AWS入門ブログリレー2024〜Amazon WorkSpaces Family編〜

AWS再入門2024
#Amazon WorkSpaces
#Amazon WorkSpaces Web
#Amazon WorkSpaces Core
#AWS
Takuya Shibata
2024.03.29
当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の5日目のエントリです。
このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。
AWS をこれから学ぼう！という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。
では、さっそくいってみましょう。今回のテーマは『Amazon WorkSpaces Family』です。
 Amazon WorkSpaces FamilyAmazon WorkSpaces FamilyはAmazon WorkSpacesをはじめとした関連サービスの総称となります。

2024年3月時点で
Amazon WorkSpaces
Amazon WorkSpaces Web (現 Amazon WorkSpaces Secure Browser)
Amazon WorkSpaces Core
Amazon WorkSpaces Thin Client
がファミリーに含まれるサービスとなります。
https://aws.amazon.com/jp/workspaces/
本記事ではAmazon WorkSpacesから順に解説していきます。
 Amazon WorkSpacesまずは基本となるAmazon WorkSpacesから。
Amazon WorkSpacesは『すべてのワーカーに対応した包括的かつ完全永続型の仮想デスクトップ』を謳う、AWS管理の仮想デスクトップ(VDI)サービスです。

利用者はWorkSpaceと呼ばれる仮想マシン環境を占有してデスクトップを利用できます。
 インフラ基盤仮想デスクトップのためのインフラ基盤はAWSがフルマネージドで管理しており、利用者は仮想デスクトップの利用に注力できます。

利用者が最低限用意しておく必要があるのは
VPCと2つのAZに分かれた2つのサブネット
このサブネット上に各WorkSpaceが配置されるイメージです

認証のためのActive Directory環境
Amazon WorkSpacesは認証にActive Directoryを使うのが基本です

となります。

ユーザー認証にActive Directoryが必須であり、AWSのディレクトリサービス(Simple ADおよびAWS Managed Microsoft AD)を使うかAD Connector経由でセルフマネージドなディレクトリを使うことも可能です。
一例として簡単な構成例を紹介します。
利用者が用意したVPC内の2サブネットにAmazon WorkSpacesとAWS Managed Microsoft ADを用意し環境を構築します。

利用者はクライアントPCにインストールしたWorkSpaces Clientから各WorkSpaceに接続します。

加えてVPCとオンプレミス環境をDirect ConnectやSite-to-Site VPNで接続しておけば各WorkSpaceから企業内リソースにアクセス可能です。
 利用可能なクライアント環境Amazon WorkSpacesは以下のクライアント環境から利用可能です。
Windows
macOS
Linux
iPad
Android/Chromebook
Fire Tablet
基本的には各OS毎で専用のクライアントアプリケーションを使いますが、WEBブラウザから利用することも可能となっています。

アプリケーションのダウンロードはこちらから可能です。
 利用可能なOSやソフトウェアWorkSpace環境で使えるOSは以下の通りです。
Windows Server (Desktop Experience)
Windows Server 2016
Windows Server 2019
Windows Server 2022

[BYOLのみ] Windows Client
Windows 10 (リリース、エディションに制限あり)
Windows 11 (リリース、エディションに制限あり)

Amazon Linux
Amazon Linux 2

Ubuntu Desktop
Ubuntu 22.04

Microsoftライセンス上の制限によりWindows環境は原則Windows Serverとなります。

Windows 11などのクライアントOSは占有ホスト環境にBYOLする場合のみ利用可能であり、占有ホストを使うには最低100 WorkSpaceの利用[1]を確約する必要があるのでご注意ください。
参考 : Bring Your Own Windows desktop licenses
また、Windows環境においてはLTSC版Microsoft Officeのバンドルも可能となっています。

Amazon WorkSpacesはAWSでMicrosoft Officeを合法的に使えるほぼ唯一の方法です。
[アップデート] Amazon WorkSpacesのOfficeアプリケーションの管理方法が新しくなりました
EC2でMicrosoft Officeを使うのはライセンス上一筋縄ではいかない話
 利用可能リージョン本日時点でAmazon WorkSpacesを利用可能なリージョンは
バージニア北部
オレゴン
ムンバイ
ソウル
シンガポール
シドニー
東京
カナダ
フランクフルト
アイルランド
ロンドン
サンパウロ
ケープタウン
テルアビブ
GovCloud (US-West)
GovCloud (US-East)
となります。
残念ながら大阪リージョンは非対応です。

