Amazon WorkLink – 内部ウェブサイトとアプリケーションにセキュアなワンクリックでモバイルアクセス

ユーザーとその同僚がモバイルデバイスを使用して社内ウェブサイトとアプリケーションに容易にアクセスできるようにします。当社の目標は、ワークフォースに貴重なインターネットコンテンツへの制御されたアクセスを提供する一方で、強力なセキュリティプロファイルを維持することです。

Amazon WorkLinkを紹介
今回は、Amazon WorkLink について説明したいと考えています。コンテンツを修正したり、移行する必要なく、社内ウェブサイトとアプリケーションにシームレスなアクセスが得られます。Amazon WorkLink は完全に管理された従量制のサービスで、組織のニーズに合わせてスケール自在です。セットアップと実行が容易で、既存のサイトやコンテンツを移行したり、修正したりする必要はありません。モバイルデバイスからアクセス可能なドメインに対して完全なコントロールを取得し、ユーザーベースを管理するために、既存の SAML ベースのアイデンティティプロバイダー (IdP) を使用できます。

Amazon WorkLink は、Virtual Private Cloud (VPC) を通じて社内リソースにアクセスできます。リソースは、その VPC 内 (たとえば、EC2 インスタンスでホストされるアプリケーション)、それとピアリングする別の VPC 内、またオンプレミスに存在することができます。オンプレミスの場合、リソースは IPsec トンネル、AWS Direct Connect、または新しい AWS Transit Gateway 経由でアクセスできなければりません。VPC で実行中のアプリケーションは、AWS ネットワークのすべてのトラフィックを維持しながら、AWS PrivateLink を使用して AWS サービスにアクセスできます。

お客様のユーザーはセキュアで、非侵襲的な閲覧経験が得られます。法人のコンテンツは AWS クラウド 内でレンダリングされ、セキュアな接続を通じて各デバイスに配信されます。今後数週間以内に iOS 12 を実行するデバイスのサポートを、Androind 6+ のサポートで開始します。

Amazon WorkLink の内部
Amazon WorkLink は、作成する各 WorkLink フリートにドメインを関連づけます。たとえば、phones.example.com、payroll.example.com、および tickets.example.com を関連付けて、ユーザーが電話帳、給与システム、トラブルチケットシステムにアクセスできるようにすることができます。ドメインをフリートに関連付けるとき、ドメインを管理することをWorkLink に証明することが必要です。WorkLink はドメインの SSL/TLS 証明書を発行してから、ドメインの要求を扱うためにエンドポイントを確立して管理します。

フリートを作成して、WorkLink により提供される電子メールテンプレートを使用して招待をユーザーに拡張することができます。ユーザーは招待を受け付け、WorkLink アプリをインストールし、既存の法人アイデンティティを使用してサインインします。

アプリはそれ自体を第 1 層の DNSリ ゾルバとしてインストールし、WorkLinkフリートにアクセスできるようにデバイスの VPN 接続を設定します。モバイル ユーザーがフリートに関連付けられたドメインにアクセスするとき、要求されたコンテンツがフェッチされ、レンダリングされ、デバイスに TLS 接続全体にベクトル形式で配信され、ユーザーの既存のモバイル ブラウザーでレンダリングされます。お客様のユーザーは通常通り、コンテンツとインターラクトします。ズーム、スクロール、入力はすべて期待通りに動作します。すべての HTML、CSS、および JavaScript コンテンツは他の AWS カスタマーから絶縁された EC2 インスタンスのフリートのクラウドにレンダリングされます。コンテンツはローカルデバイスでブラウザーによりストアされたり、キャッシュされたりしません。クッキーの暗号化バージョンがユーザーデバイスの WorkLink アプリにより保存されます。それらはデバイスでは決して解読されませんが、ユーザーが新しいクラウドレンダリングコンテナを取得するときにセッションを続行するために返送されます。WorkLink に関連付けられていないドメインから出入りするトラフィックは、依然と同様フローし続けますが、WorkLink は通過しません。

Amazon WorkLinkのセットアップ
WorkLink フリートのセットアップのプロセスを順にみていきましょう。正規の法人ネットワークまたはイントラネットがありませんので、何度も手を振らなければなりません。Amazon WorkLink コンソールを開き、[フリートの作成] をクリックして開始します。

