翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Client VPN でのクライアント承認
<a name="client-authorization"></a>

クライアント VPN では 2 種類のクライアント承認がサポートされています。セキュリティグループとネットワークベースの承認 (承認ルールを使用) です。

## セキュリティグループ
<a name="security-groups"></a>

クライアント VPN エンドポイントを作成するときに、特定の VPC からセキュリティグループを指定して、クライアント VPN エンドポイントに適用できます。サブネットをクライアント VPN エンドポイントに関連付けると、VPC のデフォルトセキュリティグループが自動的に適用されます。クライアント VPN エンドポイントを作成した後で、セキュリティグループを変更できます。詳細については、「[でターゲットネットワークにセキュリティグループを適用する AWS Client VPN](cvpn-working-target-apply.md)」を参照してください。セキュリティグループはクライアント VPN ネットワークインターフェイスに関連付けられます。

アプリケーションのセキュリティグループにルールを追加して、関連付けに適用されたセキュリティグループからのトラフィックを許可することで、クライアント VPN ユーザーが VPC 内のアプリケーションにアクセスできるようにすることができます。

逆に、関連付けに適用されたセキュリティグループを指定しないか、クライアント VPN エンドポイントセキュリティグループを参照するルールを削除することで、クライアント VPN ユーザーのアクセスを制限できます。必要なセキュリティグループルールは、設定する VPN アクセスの種類によっても異なる場合があります。詳細については、「[クライアント VPN のシナリオと例](how-it-works.md#scenario)」を参照してください。

VPC セキュリティグループの詳細については、*Amazon VPC ユーザーガイド*の「[VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。

## ネットワークベースの承認
<a name="auth-rules"></a>

ネットワークベースの承認は承認ルールを使用して実装されます。アクセスを有効にするネットワークごとに、アクセス権を持つユーザーを制限する承認ルールを設定する必要があります。指定のネットワークに対して、アクセスを許可する Active Directory グループまたは SAML ベースの IdP グループを構成します。指定されたグループに属するユーザーのみが、指定されたネットワークにアクセスできます。Active Directory または SAML ベースのフェデレーション認証を使用していない場合、またはすべてのユーザーにアクセスを許可したい場合は、すべてのクライアントにアクセスを許可するルールを指定できます。詳細については、「[AWS Client VPN 認可ルール](cvpn-working-rules.md)」を参照してください。

**Topics**
+ [セキュリティグループ](#security-groups)
+ [ネットワークベースの承認](#auth-rules)
+ [エンドポイントセキュリティグループルールを作成する](client-auth-rule-create.md)

# AWS Client VPN エンドポイントセキュリティグループルールを作成する
<a name="client-auth-rule-create"></a>

サブネットをクライアント VPN に関連付けるときに適用される VPC のデフォルトのセキュリティグループを使用すると、許可したいデフォルトのセキュリティグループトラフィックからのトラフィックを制限すると同時に、許可したくないトラフィックを許可してしまう場合があります。リソースまたはアプリケーションに関連付けられたエンドポイントセキュリティグループのトラフィックを許可または制限するクライアント VPN エンドポイントセキュリティグループルールを作成するには、次の手順を実行します。セキュリティグループルールの詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC のセキュリティグループ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。

**クライアント VPN エンドポイントセキュリティグループからのトラフィックを許可するルールを追加するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで、[**セキュリティグループ**] を選択します。

1. リソースまたはアプリケーションに関連付けられているセキュリティグループを選択し、[**アクション**]、[**インバウンドルールの編集**] の順に選択します。

1. [**ルールの追加**] を選択します。

1. [**タイプ**] で、[**すべてのトラフィック**] を選択します。または、特定のタイプのトラフィック (**SSH** など) へのアクセスを制限することもできます。

   [**ソース**] に、クライアント VPN エンドポイントのターゲットネットワーク (サブネット) に関連付けられているセキュリティグループの ID を指定します。

1. [**ルールの保存**] を選択します。