リファレンスデプロイ

AWS でのリモートデスクトップゲートウェイ

RDP over HTTPS を使用したセキュアな暗号化リモート接続

AWS では、Microsoft Windows ベースのワークロードを、信頼性と安全性に優れた AWS のクラウドインフラストラクチャにデプロイするための、包括的なサービスとツール一式を提供しています。このクイックスタートでは、AWS クラウドにリモートデスクトップゲートウェイ (RD ゲートウェイ) をデプロイします。RD ゲートウェイは、Remote Desktop Protocol (RDP) over HTTPS を使用して、リモートユーザーと Microsoft Windows が実行されている EC2 インスタンス間のセキュアな暗号化接続を確立します。この際、仮想プライベートネットワーク (VPN) 接続を設定する必要はありません。これにより、管理者向けのリモート管理ソリューションを提供しつつ、Windows ベースのインスタンスに対する攻撃対象領域を削減することができます。

クイックスタートに付属した AWS CloudFormation テンプレートを使用して、完全に構成された RD ゲートウェイインフラストラクチャを AWS アカウントにデプロイできます。RD ゲートウェイを AWS アカウント内の新規の Virtual Private Cloud (VPC) にデプロイするか、既存の VPC にスタンドアロンまたはドメイン参加型としてデプロイするかを選択できます。独自の実装の開始点として AWS CloudFormation テンプレートを使用することもできます。

AWS-Logo_Full-Color_100x60

このクイックスタートは、
AWS ソリューションアーキテクトにより開発されたものです。

  •  構築するもの
  •  デプロイ方法
  •  コストとライセンス
  •  構築するもの
  • このクイックスタートを使用して、AWS に次の RD ゲートウェイ環境を自動的にセットアップします。

    • 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。*
    • 独自の仮想ネットワークを実現するため、AWS のベストプラクティスに沿って、パブリックサブネットとプライベートサブネットで構成された VPC。*
    • インターネットへのアクセスを提供するインターネットゲートウェイ。このゲートウェイは RD ゲートウェイインスタンスのトラフィックの送受信に使用されます。*
    • プライベートサブネット内のリソースからのアウトバウンドインターネットアクセスを可能にする、マネージドネットワークアドレス変換 (NAT) ゲートウェイ。*
    • 各パブリックサブネットで、Auto Scaling グループに含まれる最大 4 つの RD ゲートウェイインスタンス。これはプライベートサブネット内のインスタンスへのセキュアなリモートアクセスを提供します。それぞれのインスタンスには Elastic IP アドレスが割り当てられているため、インターネットから直接アクセスできます。
    • RD ゲートウェイインスタンスへの RDP アクセスを提供する Network Load Balancer。
    • RD ゲートウェイロールをホストする Windows ベースのインスタンスのセキュリティグループ。管理者 IP アドレスからの TCP ポート 3389 を許可する Ingress ルールを備えています。デプロイ後は、代わりに TCP ポート 443 を通じて管理アクセスを設定するようにセキュリティグループの ingress ルールを修正します。
    • プライベートサブネットにあるインスタンス用の空のアプリケーション階層。さらに階層が必要な場合は、独自の CIDR 範囲で追加のプライベートサブネットを作成できます。
    • AWS Secrets Manager は、RD ゲートウェイインスタンスへのアクセスに使用される認証情報を安全に保存します。
    • AWS Systems Manager は、RD Gateway Auto Scaling グループのデプロイを自動化します。

    また、このクイックスタートは自己署名 SSL 証明書をインストールし、RD CAP および RD RAP ポリシーを設定します。

    *  クイックスタートを既存の VPC にデブロイするテンプレートは、アスタリスクが付けられたタスクをスキップし、既存の VPC 設定に誘導します。

  •  デプロイ方法
  • デプロイメントガイドの手順に従って、AWS に RD ゲートウェイ環境を構築します。デプロイプロセスには、以下の手順が含まれます。

    1. AWS アカウントをお持ちでない場合は、https://aws.amazon.com でサインアップしてください。
    2. クイックスタートを起動します。それぞれのデプロイの所要時間は約 30 分です。次の 3 つのオプションから選択できます。
    3. ルート証明書のインストールや接続の設定など、デプロイ後のタスクを実行します。

    カスタマイズオプションには、RD ゲートウェイのインスタンスタイプ、デプロイするインスタンスの数、CIDR ブロックのサイズなどがあります。

    Amazon は、クイックスタートで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

  •  コストとライセンス
  • このクイックスタートリファレンスデプロイの実行中に使用した AWS のサービスおよび有料のサードパーティーライセンスのコストは、お客様のご負担となります。クイックスタートを使用しても追加コストは発生しません。

    このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響を与えます。費用の見積もりについては、使用する AWS の各サービスの料金ページをご覧ください。料金は変更される場合があります。

    このクイックスタートでは、Microsoft Windows Server 2012 R2 の Amazon Machine Image (AMI) が起動します。クイックスタートには Windows Server オペレーティングシステムのライセンスが含まれています。AMI はオペレーティングシステムの最新サービスパックに合わせて定期的に更新されるため、更新をインストールする必要はありません。Windows Server AMI には、Client Access Licenses (CAL) は不要で、2 つの Microsoft Remote Desktop Service ライセンスが含まれています。詳細については、AWS での Microsoft のライセンスを参照してください。