Contents
【事前知識】
- エッジロケーション
リージョン、AZとは異なるデータセンター。
キャッシュデータなどを利用する際の更に小さなエンドポイントとなる拠点。
・DDoS攻撃からアプリケーションインフラストラクチャを保護する。
・Route 53、CloudFront、AWS WAF、Lambdaエッジ などが配置されている。
- 責任共有モデル
提供されるサービスの管理責任を線引きした考え方。
詳細は「本公式ページ」にて。
- Docker
【オープンプラットフォーム】
コンテナサービスのこと。サーバごとに「必要なコンテナを用意して」「実行する」動きをする
●リポジトリ
【イメージ】
ECRのイメージリポジトリには、Dockerイメージ、OCIイメージなどが含まれる。
●リポジトリポリシー
(コンテナ)イメージへのアクセス権を制御できる。
●(コンテナ)イメージ
ECSやEKSで使用することが出来るコンテナイメージをpush、pullする。
利用可能な Docker イメージを実行する場合、docker pull コマンドを使用してローカル環境にプルする。
●認証トークン
イメージをpush、pullするにはECRレジストリに対して認証が必要。
VPC
※Virtual Private Cloud
作成ごとに論理的に各ユーザにプライベートネットワークが構築される。
1リージョンにVPCは5つまで。
※仮想プライベートゲートウェイは一つまで
●ENI(Elastic Network Interface)
VPC内のNWインターフェース。
〇プレフィックスリスト
[情報を展開する]
複数のCDIRブロックを一元管理することができる。
| AWSマネージド | ※AWS管理 AWSサービスのIPアドレスの範囲のセットで、元々から用意されているもの。 所有者IDがAWSであるため変更・削除等はできない。 |
| カスタマー管理 | ※ユーザー管理 自分で作成するIPアドレスの範囲で、他のAWSアカウントと共有できる。 |
〇エンドポイント
[情報を展開する]
●VPC エンドポイント
※接続元
グローバルIPを持つ他のAWSサービスに対しVPC内から直接プライベートに接続できるAWSのサービス。インターフェース型とゲートウェイ型の2種類がある。
ゲートウェイ型 | ・ S3 / DynamoDBのみ対象 ・コスト無料 ・接続方式:ルートテーブル(Private Linkは使用しない) ・セキュリティー:VPCエンドポリシー ・VPC内でのアクセスしか使えない。アプリケーションはインターネットを経由せずにAmazonネットワーク経由でDynamoDBにアクセスできる |
| インターフェイス型 | ・S3とDynamoDB を含む幅広いサービスを対象(不要なコストと設定負荷を伴う) ・データの転送とサービス利用時間に応じて課金。 ・接続方式:エントリポイントとなるプライベート IP アドレスを持つENI。 ・セキュリティ:セキュリティグループ(細かい制御可能) ・VPC外からのアクセスも対応 |
●エンドポイントサービス
※接続先窓口
特定のAWSサービスがプライベートなアクセスをVPC内のリソースに提供する手段。
サービスエンドポイントを設定することにより、VPCのリソースは公共のインターネット上のサービスエンドポイントではなく、AWSの内部ネットワークを通じてサービスに接続することが可能。
〇属性
[情報を展開する]
●enable DNS Hostnames 属性
有効化しないと、サブネットで起動されたインスタンスはDNS名を取得できない。
●enable DNS Support 属性
VPCがAmazon提供のDNSサーバーを介したDNS解決策をサポートするか決定する設定値。デフォルトでは有効化。
〇その他機能
[情報を展開する]
●Traffic Mirroring
EC2 インスタンスのENIからネットワークトラフィックをコピーする機能。
●DHCPオプション
(DHCP:Dynamic Host Configuration Protocol)
TCP/IPネットワークのホストに設定情報を渡すための規格。サブネット内のアプリケーションは、必要に応じてDHCP サーバーと通信して、IPアドレス、または他のネットワーク構成情報 (DNS サーバーの IP アドレスや VPC 内のルーターの IP アドレスなど) を取得できる。
※TCP/IP ネットワーク上のすべてのデバイスには、ネットワークを介して通信するための IP アドレスが必要。
