目次
Amazon WorkSpaces Instances 完全ガイド v2.0
Self-Managed VDI・カスタムAMI・GPU対応クラウドデスクトップ
Amazon WorkSpaces Instances は、EC2 インスタンスを WorkSpaces 環境として直接活用する高度なVDIソリューションであり、カスタムAMI・GPU搭載インスタンス(g4dn/g4ad)・既存EC2管理ツール統合を実現するセルフマネージド VDI サービスです。WorkSpaces Personal(永続デスクトップ)・WorkSpaces Pools(フローティングデスクトップ)の統合で、個人専用から共有環境まで柔軟に対応します。本ガイドは、WorkSpaces Instances のアーキテクチャ・設定・運用・比較・ベストプラクティスを体系的に解説する完全リファレンスです。
ドキュメントの対象者
- 初心者向け: WorkSpaces Instances とは何か、Standard WorkSpaces との違いを学びたい方
- 開発者向け: 既存EC2管理プロセスとの統合、カスタムイメージのパイプライン化
- インフラ向け: GPU インスタンスのプロビジョニング、AutoStop 最適化、キャパシティプランニング
- セキュリティ向け: 暗号化・IAM権限制御・デバイスロック・セッション記録
- 経営層向け: Citrix DaaS・VMware Horizon Cloud・Azure Virtual Desktop・Windows 365 との総合比較
2025-2026 年の WorkSpaces Instances エコシステム
- カスタムAMI対応の拡張: EC2 Image Builder との統合パイプライン
- GPU バンドル強化: g4dn / g4ad / g5 での3D・医療・機械学習ワークロード対応
- WorkSpaces Pools 統合: 非永続セッション + カスタムイメージで大規模展開
- IAM Identity Center SSO: SAML 2.0 / OIDC による一元認証
- Windows 11 デフォルト化: Windows 10 段階的廃止
- Cost Optimization: 自動スケーリング・容量計画の機械学習活用
- Bring Your Own License(BYOL): Microsoft / Linux ライセンス持ち込み
- WorkSpaces Streaming Protocol(WSP): PCoIP の後継、レイテンシ削減
定義
AWS 公式による定義:
“Amazon WorkSpaces Instances allow you to provision cloud-based desktops using your own EC2 instances, custom AMIs, and manage them alongside your existing EC2 infrastructure.”
特徴:
- セルフマネージド VDI: EC2 の柔軟性を活用
- カスタム AMI 対応: 独自のソフトウェア構成を管理
- GPU 搭載: g4dn(NVIDIA T4)/ g4ad(AMD Radeon Pro)サポート
- 既存EC2ツール統合: Systems Manager・CloudWatch・IAM をそのまま利用
- BYOL 対応: Microsoft Windows / Linux ライセンス持ち込み
- 階層化実行モード: Always On / AutoStop / On-Demand
目次
- 概要・課題・特徴
- WorkSpaces Instances が解決する課題
- アーキテクチャ
- WorkSpaces Instances vs Personal vs Pools
- GPU対応インスタンスタイプ
- カスタム AMI の作成・管理
- Bring Your Own License(BYOL)
- 主要ユースケース(15+)
- 設定・操作の具体例
- IAM 権限・セキュリティ
- コスト計算・最適化
- 類似サービス比較表
- ベストプラクティス
- トラブルシューティング
- 2025-2026 最新動向
- 学習リソース・参考文献
概要・課題・特徴
WorkSpaces Instances でないといけない理由(5つの課題)
課題1:標準バンドルの限定性 AWS の事前定義バンドル(Standard・Performance・Power・PowerPro)では選択できない GPU インスタンス(g4dn・g4ad・g5)・高メモリ構成(r6i・r7i)・カスタムストレージ構成に対応できません。映像制作・医療画像処理・機械学習可視化では GPU が必須のため、WorkSpaces Instances で任意の EC2 インスタンスタイプを選択する必要があります。
課題2:既存EC2管理プロセスとの乖離 標準 WorkSpaces は専用の WorkSpaces API・管理ツールで操作するため、既存の Systems Manager パッチ管理・CloudWatch 監視・EC2 Auto Scaling 戦略が適用できません。WorkSpaces Instances は基盤が EC2 のため、既存の運用スキルをそのまま活用できます。
課題3:カスタムソフトウェア統合の煩雑さ 専用ソフトウェア(Autodesk Maya・Adobe Creative Suite・セキュリティエージェント)をプリインストールした環境を数千台展開する場合、標準バンドルから作成では毎回手動セットアップが必要になります。カスタム AMI を作成しておけば、新規プロビジョニング時に自動適用できます。
課題4:セキュリティエージェント・監視ツールの統一 企業のセキュリティポリシーで指定されたエンドポイント検出・対応(EDR)・ネットワークアクセス制御・暗号化エージェントを全デスクトップに統一インストールしたい場合、カスタム AMI に組み込んでおくことで確実に展開できます。
課題5:ライセンスコストの最適化 Microsoft Windows・Red Hat Linux などのライセンスを別途購入している場合、BYOL を活用して AWS ライセンスコストを削減できます。WorkSpaces Instances は BYOL に完全対応しており、既存ライセンスの活用が可能です。
WorkSpaces Instances の特徴
WorkSpaces Instances の位置づけ:
┌─────────────────────────────────────────────────┐
│ 「EC2 の柔軟性 + WorkSpaces の VDI マネージド性」│
└─────────────────────────────────────────────────┘
↓
次の両立を実現:
1. インスタンスタイプ・AMI の完全カスタマイズ
2. WorkSpaces の一元ユーザー管理・セッション制御
3. 既存 EC2 ツール(Systems Manager・CloudWatch)の統合
4. 大規模展開時の自動化パイプライン
WorkSpaces Instances が解決する課題
従来の VDI 環境との比較
