AWS Client VPNエンドポイントを作成する - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPNエンドポイントを作成する

クライアントが Amazon VPC コンソールまたは を使用して VPN セッションを確立できるようにするAWS Client VPNエンドポイントを作成しますAWS CLI。クライアント VPN は、初期作成時にトラフィックタイプ (IPv4、IPv6、デュアルスタック) を持つエンドポイントタイプ (スプリットトンネルとフルトンネル) のすべての組み合わせをサポートします。

エンドポイントを作成する前に、要件を理解してください。詳細については、「クライアント VPN エンドポイントを作成するための要件」を参照してください。

コンソールを使用してクライアント VPN エンドポイントを作成するには

  1. Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。

  2. ナビゲーションペインで [クライアント VPN エンドポイント] を選択し、[クライアント VPN エンドポイントの作成] を選択します。

  3. 「セットアップ方法の選択」で、次のいずれかを選択します。

    • クイックスタート - AWS が推奨するデフォルトを使用してエンドポイントを作成する

    • 標準 - エンドポイントのすべての設定を手動で設定する

クイックスタート設定:

  1. 「セットアップ方法の選択」で、クイックスタートを選択します。

  2. 「クライアント IPv4 CIDR」には、クライアント IP アドレスを割り当てる IP アドレス範囲を入力します。AWS では、/22 CIDR ブロック (10.0.0.0/22 など) を使用することをお勧めします。

  3. 「VPC」で、クライアント VPN エンドポイントに関連付ける VPC を選択します。

  4. 「サブネット」で、VPC 内の 1 つ以上のサブネットを選択します。これらのサブネットは、ターゲットネットワークの関連付けに使用されます。

  5. [サーバー証明書 ARN] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

  6. 「クライアント VPN エンドポイントの作成」を選択します。

AWS は、次のリソースを自動的に作成します。

  • すべてのユーザーに VPC CIDR へのアクセスを許可する承認ルール

  • 選択した VPC サブネットとのターゲットネットワークの関連付け

  • VPC CIDR のルートテーブルエントリ

エンドポイントを作成したら、エンドポイントの詳細ページからクライアント設定ファイルをダウンロードし、クライアント証明書とキーとともにユーザーに配布できます。

標準セットアップ:

  1. 「セットアップ方法の選択」で、「標準」を選択します。

  2. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。

  3. [エンドポイント IP アドレスタイプ] で、エンドポイントの IP アドレスタイプを選択します。

    • IPv4: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスを使用します。

    • IPv6: エンドポイントは、外部 VPN トンネルトラフィックに IPv6 アドレスを使用します。

    • デュアルスタック: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスと IPv6 アドレスの両方を使用します。

  4. [トラフィックの IP アドレスタイプ] で、エンドポイントを通過するトラフィックの IP アドレスタイプを選択します。

    • IPv4: エンドポイントは IPv4 トラフィックのみをサポートします。

    • IPv6: エンドポイントは IPv6 トラフィックのみをサポートします。

    • デュアルスタック: エンドポイントは、IPv4 と IPv6 トラフィックの両方をサポートします。

  5. [クライアント IPv4 CIDR] に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。例えば、10.0.0.0/22 と指定します。これは、トラフィック IP アドレスタイプに IPv4 またはデュアルスタックを選択した場合に必要です。

    注記

    • IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。

    • エンドポイント IP アドレスタイプとして IPv6 を選択すると、クライアント IPv4 CIDR フィールドは無効になります。クライアント VPN エンドポイントは、関連付けられたサブネットからクライアント IPv6 アドレスを割り当てます。エンドポイントの作成後にサブネットを関連付けることができます。

    注記

    IPv6 トラフィックの場合、クライアント CIDR 範囲を指定する必要はありません。Amazon はクライアントに IPv6 CIDR 範囲を自動的に割り当てます。

  6. [サーバー証明書 ARN] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は、クライアント VPN エンドポイントを作成するリージョンのAWS Certificate Manager(ACM) に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

    証明書を ACM にプロビジョニングまたはインポートする手順については、「AWS Certificate Managerユーザーガイド」の「AWS Certificate Manager証明書」を参照してください。

  7. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。

    • ユーザーベースの認証を使用するには、[ユーザーベースの認証を使用] を選択し、次のいずれかを選択します。

      • Active Directory 認証: Active Directory 認証の場合はこのオプションを選択します。[ディレクトリ ID] には、使用する Active Directory の ID を指定します。

