すべてのプロダクト
Search
ドキュメントセンター

Elastic Desktop Service:ネットワークセキュリティ

最終更新日:Apr 11, 2026

Elastic Desktop Service (EDS) Enterprise は、ユーザーのネットワークアクセス用にパブリック帯域幅を提供し、セキュリティ対策を用いてクラウドデスクトップを外部および内部の脅威から保護します。ネットワークの動作を管理しやすくするため、EDS Enterprise はセキュリティグループとドメイン名コントロールポリシーを提供し、ユーザーのネットワークアクセスを制御します。

01 ネットワークアクセス

1.1 セキュリティグループポリシー

Elastic Desktop Service (EDS) Enterprise は、管理者が組織内のクラウドデスクトップのネットワークアクセス権限を管理するためのセキュリティグループコントロールポリシーを提供します。セキュリティグループコントロールポリシーは、一連のセキュリティグループルールで構成されます。Elastic Compute Service のセキュリティグループルールと同様に、ルールの方向 (インバウンドまたはアウトバウンド)、アクション (許可または拒否)、優先度、プロトコルタイプ、ポート範囲、権限付与オブジェクト (IP アドレスまたは CIDR ブロック)、および説明を設定できます。異なる範囲と優先度を持つルールを組み合わせることで、管理者はホワイトリスト方式を実装し、指定されたソースからのアクセスのみを許可できます。

インバウンドまたはアウトバウンドのセキュリティグループコントロールルールを追加して、クラウドデスクトップのトラフィックをさらに制御できます。以下は、セキュリティグループコントロールルールの設定例です:

シナリオ 1

デフォルトでは、クラウドデスクトップからのすべてのアウトバウンドアクセスが許可されています。特定のアドレスへのアクセスのみを許可するには、次のアウトバウンドルールを追加します:

  • ルール 1:すべてのアウトバウンドアクセスを拒否します。例:

    方向

    ポリシー

    優先度

    プロトコルタイプ

    ポート範囲

    権限付与オブジェクト

    アウトバウンド

    拒否

    2

    すべて

    -1/-1

    0.0.0.0/0

  • ルール 2:特定の IP アドレスへのアクセスを許可します。このルールの優先度は、ルール 1 よりも高くする必要があります。例:

    方向

    ポリシー

    優先度

    プロトコルタイプ

    ポート範囲

    権限付与オブジェクト

    アウトバウンド

    許可

    1

    該当するプロトコルタイプを選択します。

    適切なポート範囲を設定します。

    アクセスを許可する IP アドレス。例:192.168.1.1/32。

シナリオ 2

VPC 環境では、インバウンドルールを追加して、特定の IP アドレスからクラウドデスクトップへのアクセスを許可できます。例:

方向

ポリシー

優先度

プロトコルタイプ

ポート範囲

権限付与オブジェクト

インバウンド

許可

1

該当するプロトコルタイプを選択します。

適切なポート範囲を設定します。

アクセスを許可する IP アドレス。例:192.168.1.1/32。

シナリオ 3

クラウドデスクトップ A がポリシー A に、クラウドデスクトップ B がポリシー B に関連付けられているとします。VPC 環境では、デフォルトですべてのインバウンドアクセスが拒否されるため、クラウドデスクトップ A とクラウドデスクトップ B は互いに通信できません。ポリシー A とポリシー B に次のインバウンドルールを追加して、それらの間のネットワーク通信を有効にできます:

  • ポリシー A で、クラウドデスクトップ B からのアクセスを許可するインバウンドルールを追加します。例:

    方向

    ポリシー

    優先度

    プロトコルタイプ

    ポート範囲

    権限付与オブジェクト

    インバウンド

    許可

    1

    該当するプロトコルタイプを選択します。

    適切なポート範囲を設定します。

    クラウドデスクトップ B の IP アドレス。

  • ポリシー B で、クラウドデスクトップ A からのアクセスを許可するインバウンドルールを追加します。例:

    方向

    ポリシー

    優先度

    プロトコルタイプ

    ポート範囲

    権限付与オブジェクト

    インバウンド

    許可

    1

    該当するプロトコルタイプを選択します。

    適切なポート範囲を設定します。

    クラウドデスクトップ A の IP アドレス。

  • デフォルト状態:無効

  • 設定責任:お客様

  • コスト:無料

  • 依存関係:なし

  • 制限事項:

    • ルール数の上限

      最大 200 個のセキュリティグループコントロールルールを作成できます。

    • インバウンドルールの制限事項

      デフォルトでは、クラウドデスクトップはすべてのアウトバウンドアクセスを許可します。インバウンドアクセスは次の原則に従います:

      • インターネット経由では、クラウドデスクトップはインバウンドアクセスを一切サポートしません。インバウンドセキュリティグループルールを「許可」に設定しても、ルールは有効になりません。

      • VPC 環境では、クラウドデスクトップはデフォルトですべてのインバウンドアクセスを拒否します。ただし、インバウンドセキュリティグループルールを「許可」に設定して、特定のアクセスリクエストを許可することができます。

  • 関連ドキュメント:セキュリティグループコントロール

操作手順

  1. Elastic Desktop Service Enterprise コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、O&M Management > Policy を選択します。

  3. Policy ページで、Create Policy をクリックします。

  4. Create Policy ページで、プロンプトに従って Policy Name を入力し、必要に応じてポリシー設定を行い、OK をクリックします。

Security Group Control セクションで、Add Rule をクリックします。Add Rule ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

パラメーター

説明

方向

  • インバウンド:クラウドデスクトップへのリクエストを許可するかどうかを制御します。

  • アウトバウンド:クラウドデスクトップから他のアプリケーションへのリクエストを許可するかどうかを制御します。

ポリシー

  • 許可:アクセスリクエストを許可します。

  • 拒否:アクセスリクエストをブロックし、情報を返さずにデータパケットを破棄します。

優先度

1 から 60 までの値。値が小さいほど優先度が高くなります。優先度の高いルールが優先されます。

プロトコルタイプ

TCP、UDP、ICMP (IPv4)、および GRE がサポートされています。

ポート範囲

アプリケーションまたはプロトコルが使用するポートです。 選択したプロトコルタイプが[カスタム TCP]または[カスタム UDP]の場合、カスタムポートを設定できます。 80 などの特定のポート、または 1/80 などのポート範囲を入力できます。 詳細については、「一般的なポート」をご参照ください。

権限付与オブジェクト

CIDR 形式の IPv4 アドレス範囲。

説明

ルールのカスタム説明。

1.2 ドメイン名コントロール

Elastic Desktop Service (EDS) Enterprise は、管理者がドメイン名レベルでクラウドデスクトップのネットワークアクセスを管理できるドメイン名コントロールポリシーを提供します。セキュリティグループコントロールポリシーとは異なり、ドメイン名コントロールは DNS ルールを使用してドメイン名によるアクセスを管理します。各ルールについて、ドメイン名とアクション (許可または拒否) を設定します。この機能はワイルドカード (*) もサポートしており、特定のウェブサイトやサービスへのアクセス管理プロセスを大幅に簡素化します。

たとえば、次の表に記載されているドメインに対してきめ細かなアクセス制御を実装するには、DNS ルールを以下のように設定します。

ドメイン

アクセスポリシー

説明

セカンドレベルドメイン

example.com

許可

クラウドデスクトップが example.com にアクセスすると、ウェブページは正常に開きます。

サードレベルドメイン

writer.examplec.com

拒否

クラウドデスクトップが writer.example.com にアクセスすると、ウェブページに 404 エラーが表示されます。

developer.example.com

許可

クラウドデスクトップが developer.example.com にアクセスすると、ウェブページは正常に開きます。

フォースレベルドメイン

image.developer.example.com

拒否

クラウドデスクトップが image.developer.example.com にアクセスすると、ウェブページに 404 エラーが表示されます。

video.developer.example.com

許可

クラウドデスクトップが video.developer.example.comguide.developer.example.com にアクセスすると、ウェブページは正常に開きます。

guide.developer.example.com

許可

  • デフォルト状態:無効

  • 設定責任:お客様

  • コスト:無料

  • 依存関係:なし

  • 制限事項:

    • ドメインの制限事項

      エンドユーザーがクラウドデスクトップを正常に使用できるようにするため、以下の予約済みセキュリティドメインは DNS ルールの対象外です。これらのドメインへのアクセスは常に許可されます。これらのドメインのアクセスポリシーを「拒否」に設定しても、ルールは有効になりません。

      • *.gws.aliyun

      • *.aliyun.com

      • *.alicdn.com

      • *.aliyunpds.com

      • *.aliyuncds.com

      • *.aliyuncs.com

    • オペレーティングシステムの制限事項

      ドメイン名アクセス制御ルールは、Windows オペレーティングシステムを実行するクラウドデスクトップにのみ適用されます。

    • ルール数の上限

      最大 300 個の DNS ルールを作成できます。

  • 関連ドキュメント:ドメイン名コントロール

操作手順

  1. Elastic Desktop Service Enterprise コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、O&M Management > Policy を選択します。

  3. Policy ページで、Create Policy をクリックします。

  4. Create Policy ページで、プロンプトに従って Policy Name を入力し、必要に応じてポリシー設定を行い、OK をクリックします。

Domain Name Access Control (Formerly DNS Feature) セクションで、Add Rule をクリックします。Add Rule ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

パラメーター

説明

ドメイン名

DNS ルールを設定するドメイン名を入力します。一度に 1 つのドメイン名のみ追加できます。 * ワイルドカードがサポートされています。

説明

DNS ルールのカスタム説明。

アクセスポリシー

Allow または Reject を選択します。

説明
  • アクセスポリシーが「許可」の DNS ルールを複数設定する場合は、「拒否」のアクセスポリシーを持つ DNS ルールをフォールバックルールとして追加する必要があります。

  • 複数の DNS ルールが存在する場合、リストの上位にあるルールが優先されます。ルールを移動して優先度を調整できます。

02 ネットワーク境界

2.1 オフィスネットワークの相互通信

クラウドデスクトップは、オフィスネットワーク (旧ワークスペース) とともに自動的に作成されるセキュリティグループ内で実行されます。これらにはパブリック IP アドレスやオープンポートはありません。セキュリティグループは、ストリーミングゲートウェイからの ASP プロトコル接続を除くすべての外部トラフィックをブロックします。この設計により、外部ネットワーク攻撃がクラウドデスクトップに到達できないことが保証されます。この Elastic Desktop Service (EDS) Enterprise の基本的なセキュリティメカニズムは変更できません。

デフォルトでは、セキュリティグループはクラウドデスクトップ間の通信も防止します。これにより、悪意のあるユーザーが他のクラウドデスクトップを攻撃したり、侵害されたクラウドデスクトップが内部ネットワーク上の他のデスクトップに感染したりするのを防ぎます。管理者は、ビジネスニーズに基づいて オフィスネットワーク 内のクラウドデスクトップ間のネットワークアクセスを有効にできます。このアクセスを有効にする場合は、追加のネットワークコントロールポリシーを使用して、関連するセキュリティリスクを軽減できます。

操作手順

デフォルトでは、同じ オフィスネットワーク 内のクラウドデスクトップは通信できません。この通信を有効にするには、オフィスネットワーク の詳細ページで Interconnectivity 機能を有効にします。

  1. 左側のナビゲーションウィンドウで、Networks & Storage > Office Network を選択します。

  2. 上部のナビゲーションバーで、リージョンを選択します。

  3. Office Network ページで、対象の オフィスネットワークオフィスネットワーク ID をクリックします。

  4. オフィスネットワーク の詳細ページで、Network Information セクションを見つけ、Interconnectivity スイッチをオンにします。