トップ > WorkSpacesを東京リージョンで利用するのに必要なWorkSpacesクライアント側の通信要件

WorkSpacesを東京リージョンで利用するのに必要なWorkSpacesクライアント側の通信要件

記事タイトルとURLをコピーする

こんにちは、技術4課の城です。
WorkSpacesを利用する際にWorkSpacesクライアントからの通信経路にファイアウォール、プロキシ等があり、通信制御されていることは多々あるかと思います。
その場合、WorkSpacesの通信に必要な設定を各機器に設定する必要があります。
そこで東京リージョンでWorkSpacesクライアントから利用するのに必要な通信要件をAWSドキュメントを参考にまとめてみました。
※2018/10/12時点の情報です。

ポート443(TCP)

WorkSpacesクライアントの更新、登録、認証に使用されるポートとなります。
次の宛先について許可されている必要があります。

  • GLOBAL リージョンの AMAZON サブセット
  • WorkSpace が存在するリージョンの AMAZON サブセット
  • us-east-1 リージョンの AMAZON サブセット
  • us-west-2 リージョンの AMAZON サブセット
  • us-west-2 リージョンの S3 サブセット

上記は公開されているAWSのIPアドレスレンジとなります。
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-ip-ranges.html

jsonのフィルタ

IPアドレスレンジはjson形式で公開されている、かつ膨大な量が記載されているので目的のレンジを見つけるためにフィルタしましょう。
今回は私的におすすめのAWS Tools for PowerShellで実行するコマンドを記載しておきます。
AWS Tools for PowerShellのセットアップについてはこちらのドキュメントをご参照ください。

GLOBAL リージョンの AMAZON サブセット

Get-AWSPublicIpAddressRange -Region GLOBAL -Servicekey AMAZON

WorkSpace が存在するリージョンの AMAZON サブセット

Get-AWSPublicIpAddressRange -Region ap-northeast-1 -Servicekey AMAZON

us-east-1 リージョンの AMAZON サブセット

Get-AWSPublicIpAddressRange -Region us-east-1 -Servicekey AMAZON

us-west-2 リージョンの AMAZON サブセット

Get-AWSPublicIpAddressRange -Region us-west-2 -Servicekey AMAZON

us-west-2 リージョンの S3 サブセット

Get-AWSPublicIpAddressRange -Region us-west-2 -Servicekey S3

※ただしAWSのIPアドレスレンジは変更がある為、制限することを推奨しません。

ポート4172(UDP と TCP)

WorkSpace デスクトップの画面転送とヘルスチェックのストリーミングに使用されるポートとなります。
次の宛先への通信が許可されている必要があります。

  • 54.250.251.0/24
  • drp-nrt.amazonworkspaces.com

ホワイトリストに登録するドメイン

アクセス経路でドメインによるフィルタリングを行っている場合は下記について、許可する必要があります。

カテゴリホワイトリストに登録するドメイン
セッションブローカー(PCM)https://skylight-cm.ap-northeast-1.amazonaws.com
デバイスメトリクスhttps://device-metrics-us-2.amazon.com/
Forrester Log Servicehttps://fls-na.amazon.com/
ディレクトリ設定https://d21ui22avrxoh6.cloudfront.net/prod/ap-northeast-1/[directory name]
https://d1cbg795sa4g1u.cloudfront.net/prod/ap-northeast-1/[directory name]
https://d3s98kk2h6f4oh.cloudfront.net/
https://d1whcm49570jjw.cloudfront.net/
キャプチャhttps://opfcaptcha-prod.s3.amazonaws.com/
クライアントの自動更新https://d2td7dqidlhjx7.cloudfront.net/
登録の依存関係https://s3.amazonaws.com
接続の確認https://connectivity.amazonworkspaces.com/

※【directory name】についてはWorkSpacesに登録しているディレクトリサービスのものとなります。

最後に

意外につまづくことが多いポイントなので、どなたかの助けになれば幸いです。

城 航太 (記事一覧)

営業部カスタマーサクセス課・課長

AWSへの移行、AWSアカウントセキュリティ、ネットワーク広く浅くといった感じです。最近はAmazon WorkSpacesやAmazon AppStream2.0が好きです。APN Ambassador 2019,2020