| 課題 | Citrix / VMware オンプレ | 標準 WorkSpaces | WorkSpaces Instances |
|---|---|---|---|
| 初期投資 | 数千万円(ハードウェア・ライセンス) | 低い(クラウド従量課金) | 低い(EC2 従量課金) |
| カスタマイズ性 | 高い(完全制御) | 限定的(事前バンドルのみ) | 高い(任意の EC2 インスタンス) |
| GPU 対応 | 可能(高額) | 限定的(事前バンドル) | 完全対応(g4dn・g4ad・g5) |
| 既存運用ツール統合 | 専用ツール必須 | 専用ツール必須 | 既存 EC2 ツール活用可 |
| 大規模展開 | 複雑(カスタマイズ毎に個別対応) | 可能(Pools 活用) | 最適(自動化パイプライン対応) |
| BYOL 対応 | 可能 | 限定的 | 完全対応 |
アーキテクチャ
WorkSpaces Instances 全体フロー
ユーザー(Windows/Mac/iOS/Linux/ゼロクライアント)
↓
PCoIP / WSP プロトコル
↓
リージョン(VPC)
↓
┌─────────────────────────────────┐
│ WorkSpaces Service Endpoint │
└─────────────────────────────────┘
↓
┌─────────────────────────────────────────────────────┐
│ EC2 インスタンス(WorkSpaces Instances) │
│ ├─ インスタンスタイプ:任意選択(t3・m6i・g4dn等) │
│ ├─ イメージ:カスタム AMI │
│ ├─ ストレージ:EBS(暗号化) │
│ └─ ネットワーク:VPC・セキュリティグループ │
└─────────────────────────────────────────────────────┘
↓
┌────────────────────────────────────────────┐
│ 管理層(既存EC2管理ツール) │
│ ├─ Systems Manager(パッチ管理) │
│ ├─ CloudWatch(監視・ログ) │
│ ├─ IAM(権限制御) │
│ └─ CloudTrail(監査ログ) │
└────────────────────────────────────────────┘
↓
┌────────────────────────────────────────────┐
│ 共有ストレージ(オプション) │
│ ├─ EFS(ホームディレクトリ) │
│ ├─ S3(アプリケーションコード) │
│ └─ FSx(Windows 共有フォルダ) │
└────────────────────────────────────────────┘
実行モードの選択
WorkSpaces Instances 実行モード:
1. Always On(常時起動)
├─ ユーザーが接続していない場合も課金
├─ 月額課金・予測可能
└─ 用途:専用デスクトップ・グラフィックスワーク
2. AutoStop(自動停止)
├─ 接続なし 20 分で自動停止(設定可能)
├─ 停止中は低額課金(計算リソース不課金)
└─ 用途:通常の業務デスクトップ(営業・企画)
3. On-Demand(オンデマンド)
├─ セッション開始時にプロビジョン・終了時に削除
├─ 使用時間のみ課金
└─ 用途:フローティングデスクトップ・シフト制
WorkSpaces Instances vs Personal vs Pools
3つのモデルの差分表
| 項目 | Instances | Personal | Pools |
|---|---|---|---|
| 基盤技術 | EC2 カスタマイズ可 | WorkSpaces マネージド | WorkSpaces マネージド |
| 利用者 | 1 ユーザー / 1 デスクトップ | 1 ユーザー / 1 デスクトップ | 複数ユーザー / 共有デスクトップ |
| セッション形式 | 永続 | 永続 | 非永続(終了で初期化) |
| インスタンスタイプ選択 | 自由(g4dn・r6i 等) | 限定(Standard~Power) | 限定(Standard~Power) |
| カスタム AMI | 対応 | 非対応 | 対応(標準バンドル別) |
| GPU 対応 | 完全対応(g4dn・g4ad・g5) | 限定(Graphics~GraphicsPro) | 対応(Graphics g4dn) |
| ホームディレクトリ | 永続 EBS | 永続 EBS | 一時的(セッション終了で削除) |
| BYOL | 対応 | 対応 | 対応 |
| 料金体系 | Always On / AutoStop / On-Demand | Always On / AutoStop | On-Demand / AutoStop |
| 推奨用途 | カスタマイズ・GPU・既存EC2統合 | 通常業務(営業・企画) | コールセンター・教育・シフト制 |
GPU対応インスタンスタイプ
g4dn(NVIDIA T4)
g4dn インスタンスファミリー:
┌──────────────────────────────────────────────────────┐
│ g4dn.xlarge │
│ ├─ CPU:4 vCPU(Intel Xeon) │
│ ├─ メモリ:16 GB │
│ ├─ GPU:1x NVIDIA T4(16 GB VRAM) │
│ └─ 用途:CAD・グラフィクス設計・小~中規模レンダリング
└──────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────┐
│ g4dn.2xlarge │
│ ├─ CPU:8 vCPU │
│ ├─ メモリ:32 GB │
│ ├─ GPU:1x NVIDIA T4 │
│ └─ 用途:Adobe Creative Suite・3D 建築ビジュアライゼーション
└──────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────┐
│ g4dn.12xlarge │
│ ├─ CPU:48 vCPU │
│ ├─ メモリ:192 GB │
│ ├─ GPU:4x NVIDIA T4 │
│ └─ 用途:映像制作・3D アニメーション・レンダリングファーム
└──────────────────────────────────────────────────────┘
g4ad(AMD Radeon Pro)
g4ad インスタンスファミリー:
┌──────────────────────────────────────────────────────┐
│ g4ad.xlarge │
│ ├─ CPU:4 vCPU(AMD EPYC) │
│ ├─ メモリ:16 GB │
│ ├─ GPU:1x AMD Radeon Pro V520(8 GB VRAM) │
│ └─ 用途:AutoCAD・Revit・医療画像処理(コスト最適化)
