

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# インターフェイス VPC エンドポイントを作成およびストリーミングする
<a name="creating-streaming-vpc-endpoints"></a>

Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。Amazon Virtual Private Cloud を使用して AWS リソースをホストする場合は、VPC と WorkSpaces の間にプライベート接続を確立できます。この接続を使用すると、WorkSpaces はパブリックインターネットを経由せずに VPC のリソースと通信できます。

インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングし続けることができるテクノロジーである AWS PrivateLink を利用しています。 AWS Direct Connect または AWS 仮想プライベートネットワークトンネルで VPC を使用する場合、ストリーミングトラフィックをネットワーク内に保持できます。

 AWS アカウントの VPC エンドポイントを使用して、Amazon VPC と WorkSpaces 間のすべてのストリーミングトラフィックを AWS ネットワークに制限できます。エンドポイントを作成したら、それを使用するよう WorkSpaces ディレクトリを設定します。

## 前提条件と制限事項
<a name="vpc-prerequisites"></a>

WorkSpaces 用のインターフェイス VPC エンドポイントを設定する前に、以下の前提条件と制限に注意してください。
+ この機能は現在、IPv4 または IPv6 DNS レコードの IP タイプをサポートしています。デュアルスタック DNS レコードの IP タイプはサポートされていません。
+ ディレクトリ AWS アカウント と同じ にある VPC エンドポイントのみを設定できます。共有 VPC のエンドポイントを含め、他の AWS アカウント にある VPC エンドポイントはサポートされていません。
+ この機能は現在、WorkSpaces Personal でのみ使用できます。WorkSpaces Pools は、ストリーミング用の VPC エンドポイントをサポートしていません。
+ VPC エンドポイント機能は、Amazon DCV を使用する WorkSpaces に対してのみ使用できます。ディレクトリの VPC エンドポイントを設定すると、ユーザーはインターネット経由で Amazon DCV からストリーミングすることはできません。ただし、VPC エンドポイント設定中に、同じディレクトリにある PCoIP WorkSpaces のインターネットストリーミングを有効にできます。
+ VPC 内のストリーミングトラフィックを維持するには、ストリーミング VPC エンドポイントを使用します。WorkSpaces クライアントでは、ユーザー認証でインターネット接続が必要です。認証トラフィックのポート 443 (UDP と TCP の両方) でアウトバウンドアクセスを有効にします。さらに、選択した認証方法に基づき、必要なドメインと IP アドレスを許可リストに追加する必要があります。各カテゴリのドメインの完全なリストについては、「[Domains and IP addresses to add to your allow list](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#allowlisted_ports)」を参照してください。
  + CAPTCHA
  + ディレクトリ設定
  + スマートカードを使用している場合、セッション前のスマートカード認証エンドポイント
  + ユーザーログインページ
  + WS ブローカー
  + SAML シングルサインオン (SSO) 用の Workspaces エンドポイント
+ ユーザーのデバイスが接続されているネットワークは、VPC エンドポイントにトラフィックをルーティングできる必要があります。
+ `ec2:DescribeVpcEndpoints` API アクションを実行するには、 AWS アカウントの IAM ユーザーまたは IAM ロールの IAM アクセス許可ポリシーが必要です。
+ WorkSpaces ストリーミング VPC エンドポイントは FIPS 暗号化をサポートしていません。ディレクトリの FIPS 暗号化を既に有効にしている場合は、VPC エンドポイントの設定前に FIPS 暗号化を無効にする必要があります。
+ AWS Global Accelerator (AGA) 統合は、VPC エンドポイント経由でストリーミングする場合には使用できません。
+ VPC エンドポイントがディレクトリに設定されている場合、そのディレクトリに指定された IP アクセスコントロールグループは適用されなくなります。

## WorkSpaces ストリーミングの VPC エンドポイントを設定する
<a name="setting-up-vpc-endpoint"></a>

WorkSpaces ストリーミング用の VPC エンドポイントを設定するには、次の手順を実行します。

### ステップ 1: セキュリティグループを作成する
<a name="create-security-group"></a>

このステップでは、これから作成する VPC エンドポイントとの通信を WorkSpaces クライアントに許可するセキュリティグループを作成します。

1. Amazon EC2 コンソールのナビゲーションペインで、**[ネットワーク & セキュリティ]** から **[セキュリティグループ]** に移動します。

1. **[Create a new security group]** (新しいセキュリティグループを作成する) を選択します。

1. **[基本的な詳細]** で、次の操作を行います。
   + **[セキュリティグループ名]** – セキュリティグループの一意の名前を入力します。
   + **[説明]** – セキュリティグループの目的を説明するテキストを入力します。
   + **[VPC]** – VPC エンドポイントがある VPC を選択します。

