リモートワークが増加している昨今、Amazon WorkSpaces に続き、Amazon AppStream 2.0 の需要が高まっています。
まずは、Amazon AppStream 2.0 における概要を理解することで、お客様のビジネスニーズにマッチしているかご確認いただければ幸いです。
—
- Amazon AppStream 2.0 とは
- Amazon AppStream 2.0 の機能
- Amazon AppStream 2.0 のコンセプト
- Amazon AppStream 2.0 のセキュリティ
- 最後に
■ 1. Amazon AppStream 2.0 とは
Amazon AppStream 2.0 は、デスクトップアプリケーションに即座にアクセスできるようにする、完全マネージド型のアプリケーションストリーミングサービスとなります。
Amazon AppStream 2.0 を使用すると、デスクトップアプリケーションを書き直すことなく AWS に移行することができます。AppStream 2.0 にアプリケーションをインストールおよび起動設定を行うことで、簡単にアプリケーションをユーザーが使えるようになります。
AppStream 2.0 では、幅広い選択肢の仮想マシンを利用できるため、アプリケーションの要件に最適なインスタンスタイプの選択や自動スケーリングパラメータの設定ができ、さまざまなニーズを簡単に満たすことができます。なお、アプリケーションをお客様のネットワークで起動できます。つまり、そのアプリケーションから既存の AWS リソースを操作できることになります。
■ 2. Amazon AppStream 2.0 の機能
Amazon AppStream 2.0 には下記のような機能があります。
[デスクトップアプリケーションに安全にアクセス]
デスクトップアプリケーションには、Windows および Linux PC、Mac、Chromebook、iPad、Android タブレットから HTML5 対応のウェブブラウザを介して安全にアクセスすることができます。または、サポートされているバージョンの Windows では、AppStream 2.0 クライアントをアプリケーションのストリーミングに使用することができます。
[アプリケーションとデータの保護]
ユーザーには、暗号化されたピクセルのみがストリーミングされます。アプリケーションは、各ユーザー専用の AppStream 2.0 インスタンスで実行されるため、コンピューティングリソースは共有されません。アプリケーションは、お客様独自の Amazon VPC 内で動作することで、Amazon VPC のセキュリティ機能を使用してアクセスを制御することができます。これによって、アプリケーションを分離し、安全に実行できます。
[一貫したスケーラブルなパフォーマンス]
AppStream 2.0 は AWS で実行され、ローカルデバイスでは達成できないコンピューティング能力を利用できます。そのため、アプリケーションを実行する時に、一貫した優れたパフォーマンスが得ることが可能です。ローカルおよびグローバルに即座にスケールでき、ユーザーのために常に低レイテンシーのアプリケーションストリーミングサービスを体験できます。オンプレミスソリューションとは違い、ユーザーのロケーションに最も近い AWS リージョンにアプリケーションを素早くデプロイし、設備投資を増やすことなくアプリケーションストリーミングを開始することができます。
[既存の AWS サービスおよびオンプレミスとの統合]
既存の AWS のサービスおよびオンプレミス環境と統合することが可能です。VPC 内でアプリケーションを実行することで、ユーザーが AWS で保持しているデータや他のリソースにアクセスできるようになります。これにより、AWS とユーザー環境の間でのデータの移動が軽減されます。
既存の Microsoft Active Directory 環境との統合により、ストリーミングアプリケーションで既存の Active Directory ガバナンス、ユーザーエクスペリエンス、およびセキュリティポリシーを使用できるようになります。
ID フェデレーションを構成します。これにより、ユーザーは社内認証情報を使用してアプリケーションにアクセスできます。または、AppStream 2.0 で実行しているアプリケーションから IT リソースへの認証済みのアクセスを許可することもできます。
[お客様のニーズに合うフリートの種類を選択してください]
次の 2 種類のフリートがあります。
・常時オン – アプリケーションをストリーミングしているユーザーがいなくても、インスタンスは常に実行されます。ユーザーにアプリケーションへの即時アクセスを提供するには、常時オンのフリートを使用します。
・オンデマンド – ユーザーがアプリケーションをストリーミングしている場合にのみインスタンスが実行されます。ストリーミングで使用可能なアイドル状態のインスタンスは停止状態となります。オンデマンドフリートを使用してストリーミングの課金を最適化し、1 〜 2 分待ってからユーザーにアプリケーションへのアクセスを提供します。
■ 3. Amazon AppStream 2.0 のコンセプト
AppStream 2.0 を最大限に活用するには、以下のコンセプトを理解しておく必要があります。
[Image Builder]
