AWSNetwork

Amazon Workspacesをテレワークで使いたい【導入前に疑問を解決】

AWS

新型コロナウイルスの影響でテレワークを必要とする会社が増えています。

しかしながら、情シス部門が社内にないような会社の場合「一体どうやってテレワークをすれば良いのかわからない(;_;)」という経営者や1人情シス担当者の方は多くいるのではないでしょうか。

また、ノートPCを全員持っていないので自宅PCから接続させたいけどセキュリティ上の懸念がある場合など、会社ごとに直面している問題もあるかと思います。

テレワークする方法はたくさんありますが、その中の1つの選択肢としてクラウドサービスである「Amazon Workspaces(以後Wokspaces)」というVDIサービスがあります。

Wokspacesの概要については公式サイトを確認していただけばよいのですが、公式サイトの説明だけでは具体的な使い方や注意点などがイメージしにくいと思います。

また、会社へ最初にWorkspacesを導入する際には、どのようなサービスで、コストはどれくらいかかって、セキュリティはどうなるか、などの情報を事前に上司などのステークホルダーに説明する必要があるかと思います。

私も実際に顧客などに対してWokspacesについて事前説明することがありますが、説明の際には様々な質問をうけます。

やはりAWSはクラウドサービスのため多くの不安があったり、理解が難しいといった方が多いように思われます。

そこで今回はWorkspacesをテレワーク用として導入しようとしている方を対象に「サービス内容」や「コスト」、「構築手順」、「セキュリティ」などについて、これまで私が実際に説明に利用してきた要点をまとめた内容を説明したいと思います。

是非とも参考になれば幸いです。

今回は2020/3/19にAWSからアナウンスがありました2020年6月末まで条件付きで最大50人のユーザーが Amazon WorkSpaces と Amazon WorkDocs を無料ディスカウント、についての内容も含めてまとめてます。

「Amazon Workspaces」とは?

Amazon WorkSpaces は、マネージド型でセキュアなサービスとしてのデスクトップ (DaaS) ソリューションです。簡単にWindowsまたはLinuxのVDIを作成して利用できます。基本的なサービスの説明にいては公式サイトを確認してください。

Workspaces構築に必要となるもの

Workspacesには当然AWSアカウントが必要です。

合わせてWorkspacesサービスの他に「ディレクトリサービス」が必須となります。Workspacesのユーザ情報の管理のために使います。

なお、混同しがちですが、WorkspacesのユーザはIAMアカウントではありません。ディレクトリサービスのユーザー管理されます。

さらに社内とVPNで接続したい場合には「VPNゲートウェイ」も必要となります。

利用にかかる費用(新型コロナ割引、2020年6月末まで)

まずは利用料金についてですが新型コロナウイルス対策として2020年6月30日までの期間で無料枠が拡大されています。

無料となるバンドルと利用できる時間

AWS料金ページについてですが、リージョンごとで大分値段がかわるので注意です。リージョンとOSバンドルの表が結構わかりにくくて間違いやすいので注意です!

無料期間の間だけ利用するのであればパフォーマンスバンドルがお得ですね。もしも延長して利用する場合にはバンドル変更もあとで可能です。

以下はTokyoリージョンの価格です(2020年4月時点)

バンドルディスク無料利用時間月額料金時間料金
Windows Standard(2 vCPU、4 GiB メモリ)80GB+50GB10,000時間/月まで47 USD14 USD/月 + 0.40 USD/時間
Windows Performance (2 vCPU、7.5 GiB メモリ)80GB+100GB200時間/月まで65 USD19 USD/月 + 0.61 USD/時間
Windows Value(1 vCPU、2 GiB メモリ)80GB+10GB200時間/月まで34 USD10 USD/月 + 0.30 USD/時間
Linux Standard(2 vCPU、4 GiB メモリ)80GB+50GB400時間/月まで43 USD14 USD/月 + 0.36 USD/時間

バンドルとはOSやスペック(CPU/メモリ)のことです。通常状態の無料枠は「Windows Standard 80GB+50GBが40時間/月まで無料」だけです。

10,000時間はいわゆる無制限と同じ意味ですね。200時間は平日8時間起動であれば25日分となりますので十分無料枠の範囲内で利用できるはずです。

なお、通常料金に戻った際の月額料金と時間料金の損益分岐点については、バンドルにもよりますがおおよそ「月80時間」です。80時間だと1日8時間で10日です。

無料枠の注意点

  • 無料枠はAutoStopモード(時間料金)である必要があります。AlwaysOn(月額料金)は対象外
  • MS Office2016付きのバンドルを利用した場合は対象外です。(Officeは月額 15 USDかかります)
  • カスタムバンドルを作った場合もおそらく対象外
  • 最大50人(50台)までが対象

他にかかる費用

Workspacesの利用については無料枠を使えるのですが、他に料金が必要となるサービスが必要なので費用がかかります。構成にもよりますが例としては以下のような料金がかかります。

