© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.1

アマゾン ウェブ サービス ジャパン株式会社ソリューションアーキテクト 兼松 ⼤貴2018.2.7

【AWS Black Belt Online Seminar】Amazon WorkSpaces

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.2

兼松 ⼤貴（かねまつ だいき）

技術統括本部 ストラテジックソリューション部ソリューションアーキテクト

⾃動⾞業界のお客様を担当

好きなAWSのサービス：Amazon WorkSpaces, AWS IoT

⾃⼰紹介

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.3

AWS Black Belt Online Seminar へようこそ！質問を投げることができます！

Adobe ConnectのQ&Aウィンドウから、質問を書き込んでください。（書き込んだ質問は、主催者にしか⾒えません）今後のロードマップに関するご質問はお答えできませんのでご了承ください。Twitterへツイートする際はハッシュタグ #awsblackbelt をご利⽤ください。

①Q&Aウィンドウ右下のフォームに質問を書き込んで

ください

②吹き出しマークで送信してください

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.4

AWS Black Belt Online Seminar とはAWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです

【⽕曜 12:00~13:00】主にAWSのソリューションや業界カットでの使いどころなどを紹介(例：IoT、⾦融業界向け etc.)

【⽔曜 18:00~19:00】主にAWSサービスの紹介やアップデートの解説(例：EC2、RDS、Lambda etc.)

※開催曜⽇と時間帯は変更となる場合がございます。最新の情報は下記をご確認下さい。

オンラインセミナーのスケジュール&申し込みサイト• https://aws.amazon.com/jp/about-aws/events/webinars/

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.5

内容についての注意点

• 本資料では2018年2⽉7⽇時点のサービス内容および価格についてご説明しています。最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。

• 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。

• 価格は税抜表記となっています。⽇本居住者のお客様が東京リージョンを使⽤する場合、別途消費税をご請求させていただきます。

• AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.6

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.7

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.8

デスクトップ仮想化（VDI）が注⽬される背景

働き⽅改⾰

セキュリティ向上

コスト削減

• ダイバーシティ実現• ⽣産性の向上• 組織間連携の強化• 意思決定の迅速化

• PC購⼊コスト• PC運⽤コスト• 従業員の⽣産性• 災害リスク

• 持ち出しPCの紛失• 重要データのローカル保存• ローカル管理者権限の付与• ⼤量の管理外アプリ

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.9

ただし、これまでのオンプレVDIには課題も

ü ⾼額な初期投資が必要

ü 利⽤までに⻑い時間がかかる

ü 定期的な⼤規模システム更改

ü 利⽤者増減への対応が困難

ü サイジングが重要だが困難

コスト ⻑期にわたる導⼊

スケールの難しさハードウエアやソフトウエアの更新

性能の予測が困難

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.10

Amazon WorkSpaces による解決

初期投資不要（無料枠あり）今⽇から・⼀台から始められる

事前サイジングの必要がない、増減も容易

グローバル展開の敷居が低い

シンプルなデプロイと管理完全マネージドサービス

様々なAWSサービスと連携が可能

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.11

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.12

Amazon WorkSpaces とは• AWSの提供するフルマネージド型仮想デスクトップサービス• クラウド上に業務環境を提供、「いつでも・どこでも」を実現• 従量課⾦型。⽉額34ドル/ユーザーから（＊）

