Amazon WorkSpaces
管理ガイド

Amazon WorkSpaces の IP アドレスとポートの要件

WorkSpace に接続するためには、Amazon WorkSpaces クライアントが接続されるネットワークに複数の AWS サービス(サブセットとして配置)の IP アドレス範囲に開放された特定のポートが存在する必要があります。これらのアドレス範囲は、AWS リージョンごとに異なります。これらと同じポートが、クライアントで実行されているファイアウォールで開かれている必要があります。異なるリージョンの AWS IP アドレス範囲の詳細については、アマゾン ウェブ サービス全般のリファレンスで「AWS の IP アドレス範囲」を参照してください。

クライアントアプリケーションのポート

Amazon WorkSpaces クライアントアプリケーションは、次のポートでアウトバウンドのアクセスが必要です。

ポート 443 (TCP)

このポートは、クライアントアプリケーションの更新、登録、認証に使用されます。デスクトップクライアントアプリケーションはポート 443 (HTTPS) トラフィックのプロキシサーバーの使用をサポートします。プロキシサーバーの使用を有効にするには、クライアントアプリケーションを開き、[Advanced Settings] で、[Use Proxy Server] をオンにし、プロキシサーバーのアドレスとポートを指定して、[Save] を選択します。

このポートは、次の IP アドレス範囲に開放する必要があります。

  • AMAZON リージョンの GLOBAL サブセット。

  • WorkSpace が存在するリージョンの AMAZON サブセット。

  • AMAZON リージョンの us-east-1 サブセット。

  • AMAZON リージョンの us-west-2 サブセット。

  • S3 リージョンの us-west-2 サブセット。

ポート 4172 (UDP と TCP)

このポートは WorkSpace デスクトップとヘルスチェックのストリーミングに使用されます。このポートは、WorkSpace があるリージョンの PCoIP ゲートウェイの IP アドレス範囲とヘルスチェックサーバーに対して開放する必要があります。詳細については、「PCoIP ヘルスチェックサーバー」および「PCoIP ゲートウェイ」を参照してください。

ウェブアクセスのポート

Amazon WorkSpaces ウェブアクセスは、次のポートでインバウンドおよびアウトバウンドアクセスする必要があります。

ポート 53 (UDP)

このポートは、DNS サーバーにアクセスするために使用されます。クライアントがパブリックドメイン名を解決できるように、DNS サーバーの IP アドレスを公開している必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポート要件はオプションです。

ポート 80 (UDP と TCP)

このポートは https://clients.amazonworkspaces.com への最初の接続に使用され、その後に HTTPS に切り替えられます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

ポート 443 (UDP と TCP)

このポートは、HTTPS を使用して登録および認証に使用されます。WorkSpace があるリージョンの EC2 サブセット内の IP アドレス範囲をすべて開放する必要があります。

通常、ウェブブラウザは、ストリーミングトラフィックに使用するために、高範囲のソースポートをランダムに選択します。Amazon WorkSpaces ウェブアクセスは、ブラウザが選択したポートを制御できません。このポートへのリターントラフィックが許可されていることを確認する必要があります。

Amazon WorkSpaces ウェブアクセスは、デスクトップストリームの場合は TCP より UDP を優先しますが、次のように UDP が利用できない場合は TCP に戻ります。

  • Amazon WorkSpaces ウェブアクセスは、TCP 接続を使用した 53、80、および 443 以外のすべての UDP ポートがブロックされている場合でも Chrome および Firefox で動作します。

ホワイトリストに登録するドメインとポート

Amazon WorkSpaces クライアントアプリケーションが Amazon WorkSpaces サービスにアクセスできるようにするには、クライアントがサービスへのアクセスを試みるネットワーク上のホワイトリストに、以下のドメインとポートを登録している必要があります。

ホワイトリストに登録するドメインとポート

カテゴリ ホワイトリストに登録
キャプチャ https://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新
  • https://d2td7dqidlhjx7.cloudfront.net/

  • AWS GovCloud (US-West) リージョン内:

    https://s3.amazonaws.com/workspaces-client-updates/prod/pdt/windows/WorkSpacesAppCast.xml

接続の確認 https://connectivity.amazonworkspaces.com/
デバイスメトリクス https://device-metrics-us-2.amazon.com/
ディレクトリ設定

WorkSpace にログインする前のクライアントからお客様のディレクトリへの認証:

  • https://d32i4gd7pg4909.cloudfront.net/prod/<region>/<directory ID>

MacOS クライアントからの接続:

  • https://d32i4gd7pg4909.cloudfront.net/

お客様のディレクトリ設定:

