Amazon Web Services ブログ

Category: Amazon WorkSpaces

2018年2月のAWS Black Belt オンラインセミナーのご案内

こんにちは。ソリューションアーキテクトの有岡です。2018年2月のAWS Black Belt オンラインセミナーの配信についてご案内をさせて頂きます。 re:invent 2017の振り返りを終え、2018年2月のBlackBeltセミナーでは、ソリューションカットとしてAWS上での位置情報と動画配信ソリューション、Amazonのコンテナサービスをご紹介します。 サービスカットでは、クラウド型仮想デスクトップサービスのAmazon Workspaces、同じくBIツールのAmazon QuickSight、AWS Lambdaをエッジロケーションで活用する方法、エンタープライズのお客様でお使いになるケースの多いAWS Organizationsなど、盛り沢山でお送りします。   2月の開催予定 ソリューションカット 2月6日(火) 12:00~13:00 AWS における位置情報 2月13日(火) 12:00~13:00 動画配信 on AWS 2月20日(火) 12:00~13:00 Amazon Container Services サービスカット 2月7日(水) 18:00~19:00 Amazon Workspaces 2月14日(水) 18:00~19:00 AWS Organizations 2月21日(水) 18:00~19:00 AWS Lambda @ Edge 2月28日(水) 18:00~19:00 Amazon QuickSight お申し込みは、それぞれ上記のリンクより行って頂けます。キャンセルの際も連絡不要ですので是非お早めにご登録ください。Speaker、Staff 一同、みなさまのご参加をお待ちしております。    

Read More

プロセッサの投機的実行に関する調査の公開について

【日本語訳】日本時間 2018年02月14日19:30 関連する CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754 日本時間 2018年02月06日09:30 以下は本件に関するアップデートです。 Amazon Linux 用の更新されたカーネルは、Amazon Linux のリポジトリにて入手できます。2018年1月13日以降にデフォルトの Amazon Linux 設定で起動された EC2 インスタンスには自動的に最新のパッケージが含まれています。 最新のパッケージでは、 CVE-2017-5715 に対処するための安定版オープンソース Linux セキュリティの改善がカーネル内に組み込まれています。また 以前取り込まれた CVE-2017-5754 に対処するカーネルページテーブルアイソレーション(KPTI)にもとづいて作成されています。インスタンス内の CVE-2017-5715 のプロセスープロセス間の問題と CVE-2017-5754 のプロセスーカーネル間の問題を効果的に軽減するには、最新の Amazon Linux カーネルまたは AMI にアップグレードする必要があります。詳細は「プロセッサの投機的実行 – オペレーティングシステムの更新」を参照してください。 para-virtualized(PV)インスタンスについては、以下の「PV インスタンスガイダンス」の情報を参照してください。   Amazon EC2   Amazon EC2 のすべてのインスタンスは、CVE-2017-5715、CVE-2017-5753、および CVE-2017-5754 に記載されたインスタンス間の既知の問題すべてから保護されています。インスタンス間での問題は、インスタンスまたは AWS ハイパーバイザーのメモリを近隣の別のインスタンスから読み取ることができると想定しています。この問題は AWS ハイパーバイザーでは解決されており、インスタンスは別のインスタンスのメモリを読み取ることも、AWS ハイパーバイザーのメモリを読み取ることもできません。 […]

