Amazon AppStream2.0のネットワーク図は下記のようなイメージである。クラウド型なので接続サーバはAWSが用意済であるためすぐに始めることが出来る。オンプレミスでSIで構築すると物理的サーバ、ストレージの手配に加えて仮想化基盤の用意、接続サーバや管理用データベースの導入が必要なので設計項目が多く時間がかかるしSI費用も応じて発生する。AppStream2.0ではこうした準備が済んでいるので、利用者は仮想デスクトップの作成・展開・管理だけすればよい。自宅の端末からはインターネット経由でhttpsで接続がされる。認証はUser PoolはAWS内の認証機能を使う。SAML連携で認証基盤との連携も可能だ。（ADFS、Octaなど）とってもシンプルである。自宅のWindows、Mac、スマホ、タブレットなどからブラウザによってhttpsで接続のうえ画面情報のみが転送される。実体はクラウド内で安全に情報処理、データ保管される。

 今回はオンプレミスにあるシステムへのアクセスを想定している。従いSite to Site VPNを設定しオンプレミスのネットワークとAmazon VPCをルーティングする。以下のようなイメージだ。これを実現するにはSite to Site VPNやDirect Connect（プライベート接続）が必要だ。VPNを設定してルート制御設定後は、仮想デスクトップOSからオンプレミスへの通信は当該VPN経路を通るようになる。画面転送の通信はインターネット経由のままである。画面転送の通信も閉域にしたい場合はDirect Connectのパブリック接続を使えば良い。

Site to Site VPNはYamahaさんに多くの情報が掲載されているので参考にされたい。

network.yamaha.com

 Amazon VPC、VPN、Direct Connectは下記が参考になる。

https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-vpc-basic-2019/