  • https://d21ui22avrxoh6.cloudfront.net/prod/<region>/<directory ID>

お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

  • https://d1cbg795sa4g1u.cloudfront.net/prod/<region>/<directory ID>

ログインページのスタイル設定に使用される CSS ファイル:

  • https://d3s98kk2h6f4oh.cloudfront.net/

  • https://dyqsoz7pkju4e.cloudfront.net/

ログインページの JavaScript ファイル:

  • 米国東部(バージニア北部) — https://d32i4gd7pg4909.cloudfront.net/

  • 米国西部 (オレゴン) — https://d18af777lco7lp.cloudfront.net/

  • アジアパシフィック (ソウル) — https://dtyv4uwoh7ynt.cloudfront.net/

  • アジアパシフィック (シンガポール) — https://d3qzmd7y07pz0i.cloudfront.net/

  • アジアパシフィック (シドニー) — https://dwcpoxuuza83q.cloudfront.net/

  • アジアパシフィック (東京) — https://d2c2t8mxjhq5z1.cloudfront.net/

  • カナダ (中部) — https://d2wfbsypmqjmog.cloudfront.net/

  • 欧州 (フランクフルト) — https://d1whcm49570jjw.cloudfront.net/

  • 欧州 (アイルランド) — https://d3pgffbf39h4k4.cloudfront.net/

  • 欧州 (ロンドン) — https://d16q6638mh01s7.cloudfront.net/

  • 南米 (サンパウロ) — https://d2lh2qc5bdoq4b.cloudfront.net/

AWS GovCloud (US-West) リージョン内:

  • お客様のディレクトリ設定:

    https://s3.amazonaws.com/workspaces-client-properties/prod/pdt/<directory ID>

  • お客様のディレクトリレベルの共同ブランド化に使用されるログインページのグラフィック:

    https://s3.amazonaws.com/workspaces-client-assets/prod/pdt/<directory ID>

  • ログインページのスタイル設定に使用される CSS ファイル:

    https://s3.amazonaws.com/workspaces-clients-css/workspaces_v2.css

  • ログインページの JavaScript ファイル:

    該当しません

Forrester Log Service https://fls-na.amazon.com/
PCoIP ヘルスチェック (DRP) PCoIP ヘルスチェックサーバー
PCoIP Session Gateway (PSG) PCoIP ゲートウェイ
登録の依存関係 https://s3.amazonaws.com
セッションブローカー(PCM)

ドメイン:

  • https://skylight-cm.us-east-1.amazonaws.com

  • https://skylight-cm-fips.us-east-1.amazonaws.com

  • https://skylight-cm.us-west-2.amazonaws.com

  • https://skylight-cm-fips.us-west-2.amazonaws.com

  • https://skylight-cm.ap-northeast-2.amazonaws.com

  • https://skylight-cm.ap-southeast-1.amazonaws.com

  • https://skylight-cm.ap-southeast-2.amazonaws.com

  • https://skylight-cm.ap-northeast-1.amazonaws.com

  • https://skylight-cm.ca-central-1.amazonaws.com

  • https://skylight-cm.eu-central-1.amazonaws.com

  • https://skylight-cm.eu-west-1.amazonaws.com

  • https://skylight-cm.eu-west-2.amazonaws.com

  • https://skylight-cm.sa-east-1.amazonaws.com

  • https://skylight-cm.us-gov-west-1.amazonaws.com

ユーザーログインページ https://<directory id>.awsapps.com/ (<directory id> はお客様のドメイン)
ウェブアクセス TURN サーバー

サーバー:

  • turn:*.us-east-1.rdn.amazonaws.com

  • turn:*.us-west-2.rdn.amazonaws.com

  • turn:*.ap-northeast-2.rdn.amazonaws.com

  • turn:*.ap-southeast-1.rdn.amazonaws.com

  • turn:*.ap-southeast-2.rdn.amazonaws.com

  • turn:*.ap-northeast-1.rdn.amazonaws.com

  • turn:*.ca-central-1.rdn.amazonaws.com

  • turn:*.eu-central-1.rdn.amazonaws.com

  • turn:*.eu-west-1.rdn.amazonaws.com

  • turn:*.eu-west-2.rdn.amazonaws.com

  • turn:*.sa-east-1.rdn.amazonaws.com

WS ブローカー

ドメイン:

  • https://ws-broker-service.us-east-1.amazonaws.com

  • https://ws-broker-service-fips.us-east-1.amazonaws.com

  • https://ws-broker-service.us-west-2.amazonaws.com

  • https://ws-broker-service-fips.us-west-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-2.amazonaws.com

