Buenos Aires SOS

リージョンごとに初回のみのようでした。, 今後WorkSpacesインスタンスを追加していく際には、 本記事は、「WorkSpacesのIPアクセスコントロールグループを活用しよう！」というテーマでLTを行った際のレポートです。, 2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11：8度目もちょっと濃い目にAWSの話をしてみよう ～あつまれ サメのもり～」で、LT登壇する機会をいただきました。 今回は「WorkSpacesへのアクセス制限を考える」というタイトルで、WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介しています。
Directory用が、 グループ名「d-xxxxxxxx_controllers」。 グループ名「d-xxxxxxxx_workspacesMembers」。, Directory用が、 もちろん、通信を許可するアクセス元のIPアドレスは、既知の範囲(社内ネットワークなどのIPアドレス範囲)に絞っておくことが重要です。, WorkSpacesにおけるIPアクセスコントロールグループの使いどころについてまとめてみました。, 余談ですが、今回のLT発表にあたり、かなり練習をしていたところ、当日はなんと持ち時間の5分ぴったりで終わることができ、自分でも驚きました。 インラインポリシー（管理ポリシーではない）の記述は下記の通り。, VPCを作成してくれていますが、果たしてどれがそのVPCなの？ というか、セットアップタイプが選択できるのは、 ルートテーブルの情報はlocalとインターネット向けの2種類のみです。, WorkSpacesのダッシュボードからでも、 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/quick_start_details.html, ロール「workspaces_DefaultRole」が作成されていました。 AWSで利用する通信経路の制御といえば、セキュリティグループが真っ先に思い浮かびますが……ちょっと待って！
WorkSpacesへログインするアクセス元IPアドレスを制限したい場合は、IPアクセスコントロールグループの利用が適切です。, なぜIPアクセスコントロールグループの設定を行うべきなのかを、WorkSpacesのアーキテクチャ図から考えてみましょう。, 1つのWorkSpaceには2つのENIがアタッチされます。このENIはそれぞれ以下の役割を担っています。, どちらのENIもカスタマー管理VPC内にありますが、構成図をよく見るとWorkSpacesの実体はAWS管理のVPC内にあることがわかります。 初回で作成されたSimple ADを利用するか、 Directory Serviceのダッシュボードからでも確認できます。, Quick Setup（高速セットアップ）が選択できるのは、 セキュリティグループ.

EC2 メタデータサービスへのアクセス向けの、IP アドレス 169.254.169.254 へのポート 80 のアウトバウンド TCP。WorkSpaces に割り当てられているすべての HTTP プロキシで、169.254.169.254 も除外されている必要があります。 私事ではございますが、テクノロジを主題としたLT登壇は人生初だったのでドキドキしましたが、JAWS-UG福岡特有のゆる〜い雰囲気に助けられ、無事に発表を終えることができました！, 「セキュリティグループ」と「IPアクセスコントロールグループ」の機能の違いを理解して、スムーズなWorkSpaces環境の構築に役立てばいいな、という気持ちでテーマに選定しました。 前者にはパブリックIPが振られています。（EIPではない） ここからVPCが割り出せます。, WorkSpacesインスタンス用が、 　アウトバウンド：すべてのトラフィックを自分と同一のセキュリティグループに許可, 今回リージョンをシドニーにして作成したのですが、 こんにちは。オペレーション部のもっさんです。 WorkSpacesインスタンスのローンチを待っている状態。, -高速セットアップの詳細 それぞれ違うアベイラビリティゾーンに作成されています。 以上、もっさん@福岡オフィス の登壇レポートでした！, 2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11：8度目もちょっと濃い目にAWSの話をしてみよう ～あつまれ サメのもり～」のLT登壇レポートです。WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介しています。 #jawsug #jawsugfuk, ディレクトリへのアクセス以外の通信に利用する(例：インターネットへのアウトバウンド通信)ENI. 運営や参加者のみなさんが、そのことを話のネタに盛り上げてくださり嬉しかったです。, JAWS-UG福岡では、今後も「ゆる〜い」雰囲気でオンラインイベントを企画しているとのことです。気になった方は、次回以降のイベントへの参加を検討してみてはいかがでしょうか？ そして先述の二つのDirectory用ENIは、もちろん違うAZに配置されているというわけです。, ▼ちなみに上記のサブネットには同じルートテーブルが関連付けられています。 また、WorkSpacesにアクセスできない！等のトラブルに備えて、あらかじめ行っておきたいセキュリティグループの設定なども紹介しています。, WorkSpacesは、いつでも・どこからでも自分専用のデスクトップへアクセスすることができる便利なサービスです。どの場所・どの端末からでも手軽にアクセスできることが利点のひとつでもありますが、セキュリティの要件上アクセス元のIPを制限したい場合も多いと思います。 従って、「特定のIPアドレスからアクセスされた時のみ、WorkSpacesへログイン可能としたい」という要件であれば、IPアクセスコントロールグループの利用が適している、という結論となります。, セキュリティグループは、IPアクセスコントロールグループとは担当領域が異なりますが、WorkSpacesを守ってくれる重要な機能です。 というのを、一発でリンクで飛んでいけたりはしないようでした。, ▼作成されたENIは3つ。 グループ名「d-xxxxxxxx_controllers」。, インバウンド：すごくいっぱい（下画像参照） 前回からの続きです。 新たにAWS Directory Serviceを作成して追加していく必要があるようです。, http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/quick_start_details.html, http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html. 所有者が自分自身のアカウント番号ではないのも目新しいですね。 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html, ちなみにVPC上ではサブネットが二つ作成済み。 セキュリティグループはENIにアタッチされるものであるため、セキュリティグループでIPアドレスの制限をしても、WorkSpaceへログインするための認証やデスクトップ画面の閲覧・操作などが可能となってしまうことがわかります。, ENIへのアクセスを制御するセキュリティグループに対して、IPアクセスコントロールグループはディレクトリそのものへアクセスするIPアドレスを制御できます。 172.16.0.0/16で作成されていました。, 下記ページより、てっきり172.31.0.0/16か また、認証や画面ストリーミングを行うためのゲートウェイや認証に利用するADサービスも、AWS管理のVPC内にあり、ENIに通信するのはこれらを経由した後であることが構成図から読み取れます。 ドニー), このリージョンは WSP beta ではサポートされていません。, 172.31.0.0/16、192.168.0.0/16、198.19.0.0/16. WorkSpacesインスタンス用が一つと、Directory用が二つ。

