【都市封鎖に備える】 オフィスにあるデスクトップに自宅からリモートアクセスして業務継続する方法 【EC2編】
きのうの記事に引き続き、きょうは SSTP によるリモートアクセスを提供するための EC2 インスタンスを用意する方法についてご紹介します。
SSTP は、TLS (tcp/443) をベースにした IP in IP トンネルテクノロジーです。リモートの Windows 環境から Remote Access Server (EC2 インスタンス) に対して SSTP 接続を行うことで、AWS の Site-to-Site VPN 接続を経由してオンプレミスのリソースへの接続性を提供します。
サーバーの準備
Remote Access Server として機能する Windows Server インスタンスを用意します。EC2 コンソール (https://console.aws.amazon.com/ec2/) を開いて、インスタンスを起動を選択しましょう。
ステップ1: Amazon マシンイメージ (AMI)では、EC2 インスタンスの起動に使用するイメージを選択します。サイドバーから «コミュニティ AMI» を選択し、検索ウィンドウに «Windows_Server-2019-Japanese-Full-Base» と入力しましょう。表示された AMI から日付の最も新しいものを見つけて、«選択» します。
ステップ2: インスタンプの選択では、適当なインスタンスタイプを選択します。今回は、比較的負荷の低いケースを想定して «t3.medium» を選択しました。
ステップ3: インスタンス詳細の設定では、インスタンスを起動する VPC としてあらかじめ作成しておいた (オンプレミスへのルートがある) VPC と VPC サブネットを選択します。
ステップ4: ストレージの追加では、既定で30 GiBとなっているストレージサイズを100 GiB 以上に変更します。これは、既定で使用される «汎用 SSD (gp2)» タイプのディスクで必要最低限のパフォーマンスを確保するために不可欠なステップです。
ステップ5: タグの追加では、以下の要領でわかりやすい名前を指定します。なお、これは任意のステップです。
ステップ6: セキュリティグループの設定では、EC2 インスタンスへ向けて確立されるフローのルールを登録します。今回は、SSTP のための tcp/443 と RDP (管理アクセス) のための tcp/3389 が必要ですから、それぞれ以下の要領で登録します。RDP (tcp/3389) のフローを 0.0.0.0/0 (Anywhere) から許可しないように注意しましょう。
ステップ7: インスタンス作成の確認では、内容を確かめて «起動» を選択します。
続いて表示されるダイアログでは、Administrator ユーザーの初期パスワードを復号化するためのキーペア (RSA 秘密鍵) を選択します。まだ EC2 に自身のキーペアを登録していない場合、新しいキーペアの作成を選んで新しいキーペアを作成、ダウンロードしましょう。
キーペアは、このような形で保存されます。なくさないようにしましょう!
キーペアをダウンロードして «インスタンスの作成» を選択してしばらく待つと、以下のような画面が表示されます。次のインスタンスの作成が作成されました: として表示されたインスタンス IDを選択して進みましょう。
インスタンス一覧の画面では、たったいま作成したインスタンスの属性が表示されます。続いて、«Elastic IP» のページへ移動しましょう。
Elastic IP アドレスのページでは、«Elastic IP アドレスの割り当て» を選択します。
続いて «割り当て» を選択します。これで、永続的なグローバル IP アドレス (/32) の割り当てを受けることができます。
割り当てられた Elastic IP アドレスを EC2 インスタンスへ関連付けるため、«この Elastic IP アドレスを関連付ける» を選択します。
Elastic IP アドレスの関連付けでは、そのアドレスを使用したい EC2 インスタンスを選択します。以下の要領で、先に作成した EC2 インスタンスを選択しましょう。
Elastic IP アドレスの関連付けが完了したら、サイドバーから «インスタンス» を選択してインスタンスの一覧ページへ戻ります。
作成した EC2 インスタンスを選んで、«アクション» メニューから «Windows パスワードの取得» を選択します。
先ほど指定、ダウンロードしたキーペアを指定して Administrator パスワードの復号化を行います。ここで表示されたパスワードは、EC2 インスタンスへ RDP 接続を行う際に必要です。
インスタンス一覧の画面へ戻ったら、作成したインスタンスを選択して «パブリック DNS (IPv4)» を控えておきます。この DNS 名は、RDP クライアントから RDP 接続を行う際に必要です。
以上で、作成したインスタンスへ接続するための情報が揃いました。Windows の «リモートデスクトップ接続» や Mac の «Microsoft Remote Desktop» を使用して、インスタンスのデスクトップへ RDP で接続しましょう。Windows Server の EC2 インスタンスへ初めて接続する際はネットワークプロファイルを設定するためのダイアログ (イメージ参照) が表示されるので、«はい» を選択してサブネットの外からのフローを許可しておくようにしましょう。
続き
次回は、用意した EC2 インスタンスで実際に Remote Access Server を構成してオンプレミスのデスクトップ PC へ接続する方法をご紹介します。