株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > AWS > WorkSpaces Pools+FSLogix構成を試す! 【Part3】

WorkSpaces Pools+FSLogix構成を試す! 【Part3】

AWS クラウド WorkSpaces FSLogix

はじめに

皆様、こんにちは!
ネットワールド SEの福村です。

前回に引き続き、WorkSpaces PoolsとFSLogixを組み合わせた構成について取り上げていきます。これまでの内容については以下のブログをご参照ください。

blogs.networld.co.jp

blogs.networld.co.jp

大まかな流れ

  • Personal用のディレクトリを作成し、WorkSpacesを展開
    • イメージ作成のために必要。Simple ADで展開
  • FSLogixのインストールとポリシーの設定を実施し、カスタムイメージを取得し、カスタムバンドルを作成
  • プールのディレクトリをADへ参加させるために、SecretsManagerの設定を実施
    • AWS KMSカスタマーマネージドキーを作成
      • キー管理者としてIAMユーザーを指定
    • AWS SecretsManagerシークレットを作成
      • AD参加するための認証情報を保存
      • ADへ認証できるようにKMSカスタマーマネージドキーのキーポリシーを編集を実施
      • Secrets Managerのリソースアクセス許可の編集を実施
  • Pools用のディレクトリ展開
    • Poolsのディレクトリを展開する際、FSx用に展開したADへ参加させる
      • ADへの認証情報をSecretsManagerに保存が必要
      • ディレクトリ展開後にADを参加させることは不可
  • IdPとしての必要な設定については、Entra IDを用いた前回の検証*1で使用したSAMLの設定を再利用。変更を実施した項目は以下になる
    • Poolsのディレクトリ登録
    • IAMロールの許可ポリシーの修正
    • リレー状態の登録コード変更
  • WorkSpaces Poolsの展開
    • 作成したカスタムバンドルを用いてマシンを展開

*1:以前検証で作成した環境の設定を一部利用しています。該当のブログは以下になります。

AWS WorkSpacesプール リリース2024の詳細解説 - ネットワールド らぼ

AWSプール用WorkSpacesのプロファイル管理(ホームフォルダ) - ネットワールド らぼ

WorkSpacesプールでのスケーリング詳細解説 - ネットワールド らぼ

イメージ取得用のPersonalのWorkSpaces展開

プロトコルはWSP、Office無しのバンドルで展開しています。

FSLogixインストール

以下のサイトからFSLogixのアプリケーションをインストールしています。 

https://learn.microsoft.com/ja-jp/fslogix/how-to-install-fslogix

ポリシーの設定

FSLogixを利用する上で必要なポリシーの設定を実施します。
以下のサイトからテンプレートファイルを取得し、マシンの指定場所に格納します。

https://learn.microsoft.com/ja-jp/fslogix/how-to-use-group-policy-templates

また、今回設定したポリシーは以下になります。

カスタムイメージ及びバンドル作成

FSLogixの設定を組み込んだカスタムイメージを作成し、バンドルを作成します。

KMSキーの作成

プールのディレクトリをADへ参加させるために、まずはKMSキーを作成しています。

KMSのキーポリシーの編集

キーポリシーに以下の内容を追記します。

Secrets Managerのリソースのアクセス許可の編集

以下のアクセス許可を追記します。

AWS SecretsManagerのシークレット作成

ADへの認証情報を保存します。

Poolsのディレクトリの作成

Poolsのディレクトリを展開する際、FSx用に展開したADへ参加させます。
※ディレクトリ展開後にADへ参加されることはできないので要注意!
認証情報は作成したAWS SecretsManagerを用います。

SAMLの設定に関しては以前検証で使ったEntra IDの値を指定します。

IAMロールの許可ポリシーの修正

ディレクトリの展開後、IAMロールの許可ポリシーのプールディレクトリARNを現状のものに変更します。

WorkSpacesの展開

作成したカスタムバンドルを用いてマシンを展開します。

Workspacesへ接続及びファイル保存テスト

SAML認証後、Windowsの認証画面が表示されるため、ADで登録したIDとパスワードを入力します。

ファイルを保存した後、サインアウトし、セッションを破棄します。

再度環境にログインし、ファイルが保存されていることを確認できました!
セッション破棄後、ホームフォルダ以外のフォルダに保存したファイルは引き継がれることが確認できました。

ユーザープロファイルフォルダの生成確認

EC2(AD)からFSxへアクセスし、ユーザープロファイルフォルダが生成されているのを確認できました!

おわりに

3回にわたってWorkSpaces_Pools+FSLogixの構成を紹介しました。ご覧頂きありがとうございました。
WorkSpaces PoolsとFSLogix組み合わせた構成はまだまだメジャーでないからか公開情報も少なく関連リソースも通常のWorkspaces Poolsに比べて多く展開しなくてはいけないため少し苦労しましたが、非常に興味深かったです。今後もWorkspacesに関する情報を引継ぎ発信していきたいと思います!

参考資料

現時点ですとAppStream+FSLogixでの手順のみ公開されている状態です。

https://aws.amazon.com/jp/blogs/desktop-and-application-streaming/use-amazon-fsx-and-fslogix-to-optimize-application-settings-persistence-on-amazon-appstream-2-0/