AWS Client VPN エンドポイントを変更する - AWS Client VPN
制限クライアント VPN エンドポイントを変更する

AWS Client VPN エンドポイントを変更する

Amazon VPC コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。変更できるクライアント VPN フィールドの詳細については、「エンドポイントの変更」を参照してください。

制限

エンドポイントを変更する場合、次の制限が適用されます。

  • Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。

  • クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。

  • 既存の IPv4 エンドポイントは、エンドポイント IP タイプとトラフィック IP タイプの両方でデュアルスタックに変更できます。エンドポイント IP とトラフィック IP を IPv6 のみにする必要がある場合は、新しいエンドポイントを作成する必要があります。

  • クライアント VPN は、作成後のエンドポイントタイプ (IPv4、IPv6、デュアルスタック) またはトラフィックタイプ (IPv4、IPv6、デュアルスタック) の変更をサポートしていません。

  • 特定のエンドポイントタイプとトラフィックタイプが組み合わされたクライアント VPN の変更はサポートされていません。他の組み合わせに変更することはできません。エンドポイントを削除し、必要な設定で再作成する必要があります。

  • IPv6 トラフィックのクライアント間通信はサポートされていません。

クライアント VPN エンドポイントを変更する

コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。

コンソールを使用してクライアント VPN エンドポイントを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

  3. 変更するクライアント VPN エンドポイントを選択し、[Action] (アクション)、[Modify Client VPN endpoint] (クライアント VPN エンドポイントの変更) の順に選択します。

  4. (オプション) [説明] で、クライアント VPN エンドポイントの簡単な説明を入力します。

  5. [エンドポイント IP アドレスタイプ] では、既存の IPv4 エンドポイントをデュアルスタックに変更できます。このオプションは IPv4 エンドポイントでのみ使用できます。

  6. [トラフィック IP アドレスタイプ] では、既存の IPv4 エンドポイントをデュアルスタックに変更できます。このオプションは IPv4 エンドポイントでのみ使用できます。

  7. [サーバー証明書 ARN] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は、クライアント VPN エンドポイントを作成しているリージョンの AWS Certificate Manager(ACM)に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

  8. Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[Enable log details on client connections] (クライアント接続の詳細のログを有効にする) で、次のいずれかの操作を行います。

    • クライアント接続のログを有効にするには、[Enable log details on client connections] (クライアント接続の詳細なログを有効にする) をオンにします。[CloudWatch Logs log group name] (CloudWatch Logs ロググループ名) で、使用するロググループの名前を選択します。[CloudWatch Logs log stream name] (CloudWatch Logs ログストリーム名) で、使用するログストリームの名前を選択します。または、このオプションを空白のままにしておくと、ログストリームが自動的に作成されます。

    • クライアント接続のログを無効にするには、[Enable log details on client connections] (クライアント接続の詳細なログを有効にする) をオフにします。

  9. [Client connect handler] (クライアント接続ハンドラー) で、クライアント接続ハンドラーを有効にするには、[Enable client connect handler] (クライアント接続ハンドラーを有効にする) をオンにします。[クライアント接続ハンドラー ARN] で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  10. [DNS サーバーを有効にする] をオンまたはオフにします。カスタム DNS サーバーを使用するには、[DNS サーバー 1 IP アドレス][DNS サーバー 2 IP アドレス] に、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、[DNS サーバー IPv6 1][DNS サーバー IPv6 2] のアドレスを指定することもできます。VPC DNS サーバーを使用するには、[DNS サーバー 1 IP アドレス] または [DNS サーバー 2 IP アドレス] のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  11. [スプリットトンネルを有効にする] をオンまたはオフにします。デフォルトでは、VPN エンドポイントの分割トンネルは無効です。

  12. [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  13. [VPN ポート] で、VPN ポート番号を選択します。デフォルトは 443 です。

  14. クライアントのセルフサービスポータルの URL を生成するには、[セルフサービスポータルを有効にする] をオンにします。

  15. [セッションタイムアウト時間] で、使用可能なオプションから目的の最大 VPN セッション継続時間 (時間単位) を選択するか、デフォルトの 24 時間のままに設定しておきます。

  16. [セッションタイムアウト時に接続を解除] で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときに、ユーザーはエンドポイントに手動で再接続しなければならなくなります。このオプションを選択しない場合、クライアント VPN は自動的に再接続を試みます。

  17. [クライアントログインバナーを有効化] をオンまたはオフにします。クライアントログインバナーを使用する場合は、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

  18. [クライアント VPN エンドポイントの変更] を選択します。

AWS CLI を使用してクライアント VPN エンドポイントを変更するには

modify-client-vpn-endpoint コマンドを使用します。

IPv4 エンドポイントをデュアルスタックに変更する例:

aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"