└──────────────────────────────────────────────────────┘
g4ad は g4dn より安価(約 25-30% 削減)で、AMD GPU で十分な用途に最適
g5(新世代 NVIDIA H100)
g5 インスタンスファミリー(2025 登場予定):
g5.xlarge
├─ GPU:1x NVIDIA H100(80 GB VRAM)
├─ 用途:AI・機械学習可視化・超高解像度グラフィクス
└─ コスト:g4dn より高い(パフォーマンス 2-3 倍)
カスタム AMI の作成・管理
ステップ1:ベースイメージの準備
# WorkSpaces 対応の Windows Server 2022 イメージを検索
aws ec2 describe-images \
--owners amazon \
--filters "Name=name,Values=Windows_Server-2022-Base" \
--query 'Images[0].ImageId' \
--output text
# または WorkSpaces テンプレート AMI を確認
aws workspaces describe-workspace-bundles \
--query 'Bundles[?Owner==`AMAZON`].RootVolumeEncryptionEnabled' \
--output table
ステップ2:EC2 インスタンスの起動とカスタマイズ
# Windows Server 2022 インスタンスの起動
aws ec2 run-instances \
--image-id ami-0c55b159cbfafe1f0 \
--instance-type t3.xlarge \
--key-name my-keypair \
--security-group-ids sg-xxxxxx \
--subnet-id subnet-xxxxxx \
--tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=WorkSpaces-Base-Image}]'
# インスタンスが起動するまで待機
aws ec2 wait instance-status-ok --instance-ids i-xxxxxx
ステップ3:ソフトウェアのインストール
# RDP で接続してカスタマイズ(Windows の場合)
# 以下をインストール:
# - Adobe Acrobat Reader
# - VLC Media Player
# - 7-Zip
# - Slack / Teams
# - セキュリティエージェント(Trend Micro / Crowdstrike 等)
# - ネットワークドライブマッピング設定
# - ショートカット・スタートメニューカスタマイズ
ステップ4:AMI イメージの作成
# カスタマイズ完了後、インスタンスから AMI を作成
aws ec2 create-image \
--instance-id i-xxxxxx \
--name "Corp-WorkSpaces-Standard-v2.1" \
--description "Company Standard Windows 11 with Adobe, Slack, EDR" \
--no-reboot
# AMI 作成の進行状況を確認
aws ec2 describe-images \
--image-ids ami-0abc123def456 \
--query 'Images[0].[State,Progress,Name]'
ステップ5:WorkSpaces Instances でのイメージ利用
# カスタム AMI から WorkSpace Instance を作成
aws workspaces create-workspaces \
--workspaces '[
{
"DirectoryId": "d-xxxxxxxxxx",
"UserName": "john.doe",
"BundleId": "wsb-instancetype", # Custom Bundle ID
"WorkspaceProperties": {
"RunningMode": "AUTO_STOP",
"RootVolumeSizeGib": 80,
"UserVolumeSizeGib": 100,
"ComputeTypeName": "GRAPHICS_G4DN" # GPU インスタンスタイプ
}
}
]'
Bring Your Own License(BYOL)
BYOL の対象ライセンス
BYOL 対応ライセンス(WorkSpaces Instances 使用時):
1. Microsoft Windows
├─ Windows 10 Enterprise
├─ Windows 11 Enterprise
├─ Windows Server 2019 / 2022
└─ ライセンスのポイント:
- Software Assurance(SA)が必須
- KMS(Key Management Service)ホスト対応が必要
- 最小 4 台の Always-On GPU インスタンス / 月が条件
2. Red Hat Linux
├─ Red Hat Enterprise Linux(RHEL)
└─ サブスクリプションの持ち込み
3. Microsoft Office(オプション)
├─ Office 2019 / 2021 / Office 365
└─ Per-Device または Per-User ライセンス
BYOL セットアップの手順
# Step 1: BYOL AMI をインポート
# 既存の Windows Server 2022 EC2 インスタンスを BYOL 対応に変換
aws workspaces import-workspace-image \
--ec2-image-id ami-0xyz789abc123 \
--ingestion-process BYOL \
--image-name "Corp-BYOL-Windows11-Enterprise" \
--image-description "Bring Your Own Windows 11 Enterprise License"
# Step 2: インポート状況の確認
aws workspaces describe-workspace-images \
--query 'Images[?Name==`Corp-BYOL-Windows11-Enterprise`]'
# Step 3: BYOL AMI から WorkSpace を作成
aws workspaces create-workspaces \
--workspaces '[
{
"DirectoryId": "d-xxxxxxxxxx",
"UserName": "jane.smith",
"BundleId": "wsb-byol-instancetype",
"WorkspaceProperties": {
"RunningMode": "ALWAYS_ON",
"RootVolumeSizeGib": 100,
"UserVolumeSizeGib": 150
}
}
]'
BYOL コスト削減の計算例
