Amazon WorkSpaces における異常検出

本記事は、Anomaly Detection in Amazon WorkSpaces を翻訳したものです。

この投稿は、Alec Bryan によって寄稿されました。

Amazon WorkSpacesは、AWS上で動作するフルマネージドでセキュアなDesktop-as-a-Service（DaaS）ソリューションです。お客様は、WorkSpacesを導入することで、働く場所を問わず、ユーザーに拡張性のあるエンドユーザーコンピューティングを提供しています。WorkSpaces Streaming Protocol (WSP)のリリース以降、USBやスマートカードのサポートなどの追加機能により、WorkSpacesへの移行でこれらの機能を利用できるワークロードが増えています。

ユーザーがどこにいても仕事ができるようになったことで、お客様はユーザーがWorkSpacesを介して様々なリソースにアクセスできることを確実にするという新たな課題に直面しています。ユーザーに問題が発生した場合、サポートチームは迅速かつ効果的に対応しなければなりません。ユーザーが接続できるようにするには、サービスプロバイダー、物理的な場所、エンドユーザーのデバイスなどの外部要因を考慮する必要があります。クライアントのハードウェアのソフトウェアや設定の変更に加えて、インターネット、または内部ネットワークでのネットワークの停止も考えられます。リモートワーカーの場合、ユーザーからサポートチームへのフィードバックが遅れ、想定される問題の根本原因を特定するまでの貴重な時間が失われることがあります。

このブログ記事では、ユーザー接続性の異常を警告する通知を設定する方法を紹介します。これにより、潜在的な問題を認識し、特定することによりユーザーへの影響範囲を把握することができます。

ソリューションの概要

WorkSpacesから通知されるAmazon CloudWatchのメトリクスを使って、ユーザーが接続できないことを通知することができます。

この記事では、以下の手順をご紹介します。

• WorkSpacesに現在関連付けられているAWS Directory Serviceのディレクトリを確認します。
• WorkSpacesディレクトリのUserConnectedメトリックにCloudWatchアラームを作成します。
• メトリクスが異常レベルを下回ったら通知を送信します。

前提条件

• AWSアカウント
• 1つ以上のディレクトリ（AWS Managed Microsoft AD、Simple ADおよびAD Connectorがすべてサポートされています）と、各ディレクトリの下で少なくとも1つのWorkSpace（PCoIPとWSPの両方がサポートされています）が起動されていること（Amazon WorkSpacesを使用した仮想デスクトップの起動を参照）。
• CloudWatchアラームを表示および作成するためのIAMポリシー。

実装方法

まず、監視したいWorkSpacesとそのWorkSpacesが所属するディレクトリを特定します。

WorkSpacesが使用するディレクトリの確認

1. Amazon WorkSpacesコンソールにログインします。
2. ナビゲーションペインのディレクトリをクリックします。
3. WorkSpacesに登録されているディレクトリの数を確認します。複数のディレクトリを持っている場合、どのディレクトリがWorkSpacesで使用するために登録されているかを確認します。登録されているディレクトリが1つしかない場合は、CloudWatch メトリクス異常アラームの設定に進みます。

• • WorkSpacesに複数のディレクトリが登録されている場合は、ナビゲーションペインのWorkSpacesをクリックすることで、どのディレクトリでWorkSpaceが起動されているかを確認できます。
  • 次に、ページ右上の歯車アイコンをクリックして列の表示/非表示メニューを表示し、組織名の隣のチェックボックスをクリックします。このオプションを選択すると、各WorkSpaceのディレクトリが表示されます。これにより、各ディレクトリに関連するWorkSpacesのユーザー名を確認することもできます。

CloudWatch メトリクス異常アラームの設定

1. Amazon CloudWatchコンソールにログインします。
2. ナビゲーションペインでメトリクスをクリックします。
3. リストからWorkSpacesを選択し、続いて組織名別を選択します。
4. 各ディレクトリのDirectoryIdがUserConnectedメトリクスとともにリストアップされます。監視したいWorkSpacesを含む各ディレクトリに対して、このメトリクスを選択します。
5. グラフ化したメトリクスタブを選択し、統計を合計に変更します（まだ選択されていない場合）。
6. グラフ化されたデータの表示時間を変更します（1週間以上を推奨）。ユーザーが同時に接続しているWorkSpacesの最大数を観察し、記録します。

WorkSpacesが所属するディレクトリごとのCloudWatch 異常アラームの作成

1. Amazon CloudWatchコンソールで、アラームをクリックし、アラームの作成をクリックします。
2. ウィザードのステップ1で、メトリクスの選択をクリックします。
3. WorkSpaces -> 組織名別を選択し、前のステップで特定したメトリクスを見つけます。
4. ディレクトリの1つを選択し（アラームごとに選択できるメトリックは1つだけです）、メトリクスの選択を選択します。
5. 選択したメトリクスの統計を合計に変更します。
6. 条件のしきい値の種類を異常検出に変更し、UserConnectedが次の時のオプションをバンドより低いに設定します。
7. 異常検出のしきい値については、ページ上部のグラフを参考にして、ユーザー接続性の標準的な変動量を目安にして、この値を変更することをお勧めします。この値は、アラームが誤検知した場合、いつでも調整できます。そのため、このしきい値は、通常の状態でアラームが発生しないような最低の数値に抑えることをお勧めします。次へをクリックします。
8. ステップ2では、アラーム状態トリガーとしてアラーム状態を選択し、異常発生時に通知を行う既存または新規SNSトピックを選択します。次へをクリックします。
9. ステップ3では、アラームの名前を入力します。アラームで監視されるディレクトリIDを含めることをお勧めします。
10. ステップ4では、選択した設定を確認し、アラームの作成を選択して確定します。

まとめ

これで完了です！アラームを作成した各ディレクトリ内のすべてのWorkSpacesが監視されます。ユーザー接続数がしきい値を下回ると、選択した通知タイプによって、問題とそれがユーザーに与える影響の範囲が通知されます。

翻訳はプロフェッショナルサービスの野村が担当しました。