翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # WorkSpaces Pools の使用と管理 WorkSpaces Pools では、一時的なインフラストラクチャでホストされている高度に選別されたデスクトップ環境へのアクセスを必要とするユーザーに向けて、カスタマイズされた非永続的な仮想デスクトップを提供します。 **Topics** + [AWS リージョン WorkSpaces Pools の およびアベイラビリティーゾーン](wsp-pools-regions.md) + [WorkSpaces Pools のディレクトリを管理する](manage-workspaces-pools-directory.md) + [WorkSpaces Pools のネットワークとアクセス](managing-network.md) + [WorkSpaces プールを作成する](set-up-pools-create.md) + [WorkSpaces Pools を管理する](managing-stacks-fleets.md) + [WorkSpaces Pools での Active Directory の使用](active-directory.md) + [WorkSpaces Pools のバンドルとイメージ](pools-images.md) + [WorkSpaces Pools のモニタリング](configure-monitoring-reporting.md) + [WorkSpaces Pools で永続的ストレージを有効にして管理する](persistent-storage.md) + [WorkSpaces Pools ユーザーのアプリケーション設定の永続化を有効にする](app-settings-persistence.md) + [WorkSpaces Pools のトラブルシューティング通知コード](wsp-pools-troubleshooting.md) # AWS リージョン WorkSpaces Pools の およびアベイラビリティーゾーン WorkSpaces Pools は、以下にあります AWS リージョン。 **注記** WorkSpaces Personal AWS リージョン に適用される については、 *AWS 全般のリファレンス リファレンスガイド*の[Amazon WorkSpaces エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/wsp.html)」を参照してください。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/wsp-pools-regions.html) # WorkSpaces Pools のディレクトリを管理する WorkSpaces Pools は、ディレクトリを使用して WorkSpaces とユーザーの情報を格納し、管理します。このセクションでは、WorkSpaces Pools のディレクトリを作成および管理する方法を示します。 **Topics** + [SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md) + [WorkSpaces Pools のディレクトリ情報を更新する](update-directory-pools-details.md) + [WorkSpaces Pools ディレクトリを削除する](delete-directory-pools.md) # SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する SAML 2.0 を使用して ID フェデレーションを設定することで、WorkSpaces クライアントアプリケーションの登録と、WorkSpaces Pools の WorkSpaces へのサインインを有効にできます。これを行うには、 AWS Identity and Access Management (IAM) ロールとリレーステート URL を使用して SAML 2.0 ID プロバイダー (IdP) を設定し、 AWSで有効にします。これにより、フェデレーションユーザーに対して WorkSpaces Pools ディレクトリへのアクセス権が付与されます。リレーステートは、 AWSに正常にサインインした後にユーザーが転送される WorkSpaces ディレクトリエンドポイントです。 **重要** WorkSpaces Pools は、IP ベースの SAML 2.0 設定をサポートしていません。 **Topics** + [ステップ 1: 要件を考慮する](#saml-directory-consider-the-requirements) + [ステップ 2: 前提条件を完了させる](#saml-directory-complete-the-prereqs) + [ステップ 3: IAM で SAML ID プロバイダーを作成する](#saml-directory-create-saml-idp) + [ステップ 4: WorkSpace Pool ディレクトリを作成する](#saml-directory-create-wsp-pools-directory) + [ステップ 5: SAML 2.0 フェデレーション IAM ロールを作成する](#saml-directory-saml-federation-role-in-iam) + [ステップ 6: SAML 2.0 ID プロバイダーを設定する](#saml-directory-configure-saml-idp) + [ステップ 7: SAML 認証レスポンスのアサーションを作成する](#saml-directory-create-assertions) + [ステップ 8: フェデレーションのリレーステートを設定する](#saml-directory-configure-relay-state) + [ステップ 9: WorkSpace Pool ディレクトリで SAML 2.0 との統合を有効にする](#saml-directory-enable-saml-integration) + [トラブルシューティング](#saml-pools-troubleshooting) + [WorkSpaces Pools ディレクトリの Active Directory 情報を指定する](pools-service-account-details.md) ## ステップ 1: 要件を考慮する WorkSpaces Pools ディレクトリに SAML を設定する場合、以下の要件が適用されます。 + workspaces\$1DefaultRole IAM ロールは AWS アカウントに存在する必要があります。このロールは、WorkSpaces Quick Setup を使用した場合、または過去に AWS マネジメントコンソールを使用して WorkSpace を起動したことがある場合に、自動的に作成されます。ユーザーに代わって特定の AWS リソースにアクセスするアクセス許可を Amazon WorkSpaces に付与します。このロールが既に存在する場合は、AmazonWorkSpacesPoolServiceAccess マネージドポリシーのアタッチが必要になる場合があります。このポリシーは、Amazon WorkSpaces が WorkSpaces Pools の AWS アカウントで必要なリソースにアクセスするために使用するものです。詳細については、「[workspaces\$1DefaultRole ロールを作成する](workspaces-access-control.md#create-default-role)」および「[AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess](managed-policies.md#workspaces-pools-service-access)」を参照してください。 + WorkSpaces Pools の SAML 2.0 認証は、この機能をサポートする AWS リージョン で設定できます。詳細については、「[AWS リージョン WorkSpaces Pools の およびアベイラビリティーゾーン](wsp-pools-regions.md)」を参照してください。 + WorkSpaces で SAML 2.0 認証を使用する場合、IdP は、ディープリンクターゲットリソースまたはリレーステートエンドポイントの URL を使用して、未承諾の IdP を起点とする SSO をサポートする必要があります。これをサポートする IdP の例には、ADFS、Azure AD、Duo Single Sign-On、Okta、PingFederate、および PingOne などがあります。詳細については、IdP のユーザードキュメントを参照してください。 + SAML 2.0 認証は、次の WorkSpaces クライアントでのみサポートされています。最新の WorkSpaces クライアントについては、[Amazon WorkSpaces クライアントのダウンロードページ](https://clients.amazonworkspaces.com/)を参照してください。 + Windows クライアントアプリケーション、バージョン 5.20.0 以降 + macOS クライアント、バージョン 5.20.0 以降 + Web Access ## ステップ 2: 前提条件を完了させる WorkSpaces Pools ディレクトリへの SAML 2.0 IdP 接続を設定する前に、以下の前提条件を満たしていることを確認してください。 + AWSとの信頼関係を確立するために IdP を設定します。 + AWS フェデレーションの設定の詳細については、[「サードパーティーの SAML ソリューションプロバイダーと の統合 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml_3rd-party.html)」を参照してください。関連する例には、 AWS マネジメントコンソールにアクセスするための IAM との IdP 統合があります。 + IdP を使用して、組織を IdP として定義するフェデレーションメタデータドキュメントを生成し、ダウンロードします。署名されたこの XML ドキュメントは、証明書利用者の信頼を確立するために使用されます。後で IAM コンソールからアクセスできる場所にこのファイルを保存します。 + WorkSpaces コンソールを使用して WorkSpaces Pools ディレクトリを作成します。詳細については、「[WorkSpaces Pools での Active Directory の使用](active-directory.md)」を参照してください。 + サポートされているディレクトリタイプを使用して IdP にサインインできるユーザー用の WorkSpaces Pools を作成します。詳細については、「[WorkSpaces プールを作成する](set-up-pools-create.md)」を参照してください。 ## ステップ 3: IAM で SAML ID プロバイダーを作成する まず、IAM で SAML IdP を作成する必要があります。この IdP は、組織内の IdP ソフトウェアによって生成されたメタデータドキュメントを使用して、組織の IdP とAWS 信頼の関係を定義します。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[SAML ID プロバイダーを作成および管理する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html#idp-manage-identityprovider-console)」を参照してください。 AWS GovCloud (US) Regionsでの SAML IdP の使用については、「*AWS GovCloud (US) ユーザーガイド*」の「[AWS Identity and Access Management](https://docs.aws.amazon.com//govcloud-us/latest/UserGuide/govcloud-iam.html)」を参照してください。 ## ステップ 4: WorkSpace Pool ディレクトリを作成する WorkSpaces プールディレクトリを作成するには、次の手順を実行します。 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. [**Create directory**] (ディレクトリの作成) を選択します。 1. **[WorkSpace タイプ]** で **[プール]** を選択します。 1. ページの [**ユーザー ID ソース**] セクションで以下の操作を行います。 1. **[ユーザーアクセス URL]** テキストボックスにプレースホルダー値を入力します。例えば、テキストボックスに `placeholder` と入力します。これは、IdP でアプリケーション使用権限を設定した後に編集します。 1. **[リレー状態パラメータ名]** テキストボックスは空白のままにします。これは、IdP でアプリケーション使用権限を設定した後に編集します。 1. ページの **[ディレクトリ情報]** セクションで、ディレクトリの名前と説明を入力します。ディレクトリ名と説明は 128 文字未満で、英数字と `_ @ # % * + = : ? . / ! \ -` の特殊文字を含めることができます。ディレクトリ名と説明を特殊文字で始めることはできません。 1. ページの**[ネットワークとセキュリティ]** セクションで以下の操作を行います。 1. アプリケーションが必要とするネットワークリソースへのアクセスが許可されている VPC および 2 つのサブネットを選択します。耐障害性を高めるために、異なるアベイラビリティーゾーンで 2 つのサブネットを選択する必要があります。 1. WorkSpaces で VPC にネットワークリンクを作成できるように、セキュリティグループを選択します。セキュリティグループは、WorkSpaces から VPC へのフローを許可するネットワークトラフィックを制御します。例えば、セキュリティグループですべてのインバウンド HTTPS 接続が制限されている場合、ウェブポータルにアクセスするユーザーは WorkSpaces から HTTPS ウェブサイトをロードできません。 1. **[Active Directory 設定]** セクションはオプションです。ただし、WorkSpaces Pools で Active Directory (AD) を使用する場合は、WorkSpaces Pools ディレクトリの作成時に AD の詳細を指定する必要があります。WorkSpaces Pools ディレクトリの作成後に **[Active Directory 設定]** を編集することはできません。WorkSpaces Pools ディレクトリの AD の詳細を指定する方法の詳細については、「[WorkSpaces Pools ディレクトリの Active Directory 情報を指定する](pools-service-account-details.md)」を参照してください。そこで説明されているプロセスが完了したら、このトピックに戻って WorkSpaces Pools ディレクトリの作成を完了する必要があります。 WorkSpaces Pools で AD を使用する予定がない場合は、**[Active Directory 設定]** セクションを省略できます。 1. **[ストリーミングプロパティ]** セクションで以下の操作を行います。 + クリップボードのアクセス許可の動作を選択し、[ローカル文字数制限にコピー] (オプション) と [リモートセッションへの貼り付けの文字数制限] (オプション) に入力します。 + ローカルデバイスへの出力を許可するかしないかを選択します。 + 診断ログを許可するかしないかを選択します。 + スマートカードサインインを許可するかしないかを選択します。この機能は、この手順の前半で AD 設定を有効にした場合にのみ適用されます。 1. ページの **[ストレージ]** セクションで、ホームフォルダを有効にするよう選択できます。 1. ページの **[IAM ロール]** セクションで、すべてのデスクトップストリーミングインスタンスで使用できる IAM ロールを選択します。新しい IAM ロールを作成するには、**[新しい IAM ロールを作成]** を選択します。 アカウントから WorkSpace Pool ディレクトリに IAM ロールを適用すると、 AWS 認証情報を手動で管理することなくWorkSpace Pool の WorkSpace から AWS API リクエストを行うことができます。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM ユーザーにアクセス許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)」を参照してください。 1. [**Create directory**] (ディレクトリの作成) を選択します。 ## ステップ 5: SAML 2.0 フェデレーション IAM ロールを作成する 次の手順を実行して、IAM コンソールで SAML 2.0 フェデレーション IAM ロールを作成します。 1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/secretsmanager/)) を開きます。 1. ナビゲーションペインで **[ロール]** を選択します。 1. [ロールの作成] を選択してください。 1. 信頼されたエンティティタイプとして、**[SAML 2.0 フェデレーション]** を選択します。 1. SAML 2.0 ベースのプロバイダーとして、IAM で作成した ID プロバイダーを選択します。詳細については、「[IAM で SAML ID プロバイダーを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html?)」を参照してください。 1. 許可されるアクセスとして **[プログラムによるアクセスのみを許可する]** を選択します。 1. 属性に **[SAML:sub\$1type]** を選択します。 1. **[値]** に「`https://signin.aws.amazon.com/saml`」と入力します。この設定値は、値が `persistent` の SAML サブジェクトタイプアサーションを含む SAML ユーザーストリーミングリクエストへのロールアクセスを制限します。SAML:sub\$1type が persistent の場合、IdP は特定のユーザーからのすべての SAML リクエストで同じ一意の値を `NameID` 要素に送信します。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[SAML ベースのフェデレーションでユーザーを一意に識別する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html#CreatingSAML-userid)」を参照してください。 1. **[次へ]** を選択して続行します。 1. **[許可を追加]** ページでは変更や選択を行いません。**[次へ]** を選択して続行します。 1. ロールの名前と説明を入力します。 1. [**ロールの作成**] を選択してください。 1. **[ロール]** ページで、作成したロールを選択します。 1. **[信頼関係]** タブを選択します。 1. **[Edit trust policy]** (信頼ポリシーを編集) を選択します。 1. **[信頼ポリシーを編集]** JSON テキストボックスで、**sts:TagSession** アクションを信頼ポリシーに追加します。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[AWS STSでセッションタグを渡す](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)」を参照してください。 結果は次の例のようになります。 ![\[信頼ポリシーの例。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/iam-saml-federation-policy-sts-tagsession.png) 1. [**ポリシーの更新**] を選択してください。 1. **[アクセス許可]** タブを選択します。 1. ページの **[許可ポリシー]** セクションで、**[許可を追加]** を選択し、**[インラインポリシーを作成]** を選択します。 1. ページの **[ポリシーエディタ]** セクションで、**[JSON]** を選択します。 1. **[ポリシーエディタ]** JSON テキストボックスに、次のポリシーを入力します。必ず以下を置き換えてください。 + ** を、WorkSpace Pool ディレクトリを作成した AWS リージョンのコードに。 + AWS アカウント ID の **。 + ** を、作成したディレクトリの ID に。これは WorkSpaces コンソールで取得できます。 のリソースでは AWS GovCloud (US) Regions、ARN に次の形式を使用します: `arn:aws-us-gov:workspaces:::directory/`。 1. [次へ] を選択します。 1. ポリシーの名前を入力し、[**Create policy**] (ポリシーの作成) を選択します。 ## ステップ 6: SAML 2.0 ID プロバイダーを設定する 使用する SAML 2.0 IdP によっては、 AWS をサービスプロバイダーとして信頼するように IdP を手動で更新する必要があります。これを行うには、[https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml) にある `saml-metadata.xml` ファイルをダウンロードし、IdP にアップロードします。これによって、IdP のメタデータが更新されます。 一部の IdP では、すでに更新が設定されています。すでに設定されている場合は、この手順を省略できます。IdP でこの更新がまだ設定されていない場合には、IdP から提供されるドキュメントでメタデータを更新する方法に関する情報を確認します。プロバイダーによっては、XML ファイルの URL をダッシュボードに入力するオプションが提供され、IdP がファイルを取得してインストールします。また、URL からファイルをダウンロードし、ダッシュボードにアップロードする必要があるプロバイダーもあります。 **重要** このとき、IdP のユーザーに、IdP で設定した WorkSpaces アプリケーションへのアクセスを許可することもできます。ディレクトリの WorkSpaces アプリケーションにアクセスする権限を与えられているユーザーに対して、自動的に WorkSpace が作成されるわけではありません。同様に、WorkSpace が作成されるユーザーに対して、自動的に WorkSpaces アプリケーションへのアクセス権が与えられるわけではありません。SAML 2.0 認証を使用して WorkSpace に正常に接続するには、ユーザーが IdP によって承認され、WorkSpace が作成されている必要があります。 ## ステップ 7: SAML 認証レスポンスのアサーションを作成する IdP が認証レスポンスで SAML 属性 AWS として に送信する情報を設定します。IdP よっては、これはすでに設定されている場合があります。すでに設定されている場合は、この手順を省略できます。まだ設定されていない場合は、以下を指定します + **SAML サブジェクト名 ID** – 署名するユーザーの一意の識別子。このフィールドの形式/値は変更しないでください。変更すると、ユーザーが別のユーザーとして扱われ、ホームフォルダが正常に機能しません。 **注記** ドメインに参加している WorkSpaces Pools の場合、ユーザーの `NameID` 値は、`sAMAccountName` を使用した `domain\username` 形式、`userPrincipalName` を使用した `username@domain.com` 形式、または `userName` のみで指定する必要があります。`sAMAccountName` 形式を使用している場合、NetBIOS 名または完全修飾ドメイン名 (FQDN) を使用してドメインを指定できます。Active Directory の一方向の信頼には、`sAMAccountName` 形式が必要です。詳細については、「[WorkSpaces Pools での Active Directory の使用](active-directory.md)」を参照してください。`userName` だけを指定すると、ユーザーはプライマリドメインにログインすることになります。 + **SAML サブジェクトタイプ (値を `persistent` に設定)** – 値を `persistent` に設定すると、IdP は特定のユーザーからのすべての SAML リクエストで `NameID` 要素に同じ一意の値を送信します。「[ステップ 5: SAML 2.0 フェデレーション IAM ロールを作成する](#saml-directory-saml-federation-role-in-iam)」のセクションで説明されているように、SAML `sub_type` が `persistent` に設定されている SAML リクエストのみを許可する条件が IAM ポリシーに含まれていることを確認します。 + **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/Role に設定)** — この要素には、IdP によってマッピングされたユーザーの IAM ロールと SAML IdP を一覧表示する 1 つ以上の `AttributeValue` 要素が含まれます。このロールと IdP は、カンマ区切りの ARN のペアとして指定されます。予期される値の例は `arn:aws:iam:::role/,arn:aws:iam:::saml-provider/` です。 + **`Attribute` `Name` 属性が https://aws.amazon.com/SAML/Attributes/RoleSessionName に設定されている 要素** — この要素には、SSO 用に発行された AWS 一時的な認証情報の識別子を提供する `AttributeValue` 要素が 1 つ含まれています。`AttributeValue` 要素の値は 2~64 文字とし、英数字と `_ . : / = + - @` の特殊文字を含めることができます。スペースを含めることはできません。値は通常、E メールアドレスまたはユーザープリンシパル名 (UPN) です。ユーザーの表示名のように、スペースを含む値とすることはできません。 + **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email に設定)** — この要素には、ユーザーのメールアドレスを指定する `AttributeValue` 要素が 1 つ含まれます。この値は、WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致する必要があります。タグ値には、文字、数字、スペース、および特殊文字 (`_ . : / = + - @`) の組み合わせを含めることができます。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の「[IAM および AWS STSでのタグ付けの規則](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html#id_tags_rules)」を参照してください。 + (オプション) **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:UserPrincipalName に設定)** — この要素には、サインインしているユーザーの Active Directory `userPrincipalName` を指定する `AttributeValue` 要素が 1 つ含まれます。値は `username@domain.com` の形式で指定する必要があります。このパラメータは、証明書ベースの認証で、エンドユーザー証明書のサブジェクト代替名として使用します。詳細については、「[証明書ベースの認証と WorkSpaces Personal](certificate-based-authentication.md)」を参照してください。 + (オプション) **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:ObjectSid に設定)** — この要素には、サインインしているユーザーの Active Directory セキュリティ識別子 (SID) を指定する `AttributeValue` 要素が 1 つ含まれます。このパラメータを証明書ベースの認証で使用すると、Active Directory ユーザーへの強力なマッピングが可能になります。詳細については、「[証明書ベースの認証と WorkSpaces Personal](certificate-based-authentication.md)」を参照してください。 + (オプション) **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/PrincipalTag:Domain に設定)** — この要素には、サインインしているユーザーの Active Directory DNS 完全修飾ドメイン名 (FQDN) を指定する `AttributeValue` 要素が 1 つ含まれます。このパラメータは、ユーザーの Active Directory `userPrincipalName` に代替サフィックスが含まれている場合に、証明書ベースの認証で使用されます。値にはサブドメインを含め、`domain.com` の形式で指定する必要があります。 + (オプション) **`Attribute` 要素 (`Name` 属性が https://aws.amazon.com/SAML/Attributes/SessionDuration に設定) ** — この要素には、再認証が必要となるまで、ユーザーのフェデレーティッドストリーミングセッションがアクティブのまま継続される最大時間を指定する `AttributeValue` 要素が 1 つ含まれます。デフォルト値は `3600` 秒 (60 分) です。詳細については、「*AWS Identity and Access Management ユーザーガイド*」の[「SessionDuration SAML 属性](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html#saml_role-session-duration)」を参照してください。 **注記** `SessionDuration` はオプションの属性ですが、これを SAML レスポンスに含めることをお勧めします。この属性を指定しない場合、セッション継続時間はデフォルト値の `3600` 秒 (60 分) に設定されます。WorkSpaces デスクトップセッションは、セッションの有効期限が切れると切断されます。 これらの要素を設定する方法については、「*AWS Identity and Access Management ユーザーガイド*」の「[認証レスポンスの SAML アサーションを設定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)」を参照してください。IdP の特定の設定要件に関する詳細は、IdP のドキュメントを参照してください。 ## ステップ 8: フェデレーションのリレーステートを設定する IdP を使用して、WorkSpaces Pools ディレクトリのリレーステートの URL を指すようにフェデレーションのリレーステートを設定します。による認証が成功すると AWS、ユーザーは WorkSpaces Pools ディレクトリエンドポイントに誘導されます。このエンドポイントは、SAML 認証レスポンスでリレー状態として定義されます。 リレーステート URL は次の形式です。 ``` https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code ``` 次の表に、WorkSpaces SAML 2.0 認証が利用可能な AWS リージョンのリレーステートエンドポイントを示します。WorkSpaces Pools 機能が利用できない AWS リージョンは削除されました。 | リージョン | リレーステートのエンドポイント | | --- | --- | | 米国東部 (バージニア北部) リージョン | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-directory-pools.html) | | 米国西部 (オレゴン) リージョン | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-directory-pools.html) | | アジアパシフィック (ムンバイ) リージョン | workspaces.euc-sso.ap-south-1.aws.amazon.com | | アジアパシフィック (ソウル) リージョン | workspaces.euc-sso.ap-northeast-2.aws.amazon.com | | アジアパシフィック (シンガポール) リージョン | workspaces.euc-sso.ap-southeast-1.aws.amazon.com | | アジアパシフィック (シドニー) リージョン | workspaces.euc-sso.ap-southeast-2.aws.amazon.com | | アジアパシフィック (東京) リージョン | workspaces.euc-sso.ap-northeast-1.aws.amazon.com | | カナダ (中部) リージョン | workspaces.euc-sso.ca-central-1.aws.amazon.com | | 欧州 (フランクフルト) リージョン | workspaces.euc-sso.eu-central-1.aws.amazon.com | | 欧州 (アイルランド) リージョン | workspaces.euc-sso.eu-west-1.aws.amazon.com | | 欧州 (ロンドン) リージョン | workspaces.euc-sso.eu-west-2.aws.amazon.com | | 南米 (サンパウロ) リージョン | workspaces.euc-sso.sa-east-1.aws.amazon.com | | AWS GovCloud (米国西部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-directory-pools.html) AWS GovCloud (US) Regionsでの SAML IdP の使用について詳しくは、「*AWS GovCloud (US) ユーザーガイド*」の「[Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)」を参照してください。 | | AWS GovCloud (米国東部) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-directory-pools.html) AWS GovCloud (US) Regionsでの SAML IdP の使用について詳しくは、「*AWS GovCloud (US) ユーザーガイド*」の「[Amazon WorkSpaces](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-workspaces.html)」を参照してください。 | ## ステップ 9: WorkSpace Pool ディレクトリで SAML 2.0 との統合を有効にする WorkSpaces Pools ディレクトリで SAML 2.0 認証を有効にするには、次の手順を実行します。 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. **[Pools ディレクトリ]** タブを選択します。 1. 編集するディレクトリの ID を選択します。 1. ページの **[認証]** セクションで **[編集]** を選択します。 1. **[Edit SAML 2.0 Identity Provider]** (SAML 2.0 ID プロバイダーの編集) を選択します。 1. **[ユーザーアクセス URL]** (「SSO URL」とも呼ばれます) で、プレースホルダーの値を IdP から提供された SSO URL に置き換えます。 1. **[IdP ディープリンクパラメータ名]** に、設定した IdP とアプリケーションに該当するパラメータを入力します。パラメータ名を省略した場合、デフォルト値は `RelayState` です。 次の表に、アプリケーションの ID プロバイダー別に固有のユーザーアクセス URL とディープリンクパラメータ名を示します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-directory-pools.html) 1. **[保存]** を選択します。 **重要** ユーザーの SAML 2.0 を取り消しても、セッションは直接切断されません。タイムアウトが発動した後にのみユーザーが削除されます。また、[TerminateWorkspacesPoolSession](https://docs.aws.amazon.com//workspaces/latest/api/API_TerminateWorkspacesPoolSession.html) API を使用してセッションを終了することもできます。 ## トラブルシューティング 以下の情報は、WorkSpaces Pools 固有の問題のトラブルシューティングに役立ちます。 ### SAML 認証の完了後に WorkSpaces Pools クライアントで「ログインできません」というメッセージが届く SAML クレームの `nameID` と `PrincipalTag:Email` は、Active Directory で設定されたユーザー名およびパスワードと一致する必要があります。一部の IdP では、特定の属性を調整した後で更新、リフレッシュ、再デプロイが必要となる場合があります。行った調整が SAML キャプチャに反映されない場合は、IdP のドキュメントまたはサポートプログラムを参照して、変更を有効にするためのステップをご確認ください。 # WorkSpaces Pools ディレクトリの Active Directory 情報を指定する このトピックでは、WorkSpaces コンソールの **[WorkSpaces プールディレクトリの作成]** ページで Active Directory (AD) の詳細を指定する方法を示します。WorkSpaces Pools で AD を使用する場合は、WorkSpaces Pools ディレクトリを作成するときに AD の詳細を指定する必要があります。WorkSpaces Pools ディレクトリの作成後に **[Active Directory 設定]** を編集することはできません。以下は、**[WorkSpaces プールディレクトリの作成]** ページの **[Active Directory 設定]** セクションの例です。 ![\[[WorkSpaces プールディレクトリの作成] ページの [Active Directory 設定] セクション\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/pools-wsp-active-directory-config.png) **注記** WorkSpaces Pools ディレクトリを作成する完全なプロセスについては、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」のトピックで説明しています。このページで説明されている手順は、WorkSpaces Pools ディレクトリを作成する完全なプロセスの一部の手順のみです。 **Topics** + [AD の組織単位とディレクトリドメイン名を指定する](#pools-specify-ou-and-directory-domain) + [AD のサービスアカウントを指定する](#pools-specify-access-account) ## AD の組織単位とディレクトリドメイン名を指定する **[WorkSpaces プールディレクトリの作成]** ページで、AD の組織単位 (OU) とディレクトリドメイン名を指定するには、次の手順を実行します。 1. **[組織単位]** にプールが属する OU を入力します。WorkSpace コンピュータアカウントは、WorkSpaces Pools ディレクトリに指定した組織単位 (OU) に配置されます。 **注記** OU 名にスペースを含めることはできません。スペースを含む OU 名を指定すると、Active Directory ドメインへの再参加を試みたときに、WorkSpaces はコンピュータオブジェクトを正しく循環できず、ドメインに再参加できません。 1. **[ディレクトリ名]** に、Active Directory ドメインの完全修飾ドメイン名 (FQDN) (例: `corp.example.com`) を入力します。各 AWS リージョンは、特定のディレクトリ名を持つディレクトリ設定値を 1 つだけ持つことができます。 + WorkSpaces Pools ディレクトリを Microsoft Active Directory のドメインに参加させることができます。また、クラウドベースまたはオンプレミスの既存の Active Directory ドメインを使用して、ドメイン参加済みの WorkSpaces を起動することもできます。 + Active Directory ドメインを作成 AWS Managed Microsoft ADするために AWS Directory Service for Microsoft Active Directory、 とも呼ばれる を使用することもできます。その後、そのドメインを使用して WorkSpaces リソースをサポートできます。 + WorkSpaces を Active Directory ドメインに参加させると、以下のことを行うことができます。 + ストリーミングセッションからプリンターやファイル共有などの Active Directory リソースにアクセスすることをユーザーとアプリケーションに許可する。 + グループポリシーマネジメントコンソール (GPMC) で使用できるグループポリシー設定を使用して、エンドユーザーエクスペリエンスを定義する。 + アクティブディレクトリログイン認証情報を使用した認証をユーザーに義務付けるアプリケーションをストリーミングする。 + WorkSpaces ストリーミングインスタンスに企業コンプライアンスとセキュリティポリシーを適用する。 1. **[サービスアカウント]** については、このページの次のセクション「[AD のサービスアカウントを指定する](#pools-specify-access-account)」で説明します。 ## AD のサービスアカウントを指定する ディレクトリ作成プロセスの一環として WorkSpaces Pools の Active Directory (AD) を設定する場合は、AD の管理に使用する AD サービスアカウントを指定する必要があります。そのためには、サービスアカウントの認証情報を指定する必要があります。認証情報は、 AWS Key Management Service (AWS KMS) カスタマーマネージドキーを使用して に保存 AWS Secrets Manager および暗号化する必要があります。このセクションでは、 AWS KMS カスタマーマネージドキーと Secrets Manager シークレットを作成して AD サービスアカウントの認証情報を保存する方法を示します。 ### ステップ 1: AWS KMS カスタマーマネージドキーを作成する AWS KMS カスタマーマネージドキーを作成するには、次の手順を実行します。 1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) で AWS KMS コンソールを開きます。 1. を変更するには AWS リージョン、ページの右上隅にあるリージョンセレクターを使用します。 1. **[キーの作成]** を選択してから、**[次へ]** を選択します。 1. キーの種類として **[対称]**、キーの使用法として **[暗号化および復号化]** を選択し、**[次へ]** を選択します。 1. `WorkSpacesPoolDomainSecretKey` などのキーのエイリアスを入力し、**[次へ]** を選択します。 1. キー管理者は選択しません。**[次へ]** を選択して続行します。 1. キーの使用法アクセス許可は定義しません。**[次へ]** を選択して続行します。 1. ページの [キーポリシー] セクションで、以下を追加します。 ``` { "Sid": "Allow access for Workspaces SP", "Effect": "Allow", "Principal": { "Service": "workspaces.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*" } ``` 結果は次の例のようになります。 ![\[AWS KMS キーポリシーの例。\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images/kms-key-policy-for-wsp-pools-service-account.png) 1. [**Finish**] を選択してください。 これで、 AWS KMS カスタマーマネージドキーを Secrets Manager で使用する準備ができました。このページの「[ステップ 2: AD サービスアカウントの認証情報を保存する Secrets Manager シークレットを作成する](#pools-create-asm-secret)」セクションに進みます。 ### ステップ 2: AD サービスアカウントの認証情報を保存する Secrets Manager シークレットを作成する 次の手順に従って、AD サービスアカウントの認証情報を保存する Secrets Manager シークレットを作成します。 1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) で AWS Secrets Manager コンソールを開きます。 1. [**新しいロールの作成**] を選択します。 1. **他の種類のシークレット** を選択します。 1. 最初のキーと値のペアについては、キーに `Service Account Name` を入力し、値にサービスアカウントの名前 (`domain\username` など) を入力します。 1. 2 番目のキーと値のペアには、キーに `Service Account Password`、値にサービスアカウントのパスワードを入力します。 1. 暗号化キーで、前に作成した AWS KMS カスタマーマネージドキーを選択し、次**へ**を選択します。 1. シークレットの名前 (`WorkSpacesPoolDomainSecretAD` など) を入力します。 1. ページの **[リソースのアクセス許可]** セクションで、**[アクセス許可を編集する]** を選択します。 1. 以下のアクセス許可ポリシーを入力します。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "workspaces.amazonaws.com" ] }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } ] } ``` ------ 1. **[保存]** を選択してアクセス許可ポリシーを保存します。 1. **[次へ]** を選択して続行します。 1. 自動ローテーションは設定しません。**[次へ]** を選択して続行します。 1. **[保存]** を選択してシークレットの保存を終了します。 AD サービスアカウントの認証情報が Secrets Manager に保存されました。このページの「[ステップ 3: AD サービスアカウントの認証情報が含まれる Secrets Manager シークレットを選択する](#continue-creating-pools-directory)」セクションに進みます。 ### ステップ 3: AD サービスアカウントの認証情報が含まれる Secrets Manager シークレットを選択する 次の手順を実行して、WorkSpaces Pools ディレクトリの Active Directory 設定で作成した Secrets Manager シークレットを選択します。 + **サービスアカウント**で、サービスアカウントの認証情報を含む AWS Secrets Manager シークレットを選択します。シークレットをまだ作成していない場合は、手順に従ってシークレットを作成します。シークレットは、 AWS Key Management Service カスタマーマネージドキーを使用して暗号化する必要があります。 これで、**[WorkSpaces プールディレクトリの作成]** ページの **[Active Directory 設定]** セクションのすべてのフィールドで入力が完了したので、WorkSpaces Pools ディレクトリの作成を続行できます。「[ステップ 4: WorkSpace Pool ディレクトリを作成する](create-directory-pools.md#saml-directory-create-wsp-pools-directory)」に移動し、手順 9 を開始します。 # WorkSpaces Pools のディレクトリ情報を更新する WorkSpaces Pools コンソールを使用して、次のディレクトリ管理タスクを完了できます。 ## 認証 WorkSpaces Pools に追加の認証オプションを設定できます。プールには SAML 2.0 認証が必要です。 **SAML 2.0 ID プロバイダー認証を有効にして設定するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. 認証に移動し、**[編集]** を選択します。 1. **[Edit SAML 2.0 Identity Provider]** (SAML 2.0 ID プロバイダーの編集) を選択します。 1. **[SAML 2.0 認証の有効化]** チェックボックスをオンにします。 1. **[ユーザーアクセス URL]** に、フェデレーションサインイン中に WorkSpaces Pools クライアントを誘導する URL を入力します。 1. **[IdP ディープリンクパラメータ名]** (オプション) を入力します。 1. **‬[保存]**‬ を選択します。 **証明書ベースの認証を有効にして設定するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. 認証に移動し、**[編集]** を選択します。 1. **[証明書ベースの認証の編集]** を選択します。 1. **[証明書ベースの認証を有効化]** チェックボックスをオンにします。 1. **[AWS Certificate Manager (ACM) Private Certificate Authority (CA)]** をドロップダウンから選択します。 1. **[保存]** を選択します。 ## セキュリティグループ ディレクトリの WorkSpaces Pools にセキュリティグループを適用します。 **WorkSpaces Pools のセキュリティグループを設定するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. セキュリティグループに移動し、**[編集]** を選択します。 1. ドロップダウンからセキュリティグループを選択します。 ## Active Directory 設定 ディレクトリ Active Directory Config を組織単位 (OU)、ディレクトリドメイン名、 AWS Secrets Manager シークレットで設定します。 **Active Directory を設定するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. Active Directory 設定に移動し、**[編集]** を選択します。 1. 組織単位 (OU) を検索するには、OU 名の全部または一部の入力を開始し、使用する OU を選択します。 **注記** (オプション) OU の選択後、既存の WorkSpaces を再ビルドして OU を更新します。詳細については、[WorkSpaces Personal の WorkSpace を再構築する](rebuild-workspace.md)を参照してください。 1. **[保存]** を選択します。 **注記** ディレクトリドメイン名と AWS Secrets Manager シークレットは、プールの作成後に編集することはできません。 ## ストリーミングプロパティ プールされた WorkSpace とローカルデバイス間でユーザーがデータを転送する方法を設定します。 **ストリーミングプロパティを設定するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. ストリーミングプロパティに移動し、**[編集]** を選択します。 1. 以下のストリーミングプロパティを設定します。 + クリップボードのアクセス許可 + ドロップダウンリストから次のいずれかを選択します。 + **コピーアンドペーストを許可する** - ローカルデバイスへのコピーとリモートセッションへの貼り付けを許可します。 + **リモートセッションへのペーストを許可する** - リモートセッションへの貼り付けを許可します。 + **ローカルデバイスへのコピーを許可する** - ローカルデバイスへのコピーを許可します。 + Disabled + ローカルデバイスへの出力を許可するかしないかを選択します。 + 診断ログを許可するかしないかを選択します。 + スマートカードサインインを許可するかしないかを選択します。 + ホームフォルダストレージを有効にするには、**[ホームフォルダを有効化]** を選択します。 1. **[保存]** を選択します。 ## IAM ロール WorkSpaces Pools の IAM ロールを選択します。 **IAM ロールを選択するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. IAM ロールに移動し、**[編集]** を選択します。 1. ドロップダウンから IAM ロールを選択します。新しい IAM ロールを作成するには、**[新しい IAM ロールを作成]** を選択します。 1. **[保存]** を選択します。 ## タグ WorkSpaces Pools に新しいタグを追加する **新しいタグを追加するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. 設定するディレクトリを選択します。 1. [タグ] に移動し、**[タグの管理]** を選択します。 1. **[新しいタグの追加]** を選択し、使用するキーと値のペアを入力します。キーは、特定の関連値を持つ「プロジェクト」、「所有者」、「環境」などの一般的なカテゴリにすることができます。 1. **[Save changes]** (変更の保存) をクリックします。 # WorkSpaces Pools ディレクトリを削除する WorkSpaces Pools ディレクトリを削除するには、次の手順を実行します。 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. ディレクトリを選択します。 1. **[アクション]**、**[削除]** の順に選択します。 1. 確認を求められたら、確認テキスト**delete**に「削除」と入力し、**「削除**」を選択します。 # WorkSpaces Pools のネットワークとアクセス 以下のトピックでは、ユーザーの WorkSpaces Pools への接続、および WorkSpaces Pools からネットワークリソースとインターネットへのアクセスを有効にするための情報を提供します。 **Topics** + [WorkSpaces Pools のインターネットアクセス](internet-access.md) + [WorkSpaces Pools 用に VPC を設定する](appstream-vpc.md) + [WorkSpaces Pools で FedRAMP 認証または DoD SRG コンプライアンスを設定する](fips-encryption-pools.md) + [WorkSpaces Pools 機能で Amazon S3 VPC エンドポイントを使用する](managing-network-vpce-iam-policy.md) + [WorkSpaces Pools の VPC への接続](pools-port-requirements.md) + [WorkSpaces Pools へのユーザー接続](user-connections-to-appstream2.md) # WorkSpaces Pools のインターネットアクセス WorkSpaces Pools の WorkSpaces でインターネットアクセスが必要な場合は、いくつかの方法で有効にできます。インターネットアクセスを有効にする方法を選択するときは、デプロイでサポートする必要があるユーザーの数とデプロイの目標を考慮してください。次に例を示します: + デプロイで 100 を超える同時実行ユーザーをサポートする必要がある場合は、[プライベートサブネットと NAT ゲートウェイを使用して VPC を設定](managing-network-internet-NAT-gateway.md)します。 + デプロイでサポートされる同時実行ユーザー数が 100 未満の場合は、[パブリックサブネットを使用して新規または既存の VPC を設定](managing-network-default-internet-access.md)できます。 + デプロイでサポートされる同時実行ユーザー数が 100 未満で、WorkSpaces Pools を初めて導入しサービスの使用を開始する場合は、[デフォルトの VPC、パブリックサブネット、セキュリティグループを使用](managing-network-default-internet-access.md)できます。 以下のセクションでは、これらの各デプロイオプションについて詳しく説明します。 + [プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md) (推奨) — この設定では、プライベートサブネットで WorkSpaces Pools ビルダーを起動し、VPC のパブリックサブネットで NAT ゲートウェイを設定します。ストリーミングインスタンスには、インターネットから直接アクセスできないプライベート IP アドレスが割り当てられます。 また、**[既定のインターネットアクセス]** オプションを使用してインターネットアクセスを有効にする設定とは異なり、NAT 設定 では WorkSpaces Pools の WorkSpaces 数が 100 に制限されません。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、この設定を使用します。 NAT ゲートウェイで使用する新しい VPC を作成して設定することも、既存の VPC に NAT ゲートウェイを追加することもできます。 + [パブリックサブネットを使用して新しい VPC または既存の VPC を設定する](managing-network-default-internet-access.md) — この設定では、WorkSpaces Pools をパブリックサブネットで起動します。このオプションを有効にすると、WorkSpaces Pools は Amazon VPC パブリックサブネットのインターネットゲートウェイを使用してインターネット接続を提供します。ストリーミングインスタンスには、インターネットから直接アクセスできるパブリック IP アドレスが割り当てられます。この目的のために、新しい VPC を作成するか、既存の VPC を設定できます。 **注記** パブリックサブネットを使用して新規または既存の VPC を設定する場合、WorkSpaces Pools で最大 100 の WorkSpaces がサポートされます。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、代わりに[NAT ゲートウェイ設定](managing-network-internet-NAT-gateway.md)を使用します。 + [デフォルト VPC、パブリックサブネット、およびセキュリティグループの使用](default-vpc-with-public-subnet.md) — WorkSpaces Pools を初めて導入してサービスの使用を開始する場合は、デフォルトのパブリックサブネットで WorkSpaces Pools を起動できます。このオプションを有効にすると、WorkSpaces Pools は Amazon VPC パブリックサブネットのインターネットゲートウェイを使用してインターネット接続を提供します。ストリーミングインスタンスには、インターネットから直接アクセスできるパブリック IP アドレスが割り当てられます。 デフォルトの VPC は、2013 年 12 月 4 日以降に作成された Amazon Web Services アカウントで使用できます。 デフォルト VPC には、各アベイラビリティーゾーンのデフォルトのパブリックサブネットと、VPC にアタッチされたインターネットゲートウェイが含まれます。VPC にはデフォルトのセキュリティグループも含まれます。 **注記** デフォルトの VPC、パブリックサブネット、セキュリティグループを使用する場合、WorkSpaces Pools で最大 100 の WorkSpaces がサポートされます。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、代わりに[NAT ゲートウェイ設定](managing-network-internet-NAT-gateway.md)を使用します。 # WorkSpaces Pools 用に VPC を設定する WorkSpaces Pools を設定するときに、WorkSpaces を起動する仮想プライベートクラウド (VPC) と、少なくとも 1 つのサブネットを指定する必要があります。VPC は、Amazon Web Services クラウド内の論理的に分離された領域にある仮想ネットワークです。サブネットは、VPC の IP アドレスの範囲です。 VPC を WorkSpaces Pools に設定する場合、パブリックサブネットとプライベートサブネットのいずれか、または両方のタイプのサブネットを組み合わせて指定できます。パブリックサブネットは、インターネットゲートウェイを介してインターネットに直接アクセスできます。インターネットゲートウェイへのルートを持たないプライベートサブネットには、インターネットへのアクセスを提供するためにネットワークアドレス変換 (NAT) ゲートウェイまたは NAT インスタンスが必要です。 **Topics** + [WorkSpaces Pools の VPC セットアップの推奨事項](vpc-setup-recommendations.md) + [プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md) + [パブリックサブネットを使用して新しい VPC または既存の VPC を設定する](managing-network-default-internet-access.md) + [デフォルト VPC、パブリックサブネット、およびセキュリティグループの使用](default-vpc-with-public-subnet.md) # WorkSpaces Pools の VPC セットアップの推奨事項 WorkSpaces Pools を作成するときは、VPC および使用する 1 つ以上のサブネットを指定します。セキュリティグループを指定することで、VPC に対する追加のアクセスコントロールを提供できます。 以下の推奨事項は、VPC をより効果的かつ安全に設定するのに役立ちます。また、WorkSpaces Pools の効果的なスケーリングをサポートする環境の設定にも役立ちます。WorkSpaces Pools の効果的なスケーリングにより、不必要なリソースの使用と関連コストを回避しながら、WorkSpaces Pools ユーザーの現在の需要や予想される需要に対応できます。 **VPC 全体の設定** + WorkSpaces Pools のスケーリングのニーズに確実に対応できる VPC 設定にします。 WorkSpaces Pools のスケーリングの計画を作成する際には、1 人のユーザーが 1 つの WorkSpaces を必要とすることに注意してください。したがって、WorkSpaces Pools のサイズによって、同時にストリーミングできるユーザーの数が決まります。このため、使用する[インスタンスタイプ](instance-types.md)ごとに、VPC がサポートできる WorkSpaces の数が、同じインスタンスタイプで予想される同時ユーザー数よりも多いことを確認します。 + WorkSpaces Pools アカウントのクォータ (制限とも呼ばれる) が、予想される需要に対応するのに十分であることを確認します。クォータの引き上げをリクエストするには、[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/) の [Service Quotas] コンソールを使用します。デフォルトの WorkSpaces Pools クォータに関する情報は、「[Amazon WorkSpaces のクォータ](workspaces-limits.md)」を参照してください。 + WorkSpaces Pools の WorkSpaces にインターネットへのアクセスを提供する場合は、ストリーミングインスタンス用の 2 つのプライベートサブネットと、パブリックサブネットの NAT ゲートウェイで、VPC を設定することをお勧めします。 NAT ゲートウェイを使用すると、プライベートサブネットの WorkSpaces をインターネットやその他の AWS サービスに接続できます。ただし、インターネットはこれらの WorkSpaces との接続を開始できません。また、**[既定のインターネットアクセス]** オプションを使用してインターネットアクセスを有効にする設定とは異なり、NAT 設定 では 100 以上の WorkSpaces がサポートされます。詳細については、「[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)」を参照してください。 **弾性ネットワークインターフェース** + WorkSpaces Pools は、WorkSpaces Pools で必要となる最大容量と同等の [Elastic Network Interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ネットワークインターフェイス) を作成します。デフォルトでは、リージョンごとのネットワークインターフェイスの制限は 5000 です。 何千もの WorkSpaces など、非常に大規模なデプロイの容量を計画する場合は、同じリージョンで使用される Amazon EC2 インスタンスの数も考慮してください。 **サブネット** + VPC に複数のプライベートサブネットを設定する場合は、それぞれを異なるアベイラビリティーゾーンで設定します。これにより、耐障害性が向上し、容量不足エラーを防ぐことができます。同じ AZ で 2 つのサブネットを使用する場合、WorkSpaces Pools は 2 つ目のサブネットを使用しないため、IP アドレスが不足する可能性があります。 + アプリケーションに必要なネットワークリソースが、両方のプライベートサブネットを通じてアクセスできることを確認します。 + 各プライベートサブネットに、予想される同時ユーザーの最大数を考慮するのに十分な数のクライアント IP アドレスを許可するサブネットマスクを設定します。また、予想される増加に対応するために、追加の IP アドレスを許可します。詳細については、[VPC and Subnet Sizing for IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) を参照してください。 + NAT で VPC を使用している場合は、インターネットアクセス用の NAT ゲートウェイを持つパブリックサブネットを少なくとも 1 つ、できれば 2 つ設定します。プライベートサブネットが存在する同じアベイラビリティーゾーンにパブリックサブネットを設定します。 WorkSpaces Pools の大規模なデプロイで耐障害性を強化し、容量不足エラーの可能性を軽減するために、VPC 設定を 3 番目のアベイラビリティーゾーンに拡張することを検討してください。この追加のアベイラビリティーゾーンに、プライベートサブネット、パブリックサブネット、および NAT ゲートウェイを含めます。 **セキュリティグループ** + セキュリティグループを使用して、VPC への追加のアクセスコントロールを提供します。 VPC に属するセキュリティグループを使用すると、WorkSpaces Pools ストリーミングインスタンスとアプリケーションに必要なネットワークリソースの間のネットワークトラフィックを制御できます。これらのリソースには、Amazon RDS や Amazon FSx、ライセンスサーバー、データベースサーバー、ファイルサーバー、アプリケーションサーバーなどの他の AWS サービスが含まれる場合があります。 + アプリケーションに必要なネットワークリソースへのアクセスが、セキュリティグループで許可されていることを確認してください。 セキュリティグループに関する一般的な情報については、*「Amazon VPC ユーザーガイド*」の[「セキュリティグループを使用して AWS リソースへのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。 # プライベートサブネットの VPC および NAT ゲートウェイを設定する WorkSpaces Pools の WorkSpaces にインターネットへのアクセスを提供する場合は、WorkSpaces 用の 2 つのプライベートサブネットと、パブリックサブネットの NAT ゲートウェイで、VPC を設定することをお勧めします。NAT ゲートウェイで使用する新しい VPC を作成して設定することも、既存の VPC に NAT ゲートウェイを追加することもできます。VPC 設定のその他の推奨事項については、[WorkSpaces Pools の VPC セットアップの推奨事項](vpc-setup-recommendations.md) を参照してください。 NAT ゲートウェイは、プライベートサブネット内の WorkSpaces がインターネットまたは他の AWS サービスに接続できるようにしますが、インターネットがそれらの WorkSpaces との接続を開始できないようにします。また、**[既定のインターネットアクセス]** オプションを使用して WorkSpaces のインターネットアクセスを有効にする設定とは異なり、この設定では WorkSpaces 数が 100 に制限されません。 NAT ゲートウェイと本設定の使用については、*Amazon VPC ユーザーガイド*の [NAT Gateways](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) と [VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) を参照してください。 **Topics** + [新しい VPC の作成と設定](create-configure-new-vpc-with-private-public-subnets-nat.md) + [既存の VPC に NAT ゲートウェイを追加する](add-nat-gateway-existing-vpc.md) + [WorkSpaces Pools のインターネットアクセスを有効にする](managing-network-manual-enable-internet-access.md) # 新しい VPC の作成と設定 このトピックでは、VPC ウィザードを使用して、パブリックサブネットと 1 つのプライベートサブネットを持つ VPC を作成する方法について説明します。このプロセスの一環として、ウィザードはインターネットゲートウェイと NAT ゲートウェイを作成します。また、パブリックサブネットに関連付けられたカスタムルートテーブルを作成し、プライベートサブネットに関連付けられたメインルートテーブルを更新します。NAT ゲートウェイは、VPC のパブリックサブネットで自動的に作成されます。 ウィザードを使用して初期 VPC 設定を作成したら、2 つ目のプライベートサブネットを追加します。この設定の詳細については、*Amazon VPC ユーザーガイド*の [VPC with Public and Private Subnets (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html) を参照してください。 **注記** すでに VPC がある場合は、代わりに、[既存の VPC に NAT ゲートウェイを追加する](add-nat-gateway-existing-vpc.md) のステップを実行します。 **Topics** + [ステップ 1: Elastic IP アドレスの割り当て](#allocate-elastic-ip) + [ステップ 2: 新しい VPC を作成する](#vpc-with-private-and-public-subnets-nat) + [ステップ 3: 2 番目のプライベートサブネットの追加](#vpc-with-private-and-public-subnets-add-private-subnet-nat) + [ステップ 4: サブネットルートテーブルの検証と名前付け](#verify-name-route-tables) ## ステップ 1: Elastic IP アドレスの割り当て VPC を作成する前に、WorkSpaces リージョンに Elastic IP アドレスを割り当てる必要があります。最初に VPC で使用する Elastic IP アドレスを割り当てて、NAT ゲートウェイに関連付ける必要があります。詳細については、*Amazon VPC ユーザーガイド*の [Elastic IP Addresses](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html) を参照してください。 **注記** 使用する Elastic IP アドレスには料金が適用される場合があります。詳しい情報については、Amazon EC2 の料金ページの [Elastic IP Addresses](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses) を参照してください。 Elastic IP アドレスをまだ持っていない場合は、以下のステップを実行します。既存の Elastic IP アドレスを使用する場合は、そのアドレスが別のインスタンスやネットワークインターフェイスに現在関連付けられていないことを確認します。 **Elastic IP アドレスを割り当てるには** 1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。 1. ナビゲーションペインの [**Network & Security**] で、[**Elastic IPs**] を選択します。 1. [**Allocate New Address (新しいアドレスの割り当て)**] を選択し、続いて [**Allocate (割り当て)**] を選択します。 1. Elastic IP アドレスを書き留めます。 1. [**Elastic IP**] ペインの右上にある [X] アイコンをクリックしてペインを閉じます。 ## ステップ 2: 新しい VPC を作成する パブリックサブネットと 1 つのプライベートサブネットを持つ新しい VPC を作成するには、次のステップを実行します。 **新しい VPC を作成するには** 1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) を開いてください。 1. ナビゲーションペインで、[**VPC ダッシュボード**] を選択します。 1. **Launch VPC Wizard** (VPC ウィザードの起動 ) を選択します。 1. [**Step 1: Select a VPC Configuration (ステップ 1: VPC 設定を選択する)**] ページで [**VPC with Public and Private Subnets (パブリックサブネットとプライベートサブネットを持つ VPC)**] を選択し、[**Select (選択)**] を選択します。 1. [**Step 2: VPC with Public and Private Subnets (ステップ 2: パブリックサブネットとプライベートサブネットを持つ VPC)**] で、VPC を次のように設定します。 + [**IPv4 CIDR block (IPv4 CIDR ブロック)**] では、VPC 用の IPv4 CIDR ブロックを指定します。 + [**IPv6 CIDR ブロック**] は、デフォルト値の、[**No IPv6 CIDR Block (IPv6 CIDR ブロックなし)**] のままにしておきます。 + [**VPC name (VPC 名)**] にキーの一意の名前を入力します。 1. パブリックサブネットを次のように設定します。 + [**Public subnet's IPv4 CIDR (パブリックサブネットの IPv4 CIDR)**] に、サブネットの CIDR ブロックを指定します。 + [**Availability Zone (アベイラビリティーゾーン)**] では、デフォルト値の、[**No Preference (指定なし)**] のままにしておきます。 + [**Public subnet name (パブリックサブネット名)**] に、サブネットの名前を入力します (例: `WorkSpaces Public Subnet`)。 1. 最初のプライベートサブネットを次のように設定します。 + [**Private subnet's IPv4 CIDR (プライベートサブネットの IPv4 CIDR)**] に、サブネットの CIDR ブロックを入力します。指定した値を書き留めておきます。 + [**Availability Zone (アベイラビリティーゾーン)**] で、特定のゾーンを選択し、選択したゾーンを書き留めます。 + [**Private subnet name (プライベートサブネット名)**] に、サブネットの名前を入力します (例: `WorkSpaces Private Subnet1`)。 + 残りのフィールドについては、該当する場合は、デフォルト値をそのまま使用します。 1. [**Elastic IP Allocation ID (Elastic IP 割り当て ID)**] で、テキストボックスをクリックし、作成した Elastic IP アドレスに対応する値を選択します。このアドレスは NAT ゲートウェイに割り当てられます。Elastic IP アドレスがない場合は、[https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) の Amazon VPC コンソールを使用して作成します。 1. [**Service endpoints (サービスエンドポイント)**] で、環境に Amazon S3 エンドポイントが必要な場合は、エンドポイントを指定します。S3 エンドポイントは、ユーザーに[ホームフォルダ](persistent-storage.md#home-folders)へのアクセスを提供したり、プライベートネットワークのユーザーに対して[アプリケーション設定の永続性](app-settings-persistence.md)を有効にしたりするために必要です。 Amazon S3 エンドポイントを指定するには、次の手順を実行します。 1. [**Add Endpoint (エンドポイントの追加)**] を選択します。 1. [**Service (サービス)**] で、末尾が「s3」(VPC が作成されるリージョンに対応する `com.amazonaws.`*region*`.s3` エントリ)で終わるエントリをリストから選択します。 1. [**Subnet (サブネット)**] で、[**Private subnet (プライベートサブネット)**] を選択します。 1. [**Policy (ポリシー)**] では、既定値の [**Full Access (フルアクセス)**] のままにします。 1. [**Enable DNS hostnames (DNS ホスト名を有効にする)**] では、デフォルト値の [**Yes (はい)**] のままにします。 1. [**Hardware tenancy (ハードウェアテナンシー)**] では、デフォルト値の [**Default (デフォルト)**] のままにします。 1. [**Create VPC**] を選択します。 1. VPC の設定には数分かかることに注意してください。VPC が作成されたら、[**OK**] を選択します。 ## ステップ 3: 2 番目のプライベートサブネットの追加 前のステップ ([ステップ 2: 新しい VPC を作成する](#vpc-with-private-and-public-subnets-nat)) で、1 つのパブリックサブネットと 1 つのプライベートサブネットを持つ VPC を作成しました。2 つ目のプライベートサブネットを追加するには、以下のステップを実行します。1 つ目のプライベートサブネットとは異なるアベイラビリティーゾーンに 2 つ目のプライベートサブネットを追加することをお勧めします。 1. ナビゲーションペインで、[**サブネット**] を選択してください。 1. 前のステップで作成した最初のプライベートサブネットを選択します。サブネットのリストの下にある [**Description (説明)**] タブで、このサブネットのアベイラビリティーゾーンを書き留めます。 1. サブネットペインの左上にある [**Create Subnet (サブネットの作成)**] を選択します。 1. [**Name tag (名前タグ)**] に、プライベートサブネットの名前を入力します (例: `WorkSpaces Private Subnet2`)。 1. [**VPC**] では、前のステップで作成した VPC を選択します。 1. [**Availability Zone (アベイラビリティーゾーン)**] で、最初のプライベートサブネットに使用しているアベイラビリティーゾーン以外のアベイラビリティーゾーンを選択します。別のアベイラビリティーゾーンを選択すると、耐障害性が向上し、容量不足エラーを防ぐのに役立ちます。 1. [**IPv4 CIDR block (IPv4 CIDR ブロック)**] の場合は、新しいサブネットの一意の CIDR ブロック範囲を指定します。たとえば、最初のプライベートサブネットの IPv4 CIDR ブロック範囲が `10.0.1.0/24` である場合、新しいプライベートサブネットに `10.0.2.0/24` CIDR ブロック範囲を指定できます。 1. **[作成]** を選択します。 1. サブネットが作成されたら、[**Close (閉じる)**] を選択します。 ## ステップ 4: サブネットルートテーブルの検証と名前付け VPC を作成して設定したら、以下のステップを実行してルートテーブルの名前を指定し、そのことを確認します。 + NAT ゲートウェイが存在するサブネットに関連付けられたルートテーブルには、インターネットゲートウェイへのインターネットトラフィックを指すルートが含まれます。これにより、NAT ゲートウェイがインターネットにアクセスできるようになります。 + プライベートサブネットに関連付けられたルートテーブルは、インターネットトラフィックを NAT ゲートウェイに向けるように設定されます。これにより、プライベートサブネットのストリーミングインスタンスがインターネットと通信できるようになります。 1. ナビゲーションペインで [**Subnets (サブネット)**] を選択し、作成したパブリックサブネットを選択します (例: `WorkSpaces Public Subnet`)。 1. [**Route Table (ルートテーブル)**] タブで、ルートテーブルの ID を選択します(たとえば、`rtb-12345678`)。 1. ルートテーブルを選択します。[**名前**] の下で編集アイコン(鉛筆)を選択し、名前(例: `workspaces-public-routetable`)を入力してから、チェックマークを選択して名前を保存します。 1. パブリックルートテーブルを選択したまま、[**ルート**] タブで、ローカルトラフィック用に 1 つのルートが存在し、他のすべてのトラフィックをインターネットゲートウェイに送信する VPC 用の別のルートがあることを確認します。以下のテーブルでは、これらの 2 つのルートについて説明しています。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html) 1. ナビゲーションペインで [**サブネット**] を選択し、作成した最初のプライベートサブネットを選択します (例: `WorkSpaces Private Subnet1`)。 1. [**ルートテーブル**] タブで、ルートテーブルの ID を選択します。 1. ルートテーブルを選択します。[**名前**] の下で編集アイコン (鉛筆) を選択し、名前 (例: `workspaces-private-routetable`) を入力してから、チェックマークを選択して名前を保存します。 1. [**Routes (ルート)**] タブで、ルートテーブルに次のルートが含まれていることを確認します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html) 1. ナビゲーションペインで [**サブネット**] を選択し、作成した 2 番目のプライベートサブネットを選択します (例: `WorkSpaces Private Subnet2`)。 1. [**ルートテーブル**] タブで、ルートテーブルがプライベートルートテーブルであることを確認します (例: `workspaces-private-routetable`)。ルートテーブルが異なる場合は、[**編集**] を選択してこのルートテーブルを選択します。 **次のステップ** WorkSpaces Pools の WorkSpaces でインターネットにアクセスできるようにするには、「[WorkSpaces Pools のインターネットアクセスを有効にする](managing-network-manual-enable-internet-access.md)」の手順を実行します。 # 既存の VPC に NAT ゲートウェイを追加する すでに VPC を設定している場合は、次のステップを実行して NAT ゲートウェイを VPC に追加します。新しい VPC を作成する必要がある場合は、「[新しい VPC の作成と設定](create-configure-new-vpc-with-private-public-subnets-nat.md)」を参照してください。 **既存の VPC に NAT ゲートウェイを追加するには** 1. NAT ゲートウェイを作成するには、*Amazon VPC ユーザーガイド*の [Creating a NAT Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating) の手順を完了します。 1. VPC に少なくとも 1 つのプライベートサブネットがあることを確認します。高可用性と耐障害性のために異なるアベイラビリティーゾーンから 2 つのプライベートサブネットを指定することをお勧めします。2 番目のプライベートサブネットを作成する方法については、「[ステップ 3: 2 番目のプライベートサブネットの追加](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)」を参照してください。 1. 1 つ以上のプライベートサブネットに関連付けられたルートテーブルを更新して、インターネットバウンドトラフィックを NAT ゲートウェイに向かわせます。これにより、プライベートサブネットのストリーミングインスタンスがインターネットと通信できるようになります。そのためには、*Amazon VPC ユーザーガイド*の [Updating Your Route Table](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route) の手順を完了してください。 **次のステップ** WorkSpaces Pools の WorkSpaces でインターネットにアクセスできるようにするには、「[WorkSpaces Pools のインターネットアクセスを有効にする](managing-network-manual-enable-internet-access.md)」の手順を実行します。 # WorkSpaces Pools のインターネットアクセスを有効にする NAT ゲートウェイが VPC で利用可能になったら、WorkSpaces Pools でインターネットアクセスを有効にできます。[WorkSpaces Pools ディレクトリ を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)ときに、インターネットアクセスを有効にできます。ディレクトリの作成時に NAT ゲートウェイを持つ VPC を選択します。次に、**[サブネット 1]** にプライベートサブネットを選択し、オプションで **[サブネット 2]** に別のプライベートサブネットを選択します。