とは AWS Client VPN - AWS Client VPN
クライアント VPN の機能クライアント VPN のコンポーネントクライアント VPN の使用クライアント VPN の料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは AWS Client VPN

AWS Client VPN は、オンプレミスネットワーク内の AWS リソースとリソースに安全にアクセスできるマネージドクライアントベースの VPN サービスです。クライアント VPN を使用すると、OpenVPN ベースの VPN クライアントを使用して、どこからでもリソースにアクセスできます。

トピック

クライアント VPN の機能

クライアント VPN には、以下の機能があります。

  • 安全な接続 — OpenVPN クライアントを介して任意の場所から暗号化された TLS 接続を確立し、データのプライバシーと整合性を確保します。

  • マネージドサービス — AWS の完全な管理を通じて、サードパーティーのリモートアクセス VPN ソリューションをデプロイして維持する運用上の負担を排除します。

  • 高可用性と伸縮性 — 手動で介入することなく、AWS およびオンプレミスリソースに接続するさまざまなユーザーの数に合わせて動的にスケーリングします。

  • 認証 — Active Directory 統合、フェデレーション認証、証明書ベースの認証など、柔軟な ID 管理のための複数の認証方法をサポートします。

  • きめ細かなコントロール — Active Directory グループレベルで設定可能なネットワークベースのアクセスルールとセキュリティグループベースのアクセスコントロールを通じて、正確なセキュリティコントロールを実装します。

  • 使いやすさ — 単一の VPN トンネルを介して AWS リソースとオンプレミスリソースの両方への統一されたアクセスを提供し、エンドユーザーエクスペリエンスを簡素化します。

  • 管理可能性 — 必要に応じてアクティブなクライアント接続をモニタリングおよび終了する機能など、詳細な接続ログとリアルタイムの管理機能を通じて包括的な可視性を提供します。

  • 深い統合 — AWS Directory Service や Amazon VPC などの既存の AWS サービスとシームレスに統合し、クラウドインフラストラクチャの接続機能を強化します。

  • IPv6 サポート — クライアント VPN エンドポイントの完全な IPv6 接続を有効にし、VPCs 内の IPv6 リソースへの接続と、最新のネットワーク要件のための IPv6 ネットワーク上のクライアントへの接続をサポートします。

クライアント VPN のコンポーネント

クライアント VPN の主な概念は次のとおりです。

クライアント VPN エンドポイント

クライアント VPN エンドポイントは、クライアント VPN セッションを有効にして管理するために作成して設定するリソースです。これは、すべてのクライアント VPN セッションの終了ポイントです。

ターゲットネットワーク

ターゲットネットワークは、クライアント VPN エンドポイントに関連付けるネットワークです。VPC からのサブネットはターゲットネットワークです。サブネットをクライアント VPN エンドポイントに関連付けると、VPN セッションを確立できます。高可用性を実現するために、複数のサブネットをクライアント VPN エンドポイントに関連付けることができます。すべてのサブネットは同一の VPC に存在する必要があります。各サブネットは異なるアベイラビリティーゾーンに属している必要があります。

ルート

各クライアント VPN エンドポイントには、利用可能な送信先ネットワークルートを説明したルートテーブルがあります。ルートテーブル内の各ルートは、特定のリソースまたはネットワークへのトラフィックのパスを指定します。

承認ルール

承認ルールは、ネットワークにアクセスできるユーザーを制限します。指定のネットワークに対して、アクセスを許可する Active Directory または ID プロバイダー (IdP) グループを構成します。このグループに属するユーザーだけが、指定のネットワークにアクセスできます。デフォルトでは承認ルールはありません。ユーザーがリソースやネットワークにアクセスできるように承認ルールを設定する必要があります。

クライアント

VPN セッションを確立するためにクライアント VPN エンドポイントに接続するエンドユーザー。エンドユーザーは、OpenVPN クライアントをダウンロードし、作成した Client VPN 設定ファイルを使用して VPN セッションを確立する必要があります。

クライアント CIDR 範囲

クライアント IP アドレスの割り当て元となる IP アドレスの範囲。クライアント VPN エンドポイントへの各接続には、クライアント CIDR 範囲から固有の IP アドレスが割り当てられます。IPv4 トラフィックの場合は、 などのクライアント CIDR 範囲を選択します10.2.0.0/16。IPv6 トラフィックの場合、 はクライアント CIDR 範囲 AWS Client VPN を自動的に割り当てます。

クライアント VPN ポート

AWS Client VPN は、TCP と UDP の両方でポート 443 と 1194 をサポートしています。デフォルトはポート 443 です。

クライアント VPN ネットワークインターフェイス

サブネットをクライアント VPN エンドポイントに関連付けると、そのサブネットにクライアント VPN ネットワークインターフェイスが作成されます。クライアント VPN エンドポイントから VPC に送信されるトラフィックは、クライアント VPN ネットワークインターフェイスを介して送信されます。IPv4 トラフィックの場合、ソースネットワークアドレス変換 (SNAT) が適用され、クライアント CIDR 範囲のソース IP アドレスがクライアント VPN ネットワークインターフェイス IP アドレスに変換されます。IPv6 トラフィックの場合、SNAT は適用されず、接続されたユーザーの IP アドレスの可視性が向上します。