  • https://ws-broker-service.ap-southeast-1.amazonaws.com

  • https://ws-broker-service.ap-southeast-2.amazonaws.com

  • https://ws-broker-service.ap-northeast-1.amazonaws.com

  • https://ws-broker-service.ca-central-1.amazonaws.com

  • https://ws-broker-service.eu-central-1.amazonaws.com

  • https://ws-broker-service.eu-west-1.amazonaws.com

  • https://ws-broker-service.eu-west-2.amazonaws.com

  • https://ws-broker-service.sa-east-1.amazonaws.com

  • https://ws-broker-service.us-gov-west-1.amazonaws.com

WorkSpaces API エンドポイント

ドメイン:

  • https://workspaces.us-east-1.amazonaws.com

  • https://workspaces-fips.us-east-1.amazonaws.com

  • https://workspaces.us-west-2.amazonaws.com

  • https://workspaces-fips.us-west-2.amazonaws.com

  • https://workspaces.ap-northeast-2.amazonaws.com

  • https://workspaces.ap-southeast-1.amazonaws.com

  • https://workspaces.ap-southeast-2.amazonaws.com

  • https://workspaces.ap-northeast-1.amazonaws.com

  • https://workspaces.ca-central-1.amazonaws.com

  • https://workspaces.eu-central-1.amazonaws.com

  • https://workspaces.eu-west-1.amazonaws.com

  • https://workspaces.eu-west-2.amazonaws.com

  • https://workspaces.sa-east-1.amazonaws.com

  • https://workspaces.us-gov-west-1.amazonaws.com

PCoIP ヘルスチェックサーバー

Amazon WorkSpaces クライアントアプリケーションは、ポート 4172 で PCoIP のヘルスチェックを行います。このチェックで、TCP または UDP トラフィックが Amazon WorkSpaces 稼働サーバーからクライアントアプリケーションにストリーミングされるかどうかを検証します。これを正常に行うには、ファイアウォールポリシーで以下のリージョンの PCoIP ヘルスチェックサーバーを考慮に入れておく必要があります。

リージョン ヘルスチェックサーバー
米国東部(バージニア北部) drp-iad.amazonworkspaces.com
米国西部 (オレゴン) drp-pdx.amazonworkspaces.com
アジアパシフィック (ソウル) drp-icn.amazonworkspaces.com
アジアパシフィック (シンガポール) drp-sin.amazonworkspaces.com
アジアパシフィック (シドニー) drp-syd.amazonworkspaces.com
アジアパシフィック (東京) drp-nrt.amazonworkspaces.com
カナダ (中部) drp-yul.amazonworkspaces.com
欧州 (フランクフルト) drp-fra.amazonworkspaces.com
欧州 (アイルランド) drp-dub.amazonworkspaces.com
欧州 (ロンドン) drp-lhr.amazonworkspaces.com
南米 (サンパウロ) drp-gru.amazonworkspaces.com
AWS GovCloud (US-West) drp-pdt.amazonworkspaces.com

PCoIP ゲートウェイ

Amazon WorkSpaces は、PCoIP を使用してポート 4172 を介してクライアントにデスクトップセッションをストリーミングします。Amazon WorkSpaces では、PCoIP ゲートウェイサーバー用に小さな Amazon EC2 パブリック IP アドレス範囲を使用します。そのため、Amazon WorkSpaces にアクセスするデバイスのファイアウォールポリシーを非常に細かく設定することができます。

リージョン パブリック IP アドレス範囲
米国東部(バージニア北部) 52.23.61.0 - 52.23.62.255、3.217.228.0 - 3.217.231.255
米国西部 (オレゴン) 54.244.46.0 - 54.244.47.255
アジアパシフィック (ソウル) 13.124.247.0 - 13.124.247.255
アジアパシフィック (シンガポール) 52.76.127.0 - 52.76.127.255
アジアパシフィック (シドニー) 54.153.254.0 - 54.153.254.255
アジアパシフィック (東京) 54.250.251.0 - 54.250.251.255
カナダ (中部) 35.183.255.0 - 35.183.255.255
欧州 (フランクフルト) 52.59.127.0 - 52.59.127.255
欧州 (アイルランド) 52.19.124.0 - 52.19.125.255
欧州 (ロンドン) 35.176.32.0 - 35.176.32.255
南米 (サンパウロ) 54.233.204.0 - 54.233.204.255
AWS GovCloud (US-West) 52.61.193.0 - 52.61.193.255

