翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Client VPN 認可ルール
<a name="cvpn-working-rules"></a>

承認ルールは、ネットワークへのアクセス許可を与えるファイアウォールルールとして機能します。承認ルールを追加することで、特定のクライアントに対し、特定のネットワークへのアクセス許可を与えます。アクセス許可の対象となるネットワークそれぞれに、承認ルールが必要となります。コンソールと AWS CLIを使用して、クライアント VPN エンドポイントに承認ルールを追加できます。

**注記**  
クライアント VPN は、承認ルールを評価するときに、最長プレフィックスマッチングを使用します。詳細については、「*Amazon VPC ユーザーガイド*」の「トピック [トラブルシューティング AWS Client VPN: Active Directory グループの認可ルールが期待どおりに機能しない](ad-group-auth-rules.md) のトラブルシューティング」および「[ルート優先度](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)」を参照してください。

## 承認ルールを理解するための重要なポイント
<a name="key-points-summary"></a>

次のポイントは、承認ルールの動作の一部を説明しています。
+ 送信先ネットワークへのアクセスを許可するには、許可ルールを明示的に追加する必要があります。デフォルトの動作では、アクセスは拒否されます。
+ 送信先ネットワークへのアクセスを*制限*する承認ルールを追加することはできません。
+ `0.0.0.0/0` CIDR は特殊なケースとして扱われます。これは承認ルールの作成順序に関係なく、最後に扱われます。
+ `0.0.0.0/0` CIDR は「任意の送信先」または「他の承認ルールで定義されていない任意の送信先」と考えることができます。
+ 最も長いプレフィックス一致が、優先されるルールです。

**Topics**
+ [重要ポイント](#key-points-summary)
+ [シナリオ例](#auth-rule-example-scenarios)
+ [承認ルールを追加する](cvpn-working-rule-authorize-add.md)
+ [承認ルールを削除する](cvpn-working-rule-remove.md)
+ [承認ルールの表示](cvpn-working-rule-view.md)

## クライアント VPN 承認ルールのシナリオ例
<a name="auth-rule-example-scenarios"></a>

このセクションでは、認可ルールの仕組みについて説明します AWS Client VPN。承認ルールを理解するための重要なポイント、アーキテクチャの例、およびアーキテクチャの例に対応するシナリオ例の説明が含まれています。

**シナリオ**
+ [承認ルールシナリオのアーキテクチャの例](#example-arch-auth-rules)
+ [単一の送信先へのアクセス](#auth-rules1)
+ [任意の送信先 (0.0.0.0/0) CIDR を使用する](#auth-rules2)
+ [IP プレフィックスのより長い一致](#auth-rules3)
+ [重複する CIDR (同じグループ)](#auth-rules4)
+ [追加の 0.0.0.0/0 ルール](#auth-rules5)
+ [192.168.0.0/24 のルールを追加する](#auth-rules6)
+ [SAML フェデレーション認証](#auth-rules7)
+ [すべてのユーザーグループのアクセス](#auth-rules8)

### 承認ルールシナリオのアーキテクチャの例
<a name="example-arch-auth-rules"></a>

次の図は、このセクションのシナリオ例に使用されているアーキテクチャの例を示しています。

![\[クライアント VPN アーキテクチャの例\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)


### 単一の送信先へのアクセス
<a name="auth-rules1"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループにクライアント VPN VPC へのアクセスを提供する  |  s-xxxxx16  |  誤  |  192.168.0.0/24  | 

**結果として生じる動作**
+ エンジニアリンググループは `172.16.0.0/24` にのみアクセスできます。
+ 開発グループは `10.0.0.0/16` にのみアクセスできます。
+ マネージャーグループは `192.168.0.0/24` にのみアクセスできます。
+ 他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。

**注記**  
このシナリオでは、どのユーザーグループもパブリックインターネットにアクセスできません。

### 任意の送信先 (0.0.0.0/0) CIDR を使用する
<a name="auth-rules2"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループに任意の送信先へのアクセスを提供する  |  s-xxxxx16  |  誤  |  0.0.0.0/0  | 

**結果として生じる動作**
+ エンジニアリンググループは `172.16.0.0/24` にのみアクセスできます。
+ 開発グループは `10.0.0.0/16` にのみアクセスできます。
+ マネージャーグループはパブリックインターネット*および* `192.168.0.0/24` にアクセスできますが、`172.16.0.0/24` または `10.0.0/16` にはアクセスできません。

**注記**  
このシナリオでは、どのルールも `192.168.0.0/24` を参照していないため、そのネットワークへのアクセスも `0.0.0.0/0` ルールによって提供されます。  
`0.0.0.0/0` を含むルールは、ルールが作成された順序に関係なく、常に最後に評価されます。このため、`0.0.0.0/0` 以前に評価されたルールが、`0.0.0.0/0` によってアクセス権が付与されるネットワークを決定するうえで役割を果たすことを覚えておいてください。

### IP プレフィックスのより長い一致
<a name="auth-rules3"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループに任意の送信先へのアクセスを提供する  |  s-xxxxx16  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する  |  s-xxxxx16  |  誤  |  10.0.2.119/32  | 

**結果として生じる動作**
+ エンジニアリンググループは `172.16.0.0/24` にのみアクセスできます。
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および開発 VPC 内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または開発 VPC 内のその他のホストにはアクセスできません。