＊東京リージョン、Valueバンドル、⽉額課⾦の場合

画⾯転送（PCoIP プロトコル）

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.13

セキュリティの向上

Amazon WorkSpacesはデータとストリームを暗号化し、デバイスに情報を残しません

デバイスに機密データを

残さない

データは暗号化して

保存

転送中のストリームデータを

暗号化

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.14

既存のツールとの統合

MicrosoftActive Directory

多要素認証(RADIUS) SCCMイントラネット

Amazon WorkSpacesはオンプレミスのツールとネットワークと容易に統合できます

認証局

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.15

サーバーの管理不要

オンデマンドにスケール

Amazon WorkSpacesは管理の負担を削減し、迅速にスケールします

グローバルに利⽤可能

クラウドの経済性

使った分だけの課⾦

PCの再利⽤

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.16

今まででは考えられないスピード感とコスト感

Webでクリック

• H/Wの受け⼊れ費⽤• H/Wアプライアンス構築費⽤

￥百万円〜数億

オンプレミスVDI Amazon WorkSpaces業者へコンタクト

⾒積り・発注

納品・設置

受け⼊れ準備

構築・設定

稼働開始

稼働数カ⽉

〜数年

30分程度

• それら構築費は不要￥0円

ISV選定⽅式選定H/W選定

サイジングPoC

負荷テスト…

保守体制決定保守部材配置

DRテスト…

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.17

Amazon WorkSpacesのバンドルと価格

アジアパシフィック (東京)の2018/2時点の価格 – BYOLで$4削減

無料利⽤枠 バリュー スタンダード パフォーマンス パワー グラフィックス

2 vCPU4 GiB メモリ80 GB ルートボリューム50 GB ユーザーストレージ

1 vCPU2 GiB メモリ80 GB ルートボリューム10 GB ユーザーストレージ

2 vCPU4 GiB メモリ80 GB ルートボリューム50 GB ユーザーストレージ

2 vCPU7.5 GiB メモリ80 GB ルートボリューム100 GB ユーザーストレージ

4 vCPU16 GiB メモリ175 GB ルートボリューム100 GB ユーザーストレージ

8 vCPU15 GiB メモリ100 GB ルートボリューム100 GB ユーザーストレージ

1 vGPU4 GiB ビデオメモリ

無料 ⽉額料⾦ ⽉額料⾦ ⽉額料⾦ ⽉額料⾦ ⽉額料⾦

時間料⾦ 時間料⾦ 時間料⾦ 時間料⾦ 時間料⾦

$34/⽉ $47/⽉ $78/⽉ $118/⽉ --

$10.00/⽉ +$0.30/時

$14.00/⽉ +$0.40/時

$19.00/⽉ +$0.74/時

$26.00/⽉ +$0.89/時

$30.00/⽉ +$2.41/時

最⼤2 WorkSpaces

40 時間/⽉ 合計利⽤時間

2ヶ⽉間

PlusアプリケーションバンドルでTrend MicroおよびMicrosoft Office Professionalを追加 - $15/⽉

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.18

Windows 7/10 BYOL WorkSpaces

Windows 7/10のライセンスが利⽤可能• ライセンスコストの削減• 共有のユーザエクスペエンス• カスタムイメージの管理を改善• MS OfficeのBYOLも可能

