces.com への最初の接続に使用され、その後に HTTPS に切り替えられます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 443 (UDP と TCP)

このポートは、HTTPS を使用して登録および認証に使用されます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

通常、ウェブブラウザは、ストリーミングトラフィックに使用するために、高範囲のソースポートをランダムに選択します。WorkSpaces Web Access は、ブラウザが選択したポートを制御できません。このポートへのリターントラフィックが許可されていることを確認する必要があります。

WorkSpaces Web Access は、デスクトップストリームの場合は TCP より UDP を優先しますが、UDP が利用できない場合は TCP に戻ります。ウェブアクセスは、53、80、および 443 以外のすべての UDP ポートがブロックされている場合、TCP 接続を使用して Chrome および Firefox で動作します。

許可リストに追加するドメインと IP アドレス

WorkSpaces クライアントアプリケーションがサービスにアクセスできるようにするには、クライアントが WorkSpaces サービスにアクセスしようとしているネットワーク上の許可リストに、次のドメインと IP アドレスを追加する必要があります。

許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
キャプチャ https://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新
  • https://d2td7dqidlhjx7.cloudfront.net/

  • AWS GovCloud (米国西部) リージョン

    https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

接続の確認

https://connectivity.amazonworkspaces.com/

デバイスメトリクス(1.0 以上および 2.0 以上の WorkSpaces クライアントアプリケーション用) https://device-metrics-us-2.amazon.com/
クライアントメトリクス(3.0 以上の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://skylight-client-ds.us-east-1.amazonaws.com

  • https://skylight-client-ds.us-west-2.amazonaws.com

  • https://skylight-client-ds.ap-south-1.amazonaws.com

  • https://skylight-client-ds.ap-northeast-2.amazonaws.com

  • https://skylight-client-ds.ap-southeast-1.amazonaws.com

  • https://skylight-client-ds.ap-southeast-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-1.amazonaws.com

  • https://skylight-client-ds.ca-central-1.amazonaws.com

  • https://skylight-client-ds.eu-central-1.amazonaws.com

  • https://skylight-client-ds.eu-west-1.amazonaws.com

  • https://skylight-client-ds.eu-west-2.amazonaws.com

  • https://skylight-client-ds.sa-east-1.amazonaws.com

  • AWS GovCloud (米国西部) リージョン

    https://skylight-client-ds.us-gov-west-1.amazonaws.com

ダイナミックメッセージングサービス (3.0 以降の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://ws-client-service.us-east-1.amazonaws.com

  • https://ws-client-service.us-west-2.amazonaws.com

  • https://ws-client-service.ap-south-1.amazonaws.com

  • https://ws-client-service.ap-northeast-2.amazonaws.com

  • https://ws-client-service.ap-southeast-1.amazonaws.com

  • https://ws-client-service.ap-southeast-2.amazonaws.com

  • https://ws-client-service.ap-northeast-1.amazonaws.com

  • https://ws-client-service.ca-central-1.amazonaws.com

  • https://ws-client-service.eu-central-1.amazonaws.com

  • https://ws-client-service.eu-west-1.amazonaws.com

  • https://ws-client-service.eu-west-2.amazonaws.com

  • https://ws-client-service.sa-east-1.amazonaws.com

ディレクトリ設定

WorkSpace にログインする前のクライアントからお客様のディレクトリへの認証:

  • https://d32i4gd7pg4909.cloudfront.net/prod/<region>/<directory ID>

MacOS クライアントからの接続:

  • https://d32i4gd7pg4909.cloudfront.net/

お客様のディレクトリ設定:

  • https://d21ui22avrxoh6.cloudfront.net/prod/<region>/<directory ID>

お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

  • https://d1cbg795sa4g1u.cloudfront.net/prod/<region>/<directory ID>

ログインページのスタイル設定に使用される CSS ファイル:

  • https://d3s98kk2h6f4oh.cloudfront.net/

  • https://dyqsoz7pkju4e.cloudfront.net/

ログインページの JavaScript ファイル:

  • 米国東部 (バージニア北部) — https://d32i4gd7pg4909.cloudfront.net/

  • 米国西部 (オレゴン) — https://d18af777lco7lp.cloudfront.net/

  • アジアパシフィック (ムンバイ) — https://d78hovzzqqtsb.cloudfront.net/

  • アジアパシフィック (ソウル) — https://dtyv4uwoh7ynt.cloudfront.net/

  • アジアパシフィック (シンガポール) — https://d3qzmd7y07pz0i.cloudfront.net/

  • アジアパシフィック (シドニー) — https://dwcpoxuuza83q.cloudfront.net/

  • アジアパシフィック (東京) — https://d2c2t8mxjhq5z1.cloudfront.net/

  • カナダ (中部) — https://d2wfbsypmqjmog.cloudfront.net/

  • 欧州 (フランクフルト) — https://d1whcm49570jjw.cloudfront.net/

  • 欧州 (アイルランド) — https://d3pgffbf39h4k4.cloudfront.net/

  • 欧州 (ロンドン) — https://d16q6638mh01s7.cloudfront.net/

  • 南米 (サンパウロ) — https://d2lh2qc5bdoq4b.cloudfront.net/

AWS GovCloud (米国西部) リージョン

  • お客様のディレクトリ設定:

    https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<directory ID>

  • お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

    https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<directory ID>

  • ログインページのスタイル設定に使用される CSS ファイル:

    https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

  • ログインページの JavaScript ファイル:

    該当しません

Forrester Log Service https://fls-na.amazon.com/
ヘルスチェック (DRP) サーバー ヘルスチェックサーバー
登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) https://s3.amazonaws.com
ユーザーログインページ

https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)

AWS GovCloud (米国西部) リージョン

https://login.us-gov-home.awsapps.com/directory/<directory id>/ (<directory id> はお客様のドメイン)

WS ブローカー

ドメイン:

  • https://ws-broker-service.us-east-1.amazonaws.com

  • https://ws-broker-service-fips.us-east-1.amazonaws.com

  • https://ws-broker-service.us-west-2.amazonaws.com

  • https://ws-broker-service-fips.us-west-2.amazonaws.com

  • https://ws-broker-service.ap-south-1.amazonaws.com

  • https://ws-broker-service.ap-northeast-2.amazonaws.com

  • https://ws-broker-service.ap-southeast-1.amazonaws.com

  • https://ws-broker-service.ap-southeast-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-1.amazonaws.com

  • https://ws-broker-service.ca-central-1.amazonaws.com

  • https://ws-broker-service.eu-central-1.amazonaws.com

  • https://ws-broker-service.eu-west-1.amazonaws.com

  • https://ws-broker-service.eu-west-2.amazonaws.com

  • https://ws-broker-service.sa-east-1.amazonaws.com

  • https://ws-broker-service.us-gov-west-1.amazonaws.com

  • https://ws-broker-service-fips.us-gov-west-1.amazonaws.com

WorkSpaces API エンドポイント

ドメイン:

  • https://workspaces.us-east-1.amazonaws.com

  • https://workspaces-fips.us-east-1.amazonaws.com

  • https://workspaces.us-west-2.amazonaws.com

  • https://workspaces-fips.us-west-2.amazonaws.com

  • https://workspaces.ap-south-1.amazonaws.com

  • https://workspaces.ap-northeast-2.amazonaws.com

  • https://workspaces.ap-southeast-1.amazonaws.com

  • https://workspaces.ap-southeast-2.amazonaws.com

  • https://workspaces.ap-northeast-1.amazonaws.com

  • https://workspaces.ca-central-1.amazonaws.com

  • https://workspaces.eu-central-1.amazonaws.com

  • https://workspaces.eu-west-1.amazonaws.com

  • https://workspaces.eu-west-2.amazonaws.com

  • https://workspaces.sa-east-1.amazonaws.com

  • https://workspaces.us-gov-west-1.amazonaws.com

  • https://workspaces-fips.us-gov-west-1.amazonaws.com

PCoIP の許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
PCoIP Session Gateway (PSG) PCoIP ゲートウェイサーバー
セッションブローカー(PCM)

ドメイン:

  • https://skylight-cm.us-east-1.amazonaws.com

  • https://skylight-cm-fips.us-east-1.amazonaws.com

  • https://skylight-cm.us-west-2.amazonaws.com

  • https://skylight-cm-fips.us-west-2.amazonaws.com

  • https://skylight-cm.ap-south-1.amazonaws.com

  • https://skylight-cm.ap-northeast-2.amazonaws.com

  • https://skylight-cm.ap-southeast-1.amazonaws.com

  • https://skylight-cm.ap-southeast-2.amazonaws.com

  • https://skylight-cm.ap-northeast-1.amazonaws.com

  • https://skylight-cm.ca-central-1.amazonaws.com

  • https://skylight-cm.eu-central-1.amazonaws.com

  • https://skylight-cm.eu-west-1.amazonaws.com

  • https://skylight-cm.eu-west-2.amazonaws.com

  • https://skylight-cm.sa-east-1.amazonaws.com

  • https://skylight-cm.us-gov-west-1.amazonaws.com

  • https://skylight-cm-fips.us-gov-west-1.amazonaws.com

PCoIP のウェブアクセス TURN サーバー

サーバー:

  • turn:*.us-east-1.rdn.amazonaws.com

  • turn:*.us-west-2.rdn.amazonaws.com

  • Web Access は現在、アジアパシフィック (ムンバイ) リージョンではご利用いただけません。

  • turn:*.ap-northeast-2.rdn.amazonaws.com

  • turn:*.ap-southeast-1.rdn.amazonaws.com

  • turn:*.ap-southeast-2.rdn.amazonaws.com

  • turn:*.ap-northeast-1.rdn.amazonaws.com

  • turn:*.ca-central-1.rdn.amazonaws.com

  • turn:*.eu-central-1.rdn.amazonaws.com

  • turn:*.eu-west-1.rdn.amazonaws.com

  • turn:*.eu-west-2.rdn.amazonaws.com

  • turn:*.sa-east-1.rdn.amazonaws.com

WorkSpaces Streaming Protocol (WSP) の許可リストに追加するドメインと IP アドレス
カテゴリ ドメインまたは IP アドレス
WSP セッションゲートウェイ (WSG) WSP ゲートウェイサーバー
WSP のWeb Access TURN サーバー

サーバー:

  • この機能は WSP では使用できません。

ヘルスチェックサーバー

WorkSpaces クライアントアプリケーションは、ポート 4172 および 4195 でヘルスチェックを行います。これらのチェックで、TCP または UDP トラフィックが WorkSpaces サーバーからクライアントアプリケーションにストリーミングされるかどうかを検証します。これらのチェックが正常に完了するには、ファイアウォールポリシーで、以下のリージョン別ヘルスチェックサーバーの IP アドレスへのアウトバウンドトラフィックを許可する必要があります。

リージョン ヘルスチェックホスト名 IP アドレス
米国東部 (バージニア北部) drp-iad.amazonworkspaces.com

3.209.215.252

3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

米国西部 (オレゴン) drp-pdx.amazonworkspaces.com

34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

アジアパシフィック (ムンバイ) drp-bom.amazonworkspaces.com

13.127.57.82

13.234.250.73

アジアパシフィック (ソウル) drp-icn.amazonworkspaces.com

13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com

3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com

3.24.11.127

13.237.232.125

アジアパシフィック (東京) drp-nrt.amazonworkspaces.com

18.178.102.247

54.64.174.128

カナダ (中部) drp-yul.amazonworkspaces.com

52.60.69.16

52.60.80.237

52.60.173.117

52.60.201.0

欧州 (フランクフルト) drp-fra.amazonworkspaces.com

52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

欧州 (アイルランド) drp-dub.amazonworkspaces.com

18.200.177.86

52.48.86.38

54.76.137.224

欧州 (ロンドン) drp-lhr.amazonworkspaces.com

35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

南米 (サンパウロ) drp-gru.amazonworkspaces.com

18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWS GovCloud (米国西部) drp-pdt.amazonworkspaces.com

52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

PCoIP ゲートウェイサーバー

WorkSpaces は、PCoIP を使用してポート 4172 を介してクライアントにデスクトップセッションをストリーミングします。PCoIP ゲートウェイサーバーの場合、WorkSpaces は狭い範囲の Amazon EC2 パブリック IPv4 アドレスを使用します。そのため、WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていないのでご注意ください。

注記

当社では、 IP Address Ranges ip-ranges.json ファイルの AWS IP アドレス範囲を定期的に更新しています。WorkSpaces の最新の IP アドレス範囲を取り込むには、service: "WORKSPACES_GATEWAYS"ip-ranges.json ファイルでエントリを見つけます。

リージョン パブリック IP アドレス範囲
米国東部 (バージニア北部)

3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

米国西部 (オレゴン)

35.80.88.0 - 35.80.95.255

44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

アジアパシフィック (ムンバイ)

13.126.243.0 - 13.126.243.255

アジアパシフィック (ソウル)

3.34.37.0 - 3.34.37.255

3.34.38.0 - 3.34.39.255

13.124.247.0 - 13.124.247.255

アジアパシフィック (シンガポール)