1. **[インバウンドルール]** に移動し、**[ルールを追加]** を選択して TCP トラフィックのインバウンドルールを作成します。

1. 次のように入力します。
   + **[タイプ]** – [カスタム TCP] を選択します。
   + **[ポート範囲]** – ポート番号 `443`、`4195` を入力します。
   + **[ソースタイプ]** – [カスタム] を選択します。
   + **[ソース]** – ユーザーが VPC エンドポイントに接続するプライベート IP CIDR 範囲、またはその他のセキュリティグループ ID を入力します。IPv4 または IPv6 アドレスソースからのインバウンドトラフィックを許可してください。

1. CIDR 範囲またはセキュリティグループごとに、ステップ 4 と 5 を繰り返します。

1. **[インバウンドルール]** に移動し、**[ルールを追加]** を選択して UDP トラフィックのインバウンドルールを作成します。

1. 次のように入力します。
   + **[タイプ]** – **[カスタム UDP]** を選択します。
   + **[ポート範囲]** – ポート番号 443、4195 を入力します。
   + **[ソースタイプ]** – **[カスタム]** を選択します。
   + **ソース** – ステップ 5 で入力したのと同じプライベート IP CIDR 範囲またはセキュリティグループ ID を入力します。IPv4 または IPv6 アドレスソースからのインバウンドトラフィックを許可してください。

1. CIDR 範囲またはセキュリティグループごとに、ステップ 7 と 8 を繰り返します。

1. **[Create a new security group]** (新しいセキュリティグループを作成する) を選択します。

### ステップ 2: VPC エンドポイントを作成する
<a name="create-vpc-endpoint"></a>

Amazon VPC では、VPC エンドポイントを使用して、VPC をサポートされている AWS サービスに接続できます。この例では、WorkSpaces のユーザーが WorkSpaces からストリーミングできるように Amazon VPC を設定します。

1. [Amazon VPC コンソール](https://console.aws.amazon.com/vpc/) を開きます。

1. ナビゲーションペインで、**[エンドポイント]**、**[エンドポイントの作成]** の順に選択します。

1. **[エンドポイントの作成]** を選択します。

1. 以下のことを確認してください。
   + **[サービスカテゴリ]** – **[AWS サービス]**が選択されているようにしてください。
   + **[サービス名]** – **[com.amazonaws.{{Region}}.highlander]** を選択します。
   + **[VPC]** で、インターフェイスエンドポイントを作成する VPC を選択します。ネットワークが VPC エンドポイントにトラフィックをルーティングする限り、WorkSpaces リソースを持つ VPC とは異なる VPC を選択できます。
   + **[プライベート DNS 名を有効にする]** – チェックボックスがオンになっていることを確認します。下位互換性のためにパブリック DNS 名を使用する場合でも、選択したままにしておくことをお勧めします。ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。DNS 名前解決を成功させるには、VPC 内のプライベート DNS サーバーを使用することが重要です。これは、パブリック DNS サーバーでは VPC エンドポイント DNS 名を解決しないためです。
   + **[DNS レコードの IP タイプ]** – IPv4 または IPv6 を選択します。デュアルスタック DNS レコード IP タイプは現在サポートされていません。デュアルスタックを選択した場合、VPC エンドポイントを使用して WorkSpaces からストリーミングすることはできません。
   + **[サブネット]** – VPC エンドポイントを作成するサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのサブネットを選択することをお勧めします。
   + **[IP アドレスタイプ]** – 選択したサブネットのサポート対象に応じて、IPv4、IPv6、またはデュアルスタックを選択します。
   + **[セキュリティグループパネル]** – 先ほど作成したセキュリティグループを選択します。