※DHCPは変更できないため、新しく作成して割り当てる必要がある
※以前は、ネットワーク内の各デバイスに IP アドレスを手動で割り当てる必要があった
AWSコンテナオーケストレーションサービス
〇Pod
[情報を展開する]
一つ以上のコンテナをグループ化し、共有の実行環境を提供するKubernetesの最小単位。
| Topology Spread Constraints | Podを複数のアベイラリティゾーンに均等に分散させる。これにより単一障害をなくす。Podの均等な分散はリソースの最適利用を可能にし、スケーラビリティとワークロードのバランスを保つ。 |
| Kubernetes Cluster Autoscaler | 予測不可能な数のステートレスPodに対応するためのスケーリングを提供。Kubernetesクラスタ内のノード数を自動で増減させるコンポーネント。 |
●レプリカセット(ReplicaSet)
Kubernetes(クラスター)内でアプリケーションのPod(コンテナを含むアプリケーションの最小デプロイ単位)を一定数維持する機能。
〇デプロイ設定
[情報を展開する]
| Canary (割合分割) | すでにデプロイされているバージョンと新しいバージョンの間でトラフィックを分割。移行する割合 (%) を分単位で指定できる。 一部ユーザーに新環境を提供し、問題がある場合はフィードバックを得て修正を重ねる。 |
| Linear (等分分割) | 基本的にCanaryと同じであるが、新環境へのデプロイ割合が等分である。トラフィックは等しい増分で分割する。増分ごとに移行するトラフィックの割合 (%) と、増分間の間隔 (分) を指定できる。 |
| All-at-once | 新しいバージョンを全てのインスタンスに同時にデプロイする。 |
| Blue / Green | 新しいバージョンを完全に別の環境にデプロイし、すべてのユーザーを新環境に切り替える。 新環境のテストは行わず提供するが、問題があれば即時に旧環境に切り戻せる。 |
〇起動タイプ
[情報を展開する]
Amazon ECSまたはEKSを利用する際は、EC2起動タイプかFargate起動タイプ(エンジン)を選択する。
[画像引用元]
| EC2起動タイプ【通常のEC2利用】 | Fargate【ECS / EKS】 |
| 通常のEC2インスタンスを利用するための設定が必要。管理しているEC2 インスタンスのクラスターで、コンテナ化されたアプリケーションを実行できる。使用されたEC2とEBSボリュームに基づいて課金される。インスタンスの選択やオペレーティングシステムの管理などが必要。故に自身で制御することが可能。 | EC2を使わずにコンテナを実行する環境運用を自動化する。コンテナを実行するために仮想マシンのクラスターをプロビジョニング、設定、スケールを実施する。 (サーバーのプロビジョンとCluster管理は不要)。 ※ECSはコンテナ化されたアプリケーションが要求するvCPUとメモリリソースに基づいて課金。 |
EKS
【Kubernetes】
※Elastic Kubernetes Service
Kubernetesでコンテナ化されたアプリケーションのデプロイ、管理、スケールを管理し、Kubernetesをマネージドで使えるサービス。
※ECSは親和性
| ★Kubernetesとは… コンテナ管理を自動化するための「コンテナオーケストレーションツール」。(オープンソース) より細かく、高度な運用ができることが特長。(その分、運用が難しい) たとえば、 ・どのコンテナイメージを何台実行するかを指定すると自動で配置してくれる ・リソース不足などの際に自動でスケールする……など |
【EKSをOutposts にデプロイ】
●拡張クラスター
Outpost の AWS リージョンとノードで Kubernetes コントロールプレーンを実行する。
●ローカルクラスター
Outpost で Kubernetes コントロールプレーンとノードを実行する。
〇仕組み(構造)
[情報を展開する]
| コントロールプレーン (マスターノード) | クラスタ内のワーカーノードやコンテナ情報を管理、Kubernetesオブジェクトの状態を保持する。クライアントからのコマンドや設定ファイルを受け取り、APIアクションを呼び出してコンテナのデプロイや更新を行う。また、スケジューラがコントロールプレーン側で動作すると、ワーカーノード上のKubelet(エージェント)が動作する。Kubeletはコントロールプレーンからの指示を受けてコンテナを起動する。 |
