AWS Client VPN エンドポイントを作成する - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPN エンドポイントを作成する

クライアントVPNエンドポイントを作成して、クライアントが Amazon VPC コンソールまたは を使用してVPNセッションを確立できるようにします AWS CLI。

エンドポイントを作成する前に、要件を理解してください。エンドポイント要件の詳細については、「」を参照してくださいクライアントVPNエンドポイントを作成するための要件

クライアントVPNエンドポイントを作成するには (コンソール)

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、クライアントVPNエンドポイント を選択し、クライアントVPNエンドポイントの作成 を選択します。

  3. (オプション) クライアントVPNエンドポイントの名前タグと説明を指定します。

  4. クライアント ではIPv4CIDR、クライアント IP アドレスを割り当てる IP アドレス範囲をCIDR表記で指定します。例えば、10.0.0.0/22 と指定します。

    注記

    アドレス範囲は、ターゲットネットワークアドレス範囲、VPCアドレス範囲、またはクライアントVPNエンドポイントに関連付けられるルートと重複することはできません。クライアントアドレスの範囲は、/22 以上で、/12 CIDRブロックサイズ以下である必要があります。クライアントVPNエンドポイントの作成後にクライアントアドレス範囲を変更することはできません。

  5. サーバー証明書 ARNARNには、サーバーが使用するTLS証明書の を指定します。クライアントはサーバー証明書を使用して、接続先のクライアントVPNエンドポイントを認証します。

    注記

    サーバー証明書は、クライアントVPNエンドポイントを作成するリージョンの AWS Certificate Manager (ACM) に存在する必要があります。証明書は でプロビジョニングすることもACM、 にインポートすることもできますACM。

  6. VPN 接続を確立するときにクライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。

    • ユーザーベースの認証を使用するには、[ユーザーベースの認証を使用] を選択し、次のいずれかを選択します。

      • Active Directory 認証: Active Directory 認証の場合はこのオプションを選択します。[ディレクトリ ID] には、使用する Active Directory の ID を指定します。

      • フェデレーティッド認証 : SAMLベースのフェデレーティッド認証の場合は、このオプションを選択します。

        SAML プロバイダー にはARN、IAMSAMLID プロバイダーARNの を指定します。

        (オプション) セルフサービスSAMLプロバイダー ARNには、セルフサービスポータル をサポートするために作成した IAM SAML ID プロバイダーARNの を、該当する場合に指定します。 セルフサービスポータルのサポート

    • 相互証明書認証を使用するには、「相互認証を使用する」を選択し、クライアント証明書 ARNには、 AWS Certificate Manager () でプロビジョニングされているARNクライアント証明書の を指定しますACM。

      注記

      サーバー証明書とクライアント証明書が同じ認証局 (CA) によって発行された場合は、サーバー証明書をサーバーとクライアントの両方ARNに使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書を指定ARNする必要があります。

  7. (オプション) 接続ログ で、Amazon Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。 CloudWatch [Enable log details on client connections] (クライアント接続の詳細のログを有効にする) をオンにします。CloudWatch Logs ロググループ名 に、使用するロググループの名前を入力します。CloudWatch Logs ログストリーム名 には、使用するログストリームの名前を入力するか、このオプションを空白のままにしてログストリームを作成できるようにします。

  8. (オプション) Client Connect Handler で、クライアント接続ハンドラーを有効にして、クライアントVPNエンドポイントへの新しい接続を許可または拒否するカスタムコードを実行します。Client Connect Handler ARNで、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  9. (オプション) DNS解決に使用するDNSサーバーを指定します。カスタムDNSサーバーを使用するには、DNSサーバー 1 の IP アドレスDNSサーバー 2 の IP アドレス で、使用するDNSサーバーの IP アドレスを指定します。VPC DNS サーバーを使用するには、DNSサーバー 1 の IP アドレス またはDNSサーバー 2 の IP アドレス のいずれかで、IP アドレスを指定し、VPCDNSサーバー IP アドレスを追加します。

    注記

    クライアントがDNSサーバーにアクセスできることを確認します。

  10. (オプション) デフォルトでは、クライアントVPNエンドポイントはUDPトランスポートプロトコルを使用します。代わりにTCPトランスポートプロトコルを使用するには、トランスポートプロトコル で を選択しますTCP

    注記

    UDP 通常、 は よりも優れたパフォーマンスを提供しますTCP。クライアントVPNエンドポイントの作成後にトランスポートプロトコルを変更することはできません。

  11. (オプション) エンドポイントを分割トンネルクライアントVPNエンドポイントにするには、分割トンネルを有効にする をオンにします。デフォルトでは、クライアントVPNエンドポイントの分割トンネルは無効になっています。

  12. (オプション) VPC ID で、クライアントVPNエンドポイントVPCに関連付ける を選択します。セキュリティグループ IDsで、クライアントVPNエンドポイントに適用する VPCのセキュリティグループを 1 つ以上選択します。

  13. (オプション) VPN ポート で、VPNポート番号を選択します。デフォルトは 443 です。

  14. (オプション) クライアント用のセルフサービスポータルURLを生成するには、セルフサービスポータルを有効にする をオンにします。

  15. (オプション) セッションタイムアウト時間 では、使用可能なオプションから希望する最大VPNセッション期間を時間単位で選択するか、 をデフォルト 24 時間に設定します。

  16. (オプション) クライアントログインバナーテキストを有効にするか指定します。[Enable client login banner] (クライアントログインバナーを有効にする) をオンにします。クライアントログインバナーテキスト には、VPNセッションの確立時にAWS提供されたクライアントのバナーに表示されるテキストを入力します。UTF-8 エンコード文字のみ。最大 1400 文字。

  17. クライアントVPNエンドポイントの作成 を選択します。

クライアントVPNエンドポイントを作成したら、次の操作を実行して設定を完了し、クライアントが接続できるようにします。

  • クライアントVPNエンドポイントの初期状態は ですpending-associate。クライアントは、最初のターゲットネットワーク を関連付けた後にのみ、クライアントVPNエンドポイントに接続できます。

  • 承認ルールを作成して、ネットワークにアクセスできるクライアントを指定します。

  • クライアントに配布するクライアントVPNエンドポイント設定ファイルをダウンロードして準備します。

  • AWS が提供するクライアントまたは別の Open VPNベースのクライアントアプリケーションを使用してクライアントVPNエンドポイントに接続するようにクライアントに指示します。詳細については、AWS Client VPN ユーザーガイドをご参照ください。

クライアントVPNエンドポイントを作成するには (AWS CLI)

create-client-vpn-endpoint コマンドを使用します。