Amazon WorkSpaces Web のよくある質問

Q: Amazon WorkSpaces Web とは何ですか?

Amazon WorkSpaces Web は、完全マネージド型のクラウドネイティブなホスト型ブラウザサービスで、プライベートウェブサイトや SaaS (Software-as-a-Service) ウェブアプリケーションに安全にアクセスしたり、オンラインリソースとやり取りしたり、匿名でインターネットを閲覧したりすることができます。WorkSpaces Web は、アプライアンス、インフラストラクチャ、専用のクライアントソフトウェア、または仮想プライベートネットワーク (VPN) 接続の管理で IT 部門に負担をかけることなく、ユーザーの既存の Web ブラウザーと連携して動作します。ウェブコンテンツはユーザーのウェブブラウザにストリーミングされますが、実際のブラウザとウェブコンテンツは AWS で分離されます。Amazon WorkSpaces や Amazon AppStream2.0 などの AWS エンドユーザーコンピューティングサービスを支えているのと同じ基盤テクノロジーを使用することで、WorkSpaces Web は従来の仮想デスクトップよりも費用対効果が高く、会社所有のデバイスに管理ソフトウェアを提供する場合に比べて複雑さを軽減できます。

Q: なぜ WorkSpaces Web を使う必要があるのですか?

WorkSpaces Web は、Web 経由で企業データに安全にアクセスできるようにすると同時に、データ漏洩やリモートデバイスとの危険な接続のリスクを軽減するクラウドネイティブソリューションです。多くのワークロードは、従来のデスクトップ環境から SaaS アプリケーションやカスタムビルドの内部ウェブサイトへと移行しています。その結果、ブラウザは多くのユーザーにとって重要な生産性アプリケーションとなりました。ブラウザトラフィックを保護するための代替ソリューションは、過度に寛容だったり、高価だったり、複雑だったり、ユーザーが会社のデータにアクセスするために使用するデバイスを制限したりすることがあります。

Q: WorkSpaces ウェブは Amazon WorkSpaces ファミリーサービスとどのように関連していますか?

WorkSpaces Web は WorkSpaces ファミリーの一部であり、あらゆるワークロードに対応するフルマネージドで安全で信頼性の高い仮想デスクトップソリューションを提供します。Amazon WorkSpaces では、AWS によって完全に管理された、従来型の完全に永続的な Windows または Linux 仮想デスクトップが提供されています。WorkSpaces Web は、仮想デスクトップよりも低コストで社内の Web サイトや SaaS アプリにアクセスするための安全なホスト型ブラウザを提供します。これらのサービスには、Amazon WorkSpaces シンクライエント など、管理対象であれ管理対象外であれ、さまざまなデバイスからアクセスできます。

Q: WorkSpaces Web の使用を開始するにはどうすればよいですか?

AWS マネジメントコンソールから WorkSpaces ウェブサービスを検索し、希望するリージョンにウェブポータルを作成します。まず、「ウェブポータルの作成」を選択し、アカウントの Amazon 仮想プライベートクラウド (VPC)、サブネット、セキュリティグループを選択します。これらのリソースは、ユーザーがサービスを通じてアクセスするプライベートまたはインターネットベースのリソースとポータルを接続します。次に、インスタンスタイプを選択し、ブラウザポリシー (URL フィルタリング、デフォルトホームページなど)、およびユーザー設定 (クリップボードへのアクセス、File Transfer など) を設定して、ポータル設定を作成します。これらの設定は、ユーザーのセッション中に適用されます。最後に、既存の SAML 2.0 アイデンティティプロバイダー (IdP) (Okta、Ping、AWS IAM アイデンティティセンターなど) をポータルとフェデレートして、ユーザー認証とシングルサインオンを行うことができます。WorkSpaces Web ポータルが作成されると、ユーザーはサインインして閲覧できるようになります。

Q: WorkSpaces Web ではどのように企業のネットワークと通信しますか?

WorkSpaces Web は、特定の Amazon Elastic Compute Cloud (EC2) インスタンスをオンデマンドでプロビジョニングします。ご利用のアカウントで既存の VPC を作成または識別し、WorkSpaces Web トラフィックのサブネットを選択します。Cross-Account Elastic Network Interfaces (X-ENI) を作成するための許可を WorkSpaces Web に付与します。作成された X-ENI は、お客様のアカウントに割り当てられたホストにリンクされます。VPC には、サービスを使用してユーザーにアクセスさせたいコンテンツへの安定した接続が必要です。Google Chrome の 300 以上のユーザーポリシーとデータポリシーを使用してブラウザポリシーを設定および適用したり、File Transfer、クリップボード、ローカルプリンターへのユーザーのアクセスを制御したりできます。お客様は、Amazon VPC からインターネットと内部コンテンツの両方へのネットワークについての責任を負っています。お客様の内部コンテンツは、作成された Amazon VPC (例えば、Amazon EC2 インスタンス上でホストされるアプリケーション) またはその VPC とピアリングした別の VPC 内に置くことができるほか、オンプレミス、またはパブリックインターネットに存在させることもできます。オンプレミスでホストされるリソースは、IPsec トンネル、AWS Direct Connect、AWS Transit Gateway を経由してアクセス可能である必要があります。

Q: エンドユーザーは WorkSpaces Web をどのように使い始めればよいですか?