| ワーカーノード | コントロールプレーンからの指示を受けてノード上にコンテナを起動する。起動タイプとして、EC2またはFargateを選択できる。 |
| データプレーン | 伸縮自在であり、Kubernetes はアプリケーションを自動的にスケーリングして修復できる。回復力のあるデータプレーンは、2 つ以上のワーカーノードで構成され、ワークロードに合わせて増減し、障害から自動的に回復できる。 |
〇その他機能
[情報を展開する]
●kubeconfig ファイル
kubernetes を扱うための kubectl コマンドの接続先クラスターを管理する設定ファイル。
このファイルがないとEKSクラスターに接続できない。
●EKS Anywhere(EKS-A)
AWS が提供する オンプレミスやエッジ環境で Kubernetes クラスターを構築・運用できるソリューション 。クラウドに依存せず、自社インフラ上で EKS のような体験を実現したい場合に最適。
・EKS Distro(EKS-D) をベースにした Kubernetes ディストリビューション
・オンプレミスやエッジ環境 に Kubernetes クラスターを構築可能
・セルフマネージド型:ユーザーがクラスターのライフサイクル(作成・アップグレード・スケーリングなど)を管理
・AWS サポートあり:EKS Anywhere のコンポーネントは AWS によるサポート対象
ECS
【フルマネージドk8s】
※Elastic Container Service(k8s=Kubernetes)
稼働させるDockerをAWS が管理し、コンテナ化されたアプリケーションを実行するマイクロサービスを構築する。Kubernetesを知らなくても、Dockerコンテナを簡単に実行、停止、管理することができる。Dockerコンテナをサポートする拡張性とパフォーマンスに優れている。
●Task:コンテナ
●Cluster:EC2インスタンス
●Task Definication:Cluster上のタスクを定義する
【一例】「6つのEC2インスタンスに対して、コンテナを実行する。コンテナは3つのAZに分散させて、同時に10個実行して、ロードバランサ―につなぐ」という指示
【代表的なコマンド】
- Pull コマンド
【イメージをローカルに】
Amazon ECR で利用可能な Docker イメージを実行する場合、docker pull コマンドを使用してローカル環境にプルする。
これはデフォルトのレジストリまたは他の AWS アカウントに関連付けられたレジストリから行うことができる。
ECR
【ストレージ】
※Elastic Container Registry
ECSやEKSにも統合されている、完全マネージド型の Docker コンテナレジストリ(S3に保存)。Dockerコンテナイメージを保存・管理(暗号化)でき、デプロイが素早く簡単に起動できる。
・AWS CLIでECRにログインする時はget-loginではなくget-login-passwordを使うこと
〇コンテナイメージ
[情報を展開する]
ECSを利用する際はコンテナイメージを ECRに配置することが必要。
コンテナイメージはHTTPS経由で転送され、保管時には自動的に暗号化される。
| パブリックレジストリ | 高可用性でスケーラブルなアーキテクチャ。コンテナイメージをホストし、アプリケーションにコンテナを確実にデプロイする。Docker イメージと Open Container Initiative (OCI) イメージで構成されるパブリック イメージ リポジトリを管理できる。 |
| プライベートレジストリ | 高可用性でスケーラブルなアーキテクチャでコンテナイメージをホストする。Docker イメージ、Open Container Initiative (OCI) イメージ、アーティファクトで構成されるプライベートイメージリポジトリを管理。 |
〇ポリシー
[情報を展開する]
| リポジトリポリシー | 個別の Amazon ECR リポジトリへのアクセスを制御することを目的として特に使用される IAM ポリシーのサブセット。 |
| ライフサイクルポリシー | プライベートリポジトリごとに設定が可能。適用されたリポジトリ内で、指定した有効期限の基準を満たしたイメージを自動的に削除する。 |
