Amazon WorkLink管理ガイド

Amazon WorkLink 管理ガイド

Amazon WorkLink: 管理ガイドCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

Amazon WorkLink 管理ガイド

Table of ContentsAmazon WorkLink とは ....................................................................................................................... 1

Amazon WorkLink を使用する場合の用語 ....................................................................................... 1Amazon WorkLink と連携するサービス .......................................................................................... 2Amazon WorkLink へのアクセス ................................................................................................... 2リソース .................................................................................................................................... 3

Amazon WorkLink のセットアップ ........................................................................................................ 4AWS にサインアップする ............................................................................................................ 4IAM ユーザーを作成する .............................................................................................................. 4

開始方法 ............................................................................................................................................ 6フリートを作成する .................................................................................................................... 6社内ネットワークの設定 .............................................................................................................. 6ID プロバイダー (IdP) の設定 ....................................................................................................... 9

SAML 2.0 アプリのセットアップ .......................................................................................... 9デバイスポリシーの設定 (オプション) .......................................................................................... 10

iOS デバイスでデバイス証明書をデプロイする ...................................................................... 10監査ログストリームの設定 (オプション) ....................................................................................... 11ドメインの関連付け .................................................................................................................. 12ユーザーの招待 ......................................................................................................................... 13

フリートの管理 ................................................................................................................................. 14フリートの詳細の表示 ............................................................................................................... 14フリートの編集 ......................................................................................................................... 14フリートを削除する .................................................................................................................. 15

社内ネットワークの管理 .................................................................................................................... 16社内ネットワークの詳細の表示 ................................................................................................... 16社内ネットワークの編集 ............................................................................................................ 16

ID プロバイダー (IdP) の管理 ............................................................................................................. 17IdP の詳細の表示 ...................................................................................................................... 17IdP の編集 ............................................................................................................................... 17

デバイスポリシーの管理 .................................................................................................................... 18デバイスポリシーの表示 ............................................................................................................ 18デバイスポリシーの編集 ............................................................................................................ 18iOS デバイスからデバイス証明書を削除する ................................................................................. 18

ドメインの管理 ................................................................................................................................. 20追加のドメインの関連付け ......................................................................................................... 20ドメイン詳細の表示 .................................................................................................................. 20ドメインの編集 ......................................................................................................................... 21ドメインの取り消し .................................................................................................................. 21ドメインの復元 ......................................................................................................................... 21ドメインの関連付け解除 ............................................................................................................ 21

ユーザーの管理 ................................................................................................................................. 23ユーザー詳細の表示 .................................................................................................................. 23ユーザーをサインアウトする ...................................................................................................... 23

デバイスの管理 ................................................................................................................................. 24デバイスの詳細を表示 ............................................................................................................... 24

AWS CloudTrail を使用した Amazon WorkLink API コールのログ記録 ...................................................... 25CloudTrail 内の Amazon WorkLink 情報 ....................................................................................... 25Amazon WorkLink ログファイルエントリの概要 ............................................................................ 26

ドキュメント履歴 .............................................................................................................................. 27AWS の用語集 .................................................................................................................................. 28

iii

Amazon WorkLink 管理ガイドAmazon WorkLink を使用する場合の用語

Amazon WorkLink とはAmazon WorkLink は、iOS スマートフォンから社内のウェブサイトやウェブアプリへの安全なアクセスを提供する、クラウドベースのサービスです。従業員などの社内ユーザーは、1 ステップで、他の公開ウェブサイトへのアクセスと同様に効率的に、社内ウェブサイトにアクセスできます。ユーザーは ウェブブラウザに URL を入力するか、または E メール上の社内ウェブサイトへのリンクを選択します。AmazonWorkLink はユーザーのアクセスを認証し、AWS クラウド上の安全なレンダリングサービスにより、承認済の社内ウェブコンテンツを安全にレンダリングします。Amazon WorkLink はモバイルデバイス上に社内ウェブコンテンツのダウンロードや保存を行いません。

ウェブサイトのデータはモバイルブラウザでローカルに保存もキャッシュもされないため、AmazonWorkLink により情報の紛失や盗難のリスクが軽減されます。さらに、ユーザーがブラウジングセッションを終了すると、キャッシュされたすべてのコンテンツが AWS から削除されます。管理者は社内のセキュリティとアクセスポリシーを適用することができます。

Amazon WorkLink は SAML ベースの ID プロバイダーと連携し、デバイス管理ソリューションで使用することができます。さらに Amazon WorkLink は完全マネージド型サービスであるため、以下の処理を自動的に行います。

• デプロイ• キャパシティーのプロビジョニング• Auto Scaling• ブラウザとクラウド上のリソースの更新

Amazon WorkLink を使用するには、社内のユーザーは Amazon WorkLink アプリをモバイルデバイスにダウンロードし、社内の認証情報を使ってログインします。iPhone の Safari を使って、Amazon WorkLinkから社内ウェブサイトにアクセスできます。

詳細については、https://aws.amazon.com/worklink/ を参照してください。

トピック• Amazon WorkLink を使用する場合の用語 (p. 1)• Amazon WorkLink と連携するサービス (p. 2)• Amazon WorkLink へのアクセス (p. 2)• リソース (p. 3)

Amazon WorkLink を使用する場合の用語Amazon WorkLink の使用を開始するには、以下の概念を理解しておく必要があります。

フリート

フリートには、社内ウェブサイトを承認済ユーザーが利用できるようにするために必要なリソースと設定が含まれています。ユーザーは Amazon WorkLink アプリをダウンロードしてセットアップする必要があります。

ID プロバイダー (IdP)

ID プロバイダーはユーザーの認証情報を検証します。その後、認証アサーションを発行し、サービスプロバイダーへのアクセスを提供します。既存の IdP を設定して Amazon WorkLink と連携させることができます。

1

Amazon WorkLink 管理ガイドAmazon WorkLink と連携するサービス

サービスプロバイダー (SP)

サービスプロバイダーは認証アサーションを受け入れ、ユーザーにサービスを提供します。AmazonWorkLink は、IdP によって認証されたユーザーに対するサービスプロバイダーとして機能します。

