Amazon WorkSpaces の IP アドレスとポートの要件 - Amazon WorkSpaces

Amazon WorkSpaces の IP アドレスとポートの要件

WorkSpace に接続するためには、Amazon WorkSpaces クライアントが接続されるネットワークに複数の AWS サービス(サブセットとして配置)の IP アドレス範囲に開放された特定のポートが存在する必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じポートが、クライアントで実行されているファイアウォールで開かれている必要があります。異なるリージョンの AWS IP アドレス範囲の詳細については、アマゾン ウェブ サービス全般のリファレンスで「AWS の IP アドレス範囲」を参照してください。

アーキテクチャ図については、「WorkSpaces のアーキテクチャ」を参照してください。その他のアーキテクチャ図については、ホワイトペーパー「Amazon WorkSpaces のデプロイのベストプラクティス」を参照してください。

クライアントアプリケーションのポート

Amazon WorkSpaces クライアントアプリケーションは、次のポートでインバウンドおよびアウトバウンドのアクセスが必要です。

ポート 443 (TCP)

このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用をサポートします。プロキシサーバーの使用を有効にするには、クライアントアプリケーションを開き、[Advanced Settings] で、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスとポートを指定して、[Save] を選択します。

このポートは、次の IP アドレス範囲に開放する必要があります。

  • AMAZON リージョンの GLOBAL サブセット。

  • WorkSpace が存在するリージョンの AMAZON サブセット。

  • AMAZON リージョンの us-east-1 サブセット。

  • AMAZON リージョンの us-west-2 サブセット。

  • S3 リージョンの us-west-2 サブセット。

ポート 4172 (UDP と TCP)

このポートは WorkSpace デスクトップとヘルスチェックのストリーミングに使用されます。デスクトップクライアントアプリケーションは、ポート 4172 のトラフィックでのプロキシサーバーの使用をサポートしていません。ポート 4172 への直接接続が必要です。このポートは、WorkSpace があるリージョンの PCoIP ゲートウェイの IP アドレス範囲とヘルスチェックサーバーに対して開放する必要があります。詳細については、「PCoIP ヘルスチェックサーバー」および「PCoIP ゲートウェイ」を参照してください。

ウェブアクセスのポート

Amazon WorkSpaces ウェブアクセスは、次のポートでインバウンドおよびアウトバウンドアクセスする必要があります。

ポート 53 (UDP)

このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 80 (UDP と TCP)

このポートは https://clients.amazonworkspaces.com への最初の接続に使用され、その後に HTTPS に切り替えられます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 443 (UDP と TCP)

このポートは、HTTPS を使用して登録および認証に使用されます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

通常、ウェブブラウザは、ストリーミングトラフィックに使用するために、高範囲のソースポートをランダムに選択します。Amazon WorkSpaces ウェブアクセスは、ブラウザが選択したポートを制御できません。このポートへのリターントラフィックが許可されていることを確認する必要があります。

Amazon WorkSpaces ウェブアクセスは、デスクトップストリームの場合は TCP より UDP を優先しますが、UDP が利用できない場合は TCP に戻ります。ウェブアクセスは、53、80、および 443 以外のすべての UDP ポートがブロックされている場合、TCP 接続を使用して Chrome および Firefox で動作します。

ホワイトリストに登録するドメインとポート

Amazon WorkSpaces クライアントアプリケーションが Amazon WorkSpaces サービスにアクセスできるようにするには、クライアントがサービスへのアクセスを試みるネットワーク上のホワイトリストに、以下のドメインとポートを登録している必要があります。

ホワイトリストに登録するドメインとポート
カテゴリ ホワイトリストに登録
キャプチャ https://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新
  • https://d2td7dqidlhjx7.cloudfront.net/