Cloud Front
(静的・動的)コンテンツを配信する、スケーラブルで可用性の高いコンテンツ配信サービス。ユーザがウェブページ・コンテンツをリクエストすると、コンテンツ処理に最適なエッジロケーションを決定して配信する。
リクエストしたファイルのコピーがエッジロケーションにない時は、オリジンサーバから取得する。
・コンテンツを保持するためのバックエンドサーバ(ELB , EC2 , S3の静的ホスティングを利用できる)。
・ディストリビューションはドメインを指定する(IP不可)。静的なIPアドレスを持たない。
・ディストリビューションを使用する方法はDNS名の提供を前提とする。
●ダウンロード方法
HTTP,HTTPSを使ってHTMLやCSS、画像などのデータを配信する。
●ストリーミング
RTMP(Real Time Messaging Protocol)を使って動画のストリーミング配信をする。
動画のストリーミングはプログレッシブオプションに設定されたダウンロードオプションを利用。
【その他用語】
| プリンシパル | AWS リソースに対するアクションをリクエストできる、 IAM ユーザ、ロール、フェデレーションユーザ、またはアプリケーション。 |
| ビューワーリクエスト | CloudFrontを参照するリクエスト。 |
| キャッシュミス | リクエストされたオブジェクトがエッジロケーションでキャッシュされないこと。 |
〇ディストリビューション
[情報を展開する]
(1つのオリジンに対して)コンテンツデリバリーの設定や構成などの配布形態を意味する。CloudFrontディストリビューションではフェールオーバーオプションが提供される。プライベートIPアドレスはもっていない。
※セキュリティソフトウェアのパッチは静的ファイルであるため、本機能を利用してキャッシュできる
●地理的ディストリビューション
【制限 機能】
ある国(地域)からのアクセスに対して 403 (アクセス拒否) のレスポンスを返すことが可能。
〇オリジン
[情報を展開する]
●オリジンサーバ
コンテンツを配信する元となるサーバー。エッジロケーションに保存。
ターゲットグループを指定することはできない。
| オリジンリクエスト | CloudFrontがオブジェクトを取得するためのリクエストをオリジンに送信する。 |
| オリジンフェイルオーバー | 【ディストリビューションの冗長化】 プライマリオリジンが使用できない場合、または障害を示す特定の HTTP レスポンスステータスコードを返す場合、CloudFront は自動的にセカンダリオリジンに切り替わる。 ・開始するには、プライマリとセカンダリの 2 つのオリジンを持つオリジングループを作成する。 ・少なくとも 2 つのオリジンを持つディストリビューションが必要。 |
〇カスタムヘッダー
[情報を展開する]
●カスタムヘッダー
オリジンに送信するリクエストにカスタムヘッダーを追加できる。
CloudFront がカスタムオリジンからファイルを取得するには、標準の HTTP (または HTTPS) リクエストを使用してCloudFront からファイルにアクセスできる必要がある。しかし、カスタムヘッダーを使用することで、コンテンツへのアクセスをさらに制限して、CloudFront を経由しないアクセスを防げる。
以下設定を変更する。
・ビューワープロトコルポリシー
【HTTP】
(CloudFront経由で)CloudFront エッジロケーションのコンテンツへのアクセスに使用するビューワーのプロトコルポリシー。ビューワーから CloudFront へのアクセス時に HTTPS の使用が求められるようにディストリビューションを設定。
| HTTP and HTTPS | HTTPとHTTPS。ビューワーは両方のプロトコルを使用可能。 |
| Redirect HTTP to HTTPS | HTTP を HTTPS にリダイレクト。ビューワーは両方のプロトコルを使用できるが、HTTP リクエストは自動的に HTTPS リクエストにリダイレクトされる。 |
| HTTPS Only | HTTPSのみ。ビューワーは HTTPS を使用している場合にのみコンテンツにアクセス可能。 |
・オリジンプロトコルポリシー
【プロトコル】
CloudFront がリクエストをオリジンに転送する際にビューワーと同じプロトコルの使用が求められるように、ディストリビューションを設定。
