技術四課の鎌田(裕)です。
WorkSpacesは従来、接続元のIPアドレスを制限したアクセスは出来なかったのですが、4/30のサービスリリースにより、対応しました。
私的にはとても待ち望んでいたリリースです!!
設定方法について、気を付けるポイントと共にご紹介します。
IPアクセスコントロールグループとルール
WorkSpacesへのIPアドレス制限を実施する際には、IPアクセスコントロールグループを作成して、IPアクセスコントロールグループに、WorkSpacesへのアクセスを許可するIPアドレスを入れておきます。
ルールにないIPアドレスからのアクセスが拒否される形になります。
現在は許可するIPアドレスの制限のみ実施可能で、特定のIPアドレスを拒否するといった設定には対応していません。
IPアクセスコントロールグループは25個、コントロールグループの中で設定するルールについては、グループごとに10個までの上限がありますので注意しましょう。
※2018年5月現在、この上限値の上限緩和申請には対応していません。詳しくはドキュメントを参照ください。
実際に設定してみた
では実際に設定してみましょう。AD Connector等は、事前に作成されているものとします。
WorkSpacesのマネージメントコンソールを開き、左ペインのIPアクセスコントロールをクリックして、右ペインの「IPグループの作成」をクリックします。
![f:id:swx-mori:20210308095112p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095112.png)
名前と説明を入力して、「作成」をクリックしましょう。
なお、2018年5月現在、日本語を説明に入れることには対応していません。この後の箇所でも同様ですので、ご注意ください。
![f:id:swx-mori:20210308095202p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095202.png)
IPアクセスコントロールグループが作成されます。
![f:id:swx-mori:20210308095220p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095220.png)
作成したIPアクセスコントロールグループをクリックし、画面下ペインの、ルールの部分にある「編集」をクリックします。
![f:id:swx-mori:20210308095244p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095244.png)
「ルールの追加」をクリックします。
![f:id:swx-mori:20210308095306p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095306.png)
ソースに、許可したいIPアドレスを入力します。どこからのアクセスか分かるように、説明も入れておきましょう。
入力できたら、「保存」をクリックします。
![f:id:swx-mori:20210308095324p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095324.png)
IPアクセスコントロールグループが更新されます。
![f:id:swx-mori:20210308095342p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095342.png)
左ペインから「ディレクトリ」をクリックし、アクセス制限を実施したいDirectory ServiceのディレクトリIDの列をチェックして、アクションのメニューから「詳細の更新」をクリックします。
![f:id:swx-mori:20210308095358p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095358.png)
IPアドレスコントロールグループをクリックし、表示されるグループから、先程作成したグループにチェックを入れ、更新と終了をクリックします。
![f:id:swx-mori:20210308095415p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095415.png)
手順はこれで終了です。
許可したIPアドレスからのWorkSpaces接続、許可していないIPアドレスからのWorkSpacesをそれぞれ確認してみましょう。
なお、アクセス拒否された場合は、以下のように表示されます。
![f:id:swx-mori:20210308095433p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/s/swx-mori/20210308/20210308095433.png)
まとめ
IPアドレスでのアクセス制限がWorkSpacesに実装されたことで、本番環境のメンテナンス用にWorkSpacesを使う、といった使い方がやりやすくなりました。
従来の使い方に留まらない使い方でも、WorkSpacesをご活用いただければと思います。