クライアント承認 - AWS クライアント VPN

クライアント承認

クライアント VPN では 2 種類のクライアント承認がサポートされています。セキュリティグループとネットワークベースの承認 (承認ルールを使用) です。

セキュリティグループ

クライアント VPN エンドポイントを作成するときに、特定の VPC からセキュリティグループを指定して、クライアント VPN エンドポイントに適用できます。サブネットをクライアント VPN エンドポイントに関連付けると、VPC のデフォルトセキュリティグループが自動的に適用されます。クライアント VPN エンドポイントを作成した後で、セキュリティグループを変更できます。詳細については、「」を参照してくださいセキュリティグループをターゲットネットワークに適用する セキュリティグループはクライアント VPN ネットワークインターフェイスに関連付けられます。

アプリケーションのセキュリティグループにルールを追加して、関連付けに適用されたセキュリティグループからのトラフィックを許可することで、クライアント VPN ユーザーが VPC 内のアプリケーションにアクセスできるようにすることができます。

クライアント VPN エンドポイントセキュリティグループからのトラフィックを許可するルールを追加するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. リソースまたはアプリケーションに関連付けられているセキュリティグループを選択し、[アクション]、[インバウンドルールの編集] の順に選択します。

  4. [Add rule] を選択します。

  5. [Type] で、[All traffic] を選択します。または、特定のタイプのトラフィック (SSH など) へのアクセスを制限することもできます。

    [Source (ソース)] に、クライアント VPN エンドポイントのターゲットネットワーク (サブネット) に関連付けられているセキュリティグループの ID を指定します。

  6. [Save Rules (ルールの保存)] を選択します。

逆に、関連付けに適用されたセキュリティグループを指定しないか、クライアント VPN エンドポイントセキュリティグループを参照するルールを削除することで、クライアント VPN ユーザーのアクセスを制限できます。必要なセキュリティグループルールは、設定する VPN アクセスの種類によっても異なる場合があります。詳細については、「」を参照してくださいシナリオと例

VPC セキュリティグループの詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。

ネットワークベースの承認

ネットワークベースの承認は承認ルールを使用して実装されます。アクセスを有効にするネットワークごとに、アクセス権を持つユーザーを制限する承認ルールを設定する必要があります。指定のネットワークに対して、アクセスを許可する Active Directory グループまたは SAML ベースの IdP グループを構成します。指定されたグループに属するユーザーのみが、指定されたネットワークにアクセスできます。Active Directory または SAML ベースのフェデレーション認証を使用していない場合、またはすべてのユーザーにアクセスを許可したい場合は、すべてのクライアントにアクセスを許可するルールを指定できます。詳細については、「承認ルール」を参照してください。