翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# WorkSpaces Pools のネットワークとアクセス
以下のトピックでは、ユーザーの WorkSpaces Pools への接続、および WorkSpaces Pools からネットワークリソースとインターネットへのアクセスを有効にするための情報を提供します。
**Topics**
+ [WorkSpaces Pools のインターネットアクセス](internet-access.md)
+ [WorkSpaces Pools 用に VPC を設定する](appstream-vpc.md)
+ [WorkSpaces Pools で FedRAMP 認証または DoD SRG コンプライアンスを設定する](fips-encryption-pools.md)
+ [WorkSpaces Pools 機能で Amazon S3 VPC エンドポイントを使用する](managing-network-vpce-iam-policy.md)
+ [WorkSpaces Pools の VPC への接続](pools-port-requirements.md)
+ [WorkSpaces Pools へのユーザー接続](user-connections-to-appstream2.md)
# WorkSpaces Pools のインターネットアクセス
WorkSpaces Pools の WorkSpaces でインターネットアクセスが必要な場合は、いくつかの方法で有効にできます。インターネットアクセスを有効にする方法を選択するときは、デプロイでサポートする必要があるユーザーの数とデプロイの目標を考慮してください。次に例を示します:
+ デプロイで 100 を超える同時実行ユーザーをサポートする必要がある場合は、[プライベートサブネットと NAT ゲートウェイを使用して VPC を設定](managing-network-internet-NAT-gateway.md)します。
+ デプロイでサポートされる同時実行ユーザー数が 100 未満の場合は、[パブリックサブネットを使用して新規または既存の VPC を設定](managing-network-default-internet-access.md)できます。
+ デプロイでサポートされる同時実行ユーザー数が 100 未満で、WorkSpaces Pools を初めて導入しサービスの使用を開始する場合は、[デフォルトの VPC、パブリックサブネット、セキュリティグループを使用](managing-network-default-internet-access.md)できます。
以下のセクションでは、これらの各デプロイオプションについて詳しく説明します。
+ [プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md) (推奨) — この設定では、プライベートサブネットで WorkSpaces Pools ビルダーを起動し、VPC のパブリックサブネットで NAT ゲートウェイを設定します。ストリーミングインスタンスには、インターネットから直接アクセスできないプライベート IP アドレスが割り当てられます。
また、**[既定のインターネットアクセス]** オプションを使用してインターネットアクセスを有効にする設定とは異なり、NAT 設定 では WorkSpaces Pools の WorkSpaces 数が 100 に制限されません。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、この設定を使用します。
NAT ゲートウェイで使用する新しい VPC を作成して設定することも、既存の VPC に NAT ゲートウェイを追加することもできます。
+ [パブリックサブネットを使用して新しい VPC または既存の VPC を設定する](managing-network-default-internet-access.md) — この設定では、WorkSpaces Pools をパブリックサブネットで起動します。このオプションを有効にすると、WorkSpaces Pools は Amazon VPC パブリックサブネットのインターネットゲートウェイを使用してインターネット接続を提供します。ストリーミングインスタンスには、インターネットから直接アクセスできるパブリック IP アドレスが割り当てられます。この目的のために、新しい VPC を作成するか、既存の VPC を設定できます。
**注記**
パブリックサブネットを使用して新規または既存の VPC を設定する場合、WorkSpaces Pools で最大 100 の WorkSpaces がサポートされます。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、代わりに[NAT ゲートウェイ設定](managing-network-internet-NAT-gateway.md)を使用します。
+ [デフォルト VPC、パブリックサブネット、およびセキュリティグループの使用](default-vpc-with-public-subnet.md) — WorkSpaces Pools を初めて導入してサービスの使用を開始する場合は、デフォルトのパブリックサブネットで WorkSpaces Pools を起動できます。このオプションを有効にすると、WorkSpaces Pools は Amazon VPC パブリックサブネットのインターネットゲートウェイを使用してインターネット接続を提供します。ストリーミングインスタンスには、インターネットから直接アクセスできるパブリック IP アドレスが割り当てられます。
デフォルトの VPC は、2013 年 12 月 4 日以降に作成された Amazon Web Services アカウントで使用できます。
デフォルト VPC には、各アベイラビリティーゾーンのデフォルトのパブリックサブネットと、VPC にアタッチされたインターネットゲートウェイが含まれます。VPC にはデフォルトのセキュリティグループも含まれます。
**注記**
デフォルトの VPC、パブリックサブネット、セキュリティグループを使用する場合、WorkSpaces Pools で最大 100 の WorkSpaces がサポートされます。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、代わりに[NAT ゲートウェイ設定](managing-network-internet-NAT-gateway.md)を使用します。
# WorkSpaces Pools 用に VPC を設定する
WorkSpaces Pools を設定するときに、WorkSpaces を起動する仮想プライベートクラウド (VPC) と、少なくとも 1 つのサブネットを指定する必要があります。VPC は、Amazon Web Services クラウド内の論理的に分離された領域にある仮想ネットワークです。サブネットは、VPC の IP アドレスの範囲です。
VPC を WorkSpaces Pools に設定する場合、パブリックサブネットとプライベートサブネットのいずれか、または両方のタイプのサブネットを組み合わせて指定できます。パブリックサブネットは、インターネットゲートウェイを介してインターネットに直接アクセスできます。インターネットゲートウェイへのルートを持たないプライベートサブネットには、インターネットへのアクセスを提供するためにネットワークアドレス変換 (NAT) ゲートウェイまたは NAT インスタンスが必要です。
**Topics**
+ [WorkSpaces Pools の VPC セットアップの推奨事項](vpc-setup-recommendations.md)
+ [プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)
+ [パブリックサブネットを使用して新しい VPC または既存の VPC を設定する](managing-network-default-internet-access.md)