また、リージョン内のすべてのAZで利用可能なわけでは無く、例えば東京リージョンだとapne1-az1とapne1-az4の2AZのみサポートされています。
参考 : Availability Zones for Amazon WorkSpaces
 Amazon WorkSpaces Web (現 Amazon WorkSpaces Secure Browser)Amazon WorkSpaces Webは2021年のre:Invent 2021で発表され新たに追加されたサービスです。
WorkSpacesの名を冠していますが通常のVDIとは少し毛色が異なり、利用者は仮想マシン環境を占有せずに環境内のWEBブラウザ(Chrome)のみ利用可能となっています。

このブラウザから社内WEBアプリケーションやSaaSアプリケーションを利用するのが主な用途になります。
こちらも一例として簡単な構成例を紹介します。
ぱっと見でAmazon WorkSpacesと似た感じになっていますが、利用者はWEBブラウザからAmazon WorkSpaces Webのサービス(ポータル)に接続します。

ポータルに接続するとその都度仮想マシン環境が割り当てられ内部のWEBブラウザ(Chrome)が起動します。
予めVPCとオンプレミス環境をDirect ConnectやSite-to-Site VPNで接続しておけば内部のブラウザは社内ネットワークにアクセス可能になります。
 利用可能な認証基盤Amazon WorkSpaces WebはAWS IAM Identity Center等のSAML 2.0をサポートするIdPを認証基盤にすることができます。

本日時点においては
AWS IAM Identity Center
Microsoft Entra ID (旧Azure AD)
Okta
OneLogin
Ping Identity
が標準としてサポートされています。
参考 : Configure the standard authentication type
Amazon WorkSpacesと異なり通常のActive Directoryは利用できません。
 利用可能なクライアント環境Amazon WorkSpaces Webは内部的にNICE DCVの技術を利用しており以下のブラウザの最新バージョンでの利用がサポートされています。
Google Chrome
Mozilla Firefox
Microsoft Edge
Apple Safari
より詳細な条件についてはこちらのドキュメントを参照してください。
Browser and device compatibility
Web browser client

 利用可能なOSやソフトウェア先述の通りAmazon WorkSpaces Webは仮想マシン環境内のWEBブラウザ(Chrome)のみ利用可能です。

利用者がOSなどを選ぶことはできません。
ちなみにですが、仮想マシン環境のOSはAmazon Linux (おそらくAmazon Linux 2)となります。
 利用可能リージョン本日時点でAmazon WorkSpaces Webを利用可能なリージョンは
バージニア北部
オレゴン
ムンバイ
シンガポール
シドニー
東京
カナダ
フランクフルト
アイルランド
ロンドン
となります。

こちらも残念ながら大阪リージョンは非対応です。
通常のAmazon WorkSpaces同様に利用可能AZは制限されていますが、東京リージョンでは全AZ[2]サポートされています。
参考 : Supported Availability Zones
 余談 : Amazon WorkSpaces WebはAmazon WorkLinkの後継以前からAmazon WorkSpaces Webと同様の目的を持つサービスとしてAmazon WorkLinkがありました。
https://aws.amazon.com/worklink/
現在はAmazon WorkSpaces Webのページにリダイレクトされる

Amazon WorkLinkはAmazon WorkSpaces Webが登場した翌年の2022年4月20日ごろにアクセス不可となりひっそりとサービス終了しています。

現在は公式ページもAmazon WorkSpaces Webにリダイレクトされる様になっており、また、Amazon WorkLinkリリース当時のブログにも
Update: As of November 30, 2021, AWS recommends Amazon WorkSpaces Web to deliver secure browser access for web-based workloads.
Amazon WorkLink – Secure, One-Click Mobile Access to Internal Websites and Applications
とAmazon WorkSpaces Webへの移行を推奨する記述が追記されています。
 追記 : サービス名が改名されました2024年5月にAmazon WorkSpaces Webのサービス名が「 Amazon WorkSpaces Secure Browser 」に改名されました。
https://aws.amazon.com/about-aws/whats-new/2024/05/amazon-workspaces-web-amazon-workspaces-secure-browser/
ここまでの解説を踏まえるとこの改名がより実体に近いものを表現する様になったことがお分かりいただけるでしょう。

記事中の表記は公開時点の「Amazon WorkSpaces Web」を残した形にしていますのでご了承ください。
 Amazon WorkSpaces Core続けて2022年9月末にAmazon WorkSpaces Coreが発表されました。
こちらは他社VDIソフトでAmazon WorkSpacesのインフラ基盤を利用するために「コア機能」だけを提供するサービスとなります。

具体的には次の様な仕組みになっており、利用者にとっては他社VDIソフトウェアを使いつつAWSのマネージドなインフラを利用できる点がメリットとなります。
VDIソフトウェアは他社製品を使用する
VDIの管理基盤は自前で用意するか他社DaaSサービスを利用する
多くの場合EC2やRDS等でVDI管理基盤を構築
管理基盤がオンプレミスにあっても構わない

