翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon WorkSpaces に関するセキュリティ
でのクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
セキュリティは、 AWS とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)ではこれをクラウド*の*セキュリティおよびクラウド*内*のセキュリティと説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任を担います AWS クラウド。 は、お客様が安全に使用できるサービス AWS も提供します。サードパーティーの監査者は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)コンプライアンスプログラムの一環として、当社のセキュリティの有効性を定期的にテストおよび検証。Amazon WorkSpaces に適用されるコンプライアンスプログラムの詳細については、「コンプライアンスプログラム[AWS による対象範囲内のサービスコンプライアンスプログラム](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、お客様は、データの機密性、会社の要件、適用される法律や規制など、その他の要因についても責任を負います。
このドキュメントは、WorkSpaces を使用する際に共有責任モデルを適用する方法を理解するのに役立ちます。以下のトピックでは、セキュリティおよびコンプライアンスの目的を達成するように WorkSpaces を設定する方法について説明します。また、WorkSpaces リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [Amazon WorkSpaces におけるデータ保護](data-protection.md)
+ [WorkSpaces の Identity and Access Management](workspaces-access-control.md)
+ [Amazon WorkSpaces のコンプライアンスの検証](compliance-validation.md)
+ [Amazon WorkSpaces の耐障害性](disaster-recovery-resiliency.md)
+ [Amazon WorkSpaces のインフラストラクチャセキュリティ](infrastructure-security.md)
+ [WorkSpaces に関する更新管理](update-management.md)
# Amazon WorkSpaces におけるデータ保護
AWS [責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)は、Amazon WorkSpaces のデータ保護に適用されます。このモデルで説明されているように、AWS は、AWS クラウド のすべてを実行するグローバルインフラストラクチャを保護する責任を担います。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「AWS のサービス」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された [AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) のブログ記事を参照してください。
データを保護するため、「AWS アカウント」 認証情報を保護し、「AWS IAM アイデンティティセンター」 または 「AWS Identity and Access Management」 (IAM) を使用して個々のユーザーをセットアップすることをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して 「AWS」 リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ AWS CloudTrail で API とユーザーアクティビティロギングを設定します。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「*AWS CloudTrail ユーザーガイド*」の「[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS のサービス 内のすべてのデフォルトセキュリティコントロールに加え、AWS 暗号化ソリューションを使用します。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API を使用して 「AWS」 にアクセスする際に FIPS 140-3 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報は、タグ、または**名前**フィールドなどの自由形式のテキストフィールドに配置しないことを強くお勧めします。これは、コンソール、API、AWS CLI、または AWS SDK を使用して WorkSpacesや他の AWS のサービスを操作する場合も同様です。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
WorkSpaces および FIPS エンドポイント暗号化の詳細については、「 [WorkSpaces Personal で FedRAMP 認証または DoD SRG コンプライアンスを設定する](fips-encryption.md) 」を参照してください。
## 保管中の暗号化
AWS Key Management Service の AWS KMS キーを使用して、WorkSpaces のストレージボリュームを暗号化できます。詳細については、「[WorkSpaces Personal の暗号化された WorkSpaces](encrypt-workspaces.md)」を参照してください。
暗号化されたボリュームで WorkSpaces を作成すると、WorkSpaces は Amazon Elastic Block Store (Amazon EBS) を使用してこれらのボリュームを作成および管理します。EBS は、業界標準の AES-256 アルゴリズムを使用してデータキーでボリュームを暗号化します。詳細については、「*Amazon EC2 ユーザーガイド*」の「[Amazon EBS 暗号化](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)」を参照してください。
## 転送中の暗号化
PCoIP については、転送中のデータは、TLS 1.2 暗号化と SigV4 リクエスト署名を使用して暗号化されます。PCoIPプロトコルは、AES暗号化で暗号化されたUDPトラフィックをストリーミングピクセルに使用します。ポート4172(TCPおよびUDP)を使用するストリーミング接続は、AES-128 暗号とAES-256暗号を使用して暗号化されますが、暗号化のデフォルトは128ビットです。このデフォルトを 256 ビットに変更するには、**PCoIP セキュリティ設定の構成**Windows WorkSpaces のグループポリシー設定を使用するか、**PCoIP セキュリティ設定**()`pcoip-agent.conf`ファイルを Amazon Linux WorkSpaces 用にダウンロードします。
Amazon WorkSpaces のグループポリシー管理の詳細については、[PCoIP セキュリティ設定を構成する](group_policy.md#gp_security)が[WorkSpaces Personal で Windows WorkSpaces を管理する](group_policy.md)。変更の詳細については、「」を参照してください。`pcoip-agent.conf`ファイルについては、[Amazon Linux WorkSpaces で PCoIP エージェントの動作を制御する](manage_linux_workspace.md#pcoip_agent_linux)および[PCoIP セキュリティ設定](https://www.teradici.com/web-help/pcoip_agent/standard_agent/linux/21.03/admin-guide/configuring/configuring/#pcoip-security-settings)Teradiciのドキュメントを参照してください。
DCV では、転送中のストリーミングおよび制御データは、UDP トラフィックには TLS 1.3 暗号化を、TCP トラフィックには TLS 1.2 暗号化を使用して、AES-256 暗号で暗号化されます。
# WorkSpaces の Identity and Access Management
デフォルトでは、IAM ユーザーには WorkSpaces のリソースおよびオペレーションのための許可がありません。IAM ユーザーに WorkSpaces のリソース管理を許可するには、それらのユーザーに許可を明示的に付与する IAM ポリシーを作成し、このポリシーを許可を必要とする IAM ユーザーまたはグループと結びつける必要があります。
**注記**
Amazon WorkSpaces は、WorkSpace への IAM 認証情報のプロビジョニング (インスタンスプロファイルなど) をサポートしていません。
アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
+ 以下のユーザーとグループ AWS IAM アイデンティティセンター:
アクセス許可セットを作成します。「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)」の手順に従ってください。
+ IAM 内で、ID プロバイダーによって管理されているユーザー:
ID フェデレーションのロールを作成します。詳細については *IAM ユーザーガイド* の [サードパーティー ID プロバイダー (フェデレーション) 用のロールを作成する](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) を参照してください。
+ IAM ユーザー:
+ ユーザーが担当できるロールを作成します。手順については *IAM ユーザーガイド* の [IAM ユーザーのロールの作成](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) を参照してください。
+ (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。*IAM ユーザーガイド* の [ユーザー (コンソール) へのアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) の指示に従います。
IAM の追加リソースは次のとおりです。
+ IAM ポリシーの詳細については、*IAM ユーザーガイド*の[ポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)を参照してください。
+ IAM の詳細については、[Identity and Access Management (IAM)](https://aws.amazon.com/iam) および [https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/)を参照してください。
+ IAM アクセス許可ポリシーで使用する WorkSpaces 固有のリソース、アクション、および条件コンテキストキーの詳細については、「*IAM ユーザーガイド*」の「[Amazon WorkSpaces のアクション、リソース、および条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkspaces.html)」を参照してください。
+ IAM ポリシーの作成に役立つツールについては、[AWS Policy Generator](https://aws.amazon.com/blogs/aws/aws-policy-generator/) を参照してください。また、[IAM Policy Simulator](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) を使用して、ポリシー が AWSへの特定のリクエストを許可するか拒否するかをテストすることもできます。
**Topics**
+ [ポリシーの例](#workspaces-example-iam-policies)
+ [IAM ポリシーで WorkSpaces リソースを指定する](#wsp_iam_resource)
+ [workspaces\$1DefaultRole ロールを作成する](#create-default-role)
+ [AmazonWorkSpacesPCAAccess サービスロールを作成する](#create-pca-access-role)
+ [AWS WorkSpaces の マネージドポリシー](managed-policies.md)
+ [ストリーミングインスタンスでの WorkSpaces とスクリプトへのアクセス](using-iam-roles-to-grant-permissions-to-applications-scripts-streaming-instances.md)