Read More

Active Directory証明書サービス(AD CS)によるAmazon WorkSpacesマネージドデバイス認証の構成

ソリューションアーキテクトの渡邉(@gentaw0)です。Amazon WorkSpacesで、クライアント証明書によるマネージドデバイス認証が可能になりました(新機能 – Amazon WorkSpaces 用のマネージド型デバイスの認証)。マネージドデバイス認証を使用すると、あらかじめIT管理者が許可したデバイスからのみ接続を許可することで認証のセキュリティを強化することが可能になります。マネージドデバイス認証は現在、WindowsおよびMac OS Xに対応していますが、iOS、Android、Chrome OS、ウェブ、およびゼロクライアントデバイスからのアクセスをそれぞれ許可またはブロックすることも可能です。 マネージドデバイス認証はセキュリティ強化のための強力な機能ですが、使用するためには認証局(CA)や証明書の配布など公開鍵基盤(PKI)のための仕組みを用意する必要があります。この記事では、Active Directory証明書サービス(AD CS)を使用してクライアント証明書の発行とデバイスの管理をおこなう方法について解説します。 まず、Active Directory証明書サービス(AD CS)をEC2インスタンス上にインストールします。サーバーマネージャーの「役割の追加」から「Active Directory証明書サービス」を選択することでインストールが可能です。今回は、スタンドアロンのルートCAとしてインストールしますが、本番環境ではエンタープライズCAとすると証明書の発行をActive Directoryアカウントと連動して自動的におこなうことが可能です。また、「証明機関Web登録」をインストールすることによってWebサーバー(IIS)の役割があわせてインストールされます。 Active Directory証明書サービスのインストールが完了すると、クライアント証明書の発行と管理が可能になります。まずはAD CSからルート証明書をエクスポートしてAmazon WorkSpacesのディレクトリにインポートします。Amazon WorkSpacesコンソールで「Directories」→「Update Directory Details」を選択し、「Access Control Options」のセクションでBase64エンコードされたルート証明書を貼り付けることでインポートが可能です。 ルート証明書をインポートしたあと、「Only Allow Trusted Windows Devices to Access WorkSpaces」および「Only Allow Trusted MacOS Devices to Access WorkSpaces」のチェックボックスをオンにすることで適切なクライアント証明書がインストールされていないWindowsまたはMac OSデバイスからのアクセスを禁止することができるようになります。また、その他のデバイスタイプについてはプラットフォームごとにアクセスを許可もしくは禁止することが可能です。 次に、クライアント証明書の発行およびインストールをおこないます。ここでは証明機関Web登録を使用してクライアント証明書をリクエストしていきます。WebブラウザからActive Directory証明書サービスのWebサイトにHTTPSでアクセスして、「証明書を要求する」を選択することでリクエストをおこなうことが可能です。 「証明書の要求」では、「証明書の要求の詳細設定を送信」を選択して「証明書の要求の詳細設定」で「このCAへの要求を作成し送信する」を選択します。識別情報に必要な内容を入力し、証明書の種類では「クライアント認証証明書」を選択して要求を送信すると、クライアント証明書のリクエストがActive Directory証明書サービスに送信されます。発行したクライアント証明書をエクスポートする必要がある場合は「エクスポート可能なキーとしてマークする」にチェックしてください。 証明書の要求が完了すると、ステータスが保留中になります。リクエストを承認するためには、サーバーマネージャーでActive Directory証明書サービスを開き、「保留中の要求」からリクエストを承認します。 ふたたびWebブラウザでActive Directory証明書サービスのWebサイトにアクセスし、「保留中の証明書の要求の状態」を選択すると証明書のステータスを確認することが可能です。発行されたクライアント証明書をインストールするか、エクスポートした証明書をクライアントデバイスにコピーします。クライアントデバイスにルート証明書がインストールされていない場合は、あわせてルート証明書もインストールしておく必要があります。 WorkSpaces Client側にクライアント証明書がインストールされていない場合は、以下のようなメッセージが表示されます。クライアント証明書が適切にインストールされていると通常通りのログイン画面が表示され、自分のWorkSpaceにログインできるようになります。 マネージドデバイス認証を利用することで、管理者が許可していないデバイスからWorkSpacesに接続することをふせぐことができるためいままでよりセキュリティを強化することができます。このブログ記事で紹介した手順で、Active Directory証明書サービスを使用してマネージドデバイス認証をかんたんに検証することができます。その他、マネージドデバイス認証の詳細についてはこちらを参照してください。