1. (オプション) **[タグ]** パネルで、1 つ以上のタグを作成できます。

1. **[エンドポイントを作成]** を選択します。

エンドポイントの準備ができると、[**ステータス**] 列の値が [**Available**] (利用可能) に変わります。

### ステップ 3: VPC エンドポイントを使用するよう WorkSpaces ディレクトリを設定する
<a name="configure-directory-vpc-endpoint"></a>

ストリーミング用に作成した VPC エンドポイントを使用するよう WorkSpaces ディレクトリを設定する必要があります。

1. VPC エンドポイントと同じ AWS リージョンで [WorkSpaces コンソール](https://console.aws.amazon.com/workspaces/v2/home)を開きます。

1. **ナビゲーション**ペインで、**[ディレクトリ]** をクリックします。

1. 使用するディレクトリを選択します。

1. **[VPC エンドポイント]** セクション、**[編集]** の順に移動します。

1. **[VPC エンドポイントの編集]** ダイアログボックスの **[ストリーミングエンドポイント]** で、作成した VPC エンドポイントを選択します。ディレクトリごとに選択できる VPC エンドポイントは 1 つだけです。

1. 必要に応じて、**[PCoIP WorkSpaces を使用するユーザーにインターネットからのストリーミングを許可する]** を有効にします。
**注記**  
有効にすると、ユーザーはパブリックインターネット経由で PCoIP WorkSpaces からストリーミングすることができます。有効にしない場合、PCoIP WorkSpaces はストリーミング用の VPC エンドポイントをサポートしていないため、ディレクトリの PCoIP WorkSpaces にアクセスできなくなります。

1. **[保存]** を選択します。

新しいストリーミングセッションのトラフィックは、この VPC エンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。

**注記**  
VPC エンドポイントが指定されている場合、DCV WorkSpaces を使用するユーザーはパブリックインターネットを使用してのストリーミングはできません。

## VPC エンドポイント DNS 名について
<a name="vpc-endpoint-dns-names"></a>

WorkSpaces ストリーミング用のインターフェイス VPC エンドポイントを作成すると、 は WorkSpaces クライアントが接続に使用できるエンドポイントに 2 つの DNS 名 AWS を自動的に割り当てます。

**一意のパブリックに解決可能な DNS 名**

グローバルに一意でパブリックに解決可能な DNS 名を 形式で指定します。

```
vpce-<endpoint-id>-<random-string>.prod.highlander.<region>.vpce.amazonaws.com
```

この DNS 名は VPC エンドポイントごとに一意です。パブリックに解決可能 (誰でもクエリできます) ですが、VPC または接続されたネットワーク内 (VPN または AWS Direct Connect 経由) からのみアクセス可能なプライベート IP アドレスを VPC から返します。

**一般的なプライベート DNS 名**

次の形式の共有プライベート DNS 名。

```
privatelink.prod.<region>.highlander.aws.a2z.com
```

この DNS 名は、同じリージョン内のすべての VPC エンドポイント間で共有され、VPC エンドポイントがある VPC 内でのみ、その VPC 内のプライベート DNS リゾルバーを使用して解決されます。この DNS 名は、既存のデプロイとの下位互換性のために維持されます。

WorkSpaces クライアントは、デフォルトで一意のパブリックに解決可能な DNS 名を自動的に使用し、必要に応じて汎用 DNS 名に自動的にフォールバックします。既存のお客様には何もする必要はありません。

VPC エンドポイントの一意のパブリックに解決可能な DNS 名を見つけるには:

1. [Amazon VPC コンソール](https://console.aws.amazon.com/vpc/) を開きます。

1. ナビゲーションペインで、[エンドポイント] を選択します。

1. WorkSpaces インターフェイス VPC エンドポイント (サービス名: com.amazonaws.{{Region}}.highlander) を選択します。

1. 詳細タブで、DNS 名セクションを見つけます。

1. 一意のパブリックに解決可能な DNS 名は、リージョン DNS 名として一覧表示されます。

## ネットワークの要件
<a name="vpc-endpoint-network-requirements"></a>

ファイアウォールまたはプロキシが以下へのアクセスを許可していることを確認します。

```
*.prod.highlander.<region>.vpce.amazonaws.com
privatelink.prod.<region>.highlander.aws.a2z.com
```

を自分の AWS リージョン`<region>`に置き換えます (例: `us-east-1`、`eu-west-1`)。

DCV ストリーミングにも同じポート要件が適用されます。

WorkSpaces クライアント接続にプロキシを使用する場合は、プロキシを介して VPC エンドポイント DNS 名を許可する必要があります。DNS 名の解決を成功させるには、VPC 内のプライベート DNS サーバーを使用します。パブリック DNS サーバーは DNS 名を解決しますが、返されたプライベート IP アドレスは VPC の外部からアクセスできません。