+ [デフォルト VPC、パブリックサブネット、およびセキュリティグループの使用](default-vpc-with-public-subnet.md)
# WorkSpaces Pools の VPC セットアップの推奨事項
WorkSpaces Pools を作成するときは、VPC および使用する 1 つ以上のサブネットを指定します。セキュリティグループを指定することで、VPC に対する追加のアクセスコントロールを提供できます。
以下の推奨事項は、VPC をより効果的かつ安全に設定するのに役立ちます。また、WorkSpaces Pools の効果的なスケーリングをサポートする環境の設定にも役立ちます。WorkSpaces Pools の効果的なスケーリングにより、不必要なリソースの使用と関連コストを回避しながら、WorkSpaces Pools ユーザーの現在の需要や予想される需要に対応できます。
**VPC 全体の設定**
+ WorkSpaces Pools のスケーリングのニーズに確実に対応できる VPC 設定にします。
WorkSpaces Pools のスケーリングの計画を作成する際には、1 人のユーザーが 1 つの WorkSpaces を必要とすることに注意してください。したがって、WorkSpaces Pools のサイズによって、同時にストリーミングできるユーザーの数が決まります。このため、使用する[インスタンスタイプ](instance-types.md)ごとに、VPC がサポートできる WorkSpaces の数が、同じインスタンスタイプで予想される同時ユーザー数よりも多いことを確認します。
+ WorkSpaces Pools アカウントのクォータ (制限とも呼ばれる) が、予想される需要に対応するのに十分であることを確認します。クォータの引き上げをリクエストするには、[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/) の [Service Quotas] コンソールを使用します。デフォルトの WorkSpaces Pools クォータに関する情報は、「[Amazon WorkSpaces のクォータ](workspaces-limits.md)」を参照してください。
+ WorkSpaces Pools の WorkSpaces にインターネットへのアクセスを提供する場合は、ストリーミングインスタンス用の 2 つのプライベートサブネットと、パブリックサブネットの NAT ゲートウェイで、VPC を設定することをお勧めします。
NAT ゲートウェイを使用すると、プライベートサブネットの WorkSpaces をインターネットやその他の AWS サービスに接続できます。ただし、インターネットはこれらの WorkSpaces との接続を開始できません。また、**[既定のインターネットアクセス]** オプションを使用してインターネットアクセスを有効にする設定とは異なり、NAT 設定 では 100 以上の WorkSpaces がサポートされます。詳細については、「[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)」を参照してください。
**弾性ネットワークインターフェース**
+ WorkSpaces Pools は、WorkSpaces Pools で必要となる最大容量と同等の [Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ネットワークインターフェイス) を作成します。デフォルトでは、リージョンごとのネットワークインターフェイスの制限は 5000 です。
何千もの WorkSpaces など、非常に大規模なデプロイの容量を計画する場合は、同じリージョンで使用される Amazon EC2 インスタンスの数も考慮してください。
**サブネット**
+ VPC に複数のプライベートサブネットを設定する場合は、それぞれを異なるアベイラビリティーゾーンで設定します。これにより、耐障害性が向上し、容量不足エラーを防ぐことができます。同じ AZ で 2 つのサブネットを使用する場合、WorkSpaces Pools は 2 つ目のサブネットを使用しないため、IP アドレスが不足する可能性があります。
+ アプリケーションに必要なネットワークリソースが、両方のプライベートサブネットを通じてアクセスできることを確認します。
+ 各プライベートサブネットに、予想される同時ユーザーの最大数を考慮するのに十分な数のクライアント IP アドレスを許可するサブネットマスクを設定します。また、予想される増加に対応するために、追加の IP アドレスを許可します。詳細については、[VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) を参照してください。
+ NAT で VPC を使用している場合は、インターネットアクセス用の NAT ゲートウェイを持つパブリックサブネットを少なくとも 1 つ、できれば 2 つ設定します。プライベートサブネットが存在する同じアベイラビリティーゾーンにパブリックサブネットを設定します。
WorkSpaces Pools の大規模なデプロイで耐障害性を強化し、容量不足エラーの可能性を軽減するために、VPC 設定を 3 番目のアベイラビリティーゾーンに拡張することを検討してください。この追加のアベイラビリティーゾーンに、プライベートサブネット、パブリックサブネット、および NAT ゲートウェイを含めます。
**セキュリティグループ**
+ セキュリティグループを使用して、VPC への追加のアクセスコントロールを提供します。
VPC に属するセキュリティグループを使用すると、WorkSpaces Pools ストリーミングインスタンスとアプリケーションに必要なネットワークリソースの間のネットワークトラフィックを制御できます。これらのリソースには、Amazon RDS や Amazon FSx、ライセンスサーバー、データベースサーバー、ファイルサーバー、アプリケーションサーバーなどの他の AWS サービスが含まれる場合があります。
+ アプリケーションに必要なネットワークリソースへのアクセスが、セキュリティグループで許可されていることを確認してください。
セキュリティグループに関する一般的な情報については、*「Amazon VPC ユーザーガイド*」の[「セキュリティグループを使用して AWS リソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。
# プライベートサブネットの VPC および NAT ゲートウェイを設定する
WorkSpaces Pools の WorkSpaces にインターネットへのアクセスを提供する場合は、WorkSpaces 用の 2 つのプライベートサブネットと、パブリックサブネットの NAT ゲートウェイで、VPC を設定することをお勧めします。NAT ゲートウェイで使用する新しい VPC を作成して設定することも、既存の VPC に NAT ゲートウェイを追加することもできます。VPC 設定のその他の推奨事項については、[WorkSpaces Pools の VPC セットアップの推奨事項](vpc-setup-recommendations.md) を参照してください。
NAT ゲートウェイは、プライベートサブネット内の WorkSpaces がインターネットまたは他の AWS サービスに接続できるようにしますが、インターネットがそれらの WorkSpaces との接続を開始できないようにします。また、**[既定のインターネットアクセス]** オプションを使用して WorkSpaces のインターネットアクセスを有効にする設定とは異なり、この設定では WorkSpaces 数が 100 に制限されません。
NAT ゲートウェイと本設定の使用については、*Amazon VPC ユーザーガイド*の [NAT Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) と [VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) を参照してください。