例:100 台のデスクトップ環境(Always On)
AWS ライセンス付き(スタンダード) vs BYOL
┌─────────────────────────────────────────────────────┐
│ AWS ライセンス付き(Standard バンドル) │
│ 台数:100 台 × $25/月 = $2,500/月 │
│ 年額:$30,000 │
└─────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────┐
│ BYOL(既存 Windows 10 Enterprise ライセンス利用) │
│ EC2 インスタンス費用:100 台 × $15/月 = $1,500/月 │
│ (ライセンス不計上) │
│ 年額:$18,000 │
└─────────────────────────────────────────────────────┘
削減効果:$12,000/年(40% 削減)
(既存ライセンスの有効期間内)
主要ユースケース
1. 映像制作・3D アニメーションスタジオ
ユースケース:100 人のアニメーターがクラウドデスクトップで作業
┌────────────────────────────────────────┐
│ インスタンスタイプ:g4dn.12xlarge │
│ GPU:4x NVIDIA T4 │
│ ストレージ:200 GB EBS(高 IOPS) │
│ ソフトウェア:Maya・Blender・Nuke │
│ 実行モード:Always On(常時起動) │
└────────────────────────────────────────┘
メリット:
- ローカルワークステーション(80 万円超)不要
- リモート・オフィス・自宅からアクセス可能
- バージョン管理・アセット共有が一元化
- GPU リソースの共有で効率化
2. 医療画像診断・放射線科
ユースケース:複数病院の放射線科医が DICOM 画像を診断
┌────────────────────────────────────────┐
│ インスタンスタイプ:g4ad.xlarge │
│ GPU:1x AMD Radeon Pro V520 │
│ ストレージ:500 GB EBS(低レイテンシ) │
│ セキュリティ:HIPAA / PCI DSS 準拠 │
│ 実行モード:AutoStop │
└────────────────────────────────────────┘
メリット:
- 高解像度医療画像の高速表示
- 端末依存なく複数拠点から同じ環境にアクセス
- データが患者端末に残らない(HIPAA 対応)
- セッション記録で診断根拠の監査
3. エンジニアリング・CAD 設計チーム
ユースケース:建築・機械設計チーム(AutoCAD・Revit・CATIA)
┌────────────────────────────────────────┐
│ インスタンスタイプ:g4dn.xlarge │
│ GPU:1x NVIDIA T4 │
│ ストレージ:150 GB EBS + EFS 共有 │
│ ソフトウェア:AutoCAD・Revit・Civil3D│
│ BYOL:AutoCAD ライセンス持ち込み │
└────────────────────────────────────────┘
メリット:
- 複雑な 3D モデルのレンダリングが高速化
- 全デザイナーが同じ標準環境で設計
- EFS マウントで CAD ファイル共有
4. コールセンター・カスタマーサポート(Pools)
ユースケース:300 人のオペレーター、シフト制運営
┌────────────────────────────────────────┐
│ デプロイメント:WorkSpaces Pools │
│ インスタンスタイプ:t3.large │
│ GPU:不要 │
│ 実行モード:On-Demand │
│ 課金:使用時間のみ(1 時間 $0.25) │
└────────────────────────────────────────┘
メリット:
- Personal(常時課金)と比べて 60% コスト削減
- オペレーター数に応じて自動スケーリング
- セッション終了で個人情報が完全削除
5. マルウェア解析・セキュリティ研究
ユースケース:セキュリティチームが悪意あるサンプルを解析
┌────────────────────────────────────────┐
│ インスタンスタイプ:c6i.4xlarge │
│ ネットワーク:インターネット遮断 │
│ ストレージ:EBS(セッション終了で削除) │
│ セキュリティ:IAM カスタムポリシー │
│ 実行モード:On-Demand │
└────────────────────────────────────────┘
メリット:
- 隔離されたサンドボックス環境
- セッション終了で環境を完全リセット
- マルウェアの本番環境への影響ゼロ
6-15. その他ユースケース
6. 金融機関のトレーディングデスク
- Bloomberg Terminal・Reuters Eikon 統合
- AutoStop で非営業時間帯のコスト削減
7. 大学・教育機関(遠隔実験室)
- CAE シミュレーション・MATLAB・Python 環境
- Pools で学生に一時的にアクセス付与
8. 航空宇宙・防衛産業
- CATIA・Unigraphics・ANSYS 統合環境
- セキュリティクリアランス検証
9. ゲーム開発スタジオ
- Unreal Engine・Unity 開発環境
- GPU インスタンスでビルド・テスト高速化
10. バイオテクノロジー・製薬
- Schrödinger・MOE(分子シミュレーション)
- GPU で化学計算を高速化
11. コンサルティング会社
- Power BI・Tableau ダッシュボード作成
- クライアント現地でのセキュアアクセス
12. エンタープライズ SaaS ベンダー(QA テスト)
- 複数 OS バージョン・ブラウザでのテスト
- CI/CD パイプラインで自動プロビジョニング
13. 海外赴任者・リモートワーク
- グローバルチーム向けのセキュアデスクトップ
- VPN 不要(WorkSpaces のエンドポイント接続)
14. セキュリティ監査・コンプライアンス
- 外部監査人へのアクセス提供(時間制限可能)
- すべての操作をセッション記録で監査
15. スタートアップの急速な成長対応
- 数時間で新規ユーザーをプロビジョン
- ハードウェア調達不要
設定・操作の具体例
例1:GPU インスタンス(g4dn.xlarge)の作成
# Step 1: Directory Service を確認
aws workspaces describe-workspaces-connection-status \
--query 'ConnectionStates[0].DirectoryId'
# Step 2: g4dn バンドルを検索
aws workspaces describe-workspace-bundles \
--owner AMAZON \
