四国クラウドお遍路20141004

四国クラウドお遍路2014

Amazon WorkSpaces/Zocaloによるワークスタイルの改革Amazon Data Services JapanGenta Watanabe

自己紹介

• 名前– 渡邉源太

• 所属– アマゾンデータサービスジャパン株式会社エンタープライズソ

リューション部ソリューションアーキテクト• Twitter ID

– @gentaw0• 好きなAWSサービス

– Amazon WorkSpaces

Agenda

これからのワークスタイルAmazon WorkSpaces

Amazon Zocaloとの連携

まとめ

1

2

3

4

ワークスタイルの変化

モバイルユーザー

ITのコンシューマ化:

95% の情報産業に従事する人々は、少なくとも自身で購入した情報端末を1台は会社でも使っている

ほぼ

80%の 社会人は、オフィスの外で仕事をすることがある

ほぼ 2/3の一般消費者は少なくとも週に3-4日はスマホやタブレットを使って、商品やブランドや⾏き先を調べている

2016, には、十億単位のユーザでスマホやタブレットが普及する

クラウドコラボモビリティ ビッグデータ

モバイルファーストの波コンシューマーITの台頭、いつでもどこでも繋がるニーズ

4

2013年ワークスタイル実態調査

• 半数の企業が従来の働き方を変えることに慎重姿勢• オフィス外での簡単な業務を認めるも、在宅勤務やいつでもオフィ

ス外で勤務可能な働き方を6割の企業が全く認めず• オフィス外でのITの活用に後ろ向きな企業ほど、⻑時間労働の助⻑

や⼥性活用の出遅れ傾向が顕著• 製造業は取り組みに慎重姿勢• いつでも社外で勤務可能な働き方を認める外資は内資の2倍

※デロイトトーマツコンサルティング株式会社が上場企業を中心とした132社（外資系10社）にワークスタイルの実態調査を実施

http://www.tohmatsu.com/assets/Dcom-Japan/Local%20Assets/Documents/Press/Release/jp_p_press20140313_dtcwssurvey2013_release_120314.pdf

