ポータルのカスタムドメインの設定 - Amazon WorkSpaces セキュアブラウザ
仕組み前提条件開始方法CloudFront をリバースプロキシとして設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポータルのカスタムドメインの設定

仕組み

カスタムドメインを設定する場合:

  • カスタムドメインを使用してリバースプロキシを作成して設定し、ポータルエンドポイントにトラフィックをルーティングします。

  • ユーザーは、デフォルトのポータルエンドポイントではなく、カスタムドメインを介してポータルにアクセスします。

  • SSL 証明書は、プロセス全体で安全な接続を確保します。

前提条件

カスタムドメインを設定する前に、以下を確認してください。

  • Amazon Route53 などの DNS サービスプロバイダーを通じて管理するドメイン名。

  • WorkSpaces Secure Browser ポータル。ポータルの作成の詳細については、「」を参照してくださいAmazon WorkSpaces Secure Browser でのウェブポータルの作成

  • AWS Certificate Manager、CloudFront、および DNS 設定を管理するために必要なアクセス許可があることを確認します。

重要

ユーザーは、適切なポータル機能を確保するために、ブラウザでカスタムドメインのサードパーティー Cookie を有効にする必要があります。

ポータルのセキュリティと機能を維持するために、カスタムドメインとその DNS レコードを所有し、適切に管理していることを確認します。

注記

カスタムドメインのシングルサインオン拡張機能を有効にするには、ユーザーはブラウザに 1.0.2505.6608 以降のバージョンで拡張機能をインストールする必要があります。

ユーザーがポータルにサインインすると、拡張機能をインストールするように求められます。拡張機能のユーザーエクスペリエンスの詳細については、「Amazon WorkSpaces Secure Browser のシングルサインオン拡張機能」を参照してください。

開始方法

カスタムドメインは、新しいポータルを作成するとき、または既存のポータルを編集するときに、ポータル設定属性として設定できます。これは、 AWS コンソール、SDK、CloudFormation、または AWS CLI コマンドを使用して実行できます。

Amazon CloudFront ディストリビューションを、カスタムドメインから WorkSpaces Secure Browser ポータルエンドポイントにトラフィックをルーティングするリバースプロキシとして設定することをお勧めします。

注記

Amazon CloudFront はリバースプロキシソリューションとして推奨されますが、代替のリバースプロキシ設定を使用できます。Amazon CloudFront のセットアップ手順で説明されているように、必要なオリジンとキャッシュの設定を満たしていることを確認します。

CloudFront をリバースプロキシとして設定する

リバースプロキシの設定を完了するには、以下が必要です。

  • ( AWS Certificate Manager ACM) を介した SSL 証明書

  • Amazon CloudFront ディストリビューション

  • DNS レコード

  • カスタムドメインで設定されたポータル

SSL 証明書

まだない場合は、以下の手順に従って ACM を通じてリクエストします。

  1. で ACM コンソールに移動しますhttps://console.aws.amazon.com/acm

    重要

    CloudFront では証明書をそこに保存する必要があるため、米国東部 (バージニア北部) リージョンを使用します。

  2. 証明書をリクエストする:

    • 新しい ACM ユーザーの場合: 証明書のプロビジョニング開始するを選択します

    • 既存の ACM ユーザーの場合: 証明書のリクエストを選択します

  3. 「パブリック証明書のリクエスト」を選択し、「証明書のリクエスト」を選択します。

    注記

    既存の証明書をインポートすることもできます。詳細については、「ACM ユーザーガイド」の「ACM への証明書のインポート」を参照してください。

  4. プライマリドメイン名 ( などmyportal.example.com) を入力します。

  5. 検証方法を選択します。

    • DNS 検証 (Route 53 ユーザーに推奨) – ホストゾーンでのレコードセットの自動作成を許可します。詳細については、「ACM ユーザーガイド」の「DNS 検証」を参照してください。

