翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Secrets Manager を使用した AWS Site-to-Site VPN セキュリティ機能の強化
<a name="enhanced-security"></a>

AWS Site-to-Site VPN のセキュリティリベース機能は、VPN 接続をより詳細に制御および可視化できる強化されたセキュリティ機能を提供します。主な改善点は、Site-to-Site VPN サービスに直接 AWS Secrets Manager ではなく、 に事前共有キー (PSKs) を保存できることです。これにより、シークレット管理とセキュリティのベストプラクティスへの準拠が向上します。この機能には、両方の IKE フェーズの暗号化アルゴリズム、整合性アルゴリズム、Diffie-Hellman グループなど、アクティブな VPN トンネルで使用されているセキュリティパラメータをリアルタイムで可視化する `GetActiveVpnTunnelStatus` API も含まれています。さらに、IKEv1 などのレガシーオプションを除外することで、最新のプロトコルの使用を強制する推奨セキュリティ設定を生成できるようになりました。これらの機能強化は、組織が厳格なセキュリティ標準を維持する必要がある場合、VPN 設定の詳細な監査証跡が必要な場合、または VPN 接続において、利用可能なプロトコルのうち最も安全なものが使用されていることを確認する場合に特に役立ちます。

**Topics**
+ [Secrets Manager の事前共有キーを変更する](enhanced-security-tunnel.md)
+ [事前共有キーストレージモードを変更する](enhanced-security-storage.md)

# で Secrets Manager の事前共有キーを変更する AWS Site-to-Site VPN
<a name="enhanced-security-tunnel"></a>

Secrets Manager でトンネルにアクセスできない場合は、そのトンネルの事前共有キーを変更できます。

**注記**  
事前共有キーを変更する場合は、両方の Secrets Manager サービスに必要な IAM アクセス許可があることを確認してください。
VPN トンネルの事前共有キーを変更すると、接続は最大で数分間中断されます。予期されるダウンタイムのために必ず計画を立ててください。

**VPN トンネルの Secrets Manager 事前共有キーを変更するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。

1. Site-to-Site VPN 接続を選択して、**[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。

1. **[VPN トンネル外部 IP アドレス]** で、VPN トンネルのトンネルエンドポイント IP を選択します。

1. **[新事前共有キー]** で新しい事前共有キーを選択します。
**注記**  
このオプションは、Secrets Manager に保存されているキーにのみ使用できます。

1. **[変更の保存]** をクリックします。

1. 他のトンネルについても、この手順を繰り返します。

# で事前共有キーストレージモードを変更する AWS Site-to-Site VPN
<a name="enhanced-security-storage"></a>

既存の VPN トンネルの事前共有キーストレージモードを変更します。

**注記**  
ストレージモードを変更する場合は、Site-to-Site VPN サービスと Secrets Manager サービスの両方に必要な IAM アクセス許可があることを確認してください。
VPN トンネルのストレージモードを変更すると、接続は最大で数分間中断されます。予期されるダウンタイムのために必ず計画を立ててください。

**事前共有キーストレージモードを変更するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。

1. Site-to-Site VPN 接続を選択して、**[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。

1. **[VPN トンネル外部 IP アドレス]** で、VPN トンネルのトンネルエンドポイント IP を選択します。

1. **[事前共有キーストレージ]** で、次のいずれかの事前共有キーストレージタイプを選択します。
   + **標準** — 事前共有キーは Site-to-Site VPN サービスに直接保存されます。
   + **Secrets Manager ** — 事前共有キーは AWS Secrets Managerを使用して保存されます。Secrets Manager の詳細については、「[Secrets Manager を使用したセキュリティ機能の強化](enhanced-security.md)」を参照してください。

1. **[変更の保存]** をクリックします。

ストレージモードを [Secrets Manager] から [標準] に変更する場合:
+ 事前共有キーは Secrets Manager から削除され、Site-to-Site VPN サービスに移動します。
+ トンネルのエントリは Secrets Manager シークレットから削除されます。

ストレージモードを [標準] から [Secrets Manager] に変更する場合:
+ 事前共有キーが Site-to-Site VPN サービスから削除されます 
+ まだ存在しない場合は、新しい Secrets Manager シークレットが作成されます。
+ 新しい事前共有キーは Secrets Manager に保存されます。