ワークスタイルの変革の目的・取り組み姿勢

生産性とリモートワークの関係

⼥性活⽤とリモートワークの関係

業界別の分析

2008 2009 2010 2011

Amazon EBS

Amazon SNS

AWS Identity & Access Management

Amazon RDSAmazon VPC

Auto Scaling

Elastic LoadBalancing Amazon

ElastiCache

Amazon SES

AWS CloudFormation

AWS Direct Connect

AWS Elastic Beanstalk

GovCloud

Amazon SWF

Amazon Route 53

Amazon Redshift

Amazon Glacier

Amazon Dynamo DB

Amazon CloudSearch

AWS StorageGateway

Amazon CloudTrail

Amazon CloudHSM

Amazon WorkSpacesAmazon Kinesis

Amazon ElasticTranscoder

Amazon AppStream

AWS OpsWorks

AWS Data Pipeline

AWSのイノベーションの速度

20132012

AWSは、サービス開始以来:• 927の新サービスや新機能をリリース• 35のメジャーな新サービスを提供• 43回の料⾦値下げ

2014 as of 8/1

AmazonCloudFront

Amazon Zocalo

Amazon Cognito

Amazon Mobile Analytics

AWSのさまざまなサービス

アプリケーションサービス

仮想デスクトップサービス 企業向けファイル共有サービス

Amazon WorkSpaces

• クラウドで動作するフルマネージド型のデスクトップコンピューテイングサービス

• Windows/Mac/iPad/Kindle Fire/Androidタブレットなど任意のデバイスからアクセス

• マネジメントコンソールを数回クリックするだけでデスクトップをユーザー数を問わずに展開可能

Amazon WorkSpacesのメリット

• フルマネージド• 多様なデバイスへの

対応• データを安全にいつ

でも使える形で保存

• 選べるハードウェア・ソフトウェア構成

• 初期投資が不要• 社内ディレクトリと

の統合

フルマネージド

• 必要な数のワークスペースをすぐに起動できる• ⾯倒な管理作業はAWSにおまかせ• ユーザーはメールを受信したらクライアントをイン

ストールするだけで接続できる

WorkSpaces

自社構築 vs. EC2 vs. フルマネージド

Power, HVAC, netRack & stack

Server maintenance

OS patches

s/w patchesBackups

ScalingHigh availability

s/w installs

OS installation

App installs

Power, HVAC, netRack & stack

Server maintenance

OS patches

s/w patchesBackups

ScalingHigh availability

s/w installs

OS installation

App installs

Power, HVAC, netRack & stack

Server maintenance

OS patches

s/w patchesBackups

ScalingHigh availability

s/w installs

OS installation

App installs

オンプレミス XenDesktop on AWS WorkSpaces

お客様がご担当する作業 AWSが提供するマネージド機能

多様なデバイスへの対応

• iPad• Kindle Fire HDX • Android Tablet• Microsoft Windows• Mac

データを安全にいつでも使える形で保存

• エンドユーザーデバイスにデータを保存しない• 画⾯のみをユーザーに転送 (PCoIP)• ユーザーボリュームをAmazon S3にバックアッ

プ

データを安全にいつでも使える形で保存

• ユーザーデータをセキュアにバックアップ・同期• ワークスペースとPC/MacにZocalo Syncをインストー

ル• データをAmazon S3にバックアップ• ユーザーは必要なときにデータにアクセス可能

選べるソフトウェア・ハードウェア構成WorkSpaces Bundle ハードウェアハードウェアハードウェアハードウェア アプリケーションアプリケーションアプリケーションアプリケーション

Standard 1 vCPU, 3.75 GiB Memory, 50 GB User Storage

ユーティリティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash)

Standard Plus 1 vCPU, 3.75 GiB Memory, 50 GB User Storage

Microsoft Office Professional 2010, Trend Microビジネスセキュリティクライアント, ユーティリティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash)

Performance 2 vCPU, 7.5 GiB Memory, 100 GB User Storage

ユーティリティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash)

Performance Plus 2 vCPU, 7.5 GiB Memory, 100 GB User Storage

Microsoft Office Professional 2010, Trend Microビジネスセキュリティクライアント, ユーティリティ (Adobe Reader, Internet Explorer 11, Firefox, WinZip, Adobe Flash)

初期投資が不要

WorkSpaces Bundle 月額月額月額月額

Standard $47

Standard Plus $62

Performance $78

Performance Plus $93

• 前払い料⾦一切不要• いつでもデスクトップを削除可能• インフラ費用込みのアプリケーションアクセス (コンピュート/ストレー

ジ/ネットワーク帯域)