**Topics**
+ [新しい VPC の作成と設定](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [既存の VPC に NAT ゲートウェイを追加する](add-nat-gateway-existing-vpc.md)
+ [WorkSpaces Pools のインターネットアクセスを有効にする](managing-network-manual-enable-internet-access.md)
# 新しい VPC の作成と設定
このトピックでは、VPC ウィザードを使用して、パブリックサブネットと 1 つのプライベートサブネットを持つ VPC を作成する方法について説明します。このプロセスの一環として、ウィザードはインターネットゲートウェイと NAT ゲートウェイを作成します。また、パブリックサブネットに関連付けられたカスタムルートテーブルを作成し、プライベートサブネットに関連付けられたメインルートテーブルを更新します。NAT ゲートウェイは、VPC のパブリックサブネットで自動的に作成されます。
ウィザードを使用して初期 VPC 設定を作成したら、2 つ目のプライベートサブネットを追加します。この設定の詳細については、*Amazon VPC ユーザーガイド*の [VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) を参照してください。
**注記**
すでに VPC がある場合は、代わりに、[既存の VPC に NAT ゲートウェイを追加する](add-nat-gateway-existing-vpc.md) のステップを実行します。
**Topics**
+ [ステップ 1: Elastic IP アドレスの割り当て](#allocate-elastic-ip)
+ [ステップ 2: 新しい VPC を作成する](#vpc-with-private-and-public-subnets-nat)
+ [ステップ 3: 2 番目のプライベートサブネットの追加](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [ステップ 4: サブネットルートテーブルの検証と名前付け](#verify-name-route-tables)
## ステップ 1: Elastic IP アドレスの割り当て
VPC を作成する前に、WorkSpaces リージョンに Elastic IP アドレスを割り当てる必要があります。最初に VPC で使用する Elastic IP アドレスを割り当てて、NAT ゲートウェイに関連付ける必要があります。詳細については、*Amazon VPC ユーザーガイド*の [Elastic IP Addresses](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) を参照してください。
**注記**
使用する Elastic IP アドレスには料金が適用される場合があります。詳しい情報については、Amazon EC2 の料金ページの [Elastic IP Addresses](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses) を参照してください。
Elastic IP アドレスをまだ持っていない場合は、以下のステップを実行します。既存の Elastic IP アドレスを使用する場合は、そのアドレスが別のインスタンスやネットワークインターフェイスに現在関連付けられていないことを確認します。
**Elastic IP アドレスを割り当てるには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ナビゲーションペインの [**Network & Security**] で、[**Elastic IPs**] を選択します。
1. [**Allocate New Address (新しいアドレスの割り当て)**] を選択し、続いて [**Allocate (割り当て)**] を選択します。
1. Elastic IP アドレスを書き留めます。
1. [**Elastic IP**] ペインの右上にある [X] アイコンをクリックしてペインを閉じます。
## ステップ 2: 新しい VPC を作成する
パブリックサブネットと 1 つのプライベートサブネットを持つ新しい VPC を作成するには、次のステップを実行します。
**新しい VPC を作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、[**VPC ダッシュボード**] を選択します。
1. **Launch VPC Wizard** (VPC ウィザードの起動 ) を選択します。
1. [**Step 1: Select a VPC Configuration (ステップ 1: VPC 設定を選択する)**] ページで [**VPC with Public and Private Subnets (パブリックサブネットとプライベートサブネットを持つ VPC)**] を選択し、[**Select (選択)**] を選択します。
1. [**Step 2: VPC with Public and Private Subnets (ステップ 2: パブリックサブネットとプライベートサブネットを持つ VPC)**] で、VPC を次のように設定します。
+ [**IPv4 CIDR block (IPv4 CIDR ブロック)**] では、VPC 用の IPv4 CIDR ブロックを指定します。
+ [**IPv6 CIDR ブロック**] は、デフォルト値の、[**No IPv6 CIDR Block (IPv6 CIDR ブロックなし)**] のままにしておきます。
+ [**VPC name (VPC 名)**] にキーの一意の名前を入力します。
1. パブリックサブネットを次のように設定します。
+ [**Public subnet's IPv4 CIDR (パブリックサブネットの IPv4 CIDR)**] に、サブネットの CIDR ブロックを指定します。
+ [**Availability Zone (アベイラビリティーゾーン)**] では、デフォルト値の、[**No Preference (指定なし)**] のままにしておきます。
+ [**Public subnet name (パブリックサブネット名)**] に、サブネットの名前を入力します (例: `WorkSpaces Public Subnet`)。
1. 最初のプライベートサブネットを次のように設定します。
+ [**Private subnet's IPv4 CIDR (プライベートサブネットの IPv4 CIDR)**] に、サブネットの CIDR ブロックを入力します。指定した値を書き留めておきます。
+ [**Availability Zone (アベイラビリティーゾーン)**] で、特定のゾーンを選択し、選択したゾーンを書き留めます。
+ [**Private subnet name (プライベートサブネット名)**] に、サブネットの名前を入力します (例: `WorkSpaces Private Subnet1`)。
+ 残りのフィールドについては、該当する場合は、デフォルト値をそのまま使用します。
1. [**Elastic IP Allocation ID (Elastic IP 割り当て ID)**] で、テキストボックスをクリックし、作成した Elastic IP アドレスに対応する値を選択します。このアドレスは NAT ゲートウェイに割り当てられます。Elastic IP アドレスがない場合は、[https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) の Amazon VPC コンソールを使用して作成します。
