re:Invent で発表された新機能 "Amazon WorkSpaces Web" を使うと世界を変えられるか探ってみた話 @Fin-JAWS

Transcript

1. re:Inventで発表された
   Game Changer " " で世界が変わった話
   @Fin-JAWS 2021/12/02
   

   View Slide

2. Copyright© Nomura Research Institute, Ltd. All rights reserved.
   木美 雄太 (Yuta Kimi)
   Well-Architected レビュー・改善支援
   マルチアカウント管理
   サーバレス設計
   先日のJAWS PANKRATIONで登壇
   https://bit.ly/3on4m6Z
   

   View Slide

3. 本日のお話
   2
   見切り発車で登壇タイトル決定
   @2021/11/20 18:43
   予定通りタイトルに首をしめられる
   @2021/12/1 10:54
   re:Inventで発表されたGame Changer " " で世界が変わった話
   re:Inventで発表された新機能
   “Amazon WorkSpaces Web” を使うと世界を変えられるか探ってみた話
   申し訳ありませんが、タイトルを変えさせていただきたく…
   

   View Slide

4. 社外から社内システムを使う際はどうしていますか？
   3
   昨今のリモートワークの中、社内ネットワーク（VPC含む）に閉ざされた
   社内システムにはご自宅からどのように接続していますか？
   オンプレミス VPC
   VPN
   ①VPNで社内ネットワークに接続する
   オンプレミス VPC
   ②仮想デスクトップに接続する
   仮想デスクトップ
   

   View Slide

5. 社外から社内システムを使う際はどうしていますか？
   4
   オンプレミス VPC
   VPN
   ①VPNで社内ネットワークに接続する
   オンプレミス VPC
   ②仮想デスクトップに接続する
   仮想デスクトップ
    接続元端末に社内の重要データを残せることを
   許容しない場合がある
    接続元端末が脆弱だとリスクが社内ネットワーク
   にも広く波及
    運用負荷やコストが比較的大きい
    性能問題など利用トラブルも生じやすい。
   加えて、昨今はSaaS利用が活発。多数の社外のWebサービスも並行利用することが一般的に
   

   View Slide

6. WorkSpaces Web で「できること」をざっくり言うと…
   5
   VPCに接続されたAWS上で稼働するWebブラウザをインターネットに接続された
   手元の端末のWebブラウザ上で使える。これをとても簡単に構築・運用できる。
   cf. 単なるWorkSpacesはAWS上で稼働する仮想デスクトップをインターネットから使える
   インターネットに接続された
   手元の端末のWebブラウザ
   VPC
   VPCに接続された
   AWS上のWebブラウザ
   (Chrome)
   データは転送されず表示画面
   だけがストリーミング配信
   

   View Slide

7. WorkSpaces Web で「できること」をざっくり言うと…
   6
   他のVPCやオンプレミスのWebシステムをリモート利用できる。ファイルや
   クリップボードの転送、印刷は禁止できるので手元の端末にデータは残らない
   インターネットに接続された
   手元の端末のWebブラウザ
   VPC
   VPCに接続された
   AWS上のWebブラウザ
   VPC
   オンプレミス
   Webシステム
   Webシステム
   データは転送されず表示画面
   だけがストリーミング配信
   

   View Slide

8. エンドユーザからの利用イメージ
   7
   1. WorkSpaces Webの
   ポータルサイトに接続
   2. 連携させたIDプロバイダ(IdP)で認証
   (AWS SSO, Azure AD, Okta 等)
   3. AWS上のWebブラウザに接続
   

   View Slide

9. ユースケースの一例
   8
   まだ見切れていない／検討が浅いですが、こういう使い方はありかと
   現場仕事等で、タブレットで軽く社内とSaaSのWebシステムを触る程度の方と相性が良さそう
   VPC
   オンプレミス
   VPC
   Internet
   多種多様なSaaS群 接続元端末が社内ネットワークには
   直接接続されない
   社内ネットワーク上の重要データは
   端末側には残せない
   エンドポイント
   直接、VPCに接続するわけではなく
   AWSが用意してくれるエンドポイントに接続
   WS Web
   

   View Slide

10. とはいえ、今までもこれは実現できたはず
    9
    リモートアプリ配信ができるAppStream 2.0で同じことができるはず。
    WorkSpaces Webは、Webブラウザの配信に特化して、裏側をほとんど意識せず
    にぱぱっと構築・運用できる点がメリットだと思います（ホントに簡単です）
    WS Webに接続したタブを見ると
    AppStream2.0の表示
    

