WorkSpacesを東京リージョンで利用するのに必要なWorkSpacesクライアント側の通信要件

AWS運用自動化サービス「Cloud Automator」

こんにちは、技術4課の城です。
WorkSpacesを利用する際にWorkSpacesクライアントからの通信経路にファイアウォール、プロキシ等があり、通信制御されていることは多々あるかと思います。
その場合、WorkSpacesの通信に必要な設定を各機器に設定する必要があります。
そこで東京リージョンでWorkSpacesクライアントから利用するのに必要な通信要件をAWSドキュメントを参考にまとめてみました。
※2018/10/12時点の情報です。

ポート443(TCP)

WorkSpacesクライアントの更新、登録、認証に使用されるポートとなります。
次の宛先について許可されている必要があります。

  • GLOBAL リージョンの AMAZON サブセット
  • WorkSpace が存在するリージョンの AMAZON サブセット
  • us-east-1 リージョンの AMAZON サブセット
  • us-west-2 リージョンの AMAZON サブセット
  • us-west-2 リージョンの S3 サブセット

上記は公開されているAWSのIPアドレスレンジとなります。
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-ip-ranges.html

jsonのフィルタ

IPアドレスレンジはjson形式で公開されている、かつ膨大な量が記載されているので目的のレンジを見つけるためにフィルタしましょう。
今回は私的におすすめのAWS Tools for PowerShellで実行するコマンドを記載しておきます。
AWS Tools for PowerShellのセットアップについてはこちらのドキュメントをご参照ください。

GLOBAL リージョンの AMAZON サブセット

WorkSpace が存在するリージョンの AMAZON サブセット

us-east-1 リージョンの AMAZON サブセット

us-west-2 リージョンの AMAZON サブセット

us-west-2 リージョンの S3 サブセット

※ただしAWSのIPアドレスレンジは変更がある為、制限することを推奨しません。

ポート4172(UDP と TCP)

WorkSpace デスクトップの画面転送とヘルスチェックのストリーミングに使用されるポートとなります。
次の宛先への通信が許可されている必要があります。

  • 54.250.251.0/24
  • drp-nrt.amazonworkspaces.com

ホワイトリストに登録するドメイン

アクセス経路でドメインによるフィルタリングを行っている場合は下記について、許可する必要があります。

カテゴリ ホワイトリストに登録するドメイン
セッションブローカー(PCM) https://skylight-cm.ap-northeast-1.amazonaws.com
デバイスメトリクス https://device-metrics-us-2.amazon.com/
Forrester Log Service https://fls-na.amazon.com/
ディレクトリ設定 https://d21ui22avrxoh6.cloudfront.net/prod/ap-northeast-1/【directory name】
https://d1cbg795sa4g1u.cloudfront.net/prod/ap-northeast-1/【directory name】
https://d3s98kk2h6f4oh.cloudfront.net/
https://d1whcm49570jjw.cloudfront.net/
キャプチャ https://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新 https://d2td7dqidlhjx7.cloudfront.net/
登録の依存関係 https://s3.amazonaws.com
接続の確認 https://connectivity.amazonworkspaces.com/

※【directory name】についてはWorkSpacesに登録しているディレクトリサービスのものとなります。

最後に

意外につまづくことが多いポイントなので、どなたかの助けになれば幸いです。

AWS運用自動化サービス「Cloud Automator」