[レポート][TA-04]Enterprise Applications Deep Dive(Amazon WorkSpaces/Amazon WorkDocs/Amazon WorkMail) #AWSSummit

AWS Summit Tokyo 2015

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWS Summit Tokyo 2015TA-04: Tech Deep Dive by Amazon:「Enterprise Applications Deep Dive」のレポートです。

スピーカーはAmazon Data Services Japanの渡邉 源太氏。

ta-04-1

レポート

AWSのエンタープライズアプリケーション

AWSには現在40以上のサービスがあり、主要なサービスはインフラやプラットフォームのサービスが多い。その中で今回紹介するAmazon WorkSpaces, WorkDocs, Amazon WorkMailは他サービスに比べてエンドユーザーに近いサービスになる。概要としては

  • Amazon WorkSpaces : 仮想デスクトップサービス。クラウド上でデスクトップを管理する。Windows,macの他にもKindle Fire, iPad, Android等様々なデバイスからアクセスが可能。
  • Amazon WorkMail : マネージド型のメール・カレンダーサービス。ドメイン単位でのメールやカレンダーの共有等が可能になる。
  • Amazon WorkDocs : 元々「Zocalo」と呼ばれていたサービス。企業向けにファイルをプレビュー、共有でき、文書のレビュー等のフローが簡単に実現出来る。セキュアなエンタープライズストレージおよび共有サービス。コメントが投稿されるとメールで通知ができる。

マネージドサービスの利点

オンプレミスではサーバーの調達から設計、実装等全てをユーザーさん自身が行う必要がある。クラウドにすることでハード周りをAWSに全て任せることが可能になった。だがデータベースの構築等サービスの開始にはまだハードルが高かった。マネージドサービスを利用することでカスタムアプリのインストールやユーザーの教育以外の全ての管理作業をAWSに任せることができるというイメージ。

様々なデバイスからのアクセス

iOS, Kindle Fire HDX, Android, Windows, Max OS X, PCoIPゼロクライアントからのアクセスが可能。

高いセキュリティ

  • Amazon WorkSpaces : PCoIPプロトコルによるストリーミング、他要素認証(MFA)
  • Amazon WorkDocs : 全てのデータを暗号化して保存。CloudTrailによる監査ログの取得
  • Amazon WorkMail : KMSによる鍵管理。データの保存場所の選択が可能。

基本となるのはAmazon Directory Service

この3サービスのベースとなっているのが「Amazon Directory Service」。Amazon Directory Servicesはスタンドアロンのディレクトリサービスを新規に追加(Simple AD)、もしくは既存のActive Directoryと統合(AD Connector)することでフルマネージドでディレクトリサービスを提供する。これを使用してWorkSpacesとWorkDocsの間でシングルサインオン(SSO)をワンクリックで設定可能。設定するとWorkSpacesにログイン時に自動的にWorkDocs Syncクライアントにサインインして同期を開始。設定はDirectory Serviceのマネージメントコンソールより有効化。

他要素認証(MFA)

オンプレミスのRADIUSサーバーを利用した他要素認証(MFA)に対応。ユーザー名・パスワードに加えてワンタイムパスワードの利用が可能。
PAP/CHAP/MS-CHAP1/MS-CHAP2をサポート。製品としてはシマンテック社のVIP,MS社のRADIUS等。

WorkSpaces Deep Dive

WorkSpacesは[Value][Standard][Performance]の3つのバンドルにそれぞれMS Office ProfessionalとTrend Microビジネスセキュリティクライアントをつけるかどうかを選択可能。つまり6つのデフォルトバンドルから選べる。

加えてカスタムイメージを作成してアプリケーションをインストール済みのカスタムバンドルを利用可能(昨年リリース)。カスタムイメージは40〜50分かかる。

イメージ作成のベストプラクティス

  • Cドライブに充分な容量があること
  • 最新の更新パッチを全て当てておく
  • 必要のないキャッシュをWorkSpacesから削除しておく。これをしないとイメージに全て含まれてしまう。
  • イメージ名に日付やバージョンを含めて管理する。

【新機能】Amazon WorkSpaces Application Manager

Amazon WorkSpaces向けのアプリケーションのデプロイ、管理をしてくれる管理サービス。AWS Marketplaceのアプリ(AWS Marketplace for Desktop Apps)の他に特定企業向けのアプリケーション、ライセンスを所有しているアプリケーションをまとめて「カタログ」に放り込んで管理し、必要に応じてWorkSpacesにデプロイする。