1. [**Service endpoints (サービスエンドポイント)**] で、環境に Amazon S3 エンドポイントが必要な場合は、エンドポイントを指定します。S3 エンドポイントは、ユーザーに[ホームフォルダ](persistent-storage.md#home-folders)へのアクセスを提供したり、プライベートネットワークのユーザーに対して[アプリケーション設定の永続性](app-settings-persistence.md)を有効にしたりするために必要です。
Amazon S3 エンドポイントを指定するには、次の手順を実行します。
1. [**Add Endpoint (エンドポイントの追加)**] を選択します。
1. [**Service (サービス)**] で、末尾が「s3」(VPC が作成されるリージョンに対応する `com.amazonaws.`*region*`.s3` エントリ)で終わるエントリをリストから選択します。
1. [**Subnet (サブネット)**] で、[**Private subnet (プライベートサブネット)**] を選択します。
1. [**Policy (ポリシー)**] では、既定値の [**Full Access (フルアクセス)**] のままにします。
1. [**Enable DNS hostnames (DNS ホスト名を有効にする)**] では、デフォルト値の [**Yes (はい)**] のままにします。
1. [**Hardware tenancy (ハードウェアテナンシー)**] では、デフォルト値の [**Default (デフォルト)**] のままにします。
1. [**Create VPC**] を選択します。
1. VPC の設定には数分かかることに注意してください。VPC が作成されたら、[**OK**] を選択します。
## ステップ 3: 2 番目のプライベートサブネットの追加
前のステップ ([ステップ 2: 新しい VPC を作成する](#vpc-with-private-and-public-subnets-nat)) で、1 つのパブリックサブネットと 1 つのプライベートサブネットを持つ VPC を作成しました。2 つ目のプライベートサブネットを追加するには、以下のステップを実行します。1 つ目のプライベートサブネットとは異なるアベイラビリティーゾーンに 2 つ目のプライベートサブネットを追加することをお勧めします。
1. ナビゲーションペインで、[**サブネット**] を選択してください。
1. 前のステップで作成した最初のプライベートサブネットを選択します。サブネットのリストの下にある [**Description (説明)**] タブで、このサブネットのアベイラビリティーゾーンを書き留めます。
1. サブネットペインの左上にある [**Create Subnet (サブネットの作成)**] を選択します。
1. [**Name tag (名前タグ)**] に、プライベートサブネットの名前を入力します (例: `WorkSpaces Private Subnet2`)。
1. [**VPC**] では、前のステップで作成した VPC を選択します。
1. [**Availability Zone (アベイラビリティーゾーン)**] で、最初のプライベートサブネットに使用しているアベイラビリティーゾーン以外のアベイラビリティーゾーンを選択します。別のアベイラビリティーゾーンを選択すると、耐障害性が向上し、容量不足エラーを防ぐのに役立ちます。
1. [**IPv4 CIDR block (IPv4 CIDR ブロック)**] の場合は、新しいサブネットの一意の CIDR ブロック範囲を指定します。たとえば、最初のプライベートサブネットの IPv4 CIDR ブロック範囲が `10.0.1.0/24` である場合、新しいプライベートサブネットに `10.0.2.0/24` CIDR ブロック範囲を指定できます。
1. **[作成]** を選択します。
1. サブネットが作成されたら、[**Close (閉じる)**] を選択します。
## ステップ 4: サブネットルートテーブルの検証と名前付け
VPC を作成して設定したら、以下のステップを実行してルートテーブルの名前を指定し、そのことを確認します。
+ NAT ゲートウェイが存在するサブネットに関連付けられたルートテーブルには、インターネットゲートウェイへのインターネットトラフィックを指すルートが含まれます。これにより、NAT ゲートウェイがインターネットにアクセスできるようになります。
+ プライベートサブネットに関連付けられたルートテーブルは、インターネットトラフィックを NAT ゲートウェイに向けるように設定されます。これにより、プライベートサブネットのストリーミングインスタンスがインターネットと通信できるようになります。
1. ナビゲーションペインで [**Subnets (サブネット)**] を選択し、作成したパブリックサブネットを選択します (例: `WorkSpaces Public Subnet`)。
1. [**Route Table (ルートテーブル)**] タブで、ルートテーブルの ID を選択します(たとえば、`rtb-12345678`)。
1. ルートテーブルを選択します。[**名前**] の下で編集アイコン(鉛筆)を選択し、名前(例: `workspaces-public-routetable`)を入力してから、チェックマークを選択して名前を保存します。
1. パブリックルートテーブルを選択したまま、[**ルート**] タブで、ローカルトラフィック用に 1 つのルートが存在し、他のすべてのトラフィックをインターネットゲートウェイに送信する VPC 用の別のルートがあることを確認します。以下のテーブルでは、これらの 2 つのルートについて説明しています。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. ナビゲーションペインで [**サブネット**] を選択し、作成した最初のプライベートサブネットを選択します (例: `WorkSpaces Private Subnet1`)。
1. [**ルートテーブル**] タブで、ルートテーブルの ID を選択します。
1. ルートテーブルを選択します。[**名前**] の下で編集アイコン (鉛筆) を選択し、名前 (例: `workspaces-private-routetable`) を入力してから、チェックマークを選択して名前を保存します。
1. [**Routes (ルート)**] タブで、ルートテーブルに次のルートが含まれていることを確認します。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. ナビゲーションペインで [**サブネット**] を選択し、作成した 2 番目のプライベートサブネットを選択します (例: `WorkSpaces Private Subnet2`)。
1. [**ルートテーブル**] タブで、ルートテーブルがプライベートルートテーブルであることを確認します (例: `workspaces-private-routetable`)。ルートテーブルが異なる場合は、[**編集**] を選択してこのルートテーブルを選択します。
**次のステップ**
WorkSpaces Pools の WorkSpaces でインターネットにアクセスできるようにするには、「[WorkSpaces Pools のインターネットアクセスを有効にする](managing-network-manual-enable-internet-access.md)」の手順を実行します。
# 既存の VPC に NAT ゲートウェイを追加する
すでに VPC を設定している場合は、次のステップを実行して NAT ゲートウェイを VPC に追加します。新しい VPC を作成する必要がある場合は、「[新しい VPC の作成と設定](create-configure-new-vpc-with-private-public-subnets-nat.md)」を参照してください。
**既存の VPC に NAT ゲートウェイを追加するには**
1. NAT ゲートウェイを作成するには、*Amazon VPC ユーザーガイド*の [Creating a NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating) の手順を完了します。