--query 'Bundles[?contains(Name, `g4dn`)].{Name:Name, BundleId:BundleId}' \
--output table
# Step 3: GPU WorkSpace を作成
aws workspaces create-workspaces \
--workspaces '[
{
"DirectoryId": "d-xxxxxxxxxx",
"UserName": "graphics.designer",
"BundleId": "wsb-gk3dwws2y", # Graphics.g4dn
"WorkspaceProperties": {
"RunningMode": "ALWAYS_ON",
"RootVolumeSizeGib": 175,
"UserVolumeSizeGib": 100
}
}
]'
# Step 4: 作成状況を確認
aws workspaces describe-workspaces \
--filters 'Name=workspace-property-runningmode,Values=ALWAYS_ON' \
--query 'Workspaces[].[UserId,State,WorkspaceProperties.ComputeTypeName]' \
--output table
例2:カスタム AMI から WorkSpace Instances を大量デプロイ
#!/bin/bash
# バッチスクリプト:100 人のエンジニア向けに GPU デスクトップをプロビジョン
DIRECTORY_ID="d-xxxxxxxxxx"
CUSTOM_IMAGE_ID="ami-abc123def456"
BATCH_SIZE=10
# ユーザーリスト CSV から読込
users=(
"engineer.001:john.smith"
"engineer.002:jane.doe"
"engineer.003:bob.johnson"
# ... 全 100 人
)
for user in "${users[@]}"; do
username=$(echo $user | cut -d: -f1)
email=$(echo $user | cut -d: -f2)
aws workspaces create-workspaces \
--workspaces "[
{
\"DirectoryId\": \"$DIRECTORY_ID\",
\"UserName\": \"$username\",
\"BundleId\": \"wsb-custom-gpu\",
\"WorkspaceProperties\": {
\"RunningMode\": \"AUTO_STOP\",
\"RootVolumeSizeGib\": 100,
\"UserVolumeSizeGib\": 200,
\"ComputeTypeName\": \"GRAPHICS_G4DN\"
}
}
]" \
--tags "Key=Department,Value=Engineering" \
"Key=Email,Value=$email"
done
echo "プロビジョニング完了。合計: ${#users[@]} 台"
例3:Systems Manager でパッチを一括適用
# WorkSpaces Instances に対してパッチマネージャーを実行
aws ssm send-command \
--document-name "AWS-RunPatchBaseline" \
--targets '[{"key":"tag:WorkspacesType","values":["Instances"]}]' \
--output table
# パッチ適用状況を確認
aws ssm list-command-invocations \
--filter "key=Status,value=Success" \
--max-items 50
IAM 権限・セキュリティ
WorkSpaces Instances 管理のための IAM ポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"workspaces:CreateWorkspaces",
"workspaces:DescribeWorkspaces",
"workspaces:TerminateWorkspaces",
"workspaces:RebootWorkspaces",
"workspaces:RebuildWorkspaces",
"workspaces:ModifyWorkspaceProperties",
"workspaces:DescribeWorkspaceBundles",
"workspaces:CreateWorkspaceImage",
"workspaces:DescribeWorkspaceImages",
"workspaces:ImportWorkspaceImage"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:CreateImage",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:ACCOUNT-ID:key/*",
"Condition": {
"StringEquals": {
"kms:ViaService": "workspaces.REGION.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::ACCOUNT-ID:role/workspaces-service-role",
"Condition": {
"StringEquals": {
"iam:PassedToService": "workspaces.amazonaws.com"
}
}
}
]
}
セキュリティベストプラクティス
1. 暗号化設定
├─ EBS 暗号化:KMS カスタマーマネージドキー
├─ ホームディレクトリ暗号化:有効化
└─ トランザイト暗号化:PCoIP / WSP 両対応
2. ネットワークアクセス制御
├─ IP フィルター:特定 IP アドレスからのアクセスのみ許可
├─ セキュリティグループ:WorkSpaces の専用グループを作成
└─ VPC エンドポイント:PrivateLink 使用
3. デバイス制御
├─ USB リダイレクト:無効化
├─ プリンタ:承認済みプリンタのみ
├─ クリップボード:読み込み専用
└─ 外部ストレージ:制限
4. ユーザー認証
├─ IAM Identity Center SSO:必須化
├─ MFA:全ユーザー対象
└─ パスワードポリシー:強力な複雑性要件
5. 監視・監査
├─ CloudTrail:全 API 呼び出しをログ記録
├─ CloudWatch Logs:ユーザーセッション ログ
├─ VPC Flow Logs:ネットワーク通信を記録
└─ Config:コンプライアンス設定監視
コスト計算・最適化
月額コスト計算例
パターン 1:Always On GPU デスクトップ(映像制作)
100 台 × g4dn.xlarge × Always On(24/7 運用)
┌────────────────────────────────────────────────┐
