AWS Client VPN エンドポイントを作成する - AWS Client VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPN エンドポイントを作成する

クライアント VPN エンドポイントを作成して、クライアントが Amazon VPC コンソールまたは を使用して VPN セッションを確立できるようにします AWS CLI。

エンドポイントを作成する前に、要件を理解してください。詳細については、「クライアント VPN エンドポイントを作成するための要件」を参照してください。

コンソールを使用してクライアント VPN エンドポイントを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Client VPN Endpoint (クライアント VPN エンドポイント)] を選択し、[Create Client VPN Endpoint (クライアント VPN エンドポイントの作成)] を選択します。

  3. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。

  4. [Client IPv4 CIDR] (クライアント IPv4 CIDR) に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。例えば、10.0.0.0/22 と指定します。

    注記

    IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。

  5. [Server certificate ARN (サーバー証明書 ARN)] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

    注記

    サーバー証明書は、クライアント VPN エンドポイントを作成するリージョンの AWS Certificate Manager (ACM) に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

  6. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。

    • ユーザーベースの認証を使用するには、[ユーザーベースの認証を使用] を選択し、次のいずれかを選択します。

      • Active Directory 認証: Active Directory 認証の場合はこのオプションを選択します。[ディレクトリ ID] には、使用する Active Directory の ID を指定します。

      • フェデレーション認証: SAML ベースのフェデレーション認証の場合は、このオプションを選択します。

        [SAML プロバイダー ARN] には、IAM SAML ID プロバイダーの ARN を指定します。

        (オプション) [Self-service SAML provider ARN (セルフサービス SAML プロバイダー ARN)] で、セルフサービスポータルをサポートするために作成した IAM SAML ID プロバイダーの ARN を指定します (該当する場合)。

    • 相互証明書認証を使用するには、「相互認証を使用する」を選択し、クライアント証明書 ARN に、 AWS Certificate Manager (ACM) でプロビジョニングされるクライアント証明書の ARN を指定します。

      注記

      サーバー証明書とクライアントの証明書が同じ認証機関 (CA) によって発行されている場合、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書 ARN を指定する必要があります。

  7. (オプション) [Connection logging] (接続ログ) で、Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。[Enable log details on client connections] (クライアント接続の詳細のログを有効にする) をオンにします。[CloudWatch Logs ロググループ名] に、使用するロググループの名前を入力します。[CloudWatch Logs ログストリーム名] に、使用するログストリームの名前を入力するか、このオプションを空白のままにしておくとログストリームが自動的に作成されます。

  8. (オプション) クライアント VPN エンドポイントへの新しい接続を許可または拒否するカスタムコードを実行するには、[Client Connect Handler] (クライアント接続ハンドラー) で、[Enable client connect handler] (クライアント接続ハンドラーを有効にする) をオンにします。[Client Connect Handler ARN (クライアント接続ハンドラー ARN)] で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

  9. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] と [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] に、使用する DNS サーバーの IP アドレスを指定します。VPC DNS サーバーを使用するには、[DNS Server 1 IP address (DNS サーバー 1 IP アドレス)] または [DNS Server 2 IP address (DNS サーバー 2 IP アドレス)] のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。

    注記

    クライアントが DNS サーバーに到達できることを確認します。

  10. (オプション) デフォルトでは、クライアント VPN エンドポイントは UDP 転送プロトコルを使用します。代わりに TCP トランスポートプロトコルを使用するには、[Transport Protocol (トランスポートプロトコル)] の [TCP] を選択します。

    注記

    UDP は通常、TCP よりも優れたパフォーマンスが得られます。クライアント VPN エンドポイントを作成した後で、トランスポートプロトコルを変更することはできません。

  11. (オプション) エンドポイントをスプリットトンネルクライアント VPN エンドポイントにするには、[Enable split-tunnel] (スプリットトンネルを有効にする) をオンにします。デフォルトでは、Client VPN エンドポイントの分割トンネルは無効になっています。

  12. (オプション) [VPC ID] で、クライアント VPN エンドポイントに関連付ける VPC を選択します。[セキュリティグループ ID] で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

  13. (オプション) [VPN port (VPN ポート)] で、VPN ポート番号を選択します。デフォルトは 443 です。

  14. (オプション) クライアントのセルフサービスポータルの URL を生成するには、[Enable self-service portal] (セルフサービスポータルを有効にする) を選択します。

  15. (オプション) [Session timeout hours] (セッションタイムアウト時間) で、使用可能なオプションから希望する最大 VPN セッション継続時間を時間単位で選択するか、デフォルトの 24 時間のままにしておきます。

  16. (オプション) セッションタイムアウト時の切断 で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときにユーザーがエンドポイントに手動で再接続する必要があります。それ以外の場合、クライアント VPN は自動的に再接続を試みます。

  17. (オプション) クライアントログインバナーテキストを有効にするか指定します。[Enable client login banner] (クライアントログインバナーを有効にする) をオンにします。[Client login banner text] (クライアントログインバナーテキスト) に、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

  18. [Create Client VPN endpoint] (クライアント VPN エンドポイントの作成) を選択します。

クライアント VPN エンドポイントを作成したら、次の手順を実行して設定を完了し、クライアントが接続できるようにします。

  • クライアント VPN エンドポイントの初期状態は pending-associate です。最初のターゲットネットワークを関連付けて初めて、クライアントがクライアント VPN エンドポイントに接続できるようになります。

  • 承認ルールを作成して、ネットワークにアクセスできるクライアントを指定します。

  • クライアントに配布するクライアント VPN エンドポイント設定ファイルをダウンロードして準備します。

  • AWS が提供するクライアントまたは別の OpenVPN ベースのクライアントアプリケーションを使用してクライアント VPN エンドポイントに接続するようにクライアントに指示します。詳細については、AWS Client VPN ユーザーガイドをご参照ください。

を使用してクライアント VPN エンドポイントを作成するには AWS CLI

create-client-vpn-endpoint コマンドを使用します。