+ [Amazon WorkSpaces コンソールのオペレーションのアクセス許可に関するリファレンス](wsp-console-permissions-ref.md)
## ポリシーの例
以下の例では、Amazon WorkSpaces に対して IAM ユーザーが所有するアクセス許可を制御するために使用できるポリシーステートメントを示しています。
### 例 1: WorkSpaces Personal および WorkSpaces Pools タスクを実行するためのアクセス許可を付与する
次のポリシーステートメントは、WorkSpaces Personal と WorkSpaces Pools のタスクを実行するアクセス許可を IAM ユーザーに付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys",
"secretsmanager:ListSecrets",
"tag:GetResources",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### 例 2: WorkSpaces Personal タスクを実行するためのアクセス許可を付与する
次のポリシーステートメントは、すべての WorkSpaces Personal タスクを実行するアクセス許可を IAM ユーザーに付与します。
Amazon WorkSpaces は API `Action`およびコマンドラインツールを使用する際に および `Resource`要素を完全にサポートしていますが、 から Amazon WorkSpaces を使用するには AWS マネジメントコンソール、IAM ユーザーに以下のアクションとリソースに対するアクセス許可が必要です。
+ アクション: `"ds:*"`
+ リソース: `"Resource": "*"`
次のポリシー例では、IAM ユーザーが AWS マネジメントコンソールから Amazon WorkSpaces を使用することを許可する方法を示しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:*",
"ds:*",
"iam:GetRole",
"iam:CreateRole",
"iam:PutRolePolicy",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:ListRoles",
"kms:ListAliases",
"kms:ListKeys",
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:CreateNetworkInterface",
"ec2:CreateInternetGateway",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateTags",
"ec2:CreateSecurityGroup",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"secretsmanager:ListSecrets",
"sso-directory:SearchUsers",
"sso:CreateApplication",
"sso:DeleteApplication",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:GetApplicationGrant",
"sso:ListInstances",
"sso:PutApplicationAssignmentConfiguration",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
### 例 3: WorkSpaces Pools タスクを実行するためのアクセス許可を付与する
次のポリシーステートメントは、すべての WorkSpaces Pools タスクを実行するアクセス許可を IAM ユーザーに付与します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workspaces:*",
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:PutMetricAlarm",
"ec2:CreateSecurityGroup",
"ec2:CreateTags",
"ec2:DescribeInternetGateways",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"iam:AttachRolePolicy",
"iam:CreatePolicy",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:PutRolePolicy",
"secretsmanager:ListSecrets",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/workspaces.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_WorkSpacesPool",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "workspaces.application-autoscaling.amazonaws.com"
}
}
}
]
}
```
------
### 例 4: BYOL WorkSpaces のすべての WorkSpaces タスクを実行する
次のポリシーステートメントでは、IAM ユーザーに対し、自分のライセンスを使用する (BYOL) WorkSpaces の作成に必要な Amazon EC2 タスクを含む、すべての WorkSpaces タスクを実行するための許可を付与しています。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:*",
"workspaces:*",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInternetGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyImageAttribute",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"iam:CreateRole",
"iam:GetRole",
"iam:PutRolePolicy",
"kms:ListAliases",
"kms:ListKeys"
],
"Resource": "*"
},
{
"Sid": "iamPassRole",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
```
------
## IAM ポリシーで WorkSpaces リソースを指定する
ポリシーステートメントの `Resource` 要素で WorkSpaces リソースを指定するためには、リソースの Amazon リソースネーム (ARN) を使用します。IAM ポリシーステートメントの `Action` 要素に指定された API アクションを使用する許可を許可または拒否することで、WorkSpaces リソースへのアクセスを制御できます。WorkSpaces は、WorkSpaces、バンドル、IP グループ、およびディレクトリの ARN を定義します。
### WorkSpace ARN
WorkSpace ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:workspace/workspace_identifier
```
*リージョン*
WorkSpace があるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*workspace\$1identifier*
WorkSpace の ID(例: `ws-a1bcd2efg`)。
次に示すのは、特定の WorkSpace を識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:workspace/workspace_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての WorkSpace を指定できます。
### WorkSpace プールの ARN
WorkSpace プールの ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier
```
*リージョン*
WorkSpace があるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*workspacespool\$1identifier*
WorkSpace プールの ID (例: `ws-a1bcd2efg`)。
次に示すのは、特定の WorkSpace を識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacespool/workspacespool_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての WorkSpace を指定できます。
### 証明書 ARN
WorkSpace 証明書 ARN には、以下の例のような構文があります。
```
arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificateidentifier
```
*リージョン*
WorkSpace があるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*workspacecertificate\$1identifier*
WorkSpace 証明書の ID(例: `ws-a1bcd2efg`)。
次に示すのは、特定の WorkSpace 証明書を識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacecertificate/workspacecertificate_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての WorkSpace を指定できます。
### イメージ ARN
WorkSpace イメージ ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:workspaceimage/image_identifier
```
*リージョン*
WorkSpace イメージがあるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*bundle\$1identifier*
WorkSpace イメージの ID (例: `wsi-a1bcd2efg`)。
次に示すのは、特定のイメージを識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceimage/image_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのイメージを指定できます。
### バンドル ARN
バンドル ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier
```
*リージョン*
WorkSpace があるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*bundle\$1identifier*
WorkSpace バンドルの ID(例: `wsb-a1bcd2efg`)。
次に示すのは、特定のバンドルを識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:workspacebundle/bundle_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのバンドルを指定できます。
### IP グループ ARN
IP グループ ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier
```
*リージョン*
WorkSpace があるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*ipgroup\$1identifier*
IP グループの ID (例: `wsipg-a1bcd2efg`)。
次に示すのは、特定の IP グループを識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:workspaceipgroup/ipgroup_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての IP グループを指定できます。
### ディレクトリ ARN
ディレクトリ ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:directory/directory_identifier
```
*リージョン*
WorkSpace があるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*directory\$1identifier*