│ EC2 計算リソース │
│ g4dn.xlarge:$0.526/時間 × 24 × 30 日 │
│ = $378.72/台/月 │
│ × 100 台 = $37,872/月 │
├────────────────────────────────────────────────┤
│ ストレージ(EBS gp3) │
│ 175 GB + 100 GB = 275 GB × $0.08/GB/月 │
│ × 100 台 = $2,200/月 │
├────────────────────────────────────────────────┤
│ ライセンス(AWS 提供) │
│ Graphics バンドル:$400/台/月 │
│ × 100 台 = $40,000/月(BYOL 利用時は不計上)│
├────────────────────────────────────────────────┤
│ 合計:$80,072/月(BYOL なし) │
│ $40,072/月(BYOL の場合) │
└────────────────────────────────────────────────┘
年額:$960,864(BYOL なし)/ $480,864(BYOL)
パターン 2:AutoStop 標準業務デスクトップ
500 台 × t3.large × AutoStop(営業・企画向け)
┌────────────────────────────────────────────────┐
│ 想定使用時間:1 日 8 時間 × 21 営業日 │
│ 月間:168 時間 │
├────────────────────────────────────────────────┤
│ EC2 計算リソース │
│ t3.large:$0.0832/時間 × 168 時間 │
│ = $13.98/台/月 │
│ × 500 台 = $6,990/月 │
├────────────────────────────────────────────────┤
│ ストレージ │
│ 80 GB + 100 GB = 180 GB × $0.08/GB/月 │
│ × 500 台 = $7,200/月 │
├────────────────────────────────────────────────┤
│ ライセンス(AWS バンドル) │
│ Standard:$25/台/月(時間課金対象) │
│ × 500 台 = $12,500/月 │
├────────────────────────────────────────────────┤
│ 合計:$26,690/月 │
└────────────────────────────────────────────────┘
年額:$320,280
パターン 3:Pools フローティングデスクトップ(コールセンター)
300 台相当(同時接続 100-150 ユーザー)
実行モード:On-Demand(使用時間のみ課金)
┌────────────────────────────────────────────────┐
│ 想定利用:
│ - 1 日あたり平均 120 ユーザー接続
│ - 1 ユーザーあたり平均 7 時間(シフト制)
│ - 月間営業時間:21 日 │
├────────────────────────────────────────────────┤
│ 月間接続時間:120 ユーザー × 7 時間× 21 日 │
│ = 17,640 ユーザー時間 │
├────────────────────────────────────────────────┤
│ EC2 計算リソース(t3.large) │
│ $0.0832/時間 × 17,640 = $1,467.81/月 │
├────────────────────────────────────────────────┤
│ ストレージ │
│ 100 台 × 180 GB × $0.08/GB/月 │
│ = $1,440/月 │
├────────────────────────────────────────────────┤
│ ライセンス(Pools) │
│ $2/ユーザー時間 × 17,640 = $35,280/月 │
├────────────────────────────────────────────────┤
│ 合計:$38,187.81/月 │
└────────────────────────────────────────────────┘
年額:$458,254
Personal(常時課金)との比較:
Personal:25 台 × $25/月 × 12 = $7,500/年(100 ユーザー対応不可)
Pools:年額 $458,254 で 300 台相当の同時性確保(40-50% 削減)
コスト最適化戦略
1. インスタンスタイプの選定
├─ GPU 不要な業務→t3・m6i(20-30% コスト削減)
├─ GPU が必須→g4ad を優先(g4dn より 25% 安い)
└─ スパイク時→g5 導入検討
2. 実行モード最適化
├─ 常時 8 時間以上→Always On
├─ 営業日 8 時間程度→AutoStop
├─ シフト制・臨時→On-Demand / Pools
└─ 推定節減:AutoStop で 40-50% 削減
3. BYOL 活用
├─ Windows Enterprise ライセンス保有→BYOL で即実装
├─ 100 台以上→ 200万円以上の年間削減
└─ 複数年ライセンス契約を活用
4. ストレージ最適化
├─ EBS gp3(推奨):gp2 比 20% コスト削減
├─ 不要な古い WorkSpace 削除→月額削減
└─ ホームディレクトリを EFS に共有化→重複排除
5. 監視・レポーティング
├─ AWS Cost Explorer で月別トレンド把握
├─ 遊休 WorkSpace を自動検出・削除
└─ Reserved Capacity 活用(1 年/3 年で割引)
類似サービス比較表
| 項目 | WorkSpaces Instances | Citrix DaaS | VMware Horizon Cloud | Azure Virtual Desktop | Windows 365 |
|---|---|---|---|---|---|
| VDI 形式 | マネージド(AWS) | クラウド / オンプレ | クラウド / オンプレ | マネージド(Azure) | マネージド(クラウド) |
| カスタマイズ性 | 非常に高い(EC2 統合) | 高い | 高い | 中程度 | 低い(事前定義のみ) |
| GPU サポート | 完全対応(g4dn・g4ad・g5) | 限定的 | 限定的 | 限定的 | 非対応 |
| BYOL | 対応 | 対応 | 対応 | 対応 | 非対応 |
| 初期投資 | なし(クラウド従量課金) | あり(オンプレ選択時) | あり(オンプレ選択時) | なし | なし |
| 月額(スタンダード) | $25 + インスタンス費 | $15-50 | $20-50 | $25 + インスタンス費 | $20-30 |
