翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Client VPN 承認ルール
承認ルールは、ネットワークへのアクセス許可を与えるファイアウォールルールとして機能します。承認ルールを追加することで、特定のクライアントに対し、特定のネットワークへのアクセス許可を与えます。アクセス許可の対象となるネットワークそれぞれに、承認ルールが必要となります。コンソールと を使用して、クライアントVPNエンドポイントに承認ルールを追加できます AWS CLI。
注記
クライアントVPNは、承認ルールを評価するときに最長のプレフィックスマッチングを使用します。詳細については、「Amazon VPCユーザーガイド」の「トラブルシューティングトピックのトラブルシューティング AWS Client VPN: Active Directory グループの認証ルールが期待どおりに機能しない」と「ルートの優先度」を参照してください。
承認ルールを理解するための重要なポイント
次のポイントは、承認ルールの動作の一部を説明しています。
-
送信先ネットワークへのアクセスを許可するには、許可ルールを明示的に追加する必要があります。デフォルトの動作では、アクセスは拒否されます。
-
送信先ネットワークへのアクセスを制限する承認ルールを追加することはできません。
-
0.0.0.0/0CIDR は特殊なケースとして扱われます。これは承認ルールの作成順序に関係なく、最後に扱われます。 -
は、「任意の送信先」または「他の承認ルールで定義されていない送信先」と考える
0.0.0.0/0CIDRことができます。 -
最も長いプレフィックス一致が、優先されるルールです。
クライアントVPN承認ルールのシナリオ例
このセクションでは、 の承認ルールの仕組みについて説明します AWS Client VPN。承認ルールを理解するための重要なポイント、アーキテクチャの例、およびアーキテクチャの例に対応するシナリオ例の説明が含まれています。
シナリオ
次の図は、このセクションのシナリオ例に使用されているアーキテクチャの例を示しています。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループにクライアントへのアクセスを提供する VPN VPC |
s-xxxxx16 |
False |
192.168.0.0/24 |
結果として生じる動作
-
エンジニアリンググループは
172.16.0.0/24にのみアクセスできます。 -
開発グループは
10.0.0.0/16にのみアクセスできます。 -
マネージャーグループは
192.168.0.0/24にのみアクセスできます。 -
他のすべてのトラフィックは、クライアントVPNエンドポイントによって削除されます。
注記
このシナリオでは、どのユーザーグループもパブリックインターネットにアクセスできません。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
結果として生じる動作
-
エンジニアリンググループは
172.16.0.0/24にのみアクセスできます。 -
開発グループは
10.0.0.0/16にのみアクセスできます。 -
マネージャーグループはパブリックインターネットおよび
192.168.0.0/24にアクセスできますが、172.16.0.0/24または10.0.0/16にはアクセスできません。
注記
このシナリオでは、どのルールも 192.168.0.0/24 を参照していないため、そのネットワークへのアクセスも 0.0.0.0/0 ルールによって提供されます。
0.0.0.0/0 を含むルールは、ルールが作成された順序に関係なく、常に最後に評価されます。このため、0.0.0.0/0 以前に評価されたルールが、0.0.0.0/0 によってアクセス権が付与されるネットワークを決定するうえで役割を果たすことを覚えておいてください。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
開発中の 1 つのホストにマネージャーグループアクセスを提供する VPC |
s-xxxxx16 |
False |
10.0.2.119/32 |
結果として生じる動作
-
エンジニアリンググループは
172.16.0.0/24にのみアクセスできます。 -
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループは、開発 内のパブリックインターネット
192.168.0.0/24、、および 1 つのホスト (10.0.2.119/32) にアクセスできますがVPC、開発 内の残りのホスト172.16.0.0/24にはアクセスできませんVPC。
注記
ここでは、長い IP プレフィックスを持つルールが、短い IP プレフィックスを持つルールよりも優先されることがわかります。開発グループに 10.0.2.119/32 へのアクセスを許可する場合は、開発チームに 10.0.2.119/32 へのアクセスを許可するルールを追加する必要があります。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
開発中の単一ホストへのマネージャーグループアクセスを提供する VPC |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする |
s-xxxxx14 |
False |
172.16.0.128/25 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、より具体的なサブネット
172.16.0.128/25を含めて、172.16.0.0/24にアクセスできます。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
開発中の単一ホストへのマネージャーグループアクセスを提供する VPC |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする |
s-xxxxx14 |
False |
172.16.0.128/25 |
|
エンジニアリンググループに任意の送信先へのアクセスを提供する |
s-xxxxx14 |
False |
0.0.0.0/0 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、より具体的なサブネット
172.16.0.128/25を含めて、パブリックインターネット、192.168.0.0/24、および172.16.0.0/24にアクセスできます。
注記
エンジニアリンググループとマネージャーグループの両方が 192.168.0.0/24 にアクセスできるようになりました。これは、どちらのグループも 0.0.0.0/0 (任意の送信先) にアクセスでき、さらに他のどのルールも 192.168.0.0/24 を参照していないためです。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
開発中の単一ホストへのマネージャーグループアクセスを提供する VPC |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.128/25 |
|
エンジニアリンググループに任意の送信先へのアクセスを提供する |
s-xxxxx14 |
False |
0.0.0.0/0 |
|
マネージャーグループにクライアントへのアクセスを提供する VPN VPC |
s-xxxxx16 |
False |
192.168.0.0/24 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、パブリックインターネット、
172.16.0.0/24、および172.16.0.128/25にアクセスできます。
注記
マネージャーグループが 192.168.0.0/24 にアクセスするルールを追加する方法によって、開発グループはその送信先ネットワークにアクセスできなくなることに注意してください。
| ルールの説明 | グループ ID | すべてのユーザーにアクセスを許可する | 送信先 CIDR |
|---|---|---|---|
|
エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.0/24 |
|
開発グループに開発へのアクセスを提供する VPC |
s-xxxxx15 |
False |
10.0.0.0/16 |
|
マネージャーグループに任意の送信先へのアクセスを提供する |
s-xxxxx16 |
False |
0.0.0.0/0 |
|
開発中の単一ホストへのマネージャーグループアクセスを提供する VPC |
s-xxxxx16 |
False |
10.0.2.119/32 |
|
エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する |
s-xxxxx14 |
False |
172.16.0.128/25 |
|
エンジニアリンググループにすべてのネットワークへのアクセスを提供する |
s-xxxxx14 |
False |
0.0.0.0/0 |
|
マネージャーグループにクライアントへのアクセスを提供する VPN VPC |
s-xxxxx16 |
False |
192.168.0.0/24 |
|
すべてのグループへのアクセスを提供する |
該当なし |
True |
0.0.0.0/0 |
結果として生じる動作
-
開発グループは単一ホスト
10.0.2.119/32の場合を除き、10.0.0.0/16にアクセスできます。 -
マネージャーグループはパブリックインターネット、
192.168.0.0/24、および10.0.0.0/16ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24または10.0.0.0/16ネットワーク内のその他のホストにはアクセスできません。 -
エンジニアリンググループは、パブリックインターネット、
172.16.0.0/24、および172.16.0.128/25にアクセスできます。 -
他のユーザーグループ (「管理者グループ」など) は、パブリックインターネットにアクセスできますが、他のルールで定義された他の送信先ネットワークにはアクセスできません。
