【新機能】WorkSpacesにIPベースのアクセス制御機能が追加されました!
まいど、大阪の市田です。
WorkSpacesにIPアドレスベースでアクセス制御できる機能がリリースされました。早速使ってみたのでご紹介したいと思います!
AWS Developer Forums: Amazon WorkSpaces Now Provides IP-based Access Controls
IPアクセスコントールを設定する
WorkSpacesのコンソールに「IPアクセスコントロール」というメニューが増えているので早速クリックしましょう!
「IPアクセスコントロールグループ」の画面で「IPグループの作成」をクリックします。
グループ名と説明を記載して「作成」をクリックします。
作成できたらルールを編集できるようになるので「編集」ボタンをクリックしましょう。
まだ何も無いので「ルールの追加」をクリックします。
適当なIPを入力して保存します。ここで指定したIP(範囲)からのみアクセス許可されることになります。
今回は試しにオフィスの拠点IPを入力しました。説明も記載できるのはうれしいですね。
今回は、1つのIPのみ指定しましたが「x.x.x.x/24」といったレンジでの指定も可能です。
IPアクセスコントロールグループとディレクトリを関連付ける
次に関連付けるディレクトリを指定します。
気を付けなければいけない点として、「IPアクセスコントロール」の機能は、ディレクトリに対して設定するので、そのディレクトリで起動しているWorkSpacesの全てが設定対象になります。WorkSpaces単位ではなく「ディレクトリ単位での設定」になることに注意して下さい。
関連付けたいグループを選択します。今回は下記のような内容で2つのグループを作って、「test-group」のみ関連付けてみました。
- test-group:オフィス拠点のIPアドレスを登録
- test-group2:何もルールを設定しない
IPアクセスコントールの動作確認をしてみる
「test-group」に関連付いた状態だと、問題無くオフィスからWorkSpacesにアクセスできます。
次に、何もルール設定していない「test-group2」に関連付けを変更します。
先程と同様にクライアントアプリから接続しようとすると、下記のようにエラーが出て接続できなくなりました。
勿論、先程の「test-group」の許可IPをオフィスIPとは異なるものに変更すれば、オフィスからは接続できなくなります。
気をつけたい点
ドキュメントにも記載されていますが、いくつか事前に知っておきたい仕様があったので、使う前に確認しておきましょう。
- デフォルトではデフォルトのグループがディレクトリに関連付けられる
- デフォルトのグループは全てのトラフィックを許可する
- 作成したグループをディレクトリに関連付けるとデフォルトのグループの関連付けは解除される
- 作成したグループとの関連付けを全て解除するとデフォルトに戻る
- ルールが無いグループをディレクトリに関連付けると、全てのWorkSpaceへの全てのアクセスがブロックされる
その他の詳細については下記ドキュメントをご参照頂ければと思います。
IP Access Control Groups for Your WorkSpaces - Amazon WorkSpaces
最後に
WorkSpacesに対して簡単にIPアドレスでアクセス制御することができるようになりました。便利な機能ですので他の機能とうまく組み合わせて使っていきたいと思います。
以上です。