価格と要件• すべてのリージョンで、バンドル価格を

$4/⽉ 削減• 200台の利⽤から

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.19

• GPU(NVIDIA GRID K520)を搭載したWorkSpacesによりグラフィック処理が⾼速化• GPUを搭載することで、3D CAD等の

利⽤において、画⾯が滑らかに動き、細かな場所まで正確に描画されるなど、グラフィック処理が改善

• 仮想デスクトップ環境でもGPUによる恩恵を受けることができる

• ユースケース• CAD/CAM/CAE Workloads• 3D エンジニアリング• ビジュアルデザイン• アニメーション

Graphics Bundle

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.20

柔軟な課⾦オプション

HourlyMonthly

主な⽤途§ フルタイムの従業員§ AWS料⾦のシンプルさ§ いつでもアクセス§ ⽇常業務

主な⽤途§ パートタイムの従業員§ AWS料⾦の最適化§ クイックにアクセス§ ⼀時的なタスクの実⾏

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.21

グローバルなカバレッジ

オレゴン

北バージニア

アイルランド

東京

シンガポール

シドニー

フランクフルトロンドン

サンパウロ

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.22

Amazon.com での導⼊事例

グローバル展開• 全世界数⼗万台の端末

ユーザーは最も近いリージョンのデスクトップを利⽤• 接続先が近いため遅延の影響が少ない（画⾯転送が⾼速）• デスクトップとオフィスネットワーク間の遅延も⼩さい

（アプリ挙動やファイルサーバー利⽤が⾼速）

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.23

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.24

WorkSpaces デプロイ⼿順

1. 事前準備• ディレクトリの作成

2. WorkSpacesの作成• WorkSpacesの作成開始• ディレクトリの選択• ユーザーの追加• バンドルの選択• WorkSpacesの設定• レビューと起動• メールの受信とユーザー登録

3. WorkSpacesクライアントクライアントのダウンロードクライアントの設定ネットワーク接続性の確認WorkSpacesへの接続

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.25

事前準備：ディレクトリの作成ユーザー認証のためのディレクトリを事前に作成AWS上に新規作成する場合

• Microsoft AD• Simple AD

オンプレミスのADと連携する場合

• AD Connector

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.26

WorkSpacesの作成：ディレクトリの選択ユーザーを認証するディレクトリサービスを選択

認証するディレクトリの指定

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.27

WorkSpacesの作成：ユーザーの追加ü ディレクトリへのユーザー作成ü ディレクトリのユーザー検索ü WorkSpacesを作成する

ユーザーの選択

ユーザーの作成

ユーザーの検索

ユーザーの選択

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.28

WorkSpacesの作成：バンドルの選択ü 作成するバンドルを選択

• CPU、メモリ、ディスク• Officeライセンス有無• OSの⾔語

ü バンドルサイズとストレージサイズを選択

バンドルの選択

OSの⾔語選択

バンドルの割り当て

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.29

WorkSpacesの作成：WorkSpacesの設定ü 実⾏モードの選択

• AlwaysOn• AutoStop

ü 暗号化の選択• ボリュームの暗号化• 暗号化キー

ü タグの管理

タグの設定

暗号化の選択

実⾏モードの選択

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.30

WorkSpacesの作成：レビューと起動設定内容を確認し、問題なければデプロイを開始

設定を確認してデプロイ

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.31

WorkSpacesの作成：WorkSpacesのステータス確認ステータスが「Pending」から「Running」に変わったら完了

ステータスがRunningに更新

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.32

WorkSpacesの作成：メールの受信とユーザーの登録メールを受信したらリンク先をブラウザで開いてパスワードを設定

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.33

WorkSpacesクライアント：クライアントのダウンロード

ü Amazon WorkSpaces Client Download• https://clients.amazonworkspaces.com/

ü サポートされるプラットフォーム• Windows 7/8/10• Mac OS X (10.8.1)以降• iPad (iOS 8.0 or 9.0以降 *iPadの種類による)• 2012年以降にリリースされたKindle Fire、且つ

Fire OS 4.0以降/Android 4.4以降のタブレット• Chrome OSバージョン45以降のChromebook• PCoIPゼロクライアント

ü ネットワーク要件• TCP/UDP 4172• TCP 443 (HTTPS)• RTT 100ms以下を推奨

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.34

WorkSpacesクライアント：ネットワーク接続性の確認WorkSpacesクライアントにネットワークヘルスチェックの機能を追加

• ネットワーク接続• インターネット接続• WorkSpacesと関連する登録サービスへの

アクセス• TCP/UDP 4172• 往復時間

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.35

WorkSpacesクライアントクライアントの設定ü 登録コード

• ディレクトリごとに固有のID• 登録コードを再⼊⼒することに

より異なるディレクトリに接続が可能

ü ⾔語設定

ü プロキシを設定可能• 社内ネットワークからのプロキ

シ接続に対応

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.36

WorkSpacesクライアント：Workspaceへの接続

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.37

Windows/Mac/Linuxを実⾏するChromeまたはFirefoxのWebブラウザからWorkSpacesにアクセスが可能に

インターネットにアクセス可能なネットワークに接続されたコンピュータからアクセス可能

English (US)のValue/Standard/PerformanceおよびPlusバンドルに対応

Web Access for Amazon WorkSpaces

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.38

オーディオ⼊⼒と⾼DPIデバイス

オーディオ⼊⼒• Lync、Skype、WebExなどの⼀般的なコミュニケーションツー

ルを使⽤してコールが可能• WindowsとMac⽤のWorkSpacesクライアントをサポート

⾼DPIデバイスのサポート• Surface Pro 4やLenovo Yogaのようなデバイスに対応• ⾼DPI（Full HD/Ultra HD/QHD+）ディスプレイにあわせて⾃