社内ディレクトリとの統合

• 従来のデスクトップのようにワークスペースを管理– グループポリシー– ソフトウェア配布ツール– エージェントのインストール

• 自分が管理しやすいように組織単位（OU）に保存• 管理のやり方はかわらない

– 管理負荷の軽減

WorkSpaces Connect: AD統合

• ユーザー: 既存のエンタープライズの認証を利用• IT: 通常のデスクトップのようにワークスペースをコント

ロール

Amazon WorkSpacesセットアップ

• Quick Setup– 必要な環境を自動的に作成– 20分でWorkSpaceを利用可能– 初回セットアップ時のみ

• Advanced Setup– VPCやディレクトリの選択が可能– 社内Active Directoryとの統合

Quick Setup

• WorkSpacesバンドルを選択• ユーザーを作成してワークスペースのプロビジョンを開始

WorkSpaceのステータス確認

• 20分ほどでStatusが「Pending」から「Running」に変わったら完了

• ユーザーにメールで通知される

メールの受信とユーザーの登録

• メールを受信したらリンク先をブラウザで開いてパスワードを設定

WorkSpacesクライアントのダウンロード

• http://clients.amazonworkspaces.comからダウンロード可能

WorkSpacesへの接続

Quick Setupで実⾏されるプロセス

WorkSpaces用のVPCを作

成

VPC内にユーザーと

WorkSpace管理用のディレクトリをセッ

トアップ

ディレクトリ管理者アカウン

トの作成

ユーザーアカウントの作成とディレクトリ

への追加

WorkSpaceインスタンスの

作成

ユーザーへの招待メールの

送信

Quick Setupで作成される環境

AWS Cloud

Availability Zone

Availability Zone

Virtual Private Cloud

Internet Gateway

Domain Controller

VPC Subnet

VPC Subnet

Domain Controller

WorkSpaces WorkSpaces

・・・

WorkSpaces WorkSpaces

・・・

Client

Mobile Client

Internet

Advanced Setup

• 既存のVPCやオンプレミスのActive Directoryとの連携を⾏う場合はこちらを選択

• 以下の⼿順を⼿動で⾏う– WorkSpaces用のVPCの作成– ディレクトリの作成– WorkSpaceのプロビジョニング

ディレクトリの選択• WorkSpaces Cloud Directory

– 自社に Active Directory の管理者が不在のユーザー向け– ディレクトリ サービスの管理は AWS にお任せ– すぐに WorkSpaces を使いたい場合に利用

• WorkSpaces Connect– 社内の Active Directory 環境と連携– 既存のユーザーやグループによる権限付与– グループ ポリシーによる集中管理

Cloud Directory• ディレクトリ サービスは Multi-AZ 構成で複数の Subnet に

展開される– EC2 インスタンスとしては表示されない

• Active Directory の管理ツールから操作可能– Redircmp.exe– イベント ビューア– Active Directory ユーザーとコンピュータ

Availability Zone Availability Zone

Domain Controller

Domain Controller

Virtual Private Cloud

WorkSpaces Connect• VPC 上に認証用プロキシが作成される

– プロキシを経由してドメイン コントローラーに対して認証– 既存のユーザー認証およびポリシーを適用可能

Availability Zone Availability Zone

WorkSpaces Connect

WorkSpaces Connect

Virtual Private Cloud

VPN Gateway

Corporate Data center

Customer Gateway

Domain Controller

社内ディレクトリとの統合

Subnet 2

Subnet 1

AZ ‘A’

AZ ‘B’

WorkSpacesAPI

End-point

Customer Network

VPN Connection

OAuth Gateway

Public IP

Secure Auth (443)

Public IP

WS User1

Public IP

WS User2

On-premisesDomain Controllers

Directory

Join

Directory

Join

WorkSpaces Connect

WorkSpacesConnect

On-premisesResources

Direct Connect

Multi-Factor Authentication• オンプレミスの RADIUS サーバーを利用した

多要素認証（MFA）に対応– ユーザー名とパスワードに加えてワンタイム パスワード等の

利用が可能

• Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUSServer でテスト済– PAP/CHAP/MS-CHAP1/MS-CHAP2 をサポート

(例) Google Authenticatorを使った方法• スマートフォンに無料でインストールできる

Google Authenticatorをソフトウェアトークンとして使用する。

• サーバ側は、オープンソースのFreeRADIUSとGoogle AuthenticatorのPAM（Pluggable Authentication Module）を連携させて実現させる。

※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。

認証の流れ - 1

• デバイスで初回使う時、招待メールに記載されていた登録コードを入⼒します。

認証の流れ - 2

• Active Directoryで使っているのと同じユーザ名とパスワードを入⼒します。

認証の流れ - 3• トークンに表示されている

ワンタイムパスワードを確認して入⼒します。

WorkSpacesクライアント

• サポートするプラットフォーム– Windows 7以降– Mac OS X 10.8.1以降– iOS 7.0以降– Android 4.2以降– Kindle Fire HDXまたはHD 7

• ネットワーク要件– TCP/UDP 4172– TCP 443 (HTTPS)– TCP 22 (SSH)– RTT 100ms以下を推奨

ローカルプリンターのサポート

• WorkSpaceからクライアントPCに接続されているローカルおよびネットワークプリンターに印刷することが可能– Mac OS Xは未サポート– ローカルプリンターは自動的に認識される

