でのロールの使用 AWS Client VPN - AWS Client VPN
クライアントのサービスにリンクされたロールのアクセス許可 VPNクライアントのサービスにリンクされたロールの作成 VPNクライアントのサービスにリンクされたロールの編集 VPNクライアントのサービスにリンクされたロールの削除 VPNクライアントVPNサービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのロールの使用 AWS Client VPN

AWS Client VPN は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、クライアント に直接リンクされた一意のタイプのIAMロールですVPN。サービスにリンクされたロールは、クライアントによって事前定義VPNされており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、クライアントの設定VPNが簡単になります。クライアントは、サービスにリンクされたロールのアクセス許可VPNを定義します。特に定義されている場合を除き、クライアントのみがそのロールを引き受けVPNることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、VPNリソースへのアクセス許可を誤って削除することがなくなるため、クライアントリソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携する のサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

クライアントのサービスにリンクされたロールのアクセス許可 VPN

クライアントは、 という名前のサービスにリンクされたロールVPNを使用します。AWSServiceRoleForClientVPNクライアントVPNがVPN接続に関連するリソースを作成および管理できるようにします。

AWSServiceRoleForClientVPN サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • clientvpn.amazonaws.com

ClientVPNServiceRolePolicy という名前のロールアクセス許可ポリシーによりVPN、クライアントは指定されたリソースに対して次のアクションを実行できます。

  • アクション: Resource: "*" 上で ec2:CreateNetworkInterface

  • アクション: Resource: "*" 上で ec2:CreateNetworkInterfacePermission

  • アクション: Resource: "*" 上で ec2:DescribeSecurityGroups

  • アクション: Resource: "*" 上で ec2:DescribeVpcs

  • アクション: Resource: "*" 上で ec2:DescribeSubnets

  • アクション: Resource: "*" 上で ec2:DescribeInternetGateways

  • アクション: Resource: "*" 上で ec2:ModifyNetworkInterfaceAttribute

  • アクション: Resource: "*" 上で ec2:DeleteNetworkInterface

  • アクション: Resource: "*" 上で ec2:DescribeAccountAttributes

  • アクション: Resource: "*" 上で ds:AuthorizeApplication

  • アクション: Resource: "*" 上で ds:DescribeDirectories

  • アクション: Resource: "*" 上で ds:GetDirectoryLimits

  • アクション: Resource: "*" 上で ds:UnauthorizeApplication

  • アクション: Resource: "*" 上で logs:DescribeLogStreams

  • アクション: Resource: "*" 上で logs:CreateLogStream

  • アクション: Resource: "*" 上で logs:PutLogEvents

  • アクション: Resource: "*" 上で logs:DescribeLogGroups

  • アクション: Resource: "*" 上で acm:GetCertificate

  • アクション: Resource: "*" 上で acm:DescribeCertificate

  • アクション: Resource: "*" 上で iam:GetSAMLProvider

  • アクション: Resource: "*" 上で lambda:GetFunctionConfiguration

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

クライアントのサービスにリンクされたロールの作成 VPN

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは を使用してアカウントに最初のクライアントVPNエンドポイントを作成すると AWS API、クライアントVPNはサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。アカウントに最初のクライアントVPNエンドポイントを作成すると、クライアントはサービスにリンクされたロールを再度VPN作成します。

クライアントのサービスにリンクされたロールの編集 VPN

クライアントVPNでは、 AWSServiceRoleForClientVPN サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

クライアントのサービスにリンクされたロールの削除 VPN

クライアント を使用する必要がなくなった場合はVPN、AWSServiceRoleForClientVPNサービスにリンクされたロールを削除することをお勧めします。

まず、関連するクライアントVPNリソースを削除する必要があります。これにより、リソースに対するアクセス許可を誤って削除することがなくなります。

IAM コンソール、、または IAM を使用してCLI、サービスにリンクされたロールIAMAPIを削除します。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

クライアントVPNサービスにリンクされたロールでサポートされているリージョン

クライアントは、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用VPNをサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。