AWS サービスの使用 - Amazon WorkSpaces Applications
AWS Identity and Access ManagementVPC エンドポイントインスタンスでのインスタンスメタデータサービス (IMDS) の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS サービスの使用

AWS Identity and Access Management

IAM ロールを使用して AWS サービスにアクセスし、それにアタッチされた IAM ポリシーに固有であることは、WorkSpaces アプリケーションセッションのユーザーのみが追加の認証情報を管理せずにアクセスできるようにするベストプラクティスです。WorkSpaces アプリケーションで IAM ロールを使用するためのベストプラクティスに従います。

ユーザーデータをホームフォルダとアプリケーション設定の永続化の両方に保持するために作成された Amazon S3 バケットを保護するための IAM ポリシーを作成します。これにより、WorkSpaces 以外のアプリケーション管理者がアクセスできなくなります。

VPC エンドポイント

VPC エンドポイントは、VPC とサポートされている AWS サービス、および を搭載した VPC エンドポイントサービス間のプライベート接続を有効にします AWS PrivateLink。 AWS PrivateLink は、プライベート IP アドレスを使用して サービスにプライベートにアクセスできるテクノロジーです。VPC と他のサービス間のトラフィックは、Amazon ネットワークを離れません。 AWS サービスにのみパブリックインターネットアクセスが必要な場合、VPC エンドポイントは NAT ゲートウェイとインターネットゲートウェイの要件を完全に削除します。

自動化ルーチンまたはデベロッパーが WorkSpaces アプリケーションの API コールを行う必要がある環境では、WorkSpaces アプリケーション API オペレーション用のインターフェイス VPC エンドポイントを作成します。たとえば、パブリックインターネットアクセスのないプライベートサブネットに EC2 インスタンスがある場合、WorkSpaces アプリケーション API の VPC エンドポイントを使用して、CreateStreamingURLなどの AppStream 2.0 API オペレーションを呼び出すことができます。次の図は、WorkSpaces アプリケーション API とストリーミング VPC エンドポイントが Lambda 関数と EC2 インスタンスによって消費されるセットアップの例を示しています。

VPC エンドポイントの参照アーキテクチャ図

VPC エンドポイント

ストリーミング VPC エンドポイントでは、VPC エンドポイントを介してセッションをストリーミングできます。ストリーミングインターフェイスエンドポイントは、VPC 内のストリーミングトラフィックを維持します。ストリーミングトラフィックには、ピクセル、USB、ユーザー入力、オーディオ、クリップボード、ファイルのアップロードとダウンロード、プリンターのトラフィックが含まれます。VPC エンドポイントを使用するには、WorkSpaces Applications スタックで VPC エンドポイント設定を有効にする必要があります。これは、インターネットアクセスが制限されていて、Direct Connect インスタンス経由でアクセスしたほうが有利な場所から、パブリックインターネット経由でユーザーセッションをストリーミングする代替手段となります。VPC エンドポイントを介してユーザーセッションをストリーミングするには、以下が必要です。

  • インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート 443 (TCP) とポート 1400–1499 (TCP) へのインバウンドアクセスを許可する必要があります。

  • サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート 1024-65535 (TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。

  • インターネット接続は、ユーザーを認証し、WorkSpaces アプリケーションが機能するために必要なウェブアセットを配信するために必要です。

WorkSpaces アプリケーションを使用した AWS サービスへのトラフィックの制限の詳細については、VPC エンドポイントを作成してストリーミングするための管理ガイドを参照してください。

パブリックインターネットへの完全なアクセスが必要な場合は、Image Builder で Internet Explorer のセキュリティ強化構成 (ESC) を無効にするのがベストプラクティスです。詳細については、WorkSpaces アプリケーション管理ガイド」を参照して、Internet Explorer の拡張セキュリティ設定を無効にします。

インスタンスでのインスタンスメタデータサービス (IMDS) の設定

このトピックでは、インスタンスメタデータサービス (IMDS) について説明します。

インスタンスメタデータは、アプリケーションが実行中のインスタンスを設定または管理するために使用できる Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに関連するデータです。インスタンスメタデータサービス (IMDS) は、インスタンス上のコードによって、インスタンスメタデータに安全にアクセスするために使用されるインスタンス上のコンポーネントです。詳細については、「Amazon EC2 ユーザーガイド」の「Instance Metadata and User Data」を参照してください。

コードは、手法としてインスタンスメタデータサービスバージョン 1 (IMDSv1) またはインスタンスメタデータサービスバージョン 2 (IMDSv2) のいずれかを使用して、実行中のインスタンスからインスタンスメタデータにアクセスできます。IMDSv2 はセッション指向のリクエストを使用し、IMDS へのアクセス試行に利用される可能性があるいくつかのタイプの脆弱性を軽減します。これら 2 つの方法については、「Amazon EC2 ユーザーガイド」のインスタンスメタデータサービスの設定に関するページを参照してください。

IMDS のリソースサポート

常時オン、オンデマンド、単一セッション、マルチセッションフリート、およびすべての Image Builder は、2024 年 IMDSv1 月 16 日以降にリリースされたエージェントバージョンまたはマネージドイメージ更新で WorkSpaces アプリケーションイメージを実行するときに、IMDSv1 と IMDSv2 の両方をサポートします。

Elastic Fleets と AppBlock Builders インスタンスは、IMDSv1 と IMDSv2 の両方もサポートしています。

IMDS 属性設定の例

IMDS メソッドを選択する 2 つの例を次に示します。

Java v2 SDK の例

以下のリクエスト例では、disableIMDSV1属性を使用して IMDSv1 を無効にしています。


CreateFleetRequest request = CreateFleetRequest.builder()
 .name("TestFleet")
 .imageArn("arn:aws:appstream:us-east-1::image/TestImage")
 .instanceType("stream.standard.large")
 .fleetType(FleetType.ALWAYS_ON)
 .computeCapacity(ComputeCapacity.builder()
 .desiredInstances(5)
 .build())
 .description("Test fleet description")
 .displayName("Test Fleet Display Name")
 .enableDefaultInternetAccess(true)
 .maxUserDurationInSeconds(3600)
 .disconnectTimeoutInSeconds(900)
 .idleDisconnectTimeoutInSeconds(600)
 .iamRoleArn("arn:aws:iam::123456789012:role/TestRole")
 .streamView(StreamView.APP)
 .platform(PlatformType.WINDOWS)
 .maxConcurrentSessions(10)
 .maxSessionsPerInstance(2)
 .tags(tags)
 .disableIMDSV1(true)
 .build();

disableIMDSV1 を true に設定して IMDSv1 を無効にし、IMDSv2 を適用します。

disableIMDSV1 を false に設定してIMDSv1 と IMDSv2 の両方を有効にします。

CLI の例

以下のリクエスト例では、--disable-imdsv1属性を使用して IMDSv1 を無効にしています。


aws appstream create-fleet --name test-fleet --image-arn "arn:aws:appstream:us-east-1::image/test-image" --disable-imdsv1 --instance-type stream.standard.small --compute-capacity DesiredInstances=2 --max-user-duration-in-seconds 57600 --disconnect-timeout-in-seconds 57600 --region us-east-1

IMDSv1 を無効にし、IMDSv2 を適用するには、true --disable-imdsv1に設定します。

IMDSv1 と IMDSv2 の両方を有効にするには、false --no-disable-imdsv1に設定します。