ディレクトリの ID (例: `d-12345a67b8`)。
次に示すのは、特定のディレクトリを識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:directory/directory_identifier"
```
「`*`」ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべてのディレクトリを指定できます。
### 接続エイリアス ARN
接続エイリアス ARN には、次の例に示す構文があります。
```
arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier
```
*リージョン*
接続エイリアスがあるリージョン (例: `us-east-1`)。
*account\$1id*
ハイフンなしの AWS アカウントの ID (例: `123456789012`)。
*connectionalias\$1identifier*
接続エイリアスの ID (例: `wsca-12345a67b8`)。
次に示すのは、特定の接続エイリアスを識別するポリシーステートメントの `Resource` 要素の形式です。
```
"Resource": "arn:aws:workspaces:region:account_id:connectionalias/connectionalias_identifier"
```
`*` ワイルドカードを使用して、特定リージョンの特定のアカウントに属するすべての接続エイリアスを指定できます。
### リソースレベルのアクセス許可をサポートしない API アクション
リソース ARN は、次の API アクションで指定することはできません。
+ `AssociateIpGroups`
+ `CreateIpGroup`
+ `CreateTags`
+ `DeleteTags`
+ `DeleteWorkspaceImage`
+ `DescribeAccount`
+ `DescribeAccountModifications`
+ `DescribeIpGroups`
+ `DescribeTags`
+ `DescribeWorkspaceDirectories`
+ `DescribeWorkspaceImages`
+ `DescribeWorkspaces`
+ `DescribeWorkspacesConnectionStatus`
+ `DisassociateIpGroups`
+ `ImportWorkspaceImage`
+ `ListAvailableManagementCidrRanges`
+ `ModifyAccount`
リソースレベルの権限をサポートしていない API アクションの場合は、次の例に示すように、Resource ステートメントを指定する必要があります。
```
"Resource": "*"
```
### 共有リソースに対するアカウントレベルの制限をサポートしない API アクション
次の API アクションでは、リソースがアカウントによって所有されていない場合、リソース ARN でアカウント ID を指定することはできません。
+ `AssociateConnectionAlias`
+ `CopyWorkspaceImage`
+ `DisassociateConnectionAlias`
これらの API アクションでは、アクション対象のリソースをそのアカウントが所有している場合にのみ、リソース ARN でアカウント ID を指定できます。アカウントがリソースを所有していない場合は、次の例に示すように、アカウント ID に `*` を指定する必要があります。
```
"arn:aws:workspaces:region:*:resource_type/resource_identifier"
```
## workspaces\$1DefaultRole ロールを作成する
API を使用してディレクトリを登録する前に、`workspaces_DefaultRole` という名前のロールが存在していることを確認します。このロールは、クイックセットアップによって、または を使用して WorkSpace を起動する場合に作成され AWS マネジメントコンソール、ユーザーに代わって特定の AWS リソースにアクセスするアクセス許可を Amazon WorkSpaces に付与します。このロールが存在しない場合は、以下の手順で作成できます。
**workspaces\$1DefaultRole ロールを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソールを開きます。
1. 左側のナビゲーションペインで、[**Roles**] を選択します。
1. [**ロールの作成**] を選択します。
1. **[Select type of trusted entity]** (信頼できるエンティティのタイプを選択) で、**[Another AWS account]** (別の アカウント) を選択します。
1. [**Account ID**] には、ハイフンやスペースを入れずにアカウント ID を入力します。
1. [**Options**] では、多要素認証 (MFA) を指定しないでください。
1. **[Next: Permissions]** (次のステップ: 許可) を選択します。
1. アクセス**許可ポリシーのア**タッチページで、**AmazonWorkSpacesServiceAccess**、**AmazonWorkSpacesSelfServiceAccess**、および **AmazonWorkSpacesPoolServiceAccess** AWS の管理ポリシーを選択します。これらのマネージドポリシーの詳細については、「[AWS WorkSpaces の マネージドポリシー](managed-policies.md)」を参照してください。
1. [**許可の境界を設定**] では、このロールにアタッチされているポリシーと競合する可能性があるため、アクセス許可の境界を使用しないことをお勧めします。このような競合が発生すると、ロールに必要な特定の許可がブロックされる可能性があります。
1. [**次へ: タグ**] を選択します。
1. [**Add tags (optional)**] ページで、必要に応じてタグを追加します。
1. [**Next: Review**] を選択します。
1. [**Review**] ページの [**Role name**] に、**workspaces\$1DefaultRole** を入力します。
1. (オプション) [**ロールの説明**] に、説明を入力します。
1. [**ロールの作成**] を選択します。
1. workspaces\$1DefaultRole ロールの [**Summary**] ページで [**Trust relationships**] タブを選択します。
1. [**信頼関係**] タブで、[**信頼関係の編集**] を選択します。
1. [**Edit Trust Relationship]** ページで、既存のポリシーステートメントを次のステートメントに置き換えます。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "workspaces.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. [**Update Trust Policy**] を選択します。
## AmazonWorkSpacesPCAAccess サービスロールを作成する
ユーザーが証明書ベースの認証を使用してログインする前に、`AmazonWorkSpacesPCAAccess` という名前のロールが存在することを確認する必要があります。このロールは、 を使用してディレクトリで証明書ベースの認証を有効にしたときに作成され AWS マネジメントコンソール、ユーザーに代わって AWS Private CA リソースにアクセスするアクセス許可を Amazon WorkSpaces に付与します。コンソールを使用して証明書ベースの認証を管理していないために、このロールが存在しない場合は、次の手順で作成できます。
**を使用して AmazonWorkSpacesPCAAccess サービスロールを作成するには AWS CLI**
1. `AmazonWorkSpacesPCAAccess.json` という名前の JSON ファイルを次の内容で作成します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "prod.euc.ecm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 必要に応じて`AmazonWorkSpacesPCAAccess.json`パスを調整し、次の AWS CLI コマンドを実行してサービスロールを作成し、[AmazonWorkspacesPCAAccess](managed-policies.md#workspaces-pca-access) 管理ポリシーをアタッチします。
```
aws iam create-role --path /service-role/ --role-name AmazonWorkSpacesPCAAccess --assume-role-policy-document file://AmazonWorkSpacesPCAAccess.json
```
```
aws iam attach-role-policy —role-name AmazonWorkSpacesPCAAccess —policy-arn arn:aws:iam::aws:policy/AmazonWorkspacesPCAAccess
```
# AWS WorkSpaces の マネージドポリシー
AWS 管理ポリシーを使用すると、ユーザー、グループ、ロールにアクセス許可を追加する方が、自分でポリシーを作成するよりも簡単になります。チームに必要な許可のみを提供する [IAM カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)を作成するには、時間と専門知識が必要です。 AWS 管理ポリシーを使用して、すぐに開始できます。これらのポリシーは、一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、*IAM ユーザーガイド*の「 [AWS 管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS 管理ポリシーに追加のアクセス許可を追加することがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。サービスは、新機能が起動されたとき、または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高いです。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数のサービスにまたがるジョブ関数の マネージドポリシー AWS をサポートしています。たとえば、 `ReadOnlyAccess` AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新しい機能を起動する場合、 AWS は新たなオペレーションとリソース用に、読み取り専用の許可を追加します。ジョブ機能のポリシーの一覧および詳細については、「*IAM ユーザーガイド*」の「[AWS のジョブ機能のマネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)」を参照してください。
## AWS マネージドポリシー: AmazonWorkSpacesAdmin
**注記**
リストされているアクセス許可は SDK 専用であり、コンソールでは機能しません。コンソールには、[Amazon WorkSpaces コンソールオペレーションのアクセス許可リファレンスに記載されている追加のアクセス許可](wsp-console-permissions-ref.md)が必要です。
このポリシーは、Amazon WorkSpaces の管理アクションへのアクセスを提供します。以下のアクセス許可が提供されます。
+ `workspaces` – WorkSpaces Personal および WorkSpaces Pools リソースに対する管理アクションを実行するためのアクセスを許可します。
+ `kms` – KMS キーの一覧へのアクセスと説明、およびエイリアスの一覧表示を許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonWorkSpacesAdmin",
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeys",
"workspaces:CreateTags",
"workspaces:CreateWorkspaceImage",
"workspaces:CreateWorkspaces",
"workspaces:CreateWorkspacesPool",
"workspaces:CreateStandbyWorkspaces",
"workspaces:DeleteTags",
"workspaces:DeregisterWorkspaceDirectory",
"workspaces:DescribeTags",
"workspaces:DescribeWorkspaceBundles",