18.141.152.0 - 18.141.152.255

18.141.154.0 - 18.141.155.255

52.76.127.0 - 52.76.127.255

アジアパシフィック (シドニー)

3.25.43.0 - 3.25.43.255

3.25.44.0 - 3.25.45.255

54.153.254.0 - 54.153.254.255

アジアパシフィック (東京)

18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

カナダ (中部)

15.223.100.0 - 15.223.100.255

15.223.102.0 - 15.223.103.255

35.183.255.0 - 35.183.255.255

欧州 (フランクフルト)

18.156.52.0 - 18.156.52.255

18.156.54.0 - 18.156.55.255

52.59.127.0 - 52.59.127.255

欧州 (アイルランド)

3.249.28.0 - 3.249.29.255

52.19.124.0 - 52.19.125.255

欧州 (ロンドン)

18.132.21.0 - 18.132.21.255

18.132.22.0 - 18.132.23.255

35.176.32.0 - 35.176.32.255

南米 (サンパウロ)

18.230.103.0 - 18.230.103.255

18.230.104.0 - 18.230.105.255

54.233.204.0 - 54.233.204.255

AWS GovCloud (米国西部)

52.61.193.0 - 52.61.193.255

WSP ゲートウェイサーバー

重要

2020 年 6 月から、WorkSpaces は WSP WorkSpaces のデスクトップセッションをポート 4172 ではなくポート 4195 経由でクライアントにストリーミングします。WSP WorkSpaces を使用する場合は、ポート 4195 がトラフィックに対して開かれていることを確認してください。

WorkSpaces は、WSP ゲートウェイサーバーに狭い範囲の Amazon EC2 パブリック IPv4 アドレスを使用します。そのため、WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていないのでご注意ください。

リージョン パブリック IP アドレス範囲
米国東部 (バージニア北部) 3.227.4.0/22
米国西部 (オレゴン) 34.223.96.0/22
アジアパシフィック (ムンバイ) 65.1.156.0/22
アジアパシフィック (ソウル) 3.35.160.0/22
アジアパシフィック (シンガポール) 13.212.132.0/22
アジアパシフィック (シドニー) 3.25.248.0/22
アジアパシフィック (東京) 3.114.164.0/22
カナダ (中部) 3.97.20.0/22
欧州 (フランクフルト) 18.192.216.0/22
欧州 (アイルランド) 3.248.176.0/22
欧州 (ロンドン) 18.134.68.0/22
南米 (サンパウロ) 15.228.64.0/22
AWS GovCloud (米国西部) 3.32.139.0/24

ネットワークインターフェイス

各 WorkSpace に次のネットワークインターフェイスがあります。

  • プライマリネットワークインターフェイス (eth1) は、VPC およびインターネット内でのリソースへの接続を可能にし、WorkSpace とディレクトリとの結合に使用されます。

  • 管理ネットワークインターフェイス (eth0) は、セキュアな WorkSpaces 管理ネットワークに接続します。WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、WorkSpaces が WorkSpace を管理するために使用されます。

WorkSpaces は、WorkSpaces が作成されたリージョンに応じて、さまざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが登録されるときに、WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。

警告

WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。そうすると、WorkSpace にアクセスできなくなったり、インターネットにアクセスできなくなったりすることがあります。たとえば、ディレクトリレベルで Elastic IP アドレスの自動割り当てを有効にしている場合、(Amazon が提供するプールからの) Elastic IP アドレスは、起動時に WorkSpace に割り当てられます。ただし、所有している Elastic IP アドレスを WorkSpace に関連付けた後、その Elastic IP アドレスと WorkSpace との関連付けを解除すると、WorkSpace はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。

Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpace に関連付けるには、WorkSpace を再構築する必要があります。WorkSpace を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpace に関連付ける必要があります。

管理インターフェイスの IP 範囲

次の表は、管理ネットワークインターフェイスで使用される IP アドレス範囲の一覧です。

注記
  • ライセンス持ち込み (BYOL) Windows WorkSpaces を使用している場合は、次の表の IP アドレスの範囲は適用されません。代わりに、PCoIP BYOL WorkSpaces は、すべての AWS リージョンの管理インターフェイストラフィックに 54.239.224.0/20 IP アドレス範囲を使用します。WSP BYOL Windows WorkSpaces の場合、すべての AWS リージョンで 54.239.224.0/20 および 10.0.0.0/8 の IP アドレス範囲の両方が適用されます。(これらの IP アドレス範囲は、BYOL WorkSpaces の管理トラフィック用に選択した /16 CIDR ブロックに加えて使用されます。)