SAML 2.0

IdP とサービスプロバイダーの間で認証と認可データを交換するための標準。ドメイン

ユーザーがモバイルデバイスから Amazon WorkLink を使用してアクセスできる社内ウェブサイトのリスト。

Virtual Private Cloud (VPC)

既存または新しい VPC、対応するサブネット、セキュリティグループを使用して、社内コンテンツを Amazon WorkLink にリンクすることができます。詳細については、「社内ネットワークの管理 (p. 16)」を参照してください。

会社コード

ユーザーが Amazon WorkLink アプリにサインインするために入力する識別子。Amazon WorkLink は会社コードを使って、会社に固有の設定の詳細を取得します。

デバイスポリシー

従業員が Amazon WorkLinkを使用して社内コンテンツにアクセスするために、従業員のデバイスが満たす必要がある要件のセット。

Amazon WorkLink と連携するサービスAmazon WorkLink は、AWS のエンドユーザーコンピューティングの一部です。これには、AmazonWorkSpaces、Amazon AppStream 2.0、Amazon WorkLink があります。一般的な企業では、各サービスのユースケースがあります。たとえば、組織内のソフトウェア開発者は、Amazon WorkSpaces を使用すると、任意のコンピューターまたはタブレットからすべてのデスクトップリソースにアクセスできます。エンジニアは AppStream 2.0 を使用すると、GPU を多用するアプリケーションをストリーミングすることができます。営業リーダーは Amazon WorkLink を使用すると、モバイルデバイスから、販売データなど社内のウェブベースのコンテンツにアクセスすることができます。

Amazon WorkLink は、次の AWS サービスと連携します。

• AWS Direct Connect (DX) – オンプレミスでホストされているコンテンツについては、DX またはサイト間仮想プライベートネットワークを使用して、VPC への安全なオンプレミス接続を取得できます。Amazon WorkLink は、その VPC を使ってオンプレミスのオリジンサービスからコンテンツを取得し、そのコンテンツを AWS でレンダリングします。

• AWS Transit Gateway – 専用 VPC をプロビジョニングして Amazon WorkLink トラフィックをルーティングし、AWS Transit Gateway を使用して社内ネットワークに接続します。

• Amazon Kinesis – Amazon Kinesis データストリームを使用して、ユーザーアクティビティログを必要なデータストレージと分析ソリューションに送信します。

• AWS CloudTrail – Amazon WorkLink はすべてのコンソール、SDK、CLI、API オペレーションを AWSCloudTrail に記録します。これにより Amazon WorkLink フリートを管理するためのアクションを監査することができます。

Amazon WorkLink へのアクセス管理者は、AWS マネジメントコンソール、SDK、CLI、API を使って Amazon WorkLink にアクセスします。ユーザーは Amazon WorkLink アプリを使ってアクセスします。アプリは App Store からモバイルデ

2

Amazon WorkLink 管理ガイドリソース

バイスにダウンロードできます。初期のセットアップを行った後は、Amazon WorkLink アプリはバックグラウンドで動作し、ユーザーは Safari を使って社内ウェブサイトを閲覧できます。

リソースこのサービスを利用する際に役立つ関連リソースは以下の通りです。

• クラスとワークショップ – AWS に関するスキルを磨き、実践的経験を積むために役立つ、職務別の特別コースとセルフペースラボへのリンクです。

• AWS 開発者用ツール – AWS アプリケーションの開発と管理のための開発者ツール、SDK、IDE ツールキット、およびコマンドラインツールへのリンクです。

• AWS ホワイトペーパー – アーキテクチャー、セキュリティ、エコノミクスなどのトピックをカバーし、AWS のソリューションアーキテクトや他の技術エキスパートによって書かれた、技術的な AWS ホワイトペーパーの包括的なリストへのリンクです。

• AWS サポートセンター – AWS サポートケースを作成および管理するためのハブです。フォーラム、技術上のよくある質問、サービス状態ステータス、AWS Trusted Advisor などの便利なリソースへのリンクも含まれています。

• AWS サポート – 1 対 1 での迅速な対応を行うサポートチャネルである AWS サポートに関する情報のメインウェブページです。AWS サポートは、クラウドでのアプリケーションの構築および実行を支援します。

• お問い合わせ – AWS 請求、アカウント、イベント、不正使用、およびその他の問題に関する問い合わせ先です。

• AWS サイトの利用規約 – 当社の著作権、商標、お客様のアカウント、ライセンス、サイトへのアクセス、およびその他のトピックに関する詳細情報です。

3

Amazon WorkLink 管理ガイドAWS にサインアップする

Amazon WorkLink のセットアップAmazon WorkLink にアクセスするには、まず AWS アカウントと IAM ユーザーを作成します。

トピック• AWS にサインアップする (p. 4)• IAM ユーザーを作成する (p. 4)

AWS にサインアップするAWS アカウントをお持ちでない場合は、次に説明する手順に従ってアカウントを作成してください。

AWS にサインアップするには

1. https://aws.amazon.com/ を開き、[AWS アカウントの作成] を選択します。2. オンラインの手順に従います。

IAM ユーザーを作成するこの手順では、管理者ユーザーを作成し、次にユーザーを作成して、ユーザーを管理者グループに追加します。

自分用の管理者ユーザーを作成し、そのユーザーを管理者グループに追加するには (コンソール)

1. AWS アカウント E メールアドレスとパスワードを使用して https://console.aws.amazon.com/iam/ でAWS アカウントのルートユーザー として IAM コンソールにサインインします。

Note

以下のAdministratorIAMユーザーの使用に関するベストプラクティスに従い、ルートユーザー認証情報を安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてサインインして、少数のアカウントおよびサービス管理タスクのみを実行します。

2. ナビゲーションペインで [Users]、[Add user] の順に選択します。3. [ユーザー名] に「Administrator」と入力します。4. [AWS マネジメントコンソール access (アクセス)] の横にあるチェックボックスをオンにします。

[Custom password (カスタムパスワード)] を選択し、その後テキストボックスに新しいパスワードを入力します。

5. (オプション) AWS では、デフォルトで、新しいユーザーに対して初回のサインイン時に新しいパスワードを作成することが必要です。必要に応じて [User must create a new password at next sign-in(ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある)] のチェックボックスをオフにして、新しいユーザーがサインインしてからパスワードをリセットできるようにできます。