| HTTPS Only | HTTPSのみ。CloudFront は HTTPS のみを使ってカスタムオリジンと通信する。 |
| Match Viewer | ビューワーに合わせる。ビューワーのリクエストのプロトコルに応じて HTTP または HTTPS を使用し、カスタムオリジンと通信する。 |
[参考]
〇その他ヘッダー
[情報を展開する]
| ホワイトリストヘッダー 【認証】 | リクエストをオリジンに転送するときに、認証ヘッダーを含む一部のヘッダーを削除する。特定のキャッシュ動作のために常に認証ヘッダーを転送する場合は、必ずそのキャッシュ動作のヘッダーをホワイトリストに登録する。 |
| User-Agent ヘッダー | クライアント側のOS・ハードウェア・ブラウザ情報などが含まれたHTTPヘッダー。Webサーバ側は受け取ったUser-Agent ヘッダーの情報をもとに最適なレスポンスを返す。 |
| Cache-Controlヘッダー | HTTPヘッダーの一つ。ブラウザがオブジェクトをキャッシュするかどうか、またどのようにキャッシュするか制御する。「max-age=0」を指定するとブラウザは常に最新のオブジェクトを取得する。 |
| Hostヘッダー | リクエストが送信される先のサーバーのホスト名とポート番号を指定するためのヘッダ情報。 |
| Authorizationヘッダー | 認証部分。 |
〇トリガー
[情報を展開する]
| オリジン応答イベント | オリジンからのレスポンスを CloudFront に返す前にトリガーされるイベント。 |
| ビューワー応答イベント | Cloud Front がキャッシュされたコンテンツをユーザーに返す目にトリガーされるイベント。 |
〇取得設定
[情報を展開する]
(Allowed HTTP Methods)
CloudFront経由でコンテンツを操作する際にHTTP メソッドを指定。許可するHTTPメソッド多くの場合は[GET,HEAD]を設定。WEBDAVなどデータをアップする際などは[GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE]CloudFront が処理してオリジンに転送する HTTP メソッドを指定する。
| [GET, HEAD] | CloudFront を使用して、オリジンからのオブジェクトの取得またはオブジェクトヘッダーの取得のみを行うことができます。 |
| [GET, HEAD, OPTIONS] | CloudFront を使用して、オリジンからのオブジェクトの取得、オブジェクトヘッダーの取得、またはオリジンサーバーがサポートするオプションのリスト取得のみを行うことができます。 |
| [GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE] | CloudFront を使用して、オブジェクトの取得、追加、更新、削除、およびオブジェクトヘッダーの取得を行うことができる。また、ウェブフォームからのデータの送信など、その他の POST 操作も実行できる。 |
〇暗号化設定
[情報を展開する]
(Field Level Encryption)
フィールドレベル暗号化を使用した機密データの保護を実施したい場合に設定。
Allow HTTP Methodsを「GET,HEAD,OPTIONS,PUT,POST,PATCH,DELETE」を選択した場合に設定可能。
●フィールドレベルの暗号化
【特定のデータ保護】
セキュリティのレイヤーが追加され、システムの処理中に特定のデータに特定のアプリケーションのみがアクセスできるように、そのデータを保護できる。
ユーザーは機密情報をWebサーバーに安全にアップロードできる。
〇その他機能
[情報を展開]
| 署名付きURL | 一定時間だけアクセスを許可 (※オブジェクトのアップロードに利用できる) |
| OAI 【オブジェクトのアクセス権】 | (オリジンアクセスアイデンティティ) オブジェクトのアクセス権の許可を付与する。S3で機能する。 |
| OAC | (オリジンアクセスコントロール) OAIより詳細にアクセス権を制御できる。特定のオリジン(EC2,ELB,S3バケットなど)へのアクセスを制限する。 |
| CloudFront Functions | 簡単なリクエストの操作やレスポンスのヘッダー操作に最適。 ※複雑な寄りは不得意 |