1. VPC に少なくとも 1 つのプライベートサブネットがあることを確認します。高可用性と耐障害性のために異なるアベイラビリティーゾーンから 2 つのプライベートサブネットを指定することをお勧めします。2 番目のプライベートサブネットを作成する方法については、「[ステップ 3: 2 番目のプライベートサブネットの追加](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)」を参照してください。
1. 1 つ以上のプライベートサブネットに関連付けられたルートテーブルを更新して、インターネットバウンドトラフィックを NAT ゲートウェイに向かわせます。これにより、プライベートサブネットのストリーミングインスタンスがインターネットと通信できるようになります。そのためには、*Amazon VPC ユーザーガイド*の [Updating Your Route Table](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route) の手順を完了してください。
**次のステップ**
WorkSpaces Pools の WorkSpaces でインターネットにアクセスできるようにするには、「[WorkSpaces Pools のインターネットアクセスを有効にする](managing-network-manual-enable-internet-access.md)」の手順を実行します。
# WorkSpaces Pools のインターネットアクセスを有効にする
NAT ゲートウェイが VPC で利用可能になったら、WorkSpaces Pools でインターネットアクセスを有効にできます。[WorkSpaces Pools ディレクトリ を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)ときに、インターネットアクセスを有効にできます。ディレクトリの作成時に NAT ゲートウェイを持つ VPC を選択します。次に、**[サブネット 1]** にプライベートサブネットを選択し、オプションで **[サブネット 2]** に別のプライベートサブネットを選択します。VPC にプライベートサブネットがない場合は、2 つ目のプライベートサブネットを作成する必要があります。
WorkSpaces Pools を開始し、プール内の WorkSpace に接続してインターネット参照を行うことによって、インターネット接続をテストできます。
# パブリックサブネットを使用して新しい VPC または既存の VPC を設定する
2013-12-04 以降に Amazon Web Services アカウントを作成した場合、各 AWS リージョンにデフォルトのパブリックサブネットを含むデフォルトの [VPC](default-vpc-with-public-subnet.md) があります。ただし、WorkSpaces Pools ディレクトリで使用するために、デフォルト以外の独自の VPC を作成することも、既存の VPC を設定することもできます。このトピックでは、WorkSpaces Pools で使用するデフォルト以外の VPC とパブリックサブネットを設定する方法について説明します。
VPC とパブリックサブネットを設定したら、**[既定のインターネットアクセス]** オプションを有効にすることで WorkSpaces Pools の WorkSpaces にインターネットへのアクセスを提供できます。このオプションを有効にすると、WorkSpaces Pools では、ストリーミングインスタンスからパブリックサブネットにアタッチされたネットワークインターフェイスに [Elastic IP アドレス](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)を関連付けることにより、インターネット接続が有効になります。Elastic IP アドレスは、インターネットからアクセス可能なパブリック IPv4 アドレスです。このため、WorkSpaces Pools の WorkSpaces へのインターネットアクセスを提供する際には NAT ゲートウェイを使用することをお勧めします。また、**[既定のインターネットアクセス]** が有効になっている場合、最大 100 の WorkSpaces がサポートされます。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、代わりに[NAT ゲートウェイ設定](managing-network-internet-NAT-gateway.md)を使用します。
詳細については、[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)のステップ を参照してください。VPC 設定のその他の推奨事項については、[WorkSpaces Pools の VPC セットアップの推奨事項](vpc-setup-recommendations.md) を参照してください。
**Topics**
+ [ステップ 1: パブリックサブネットで VPC を設定する](#vpc-with-public-subnet)
+ [ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする](#managing-network-enable-default-internet-access)
## ステップ 1: パブリックサブネットで VPC を設定する
以下のいずれかの方法を使用して、パブリックサブネットで既定以外の独自の VPC を設定できます。
+ [1 つのパブリックサブネットを持つ VPC を作成する](#new-vpc-with-public-subnet)
+ [既存の VPC を設定する](#existing-vpc-with-public-subnet)
### 1 つのパブリックサブネットを持つ VPC を作成する
VPC ウィザードを使用して新しい VPC を作成すると、ウィザードによってインターネットゲートウェイとパブリックサブネットに関連付けられたカスタムルートテーブルが作成されます。ルートテーブルは、VPC の外部のアドレスを宛先とするすべてのトラフィックをインターネットゲートウェイにルーティングします。この設定の詳細については、*Amazon VPC ユーザーガイド*の [VPC with a Single Public Subnet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html) を参照してください。
1. *Amazon VPC ユーザーガイド*の [Step 1: Create the VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) のステップを実行して、VPC を作成します。
1. WorkSpaces でインターネットにアクセスできるようにするには、「[ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする](#managing-network-enable-default-internet-access)」の手順を実行します。
### 既存の VPC を設定する
パブリックサブネットが設定されていない既存の VPC を使用する場合は、新しいパブリックサブネットを追加します。パブリックサブネットに加えて、VPC にインターネットゲートウェイをアタッチし、VPC 外部のアドレス宛てのすべてのトラフィックをインターネットゲートウェイにルーティングするルートテーブルも必要です。これらのコンポーネントを設定するには、次のステップを実行します。
1. パブリックサブネットを追加するには、[Creating a Subnet in Your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet) のステップを実行します。WorkSpaces Pools で使用する予定の既存の VPC を使用します。