6. [Next: Permissions (次へ: アクセス許可)] を選択します。7. [Set permissions (アクセス許可の設定)] で、[Add user to group (ユーザーをグループに追加)] を選択し

ます。8. [Create group] を選択します。9. [グループの作成] ダイアログボックスで、[グループ名] に「Administrators」と入力します。10. [Filter policies (フィルタポリシー)] を選択し、その後 [AWS managed -job function (AWS 管理ジョブ

の機能] を選択してテーブルのコンテンツをフィルタリングします。

4

Amazon WorkLink 管理ガイドIAM ユーザーを作成する

11. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。次に、[Create group]を選択します。

Note

AdministratorAccess アクセス許可を使用して、AWS Billing and Cost Management コンソールを使用する前に、IAM ユーザーおよびロールの請求へのアクセスをアクティブ化する必要があります。これを行うには、請求コンソールへのアクセスの委任に関するチュートリアルのステップ 1 の手順に従ってください。

12. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて[Refresh] を選択し、リスト内のグループを表示します。

13. [次へ: タグ] を選択します。14. (オプション) タグをキー - 値のペアとしてアタッチして、メタデータをユーザーに追加します。IAM

でのタグの使用の詳細については、『IAM ユーザーガイド』の「IAM エンティティのタグ付け」を参照してください。

15. [Next: Review] を選択して、新しいユーザーに追加するグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] を選択します。

この同じプロセスを繰り返して新しいグループとユーザーを作成し、AWS アカウントのリソースへのアクセス権をユーザーに付与できます。ポリシーを使用して特定の AWS リソースに対するユーザーのアクセス許可を制限する方法については、「アクセス管理」と「ポリシーの例」を参照してください。

5

Amazon WorkLink 管理ガイドフリートを作成する

Amazon WorkLink の開始方法Amazon WorkLink の使用を開始するには、以下のタスクを実行します。フリートを作成した後は、以降のステップは 1 つ以外は任意の順序で実行できます。ユーザーの招待は最後のステップでなければなりません。

トピック• フリートを作成する (p. 6)• 社内ネットワークの設定 (p. 6)• ID プロバイダー (IdP) の設定 (p. 9)• デバイスポリシーの設定 (オプション) (p. 10)• 監査ログストリームの設定 (オプション) (p. 11)• ドメインの関連付け (p. 12)• ユーザーの招待 (p. 13)

フリートを作成するフリートを作成するには、ホーム AWS リージョンを選択する必要があります。フリートのすべての監査ログは、ホーム AWS リージョンに保存されます。ドメインがオンプレミスでホストされている場合は、このリージョン内のオンプレミスオリジンホストとの接続を提供する VPC を作成する必要があります。

ホームリージョンを決定したら、AWS マネジメントコンソールでそのリージョンに切り替えます。

フリートを作成するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、[フリートの作成] を選択します。3. [フリートの作成] ページで、[フリート名] の下で、フリートの固有の名前を入力します。これ

は、Amazon リソースネーム (ARN) を作成するために使用されます。Note

文字、数字、「-」を含めて、最大 48 文字まで使用できます。空白を使用することはできません。

4. (オプション) [表示名] の下で、ご使用の AWS アカウントに固有のわかりやすい名前を入力します。これは内部の検索のために使用されます。

5. [フリートの作成] を選択します。

社内ネットワークの設定フリートを作成したら、オンプレミス接続による VPC へのアクセスをフリートに設定します。既存または新しい VPC を使用して、ネットワークをリンクできます。これにより、ユーザーは社内ウェブコンテンツにアクセスできます。

次に進む前に、アカウントに IAM ロールを追加します。Amazon WorkLink は VPC にアクセスするネットワークインターフェイスを作成するために、この IAM ロールを必要とします。これらのネットワークインターフェイスは Amazon WorkLink のレンダリングインスタンスに関連付けられています。次の手順を使用して、ネットワークインターフェイスを作成してアタッチするアクセス許可を持つ IAM ロールを作成します。

6

Amazon WorkLink 管理ガイド社内ネットワークの設定

ネットワークインターフェイスを作成してアタッチするアクセス許可を持つ IAM ロールを作成するには

1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/iam/ で IAM コンソールを開きます。

2. IAM コンソールのナビゲーションペインで、[ロール]、[ロールの作成] の順に選択します。3. [Select type of trusted entity (信頼されたエンティティのタイプの選択)] で、[AWS サービス] を選択し

ます。4. Amazon WorkLink を選択して、worklink.amazonaws.com への信頼ポリシーを設定します。これによ

り、Amazon WorkLink は、アカウントのリソースを管理するロールを引き受けます。5. [Next: Permissions (次へ: アクセス許可)] を選択します。6. [ポリシーの作成] を選択し、ウィザードの手順に従います。JSON オプションを選択した場合は、次

のアクセス許可を JSON に貼り付けます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AmazonWorkLinkENIPolicy0", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:CreateNetworkInterfacePermission", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" } ]}

監査ログに Amazon Kinesis ストリームオプションを使用する場合は、次のセクションをポリシーのステートメント ブロックに追加します。

{ "Sid": "AmazonWorkLinkKinesesPolicy0", "Effect": "Allow", "Action": [ "kinesis:PutRecord", "kinesis:PutRecords", ], "Resource": "arn:aws:kinesis:*:*:stream/AmazonWorkLink-*" }

7. [次のステップ: タグ]、[次のステップ: レビュー] の順に選択します。8. [ロール名] には、「AWSRoleForWorklink」と入力します。9. ロール情報を確認し、[ロールの作成] を選択します。

社内ネットワークを設定するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートを選択して、[詳細を表示] を選択します。3. [社内ネットワーク]、[ネットワークのリンク] の順に選択します。4. [VPC] で、フリートがアクセスする VPC を選択します。VPC は以下の基準を満たす必要がありま

す。

7

Amazon WorkLink 管理ガイド社内ネットワークの設定

• VPC は、Amazon WorkLink に関連付けるウェブサイトのオリジンサーバーへのパスを持つか、または付与されている必要があります。パスの例には次のようなものがあります。• VPC を、オリジンサーバーを含む AWS 内の別の VPC とピア接続します。詳細については、