Read More

新機能 – Amazon WorkSpaces 用のマネージド型デバイスの認証

Amazon WorkSpaces では、ウェブおよびさまざまなデスクトップおよびモバイルデバイスから、クラウド上の仮想デスクトップにアクセスできます。この柔軟性により、WorkSpaces はユーザーが自己所有しているデバイス (BYOD または Bring Your Own Device とも呼ばれます) を使用できる環境に最適です。このような環境では、組織は WorkSpaces にアクセスできるデバイスを管理する機能を必要とする場合があります。たとえば、コンプライアンスまたはセキュリティポリシー要件を満たすため、クライアントデバイスのオペレーティングシステム、バージョン、またはパッチレベルに基づいてアクセスの制御が必要になる場合があります。 マネージド型デバイスの認証 本日、WorkSpaces 用のデバイス認証の提供を開始します。これにより、デジタル証明書を使用して、Apple OSX および Microsoft Windows からのクライアントアクセスを管理できるようになりました。また、iOS、Android、Chrome OS、ウェブ、およびゼロクライアントデバイスからのアクセスを許可またはブロックする選択もできます。ポリシーを実装して、許可するデバイスタイプとブロックするデバイスタイプを、パッチレベルまで管理できます。アクセスポリシーは、各 WorkSpaces ディレクトリに対して設定されます。ポリシーの設定後、クライアントデバイスから WorkSpaces への接続リクエストが評価され、ブロックまたは許可されます。この機能を利用するには、Microsoft System Center Configuration Manager またはモバイルデバイス管理 (MDM) ツールを使用して証明書をクライアントデバイスに配布する必要があります。WorkSpaces コンソールからアクセスコントロールオプションを設定する方法を次に示します。 クライアントが接続を許可されていない場合は、次のようになります。   今すぐ利用可能 この機能は、WorkSpaces が利用できるすべてのリージョンで利用できます。 — Jeff;

Read More

最大 2 か月まで無料で Amazon WorkSpaces をお試しください

私は実際の経験を非常に重視しています。ごくまれな状況を除いて、私のブログの投稿は、該当のサービスを使用してから書いています。「私は Amazon WorkSpace がお気に入りです」という投稿をお読みになっていれば、Amazon WorkSpaces が私にとって最も重要な生産性ツールの 1 つであることをご存知かと思います。お客様ご自身で、WorkSpaces を無料でお試しいただく機会についてお話したいと思います。 新しい Amazon WorkSpaces の無料利用枠では、2 つの標準バンドル WorkSpaces を起動し、最大 2 か月まで 1 か月あたり合計 40 時間ご使用になれます。Windows Server を利用した Windows 7 または Windows Server 10 のデスクトップ体験を選択できます。どちらのオプションにも、Internet Explorer 11、Mozilla Firefox、7-Zip、および Amazon WorkDocs と 50 GB のストレージが含まれています。無料利用枠を利用するには、AutoStop モードで WorkSpaces を実行する必要があります。これはデフォルトで選択されます。未使用の時間は最初の月の末日に期限切れになり、無料利用枠は 2 か月目の末日に期限切れになります。 その後は、Amazon WorkSpaces 料金表ページに記載されている時間レートで課金されます。使用を開始するには、クイックステップの手順に従って、無料利用枠の対象となるバンドルを選択してください。 本特典は、現在 WorkSpaces が利用可能なすべての AWS リージョンでご利用いただけます。 — Jeff;