ポータルを作成したら、ポータル URL をユーザーと共有します。一般的な配布方法には、ポータルを SAML プロバイダーのアプリケーションゲートウェイに追加して ID プロバイダーが開始する認証フローを作成する方法、サービスプロバイダーが開始する認証エクスペリエンスのためにユーザーに URL を直接電子メールで送信する方法、既に所有しているドメインからポータル URL にリダイレクトする方法、管理するデバイスまたはアプリケーションにブックマークまたはリンクとして URL を強制的にインストールする方法などがあります。WorkSpaces Web は WorkSpaces シンクライアントと一緒に使用することもできます。URL を取得すると、ユーザーは SAML ID でサインインし、デバイスのウェブブラウザから Web サイトへのアクセスを開始できます。

Q: WorkSpaces Web ではどのデバイスを使用できますか?

ユーザーは、デスクトップ、ラップトップ、または Amazon WorkSpaces シンクライアントを含むシンクライアントコンピュータから WorkSpaces Web に接続できます。WorkSpaces Web には、Chrome や Firefox などの一般的なウェブブラウザや、Windows、macOS、Linux などの主要なデスクトップオペレーティングシステムでサポートされているウェブクライアントを介してアクセスします。

Q: WorkSpaces Web ではどのようなウェブアプリケーションを使用できますか?

WorkSpaces Web ピクセルは Google Chrome ブラウザの最新バージョンをストリーミングするため、ウェブサイトのコンテンツが Google Chrome で表示される場合、WorkSpaces Web でも表示されます。Google Chrome は Flash や Java を必要とするサイトをサポートしていないため、WorkSpaces Web はそれらのサイトとは互換性がありません。

Q: WorkSpaces Web ではどのようなウェブアプリケーションを使用できますか?

WorkSpaces Web は、内部またはパブリック SaaS ウェブアプリケーションに接続できます。最新の Google Chrome ブラウザで動作する SaaS ウェブアプリケーションであれば、WorkSpaces Web は動作します。

Q: WorkSpaces Web は SaaS アプリケーションと連携していますか?

WorkSpaces Web は、内部またはパブリック SaaS ウェブアプリケーションに接続できます。最新の Google Chrome ブラウザで動作する SaaS ウェブアプリケーションであれば、WorkSpaces Web は動作します。

Q: WorkSpaces Web は E メールと連携していますか?

WorkSpaces Web は E メールのウェブインターフェイスをサポートしています。例えば、エンドユーザーが Microsoft Outlook Web Access を使用してメールにアクセスできるよう設定できます。ただし、WorkSpaces Web はネイティブなメールクライアントのメールには対応していません。

Q: WorkSpaces Web は Web ベースのコラボレーションツールや会議ツールをサポートしていますか?

はい。お客様はインスタンスタイプを最適化できます。これは、インタラクティブ性の高いウェブサイトで特に役立ちます。デフォルトでは、すべてのポータルは静的 Web サイト（Wiki、ディレクトリ、CRM ツール、Web ベースの電子メールなど）の閲覧に最適化されたレギュラーインスタンス上にありますが、管理者はラージインスタンスを選択してメモリを大量に消費するワークロードを有効にし、双方向の音声とビデオをストリーミングするオンライン会議ツールなどのインタラクティブな Web サイトには XL インスタンスを選択できます。

Q: WorkSpaces Web はマイクと Web カメラをサポートしていますか?

はい。ユーザーは、セッション中にマイクまたはカメラ入力をリモート Chrome ブラウザに接続できます。

Q: WorkSpaces Web はどのようにして私のデータを保護しますか?

WorkSpaces Web のセッション中、ウェブコンテンツは WorkSpaces Web からローカルブラウザのユーザーに一時的にストリーミングされます。ストリーミングにより、データがリモートデバイスに常駐することを防ぎ、ウェブコンテンツに仕組まれた攻撃に対して効果的なバリアを提供します。セッションの終了時にはインスタンスが消去されるため、企業が機密データを保護するのに役立ちます。このプロセスの間、転送中のデータはエンタープライズレベルの暗号化によって保護されます。AWS KMS を使って WorkSpaces Web ポータルを作成することを選択できます。KMS により、簡単に暗号キーを作成および管理し、さまざまな AWS のサービスでの使用を制御できます。

Q: WorkSpaces Web における主なセキュリティの差別化要因は何ですか?

WorkSpaces Web は AWS のサービスの 1 つです。したがって、お客様のコンテンツは AWS 標準に準拠した安全な環境で取り扱われます。WorkSpaces Web のユーザーとして、クラウドの一部がお客様のアカウント専用に割り当てられ、お客様のデータのみを処理します。WorkSpaces Web を使用して、クリップボード、ファイル転送、プリンターへのアクセスに対して、エンタープライズブラウザポリシーやセッションコントロールを適用することができます。

Q: WorkSpaces Web は、ウェブブラウザで企業データがキャッシュされるのを防ぎますか?