| 既存ツール統合 | EC2 ツール(優位) | Citrix ツール | VMware ツール | Azure ツール | Microsoft ツール |
| セキュリティ | IAM・KMS・CloudTrail | Citrix セキュリティ | NSX 統合 | Azure セキュリティ | Microsoft Defender |
| スケーラビリティ | 非常に高い(オートスケール) | 高い | 高い | 高い | 中程度 |
| 推奨用途 | GPU・カスタムAMI・既存AWS統合 | エンタープライズ複雑環境 | VMware 既存資産活用 | Azure 統合環境 | 小~中規模・シンプル運用 |
ベストプラクティス
1. アーキテクチャ設計
✓ やるべきこと:
1. 要件分析で適切なインスタンスタイプを選定
- GPU 必須性の判定(可視化・計算ワークロード)
- メモリ要件の把握(複雑な CAD・AI ワークロード)
- ストレージ容量の予測(メディアファイル・ログ蓄積)
2. カスタム AMI 戦略を早期に立案
- 企業標準イメージの作成プロセス化
- EC2 Image Builder で自動化パイプライン構築
- バージョン管理(v1.0・v2.0 等)を明確に
3. ネットワークアーキテクチャ
- WorkSpaces の専用サブネットを VPC 内に分離
- VPC エンドポイントで AWS サービス接続(インターネット不要化)
- NAT Gateway でアウトバウンド制御
✗ やってはいけないこと:
1. 標準バンドルと Instances の混在
- 管理の複雑化・不整合の原因に
- どちらに統一するか事前決定が重要
2. カスタム AMI なしの Instances 利用
- せっかくの柔軟性を活かせない
- 毎回手動セットアップが発生
3. 暗号化設定を後付けする
- 既存 WorkSpace の暗号化は困難
- 最初から KMS を指定して作成
2. 運用・監視
✓ 監視項目:
1. インスタンスヘルスチェック
aws workspaces describe-workspaces-connection-status \
--query 'ConnectionStates[?State==`DISCONNECTED`]'
2. ストレージ使用率
aws cloudwatch get-metric-statistics \
--namespace AWS/WorkSpaces \
--metric-name VolumeUtilization \
--dimensions Name=WorkspaceId,Value=ws-xxx \
--start-time 2026-04-01T00:00:00Z \
--end-time 2026-04-30T23:59:59Z \
--period 3600 \
--statistics Average
3. 遊休ユーザーの検出
aws workspaces describe-workspaces \
--query 'Workspaces[?LastKnownUserConnectionTime < `2026-03-01`]'
4. コスト分析
- AWS Cost Explorer で部門別・ユーザー別に集計
- Reserved Capacity 活用の検討
3. セキュリティ強化
✓ セキュリティチェックリスト:
□ 全 WorkSpace に KMS 暗号化を適用
□ IP フィルター設定(オフィス IP のみ許可等)
□ デバイスコントロール設定(USB・印刷制限)
□ IAM Identity Center SSO を導入
□ MFA をすべてのユーザーに強制
□ CloudTrail で API 監査ログを有効化
□ CloudWatch Logs で セッションアクティビティを記録
□ VPC Flow Logs で ネットワークトラフィックを監視
□ セキュリティグループで 最小権限のみ許可
□ Systems Manager Session Manager で安全な管理アクセス
□ 定期的なセキュリティグループ・IAM ポリシー監査
トラブルシューティング
| 症状 | 原因 | 解決方法 |
|---|---|---|
| WorkSpace 起動後に「接続できません」 | セキュリティグループが制限的 / ネットワーク設定エラー | VPC セキュリティグループで WorkSpaces 用プロトコル(PCoIP・WSP)ポートを許可 |
| GPU が認識されない | ドライバ未インストール / AMI 互換性の問題 | NVIDIA ドライバをカスタム AMI にプリインストール / Windows Server の GPU 対応バージョン確認 |
| EBS 暗号化エラー(「作成できません」) | デフォルト暗号化が有効 / KMS キーアクセス権限不足 | デフォルト暗号化を無効化 → WorkSpace 作成 → 後で KMS キーを指定 |
| AutoStop が動作しない | 実行モード設定が Always On / ユーザーセッション維持 | WorkSpaceProperties で RunningMode を AUTO_STOP に変更 / ユーザーに明示的なサインアウトを指示 |
| カスタム AMI インポート失敗 | 暗号化済み AMI を利用 / EC2 リージョンと WorkSpaces リージョンが異なる | 暗号化なしの AMI を使用 / 同一リージョンで操作 |
| ストレージ容量不足 | ユーザー・アプリケーションログの蓄積 | CloudWatch に自動ログ配信 → EBS ボリュームをオンラインで拡張 |
| 接続レイテンシが高い | ユーザーとリージョンが遠い / PCoIP 設定最適化不足 | WorkSpaces Streaming Protocol(WSP)に切り替え / エッジロケーション最適化 |
| ユーザーがプリンタに接続できない | デバイスコントロール設定で印刷が制限 | IAM ポリシーで print デバイスを許可 / Windows デバイスマネージャーでドライバ確認 |
2025-2026 最新動向
1. WorkSpaces Streaming Protocol(WSP)への移行
PCoIP からの段階的移行:
PCoIP(従来)
├─ レイテンシ:50-100 ms
├─ バンド幅:1-6 Mbps(ネットワーク品質依存)
└─ 対応:全デバイス
WSP(新)
├─ レイテンシ:30-50 ms(改善)
├─ バンド幅:2-4 Mbps(バッチ処理で効率化)
├─ 低遅延・低バンド幅で VDI 体験向上
└─ 対応:2024 年以降のクライアントから段階的
推奨:新規 WorkSpace は WSP デフォルト選択
2. Windows 11 デフォルト化(Windows 10 廃止ロードマップ)
2025:
- Windows 11 Pro / Enterprise がデフォルトイメージ
- Windows 10 も引き続き利用可能(別途手数料)
2026:
- Windows 10 サポート終了予定
- レガシーアプリの Windows Server 2022 への移行推奨
3. GPU インスタンスファミリーの拡張