  • AWS GovCloud (US-West) リージョン内:

    https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

接続の確認

https://connectivity.amazonworkspaces.com/

デバイスメトリクス(1.0 以上および 2.0 以上の WorkSpaces クライアントアプリケーション用) https://device-metrics-us-2.amazon.com/
クライアントメトリクス(3.0 以上の WorkSpaces クライアントアプリケーション用)

ドメイン:

  • https://skylight-client-ds.us-east-1.amazonaws.com

  • https://skylight-client-ds.us-west-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-2.amazonaws.com

  • https://skylight-client-ds.ap-southeast-1.amazonaws.com

  • https://skylight-client-ds.ap-southeast-2.amazonaws.com

  • https://skylight-client-ds.ap-northeast-1.amazonaws.com

  • https://skylight-client-ds.ca-central-1.amazonaws.com

  • https://skylight-client-ds.eu-central-1.amazonaws.com

  • https://skylight-client-ds.eu-west-1.amazonaws.com

  • https://skylight-client-ds.eu-west-2.amazonaws.com

  • https://skylight-client-ds.sa-east-1.amazonaws.com

  • AWS GovCloud (US-West) リージョン内:

    https://skylight-client-ds.us-gov-west-1.amazonaws.com

ディレクトリ設定

WorkSpace にログインする前のクライアントからお客様のディレクトリへの認証:

  • https://d32i4gd7pg4909.cloudfront.net/prod/<region>/<directory ID>

MacOS クライアントからの接続:

  • https://d32i4gd7pg4909.cloudfront.net/

お客様のディレクトリ設定:

  • https://d21ui22avrxoh6.cloudfront.net/prod/<region>/<directory ID>

お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

  • https://d1cbg795sa4g1u.cloudfront.net/prod/<region>/<directory ID>

ログインページのスタイル設定に使用される CSS ファイル:

  • https://d3s98kk2h6f4oh.cloudfront.net/

  • https://dyqsoz7pkju4e.cloudfront.net/

ログインページの JavaScript ファイル:

  • 米国東部(バージニア北部) — https://d32i4gd7pg4909.cloudfront.net/

  • 米国西部 (オレゴン) — https://d18af777lco7lp.cloudfront.net/

  • アジアパシフィック (ソウル) — https://dtyv4uwoh7ynt.cloudfront.net/

  • アジアパシフィック (シンガポール) — https://d3qzmd7y07pz0i.cloudfront.net/

  • アジアパシフィック (シドニー) — https://dwcpoxuuza83q.cloudfront.net/

  • アジアパシフィック (東京) — https://d2c2t8mxjhq5z1.cloudfront.net/

  • カナダ (中部) — https://d2wfbsypmqjmog.cloudfront.net/

  • 欧州 (フランクフルト) — https://d1whcm49570jjw.cloudfront.net/

  • 欧州 (アイルランド) — https://d3pgffbf39h4k4.cloudfront.net/

  • 欧州 (ロンドン) — https://d16q6638mh01s7.cloudfront.net/

  • 南米 (サンパウロ) — https://d2lh2qc5bdoq4b.cloudfront.net/

AWS GovCloud (US-West) リージョン内:

  • お客様のディレクトリ設定:

    https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<directory ID>

  • お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

    https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<directory ID>

  • ログインページのスタイル設定に使用される CSS ファイル:

    https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

  • ログインページの JavaScript ファイル:

    該当しません

Forrester Log Service https://fls-na.amazon.com/
PCoIP ヘルスチェック (DRP) PCoIP ヘルスチェックサーバー
PCoIP Session Gateway (PSG) PCoIP ゲートウェイ
登録の依存関係 (ウェブアクセスおよび Teradici PCoIP ゼロクライアントの場合) https://s3.amazonaws.com
セッションブローカー(PCM)

ドメイン:

  • https://skylight-cm.us-east-1.amazonaws.com

  • https://skylight-cm-fips.us-east-1.amazonaws.com

  • https://skylight-cm.us-west-2.amazonaws.com

  • https://skylight-cm-fips.us-west-2.amazonaws.com

  • https://skylight-cm.ap-northeast-2.amazonaws.com

  • https://skylight-cm.ap-southeast-1.amazonaws.com

  • https://skylight-cm.ap-southeast-2.amazonaws.com

  • https://skylight-cm.ap-northeast-1.amazonaws.com

  • https://skylight-cm.ca-central-1.amazonaws.com

  • https://skylight-cm.eu-central-1.amazonaws.com

  • https://skylight-cm.eu-west-1.amazonaws.com

  • https://skylight-cm.eu-west-2.amazonaws.com

  • https://skylight-cm.sa-east-1.amazonaws.com

  • https://skylight-cm.us-gov-west-1.amazonaws.com

  • https://skylight-cm-fips.us-gov-west-1.amazonaws.com

ユーザーログインページ https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)
ウェブアクセス TURN サーバー

サーバー:

  • turn:*.us-east-1.rdn.amazonaws.com

  • turn:*.us-west-2.rdn.amazonaws.com

  • turn:*.ap-northeast-2.rdn.amazonaws.com

  • turn:*.ap-southeast-1.rdn.amazonaws.com

  • turn:*.ap-southeast-2.rdn.amazonaws.com

  • turn:*.ap-northeast-1.rdn.amazonaws.com

  • turn:*.ca-central-1.rdn.amazonaws.com

  • turn:*.eu-central-1.rdn.amazonaws.com

  • turn:*.eu-west-1.rdn.amazonaws.com

  • turn:*.eu-west-2.rdn.amazonaws.com

  • turn:*.sa-east-1.rdn.amazonaws.com

WS ブローカー

ドメイン:

  • https://ws-broker-service.us-east-1.amazonaws.com

  • https://ws-broker-service-fips.us-east-1.amazonaws.com

  • https://ws-broker-service.us-west-2.amazonaws.com

  • https://ws-broker-service-fips.us-west-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-2.amazonaws.com

  • https://ws-broker-service.ap-southeast-1.amazonaws.com

  • https://ws-broker-service.ap-southeast-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-1.amazonaws.com

  • https://ws-broker-service.ca-central-1.amazonaws.com

  • https://ws-broker-service.eu-central-1.amazonaws.com

  • https://ws-broker-service.eu-west-1.amazonaws.com

  • https://ws-broker-service.eu-west-2.amazonaws.com

  • https://ws-broker-service.sa-east-1.amazonaws.com

  • https://ws-broker-service.us-gov-west-1.amazonaws.com

  • https://ws-broker-service-fips.us-gov-west-1.amazonaws.com

WorkSpaces API エンドポイント

ドメイン:

  • https://workspaces.us-east-1.amazonaws.com

  • https://workspaces-fips.us-east-1.amazonaws.com

  • https://workspaces.us-west-2.amazonaws.com

  • https://workspaces-fips.us-west-2.amazonaws.com

  • https://workspaces.ap-northeast-2.amazonaws.com

  • https://workspaces.ap-southeast-1.amazonaws.com

  • https://workspaces.ap-southeast-2.amazonaws.com

  • https://workspaces.ap-northeast-1.amazonaws.com

  • https://workspaces.ca-central-1.amazonaws.com

  • https://workspaces.eu-central-1.amazonaws.com

  • https://workspaces.eu-west-1.amazonaws.com

  • https://workspaces.eu-west-2.amazonaws.com

  • https://workspaces.sa-east-1.amazonaws.com

  • https://workspaces.us-gov-west-1.amazonaws.com

  • https://workspaces-fips.us-gov-west-1.amazonaws.com

PCoIP ヘルスチェックサーバー

Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 で PCoIP のヘルスチェックを行います。これらのチェックで、TCP または UDP トラフィックが Amazon WorkSpaces サーバーからクライアントアプリケーションにストリーミングされるかどうかを検証します。これらのチェックが正常に完了するには、ファイアウォールポリシーで、以下のリージョン別 PCoIP ヘルスチェックサーバーの IP アドレスへのアウトバウンドトラフィックを許可する必要があります。