    • E メール検証 – 詳細については、「ACM ユーザーガイド」の「E メール検証」を参照してください。

  6. 設定を確認し、確認とリクエストを選択します。

CloudFront ディストリビューション

カスタムドメインからポータルエンドポイントにリクエストをプロキシする CloudFront ディストリビューションを作成します。

  1. で CloudFront コンソールに移動しますhttps://console.aws.amazon.com/cloudfront

  2. [ディストリビューションを作成] を選択します。

    • ディストリビューション名: ディストリビューションの名前を入力します

    • ディストリビューションタイプ: 単一のウェブサイトまたはアプリ

    注記

    カスタムドメインが同じ AWS アカウントの Route 53 で管理されている場合、CloudFront は自動的に DNS を管理できます。カスタムドメインを入力し、「ドメインの確認」をクリックします。別の DNS プロバイダーのドメインがある場合は、このステップをスキップして後でドメインを設定します。

  3. オリジン設定を構成します。

    • オリジンタイプ: その他

    • カスタムオリジン: ポータルエンドポイント <portalId>.workspaces-web.com を入力します。

    • オリジンパス: 空のままにします (デフォルト)

  4. オリジン設定をカスタマイズする:

    • カスタムヘッダーを追加する

      重要

      カスタムドメインを介したポータルアクセスは、このヘッダーがプロキシリクエストに存在する場合にのみ機能します。ヘッダー名と値が、記載されているとおりに正確に指定されていることを確認します。

      • ヘッダー名: workspacessecurebrowser-custom-domain

      • : カスタムドメイン (例: myportal.example.com)

    • プロトコル: HTTPS のみ

    • HTTPS ポート: 443 (デフォルトを保持)

    • 最小オリジナル SSL プロトコル: TLSv1.2 (デフォルト)

    • オリジン IP アドレスタイプ: IPv4 のみ (Amazon WorkSpaces Secure Browser は、この管理ガイドの作成時に IPv6 をサポートしていません)。

  5. キャッシュ設定をカスタマイズします。

    • ビューワープロトコルポリシー: HTTP を HTTPS にリダイレクトする

    • 許可される HTTP メソッド: GET、HEAD、OPTIONS、PUT、POST、PATCH、DELETE

    • キャッシュポリシー: CachingDisabled

    • オリジンリクエストポリシー: AllViewerExceptHostHeader

      重要

      カスタムドメインを介したポータルアクセスは、オリジンリクエストポリシーが AllViewerExceptHostHeader に設定されている場合にのみ機能します。名前が示すように、このポリシーはリクエストヘッダーからホストヘッダーのみをフィルタリングし、残りのすべてのヘッダーをオリジンに渡します。

  6. 必要に応じて WAF を設定できますが、この設定の目的では必要ありません。

  7. TLS 証明書の取得で、ステップ 1 で作成した TLS 証明書を選択します。

  8. 設定を確認し、ディストリビューションの作成を選択します。

DNS レコード

ホストゾーンが同じ AWS アカウントにある場合、Cloudfront は Route 53 の DNS レコードを更新して、指定されたドメインからステップ 2 で作成したディストリビューションにトラフィックをルーティングできます。

  1. CloudFront 設定に移動する

  2. 「ドメインを CloudFront にルーティングする」をクリックします。

  3. 「ルーティングを自動的にセットアップする」をクリックします。

別のサービスプロバイダーまたは別の AWS アカウントのカスタムドメインに DNS を設定している場合は、ドメインのトラフィックをディストリビューションにルーティングするように DNS プロバイダーを設定します。次の手順では、Route 53 を使用してこれを行う方法について説明します。

  1. で Amazon Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53

  2. DNS 管理にアクセスします。

    • この AWS アカウントで Route 53 を初めて使用する場合は、Amazon Route 53 の概要ページが開きます。DNS 管理で、今すぐ開始 を選択します。

    • この AWS アカウントで Route 53 を以前に使用したことがある場合は、次のステップに進みます。

  3. ナビゲーションペインで [Hosted zones] を選択します。

  4. ホストゾーンがまだない場合は作成します。

  5. ホストゾーンページで、管理するホストゾーンの名前を選択します。

  6. [Create Record Set (レコードセットの作成)] を選択します。

  7. ドメインのエントリを作成します (例: myportal.example.com)。

    • タイプ: A – IPv4 アドレス

    • Alias (エイリアス): あり

    • エイリアスターゲット: CloudFront ディストリビューション URL

    他の設定はすべてデフォルト値のままにしておきます。

注記

Route 53 を使用してドメインの DNS を管理していない場合は、DNS サービスプロバイダーを使用し、ドメインを指す DNS エントリを CloudFront ディストリビューションの URL に追加します。

