Amazon WorkSpaces Personalでクライアントデバイスとのファイル転送がサポートされていました
しばたです。
先月の話なのですがAmazon WorkSpaces PersonalでクライアントデバイスとWorkSpace環境間でファイル転送がサポートされていました。
AWSからのアナウンスは以下となります。
本記事ではこちらの詳細を解説していきます。
更新内容について
従来Amazon WorkSpaces PersonalではWorkSpace環境とクライアントデバイス間でのファイル転送は一切不可でした。
これは利用者にとっては不便を感じるものの、WorkSpace環境からの情報流出を防ぐための防御機構でもありました。
今回の更新でこの機能が見直され、グループポリシーの設定により
- クライアントデバイスからのアップロードのみ許可
- クライアントデバイスへのダウンロードのみ許可
- クライアントデバイスからのアップロードとダウンロードの両方を許可
のいずれかを選択することが可能となりました。
ちなみに、初期状態(グループポリシー未設定)では従来通り
- クライアントデバイスからのアップロードとダウンロードともに不可
ですのでセキュリティを懸念する方にとっても安心できる形となっています。
前提条件
本機能を使うために幾つかの前提条件があるので順に説明していきます。
条件1 : 対応WorkSpace環境
本更新はAmazon DCVプロトコル(旧WSP)の更新であるため、DCVプロトコルを使うWindows環境のみが対象となります。
また、詳細は後述しますが、各WorkSpace環境に対する設定はグループポリシーを使って行います。
このためグループポリシーを更新できる環境も必要です。
条件2 : 対応クライアント
そしてクライアント環境は
- Windows Client v5.23.0以降
- Linux Client
- Web Access (Web Client)
である必要があります。
残念ながら現時点でmacOS Clientは非サポートです。
macOS環境でこの機能を使いたい場合はWeb Accessを採用すると良いでしょう。
またLinux Clientのサポートバージョンをドキュメントから見つけることが出来なかったのですが、Windows Clientのサポートが2024年9月30日リリースのv5.23.0からなのでおそらく現在最新のv2024.7が必要になると思われます。
環境構築
ここからは実際に検証環境を作って動作確認していきます。
0. 検証環境
私の検証用AWSアカウントの東京リージョンにVPCを一つ用意し、そこにAWS Managed Microsoft ADをディレクトリとしてWindows Server 2022のWorkSpace環境を一つ用意しました。
前提条件を満たすためにプロトコルはDCV (旧WSP)
としています。
この環境に対して最新のWindows Client Ver.5.24.1から接続します。
1. グループポリシーの準備
上記WorkSpace環境でファイル転送を有効にするためにグループポリシーを設定します。
前回の手順を参考にadmx、admlファイルをセントラルストアに登録してください。
- [アップデート] Amazon WorkSpaces Personalにアイドル切断タイムアウトが導入されました
- Install the Group Policy administrative template files for DCV
続けてグループポリシー管理コンソール(gpmc
)から新しいポリシーを作成します。
今回はWorkSpaces File Transfer Policy
という名前で作成しておきます。
作成したポリシーを編集し、「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Amazon」→「WSP」を選ぶとWorkSpaces用のポリシーが表示されるので「Configure Session Storage」を選びダブルクリックします。
ポリシーの設定画面では
- Filestorage option : どのタイプのファイル転送を許可するか
Upload Only
: WorkSpace環境へのアップロードのみ許可Download Only
: クライアントデバイスへのダウンロードのみ許可Download and Upload
: ダウンロードとアップロードの両方を許可
- Folder for Session Storage : WorkSpace側の操作を許可するルートディレクトリ
- デフォルトは
ホームフォルダ (D:\users\ユーザ名\)
- デフォルトは
の2つの値を指定可能です。
こちらを環境に応じて設定し、ポリシーが有効になっているのを確認します。
各WorkSpaceが所属するOUに適用してやれば準備完了です。
WorkSpaceが所属するOUにグループポリシーをリンクしておく
マシンポリシーなのでWorkSpaceの再起動後に設定が反映されます。
動作確認
次にWorkSpaces Clientを起動しWorkSpace環境に接続します。
1. デフォルト設定 (ファイル転送不許可)
新しいWorkSpaces Clientでは上部のメニューに「File Transfer」が増えています。
デフォルトではファイル転送は許可されていないため、クリックしても
ファイルのアップロードとダウンロードは管理者により無効にされています
の表示とともに操作不可となっています。
2. アップロードのみ許可した場合
ファイルのアップロードのみ許可した場合、「File Transfer」メニューをクリックするとポップアップダイアログが表示され「ファイルをアップロード」ボタンが表示されます。
ダイアログに表示されているフォルダはWorkSpace側のフォルダ(D:\Users\ユーザー名\
)です。
適当なフォルダ(今回はデスクトップ)を選び、「ファイルをアップロード」をクリックすると、
クライアントデバイスのファイルを選ぶOS標準のダイアログが表示されるのでアップロードしたいファイルを選びます。
すると選んだファイルがWorkSpace環境に転送されます。
あとはWorkSpace内部でよしなに利用可能です。
そして、ダイアログからファイルを選択すると「ダウンロード」メニューを選ぶことはできるのですが
実際にダウンロードを試みると権限エラーで失敗します。
3. ダウンロードのみ許可した場合
ファイルのダウンロードのみ許可した場合、「File Transfer」メニューをクリックするとポップアップダイアログが表示されるものの「ファイルをアップロード」ボタンは非表示となります。
ファイルを選択して「ダウンロード」メニューを選ぶことができる点は前節と同様です。
ダウンロードが許可されているとエラー無く処理が完了します。
スクリーンショットを撮り忘れていますが、ダウンロード先はOS標準のダイアログから選択可能です。
4. アップロードとダウンロード両方許可した場合
ファイルのアップロードとダウンロード両方許可した場合は概ねアップロードを許可した場合と同じです。
ダウンロードをしても権限エラーにならない挙動となります。
5. Web Access (Web Client)の場合
ちなみにWeb Access (Web Client)の場合は画面上部メニューに「ファイルのアップロード・ダウンロードメニュー」が追加表示されます。
デフォルトではこのメニューは表示されません。
デフォルト設定ではファイルのアップロード・ダウンロードメニューは非表示
メニューをクリックするとポップアップダイアログが表示され、あとはこれまでの説明と概ね同等の挙動をします。
(ダウンロード不可の場合「Download」メニューが表示されない点は異なります)
余談 : くらにゃんぬりえ
にゃんぬりえはこちらからダウンロード可能です。
最後に
以上となります。
これは待ち望んでいた方も多いのではないでしょうか。
セキュリティとの兼ね合いとなりますが必要に応じて本機能を導入すると良いと思います。