WorkSpacesの接続元IPアドレス制限

AWS運用自動化サービス「Cloud Automator」

技術四課の鎌田(裕)です。

WorkSpacesは従来、接続元のIPアドレスを制限したアクセスは出来なかったのですが、4/30のサービスリリースにより、対応しました。
私的にはとても待ち望んでいたリリースです!!

設定方法について、気を付けるポイントと共にご紹介します。

IPアクセスコントロールグループとルール

WorkSpacesへのIPアドレス制限を実施する際には、IPアクセスコントロールグループを作成して、IPアクセスコントロールグループに、WorkSpacesへのアクセスを許可するIPアドレスを入れておきます。
ルールにないIPアドレスからのアクセスが拒否される形になります。
現在は許可するIPアドレスの制限のみ実施可能で、特定のIPアドレスを拒否するといった設定には対応していません。

IPアクセスコントロールグループは25個、コントロールグループの中で設定するルールについては、グループごとに10個までの上限がありますので注意しましょう。
※2018年5月現在、この上限値の上限緩和申請には対応していません。詳しくはドキュメントを参照ください。

実際に設定してみた

では実際に設定してみましょう。AD Connector等は、事前に作成されているものとします。

WorkSpacesのマネージメントコンソールを開き、左ペインのIPアクセスコントロールをクリックして、右ペインの「IPグループの作成」をクリックします。

名前と説明を入力して、「作成」をクリックしましょう。
なお、2018年5月現在、日本語を説明に入れることには対応していません。この後の箇所でも同様ですので、ご注意ください。

IPアクセスコントロールグループが作成されます。

作成したIPアクセスコントロールグループをクリックし、画面下ペインの、ルールの部分にある「編集」をクリックします。

「ルールの追加」をクリックします。

ソースに、許可したいIPアドレスを入力します。どこからのアクセスか分かるように、説明も入れておきましょう。
入力できたら、「保存」をクリックします。

IPアクセスコントロールグループが更新されます。

左ペインから「ディレクトリ」をクリックし、アクセス制限を実施したいDirectory ServiceのディレクトリIDの列をチェックして、アクションのメニューから「詳細の更新」をクリックします。

IPアドレスコントロールグループをクリックし、表示されるグループから、先程作成したグループにチェックを入れ、更新と終了をクリックします。

手順はこれで終了です。
許可したIPアドレスからのWorkSpaces接続、許可していないIPアドレスからのWorkSpacesをそれぞれ確認してみましょう。

なお、アクセス拒否された場合は、以下のように表示されます。

まとめ

IPアドレスでのアクセス制限がWorkSpacesに実装されたことで、本番環境のメンテナンス用にWorkSpacesを使う、といった使い方がやりやすくなりました。
従来の使い方に留まらない使い方でも、WorkSpacesをご活用いただければと思います。

AWS運用自動化サービス「Cloud Automator」