Image Builder は、イメージの作成に使用する仮想マシンです。Image Builder を起動して接続するには、AppStream 2.0 コンソールを使用します。Image Builder に接続すると、アプリケーションをインストール、追加、テストできます。さらに Image Builder を使用してイメージを作成できます。自己所有のプライベートイメージを使用して新しい Image Builder を起動することもできます。
[イメージ]
イメージには、ユーザーにストリーミングできるアプリケーションと、ユーザーがアプリケーションをすぐに開始して利用するためのデフォルトの Windows およびアプリケーションの設定が含まれています。AWS には、独自のアプリケーションを含むイメージを作成するために使用できるベースイメージが用意されています。作成後のイメージは変更できません。他のアプリケーションの追加、既存のアプリケーションの更新、またはイメージ設定の変更を行うには、新しいイメージを作成する必要があります。イメージは、他の AWS リージョンにコピーしたり、同じリージョン内の他の AWS アカウントと共有したりできます。
[フリート]
フリートは、指定したイメージを実行するフリートインスタンス (ストリーミングインスタンスとも呼ばれる) で構成されます。フリートに必要なストリーミングインスタンスの数を設定し、要求に基づいてフリートを自動的に拡張するようにポリシーを設定できます。1 人のユーザーに 1 つのインスタンスが必要です。
[個のスタックを表示中]
スタックは、関連付けられたフリート、ユーザーアクセスポリシー、ストレージ設定で構成されます。ユーザーに対してストリーミングアプリケーションを開始するためにスタックを設定します。
[ストリーミングインスタンス]
ストリーミングインスタンス (フリートインスタンス) は、アプリケーションストリーミングにユーザー 1 人あたりが使用できる EC2 インスタンスです。ユーザーのセッションが完了すると、インスタンスは EC2 によって終了します。
[ユーザープール]
ユーザープールを使用して、ユーザーと割り当てられたスタックを管理します。
■ 4. Amazon AppStream 2.0 のセキュリティ
Amazon AppStream 2.0 で利用するデータを保護するために、AWS アカウントの認証情報を保護することで担保できます。それには AWS Identity and Access Management (IAM) を使用して個々のユーザーアカウントを設定するのが一般的です。
なお、以下の方法でデータ保護することをお勧めします。
・各アカウントで多要素認証 (MFA) を使用します。
・SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 以降が推奨されています。
・AWS CloudTrail で API とユーザーアクティビティログを設定します。
・AWS 暗号化ソリューションを AWS サービス内のすべてのデフォルトのセキュリティ管理と一緒に使用します。
・Amazon Macie などの高度なマネージドセキュリティサービスを使用します。これにより、Amazon S3 に保存される個人データの検出および保護ができます。
・CLI または API を使用して AWS にアクセスするときに FIPS 140-2 検証済みの暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。
保管時の暗号化については “アプリケーション設定の永続性” または “ホームフォルダ” を有効にした場合は、ユーザーによって生成されることで Amazon S3 バケットに保存されたデータは暗号化されます。
一方で、転送時の暗号化では、AppStream 2.0 ユーザーと AppStream 2.0 の間で TLS 1.2 を使用して暗号化します。また、AppStream 2.0 ユーザーと Amazon S3 の間では Amazon S3 SSL エンドポイントを使用して暗号化します。
また、AWS では IAM ロールは AWS のサービスに許可を付与するのに使用され、AWS リソースにアクセスする際に制御することが可能です。ロールにアタッチされるポリシーによって、どの AWS リソースにサービスがアクセスできるか、およびそれらのリソースで何のアクションができるかが決まります。AppStream 2.0 では “AmazonAppStreamFullAccess” ポリシーで定義されている許可に加えて、以下の IAM ロールが AWS アカウントに存在している必要があります。
[IAM ロール]
・AmazonAppStreamServiceAccess
・ApplicationAutoScalingForAmazonAppStreamAccess
・AWSServiceRoleForApplicationAutoScaling_AppStreamFleet
■ 5. 最後に
いかがでしたでしょうか。AppStream 2.0 は完全マネージド型のアプリケーションストリーミングサービスとして “アプリケーションのみを今すぐ利用したい” などのユースケースとして最適です。一度検証環境等でお試しいただければ幸いです。
SunnyCloudでは、直接契約よりもAWSを5%割引料金で利用できる、初期費用・手数料無料のAWSリセール(請求代行)サービスを提供しています。