なお、ディレクトリサービスは30日間無料で利用できます。

  • ディレクトリサービス【必須】 → Simple AD(Small)の場合:0.08 USD/H = 57.6USD/月
  • ータ転送(アウト)料金【必須】 → 月に1TB利用した場合:0.114USD/GB なので1TBで114USD、100GBで11.4USD
  • VPNゲートウェイ料金(使う場合) → SiteToSite構成だと:0.15USD/H = 108USD/月
  • NATゲートウェイ料金(使う場合) → 0.062USD/H = 44.64USD/月 + 通信量に応じた課金(0.062USD/G)

これだけでもそこそこかかります。最低限の構成であるディレクトリサービスとデータ転送料金だけでも最低でも月1万円くらいはかかる思っていてよいのではないでしょうか

Workspacesの基本

まず基本となる部分についてメモです。ここは全部重要です。

  • workspacesの利用にはIAMアカウントは不要
  • ディレクトリサービスが必須
    • アカウント名、姓名、メールアドレスを登録
  • AWSにあるサービスの種類は3つ
    • ①Simple AD <- 単機能
    • ②AD Connector <- オンプレと連携する時に使う
    • ③AWS Directory Service <-いわゆるAD
  • 接続には専用クライアントソフトを使う。色々なOSに対応してる
  • バンドル → OSとかスペックの種類のこと
  • 起動モードは2種類
    • AlwaysOn … 月額
    • AutoStop … 時間 <- 無料プランはこっち
  • Windows10バンドルといっているが実際にはWindows2016が起動する、インストール必要なアプリなど注意
  • バンドルは後からでも変更できる

セキュリティ関連

  • workspacesからローカルPCへのデータコピーは不可
  • テキストのコピペはできる
    • もしコピペを禁止したければローカルグループポリシーで制御できる(はず)
  • 接続元のOS種類やIPアドレスで制限できる
  • workspacesからインターネットにアクセスは可能、IGW作る
    • ここら辺は基本的にVPCの概念、セキュリティグループとかでも制御できる
  • 多要素認証(MFA)したいならSimpleADではできない。
  • OSのAdministrator権限持すかは管理者側で制御可能
  • PCoIPのポート(TCP/UDP 4172)を利用する、社内でFirewallある場合は開放する必要あり。
    • AWSのサイトにWorkspaces GatewayのIPアドレスは公開されている、リージョンごとに違う。
  • Workspacesのディスクは暗号化できる
  • メンテナンスモードという設定がある、有効にすると自動的に停止しているマシンを起動して月に1回アップデートしてくれる。AutoStopモードである必要あり。

Workspaces構築の流れ

  • 初回は高速モードを使って構築するのがオススメ
    • 最初に必要となるSimpleADとかIAM Role設定とかを自動でやってくれるため
      • 特にIAM Role作ってくれるのが良い
    • 初回だけしか高速モードはできない
    • 高速モードで進めるとすぐにworkspacesの構築が終わる
    • 高速モードでは172.16.0.0/16のVPCが作られ、172.16.0.0/24と172.16.1.0/24の2つのサブネットが作成される
  • Workspace作成までの流れ
    • 管理者側の作業
      • ユーザー追加 ← アカウント、姓名、メールアドレス登録
      • Workspacesバンドル選択
      • 作成でユーザーへメール送信
    • ユーザー側の作業
      • メール受信、メール内の案内に従う
      • ユーザーのパスワードの設定
      • クライアントソフトのダウンロード、インストール
      • クライアント起動、登録コード、ユーザ名/パスワード入力してログオン

その他

  • Workspaces作るのに20分かかる
  • 1ユーザに対して1Workspacesだけ割り当て可能。一人は複数持てない
  • 共有ユーザを利用していて接続中のWorkspacesに別の人が接続したらどうなる?
    • あとから接続した人のセッションが有効、前の人は切断される
  • Workspacesを全て削除して利用をやめてもディレクトリサービスやVPCなどは残る。忘れずに削除すること、特にディレクトリサービスは料金発生するため
  • Workspacesから抜ける方法は3つ
    • 切断 <- セッションは残る
    • 終了 <- シャットダウン
    • 再起動
  • シャットダウンしているWorkspacesにログオンすると自動的に起動する
  • カスタムバンドル関連
    • カスタムバンドル作るときはイメージ作成→カスタムバンドル作成の流れ
    • イメージ作成には45分かかる
    • カスタムバンドルというかイメージ作成の対象はシステム領域(Cドライブ)だけなので、デスクトップとかのユーザ領域はリセットされるので注意。デスクトップのショートカットとかお気に入りとか。
    • ディスク暗号化しているとイメージ作れないので注意
    • イメージ作成時はWorkspacesを起動しておく必要あり

まとめ

Workspacesを利用したテレワークは、自宅PCを利用できることや、ファイルコピーなども防止できるのでセキュリティの面からもメリットがあるので選択肢としてはかなり有力だと思います。

簡単にまとめたつもりがかなりボリュームが多くなってしまいました。是非とも参考になれば幸いです。もし誤りなどがあればご指摘いただければと思います。

また、VPNを利用した社内接続の方法についても需要があるかと思いますので近々に別途まとめたいと思います。

追加しました↓

みんなでコロナウイルスに打ち勝ちましょう!

今回は以上です。

コメント