ネットワークインターフェイス

各 WorkSpace に次のネットワークインターフェイスがあります。

  • プライマリネットワークインターフェイスは、VPC 内だけでなくインターネットでのリソースへの接続を可能にし、WorkSpaces ディレクトリとの結合に使用されます。

  • 管理ネットワークインターフェイスは、セキュアな Amazon WorkSpaces 管理ネットワークに接続します。Amazon WorkSpaces クライアントへの WorkSpace デスクトップのインタラクティブなストリーミングと、Amazon WorkSpaces が WorkSpace を管理するために使用されます。

Amazon WorkSpaces は、WorkSpaces が作成されたリージョンに応じて、さまざまなアドレス範囲から管理ネットワークインターフェイス用の IP アドレスを選択します。ディレクトリが登録されるときに、Amazon WorkSpaces は VPC CIDR と VPC 内のルートテーブルをテストし、これらのアドレス範囲が競合するかどうかを確認します。リージョンで使用可能なすべてのアドレス範囲で競合が見つかった場合、エラーメッセージが表示され、ディレクトリは登録されません。ディレクトリが登録された後で VPC のルートテーブルを変更すると、競合が生じる可能性があります。

WorkSpace にアタッチされるネットワークインターフェイスを変更または削除しないでください。変更/削除すると、WorkSpace にアクセスできなくなる可能性があります。

管理インターフェイスの IP 範囲

次の表は、管理ネットワークインターフェイスで使用される IP アドレス範囲の一覧です。

リージョン IP アドレス範囲
米国東部(バージニア北部) 192.168.0.0/16 および 198.19.0.0/16
米国西部 (オレゴン) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (ソウル) 198.19.0.0/16
アジアパシフィック (シンガポール) 198.19.0.0/16
アジアパシフィック (シドニー) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
アジアパシフィック (東京) 198.19.0.0/16
カナダ (中部) 198.19.0.0/16
欧州 (フランクフルト) 198.19.0.0/16
欧州 (アイルランド) 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16
欧州 (ロンドン) 198.19.0.0/16
南米 (サンパウロ) 198.19.0.0/16
AWS GovCloud (US-West) 198.19.0.0/16

管理インターフェイスポート

次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。

  • ポート 4172 のインバウンド TCP。これはストリーミング接続の確立に使用されます。

  • ポート 4172 のインバウンド UDP。これはユーザー入力をストリーミングするために使用されます。

  • ポート 4489 のインバウンド TCP。これはウェブクライアントを使用したアクセス向けです。

  • ポート 8200 のインバウンド TCP。これは、WorkSpace の管理と設定に使用されます。

  • ポート 8443 および 9997 のアウトバウンド TCP。これはウェブクライアントを使用したアクセスに使用されます。

  • ポート 3478 および 4172 のアウトバウンド UDP。これはウェブクライアントを使用したアクセスに使用されます。

  • ポート 50002 および 55002 のアウトバウンド UDP。これは PCoIP のストリーミングに使用されます。ファイアウォールがステートフルフィルタリングを使用している場合、リターン通信用に一時ポート 50002 が自動的に開放されます。ファイアウォールがステートレスフィルタリングを使用する場合には、リターン通信用に一時ポート 49152~65535 を開放する必要があります。

  • EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。

  • Microsoft KMS for Windows および Office のアクティベーションへのアクセスを許可する、ポート 1688 での IP アドレス 169.254.169.251 および 169.254.169.250 へのアウトバウンド TCP。

通常の状況では、Amazon WorkSpaces サービスは WorkSpaces に対してこれらのポートを設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。

プライマリインターフェイスポート

ディレクトリの種類にかかわらず、すべての WorkSpaces のプライマリネットワークインターフェイスで、次のポートが開いている必要があります。

  • インターネット接続の場合、次のポートがすべての宛先への送信と WorkSpaces VPC からの受信に対して開いている必要があります。これらのポートは、インターネットアクセスを許可する場合、WorkSpaces のセキュリティグループに手動で追加する必要があります。

    • TCP 80(HTTP)

    • TCP 443(HTTPS)

  • ディレクトリコントローラと通信するには、WorkSpaces VPC とディレクトリコントローラの間で次のポートが開かれている必要があります。Simple AD ディレクトリの場合、AWS Directory Service によって作成されたセキュリティグループでは、これらのポートが正しく設定されます。AD Connector ディレクトリでは、VPC がそれらのポートを開くために、デフォルトのセキュリティグループの調整が必要になる場合があります。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - Dynamic ports for RPC

    これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpace は適切に機能することもあれば、アクセスできないこともあります。