はじめに
こんにちは、ドウミョウ と申します。
AppStream 2.0 の認証先として、IAM Identity Center を利用する検証を行ってみました。
何回かに分けて、実構築の模様をお届けします。
- 1)はじめに
- 2)Amazon AppStream 2.0 の基本環境構築
- 3)AWS IAM Identity Center の基本環境構築(有効化、基本設定、ユーザ登録)
- 4)フェデレーションまわりの設定
細かいチューニングは別途で行う前提で、
基本的な環境を構築し、フェデレーション設定を終わらせることをゴールとします。
本ポストでは
本ポストでは、環境構築にあたっての前提条件や、事前の留意点に触れていきます。
環境構築の前提条件
今回の環境構築の前提条件は、以下としました。
- インターネットに接続可能な、プライベートサブネットに AppStream 環境を構築します。
- インターネット側から、AppStream を利用するものとします。
- AppStream 上で利用するアプリケーションは Chrome とし、アプリケーション配信を行います。
- AppStream 上で利用するフリートは、オンデマンドフリートとします。
- AppStream を利用するユーザは、IAM Identity Center 上で管理するものとします。
- ユーザに対しては、多要素認証(MFA)の利用を必須とします。
- 細かいチューニングについては、別途で行うものとし、まずは AppStream + IAM Identity Center の環境を構築することをゴールとします。
もろもろの考慮事項
押さえておきたい AppStream 2.0 の概念と用語
AppStream 2.0 の環境構築にあたって、予め抑えておきたい用語は以下の3つです。
- イメージ(Image):AppStream 2.0 で配信するアプリケーションや設定を含んだ、仮想マシンのテンプレート
- フリート(Fleet):実際にアプリケーションを配信する仮想マシン(インスタンス)のグループ
- スタック(Stack):ユーザーがフリートにアクセスするためのポリシーなどの構成設定
構築の流れとしては「マスタとなるイメージを作成」「イメージを元にフリートを作成」「フリートに接続するための設定のスタックを作成」となります。
サービスの概要を掴むためには、AWS公式の AppStream 2.0 Blackbelt がオススメです。
www.youtube.com
AppStream 2.0 の認証先の選択肢
今回は、IAM Identity Center で ID フェデレーションを構築する前提の記事となっていますが、
通常、AppStream 2.0 は、利用者/ユーザーありきのサービスのため、まずはユーザーの認証先としてどこを/何を使うかの検討から入ることになると思います。
「ユーザーに対する多要素認証(MFA)要否」「パスワードポリシー」「既存システムでのユーザー管理状況」など、諸々の要件を考慮して選択していきましょう。
SAML 2.0 IdP ソリューションを利用する場合の選択肢や、設定方法については、以下のAWSドキュメントにまとまっています。Azure AD、Active Directory + ADFS を始め、Google Workspace などを利用するケースは、こちらを参照してみてください。
docs.aws.amazon.com
また、今回の記事では触れませんが、AppStream 2.0 自体のお腹の中のユーザープールを使う(Cognitoのユーザープールとは別モノです)という選択肢もあります。
一般的な IdP ソリューションと比べると、少し機能が少ないかもしれません。
個人的には「とりあえず AppStream 2.0 のテストをしてみたい」といったケースには、非常に有用と考えます。
要件を考えながら認証先を選択していきましょう。
IAM Identity Center の留意点
今回は、Organizations 管理アカウント上で、IAM Identity Center を有効化したうえで、ID ソースとして、IAM Identity Center を利用します。(組織インスタンスを使うパターンです)
その際、AppStream 2.0 を利用するリージョンと、同一リージョンで、IAM Identity Center を有効化します。
本記事執筆時点(2025年5月)では、
IAM Identity Center は、1つの Organizations 上で、1つのみ有効化することができ、その際に選択できるリージョンも1つだけになります。
同一 Organizations 配下で、複数リージョンの IAM Identity Center の有効化はできないことに留意しましょう。
また、IAM Identity Center におけるユーザーは、各ユーザーごとに、一意のユーザー名と Email アドレスが必要になります。
同一 Email アドレスで複数ユーザの登録はできないので、予め留意しておきましょう。
料金
今回は、オンデマンドフリートで環境を構築します。
最初に、フリートを作るために、Image Builder によるイメージ作成を行いますが、インスタンスの利用料金がかかります。
アプリケーションのインストールや、OS設定など、イメージの作り込みを行う際に留意しておきましょう。
オンデマンドの場合、ユーザーの接続時のみ、実行中のフリート内のインスタンスに対して料金が発生するのは想像がつきやすいのですが、
インスタンスが実行中でユーザーが接続していない場合でも、少額の「オンデマンド停止中インスタンス料金」が 発生することに留意しましょう。
そして、Windowsフリートの場合は、フリートなどのストリーミングリソースとは別に、1ユーザあたりの月額料金がかかることにも留意が必要です。
S3 にデータを保存する場合は、S3の料金も請求されます。
必要に応じて、AppStreamの利用料金のページをご確認ください。
aws.amazon.com
なお、IAM Identity Center は追加料金不要となっています。
IAM アイデンティティセンターのコストはいくらですか? IAM アイデンティティセンターに追加料金は必要ありません。
さいごに
前提条件などについては、以上です。
次のポストでは、実際に AppStream 2.0 の利用環境を構築していきます。
参考にしたページ
IAM Identity Center とは何ですか? - AWS IAM Identity Center
IAM アイデンティティセンターに関する前提条件と考慮事項 - AWS IAM Identity Center
AWS リージョンを選択するための考慮事項 - AWS IAM Identity Center
IAM アイデンティティセンターにおけるユーザー、グループ、およびプロビジョニング - AWS IAM Identity Center