      • フェデレーション認証: SAML ベースのフェデレーション認証の場合は、このオプションを選択します。

        [SAML プロバイダー ARN] には、IAM SAML ID プロバイダーの ARN を指定します。

        (オプション) [セルフサービス SAML プロバイダー ARN] で、セルフサービスポータルをサポートするために作成した IAM SAML ID プロバイダーの ARN を指定します (該当する場合)。

    • 相互証明書認証を使用するには、相互認証を使用するを選択し、クライアント証明書 ARN に、AWS Certificate Manager(ACM) でプロビジョニングされているクライアント証明書の ARN を指定します。

      注記

      サーバー証明書とクライアントの証明書が同じ認証機関 (CA) によって発行されている場合、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書 ARN を指定する必要があります。

  8. (オプション) [Connection logging] (接続ログ) で、Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[クライアント接続のログの詳細を有効化] をオンにします。[CloudWatch Logs ロググループ名] に、使用するロググループの名前を入力します。[CloudWatch Logs ログストリーム名] に、使用するログストリームの名前を入力するか、このオプションを空白のままにしておくとログストリームが自動的に作成されます。

  9. (オプション) クライアント VPN エンドポイントへの新しい接続を許可または拒否するカスタムコードを実行するには、[クライアント接続ハンドラー] で、[クライアント接続ハンドラーを有効化] をオンにします。[クライアント接続ハンドラー ARN] で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  10. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、[DNS サーバー 1 IP アドレス][DNS サーバー 2 IP アドレス] に、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、[DNS サーバー IPv6 1][DNS サーバー IPv6 2] のアドレスを指定することもできます。VPC DNS サーバーを使用するには、[DNS サーバー 1 IP アドレス] または [DNS サーバー 2 IP アドレス] のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  11. (オプション) デフォルトでは、クライアント VPN エンドポイントは UDP 転送プロトコルを使用します。代わりに TCP トランスポートプロトコルを使用するには、[トランスポートプロトコル][TCP] を選択します。

    注記

    UDP は通常、TCP よりも優れたパフォーマンスが得られます。クライアント VPN エンドポイントを作成した後で、トランスポートプロトコルを変更することはできません。

  12. (オプション) エンドポイントを分割トンネルクライアント VPN エンドポイントにするには、[分割トンネルを有効にする] をオンにします。デフォルトでは、Client VPN エンドポイントの分割トンネルは無効になっています。

  13. (オプション) [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  14. (オプション) [VPN ポート] で、VPN ポート番号を選択します。デフォルトは 443 です。

  15. (オプション) クライアントのセルフサービスポータルの URL を生成するには、[セルフサービスポータルを有効にする] を有効にします。

  16. (オプション) [セッションタイムアウト時間] で、使用可能なオプションから希望する最大 VPN セッション継続時間を時間単位で選択するか、デフォルトの 24 時間のままにしておきます。

  17. (オプション) [セッションタイムアウト時に接続を解除] で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときに、ユーザーはエンドポイントに手動で再接続しなければならなくなります。このオプションを選択しない場合、クライアント VPN は自動的に再接続を試みます。

  18. (オプション) クライアントログインバナーテキストを有効にするか指定します。[クライアントログインバナーを有効化] をオンにします。[クライアントログインバナーテキスト] に、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

  19. [クライアント VPN エンドポイントの作成] を選択します。

クライアント VPN エンドポイントを作成したら、次の手順を実行して設定を完了し、クライアントが接続できるようにします。

  • クライアント VPN エンドポイントの初期状態は pending-associate です。最初のターゲットネットワークを関連付けて初めて、クライアントがクライアント VPN エンドポイントに接続できるようになります。

  • 承認ルールを作成して、ネットワークにアクセスできるクライアントを指定します。

  • クライアントに配布するクライアント VPN エンドポイント設定ファイルをダウンロードして準備します。

  • AWS提供されたクライアントまたは別の OpenVPN ベースのクライアントアプリケーションを使用してクライアント VPN エンドポイントに接続するようにクライアントに指示します。詳細については、「AWS Client VPNユーザーガイド」を参照してください。

を使用してクライアント VPN エンドポイントを作成するにはAWS CLI

create-client-vpn-endpoint コマンドを使用します。

IPv4 エンドポイントの作成例:

aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

IPv6 エンドポイントの作成例:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

デュアルスタックエンドポイントの作成例:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false