Amazon WorkSpaces

Windows または Linux のフルマネージド仮想デスクトップを提供し、任意のデバイスからセキュアにアクセスできるクラウド DaaS (Desktop as a Service)

約 2 分で読めます

概要

Amazon WorkSpaces は、クラウド上にフルマネージドの仮想デスクトップ環境を提供する DaaS (Desktop as a Service) です。Windows 10/11 または Amazon Linux 2 のデスクトップを数分でプロビジョニングし、PC、Mac、iPad、Chromebook、Web ブラウザからアクセスできます。ユーザーデータは AWS のデータセンターに保管されるため、端末の紛失や盗難によるデータ漏洩リスクを排除できます。Active Directory との統合、MFA、暗号化、IP アクセス制御を標準で備えています。

バンドルの選択と月額/時間課金の使い分け

WorkSpaces のバンドルは、vCPU、メモリ、ストレージ、GPU の組み合わせで Value、Standard、Performance、Power、PowerPro、Graphics、GraphicsPro の 7 段階が用意されています。一般的なオフィスワーク (メール、ブラウザ、Office) には Standard (2 vCPU、4 GB RAM) で十分です。開発者には Performance (4 vCPU、8 GB RAM) または Power (8 vCPU、16 GB RAM) が適しており、3D CAD や動画編集には GPU 搭載の Graphics/GraphicsPro バンドルが必要です。課金モデルは月額固定と時間課金の 2 種類があります。月額固定は毎日 8 時間以上使用するフルタイムワーカーに適しており、Standard バンドルで約 35 USD/月です。時間課金は使用時間に応じた従量課金で、パートタイムワーカーや出張が多い社員に適しています。損益分岐点は月間約 80 時間で、これを超える場合は月額固定の方が安くなります。AutoStop 機能を有効にすると、一定時間操作がない WorkSpace を自動的に停止し、時間課金のコストを最小化できます。

ディレクトリ統合とセキュリティ設計

WorkSpaces のユーザー認証は Active Directory (AD) と統合されており、AWS Managed Microsoft AD、AD Connector、Simple AD の 3 つの選択肢があります。既存のオンプレミス AD がある場合は AD Connector を使い、オンプレミス AD に認証を委任します。AD Connector は認証リクエストをオンプレミス AD に転送するプロキシで、ユーザーは既存の AD 認証情報でそのまま WorkSpaces にログインできます。新規に AD を構築する場合は AWS Managed Microsoft AD が推奨で、マルチ AZ の冗長構成が自動的に構成されます。セキュリティ面では、WorkSpaces のストリーミングプロトコル (PCoIP または WSP) は AES-256 で暗号化されます。IP アクセス制御グループで接続元の IP アドレスを制限でき、社内ネットワークや VPN からのみアクセスを許可する構成が一般的です。クリップボードのリダイレクト、ローカルプリンターのリダイレクト、ローカルドライブのマッピングは個別に有効/無効を設定でき、データの持ち出しを防止するためにすべて無効にするケースもあります。MFA は RADIUS サーバーとの統合で実現し、ログイン時にワンタイムパスワードの入力を要求できます。

WorkSpaces Web と WorkSpaces Thin Client の位置づけ

WorkSpaces ファミリーには、フルデスクトップの WorkSpaces に加えて、WorkSpaces Web と WorkSpaces Thin Client があります。WorkSpaces Web は Web ブラウザのみを提供するサービスで、社内 Web アプリケーションや SaaS へのセキュアなアクセスに特化しています。フルデスクトップが不要で、ブラウザベースの業務だけを行うユーザーにはコスト効率が高い選択肢です。ユーザーは自分のデバイスのブラウザから WorkSpaces Web にアクセスし、隔離されたブラウザ環境で社内システムを操作します。データはローカルデバイスにダウンロードされないため、BYOD (個人端末の業務利用) 環境でのセキュリティ確保に有効です。WorkSpaces Thin Client は専用のハードウェアデバイス (ASUS 製、約 195 USD) で、WorkSpaces や AppStream 2.0 に接続するための薄型端末です。PC の調達・管理コストを削減し、IT 部門の端末管理負荷を軽減します。選定の目安として、フルデスクトップが必要なら WorkSpaces、ブラウザだけで十分なら WorkSpaces Web、端末管理も含めて簡素化したいなら Thin Client + WorkSpaces の組み合わせが適しています。

共有するXB!

関連する用語

AWS Directory ServiceAWS IAMAmazon VPCAWS IAM Identity Center

関連するサービス

AWS Directory ServiceAmazon VPCAWS IAM Identity CenterAmazon CloudWatch

関連する記事

Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張するAWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。Amazon WorkSpaces で構築するクラウドデスクトップ - DaaS の設計とコスト最適化AlwaysOn と AutoStop の料金モデルで使用パターンに応じたコスト最適化を実現する。Active Directory 統合と MFA・IP アクセスコントロールによるセキュリティ強化を紹介します。AWS の内部時刻同期の仕組み - Amazon Time Sync Service とうるう秒スミアリングの設計AWS が独自に運用する Amazon Time Sync Service の仕組み、GPS と原子時計による高精度時刻源、うるう秒をスミアリングで吸収する設計判断、分散システムにおける時刻同期の重要性を解説します。AWS App Runner で最速のコンテナデプロイ - ソースコードから本番環境まで数分でソースコードまたはコンテナイメージを指定するだけで HTTPS エンドポイントが構築される。ECS/Fargate との違いと、VPC コネクタによるプライベートリソース接続を紹介します。AWS AppConfig で実装するフィーチャーフラグ - 安全な設定デプロイとロールバックコードデプロイとは独立した設定変更を、Linear・Exponential 戦略で段階的にロールアウトする。CloudWatch アラーム連動の自動ロールバックで安全性を確保します。

内容が近い用語・記事

Amazon WorkSpaces で構築するクラウドデスクトップ - DaaS の設計とコスト最適化AlwaysOn と AutoStop の料金モデルで使用パターンに応じたコスト最適化を実現する。Active Directory 統合と MFA・IP アクセスコントロールによるセキュリティ強化を紹介します。Amazon WorkSpacesクラウド上の仮想デスクトップ (VDI) をマネージドに提供するサービスAWS Directory Service で構築するマネージド Active Directory - ハイブリッド環境の ID 管理AWS Managed Microsoft AD の構築とオンプレミス AD との信頼関係を設計する。WorkSpaces・RDS・FSx との統合によるハイブリッド ID 管理を紹介します。Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張するAWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces ・ RDS ・ FSx との連携を紹介します。Amazon WorkSpaces による仮想デスクトップ戦略 - VDI 移行の判断基準とコスト設計Amazon WorkSpaces の料金モデル、プロトコル選択、ディレクトリ統合、セキュリティ設計を解説し、オンプレミス VDI からの移行判断基準とコスト最適化の実践手法を紹介します。