今回はAmazon WorkSpacesでアクセスできる物理端末に制限をかける手順を紹介します。
Amazon WorkSpaces ではデバイスタイプごとにWorkSpacesへのアクセス制限を設定することができます。デバイスタイプごとのアクセス制限だけでなく、Windows端末とMac端末では特定の端末にのみアクセスを許可することができます。
今回は信頼されたMac端末のみWorkSpacesへのアクセスを許可する方法を紹介していきます。
デバイスタイプのアクセス制限
AWSコンソールから 「サービス」 → 「WorkSpaces」 → 「ディレクトリ」を選択します。
アクセス制限をかけたいディレクトリを選択し「アクション」 → 「詳細の更新」を選択します。
- 「アクセス制限オプション」で制限したいデバイスタイプを選択し、「更新と終了」をクリックします。
今回はMacOSに制限をかけたいのでMacOSにチェックをつけます。
- 確認のためにMacOSからWorkSpacesにアクセスしてみます。
以下のような画面が表示され、アクセス制限がかけられていることが確認出来ました。
デバイスの認証
デバイスタイプのアクセス制限をかけた状態で、信頼されていないデバイスを使ってアクセスしようとするとブロックされます。ここでは特定のデバイスを認証してWorkSpacesにアクセスできるようにしていきます。デバイスを認証するためには証明書が必要になります。証明書の要件は以下に記載します。
この機能には、内部認証局(CA)によって生成されるルート証明書と、ルート証明書に連鎖するクライアント証明書の 2 種類の証明書が必要です。
要件
証明書は、Base64 でエンコードされた CRT、CERT、または PEM 形式の証明書ファイルである必要があります。
証明書には共通名が含まれている必要があります。
サポートされている証明書チェーンの最大長は 4 です。
Amazon WorkSpaces は現在、クライアント証明書の証明書失効リスト (CRL) やオンライン証明書ステータスプロトコル (OCSP) などのデバイス失効メカニズムをサポートしていません。
強力な暗号化アルゴリズムを使用します。SHA256 には RSA、SHA256 には ECDSA、SHA381 には ECDSA、SHA512 には ECDSA を推奨します。
macOS の場合、デバイス証明書がシステムキーチェーンにある場合は、WorkSpaces クライアントアプリケーションがこれらの証明書にアクセスする権限を与えることをお勧めします。それ以外の場合は、ユーザーがログインまたは再接続するときに、キーチェーンの資格情報を入力する必要があります。
詳しくは以下のリンクを参照してください。
信頼されたデバイスへの WorkSpaces アクセスを制限する
今回は要件をもとに自己認証局を作成し、自己認証局で署名を行うことでクライアント証明書を作成しました。証明書の作成手順は省略します。
前提
- 認証局の秘密鍵:cakey.pem
- 認証局の公開鍵(ルート証明書):cacert.pem
- クライアント証明書の秘密鍵:client.key
- CA署名済みのクライアント証明書:client.crt
- クライアント証明書配布用:hacknote.p12
手順(WorkSpaces側)
「WorkSpaces」 → 「ディレクトリ」 → 「アクション」 → 「詳細の更新」を選択します。
「アクセス制限オプション」の「ルート証明書1」にルート証明書(cacert.pem)をインポートします。
- 「更新と終了」をクリックします。
手順(クライアント側)
Macでのクライアント証明書のインストール手順です。
クライアント証明書配布用:hacknote.p12をダウンロードします。
「hacknote.p12」をクリックしてキーチェーンにインストールします。必要があればクライアント証明書のパスワードを入力します。
「ルート証明書(hacknote-ca.com)」 をダブルクリックし、「信頼」を開きます。
以下のような画面が開くので「常に信頼」を選択します。
WorkSpacesへアクセス
WorkSpaces側とクライアント側の設定が終わったらWorkSpacesへアクセスをしてみます。キーチェーンログインのパスワードを求められるので入力します。
アクセスできました!!
さいごに
今回はWorkSpacesへアクセスできる物理端末を制限する方法について紹介しました。証明書を持つ信頼されたデバイスのみがアクセスできるように設定することで不特定多数からのアクセスを防ぐことができます。より安全にWorkSpacesを利用するためにもデバイス単位のアクセス制限を導入した方が良いと感じました。