VPC にプライベートサブネットがない場合は、2 つ目のプライベートサブネットを作成する必要があります。 WorkSpaces Pools を開始し、プール内の WorkSpace に接続してインターネット参照を行うことによって、インターネット接続をテストできます。 # パブリックサブネットを使用して新しい VPC または既存の VPC を設定する 2013-12-04 以降に Amazon Web Services アカウントを作成した場合、各 AWS リージョンにデフォルトのパブリックサブネットを含むデフォルトの [VPC](default-vpc-with-public-subnet.md) があります。ただし、WorkSpaces Pools ディレクトリで使用するために、デフォルト以外の独自の VPC を作成することも、既存の VPC を設定することもできます。このトピックでは、WorkSpaces Pools で使用するデフォルト以外の VPC とパブリックサブネットを設定する方法について説明します。 VPC とパブリックサブネットを設定したら、**[既定のインターネットアクセス]** オプションを有効にすることで WorkSpaces Pools の WorkSpaces にインターネットへのアクセスを提供できます。このオプションを有効にすると、WorkSpaces Pools では、ストリーミングインスタンスからパブリックサブネットにアタッチされたネットワークインターフェイスに [Elastic IP アドレス](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)を関連付けることにより、インターネット接続が有効になります。Elastic IP アドレスは、インターネットからアクセス可能なパブリック IPv4 アドレスです。​このため、WorkSpaces Pools の WorkSpaces へのインターネットアクセスを提供する際には NAT ゲートウェイを使用することをお勧めします。また、**[既定のインターネットアクセス]** が有効になっている場合、最大 100 の WorkSpaces がサポートされます。デプロイで 100 を超える同時ユーザーをサポートする必要がある場合は、代わりに[NAT ゲートウェイ設定](managing-network-internet-NAT-gateway.md)を使用します。 詳細については、[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)のステップ を参照してください。VPC 設定のその他の推奨事項については、[WorkSpaces Pools の VPC セットアップの推奨事項](vpc-setup-recommendations.md) を参照してください。 **Topics** + [ステップ 1: パブリックサブネットで VPC を設定する](#vpc-with-public-subnet) + [ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする](#managing-network-enable-default-internet-access) ## ステップ 1: パブリックサブネットで VPC を設定する 以下のいずれかの方法を使用して、パブリックサブネットで既定以外の独自の VPC を設定できます。 + [1 つのパブリックサブネットを持つ VPC を作成する](#new-vpc-with-public-subnet) + [既存の VPC を設定する](#existing-vpc-with-public-subnet) ### 1 つのパブリックサブネットを持つ VPC を作成する VPC ウィザードを使用して新しい VPC を作成すると、ウィザードによってインターネットゲートウェイとパブリックサブネットに関連付けられたカスタムルートテーブルが作成されます。ルートテーブルは、VPC の外部のアドレスを宛先とするすべてのトラフィックをインターネットゲートウェイにルーティングします。この設定の詳細については、*Amazon VPC ユーザーガイド*の [VPC with a Single Public Subnet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html) を参照してください。 1. *Amazon VPC ユーザーガイド*の [Step 1: Create the VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) のステップを実行して、VPC を作成します。 1. WorkSpaces でインターネットにアクセスできるようにするには、「[ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする](#managing-network-enable-default-internet-access)」の手順を実行します。 ### 既存の VPC を設定する パブリックサブネットが設定されていない既存の VPC を使用する場合は、新しいパブリックサブネットを追加します。パブリックサブネットに加えて、VPC にインターネットゲートウェイをアタッチし、VPC 外部のアドレス宛てのすべてのトラフィックをインターネットゲートウェイにルーティングするルートテーブルも必要です。これらのコンポーネントを設定するには、次のステップを実行します。 1. パブリックサブネットを追加するには、[Creating a Subnet in Your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet) のステップを実行します。WorkSpaces Pools で使用する予定の既存の VPC を使用します。 VPC が IPv6 アドレス指定をサポートするように設定されている場合、[**IPv6 CIDR block (IPv6 CIDR ブロック)**] リストが表示されます。[**Don't assign Ipv6 (Ipv6 を割り当てない)**] を選択します。 1. インターネットゲートウェイを作成して VPC にアタッチするには、[Creating and Attaching an Internet Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway) のステップを実行します。 1. インターネットトラフィックがインターネットゲートウェイを介してルーティングされるようにサブネットを設定するには、[Creating a Custom Route Table](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing) に記載されているステップに従います。ステップ 5 では、[**Destination (宛先)**] に IPv4 形式 (`0.0.0.0/0`) を使用します。 1. WorkSpaces と Image Builder がインターネットにアクセスできるようにするには、「[ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする](#managing-network-enable-default-internet-access)」の手順を実行します。 ## ステップ 2: WorkSpaces Pools の既定のインターネットアクセスを有効にする [WorkSpaces Pools ディレクトリ を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)ときに、インターネットアクセスを有効にできます。ディレクトリの作成時に、パブリックサブネットを持つ VPC を選択します。次に、**[サブネット 1]** でパブリックサブネットを選択し、オプションで **[サブネット 2]** に別のパブリックサブネットを選択します。 WorkSpaces Pools を開始し、プール内の WorkSpace に接続してインターネット参照を行うことによって、インターネット接続をテストできます。 # デフォルト VPC、パブリックサブネット、およびセキュリティグループの使用 Amazon Web Services アカウントが 2013-12-04 以降に作成された場合、各 AWS リージョンにデフォルトの VPC があります。デフォルト VPC には、各アベイラビリティーゾーンのデフォルトのパブリックサブネットと、VPC にアタッチされたインターネットゲートウェイが含まれます。VPC にはデフォルトのセキュリティグループも含まれます。WorkSpaces Pools を初めて導入してサービスの使用を開始する場合は、WorkSpaces Pools を作成するときに、デフォルトの VPC とセキュリティグループを選択したままにしておくことができます。次に、少なくとも 1 つのデフォルトサブネットを選択できます。 **注記** Amazon Web Services アカウントが 2013 年 12 月 4 日より前に作成されている場合は、新しい VPC を作成するか、既存の VPC を WorkSpaces Pools で使用するように設定する必要があります。WorkSpaces Pools 用の 2 つのプライベートサブネットと、パブリックサブネットの NAT ゲートウェイで、VPC を手動で設定することをお勧めします。詳細については、「[プライベートサブネットの VPC および NAT ゲートウェイを設定する](managing-network-internet-NAT-gateway.md)」を参照してください。または、パブリックサブネットでデフォルト以外の VPC を設定することもできます。詳細については、「[パブリックサブネットを使用して新しい VPC または既存の VPC を設定する](managing-network-default-internet-access.md)」を参照してください。 [WorkSpaces Pools ディレクトリ を作成する](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)ときに、インターネットアクセスを有効にできます。 ディレクトリの作成時にデフォルトの VPC を選択します。デフォルトの VPC 名では、`vpc-`*vpc-id*` (No_default_value_Name)` という形式が使用されます。 次に、**[サブネット 1]** でデフォルトのパブリックサブネットを選択し、オプションとして **[サブネット 2]** で別のデフォルトのパブリックサブネットを選択します。デフォルトのサブネット名は、`subnet-`*subnet-id*` | (`*IPv4 CIDR ブロック*`) | Default in` *availability-zone* の形式を使用します。 WorkSpaces Pools を開始し、プール内の WorkSpace に接続してインターネット参照を行うことによって、インターネット接続をテストできます。 # WorkSpaces Pools で FedRAMP 認証または DoD SRG コンプライアンスを設定する [Federal Risk and Authorization Management Program (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) または [Department of Defense(DoD) Cloud Computing Security Requirements Guide (SRG)](https://aws.amazon.com/compliance/dod/) に準拠するには、ディレクトリレベルで連邦情報処理標準 (FIPS) エンドポイント暗号化を使用するように Amazon WorkSpaces Pools を設定する必要があります。また、FedRAMP 認可を持っているか、DoD SRG に準拠している米国の AWS リージョンを使用する必要があります。 FedRAMP 認可レベル (Moderate または High) あるいは DoD SRG 影響レベル (2、4、または 5) は、Amazon WorkSpaces が使用されている米国の AWS リージョンによって異なります。各リージョンに適用される FedRAMP 認可と DoD SRG コンプライアンスのレベルについては、「[コンプライアンスプログラムによる対象範囲内のAWS のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。 **要件** + WorkSpaces Pools ディレクトリは、エンドポイント暗号化に **[FIPS 140-2 承認モード]** を使用するように設定する必要があります。 **注記** **[FIPS 140-2 承認モード]** 設定を使用するには、以下を確認してください。 WorkSpaces Pools ディレクトリは次のいずれかです。 新規であり、プールに関連付けられていない 停止済み状態の既存の Pool に関連付けられている Pool ディレクトリは TCP に [https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html) が設定されています。 + WorkSpaces Pools [は、FedRAMP 認可または DoD SRG 準拠の米国 AWS リージョン](https://aws.amazon.com/compliance/services-in-scope/)で作成する必要があります。 + ユーザーは、次のいずれかの WorkSpaces クライアントアプリケーションから WorkSpaces にアクセスする必要があります。 + macOS: 5.20.0 以降 + Windows: 5.20.0 以降 + Web Access **FIPS エンドポイント暗号化を使用するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択し、FedRAMP 認可と DoD SRG コンプライアンスに使用するディレクトリを選択します。 1. **[ディレクトリの詳細]** ページで、FIPS 暗号化モードに設定するディレクトリを選択します。 1. **[エンドポイントの暗号化]** セクションで、**[編集]** を選択し、**[FIPS 140-2 承認モード]** を選択します。 1. **[保存]** を選択します。 # WorkSpaces Pools 機能で Amazon S3 VPC エンドポイントを使用する WorkSpaces Pools のアプリケーション設定の永続化または WorkSpaces Pools ディレクトリの ホームフォルダを有効にすると、WorkSpaces はディレクトリに指定した VPC を使用して Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを提供します。WorkSpaces Pools からプライベート S3 エンドポイントへのアクセスを有効にするには、以下のカスタムポリシーを Amazon S3 の VPC エンドポイントにアタッチします。プライベート Amazon S3 エンドポイントの詳細については、*Amazon VPC ユーザーガイド*の [VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) および [Endpoints for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) を参照してください。 ------ #### [ Commercial AWS リージョン ] 商用 AWS リージョンのリソースには、次のポリシーを使用します。 ------ #### [ AWS GovCloud (US) Regions ] 商用 AWS GovCloud (US) Regionsのリソースには、次のポリシーを使用します。 ------ # WorkSpaces Pools の VPC への接続 ネットワークリソースとインターネットへの WorkSpaces Pools 接続を有効にするには、WorkSpaces を次のように設定します。 ## ネットワークインターフェイス WorkSpaces Pools の各 WorkSpaces に次のネットワークインターフェイスがあります。 + カスタマーネットワークインターフェイスは、VPC 内だけでなくインターネットでのリソースへの接続を提供し、WorkSpaces をディレクトリに結合するために使用されます。 + 管理ネットワークインターフェイスは、セキュアな WorkSpaces Pools 管理ネットワークに接続します。ユーザーのデバイスへの WorkSpace のインタラクティブなストリーミングに使用され、WorkSpaces Pools が WorkSpace を管理するためにも使用されます。 WorkSpaces Pools は、管理ネットワークインターフェース用の IP アドレスをプライベート IP アドレス範囲 (198.19.0.0/16) から選択します。この範囲を VPC CIDR に使用することや、この範囲で VPC を他の VPC にピアリング接続することは避けてください。競合が生じて、WorkSpaces に接続できなくなることがあります。また、WorkSpace にアタッチされているネットワークインターフェイスは一切編集あるいは削除しないでください。これも、WorkSpace の未接続を引き起こす場合があります。 ## 管理ネットワークインターフェイス IP アドレス範囲とポート 管理ネットワークインターフェイス IP アドレス範囲は、198.19.0.0/16 です。次のポートはすべての WorkSpaces の管理ネットワークインターフェイスで開いている必要があります。 + ポート 8300 のインバウンド TCP。これはストリーミング接続の確立に使用されます。 + ポート 3128 のアウトバウンド TCP。これは WorkSpaces の管理に使用されます。 + ポート 8000 と 8443 のインバウンド TCP。これらは WorkSpaces の管理に使用されます。 + ポート 8300 のインバウンド UDP。これは UDP でのストリーミング接続の確立に使用されます。 管理ネットワークインターフェイスでインバウンドの範囲 198.19.0.0/16 に制限します。 **注記** Amazon DCV BYOL Windows WorkSpaces Pools では、10.0.0.0/8 IP アドレス範囲がすべての AWS リージョンで使用されます。これらの IP アドレス範囲は、BYOL WorkSpaces Pools の管理トラフィック用に選択した /16 CIDR ブロックに加えて使用されます。 通常の状況では、WorkSpaces Pools は WorkSpaces に対してこれらのポートを正常に設定します。これらのいずれかのポートをブロックするセキュリティソフトウェアまたはファイアウォールソフトウェアが WorkSpace にインストールされている場合、WorkSpaces は適切に機能することもあれば、アクセスできないこともあります。 IPv6 を無効にしないでください。IPv6 を無効にすると、WorkSpaces Pools は正しく機能しません。Windows 用の IPv6 の設定については、「[上級ユーザー向けに Windows で IPv6 を構成するためのガイダンス](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)」を参照してください。 **注記** WorkSpaces Pools は VPC 内の DNS サーバーに依存して、存在しないローカルドメイン名に対して存在しないドメイン (NXDOMAIN) レスポンスを返します。これにより、WorkSpaces Pools で管理されるネットワークインターフェイスは管理サーバーとやり取りできます。 Simple AD を使用してディレクトリを作成すると、 はユーザーに代わって DNS サーバーとしても機能する 2 つのドメインコントローラー AWS Directory Service を作成します。これらのドメインコントローラーは NXDOMAIN レスポンスを返さないため、WorkSpaces Pools で使用することはできません。 ## カスタマーネットワークインターフェイスポート + インターネット接続の場合、すべての接続先に対して次のポートが開いている必要があります。変更された、またはカスタムセキュリティグループを使用している場合、手動で必須ルールを追加する必要があります。詳細については、*Amazon VPC ユーザーガイド*の [Security Group Rules](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) を参照してください。 + TCP 80(HTTP) + TCP 443(HTTPS) + UDP 4195 + ディレクトリに WorkSpaces を結合させる場合、WorkSpaces Pools VPC とディレクトリコントローラの間で次のポートが開かれている必要があります。 + TCP/UDP 53 - DNS + TCP/UDP 88 - Kerberos 認証 + UDP 123 – NTP + TCP 135 - RPC + UDP 137-138 - Netlogon + TCP 139 - Netlogon + TCP/UDP 389 - LDAP + TCP/UDP 445 - SMB + TCP 1024-65535 - RPC 用ダイナミックポート ポートの完全なリストについては、Microsoft ドキュメンテーション の「[Active Directory および Active Directory ドメインサービスのポート要件](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))」を参照してください。 + すべての WorkSpace では、EC2 メタデータサービスへのアクセスができるようにポート 80(HTTP)が IP アドレス `169.254.169.254` に開放されている必要があります。IP アドレス範囲 `169.254.0.0/16` は、WorkSpaces Pools サービスの管理トラフィックで使用するために予約されています。この範囲を除外しないと、ストリーミングの問題が発生する可能性があります。 # WorkSpaces Pools へのユーザー接続 ユーザーは、デフォルトのパブリックインターネットエンドポイントを介して WorkSpaces Pools の WorkSpaces に接続できます。 デフォルトで WorkSpaces Pools は、パブリックインターネットを介してストリーミング接続をルーティングするように設定されています。ユーザーを認証し、WorkSpaces Pools が機能するために必要なウェブアセットを配信するためには、インターネットに接続できることが必須です。このトラフィックを許可するには、「[許可されたドメイン](allowed-domains.md)」に示されたドメインを許可する必要があります。 **注記** ユーザー認証では、WorkSpaces Pools は Security Assertion Markup Language 2.0 (SAML 2.0) をサポートしています。詳細については、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」を参照してください。 次のトピックでは、WorkSpaces Pools へのユーザー接続を有効にする方法について説明します。 **Topics** + [推奨帯域幅](bandwidth-recommendations-user-connections.md) + [WorkSpaces Pools ユーザーデバイスの IP アドレスとポートの要件](pools-client-application-ports.md) + [許可されたドメイン](allowed-domains.md) # 推奨帯域幅 WorkSpaces Pools のパフォーマンスを最適化するには、ネットワーク帯域幅とレイテンシーがユーザーのニーズに対応できるレベルであることが不可欠です。 WorkSpaces Pools では、さまざまなネットワーク条件でユーザーが安全にアプリケーションにアクセスしてストリーミングできるよう、NICE Desktop Cloud Visualization (DCV) を使用します。帯域幅の使用量を減らすために、NICE DCV では H.264 ベースのビデオ圧縮とエンコードが使用されます。ストリーミングセッション中、アプリケーションの視覚的な出力は圧縮され、HTTPS で AES-256 暗号化ピクセルストリームとしてユーザーにストリーミングされます。ストリームを受信すると、復号されてユーザーのローカル画面に出力されます。ユーザーが自分のストリーミングアプリケーションを操作するときは、NICE DCV プロトコルでユーザーの入力が取得され、HTTPS でユーザーのストリーミングアプリケーションに返送されます。 この処理の間、ネットワーク状況は常に測定され、WorkSpaces Pools に情報が送信されます。WorkSpaces Pools は、リアルタイムでビデオとオーディオのエンコードを変更することで変化するネットワーク状況に動的に対応し、さまざまなアプリケーションとネットワーク状況に合わせた高品質のストリームを生成します。 WorkSpaces Pools ストリーミングセッションで推奨される帯域幅とレイテンシーはワークロードによって異なります。たとえば、グラフィックを多用するアプリケーションを使用してコンピュータ支援設計タスクを実行するユーザーは、ビジネス生産性アプリケーションを使用してドキュメントを作成するユーザーよりも多くの帯域幅と短いレイテンシーを必要とします。 以下の表では、WorkSpaces Pools ストリーミングセッションで推奨されるネットワーク帯域幅およびレイテンシーのガイダンスを、一般的なワークロード別に示しています。 各ワークロードでの推奨帯域幅は、個々のユーザーが特定の時点で何が必要になる可能性があるかに基づいています。これらの推奨事項には、持続的なスループットに必要になる帯域幅は反映されていません。ストリーミングセッション中に画面上での変化がわずか数ピクセルである場合、持続的なスループットはさらに低くなります。使用可能な帯域幅が少ないユーザーでもアプリケーションをストリーミングできますが、最適なフレームレートや画質を得られない可能性があります。 | ワークロード | 説明 | ユーザーあたりの推奨帯域幅 | 推奨最大ラウンドトリップレイテンシー | | --- | --- | --- | --- | | 基幹業務アプリケーション | ドキュメント作成アプリケーション、データベース分析ユーティリティ | 2 Mbps | 150 ミリ秒未満 | | グラフィックスアプリケーション | コンピュータ支援設計およびモデリングアプリケーション、写真およびビデオ編集 | 5 Mbps | 100 ミリ秒未満 | | 高忠実度 | マルチモニター対応の忠実度の高いデータセットやマップ | 10 Mbps | 50 ミリ秒未満 | # WorkSpaces Pools ユーザーデバイスの IP アドレスとポートの要件 インターネットエンドポイントを使用している場合、WorkSpaces Pools ユーザーのデバイスにはポート 443 (TCP) およびポート 4195 (UDP) でのアウトバウンドアクセスが必要となります。ドメイン名解決に DNS サーバーを使用している場合は、ポート 53 (UDP) でのアウトバウンドアクセスが必要です。 + ポート 443 は、インターネットエンドポイントを使用している場合の、WorkSpaces Pools ユーザーのデバイスと WorkSpaces との HTTPS 通信に使用されます。通常の場合、ストリーミングセッション中にエンドユーザーがウェブを閲覧すると、ウェブブラウザはストリーミングトラフィックに広範囲のソースポートをランダムに選択します。このポートへのリターントラフィックが許可されていることを確認する必要があります。 + ポート 4195 は、インターネットエンドポイントを使用している場合の、WorkSpaces Pools ユーザーのデバイスと WorkSpaces との UDP HTTPS 通信に使用されます。現在、これは Windows ネイティブクライアントでのみサポートされます。VPC エンドポイントを使用している場合、UDP はサポートされません。 + ポート 53 は、WorkSpaces Pools ユーザーのデバイスと DNS サーバーとの通信に使用されます。パブリックドメイン名を解決できるように、このポートは DNS サーバーの IP アドレスに対して開いている必要があります。ドメイン名の解決のために DNS サーバーを使用していない場合、このポートはオプションです。 # 許可されたドメイン WorkSpaces Pools ユーザーが WorkSpaces にアクセスできるようにするには、ユーザーによって WorkSpaces へのアクセスが開始されるネットワーク上のさまざまなドメインを、管理者が許可する必要があります。詳細については、「[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)」を参照してください。このページには、WorkSpaces Personal に適用される内容が示されていますが、WorkSpaces Pools にも適用されることに注意してください。 **注記** S3 バケットの名前に「.」文字が含まれている場合、使用されるドメインは `https://s3..amazonaws.com` です。S3 バケットの名前に「.」文字が含まれていない場合、使用されるドメインは `https://.s3..amazonaws.com` です。 # WorkSpaces プールを作成する ユーザーアプリケーションを起動してストリーミングするプールを設定および作成します。 **注記** WorkSpaces プールを作成する前に、ディレクトリを作成する必要があります。詳細については、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」を参照してください。 **プールを設定して作成する** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[WorkSpaces]**、**[プール]** の順に選択します。 1. **[WorkSpaces プールの作成]** を選択します。 1. **[オンボーディング]** (オプション) で、**[お客様のユースケースに基づいた推奨事項]**を選択すると、使用する WorkSpace のタイプに応じて推奨事項を取得できます。WorkSpaces Pools を使用することがわかっている場合は、この手順を省略できます。 1. **[WorkSpaces の設定]** で、次の情報を入力します。 + **[名前]** に、プール用の一意の名前識別子を入力します。特殊文字は使用できません。 + **[説明]** に、プールの説明を入力します (最大 256 文字)。 + **[バンドル]** で、WorkSpaces に使用するバンドルのタイプを以下から選択します。 + **ベースの WorkSpaces バンドルを使用** - ドロップダウンからバンドルを 1 つ選択します。選択したバンドルタイプの詳細を確認するには、**[バンドルの詳細]** を選択します。プールに提供されるバンドルを比較するには、**[すべてのバンドルを比較]** を選択します。 + **独自のカスタムバンドルを使用** - 過去に作成したバンドルを選択します。カスタムバンドルを作成するには、「[WorkSpaces Personal のカスタム WorkSpaces イメージとバンドルを作成する](create-custom-bundle.md)」を参照してください。 + **[実行モード]** で、プールをすぐに使用できるようにするかどうか、およびその支払い方法を以下から選択して設定します。 + **AutoStop** - プールインスタンスの使用料は、時間単位で、選択したバンドルに基づき、ユーザーに接続されたインスタンスのみを対象にして請求されます。ユーザーに接続されていないプール内のインスタンスには、安価な停止インスタンス料金 (時間単位) が請求されます。ユーザーがセッションを開始すると、1~2 分間待機した後にストリーミングが開始されます。 + **AlwaysOn** - 実行中のすべてのプールインスタンスには、ユーザーが接続されていない場合でも、適用される使用料 (時間単位) が請求されます。このモードは、ストリーミングの開始を待つ必要がないユーザーに最適です。 + **[Maximum session duration in minutes]** (セッションの最大継続時間 (分単位)) には、ストリーミングセッションがアクティブな状態を維持できる最大時間を選択します。この制限に達する 5 分前にユーザーがまだストリーミングインスタンスに接続されている場合は、切断される前に、開いているドキュメントを保存するように求められます。この時間が経過すると、インスタンスが終了され、新しいインスタンスに置き換えられます。WorkSpaces Pools コンソールで設定できる最大セッション時間は 5,760 分 (96 時間) です。WorkSpaces Pools API と CLI を使用して設定できる最大セッション時間は 432,000 秒 (120 時間) です。 + [**Disconnect timeout in minutes (切断タイムアウト (分単位))**] では、ユーザーが切断した後にストリーミングセッションをアクティブのままにする時間を選択します。切断、またはこの時間間隔内のネットワークの中断の後、ユーザーが再接続を試みる場合、前のセッションに接続されます。それ以外の場合は、新しいストリーミングインスタンスで新しいセッションに接続されます。 + ユーザーがプールツールバーで **[セッションの終了]** や **[ログアウト]** を選択してセッションを終了した場合、切断タイムアウトは適用されません。代わりに、開いているドキュメントを保存するかどうかの確認がユーザーに求められ、その後すぐにストリーミングインスタンスから切断されます。ユーザーが使用しているインスタンスは終了されます。 + [**Idle disconnect timeout in minutes (アイドル切断タイムアウト (分単位))**] では、ユーザーがストリーミングセッションから切断されるまでにアイドル状態 (非アクティブ) であることができる時間と、[**Disconnect timeout in minutes (切断タイムアウト (分単位))**] 期間の開始時刻を選択します。ユーザーは、アイドル状態が原因で切断される前に通知されます。ユーザーが [**Disconnect timeout in minutes (切断タイムアウト (分単位))**] で指定した期間が経過する前にストリーミングセッションへの再接続を試みると、前のセッションに接続されます。それ以外の場合は、新しいストリーミングインスタンスで新しいセッションに接続されます。この値を 0 に設定すると無効になります。この値を無効にした場合、ユーザーはアイドル状態が原因で切断されることはありません。 **注記** ユーザーがストリーミングセッション中にキーボードまたはマウスの入力を停止した場合、アイドル状態であると見なされます。ドメインに参加しているプールの場合、アイドル切断タイムアウトのカウントダウンは、ユーザーが Active Directory ドメインパスワードまたはスマートカードを使用してログインするまで開始されません。ファイルのアップロードとダウンロード、オーディオ入力、オーディオ出力、およびピクセルの変更は、ユーザーアクティビティとはなりません。[**Idle disconnect timeout in minutes (アイドル切断タイムアウト (分単位))**] の期間が経過した後でも引き続きアイドル状態である場合、ユーザーは切断されます。 + **[スケジュールされた容量のポリシー]** (オプション) で、**[新しいスケジュールされた容量を追加]** を選択します。予想される同時ユーザーの最小数に基づいて、プールの最小数のインスタンスと最大数のインスタンスをプロビジョニングする日時を指定します。 + **[手動スケーリングポリシー]** (オプション) で、プールの容量を増減するために使用するプールのスケーリングポリシーを指定します。**[手動スケーリングポリシー]** を展開して、新しいスケーリングポリシーを追加します。 **注記** プールのサイズは、指定した最小および最大容量によって制限されます。 + **[新しいスケールアウトポリシーを追加]** を選択し、指定された容量使用率が指定されたしきい値を下回るか超えるかした場合に指定されたインスタンスを追加するための値を入力します。 + **[新しいスケールインポリシーを追加]** を選択し、指定された容量使用率が指定されたしきい値を下回るか超えるかした場合に指定されたインスタンスを削除するための値を入力します。 + **[タグ]** で、使用するキーペアの値を指定します。キーとしては、一般的なカテゴリの「project」 (プロジェクト)、「owner」 (所有者)、「environment」 (環境) などを特定の関連値と共に指定できます。 1. **[ディレクトリを選択]** ページで、作成したディレクトリを選択します。ディレクトリを作成するには、**[ディレクトリの作成]** を選択します。詳細については、「[WorkSpaces Pools のディレクトリを管理する](manage-workspaces-pools-directory.md)」を参照してください。 1. **[WorkSpaces プールの作成]** を選択します。 # WorkSpaces Pools を管理する WorkSpaces Pools は、指定したイメージを実行する WorkSpaces で構成されます。 **Topics** + [実行モード](running-mode-pools.md) + [バンドル](instance-types.md) + [プールの変更](modify-pool.md) + [プールを削除する](set-up-pools-finish.md) + [WorkSpaces Pools の自動スケーリング](autoscaling.md) # WorkSpaces Pools の実行モード WorkSpaces Pool の実行モードは、即時利用可能性と支払い方法を決定します。WorkSpaces Pool の作成時に、以下のいずれかの実行モードを選択できます。 + **[AutoStop]** – WorkSpaces Pool のインスタンスには、ユーザーに接続されているインスタンスに対してのみ、選択したバンドルに基づいて時間単位の使用料が請求されます。ユーザーに接続されていない WorkSpaces Pool 内のインスタンスには、停止インスタンスの時間単位の低料金が請求されます。ユーザーがセッションを開始すると、1~2 分後にストリーミングが開始されます。 + **[AlwaysOn]** – WorkSpaces Pool のインスタンスを実行すると、ユーザーが接続されていない場合でも、適用される時間単位の使用料が請求されます。このモードは、ストリーミングの開始を待つ必要がないユーザーに最適です。 詳細については、[WorkSpaces の料金](https://aws.amazon.com/workspaces/pricing/)を参照してください。 **Topics** + [実行モードを変更する](modify-running-mode-pool.md) # 実行モードを変更する WorkSpaces Pool が停止状態のときに、実行モードを切り替えることができます。 **WorkSpaces の実行モードを変更するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[WorkSpaces]**、**[プール]** の順に選択します。 1. 変更する WorkSpaces Pool を選択し、停止状態であることを確認します。次に、**[アクション]**、**[実行モードの変更]** の順に選択します。 1. 新しい実行モード **[AlwaysOn]** (常にオン) または **[AutoStop]** (自動停止) を選択し、次に **[Save]** (保存) をクリックします。 **AWS CLIを使用して WorkSpaces Pool の実行モードを変更するには** + [update-workspaces-pool](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/workspaces/update-workspaces-pool.html) コマンドを使用します。 # WorkSpaces Pools のバンドル *WorkSpace バンドル*は、オペレーティングシステム、ストレージ、コンピューティング、およびソフトウェアリソースの組み合わせです。WorkSpace を起動するときに、必要に応じてバンドルを選択します。WorkSpaces で使用できるデフォルトのバンドルは*パブリックバンドル*と呼ばれます。WorkSpaces で利用可能なさまざまな公開バンドルの詳細については、[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)を参照してください。 次の表は、各 OS でサポートされているライセンス、ストリーミングプロトコル、バンドルに関する情報を示しています。 | オペレーティングシステム | ライセンス | ストリーミングプロトコル | サポート対象バンドル | | --- | --- | --- | --- | | Windows Server 2019 | 含まれる | DCV | Value、Standard、Performance、Power、PowerPro | | Windows Server 2022 | 含まれる | DCV | Standard、Performance、Power、PowerPro、Graphics.G4dn、GraphicsPro.G4dn | **注記** ベンダーによってサポートされなくなったオペレーティングシステムのバージョンは動作する保証はなく、 AWS サポートによってもサポートされません。 # プールの変更 WorkSpaces Pools の作成後、以下を変更できます。 + ディレクトリ ID (WorkSpaces Pools が停止している場合) + 基本的な詳細 + バンドルとハードウェア + セッションの切断設定 + 容量とスケーリング + スケーリングアクティビティ + タグ **WorkSpaces Pools を変更するには** 1. ナビゲーションペインで **[WorkSpaces]**、**[プール]** の順に選択します。 1. 変更するプールを選択します。 1. 変更するセクションに移動し、**[編集]** を選択します。 1. 目的の変更を行い、**[保存]** を選択します。 # プールを削除する プールを削除してリソースを解放し、アカウントに対して意図しない料金が発生することを回避できます。未使用で実行中のプールを停止することをお勧めします。 **プールを削除するには** 1. ナビゲーションペインで **[WorkSpaces]**、**[プール]** の順に選択します。 1. 停止するタスク実行を選択し、**[停止]** を選択します。プールを停止するには約 5 分かかります。 1. プールのステータスが **[停止済み]** になったら、**[削除]** を選択します。 # WorkSpaces Pools の自動スケーリング 自動スケーリングを使用してプールのサイズを自動的に変更し、利用可能なインスタンスをユーザーの需要に合わせて提供することができます。プールのサイズによって、同時にストリーミングできるユーザーの数が決まります。ユーザーセッションごとに 1 つのインスタンスが必要です。プールの容量は、インスタンスの観点から指定できます。プール設定と自動スケーリングポリシーに基づいて、必要な数のインスタンスが利用可能になります。さまざまな使用状況メトリクスに基づいてプールのサイズを自動的に調整するスケーリングポリシーを定義し、利用可能なインスタンスの数を最適化してユーザーの需要に合わせることができます。自動スケーリングを無効にして、固定されたサイズでプールを運用することもできます。 **注記** WorkSpaces Pools のスケーリングの計画を策定する際には、ネットワーク設定が要件を満たしていることを確認してください。 スケーリングを使用する場合は、Application Auto Scaling API を使用します。WorkSpaces Pools で自動スケーリングが正しく機能するためには、Application Auto Scaling に、プールを記述および更新して Amazon CloudWatch アラームを記述するアクセス許可と、管理者に代わってプールの容量を変更するアクセス許可が必要です。 以下のトピックでは、WorkSpaces Pools の自動スケーリングを理解して使用するうえで役立つ情報を示します。 **Topics** + [スケーリングの概念](#autoscaling-concepts) + [コンソールを使用したプールスケーリングの管理](#autoscaling-console) + [CLI AWS を使用したプールスケーリングの管理](#autoscaling-cli) + [その他のリソース](#autoscaling-additional-resources) ## スケーリングの概念 WorkSpaces Pools のスケーリングは、Application Auto Scaling によって行われます。