動的にスケールhttp://aws.typepad.com/aws_japan/2016/01/amazon-workspaces-update-support-for-audio-in-high-dpi-devices-and-saved-registrations.html

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.39

ユーザーデータのバックアップ

• ユーザーボリューム（D:）は12時間おきにバックアップされる

• WorkSpaceに障害が発⽣した場合、バックアップからボリュームを復旧

• Amazon WorkDocs Syncが有効になっている場合、同期を選択したフォルダは継続的にバックアップされる

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.40

WorkSpaces カスタムバンドルWorkSpaceを起動しカスタマイズした後で､WorkSpaceからイメージを作成し、イメージからカスタムバンドルを作成することが可能

標準バンドル

カスタマイズ• OS設定カスタマイズ• 標準アプリインストール• 最新パッチ適⽤

AppAppApp

イメージ カスタムバンドル

Workspace(マスタ)

Workspace(ユーザ個別環境)

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.41

WorkSpaces カスタムバンドル作成の要件（抜粋）

• イメージに含めるすべてのアプリケーションは、Cドライブ、または D:\Users\username のユーザープロファイルにインストールする必要あり

• インストールするアプリケーションがSysprepと互換性がある• WorkSpaceのユーザープロファイルを削除しない• ユーザープロファイルの合計サイズが10GB未満• ドメインユーザー認証を利⽤するサービスが存在しない

（SQL Server Expressなど）

http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/bundles.html

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.42

グループポリシーによる制御

• グループポリシー管理テンプレートをインストールすることによりポリシー設定を変更可能• C:\Program Files (x86)\Teradici\PCoIP

Agent\configuration\pcoip.adm

• 以下のような項⽬がグループポリシーから制御可能• ローカルプリンターのサポート• クリップボードのリダイレクト• セッションレジュームのタイムアウト• PCoIPストリーミングの暗号強度

http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/group_policy.htmlSecure

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.43

ローカルプリンターへの印刷

• WorkSpacesからWindowsまたはMacに接続されているローカルおよびネットワークプリンターに印刷することが可能• ローカルプリンターは⾃動的に認識される(Local – <workspace

username>.<directory name>.<client computer name>)• Windows Server 2008 R2、もしくはWindows Server 2016⽤の

ドライバをインストールする必要がある

• その他の印刷⽅法• Active Directoryに登録されたネットワークプリンタ• Google Cloud Printなどのクラウドプリントhttp://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/printing.html

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.44

MFAの設定

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.45

Amazon WorkDocs が無償利⽤可能

50GBの個⼈⽤ディスク領域Amazon WorkSpaces には Amazon WorkDocs が付帯フルマネージドな、セキュア エンタプライズストレージとコラボレーション サービス強固な管理者制御と監査機能ファイル添付のメールを送ることなく、ドキュメントの共有、コメントの送付が可能バージョニング機能Microsoft Office や PDF に対応50 GB までの利⽤を付帯、容量の追加も可能

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.46

CloudWatchメトリックス

以下のようなメトリックスを取得可能• Available• Unhealthy• ConnectionAttempt• ConnectionSuccess• ConnectionFailure• SessionLaunchTime• InSessionLatency• SessionDisconnect• UserConnected• Stopped• Maintenance

CloudWatchコンソールまたはCLI、APIを使⽤してモニタリングおよびアラートの設定が可能

http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/monitoring.html

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.47

Amazon WorkSpaces API

AWS SDKやCLI、PowerShellからWorkSpacesの作成・表⽰やメンテナンスが実⾏可能

• オペレーションの⾃動化• ディザスタリカバリイメージの展開

AWS CloudTrailによるロギングをサポート

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.48

Amazon WorkSpacesの展開

New-WKSWorkspace -Workspace @{"BundleID" = "wsb-b0s22j3d7"; "DirectoryId" = "d-92673ef59b"; "UserName" = “blackbelt_demo_user"}