Read More

ランサムウェア「WannaCry」に関するAWSへの影響について

  2017年5月12日頃からWannaCry(別名、WCry、WanaCrypt0r 2.0、Wanna Decryptorなど)と呼ばれるランサムウェア(身代金マルウェア)による被害が世界中から報告されはじめました。日本でも複数の大手企業がこのマルウェアに感染したというニュースが報道されています。 このマルウェアは、ファイル共有および印刷共有サービスを提供するWindows SMBサーバー上に存在する脆弱性を悪用します。デフォルトでは、SMBサーバーはUDPポート137/138およびTCPポート139/445で動作します。また、Windowsオペレーティングシステムの複数のバージョンが対象で、Microsoft社は、この脆弱性を解消するため、2017年3月14日にMicrosoft Windows SMB Server(4013389)の重要なセキュリティ更新プログラムをリリースしました。詳細は、Microsoft MSRC blog もしくは Microsoft Security Bulletin MS1​​7-010 をご参照ください。   WannaCryによるAWSサービスへの影響   EC2 Windows   Amazon EC2上のWindowsに関しては、AWSから提供されている2017.04.12以降のリリースのAMIであれば、この脆弱性の被害を受けていません。また、自動更新が有効になっている場合も、この脆弱性は解消されています。2017.04.12より前のAMIを使用している、かつ、自動更新を有効にしていないお客様は、前述のセキュリティ更新プログラムをインストールすることをお勧めします。 AWSでは、セキュリティのベストプラクティスに従い、セキュリティグループの設定を確認し、その必要のあるインスタンスおよびリモートホストに対してのみ前述のポートへのアクセスを許可することを、常にお勧めしています。デフォルトでは、EC2セキュリティグループはこれらのポートをブロックします。 AWSのWindows AMIのリリースノートはこちらです。   WorkSpaces   Amazon WorkSpacesに関しては、2017 年4月15日以降にWorkSpaceを作成した、または、自動更新を有効にしたAmazon WorkSpacesのお客様は、この脆弱性の影響を受けません。 2017年4月15日より前にWorkSpaceを作成し、自動更新を有効にしていないお客様は、セキュリティ更新プログラムをインストールするか、 WorkSpaceを終了して再作成することをお勧めします。   Directory Service   AWS Directory Serviceに関しては、2017/05/20時点でパッチ適用作業が完了しました。お客様による対応は必要ありません。Amazon Simple AD、 AD Connector、AWS Cloud Directory はこの問題の影響を受けていません。最新情報につきましては、下の原文へのリンク先をご参照ください。   Elastic Beanstalk   […]

Read More

新しい Samsung DeX と Samsung Galaxy S8/S8+ で Amazon WorkSpaces を使用

テクノロジーの進化とその改良を見るのは実に面白いものです。たとえば、最近の携帯電話にはハイエンドなデスクトップが備えるほどの解像度を持つ画面が使用されているほか、接続性や携帯性においても複数のオプションが提供されています。今週初めに、最新の Samsung Galaxy S8+ スマートフォンと、独自の新しいコンパニオンデバイス、Samsung DeX Station を試す機会に恵まれました。まず、スマートフォンに Android 向けの Amazon WorkSpaces クライアントをインストールし、WorkSpace の登録コードを入力してログインしてみました。これら一連の操作は、こちらの新しいビデオでご覧いただけます。 DeX にはキーボードとマウス用の USB コネクターが含まれています。Bluetooth で操作することもできます。冷却ファン、時間を短縮できるスマートフォンの充電器、HDMI とイーサネットポートも含まれています (スマートフォンのデータ通信または Wi-Fi 接続の使用も可)。すべて一緒にすれば、どこにいてもクラウドベースのデスクトップにアクセスできます。滞在先のテレビやモニターを使用すれば、企業ネットワークのフルアクセスでファイルやその他のリソースにアクセスできるので、旅先の荷物も軽くなります。 — Jeff; PS – 私の WorkSpace についてもう少し詳しく知りたければ「Amazon WorkSpace が大活躍 (I Love my Amazon WorkSpace)」をご覧ください。