VPC が IPv6 アドレス指定をサポートするように設定されている場合、[**IPv6 CIDR block (IPv6 CIDR ブロック)**] リストが表示されます。[**Don't assign Ipv6 (Ipv6 を割り当てない)**] を選択します。
1. インターネットゲートウェイを作成して VPC にアタッチするには、[Creating and Attaching an Internet Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway) のステップを実行します。
1. インターネットトラフィックがインターネットゲートウェイを介してルーティングされるようにサブネットを設定するには、[Creating a Custom Route Table](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing) に記載されているステップに従います。ステップ 5 では、[**Destination (宛先)**] に IPv4 形式 (`0.0.0.0/0`) を使用します。
1. WorkSpaces と Image Builder がインターネットにアクセスできるようにするには、「[ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする](#managing-network-enable-default-internet-access)」の手順を実行します。
## ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする
[WorkSpaces Pools ディレクトリ を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)ときに、インターネットアクセスを有効にできます。ディレクトリの作成時に、パブリックサブネットを持つ VPC を選択します。次に、**[サブネット 1]** でパブリックサブネットを選択し、オプションで **[サブネット 2]** に別のパブリックサブネットを選択します。
WorkSpaces Pools を開始し、プール内の WorkSpace に接続してインターネット参照を行うことによって、インターネット接続をテストできます。
# デフォルト VPC、パブリックサブネット、およびセキュリティグループの使用
Amazon Web Services アカウントが 2013-12-04 以降に作成された場合、各 AWS リージョンにデフォルトの VPC があります。デフォルト VPC には、各アベイラビリティーゾーンのデフォルトのパブリックサブネットと、VPC にアタッチされたインターネットゲートウェイが含まれます。VPC にはデフォルトのセキュリティグループも含まれます。WorkSpaces Pools を初めて導入してサービスの使用を開始する場合は、WorkSpaces Pools を作成するときに、デフォルトの VPC とセキュリティグループを選択したままにしておくことができます。次に、少なくとも 1 つのデフォルトサブネットを選択できます。
**注記**
Amazon Web Services アカウントが 2013 年 12 月 4 日より前に作成されている場合は、新しい VPC を作成するか、既存の VPC を WorkSpaces Pools で使用するように設定する必要があります。WorkSpaces Pools 用の 2 つのプライベートサブネットと、パブリックサブネットの NAT ゲートウェイで、VPC を手動で設定することをお勧めします。詳細については、「[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)」を参照してください。または、パブリックサブネットでデフォルト以外の VPC を設定することもできます。詳細については、「[パブリックサブネットを使用して新しい VPC または既存の VPC を設定する](managing-network-default-internet-access.md)」を参照してください。
[WorkSpaces Pools ディレクトリ を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)ときに、インターネットアクセスを有効にできます。
ディレクトリの作成時にデフォルトの VPC を選択します。デフォルトの VPC 名では、`vpc-`*vpc-id*` (No_default_value_Name)` という形式が使用されます。
次に、**[サブネット 1]** でデフォルトのパブリックサブネットを選択し、オプションとして **[サブネット 2]** で別のデフォルトのパブリックサブネットを選択します。デフォルトのサブネット名は、`subnet-`*subnet-id*` | (`*IPv4 CIDR ブロック*`) | Default in` *availability-zone* の形式を使用します。
WorkSpaces Pools を開始し、プール内の WorkSpace に接続してインターネット参照を行うことによって、インターネット接続をテストできます。
# WorkSpaces Pools で FedRAMP 認証または DoD SRG コンプライアンスを設定する
[Federal Risk and Authorization Management Program (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) または [Department of Defense(DoD) Cloud Computing Security Requirements Guide (SRG)](https://aws.amazon.com/compliance/dod/) に準拠するには、ディレクトリレベルで連邦情報処理標準 (FIPS) エンドポイント暗号化を使用するように Amazon WorkSpaces Pools を設定する必要があります。また、FedRAMP 認可を持っているか、DoD SRG に準拠している米国の AWS リージョンを使用する必要があります。
FedRAMP 認可レベル (Moderate または High) あるいは DoD SRG 影響レベル (2、4、または 5) は、Amazon WorkSpaces が使用されている米国の AWS リージョンによって異なります。各リージョンに適用される FedRAMP 認可と DoD SRG コンプライアンスのレベルについては、「[コンプライアンスプログラムによる対象範囲内のAWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
**要件**
+ WorkSpaces Pools ディレクトリは、エンドポイント暗号化に **[FIPS 140-2 承認モード]** を使用するように設定する必要があります。
**注記**
**[FIPS 140-2 承認モード]** 設定を使用するには、以下を確認してください。
WorkSpaces Pools ディレクトリは次のいずれかです。
新規であり、プールに関連付けられていない
停止済み状態の既存の Pool に関連付けられている
Pool ディレクトリは TCP に [https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html) が設定されています。
+ WorkSpaces Pools [は、FedRAMP 認可または DoD SRG 準拠の米国 AWS リージョン](https://aws.amazon.com/compliance/services-in-scope/)で作成する必要があります。
+ ユーザーは、次のいずれかの WorkSpaces クライアントアプリケーションから WorkSpaces にアクセスする必要があります。
+ macOS: 5.20.0 以降
+ Windows: 5.20.0 以降
+ Web Access
