AWS Client VPN エンドポイントを作成する - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPN エンドポイントを作成する

クライアントが Amazon VPC コンソールまたは を使用して VPN セッションを確立できるようにする AWS Client VPN エンドポイントを作成します AWS CLI。クライアント VPN は、初期作成時にトラフィックタイプ (IPv4、IPv6、デュアルスタック) を持つエンドポイントタイプ (スプリットトンネルとフルトンネル) のすべての組み合わせをサポートします。

エンドポイントを作成する前に、要件を理解してください。詳細については、「クライアント VPN エンドポイントを作成するための要件」を参照してください。

コンソールを使用してクライアント VPN エンドポイントを作成するには

  1. Amazon VPC コンソールの https://console.aws.amazon.com/vpc/ を開いてください。

  2. ナビゲーションペインで [Client VPN Endpoint (クライアント VPN エンドポイント)] を選択し、[Create Client VPN Endpoint (クライアント VPN エンドポイントの作成)] を選択します。

  3. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。

  4. エンドポイント IP アドレスタイプで、エンドポイントの IP アドレスタイプを選択します。

    • IPv4: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスを使用します。

    • IPv6: エンドポイントは、外部 VPN トンネルトラフィックに IPv6 アドレスを使用します。

    • デュアルスタック: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスと IPv6 アドレスの両方を使用します。

  5. トラフィック IP アドレスタイプで、エンドポイントを通過するトラフィックの IP アドレスタイプを選択します。

    • IPv4: エンドポイントは IPv4 トラフィックのみをサポートします。

    • IPv6: エンドポイントは IPv6 トラフィックのみをサポートします。

    • デュアルスタック: エンドポイントは IPv4 トラフィックと IPv6 トラフィックの両方をサポートします。

  6. [Client IPv4 CIDR] (クライアント IPv4 CIDR) に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。例えば、10.0.0.0/22。これは、トラフィック IP アドレスタイプに IPv4 またはデュアルスタックを選択した場合に必要です。

    注記

    • IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。

    • エンドポイント IP アドレスタイプとして IPv6 を選択すると、クライアント IPv4 CIDR フィールドは無効になります。クライアント VPN エンドポイントは、関連付けられたサブネットからクライアント IPv6 アドレスを割り当て、エンドポイントの作成後にサブネットを関連付けることができます。

    注記

    IPv6 トラフィックの場合、クライアント CIDR 範囲を指定する必要はありません。Amazon はクライアントに IPv6 CIDR 範囲を自動的に割り当てます。

  7. [Server certificate ARN (サーバー証明書 ARN)] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は、クライアント VPN エンドポイントを作成するリージョンの AWS Certificate Manager (ACM) に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

    証明書を ACM にプロビジョニングまたはインポートする手順については、AWS Certificate Manager 「 ユーザーガイド」のAWS Certificate Manager 「証明書」を参照してください。

  8. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。

    • ユーザーベースの認証を使用するには、[ユーザーベースの認証を使用] を選択し、次のいずれかを選択します。

      • Active Directory 認証: Active Directory 認証の場合はこのオプションを選択します。[ディレクトリ ID] には、使用する Active Directory の ID を指定します。

      • フェデレーション認証: SAML ベースのフェデレーション認証の場合は、このオプションを選択します。

        [SAML プロバイダー ARN] には、IAM SAML ID プロバイダーの ARN を指定します。

        (オプション) [Self-service SAML provider ARN (セルフサービス SAML プロバイダー ARN)] で、セルフサービスポータルをサポートするために作成した IAM SAML ID プロバイダーの ARN を指定します (該当する場合)。

    • 相互証明書認証を使用するには、相互認証を使用するを選択し、クライアント証明書 ARN に、 AWS Certificate Manager (ACM) でプロビジョニングされているクライアント証明書の ARN を指定します。

      注記

      サーバー証明書とクライアントの証明書が同じ認証機関 (CA) によって発行されている場合、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書 ARN を指定する必要があります。

