Amazon AppStream 2.0:Image Builder実践ガイド — Part II

本シリーズのPart 1では、Directory Administrationインスタンスと、Amazon Managed Active Directory(Managed AD)インスタンスを新しくセットアップしました。

Part 2では、次の作業を行います。

• AppStream 2.0サービス用マシンおよびImage Builder向けのサービスアカウントを、Managed AD内に新規作成します。
• 続いて、AppStream 2.0のマシンを参加させる新しいOrganizational Unit(OU)をManaged AD内に作成します。
• 最後に、必要なアプリケーションをあらかじめインストールしたゴールデンイメージを作成し、AppStream 2.0で利用できるようにします。

ベクター画像:Sky Motion

まず、リモートデスクトップまたはSystems Manager — Fleet Managerを使って、Directory Administration用のEC2インスタンスに接続します。

ステップ1

スタートボタンを押し、Active Directory Users and Computersを開きます。

Active Directory(AD)Users and Computersを検索

Active Directory Users and Computersのウィンドウは、本チュートリアルを通じて使用するため、Domain Administrationインスタンス上で開いたままにしておいてください。

ステップ2

Active Directoryフォレストを探し、CORPとUsersが見つかるまでツリーを展開します。Users OUを右クリックし、新規作成からユーザーを選択します。

新規ユーザーのワークフローを開く

ステップ3

必要な項目を入力します。本例では、サービスアカウント名をappstreamsvcとします。次へをクリックして進みます。

新しいオブジェクト — ユーザーウィザード:ユーザー情報の入力

ステップ4

このサービスアカウントの新しいパスワードを設定し、パスワードを無期限にするオプションがオンになっていることを確認します。次へをクリックして進みます。

新しいオブジェクト — ユーザーウィザード:パスワードの設定

ステップ5

新しいサービスアカウントの設定内容を確認します。

ユーザー作成を完了するには、完了をクリックします。

新しいオブジェクト — ユーザーウィザード:確認と完了

作成された新しいサービスアカウントが、管理者ユーザーの下に表示されているはずです。

AD Users and Computers:一覧でユーザーを確認

同じ手順で、Image Builder用のサービスアカウントをもう1つ作成します。本例では、ユーザー名をappstreambuilderとして作成します。

同じActive Directory Users and Computersのウィンドウから、新しいOUを作成します。AppStream 2.0サービスが作成するマシンは、このOUに配置されます。

新規OUのワークフローを開く

本例では、OU名をMachinejoinouとします。

AD Users and Computers:Machinejoinou

このOUの識別名(Distinguished Name)は後の手順で使うため、必ず控えておいてください。

Machinejoinouの識別名をコピー

新しいサービスアカウントに、Machinejoinou内でActive Directoryオブジェクト(コンピューターオブジェクト)を追加・削除できる権限を付与します。

ステップ1

Machinejoinouを右クリックし、すべてのタスクから制御の委任を選択します。

AD Users and Computers:制御の委任のワークフロー

ステップ2

表示されたウィザードで次へをクリックし、続いて追加を選択します。

選択するオブジェクト名を入力してくださいのテキストフィールドに、appstreamsvc(または使用するサービスアカウント名)を入力します。

名前の確認をクリックすると、下のスクリーンショットのようにウィザードがオブジェクトを補完するので、サービスアカウント名を確認します。

同じ方法で、もう1つのサービスアカウント(appstreambuilder)をユーザーまたはグループセクションに追加します。

制御の委任ウィザード:ユーザー、コンピューター、グループを選択

ステップ3

次のページ(委任するタスク)に進みます。委任するカスタムタスクを作成するを選択し、次へをクリックします。

制御の委任ウィザード:委任するタスク

ステップ4

次のページに進み、以下を実施します。

1. 一覧からコンピューターオブジェクトを選択します。 2. このフォルダー内に選択したオブジェクトを作成するを選択します。

制御の委任ウィザード:ADオブジェクトの種類を選択

次のステップへ進みます。

ステップ5

これらのアクセス許可を表示するセクションで、全般とプロパティ固有の両方を選択します。

アクセス許可の一覧で、以下が選択されていることを確認します。

• 読み取り
• 書き込み
• パスワードの変更
• パスワードのリセット

制御の委任ウィザード:アクセス許可を選択

次のページで内容を確認し、完了をクリックします。

Directory Configは、AppStream 2.0をManaged ADと連携させるうえで欠かせない設定の1つです。

AWSコンソールでAppStream 2.0のページを開きます。

左側のメニューからDirectory Configsを選択し、Create Directory Configをクリックします。

フォームに以下の情報を入力します。

• Directory Name:corp.example.com(またはお使いのディレクトリ名に置き換え)
• Service Account Name:本例ではcorp\appstreambuilder
• サービスアカウントのパスワードを2回入力します(password/passwordの確認)。
• Organizational Unit(OU):Machinejoinouを作成した際に控えた値を入力します。

これでDirectory Configを作成します。

AppStream 2.0公式ドキュメントのActive Directory連携チュートリアルでもこの内容は扱われていますが、AWS Managed ADを使う場合の細かなポイントを確実にお伝えするため、本記事でも取り上げています。

AppStream 2.0:Create Directory Config

Image Builderのインスタンスを起動するには、次の手順を行います。

• 左側のメニューからImagesを選択します。
• Image Builderタブをクリックします。
• 続いてLaunch Image Builderをクリックします。

