Amazon WorkSpacesの通信要件まとめ【プロキシサーバ設定】

  • 2020年7月24日
  • 2020年7月24日
  • AWS, IT
AWS

こんにちわますのです。
コロナによる影響でリモートワークが増えている昨今、AWSのWorkSpacesを構築した方も多いのではないでしょうか。
自宅環境ではプロキシサーバを使うケースは滅多にないので簡単に接続が出来るので、とても便利なこのWorkSpacesです。

しかし、社内環境からWorkSpacesへアクセスする場合、プロキシサーバやファイヤウォールを経由しないといけない環境が多くて接続が出来ない!というケースが発生します。
私の場合、クライアントver2.5.11の時は問題なかったのに、ver3.0以降になった途端ネットワークチェックに失敗することが多々出てきました。

動作検証している限りでは、ver3以降のクライアントソフトはインターネットオプションのプロキシ設定も見ているようです。
ver2では関係無かったのでやられました…。

色々と設定漏れがあったことに気づいたので、WorkSpacesをプロキシ環境下で使う場合に必要な内容についてメモです。

Amazon WorkSpacesでプロキシ設定を有効化する

Amazon WorkSpacesを起動>設定>プロキシ設定を管理>プロキシサーバを使用にチェックを入れ、プロキシサーバ情報を入力することで利用可能です。

ver2時代はチェックが入っていない場合はプロキシサーバを経由しなかったのですが、ver3から動作が変わった気がしています。
ver3になってから、WorkSpacesのプロキシチェックが入っていない場合は、インターネットオプションの下図のプロキシ設定を読み込んでいる動きに見えました。

Amazon WorkSpacesの通信要件

最新の情報や細かなところはAWSの参考サイトをぜひ。
Amazon WorkSpaces の IP アドレスとポートの要件

わたしが紹介するのは、AWSの管理ガイドを見てざっくりと丸めた内容になります。
通信要件を厳しく管理している場合は参考にしないようお願いします。

通信許可が必要なポート、アクセス先、IPアドレス等をざっくりまとめた情報(2020/7月現在)

用途 ポート番号 アクセス先
クライアントアプリケーションのポート 443
(TCP)
  • AMAZON リージョンの GLOBAL サブセット。
  • WorkSpace が存在するリージョンの AMAZON サブセット。
  • AMAZON リージョンの us-east-1 サブセット。
  • AMAZON リージョンの us-west-2 サブセット。
  • S3 リージョンの us-west-2 サブセット。

※IPレンジの確認はコチラより

ホワイトリストに登録するドメインとポート 443
(TCP)
  • *.amazonaws.com
  • *.cloudfront.net
  • *.amazon.com
  • connectivity.amazonworkspaces.com
  • <directory id>.awsapps.com
    ※(<directory id> は設定したドメイン名。恐らくログイン画面:次の情報を使用してログインしてくださいの後ろあたりに記載されてるやつ。)
PCoIP ヘルスチェックサーバー 4172
(TCP/UDP)
  • drp-nrt.amazonworkspaces.com
    ※利用するリージョンによって変更する。今回は東京リージョンを想定。
PCoIP ゲートウェイ 4172
(TCP/UDP)
  • 18.180.178.0 – 18.180.178.255
  • 18.180.180.0 – 18.180.181.255
  • 54.250.251.0 – 54.250.251.255

※変更の可能性有。ip-ranges.json ファイルで service: “WORKSPACES_GATEWAYS” が該当。

なお、WorkSpacesはプロキシサーバで認証を有効化している場合はネットワークエラーが発生します。プロキシ認証には未対応のようです。
プロキシサーバで認証を有効化している場合は、上記443のFQDNを認証除外すると接続できるようになるのでお試しあれです。

「クライアントアプリケーションのポート」と「ホワイトリストに登録するドメインとポート」は同じと考えています。
IPレンジは頻繁に更新が掛かるので、出来るのであればFQDNでの登録が出来ると管理が楽になると思いました。
最新情報をチェックしよう!