本ソリューションは、Amazon Web Services (AWS) クラウドにリモートデスクトップゲートウェイ (RD ゲートウェイ) をデプロイします。RD ゲートウェイは、Remote Desktop Protocol (RDP) over HTTPS を使用して、リモートユーザーと Microsoft Windows が実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンス間で、仮想プライベートネットワーク (VPN) を使用せずに暗号化接続を確立します。これにより、管理者向けのリモート管理ソリューションを提供しつつ、Windows ベースのインスタンスに対する攻撃を削減することができます。

ソリューションに付属した AWS CloudFormation テンプレートを使用して、完全に構成された RD ゲートウェイインフラストラクチャを AWS アカウントにデプロイできます。RD ゲートウェイを AWS アカウント内の新規の仮想プライベートクラウド (VPC) にデプロイするか、既存の VPC にスタンドアロンまたはドメイン参加型としてデプロイするかを選択できます。カスタム実装の開始点として AWS CloudFormation テンプレートを使用することもできます。

このソリューションは AWS によって開発されました。


AWS Service Catalog の管理者は、このアーキテクチャをご自分のカタログに追加できます。 

  •  構築するもの
  • このソリューションを使用して、以下の RD ゲートウェイ環境を AWS にセットアップします。

    • 2 つのアベイラビリティーゾーンにまたがる可用性の高いアーキテクチャ。*
    • 独自の仮想ネットワークを実現するため、AWS のベストプラクティスに沿って、パブリックサブネットとプライベートサブネットで構成された VPC。*
    • インターネットへのアクセスを提供するインターネットゲートウェイ。このゲートウェイは RD ゲートウェイインスタンスのトラフィックの送受信に使用されます。*
    • プライベートサブネット内のリソースからのアウトバウンドインターネットアクセスを可能にする、マネージドネットワークアドレス変換 (NAT) ゲートウェイ。*
    • 各パブリックサブネットで、Auto Scaling グループに含まれる最大 4 つの RD ゲートウェイインスタンス。これはプライベートサブネット内のインスタンスへのセキュアなリモートアクセスを提供します。それぞれのインスタンスには Elastic IP アドレスが割り当てられているため、インターネットから直接アクセスできます。
    • RD ゲートウェイインスタンスへの RDP アクセスを提供する Network Load Balancer。
    • RD ゲートウェイロールをホストする Windows ベースのインスタンスのセキュリティグループ。管理者 IP アドレスからの TCP ポート 3389 を許可する Ingress ルールを備えています。デプロイ後は、代わりに TCP ポート 443 を通じて管理アクセスを設定するようにセキュリティグループの ingress ルールを修正します。
    • プライベートサブネットにあるインスタンス用の空のアプリケーション階層。さらに階層が必要な場合は、独自の CIDR 範囲で追加のプライベートサブネットを作成できます。
    • AWS Secrets Manager は、RD ゲートウェイインスタンスへのアクセスに使用される認証情報を安全に保存します。
    • AWS Systems Manager は、RD Gateway Auto Scaling グループのデプロイを自動化します。

    また、このソリューションは自己署名 SSL 証明書をインストールし、RD CAP および RD RAP ポリシーを設定します。

    * ソリューションを既存の VPC にデプロイするテンプレートは、アスタリスクが付けられたタスクをスキップし、既存の VPC 設定に誘導します。

  •  デプロイ方法
  • デプロイメントガイドの手順に従って、AWS に RD ゲートウェイ環境を構築します。デプロイプロセスには、以下の手順が含まれます。

    1. AWS アカウントをまだお持ちでない場合は、https://aws.amazon.com でサインアップしてください。
    2. ソリューションを起動します。それぞれのデプロイの所要時間は約 30 分です。以下のオプションから選択できます。
    3. ルート証明書のインストールや接続の設定など、デプロイ後のタスクを実行します。

    カスタマイズオプションには、RD ゲートウェイのインスタンスタイプ、デプロイするインスタンスの数、CIDR ブロックのサイズなどがあります。

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

  •  コストとライセンス
  • このソリューションでは、Microsoft Windows Server 2012 R2 の Amazon マシンイメージ (AMI) が起動します。クイックスタートには Windows Server オペレーティングシステムのライセンスが含まれています。AMI は定期的に最新のサービスパックに更新されるため、アップデートをインストールする必要はありません。Windows Server AMI には、Client Access Licenses (CAL) は不要で、2 つの Microsoft Remote Desktop Service ライセンスが含まれています。詳細については、Microsoft Licensing on AWS を参照してください

    このソリューションの実行中に使用した AWS のサービスおよびサードパーティーライセンスのコストは、お客様のご負担となります。このソリューションを使用しても追加コストは発生しません。

    このソリューションには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、利用する AWS の各サービスの料金ページを参照してください。料金は変更される場合があります。

    ヒント: ソリューションをデプロイした後、 AWS Cost and Usage Report を作成し、関連するコストを追跡します。これらのレポートは、お客様のアカウントでの Amazon Simple Storage Service (Amazon S3) バケットへの請求メトリクスを提供します。毎月の使用量に基づいてコストを見積もり、月末のデータを集計します。詳細については、 AWS Cost and Usage Report とはを参照してください。