"workspaces:DescribeWorkspaceDirectories",
"workspaces:DescribeWorkspaces",
"workspaces:DescribeWorkspacesPools",
"workspaces:DescribeWorkspacesPoolSessions",
"workspaces:DescribeWorkspacesConnectionStatus",
"workspaces:ModifyCertificateBasedAuthProperties",
"workspaces:ModifySamlProperties",
"workspaces:ModifyStreamingProperties",
"workspaces:ModifyWorkspaceCreationProperties",
"workspaces:ModifyWorkspaceProperties",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:RegisterWorkspaceDirectory",
"workspaces:RestoreWorkspace",
"workspaces:StartWorkspaces",
"workspaces:StartWorkspacesPool",
"workspaces:StopWorkspaces",
"workspaces:StopWorkspacesPool",
"workspaces:TerminateWorkspaces",
"workspaces:TerminateWorkspacesPool",
"workspaces:TerminateWorkspacesPoolSession",
"workspaces:UpdateWorkspacesPool"
],
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkspacesPCAAccess
この管理ポリシーは、証明書ベースの認証のために、 AWS アカウントの AWS Certificate Manager Private Certificate Authority (Private CA) リソースへのアクセスを提供します。これは AmazonWorkSpacesPCAAccess ロールに含まれており、次のアクセス許可を提供します。
+ `acm-pca` - 証明書ベースの認証を管理するための AWS プライベート CA へのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"acm-pca:IssueCertificate",
"acm-pca:GetCertificate",
"acm-pca:DescribeCertificateAuthority"
],
"Resource": "arn:*:acm-pca:*:*:*",
"Condition": {
"StringLike": {
"aws:ResourceTag/euc-private-ca": "*"
}
}
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkSpacesSelfServiceAccess
このポリシーでは、Amazon WorkSpaces サービスにアクセスして、ユーザーが開始した WorkSpaces セルフサービスアクションを実行できるようにします。これは `workspaces_DefaultRole` ロールに含まれており、次のアクセス許可が付与されます。
+ `workspaces` – ユーザーを対象とした WorkSpace の自己管理機能を利用できるようにします。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkSpacesServiceAccess
このポリシーは、WorkSpaces を起動するための Amazon WorkSpaces サービスへのカスタマーアカウントアクセスを提供します。これは `workspaces_DefaultRole` ロールに含まれており、次のアクセス許可が付与されます。
+ `ec2` – ネットワークインターフェイスなど、WorkSpace に関連付けられた Amazon EC2 リソースを管理するためのアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeNetworkInterfaces"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess
このポリシーは workspaces\$1DefaultRole で使用されます。WorkSpaces はこれを使用して、WorkSpaces WorkSpaces Pools の顧客 AWS アカウントの必要なリソースにアクセスします。詳細については、「[workspaces\$1DefaultRole ロールを作成する](workspaces-access-control.md#create-default-role)」を参照してください。以下のアクセス許可が提供されます。
+ `ec2` - WorkSpaces Pools に関連付けられた VPC、サブネット、アベイラビリティーゾーン、セキュリティグループ、ルートテーブルなどの Amazon EC2 リソースを管理するためのアクセスを許可します。
+ `s3` - ログ、アプリケーション設定、ホームフォルダ機能に必要な Amazon S3 バケットでアクションを実行するためのアクセスを許可します。
------
#### [ Commercial AWS リージョン ]
次のポリシー JSON が商用に適用されます AWS リージョン。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::wspool-logs-*",
"arn:aws:s3:::wspool-app-settings-*",
"arn:aws:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
#### [ AWS GovCloud (US) Regions ]
次のポリシー JSON は、商用の AWS GovCloud (US) Regionsに適用されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProvisioningWorkSpacesPoolPermissions",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeRouteTables",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "WorkSpacesPoolS3Permissions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion",
"s3:GetBucketPolicy",
"s3:PutBucketPolicy",
"s3:PutEncryptionConfiguration"
],
"Resource": [
"arn:aws-us-gov:s3:::wspool-logs-*",
"arn:aws-us-gov:s3:::wspool-app-settings-*",
"arn:aws-us-gov:s3:::wspool-home-folder-*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
------
## AWS 管理ポリシーに対する WorkSpaces の更新
このサービスがこれらの変更の追跡を開始してからの WorkSpaces の AWS マネージドポリシーの更新に関する詳細を表示します。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWS マネージドポリシー: AmazonWorkSpacesPoolServiceAccess](#workspaces-pools-service-access) - 新しいポリシーを追加しました | Amazon EC2 VPC や関連リソースを表示するためのアクセスを許可し、WorkSpaces Pools の Amazon S3 バケットを表示および管理するためのアクセスを許可する、新しいマネージドポリシーが WorkSpaces に追加されました。 | 2024 年 6 月 24 日 |
| [AWS マネージドポリシー: AmazonWorkSpacesAdmin](#workspaces-admin) – ポリシーを更新 | Amazon WorkSpacesAdmin マネージドポリシーに WorkSpaces Pools のリソース管理用のアクションがいくつか追加され、管理者がアクセスできるようになりました。 | 2024 年 6 月 24 日 |
| [AWS マネージドポリシー: AmazonWorkSpacesAdmin](#workspaces-admin) – ポリシーを更新 | WorkSpaces が workspaces:RestoreWorkspace アクションを Amazon WorkspacesAdmin マネージドポリシーに追加し、管理者に WorkSpaces を復元するためのアクセス権を付与します。 | 2023 年 6 月 25 日 |
| [AWS マネージドポリシー: AmazonWorkspacesPCAAccess](#workspaces-pca-access) - 新しいポリシーを追加しました | WorkSpaces は、証明書ベースの認証を管理する AWS ためのプライベート CA を管理するacm-pcaアクセス許可を付与する新しい管理ポリシーを追加しました。 | 2022 年 11 月 18 日 |
| WorkSpaces で変更の追跡が開始されました | WorkSpaces が、WorkSpaces マネージドポリシーの変更の追跡を開始しました。 | 2021 年 3 月 1 日 |
# ストリーミングインスタンスでの WorkSpaces とスクリプトへのアクセス
WorkSpaces ストリーミングインスタンスで実行されるアプリケーションとスクリプトは、AWSAPI リクエストにAWS認証情報を含める必要があります。IAM ロールを作成して、これらの認証情報を管理できます。IAM ロールは、AWSリソースへのアクセスに使用できる一連のアクセス許可を指定します。ただし、このロールは 1 人のユーザーに一意に関連付けられるわけではありません。代わりに、それを必要とするすべてのユーザーが引き受けることができます。
IAM ロールを WorkSpaces ストリーミングインスタンスに適用できます。ストリーミングインスタンスがロールに切り替える (引き受ける) と、ロールは一時的なセキュリティ認証情報を提供します。アプリケーションまたはスクリプトはこれらの認証情報を使用して、ストリーミングインスタンスで API アクションおよび管理タスクを実行します。WorkSpaces は、一時的な認証情報スイッチを管理します。
**Topics**
+ [WorkSpaces ストリーミングインスタンスで IAM ロールを使用するためのベストプラクティス](#best-practices-for-using-iam-role-with-streaming-instances)
+ [WorkSpaces ストリーミングインスタンスで使用するために既存の IAM ロールを設定する](#configuring-existing-iam-role-to-use-with-streaming-instances)
+ [WorkSpaces ストリーミングインスタンスで使用する IAM ロールを作成する方法](#how-to-create-iam-role-to-use-with-streaming-instances)
+ [WorkSpaces ストリーミングインスタンスで IAM ロールを使用する方法](#how-to-use-iam-role-with-streaming-instances)
## WorkSpaces ストリーミングインスタンスで IAM ロールを使用するためのベストプラクティス
WorkSpaces ストリーミングインスタンスで IAM ロールを使用する場合は、以下のプラクティスに従うことをお勧めします。
+ AWSAPI アクションとリソースに付与するアクセス許可を制限します。
IAM ポリシーを作成し、WorkSpaces ストリーミングインスタンスに関連付けられた IAM ロールにアタッチするときは、最小特権の原則に従います。AWSAPI アクションまたはリソースへのアクセスを必要とするアプリケーションまたはスクリプトを使用する場合は、必要な特定のアクションとリソースを決定します。次に、アプリケーションまたはスクリプトがこれらのアクションのみを実行できるようにするポリシーを作成します。詳細については、*「IAM ユーザーガイド」*の[「Grant Least Privilege」](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)(最小権限を付与する) を参照してください。
+ WorkSpaces リソースごとに IAM ロールを作成します。
WorkSpaces リソースごとに一意の IAM ロールを作成することは、最小特権の原則に従うプラクティスです。これにより、他のリソースに影響を与えることなく、リソースのアクセス許可を変更することもできます。