2025-2026 新登場予定:
g5(NVIDIA H100)
├─ VRAM:80 GB(g4dn T4 の 5 倍)
├─ 用途:AI 推論・超高解像度可視化
└─ コスト:g4dn より 2-3 倍
g6(次世代 NVIDIA)
├─ 予定:2026 年以降
└─ 詳細:未発表(Hopper 世代後継)
4. AI アシスタント統合(Amazon Q)
2025:
- Amazon Q が WorkSpaces Instances に統合
- ユーザーサポート・トレーニング AI アシスタント
- セッション内 Q&A で生産性向上
予想:
- カスタムナレッジベースとの連携
- 企業固有のアプリケーション使用方法を自動学習
5. Cost Optimization の自動化
2026 見込み:
機械学習ベースの最適化:
- ユーザーの実際の利用パターンを学習
- 最適なインスタンスタイプ・実行モード自動提案
- Reserved Capacity 自動購入機能
例:
「営業Aさんは毎日 9-17 時のみアクセス
→ AutoStop 推奨 + 月額 $XX 削減」
学習リソース・参考文献
AWS 公式ドキュメント
関連ドキュメント
学習リソース
初心者向け:
- AWS Training:WorkSpaces 基礎コース
- AWS ハンズオン:GPU WorkSpace 構築
上級者向け:
- AWS Summit セッション:「WorkSpaces Instances で GPU デスクトップ環境を構築」
- AWS ホワイトペーパー:「Deploying Graphics Workspaces on AWS」
コミュニティ
- AWS re:Post:WorkSpaces コミュニティ
- Stack Overflow:[amazon-workspaces] タグ
実装チェックリスト・まとめ
実装前のチェックリスト
設計フェーズ
□ GPU の必要性を技術者と確認(CAD・動画編集・計算か)
□ カスタムソフトウェアのリスト化(AutoCAD・Maya・セキュリティエージェント等)
□ インスタンスタイプ選定(t3・m6i・g4dn・g4ad・g5)
□ 実行モード決定(Always On / AutoStop / On-Demand)
□ BYOL 活用可能性の確認(既存ライセンス保有)
□ セキュリティ要件の定義(IP フィルター・暗号化・デバイスコントロール)
□ ネットワークアーキテクチャ設計(VPC・サブネット・セキュリティグループ)
構築フェーズ
□ カスタム AMI の作成(必須ソフトウェアをプリインストール)
□ IAM ロール・ポリシーの定義
□ WorkSpaces Directory の作成(AD 統合)
□ KMS キーの作成(EBS 暗号化用)
□ VPC・セキュリティグループの構成
□ CloudTrail / CloudWatch Logs の有効化
運用フェーズ
□ 月次コスト監視(Cost Explorer 設定)
□ 遊休ユーザーの定期削除
□ パッチ管理の自動化(Systems Manager)
□ セキュリティ監査の定期実施
□ ユーザーフィードバック収集
□ パフォーマンス最適化(インスタンスタイプ変更検討)
ユースケース別の推奨構成
GPU が必須(映像制作・3D デザイン)
┌──────────────────────────────────┐
│ インスタンスタイプ:g4dn.xlarge │
│ OS:Windows 11 Pro + カスタム AMI │
│ 実行モード:Always On │
│ ストレージ:200 GB EBS + 150 GB │
│ セキュリティ:KMS + IP フィルター │
│ 推定月額:$550/台 │
└──────────────────────────────────┘
標準業務デスクトップ(営業・企画)
┌──────────────────────────────────┐
│ インスタンスタイプ:t3.large │
│ OS:Windows 11 Pro(標準) │
│ 実行モード:AutoStop(20 分) │
│ ストレージ:80 GB EBS + 100 GB │
│ セキュリティ:IAM Identity Center│
│ 推定月額:$35/台(8 時間/日利用) │
└──────────────────────────────────┘
大規模フローティング環境(コールセンター)
┌──────────────────────────────────┐
│ デプロイメント:Pools │
│ インスタンスタイプ:t3.large │
│ 実行モード:On-Demand │
│ ストレージ:100 GB EBS │
│ セキュリティ:デバイスコントロール │
│ 推定月額:$25-30 ユーザー時間料 │
└──────────────────────────────────┘
まとめ
Amazon WorkSpaces Instances は、EC2 の完全な柔軟性と WorkSpaces の VDI マネージド性を両立させる高度なクラウドデスクトップソリューションです。
主な特徴再整理
- カスタマイズ性: 任意の EC2 インスタンスタイプ・カスタム AMI を選択可能
- GPU 対応: g4dn・g4ad・g5 で映像制作・医療・AI ワークロードに対応
- 既存ツール統合: Systems Manager・CloudWatch などの EC2 管理ツールをそのまま利用
- BYOL 対応: Microsoft / Linux ライセンス持ち込みでコスト削減
- 階層化運用モード: Always On / AutoStop / On-Demand で柔軟に対応
- エンタープライズセキュリティ: KMS・IAM・デバイスコントロール・セッション記録
こんな場合は WorkSpaces Instances を選ぶべき
- GPU が必須: 3D CAD・映像編集・医療画像・機械学習可視化
- カスタムソフトウェア統合: AutoCAD・Maya・Unreal Engine・セキュリティエージェント
- 既存 EC2 管理と統一: Systems Manager・CloudWatch を既に活用している
- 大規模展開: 100 台以上で自動化パイプラインが必要
- BYOL で削減: Microsoft / Linux ライセンス保有
コスト最適化の秘訣
- インスタンスタイプの適切選定: GPU 不要なら t3・m6i(月額 $20-40)
- 実行モード最適化: AutoStop で常時課金比 40-50% 削減
- BYOL 活用: ライセンス保有なら年間 $200,000+ の削減可能
- ストレージ効率化: EBS gp3・EFS 共有で重複排除
- 監視・削減自動化: AWS Cost Explorer で定期的に遊休リソース削除
2025-2026 年への備え
- WSP への移行準備: レイテンシ・バンド幅の向上
- Windows 11 デフォルト化: Windows 10 廃止ロードマップ対応
- GPU インスタンスの拡張: g5(H100)の活用検討
- AI アシスタント統合: Amazon Q によるユーザーサポート
- 自動コスト最適化: 機械学習ベースのリソース推奨