サービス対象 ヘルスチェックホスト名 IP アドレス
米国東部(バージニア北部) drp-iad.amazonworkspaces.com

3.209.215.252

3.212.50.30

3.225.55.35

3.226.24.234

34.200.29.95

52.200.219.150

米国西部 (オレゴン) drp-pdx.amazonworkspaces.com

34.217.248.177

52.34.160.80

54.68.150.54

54.185.4.125

54.188.171.18

54.244.158.140

アジアパシフィック (ソウル) drp-icn.amazonworkspaces.com

13.124.44.166

13.124.203.105

52.78.44.253

52.79.54.102

アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com

3.0.212.144

18.138.99.116

18.140.252.123

52.74.175.118

アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com

3.24.11.127

13.237.232.125

アジアパシフィック (東京) drp-nrt.amazonworkspaces.com

18.178.102.247

54.64.174.128

カナダ (中部) drp-yul.amazonworkspaces.com

52.60.69.16

52.60.80.237

52.60.173.117

52.60.201.0

欧州 (フランクフルト) drp-fra.amazonworkspaces.com

52.59.191.224

52.59.191.225

52.59.191.226

52.59.191.227

欧州 (アイルランド) drp-dub.amazonworkspaces.com

18.200.177.86

52.48.86.38

54.76.137.224

欧州 (ロンドン) drp-lhr.amazonworkspaces.com

35.176.62.54

35.177.255.44

52.56.46.102

52.56.111.36

南米 (サンパウロ) drp-gru.amazonworkspaces.com

18.231.0.105

52.67.55.29

54.233.156.245

54.233.216.234

AWS GovCloud (US-West) drp-pdt.amazonworkspaces.com

52.61.60.65

52.61.65.14

52.61.88.170

52.61.137.87

52.61.155.110

52.222.20.88

PCoIP ゲートウェイ

Amazon WorkSpaces は、PCoIP を使用してポート 4172 を介してクライアントにデスクトップセッションをストリーミングします。PCoIP ゲートウェイサービスでは、Amazon WorkSpaces は PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IPv4 アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。現時点では、 Amazon WorkSpaces クライアントは接続オプションとして IPv6 アドレスをサポートしていません。

注記

AWS では、AWS IP Address Ranges ip-ranges.json ファイルの IP アドレス範囲を定期的に更新しています。Amazon WorkSpaces の最新の IP アドレス範囲を取り込むには、ip-ranges.json ファイルで service: "WORKSPACES_GATEWAYS" のエントリを見つけます。

リージョン パブリック IP アドレス範囲
米国東部(バージニア北部)

3.217.228.0 - 3.217.231.255

3.235.112.0 - 3.235.119.255

52.23.61.0 - 52.23.62.255

米国西部 (オレゴン)

44.234.54.0 - 44.234.55.255

54.244.46.0 - 54.244.47.255

アジアパシフィック (ソウル)

13.124.247.0 - 13.124.247.255

アジアパシフィック (シンガポール)

52.76.127.0 - 52.76.127.255

アジアパシフィック (シドニー)

54.153.254.0 - 54.153.254.255

アジアパシフィック (東京)

18.180.178.0 - 18.180.178.255

18.180.180.0 - 18.180.181.255

54.250.251.0 - 54.250.251.255

カナダ (中部)

35.183.255.0 - 35.183.255.255

欧州 (フランクフルト)

52.59.127.0 - 52.59.127.255

欧州 (アイルランド)

52.19.124.0 - 52.19.125.255

欧州 (ロンドン)

35.176.32.0 - 35.176.32.255

南米 (サンパウロ)

54.233.204.0 - 54.233.204.255

AWS GovCloud (US-West)