「VPC ピア接続とは」を参照してください。• AWS Direct Connect または IPsec トンネルを使って、AWS 外のオリジンサーバーにアクセスし

ます。詳細については、「AWS Direct Connect 入門ガイド」を参照してください。• VPC はネットワークアーキテクチャーに大きく依存します。一般的なシナリオは以下のとおりで

す。• AWS で 1 つの VPC をすべてのユースケースで使用する場合、一般的な VPC を選択できます。• 1 つのユースケースに 1 つの VPC を使用する場合は、VPC を作成するか、または既存の未使用

の VPC を使用できます。これにより、VPC フローログを使用して、VPC 内のトラフィックを調査できます。詳細については、「VPC フローログ」を参照してください。

5. [サブネット] の下で、Amazon WorkLink が使用する VPC サブネットを選択して、VPC 設定をセットアップします。サブネットは以下の基準を満たす必要があります。

• 高可用性のために、異なるアベイラビリティーゾーンの少なくとも 2 つのサブネットを選択することをお勧めします。

• サブネットは、前のステップで選択した VPC からのみ選択できます。これらのサブネットは既に使用中である場合があります。可用性のリスクを防ぐため、サブネットが Amazon WorkLink のネットワークに割り当てられることを確認し、Amazon WorkLink が動的にスケールするために十分な IPアドレスがあることを確認します。

• サブネットには、フリートを利用するユーザー数をサポートするために十分な数の IP アドレスが必要となります。Amazon WorkLink は ENI を使用して複数のブラウジングセッションをサポートし、需要に合わせて動的にスケールアップまたはスケールダウンします。

• オリジンサーバーが AWS 内にある場合は、オリジンサーバーにアクセスするためのネットワーク接続のあるサブネットを特定します。接続をテストするには、特定のサブネットに Amazon ElasticCompute Cloud (Amazon EC2) インスタンスを作成して、オリジンサーバーへの接続をテストします。ネットワークトポロジーによっては、これらのサブネットを含む VPC と、接続を有効化するサービスを備えた VPC をピア接続する必要があることがあります。

• オリジンサーバーが AWS 外の場合は、AWS Direct Connect 統合を持つサブネットを特定し、Amazon WorkLink とのオンプレミス統合に使用します。接続をテストするには、特定のサブネットに Amazon EC2 インスタンスを作成して、AWS 外のオリジンサーバーへの接続をテストします。

Amazon WorkLink は、ENI をセットアップするために指定された VPC 情報を使用して、AmazonWorkLink が VPC リソースにアクセスできるようにします。各 ENI には、指定されたサブネットのIP アドレス範囲からプライベート IP アドレスが割り当てられますが、パブリック IP アドレスは割り当てられません。このため、NAT インスタンスを VPC 内で設定するか、または Amazon VPC NATゲートウェイを使用することができます。詳細については、Amazon VPC ユーザーガイドの「NATゲートウェイ」を参照してください。VPC にアタッチされたインターネットゲートウェイを使用することはできません。そのためには、ENI にパブリック IP アドレスが割り当てられている必要があるためです。

Important

それをパブリックサブネットまたはインターネットアクセスのないプライベートサブネットにアタッチしないでください。代わりに、NAT インスタンスまたは Amazon VPC NAT ゲートウェイを介して、インターネットにアクセスしているプライベートサブネットにのみアタッチしてください。

6. [セキュリティグループ] の下で、少なくとも 1 つの VPC セキュリティグループを選択します。Amazon WorkLink はこれを使って VPC 設定をセットアップします。

8

Amazon WorkLink 管理ガイドID プロバイダー (IdP) の設定

Note

セキュリティグループは、Amazon WorkLink に割り当てられたサブネット内のトラフィックを管理する方法です。Amazon WorkLink はセキュリティグループを社内サブネットに作成された ENI に適用します。すべての AWS アカウントにはデフォルトのセキュリティグループが含まれています。ほとんどのお客様は、組織のセキュリティポリシーを反映するために、独自のセキュリティグループを作成します。Amazon WorkLink からのトラフィックを変更するには、セキュリティグループのアウトバウンドルールを変更します。

7. (オプション) [ウェブサイト認証機関] の [ファイルの選択] で、認証機関 (CA) を含むファイルを選択します。これらの CA は、フリートと関連付ける社内ウェブサイト用の TLS 証明書を発行するために使用されます。

Note

社内ウェブサイトに信頼された自己署名証明書が必要な場合には、PEM ファイルとしてアップロードできます。

8. [社内ネットワークのリンク] を選択します。

ID プロバイダー (IdP) の設定既存の ID プロバイダー (IdP) をフリートにリンクする必要があります。既存の SAML 2.0 プロバイダーを使用して、社内のウェブサイトにアクセスするユーザーを追加します。

ID プロバイダー (IdP) を設定するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートを選択して、[詳細を表示] を選択します。3. [ID プロバイダー (IdP)]、[IdP のリンク] を選択します。4. [プロバイダーのタイプ] で [SAML] を選択します。5. [IdP メタデータドキュメント] で [ファイルの選択] を選択し、SAML 2.0 をサポートする IdP によって

生成された XML ドキュメントを選択します。6. [サービスプロバイダーメタデータドキュメント] を選択して、社内の IdP へのダウンロードとアップ

ロードを行います。7. [IdP のリンク] を選択します。

SAML 2.0 アプリのセットアップ次のいずれかのオプションを選択して、SAML 2.0 アプリをセットアップします。

一部の ID プロバイダーは、Amazon WorkLink コンソール、SDK、CLI からダウンロードした、サービスプロバイダーの SAML メタデータファイルを、システムに直接アップロードすることをサポートしていません。代わりに、entityID (対象者 URI) と AssertionConsumerService (ACS) URL を、サービスプロバイダーの SAML メタデータファイルから、ID プロバイダーポータルに手動でコピーする必要があります。

• Okta で SAML 2.0 アプリをセットアップするには、「Okta で SAML アプリケーションをセットアップする」を参照してください。Okta は、サービスプロバイダーのメタデータドキュメントの直接のアップロードをサポートしていません。エンティティ ID と ACS URL を手動でコピーする必要があります。

