チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング - Amazon WorkSpaces アプリケーション

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: インターフェイス VPC エンドポイントからの作成とストリーミング

Amazon Web Services アカウントのインターフェイス VPC エンドポイントを使用して、Amazon VPC と WorkSpaces アプリケーション間のすべてのネットワークトラフィックを Amazon ネットワークに制限できます。このエンドポイントを作成したら、それを使用するように WorkSpaces Applications スタックまたは Image Builder を設定します。

前提条件

WorkSpaces アプリケーションのインターフェイス VPC エンドポイントを設定する前に、次の前提条件に注意してください。

  • ユーザーを認証し、WorkSpaces アプリケーションが機能するために必要なウェブアセットを配信するには、インターネット接続が必要です。ストリーミングインターフェイスエンドポイントは、VPC 内のストリーミングトラフィックを維持します。ストリーミングトラフィックには、ピクセル、USB、ユーザー入力、オーディオ、クリップボード、ファイルのアップロードとダウンロード、プリンターのトラフィックが含まれます。このトラフィックを許可するには、「許可されたドメイン」に示されたドメインを許可する必要があります。VPC エンドポイントを作成したら、WorkSpaces Applications ユーザー認証ドメインを許可する必要があります。ただし、ストリーミングゲートウェイでは、アクセスを <vpc-endpoint-id>.streaming.appstream.<aws-region>.vpce.amazonaws.com のみに制限できます。*.amazonappstream.com への許可リストは必要ありません。VPC エンドポイントの完全修飾ドメイン名は、その依存関係を置き換えます。

  • ユーザーのデバイスが接続されているネットワークは、インターフェイスエンドポイントにトラフィックをルーティングできる必要があります。

  • インターフェイスエンドポイントに関連付けられているセキュリティグループは、ユーザーが接続する IP アドレス範囲からポート 443(TCP) とポート 1400~1499 (TCP) へのインバウンドアクセスを許可する必要があります。

  • サブネットのネットワークアクセスコントロールリストでは、一時ネットワークポート 1024~65535 (TCP) から、ユーザーが接続する IP アドレス範囲へのアウトバウンドトラフィックを許可する必要があります。

  • には、ec2:DescribeVpcEndpointsAPI アクションを実行するためのアクセス許可 AWS アカウント を提供する IAM アクセス許可ポリシーが必要です。デフォルトでは、このアクセス許可は AmazonAppStreamServiceAccess ロールにアタッチされている IAM ポリシーで定義されます。必要なアクセス許可がある場合、 AWS リージョンで WorkSpaces アプリケーションサービスの使用を開始すると、このサービスロールは WorkSpaces アプリケーションによって自動的に作成され、必要な IAM ポリシーがアタッチされます。詳細については、「Amazon WorkSpaces アプリケーションの Identity and Access Management」を参照してください。

インターフェイスエンドポイントを作成するには

  1. Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。

  2. ナビゲーションペインで、[エンドポイント]、[エンドポイントを作成] の順に選択します。

  3. [Create Endpoint] (エンドポイントの作成) を選択します。

  4. サービスカテゴリで、 AWS サービスが選択されていることを確認します。

  5. [Service Name] (サービス名)には com.amazonaws.<AWS リージョン>.appstream.streaming を選択します。

  6. 以下の情報を指定します。終了したら、[Create Endpoint] を選択します。

    • [VPC] で、インターフェイスエンドポイントを作成する VPC を選択します。WorkSpaces Applications リソースを使用する VPC とは異なる VPC を選択できます。

    • [サブネット] で、エンドポイントネットワークインターフェイスを作成する先のサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのアベイラビリティーゾーンで サブネットを選択することをお勧めします。

    • [Enable Private DNS Name] チェックボックスが選択されていることを確認します。

      注記

      ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。

    • [Security group] で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。

      注記

      セキュリティグループは、ユーザーが接続する IP アドレス範囲からポートへのインバウンドアクセスを提供する必要があります。

インターフェイスエンドポイントの作成中、コンソールのエンドポイントのステータスは、[Pending] と表示されます。エンドポイントが作成されると、ステータスは [Available] に変わります。

ストリーミングセッション用に作成したインターフェイスエンドポイントを使用するようにスタックを更新するには、次のステップを実行します。

新しいインターフェイスエンドポイントを使用するようスタックを更新するには

  1. https://console.aws.amazon.com/appstream2 で WorkSpaces アプリケーションコンソールを開きます。

    使用するインターフェイスエンドポイントと同じ AWS リージョンでコンソールを開いてください。

  2. ナビゲーションペインで [Stacks] を選択し、希望するスタックを選択します。

  3. [VPC Endpoints (VPC エンドポイント)] タブを選択し、[Edit (編集)] を選択します。

  4. [Edit VPC Endpoint (VPC エンドポイントの編集)] ダイアログボックスの [Streaming Endpoint (ストリーミングエンドポイント)] で、ストリーミングトラフィックを介するエンドポイントを選択します。

  5. [更新] を選択します。

新しいストリーミングセッションのトラフィックは、このエンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。

注記

インターフェイスエンドポイントが指定されている場合、ユーザーはインターネットエンドポイントを使用してストリーミングできません。