| アクセスログ(標準ログ) | ウェブサイトのコンテンツに流れるトラフィックに対してログファイルを作成できる。格納先をS3に指定することができる。 |
| Lambda@Edge 【CloudFrontでLambda】 | CloudFrontの機能の1つ。Lambdaの拡張機能(CloudFrontのエッジロケーション上でLambdaを実行するサービス) CloudFrontのエッジサーバでCroudFrontが配信するコンテンツをカスタマイズする関数を(Lambdaで定義した)コード実行できる。 主にリクエストやレスポンスに対するカスタムロジックを実行するために使用される。アプリケーションのユーザーに近いロケーションでコードを実行する。 ・CloudFrontのイベントをトリガーとしてコードを実行する。 ・リクエストに対して自動的にスケーリングできる。 ・関数を使用してクエリパラメータの正規化や順序付けを行える。 ・ユーザーに近い場所でコードが実行されることで処理の待ち時間が短縮される。(キャッシュ機能ではない) |
〇連携サービス
[情報を展開する]
【併用:WAF】
WAF はウェブACL でディストリビューションに対して、ウェブリクエストの検査と管理ができる。
これによりセキュリティ性の高さを確保できる。
[参考サイト]
【キャッシュについて】
・同じコンテンツファイルが更新された場合、キャッシュの有効期限が切れない限り最新のファイルを提供しない。エッジキャッシュからファイルを無効にすることで最新ファイルの入手ができる。
※キャッシュ保持期間制御
●Cache-Control:max-age
オリジンのオブジェクトに追加することで、キャッシュに保持される期間を制御できる。
これによって個々のページに対するTTLを設定できる。
貸し出しサービス
Outposts
【オンプレミス機器のレンタル】
低レイテンシー、ローカルでのデータ処理・データ保存のためにオンプレミスで実行する必要のあるアプリケーションを可能にする。
※配送~設置をデータセンターに「インストール」と表現している?
・オンプレミスのインフラストラクチャの調達、管理、アップグレードのために必要な、差別化につながらない面倒な作業を取り除く。
【以下環境を提供】
・フルマネージド型AWS インフラストラクチャ
・ネイティブな AWS サービス
・API、ツール
・オンプレミス施設
- Outpostsラック
42U(42段分)のAWSラックを自社データセンターなどのオンプレミス環境に設置して利用するサービス。
利用開始時には、完全に組み立てられたOutpostsラックが配送され、設置作業はAWS側で行うため、ユーザーは電源とネットワークに接続するだけで使用できる。通常のクラウドのAWSと全く同じスペックのラックであり、AWSサービス、APIなどAWS リージョンで利用可能な幅広いサービスに接続できる。Outpostsサーバーよりも電力を多く消費する。
※ラックのサイズ:高さ80インチ(203.2cm)・幅24インチ(60.96cm)・奥行き48インチ(121.92cm)
- Outpostsサーバー
1台のAWSサーバーをオンプレミス環境に設置して利用するサービス。1Uサーバーか2Uサーバー、どちらかを選んで利用できる。
Outpostsサーバーが直接配送され、自社データセンターの現場担当者か、設置委託会社のいずれかの設置が必要になる。ネットワークに接続した時点で、AWSがコンピューティングリソースとストレージリソースが構築される。Outpostsラックよりも必要とする電力は小さい分、利用できるAWSサービスにも限りがある。
※1Uサーバー:幅19インチ(48.26cm)・奥行き24インチ(60.96cm)・高さ1U
2Uサーバー:幅19インチ(48.26cm)・奥行き30インチ(76.2cm)・高さ2U
Local Zones
・提供形態:ユーザーが使うのは仮想リソース(EC2、EBSなど)
・物理機器の管理:AWSが全て管理・運用
・利用者視点:通常のリージョンと同じように使える
⚙️ 特徴とメリット
| 特徴 | 説明 |
|---|---|
| 低レイテンシー | 地理的に近いため、1桁ミリ秒の応答が可能 |
| データレジデンシー対応 | 規制や契約上、データを特定地域に保持したい場合に有効 |
| 簡単な導入 | AWSマネジメントコンソールから有効化・利用可能 |
| 親リージョンと連携 | 管理プレーンは親リージョンに依存し、操作は一貫性あり |
