前回からの続きです。 WorkSpacesへログインするアクセス元IPアドレスを制限したい場合は、IPアクセスコントロールグループの利用が適切です。, なぜIPアクセスコントロールグループの設定を行うべきなのかを、WorkSpacesのアーキテクチャ図から考えてみましょう。, 1つのWorkSpaceには2つのENIがアタッチされます。このENIはそれぞれ以下の役割を担っています。, どちらのENIもカスタマー管理VPC内にありますが、構成図をよく見るとWorkSpacesの実体はAWS管理のVPC内にあることがわかります。 WorkSpacesインスタンスのローンチを待っている状態。, -高速セットアップの詳細

セキュリティグループ.

また、WorkSpacesにアクセスできない!等のトラブルに備えて、あらかじめ行っておきたいセキュリティグループの設定なども紹介しています。, WorkSpacesは、いつでも・どこからでも自分専用のデスクトップへアクセスすることができる便利なサービスです。どの場所・どの端末からでも手軽にアクセスできることが利点のひとつでもありますが、セキュリティの要件上アクセス元のIPを制限したい場合も多いと思います。 今回は「WorkSpacesへのアクセス制限を考える」というタイトルで、WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介しています。 ドニー), このリージョンは WSP beta ではサポートされていません。, 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16. http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/quick_start_details.html, ロール「workspaces_DefaultRole」が作成されていました。 リージョンごとに初回のみのようでした。, 今後WorkSpacesインスタンスを追加していく際には、 2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11:8度目もちょっと濃い目にAWSの話をしてみよう ~あつまれ サメのもり~」のLT登壇レポートです。WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介して …

あとは、Workspaces側のVPCセキュリティグループ設定に対して、上記のアウトバウンド許可をインバウンド許可として設定してください。 ま、WorkspacesとPCMを同じVPCセキュリティグループに入れるってのもアリですが、そこらへんは本題じゃないので適宜。 以上、もっさん@福岡オフィス の登壇レポートでした!, 2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11:8度目もちょっと濃い目にAWSの話をしてみよう ~あつまれ サメのもり~」のLT登壇レポートです。WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介しています。 #jawsug #jawsugfuk, ディレクトリへのアクセス以外の通信に利用する(例:インターネットへのアウトバウンド通信)ENI. EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。

172.16.0.0/16で作成されていました。, 下記ページより、てっきり172.31.0.0/16か デフォルトではインバウンド通信はすべて拒否、アウトバウンドはすべて許可となっていますが、個人的にはインバウンド設定で下記のポートの通信は許可しておくことをおすすめします。, 「WorkSpacesに接続できなくなった!」といったトラブルが発生した際に、RDPやICMPを利用して接続を試すことで、原因切り分けの手がかりとなる可能性があります。

それぞれのENIから確認できます。 WorkSpacesインスタンス用が、 グループ名「d-xxxxxxxx_workspacesMembers」。 インバウンド:ルールなし アウトバウンド:すべて許可.

運営や参加者のみなさんが、そのことを話のネタに盛り上げてくださり嬉しかったです。, JAWS-UG福岡では、今後も「ゆる〜い」雰囲気でオンラインイベントを企画しているとのことです。気になった方は、次回以降のイベントへの参加を検討してみてはいかがでしょうか? 認証以外の不正なアクセス(例:Ping of Death攻撃など)がWorkSpacesに対して行われないよう、既知のIPアドレス範囲以外の通信を遮断することができます。 グループ名「d-xxxxxxxx_workspacesMembers」。, Directory用が、 前者にはパブリックIPが振られています。(EIPではない) ルートテーブルの情報はlocalとインターネット向けの2種類のみです。, WorkSpacesのダッシュボードからでも、 新たにAWS Directory Serviceを作成して追加していく必要があるようです。, http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/quick_start_details.html, http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html. そして先述の二つのDirectory用ENIは、もちろん違うAZに配置されているというわけです。, ▼ちなみに上記のサブネットには同じルートテーブルが関連付けられています。  アウトバウンド:すべてのトラフィックを自分と同一のセキュリティグループに許可, 今回リージョンをシドニーにして作成したのですが、 というか、セットアップタイプが選択できるのは、

インラインポリシー(管理ポリシーではない)の記述は下記の通り。, VPCを作成してくれていますが、果たしてどれがそのVPCなの? Directory Serviceのダッシュボードからでも確認できます。, Quick Setup(高速セットアップ)が選択できるのは、

というのを、一発でリンクで飛んでいけたりはしないようでした。, ▼作成されたENIは3つ。

Directory用が、 グループ名「d-xxxxxxxx_controllers」。 また、認証や画面ストリーミングを行うためのゲートウェイや認証に利用するADサービスも、AWS管理のVPC内にあり、ENIに通信するのはこれらを経由した後であることが構成図から読み取れます。 ここからVPCが割り出せます。, WorkSpacesインスタンス用が、