接続ログ

クライアント VPN エンドポイントの接続ログを有効にして、接続イベントをログに記録できます。この情報を使用してフォレンジックを実行したり、クライアント VPN エンドポイントがどのように使用されているかを分析したり、接続の問題をデバッグしたりできます。

セルフサービスポータル

クライアント VPN は、エンドユーザーが AWS VPN Desktop クライアントの最新バージョンとクライアント VPN エンドポイント設定ファイルの最新バージョンをダウンロードするためのウェブページとなるセルフサービスポータルです。このファイルには、エンドポイントへの接続に必要な設定が含まれています。クライアント VPN エンドポイント管理者は、クライアント VPN エンドポイントのセルフサービスポータルを有効または無効にすることができます。セルフサービスポータルは、米国東部 (バージニア北部)、アジアパシフィック (東京)、欧州 (アイルランド)、 AWS GovCloud (米国西部) の各リージョンのサービススタックでサポートされるグローバルサービスです。

エンドポイント IP アドレスタイプ

クライアント VPN エンドポイントの IP アドレスタイプ。IPv4, IPv6、またはデュアルスタック (IPv4 と IPv6 の両方) です。

トラフィック IP アドレスタイプ

クライアント VPN エンドポイントを通過するトラフィックの IP アドレスタイプ。IPv4, IPv6、またはデュアルスタック (IPv4 と IPv6 の両方) です。これにより、内部トラフィック (VPN 接続を介してトンネルされる実際のペイロードまたは元のトラフィック)、クライアント CIDR 範囲、サブネットの関連付け、ルート、エンドポイントあたりのルールのタイプが決まります。

クライアント VPN の使用

クライアント VPN は、次のいずれかの方法で使用できます。

AWS Management Console

コンソールは、クライアント VPN 用のウェブベースのユーザーインターフェイスを提供します。にサインアップしている場合は AWS アカウント、Amazon VPC コンソールにサインインし、ナビゲーションペインでクライアント VPN を選択できます。

AWS Command Line Interface (AWS CLI)

AWS CLI は、クライアント VPN パブリック APIs への直接アクセスを提供します。Windows、macOS、Linux でサポートされています。の使用開始の詳細については AWS CLI、AWS Command Line Interface 「 ユーザーガイド」を参照してください。クライアント VPN のコマンドの詳細については、「Amazon EC2 コマンドラインリファレンス」の「EC2」セクションを参照してください。 Amazon EC2

AWS Tools for Windows PowerShell

AWS は、PowerShell 環境でスクリプトを作成するユーザー向けに、幅広いオ AWS ファリングセットのコマンドを提供します。 AWS Tools for Windows PowerShellの使用開始に関する詳細については、「AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。クライアント VPN のコマンドレットの詳細については、「AWS Tools for Windows PowerShell コマンドレットリファレンス」を参照してください。

クエリ API

クライアント VPN HTTPS クエリ API は、クライアント VPN と へのプログラムによるアクセスを提供します AWS。HTTPS クエリ API を使用すると、HTTPS リクエストを直接サービスに発行できます。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「AWS Client VPN アクション」を参照してください。

クライアント VPN の料金

それぞれのエンドポイントアソシエーションと各 VPN 接続について、時間単位で課金されます。IPv6 またはデュアルスタックエンドポイントの使用には追加料金はかかりません。IPv4 エンドポイントと同じレートで課金されます。詳細については、AWS Client VPN 料金表を参照してください。

Amazon EC2 からインターネットへのデータ転送に対して課金されます。詳細については、「Amazon EC2 オンデマンド料金」ページの「データ転送」を参照してください。

クライアント VPN エンドポイントの接続ログを有効にする場合は、アカウントに CloudWatch Logs ロググループを作成する必要があります。ロググループの使用には料金がかかります。詳細については、「Amazon CloudWatch の料金」(有料 Tierの下で、ログを選択)を参照してください。

クライアント VPN エンドポイントでクライアント接続ハンドラーを有効にする場合は、Lambda 関数を作成して呼び出す必要があります。Lambda 関数の呼び出しには料金がかかります。詳細については、「AWS Lambda 料金表」を参照してください。

クライアント VPN エンドポイントは、VPC 内のサブネットであるターゲットネットワークに関連付けられています。この VPC にインターネットゲートウェイがある場合、Elastic IP アドレスはクライアント VPN Elastic Network Interface (ENI) に関連付けられます。これらの Elastic IP アドレスは、使用中のパブリック IPv4 アドレスとして課金されます。詳細については、「VPC の料金ページ」の「パブリック IPv4 アドレス」タブを参照してください。

注記

クライアント VPN エンドポイントは、インターネットゲートウェイを持つ VPC サブネットに関連付けられている場合、VPN クライアントの直接インターネット接続を有効にするためEIPs アドレスが必要です。クライアント VPN エンドポイントを介して接続する場合、インターネットリソースと通信するにはパブリック IP アドレスが必要です。Elastic IPs、一貫したパブリック向けエンドポイントを提供することで、この目的を果たします。これらの EIPs はクライアント VPN Elastic Network Interface (ENIsにアタッチされており、トラフィックの適切なルーティングを確保しながら、VPN クライアントの安定した安全なインターネットアクセスを維持するために不可欠です。これらの Elastic IP アドレスはクライアント VPN サービスに割り当てられ、アクティブに使用されるため、 は、割り当てられた EIP および関連する EIP の標準料金モデルに従って、使用中のパブリック IPv4 アドレスとして AWS 課金します。 EIPs