AWS認定資格 WEB問題集&徹底解説
クラウドプラクティショナー
AWSサービスの一つであるAmazon WorkSpacesはどんな内容なのでしょうか?また、AWS認定資格のクラウドプラクティショナー(CLF)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います
1. サービス概要
Amazon WorkSpacesは、ユーザー向けのクラウドベース仮想デスクトップをプロビジョニングするマネージドサービスです。 Microsoft Windows、Ubuntu Linux、Rocky Linux、Red Hat Enterprise Linuxなどのデスクトップを、複数デバイスやWebブラウザから利用できます。
試験では、フルデスクトップ環境をユーザーに提供するサービスとして、アプリケーションだけを配信するAppStream 2.0(現WorkSpaces Applications)と区別します。 個人向け永続デスクトップのWorkSpaces Personalと、非永続デスクトップをプールで提供するWorkSpaces Poolsの違いも重要です。
2. 主な特徴と機能
2.1 WorkSpaces Personal
WorkSpaces Personalは、特定ユーザー専用の永続仮想デスクトップです。 ユーザーごとにカスタマイズされたデスクトップ、ユーザーデータ、アプリケーション設定を継続利用したい場合に向きます。
2.2 WorkSpaces Pools
WorkSpaces Poolsは、共有プールから非永続デスクトップを提供します。 コールセンター、教育、研修、短期利用など、標準化されたデスクトップ環境を一時的に使わせたい場合に適しています。
2.3 OS、バンドル、プロトコル
WorkSpacesは用途に応じたハードウェア構成、ストレージ、OS、ソフトウェアバンドルを選択できます。 接続プロトコルはPCoIPまたはDCVを選び、ユーザー体験、ネットワーク、デバイス要件に合わせて設計します。
2.4 ディレクトリ連携
AWS Managed Microsoft AD、AD Connector、Simple AD、オンプレミスActive Directoryとの連携により、既存の認証情報を使えます。 Windows 10/11環境ではMicrosoft Entra IDやIntune連携も設計対象になります。
2.5 セキュアなアクセス
MFA、許可IP制御、KMS暗号化、VPC、セキュリティグループ、ディレクトリ認証によりアクセスを制御します。 データはユーザー端末ではなくクラウド側に保持されるため、BYODや端末紛失時のリスク低減に役立ちます。
2.6 管理とトラブルシューティング
WorkSpacesはユーザー追加/削除、再起動、再構築、イメージ/バンドル管理、課金モード変更をAPIやコンソールで管理できます。 WorkSpaces Advisorにより、WorkSpaces Personalの問題把握やトラブルシューティングも支援されます。
3. アーキテクチャおよび技術要素
- VPC、サブネット、セキュリティグループ、ディレクトリを準備する。
- AWS Managed Microsoft AD、AD Connector、Simple AD、Entra ID連携など認証方式を選択する。
- WorkSpaces PersonalまたはPoolsを選び、OS、バンドル、プロトコル、ストレージ、暗号化を指定する。
- ユーザーへWorkSpacesを割り当て、クライアントアプリまたはWebブラウザから接続させる。
- ユーザーはクラウド上のデスクトップでアプリケーションとデータにアクセスする。
- CloudWatch、CloudTrail、ディレクトリログ、VPC Flow Logs、WorkSpaces Advisorで監視・運用する。
WorkSpacesはデスクトップ基盤をマネージド化しますが、ディレクトリ設計、ネットワーク到達性、アプリ配布、パッチ、データ保護、ユーザーライフサイクルは設計が必要です。
4. セキュリティと認証・認可
- ディレクトリ認証: AD、AD Connector、Entra IDなど要件に合うID基盤を選ぶ。
- MFA: リモートアクセスの追加保護として多要素認証を有効化する。
- 暗号化: KMSでルートボリューム、ユーザーボリューム、スナップショット、ディスクI/Oを暗号化する。
- ネットワーク制御: VPC、セキュリティグループ、許可IP、プロキシ、ファイアウォールでアクセス経路を制限する。
- 端末対策: クリップボード、ファイル転送、印刷、USB、BYODポリシーを業務要件に合わせて制御する。
- 監査: CloudTrail、CloudWatch、ディレクトリ監査ログ、OSログで管理操作とユーザー利用を追跡する。
5. 料金形態
WorkSpacesはバンドル、課金モード、OS、ストレージ、リージョン、関連サービスで料金を考えます。
- 月額課金: 常時利用やフルタイムユーザー向けに予測しやすい固定料金。
- 時間課金: パートタイム、研修、短期利用など稼働時間が少ないユーザー向け。
- バンドル: CPU、メモリ、GPU、ストレージ、OS、アプリケーションにより料金が変わる。
- 周辺費用: Directory Service、KMS、CloudWatch、データ転送、NAT Gateway、バックアップの料金。
- 最適化: 未使用WorkSpaces停止、AutoStop、適切なバンドル、Pools利用、不要ユーザー削除でコストを抑える。
6. よくあるアーキテクチャ・設計パターン
- リモートワークVDI: 従業員へ永続デスクトップを提供し、社内アプリとデータへ安全にアクセスさせる。
- BYOD: 個人端末にはデータを残さず、クラウド側デスクトップで業務を完結する。
- コールセンター: 標準化された非永続デスクトップをPoolsで提供し、シフトに応じてスケールする。
- 教育/研修: 期間限定の標準デスクトップを多数ユーザーへ配布し、終了後に削除する。
- 開発環境: 開発ツールと権限を標準化したデスクトップを提供し、端末差異を減らす。
- DR/BCP: 災害時やパンデミック時に、短期間で代替デスクトップ環境を提供する。
7. 設定・デプロイ手順(ハンズオン例)
- VPC、サブネット、DNS、ディレクトリ、セキュリティグループを準備する。
- WorkSpaces PersonalまたはPoolsを選択し、OS、バンドル、課金モード、プロトコルを決める。
- KMS暗号化、MFA、許可IP、端末制御、ログ設定を構成する。
- ユーザーまたはグループを登録し、WorkSpacesをプロビジョニングする。
- クライアントアプリまたはWebブラウザから接続し、認証、アプリ、ファイル、ネットワーク疎通を確認する。
- CloudWatch、CloudTrail、WorkSpaces Advisor、課金レポートで運用状態を確認する。
8. 試験で問われやすいポイント
8.1 サービス選択
- Q: Amazon WorkSpacesは何を提供するサービス?
A: ユーザー向けのクラウドベース仮想デスクトップ。 - Q: アプリケーションだけをストリーミングしたい場合はWorkSpaces?
A: いいえ。アプリ配信はAppStream 2.0/WorkSpaces Applications、フルデスクトップはWorkSpaces。 - Q: 個人専用の永続デスクトップには何を選ぶ?
A: WorkSpaces Personal。
8.2 構成と認証
- Q: 非永続の標準デスクトップをプールで提供する選択肢は?
A: WorkSpaces Pools。 - Q: WorkSpacesの代表的なディレクトリ連携は?
A: AWS Managed Microsoft AD、AD Connector、Simple AD、オンプレAD、Microsoft Entra ID連携。 - Q: WorkSpacesの接続プロトコルは?
A: PCoIPまたはDCV。
8.3 セキュリティと料金
- Q: WorkSpacesの保存データを暗号化する代表サービスは?
A: AWS KMS。 - Q: 利用時間が少ないユーザー向けの課金モードは?
A: 時間課金。常時利用なら月額課金を検討する。 - Q: BYODでWorkSpacesが有効な理由は?
A: 業務データを端末に残さず、クラウド上のデスクトップで処理できるため。