詳細については、[Application Auto Scaling API リファレンス](https://docs.aws.amazon.com/autoscaling/application/APIReference/) を参照してください。 WorkSpaces Pools の自動スケーリングを効果的に使用するには、以下の用語と概念を理解しておく必要があります。 **プールの最小容量/最小ユーザーセッション数** インスタンスの最小数。インスタンスの数がこの値を下回ることはできません。また、スケーリングポリシーによってプールがこの値より小さくスケールされることはありません。例えば、プールの最小容量を 2 に設定した場合、プールのインスタンス数が 2 を下回ることはありません。 **プールの最大容量/最大ユーザーセッション数** インスタンスの最大数。インスタンスの数がこの値を上回ることはできません。また、スケーリングポリシーによってプールがこの値より大きくスケールされることはありません。例えば、プールの最大容量を 10 に設定した場合、プールのインスタンス数が 10 を上回ることはありません。 **希望するユーザーセッション容量** 実行中または保留中のセッションの合計数。これはプールが安定した状態でサポートできる同時ストリーミングセッションの合計数を表します。 **スケーリングポリシーアクション** **[スケーリングポリシー条件]** が満たされた場合に、ケーリングポリシーによってプールで実行されるアクションです。[**% capacity**] または [**number of instance(s)**] に基づいてアクションを選択できます。例えば、**[希望するユーザーセッション容量]** が 4 に、**[スケーリングポリシーアクション]** が「容量を 25% 追加」に設定されている場合、**[スケーリングポリシー条件]** が満たされると **[希望するユーザーセッション容量]** が 25% 増加して 5 になります。 **スケーリングポリシー条件** [**Scaling Policy Action**] で設定されたアクションをトリガーする条件。この条件は、スケーリングポリシーのメトリクス、比較演算子、しきい値を含みます。例えば、プールの使用率が 50% を超えたときにプールをスケールする場合は、スケーリングポリシー条件を「容量使用率 > 50% になった場合」にする必要があります。 **スケーリングポリシーメトリクス** お客様のスケーリングポリシーはこのメトリクスに基づいています。スケーリングポリシーには、次のメトリクスを使用できます。 **容量使用率** プールで使用されているインスタンスの割合。このメトリクスを使用すると、プールの使用率に基づいてプールをスケールできます。たとえば、[**Scaling Policy Condition**]: 「容量使用率 < 25%」の場合、[**Scaling Policy Action**]: 「25% の容量を削除」を実行します。 **使用可能な容量** ユーザーに提供可能なプールのインスタンスの数。このメトリクスを使用して、ユーザーがストリーミングセッションを開始するための、使用可能なメモリ容量のバッファを維持できます。たとえば、[**Scaling Policy Condition**]: 「使用可能な容量 < 5」 の場合、[**Scaling Policy Action**]: 「5 インスタンスを追加」を実行します。 **容量不足エラー** 容量不足により拒否されたセッションリクエストの数。このメトリクスを使用して、容量不足のためにストリーミングセッションを開始できないユーザーの新しいインスタンスをプロビジョニングできます。たとえば、[**Scaling Policy Condition**]: 「容量不足エラー > 0」の場合、[**Scaling Policy Action**]: 「1 インスタンスを追加」を実行します。 ## コンソールを使用したプールスケーリングの管理 WorkSpaces コンソールを使用してスケーリングを設定および管理できます。この操作は、プールの作成中、または随時 **[プール]** タブを使用して行うことができます。プールを作成したら、**[スケーリングポリシー]** タブに移動して、プールに新しいスケーリングポリシーを追加します。詳細については、「[WorkSpaces プールを作成する](set-up-pools-create.md)」を参照してください。 ユーザーの環境はさまざまに異なるため、需要に応じてスケーリングを制御するようにスケーリングポリシーを定義します。一定数のユーザーが予想される場合やスケーリングを無効にする他の理由がある場合には、ユーザーセッションのインスタンス数を固定してプールを設定できます。 これを行うには、最小容量を希望するインスタンス数に設定し、最大容量を少なくとも最小容量の値になるように調整します。これにより検証エラーを回避できますが、プールはスケールされないため、最大容量は最終的に無視されます。次に、対象プールのすべてのスケーリングポリシーを削除します。 **コンソールを使用してプールのスケーリングポリシーを設定するには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで、**[プール]** を選択します。 1. プールを選択します。 1. 選択したプールのページで、容量とスケーリングのセクションまで下にスクロールします。 1. **[編集]** を選択します。 1. 既存のポリシーを編集し、フィールドで希望する値を設定して、**[保存]** を選択します。ポリシーの変更は数分以内で有効になります。 1. また、**[新しいスケジュールされた容量を追加]**、**[新しいスケールアウトポリシーを追加]**、または **[新しいスケールインポリシーを追加]** を選択して、新しい容量とスケーリングポリシーを追加することもできます。 次の例は、5 人のユーザーがプールに接続して切断する場合のスケーリングアクティビティの使用状況グラフです。  この例では、プールに次のスケーリングポリシーが使用されています。 + 最小容量 = 10 + 最大容量 = 50 + スケールアウト = プールの容量使用率が 75% を超えた場合、インスタンスを 5 つ追加 + スケールイン = プールの容量使用率が 25% 未満になった場合、インスタンスを 6 つの削除 **注記** セッション中、スケールアウトイベントの発生時には 5 つの新しいインスタンスが起動します。スケールインイベントの発生時には、アクティブなユーザーセッションがないインスタンスが十分あり、インスタンスの合計数が最小容量である 10 インスタンスを下回らない場合、6 つのインスタンスが再利用されます。ユーザーセッションが実行中であるインスタンスは再利用されません。実行中のユーザーセッションがないインスタンスのみが再利用されます。 ## CLI AWS を使用したプールスケーリングの管理 AWS Command Line Interface (AWS CLI) を使用してプールスケーリングを設定および管理できます。スケールインおよびスケールアウトのクールダウン時間の設定など、より高度な機能については、 CLI AWS を使用します。スケーリングポリシーコマンドを実行する前に、プールをスケーラブルなターゲットとして登録する必要があります。これを行うには、以下の [register-scalable-target](https://docs.aws.amazon.com/cli/latest/reference/application-autoscaling/register-scalable-target.html) コマンドを使用します。 ``` aws application-autoscaling register-scalable-target --service-namespace workspaces \ --resource-id workspacespool/PoolId \ --scalable-dimension workspaces:workspacespool:DesiredUserSessions \ --min-capacity 1 --max-capacity 5 ``` **Topics** + [例 1: 容量使用率に基づくスケーリングポリシーの適用](#autoscaling-cli-utilization) + [例 2: 容量不足エラーに基づくスケーリングポリシーの適用](#autoscaling-cli-capacity) + [例 3: 低容量使用率に基づくスケーリングポリシーの適用](#autoscaling-cli-scale-in) + [例 4: スケジュールに基づくプールの容量の変更](#autoscaling-cli-schedule) + [例 5: ターゲット追跡スケーリングポリシーの適用](#autoscaling-target-tracking) ### 例 1: 容量使用率に基づくスケーリングポリシーの適用 この AWS CLI の例では、使用率 >= 75% の場合、プールを 25% スケールアウトするスケーリングポリシーを設定します。 次の [put-scaling-policy](https://docs.aws.amazon.com/cli/latest/reference/application-autoscaling/put-scaling-policy.html) コマンドは使用率ベースのスケーリングポリシーを定義します。 ``` aws application-autoscaling put-scaling-policy -- cli-input-json file://scale-out-utilization.json ``` `scale-out-utilization.json` ファイルの内容は以下のようになります。 ``` { "PolicyName": "policyname", "ServiceNamespace": "workspaces", "ResourceId": "workspacespool/PoolId", "ScalableDimension": "workspaces:workspacespool:DesiredUserSessions", "PolicyType": "StepScaling", "StepScalingPolicyConfiguration": { "AdjustmentType": "PercentChangeInCapacity", "StepAdjustments": [ { "MetricIntervalLowerBound": 0, "ScalingAdjustment": 25 } ], "Cooldown": 120 } } ``` コマンドが成功した場合、一部の詳細はアカウントおよびリージョンで固有ですが、出力は次のようになります。この例では、ポリシー識別子は `e3425d21-16f0-d701-89fb-12f98dac64af` です。 ``` {"PolicyARN": "arn:aws:autoscaling:us-west-2:123456789012:scalingPolicy:e3425d21-16f0-d701-89fb-12f98dac64af:resource/workspaces/workspacespool/PoolId:policyName/scale-out-utilization-policy"} ``` ここで、このポリシーの CloudWatch アラームを設定します。該当する名前、リージョン、アカウント番号、およびポリシー識別子を使用します。前のコマンドで返されたポリシー ARN を `-- alarm-actions` パラメータに使用できます。 ``` aws cloudwatch put-metric-alarm --alarm-name alarmname \ --alarm-description "Alarm when Available User Session Capacity exceeds 75 percent" \ --metric-name AvailableUserSessionCapacity \ --namespace AWS/WorkSpaces \ --statistic Average \ --period 300 \ --threshold 75 \ --comparison-operator GreaterThanOrEqualToThreshold \ --dimensions "Name=WorkSpaces pool ID,Value=PoolId" \ --evaluation-periods 1 --unit Percent \ --alarm-actions "arn:aws:autoscaling:your-region-code:account-number-without-hyphens:scalingPolicy:policyid:resource/workspaces/workspacespool/PoolId:policyName/policyname" ``` ### 例 2: 容量不足エラーに基づくスケーリングポリシーの適用 この AWS CLI の例では、プールが`InsufficientCapacityError`エラーを返した場合、プールを 1 ずつスケールアウトするスケーリングポリシーを設定します。 次のコマンドは、容量不足に基づくスケーリングポリシーを定義します。 ``` aws application-autoscaling put-scaling-policy -- cli-input-json file://scale-out-capacity.json ``` `scale-out-capacity.json` ファイルの内容は以下のようになります。 ``` { "PolicyName": "policyname", "ServiceNamespace": "workspaces", "ResourceId": "workspacespool/PoolId", "ScalableDimension": "workspaces:workspacespool:DesiredUserSessions", "PolicyType": "StepScaling", "StepScalingPolicyConfiguration": { "AdjustmentType": "ChangeInCapacity", "StepAdjustments": [ { "MetricIntervalLowerBound": 0, "ScalingAdjustment": 1 } ], "Cooldown": 120 } } ``` コマンドが成功した場合、一部の詳細はアカウントおよびリージョンで固有ですが、出力は次のようになります。この例では、ポリシー識別子は `f4495f21-0650-470c-88e6-0f393adb64fc` です。 ``` {"PolicyARN": "arn:aws:autoscaling:us-west-2:123456789012:scalingPolicy:f4495f21-0650-470c-88e6-0f393adb64fc:resource/workspaces/workspacespool/PoolId:policyName/scale-out-insufficient-capacity-policy"} ``` ここで、このポリシーの CloudWatch アラームを設定します。該当する名前、リージョン、アカウント番号、およびポリシー識別子を使用します。前のコマンドで返されたポリシー ARN を `--alarm-actions` パラメータに使用できます。 ``` aws cloudwatch put-metric-alarm --alarm-name alarmname \ --alarm-description "Alarm when out of capacity is > 0" \ --metric-name InsufficientCapacityError \ --namespace AWS/WorkSpaces \ --statistic Maximum \ --period 300 \ --threshold 0 \ --comparison-operator GreaterThanThreshold \ --dimensions "Name=Pool,Value=PoolId" \ --evaluation-periods 1 --unit Count \ --alarm-actions "arn:aws:autoscaling:your-region-code:account-number-without-hyphens:scalingPolicy:policyid:resource/workspaces/workspacespool/PoolId:policyName/policyname" ``` ### 例 3: 低容量使用率に基づくスケーリングポリシーの適用 AWS CLI この例では、 `UserSessionsCapacityUtilization`が低い場合に実際の容量を減らすためにプールをスケールインするスケーリングポリシーを設定します。 以下のコマンドは、容量超過に基づくスケーリングポリシーを定義します。 ``` aws application-autoscaling put-scaling-policy -- cli-input-json file://scale-in-capacity.json ``` `scale-in-capacity.json` ファイルの内容は以下のようになります。 ``` { "PolicyName": "policyname", "ServiceNamespace": "workspaces", "ResourceId": "workspacespool/PoolId", "ScalableDimension": "workspaces:workspacespool:DesiredUserSessions", "PolicyType": "StepScaling", "StepScalingPolicyConfiguration": { "AdjustmentType": "PercentChangeInCapacity", "StepAdjustments": [ { "MetricIntervalUpperBound": 0, "ScalingAdjustment": -25 } ], "Cooldown": 360 } } ``` コマンドが成功した場合、一部の詳細はアカウントおよびリージョンで固有ですが、出力は次のようになります。この例では、ポリシー識別子は `12ab3c4d-56789-0ef1-2345-6ghi7jk8lm90` です。 ``` {"PolicyARN": "arn:aws:autoscaling:us-west-2:123456789012:scalingPolicy:12ab3c4d-56789-0ef1-2345-6ghi7jk8lm90:resource/workspaces/workspacespool/PoolId:policyName/scale-in-utilization-policy"} ``` ここで、このポリシーの CloudWatch アラームを設定します。該当する名前、リージョン、アカウント番号、およびポリシー識別子を使用します。前のコマンドで返されたポリシー ARN を `--alarm-actions` パラメータに使用できます。 ``` aws cloudwatch put-metric-alarm --alarm-name alarmname \ --alarm-description "Alarm when Capacity Utilization is less than or equal to 25 percent" \ --metric-name UserSessionsCapacityUtilization \ --namespace AWS/WorkSpaces \ --statistic Average \ --period 120 \ --threshold 25 \ --comparison-operator LessThanOrEqualToThreshold \ --dimensions "Name=Pool,Value=PoolId" \ --evaluation-periods 10 --unit Percent \ --alarm-actions "arn:aws:autoscaling:your-region-code:account-number-without-hyphens:scalingPolicy:policyid:resource/workspaces/workspacespool/PoolId:policyName/policyname" ``` ### 例 4: スケジュールに基づくプールの容量の変更 スケジュールに基づいてプールの容量を変更すると、予測可能な需要の変動に応じてプールの容量をスケールすることができます。たとえば、稼働日の最初に、特定の数のユーザーが同時にストリーミング接続をリクエストすることが予期されます。スケジュールに基づいてプール容量を変更するには、Application Auto Scaling [PutScheduledAction](https://docs.aws.amazon.com/autoscaling/application/APIReference/API_PutScheduledAction.html) API アクションまたは [put-scheduled-action](https://docs.aws.amazon.com/cli/latest/reference/application-autoscaling/put-scheduled-action.html) AWS CLI コマンドを使用できます。 プール容量を変更する前に、WorkSpaces [describe-workspaces-pools](https://docs.aws.amazon.com/cli/latest/reference/workspaces/describe-workspaces-pools.html) AWS CLI コマンドを使用して、現在のプール容量を一覧表示できます。 ``` aws workspaces describe-workspaces-pools --name PoolId ``` 現在のプールの容量は、次の出力のように表示されます (JSON 形式で表示)。 ``` { "CapacityStatus": { "AvailableUserSessions": 1, "DesiredUserSessions": 1, "ActualUserSessions": 1, "ActiveUserSessions": 0 }, } ``` 次に、`put-scheduled-action` コマンドを使用してプールの容量を変更するスケジュールされたアクションを作成します。たとえば、次のコマンドでは、毎日午前 9:00 時 (UTC) に最小容量を 3 に変更し、最大容量を 5 に変更します。 **注記** cron 式の場合は、アクションを実行するタイミングを UTC で指定します。詳細については、「[Cron 式](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/ScheduledEvents.html#CronExpressions)」を参照してください。 ``` aws application-autoscaling put-scheduled-action --service-namespace workspaces \ --resource-id workspacespool/PoolId \ --schedule="cron(0 9 * * ? *)" \ --scalable-target-action MinCapacity=3,MaxCapacity=5 \ --scheduled-action-name ExampleScheduledAction \ --scalable-dimension workspaces:workspacespool:DesiredUserSessions ``` プールの容量を変更するスケジュールされたアクションが正しく作成されたことを確認するには、[describe-scheduled-actions](https://docs.aws.amazon.com/cli/latest/reference/application-autoscaling/describe-scheduled-actions.html) コマンドを実行します。 ``` aws application-autoscaling describe-scheduled-actions --service-namespace workspaces --resource-id workspacespool/PoolId ``` スケジュールされたアクションが正常に作成された場合、出力は次のようになります。 ``` { "ScheduledActions": [ { "ScalableDimension": "workspaces:workspacespool:DesiredUserSessions", "Schedule": "cron(0 9 * * ? *)", "ResourceId": "workspacespool/ExamplePool", "CreationTime": 1518651232.886, "ScheduledActionARN": "", "ScalableTargetAction": { "MinCapacity": 3, "MaxCapacity": 5 }, "ScheduledActionName": "ExampleScheduledAction", "ServiceNamespace": "workspaces" } ] } ``` 詳細については、「*Application Auto Scaling ユーザーガイド*」の「[スケジュールされたスケーリング](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-scheduled-scaling.html)」を参照してください。 ### 例 5: ターゲット追跡スケーリングポリシーの適用 ターゲット追跡スケーリングでは、プールの容量使用率レベルを指定できます。 ターゲット追跡スケーリングポリシーを作成すると、Application Auto Scaling は、スケーリングポリシーをトリガーする CloudWatch アラームを自動的に作成および管理します。スケーリングポリシーは、指定されたターゲット値、またはそれに近い値に容量使用率を維持するため、必要に応じて容量を追加または削除します。アプリケーションの可用性を高めるために、プールのスケールアウトはメトリクスに比例して可能な限り迅速に行われますが、スケールインはより緩やかに行われます。 次の [put-scaling-policy](https://docs.aws.amazon.com/cli/latest/reference/application-autoscaling/put-scaling-policy.html) コマンドは、WorkSpaces のプールに 75% の容量使用率を維持するターゲット追跡スケーリングポリシーを定義します。 ``` aws application-autoscaling put-scaling-policy -- cli-input-json file://config.json ``` `config.json` ファイルの内容は以下のようになります。 ``` { "PolicyName":"target-tracking-scaling-policy", "ServiceNamespace":"workspaces", "ResourceId":"workspacespool/PoolId", "ScalableDimension":"workspaces:workspacespool:DesiredUserSessions", "PolicyType":"TargetTrackingScaling", "TargetTrackingScalingPolicyConfiguration":{ "TargetValue":75.0, "PredefinedMetricSpecification":{ "PredefinedMetricType":"WorkSpacesAverageUserSessionsCapacityUtilization" }, "ScaleOutCooldown":300, "ScaleInCooldown":300 } } ``` コマンドが成功した場合、一部の詳細はアカウントおよびリージョンで固有ですが、出力は次のようになります。この例では、ポリシー識別子は 6d8972f3-efc8-437c-92d1-6270f29a66e7 です。 ``` { "PolicyARN": "arn:aws:autoscaling:us-west-2:123456789012:scalingPolicy:6d8972f3-efc8-437c-92d1-6270f29a66e7:resource/workspaces/workspacespool/PoolId:policyName/target-tracking-scaling-policy", "Alarms": [ { "AlarmARN": "arn:aws:cloudwatch:us-west-2:123456789012:alarm:TargetTracking-workspacespool/PoolId-AlarmHigh-d4f0770c-b46e-434a-a60f-3b36d653feca", "AlarmName": "TargetTracking-workspacespool/PoolId-AlarmHigh-d4f0770c-b46e-434a-a60f-3b36d653feca" }, { "AlarmARN": "arn:aws:cloudwatch:us-west-2:123456789012:alarm:TargetTracking-workspacespool/PoolId-AlarmLow-1b437334-d19b-4a63-a812-6c67aaf2910d", "AlarmName": "TargetTracking-workspacespool/PoolId-AlarmLow-1b437334-d19b-4a63-a812-6c67aaf2910d" } ] } ``` 詳細については、*Application Auto Scaling ユーザーガイド*の「[ターゲット追跡スケーリングポリシー](https://docs.aws.amazon.com/autoscaling/application/userguide/application-auto-scaling-target-tracking.html)」を参照してください。 ## その他のリソース Application Auto Scaling AWS CLI コマンドまたは API アクションの使用の詳細については、次のリソースを参照してください。 + AWS CLI コマンドリファレンスの [application-autoscaling](https://docs.aws.amazon.com/cli/latest/reference/application-autoscaling) セクション + Application Auto Scaling API リファレンス[https://docs.aws.amazon.com/autoscaling/application/APIReference/](https://docs.aws.amazon.com/autoscaling/application/APIReference/) + アプリケーション Auto Scaling ユーザーガイド[https://docs.aws.amazon.com/autoscaling/application/userguide/](https://docs.aws.amazon.com/autoscaling/application/userguide/) # WorkSpaces Pools での Active Directory の使用 WorkSpaces Pools の Windows WorkSpaces を Microsoft Active Directory のドメインに参加させることで、既存の Active Directory ドメイン (クラウドベースまたはオンプレミス) を使用して、ドメイン参加済みのストリーミングインスタンスを起動することができます。また、AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD とも呼ばれます) を使用して Active Directory ドメインを作成したり、そのドメインを使って WorkSpaces Pools リソースをサポートしたりすることもできます。AWS Managed Microsoft AD の使用について詳しくは、「*AWS Directory Service 管理ガイド*」で [Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) に関するセクションを参照してください。 WorkSpaces Pools を Active Directory ドメインに参加させると、以下のことを行うことができます。 + ストリーミングセッションからプリンターやファイル共有などのアクティブディレクトリリソースにアクセスすることをユーザーとアプリケーションに許可する。 + グループポリシーマネジメントコンソール (GPMC) で使用できるグループポリシー設定を使用して、エンドユーザーエクスペリエンスを定義する。 + アクティブディレクトリログイン認証情報を使用した認証をユーザーに義務付けるアプリケーションをストリーミングする。 + WorkSpaces Pools の WorkSpaces に企業コンプライアンスとセキュリティポリシーを適用する。 **Topics** + [アクティブディレクトリドメインの概要](active-directory-overview.md) + [WorkSpaces Pools で Active Directory の使用を開始する前に](active-directory-prerequisites.md) + [証明書ベースの認証](pools-certificate-based-authentication.md) + [WorkSpaces Pools の Active Directory 管理](active-directory-admin.md) + [詳細](active-directory-more-info.md) # アクティブディレクトリドメインの概要 WorkSpaces Pools で Active Directory ドメインを使用するには、それらが連携して動作する仕組みと、必要な設定タスクを理解する必要があります。次のタスクを実行する必要があります。 1. 必要に応じて、アプリケーションのエンドユーザーエクスペリエンスとセキュリティ要件を定義できるように、グループポリシーを設定します。 1. WorkSpaces Pools にドメイン参加済みディレクトリを作成します。 1. SAML 2.0 ID プロバイダーで WorkSpaces Pools アプリケーションを作成し、直接または Active Directory グループを使用してエンドユーザーに割り当てます。 **ユーザー認証フロー** 1. ユーザーが `https://applications.exampleco.com` を参照します。サインインページがユーザーの認証をリクエストします。 1. フェデレーションサービスが組織の ID ストアからの認証をリクエストします。 1. ID ストアはユーザーを認証し、フェデレーションサービスに認証レスポンスを返します。 1. 認証が成功すると、フェデレーションサービスはユーザーのブラウザに SAML アサーションを送信します。 1. ユーザーのブラウザが AWS サインインの SAML エンドポイント (`https://signin.aws.amazon.com/saml`) に SAML アサーションを送信します。AWSサインインが SAML リクエストを受け取って処理し、ユーザーを認証して、認証トークンを WorkSpaces Pools サービスに転送します。 1. WorkSpaces Pools は AWS からの認証トークンを使用してユーザーを認証し、ブラウザにアプリケーションを表示します。 1. ユーザーはアプリケーションを選択し、WorkSpaces Pools ディレクトリで有効になっている Windows ログイン認証方法に応じて、Active Directory ドメインパスワードを入力するか、スマートカードを選択するよう求められます。両方の認証方法が有効になっている場合、ユーザーはドメインパスワードを入力するか、スマートカードを使用するかを選択できます。証明書ベースの認証は、プロンプトを省略してユーザーの認証にも使用できます。 1. ドメインコントローラーに接続してユーザーを認証します。 1. ドメインで認証された後、ユーザーのセッションがドメインに接続できる状態で開始されます。 ユーザーの視点から見ると、このプロセスは透過的です。ユーザーはまず、組織の内部ポータルに移動し、WorkSpaces Pools ポータルにリダイレクトされます。AWS 認証情報を入力する必要はありません。アクティブディレクトリドメインのパスワードまたはスマートカードの認証情報のみが必要です。 ユーザーがこのプロセスを開始する前に、必要な資格およびグループポリシーを使用して Active Directory を設定し、ドメイン参加済みの WorkSpaces Pools ディレクトリを作成しておく必要があります。 # WorkSpaces Pools で Active Directory の使用を開始する前に WorkSpaces Pools で Microsoft Active Directory ドメインを使用する前に、次の要件と考慮事項に注意してください。 **Topics** + [アクティブディレクトリドメイン環境](#active-directory-prerequisites-domain-environment) + [WorkSpaces Pools のドメイン参加済み WorkSpaces](#active-directory-prerequisites-streaming-instances) + [グループポリシー設定](#active-directory-prerequisites-group-policy-settings) + [スマートカード認証](#active-directory-prerequisites-smart-card-authentication) ## アクティブディレクトリドメイン環境 + WorkSpaces を参加させる Microsoft Active Directory ドメインが必要です。Active Directory ドメインがない場合、またはオンプレミスの Active Directory 環境を使用する場合は、[AWS 「 クラウド上の Active Directory ドメインサービス: クイックスタートリファレンスデプロイ](https://docs.aws.amazon.com/quickstart/latest/active-directory-ds/)」を参照してください。 + WorkSpaces Pools で使用するドメインでコンピュータオブジェクトを作成および管理するためのアクセス許可が付与された、ドメインサービスアカウントが必要です。詳細については、Microsoft ドキュメントで [How to Create a Domain Account in Active Directory](https://msdn.microsoft.com/en-us/library/aa545262(v=cs.70).aspx) を参照してください。 この Active Directory ドメインを WorkSpaces Pools と関連付けるには、サービスアカウント名とパスワードを入力します。WorkSpaces Pools はこのアカウントを使用して、ディレクトリ内にコンピュータオブジェクトを作成して管理します。詳細については、「[アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与](active-directory-admin.md#active-directory-permissions)」を参照してください。 + WorkSpaces Pools で Active Directory ドメインを登録する場合は、組織単位 (OU) の識別名が必要です。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、WorkSpaces Pools で使用することはできません。詳細については、「[組織単位の識別子名を検索する](active-directory-admin.md#active-directory-oudn)」を参照してください。 + WorkSpaces Pools で使用予定のディレクトリは、完全修飾ドメイン名 (FQDN) を使用して、WorkSpaces を起動する仮想プライベートクラウド (VPC) 経由でアクセスできることが必要です。詳細については、Microsoft ドキュメントの [Active Directory and Active Directory Domain Services Port Requirements](https://technet.microsoft.com/en-us/library/dd772723.aspx) を参照してください。 ## WorkSpaces Pools のドメイン参加済み WorkSpaces ドメインに参加している WorkSpaces からアプリケーションストリーミングを行うには SAML 2.0 ベースのユーザーフェデレーションが必要です。また、Active Directory ドメインへの参加をサポートする Windows イメージを使用する必要があります。2017 年 7 月 24 日以降に公開されたすべてのパブリックイメージはアクティブディレクトリドメインへの参加をサポートします。 ## グループポリシー設定 次のグループポリシー設定の内容を確認します。WorkSpaces Pools でのドメインユーザーの認証とログインがブロックされないように、必要に応じて、次のセクションで説明するように設定を更新します。更新しないと、ユーザーが WorkSpaces にログインしようとしたときに失敗する場合があります。「不明なエラーが発生しました」というエラーメッセージが表示される場合があります。 + **[Computer Configuration] (コンピュータの構成) > [Administrative Templates] (管理用テンプレート) > [Windows Components] (Windows コンポーネント) > [Windows Logon Options] (Windows ログオンオプション) > [Disable or Enable software Secure Attention Sequence]** (ソフトウェアの Secure Attention Sequence を無効または有効にする) から、[**Services**] (サービス) に対して [**Enabled**] (有効) に設定します。 + [**Computer Configuration (コンピュータの構成)] > [Administrative Templates (管理用テンプレート)] > [System (システム)] > [Logon (ログオン)] > [Exclude credential providers (認証情報プロバイダーを除外する)**] から、次の CLSID が一覧に*ない*ことを確認します。`e7c1bab5-4b49-4e64-a966-8d99686f8c7c` + [**Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージテキスト**から、この値を [**Not defined (未定義)**] に設定します。 + [**Computer Configuration (コンピュータの構成)] > [Policies (ポリシー)] > [Windows Settings (Windows 設定)] > [Security Settings (セキュリティ設定)] > [Local Policies (ローカルポリシー)] > [Security Options (セキュリティオプション)] > [Interactive Logon (対話型ログオン)] > [Interactive Logon (対話型ログオン)]: ログオンしようとしているユーザーへのメッセージタイトル**から、この値を [**Not defined (未定義)**] に設定します。 ## スマートカード認証 WorkSpaces Pools の WorkSpaces への Windows サインインでは、Active Directory ドメインのパスワード、または [Common Access Card (CAC)](https://www.cac.mil/Common-Access-Card) や [Personal Identity Verification (PIV)](https://piv.idmanagement.gov/) などのスマートカードを使用できます。サードパーティーの証明機関 (CA) を使用してスマートカードサインインを有効にするようにアクティブディレクトリ環境を構成する詳細方法については、Microsoft ドキュメントの [Guidelines for enabling smart card logon with third-party certification authorities](https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities) を参照してください。 # 証明書ベースの認証 Microsoft Active Directory に参加している WorkSpaces Pools では、証明書ベースの認証を使用できます。これにより、ユーザーがログインするときに Active Directory ドメインパスワードの入力を求めるユーザープロンプトが省略されます。Active Directory ドメインで証明書ベースの認証を使用すると、以下のことを行うことができます。 + SAML 2.0 ID プロバイダーに依頼してユーザーを認証し、Active Directory 内のユーザーと一致する SAML アサーションを提供する。 + ユーザープロンプトの回数を減らして、シングルサインオンでログオンできるようにする。 + SAML 2.0 ID プロバイダーを使用して、パスワードなしの認証フローを有効にする。 証明書ベースの認証では、 で AWS Private Certificate Authority (AWS Private CA) リソースを使用します AWS アカウント。を使用すると AWS Private CA、ルート CA と下位 CAs を含むプライベート認証機関 (CA) 階層を作成できます。独自の CA 階層を作成し、そこから内部ユーザーを認証する証明書を発行することもできます。詳細については、[「 とは AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html)」を参照してください。 証明書ベースの認証に AWS プライベート CA を使用すると、WorkSpaces Pools は WorkSpaces Pools 内の各 WorkSpace のセッション予約時にユーザーに対して証明書を自動的にリクエストWorkSpaces。証明書でプロビジョニングされた仮想スマートカードを使用して、ユーザーを Active Directory に対して認証します。 証明書ベースの認証は、Windows インスタンスを実行するドメイン参加済みの WorkSpaces Pools でサポートされています。 **Topics** + [前提条件](certificate-based-authentication-prereq.md) + [証明書ベースの認証](certificate-based-authentication-enable.md) + [証明書ベースの認証の管理](certificate-based-authentication-manage.md) + [PCA のクロスアカウント共有を有効にする](pca-sharing.md) # 前提条件 証明書ベースの認証を使用する前に、以下のステップを完了します。 1. SAML 2.0 統合を使用して、証明書ベースの認証を使用するように WorkSpaces Pools ディレクトリを設定します。詳細については、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」を参照してください。 **注記** 証明書ベースの認証を使用する場合は、プールディレクトリ内で **[スマートカードサインイン]** を有効にしないでください。 1. SAML アサーションの `userPrincipalName` 属性を設定します。詳細については、「[ステップ 7: SAML 認証レスポンスのアサーションを作成する](create-directory-pools.md#saml-directory-create-assertions)」を参照してください。 1. SAML アサーションの `ObjectSid` 属性を設定します。この属性を使用して、Active Directory ユーザーとの強力なマッピングを実行できます。`ObjectSid` 属性が SAML\$1Subject `NameID` で指定されたユーザーの Active Directory セキュリティ識別子 (SID) と一致しない場合、証明書ベースの認証は失敗します。詳細については、「[ステップ 7: SAML 認証レスポンスのアサーションを作成する](create-directory-pools.md#saml-directory-create-assertions)」を参照してください。 **注記** [Microsoft KB5014754](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16) によると、`ObjectSid` 属性は 2025 年 9 月 10 日以降、証明書ベースの認証で必須となります。 1. SAML 2.0 設定で使用する IAM ロールの信頼ポリシーに `sts:TagSession` アクセス権限を追加します。詳細については、*「AWS Identity and Access Management ユーザーガイド」*の[「AWS STS でのタグ付けの規則」](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html.html)を参照してください。この権限は、証明書ベースの認証を使用する場合に必要です。詳細については、「[ステップ 5: SAML 2.0 フェデレーション IAM ロールを作成する](create-directory-pools.md#saml-directory-saml-federation-role-in-iam)」を参照してください。 1. Active Directory で設定されていない場合は、AWS プライベート CA を使用してプライベート認証機関 (CA) を作成します。AWSプライベート CA は、証明書ベースの認証を使用する場合に必要です。詳細については、「*AWS Private Certificate Authority ユーザーガイド*」で [AWS Private CA のデプロイ計画](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html)に関するセクションを参照してください。以下の AWS プライベート CA 設定は、証明書ベースの認証の多くのユースケースで一般的です。 + **CA タイプオプション** + **使用期間が短い証明書 CA 使用モード** – CA が証明書ベースの認証のためにエンドユーザー証明書のみを発行する場合に推奨されます。 + **ルート CA を含む単一レベルの階層** – 下位 CA を選択して既存の CA 階層と統合します。 + **主要なアルゴリズムオプション** – RSA 2048 + **サブジェクト識別名オプション** – 最も適切なオプションを使用して、Active Directory の信頼されたルート証明機関ストアでこの CA を識別します。 + **証明書失効オプション** – CRL のディストリビューション **注記** 証明書ベースの認証には、WorkSpaces Pools の WorkSpaces とドメインコントローラーの両方からアクセスできるオンライン CRL ディストリビューションポイントが必要です。これには、AWS プライベート CA CRL エントリ用に設定された Amazon S3 バケットへの認証されていないアクセスが必要です。パブリックアクセスをブロックする場合は Amazon S3 バケットにアクセスできる CloudFront ディストリビューションが必要です。これらのオプションの詳細については、「*AWS Private Certificate Authority ユーザーガイド*」で[証明書失効リスト (CRL) の計画](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html)に関するセクションを参照してください。 1. プライベート CA に `euc-private-ca` という名前のキーでタグ付けし、WorkSpaces Pools の証明書ベースの認証で使用する CA を指定します。このキーには値は必要ありません。詳細については、「*AWS Private Certificate Authority ユーザーガイド*」の[プライベート CA のタグ管理](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCaTagging.html)に関するセクションを参照してください。 1. 証明書ベースの認証では、仮想スマートカードを使用してログオンします。詳細については、「[サードパーティーの証明機関でスマートカードオンを有効にするためのガイドライン](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities)」を参照してください。以下の手順に従ってください。 1. スマートカードユーザーを認証するには、ドメインコントローラー証明書を使用してドメインコントローラーを設定します。Active Directory 証明書サービスのエンタープライズ CA が Active Directory に設定されている場合、スマートカードによるログオンを可能にするドメインコントローラーが証明書に自動的に登録されます。Active Directory 証明書サービスがない場合は、「[サードパーティー CA からのドメインコントローラー証明書の要件](https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/requirements-domain-controller)」を参照してください。AWS プライベート CA でドメインコントローラー証明書を作成できます。その場合は、使用期間の短い証明書用に設定されたプライベート CA を使用しないでください。 **注記** AWS Managed Microsoft AD を使用する場合、ドメインコントローラー証明書の要件を満たす Amazon EC2 インスタンスで証明書サービスを設定できます。Active Directory 証明書サービスで設定された AWS マネージド Microsoft AD のデプロイ例については、「[新しい Amazon Virtual Private Cloud への Active Directory のデプロイ](https://docs.aws.amazon.com/launchwizard/latest/userguide/launch-wizard-ad-deploying-new-vpc.html)」を参照してください。 AWS Managed Microsoft AD と Active Directory 証明書サービスでは、コントローラーの VPC セキュリティグループから証明書サービスを実行している Amazon EC2 インスタンスへのアウトバウンドルールも作成する必要があります。証明書の自動登録を有効にするには、セキュリティグループに TCP ポート 135 とポート 49152~65535 へのアクセスを提供する必要があります。Amazon EC2 インスタンスは、ドメインコントローラーを含むドメインインスタンスからの同じポートへのインバウンドアクセスも許可する必要があります。AWS Managed Microsoft AD のセキュリティグループを見つける方法の詳細については、「[VPC サブネットとセキュリティグループを設定する](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust_prepare_mad.html#tutorial_setup_trust_open_vpc)」を参照してください。 1. AWS プライベート CA コンソール、または SDK や CLI を使用して、プライベート CA 証明書をエクスポートします。詳細については、「[プライベート証明書のエクスポート](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)」を参照してください。 1. プライベート CA を Active Directory に公開します。ドメインコントローラーまたはドメイン結合マシンにログオンします。プライベート CA 証明書を任意の `\` にコピーし、ドメイン管理者として次のコマンドを実行します。また、グループポリシーと Microsoft PKI Health ツール (PKIView) を使用して CA を公開することもできます。詳細については、「[設定手順](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities#configuration-instructions)」を参照してください。 ``` certutil -dspublish -f \ RootCA ``` ``` certutil -dspublish -f \ NTAuthCA ``` コマンドが正常に完了したことを確認してから、プライベート CA 証明書ファイルを削除します。Active Directory のレプリケーション設定によっては、CA がドメインコントローラーと WorkSpaces Pools の WorkSpaces に公開されるまでに数分かかる場合があります。 **注記** WorkSpaces Pools の WorkSpaces がドメインに参加したときに、Active Directory が、信頼されたルート認証機関とエンタープライズ NTAuth ストアに CA を自動的に配布する必要があります。 **注記** 証明書の強力な強制で証明書ベースの認証をサポートするには、Active Directory ドメインコントローラーを互換モードにする必要があります。詳細については、Microsoft Support ドキュメントの「[KB5014754 - Windows ドメインコントローラーでの証明書ベースの認証の変更](https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)」を参照してください。AWS マネージド Microsoft AD を使用している場合は、「[ディレクトリセキュリティ設定の構成](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_directory_settings.html)」で詳細を確認してください。 # 証明書ベースの認証 証明書ベースの認証を使用する前に、以下の手順を完了します。 **証明書ベースの認証** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで **[ディレクトリ]** を選択します。 1. **[Pools ディレクトリ]** タブを選択します。 1. 設定するディレクトリを選択します。 1. ページの **[認証]** セクションで **[編集]** を選択します。 1. ページの **[証明書ベースの認証]** セクションで **[証明書ベースの認証の編集]** を選択します。 1. [**証明書ベースの認証を有効にする**] を選択します。 1. **[AWS Certificate Manager (ACM) Private Certificate Authority (CA)]** ドロップダウンで証明書を選択します。 ドロップダウンに表示するには、プライベート CA を同じ AWS アカウント と AWS リージョンに保存する必要があります。また、プライベート CA には `euc-private-ca` という名前のキーをタグ付けする必要があります。 1. フォールバックのディレクトリログを設定します。フォールバックを使用すると、証明書ベースの認証に失敗した場合でも、ユーザーは AD ドメインのパスワードでログインできます。これは、ユーザーがドメインパスワードを知っている場合にのみ推奨されます。フォールバックがオフになっていると、ロック画面や Windows のログオフが発生した場合に、セッションによってユーザーの接続が切断される可能性があります。フォールバックがオンになっている場合、セッションはユーザーに AD ドメインパスワードの入力を求めます。 1. **[保存]** を選択します。 これで証明書ベースの認証が有効になりました。ユーザーがドメインに参加している WorkSpaces を使用して SAML 2.0 で WorkSpaces Pools ディレクトリを認証する際、ドメインパスワードのプロンプトは表示されません。証明書ベースの認証が有効になっているセッションに接続すると、「**証明書ベースの認証で接続します**」という内容のメッセージが表示されます。 # 証明書ベースの認証の管理 証明書ベースの認証を有効にしたら、次のタスクを確認します。 ## プライベート CA 証明書 一般的な設定では、プライベート CA 証明書の有効期間は 10 年です。証明書の有効期限が切れたプライベート CA を置き換える方法、またはプライベート CA を新しい有効期間で再発行する方法の詳細については、「[プライベート CA ライフサイクルの管理](https://docs.aws.amazon.com/privateca/latest/userguide/ca-lifecycle.html)」を参照してください。 ## エンドユーザー証明書 WorkSpaces Pools 証明書ベースの認証 AWS Private Certificate Authority のために によって発行されたエンドユーザー証明書は、更新や取り消しを必要としません。これらは使用期間が短い証明書です。WorkSpaces Pools は、新しいセッションごとに、または期間の長いセッションの場合は 24 時間ごとに新しい証明書を自動的に発行します。こうしたエンドユーザー証明書の使用は、WorkSpaces Pools セッションで管理されます。セッションが終わると、WorkSpaces Pools はその証明書の使用を停止します。これらのエンドユーザー証明書の有効期間は、一般的な AWS Private Certificate Authority CRL ディストリビューションよりも短くなります。そのため、エンドユーザー証明書を取り消さなくても、CRL に表示されなくなります。 ## 監査レポート プライベート CA が発行または取り消したすべての証明書を一覧表示する監査報告書を作成できます。詳細については、「[プライベート CA での監査レポートの使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html)」を参照してください。 ## ログ記録とモニタリング CloudTrail を使用して、WorkSpaces Pools によるプライベート CA への API コールを記録できます。詳細については、「*AWS CloudTrail ユーザーガイド*」の「[AWS CloudTrailとは](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」および「*AWS Private Certificate Authority ユーザーガイド*」の [CloudTrail の使用](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html)に関するセクションを参照してください。CloudTrail イベント履歴では、WorkSpaces Pools **EcmAssumeRoleSession** ユーザー名で作成された **acm-pca.amazonaws.com** イベントソースの **GetCertificate** および **IssueCertificate** のイベント名を表示できます。これらのイベントは、WorkSpaces Pools の証明書ベースの認証リクエストごとに記録されます。詳細については、「AWS CloudTrail ユーザーガイド 」の「[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。 # PCA のクロスアカウント共有を有効にする プライベート CA (PCA) のクロスアカウント共有を使用すると、他のアカウントに一元的な CA を使用するアクセス許可を付与できます。CA は、[AWS Resource Access Manager](https://aws.amazon.com/ram/) (RAM) を使用して証明書を生成および発行し、アクセス許可を管理できます。これにより、アカウントごとのプライベート CA は不要になります。プライベート CA クロスアカウント共有は、同じ 内の WorkSpaces アプリケーション証明書ベースの認証 (CBA) で使用できますAWS リージョン。 WorkSpaces Pools の CBA でプライベート CA の共有リソースを使用するには、次の手順を実行します。 1. 一元化された で CBA のプライベート CA を設定しますAWS アカウント。詳細については、「[証明書ベースの認証と WorkSpaces Personal](certificate-based-authentication.md)」を参照してください。 1. プライベート CA を WorkSpaces Pools リソースAWS アカウントが CBA を利用するリソースと共有します。これを行うには、「How [to use AWSRAM to share your ACM Private CA cross-account](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)」のステップに従います。ステップ 3 の証明書を作成する手順は実行する必要はありません。プライベート CA を個々の AWS アカウントと共有することも、AWS Organizations を通じて共有することもできます。個々のアカウントと共有する場合は、 AWS Resource Access Managerコンソールまたは APIs を使用して、リソースアカウントで共有プライベート CA を受け入れる必要があります。 共有を設定するときは、AWS Resource Access Managerリソースアカウントのプライベート CA のリソース共有が `AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority`マネージドアクセス許可テンプレートを使用していることを確認します。このテンプレートは、CBA 証明書の発行時に WorkSpaces Pools サービスロールが使用する PCA テンプレートと一致しています。 1. 共有が成功したら、リソースアカウントのプライベート CA コンソールを使用して、共有プライベート CA を表示します。 1. API または CLI を使用して、プライベート CA の ARN を WorkSpaces Pools ディレクトリの CBA に関連付けます。現時点では、WorkSpaces Pools コンソールは、共有プライベート CA の ARN の選択をサポートしていません。詳細については、「[Amazon WorkSpaces サービス API リファレンス](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html)」を参照してください。 # WorkSpaces Pools の Active Directory 管理 WorkSpaces Pools で Active Directory をセットアップして使用するには、次の管理タスクを行う必要があります。 **Topics** + [アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与](#active-directory-permissions) + [組織単位の識別子名を検索する](#active-directory-oudn) + [カスタムイメージのローカル管理者権限を付与する](#active-directory-image-builder-local-admin) + [ユーザーがアイドル状態の場合にストリーミングセッションをロックする](#active-directory-session-lock) + [ドメイン信頼関係を使用するように WorkSpaces Pools を設定する](#active-directory-domain-trusts) ## アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与 WorkSpaces Pools に Active Directory コンピュータオブジェクト操作の実行を許可するには、十分なアクセス許可を持つアカウントが必要です。ベストプラクティスとして、必要最小限のアクセス許可のみを持つアカウントを使用します。最小限のアクティブディレクトリ組織単位 (OU) 許可は以下のとおりです。 + コンピュータオブジェクトの作成 + パスワードの変更 + [Reset Password] (パスワードのリセット) + 説明の書き込み アクセス許可をセットアップする前に、まず以下の操作を行う必要があります。 + ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。 + Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。 + 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティ設定を変更します。 + アクセス権限を委任するユーザーアカウント、サービスアカウント、またはグループを作成または指定します。 **最小限のアクセス権限をセットアップするには** 1. ドメインまたはドメインコントローラーで [**Active Directory Users and Computers**] (アクティブディレクトリユーザーとコンピュータ) を開きます。 1. 左のナビゲーションペインで、ドメイン参加権限を提供する最初の OU を選択して、コンテキスト (右クリック) メニューを開き、[**制御の委任**] を選択します。 1. [**Delegation of Control Wizard**] ページで、[**Next**]、[**Add**] の順に選択します。 1. **[ユーザー、コンピュータ、グループの選択]** で、事前に作成したユーザーアカウント、サービスアカウント、またはグループを選択し、**[OK]** を選択します。 1. **[Tasks to Delegate]** (委任するタスク) ページで、**[Create a custom task to delegate]** (委任するカスタムタスクの作成) を選択し、**[Next** (次へ) を選択します。 1. [**Only the following objects in the folder**]、[**Computer objects**] を選択します。 1. [**Create selected objects in this folder**]、[**Next**] を選択します。 1. [**Permissions**] で、[**Read**]、[**Write**]、[**Change Password**]、[**Reset Password**]、[**Next**] の順に選択します。 1. [**Completing the Delegation of Control Wizard**] ページで情報を確認し、[**Finish**] を選択します。 1. これらのアクセス権限を必要とする追加の OU に対して、ステップ 2 ~ 9 を繰り返します。 グループにアクセス権限を委任した場合は、強力なパスワードを持つユーザーアカウントまたはサービスアカウントを作成し、そのアカウントをグループに追加します。こうすることで、ディレクトリに WorkSpaces を接続するための十分な権限がこのアカウントに与えられます。WorkSpaces Pools ディレクトリ設定を作成するときはこのアカウントを使用します。 ## 組織単位の識別子名を検索する WorkSpaces Pools で Active Directory ドメインを登録する場合は、組織単位 (OU) の識別名が必要です。この目的のために OU を作成します。デフォルトのコンピュータコンテナは OU ではなく、WorkSpaces Pools で使用することはできません。以下に、この名前を取得する手順を示します。 **注記** 識別子名は、**OU=** で始まる必要があります。また、その名前をコンピュータオブジェクトに使用することはできません。 この手順を完了するには、まず以下の操作を行う必要があります。 + ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。 + Active Directory User and Computers MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。 + 適切なアクセス権限を持つドメインユーザーとしてログインし、OU のセキュリティプロパティを読み取ります。 **OU 識別子名を確認するには** 1. ドメインまたはドメインコントローラーで [**Active Directory Users and Computers**] (アクティブディレクトリユーザーとコンピュータ) を開きます。 1. [**View**] で、[**Advanced Features**] が有効になっていることを確認します。 1. 左のナビゲーションペインで、WorkSpaces コンピュータオブジェクトに使用する最初の OU を選択し、コンテキスト (右クリック) メニューを開いて **[プロパティ]** を選択します。 1. [**Attribute Editor**] を選択します。 1. [**Attributes**] の下の [**distinguishedName**] で、[**View**] を選択します。 1. [**値**] で識別子名を選択し、コンテキストメニューを開き、[**コピー**] を選択します。 ## カスタムイメージのローカル管理者権限を付与する デフォルトでは、Active Directory ドメインユーザーにイメージのローカル管理者権限はありません。この権限を付与するには、ディレクトリのグループポリシーの設定を使用するか、手動でイメージのローカル管理者アカウントを使用します。ローカル管理者権限をドメインユーザーに付与すると、それらのユーザーは、WorkSpaces Pools でアプリケーションをインストールしたり、カスタムイメージを作成したりできます。 **Topics** + [グループポリシー設定を使用する](#group-policy) + [WorkSpace でローカル管理者グループを使用してイメージを作成する](#manual-procedure) ### グループポリシー設定を使用する ローカル管理者権限をアクティブディレクトリのユーザーやグループに付与したり、または指定された OU のすべてのコンピュータオブジェクトに付与したりするには、グループポリシー設定を使用します。ローカル管理者のアクセス許可を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。グループポリシー設定を使用するには、まず、以下の操作を行う必要があります。 + ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。 + グループポリシーマネジメントコンソール (GPMC) の MMC スナップインをインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。 + アクセス許可を持つドメインユーザーとしてログインし、グループポリシーオブジェクト (GPO) を作成します。GPO を適切な OU にリンクします。 **グループポリシー設定を使用して、ローカル管理者のアクセス許可を付与するには** 1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、`gpmc.msc` と入力し、ENTER キーを押します。 1. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。 + コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, Link it here**] を選択して、新しい GPO を作成します。[**Name**] に、この GPO のわかりやすい名前を入力します。 + 既存の GPO を選択します。 1. GPO のコンテキストメニューを開き、[**編集**] を選択します。 1. コンソールツリーで、[**Computer Configuration**] (コンピュータの構成)、[**設定**]、[**Windows Settings**] (Windows 設定)、[**Control Panel Settings**] (コントロールパネル設定)、[**Local Users and Groups**] (ローカルユーザーおよびグループ) の順に選択します。 1. [**Local Users and Groups**] (ローカルユーザーおよびグループ) を選択して、コンテキストメニューを開き、[**新規**]、[**Local Group**] (ローカルグループ) の順に選択します。 1. [**Action**] で、[**Update**] を選択します。 1. [**Group name**] で、[**Administrators(built-in)**] を選択します。 1. **[メンバー]** で、**[追加]** を選択して、ストリーミングインスタンスに対するローカル管理者権限を割り当てるアクティブディレクトリユーザーアカウントまたはグループを指定します。[**Action**] で、[**Add to this group**] を選択し、[**OK**] を選択します。 1. この GPO を他の OU に適用するには、追加の OU を選択して、コンテキストメニューを開き、[**Link an Existing GPO**] (既存の GPO のリンク) を選択します。 1. ステップ 2 で指定した新規または既存の GPO 名を使用して、GPO までスクロールし、[**OK**] を選択します。 1. この設定が必要な追加の OU に対して、ステップ 9 および 10 を繰り返します。 1. 再度 [**OK**] を選択して、[**New Local Group Properties**] (新規のローカルグループプロパティ) ダイアログボックスを閉じます。 1. 再度 [**OK**] を選択し、GPMC を閉じます。 新しい設定を GPO に適用するには、実行中の Image Builder またはフロートを停止して再起動する必要があります。GPO がリンクされている OU の Image Builder およびフリートのローカル管理者権限が、ステップ 8 で指定したアクティブディレクトリユーザーおよびグループに自動的に付与されます。 ### WorkSpace でローカル管理者グループを使用してイメージを作成する Active Directory ユーザーまたはグループにイメージのローカル管理者権限を付与するには、これらのユーザーまたはグループをイメージのローカル管理者グループに手動で追加します。 ローカル管理者権限を付与するアクティブディレクトリユーザーまたはグループが既に存在している必要があります。 1. イメージのビルドに使用する WorkSpace に接続します。WorkSpace が実行中でありドメイン参加済みである必要があります。 1. [**開始**]、[**管理ツール**] の順に選択し、[**コンピュータの管理**] をダブルクリックします。 1. 左のナビゲーションペインで、[**Local Users and Groups**] を選択して [**Groups**] フォルダを開きます。 1. [**Administrators**] グループを開いて [**Add...**] を選択します。 1. ローカル管理者権限を割り当てるアクティブディレクトリユーザーまたはグループをすべて選択して、[**OK**] を選択します。再度 [**OK**] を選択して、[**管理者プロパティ**] ダイアログボックスを閉じます。 1. コンピュータの管理を閉じます。 1. Active Directory ユーザーとしてログインし、そのユーザーに WorkSpaces のローカル管理者権限があるかどうかを確認するには、**[管理者コマンド]**、**[ユーザーの切り替え]** の順に選択し、該当するユーザーの認証情報を入力します。 ## ユーザーがアイドル状態の場合にストリーミングセッションをロックする WorkSpaces Pools では、GPMC の設定を使用して、ユーザーが一定時間アイドル状態になったときにストリーミングセッションをロックできます。GPMC を使用するには、まず、以下の操作を行う必要があります。 + ドメインに参加済みのコンピュータまたは EC2 インスタンスにアクセスします。 + GPMC をインストールします。詳細については、Microsoft ドキュメントの「[Installing or Removing Remote Server Administration Tools for Windows 7](https://technet.microsoft.com/en-us/library/ee449483.aspx)」を参照してください。 + アクセス許可を持つドメインとしてログインし、GPO を作成します。GPO を適切な OU にリンクします。 **ユーザーがアイドル状態のときに自動的にストリーミングインスタンスをロックするには** 1. ディレクトリまたはドメインコントローラーで、管理者としてコマンドプロンプトを開き、`gpmc.msc` と入力し、ENTER キーを押します。 1. 左のコンソールツリーで、新しい GPO を作成する OU、または既存の GPO を使用する OU を選択して、以下のいずれかの操作を行います。 + コンテキスト (右クリック) メニューを開き、[**Create a GPO in this domain, Link it here**] を選択して、新しい GPO を作成します。[**Name**] に、この GPO のわかりやすい名前を入力します。 + 既存の GPO を選択します。 1. GPO のコンテキストメニューを開き、[**編集**] を選択します。 1. [**User Configuration**] (ユーザーの構成) を [**ポリシー**]、[**Administrative Templates**] (管理用テンプレート)、[**コントロールパネル**] の順に展開し、[**Personalization**] (パーソナライズ) を選択します。 1. [**スクリーンセーバーの有効化**] をダブルクリックします。 1. [**Enable screen saver**] (スクリーンセーバーの有効化) ポリシー設定で、[**有効**] を選択します。 1. [**適用**]、[**OK**] の順に選択します。 1. [**スクリーンセーバーの指定**] をダブルクリックします。 1. [**Force specific screen saver**] (スクリーンセーバーの指定) ポリシー設定で、[**有効**] を選択します。 1. [**Screen saver executable name (スクリーンセーバーの実行ファイル名)**] に **scrnsave.scr** と入力します。この設定が有効になると、システムによってユーザーのデスクトップに黒いスクリーンセーバーが表示されます。 1. [**適用**]、[**OK**] の順に選択します。 1. [**スクリーンセーバーのパスワード保護**] をダブルクリックします。 1. [**Password protect the screen saver**] (スクリーンセーバーのパスワード保護) ポリシー設定で、[**有効**] を選択します。 1. [**適用**]、[**OK**] の順に選択します。 1. [**スクリーンセーバーのタイムアウト**] をダブルクリックします。 1. [**Screen saver timeout**] (スクリーンセーバーのタイムアウト) ポリシー設定で、[**有効**] を選択します。 1. [**Seconds**] (秒) に、スクリーンセーバーが適用されるまでのユーザーのアイドル時間の長さを指定します。アイドル時間を 10 分に設定するには、600 秒を指定します。 1. [**適用**]、[**OK**] の順に選択します。 1. コンソールツリーの [**User Configuration**] (ユーザーの構成) を、[**ポリシー**]、[**Administrative Templates**] (管理用テンプレート)、[**システム**] の順に展開し、[**Ctrl\$1Alt\$1Del Options**] を選択します。 1. [**コンピュータのロック解除**] をダブルクリックします。 1. [**Remove Lock Computer**] (コンピュータのロック解除) ポリシー設定で、[**無効**] を選択します。 1. [**適用**]、[**OK**] の順に選択します。 ## ドメイン信頼関係を使用するように WorkSpaces Pools を設定する WorkSpaces Pools は、あるドメインにファイルサーバー、アプリケーション、コンピュータオブジェクトなどのネットワークリソースが存在し、別のドメインにユーザーオブジェクトが存在する Active Directory ドメイン環境をサポートします。コンピュータオブジェクト操作に使用するドメインサービスアカウントが、WorkSpaces Pools コンピュータオブジェクトと同じドメインにある必要はありません。 ディレクトリ設定を作成する際、適切なアクセス許可を持つサービスアカウントを指定して、サーバー、アプリケーション、コンピュータオブジェクト、その他のネットワークリソースが存在するアクティブディレクトリドメインのコンピュータオブジェクトを管理します。 エンドユーザーアクティブディレクトリアカウントには、以下に対して「Allowed to Authenticate」許可が必要です。 + WorkSpaces Pools コンピュータオブジェクト + ドメインのドメインコントローラー 詳細については、「[アクティブディレクトリコンピュータオブジェクトを作成および管理するための許可の付与](#active-directory-permissions)」を参照してください。 # 詳細 このトピックに関連する詳細情報については、以下のリソースを参照してください。 + [Microsoft アクティブディレクトリ](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) –Directory Service の使用に関する情報です。 # WorkSpaces Pools のバンドルとイメージ *WorkSpace バンドル*は、オペレーティングシステム、ストレージ、コンピューティング、およびソフトウェアリソースの組み合わせです。WorkSpace を起動するときに、必要に応じてバンドルを選択します。WorkSpaces で使用できるデフォルトのバンドルは*パブリックバンドル*と呼ばれます。WorkSpaces で利用可能なさまざまな公開バンドルの詳細については、[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)を参照してください。 Windows WorkSpaces を起動してカスタマイズした場合は、その WorkSpace からカスタムイメージを作成して WorkSpaces Pools で使用できます。Linux は WorkSpaces Pools ではサポートされていません。 *カスタムイメージ*には、WorkSpace の OS、ソフトウェア、設定のみが含まれます。*カスタムバンドル*は、WorkSpace の起動元になるカスタムイメージとハードウェアの両方を組み合わせたものです。 カスタムイメージを作成したら、カスタム WorkSpace イメージと、選択した基盤となるコンピューティングおよびストレージ設定を組み合わせたカスタムバンドルを構築できます。その後、新しい WorkSpaces Pools を作成するときにこのカスタムバンドルを指定して、プール内の新しい WorkSpaces が同じ一貫した構成 (ハードウェアとソフトウェア) になるようにします。 WorkSpaces にソフトウェアの更新や追加ソフトウェアのインストールが必要な場合は、カスタムバンドルを更新し、そのバンドルにより WorkSpaces を再構築できます。 WorkSpaces Pools は、複数の異なるオペレーティングシステム (OS)、ストリーミングプロトコル、バンドルをサポートしています。次の表は、各 OS でサポートされているライセンス、ストリーミングプロトコル、バンドルに関する情報を示しています。 | オペレーティングシステム | ライセンス | ストリーミングプロトコル | サポート対象バンドル | ライフサイクルポリシー/サポート終了日 | | --- | --- | --- | --- | --- | | Windows Server 2019 | 含まれる | DCV | Value、Standard、Performance、Power、PowerPro | [2029 年 1 月 9 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2019) | | Windows Server 2022 | 含まれる | DCV | Standard、Performance、Power、PowerPro、Graphics.G4dn、GraphicsPro.G4dn | [2031 年 10 月 14 日](https://learn.microsoft.com/en-us/lifecycle/products/windows-server-2022) | **注記** ベンダーによってサポートされなくなったオペレーティングシステムのバージョンは動作する保証はなく、 AWS サポートによってもサポートされません。 **Topics** + [WorkSpaces Pools のバンドルオプション](pools-custom-images-bundles.md) + [WorkSpaces Pools のカスタムイメージとカスタムバンドルを作成する](pools-images-custom-image.md) + [WorkSpaces Pools のカスタムイメージとカスタムバンドルを管理する](pools-images-managing.md) + [セッションスクリプトを使用してユーザーのストリーミングエクスペリエンスを管理する](pools-images-session-scripts.md) # WorkSpaces Pools のバンドルオプション WorkSpaces Pools で使用するバンドルを選択する前に、選択するバンドルが WorkSpaces のプロトコル、オペレーティングシステム、ネットワーク、およびコンピューティングタイプと互換性があることを確認します。テスト環境で選択するバンドルのパフォーマンスのテストでは、ユーザーの日常タスクをレプリケートするアプリケーションを実行して使用することをお勧めします。プロトコルの詳細については、「[WorkSpaces Personal のプロトコル](amazon-workspaces-networking.md#amazon-workspaces-protocols)」を参照してください。ネットワークの詳細については、「[WorkSpaces Personal のクライアントネットワークの要件](workspaces-network-requirements.md)」を参照してください。 WorkSpaces Pools では、次のパブリックバンドルを使用できます。WorkSpaces でのバンドルの詳細については、「[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)」を参照してください。Value、Standard、Performance、Power、PowerPro ## Value バンドル このバンドルは、以下に最適です。 + 基本的なテキスト編集とデータ入力 + 使用量の少ないウェブブラウジング + インスタントメッセージング このバンドルは、言語処理、音声およびビデオ会議、画面共有、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。 ## Standard バンドル このバンドルは、以下に最適です。 + 基本的なテキスト編集とデータ入力 + ウェブブラウジング + インスタントメッセージング + E メール このバンドルは、音声およびビデオ会議、画面共有、言語処理、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。 ## Performance バンドル このバンドルは、以下に最適です。 + ウェブブラウジング + 言語処理 + インスタントメッセージング + E メール + スプレッドシート + オーディオ処理 + コースウェア このバンドルは、ビデオ会議、画面共有、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。 ## Power バンドル このバンドルは、以下に最適です。 + ウェブブラウジング + 言語処理 + E メール + インスタントメッセージング + スプレッドシート + オーディオ処理 + ソフトウェア開発 (統合開発環境 (IDE)) + 中級レベルのデータ処理への参入 + 音声会議とビデオ会議 このバンドルは、画面共有、ソフトウェア開発ツール、ビジネスインテリジェンスアプリケーション、およびグラフィックアプリケーションにはお勧めしません。 ## PowerPro バンドル このバンドルは、以下に最適です。 + ウェブブラウジング + 言語処理 + E メール + インスタントメッセージング + スプレッドシート + オーディオ処理 + ソフトウェア開発 (統合開発環境 (IDE)) + データウェアハウス + ビジネスインテリジェンスアプリケーション + 音声会議とビデオ会議 このバンドルは、機械学習モデルのトレーニング、およびグラフィックアプリケーションにはお勧めしません。 ## Graphics.g4dn バンドル このバンドルは、WorkSpaces の高いレベルのグラフィックパフォーマンスと、中程度のレベルの CPU パフォーマンスおよびメモリを提供し、以下に最適です。 + ウェブブラウジング + 言語処理 + E メール + スプレッドシート + インスタントメッセージング + オーディオ会議 + ソフトウェア開発 (統合開発環境 (IDE)) + 中級レベルのデータ処理への参入 + データウェアハウス + ビジネスインテリジェンスアプリケーション + グラフィックスデザイン + CAD/CAM (コンピューター支援設計/コンピューター支援製造) このバンドルは、音声会議やビデオ会議、3D レンダリング、実写のようなリアルなデザイン、および機械学習モデルのトレーニングにはお勧めしません。 ## GraphicsPro.g4dn バンドル このバンドルは、WorkSpaces の高いレベルのグラフィックパフォーマンス、CPU パフォーマンス、およびメモリを提供し、以下に最適です。 + ウェブブラウジング + 言語処理 + E メール + スプレッドシート + インスタントメッセージング + オーディオ会議 + ソフトウェア開発 (統合開発環境 (IDE)) + 中級レベルのデータ処理への参入 + データウェアハウス + ビジネスインテリジェンスアプリケーション + グラフィックスデザイン + CAD/CAM (コンピューター支援設計/コンピューター支援製造) + 動画トランスコーディング + 3D レンダリング + 実写のようなリアルなデザイン + ゲームストリーミング + 機械学習 (ML) モデルのトレーニングと ML 推論 このバンドルは、音声会議やビデオ会議にはお勧めしません。 # WorkSpaces Pools のカスタムイメージとカスタムバンドルを作成する WorkSpaces Pools は、Windows のイメージとバンドルのみをサポートします。Windows または WorkSpace を起動してカスタマイズした場合は、その WorkSpace からカスタムイメージとカスタムバンドルを作成できます。 *カスタムイメージ*には、WorkSpace の OS、ソフトウェア、設定のみが含まれます。*カスタムバンドル*は、WorkSpace の起動元になるカスタムイメージとハードウェアの両方を組み合わせたものです。 カスタムイメージを作成したら、カスタムイメージと、選択した基盤となるコンピューティングおよびストレージ設定を組み合わせたカスタムバンドルを構築できます。その後、新しい WorkSpaces を起動するときにこのカスタムバンドルを指定して、新しい WorkSpaces が同じ一貫した構成 (ハードウェアとソフトウェア) になるようにします。 バンドルごとに異なるコンピューティングオプションとストレージオプションを選択することで、同じカスタムイメージを使用してさまざまなカスタムバンドルを作成できます。 **重要** カスタムバンドルのストレージボリュームは、イメージストレージボリュームよりも小さくすることはできません。 カスタムバンドルのコストは、作成元であるパブリックバンドルと同じです。料金の詳細については、 [ Amazon WorkSpaces の料金 ](https://aws.amazon.com/workspaces/pricing/) を参照してください。 **Topics** + [Windows カスタムイメージを作成するための要件](#pools-windows_custom_image_requirements) + [ベストプラクティス](#pools-custom_image_best_practices) + [ステップ 1: Image Checker を実行する](#pools-run_image_checker) + [ステップ 2: カスタムイメージとカスタムバンドルを作成する](#pools-create_custom_image_bundle) + [Windows WorkSpaces カスタムイメージに含まれるアイテム](#pools-image_creation_windows) ## Windows カスタムイメージを作成するための要件 **注記** 現在、Windows では 1 GB を 1,073,741,824 バイトと定義しています。WorkSpace のイメージを作成するには、C ドライブに 12,884,901,888 バイト (または 12 GiB) を超える空き容量があり、ユーザープロファイルが 10,737,418,240 バイト (または 10 GiB) 未満であることを確認する必要があります。 + WorkSpace のステータスが [**利用可能**] で、変更の状態が [**なし**] であることが必要です。 + WorkSpaces イメージのすべてのアプリケーションとユーザープロファイルは、Microsoft Sysprep と互換性がある必要があります。 + イメージに含めるすべてのアプリケーションは、`C` ドライブにインストールする必要があります。 + WorkSpace 上で実行されるすべてのアプリケーションサービスは、ドメインユーザー資格情報の代わりにローカルシステムアカウントを使用する必要があります。たとえば、ドメインユーザーの認証情報を使用して、インストール済みの Microsoft SQL Server Express を実行することはできません。 + WorkSpace は暗号化しないでください。暗号化された WorkSpace からのイメージの作成は現在サポートされていません。 + 以下のコンポーネントがイメージに必要です。これらのコンポーネントがないと、イメージから起動する WorkSpaces は正しく機能しません。詳細については、「[WorkSpaces Personal に必須の設定とサービスコンポーネント](required-service-components.md)」を参照してください。 + Windows PowerShell バージョン 3.0 以降 + リモートデスクトップサービス + AWS PV ドライバー + Windows Remote Management (WinRM) + Teradici PCoIP エージェントおよびドライバー + STXHD エージェントおよびドライバー + AWS および WorkSpaces 証明書 + Skylight エージェント + WorkSpaces Pools は、最大バンドル/イメージルートボリュームサイズ 200 GB のみをサポートします。Windows カスタムイメージを作成するときは、ルートボリュームサイズが 200 GB 未満であることを確認します。 ## ベストプラクティス WorkSpace からイメージを作成する前に、以下を実行します。 + 本番稼働用環境に接続されていない別の VPC を使用します。 + WorkSpace をプライベートサブネットにデプロイし、アウトバウンドトラフィックに NAT インスタンスを使用します。 + 小さい Simple AD ディレクトリを使用します。 + ソース WorkSpace の最小ボリュームサイズを使用し、カスタムバンドルの作成時に必要に応じてボリュームサイズを調整します。 + すべてのオペレーティングシステムの更新プログラム (Windows の機能/バージョンの更新プログラムを除く) とすべてのアプリケーション更新プログラムを WorkSpace にインストールします。 + バンドルに含めるべきでない WorkSpace からキャッシュされたデータを削除します (たとえば、ブラウザの履歴、キャッシュされたファイル、ブラウザの Cookie など)。 + バンドルに含めるべきではない WorkSpace から構成設定を削除します (E メールプロファイルなど)。 + DHCP を使用して、動的 IP アドレス設定に切り替えます。 + リージョンで許可されている WorkSpace イメージのクォータを超えていないことを確認します。デフォルトでは、リージョンごとに 40 の WorkSpace イメージが許可されます。このクォータに達した場合、新しいイメージを作成しようとすると失敗します。クォータの引き上げをリクエストするには、[WorkSpaces 制限のフォーム](https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=workspaces)を使用します。 + 暗号化された WorkSpace からイメージを作成しようとしていないことを確認します。暗号化された WorkSpace からのイメージの作成は現在サポートされていません。 + WorkSpace でウイルス対策ソフトウェアを実行している場合は、イメージの作成時に無効にします。 + WorkSpace でファイアウォールを有効にしている場合は、ファイアウォールによって必要なポートがブロックされていないことを確認します。詳細については、「[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)」を参照してください。 + Windows WorkSpaces の場合、イメージを作成する前にグループポリシーオブジェクト (GPO) を設定しないでください。 + Windows WorkSpaces の場合、イメージを作成する前にデフォルトのユーザープロファイル (`C:\Users\Default`) をカスタマイズしないでください。GPO を使用してユーザープロファイルをカスタマイズし、イメージの作成後に適用することをお勧めします。GPO を使用して行ったカスタマイズは変更やロールバックが容易なため、デフォルトのユーザープロファイルに対して行ったカスタマイズよりもエラーが発生しにくくなります。 + ENA、NVMe、PV ドライバーなど、WorkSpaces のネットワーク依存関係ドライバーを必ず更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、[Elastic Network Adapter (ENA) ドライバーのインストールまたはアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/enhanced-networking-ena.html#ena-adapter-driver-install-upgrade-win)、[AWS NVMe ドライバー (Windows インスタンス)](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/aws-nvme-drivers.html)、および [Windows インスタンスでの PV ドライバーのアップグレード](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Upgrading_PV_drivers.html)に関する説明を参照してください。 + EC2Config、EC2Launch、および EC2Launch V2 エージェントを定期的に最新バージョンに更新してください。この作業は、少なくとも 6 か月に 1 回行う必要があります。詳細については、「[EC2Config および EC2Launch の更新](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/migrating-latest-types.html#upgdate-ec2config-ec2launch)」を参照してください。 ## ステップ 1: Image Checker を実行する Windows WorkSpace がイメージ作成の要件を満たしていることを確認するには、Image Checker アプリケーションを実行することをお勧めします。Image Checker は、イメージの作成に使用する WorkSpace で一連のテストを実行し、検出された問題を解決する方法に関するガイダンスを提供します。Image Checker は Windows WorkSpaces でのみ使用できます。 **重要** WorkSpace は、Image Checker によって実行されるすべてのテストに合格した後に、イメージの作成に使用できます。 Image Checker を実行する前に、WorkSpace に最新の Windows セキュリティと累積更新プログラムがインストールされていることを確認します。 Image Checker を入手するには、以下のいずれかを実行します。 + [WorkSpace を再起動します](reboot-workspaces.md)。Image Checker は再起動時に自動的にダウンロードされ、`C:\Program Files\Amazon\ImageChecker.exe` にインストールされます。 + [https://tools.amazonworkspaces.com/ImageChecker.zip](https://tools.amazonworkspaces.com/ImageChecker.zip) から Amazon WorkSpaces Image Checker をダウンロードし、 `ImageChecker.exe` ファイルを抽出します。このファイルを `C:\Program Files\Amazon\` にコピーします。 **Image Checker を実行するには** 1. `C:\Program Files\Amazon\ImageChecker.exe` ファイルを開きます。 1. [**Amazon WorkSpaces Image Checker**] ダイアログボックスで、[**Run (実行)**] を選択します。 1. 各テストが完了したら、テストのステータスを表示できます。 いずれかのテストで [**Failed (失敗)**] ステータスが表示された場合は、[**Info (情報)**] を選択して、失敗の原因となった問題の解決方法に関する情報を表示します。これらの問題を解決する方法の詳細については、[Image Checker によって検出された問題を解決するためのヒント](#pools-image_checker_tips) を参照してください。 いずれかのテストで [**WARNING (警告)**] ステータスが表示された場合は、[**Fix All Warnings (すべての警告の修正)**] ボタンを選択します。 このツールは、Image Checker が配置されているのと同じディレクトリに出力ログファイルを生成します。デフォルトでは、このファイルは `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` にあります。このログファイルは削除しないでください。問題が発生した場合、このログファイルはトラブルシューティングに役立つことがあります。 1. 該当する場合は、テストの失敗と警告の原因となる問題を解決し、WorkSpace がすべてのテストに合格するまで Image Checker の実行プロセスを繰り返します。イメージを作成する前に、すべての失敗と警告が解決されている必要があります。 1. WorkSpace がすべてのテストに合格すると、「**Validation Successful (検証に成功しました)**」というメッセージが表示されます。これで、カスタムバンドルを作成する準備ができました。 ### Image Checker によって検出された問題を解決するためのヒント Image Checker によって検出された問題を解決するための以下のヒントを参照するほか、`C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` で Image Checker のログファイルも確認してください。 #### PowerShell バージョン 3.0 以降がインストールされていることが必要 最新バージョンの [Microsoft Windows PowerShell](https://docs.microsoft.com/powershell) をインストールします。 **重要** WorkSpace の PowerShell 実行ポリシーは、**RemoteSigned** スクリプトを許可するように設定する必要があります。実行ポリシーを確認するには、**Get-ExecutionPolicy** PowerShell コマンドを実行します。実行ポリシーが **Unrestricted** または **RemoteSigned** に設定されていない場合は、**Set-ExecutionPolicy –ExecutionPolicy RemoteSigned** コマンドを実行して、実行ポリシーの値を変更します。**RemoteSigned** 設定では、イメージの作成に必要な Amazon WorkSpaces でスクリプトを実行できます。 #### C および D ドライブのみが存在できる イメージの作成に使用される WorkSpace には、`C` および `D` ドライブのみが存在できます。仮想ドライブを含め他のすべてのドライブを削除します。 #### Windows Update による保留中の再起動は検出できない + Windows を再起動してセキュリティまたは累積更新プログラムのインストールが完了するまで、イメージ作成プロセスは実行できません。Windows を再起動してこれらの更新を適用し、保留中の他の Windows セキュリティまたは累積更新プログラムをインストールする必要がないことを確認します。 + イメージの作成は、あるバージョンの Windows 10 から新しいバージョンの Windows 10 にアップグレードされた Windows 10 システム (Windows の機能/バージョンのアップグレード) ではサポートされません。ただし、Windows の累積的な更新プログラムまたはセキュリティ更新プログラムは、WorkSpaces のイメージ作成プロセスでサポートされます。 #### Sysprep ファイルは存在する必要があり、空白にすることはできない Sysprep ファイルに問題がある場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)に連絡して EC2Config または EC2Launch の修復を依頼します。 #### ユーザープロファイルのサイズは 10 GB 未満であることが必要 Windows 7 WorkSpaces では、ユーザープロファイル (`D:\Users\username`) は合計で 10 GB 未満である必要があります。必要に応じてファイルを削除して、ユーザープロファイルのサイズを小さくします。 #### ドライブ C には十分な空き容量が必要 Windows 7 WorkSpaces では、ドライブ `C` には 12 GB 以上の空き容量が必要です。必要に応じてファイルを削除し、ドライブ `C` の空き容量を増やします。Windows 10 WorkSpaces では、`FAILED` メッセージが表示され、ディスク容量が 2 GB を超えている場合は、無視できます。 #### ドメインアカウントで実行できるサービスがない イメージ作成プロセスを実行するために、WorkSpace にドメインアカウントで実行できるサービスがありません。すべてのサービスがローカルアカウントで実行されている必要があります。 **ローカルアカウントでサービスを実行するには** 1. `C:\Program Files\Amazon\ImageChecker_yyyyMMddhhmmss.log` を開き、ドメインアカウントで実行されているサービスのリストを見つけます。 1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。 1. [**ログオン方法**] で、ドメインアカウントで実行されているサービスを探します。([**ローカルシステム**]、[**ローカルサービス**]、または [**ネットワークサービス**] として実行されているサービスは、イメージの作成を妨げません) 1. ドメインアカウントで実行されているサービスを選択し、**[Action]**、**[Properties]** の順に選択します。 1. [**ログオン**] タブを開きます。[**ログオン方法**] で、[**ローカルシステムアカウント**] を選択します。 1. **[OK]** を選択します。 #### DHCP を使用するように WorkSpace を設定することが必要 静的 IP アドレスの代わりに DHCP を使用するように、WorkSpace のすべてのネットワークアダプターを設定する必要があります。 **DHCP を使用するようにすべてのネットワークアダプターを設定するには** 1. Windows の検索ボックスに「**control panel**」と入力して、コントロールパネルを開きます。 1. [**ネットワークとインターネット**] を選択します。 1. [**ネットワークと共有センター**] を選択します。 1. [**アダプター設定の変更**] を選択し、アダプターを選択します。 1. [**この接続の設定を変更する**] を選択します。 1. [**ネットワーク**] タブで、[**インターネットプロトコルバージョン 4 (TCP/IPv4)**] を選択し、[**プロパティ**] を選択します。 1. [**インターネットプロトコルバージョン 4 (TCP/IPv4) のプロパティ**] ダイアログボックスで、[**IP アドレスを自動的に取得する**] を選択します。 1. [**OK**] を選択してください。 1. WorkSpace 上のすべてのネットワークアダプターに対してこのプロセスを繰り返します。 #### リモートデスクトップサービスを有効にすることが必要 イメージ作成プロセスでは、リモートデスクトップサービスを有効にする必要があります。 **リモートデスクトップサービスを有効にするには** 1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。 1. [**名前**] 列で、[**リモートデスクトップサービス**] を見つけます。 1. **[Remote Desktop Services]** を選択し、**[Action]**、**[Properties]** の順に選択します。 1. [**全般**] タブの [**スタートアップの種類**] で、[**手動**] または [**自動**] を選択します。 1. [**OK**] を選択してください。 #### ユーザープロファイルが存在することが必要 イメージの作成に使用する WorkSpace には、ユーザープロファイル (`D:\Users\username`) が必要です。このテストに失敗した場合は、[AWS サポート センター](https://console.aws.amazon.com/support/home#/)にお問い合わせください。 #### 環境変数のパスを適切に設定することが必要 ローカルマシンの環境変数のパスに、System32 と Windows PowerShell のエントリがありません。これらのエントリは、[イメージの作成] を実行するために必要です。 **環境変数のパスを設定するには** 1. Windows の検索ボックスに「**environment variables**」と入力し、[**システム環境変数の編集**] を選択します。 1. [**システムのプロパティ**] ダイアログボックスで、[**詳細設定**] タブを開き、[**環境変数**] を選択します。 1. [**環境変数**] ダイアログボックスの [**システム変数**] で、[**パス**] エントリを選択し、[**編集**] を選択します。 1. [**新規**] を選択し、以下のパスを追加します。 `C:\Windows\System32` 1. もう一度 [**新規**] を選択し、以下のパスを追加します。 `C:\Windows\System32\WindowsPowerShell\v1.0\` 1. [**OK**] を選択してください。 1. WorkSpace を再起動します。 **ヒント** 環境変数のパスに項目が表示される順序が重要です。正しい順序を決定するために、WorkSpace の環境変数のパスを、新しく作成された WorkSpace または新しい Windows インスタンスのパスと比較できます。 #### Windows モジュールインストーラーを有効にすることが必要 イメージ作成プロセスでは、Windows モジュールインストーラーサービスを有効にする必要があります。 **Windows モジュールインストーラーサービスを有効にするには** 1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。 1. [**名前**] 列で、[**Windows モジュールインストーラー**] を見つけます。 1. **[Windows Modules Installer]** を選択し、**[Action]**、**[Properties]** の順に選択します。 1. [**全般**] タブの [**スタートアップの種類**] で、[**手動**] または [**自動**] を選択します。 1. [**OK**] を選択してください。 #### Amazon SSM Agent を無効にすることが必要 イメージの作成プロセスでは、Amazon SSM Agent サービスを無効にする必要があります。 **Amazon SSM Agent サービスを無効にするには** 1. Windows の検索ボックスに「**services.msc**」と入力して、Windows サービスマネージャーを開きます。 1. [**名前**] 列で、[**Amazon SSM Agent**] を見つけます。 1. **[Amazon SSM Agent]** を選択し、**[Action]**、**[Properties]** の順に選択します。 1. [**全般**] タブの [**スタートアップの種類**] で、[**無効**] を選択します。 1. [**OK**] を選択してください。 #### SSL3 および TLS バージョン 1.2 を有効にすることが必要 Windows に SSL/TLS を設定するには、Microsoft Windows ドキュメントの「[How to Enable TLS 1.2](https://docs.microsoft.com/configmgr/core/plan-design/security/enable-tls-1-2)」を参照してください。 #### WorkSpace に存在できるユーザープロファイルは 1 つのみ イメージの作成に使用している WorkSpace に存在できる WorkSpaces ユーザープロファイル (`D:\Users\username`) は 1 つのみです。WorkSpace の対象ユーザーに属していないユーザープロファイルを削除します。 イメージの作成用に、WorkSpace に 3 つのユーザープロファイルのみを含めることができます。 + WorkSpace の対象ユーザーのユーザープロファイル (`D:\Users\username`) + デフォルトのユーザープロファイル (デフォルトプロファイルとも呼ばれます) + 管理者ユーザープロファイル 追加のユーザープロファイルがある場合は、Windows コントロールパネルの詳細システムプロパティを使用して削除できます。 **ユーザープロファイルを削除するには** 1. 詳細システムプロパティにアクセスするには、以下のいずれかを実行します。 + **Windows \$1 Pause Break キー**を押し、**[コントロールパネル]** > **[システムとセキュリティ]** > **[システム]** ダイアログボックスの左側のペインで **[システムの詳細設定]** を選択します。 + Windows の検索ボックスに「**control panel**」と入力します。コントロールパネルで、**[システムとセキュリティ]**、[システム] の順に選択し、**[コントロールパネル]** > **[システムとセキュリティ]** > **[システム]** ダイアログボックスの左側のペインで **[システムの詳細設定]** を選択します。 1. [**システムのプロパティ**] ダイアログボックスの [**詳細設定**] タブで、[**ユーザープロファイル**] の [**設定**] を選択します。 1. 管理者プロファイル、デフォルトプロファイル、および対象の WorkSpaces ユーザープロファイル以外のプロファイルが一覧表示されている場合は、その追加のプロファイルを選択し、[**削除**] を選択します。 1. プロファイルを削除するかどうか尋ねられたら、[**はい**] を選択します。 1. 必要に応じて、ステップ 3 と 4 を繰り返し、WorkSpace に属していない他のプロファイルを削除します。 1. [**OK**] を 2 回選択し、コントロールパネルを閉じます。 1. WorkSpace を再起動します。 #### AppX パッケージがステージング状態になることはない 1 つ以上の AppX パッケージがステージング状態になっています。これにより、イメージの作成中に Sysprep エラーが発生する可能性があります。 **ステージングされたすべての AppX パッケージを削除するには** 1. Windows の検索ボックスに「**powershell**」と入力します。[**管理者として実行**] を選択します。 1. 「このアプリがデバイスに変更を加えることを許可しますか?」と尋ねられたら、[**はい**] を選択します。 1. Windows PowerShell ウィンドウで、以下のコマンドを入力して、ステージングされたすべての AppX パッケージを一覧表示し、それぞれの後に Enter キーを押します。 ``` $workSpaceUserName = $env:username ``` ``` $allAppxPackages = Get-AppxPackage -AllUsers ``` ``` $packages = $allAppxPackages | Where-Object { ` (($_.PackageUserInformation -like "*S-1-5-18*" -and !($_.PackageUserInformation -like "*$workSpaceUserName*")) -and ` ($_.PackageUserInformation -like "*Staged*" -or $_.PackageUserInformation -like "*Installed*")) -or ` ((!($_.PackageUserInformation -like "*S-1-5-18*") -and $_.PackageUserInformation -like "*$workSpaceUserName*") -and ` $_.PackageUserInformation -like "*Staged*") } ``` 1. 昇格された SYSTEM 権限で次のコマンドを実行して、ステージングされた AppX パッケージプロビジョニングエントリをすべて削除し、Enter キーを押します。 ``` $packages | Remove-AppxPackage -ErrorAction SilentlyContinue ``` 1. Image Checker を再度実行します。それでもこのテストに失敗する場合は、以下のコマンドを入力して、すべての AppX パッケージを削除し、それぞれの後に Enter キーを押します。 ``` Get-AppxProvisionedPackage -Online | Remove-AppxProvisionedPackage -Online -ErrorAction SilentlyContinue ``` ``` Get-AppxPackage -AllUsers | Remove-AppxPackage -ErrorAction SilentlyContinue ``` #### Windows が以前のバージョンからアップグレードされていないこと イメージの作成は、あるバージョンの Windows 10 から新しいバージョンの Windows 10 にアップグレードされた Windows システム (Windows の機能/バージョンのアップグレード) ではサポートされません。 イメージを作成するには、Windows の機能/バージョンのアップグレードを行っていない WorkSpace を使用します。 #### Windows リアームカウントが 0 でないこと リアーム機能を使用すると、Windows の試用バージョンのアクティベーション期間を延長できます。イメージ作成プロセスでは、リアームカウントを 0 以外の値にする必要があります。 **Windows リアームカウントを確認するには** 1. Windows の [**スタート**] メニューで [**Windows システム**] を選択し、[**コマンドプロンプト**] を選択します。 1. [コマンドプロンプト] ウィンドウで、以下のコマンドを入力し、Enter キーを押します。 `cscript C:\Windows\System32\slmgr.vbs /dlv` リアームカウントを 0 以外の値にリセットするには、Microsoft Windows ドキュメントの「[Sysprep (Generalize) a Windows installation](https://docs.microsoft.com/windows-hardware/manufacture/desktop/sysprep--generalize--a-windows-installation)」を参照してください。 #### トラブルシューティングに関するその他のヒント Image Checker で実行されるすべてのテストに WorkSpace が合格したにもかかわらず、WorkSpace からイメージを作成できない場合は、以下の点を確認します。 + WorkSpace が **Domain Guests** グループ内のユーザーに割り当てられていないことを確認します。ドメインアカウントがあるかどうかを確認するには、以下の PowerShell コマンドを実行します。 ``` Get-WmiObject -Class Win32_Service | Where-Object { $_.StartName -like "*$env:USERDOMAIN*" } ``` + 一部のグループポリシーオブジェクト (GPO) では、Windows インスタンスの設定中に EC2Config サービスまたは EC2Launch スクリプトによって RDP 証明書のサムプリントへのアクセスがリクエストされると、そのアクセスは制限されます。イメージを作成しようとする前に、継承がブロックされて GPO が適用されていない新しい組織単位 (OU) に、WorkSpace を移動します。 + Windows Remote Management (WinRM) サービスが自動的に開始するように設定されていることを確認します。次の作業を行います。 1. Windows の検索ボックスに「`services.msc`」と入力して、Windows サービスマネージャーを開きます。 1. [**名前**] 列で、[**Windows リモート管理 (WS-Management)**] を見つけます。 1. **[Windows Remote Management (WS-Management)]** を選択し、**[Action]**、**[Properties]** の順に選択します。 1. [**全般**] タブの [**スタートアップの種類**] で、[**自動**] を選択します。 1. [**OK**] を選択してください。 ## ステップ 2: カスタムイメージとカスタムバンドルを作成する WorkSpace イメージを検証したら、次の手順を実行して、WorkSpaces コンソールを使用してカスタムイメージとカスタムバンドルを作成します。プログラムによってイメージを作成するには、CreateWorkspaceImage API アクションを使用します。詳細については、「*Amazon WorkSpaces API リファレンス*」の「[CreateWorkspaceImage](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceImage.html)」を参照してください。プログラムによりバンドルを作成するには、**CreateWorkspaceBundle** API アクションを使用します。詳細については、*Amazon WorkSpaces API リファレンス*の [CreateWorkspaceBundle](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaceBundle.html) を参照してください。 **WorkSpaces コンソールを使用してカスタムイメージとカスタムバンドルを作成するには** 1. まだ WorkSpace に接続している場合は、WorkSpaces クライアントアプリケーションで [**Amazon Workspaces**]、[**Disconnect**] (切断) の順に選択して切断します。 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. ナビゲーションペインで [**WorkSpaces**] を選択します。 1. WorkSpace を選択して詳細ページを開き、**[Create image]** (イメージ) の作成を選択します。WorkSpace の状態が **[Stopped]** (停止) の場合、**[Actions]** (アクション)、**[Start WorkSpaces]** (WorkSpaces の起動) の順に選択してから、**[Actions]** (アクション)、**[Create Image]** (イメージの作成) を選択する必要があります。 1. 続行する前に WorkSpace を再起動するように求めるメッセージが表示されます。WorkSpace を再起動すると、Amazon WorkSpaces ソフトウェアが最新バージョンに更新されます。 メッセージを閉じて、[WorkSpaces Personal の WorkSpace を再起動する](reboot-workspaces.md) のステップに従って WorkSpace を再起動します。完了したら、この手順の [Step 4](create-custom-bundle.md#step_create_image) を繰り返します。ただし、再起動メッセージが表示されたら、[**次へ**] を選択します。イメージを作成するには、WorkSpace のステータスが [**利用可能**]で、変更の状態が [**なし**] である必要があります。 1. イメージを識別するのに役立つイメージの名前と説明を入力し、[**イメージの作成**] を選択します。イメージが作成されている間、WorkSpace のステータスは [**Suspended (停止)**] となり、WorkSpace は使用できません。 説明には特殊文字のダッシュ (`-`) を使用しないでください。エラーが発生します。 1. ナビゲーションペインで [** Images**] を選択します。WorkSpace のステータスが [**Available**] (使用可能) に変わると、イメージは完成です (これには最長 45 分かかる場合があります)。 1. イメージを選択し、**[アクション]**、**[バンドルの作成]** を選択します。 1. バンドル名と説明を入力し、次の操作を行います。 + [**Bundle hardware type**] (バンドルハードウェアタイプ) で、このカスタムバンドルから WorkSpaces を起動するときに使用するハードウェアを選択します。 + ルートボリュームのデフォルトの使用可能なサイズの組み合わせは、WorkSpace あたり 200 GB です。 1. バンドルが作成されたことを確認するには、[**Bundles**] (バンドル) を選択し、バンドルが表示されていることを確認します。 ## Windows WorkSpaces カスタムイメージに含まれるアイテム Windows WorkSpace からイメージを作成すると、`C` ドライブの内容全体が含まれます。 + アドレス帳 + ダウンロード + 音楽 + 画像 + ゲームのセーブデータ + 動画 + ポッドキャスト + 仮想マシン + .virtualbox + トレース + appdata\$1local\$1temp + appdata\$1roaming\$1apple computer\$1mobilesync\$1 + appdata\$1roaming\$1apple computer\$1logs\$1 + appdata\$1roaming\$1apple computer\$1itunes\$1iphone software updates\$1 + appdata\$1roaming\$1macromedia\$1flash player\$1macromedia.com\$1support\$1flashplayer\$1sys\$1 + appdata\$1roaming\$1macromedia\$1flash player\$1\$1sharedobjects\$1 + appdata\$1roaming\$1adobe\$1flash player\$1assetcache\$1 + appdata\$1roaming\$1microsoft\$1windows\$1recent\$1 + appdata\$1roaming\$1microsoft\$1office\$1recent\$1 + appdata\$1roaming\$1microsoft office\$1live meeting + appdata\$1roaming\$1microsoft shared\$1livemeeting shared\$1 + appdata\$1roaming\$1mozilla\$1firefox\$1crash reports\$1 + appdata\$1roaming\$1mcafee\$1common framework\$1 + appdata\$1local\$1microsoft\$1feeds cache + appdata\$1local\$1microsoft\$1windows\$1temporary internet files\$1 + appdata\$1local\$1microsoft\$1windows\$1history\$1 + appdata\$1local\$1microsoft\$1internet explorer\$1domstore\$1 + appdata\$1local\$1microsoft\$1internet explorer\$1imagestore\$1 + appdata\$1locallow\$1microsoft\$1internet explorer\$1iconcache\$1 + appdata\$1locallow\$1microsoft\$1internet explorer\$1domstore\$1 + appdata\$1locallow\$1microsoft\$1internet explorer\$1imagestore\$1 + appdata\$1local\$1microsoft\$1internet explorer\$1recovery\$1 + appdata\$1local\$1mozilla\$1firefox\$1profiles\$1 # WorkSpaces Pools のカスタムイメージとカスタムバンドルを管理する カスタムイメージとカスタムバンドルを管理するプロセスは、WorkSpaces Personal も WorkSpaces Pools も同じです。イメージとバンドルの管理方法の詳細については、このガイドの WorkSpaces Personal セクションにある以下のドキュメントを参照してください。 **注記** WorkSpaces Personal で使用できるカスタムバンドルと WorkSpaces Pools で使用できるカスタムバンドルの主な違いは、使用できるオペレーティングシステムとベースとなるパブリックバンドルです。WorkSpaces Pools でサポートされているオペレーティングシステムとバンドルについては、「[ WorkSpaces Pools のバンドルバンドル WorkSpaces Pools のバンドルについて説明します。 *WorkSpace バンドル*は、オペレーティングシステム、ストレージ、コンピューティング、およびソフトウェアリソースの組み合わせです。WorkSpace を起動するときに、必要に応じてバンドルを選択します。WorkSpaces で使用できるデフォルトのバンドルは*パブリックバンドル*と呼ばれます。WorkSpaces で利用可能なさまざまな公開バンドルの詳細については、[Amazon WorkSpaces バンドル](https://aws.amazon.com/workspaces/details/#Amazon_WorkSpaces_Bundles)を参照してください。 次の表は、各 OS でサポートされているライセンス、ストリーミングプロトコル、バンドルに関する情報を示しています。 | オペレーティングシステム | ライセンス | ストリーミングプロトコル | サポート対象バンドル | | --- | --- | --- | --- | | Windows Server 2019 | 含まれる | DCV | Value、Standard、Performance、Power、PowerPro | | Windows Server 2022 | 含まれる | DCV | Standard、Performance、Power、PowerPro、Graphics.G4dn、GraphicsPro.G4dn | ベンダーによってサポートされなくなったオペレーティングシステムのバージョンは動作する保証はなく、 AWS サポートによってもサポートされません。 ](instance-types.md#instance-types.title)」を参照してください。 + [WorkSpaces Personal のカスタムバンドルを更新する](update-custom-bundle.md). + [WorkSpaces Personal でカスタムイメージをコピーする](copy-custom-image.md). + [WorkSpaces Personal でカスタムイメージを共有または共有解除する](share-custom-image.md). + [WorkSpaces Personal でカスタムバンドルまたはイメージを削除する](delete_bundle.md). # セッションスクリプトを使用してユーザーのストリーミングエクスペリエンスを管理する WorkSpaces Pools には、インスタンスセッションスクリプトが用意されています。ユーザーのストリーミングセッションで特定のイベントが発生したときに、これらのスクリプトを使用して独自のカスタムスクリプトを実行できます。例えば、ユーザーのストリーミングセッションが開始される前に、カスタムスクリプトを使用して WorkSpaces Pools 環境を準備できます。ユーザーがストリーミングセッションを完了した後に、カスタムスクリプトを使用してストリーミングインスタンスをクリーンアップすることもできます。 セッションスクリプトは WorkSpace イメージ内で指定します。これらのスクリプトはユーザーコンテキストまたはシステムコンテキスト内で実行されます。セッションスクリプトが情報、エラー、またはデバッグメッセージの書き込みに標準出力を使用する場合は、オプションで、それらを Amazon Web Services アカウント内の Amazon S3 バケットに保存することができます。 **Topics** + [ストリーミングセッションの開始前にスクリプトを実行する](#run-scripts-before-streaming-sessions-begin) + [ストリーミングセッションの終了後にスクリプトを実行する](#run-scripts-after-streaming-sessions-end) + [セッションスクリプトを作成および指定する](#create-specify-session-scripts) + [セッションスクリプト設定ファイル](#session-script-configuration-file) + [Windows PowerShell ファイルの使用](#using-powershell-files-with-session-scripts) + [セッションスクリプト出力のログ記録](#logging-session-output) + [セッションスクリプトで永続的ストレージを使用する](#use-storage-connectors-with-session-scripts) + [セッションスクリプトログに対して Amazon S3 バケットストレージを有効にする](#enable-S3-bucket-storage-session-script-logs) ## ストリーミングセッションの開始前にスクリプトを実行する ユーザーのアプリケーションが起動されてストリーミングセッションが開始されるまでに最大 60 秒間実行されるようにスクリプトを設定できます。それにより、ユーザーがアプリケーションのストリーミングを開始する前に WorkSpaces Pools 環境をカスタマイズできます。セッションスクリプトが実行されると、読み込みスピナーがユーザーに表示されます。スクリプトが正常に完了するか、最大待機時間が経過すると、ユーザーのストリーミングセッションが開始されます。スクリプトが正常に完了しなかった場合は、エラーメッセージがユーザーに表示されます。ただし、ユーザーはストリーミングセッションの使用を禁止されません。 Windows インスタンスでファイル名を指定するときは、ダブルバックスラッシュを使用する必要があります。例えば、次のようになります。 ``` C:\\Scripts\\Myscript.bat ``` 二重のバックスラッシュを使用しないと、`.json` ファイル形式が正しくないことを示すエラーが表示されます。 **注記** スクリプトは正常に完了したら、値 0 を返します。スクリプトが 0 以外の値を返した場合、WorkSpaces はユーザーにエラーメッセージを表示します。 ストリーミングセッションの開始前にスクリプトを実行すると、以下のプロセスが発生します。 1. ユーザーが、ドメインに参加していない WorkSpaces Pool の WorkSpace に接続されます。接続には SAML 2.0 を使用します。 1. 以下のいずれかのプロセスが発生します。 + ユーザーに対してアプリケーション設定の永続化が有効になっている場合は、ユーザーのカスタマイズ内容と Windows の設定内容を保存しているアプリケーション設定の Virtual Hard Disk (VHD) ファイルがダウンロードされてマウントされます。この場合は、Windows ユーザーのログインが必要です。 アプリケーション設定の永続化については、[WorkSpaces Pools ユーザーのアプリケーション設定の永続化を有効にする](app-settings-persistence.md) を参照してください。 + アプリケーション設定の永続化が有効になっていない場合、Windows ユーザーはすでにログインしています。 1. セッションスクリプトが起動されます。ユーザーに対して永続的ストレージが有効になっている場合は、ストレージコネクタのマウントも開始されます。永続的ストレージについては、[WorkSpaces Pools で永続的ストレージを有効にして管理する](persistent-storage.md) を参照してください。 **注記** ストリーミングセッションを開始するためにストレージコネクタのマウントを完了する必要はありません。セッションスクリプトが完了したとき、まだストレージコネクタのマウントが完了していなくても、ストリーミングセッションは開始されます。 ストレージコネクタのマウント状況のモニタリングについては、[セッションスクリプトで永続的ストレージを使用する](#use-storage-connectors-with-session-scripts) を参照してください。 1. セッションスクリプトは完了するかタイムアウトします。 1. ユーザーのストリーミングセッションが開始されます。 ## ストリーミングセッションの終了後にスクリプトを実行する ユーザーのストリーミングセッションの終了後にスクリプトを実行するように設定することもできます。例えば、ユーザーが WorkSpaces クライアントのツールバーから **[セッションの終了]** を選択したとき、またはユーザーが許容される最大セッション時間に達したときに、スクリプトを実行できます。これらのセッションスクリプトを使用して、ストリーミングインスタンスが終了する前に WorkSpaces 環境をクリーンアップすることもできます。たとえば、スクリプトを使用してファイルロックを解除したり、ログファイルをアップロードしたりできます。ストリーミングセッションの終了後にスクリプトを実行すると、以下のプロセスが発生します。 1. ユーザーの WorkSpaces ストリーミングセッションが終了します。 1. セッション終了スクリプトが起動されます。 1. セッション終了スクリプトが完了またはタイムアウトします。 1. Windows ユーザーのログアウトが発生します。 1. 以下のうち該当する一方が実行されるか、両方が同時に実行されます。 + ユーザーに対してアプリケーション設定の永続化が有効になっている場合、ユーザーのカスタマイズ内容と Windows 設定内容を保存しているアプリケーション設定の VHD ファイルがマウント解除され、アカウントの Amazon S3 バケットにアップロードされます。 + ユーザーに対して永続的ストレージが有効になっている場合、ストレージコネクタは最後の同期を完了し、マウント解除されます。 1. WorkSpace が終了します。 ## セッションスクリプトを作成および指定する WorkSpaces Pools の WorkSpaces のセッションスクリプトを作成して指定するには、次の手順を実行します。 1. カスタムイメージの作成元となる Windows WorkSpaces に接続します。 1. ディレクトリ `/AWSEUC/SessionScripts` を作成します (まだない場合)。 1. [セッションスクリプト設定テンプレート](https://docs.aws.amazon.com/workspaces/latest/adminguide/pools-images-session-scripts.html#session-script-configuration-file)を使用して、設定ファイル `/AWSEUC/SessionScripts/config.json` がまだ存在しない場合は作成します。 1. `C:\AWSEUC\SessionScripts` に移動し、`config.json` 設定ファイルを開きます。 セッションスクリプトパラメータについては、[セッションスクリプト設定ファイル](#session-script-configuration-file) を参照してください。 1. 変更が終了したら、`config.json` ファイルを保存して閉じます。 1. WorkSpace からイメージを作成する手順を完了します。詳細については、「[WorkSpaces Pools のカスタムイメージとカスタムバンドルを作成する](pools-images-custom-image.md)」を参照してください。 ## セッションスクリプト設定ファイル Windows インスタンス上のセッションスクリプト設定ファイルを見つけるには、`C:\AWSEUC\SessionScripts\config.json` に移動します。ファイル形式は次のとおりです。 **注記** 設定ファイルは JSON 形式です。このファイルに入力したテキストが有効な JSON 形式であることを確認します。 ``` { "SessionStart": { "executables": [ { "context": "system", "filename": "", "arguments": "", "s3LogEnabled": true }, { "context": "user", "filename": "", "arguments": "", "s3LogEnabled": true } ], "waitingTime": 30 }, "SessionTermination": { "executables": [ { "context": "system", "filename": "", "arguments": "", "s3LogEnabled": true }, { "context": "user", "filename": "", "arguments": "", "s3LogEnabled": true } ], "waitingTime": 30 } } ``` セッションスクリプト設定ファイルでは、以下のパラメータを使用できます。 **`SessionStart/SessionTermination `** オブジェクトの名前に基づいて該当するセッションイベントで実行するセッションスクリプト。 **型**: 文字列 **必須:** いいえ **使用できる値:** **SessionStart**、**SessionTermination** **`WaitingTime`** セッションスクリプトの最大期間 (秒単位)。 **タイプ:** 整数 **必須:** いいえ **制約**: 最大期間は 60 秒です。セッションスクリプトは、この期間内に完了しない場合、停止されます。スクリプトを引き続き実行する必要がある場合は、別のプロセスとして起動してください。 **`Executables`** 実行するセッションスクリプトの詳細。 **型**: 文字列 **必須**: はい **制約**: セッションイベントごとに実行できるスクリプトの最大数は 2 です (1 つはユーザーコンテキスト用、もう 1 つはシステムコンテキスト用)。 **`Context`** セッションスクリプトを実行するコンテキスト。 **型**: 文字列 **必須**: はい **使用できる値:** **user**、**system** **`Filename`** 実行するセッションスクリプトへの完全パス。このパラメータを指定しない場合、セッションスクリプトは実行されません。 **型**: 文字列 **必須:** いいえ **制約**: ファイル名と完全パスの最大長は 1,000 文字です。 **使用できる値:** **.bat**、**.exe**、**.sh** Windows PowerShell ファイルを使用することもできます。詳細については、「[Windows PowerShell ファイルの使用](#using-powershell-files-with-session-scripts)」を参照してください。 **`Arguments`** セッションスクリプトまたは実行可能ファイルの引数。 **型**: 文字列 **必須:** いいえ **長さの制限**: 最大長は 1,000 文字です。 **`S3LogEnabled`** このパラメータの値が **True** に設定されていると、セッションスクリプトによって作成されたログを保存するための S3 バケットが Amazon Web Services アカウント内に作成されます。デフォルトではこの値は **True** に設定されます。詳細については、このトピックの後半の「*セッションスクリプト出力のログ記録*」セクションを参照してください。 型: ブール **必須:** いいえ **使用できる値:** **True**、**False** ## Windows PowerShell ファイルの使用 Windows PowerShell ファイルを使用するには、`filename` パラメータに PowerShell ファイルへの絶対パスを指定します。 ``` "filename": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe", ``` 次に、**arguments** パラメータにセッションスクリプトを指定します。 ``` "arguments": "-File \"C:\\path\\to\\session\\script.ps1\"", ``` 最後に、PowerShell 実行ポリシーで PowerShell ファイルの実行が許可されていることを確認します。 ## セッションスクリプト出力のログ記録 設定ファイルでこのオプションが有効になっていると、セッションスクリプトから標準出力に書き込まれた出力が WorkSpaces Pools によって自動的に収集されます。この出力はアカウントの Amazon S3 バケットにアップロードされます。トラブルシューティングやデバッグの目的でログファイルを確認できます。 **注記** ログファイルは、セッションスクリプトが値を返したときか、**WaitingTime** に設定された時間を経過したときの、どちらか早いほうでアップロードされます。 ## セッションスクリプトで永続的ストレージを使用する WorkSpaces の永続的ストレージを有効にすると、セッション開始スクリプトの実行時にストレージのマウントが開始されます。マウントされている永続的ストレージにスクリプトが依存している場合は、コネクタが使用可能になるまで待つことができます。WorkSpaces は、以下のキーで、Windows WorkSpaces の Windows レジストリにあるストレージコネクタのマウントステータスを維持します。 ``` HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\AWSEUC\Storage\\ ``` レジストリキーの値は以下のとおりです。 + 提供されたユーザー名 — アクセスモードで提供されたユーザー ID。アクセスモードと各モードの値は以下のとおりです。 + ユーザープール — ユーザーの E メールアドレス。 + ストリーミング URL — ユーザー ID。 + SAML — NameID。ユーザー名にスラッシュが含まれる場合 (ドメインユーザーの SAMAccountName が含まれる場合など)、スラッシュは「-」文字に置き換えられます。 + ストレージコネクタ — ユーザーに対して有効になっている永続的ストレージオプションに対応するコネクタ。ストレージコネクタの値は以下のとおりです。 + HomeFolder ストレージコネクタの各レジストリキーには **MountStatus** DWORD 値が含まれています。次の表は、**MountStatus** に指定できる値の一覧です。 **注記** これらのレジストリキーを表示するには、イメージに Microsoft .NET Framework バージョン 4.7.2 以降がインストールされている必要があります。 | 値 | 説明 | | --- | --- | | 0 | ストレージコネクタはこのユーザーに対して有効になっていない | | 1 | ストレージコネクタのマウントが進行中 | | 2 | ストレージコネクタのマウントに成功した | | 3 | ストレージコネクタのマウントに失敗した | | 4 | ストレージコネクタのマウントは有効ですが、まだマウントされていません | ## セッションスクリプトログに対して Amazon S3 バケットストレージを有効にする セッションスクリプト設定で Amazon S3 のログ記録を有効にすると、WorkSpaces Pools によってセッションスクリプトから標準出力に書き込まれた出力が収集されます。出力は、Amazon Web Services アカウント内の S3 バケットに定期的にアップロードされます。WorkSpaces Pool は、すべての AWS リージョンについて、アカウントとリージョンに固有のバケットをアカウントに作成します。 これらの S3 バケットを管理するための設定タスクを実行する必要はありません。それらのタスクは WorkSpaces サービスによって完全に管理されています。各バケットに保存されているログファイルは、転送時には Amazon S3 の SSL エンドポイントを使用して暗号化され、保管時には Amazon S3 管理の暗号化キーを使用して暗号化されます。バケットは、以下にあるような特定の形式で命名されます。 ``` wspool-logs---random-identifier ``` **``** これは、セッションスクリプトログに対して Amazon S3 バケットストレージを有効にして WorkSpaces Pool を作成する AWS リージョンコードです。 **``** ご自身の Amazon Web Services アカウント ID ランダムな ID は、そのリージョン内のその他バケットとの競合が発生しないことを確実にします。バケット名の最初の部分 `wspool-logs` は、複数のアカウントやリージョンにまたがる場合でも変更されません。 例えば、アカウント番号 `123456789012` の米国西部 (オレゴン) リージョン (`us-west-2`) のイメージでセッションスクリプトを指定した場合、WorkSpaces Pools では、そのリージョンのアカウント内に以下の名前で Amazon S3 バケットが作成されます。適切なアクセス許可を持つ管理者のみが、このバケットを削除できます。 ``` wspool-logs-us-west-2-1234567890123-abcdefg ``` セッションスクリプトを無効にしても、S3 バケットに保存されているログファイルは削除されません。ログファイルを完全に削除するには、Amazon S3 コンソールまたは API を使用して、ユーザーまたは適切なアクセス許可を持つ別の管理者が削除する必要があります。WorkSpaces Pools には、バケットの誤った削除を防止するバケットポリシーが追加されます。 セッションスクリプトを有効にすると、開始されるストリーミングセッションごとに固有のフォルダが作成されます。 アカウントの S3 バケットでログファイルが保存されているフォルダへのパスは、以下の構造になります。 ``` //////SessionScriptsLogs/ ``` ****** セッションスクリプトが保存されている S3 バケットの名前。名前の形式については、このセクションで先ほど説明しました。 ****** セッションが発生したスタックの名前。 ****** セッションスクリプトが実行されている WorkSpaces Pools の名前。 ****** ユーザーの ID メソッド: WorkSpaces API または CLI の場合は `custom`、SAML の場合は `federated`、ユーザープールのユーザーの場合は `userpool`。 ****** ユーザー固有のフォルダ名。この名前は、ユーザー識別子から生成された小文字の SHA-256 ハッシュ 16 進数文字列を使用して作成されます。 ****** ユーザーのストリーミングセッションの識別子。ユーザーの各ストリーミングセッションでは一意の ID が生成されます。 ****** セッションスクリプトログを生成したイベント。イベント値は `SessionStart` と `SessionTermination` です。 以下のフォルダ構造の例は、test-stack と test-fleet から始まるストリーミングセッションに当てはまります。セッションでは`testuser@mydomain.com`、 の ID からユーザー AWS アカウント ID の API と`123456789012`、米国西部 (オレゴン) リージョン () `test-stack` の設定グループを使用します`us-west-2`。 ``` wspool-logs-us-west-2-1234567890123-abcdefg/test-stack/test-fleet/custom/a0bcb1da11f480d9b5b3e90f91243143eac04cfccfbdc777e740fab628a1cd13/05yd1391-4805-3da6-f498-76f5x6746016/SessionScriptsLogs/SessionStart/ ``` このフォルダ構造の例には、ユーザーコンテキストセッション開始スクリプト用の 1 つのログファイルと、必要に応じてシステムコンテキストセッション開始スクリプト用の 1 つのログファイルが含まれています。 # WorkSpaces Pools のモニタリング モニタリングは、WorkSpaces Pools の信頼性、可用性、および性能を維持するうえで重要な部分です。 **Topics** + [WorkSpaces Pools のメトリクスとディメンション](monitoring-with-cloudwatch.md) # WorkSpaces Pools のメトリクスとディメンション Amazon WorkSpaces は、次の WorkSpaces Pools メトリクスおよびディメンション情報を Amazon CloudWatch に送信します。 WorkSpaces Pools は、メトリクスを CloudWatch に毎分 1 回送信します。`AWS/Workspaces` 名前空間には、次のメトリクスが含まれます。 ## プール使用状況メトリクス | メトリクス | 説明 | | --- | --- | | ActiveUserSessionCapacity | ストリーミングセッションに現在使用中のユーザーセッションの数。 単位: カウント 有効な統計: Average、Minimum、Maximum | | ActualUserSessionCapacity | ストリーミングに使用可能であるか、現在ストリーミング中であるプールの合計数。 
ActualUserSessionCapacity = AvailableUserSessionCapacity + ActiveUserSessionCapacity
単位: カウント 有効な統計: Average、Minimum、Maximum | | AvailableUserSessionCapacity | 現在、ユーザーストリーミングに使用可能なアイドル状態のプールセッションの数。 
AvailableUserSessionCapacity = ActualUserSessionCapacity - ActiveUserSessionCapacity
単位: カウント 有効な統計: Average、Minimum、Maximum | | PendingUserSessionCapacity | プールにプロビジョニングされるセッションの数。プロビジョニングの完了後にプールがサポートできるストリーミングセッションの追加の数を表します。 単位: カウント 有効な統計: Average、Minimum、Maximum | | UserSessionsCapacityUtilization | プールで使用中のセッションの割合 (%)。次の数式を使用します。 
UserSessionCapacityUtilization = (ActiveUserSessionCapacity / ActualUserSessionCapacity) * 100
このメトリクスをモニタリングすると、プールの必要な容量値を増減する決定に役立ちます。 単位: パーセント 有効な統計: Average、Minimum、Maximum | | DesiredUserSessionCapacity | 実行中または保留中のセッションの合計数。これはプールが安定した状態でサポートできる同時ストリーミングセッションの合計数を表します。 
DesiredUserSessionCapacity = ActualUserSessionCapacity + PendingUserSessionCapacity
単位: カウント 有効な統計: Average、Minimum、Maximum | | InsufficientCapacityError | 容量不足により拒否されたセッションリクエストの数。 このメトリクスを使用して、ストリーミングセッションを待機中のユーザーを通知するようアラームを設定できます。 単位: カウント 有効な統計: Average、Minimum、Maximum、Sum | # WorkSpaces Pools で永続的ストレージを有効にして管理する WorkSpaces Pools は、永続的ストレージのホームフォルダをサポートしています。WorkSpaces Pools 管理者は、ユーザーの永続的ストレージを有効にして管理するために、次のタスクの実行方法を理解しておく必要があります。 **Topics** + [WorkSpaces Pools ユーザーのホームフォルダを有効にして管理する](#home-folders) ## WorkSpaces Pools ユーザーのホームフォルダを有効にして管理する WorkSpaces Pools でホームフォルダを有効にすると、ユーザーはストリーミングセッション中に永続的ストレージのフォルダにアクセスできます。ユーザーがホームフォルダにアクセスするために必要な設定はありません。ユーザーが自分のホームフォルダに保存したデータは、Amazon Web Services アカウントの Amazon Simple Storage Service バケットに自動的にバックアップされ、そのユーザーの後のセッションで使用できるようになります。 転送中のファイルやフォルダは Amazon S3 の SSL エンドポイントを使用して暗号化されます。保管中のファイルやフォルダは Amazon S3 で管理される暗号化キーを使用して暗号化されます。 ホームフォルダは WorkSpaces Pools の WorkSpaces で次のデフォルトの場所に保存されます。 + シングルセッションの、ドメイン参加していない Windows WorkSpaces の場合: `C:\Users\PhotonUser\My Files\Home Folder` + ドメイン参加している Windows WorkSpaces の場合: `C:\Users\%username%\My Files\Home Folder` ホームフォルダを保存先とするようにアプリケーションを設定する場合は、該当パスを管理者として使用します。ユーザーがホームフォルダを見つけられない場合があります。アプリケーションによっては、File Explorer の最上位フォルダとしてホームフォルダを表示する、リダイレクトを認識しないためです。このような場合は、File Explorer 内の同じディレクトリを参照することで、ユーザーがホームフォルダにアクセスにできます。 **Topics** + [計算集約型アプリケーションに関連するファイルとディレクトリ](#storage-solutions-files-directories-associated-with-compute-intensive-applications) + [WorkSpaces Pools ユーザーのホームフォルダを有効にする](#enable-home-folders) + [ホームフォルダを管理する](#home-folders-admin) ### 計算集約型アプリケーションに関連するファイルとディレクトリ WorkSpaces Pools ストリーミングセッションでは、計算集約型アプリケーションに関連付けられた大きなファイルとディレクトリを永続ストレージに保存すると、基本的な生産性アプリケーションに必要なファイルとディレクトリを保存するよりも時間がかかる場合があります。たとえば、アプリケーションが大量のデータを保存したり、同じファイルを頻繁に変更したりする場合は、1 回の書き込み操作を実行するアプリケーションによって作成されたファイルを保存する場合よりも時間がかかる場合があります。また、多くの小さなファイルを保存するのに時間がかかる場合があります。 コンピューティング負荷の高いアプリケーションに関連付けられたファイルとディレクトリをユーザーが保存し、WorkSpaces Pools の永続的ストレージオプションが期待どおりに動作しない場合は、Amazon FSx for Windows File Server や AWS Storage Gateway ファイルゲートウェイなどのサーバーメッセージブロック (SMB) ソリューションを使用することをお勧めします。以下は、これらの SMB ソリューションでの使用に適した、計算集約型アプリケーションに関連するファイルとディレクトリの例です。 + 統合開発環境 (IDE) 用の Workspace フォルダ + ローカルデータベースファイル + グラフィックシミュレーションアプリケーションによって作成されたスクラッチスペースフォルダ 詳細については、「*AWS Storage Gateway ユーザーガイド*」の「[ファイルゲートウェイ](https://docs.aws.amazon.com/storagegateway/latest/userguide/StorageGatewayConcepts.html#file-gateway-concepts)」を参照してください。 ### WorkSpaces Pools ユーザーのホームフォルダを有効にする ホームフォルダを有効にする前に、以下を実行する必要があります。 + Amazon S3 アクションの正しい AWS Identity and Access Management (IAM) アクセス許可があることを確認します。 + 2017 年 5 月 18 日以降にリリースされた AWS ベースイメージから作成されたイメージを使用します。 + インターネットアクセスまたは Amazon S3 の VPC エンドポイントを設定して、Virtual Private Cloud (VPC) から Amazon S3 へのネットワーク接続を有効にします。詳細については、「[WorkSpaces Pools のネットワークとアクセス](managing-network.md)」および「[WorkSpaces Pools 機能で Amazon S3 VPC エンドポイントを使用する](managing-network-vpce-iam-policy.md)」を参照してください。 ディレクトリの作成中 (「」を参照[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md))、またはディレクトリの作成後に WorkSpaces Pools AWS マネジメントコンソール の を使用して、ホームフォルダを有効または無効にできます。ホームフォルダは、 AWS リージョンごとに Amazon S3 バケットにバックアップされます。 AWS リージョンの WorkSpaces Pools ディレクトリで初めてホームフォルダを有効にすると、サービスによって、同じリージョンの対象アカウントに Amazon S3 バケットが作成されます。同じバケットを使用して、そのリージョンのすべてのユーザーおよびすべてのディレクトリのホームフォルダのコンテンツが保存されます。詳細については、「[Amazon S3 バケットのストレージ](#home-folders-s3)」を参照してください。 **ディレクトリの作成時にホームフォルダを有効にするには** + 「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」の手順に従い、**[ホームフォルダを有効化]** が選択されていることを確認します。 **既存のディレクトリのホームフォルダを有効にするには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. 左側のナビゲーションペインで **[ディレクトリ]** を選択し、ホームフォルダを有効にするディレクトリを選択します。 1. ディレクトリリストの下の **[ストレージ]** をクリックし、**[ホームフォルダを有効化]** を選択します。 1. **[ホームフォルダを有効化]** ダイアログボックスで、**[有効化]** を選択します。 ### ホームフォルダを管理する **Topics** + [ホームフォルダを無効にする](#home-folders-admin-disabling) + [Amazon S3 バケットのストレージ](#home-folders-s3) + [ホームフォルダコンテンツの同期](#home-folders-content-synchronization) + [ホームフォルダの形式](#home-folders-admin-folders) + [その他のリソース](#home-folders-admin-additional) #### ホームフォルダを無効にする 既にホームフォルダに保存されているユーザーコンテンツを失うことなく、ディレクトリのホームフォルダを無効にできます。ディレクトリのホームフォルダを無効にすると、次のようになります。 + ディレクトリのアクティブなストリーミングセッションに接続されているユーザーはエラーメッセージを受け取ります。ホームフォルダにコンテンツを保存できなくなることが通知されます。 + ホームフォルダが無効になったディレクトリを使用する新しいセッションでは、ホームフォルダは表示されません。 + 1 つのディレクトリのホームフォルダを無効にしても、他のディレクトリでは無効になりません。 + すべてのディレクトリでホームフォルダが無効になっている場合でも、WorkSpaces Pools でユーザーコンテンツが削除されることはありません。 ディレクトリのホームフォルダへのアクセスを復元するには、このトピックの前半で説明した手順に従って、ホームフォルダをもう一度有効にします。 **ディレクトリの作成時にホームフォルダを無効にするには** + 「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」の手順に従い、**[ホームフォルダを有効化]** オプションが選択解除されていることを確認します。 **既存のディレクトリのホームフォルダを無効にするには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. 左側のナビゲーションペインで **[ディレクトリ]** を選択し、ホームフォルダを有効にするディレクトリを選択します。 1. ディレクトリリストの下の **[ストレージ]** をクリックし、**[ホームフォルダを有効化]** を選択解除します。 1. [**Disable Home Folders**] ダイアログボックスで、`CONFIRM` (大文字と小文字は区別されます) と入力し選択を確認します。次に [**Disable**] を選択します。 #### Amazon S3 バケットのストレージ WorkSpaces Pools は、アカウントで作成された Amazon S3 バケットを使用して、ホームフォルダに保存されているユーザーコンテンツを管理します。WorkSpaces Pools は、 AWS リージョンごとにアカウントにバケットを作成します。そのリージョン内のディレクトリのストリーミングセッションから生成されたすべてのユーザーコンテンツが、そのバケットに保存されます。このバケットは、管理者が入力または設定することなく、サービスによって完全に管理されます。このバケットの名前は、次のように特定の形式で付けられます。 ``` wspool-home-folder--- ``` ここで``、 はディレクトリが作成される AWS リージョンコードで、 `` は Amazon Web Services アカウント ID です。*>random-identifier<* は WorkSpaces サービスによって生成されるランダムな識別子番号です。バケット名の最初の部分 `wspool-home-folder-` は、複数のアカウントやリージョンにまたがる場合でも変更されません。 例えば、アカウント番号 123456789012 で米国西部 (オレゴン) リージョン (us-west-2) のディレクトリのホームフォルダを有効にした場合、サービスによってこのリージョンに以下の名前で Amazon S3 バケットが作成されます。適切なアクセス許可を持つ管理者のみが、このバケットを削除できます。 ``` wspool-home-folder-us-west-2-123456789012 ``` 前述のとおり、ディレクトリでホームフォルダを無効にしても、Amazon S3 バケットに保存されたユーザーコンテンツは削除されません。ユーザーコンテンツを完全に削除するには、適切なアクセス権限を持った管理者が、Amazon S3 コンソールから行う必要があります。WorkSpaces Pools には、バケットの誤った削除を防止するバケットポリシーが追加されます。 #### ホームフォルダコンテンツの同期 ホームフォルダが有効になっている場合、WorkSpaces Pools では、コンテンツを保存するユーザーごとに一意のフォルダが作成されます。このフォルダは、 Amazon Web Services アカウント (リージョン) にある S3 バケット内のユーザー名のハッシュを使用する、一意の Amazon S3 プレフィックスとして作成されます。WorkSpaces Pools によって Amazon S3 にホームフォルダが作成されると、そのフォルダ内のアクセスされたコンテンツは S3 バケットから WorkSpaces にコピーされます。これにより、ユーザーはストリーミングセッション中に、WorkSpace Pool の WorkSpace からホームフォルダのコンテンツにすばやくアクセスすることができます。S3 バケット内のユーザーのホームフォルダコンテンツに加えられた変更と、WorkSpace Pool の WorkSpace 上のホームフォルダコンテンツにユーザーが加えた変更は、Amazon S3 と WorkSpaces Pools の間で次のように同期されます。 1. ユーザーの WorkSpaces Pools ストリーミングセッションの開始時に、WorkSpaces Pools は、使用している Amazon Web Services アカウントとリージョンの Amazon S3 バケットに保存されているそのユーザーのホームフォルダファイルをカタログ化します。 1. ユーザーのホームフォルダコンテンツは、ストリーミング元の WorkSpaces Pools の WorkSpace にも保存されます。ユーザーが WorkSpace のホームフォルダにアクセスすると、カタログ化されたファイルの一覧が表示されます。 1. WorkSpaces Pools は、ユーザーがストリーミングアプリケーションを使用してストリーミングセッション中にファイルを開いた後にのみ、S3 バケットから WorkSpace にファイルをダウンロードします。 1. WorkSpaces Pools によってファイルが WorkSpace にダウンロードされたら、ファイルがアクセスされた後に同期が行われます 1. ユーザーがストリーミングセッション中にファイルを変更した場合、WorkSpaces Pools は定期的に、またはストリーミングセッションの最後に、新しいバージョンのファイルを WorkSpace から S3 バケットにアップロードします。ただし、ストリーミングセッション中にファイルは S3 バケットから再度ダウンロードされません。 