+ 認証情報を使用できる場所を制限します。
IAM ポリシーでは、IAM ロールを使用してリソースにアクセスするための条件を定義できます。たとえば、リクエスト元の IP アドレスの範囲を指定する条件を含めることができます。これにより、認証情報が環境外で使用されなくなります。詳細については、*IAM ユーザーガイド*の「[追加セキュリティに対するポリシー条件を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions)」を参照してください。
## WorkSpaces ストリーミングインスタンスで使用するために既存の IAM ロールを設定する
このトピックでは、既存の IAM ロールを WorkSpaces で使用できるように設定する方法について説明します。
**前提条件**
WorkSpaces で使用する IAM ロールは、次の前提条件を満たしている必要があります。
+ IAM ロールは、WorkSpace ストリーミングインスタンスと同じ Amazon Web Services アカウントに存在する必要があります。
+ IAM ロールをサービスロールにすることはできません。
+ IAM ロールにアタッチされた信頼関係ポリシーには、プリンシパルとして WorkSpaces サービスが含まれている必要があります。*プリンシパル*は、アクションを実行しAWS、リソースにアクセスできる のエンティティです。ポリシーには `sts:AssumeRole` アクションも含める必要があります。このポリシー設定は、WorkSpaces を信頼されたエンティティとして定義します。
+ IAM ロールを WorkSpaces に適用する場合、2019 年 9 月 3 日以降にリリースされたバージョンの WorkSpaces エージェントを WorkSpaces で実行する必要があります。IAM ロールを WorkSpaces に適用する場合、同じ日付以降にリリースされたバージョンのエージェントを用いるイメージを WorkSpaces で使用する必要があります。
**WorkSpaces サービスプリンシパルが既存の IAM ロールを引き受けるようにするには**
以下のステップを実行するには、IAM ロールを一覧表示および更新するために必要なアクセス許可を持つ IAM ユーザーとしてアカウントにサインインする必要があります。必要なアクセス許可がない場合は、お客様の Amazon Web Services アカウント管理者に対し、アカウントでこれらのステップを実行するか、必要なアクセス許可をお客様に付与するかのどちらかを依頼します。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。
1. アカウントのロールの一覧で、変更するロールの名前を選択します。
1. [**Trust relationships**] タブを選択し、続いて [**Edit trust relationship**] を選択します。
1. [**Policy Document (ポリシードキュメント)**]で、信頼関係ポリシーに `workspaces.amazonaws.com` サービスプリンシパルの `sts:AssumeRole` アクションが含まれていることを確認します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"workspaces.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 信頼ポリシーの編集を完了したら、[**信頼ポリシーの更新**] を選択して変更を保存します。
1. 選択した IAM ロールが WorkSpaces コンソールに表示されます。このロールは、ストリーミングインスタンスで API アクションおよび管理タスクを実行するアクセス許可をアプリケーションとスクリプトに付与します。
## WorkSpaces ストリーミングインスタンスで使用する IAM ロールを作成する方法
このトピックでは、WorkSpaces で使用する新しい IAM ロールを作成する方法について説明します。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **[Roles]** (ロール) を選択してから、**[Create role]** (ロールを作成する) を選択します。
1. **信頼できるエンティティの種類の選択** で、**AWS サービス** を選択します。
1. AWSサービスのリストから、**WorkSpaces** を選択します。
1. **「ユースケースの選択**」の**WorkSpaces — WorkSpaces インスタンスがユーザーに代わって AWSサービスを呼び出すことを許可**する」は既に選択されています。**[Next: Permissions]** (次のステップ: 許可) を選択します。
1. 可能な場合は、アクセス許可ポリシーとして使用するポリシーを選択するか、[**ポリシーの作成**] を選択して新しいブラウザタブを開き、新しいポリシーをゼロから作成します。詳細については、*IAM ユーザーガイド*の「[IAM ポリシーの作成 (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)」のステップ 4 を参照してください。
ポリシーを作成したら、そのタブを閉じて元のタブに戻ります。WorkSpaces に割り当てるアクセス許可ポリシーの横にあるチェックボックスをオンにします。
1. (オプション) アクセス許可の境界を設定します。このアドバンスド機能は、サービスロールで使用できますが、サービスにリンクされたロールではありません。詳細については、*IAM ユーザーガイド*の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
1. **[Next: Tags]** (次へ: タグ) を選択します。オプションで、タグをキーと値のペアとしてアタッチできます。詳細については、*IAM ユーザーガイド*の「[IAM リソースのタグ付け](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)」を参照してください。
1. **[次へ: レビュー]** を選択します。
1. [**Role name**] (ロール名) に、Amazon Web Services アカウント内で一意のロール名を入力します。他のAWSリソースはロールを参照する可能性があるため、ロールの作成後にロールの名前を編集することはできません。
1. [**ロールの説明**] に、デフォルトのロールの説明をそのまま使用するか、新しいロールの説明を入力します。
1. ロールを確認したら、**[ロールを作成]** を選択します。
## WorkSpaces ストリーミングインスタンスで IAM ロールを使用する方法
IAM ロールを作成したら、WorkSpaces を起動するときにロールを WorkSpaces に適用できます。既存の WorkSpaces に IAM ロールを適用することもできます。
IAM ロールを WorkSpaces に適用すると、WorkSpaces は一時的な認証情報を取得し、インスタンスに **workspaces\$1machine\$1role** 認証情報プロファイルを作成します。一時的な認証情報は 1 時間有効で、新しい認証情報は 1 時間ごとに取得されます。以前の認証情報は失効しないため、有効である限り使用できます。認証情報プロファイルを使用して、選択した言語で コマンドラインインターフェイス (AWSCLI)、AWSTools for PowerShell、または AWSSDK を使用してAWSプログラムでAWSサービスを呼び出すことができます。
API コールを行う場合、認証情報プロファイルとして **workspaces\$1machine\$1role** を指定します。それ以外の場合、アクセス許可が不十分なため、オペレーションは失敗します。
ストリーミングインスタンスがプロビジョニングされている間、WorkSpaces は指定されたロールを引き受けます。WorkSpaces は VPC にアタッチされている Elastic Network Interface を AWSAPI コールに使用するため、アプリケーションまたはスクリプトは、Elastic Network Interface が使用可能になるまで待ってから AWSAPI コールを行う必要があります。Elastic Network Interface が使用可能になる前に API 呼び出しが行われると、呼び出しは失敗します。
以下の例では、**workspaces\$1machine\$1role** 認証情報プロファイルを使用して、ストリーミングインスタンス (EC2 インスタンス) を記述し、Boto クライアントを作成する方法を示します。Boto は、Amazon Web Services (AWS) SDK for Python です。
**CLI を使用してストリーミングインスタンス (EC2 インスタンス) AWSを記述する**
```
aws ec2 describe-instances --region us-east-1 --profile workspaces_machine_role
```
**AWSTools for PowerShell を使用してストリーミングインスタンス (EC2 インスタンス) を記述する**
AWSTools for PowerShell バージョン 3.3.563.1 以降、Amazon Web Services SDK for .NET バージョン 3.3.103.22 以降を使用する必要があります。AWSTools for PowerShell と Amazon Web Services SDK for .NET を含む AWSTools for Windows インストーラは、[AWSTools for PowerShell](https://aws.amazon.com/powershell/) ウェブサイトからダウンロードできます。
```
Get-EC2Instance -Region us-east-1 -ProfileName workspaces_machine_role
```
**AWSSDK for Python を使用した Boto クライアントの作成**
```
session = boto3.Session(profile_name=workspaces_machine_role')
```
# Amazon WorkSpaces コンソールのオペレーションのアクセス許可に関するリファレンス
一部の Amazon WorkSpaces API は、AWS マネジメントコンソールを介してのみ呼び出すことができます。これらはプログラムで呼び出すことができないという意味ではパブリック API ではなく、どの SDK からも提供されていません。これらの API オペレーションには、以下が含まれます。
+ workspaces:DirectoryAccessManagement
+ workspaces:CreateRootClientCertificate
+ workspaces:UpdateRootClientCertificate
+ workspaces:DeleteRootClientCertificate
+ workspaces:DescribeConsent
+ workspaces:UpdateConsent
## WorkSpaces コンソールのオペレーションとアクションに必要なアクセス許可
コンソールは機能に追加の API アクションを使用するため、WorkSpaces パブリック API のアクセス許可では不十分な場合があります。たとえば、CLI/SDK 経由で [CreateWorkspaces](https://docs.aws.amazon.com/workspaces/latest/api/API_CreateWorkspaces.html) API を使用するアクセス許可を持つユーザーは、ユーザーを選択または作成するための特定のアクセス許可がないため、コンソールで WorkSpace を作成しようとするとエラーが発生する可能性があります。この表は、WorkSpaces コンソールでのみ使用できる機能と、ユーザーがコンソールのこれらの特定部分を使用するために必要な追加のアクセス許可を示しています。
「[ポリシーの例](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-access-control.html#workspaces-example-iam-policies)」セクションには、Personal、Pools、BYOL WorkSpaces のすべての WorkSpaces タスクを実行するためのアクセス許可のリストが含まれています。
また、詳細なアクセス許可を使用し、最小特権のアクセス許可を適用してタスクを実行することもできます。
この表は、SDK によって提供されていない API に依存する WorkSpaces コンソール機能と、ユーザーがコンソールのこれらの特定部分を使用するために必要なアクセス許可を示しています。これらのアクセス許可は、SDK によって提供される API に必要な他のアクションに加えて追加する必要があります。
| WorkSpaces コンソールのオペレーション | 必要なアクセス許可 |
| --- | --- |