Get-WKSWorkSpaces | select UserName, BundleId, WorkspaceId, DirectoryId | where UserName -eq‘blackbelt_demo_user'

blackbelt_demo_userというユーザーにPerformance BundleのWorkSpacesを作成

UserName = blacbelt_demo_userのWorkSpaceIdを取得

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.49

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.50

継続的なイノベーションAd

optio

n

2014 Today

WorkSpacesAnnounced

Dublin/SydneyRegions

MFA

LocalPrinters

TokyoRegion

ZeroClients

CloudWatchMetricsValueBundle

Office2013

CustomImages

SINRegion Volume

Encryption

BYOLChromebooksSupport SOC/ISO

Compliance

Hourly

Windows10Tagging

HighDPIScreensAudio-in

SavedRegistrations

Graphics

FrankfurtRegion

HIPAACompliance

CertificateAuthentication

FreeTier

PCICompliance

ConfigurableStorage

SwitchingHWBundles

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.51

最新の主要アップデート• デバイスのアクセスコントロール

– クライアント証明書によるデバイス認証

• 設定可能なストレージ– 起動時にストレージ容量を増やすことが可能

• ハードウェバンドルの切り替え– ハードウェアバンドルを再起動で切り替え

• WorkDocs Drive – WorkspaceからWorkDocsをドライブマウント可能に

• ４台のモニターをサポート– 4台のフルHDモニターと最⼤2台の4K Ultra HD解像度モニターをサポート

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.52

デバイスのアクセスコントロール

• WindowsおよびMac OS Xでクライアントアクセスを制御するためにクライアント証明書を利⽤可能に

• iOS、Android、ChormeOS、ゼロクライアントとWebブラウザなどのデバイスタイプによるアクセス許可もあわせて設定が可能

• System Center Configuration Manager (SCCM)やMDMなどによる証明書管理

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.53

ストレージの容量追加とハードウェバンドルの切り替え

• 設定可能なストレージとハードウェアバンドルの切り替えの2つの新機能をサポート

• WorkSpaceのルートボリュームとユーザーボリュームの容量を最⼤1,000GBまで拡張可能に

• Value、Standard、PerformanceおよびPowerバンドル間でWorkSpaceを削除することなく切り替えが可能に

バリュー スタンダードパフォーマンス パワー

vCPU 1 2 2 4メモリ GiB 2 4 7.5 16vGPUビデオメモリGiB

SSD ルートボリューム GB 80 80 80 175

SSD ユーザーストレージ GB 10 50 100 100

ソフトウェアユーティリティソフトウェアバン

ドル

ユーティリティソフトウェアバン

ドル

ユーティリティソフトウェアバン

ドル

ユーティリティソフトウェアバン

ドル

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.54

Amazon WorkDocs Drive

• Amazon WorkSpacesのユーザーがAmazon WorkDocs Driveを利⽤してデスクトップからファイルにアクセス可能に

• ファイルエクスプローラーからローカルにコピーを保存することなく利⽤可能

• WorkDocs Docs DriveはWorkSpacesにドライブとしてマウントされファイルは⾃動的にWorkDocsに保存される

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.55

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.56

想定するシナリオ

• 既存のAWSのお客様• オンプレミスとクラウド上のアプリによるハイブリッドアー

キテクチャ• 既存のActive Directoryを使⽤した認証• AWS Direct Connectを利⽤している• 2,000+ ユーザー

合併と買収BYOD データのセキュア化モバイルワーカー

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.57

既存のアーキテクチャ例

Subnet A (AZ 1)

Subnet B (AZ 2)

Application VPC

Customer DC

Subnet A (AZ 1)

Subnet B (AZ 2)

Application VPC

10.0.0.0/8

10.10.0.0/16

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.58

AWSアカウントの構造

Primary/Payer Account

logging config billing

Dev

Prod

WorkSpaces

…Isolated App/3rd Party

Shared Services

AD MFA ADFS

…

Alllogfilesflowtoprimary

VPC/VPNPeering

Linked Accounts

主要な推奨事項• Payer/Linked Accountの構造• Payer Accountでのロギング• WorkSpaces⽤のアカウントを分離• すべてのアカウントで⼀貫したタグ