    View Slide

11. 作り方と構成の概略
    10
    VPC
    実行環境はAWS側で
    整えてくれる
    IdP
    (AWS SSO, Azure AD, Okta 等)
    SAML認証
    アクセス
    ポータル
    Internet
    VPC
    オンプレミス
    ChromeはAWS側で手配
    クライアント
    (Webブラウザ)
    Webシステム
    Webシステム
    VPCの作成とIdPとの連携設定程度で構築・運用できてしまいます。
    AppStream 2.0では、イメージの作成や、実行環境の定義、運用中のキャパシティ
    の管理が必要ですが、WS WebではそれらをAWSに任せられます。とても楽。
    

    View Slide

12. 作り方：VPCの作成
    11
    Private Subnet
    VPC
    Private Subnet
    Availability Zone-a Availability Zone-c
    Security Group
    Chrome用
    S3
    KMS CW Logs
    最低2つのAZにプライベートサブネットを構成。ここにWS WebのChromeが接続される
    3つのVPC外サービスへの接続ルートが必要
    Chromeから接続させたい先を
    アウトバウンドルールに定義。
    インバウンドは開放不要。
    

    View Slide

13. 作り方：IdPとの連携設定
    12
    AWS側とIdP側の双方でメタデータファイルを取得、他方にアップロードするだけ
    WS Web側
    IdP側（AzureADの例）
    

    View Slide

14. 作り方：詳細設定
    13
    起動時に表示するサイトやブックマークを設定。
    JSONファイルで許可/禁止URLも設定可能
    クリップボードやファイル転送、プリンタの接続
    を禁止できます。
    

    View Slide

15. これで10～20分待つだけで完成。とても簡単
    14
    VPC
    実行環境はAWS側で
    整えてくれる
    IdP
    (AWS SSO, Azure AD, Okta 等)
    SAML認証
    アクセス
    ポータル
    Internet
    VPC
    オンプレミス
    ChromeはAWS側で手配
    クライアント
    (Webブラウザ)
    Webシステム
    Webシステム
    作成したVPCを他VPCやオンプレミスと接続すれば社内システムに接続できます
    

    View Slide

16. 料金体系（2021/12/1時点）
    15
    With Amazon WorkSpaces Web, you pay based on your monthly active users (MAUs), at a rate of $7 per
    month for up to 200 streaming hours. A user is counted as a MAU if, within a calendar month, the user
    connects to WorkSpaces Web. If a unique user streams for more than 200 hours, you are charged $0.035 for
    each additional hour of streaming. You are not charged for inactive users within that calendar month.
    https://aws.amazon.com/workspaces/pricing/?nc=sn&loc=3#:~:text=WAM%20pricing%20table.-
    ,Amazon%20WorkSpaces%20Web%20Pricing,-With%20Amazon%20WorkSpaces
    月間のアクティブユーザ数×$7の課金（月中に1回も使わなかったユーザは課金
    されない）
    ユーザごとの計算で200時間/月を超えてストリーミングした分は追加料金が発生。
    Amazon WorkSpaces Pricing より引用
    

    View Slide

17. （おまけ）裏側を推測してみる
    16
    実行環境はどうなっているの？とか、インターネットからどういうルートで
    つながっているの？とか気になってしまったので、深堀りしてみます。
    まだきちんと調べられておらず、多分に推測を交えていますので、間違えていて
    も怒らないでください。
    

    View Slide

18. 裏側はこんなイメージのはず…！（推測です）
    17
    利用者管理のVPC
    Internet
    ストリーミング通信
    クライアント
    (Webブラウザ)
    Streaming
    Gateway
    AWS管理のVPC（利用者からは
    見えない）
    フリート(実行環境群)
    VPC
    Webシステム
    Chromeのユーザ通信
    Security Group
    Chrome用
    利用者側のENIはストリーミングに使わない
    WorkSpaces / AppStreaming 2.0 と同じ趣なら、AWS管理のVPCに実行環境が都度構築され、
    ENIだけが利用者VPCに生えてくる構成。ストリーミング通信とユーザ通信は完全に分離。
    

    View Slide

19. おわり
    18
    とても簡単にインターネットから社内システムにセキュアに接続できます
    2
    1 新機能 WorkSpaces Web を使ってみました
    今後、他のユースケースも模索していきたいと思います
    3
    

    View Slide