| [WorkSpaces Personal の Quick Setup](https://docs.aws.amazon.com/workspaces/latest/adminguide/managing-wsp-personal.html#getting-started) | workspaces:DirectoryAccessManagement ds:\$1 ec2:CreateVpc ec2:CreateSubnet ec2:CreateNetworkInterface ec2:CreateInternetGateway ec2:CreateRouteTable ec2:CreateRoute ec2:CreateTags ec2:CreateSecurityGroup ec2:DescribeInternetGateways ec2:DescribeSecurityGroups ec2:DescribeRouteTables ec2:DescribeVpcs ec2:DescribeSubnets ec2:DescribeNetworkInterfaces ec2:DescribeAvailabilityZones ec2:AttachInternetGateway ec2:AssociateRouteTable ec2:AuthorizeSecurityGroupIngress ec2:AuthorizeSecurityGroupEgress iam:CreateRole iam:GetRole iam:PutRolePolicy workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:RegisterWorkspaceDirectory workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaces |
| [WorkSpaces Personal で信頼されたデバイスへのアクセスを制限する](https://docs.aws.amazon.com/workspaces/latest/adminguide/trusted-devices.html#configure-restriction) | workspaces:CreateRootClientCertificate workspaces:UpdateRootClientCertificate workspaces:DeleteRootClientCertificate ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:DirectoryAccessManagement |
| [コンソールでの WorkSpace Personal における WorkSpace の作成](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-workspaces-personal.html) – Directory Service ディレクトリユーザーを作成/検索/説明する | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:CreateWorkspaces workspaces:DescribeWorkspaces workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaceBundles workspaces:DescribeTags workspaces:CreateTags workspaces:DescribeClientProperties kms:ListKeys kms:ListAliases kms:DescribeKey ds:DescribeTrusts ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| [WorkSpaces Personal におけるユーザーの管理](https://docs.aws.amazon.com/workspaces/latest/adminguide/manage-workspaces-users.html) – ユーザーを編集してユーザー招待メールを送信する | workspaces:DirectoryAccessManagement workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeWorkspaces workspaces:DescribeTags workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspacesConnectionStatus workspaces:DescribeWorkspaceAssociations workspaces:DescribeWorkspaceSnapshots workspaces:DescribeWorkspaceImages workspaces:DescribeConnectionAliases |
| [WorkSpaces Personal の AD Connector アカウント (AD Connector) を更新する](https://docs.aws.amazon.com/workspaces/latest/adminguide/connect-account.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ds:UpdateDirectory ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins |
| [WorkSpaces Personal の組織単位を選択する](https://docs.aws.amazon.com/workspaces/latest/adminguide/select-ou.html) | workspaces:DirectoryAccessManagement ds:DescribeDirectories ec2:DescribeSubnets ec2:DescribeSecurityGroups workspaces:DescribeAccount workspaces:DescribeWorkspaceDirectories workspaces:DescribeTags workspaces:DescribeClientProperties workspaces:DescribeConnectClientAddins workspaces:ModifyWorkspaceCreationProperties |
| [BYOL のアカウントの有効化](https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-windows-images.html) – BYOL WorkSpaces を使用するための要件の理解を確認する | workspaces:DescribeConsent workspaces:UpdateConsent workspaces:DescribeAccount workspaces:ListAccountLinks workspaces:DescribeWorkspaceBundles workspaces:DescribeWorkspaceImages workspaces:DescribeWorkspaceDirectories |
# Amazon WorkSpaces のコンプライアンスの検証
サードパーティーの監査者は、さまざまな AWS コンプライアンスプログラムの一環として Amazon WorkSpaces のセキュリティとコンプライアンスを評価します。このプログラムには、SOC、PCI、FedRAMP、HIPAA などがあります。
特定のコンプライアンスプログラムの対象となる AWS サービスのリストについては、「[コンプライアンスプログラムによる対象範囲内の AWS サービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。一般的な情報については、「[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
AWS Artifact を使用して、サードパーティーの監査レポートをダウンロードできます。詳細については、[AWS Artifactにおけるレポートのダウンロード](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)を参照してください。
WorkSpaces および FedRAMP の詳細については、「 [WorkSpaces Personal で FedRAMP 認証または DoD SRG コンプライアンスを設定する](fips-encryption.md) 」を参照してください。
WorkSpaces を使用する際のお客様のコンプライアンス責任は、お客様のデータの機密性や貴社のコンプライアンス目的、適用される法律および規制によって決まります。AWS では、コンプライアンスに役立つ以下のリソースを提供しています。
+ 「[セキュリティ&コンプライアンスクイックリファレンスガイド](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance)」 – これらのデプロイガイドには、アーキテクチャ上の考慮事項の説明と、AWS でセキュリティとコンプライアンスに重点を置いたベースライン環境をデプロイするための手順が記載されています。
+ 「[Amazon Web Services での HIPAA のセキュリティとコンプライアンスのためのアーキテクチャ](https://docs.aws.amazon.com/pdfs/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.pdf)」 – このホワイトペーパーは、企業が AWS を使用して HIPAA 準拠のアプリケーションを作成する方法を説明しています。
+ [AWS コンプライアンスのリソース](https://aws.amazon.com/compliance/resources/)– このワークブックおよびガイドのコレクションは、お客様の業界と拠点に適用できる場合があります。
+ *AWS Configデベロッパーガイド*の[ルールでのリソースの評価](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – AWS Configは、リソース設定が、社内のプラクティス、業界のガイドラインそして規制にどの程度適合しているのかを評価します。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)– AWSのこのサービスは、 AWS内でのユーザーのセキュリティ状態に関する包括的な見解を提供し、業界のセキュリティ標準、およびベストプラクティスに対するコンプライアンスを確認するために役立ちます。
# Amazon WorkSpaces の耐障害性
AWS のグローバルインフラストラクチャは AWS リージョンとアベイラビリティーゾーンを中心として構築されます。リージョンには、低レイテンシー、高いスループット、そして高度の冗長ネットワークで接続されている複数の物理的に独立および隔離されたアベイラビリティーゾーンがあります。アベイラビリティーゾーンでは、ゾーン間で中断することなく自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、および拡張性が優れています。
AWS リージョンとアベイラビリティーゾーンの詳細については、「[AWS グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
Amazon WorkSpaces は、クロスリージョンリダイレクトも提供します。これは、ドメインネームシステム (DNS) フェイルオーバールーティングポリシーと連携して、プライマリ WorkSpaces が利用できない場合に WorkSpaces ユーザーを別の AWS リージョン内の別の WorkSpaces にリダイレクトする機能です。詳細については、「[WorkSpaces Personal のクロスリージョンリダイレクト](cross-region-redirection.md)」を参照してください。
# Amazon WorkSpaces のインフラストラクチャセキュリティ
マネージドサービスである Amazon WorkSpaces は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS 公開された API コールを使用して、ネットワーク経由で WorkSpaces にアクセスします。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは Java 7 以降など、ほとんどの最新システムでサポートされています。
**Topics**
+ [ネットワークの隔離](network-isolation.md)
+ [物理ホストでの分離](physical-isolation.md)
+ [認証情報ガード/仮想化ベースのセキュリティ (VBS)](credential-guard-vbs.md)
+ [企業ユーザーの承認](authorization.md)
+ [インターフェイス VPC エンドポイントを作成およびストリーミングする](creating-streaming-vpc-endpoints.md)
+ [VPC インターフェイスエンドポイント経由で Amazon WorkSpaces API リクエストを行う](interface-vpc-endpoint.md)
+ [Amazon WorkSpaces の VPC エンドポイントポリシーの作成](api-private-link-policy.md)