AppStream 2.0:Launch Image Builder

ステップ1

フィルターで、最新のWindows Server 2019ベースイメージを探します。本例ではAppStream-WinServer2019–05–08–2024を使用します。

AppStream 2.0:Choose an Image

ステップ2

NameとDisplay Nameに、内容が分かりやすい名前を入力します。

Instance Typeにはstream.standard.smallまたはstream.standard.mediumを使用します。

本チュートリアルの目的では、IAMロールもVPCエンドポイントも不要です。

AppStream 2.0:Configure Image Builder

ステップ3

Image Builderインスタンスがソフトウェアをダウンロード・インストールするには、インターネットアクセスが必要です。本インスタンスはパブリックサブネットに配置します。必要なアクセス制御が設定されているセキュリティグループを選択してください。

AppStream 2.0:Image Builder用のネットワーク構成

ステップ4

設定を確認し、Image Builderインスタンスを起動します。

AppStream 2.0:Image Builderの確認と起動

Image BuilderはしばらくPending状態となり、その後Running状態に切り替わります。

AppStream 2.0:Image Builderの作成完了

ステップ1

まず、Image Builderに接続できていることを確認します。

AppStream 2.0:Image Builderへの接続

ステップ2

Image Builderにログインするには、Local UserタブでAdministratorユーザーを選択します。

Image Builder:Administratorユーザーでログイン

新しいブラウザウィンドウでWindows Serverのデスクトップが開きます。

Image Builder:デスクトップ画面

ステップ3

Managed ADサービスへの接続確認は必須ではありませんが、行っておくと安心です。

サービスアカウントユーザーをImage Builderインスタンスに割り当て、ローカル管理者権限を付与します。

スタートメニューをクリックしてUserを検索し、職場または学校のユーザーをクリックします。

Image Builder:職場または学校のユーザーのメニュー項目を探す

続いて、appstreambuilderサービスアカウントをローカル管理者として追加します。

Image Builder:職場または学校のユーザーを追加

ステップ4

サービスアカウントの認証情報でログインし、作成中のイメージがManaged ADサービスに接続できることを確認します。

Windows Serverデスクトップの上部にメニューバーがあり、Admin Commandsというメニューが用意されています。このボタンを押し、Switch Userを選択します。

Image Builder:Switch user、Admin command

Directory userタブを選び、appstreambuilderのユーザー名でサインインします。

Image Builder:Directory userでログイン

これでActive Directoryユーザーのappstreambuilderとしてログインされ、Windows Serverのデスクトップが表示されます。

その他のソフトウェアは、通常のWindowsデスクトップPCと同じ手順でインストールできます。

管理者として、インストールしたソフトウェアに必要な追加ライセンスやセットアップについてエンドユーザーに案内するのは、皆さま自身の責任となる点にご留意ください。

本チュートリアルでは、オープンソースのGimp 2.10をインストールします。

ステップ1

デスクトップからImage Assistantウィザードを選んで開きます。

Add Appをクリックして、エンドユーザーがAppStream 2.0で利用するアプリを選択します。本例ではGimp-2.10とFirefoxを使用します。

Image Builder:Add App

ステップ2

Configure AppsページでSwitch userをクリックします。

同じユーザーログインダイアログが表示されます。

Image Builder:Configure Apps

Template userを選び、通常通りアプリケーションを起動して、デフォルトのアプリ設定を作成します。

Image Builder:Template userへ切り替え

ステップ3

Admin Commandsメニューから、appstreambuilderのローカル管理者ユーザーに戻ります。

Image Builder:Switch User、Admin Command

Image Builder:Directory Userへ切り替え

Image Assistantウィザードのドロップダウンに、Template Userが表示されているはずです。

Image Builder:設定をコピーするためTemplate Userを選択

続いて、本ガイド前半で作成したappstreamsvcユーザー(Directory user)でアプリケーションをテストします。

Template userセクションと同様の手順となるため、本チュートリアルでは簡潔さを優先してこれらの手順は省略します。

ステップ4

Launchボタンをクリックして各アプリケーションを起動します。

アプリケーションの起動が完了したら、Continueをクリックして最適化プロセスに進みます。

Image Assistantはアプリの起動体験を最適化するため、しばらく操作できない状態になります。

Image Builder:Optimize

ステップ5

イメージのName、Display Name、その他のメタデータを設定し、AppStream 2.0のImages一覧で正しく表示されるようにします。

Image Builder:Configure Image

ステップ6

設定を確認したら、Disconnect and Create Imageをクリックします。

Image Builder:Create Image

すべての設定と変更が完了すると、AppStream 2.0サービスがImage Builderインスタンスのスナップショットを取得し、最終的なゴールデンイメージを作成します。

AppStream 2.0:スナップショット作成中

スナップショットの作成には時間がかかります。完了すると、新しいイメージがAppStream 2.0のImagesセクション内のImage Registryタブに表示されます。

AppStream 2.0:イメージが利用可能に

• https://engineering.doit.com/amazon-appstream-2-0-b3bcdcc96611
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-directory-setup.html#active-directory-setup-config
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions

DoiT InternationalはAWSのプレミアティアパートナーです。クラウドコスト最適化、アーキテクチャコンサルティング、そしてお客さまがクラウドコンピューティングを最大限に活用するための支援を専門としています。