以下のセクションでは、Amazon S3 でユーザーのホームフォルダファイルを追加し、置き換え、削除するときの同期動作について説明します。 **Topics** + [Amazon S3 ユーザーのホームフォルダに追加したファイルの同期](#home-folders-content-synchronization-content-added-to-user-home-folder-in-S3) + [Amazon S3 ユーザーのホームフォルダで置き換えたファイルの同期](#home-folders-content-synchronization-content-replaced-in-user-home-folder-S3) + [Amazon S3 ユーザーのホームフォルダから削除したファイルの同期](#home-folders-content-synchronization-content-removed-from-user-home-folder-S3) ##### Amazon S3 ユーザーのホームフォルダに追加したファイルの同期 S3 バケット内のユーザーのホームフォルダに新しいファイルを追加すると、WorkSpaces Pools はファイルをカタログ化して、数分以内にユーザーのホームフォルダ内にあるファイルの一覧に表示します。ただし、ストリーミングセッション中にユーザーがアプリケーションでファイルを開くまで、ファイルは S3 バケットから WorkSpace にダウンロードされません。 ##### Amazon S3 ユーザーのホームフォルダで置き換えたファイルの同期 ユーザーがストリーミングセッション中に WorkSpaces Pools の WorkSpace のホームフォルダにあるファイルを開き、そのユーザーのアクティブなストリーミングセッション中に S3 バケットのホームフォルダにある同じファイルが新しいバージョンに置き換えられた場合、新しいバージョンのファイルは WorkSpace にすぐにはダウンロードされません。新しいバージョンは、ユーザーが新しいストリーミングセッションを開始してファイルを再度開いた後にのみ、S3 バケットから WorkSpace にダウンロードされます。 ##### Amazon S3 ユーザーのホームフォルダから削除したファイルの同期 ユーザーがストリーミングセッション中に WorkSpaces Pools の WorkSpace のホームフォルダにあるファイルを開き、そのユーザーのアクティブなストリーミングセッション中に S3 バケットのホームフォルダから同じファイルが削除されると、そのファイルはユーザーが次のいずれかの操作を行った後に WorkSpace から削除されます。 + ホームフォルダを再度開く + ホームフォルダを更新する #### ホームフォルダの形式 ユーザーのフォルダの階層は、次のセクションで説明するように、ユーザーがストリーミングセッションを起動する方法によって異なります。 ##### SAML 2.0 SAML フェデレーションを使用して作成されたセッションでは、ユーザーフォルダ構造は次のようになります。 ``` bucket-name/user/federated/user-id-SHA-256-hash/ ``` この場合、`user-id-SHA-256-hash` は、SAML フェデレーションリクエストに渡された `NameID` SAML 属性値から生成された、小文字の SHA-256 ハッシュ 16 進文字列を使用して作成されたフォルダ名です。2 つの異なるドメインに属する同じ名前のユーザーを区別するには、`NameID` 形式で `domainname\username` を含む SAML リクエストを送信します。詳細については、「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」を参照してください。 次の例のフォルダ構造は、米国西部 (オレゴン) リージョン の `NameID` SAMPLEDOMAIN\$1testuser、アカウント ID 123456789012 と SAML フェデレーションを使用したセッションアクセスに適用されます。 ``` wspool-home-folder-us-west-2-123456789012/user/federated/8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901 ``` NameID 文字列の一部またはすべてが大文字の場合 (例ではドメイン名 *SAMPLEDOMAIN*)、WorkSpaces Pools では、文字列を大文字化したものに基づいてハッシュ値が生成されます。この例では、SAMPLEDOMAIN\$1testuser のハッシュ値は 8DD9A642F511609454D344D53CB861A71190E44FED2B8AF9FDE0C507012A9901 です。そのユーザーのフォルダで、この値は、8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901 のように小文字で表示されます。 ウェブサイトを使用するか、オンラインで入手できるオープンソースコーディングライブラリを使用して、`NameID` の SHA-256 ハッシュ値を生成してユーザーのフォルダを識別できます。 #### その他のリソース Amazon S3 バケットの管理とベストプラクティスの詳細については、*Amazon Simple Storage Service ユーザーガイド*にある次のトピックを参照してください。 + Amazon S3 ポリシーにより、ユーザーにユーザーデータへのオフラインアクセスを提供できます。詳細については、*IAM ユーザーガイド*の [Amazon S3: Allows IAM Users Access to Their S3 Home Directory, Programmatically and In the Console](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_home-directory-console.html) を参照してください。 + WorkSpaces Pools によって使用される Amazon S3 バケットに保存されたコンテンツに対して、ファイルのバージョニングを有効にできます。詳細については、「[バージョニングの使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)」を参照してください。 # WorkSpaces Pools ユーザーのアプリケーション設定の永続化を有効にする WorkSpaces Pools では、Windows ベースのディレクトリの永続的なアプリケーション設定をサポートしています。つまり、ユーザーのアプリケーションのカスタマイズや Windows 設定は各ストリーミングセッション後に自動的に保存され、次のセッションで適用されます。ユーザーが設定できる永続的なアプリケーション設定の例としては、ブラウザのお気に入り、設定、ウェブページのセッション、アプリケーション接続プロファイル、プラグイン、UI のカスタマイズなどが挙げられます。これらの設定は、アプリケーション設定の永続化が有効になっている AWS リージョン内のアカウントの Amazon Simple Storage Service (Amazon S3) バケットに保存されます。設定は、各 WorkSpaces Pools ストリーミングセッションで使用できます。 **注記** S3 バケットに保存されているデータには、標準 Amazon S3 料金が適用される場合があります。詳細については、[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/) を参照してください。 **Topics** + [アプリケーション設定の永続化の仕組み](how-it-works-app-settings-persistence.md) + [アプリケーション設定の永続化を有効にする](enabling-app-settings-persistence.md) + [ユーザーのアプリケーション設定の VHD を管理する](administer-app-settings-vhds.md) # アプリケーション設定の永続化の仕組み 永続的なアプリケーション設定は Virtual Hard Disk (VHD) ファイルに保存されます。このファイルは、アプリケーション設定の永続化が有効になっているディレクトリから、ユーザーが初めてアプリケーションをストリーミングしたときに作成されます。ディレクトリに関連付けられている WorkSpaces Pools がデフォルトのアプリケーションおよび Windows 設定が含まれているイメージに基づいている場合、このデフォルト設定がユーザーの最初のストリーミングセッションで使用されます。 ストリーミングセッションが終了すると、VHD はアンマウントされ、アカウント内の Amazon S3 バケットにアップロードされます。バケットは、 AWS リージョンのディレクトリで永続アプリケーション設定を初めて有効にするときに作成されます。バケットは、 AWS アカウントとリージョンに固有です。VHD は、伝送時には Amazon S3 SSL エンドポイントを使用して暗号化され、保管時には [AWS マネージド CMK](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) を使用して暗号化されます。 VHD は、`C:\Users\%username%` と `D:\%username%` の両方で WorkSpace にマウントされます。WorkSpace が Active Directory ドメインに参加していない場合、Windows ユーザー名は PhotonUser になります。WorkSpace が Active Directory ドメインに参加している場合、Windows ユーザー名はログインユーザーの名前になります。 アプリケーション設定の永続性は複数のオペレーティングシステムのバージョン間では機能しません。例えば、Windows Server 2019 のイメージを使用する WorkSpaces Pools でアプリケーション設定の永続性を有効にしている場合、別のオペレーティングシステム (Windows Server 2022 など) を実行するイメージを使用するように WorkSpaces Pools を更新すると、以前のストリーミングセッションの設定はそのディレクトリのユーザーには保存されません。代わりに、新しいイメージを使用するように WorkSpaces Pools を更新した後、ユーザーが WorkSpace からストリーミングセッションを起動するときに、新しい Windows ユーザープロファイルが作成されます。ただし、イメージで同じオペレーティングシステムに更新を適用すると、以前のストリーミングセッションからのユーザーのカスタマイズと設定が保存されます。同じオペレーティングシステムへの更新がイメージに適用された場合は、ユーザーが WorkSpace からストリーミングセッションを起動するときに、同じ Windows ユーザープロファイルが使用されます。 **重要** WorkSpaces Pools は、WorkSpace が Microsoft Active Directory ドメインに参加している場合にのみ、[Microsoft Data Protection API](https://docs.microsoft.com/en-us/windows/desktop/seccng/cng-dpapi) に依存するアプリケーションをサポートします。WorkSpace が Active Directory ドメインに参加していない場合、Windows ユーザーの PhotonUser は WorkSpace ごとに異なります。DPAPI セキュリティモデルの機能上の理由から、このシナリオで DPAPI を使用するアプリケーションではユーザーのパスワードは保持されません。​ WorkSpaces が Active Directory ドメインに参加していて、そのユーザーがドメインユーザーである場合、Windows ユーザー名はログインしているユーザーの名前となり、DPAPI を使用するアプリケーションではユーザーのパスワードが保持されます。 WorkSpaces Pools では、次のフォルダを除いて、このパスにあるすべてのファイルとフォルダが自動的に保存されます。 + Contacts + Desktop + ドキュメント + ダウンロード + Links + 画像 + Saved Games + 検索 + 動画 これらのフォルダ外で作成されたファイルとフォルダは、VHD 内に保存され、Amazon S3 と同期されます。VHD のデフォルトの最大サイズは、Pools の場合 5 GB です。保存された VHD のサイズは、それに含まれるファイルとフォルダの合計サイズです。WorkSpaces Pools では、ユーザーの `HKEY_CURRENT_USER` レジストリハイブが自動的に保存されます。新規ユーザー (Amazon S3 にプロファイルが存在しないユーザー) の場合、WorkSpaces Pools はデフォルトのプロファイルを使用して初期プロファイルを作成します。このプロファイルは、Image Builder の `C:\users\default` に作成されます。 **注記** ストリーミングセッションが開始する前に、VHD 全体を WorkSpace にダウンロードする必要があります。このため、VHD に大量のデータが保持されていると、ストリーミングセッションの開始が遅れる場合があります。詳細については、「[アプリケーション設定の永続化を有効にするためのベストプラクティス](enabling-app-settings-persistence.md#best-practices-app-settings-persistence)」を参照してください。 アプリケーション設定の永続化を有効にする場合、設定グループを指定する必要があります。設定グループは、このディレクトリからのストリーミングセッションで、保存されているどのアプリケーション設定を使用するかを決定します。WorkSpaces Pools は、 AWS アカウントの S3 バケット内に個別に保存される設定グループの新しい VHD ファイルを作成します。設定グループを複数のディレクトリ間で共有すると、同じアプリケーション設定が各ディレクトリで使用されます。ディレクトリが独自のアプリケーション設定を必要とする場合は、このディレクトリ限定の設定グループを指定します。 # アプリケーション設定の永続化を有効にする **Topics** + [アプリケーション設定の永続化を有効にするための前提条件](#prerequisites-app-settings-persistence) + [アプリケーション設定の永続化を有効にするためのベストプラクティス](#best-practices-app-settings-persistence) + [アプリケーション設定の永続化を有効にする方法](#howto-enable-app-settings-persistence) ## アプリケーション設定の永続化を有効にするための前提条件 アプリケーション設定の永続化を有効にするには、まず、以下のことを行う必要があります。 + 2017 年 12 月 7 日以降 AWS に によって公開されたベースイメージから作成されたイメージを使用します。 + インターネットアクセスまたは Amazon S3 の VPC エンドポイントを設定して、Virtual Private Cloud (VPC) から Amazon S3 へのネットワーク接続を有効にします。詳細については、[WorkSpaces Pools のネットワークとアクセス](managing-network.md) の「*ホームフォルダと VPC エンドポイント*」セクションを参照してください。 ## アプリケーション設定の永続化を有効にするためのベストプラクティス WorkSpaces へのインターネットアクセスを提供せずに、アプリケーション設定の永続化を有効にするには、VPC エンドポイントを使用します。このエンドポイントは、WorkSpaces Pools 内の WorkSpaces が接続する VPC 内に存在する必要があります。WorkSpaces Pools からエンドポイントへのアクセスを有効にするには、カスタムポリシーをアタッチする必要があります。カスタムポリシーを作成する方法については、[WorkSpaces Pools のネットワークとアクセス](managing-network.md) の「*ホームフォルダと VPC エンドポイント*」を参照してください。プライベート Amazon S3 エンドポイントの詳細については、*Amazon VPC ユーザーガイド*の [VPC Endpoints](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) および [Endpoints for Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html) を参照してください。 ## アプリケーション設定の永続化を有効にする方法 ディレクトリの作成中または作成後に、WorkSpaces コンソールを使用してアプリケーション設定の永続化を有効または無効にできます。 AWS リージョンごとに、永続的なアプリケーション設定がアカウントの S3 バケットに保存されます。 AWS リージョン内のディレクトリのアプリケーション設定の永続化を初めて有効にすると、WorkSpaces Pools は同じリージョンの AWS アカウントに S3 バケットを作成します。同じバケットに、その AWS リージョン内のすべてのユーザーとすべてのディレクトリのアプリケーション設定 VHD ファイルが保存されます。詳細については、[ユーザーのアプリケーション設定の VHD を管理する](administer-app-settings-vhds.md) の *Amazon S3 バケットストレージ* を参照してください。 **ディレクトリの作成時にアプリケーション設定の永続化を有効にするには** + 「[SAML 2.0 を設定して WorkSpaces Pools ディレクトリを作成する](create-directory-pools.md)」の手順に従い、[**Enable Application Settings Persistence (アプリケーション設定の永続化を有効にする)**] が選択されていることを確認します。 **既存のディレクトリでアプリケーション設定の永続化を有効にするには** 1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) で WorkSpaces コンソールを開きます。 1. 左のナビゲーションペインで、**[プール]** を選択し、アプリケーション設定の永続化を有効にするプールを選択します。 1. ページの **[設定]** セクションで、**[編集]** を選択します。 1. ページの **[アプリケーションの永続性]** セクションで、**[アプリケーション設定の永続化を有効化]** を選択します。 1. **[Save changes]** (変更の保存) をクリックします。 これにより、新しいストリーミングセッションでアプリケーション設定の永続化が有効になります。 # ユーザーのアプリケーション設定の VHD を管理する **Topics** + [Amazon S3 バケットのストレージ](#app-persistence-s3-buckets) + [ユーザーのアプリケーション設定をリセットする](#app-persistence-s3-reset) + [Amazon S3 オブジェクトのバージョニングを有効にしてユーザーのアプリケーション設定を元に戻す](#app-persistence-enable-versions-revert-settings) + [アプリケーション設定 VHD のサイズを拡大する](#app-persistence-increase-VHD-size) ## Amazon S3 バケットのストレージ アプリケーション設定の永続化を有効にすると、ユーザーのアプリケーションのカスタマイズと Windows 設定は、 AWS アカウントで作成された Amazon S3 バケットに保存されている Virtual Hard Disk (VHD) ファイルに自動的に保存されます。 AWS リージョンごとに、WorkSpaces Pools によってアカウントおよびリージョン固有のバケットがアカウント内に作成されます。ユーザーが行ったすべてのアプリケーション設定が該当リージョンのバケットに保存されます。 これらの S3 バケットを管理するための設定タスクは一切不要です。WorkSpaces Pools サービスによって完全に管理されます。各バケットに保存された VHD ファイルは、伝送時には Amazon S3 の SSL エンドポイントを使用して暗号化され、保管時には [AWS マネージド CMK](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) を使用して暗号化されます。バケットは、以下にあるような特定の形式で命名されます。 ``` wspool-app-settings--- ``` ***region-code*** これは、アプリケーション設定の永続性を使用してディレクトリが作成される AWS リージョンコードです。 ***account-id-without-hyphens*** AWS アカウント ID。ランダムな識別子により、該当リージョンで他のバケットとの競合が発生することはありません。バケット名の最初の部分 `wspool-app-settings` は、複数のアカウントやリージョンにまたがる場合でも変更されません。 例えば、アカウント番号 123456789012 で、米国西部 (オレゴン) リージョン (us-west-2) のディレクトリに対してアプリケーション設定の永続化を有効にすると、WorkSpaces Pools は、該当リージョンのアカウント内に次に示す名前で Amazon S3 バケットを作成します。適切なアクセス許可を持つ管理者のみが、このバケットを削除できます。 ``` wspool-app-settings-us-west-2-1234567890123-abcdefg ``` アプリケーション設定の永続化を無効にしても、S3 バケットに保存された VHD は削除されません。設定 VHD を完全に削除するには、Amazon S3 コンソールまたは API を使用して、ユーザーまたは適切なアクセス許可を持つ別の管理者が削除する必要があります。WorkSpaces Pools には、バケットの誤った削除を防止するバケットポリシーが追加されます。 アプリケーション設定の永続化を有効にすると、設定 VHD を保存するために設定グループごとに固有のフォルダが作成されます。S3 バケットのフォルダの階層は、次のセクションで説明するように、ユーザーがストリーミングセッションを起動する方法によって異なります。 アカウントの S3 バケットで設定 VHD が保存されているフォルダへのパスは、次の構造になります。 ``` bucket-name/Windows/prefix/settings-group/access-mode/user-id-SHA-256-hash ``` ***bucket-name*** ユーザーのアプリケーション設定が保存されている S3 バケットの名前。名前の形式については、このセクションで先ほど説明しました。 ***prefix*** Windows バージョン固有のプレフィックス。例えば、v4 for Windows Server 2012 R2 です。 ***settings-group*** 設定グループの値。この値は、同じアプリケーション設定を共有する 1 つ以上のディレクトリに適用されます。 ***access-mode*** ユーザーの ID メソッド: WorkSpaces Pools API または CLI の場合は `custom`、SAML の場合は `federated`、ユーザープールのユーザーの場合は `userpool`。 ***user-id-SHA-256-hash*** ユーザー固有のフォルダ名。この名前は、ユーザー ID から生成された小文字の SHA-256 ハッシュ 16 進数文字列を使用して作成されます。 次のフォルダ構造例は、ユーザー ID が 、ID が `testuser@mydomain.com`、`test-stack`米国西部 (オレゴン) リージョン (us-west-2) AWS アカウント `123456789012`の設定グループで API または CLI を使用してアクセスされるストリーミングセッションに適用されます。 ``` wspool-app-settings-us-west-2-1234567890123-abcdefg/Windows/v4/test-stack/custom/a0bcb1da11f480d9b5b3e90f91243143eac04cfccfbdc777e740fab628a1cd13 ``` ユーザーのフォルダを確認するには、ウェブサイトを使用するか、オンラインで入手できるオープンソースコーディングライブラリを使用して、ユーザー ID の小文字の SHA-256 ハッシュ値を生成します。 ## ユーザーのアプリケーション設定をリセットする ユーザーのアプリケーション設定をリセットするには、 AWS アカウントの S3 バケットから VHD および関連するメタデータファイルを見つけて削除する必要があります。ユーザーのアクティブなストリーミングセッションが進行中は、この操作を実行しないでください。ユーザーの VHD とメタデータファイルを削除すると、次回、ユーザーがアプリケーション設定の永続化が有効になっているストリーミングインスタンスからセッションを起動したときに、WorkSpaces Pools によって当該ユーザーの新しい設定 VHD が作成されます。 **ユーザーのアプリケーション設定をリセットするには** 1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。 1. [**Bucket name (バケット名)**] リストで、リセットするアプリケーション設定 VHD が含まれている S3 バケットを選択します。 1. VHD が含まれているフォルダを見つけます。S3 バケットのフォルダ構造内を移動する詳しい方法については、このトピックの前半にある「*Amazon S3 バケットのストレージ*」を参照してください。 1. [**名前**] のリストで、VHD と REG の横にあるチェックボックスをオンにし、[**詳細**]、[**削除**] の順に選択します。 1. [**Delete objects (オブジェクトの削除)**] ダイアログボックスで、VHD と REG が表示されていることを確認し、[**削除**] を選択します。 該当する設定グループに基づいてアプリケーション設定の永続化が有効になっているプールから次回ユーザーがストリーミングすると、新しいアプリケーション設定 VHD が作成されます。この VHD は、セッションの最後に S3 バケットに保存されます。 ## Amazon S3 オブジェクトのバージョニングを有効にしてユーザーのアプリケーション設定を元に戻す Amazon S3 オブジェクトのバージョニングとライフサイクルポリシーを使用して、ユーザーによるアプリケーション設定の変更を管理できます。Amazon S3 オブジェクトのバージョニングを使用すると、あらゆるバージョンの設定 VHD を保持、取得、復元できます。これにより、意図しないユーザーのアクションとアプリケーションの障害の両方から復旧できます。バージョニングを有効にすると、各ストリーミングセッション後に、新しいバージョンのアプリケーション設定 VHD が Amazon S3 と同期されます。新しいバージョンは以前のバージョンを上書きしないため、ユーザーの設定に問題が生じた場合は、以前のバージョンの VHD に戻すことができます。 **注記** 各バージョンのアプリケーション設定 VHD は、別個のオブジェクトとして Amazon S3 に保存され、相応に課金されます。 S3 バケットでのオブジェクトのバージョニングは、デフォルトでは有効にならないため、明示的に有効にする必要があります。 **アプリケーション設定 VHD でオブジェクトのバージョニングを有効にするには** 1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。 1. [**Bucket name (バケット名)**] リストで、オブジェクトのバージョニングを有効にするアプリケーション設定 VHD が含まれている S3 バケットを選択します。 1. **[プロパティ]** を選択します。 1. [**Versioning (バージョニング)**]、[**Enable versioning (バージョニングの有効化)**]、[**Save (保存)**] の順に選択します。 古いバージョンのアプリケーション設定 VHD を失効させるには、Amazon S3 ライフサイクルポリシーを使用できます。詳細については、*Amazon Simple Storage Service ユーザーガイド*の「[S3 バケットのライフサイクルポリシーを作成する方法を教えてください](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-lifecycle.html)」を参照してください。 **ユーザーのアプリケーション設定 VHD を前のバージョンに戻すには** ユーザーのアプリケーション設定 VHD を前のバージョンに戻すには、該当する S3 バケットから以降のバージョンの VHD を削除します。ユーザーがアクティブなストリーミングセッションを進行中は、この操作を実行しないでください。 1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。 1. [**Bucket name (バケット名)**] リストで、前のバージョンに戻すユーザーのアプリケーション設定 VHD が含まれている S3 バケットを選択します。 1. VHD が含まれているフォルダを見つけて選択します。S3 バケットのフォルダ構造内を移動する詳しい方法については、このトピックの前半にある「*Amazon S3 バケットのストレージ*」を参照してください。 フォルダを選択すると、設定 VHD および関連するメタデータファイルが表示されます。 1. VHD とメタデータファイルのバージョンを一覧表示するには、[**Show (表示)**] を選択します。 1. 以前に戻す VHD のバージョンを見つけます。 1. [**Name (名前)**] リストで、以降のバージョンの VHD および関連するメタデータファイルの横にあるチェックボックスをオンにし、[**More (詳細)**]、[**Delete (削除)**] の順に選択します。 1. 前のバージョンに戻すアプリケーション設定 VHD および関連するメタデータファイルが以降のバージョンであることを確認します。 該当する設定グループに基づいてアプリケーション設定の永続化が有効になっているプールから次回ユーザーがストリーミングを行うと、前のバージョンに戻したユーザー設定が表示されます。 ## アプリケーション設定 VHD のサイズを拡大する VHD のデフォルトの最大サイズは、プールの場合 5 GB です。ユーザーがアプリケーション設定の領域を増やす必要がある場合は、該当するアプリケーション設定 VHD を Windows コンピュータにダウンロードして拡大できます。次に、S3 バケット内の現在の VHD を、拡大したものに置き換えます。ユーザーがアクティブなストリーミングセッションを進行中は、この操作を実行しないでください。 **注記** Virtual Hard Disk (VHD) の物理サイズを減らすには、セッションを終了する前にごみ箱を空にします。これにより、アップロードとダウンロードの時間も短縮され、全体的なユーザーエクスペリエンスが向上します。 **アプリケーション設定 VHD のサイズを拡大するには** **注記** ユーザーがアプリケーションのストリーミングを行う前に、VHD 全体をダウンロードする必要があります。アプリケーション設定 VHD のサイズを拡大すると、ユーザーがアプリケーションのストリーミングセッションを開始するまでの所要時間が長くなる場合があります。 1. Amazon S3 コンソール ([https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)) を開きます。 1. [**Bucket name (バケット名)**] リストで、拡大するアプリケーション設定 VHD が含まれている S3 バケットを選択します。 1. VHD が含まれているフォルダを見つけて選択します。S3 バケットのフォルダ構造内を移動する詳しい方法については、このトピックの前半にある「[Amazon S3 バケットのストレージ](#app-persistence-s3-buckets)」を参照してください。 フォルダを選択すると、設定 VHD および関連するメタデータファイルが表示されます。 1. `Profile.vhdx` ファイルを Windows コンピュータのディレクトリにダウンロードします。ダウンロードが完了しても、ブラウザを閉じないでください。拡大した VHD をアップロードするためにブラウザを後で再び使用します。 1. Diskpart を使用して VHD のサイズを 7 GB に拡大するには、管理者としてコマンドプロンプトを開き、以下のコマンドを入力します。 ``` diskpart ``` ``` select vdisk file="C:\path\to\application\settings\profile.vhdx" ``` ``` expand vdisk maximum=7000 ``` 1. 次に、以下の Diskpart コマンドを入力して、VHD を見つけてアタッチし、ボリュームを一覧表示します。 ``` elect vdisk file="C:\path\to\application\settings\profile.vhdx" ``` ``` attach vdisk ``` ``` list volume ``` 出力で、ラベル「AwsEucUsers」が付いているボリュームの番号を書き留めます。次のステップで、このボリュームを選択して拡大します。 1. 次のコマンドを入力します。`` はボリューム一覧の出力の数値です。 ``` select volume ``` 1. 次のコマンドを入力します。 ``` extend ``` 1. 以下のコマンドを入力して、VHD のパーティションのサイズが正常に拡大したこと (この例では 7 GB) を確認します。 ``` diskpart ``` ``` select vdisk file="C:\path\to\application\settings\profile.vhdx" ``` ``` list volume ``` 1. 次のコマンドを入力して VHD をデタッチし、アップロードできるようにします。 ``` detach vdisk ``` 1. Amazon S3 コンソールのブラウザに戻り、[**Upload (アップロード)**]、[**Add files (ファイルの追加)**] の順に選択し、拡大した VHD を選択します。 1. **アップロード** を選択します。 VHD をアップロードすると、該当する設定グループに基づいてアプリケーション設定の永続化が有効になっているプールから次回ユーザーがストリーミングを行ったときに、拡大したアプリケーション設定 VHD を使用できます。 # WorkSpaces Pools のトラブルシューティング通知コード WorkSpaces で Active Directory を設定および使用する際に発生する可能性があるドメイン参加の問題の通知コードと解決手順を以下に示します。 **DOMAIN\$1JOIN\$1ERROR\$1ACCESS\$1DENIED** **メッセージ**: アクセスが拒否されました。 **解決策**: ディレクトリで指定されたサービスアカウントに、コンピュータオブジェクトを作成するアクセス許可、または既存のものを再利用するアクセス許可がありません。アクセス許可を検証して WorkSpaces プールを起動します。 **DOMAIN\$1JOIN\$1ERROR\$1LOGON\$1FAILURE** **メッセージ**: ユーザー名またはパスワードに誤りがあります。 **解決策**: ディレクトリで指定されたサービスアカウントのユーザー名またはパスワードが無効です。ディレクトリに設定された AWS Secrets Manager シークレットの認証情報を更新して、WorkSpaces プールを起動します。 **DOMAIN\$1JOIN\$1NERR\$1PASSWORD\$1EXPIRED** **メッセージ**: このユーザーのパスワードの有効期限が切れています。 **解決策**: AWS Secrets Manager シークレット内のサービスアカウントのパスワードが有効期限切れになっています。まず、WorkSpaces プールを停止し、WorkSpaces ディレクトリで指定されたシークレットのパスワードを変更してから、WorkSpaces プールを起動します。 **DOMAIN\$1JOIN\$1ERROR\$1DS\$1MACHINE\$1ACCOUNT\$1QUOTA\$1EXCEEDED** ** メッセージ**: コンピュータをドメインに結合できませんでした。このドメインで作成が許可されているコンピュータアカウントの最大数を超過しています。システム管理者に問い合わせて、この制限をリセットまたは引き上げます。 **解決策**: ディレクトリで指定されたサービスアカウントに、コンピュータオブジェクトを作成するアクセス許可、または既存のものを再利用するアクセス許可がありません。アクセス許可を検証して WorkSpaces プールを起動します。 **DOMAIN\$1JOIN\$1ERROR\$1INVALID\$1PARAMETER** **メッセージ**: パラメータが正しくありません。このエラーは、`LpName` パラメータが NULL であるか、`NameType` パラメータが `NetSetupUnknown` または不明な名前タイプとして指定されている場合に返されます。 **解決策**: このエラーは、OU の識別名が正しくない場合に発生します。OU を検証して、もう一度試してください。このエラーが引き続き表示される場合は、AWS サポート までお問い合わせください。詳細については、[AWS サポートセンター](https://console.aws.amazon.com/support/home#/)を参照してください。 **DOMAIN\$1JOIN\$1ERROR\$1MORE\$1DATA** **メッセージ**: その他のデータを使用できます。 **解決策**: このエラーは、OU の識別名が正しくない場合に発生します。OU を検証して、もう一度試してください。このエラーが引き続き表示される場合は、AWS サポート までお問い合わせください。詳細については、[AWS サポートセンター](https://console.aws.amazon.com/support/home#/)を参照してください。 **DOMAIN\$1JOIN\$1ERROR\$1NO\$1SUCH\$1DOMAIN** **メッセージ**: 指定されたドメイン名が存在しないか、接続できませんでした。 **解決策**: ストリーミングインスタンスが Active Directory ドメインに接続できませんでした。ネットワーク接続を確保するには、VPC、サブネット、およびセキュリティグループ設定を確認します。 **DOMAIN\$1JOIN\$1NERR\$1WORKSTATION\$1NOT\$1STARTED** **メッセージ**: Workstation サービスが開始されていません。 **解決策**: Workstation サービスの開始時にエラーが発生しました。イメージでサービスが有効になっていることを確認します。このエラーが引き続き表示される場合は、AWS サポート までお問い合わせください。詳細については、[AWS サポートセンター](https://console.aws.amazon.com/support/home#/)を参照してください。 **DOMAIN\$1JOIN\$1ERROR\$1NOT\$1SUPPORTED** **メッセージ**: リクエストはサポートされていません。このエラーは、リモートコンピュータが `lpServer` パラメータで指定されており、この呼び出しがリモートコンピュータでサポートされていない場合に返されます。 **解決方法**: AWS サポート に連絡してサポートを受けてください。詳細については、[AWS サポートセンター](https://console.aws.amazon.com/support/home#/)を参照してください。 **DOMAIN\$1JOIN\$1ERROR\$1FILE\$1NOT\$1FOUND** **メッセージ**: 指定されたファイルがシステムで見つかりません。 **解決策**: このエラーは、無効な組織単位 (OU) の識別子名が指定されている場合に発生します。識別子名の先頭には、**OU=** を付ける必要があります。OU 識別子名を検証し、再試行してください。 **DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR** **メッセージ**: アカウントは既に存在しています。 **Resolution (解決策)**: このエラーは、次の状況で発生する可能性があります。 + 問題がアクセス許可に関連していない場合は、Netdom ログでエラーがないか確認し、正しい OU を指定したことを確認してください。 + ディレクトリで指定されたサービスアカウントに、コンピュータオブジェクトを作成するアクセス許可、または既存のものを再利用するアクセス許可がありません。このような場合は、アクセス許可を検証して WorkSpaces プールを起動します。 + WorkSpaces で作成したコンピュータオブジェクトは、作成後に作成先の OU から移動されます。この場合、最初の WorkSpaces プールは正常に作成されますが、コンピュータオブジェクトを使用する新しい WorkSpaces プールは失敗します。Active Directory が指定先の OU でコンピュータオブジェクトを検索し、ドメイン内の別の場所で同じ名前のオブジェクトを検出すると、ドメイン参加は失敗します。 + WorkSpaces ディレクトリで指定されている OU の名前には、ディレクトリのカンマの前または後にスペースが含まれています。この場合、WorkSpaces プールが Active Directory ドメインへの再参加を試みると、WorkSpaces はコンピュータオブジェクトを正しく循環できず、ドメインに再参加できません。WorkSpaces プールでこの問題を解決するには、次の手順を実行します。 1. WorkSpaces プールを停止します。 1. WorkSpaces プールの Active Directory ドメイン設定を編集して、WorkSpaces プールが参加しているディレクトリおよびディレクトリ OU を削除します。 1. WorkSpaces ディレクトリを更新して、スペースを含まない OU を指定します。 1. WorkSpaces プールの Active Directory ドメイン設定を編集して、更新されたディレクトリ OU でディレクトリを指定します。 WorkSpaces プールでこの問題を解決するには、次の手順を実行します。 1. WorkSpaces プールを削除します。 1. WorkSpaces ディレクトリを更新して、スペースを含まない OU を指定します。 1. 新しい WorkSpaces プールを作成し、更新されたディレクトリ OU でディレクトリを指定します。 **WORKSPACES\$1POOL\$1SESSION\$1RESERVATION\$1ERROR** **メッセージ**: 現在、WorkSpaces Pools に関連付けられたサブネットのアベイラビリティーゾーン [us-west-1] でリクエストされたセッションに十分なキャパシティーがありません。追加のキャパシティーをプロビジョニングする作業を進めます。それまでの間、次のいずれかの AZ [us-west-2、us-west-3] を使用して、サブネットを変更するか別のサブネットを関連付けてください。 **解決方法**: EC2 で十分なキャパシティーが確保されるか、ディレクトリ上の他の AZ のサブネットに更新されるまで待ちます。 **INSUFFICIENT\$1CAPACITY\$1ERROR\$1WORKSPACES\$1POOL\$1AZ** **メッセージ**: 現在、アベイラビリティーゾーン (AZ) [<影響を受けている AZ>] でリクエストされたセッションに十分なキャパシティーがありません。追加のキャパシティーをプロビジョニングする作業を進めます。それまでの間、他の AZ を使用してサブネットを変更するか別のサブネットを WorkSpaces Pools に関連付けてください。 **解決方法**: Amazon EC2 で十分なキャパシティーが確保されるか、ディレクトリ上の他の AZ のサブネットに更新されるまで待ちます。 **INVALID\$1CUSTOMER\$1SUBNET\$1CIDR\$1BLOCK** **メッセージ**: サブネットに、使用できない CIDR 範囲が使用されています。現在の /18 の範囲外にサブネットを更新してください。 **解決方法**: EC2 で十分なキャパシティーが確保されるか、ディレクトリ上の他の AZ のサブネットに更新されるまで待ちます。