AWSWorkSpacesClientに対して会社ネットワーク環境外からのアクセスを制御する方法について

困っていた内容

現状AWSWorkSpacesClientを用いて会社ネットワーク環境外からAWSWorkSpacesにログインできました、セキュリティ対策としてAWSWorkSpacesClientの一般的なアクセスを制御する方法を教えて下さい。

回答

WorkSpacesクライアントへのアクセスを制御するには、以下2 つの方法があります。

①IP アクセスコントロールグループ

こちらの方法では、IP アドレスによって WorkSpaces への接続を制御することが可能となります。
詳細につきましては、AWS公式キュメントをご紹介します。

[IP アクセスコントロールグループを作成する - Amazon WorkSpaces] - (https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/amazon-workspaces-ip-access-control-groups.html#create-ip-access-control-group)

②アクセス制御オプション

こちらは、クライアント証明書を使用して WorkSpaces へ接続するクライアント端末の検証を実施することができます。
IP アドレスによる制限を設けるものではないため、必要に応じて設定を実施してください。
[信頼されたデバイスへの WorkSpaces アクセスを制限する - Amazon WorkSpaces] - (https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/trusted-devices.html)

WorkSpacesClientアプリケーションプロキシ設定はアクセス制御の代わりになっているか

WorkSpaces クライアント アプリケーションのプロキシ設定は下記の三択となっております。

• [プロキシサーバーを使用しない]
• [Workspaces のプロキシサーバーをカスタマイズする]
• [デバイスのオペレーティングシステム設定を使用する]

こちらの選択について、 クライアント アプリケーションが利用するプロキシの設定のため、アクセス制御と直接の関係はありません。
また、プロキシサーバーの利用によりネットワークレイテンシーの増加やストリーミング品質の低下につながる恐れがあるため、プロキシの使用については推奨されていないとのことです。

参考資料

[1] [プロキシサーバーの使用に関する推奨事項 - Amazon WorkSpaces] - https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/group_policy.html#gp_kerberos_ticket
[2] [【新機能】WorkSpacesにIPベースのアクセス制御機能が追加されました！] - https://dev.classmethod.jp/articles/workspaces-ip-base-access-control/