• Cortado ThinPrintやGoogle Cloud Printなどのクラウド印刷ソリューションも利用可能

Amazon Zocalo Sync（WorkSpaces Sync）

• ローカルのフォルダをWorkSpaceと同期– ユーザーあたり50GB– 管理者により無効化することが可能

• Amazon WorkSpacesとは独⽴して動作する– https://amazonzocalo.com/clientsより

AmazonZocaloSetup.exeを別途導入して実⾏

Client WorkSpaceInternet Amazon Zocalo

Sync

Amazon Zocalo

• フルマネージド型の企業向け文書保存・共有サービス– データは暗号化のうえ、指定したリージョンに保管される– 既存ADとも連携可能なユーザ権限管理機能を備える

• 1人あたり200GBの容量を⽉額5ドルで利用可能– 1GBあたり⽉額0.03ドルの追加料⾦でストレージの増量にも対応

• WorkSpacesユーザは50GBまで無料でZocaloを利用できる（⽉額2ドルで200GBにアップグレード）

Amazon Zocaloの特徴

• ファイルの共有:– 他の人とドキュメントやスプレッドシート、プレゼンテーション、Webページ、画像、

PDF、テキストファイルを共有することが可能

• マルチデバイスからのアクセス:– ノートPC、iPad、Kindle Fire、Androidタブレットなどのお好みのデバイスから、いつで

も、どこにいても、Amazon Zocaloに保管されたデータにアクセス可能

• フィードバック:– ユーザーは他ユーザーのフィードバックをリクエストし、管理することが可能。一方、

フィードバックする側のユーザーは、ドキュメントやファイルの中のあらゆる語句や文章、段落、範囲をハイライトし、詳細なフィードバックを残すことが可能

Amazon Zocaloの特徴

• 安全:– Zocaloに保管されたすべてのデータを暗号化。また、管理者はユーザーの共有

アクセス権を管理するためのポリシーを設定可能。AWSリージョンを選択することでデータをどこに保存するかを自由に決定する事が出来、ファイルやユーザーのアクティビティを追跡するために監査ログを閲覧することが可能

• コーポレートディレクトリとの統合:– 既存のActive Directoryと統合することが可能

• 低コスト:– 1人あたり200GBの容量を⽉額5ドルで利用可能– 1GBあたり⽉額0.03ドルの追加料⾦でストレージの増量にも対応– WorkSpacesユーザは50GBまで無料でZocaloを利用できる

（⽉額2ドルで200GBにアップグレード）

ユーザ利⽤イメージ(My Documents画面)

ドラッグアンドドロップでファイルのアップロードが可能

共有されたドキュメントにはここからアクセス

ユーザ利⽤イメージ(ドキュメントの共有)ファイル共有時にメッセージを付与できる

フィードバックの要否、期限を切ることもできる

読み取りのみの権限でも共有できる

ユーザ利⽤イメージ(フィードバック)

指摘箇所をマークアップしてフィードバックできる コメントはページ毎に

一覧で表示される

ユーザ利⽤イメージ(モバイル端末でのアクセス)

管理画面イメージ(ユーザ一覧)

ADに登録されたユーザ毎にZocaloアカウントが有効か否か、

利用容量などが表示される

管理画面イメージ(ユーザアカウントの設定)アカウントの有効・無効を切り替える。無効に変更する場合、ファイルのオーナを他ユーザに変更することが可能

ユーザの権限を指定する。ここで管理者を選択すると、ユーザ一覧やアカウ

ント設定などの管理ができる

ディスク容量の上限も設定可能

管理画面イメージ(ファイル共有先の限定)

無制限に共有可能

この入⼒欄で共有を許すメールドメインを指定する

指定ドメインのみ可能

内部のみ許可

管理画面イメージ(アクティビティログ)

DOWNLOADとVIEWについてアクセス履歴が残る

まとめ

• モバイルファーストの波にかかわらず多くの企業ではワークスタイルの変革がすすんでいない

• Amazon WorkSpacesはフルマネージドのデスクトップサービスで任意のデバイスからアクセスが可能

• Amazon ZocaloはWorkSpacesと連携してドキュメントの保存・共有が可能なサービス– 現在のところ東京リージョンではSyncのみ