• AWS Single Sign-On で SAML 2.0 アプリをセットアップするには、「カスタム SAML 2.0 アプリケーション」を参照してください。AWS Single Sign-On で、サービスプロバイダーのメタデータドキュメントを直接アップロードできます。

9

Amazon WorkLink 管理ガイドデバイスポリシーの設定 (オプション)

• Ping Identity で SAML 2.0 アプリをセットアップするには、「SAML アプリケーションの追加または更新」を参照してください。Ping Identity で、サービスプロバイダーのメタデータドキュメントを直接アップロードできます。

• G Suite で SAML 2.0 アプリをセットアップするには、「独自のカスタム SAML アプリケーションのセットアップ」を参照してください。G Suite は、サービスプロバイダーのメタデータドキュメントの直接のアップロードをサポートしていません。エンティティ ID と ACS URL を手動でコピーする必要があります。

デバイスポリシーの設定 (オプション)ユーザーが社内コンテンツにアクセスする前に満たす必要がある、デバイスポリシーを設定できます。

Amazon WorkLink コンソールでデバイスポリシーを設定するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートを選択して、[詳細を表示] を選択します。3. [デバイスポリシー - オプション]、[デバイスポリシーの設定] の順に選択します。4. [デバイス認証機関] で、[ファイルの選択] を選択し、中間証明書とデバイス証明書の発行に使用され

るルート認証機関証明書を含む証明書チェーンを選択します。5. [デバイスポリシーの設定] を選択します。

iOS デバイスでデバイス証明書をデプロイするAmazon WorkLink で機能するデバイス証明書を iOS デバイスでデプロイするには、証明書が設定プロファイルの一部としてデプロイされている必要があります。設定プロファイル (.mobileconfig ファイル) を使用すると、設定情報を iOS デバイスに配布できます。Amazon WorkLink の設定プロファイルには、デバイス証明書と Amazon WorkLink に必要な VPN 設定が含まれています。デバイス証明書を取得したら、それを使用してプロファイルを作成し、次のいずれかのオプションを使用してそれをデプロイできます。

オプション 1: Apple Configurator 2 アプリでプロファイルを作成してデプロイする

1. App Store から「Apple Configurator 2」を macOS デバイスにインストールして、それを開きます。2. [ファイル]、[新しいプロファイル] の順に選択します。3. [全般] を選択して、プロファイルの名前を入力します。(オプションとして、組織で必要なその他の設

定を追加します。)4. [証明書]、[設定] の順に選択し、Amazon WorkLink で使用する証明書を表す .p12 ファイルを選択しま

す。証明書の設定とエクスポートに使用したパスワードを入力します。5. [VPN] セクションで [設定] を選択して、次の設定を入力します。

• 接続名 – Amazon WorkLink• 接続タイプ – カスタム SSL• 識別子 – com.amazon.worklink• サーバー – 54.190.62.41• ProviderBundleIdentifier – com.amazon.worklink.tunnel• ユーザー認証 – 証明書• ID 証明書 – 前のステップで設定したデバイス証明書

6. [ファイル]、[保存] の順に選択します。7. プロファイルをデプロイするには、Amazon Simple Storage Service (Amazon S3) バケットで利用で

きるようにし、プロファイルをユーザーに E メールで送信して、ユーザーのデバイスでインストールするように依頼します。または、以下のステップを使用できます。

10

Amazon WorkLink 管理ガイド監査ログストリームの設定 (オプション)

1. プロファイルを含む MacOS デバイスに iPhone を接続します。2. [Apple Configurator 2] アプリを開き、iPhone を選択します。3. [追加]、[プロファイル] の順に選択し、前のステップで作成したプロファイルを選択して、[追加] を

選択します。4. iPhone に表示されるステップに従って、プロファイルをインストールします。

オプション 2: Apple Over-the-Air (OTA) でプロファイルを作成してデプロイする

• これを行う方法については、「OTA でのプロファイルの配信と設定」を参照してください。

オプション 3: VMWare AirWatch でプロファイルを作成してデプロイする

1. VMWare AirWatch モバイルデバイス管理ポータルに移動します。2. [デバイス]、[プロファイル]、[リソース]、[プロファイル]、[追加]、[Apple iOS] の順に選択します。3. [全般] でプロファイルの全般設定を設定します。これらの設定によって、プロファイルのデプロイ方

法と受信者が決まります。これらの設定の詳細については、「VMware AirWatch iOS プラットフォームガイド」を参照してください。

4. 使用する [認証情報] と [認証情報ソース] を選択します。選択した認証情報ソースに従って、残りのフィールドに入力します。

5. [VPN] を選択して、次の [接続情報] の設定を入力します。

• 接続名 – Amazon WorkLink• 接続タイプ – カスタム• 識別子 – com.amazon.worklink• サーバー – 54.190.62.41• カスタムデータ

• キー – ProviderBundleIdentifier• 値 – com.amazon.worklink.tunnel

• ユーザー認証 – 証明書• ID 証明書 – 設定したデバイス証明書

オプション 4: Microsoft Intune でプロファイルを作成してデプロイする

• これを行う方法については、「Intune で VPN プロファイルを作成する」および「Intune でカスタム設定のプロファイルを作成する」を参照してください。

監査ログストリームの設定 (オプション)Amazon WorkLink はアクティビティログを作成し、それを使って以下の情報を追跡できます。

• Amazon WorkLink を介してコンテンツにアクセスしたユーザーの総数• アクセスされたコンテンツ• ユーザーがコンテンツにアクセスした日時• ユーザーがコンテンツへのアクセスに使ったデバイス

これらのログは、ご使用のアカウントの Kinesis データストリームに配信され、その情報を必要なデータストアやツールに送信することができます。たとえば、これらのログを Amazon S3 にストリーミングし

11

Amazon WorkLink 管理ガイドドメインの関連付け

て、Splunk などのツールを使用して情報を分析できます。または、Amazon Kinesis Data Firehose を使ってこのデータを Amazon Redshift に送信し、Amazon QuickSight を使ってレポートとダッシュボードを生成することもできます。

