AWS Client VPN のエンドポイント - AWS Client VPN
クライアント VPN エンドポイントを作成するための要件IP アドレスのタイプエンドポイントの変更

AWS Client VPN のエンドポイント

すべての AWS Client VPN セッションは、クライアント VPN エンドポイントとの通信を確立します。クライアント VPN エンドポイントを管理して、そのエンドポイントでクライアント VPN セッションを作成、変更、表示、削除できます。エンドポイントは、Amazon VPC コンソールまたは AWS CLI を使用して作成および変更できます。

クライアント VPN エンドポイントを作成するための要件

重要

クライアント VPN エンドポイントは、該当するターゲットネットワークがプロビジョニングされているのと同じ AWS アカウントに作成する必要があります。また、サーバー証明書を生成し、必要に応じてクライアント証明書を生成する必要があります。詳細については、「AWS Client VPN でのクライアント認証」を参照してください。

作業を開始する前に、次のことを必ず実行してください。

IP アドレスのタイプ

AWS Client VPN はエンドポイント接続およびトラフィックルーティングの両方において、IPv4 のみ、IPv6 のみ、およびデュアルスタックの設定をサポートしています。次のガイダンスは、クライアントデバイスの機能、ネットワークインフラストラクチャ、およびアプリケーション要件に基づいて、適切な IP アドレスタイプを選択するのに役立ちます。

エンドポイントアドレスタイプ

エンドポイントアドレスタイプは、クライアント VPN エンドポイントがクライアント接続でサポートする IP プロトコルを決定します。エンドポイントの作成後に設定を変更することはできません。

次の場合、IPv4 のみを選択します。

  • クライアントデバイスが IPv4 VPN 接続のみをサポートしている

  • セキュリティツールが IPv4 トラフィック検査に最適化されている

次の場合、IPv6 のみを選択します。

  • すべてのクライアントデバイスが IPv6 接続を完全にサポートしている

  • ネットワークで IPv4 アドレスが枯渇している

次の場合、デュアルスタックを選択します。

  • IP 機能が異なるクライアントデバイスが混在している

  • IPv4 から IPv6 に段階的に移行している

トラフィック IP アドレスタイプ

トラフィック IP アドレスタイプは、エンドポイントでサポートされているプロトコルに関係なく、クライアント VPN がクライアントと VPC リソースの間のトラフィックをルーティングする方法を制御します。

次の場合、トラフィックを IPv4 としてルーティングします。

  • VPC 内のターゲットアプリケーションが IPv4 のみをサポートしている

  • 複雑な IPv4 セキュリティグループやネットワーク ACL が存在する

  • レガシーシステムに接続している

次の場合、トラフィックを IPv6 としてルーティングします。

  • VPC インフラストラクチャが主に IPv6 である

  • ネットワークアーキテクチャを将来にわたって保護したい

  • IPv6 用に構築された最新のアプリケーションが存在する

エンドポイントの変更

クライアント VPN を作成した後、次の設定を変更できます。

  • 説明

  • サーバー証明書

  • クライアント接続ログオプション

  • クライアント接続ハンドラーのオプション

  • DNS サーバー

  • スプリットトンネルオプション

  • ルート (分割トンネルオプションを使用する場合)

  • 証明書失効リスト (CRL)

  • 承認ルール

  • VPC とセキュリティグループの関連付け

  • VPN ポート番号

  • セルフサービスポータルオプション

  • VPN セッションの最大継続時間

  • セッションタイムアウト時の自動再接続を有効または無効にする

  • クライアントログインバナーテキストを有効または無効にする

  • クライアントログインバナーテキスト

注記

Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。

クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。

クライアント VPN エンドポイントで次のいずれかのパラメータを変更すると、接続がリセットされます。

  • サーバー証明書

  • DNS サーバー

  • スプリットトンネルオプション (サポートをオンまたはオフ)

  • ルート (スプリットトンネルオプションを使用する場合)

  • 証明書失効リスト (CRL)

  • 承認ルール

  • VPN ポート番号

タスク