または、次の CloudFormation テンプレートを使用して CloudFront ディストリビューションを作成することもできます。

この CloudFormation テンプレートは、CloudFront ディストリビューションを自動的に作成し、リバースプロキシ設定を設定し、オプションで Route53 DNS レコードを作成します。

例 workspaces-web-custom-domain-template.yaml

AWSTemplateFormatVersion: '2010-09-09'
Description: 'CloudFront Distribution for custom domain configuration with existing AWS WorkSpaces Secure Browser Portal'

Parameters:
  PortalEndpoint:
    Type: String
    Description: 'The endpoint of your existing WorkSpaces Web Portal (e.g., abc123.workspaces-web.com)'
    AllowedPattern: '^[a-zA-Z0-9-]+(\.[a-zA-Z0-9-]+)?\.workspaces-web\.com$'
    ConstraintDescription: 'Must be a valid WorkSpaces Web portal endpoint'
  
  CustomDomainName:
    Type: String
    Description: 'Custom domain name for the portal (e.g., myportal.example.com)'
    AllowedPattern: '^([a-zA-Z0-9]?((?!-)([A-Za-z0-9-]*[A-Za-z0-9])\.)+[a-zA-Z0-9]+)$'
    ConstraintDescription: 'Must be a valid domain name'
  
  CertificateArn:
    Type: String
    Description: 'ARN of the validated SSL certificate in ACM (must be in us-east-1 region for CloudFront)'
    AllowedPattern: 'arn:aws:acm:us-east-1:[0-9]{12}:certificate/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12}'
    ConstraintDescription: 'Must be a valid ACM certificate ARN in us-east-1 region'
  
  CreateRoute53Record:
    Type: String
    Description: 'Create Route53 record for custom domain (requires existing hosted zone)'
    Default: 'No'
    AllowedValues:
      - 'Yes'
      - 'No'
  
  HostedZoneId:
    Type: String
    Description: 'Route53 Hosted Zone ID for the custom domain (required if creating Route53 record)'
    Default: ''

Conditions:
  ShouldCreateRoute53Record: !And
    - !Equals [!Ref CreateRoute53Record, 'Yes']
    - !Not [!Equals [!Ref HostedZoneId, '']]

Resources:
  # CloudFront Distribution
  CloudFrontDistribution:
    Type: AWS::CloudFront::Distribution
    Properties:
      DistributionConfig:
        Aliases:
          - !Ref CustomDomainName
        Comment: !Sub 'CloudFront distribution for WorkSpaces Web Portal - ${CustomDomainName}'
        Enabled: true
        HttpVersion: http2
        IPV6Enabled: false  # WorkSpaces Secure Browser does not support IPv6
        PriceClass: PriceClass_All
        
        # Origin Configuration
        Origins:
          - Id: WorkSpacesWebOrigin
            DomainName: !Ref PortalEndpoint
            CustomOriginConfig:
              HTTPSPort: 443
              OriginProtocolPolicy: https-only
              OriginSSLProtocols:
                - TLSv1.2
            OriginCustomHeaders:
              - HeaderName: workspacessecurebrowser-custom-domain
                HeaderValue: !Ref CustomDomainName
        
        # Default Cache Behavior
        DefaultCacheBehavior:
          TargetOriginId: WorkSpacesWebOrigin
          ViewerProtocolPolicy: https-only
          AllowedMethods:
            - GET
            - HEAD
            - OPTIONS
            - PUT
            - POST
            - PATCH
            - DELETE
          Compress: false
          # Cache Policy: CachingDisabled (using predefined managed policy)
          CachePolicyId: 4135ea2d-6df8-44a3-9df3-4b5a84be39ad
          # Origin Request Policy: AllViewerExceptHostHeader (using predefined managed policy)
          OriginRequestPolicyId: b689b0a8-53d0-40ab-baf2-68738e2966ac
        