**注記**  
ここでは、長い IP プレフィックスを持つルールが、短い IP プレフィックスを持つルールよりも優先されることがわかります。開発グループに `10.0.2.119/32` へのアクセスを許可する場合は、開発チームに `10.0.2.119/32` へのアクセスを許可するルールを追加する必要があります。

### 重複する CIDR (同じグループ)
<a name="auth-rules4"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループに任意の送信先へのアクセスを提供する  |  s-xxxxx16  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する  |  s-xxxxx16  |  誤  |  10.0.2.119/32  | 
|  エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする  |  s-xxxxx14  |  誤  |  172.16.0.128/25  | 

**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、より具体的なサブネット `172.16.0.128/25` を含めて、`172.16.0.0/24` にアクセスできます。

### 追加の 0.0.0.0/0 ルール
<a name="auth-rules5"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループに任意の送信先へのアクセスを提供する  |  s-xxxxx16  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する  |  s-xxxxx16  |  誤  |  10.0.2.119/32  | 
|  エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする  |  s-xxxxx14  |  誤  |  172.16.0.128/25  | 
|  エンジニアリンググループに任意の送信先へのアクセスを提供する  |  s-xxxxx14  |  誤  |  0.0.0.0/0  | 

**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、より具体的なサブネット `172.16.0.128/25` を含めて、パブリックインターネット、`192.168.0.0/24`、および `172.16.0.0/24` にアクセスできます。

**注記**  
エンジニアリンググループとマネージャーグループの両方が `192.168.0.0/24` にアクセスできるようになりました。これは、どちらのグループも `0.0.0.0/0` (任意の送信先) にアクセスでき、*さらに*他のどのルールも `192.168.0.0/24` を参照していないためです。

### 192.168.0.0/24 のルールを追加する
<a name="auth-rules6"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループに任意の送信先へのアクセスを提供する  |  s-xxxxx16  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する  |  s-xxxxx16  |  誤  |  10.0.2.119/32  | 
|  エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.128/25  | 
|  エンジニアリンググループに任意の送信先へのアクセスを提供する  |  s-xxxxx14  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループにクライアント VPN VPC へのアクセスを提供する  |  s-xxxxx16  |  誤  |  192.168.0.0/24  | 

**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、パブリックインターネット、`172.16.0.0/24`、および `172.16.0.128/25` にアクセスできます。

**注記**  
マネージャーグループが `192.168.0.0/24` にアクセスするルールを追加する方法によって、開発グループはその送信先ネットワークにアクセスできなくなることに注意してください。

### SAML フェデレーション認証
<a name="auth-rules7"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  エンジニアリング  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  開発者  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループにクライアント VPN VPC へのアクセスを提供する  |  マネージャー  |  誤  |  192.168.0.0/24  | 

**結果として生じる動作**
+ 「エンジニアリング」グループ属性を使用して SAML 経由で認証されたユーザーは、`172.16.0.0/24` にのみアクセスできます。
+ 「開発者」グループ属性を使用して SAML 経由で認証されたユーザーは、`10.0.0.0/16` にのみアクセスできます。
+ 「管理者」グループ属性を使用して SAML 経由で認証されたユーザーは、`192.168.0.0/24` にのみアクセスできます。
+ 他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。

**注記**  
SAML フェデレーション認証を使用する場合、[グループ ID] フィールドは、ユーザーのグループメンバーシップを識別する SAML 属性値に対応します。この属性は SAML ID プロバイダーで設定され、認証中にクライアント VPN に渡されます。

### すべてのユーザーグループのアクセス
<a name="auth-rules8"></a>


| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR | 
| --- | --- | --- | --- | 
|  エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.0/24  | 
|  開発グループに開発 VPC へのアクセスを提供する  |  s-xxxxx15  |  誤  |  10.0.0.0/16  | 
|  マネージャーグループに任意の送信先へのアクセスを提供する  |  s-xxxxx16  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する  |  s-xxxxx16  |  誤  |  10.0.2.119/32  | 
|  エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する  |  s-xxxxx14  |  誤  |  172.16.0.128/25  | 
|  エンジニアリンググループにすべてのネットワークへのアクセスを提供する  |  s-xxxxx14  |  誤  |  0.0.0.0/0  | 
|  マネージャーグループにクライアント VPN VPC へのアクセスを提供する  |  s-xxxxx16  |  誤  |  192.168.0.0/24  | 
|  すべてのグループへのアクセスを提供する  |  該当なし  |  正  |  0.0.0.0/0  | 

**結果として生じる動作**
+ 開発グループは単一ホスト `10.0.2.119/32` の場合を*除き*、`10.0.0.0/16` にアクセスできます。
+ マネージャーグループはパブリックインターネット、`192.168.0.0/24`、および `10.0.0.0/16` ネットワーク内の単一ホスト (`10.0.2.119/32`) にアクセスできますが、`172.16.0.0/24` または `10.0.0.0/16` ネットワーク内のその他のホストにはアクセスできません。
+ エンジニアリンググループは、パブリックインターネット、`172.16.0.0/24`、および `172.16.0.128/25` にアクセスできます。
+ 他のユーザーグループ (「管理者グループ」など) は、パブリックインターネットにアクセスできますが、他のルールで定義された他の送信先ネットワークにはアクセスできません。