詳細については、「Amazon Kinesis」を参照してください。

監査ログ配信を設定するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートを選択して、[詳細を表示] を選択します。3. [監査ログ - オプション]、[監査ログの設定] を選択します。4. 監査ログを受信するために「AmazonWorkLink-」という名前のプレフィックスを使用して Kinesis

データストリームを作成していない場合は、[Kinesis ストリームの作成] を選択して、Kinesis ストリームを作成します。必要なプレフィックスを使用して Kinesis データストリームを作成したら、戻ってそのストリームを選択します。

5. [監査ログのリンク] を選択します。

ドメインの関連付け会社のドメインを関連付けして、ユーザーがデバイスから安全にアクセスできるようにします。

ドメインを関連付けするには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートを選択して、[詳細を表示] を選択します。3. [ドメイン]、[ドメインの関連付け] の順に選択し、再度 [ドメインの関連付け] を選択します。4. [ドメイン] の下で、TLS 証明書を使って保護を行うサイトのウェブアドレスを入力します。5. [表示名] の下で、ご使用の AWS アカウントに固有で容易に検索できる、わかりやすい名前を入力し

て、[次へ] を選択します。6. [検証タイプ] で次のいずれかのオプションを選択して、グループドメインを所有または管理している

ことを検証します。

• [DNS 検証] – ドメインの DNS 設定を変更するアクセス許可を持っているか、または入手することができる場合。

Note

CNAME 検証レコードを DNS に追加したら、AWS Certificate Manager (ACM) が所有権を検証するまで待機します (これに必要な時間は不確定です)。ACM は所有権の検証に 72 時間の SLA を定めています。

• [E メール検証] – ドメインの DNS 設定を変更するアクセス許可を持っていないか、または入手することができない場合。E メール検証は、MX ルックアップを実行し、承認の E メールをドメインの所有者に送信することによって行われます。

7. [Submit] を選択します。8. [検証] ページで [次のステップ] を表示して、ドメインをアクティブ化するための証明書を受け取るた

めに完了する必要がある別の確認ステップがあるかどうかを確認します。

Note

ここでは、[続行] を選択してこのステップをスキップできます。このステップに戻るには、各グループドメインの [詳細] ページを開きます。

12

Amazon WorkLink 管理ガイドユーザーの招待

ユーザーの招待前のステップをすべて完了したら、E メールの招待テンプレートをコピーしてユーザーに送信できます。この E メールは、Amazon WorkLink を使用するようにユーザーを招待し、Amazon WorkLink アプリでのログイン中に必要な会社コードをユーザーに提供します。

続行する前に、以下の前提条件を満たしていることを確認します。

• the section called “ID プロバイダー (IdP) の設定” (p. 9) のステップで Amazon WorkLink サービスプロバイダーにユーザーアクセス権限を付与しました。

• ユーザーは、サポートされている次のウェブブラウザを使用しています。• Safari

• ユーザーは、サポートされている次のオペレーティングシステムのスマートフォンを使用しています。• iOS 11 以降

ユーザーを Amazon WorkLink に招待するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートを選択して、[詳細を表示] を選択します。3. [ユーザーの招待]、[詳細を表示] の順に選択します。4. テンプレートをコピーアンドペーストするか、またはダウンロードすることができます。5. E メールを確認し、必要な編集を行って、ユーザーに送信します。

13

Amazon WorkLink 管理ガイドフリートの詳細の表示

フリートの管理the section called “フリートを作成する” (p. 6) でフリートをセットアップしたら、いつでも詳細の表示、編集、削除を行うことができます。

トピック• フリートの詳細の表示 (p. 14)• フリートの編集 (p. 14)• フリートを削除する (p. 15)

フリートの詳細の表示IdP、ネットワーク、ドメインの詳細など、フリートに関する詳細情報を表示できます。

フリートの詳細を表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. フリートに関する詳細情報を表示するには、次のいずれかのカテゴリのボタンを選択します。

• ID プロバイダー (IdP)• 社内ネットワーク• デバイスポリシー - オプション• ドメイン• 監査ログ - オプション• ユーザーの招待

フリートの編集フリートをセットアップしたら、引き続きそのフリートの設定を更新できます。

フリートを編集するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. 次のいずれかのカテゴリのボタンを選択して、カテゴリを編集します。

• ID プロバイダー (IdP)• 社内ネットワーク• デバイスポリシー - オプション• ドメイン• 監査ログ - オプション• ユーザーの招待

4. 編集を行ったら、変更を保存して、フリートを更新します。

14

Amazon WorkLink 管理ガイドフリートを削除する

フリートを削除するフリートが必要なくなった場合には、フリートを削除します。これにより、フリートに関連付けられたウェブサイトのいずれにも、ユーザーは完全にアクセスできなくなります。

フリートを削除するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[削除] を選択します。

15

Amazon WorkLink 管理ガイド社内ネットワークの詳細の表示

社内ネットワークの管理the section called “社内ネットワークの設定” (p. 6) で社内ネットワークをセットアップしたら、ネットワークに関する詳細の表示と編集を行うことができます。

トピック• 社内ネットワークの詳細の表示 (p. 16)• 社内ネットワークの編集 (p. 16)

社内ネットワークの詳細の表示VPC、サブネット、セキュリティグループに関する詳細など、ネットワークに関する詳細情報を表示できます。

社内ネットワークの詳細を表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [社内ネットワーク] の下でボタンを選択して、次の関連情報を表示します。

• VPC• Subnets• セキュリティグループ• ウェブサイト認証機関

社内ネットワークの編集社内ネットワークに関する情報をいつでも編集できます。

社内ネットワークを編集するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [社内ネットワーク] の下でボタンを選択して、次の情報のいずれかを編集します。

• VPC• Subnets• セキュリティグループ• ウェブサイト認証機関

4. 変更を保存します。

16

Amazon WorkLink 管理ガイドIdP の詳細の表示

ID プロバイダー (IdP) の管理the section called “ID プロバイダー (IdP) の設定” (p. 9) で IdP をセットアップしたら、その詳細の表示と編集を行うことができます。

トピック• IdP の詳細の表示 (p. 17)• IdP の編集 (p. 17)