        # SSL Configuration
        ViewerCertificate:
          AcmCertificateArn: !Ref CertificateArn
          SslSupportMethod: sni-only
          MinimumProtocolVersion: TLSv1.2_2021
      
      Tags:
        - Key: Name
          Value: !Sub '${AWS::StackName}-cloudfront'

  # Route 53 Record (optional - requires hosted zone to exist)
  Route53Record:
    Type: AWS::Route53::RecordSet
    Condition: ShouldCreateRoute53Record
    Properties:
      HostedZoneId: !Ref HostedZoneId
      Name: !Ref CustomDomainName
      Type: A
      AliasTarget:
        DNSName: !GetAtt CloudFrontDistribution.DomainName
        HostedZoneId: Z2FDTNDATAQYW2  # CloudFront Hosted Zone ID
        EvaluateTargetHealth: false

Outputs:
  PortalEndpoint:
    Description: 'WorkSpaces Web Portal endpoint used as origin'
    Value: !Ref PortalEndpoint
    Export:
      Name: !Sub '${AWS::StackName}-PortalEndpoint'
  
  CustomDomainEndpoint:
    Description: 'Custom domain endpoint for the portal'
    Value: !Sub 'https://${CustomDomainName}'
    Export:
      Name: !Sub '${AWS::StackName}-CustomDomainEndpoint'
  
  CloudFrontDistributionId:
    Description: 'CloudFront Distribution ID'
    Value: !Ref CloudFrontDistribution
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDistributionId'
  
  CloudFrontDomainName:
    Description: 'CloudFront Distribution Domain Name'
    Value: !GetAtt CloudFrontDistribution.DomainName
    Export:
      Name: !Sub '${AWS::StackName}-CloudFrontDomainName'
  
  CertificateArn:
    Description: 'SSL Certificate ARN used by CloudFront'
    Value: !Ref CertificateArn
    Export:
      Name: !Sub '${AWS::StackName}-CertificateArn'

Metadata:
  AWS::CloudFormation::Interface:
    ParameterGroups:
      - Label:
          default: "Existing Portal Configuration"
        Parameters:
          - PortalEndpoint
      - Label:
          default: "Custom Domain Configuration"
        Parameters:
          - CustomDomainName
          - CertificateArn
          - CreateRoute53Record
          - HostedZoneId
    ParameterLabels:
      PortalEndpoint:
        default: "Portal Endpoint"
      CustomDomainName:
        default: "Custom Domain Name"
      CertificateArn:
        default: "SSL Certificate ARN"
      CreateRoute53Record:
        default: "Create Route53 Record"
      HostedZoneId:
        default: "Hosted Zone ID"

このテンプレートを使用するには:

  1. 上記のテンプレートを として保存します。 workspaces-web-custom-domain-template.yaml

  2. コンソール AWS 、 AWS CLI、または AWS SDK と特定のパラメータ値を使用してデプロイする

  3. デプロイ後、以下のステップ 4 で説明されているように、カスタムドメインを使用してポータルを設定します。

ポータル設定

AWS コンソール、UpdatePortal API、または update-portal AWS CLI コマンドを使用して、カスタムドメインをポータル設定属性として登録します。

  1. https://console.aws.amazon.com/workspaces-web/home で WorkSpaces Secure Browser コンソールを開きます。

  2. ナビゲーションペインで、[ウェブポータル] を選択します。

  3. 設定するウェブポータルを選択し、編集を選択します。

  4. ポータル設定で、カスタムドメインを追加します。

  5. ポータル設定を保存します。

設定をテストする

設定をテストするには、次の手順に従います。

  1. ウェブブラウザを開き、カスタムドメインの URL ( などhttps://myportal.example.com) に移動します。

  2. すべてが正しく設定されている場合は、ポータルのサインインページが表示されます。

  3. 次に、ブラウザにポータル URL を入力します。IdP にログインすると、カスタムドメインにリダイレクトされます。

  4. 最後に、IdP にログインし、ポータルのアプリケーションタイルをクリックします。カスタムドメインにリダイレクトされます。