+ [プライベートネットワークを VPC に接続する](notebook-private-link-vpn.md)
# ネットワークの隔離
仮想プライベートクラウド (VPC) は、AWS クラウド内の論理的に隔離された領域にある仮想ネットワークです。VPC のプライベートサブネットに WorkSpaces をデプロイできます。詳細については、「[WorkSpaces Personal 用に VPC を設定する](amazon-workspaces-vpc.md)」を参照してください。
特定のアドレス範囲 (企業ネットワークなど) からのトラフィックのみを許可するには、VPC のセキュリティグループを更新するか、[IP アクセスコントロールグループ](amazon-workspaces-ip-access-control-groups.md)を使用します。
有効な証明書を使用して、信頼できるデバイスへの WorkSpace アクセスを制限できます。詳細については、「[WorkSpaces Personal で信頼されたデバイスへのアクセスを制限する](trusted-devices.md)」を参照してください。
# 物理ホストでの分離
同じ物理ホスト上の異なる WorkSpaces は、ハイパーバイザーを介して互いに分離されます。これは、別々の物理ホスト上にあるかのようになります。WorkSpace が削除されると、割り当てられたメモリがハイパーバイザーによってスクラブ (ゼロに設定) されてから、新しい WorkSpace に割り当てられます。
# 認証情報ガード/仮想化ベースのセキュリティ (VBS)
Windows WorkSpaces は、Credential Guard と仮想化ベースのセキュリティ (VBS) を活用して、ハードウェアベースの分離を提供し、オペレーティングシステム内の認証情報を保護できます。Credential Guard または VBS は、グループポリシー設定を使用して無効にできます。
**重要**
VBS を無効にすると、Windows WorkSpace のセキュリティ体制が軽減されます。特定のパフォーマンスまたは互換性のニーズに必要な場合にのみ VBS を無効にします。
**VBS を無効にすることによるセキュリティへの影響**
+ **カーネルレベルの保護の軽減** – OS カーネルは悪意のあるコードに対してより脆弱になります。
+ **認証情報の盗難リスクの増加** – 攻撃者は lsass.exe プロセスから認証情報をより簡単に抽出できます。
+ **コード整合性チェックが無効 –** Hypervisor-Enforced Code Integrity (HVCI) は機能せず、署名されていないドライバーをカーネルモードで実行できます。
+ **エクスプロイトに対する脆弱性の向上** – システムは、システム全体の侵害につながる可能性のある攻撃の影響を受けやすくなります。
+ **高度なセキュリティ機能の喪失** – Windows Defender Credential Guard や System Guard などの機能は意図したとおりに動作できません。
# 企業ユーザーの承認
WorkSpaces では、ディレクトリは Directory Service を介して管理されます。ユーザー用のスタンドアロンのマネージド型ディレクトリを作成できます。または、既存の Active Directory 環境と統合することもできます。統合した場合、ユーザーは現在の認証情報を使用して社内リソースにシームレスにアクセスできます。詳細については、「[WorkSpaces Personal のディレクトリを管理する](manage-workspaces-directory.md)」を参照してください。
WorkSpaces へのアクセスをさらに制御するには、多要素認証を使用します。詳細については、[「 AWS サービスの多要素認証を有効にする方法」](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)を参照してください。
# インターフェイス VPC エンドポイントを作成およびストリーミングする
Virtual Private Cloud (VPC) は、Amazon Web Services クラウド内の論理的に隔離された領域にある仮想ネットワークです。Amazon Virtual Private Cloud を使用してAWSリソースをホストする場合は、VPC と WorkSpaces の間にプライベート接続を確立できます。この接続を使用すると、WorkSpaces はパブリックインターネットを経由せずに VPC のリソースと通信できます。
インターフェイスエンドポイントは、プライベート IP アドレスを使用して指定した VPC 内でトラフィックをストリーミングできるテクノロジーである AWSPrivateLink を利用しています。AWSDirect Connect またはAWS仮想プライベートネットワークトンネルで VPC を使用する場合、ストリーミングトラフィックをネットワーク内に保持できます。
AWSアカウントで VPC エンドポイントを使用して、Amazon VPC と WorkSpaces 間のすべてのストリーミングトラフィックをAWSネットワークに制限できます。エンドポイントを作成したら、それを使用するよう WorkSpaces ディレクトリを設定します。
## 前提条件と制限事項
WorkSpaces 用のインターフェイス VPC エンドポイントを設定する前に、以下の前提条件と制限に注意してください。
+ この機能は現在、IPv4 または IPv6 DNS レコードの IP タイプをサポートしています。デュアルスタック DNS レコードの IP タイプはサポートされていません。
+ ディレクトリAWS アカウントと同じ にある VPC エンドポイントのみを設定できます。共有 VPC のエンドポイントを含め、他の AWS アカウントにある VPC エンドポイントはサポートされていません。
+ この機能は現在、VPC エンドポイントのプライベート DNS 名のみサポートしています。VPC エンドポイントのプライベート DNS 名はパブリックに解決できません。
+ この機能は現在、WorkSpaces Personal でのみ使用できます。WorkSpaces Pools は、ストリーミング用の VPC エンドポイントをサポートしていません。
+ VPC エンドポイント機能は、Amazon DCV を使用する WorkSpaces に対してのみ使用できます。ディレクトリの VPC エンドポイントを設定すると、ユーザーはインターネット経由で Amazon DCV からストリーミングすることはできません。ただし、VPC エンドポイント設定中に、同じディレクトリにある PCoIP WorkSpaces のインターネットストリーミングを有効にできます。
+ VPC 内のストリーミングトラフィックを維持するには、ストリーミング VPC エンドポイントを使用します。WorkSpaces クライアントでは、ユーザー認証でインターネット接続が必要です。認証トラフィックのポート 443 (UDP と TCP の両方) でアウトバウンドアクセスを有効にします。さらに、選択した認証方法に基づき、必要なドメインと IP アドレスを許可リストに追加する必要があります。各カテゴリのドメインの完全なリストについては、「[Domains and IP addresses to add to your allow list](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#whitelisted_ports)」を参照してください。
+ CAPTCHA
+ ディレクトリ設定
+ スマートカードを使用している場合、セッション前のスマートカード認証エンドポイント
+ ユーザーログインページ
+ WS ブローカー
+ SAML シングルサインオン (SSO) 用の Workspaces エンドポイント
+ ユーザーのデバイスが接続されているネットワークは、VPC エンドポイントにトラフィックをルーティングできる必要があります。
+ `ec2:DescribeVpcEndpoints` API アクションを実行するには、AWS アカウントの IAM ユーザーまたは IAM ロールの IAM アクセス許可ポリシーが必要です。
+ WorkSpaces ストリーミング VPC エンドポイントは FIPS 暗号化をサポートしていません。ディレクトリの FIPS 暗号化を既に有効にしている場合は、VPC エンドポイントの設定前に FIPS 暗号化を無効にする必要があります。
+ AWSGlobal Accelerator (AGA) 統合は、VPC エンドポイント経由でストリーミングする場合には使用できません。
+ VPC エンドポイントがディレクトリに設定されている場合、そのディレクトリに指定された IP アクセスコントロールグループは適用されなくなります。
## WorkSpaces ストリーミングの VPC エンドポイントを設定する
WorkSpaces ストリーミング用の VPC エンドポイントを設定するには、次の手順を実行します。
### ステップ 1: セキュリティグループを作成する
このステップでは、これから作成する VPC エンドポイントとの通信を WorkSpaces クライアントに許可するセキュリティグループを作成します。
1. Amazon EC2 コンソールのナビゲーションペインで、**[ネットワーク & セキュリティ]** から **[セキュリティグループ]** に移動します。
1. **[Create a new security group]** (新しいセキュリティグループを作成する) を選択します。
1. **[基本的な詳細]** で、次の操作を行います。
+ **[セキュリティグループ名]** – セキュリティグループの一意の名前を入力します。
+ **[説明]** – セキュリティグループの目的を説明するテキストを入力します。
+ **[VPC]** – VPC エンドポイントがある VPC を選択します。
1. **[インバウンドルール]** に移動し、**[ルールを追加]** を選択して TCP トラフィックのインバウンドルールを作成します。
1. 次のように入力します。
+ **[タイプ]** – [カスタム TCP] を選択します。
+ **[ポート範囲]** – ポート番号 `443`、`4195` を入力します。
+ **[ソースタイプ]** – [カスタム] を選択します。
+ **[ソース]** – ユーザーが VPC エンドポイントに接続するプライベート IP CIDR 範囲、またはその他のセキュリティグループ ID を入力します。IPv4 または IPv6 アドレスソースからのインバウンドトラフィックを許可してください。
1. CIDR 範囲またはセキュリティグループごとに、ステップ 4 と 5 を繰り返します。
1. **[インバウンドルール]** に移動し、**[ルールを追加]** を選択して UDP トラフィックのインバウンドルールを作成します。
1. 次のように入力します。
+ **[タイプ]** – **[カスタム UDP]** を選択します。
+ **[ポート範囲]** – ポート番号 443、4195 を入力します。
+ **[ソースタイプ]** – **[カスタム]** を選択します。
+ **ソース** – ステップ 5 で入力したのと同じプライベート IP CIDR 範囲またはセキュリティグループ ID を入力します。IPv4 または IPv6 アドレスソースからのインバウンドトラフィックを許可してください。
1. CIDR 範囲またはセキュリティグループごとに、ステップ 7 と 8 を繰り返します。
1. **[Create a new security group]** (新しいセキュリティグループを作成する) を選択します。
### ステップ 2: VPC エンドポイントを作成する
Amazon VPC では、VPC エンドポイントを使用して、VPC をサポートされているAWSサービスに接続できます。この例では、WorkSpaces のユーザーが WorkSpaces からストリーミングできるように Amazon VPC を設定します。
1. [Amazon VPC コンソール](https://console.aws.amazon.com/vpc/) を開きます。
1. ナビゲーションペインで、**[エンドポイント]**、**[エンドポイントの作成]** の順に選択します。
1. **[エンドポイントの作成]** を選択します。
1. 以下のことを確認してください。
+ **[サービスカテゴリ]** – **[AWS サービス]**が選択されているようにしてください。
+ **[サービス名]** – **[com.amazonaws.*Region*.highlander]** を選択します。
+ **[VPC]** で、インターフェイスエンドポイントを作成する VPC を選択します。ネットワークが VPC エンドポイントにトラフィックをルーティングする限り、WorkSpaces リソースを持つ VPC とは異なる VPC を選択できます。
+ **[プライベート DNS 名を有効にする]** – チェックボックスがオンになっていることを確認します。ユーザーがネットワークプロキシを使用してストリーミングインスタンスにアクセスする場合は、プライベートエンドポイントに関連付けられているドメインと DNS 名のプロキシキャッシュを無効にします。VPC エンドポイントの DNS 名は、プロキシを介して許可する必要があります。DNS 名前解決を成功させるには、VPC 内のプライベート DNS サーバーを使用することが重要です。これは、パブリック DNS サーバーでは VPC エンドポイント DNS 名を解決しないためです。
