翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Client VPN 認可ルール
承認ルールは、ネットワークへのアクセス許可を与えるファイアウォールルールとして機能します。承認ルールを追加することで、特定のクライアントに対し、特定のネットワークへのアクセス許可を与えます。アクセス許可の対象となるネットワークそれぞれに、承認ルールが必要となります。コンソールと AWS CLIを使用して、クライアント VPN エンドポイントに承認ルールを追加できます。
注記
クライアント VPN は、承認ルールを評価するときに、最長プレフィックスマッチングを使用します。詳細については、Amazon VPC ユーザーガイドの「トピックトラブルシューティング AWS Client VPN: Active Directory グループの認可ルールが期待どおりに機能しない のトラブルシューティング」および「ルーティングの優先度」を参照してください。
承認ルールを理解するための重要なポイント
次のポイントは、承認ルールの動作の一部を説明しています。
-
送信先ネットワークへのアクセスを許可するには、許可ルールを明示的に追加する必要があります。デフォルトの動作では、アクセスは拒否されます。
-
送信先ネットワークへのアクセスを制限する承認ルールを追加することはできません。
-
0.0.0.0/0CIDR は特殊なケースとして扱われます。これは承認ルールの作成順序に関係なく、最後に扱われます。 -
0.0.0.0/0CIDR は「任意の送信先」または「他の承認ルールで定義されていない任意の送信先」と考えることができます。 -
最も長いプレフィックス一致が、優先されるルールです。
クライアント VPN 承認ルールのシナリオ例
このセクションでは、認可ルールの仕組みについて説明します AWS Client VPN。承認ルールを理解するための重要なポイント、アーキテクチャの例、およびアーキテクチャの例に対応するシナリオ例の説明が含まれています。
シナリオ
次の図は、このセクションのシナリオ例に使用されているアーキテクチャの例を示しています。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループにクライアント VPN VPC へのアクセスを提供する |
s-xxxxx16 |
False |
192.168.0.0/24 |
結果として生じる動作
-
エンジニアリンググループは
172.16.0.0/24にのみアクセスできます。 -
開発グループは
10.0.0.0/16にのみアクセスできます。 -
マネージャーグループは
192.168.0.0/24にのみアクセスできます。 -
他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。
注記
このシナリオでは、どのユーザーグループもパブリックインターネットにアクセスできません。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
結果として生じる動作
-
エンジニアリンググループは
172.16.0.0/24にのみアクセスできます。 -
開発グループは
10.0.0.0/16にのみアクセスできます。 -
マネージャーグループはパブリックインターネットおよび
192.168.0.0/24にアクセスできますが、172.16.0.0/24または10.0.0/16にはアクセスできません。
注記
このシナリオでは、どのルールも 192.168.0.0/24 を参照していないため、そのネットワークへのアクセスも 0.0.0.0/0 ルールによって提供されます。
0.0.0.0/0 を含むルールは、ルールが作成された順序に関係なく、常に最後に評価されます。このため、0.0.0.0/0 以前に評価されたルールが、0.0.0.0/0 によってアクセス権が付与されるネットワークを決定するうえで役割を果たすことを覚えておいてください。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する |
s-xxxxx16 |
False |
10.0.2.119/32 |
結果として生じる動作
-
エンジニアリンググループは
172.16.0.0/24にのみアクセスできます。 -
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および開発 VPC 内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または開発 VPC 内のその他のホストにはアクセスできません。
注記
ここでは、長い IP プレフィックスを持つルールが、短い IP プレフィックスを持つルールよりも優先されることがわかります。開発グループに 10.0.2.119/32 へのアクセスを許可する場合は、開発チームに 10.0.2.119/32 へのアクセスを許可するルールを追加する必要があります。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする |
s-xxxxx14 |
False |
172.16.0.128/25 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、より具体的なサブネット
172.16.0.128/25を含めて、172.16.0.0/24にアクセスできます。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする |
s-xxxxx14 |
False |
172.16.0.128/25 |
|
エンジニアリンググループに任意の送信先へのアクセスを提供する |
s-xxxxx14 |
False |
0.0.0.0/0 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、より具体的なサブネット
172.16.0.128/25を含めて、パブリックインターネット、192.168.0.0/24、および172.16.0.0/24にアクセスできます。
注記
エンジニアリンググループとマネージャーグループの両方が 192.168.0.0/24 にアクセスできるようになりました。これは、どちらのグループも 0.0.0.0/0 (任意の送信先) にアクセスでき、さらに他のどのルールも 192.168.0.0/24 を参照していないためです。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.128/25 |
|
エンジニアリンググループに任意の送信先へのアクセスを提供する |
s-xxxxx14 |
False |
0.0.0.0/0 |
|
マネージャーグループにクライアント VPN VPC へのアクセスを提供する |
s-xxxxx16 |
False |
192.168.0.0/24 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、パブリックインターネット、
172.16.0.0/24、および172.16.0.128/25にアクセスできます。
注記
マネージャーグループが 192.168.0.0/24 にアクセスするルールを追加する方法によって、開発グループはその送信先ネットワークにアクセスできなくなることに注意してください。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
エンジニアリング |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
開発者 |
False |
10.0.0.0/16 |
|
マネージャーグループにクライアント VPN VPC へのアクセスを提供する |
マネージャー |
False |
192.168.0.0/24 |
結果として生じる動作
-
「エンジニアリング」グループ属性を使用して SAML 経由で認証されたユーザーは、 にのみアクセスできます
172.16.0.0/24。 -
「Developers」グループ属性を使用して SAML 経由で認証されたユーザーは、 にのみアクセスできます
10.0.0.0/16。 -
「Managers」グループ属性を使用して SAML 経由で認証されたユーザーは、 にのみアクセスできます
192.168.0.0/24。 -
他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。
注記
SAML フェデレーション認証を使用する場合、グループ ID フィールドは、ユーザーのグループメンバーシップを識別する SAML 属性値に対応します。この属性は SAML ID プロバイダーで設定され、認証中にクライアント VPN に渡されます。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発 VPC へのアクセスを提供する |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.128/25 |
|
エンジニアリンググループにすべてのネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
0.0.0.0/0 |
|
マネージャーグループにクライアント VPN VPC へのアクセスを提供する |
s-xxxxx16 |
False |
192.168.0.0/24 |
|
すべてのグループへのアクセスを提供する |
該当なし |
真 |
0.0.0.0/0 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、パブリックインターネット、
172.16.0.0/24、および172.16.0.128/25にアクセスできます。 -
他のユーザーグループ (「管理者グループ」など) は、パブリックインターネットにアクセスできますが、他のルールで定義された他の送信先ネットワークにはアクセスできません。
