re:Inventで発表された Game Changer " " で世界が変わった話 @Fin-JAWS 2021/12/02

Copyright© Nomura Research Institute, Ltd. All rights reserved. 木美 雄太 (Yuta Kimi) Well-Architected レビュー・改善支援 マルチアカウント管理 サーバレス設計 先日のJAWS PANKRATIONで登壇 https://bit.ly/3on4m6Z

本日のお話 2 見切り発車で登壇タイトル決定 @2021/11/20 18:43 予定通りタイトルに首をしめられる @2021/12/1 10:54 re:Inventで発表されたGame Changer " " で世界が変わった話 re:Inventで発表された新機能 “Amazon WorkSpaces Web” を使うと世界を変えられるか探ってみた話 申し訳ありませんが、タイトルを変えさせていただきたく…

社外から社内システムを使う際はどうしていますか？ 3 昨今のリモートワークの中、社内ネットワーク（VPC含む）に閉ざされた 社内システムにはご自宅からどのように接続していますか？ オンプレミス VPC VPN ①VPNで社内ネットワークに接続する オンプレミス VPC ②仮想デスクトップに接続する 仮想デスクトップ

社外から社内システムを使う際はどうしていますか？ 4 オンプレミス VPC VPN ①VPNで社内ネットワークに接続する オンプレミス VPC ②仮想デスクトップに接続する 仮想デスクトップ  接続元端末に社内の重要データを残せることを 許容しない場合がある  接続元端末が脆弱だとリスクが社内ネットワーク にも広く波及  運用負荷やコストが比較的大きい  性能問題など利用トラブルも生じやすい。 加えて、昨今はSaaS利用が活発。多数の社外のWebサービスも並行利用することが一般的に

WorkSpaces Web で「できること」をざっくり言うと… 5 VPCに接続されたAWS上で稼働するWebブラウザをインターネットに接続された 手元の端末のWebブラウザ上で使える。これをとても簡単に構築・運用できる。 cf. 単なるWorkSpacesはAWS上で稼働する仮想デスクトップをインターネットから使える インターネットに接続された 手元の端末のWebブラウザ VPC VPCに接続された AWS上のWebブラウザ (Chrome) データは転送されず表示画面 だけがストリーミング配信

WorkSpaces Web で「できること」をざっくり言うと… 6 他のVPCやオンプレミスのWebシステムをリモート利用できる。ファイルや クリップボードの転送、印刷は禁止できるので手元の端末にデータは残らない インターネットに接続された 手元の端末のWebブラウザ VPC VPCに接続された AWS上のWebブラウザ VPC オンプレミス Webシステム Webシステム データは転送されず表示画面 だけがストリーミング配信

エンドユーザからの利用イメージ 7 1. WorkSpaces Webの ポータルサイトに接続 2. 連携させたIDプロバイダ(IdP)で認証 (AWS SSO, Azure AD, Okta 等) 3. AWS上のWebブラウザに接続

ユースケースの一例 8 まだ見切れていない／検討が浅いですが、こういう使い方はありかと 現場仕事等で、タブレットで軽く社内とSaaSのWebシステムを触る程度の方と相性が良さそう VPC オンプレミス VPC Internet 多種多様なSaaS群 接続元端末が社内ネットワークには 直接接続されない 社内ネットワーク上の重要データは 端末側には残せない エンドポイント 直接、VPCに接続するわけではなく AWSが用意してくれるエンドポイントに接続 WS Web

とはいえ、今までもこれは実現できたはず 9 リモートアプリ配信ができるAppStream 2.0で同じことができるはず。 WorkSpaces Webは、Webブラウザの配信に特化して、裏側をほとんど意識せず にぱぱっと構築・運用できる点がメリットだと思います（ホントに簡単です） WS Webに接続したタブを見ると AppStream2.0の表示

作り方と構成の概略 10 VPC 実行環境はAWS側で 整えてくれる IdP (AWS SSO, Azure AD, Okta 等) SAML認証 アクセス ポータル Internet VPC オンプレミス ChromeはAWS側で手配 クライアント (Webブラウザ) Webシステム Webシステム VPCの作成とIdPとの連携設定程度で構築・運用できてしまいます。 AppStream 2.0では、イメージの作成や、実行環境の定義、運用中のキャパシティ の管理が必要ですが、WS WebではそれらをAWSに任せられます。とても楽。

作り方：VPCの作成 11 Private Subnet VPC Private Subnet Availability Zone-a Availability Zone-c Security Group Chrome用 S3 KMS CW Logs 最低2つのAZにプライベートサブネットを構成。ここにWS WebのChromeが接続される 3つのVPC外サービスへの接続ルートが必要 Chromeから接続させたい先を アウトバウンドルールに定義。 インバウンドは開放不要。

作り方：IdPとの連携設定 12 AWS側とIdP側の双方でメタデータファイルを取得、他方にアップロードするだけ WS Web側 IdP側（AzureADの例）

作り方：詳細設定 13 起動時に表示するサイトやブックマークを設定。 JSONファイルで許可/禁止URLも設定可能 クリップボードやファイル転送、プリンタの接続 を禁止できます。

これで10～20分待つだけで完成。とても簡単 14 VPC 実行環境はAWS側で 整えてくれる IdP (AWS SSO, Azure AD, Okta 等) SAML認証 アクセス ポータル Internet VPC オンプレミス ChromeはAWS側で手配 クライアント (Webブラウザ) Webシステム Webシステム 作成したVPCを他VPCやオンプレミスと接続すれば社内システムに接続できます

料金体系（2021/12/1時点） 15 With Amazon WorkSpaces Web, you pay based on your monthly active users (MAUs), at a rate of $7 per month for up to 200 streaming hours. A user is counted as a MAU if, within a calendar month, the user connects to WorkSpaces Web. If a unique user streams for more than 200 hours, you are charged $0.035 for each additional hour of streaming. You are not charged for inactive users within that calendar month. https://aws.amazon.com/workspaces/pricing/?nc=sn&loc=3#:~:text=WAM%20pricing%20table.- ,Amazon%20WorkSpaces%20Web%20Pricing,-With%20Amazon%20WorkSpaces 月間のアクティブユーザ数×$7の課金（月中に1回も使わなかったユーザは課金 されない） ユーザごとの計算で200時間/月を超えてストリーミングした分は追加料金が発生。 Amazon WorkSpaces Pricing より引用

（おまけ）裏側を推測してみる 16 実行環境はどうなっているの？とか、インターネットからどういうルートで つながっているの？とか気になってしまったので、深堀りしてみます。 まだきちんと調べられておらず、多分に推測を交えていますので、間違えていて も怒らないでください。

裏側はこんなイメージのはず…！（推測です） 17 利用者管理のVPC Internet ストリーミング通信 クライアント (Webブラウザ) Streaming Gateway AWS管理のVPC（利用者からは 見えない） フリート(実行環境群) VPC Webシステム Chromeのユーザ通信 Security Group Chrome用 利用者側のENIはストリーミングに使わない WorkSpaces / AppStreaming 2.0 と同じ趣なら、AWS管理のVPCに実行環境が都度構築され、 ENIだけが利用者VPCに生えてくる構成。ストリーミング通信とユーザ通信は完全に分離。

おわり 18 とても簡単にインターネットから社内システムにセキュアに接続できます 2 1 新機能 WorkSpaces Web を使ってみました 今後、他のユースケースも模索していきたいと思います 3