AWS MarketPlace for Desktop Appsには

  • Microsoft Visual Studio
  • Python
  • Microsoft Office
  • Kingsoft Office
  • Libre Office
  • Zscaler Security Cloud
  • McAfee Anti-Virus
  • Foxit PhantomPDF
  • 7-Zip
  • VLC Media Player

等が登録されている。requiredを選択するとユーザーがインストールしなくても勝手に入っている状態となる。

ネットワーク

WorkSpacesは2つのネットワークインターフェースをもつ。VPC及びインターネット接続用のネットワークとWorkSpaces管理用及び画面転送用のネットワーク。
管理用ネットワークでは

  • Inbound : TCP/UDP 4172
  • Inbound : TCP 8200
  • Outbound : UDP 55000

を利用する。VPNでWorkSpacesを利用する際に社内のファイヤウォールで4172がふさがっているパターンが非常に多いので注意が必要。

ネットワーク要件としてAD Connetcorでドメインコントローラと疎通を行うために解放の必要があるポートがある。ポートの解放が正しくされているかはDirectorySericePortTestアプリケーションを利用して接続の確認が可能。

DirectorySerficePortTest.exe -d 
<domain_name> -ip
<server_IP_address> -tcp

WorkSpacesへのアクセス

クライアントからの接続はインターネット経由で行われるためAWSのIPアドレス範囲に対してTCP/UDP 4172をオープンする。

Direct Connectを使用することで閉域網からのアクセスが可能。

インターネットへの接続

WorkSpacesがインターネット接続するためにはNATインスタンスかPublic IPアドレスの付与が必要。まずディレクトリ設定からインターネット接続を有効化する。

  • NAT Instanceパターン:WorkSpacesからNATを通してインターネットに出る
  • On-Premise Firewallパターン:インターネットへの接続ポリシーをオンプレミスのファイアウォールでコントロール可能
  • Public IP Address:WorkSpaceにPublic IPアドレスを付与することで直接インターネットアクセスが可能

ローカルプリンタへの印刷

WorkSpacesからWindowsまたはmacに接続されているローカルプリンタ、Active Directoryに登録されたネットワークプリンタ、Cordado ThinPrint/Google Cloud Printなどのクラウドプリントに印刷することが可能。
ローカルプリンタは自動的に認識される。認識されない場合はWindows Serer 2008 R2用のドライバをインストールする必要がある。

WorkSpaces API

AWS SDKやCLI、PowerShellからWorkSpacesの作成・表示やメンテナンスが実行可能。これによりコマンドにてオペレーションの自動化、ディザスタリカバリイメージの展開などが行える。またCloudTrailによるロギングをサポート。

WorkDocs DeepDive - セントラルハブ

ファイルやフォルダ単位で他ユーザに対してファイルの読み取り/書き込み権限を付与することでファイル共有が可能。社外ユーザにも許可することができる。

WorkMail Deep Dive

WorkMailはSESと統合されていて、アウトバウンドの電子メール送信及びドメイン検証の仕組みにSESが利用されている。WorkMailのために構成したメールドメインはSESコンソールからも確認可能。

独自ドメインの設定

Organizationの作成後にドメインを追加する。ドメイン所有権の検証のためにRoute 53などにTXTレコードを追加する。設定が完了するまで最大72時間待つ。またDKIMによるメール署名が利用可能。

まとめ

AWSのエンタープライズ・アプリケーションは仮想デスクトップ、エンタープライズストレージ及び電子メール・カレンダーなどの機能をマネージドサービスとして提供している。その認証基盤となるのはAWS Directory Service。WorkSpaces、WorkDocs、WorkMailはさまざまなサービスとも連携して動作するためひと通り把握しておくことが重要。

まとめ

いかがでしたでしょうか。個人的にはWorkSpacesによるデスクトップ管理、というのがこれから非常に重要なサービスに進化していく気がします。こちらでスムーズなデスクトップ管理ができれば、自宅でも、ホテルでも、ネットワークさえあればどこでも自分のデスクトップ環境にアクセスすることが可能になります。
また今日のキーノートにてWorkDocsの東京リージョンが今日から使えるようになり、また日本語での使用も可能となりました。稟議書類やプレゼン資料のレビューに是非活用してみてはいかがでしょうか。

AWS Cloud Roadshow 2017 福岡