WorkSpaces Web ピクセルはウェブコンテンツをブラウザにストリーミングし、データがローカルデバイスやウェブブラウザに常駐することを防ぎます。

Q: WorkSpaces Web にアクセスできるデバイスを制限できますか?

デフォルトでは、WorkSpaces Web ではユーザーはどこからでもポータルにアクセスできますが、IP アクセス制御を使用して接続できる IP アドレスをフィルタリングできます。ウェブポータルに関連付けると、IP アクセス設定は認証前にユーザーの IP を検出し、ユーザーが接続できるかどうかを判断します。接続が完了すると、WorkSpaces Web はユーザーの IP アドレスを継続的に監視し、ユーザーが信頼できるネットワークから引き続き接続されていることを確認します。ユーザーの IP アドレスが変更されると、WorkSpaces Web はセッションを検出して終了します。

Q: セッション中にユーザーがアクセスできる Web サイトを制御できますか?

URL フィルタリングを使用して、ユーザーがアクセスできる URL を制御できます。コンソールを使用して、ポータル設定として URL の許可リストと拒否リストを作成するか、URL フィルタリングを含むブラウザポリシー JSON ファイルをアップロードできます。また、VPC をウェブプロキシに接続することで、ポータルからインターネットへのアウトバウンド通信を制御することもできます。HTTP アウトバウンドプロキシを設定することで、ウェブブラウザに組み込まれた Chrome のポリシーを使用してプロキシを設定できます。たとえば、インターネットへのゲートウェイとしてウェブプロキシを使用する場合、ドメインの許可リストやコンテンツフィルタリングなどの予防的なセキュリティ制御を実装できます。

Q: Workspaces ウェブは YubiKey をサポートしていますか?

YubiKey を WorkSpaces Web で使用するには 2 つの方法があります。IdP とのセッションの開始時に、YubiKey を使用してユーザーアクセスと認証を行うことができます。セッション中に OTP で YubiKey を使用することもできます。U2F のサポートは間もなく開始されます。

Q: WorkSpaces Web はユーザーのアクセスと認証をどのように管理していますか?

WorkSpaces Web は、既存のシステムで動作し、ユーザー管理用のレイヤーを追加しないよう設計されています。ユーザー認証とフェデレーションサインインでは、既存の SAML 2.0 準拠の ID プロバイダー (AWS IAM アイデンティティセンター、Okta、または Ping ID など) を使用します。ポータルは、サービスプロバイダーが開始する認証フローまたは ID プロバイダーが開始する認証フローをサポートできます。

Q: WorkSpaces Web はシングルサインオンをサポートしていますか?

Web ポータル用に設定したのと同じ SAML プロバイダーを使用する Web サイトでは、シングルサインオンをサポートできます (たとえば、Okta を使用してポータルとログイン保護された Web ドメインへの認証を行う場合)。ウェブポータルでシングルサインオン用の WorkSpaces Web 拡張機能を有効にして、エンドユーザーにローカル拡張をインストールしてもらうだけです (Chrome または Firefox ブラウザーで利用可能)。その後、エンドユーザーが WorkSpaces Web ブラウザーで認証されると、サービスが IdP サインイン Cookie を保護対象ドメインにシームレスに渡し、追加のサインインをプリエンプトします。

Q: どのようなサービスモニタリング情報がありますか?

Amazon WorkSpaces Web は CloudWatch を使用してモニタリングできます。CloudWatch は未加工データを収集し、それを読み取り可能でほぼリアルタイムのメトリックスに処理します。これらの統計は 15 か月間保持されるため、履歴情報にアクセスして、Web アプリケーションまたはサービスのパフォーマンスをより正確に把握できます。Kinesis データストリームを介して、セッションデータと URL レコードのユーザーアクセスログを有効にすることもできます。

Q: WorkSpaces Web API では、AWS CloudTrail にアクションがログ記録されますか?

はい。自身のアカウントで実行された WorkSpaces Web API コールの履歴を受信するには、AWS マネジメントコンソールで CloudTrail を有効にします。

Q: WorkSpaces Web のコストはいくらですか?

WorkSpaces Web は従量制料金のサービスで、最低料金、前払いの義務、長期契約はありません。各ユーザーには 1 か月あたり最大 200 時間のストリーミングアクセスが可能で、サービスに接続したユーザー数に基づいて毎月課金されます。各ユーザーの料金は、ウェブポータル用に選択したインスタンスタイプとリージョンによって異なります。最新情報については、料金ページを参照してください。

Q: WorkSpaces Web はどの AWS リージョンで利用できますか?

WorkSpaces Web は、米国東部 (バージニア北部)、米国西部 (オレゴン)、カナダ (中部)、アジアパシフィック (ムンバイ)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、欧州 (アイルランド)、欧州 (ロンドン)、および欧州 (フランクフルト) のリージョンで利用できます。