AWS WorkSpaces で急造テレワーク環境!

2020年5月12日

末席とは言えITという商いで食べている以上、テレワークというキーワードは当たり前のように毎日出てくるフレーズなんですな。
つい四ヶ月ぐらい前まではいつお客に対応を求められても答えられるレベルでお稽古だけはしてたんですけけどね。

今出入りしてるお客さんも「多様化する働き方に対応するため」といういわゆる大人の事情的な、ようするに言われる前にやっておこうの精神ですでに実運用レベルで試行するとこまでは行っているわけです。
なんで、今は「まさかいきなりこの規模で実施するとは・・・」という要するに設備的な部分と「自分たちはいいけど、出入りの業者とかいざという時どうしよう・・」というかなり真っ当な方面でお悩みなわけです。

で、対して出入りの方はというと大きく以下の三種類ってところです。
1. ルールと仕組みあるので自社のルールに従い対応しますという、【正統派】
2. 仕組みとルールはあるけどそれは自社に座ってる人の仕組みで客先行ってる
連中はそっちの指示に従えというネグレクト派】
3. どうしていいか判らないし、とりあえず出ている言葉を組みわせて
  指示だけ出したことにしておこうというゲス・論外派

箱物やってない大手のSIerや外国資本も入ってるような会社さんの多くがが1の正統派でしょうか。
うちは親会社をいただいてるグループ会社なんすけど親会社はネグレクト派の流れです。とは言え出入り業者の大多数は2のネグレクト派が多いというのが個人的な感触ですが、これってセキュリティガチガチにしすぎて身動き取れない会社にありがちなんですよね。
・テレワークは貸与端末しか認めない
        →貸与持ち帰ることができないとムリ
・外部インターネット接続は不可
        →社内システム接続以外は考えない。よって他社シス対応はムリ
なので一概にネグレクト派と行っても責めれるもんでもないんです。

3のゲス・論外派も少なくはないんですがこっちはぶっちゃけなんの庇いようも無いです。基本経営者や幹部が世の中知らなさすぎる上に、どっかのインフラに寄生して腹痛まないんでどうにもならんです。

で、うちの会社なんですが「ゲス・論外派」なんですな!ありがとうございます!
出た指示が、「テレワークって言っておかないと有給消化にするぜ!」
指示出た次の日に部長と別の課長が「鼻水垂らしたんでテレワークします!」

生産性0じゃねーか!テレワークかそれ?
通るか!そんなもん!!!

同じ種類の生物と思われたくなければ自衛しかありません・・
とりあえず今年、稟議切ってノウハウ習得、開発試行のための社用AWS環境を用意しているのでいざという時のためにBYODでビジネスパートナーも利用できるテレワーク環境を試しておくしかない・・・

というかAWS持ってるならWorkSpacesという選択肢があるわけです。
情報もノウハウも溢れかえっているし、ある程度要点抑えればぶっちゃけ持ち込みWi-FIルータでインタネットがっつり接続のチェーンロックで繋がれた持込端末と同じ条件を確保したテレワーク環境は急造できるわけですよね。

自由すぎてもいけないのでAWS WorkSpacesを前提に以下の条件としてました。

  1. 個人端末からの接続も視野にいれるためにクライアント導入PCとWorkSpace端末は疎結合とする
  2. 追加アプリケーション導入、OSの設定変更は抑止する
  3. お金もったいないので無操作放置は1時間で停止(デフォルト)
  4. DiskはKMSで暗号化

今のうちのAWSの構成だと配置的はこんなイメージになる。無駄にサブネット多いのは気にしない。

元々、利用している社内コンテンツの認証用にSimpleADを利用しているのでそのまま利用します。むしろ自社内にADいるとかSSOがあるとかないので逆に楽です。
考慮されているとAD Conectorとか管理セグメントのIP被りとか注意しないといけないのよね・・・・・・楽ですが正直、書いてて虚しいです。

WorkSpace自体はここ見ればハンズオンが公式でしっかりしてるので誰でも始められます。
https://aws.amazon.com/jp/workspaces/

とりあえずカスタムバンドルを作成するために以下をWindowsのスタンダートをベースしました。
言語を日本語選んでもキーボードが英語配列になっています。
そのままにしとくと、@とかがShift+2とかです、絶対にパスワード入力で失敗連発こいてロックする奴とか出ます。
起動したら最初に必ず日本語配列(106/109)に変えときましょう。

CPU/メモリルートボリュームユーザボリューム
2vCPU/4GiB80GB10GB

AWSはミドルウェアのライセンスの扱いがいろいろ面倒臭いので素直に以下のオプション付きにします。
正直、手持ちのライセンスでセコクこねくり回した挙句に違反になるぐらいならこれ選んだ方が月1500円程度なのでお得です。

アプリケーションバンドルMicrosoft Office Pro
Trend Micro Worry-Free Business Security Service

ユーザのアプリケーションの導入を抑止するので事前に以下を導入しときます。
この辺押さえとけば、とりあえず文句は言われないでしょう。
補足するとイメージ化するなら確実にCドライブに入れましょう。
ユーザ領域のDドライブは揮発性なのでイメージ化しても消えます。

Noアプリケーション名
1TeraTerm
2WinSCP
3WinMarge
47-zip
5さくらエディタ
8Anaconda
9Python
10Microsoft VC code

前提条件にあげた接続PCとWorkSpaces端末にあげた疎結合とするために鉄板の制限とついでにコンパネ・PC設定の禁止をしておきます。

このへんは、ADによるグループポリシー(GPO)で設定します。
これらはSimpleADでも可能です。
SimpleADもWindowsのActiveDirectoryツールが利用可能なのでそのへんはWindowsサーバのEC2立てるなり、WorkSpacesにツールを追加インストールして実施するも良しです。
自分は管理用に元々、WorkSpaceを作っていたのでそちらから設定しました。
AD側の設定はまとめると以下。

No設定箇所内容
1コンピュータ構成(GPO)クライアントホスト/端末間でのデータ転送(カット&ペースト )の双方向での禁止
2コンピュータ構成(GPO)クライアントホストローカルプリンタの端末への設定禁止
※端末側でのPDFなどのライタは利用可能
3ユーザ構成(GPO)コントールパネル/PC設定のアクセス禁止

それぞれの手順は以下に先達の方々のノウハウがありますのでありがたく参考にしましょう。
Windows WorkSpaces のクリップボードのリダイレクトの有効化または無効化
Windows WorkSpaces のプリンターサポートの設定
GPOで「コントロールパネル」と「Windowsの設定」の利用を禁止にする方法

準備できたらWorkSpaceをイメージ化します。
起動しているワークスペースにチェック入れてプルダウンメニューの下の方にイメージの作成があるんで選びましょう。ちなみに起動した状態じゃないとできないです。

イメージが作成されたら、左メニューのイメージを選択して作成されたイメージにチェックを入れてバンドルの作成をします。
下の様な画面が出るので必要な情報を入れてカスタムバンドルを作成しましょう。

最後にユーザでのアプリケーションの追加を抑止するためにWorkSpaceログインユーザでのローカル管理者権限の削除をしておきます。
手順は以下参照。

ローカル管理者の権限の管理

ちなみローカル管理者権限を削除すると、ユーザでの再起動/シャットダウンもメニューから消えます。コマンドも通りません。
ログオフは可能です。
デフォルトで1時間で自動停止しますが、今のところこの辺が自分の課題です。

何かいい方法会ったらコメントとかでおせーてください。

Memorandum,WorkAmazon Web Service,aws,WorkSpace,クラウド,テレワーク

Posted by achebon