承認ルールのシナリオ例 - AWS クライアント VPN

承認ルールのシナリオ例

このセクションでは、AWS Client VPN の承認ルールの仕組みについて説明します。承認ルールを理解するための重要なポイント、アーキテクチャの例、およびアーキテクチャの例に対応するシナリオ例の説明が含まれています。

承認ルールを理解するための重要なポイント

次のポイントは、承認ルールの動作の一部を説明しています。

  • 送信先ネットワークへのアクセスを許可するには、許可ルールを明示的に追加する必要があります。デフォルトの動作では、アクセスは拒否されます。

  • 送信先ネットワークへのアクセスを制限する承認ルールを追加することはできません。

  • 0.0.0.0/0 CIDR は特殊なケースとして扱われます。これは承認ルールの作成順序に関係なく、最後に扱われます。

  • 0.0.0.0/0 CIDR は「任意の送信先」または「他の承認ルールで定義されていない任意の送信先」と考えることができます。

  • 最も長いプレフィックス一致が、優先されるルールです。

承認ルールシナリオのアーキテクチャの例

次の図は、このセクションのシナリオ例に使用されているアーキテクチャの例を示しています。


					クライアント VPN アーキテクチャの例

シナリオ 1: 単一の送信先へのアクセス

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループにクライアント VPN VPC へのアクセスを提供する

s-xxxxx16

False

192.168.0.0/24

結果として生じる動作
  • エンジニアリンググループは 172.16.0.0/24 にのみアクセスできます。

  • 開発グループは 10.0.0.0/16 にのみアクセスできます。

  • マネージャーグループは 192.168.0.0/24 にのみアクセスできます。

  • 他のすべてのトラフィックは、クライアント VPN エンドポイントによって削除されます。

注記

このシナリオでは、どのユーザーグループもパブリックインターネットにアクセスできません。

シナリオ 2: 任意の送信先 (0.0.0.0/0) CIDR の使用

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループに任意の送信先へのアクセスを提供する

s-xxxxx16

False

0.0.0.0/0

結果として生じる動作
  • エンジニアリンググループは 172.16.0.0/24 にのみアクセスできます。

  • 開発グループは 10.0.0.0/16 にのみアクセスできます。

  • マネージャーグループはパブリックインターネットおよび 192.168.0.0/24 にアクセスできますが、172.16.0.0/24 または 10.0.0/16 にはアクセスできません。

注記

このシナリオでは、どのルールも 192.168.0.0/24 を参照していないため、そのネットワークへのアクセスも 0.0.0.0/0 ルールによって提供されます。

0.0.0.0/0 を含むルールは、ルールが作成された順序に関係なく、常に最後に評価されます。このため、0.0.0.0/0 以前に評価されたルールが、0.0.0.0/0 によってアクセス権が付与されるネットワークを決定するうえで役割を果たすことを覚えておいてください。

シナリオ 3: 長い IP プレフィックスの一致

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループに任意の送信先へのアクセスを提供する

s-xxxxx16

False

0.0.0.0/0

マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する

s-xxxxx16

False

10.0.2.119/32

結果として生じる動作
  • エンジニアリンググループは 172.16.0.0/24 にのみアクセスできます。

  • 開発グループは単一ホスト 10.0.2.119/32 の場合を除き10.0.0.0/16 にアクセスできます。

  • マネージャーグループはパブリックインターネット、192.168.0.0/24、および開発 VPC 内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24 または開発 VPC 内のその他のホストにはアクセスできません。

注記

ここでは、長い IP プレフィックスを持つルールが、短い IP プレフィックスを持つルールよりも優先されることがわかります。開発グループに 10.0.2.119/32 へのアクセスを許可する場合は、開発チームに 10.0.2.119/32 へのアクセスを許可するルールを追加する必要があります。

シナリオ 4: 重複する CIDR (同じグループ)

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループに任意の送信先へのアクセスを提供する

s-xxxxx16

False

0.0.0.0/0

マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する

s-xxxxx16

False

10.0.2.119/32

エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする

s-xxxxx14

False

172.16.0.128/25

結果として生じる動作
  • 開発グループは単一ホスト 10.0.2.119/32 の場合を除き10.0.0.0/16 にアクセスできます。

  • マネージャーグループはパブリックインターネット、192.168.0.0/24、および 10.0.0.0/16 ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24 または 10.0.0.0/16 ネットワーク内のその他のホストにはアクセスできません。