付けを実装

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.59

WorkSpaces VPC

• WorkSpaces⽤の専⽤VPC• 最⼩2つのサブネット• IP枯渇を避けるため、将来の拡張性を考慮してサブネットを作成• イニシャルで2,000台のWorkSpacesと成⻑の余地• お客様がAWSで使⽤するために10.10.0.0/16を割り当てている• 共有サービス⽤のVPCの使⽤

Subnet A(AZ 1)10.10.16.0/22

Directory Service

WorkSpaces

Subnet B(AZ 2)10.10.20.0/22

Directory Service

WorkSpaces

Future Growth Future Growth

2008IPs

VPCpeering

Shar

ed-S

ervi

ces

10.10.16.0/20

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.60

ディレクトリ展開のコンセプト

Subnet A (AZ 1) Subnet B (AZ 2)

WorkSpaces Dedicated VPC

AD DS Subnet (AZ 1)

AD DS Subnet (AZ 2)

Shared Services VPC (AD DS)

ActiveDirectory

ActiveDirectory

AD Connector AD Connector

VPCpeering

• Active DirectoryをEC2インスタンス上のAWSに拡張• AD Connectorを使⽤して、WorkSpaces認証サービスから

の認証要求をプロキシ• クロスアカウントのVPCピアリングを使⽤して通信

AWS Account 2 AWS Account 1

Security Group

10.10.16.0/20 10.10.0.0/20

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.61

Active Directory on EC2•共有サービス⽤VPCに展開•お客様⾃⾝による管理•EC2インスタンス上にデプロイ•お客様のディレクトリをクラウドに拡張するために使⽤

ディレクトリのコンポーネント

AWS Directory Service• WorkSpaces VPC上にAD

Connectorを展開• AD Connectorは認証のための

ディレクトリゲートウェイ• 2つのサイズ: Small

(500)/Large (5000)

AWS Directory Service

Active Directory

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.62

ネットワーク要件

ドメイン コントローラーと疎通を⾏うために、以下のポートの開放が必要

• TCP/UDP 53 - DNS• TCP/UDP 88 - Kerberos 認証• TCP 135 - RPC• TCP/UDP 389 - LDAP• TCP/UDP 445 - SMB• TCP 464 - Kerberos パスワードの変更/設定• TCP 636 - LDAPS (LDAP over TLS/SSL)• TCP 1024-65535 - RPC ⽤ダイナミックポー

ト• UDP 123 - NTP• UDP 137-139 - Netlogon• UDP 464 - Kerberos パスワードの変更/設定

DirectoryServicePortTestテストアプリケーションを利⽤して接続の確認が可能

• DirectoryServicePortTest.exe -d <domain_name> -ip<server_IP_address> -tcp"53,88,135,389,445,464,636,3268,3269,5722,9389" -udp"53,88,123,138,389,445,464“

• http://docs.aws.amazon.com/directoryservice/latest/adminguide/samples/DirectoryServicePortTest.zip

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.63

ネットワーク構成 - オンプレミスからの接続

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.64

最終的なアーキテクチャ構成例• Amazon WorkSpaces⽤の専有 AWSアカウント• WorkSpaces⽤の分離したVPC + クロスアカウントピアリング• 共有サービスVPC (Active Directory)

10.0.0.0/8

10.10.0.0/16

10.10.0.0/2010.10.16.0/20 10.10.32.0/20

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.65

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.66

Amazon WorkSpaces のユースケース

コールセンター

派遣社員

開発とテスト 合併と買収

データのセキュア化 コンプライアンス要件 モバイルワーカー BYOD

トレーニングとラボ デモ

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.67

ユースケース①：プロジェクト向け

ユースケース• 開発プロジェクトなどで⼀時的にデスクトップ環境が必要• プロジェクト開始からすぐ利⽤したい• プロジェクト終了後はデスクトップは不要• プロジェクト増員・離任などユーザーの増減が頻繁にある

得られるメリット• スケジュールに合わせて、必要な時にすぐ提供できる• ユーザーの出⼊りに合わせて1台単位、⽉単位で利⽤• プロジェクト終了後は、削除すれば費⽤負担なし