**FIPS エンドポイント暗号化を使用するには**
1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。
1. ナビゲーションペインで **[ディレクトリ]** を選択し、FedRAMP 認可と DoD SRG コンプライアンスに使用するディレクトリを選択します。
1. **[ディレクトリの詳細]** ページで、FIPS 暗号化モードに設定するディレクトリを選択します。
1. **[エンドポイントの暗号化]** セクションで、**[編集]** を選択し、**[FIPS 140-2 承認モード]** を選択します。
1. **[保存]** を選択します。
# WorkSpaces Pools 機能で Amazon S3 VPC エンドポイントを使用する
WorkSpaces Pools のアプリケーション設定の永続化または WorkSpaces Pools ディレクトリの ホームフォルダを有効にすると、WorkSpaces はディレクトリに指定した VPC を使用して Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを提供します。WorkSpaces Pools からプライベート S3 エンドポイントへのアクセスを有効にするには、以下のカスタムポリシーを Amazon S3 の VPC エンドポイントにアタッチします。プライベート Amazon S3 エンドポイントの詳細については、*Amazon VPC ユーザーガイド*の [VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) および [Endpoints for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) を参照してください。
------
#### [ Commercial AWS リージョン ]
商用 AWS リージョンのリソースには、次のポリシーを使用します。
------
#### [ AWS GovCloud (US) Regions ]
商用 AWS GovCloud (US) Regionsのリソースには、次のポリシーを使用します。
------
# WorkSpaces Pools の VPC への接続
ネットワークリソースとインターネットへの WorkSpaces Pools 接続を有効にするには、WorkSpaces を次のように設定します。
## ネットワークインターフェイス
WorkSpaces Pools の各 WorkSpaces に次のネットワークインターフェイスがあります。
+ カスタマーネットワークインターフェイスは、VPC 内だけでなくインターネットでのリソースへの接続を提供し、WorkSpaces をディレクトリに結合するために使用されます。
+ 管理ネットワークインターフェイスは、セキュアな WorkSpaces Pools 管理ネットワークに接続します。ユーザーのデバイスへの WorkSpace のインタラクティブなストリーミングに使用され、WorkSpaces Pools が WorkSpace を管理するためにも使用されます。
WorkSpaces Pools は、管理ネットワークインターフェース用の IP アドレスをプライベート IP アドレス範囲 (198.19.0.0/16) から選択します。この範囲を VPC CIDR に使用することや、この範囲で VPC を他の VPC にピアリング接続することは避けてください。競合が生じて、WorkSpaces に接続できなくなることがあります。また、WorkSpace にアタッチされているネットワークインターフェイスは一切編集あるいは削除しないでください。これも、WorkSpace の未接続を引き起こす場合があります。
## 管理ネットワークインターフェイス IP アドレス範囲とポート
管理ネットワークインターフェイス IP アドレス範囲は、198.19.0.0/16 です。次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。
+ ポート 8300 のインバウンド TCP。これはストリーミング接続の確立に使用されます。
+ ポート 3128 のアウトバウンド TCP。これは WorkSpaces の管理に使用されます。
+ ポート 8000 と 8443 のインバウンド TCP。これらは WorkSpaces の管理に使用されます。
+ ポート 8300 のインバウンド UDP。これは UDP でのストリーミング接続の確立に使用されます。
管理ネットワークインターフェイスでインバウンドの範囲 198.19.0.0/16 に制限します。
**注記**
Amazon DCV BYOL Windows WorkSpaces Pools では、10.0.0.0/8 IP アドレス範囲がすべての AWS リージョンで使用されます。これらの IP アドレス範囲は、BYOL WorkSpaces Pools の管理トラフィック用に選択した /16 CIDR ブロックに加えて使用されます。
通常の状況では、WorkSpaces Pools は WorkSpaces に対してこれらのポートを正常に設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpaces は適切に機能することもあれば、アクセスできないこともあります。
IPv6 を無効にしないでください。IPv6 を無効にすると、WorkSpaces Pools は正しく機能しません。Windows 用の IPv6 の設定については、「[上級ユーザー向けに Windows で IPv6 を構成するためのガイダンス](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)」を参照してください。
**注記**
WorkSpaces Pools は VPC 内の DNS サーバーに依存して、存在しないローカルドメイン名に対して存在しないドメイン (NXDOMAIN) レスポンスを返します。これにより、WorkSpaces Pools で管理されるネットワークインターフェイスは管理サーバーとやり取りできます。
Simple AD を使用してディレクトリを作成すると、 はユーザーに代わって DNS サーバーとしても機能する 2 つのドメインコントローラー AWS Directory Service を作成します。これらのドメインコントローラーは NXDOMAIN レスポンスを返さないため、WorkSpaces Pools で使用することはできません。
## カスタマーネットワークインターフェイスポート
+ インターネット接続の場合、すべての接続先に対して次のポートが開いている必要があります。変更された、またはカスタムセキュリティグループを使用している場合、手動で必須ルールを追加する必要があります。詳細については、*Amazon VPC ユーザーガイド*の [Security Group Rules](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) を参照してください。
+ TCP 80(HTTP)
+ TCP 443(HTTPS)
+ UDP 4195
+ ディレクトリに WorkSpaces を結合させる場合、WorkSpaces Pools VPC とディレクトリコントローラの間で次のポートが開かれている必要があります。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 認証
+ UDP 123 – NTP
+ TCP 135 - RPC
+ UDP 137-138 - Netlogon
+ TCP 139 - Netlogon
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP 1024-65535 - RPC 用ダイナミックポート
ポートの完全なリストについては、Microsoft ドキュメンテーション の「[Active Directory および Active Directory ドメインサービスのポート要件](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))」を参照してください。
