WorkSpaces へのアクセスを制御する方法を教えてください。

所要時間1分

特定のデバイスと IP アドレスのみが WorkSpaces にアクセスできるように、Amazon WorkSpaces にアクセス制御を設定したいと考えています。

解決策

アクセス制御オプションを使用して WorkSpace へのアクセスを制限します。信頼されたデバイスに、オペレーティングシステム (OS) とルート証明書を指定します。

内部認証機関 (CA) が必要であり、次の証明書が必要になります。

WorkSpaces で証明書を作成してデプロイする方法については、「WorkSpaces Personal で信頼されたデバイスへのアクセスを制限する」を参照してください。

IP アドレスアクセス制御グループを作成して、WorkSpace への接続を許可されているパブリック IP アドレス範囲に基づいてアクセスを制限します。許可された IP アドレス範囲は、IP アドレスアクセス制御グループのナビゲーションペインで作成したグループで管理されます。

重要: IP アドレスアクセス制御グループにルールが含まれていることを確認してください。ディレクトリに割り当てられたIP アドレスアクセス制御グループが空である場合、WorkSpace にアクセスするすべてのユーザーにおいて、接続の問題が発生する可能性があります。

IP アドレスアクセス制御グループには次の制限が適用されます。

1 つのディレクトリにつき、最大 25 個の IP アドレスアクセス制御グループが許可されます。
各 AWS リージョンにつき、100 個の IP アドレスアクセス制御グループを使用できます。
ユーザーが NAT ゲートウェイまたは VPN 経由で WorkSpace にアクセスする場合は、パブリック IP アドレスからのトラフィックを許可するルールを作成します。
NAT を使用する場合は、動的 IP アドレスではなく、静的 IP アドレスを使用するように NAT を設定します。

注: ユーザーのパブリック IP アドレスを見つけるには、http://checkip.amazonaws.com/ を使用してください。

Amazon EventBridge を使用してワークスペースを監視することで、ユーザーのログイン元である WAN IP アドレスを取得できます。IP アドレスを取得するには、WorkSpaces イベントを処理するルールを作成し、clientIPAddress フィールドで WAN IP アドレスを確認します。