テレワーク仮想デスクトップの固定IP化（Amazon WorkSpaces）

Amazon WorkSpacesの仮想デスクトップを使って、テレワークを実現しよう、という記事はそこそこ目にします。が、仮想デスクトップからオフィスに接続する（ただしオフィスはIP制限している）方法を見つけられなかったので、構築してみました。
リモート接続したいがオフィスのセキュリティも守りたい！という要望を叶えましょう。

公式のドキュメントはあります。が、これホント？という印象。

Amazon WorkSpaces での VPC の設定 - Amazon WorkSpaces

実際に構築した図がこれです。

172.16.0.0/24と172.16.1.0/24がWorkSpaces用のプライベートサブネット、172.16.200.0/24がパブリックサブネットで固定IPで外に出ていきます。

１．WorkSpacesを始める

まず、高速セットアップでサクッと作ってしまいましょう。

高速とはいっても、最大20分ほど待ちます。
どうしてこんな時間がかかるかというと、WorkSpaces、ネットワーク構築、ディレクトリサービス、Amazon WorkDocsぜんぶまとめて作ってくれてるからです。
サブネットがなければ、172.16.0.0/24と172.16.1.0/24を自動的に構築します。このサブネットに仮想デスクトップのIPが１つずつ割り振られるので、大企業でなければIPは十分足りるのではないでしょうか。

OSは、ここではStandard with Windows10を選びます。

東京リージョンなら日本語の言語パックを選べます。おすすめ。なお、いまなら無料枠がありますが、7月からは課金されるそうです。

在宅勤務を実現するAmazon WorkSpaces および Amazon WorkDocs に関する新しい提案 | Amazon Web Services

ちなみに、最低スペックのバリュー（1CPU、2Gメモリ）を使ってみましたが若干もっさりします。メールとWebブラウジングくらいが精一杯な感触。ニュース画像がじっとり表示されます。

また、ディレクトリサービスも自動作成されますが、ここで入力したユーザーがディレクトリに登録されます。このディレクトリサービスがWorkSpacesの認証を管理します。

なお、Amazon WorkDocsというクラウドストレージも自動構築されますが、BOXなりDropboxなり使い慣れたものでいいと思います。

２．ログインする

WorkSpacesが起動すると、登録したユーザー宛にメールが届きます。

URLをクリックする前に、登録コードをメモっておきましょう。WorkSpacesというサービスはこのコードでどのAWSアカウントのどのリージョンのディレクトリかを判別します。

サクッとログインパスワードを設定、クライアントソフトウェアもインストールしてしまいましょう。

なお、東京リージョンなら初回ログインで日本語Windowsになってます。が、キーボード設定は英字101キーボードのままです。日本語キーボードなら106キーボードに変更しておきましょう。
スタート＞設定＞時刻と言語＞地域と言語＞日本語＞オプション＞キーボードレイアウトを変更する

仮想デスクトップを使うだけならここまででOK。

３．NATゲートウェイを構築する

さあ、ここからが本番。
作業は4つ。