接続元のIPアドレスの記録
- WorkSpaces Access Eventで記録することが可能
- 概要
- WorkSpacesへアクセスしたときにAmazon EventBridgeによりCloudWatch Logsへ"WorkSpaces Access Event"を記録
- 作成手順
- AWS MCから[Amazon EventBridge]-[イベント]-[ルール]の順にアクセス
- [ルールを作成]をクリック
- "ルールの詳細を定義"にて下記を入力し[次へ]をクリック
- 名前: 任意のルール名
- イベントバス: default等
- ルールタイプ: イベントパターンを持つルール
- "イベントパターンを構築"にて下記を入力し[次へ]をクリック
- イベントソース: AWSイベントまたはEventBridgeパートナーイベント
- サンプルイベント: デフォルト値のまま
- イベントパターン
- イベントソース: AWSのサービス
- AWSのサービス: WorkSpaces
- イベントタイプ: WorkSpaces Access
- "ターゲットを選択"にて下記を入力し[次へ]をクリック
- ターゲットタイプ: AWSのサービス
- ターゲットを選択: CloudWatchロググループ
- ロググループ: 新規にグループ名を入力 若しくは既存グループを選択
- "タグを設定"にて、任意設定し[次へ]をクリック
- "レビューと作成"にて[ルールの作成]をクリック
- WorkSpaceへアクセスすると、CloudWatchログの指定したロググループへ下記(サンプル)内容のログが記録
{
"version": "0",
"id": "64ca0eda-9751-dc55-c41a-1bd50b4fc9b7",
"detail-type": "WorkSpaces Access",
"source": "aws.workspaces",
"account": "123456789012",
"time": "2018-07-01T17:53:06Z",
"region": "us-east-1",
"resources": [],
"detail": {
"clientIpAddress": "192.0.2.3", → 接続元IPアドレス
"actionType": "successfulLogin",
"workspacesClientProductName": "WorkSpaces Desktop client",
"loginTime": "2018-07-01T17:52:51.595Z",
"clientPlatform": "Windows",
"directoryId": "domain/d-123456789",
"workspaceId": "ws-xyskdga"
}
}
- 補足
- ストリーミングに使用するポート4172および4195(UDP/TCP)の接続に成功した場合に記録
- WorkSpacesの[IPアクセスコントロール]設定を適用している場合、許可された接続のみ記録(拒否は記録しない)
- クライアントアプリケーションの更新/登録/認証に使用するポート443(TCP)の接続は記録しない
- ストリーミングに使用するポート4172および4195(UDP/TCP)の接続に成功した場合に記録
WorkSpacesプロキシ対応
- 完全には対応していない
- WorkSpacesは複数のポートを扱うが、一部ポートはプロキシに非対応。
非対応のポートは、直接AWSへの接続を必要とする。- クライアントアプリケーションの更新/登録/認証に使用するポート443(TCP)は対応
- ストリーミングに使用するポート4172および4195(UDP/TCP)は非対応
参考:WorkSpaces の IP アドレスとポートの要件
以上、