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.68

ユースケース②：開発者向け

ユースケース• 国内・オフショア等、様々な場所の開発者に開発を委託• 統⼀された開発環境を利⽤させたい• 開発環境はセキュリティが保たれている必要がある• ソースコードは開発者のローカルには保存させたくない

得られるメリット• どこからでも同じ開発環境にセキュアにアクセス• ソースコードはAWS上で管理、開発者側には保存されない• GPUも利⽤可能

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.69

ユースケース③：クラウド環境に社内システムが移⾏

ユースケース• 業務アプリ、メール等、多くの業務システムがAWSクラウドに移⾏予定• オンプレのデスクトップから、AWSクラウドの業務システムへのアクセ

スで、ネットワーク遅延や帯域不⾜が懸念される

得られるメリット• クラウド上のサービスには、クラウド上のVDIからアクセスするのが、

ネットワーク利⽤の観点から効率的• AWS上のサービスに、低遅延で⾼速にアクセスできる• ネットワーク増強が不要になる

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.70

Agenda

• デスクトップ仮想化が注⽬される背景• Amazon WorkSpaces 概要

- Amazon WorkSpaces とは- セットアップと管理- 最新アップデート- デザインパターン

• ユースケースと得られるメリット• よくあるご質問

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.71

よくあるご質問[Q] Workspace へのパッチ適⽤⽅法について[A] マスタとなるWorkspaceにパッチを適⽤し、作成したカスタムバンドルから新たに

Workspace⽅法と、オンプレと同様の⼿法をご利⽤いただく⼤きく2つの選択肢がございます。標準ではデスクトップごとにWindows Updateを実施しますが、NW帯域の逼迫を避ける場合は、WSUSなどのパッチ管理SWをご利⽤いただく⽅法がございます。

[Q] ファイルサーバをどうするべきか[A] 標準で50GB分のWorkDocsを利⽤可能なため、こちらをファイルサーバとしてご利

⽤いただくことが可能です。また、S3やEC2上に個別にファイルサーバを構築してご利⽤いただく⽅法もございます。既存のオンプレファイルサーバを継続して利⽤することも可能ですが、Workspaceの台数が増える場合は、トラフィック増やデータOutのコストを考慮してAWS上でファイルサーバを検討することを推奨いたします。

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.72

よくあるご質問[Q] ウイルス対策をどうするべきか[A] WorkSpacesをPlusバンドルでご利⽤いただくことで、トレンドマイクロ社のウイル

ス対策ソフトウェアが導⼊済みで作成されます。既存のウイルス対策をソフトウェアを継続してご利⽤いただくことも可能です。

[Q] 各ユーザ環境を個別のポリシーを制御したい[A] Windowsのグループポリシーで制御いただくことが可能です。WorkSpaces管理⽤の

テンプレートをインポートいただくことで、以下のようなポリシーを適⽤することが可能になります。

– ローカル・リモート間のコピー＆ペーストの無効化– ローカルプリンタの無効化– ネットワーク切断時の再接続タイムアウト時間の変更 など

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.73

よくあるご質問[Q] ユーザごとのアクセスログを取得したい[A] CloudWatchをご利⽤いただくことで、Workspaceごとのログイン履歴を取得するこ

とが可能です。Workspaceへのコネクション成功や停⽌中のログなどを取得可能です。

[Q] Simple ADかMicrosoft ADかどちらを使うべきか[A] Simple ADはSamba 4で実⾏され、通常のMicrosoft ADと互換性がありますが、

他のMS ADと信頼関係を設定することはできず、多要素認証もサポートしておりません。オンプレと分離したディレクトリ構造でかつ⼩規模環境であれば問題ございませんが、既存ディレクトリとの連携や数百台を超える環境の場合は、Microsoft ADのご利⽤を推奨いたします。

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.74

Amazon WorkSpaces まとめ

• マネージド型の仮想デスクトップサービス

• 初期投資が不要で、今⽇から、１台から始められる

• 既存ディレクトリや様々なAWSサービスと連携可能

• セキュアなデスクトップ環境

• ⼤規模展開には最適なアーキテクチャ設計が重要

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.75