52.61.193.0 - 52.61.193.255

ネットワークインターフェイス

各 WorkSpace に次のネットワークインターフェイスがあります。

  • プライマリネットワークインターフェイス (eth1) は、VPC およびインターネット内でのリソースへの接続を可能にし、WorkSpace とディレクトリとの結合に使用されます。

  • 管理ネットワークインターフェイス (eth0) は、セキュアな Amazon WorkSpaces 管理ネットワークに接続します。Amazon WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、Amazon WorkSpaces が WorkSpace を管理するために使用されます。

Amazon WorkSpaces は、WorkSpaces が作成されたリージョンに応じて、さまざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが登録されるときに、Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。

警告

WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。そうすると、WorkSpace にアクセスできなくなったり、インターネットにアクセスできなくなったりすることがあります。たとえば、ディレクトリレベルで Elastic IP アドレスの自動割り当てを有効にしている場合、(Amazon が提供するプールからの) Elastic IP アドレスは、起動時に WorkSpace に割り当てられます。ただし、所有している Elastic IP アドレスを WorkSpace に関連付けた後、その Elastic IP アドレスと WorkSpace との関連付けを解除すると、WorkSpace はパブリック IP アドレスを失い、Amazon が提供するプールから新しいアドレスを自動的に取得しません。

Amazon が提供するプールからの新しいパブリック IP アドレスを WorkSpace に関連付けるには、WorkSpace を再構築する必要があります。WorkSpace を再構築しない場合は、所有する別の Elastic IP アドレスを WorkSpace に関連付ける必要があります。

管理インターフェイスの IP 範囲

次の表は、管理ネットワークインターフェイスで使用される IP アドレス範囲の一覧です。

リージョン IP アドレス範囲
米国東部(バージニア北部) 192.168.0.0/16 および 198.19.0.0/16
米国西部 (オレゴン) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (ソウル) 198.19.0.0/16
アジアパシフィック (シンガポール) 198.19.0.0/16
アジアパシフィック (シドニー) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (東京) 198.19.0.0/16
カナダ (中部) 198.19.0.0/16
欧州 (フランクフルト) 198.19.0.0/16
欧州 (アイルランド) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
欧州 (ロンドン) 198.19.0.0/16
南米 (サンパウロ) 198.19.0.0/16
AWS GovCloud (US-West) 198.19.0.0/16

管理インターフェイスポート

次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。

  • ポート 4172 のインバウンド TCP。これはストリーミング接続の確立に使用されます。

  • ポート 4172 のインバウンド UDP。これはユーザー入力をストリーミングするために使用されます。

  • ポート 4489 のインバウンド TCP。これはウェブクライアントを使用したアクセス向けです。

  • ポート 8200 のインバウンド TCP。これは、WorkSpace の管理と設定に使用されます。

  • ポート 8443 および 9997 のアウトバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。

  • ポート 3478 および 4172 のアウトバウンド UDP。これはウェブクライアントを使用したアクセスに使用されます。

  • ポート 50002 および 55002 のアウトバウンド UDP。これは PCoIP のストリーミングに使用されます。ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 50002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポート 49152~65535 を開放する必要があります。

  • EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。

  • Microsoft KMS for Windows および Office のアクティベーションへのアクセスを許可する、ポート 1688 での IP アドレス 169.254.169.251 および 169.254.169.250 へのアウトバウンド TCP。

通常の状況では、Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

プライマリインターフェイスポート

ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイスで、次のポートが開いている必要があります。

  • インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、WorkSpaces のセキュリティグループに手動で追加する必要があります。

    • TCP 80(HTTP)

    • TCP 443(HTTPS)

  • ディレクトリコントローラと通信するには、WorkSpaces VPC とディレクトリコントローラの間で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service によって作成されたセキュリティグループでは、これらのポートが正しく設定されます。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調整が必要になる場合があります。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - Dynamic ports for RPC

    これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。