フリートにプログラム上の名前 (my-fleet)、表示名 (MyFleet) を指定して、[フリートの作成] をクリックして先に進みます。

マイフリートは数秒で作成され、さらに設定する準備ができます。

my-fleet をクリックして先に進み、必須および任意のセットアップ手順を一目で確認できます。

[Link IdP] をクリックして既存の SAML スタイルのアイデンティティプロバイダーを使用し、[ファイルの選択] をクリックしてマイメタデータプロバイダーを説明する XML ドキュメントをアップロードして、[IdP のリンク] をクリックして先に進みます。

WorkLink はドキュメントを検証して処理し、サービスプロバイダーのメタデータドキュメントを生成します。私はそのドキュメントをダウンロードし、それをアイデンティティプロバイダーのオペレーターに渡します。プロバイダーは折り返し、アイデンティティプロバイダーの SAML フェデレーションをファイナライズするために、ドキュメントを使用します。

次に、[リンクネットワーク] をクリックして、ユーザーを会社のコンテンツにリンクします。新しい VPC を作成するか、既存のものを使用できます。いずれの方法でも、利用状況を最大化するために 2 つ以上のアベイラビリティゾーンのサブネットを選択しなければなりません。選択したサブネットには、フリートにアクセスするユーザーの数をサポートするための十分な空き IP アドレスがあります。WorkLink は各接続ユーザーに対して、Elastic Network Interface (ENI) を作成し、管理します。既存の VPC を使用します。

アイデンティティプロバイダーを設定し、マイネットワークをリンクして、[ドメインの関連付け] をクリックして、私のユーザーがネットワークの一部のコンテンツにアクセスすることができることを示します。ドメイン名を入力し、[次へ] をクリックして先に進みます (www.jeff-barr.com はイントラネットサイトです):

ここでドメインに対するコントロールをもつことを証明する必要があります。DNS 設定を変更するか、電子メールのリクエストに応答することができます。最初のオプションを選択します。

コンソールには、マイドメインに行う必要がある変更 (追加の CNAME レコード) が表示されます。

Amazon Route 53 を使用して、マイ DNS エントリを維持するため、CNAME を追加することは容易です。

Amazon WorkLink は DNS エントリを検証します (これには 4 時間か 5 時間かかる場合があります。電子メールはかなり短時間で済みます)。このステップをすべての該当するドメインに対して繰り返し、さらに後でも追加できます。

マイドメインが検証された後で、[ユーザーの招待] をクリックして、ユーザーに送信できる招待メールを取得します。

ユーザーは単に指示に従い、数分以内に許可されたサイトとアプリケーションへのリモートアクセスを楽しみ始めることができます。以下に例を挙げます。

その他の強力な管理機能には、デバイス ポリシーの設定と使用の機能、および新規または新しい Amazon Kinesis データストリーム への監査ログの配信設定を行う機能が含まれます。

知っておくべきこと
Amazon WorkLinkを評価する際に留意すべきことがいくつかあります。

デバイス サポート – iOS 12 を実行するデバイスに対するサポートを起動しています。Android 6 デバイスのサポートは、数週間で準備ができます。

互換性 – Amazon WorkLink はウェブコンテンツの最新のフォームを処理し、レンダリングするように設計されており、描画ボードでのビデオや音声がサポートされています。Flash、Silverlight、WebGL、またはアプレットを利用するコンテンツはサポートしていません。

アイデンティティプロバイダー – Amazon WorkLink はカスタマーのリクエストやフィードバックに基づいて他のタイプのプロバイダーをサポートする SAML-ベースのアイデンティティプロバイダーで今すぐ使用できます。

リージョン – 今すぐ、北米および欧州で AWS リージョンの Amazon WorkLink フリートを作成できます。他のリージョンのサポートは、今年の後半に展開するように準備しています。

価格設定 – 価格設定は、指定された月のアクティブなブラウザーセッションをもつユーザーの数に基づいています。1 か月あたり 1 アクティブユーザーにつき 5 USD を支払います。

今すぐ利用可能です！
Amazon WorkLink はすでにご利用可能です。今日からすぐに使用を開始できます!

— Jeff;