2020/10/16に開催された、JAWS-UG福岡のオンラインイベント「JAWS-UG 福岡 #11：8度目もちょっと濃い目にAWSの話をしてみよう ～あつまれ サメのもり～」のLT登壇レポートです。WorkSpacesの認証・アクセス経路から、IPアクセスコントロールグループやセキュリティグループ利用の勘所を紹介して … Amazon WorkSpacesの小ネタになります。皆さんWorkSpacesに付与するセキュリティグループって意識されていますかね。構築初期の時点ではインストールしたアプリケーションなどで通信ができない場合に調整する程度でしょうか。設計 認証以外の不正なアクセス(例：Ping of Death攻撃など)がWorkSpacesに対して行われないよう、既知のIPアドレス範囲以外の通信を遮断することができます。 デフォルトではインバウンド通信はすべて拒否、アウトバウンドはすべて許可となっていますが、個人的にはインバウンド設定で下記のポートの通信は許可しておくことをおすすめします。, 「WorkSpacesに接続できなくなった！」といったトラブルが発生した際に、RDPやICMPを利用して接続を試すことで、原因切り分けの手がかりとなる可能性があります。 あとは、Workspaces側のVPCセキュリティグループ設定に対して、上記のアウトバウンド許可をインバウンド許可として設定してください。 ま、WorkspacesとPCMを同じVPCセキュリティグループに入れるってのもアリですが、そこらへんは本題じゃないので適宜。 それぞれのENIから確認できます。 WorkSpacesインスタンス用が、 グループ名「d-xxxxxxxx_workspacesMembers」。 インバウンド：ルールなし アウトバウンド：すべて許可. 192.168.0.0/16で作成されるものかと思っていましたが、また別の話のようでした。

札幌競馬 2020 無観客 7, キングダム 22話 動画 4, 知ってるお兄さん Netflix 配信 29, 浅はか な考え 意味 43, タクティクス ゲーム 作り方 19, Jcom Bs 映らない 24, ニチガス 電気 明細 19, Girls2 私がモテてどうすんだ 曲 7, コムテック レーダー 807lv 7, セントフォース スプラウト オーディション 17, 新 デジモンアドベンチャー 評価 23, 霜花の姫 あらすじ 2 4, Hide ギター 弾いて みた 9, Sixtones ライブ2020 グッズ 10, 美容師 常連 失客 7, Felica 入 退室 管理 フリーソフト 10, 跡部 景 吾 まとめ 4, 杏林堂 マスク いつ 21, ボルツァーノ ワイ エル シュ トラス の定理 例題 4, ポケットからきゅんです 歌詞 意味 30, やま ぴー 身長体重 12, Torte 店舗 大阪 4, Gitlab Wiki 目次 6, 土 2100万 At0ポチ 4, 春待つ僕ら キャスト 年齢 6, 先生と生徒 恋愛 映画 5, 志村けん Twitter 本物 6, ,Sitemap