IdP の詳細の表示プロバイダーのタイプに関する詳細など、IdP に関する詳細情報を表示できます。

IdP の詳細を表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [ID プロバイダー (IdP)] の下でボタンを選択して、次の関連情報を表示します。

• プロバイダーのタイプ• IdP メタデータドキュメント• サービスプロバイダーメタデータドキュメント

IdP の編集IdP に関する情報をいつでも編集できます。

IdP を編集するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [ID プロバイダー (IdP)] の下でボタンを選択して、次のいずれかの情報を編集します。

• プロバイダーのタイプ• IdP メタデータドキュメント• サービスプロバイダーメタデータドキュメント

4. 変更を保存します。

17

Amazon WorkLink 管理ガイドデバイスポリシーの表示

デバイスポリシーの管理the section called “デバイスポリシーの設定 (オプション)” (p. 10) でデバイスポリシーをセットアップしたら、その詳細の表示と編集を行うことができます。

トピック• デバイスポリシーの表示 (p. 18)• デバイスポリシーの編集 (p. 18)• iOS デバイスからデバイス証明書を削除する (p. 18)

デバイスポリシーの表示デバイスポリシーにアップロードした証明書チェーンを表示できます。

デバイスポリシーを表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [デバイスポリシー - オプション] の下で、ボタンを選択して、アップロードした証明書チェーンを表

示します。

デバイスポリシーの編集デバイスポリシーに関する情報をいつでも編集できます。

デバイスポリシーを編集するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [デバイスポリシー - オプション] の下で、ボタンを選択して、新しい [デバイス証明書認証機関] を

アップロードします。4. [デバイスポリシーの設定] を選択して、変更を保存します。

iOS デバイスからデバイス証明書を削除するthe section called “iOS デバイスでデバイス証明書をデプロイする” (p. 10) の手順に従うと、必要に応じてデバイス証明書を削除できます。

iOS デバイスからデバイス証明書を削除するには

• 次のいずれかのオプションを選択します。

• VMWare AirWatch を使ってプロファイルを作成した場合には、「AirWatch で証明書を使ってモバイルデバイスを保護する」の「デジタル証明書の取り消し」を参照します。

18

Amazon WorkLink 管理ガイドiOS デバイスからデバイス証明書を削除する

• Microsoft Intune を使ってプロファイルを作成した場合には、「Microsoft Intune で SCEP 証明書とPKCS 証明書を削除する」の「PKCS 証明書」を参照します。

19

Amazon WorkLink 管理ガイド追加のドメインの関連付け

ドメインの管理最初に the section called “ドメインの関連付け” (p. 12) でドメインをセットアップした後に、さらにドメインを関連付けることができます。ユーザーがドメインにアクセスできないようにするために、関連付けを取り消したり、関連付け解除したりすることもできます。

トピック• 追加のドメインの関連付け (p. 20)• ドメイン詳細の表示 (p. 20)• ドメインの編集 (p. 21)• ドメインの取り消し (p. 21)• ドメインの復元 (p. 21)• ドメインの関連付け解除 (p. 21)

追加のドメインの関連付け引き続き、いつでもフリートに追加のドメインを関連付けることができます。

追加のドメインを関連付けるには

• ドメインの関連付けの詳細については、「the section called “ドメインの関連付け” (p. 12)」を参照してください。

ドメイン詳細の表示[ドメイン] ページでは、ユーザーがセキュアなデバイスでアクセスできる、企業のすべての承認済みのドメインをリスト表示します。ページを更新すると、リストが更新され、新たに承認されたドメインが表示されます。

ドメインの詳細を表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [ドメイン] の下でボタンを選択して、次の関連情報を表示します。

• 表示名• 分野• 作成日• ステータス

4. 特定のドメインに関する次の情報を表示するには、ドメインの横にあるチェックボックスをオンにし、[アクション]、[詳細を表示] を選択します。

• 表示名• 追加された日付• ステータス

20

Amazon WorkLink 管理ガイドドメインの編集

• 検証レコードタイプ• 検証レコード名• 検証レコード値

ドメインの編集ドメインの詳細をいつでも編集できます。

ドメインを編集するには

1. the section called “ドメイン詳細の表示” (p. 20) の手順に従って、変更する詳細を確認します。2. 必要な変更を行い、ドメインを更新して、保存します。

ドメインの取り消し特定のドメインへのアクセスを一時的にブロックして、後でアクセスを復元することができます。ドメインの取り消しを行っても、ドメインの Amazon WorkLink からの関連付け解除は行われません。取り消し後に復元を行う場合には、ドメインの検証や、再度の証明書の取得は必要ありません。

ドメインを取り消すには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [ドメイン] の下で、ボタンを選択してドメインを表示します。4. 取り消しを行うドメインの横にあるチェックボックスをオンにし、[アクション]、[取り消し] を選択し

ます。

ドメインの復元ドメインを取り消した後に、そのドメインへのアクセスを復元して、ドメインへのアクセスを元に戻すことができます。

ドメインを復元するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [ドメイン] の下で、ボタンを選択してドメインを表示します。4. 復元を行うドメインの横にあるチェックボックスをオンにし、[アクション]、[復元] を選択します。

ドメインの関連付け解除ドメインを関連付けされたドメインのリストから、完全に関連付け解除することができます。関連付けを解除すると、ユーザーはそのドメインにアクセスできなくなります。ドメインへのアクセスを一時的に取り消す場合には、「the section called “ドメインの取り消し” (p. 21)」を参照してください。

21

Amazon WorkLink 管理ガイドドメインの関連付け解除

ドメインの関連付けを解除するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. [ドメイン] の下で、ボタンを選択してドメインを表示します。4. 関連付け解除を行うドメインの横にあるチェックボックスをオンにし、[アクション]、[関連付け解除]

を選択します。

22

Amazon WorkLink 管理ガイドユーザー詳細の表示

ユーザーの管理the section called “ユーザーの招待” (p. 13) で Amazon WorkLink を使用するようにユーザーを招待した後で、ユーザーについての詳細を表示できます。セキュリティ上の理由から、ユーザーをサインアウトすることもできます。