+ すべての WorkSpace では、EC2 メタデータサービスへのアクセスができるようにポート 80(HTTP)が IP アドレス `169.254.169.254` に開放されている必要があります。IP アドレス範囲 `169.254.0.0/16` は、WorkSpaces Pools サービスの管理トラフィックで使用するために予約されています。この範囲を除外しないと、ストリーミングの問題が発生する可能性があります。
# WorkSpaces Pools へのユーザー接続
ユーザーは、デフォルトのパブリックインターネットエンドポイントを介して WorkSpaces Pools の WorkSpaces に接続できます。
デフォルトで WorkSpaces Pools は、パブリックインターネットを介してストリーミング接続をルーティングするように設定されています。ユーザーを認証し、WorkSpaces Pools が機能するために必要なウェブアセットを配信するためには、インターネットに接続できることが必須です。このトラフィックを許可するには、「[許可されたドメイン](allowed-domains.md)」に示されたドメインを許可する必要があります。
**注記**
ユーザー認証では、WorkSpaces Pools は Security Assertion Markup Language 2.0 (SAML 2.0) をサポートしています。詳細については、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」を参照してください。
次のトピックでは、WorkSpaces Pools へのユーザー接続を有効にする方法について説明します。
**Topics**
+ [推奨帯域幅](bandwidth-recommendations-user-connections.md)
+ [WorkSpaces Pools ユーザーデバイスの IP アドレスとポートの要件](pools-client-application-ports.md)
+ [許可されたドメイン](allowed-domains.md)
# 推奨帯域幅
WorkSpaces Pools のパフォーマンスを最適化するには、ネットワーク帯域幅とレイテンシーがユーザーのニーズに対応できるレベルであることが不可欠です。
WorkSpaces Pools では、さまざまなネットワーク条件でユーザーが安全にアプリケーションにアクセスしてストリーミングできるよう、NICE Desktop Cloud Visualization (DCV) を使用します。帯域幅の使用量を減らすために、NICE DCV では H.264 ベースのビデオ圧縮とエンコードが使用されます。ストリーミングセッション中、アプリケーションの視覚的な出力は圧縮され、HTTPS で AES-256 暗号化ピクセルストリームとしてユーザーにストリーミングされます。ストリームを受信すると、復号されてユーザーのローカル画面に出力されます。ユーザーが自分のストリーミングアプリケーションを操作するときは、NICE DCV プロトコルでユーザーの入力が取得され、HTTPS でユーザーのストリーミングアプリケーションに返送されます。
この処理の間、ネットワーク状況は常に測定され、WorkSpaces Pools に情報が送信されます。WorkSpaces Pools は、リアルタイムでビデオとオーディオのエンコードを変更することで変化するネットワーク状況に動的に対応し、さまざまなアプリケーションとネットワーク状況に合わせた高品質のストリームを生成します。
WorkSpaces Pools ストリーミングセッションで推奨される帯域幅とレイテンシーはワークロードによって異なります。たとえば、グラフィックを多用するアプリケーションを使用してコンピュータ支援設計タスクを実行するユーザーは、ビジネス生産性アプリケーションを使用してドキュメントを作成するユーザーよりも多くの帯域幅と短いレイテンシーを必要とします。
以下の表では、WorkSpaces Pools ストリーミングセッションで推奨されるネットワーク帯域幅およびレイテンシーのガイダンスを、一般的なワークロード別に示しています。
各ワークロードでの推奨帯域幅は、個々のユーザーが特定の時点で何が必要になる可能性があるかに基づいています。これらの推奨事項には、持続的なスループットに必要になる帯域幅は反映されていません。ストリーミングセッション中に画面上での変化がわずか数ピクセルである場合、持続的なスループットはさらに低くなります。使用可能な帯域幅が少ないユーザーでもアプリケーションをストリーミングできますが、最適なフレームレートや画質を得られない可能性があります。
| ワークロード | 説明 | ユーザーあたりの推奨帯域幅 | 推奨最大ラウンドトリップレイテンシー |
| --- | --- | --- | --- |
| 基幹業務アプリケーション | ドキュメント作成アプリケーション、データベース分析ユーティリティ | 2 Mbps | 150 ミリ秒未満 |
| グラフィックスアプリケーション | コンピュータ支援設計およびモデリングアプリケーション、写真およびビデオ編集 | 5 Mbps | 100 ミリ秒未満 |
| 高忠実度 | マルチモニター対応の忠実度の高いデータセットやマップ | 10 Mbps | 50 ミリ秒未満 |
# WorkSpaces Pools ユーザーデバイスの IP アドレスとポートの要件
インターネットエンドポイントを使用している場合、WorkSpaces Pools ユーザーのデバイスにはポート 443 (TCP) およびポート 4195 (UDP) でのアウトバウンドアクセスが必要となります。ドメイン名解決に DNS サーバーを使用している場合は、ポート 53 (UDP) でのアウトバウンドアクセスが必要です。
+ ポート 443 は、インターネットエンドポイントを使用している場合の、WorkSpaces Pools ユーザーのデバイスと WorkSpaces との HTTPS 通信に使用されます。通常の場合、ストリーミングセッション中にエンドユーザーがウェブを閲覧すると、ウェブブラウザはストリーミングトラフィックに広範囲のソースポートをランダムに選択します。このポートへのリターントラフィックが許可されていることを確認する必要があります。
+ ポート 4195 は、インターネットエンドポイントを使用している場合の、WorkSpaces Pools ユーザーのデバイスと WorkSpaces との UDP HTTPS 通信に使用されます。現在、これは Windows ネイティブクライアントでのみサポートされます。VPC エンドポイントを使用している場合、UDP はサポートされません。
+ ポート 53 は、WorkSpaces Pools ユーザーのデバイスと DNS サーバーとの通信に使用されます。パブリックドメイン名を解決できるように、このポートは DNS サーバーの IP アドレスに対して開いている必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポートはオプションです。
# 許可されたドメイン
WorkSpaces Pools ユーザーが WorkSpaces にアクセスできるようにするには、ユーザーによって WorkSpaces へのアクセスが開始されるネットワーク上のさまざまなドメインを、管理者が許可する必要があります。詳細については、「[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)」を参照してください。このページには、WorkSpaces Personal に適用される内容が示されていますが、WorkSpaces Pools にも適用されることに注意してください。
**注記**
S3 バケットの名前に「.」文字が含まれている場合、使用されるドメインは `https://s3..amazonaws.com` です。S3 バケットの名前に「.」文字が含まれていない場合、使用されるドメインは `https://.s3..amazonaws.com` です。