  • パブリックバンドルから作成された WSP WorkSpaces を使用している場合、次の表に示す PCoIP/WSP 範囲に加えて、すべての AWS リージョンの管理インターフェイストラフィックに 10.0.0.0/8 の IP アドレス範囲も適用されます。

リージョン IP アドレス範囲
米国東部 (バージニア北部)

PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16

WSP: 10.0.0.0/8

米国西部 (オレゴン)

PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、および 198.19.0.0/16

WSP: 10.0.0.0/8

アジアパシフィック (ムンバイ)

PCoIP/WSP: 192.168.0.0/16

WSP: 10.0.0.0/8

アジアパシフィック (ソウル)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

アジアパシフィック (シンガポール)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

アジアパシフィック (シドニー)

PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、および 198.19.0.0/16

WSP: 10.0.0.0/8

アジアパシフィック (東京)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

カナダ (中部)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

欧州 (フランクフルト)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

欧州 (アイルランド)

PCoIP/WSP: 172.31.0.0/16、192.168.0.0/16、および 198.19.0.0/16

WSP: 10.0.0.0/8

欧州 (ロンドン)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

南米 (サンパウロ)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

AWS GovCloud (米国西部)

PCoIP/WSP: 198.19.0.0/16

WSP: 10.0.0.0/8

管理インターフェイスポート

次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。

  • ポート 4172 のインバウンド TCP。これは、PCoIP プロトコルでストリーミング接続を確立するために使用されます。

  • ポート 4172 のインバウンド UDP。これは、PCoIP プロトコルでユーザー入力をストリーミングするために使用されます。

  • ポート 4489 のインバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。(Web Access クライアントは、WSP プロトコルについてはサポートされていません。)

  • ポート 8200 のインバウンド TCP。これは、PCoIP プロトコルでの WorkSpace の管理および設定に使用されます。

  • ポート 8201-8250 のインバウンド TCP。これらのポートは、ストリーミング接続の確立および WSP プロトコルでのユーザー入力のストリーミングに使用されます。

  • ポート 8443 および 9997 のアウトバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。(Web Access クライアントは、WSP プロトコルについてはサポートされていません。)

  • ポート 3478、4172、および 4195 のアウトバウンド UDP。これはウェブクライアントを使用したアクセスに使用されます。(Web Access クライアントは、WSP プロトコルについてはサポートされていません。)

  • ポート 50002 および 55002 のアウトバウンド UDP。これはストリーミングに使用されます。ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 50002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポート 49152~65535 を開放する必要があります。

  • EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。

  • パブリックバンドルに基づく WorkSpaces の Windows アクティベーション用の Microsoft KMS へのアクセスを許可する、ポート 1688 での IP アドレス 169.254.169.250 および 169.254.169.251 への送信 TCP。ライセンス持ち込み (BYOL) Windows WorkSpaces を使用している場合は、Windows アクティベーションのために独自の KMS サーバーへのアクセスを許可する必要があります。

  • ポート 1688 での IP アドレス 54.239.236.220 への送信 TCP を使用して、BYOL WorkSpaces の Office 用 Microsoft KMS のアクティベーションのためのアクセスを許可します。

    WorkSpaces パブリックバンドルの 1 つを通じて Office を使用している場合は、Office アクティベーション用の Microsoft KMS の IP アドレスは異なります。その IP アドレスを特定するには、WorkSpace の管理インターフェイスの IP アドレスを検索し、最後の 2 つのオクテットを 64.250 に置き換えます。例えば、管理インターフェイスの IP アドレスが 192.168.3.5 の場合、Microsoft KMS Office アクティベーションの IP アドレスは 192.168.64.250 です。

  • WorkSpace ホストがプロキシサーバーを使用するように設定されている場合における、WSP WorkSpaces 用の IP アドレス 127.0.0.2 への送信 TCP。

通常の状況では、WorkSpaces サービスは WorkSpaces に対してこれらのポートを設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

プライマリインターフェイスポート

ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイスで、次のポートが開いている必要があります。

  • インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、WorkSpaces のセキュリティグループに手動で追加する必要があります。

    • TCP 80(HTTP)

    • TCP 443(HTTPS)

  • ディレクトリコントローラーと通信するには、WorkSpaces VPC とディレクトリコントローラーの間で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service によって作成されたセキュリティグループでは、これらのポートが正しく設定されます。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調整が必要になる場合があります。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos 認証

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - RPC 用ダイナミックポート

    これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。