+ **[DNS レコードの IP タイプ]** – IPv4 または IPv6 を選択します。デュアルスタック DNS レコード IP タイプは現在サポートされていません。デュアルスタックを選択した場合、VPC エンドポイントを使用して WorkSpaces からストリーミングすることはできません。
+ **[サブネット]** – VPC エンドポイントを作成するサブネット (アベイラビリティーゾーン) を選択します。少なくとも 2 つのサブネットを選択することをお勧めします。
+ **[IP アドレスタイプ]** – 選択したサブネットのサポート対象に応じて、IPv4、IPv6、またはデュアルスタックを選択します。
+ **[セキュリティグループパネル]** – 先ほど作成したセキュリティグループを選択します。
1. (オプション) **[タグ]** パネルで、1 つ以上のタグを作成できます。
1. **[エンドポイントを作成]** を選択します。
エンドポイントの準備ができると、[**ステータス**] 列の値が [**Available**] (利用可能) に変わります。
### ステップ 3: VPC エンドポイントを使用するよう WorkSpaces ディレクトリを設定する
ストリーミング用に作成した VPC エンドポイントを使用するよう WorkSpaces ディレクトリを設定する必要があります。
1. VPC エンドポイントと同じAWSリージョンで [WorkSpaces コンソール](https://console.aws.amazon.com/workspaces/v2/home)を開きます。
1. **ナビゲーション**ペインで、**[ディレクトリ]** をクリックします。
1. 使用するディレクトリを選択します。
1. **[VPC エンドポイント]** セクション、**[編集]** の順に移動します。
1. **[VPC エンドポイントの編集]** ダイアログボックスの **[ストリーミングエンドポイント]** で、作成した VPC エンドポイントを選択します。
1. 必要に応じて、**[PCoIP WorkSpaces を使用するユーザーにインターネットからのストリーミングを許可する]** を有効にします。
**注記**
有効にすると、ユーザーはパブリックインターネット経由で PCoIP WorkSpaces からストリーミングすることができます。有効にしない場合、PCoIP WorkSpaces はストリーミング用の VPC エンドポイントをサポートしていないため、ディレクトリの PCoIP WorkSpaces にアクセスできなくなります。
1. **[保存]** を選択します。
新しいストリーミングセッションのトラフィックは、この VPC エンドポイントを介してルーティングされます。ただし、現在のストリーミングセッションのトラフィックは、引き続き以前に指定したエンドポイントを介してルーティングされます。
**注記**
VPC エンドポイントが指定されている場合、DCV WorkSpaces を使用するユーザーはパブリックインターネットを使用してのストリーミングはできません。
# VPC インターフェイスエンドポイント経由で Amazon WorkSpaces API リクエストを行う
インターネット経由で接続するのではなく、Virtual Private Cloud (VPC) の[インターフェイスエンドポイント](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html)を通じて Amazon WorkSpaces API エンドポイントに直接接続できます。VPC インターフェイスエンドポイントを使用する場合、VPC と Amazon WorkSpaces API エンドポイント間の通信は、 AWS ネットワーク内で完全かつ安全に行われます。
**注記**
この機能は、WorkSpaces API エンドポイントへの接続にのみ使用できます。WorkSpaces クライアントを使用して WorkSpaces に接続するには、「[WorkSpaces Personal の IP アドレスとポートの要件](workspaces-port-requirements.md)」で説明されているように、インターネット接続が必要です。
Amazon WorkSpaces API エンドポイントでは、[Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) インターフェイスエンドポイントがサポートされています。このエンドポイントは、[AWS PrivateLink](https://aws.amazon.com/privatelink/) を使用します。各 VPC エンドポイントは VPC サブネットの 1 つ以上の[ネットワークインスタンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)(別名: Elastic Network Interface (ENI))とプライベート IP アドレスで表されます。
VPC インターフェイスエンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続なしで、VPC を Amazon WorkSpaces API エンドポイントに直接接続します。VPC のインスタンスは、パブリック IP アドレスがなくても Amazon WorkSpaces API エンドポイントと通信できます。
インターフェイスエンドポイントを作成して、 または AWS Command Line Interface (AWS CLI) コマンドを使用して AWS マネジメントコンソール Amazon WorkSpaces に接続できます。手順については、「[インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint)」を参照してください。
*VPC エンドポイントを作成すると*、`endpoint-url` パラメータを使用して、Amazon WorkSpaces API エンドポイントへのインターフェイスエンドポイントを指定する次のサンプル CLI コマンドを使用できます。
```
aws workspaces copy-workspace-image --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com
aws workspaces delete-workspace-image --endpoint-url VPC_Endpoint_ID.api.workspaces.Region.vpce.amazonaws.com
aws workspaces describe-workspace-bundles --endpoint-url VPC_Endpoint_ID.workspaces.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
VPC エンドポイントのプライベート DNS ホスト名を有効にした場合は、エンドポイント URL を指定する必要はありません。CLI および Amazon WorkSpaces SDK がデフォルトで使用する Amazon WorkSpaces API DNS ホスト名 (https://api.workspaces.*Region*.amazonaws.com) は、ご自身の VPC エンドポイントに解決されます。
Amazon WorkSpaces API エンドポイントは、Amazon VPC と Amazon [Amazon WorkSpaces](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services) の両方が利用可能なすべての AWS リージョンで VPC エンドポイントをサポートします。 [https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region)Amazon WorkSpaces では、すべての[パブリック API](https://docs.aws.amazon.com/workspaces/latest/api/welcome.html)を VPC 内に配置します。
詳細については AWS PrivateLink、 [AWS PrivateLink ドキュメント](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink)を参照してください。VPC エンドポイントの料金については、「[VPC の料金](https://aws.amazon.com/vpc/pricing/)」を参照してください。VPC およびエンドポイントの詳細については、「[Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。
リージョンごとの Amazon WorkSpaces API エンドポイントのリストについては、[「WorkSpaces API エンドポイント」](workspaces-port-requirements.md#workspaces_api_endpoints)を参照してください。
# Amazon WorkSpaces の VPC エンドポイントポリシーの作成
Amazon WorkSpaces の Amazon VPC エンドポイントに対するポリシーを作成して、以下を指定することができます。
+ アクションを実行できるプリンシパル。
+ 実行可能なアクション。
+ このアクションを実行できるリソース。
詳細については、*Amazon VPC ユーザーガイド*の「[VPC エンドポイントでサービスへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。
**注記**
VPC エンドポイントポリシーは、連邦情報処理規格 (Federal Information Processing Standards/FIPS)Amazon WorkSpaces エンドポイントではサポートされません。
次の例の VPC エンドポイントポリシーでは、VPC インターフェイスエンドポイントにアクセスできるすべてのユーザーが、Amazon WorkSpaces でホストされた、`ws-f9abcdefg` という名前のエンドポイントを呼び出すことが許可されます。
```
{
"Statement": [
{
"Action": "workspaces:*",
"Effect": "Allow",
"Resource": "arn:aws:workspaces:us-west-2:1234567891011:workspace/ws-f9abcdefg",
"Principal": "*"
}
]
}
```
この例では、以下のアクションが拒否されます。
+ 以外の Amazon WorkSpaces でホストされたエンドポイントの呼び出し`ws-f9abcdefg`。
+ 指定された 1 つのリソース (WorkSpace ID: `ws-f9abcdefg`) 以外のリソースに対するアクションの実行。
**注記**
この例では、ユーザーは VPC の外部からその他の Amazon WorkSpaces API アクションをまだ実行できます。API コールを VPC 内部からに制限するには、ID ベースポリシーを使用して API エンドポイントへのアクセスを制御する方法について「 [WorkSpaces の Identity and Access Management](workspaces-access-control.md) 」を参照してください。
# プライベートネットワークを VPC に接続する
VPC 経由で Amazon WorkSpaces API を呼び出すには、VPC 内にあるインスタンスから接続するか、Amazon Virtual Private Network (VPN) AWS Virtual Private Network (Site-to-Site VPN) または Direct Connect を使用してプライベートネットワークを VPC に接続する必要があります。Amazon VPN については、*Amazon Virtual Private Cloud ユーザーガイド*の「[VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)」を参照してください。AWS Direct Connect の詳細については、*Direct Connect ユーザーガイド*の[「コネクションの作成」](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html)を参照してください。
# WorkSpaces に関する更新管理
定期的に WorkSpaces のオペレーティングシステムやアプリケーションに対してパッチ処理、更新、および保護を行うことをお勧めします。WorkSpaces は、通常のメンテナンス期間中に WorkSpaces によって更新されるように設定することも、自分で更新することもできます。詳細については、「[WorkSpaces Personal のメンテナンス](workspace-maintenance.md)」を参照してください。
WorkSpaces 上のアプリケーションについては、提供されている自動更新サービスを使用するか、アプリケーションベンダーが提供する更新プログラムのインストールに関する推奨事項に従うことができます。