WorkSpaces Family
あらゆるユースケースに対応して、セキュリティ性、柔軟、そして費用対効果の高い仮想デスクトップサービス。
WorkSpaces
【KVM提供】
ユーザー向けの仮想クラウドベースのMicrosoft Windows、Amazon Linux、Ubuntu Linuxデスクトップを提供。
・ハードウェアの調達とデプロイ、または複雑なソフトウェアのインストールの必要性を排除。
・必要に応じてユーザーを素早く追加または削除できる。
・リージョン単位で「ディレクトリ」を管理している。
- IPアクセスコントロールグループ
特定のIPアドレス範囲からのアクセスを許可または拒否する。
【セキュリティ性】
・複数デバイスやWebブラウザから仮想デスクトップにアクセスでき、セキュリティ管理が容易。
・OSやソフトウェアの自動更新機能があり、常に最新の状態で仮想デスクトップ環境を維持。
- WorkSpaces Personal
デベロッパーやナレッジワーカー、それにアプリケーションをインストールしたり、ファイルやデータを保存したり、デスクトップに設定を保存したりする必要のあるその他のユーザー向けに、永続的な仮想デスクトップを提供して、パーソナライズされたデスクトップエクスペリエンスをもたらす。 ユーザーはサインインするたびに同じ仮想デスクトップにアクセスする。 - WorkSpaces Pools
デスクトップにファイル、データ、設定を保存する必要のないタスクワーカーやコンタクトセンターの従業員などのユーザー向けに、非永続的な仮想デスクトップを提供。ユーザーはサインインのたびに新しい仮想デスクトップにアクセスできる。
管理者は、一部のユーザー設定、ブックマーク、ファイルを S3 や FSx などの中央ストレージリポジトリに保存して、ユーザーが新しいセッションを開始したときにアクセスできるようにすることができる。
- クロスリージョンリダイレクト機能
完全修飾ドメイン名(FQDN)をWorkSpaces の登録コードとして使用できる。DNS ルーティングポリシーと連携して、プライマリ WorkSpaces が利用できない場合に WorkSpaces ユーザーを別の WorkSpaces にリダイレクトする。
使用するにあたり、
・複数のAWSリージョンでユーザーのWorkSpacesを設定する
・接続エイリアスと呼ばれる特別なFQDNベースの登録コードを作成する
WorkSpaces Core
サードパーティのVDIソフトウェア向けの仮想デスクトップインフラAPI。
WorkSpaces Secure Browser
社内WebサイトやSaaSアプリにアクセスするための安全で低コストのブラウザサービス。
旧名:WorkSpaces Web
通常のWorkSpacesとは異なり、自分で仮想マシンイメージを作ることはせず、AWSが用意したWEBブラウザ(Chrome)入りのイメージを利用する。
そして利用者のクライアント環境のWEBブラウザからイメージ内部のWEBブラウザを使いユーザー企業内イントラサイトなどのリソースへアクセスする仕組み。
また、ユーザー認証にAcitive Direcotryを使わず外部のIdP(AWS SSO,Azure AD,Okta 等)でSAML認証が必須となっています。
App Stream(2.0)
【Appクラウド化】
完全マネージド型のアプリケーションストリーミングサービス。
特定のアプリケーションをクラウドで利用することができる。そのために最も厳しいセキュリティが要求される企業向けに設計されたデータセンターとネットワークアーキテクチャが用意される。
※各アプリケーションは、特定のユースケース向けに最適化されている仮想マシンで実行される
・ユーザーはサポートされているデバイスから、いつでもどこでも、必要なデータ、アプリケーション、およびデスクトップ・リソースに安全にアクセスできる。
・デスクトップアプリケーションを集中管理し、任意のコンピュータのブラウザへ安全に配信できる。
・各ストリーミングセッションはネットワーク状態に合わせて自動で調整される。
※ユーザープールでユーザーを作成および管理できる
- Image Builder
EC2 インスタンスをベースに構成されており、ストリーミングしたいアプリケーションと必要な設定を含むカスタムイメージを独自に作成できる。
オリジナルアプリケーションの移行にも利用できる。
No responses yet