AWS WorkSpaces 環境とローカル環境間でファイルを転送する

以前、お客様より AWS WorkSpaces(以降、WSと表記)へローカル環境のファイルを転送したいんだけど？というお問い合わせをいただきました。

AWS公式の手順を参照しながら設定を行ったのですが、文字のみの手順で分かり辛く、またActive Directory(以降、ADと表記)の仕組みを知らないと躓く箇所もあったため、図解でわかりやすくお伝えします。

はじめに

• WS、ADの構築手順は記載しておりません。
• ファイル転送機能は、DCVプロトコルを使用する個人用WSでサポートされています。
• ファイル転送機能は、WSのMacクライアントには提供されていません。Windows、 Linuxクライアント、Webアクセスをご利用ください。
• 本ブログでは、Windowsクライアントを使用します。
• WSクライアントは最新版をご利用ください。

WS側設定手順

WS内に、ファイル転送で使用するフォルダを作成します。
転送したファイルは、作成したフォルダ内に格納されます。
本ブログでは、D:\workとします。

(図1-1)

WSが参加しているADにアクセスが可能などこかの環境に、下記のAD管理ツールをインストールします。
本ブログでは、WS環境にインストールします。

• グループポリシーの管理
• Active Directory管理センター
• AD DSスナップインおよびコマンドラインツール
• Windows PowerShellのActive Directoryモジュール

(図1-2)

(図1-3)

AWSコンソール画面より、WSに割り当たっているENIを探します。

(図1-4)

該当ENIに割り当たっているパブリックIPアドレスをメモします。

(図1-5)

該当ENIに割り当たっているSGをクリックし、SG設定画面を表示させます。

(図1-6)

該当ENIに割り当たっているSGにRDT通信の穴を開けます。

(図1-7)

AD側設定手順

RDTでWSのパブリックIPアドレスにアクセスし、ドメインのadministratorユーザでログインします。

(図2-1)

WS環境の下記フォルダから、下記ファイルをコピーします。
フォルダ：
C:\Program Files\Amazon\WSP
ファイル：

• wsp.adml
• wsp.admx

(図2-2)

エクスプローラを起動し、アドレスバーに下記の通り入力し、ADのIPCフォルダへネットワーク共有をかけます。

\\[ADドメイン]
本ブログでは、\\taf-dev.local

(図2-3)

ADの下記フォルダに、下記ファイルを配置します。
フォルダ：
\\[ADドメイン]\sysvol\[ADドメイン]\Policies\PolicyDefinitions

ファイル：
wsp.admx

本ブログでは、[\\taf-dev.local\sysvol\taf-dev.local\Policies\PolicyDefinitions]
※[PolicyDefinitions]フォルダが存在しない場合は作成します。

(図2-4)

ADの下記フォルダに、下記ファイルを配置します。
フォルダ：
\\[ADドメイン]\sysvol\[ADドメイン]\Policies\PolicyDefinitions\en-US
ファイル：
wsp.adml

本ブログでは、[\\taf-dev.local\sysvol\taf-dev.local\Policies\PolicyDefinitions\en-US]
※[en-US]フォルダが存在しない場合は作成します。

(図2-5)

グループポリシーの管理ツールを起動し、下記の通りツリーを展開します。

フォレスト：[ADドメイン]\ド​​メイン\[ADドメイン]
本ブログでは、フォレスト：taf-dev.local\ドメイン\taf-dev.local

(図2-6)

[Default Domain Policy]を右クリックし、表示された右クリックメニューから[編集]をクリックします。

(図2-7)

グループポリシー管理エディタ画面が表示されますので、下記の通りツリーを展開します。
コンピュータの管理\ポリシー\管理用テンプレート\Amazon\WSP

(図2-8)

WSP内の[Configure Session Storage]をダブルクリックします。

(図2-9)

[Configure Session Storage]の設定画面が表示されますので、下記の通り設定し[OK]ボタンをクリックします。

• 有効にチェック
• Filestorage Option：Download and Upload
• Folder for Session Storage：D:\work

[Folder for Session Storage]には、手順冒頭で作成したファイル転送用フォルダを指定します。

(図2-10)

コマンドプロンプトを起動し、下記コマンドを実行します。
gpupdate /force

(図2-11)

下記の通り応答が返ることを確認します。
[コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。]

(図2-12)

後処理

SGに開けたRDT通信の穴を閉じます。

(図3-1)

本ブログでは実施してないですが、不要でしたらインストールしたAD管理ツールも削除ください。

動作確認

テスト用ファイルをWSのファイル転送用フォルダ内に作成します。

(図4-1)

WorkSpacesクライアントのメニューバーにある[File Transfer]をクリックします。

(図4-2)

[File Transfer]画面がポップアップされます。
ファイル転送用フォルダ内のファイルが表示されてますね。

ファイルを送信したい場合は、この画面にWSに送信したいファイルをD&Dします。送信したファイルはWSのファイル転送用フォルダに配置されます。本ブログでは、D:\workに配置されます。

ファイルを受信したい場合は、WS内でファイル転送用フォルダに受信したいファイルを配置し[File Transfer]画面上で対象ファイルをダブルクリックします。本手順では、D:\workに配置します。

(図4-3)

まとめ

いかがでしたでしょうか。
わざわざこんな手順を踏まなくても、ファイル転送自体は実現可能そうですがWSクライアントを利用すると、安全な通信経路や転送手段がAWS側で担保されるので、管理者側がセキュリティ面で考慮するべき対策のいくつかを手放すことができます。

AWSさんがせっかく機能実装してくれたので、有効活用したいですね。

長々とお読みくださりありがとうございました。

本ブログでは、WS環境⇔ローカル環境間のファイルを転送手順をご紹介しましたが、なにか他のことでも、こんなことできないかな？といったことがございましたらお気軽にお問い合わせください。