Read More

Amazon WorkSpaces の更新 – SSD ボリュームとコストオプティマイザ

長い間ブログをお読みいただいているお客様は、私が Amazon WorkSpaces を非常に気に入ってフルタイムで使用していることをご存知かと思います (詳細については、「Amazon WorkSpace がお気に入りです!」を参照してください)。さまざまなデバイスやウェブブラウザからアクセスできる単一の環境があることにより、作業に集中し、多くの問題を軽減することができます。本日は、SSD ボリュームと WorkSpaces 用の新しいコストオプティマイザについてご紹介します。 新しい SSD ボリューム 本日より、新しく起動されたすべての Amazon WorkSpaces では、ルートボリュームおよびユーザーボリューム用に汎用 SSD ストレージが追加料金なしで使用されます。これらのボリュームにより、マグネティックボリュームよりもパフォーマンスが向上するため、ディスクのレイテンシーの影響を受けるアプリケーションを実行するときに、より高速な起動時間とより良いユーザーエクスペリエンスが得られます。既存の WorkSpaces は、再構築してストレージに SSD ボリュームを使用するようアップグレードすることができます (これにより、システムドライブ (C:) は元の状態にリストアされ、最新の自動スナップショットのコンテンツを使用してデータドライブ (D:) が再作成されます)。システムドライブの既存データはすべて失われます。新しい SSD ボリュームの追加料金はなく、Amazon WorkSpaces が運用されているすべてのリージョンで利用できます (両方の詳細については、WorkSpaces の料金表ページを参照してください)。SSD ストレージの利点を得るため、コンソールから新しい WorkSpaces を起動できます。目的のバンドルを選択し、通常どおり作業を続行します。 WorkSpaces コストオプティマイザ 当社のお客様は、Amazon WorkSpaces を多くの異なる方法で使用しています。単一の組織内でフルタイムで使用するお客様もいれば、移動中や特定のプロジェクトでパートタイムで使用するお客様もいます。WorkSpaces では、お客様のニーズを満たすため、時間別および月別の請求オプションと、必要に応じてそれらを切り替える機能を提供しています。新しい Amazon WorkSpaces コストオプティマイザでは、この柔軟性に基づき、WorkSpaces 使用量データを分析し、結果に基づいて最もコスト効果の高い請求オプションを自動的に適用します。コストオプティマイザは、AWS CloudFormation テンプレートを通じてデプロイされる AWS ソリューションとして提供されます。このソリューションでは、CloudWatch イベント、CloudWatch ログ、AWS Lambda 関数、Amazon […]

Read More

Web Access for Amazon WorkSpaces

2013 年後半に WorkSpaces を発表しました (Amazon WorkSpaces – クラウド内でのデスクトップコンピューティング)。以後、これまでに新しい機能が次々と追加されています。2016 年のハイライトをいくつか以下に紹介します。 2016 年 11 月 – WorkSpaces に GPU を使用したグラフィックスバンドルを追加。 2016 年 10 月 – WorkSpaces が 欧州 (フランクフルト) リージョンで利用可能に。 2016 年 8 月 – WorkSpaces がすべての WorkSpaces バンドルと AWS Marketplace for Desktop Apps をアジアパシフィック (シンガポール) リージョンで時間料金で提供。 2016 年 7 月 – WorkSpaces で自分の Windows 10 デスクトップライセンスを導入可能に。 […]

Read More

新機能 – GPU を使用した Amazon Graphics WorkSpaces

おそらく、私の「Amazon WorkSpace がお気に入りです」という投稿からおわかりかと思いますが、私は一種のおたくです。その投稿を書いてから、自分ひとりではないこと、そして他にもたくさんの WorkSpaces おたくがいることがわかりました。AWS の多くのお客様は、ほとんど私と同じくらい、完全マネージド型でセキュアなデスクトップコンピューティング環境を楽しんでいます。お客様は、ユーザーとしての視点からは、Windows および Mac コンピューター、PCoIP ゼロクライアント、Chromebook、iPad、Fire タブレット、Android タブレットを含む、サポートされているさまざまなデバイスから、WorkSpace にアクセスできることを気に入っています。また、管理者としては、任意の数のユーザー向けに高品質のクラウドデスクトップをデプロイする機能に感謝しています。そして、最後にビジネスリーダーとしては、起動する WorkSpaces に対して時間単位または月単位で支払いが可能なことを気に入っています。 新しいグラフィックスバンドル これらのユーザーは、Value、Standard、Performance という、いくつかの異なるハードウェアを選択するバンドルにすでにアクセスできます。1 つまたは 2 つの vCPU (仮想 CPU) と 2~7.5 GiB のメモリにより、これらのバンドルはオフィスでの生産性の高いユースケースの多くに最適です。現在、私たちは GPU を使用した新しいグラフィックスバンドルを追加して WorkSpaces ファミリーを拡大しています。このバンドルは、CAD、CAM、または CAE ツールをオフィスで使用する 3D アプリケーション開発者、3D モデラー、エンジニアに最適なハイエンドの仮想デスクトップを提供します。そのスペックは次のとおりです。 ディスプレイ – 1,536 個の CUDA コアと 4 GiB のグラフィックスメモリを備える NVIDIA GPU。 プロセッサ – 8 個の vCPU。 メモリ – […]

Read More