  9. (オプション) [Connection logging] (接続ログ) で、Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[Enable log details on client connections] (クライアント接続の詳細のログを有効にする) をオンにします。[CloudWatch Logs ロググループ名] に、使用するロググループの名前を入力します。[CloudWatch Logs ログストリーム名] に、使用するログストリームの名前を入力するか、このオプションを空白のままにしておくとログストリームが自動的に作成されます。

  10. (オプション) クライアント VPN エンドポイントへの新しい接続を許可または拒否するカスタムコードを実行するには、[Client Connect Handler] (クライアント接続ハンドラー) で、[Enable client connect handler] (クライアント接続ハンドラーを有効にする) をオンにします。[Client Connect Handler ARN (クライアント接続ハンドラー ARN)] で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  11. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、DNS サーバー 1 の IP アドレスDNS サーバー 2 の IP アドレスに、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、DNS Server IPv6 1 アドレスと DNS Server IPv6 2 アドレスを指定することもできます。VPC DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] または [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  12. (オプション) デフォルトでは、クライアント VPN エンドポイントは UDP 転送プロトコルを使用します。代わりに TCP トランスポートプロトコルを使用するには、[Transport Protocol (トランスポートプロトコル)] の [TCP] を選択します。

    注記

    UDP は通常、TCP よりも優れたパフォーマンスが得られます。クライアント VPN エンドポイントを作成した後で、トランスポートプロトコルを変更することはできません。

  13. (オプション) エンドポイントをスプリットトンネルクライアント VPN エンドポイントにするには、[Enable split-tunnel] (スプリットトンネルを有効にする) をオンにします。デフォルトでは、Client VPN エンドポイントの分割トンネルは無効になっています。

  14. (オプション) [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  15. (オプション) [VPN port (VPN ポート)] で、VPN ポート番号を選択します。デフォルトは 443 です。

  16. (オプション) クライアントのセルフサービスポータルの URL を生成するには、[Enable self-service portal] (セルフサービスポータルを有効にする) を選択します。

  17. (オプション) [Session timeout hours] (セッションタイムアウト時間) で、使用可能なオプションから希望する最大 VPN セッション継続時間を時間単位で選択するか、デフォルトの 24 時間のままにしておきます。

  18. (オプション) セッションタイムアウト時の切断 で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択するには、セッションがタイムアウトしたときにユーザーがエンドポイントに手動で再接続する必要があります。それ以外の場合、クライアント VPN は自動的に再接続を試みます。

  19. (オプション) クライアントログインバナーテキストを有効にするか指定します。[Enable client login banner] (クライアントログインバナーを有効にする) をオンにします。[Client login banner text] (クライアントログインバナーテキスト) に、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

  20. [Create Client VPN endpoint] (クライアント VPN エンドポイントの作成) を選択します。

クライアント VPN エンドポイントを作成したら、次の手順を実行して設定を完了し、クライアントが接続できるようにします。

  • クライアント VPN エンドポイントの初期状態は pending-associate です。最初のターゲットネットワークを関連付けて初めて、クライアントがクライアント VPN エンドポイントに接続できるようになります。

  • 承認ルールを作成して、ネットワークにアクセスできるクライアントを指定します。

  • クライアントに配布するクライアント VPN エンドポイント設定ファイルをダウンロードして準備します。

  • AWS 提供されたクライアントまたは別の OpenVPN ベースのクライアントアプリケーションを使用してクライアント VPN エンドポイントに接続するようにクライアントに指示します。詳細については、「AWS Client VPN ユーザーガイド」を参照してください。

を使用してクライアント VPN エンドポイントを作成するには AWS CLI

create-client-vpn-endpoint コマンドを使用します。

IPv4 エンドポイントを作成する例:

aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

IPv6 エンドポイントを作成する例:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false

デュアルスタックエンドポイントを作成する例:

aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false