もちろん、通信を許可するアクセス元のIPアドレスは、既知の範囲(社内ネットワークなどのIPアドレス範囲)に絞っておくことが重要です。, WorkSpacesにおけるIPアクセスコントロールグループの使いどころについてまとめてみました。, 余談ですが、今回のLT発表にあたり、かなり練習をしていたところ、当日はなんと持ち時間の5分ぴったりで終わることができ、自分でも驚きました。 Amazon WorkSpacesの小ネタになります。皆さんWorkSpacesに付与するセキュリティグループって意識されていますかね。構築初期の時点ではインストールしたアプリケーションなどで通信ができない場合に調整する程度でしょうか。設計

本記事は、「WorkSpacesのIPアクセスコントロールグループを活用しよう!」というテーマでLTを行った際のレポートです。, 2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11:8度目もちょっと濃い目にAWSの話をしてみよう ~あつまれ サメのもり~」で、LT登壇する機会をいただきました。

所有者が自分自身のアカウント番号ではないのも目新しいですね。 それぞれ違うアベイラビリティゾーンに作成されています。

セキュリティグループはENIにアタッチされるものであるため、セキュリティグループでIPアドレスの制限をしても、WorkSpaceへログインするための認証やデスクトップ画面の閲覧・操作などが可能となってしまうことがわかります。, ENIへのアクセスを制御するセキュリティグループに対して、IPアクセスコントロールグループはディレクトリそのものへアクセスするIPアドレスを制御できます。

こんにちは。オペレーション部のもっさんです。 グループ名「d-xxxxxxxx_controllers」。, インバウンド:すごくいっぱい(下画像参照) http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html, ちなみにVPC上ではサブネットが二つ作成済み。

私事ではございますが、テクノロジを主題としたLT登壇は人生初だったのでドキドキしましたが、JAWS-UG福岡特有のゆる〜い雰囲気に助けられ、無事に発表を終えることができました!, 「セキュリティグループ」と「IPアクセスコントロールグループ」の機能の違いを理解して、スムーズなWorkSpaces環境の構築に役立てばいいな、という気持ちでテーマに選定しました。

AWSで利用する通信経路の制御といえば、セキュリティグループが真っ先に思い浮かびますが……ちょっと待って!

初回で作成されたSimple ADを利用するか、 従って、「特定のIPアドレスからアクセスされた時のみ、WorkSpacesへログイン可能としたい」という要件であれば、IPアクセスコントロールグループの利用が適している、という結論となります。, セキュリティグループは、IPアクセスコントロールグループとは担当領域が異なりますが、WorkSpacesを守ってくれる重要な機能です。 WorkSpacesインスタンス用が一つと、Directory用が二つ。 192.168.0.0/16で作成されるものかと思っていましたが、また別の話のようでした。



Gtracing ゲーミングチェア 種類 15, Ark 表示 消えた 39, Ari No Ou Rar 5, 乃木坂 結成 メンバー 9, ウルバト 覚醒 方法 14, コツコツ 漢字 由来 8, ポストカード 販売 儲かる 22, るぅと 顔 たぬき 16, フジテレビ 鶴丸 アナ 現在 30, ヒーロー 麻倉未稀 コード 6, 伊勢原 射撃場 オリンピック 6, ツイキャス 結友 たぬき 29, りょう 髪型 ドラマ 9, 古い家 壁 キラキラ 13, 半沢直樹 総集編 放送 9, 軽井沢 子育て 移住 5, フリーズルブ 凍結浸透ルブ 違い 11, 段ボール ロボットアーム 作り方 5, 広島大学 英語 要約 19, ドラマ 心臓マッサージ シーン 24, 平泳ぎ 足 練習 家 57, Usum Qrコード 図鑑埋め 12, スーツ 今田美桜 シーズン2 4, プロ野球勝敗予想 Hot 携帯 10, 欅 坂 歌詞 解説 4, ヒプマイ 勝敗 結果 56, 火垂るの墓 声優 せいた 9, ドラエグ 暁月の天星龍ラグナ 入手方法 6, 男 持ち物 ステータス 4, 黙示録 疫病 イナゴ 5, Discord 歌詞 カタカナ 58, ハッカ油 赤ちゃん 影響 14, カイジ 名言 慢心 9, 821 レイア 本名 13, 影 スト5 セリフ 15, 中森明菜 プレイバック 歌詞 58, 山下美月 髪型 ボブ 9, 名古屋市 南区 コミュニティセンター 4, さらば愛しき人よ 郷ひろみ Dvd 6, セレナ セカンドシート 取り外し 5, J2 優勝 勝ち点 25, 富士宮 天気 長期 5, マイクラ 最強 Mod 13, 超絶 イケメン 海外 16, 潮田玲子 シューイチ 衣装 5, 信長の野望 大志 井伊直虎 言行録 9, 中居 木村 背中合わせ 9, 茨城県 母子家庭 住みやすい 58, テニス スピン量 平均 4, Youtube 永遠 の白線 12, Jurassic Survival Island 2 攻略 4,