  • エンジニアリンググループは、より具体的なサブネット 172.16.0.128/25 を含めて、172.16.0.0/24 にアクセスできます。

シナリオ 5: 追加の 0.0.0.0/0 ルール

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループに任意の送信先へのアクセスを提供する

s-xxxxx16

False

0.0.0.0/0

マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する

s-xxxxx16

False

10.0.2.119/32

エンジニアリンググループがオンプレミスネットワーク内のより小さなサブネットにアクセスできるようにする

s-xxxxx14

False

172.16.0.128/25

エンジニアリンググループに任意の送信先へのアクセスを提供する

s-xxxxx14

False

0.0.0.0/0

結果として生じる動作
  • 開発グループは単一ホスト 10.0.2.119/32 の場合を除き10.0.0.0/16 にアクセスできます。

  • マネージャーグループはパブリックインターネット、192.168.0.0/24、および 10.0.0.0/16 ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24 または 10.0.0.0/16 ネットワーク内のその他のホストにはアクセスできません。

  • エンジニアリンググループは、より具体的なサブネット 172.16.0.128/25 を含めて、パブリックインターネット、192.168.0.0/24、および 172.16.0.0/24 にアクセスできます。

注記

エンジニアリンググループとマネージャーグループの両方が 192.168.0.0/24 にアクセスできるようになりました。これは、どちらのグループも 0.0.0.0/0 (任意の送信先) にアクセスでき、さらに他のどのルールも 192.168.0.0/24 を参照していないためです。

シナリオ 6: 192.168.0.0/24 のルールの追加

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループに任意の送信先へのアクセスを提供する

s-xxxxx16

False

0.0.0.0/0

マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する

s-xxxxx16

False

10.0.2.119/32

エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する

s-xxxxx14

False

172.16.0.128/25

エンジニアリンググループに任意の送信先へのアクセスを提供する

s-xxxxx14

False

0.0.0.0/0

マネージャーグループにクライアント VPN VPC へのアクセスを提供する

s-xxxxx16

False

192.168.0.0/24

結果として生じる動作
  • 開発グループは単一ホスト 10.0.2.119/32 の場合を除き10.0.0.0/16 にアクセスできます。

  • マネージャーグループはパブリックインターネット、192.168.0.0/24、および 10.0.0.0/16 ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24 または 10.0.0.0/16 ネットワーク内のその他のホストにはアクセスできません。

  • エンジニアリンググループは、パブリックインターネット、172.16.0.0/24、および 172.16.0.128/25 にアクセスできます。

注記

マネージャーグループが 192.168.0.0/24 にアクセスするルールを追加する方法によって、開発グループはその送信先ネットワークにアクセスできなくなることに注意してください。

シナリオ 7: すべてのユーザーグループのアクセス

ルールの説明 グループ ID すべてのユーザーにアクセスを許可する 送信先 CIDR

エンジニアリンググループにオンプレミスネットワークへのアクセスを提供する

s-xxxxx14

False

172.16.0.0/24

開発グループに開発 VPC へのアクセスを提供する

s-xxxxx15

False

10.0.0.0/16

マネージャーグループに任意の送信先へのアクセスを提供する

s-xxxxx16

False

0.0.0.0/0

マネージャーグループに開発 VPC 内の単一ホストへのアクセスを提供する

s-xxxxx16

False

10.0.2.119/32

エンジニアリンググループにオンプレミスネットワークのサブネットへのアクセスを提供する

s-xxxxx14

False

172.16.0.128/25

エンジニアリンググループにすべてのネットワークへのアクセスを提供する

s-xxxxx14

False

0.0.0.0/0

マネージャーグループにクライアント VPN VPC へのアクセスを提供する

s-xxxxx16

False

192.168.0.0/24

すべてのグループへのアクセスを提供する

該当なし

True

0.0.0.0/0

結果として生じる動作
  • 開発グループは単一ホスト 10.0.2.119/32 の場合を除き10.0.0.0/16 にアクセスできます。

  • マネージャーグループはパブリックインターネット、192.168.0.0/24、および 10.0.0.0/16 ネットワーク内の単一ホスト (10.0.2.119/32) にアクセスできますが、172.16.0.0/24 または 10.0.0.0/16 ネットワーク内のその他のホストにはアクセスできません。

  • エンジニアリンググループは、パブリックインターネット、172.16.0.0/24、および 172.16.0.128/25 にアクセスできます。

  • 他のユーザーグループ (「管理者グループ」など) は、パブリックインターネットにアクセスできますが、他のルールで定義された他の送信先ネットワークにはアクセスできません。