仮想マシン環境がAmazon WorkSpacesから提供される
他社VDI管理基盤がAmazon WorkSpaces CoreのAPIを実行

 利用可能な他社ソフトウェア・サービス本日時点で利用可能な他社VDIソフトウェアは以下の通りです。
VMware Horizon 8 (VMware)
Workspot Cloud PC (WorkSpot)
Leostream Remote Desktop Access Platform (Leostream)
[プレビュー] Citrix DaaS (Citrix)
たとえばVMware Horizon 8の場合下図の様な構成となり、Horizonの管理基盤となるUAG, Connection Server, Cloud Connector, RDS, Directory Serviceは自前で用意しつつ仮想マシン環境をAmazon WorkSpaces Coreから提供する形になります。
(https://aws.amazon.com/jp/blogs/news/extending-vmware-horizon-to-amazon-workspaces/ より引用)
VMware Horizon の Amazon WorkSpaces Core への拡張
本記事は入門なのでこれ以上は語りませんが、上図でサービスの雰囲気は理解いただけるでしょう。

Horizon以外のソフトウェアについては以下の記事やドキュメントが参考になります。
Workspot Cloud PC: How to Set Up Workspot Cloud PCs and Amazon WorkSpaces Core
Leostream: Quick Start Guide: AWS + Leostream Proof-of-Concept Architecture
Citrix DaaS: Citrix DaaS for Amazon WorkSpaces Core（Technical Preview）
 利用可能リージョン本日時点でAmazon WorkSpaces Coreを利用可能なリージョンは、Amazon WorkSpacesとほぼ同様に
バージニア北部
オレゴン
ムンバイ
ソウル
シンガポール
シドニー
東京
カナダ
フランクフルト
アイルランド
ロンドン
サンパウロ
テルアビブ
GovCloud (US-West)
GovCloud (US-East)
となります。

理由は不明ですがケープタウンだけは非サポートとなっています。
 Amazon WorkSpaces Thin Client最後に2023年のre:Invent 2023でAmazon WorkSpaces Thin Clientが発表されました。
こちらは名前の通りAWSが販売を開始したシンクライアント端末とデバイス管理のためのサービスとなります。
端末は下図の通りFire TV Cubeを流用したものとなっており、ハードウェアスペックもHDMI INポートが塞がれている点以外は同一となります。
より詳細なスペックについてはこちらで確認できます。
WorkSpaces Thin Client device specifications
端末の購入はAmazon.com(米国)から行う形となっており、残念ながら日本への発送はできません。

「今年の早いうちに米国以外でも販売する」と言われているもののまだ具体的な日程は決まっていません。
 利用可能サービスAmazon WorkSpaces Thin Clientのシンクライアント端末では
Amazon WorkSpaces
Amazon WorkSPaces Web (現 Amazon WorkSpaces Secure Browser)
Amazon AppStream 2.0
の3サービス利用可能です。

Amazon WorkSpacesだけでなくAmazon AppStream 2.0が含まれているのが特徴的です。
 利用可能リージョン本日時点でAmazon WorkSpaces Thin Clientを利用可能なリージョンは
バージニア北部
オレゴン
ムンバイ
カナダ
フランクフルト
アイルランド
ロンドン
となっています。

残念ながら東京リージョンと大阪リージョンは非サポートです。
現時点では端末の購入もできないため日本においてAmazon WorkSpaces Thin Clientを試すのはほぼ不可能といった状況です。
 参考資料各サービスの詳細を学ぶための参考資料を補足しておきます。
Amazon WorkSpaces
AWS再入門ブログリレー Amazon WorkSpaces 編 : 2019年時点の入門ブログです
AWS日本語ハンズオンでAmazon WorkSpacesに入門してみた
Amazon WorkSpaces環境を最小構成で試すためのCloudFormation Templateを公開しました

Amazon WorkSpaces Web (現 Amazon WorkSpaces Secure Browser)
Amazon WorkSpaces Web を試してみた #reinvent
[アップデート]Amazon WorkSpaces Webが東京リージョンで使用できるようになりました

Amazon WorkSpaces Core
新サービス Amazon WorkSpaces Core が発表されました
Amazon WorkSpaces Coreに関する情報まとめ (2022年末版)

Amazon WorkSpaces Thin Client
[新サービス] Amazonのシンクライアント管理サービスAmazon WorkSpaces Thin Clientが発表されました #AWSreinvent

 終わりに以上、『AWS 入門ブログリレー 2024』の5日目のエントリ『Amazon WorkSpaces Family』編でした。

次回、3/30は弊社おつまみによる「Amazon SES編」の予定です！

脚注
ちなみに以前は最低200 WorkSpaceだった ↩︎
apne1-az3は無いものとして扱います ↩︎