トピック• ユーザー詳細の表示 (p. 23)• ユーザーをサインアウトする (p. 23)

ユーザー詳細の表示ユーザー名やデバイス数など、ユーザーに関する詳細を表示できます。

ユーザーの詳細を表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. 左のナビゲーションで、[ユーザー] を選択します。4. 各ユーザーの [ユーザー名] と [デバイスの数] を表示します。

ユーザーをサインアウトするユーザーのデバイスが紛失または盗難にあった場合は、セキュリティ上の理由から、ユーザーをそのデバイスからサインアウトさせることができます。反映されるまでに 1 時間ほどかかる場合があります。

ユーザーをサインアウトするには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. 左のナビゲーションで、[ユーザー] を選択します。4. サインアウトするユーザーの横にあるチェックボックスをオンにし、[ユーザーをサインアウトする]

を選択します。

23

Amazon WorkLink 管理ガイドデバイスの詳細を表示

デバイスの管理the section called “ユーザーの招待” (p. 13) で Amazon WorkLink を使用するようにユーザーを招待した後で、そのデバイスについての詳細を表示できます。

トピック• デバイスの詳細を表示 (p. 24)

デバイスの詳細を表示デバイス ID、ステータス、製造元など、ユーザーデバイスの詳細を表示できます。

デバイスの詳細を表示するには

1. Open the Amazon WorkLink console at https://console.aws.amazon.com/worklink/.2. [フリート] ページで、フリートの横にあるチェックボックスをオンにし、[詳細を表示] を選択しま

す。3. 左のナビゲーションで、[デバイス] を選択します。4. 次の情報が表示されます。

• デバイス ID• ステータス• Manufacturer• モデル• ユーザー• 登録された日付

5. 特定のデバイスに関する次の情報を表示するには、デバイスの横にあるチェックボックスをオンにし、[アクション]、[詳細を表示] を選択します。

• デバイスモデル• デバイスの製造元• パッチレベル• ステータス• 最終の同期• 登録された日付

24

Amazon WorkLink 管理ガイドCloudTrail 内の Amazon WorkLink 情報

AWS CloudTrail を使用した AmazonWorkLink API コールのログ記録

Amazon WorkLink は、Amazon WorkLink のユーザーやロール、または AWS のサービスによって実行されたアクションを記録するサービスである AWS CloudTrail と統合されています。CloudTrail は、AmazonWorkLink のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、Amazon WorkLink コンソールの呼び出しと、Amazon WorkLink API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Amazon WorkLinkのイベントなど、Amazon S3 バケットへのCloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrailコンソールの [Event history (イベント履歴)] で最新のイベントを表示できます。CloudTrail によって収集された情報を使用して、リクエストの作成元の IP アドレス、リクエストの実行者、リクエストの実行日時などの詳細を調べて、Amazon WorkLink に対してどのようなリクエストが行われたかを判断できます。

CloudTrail の詳細については、AWS CloudTrail User Guide を参照してください。

CloudTrail 内の Amazon WorkLink 情報CloudTrail は、アカウント作成時に AWS アカウントで有効になります。Amazon WorkLink でアクティビティが発生すると、そのアクティビティは [Event history] の AWS の他のサービスのイベントとともにCloudTrail イベントに記録されます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Amazon WorkLink のイベントなど、AWS アカウントのイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで作成した証跡がすべての AWS リージョンに適用されます。証跡では、AWS パーティションのすべてのリージョンからのイベントがログに記録され、指定した Amazon S3 バケットにログファイルが配信されます。さらに、より詳細な分析と AWS ログで収集されたデータに基づいた行動のためにその他の CloudTrail サービスを設定できます。詳細については、次のいずれかのトピックを参照してください。

• 証跡を作成するための概要• CloudTrail でサポートされるサービスと統合• CloudTrail の Amazon SNS 通知の設定• 「複数のリージョンから CloudTrail ログファイルを受け取る」と「複数のアカウントから CloudTrail ロ

グファイルを受け取る」

すべての Amazon WorkLink アクションは CloudTrail によってログに記録され、Amazon WorkLink API リファレンスにドキュメント化されます。たとえば、CreateFleet、DescribeDevice、ListFleets のアクションにより、CloudTrail のログファイルにエントリが生成されます。

各イベントまたはログエントリには、リクエストの生成者に関する情報が含まれます。この ID 情報は、リクエストがどのようにして送信されたかを確認するのに役立ちます:

• ルートまたは AWS Identity and Access Management (IAM) ユーザーの認証情報を使用して行われたか。• ロールまたはフェデレーティッドユーザーの一時的なセキュリティ認証情報を使用して行われたか。• 別の AWS サービスによって行われたか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

25

Amazon WorkLink 管理ガイドAmazon WorkLink ログファイルエントリの概要

Amazon WorkLink ログファイルエントリの概要証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できる設定です。CloudTrailログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストのパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、ListFleets アクションの CloudTrail ログエントリを示しています。

{ "eventVersion": "1.05", "userIdentity": { "type": "User", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:iam::123456789012:user", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "user_name" }, "eventTime": "2019-01-02T21:45:23Z", "eventSource": "worklink.amazonaws.com", "eventName": "ListFleets", "awsRegion": "us-east-2", "sourceIPAddress": "192.0.2.0/24", "userAgent": "example-user-agent-string", "requestParameters": { "CompanyId": "company_id" }, "responseElements": null, "requestID": "6d9c4bfc-148a-11e5-81b6-7577cEXAMPLE", "eventID": "4d293154-a15b-4c33-9e0a-ff5eeEXAMPLE", "readOnly": true, "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}

26

Amazon WorkLink 管理ガイド

Amazon WorkLink 管理ガイドのドキュメント履歴

以下の表は、Amazon WorkLink 管理ガイドの 2019 年 1 月以降の重要な変更点をまとめたものです。このドキュメントの更新に関する通知については、RSS フィードにサブスクライブできます。

update-history-change update-history-description update-history-date

初回リリース (p. 27) Amazon WorkLink の初回リリース

January 23, 2019

27

Amazon WorkLink 管理ガイド

AWS の用語集最新の AWS の用語については、『AWS General Reference』の「AWS の用語集」を参照してください。

28