翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クライアント認可
クライアント VPN では 2 種類のクライアント認可がサポートされています。セキュリティグループとネットワークベースの承認 (承認ルールを使用) です。
セキュリティグループ
クライアント VPN エンドポイントを作成するときに、特定の VPC からセキュリティグループを指定して、クライアント VPN エンドポイントに適用できます。サブネットをクライアント VPN エンドポイントに関連付けると、VPC のデフォルトセキュリティグループが自動的に適用されます。クライアント VPN エンドポイントを作成した後で、セキュリティグループを変更できます。詳細については、「」を参照してくださいセキュリティグループをターゲットネットワークに適用する セキュリティグループはクライアント VPN ネットワークインターフェイスに関連付けられます。
アプリケーションのセキュリティグループにルールを追加して、関連付けに適用されたセキュリティグループからのトラフィックを許可することで、クライアント VPN ユーザーが VPC 内のアプリケーションにアクセスできるようにすることができます。
クライアント VPN エンドポイントセキュリティグループからのトラフィックを許可するルールを追加するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 ナビゲーションペインで、[Security Groups] を選択します。
-
リソースまたはアプリケーションに関連付けられているセキュリティグループを選択し、[アクション]、[インバウンドルールの編集] の順に選択します。
-
[Add rule] を選択します。
-
[Type] で、[All traffic] を選択します。または、特定のタイプのトラフィック (SSH など) へのアクセスを制限することもできます。
[Source (ソース)] に、クライアント VPN エンドポイントのターゲットネットワーク (サブネット) に関連付けられているセキュリティグループの ID を指定します。
-
[Save Rules (ルールの保存)] を選択します。
逆に、関連付けに適用されたセキュリティグループを指定しないか、クライアント VPN エンドポイントセキュリティグループを参照するルールを削除することで、クライアント VPN ユーザーのアクセスを制限できます。必要なセキュリティグループルールは、設定する VPN アクセスの種類によっても異なる場合があります。詳細については、「」を参照してくださいAWS クライアント VPN のシナリオと例
VPC セキュリティグループの詳細については、Amazon VPC ユーザーガイドの「VPC のセキュリティグループ」を参照してください。
ネットワークベースの承認
ネットワークベースの承認は承認ルールを使用して実装されます。アクセスを有効にするネットワークごとに、アクセス権を持つユーザーを制限する承認ルールを設定する必要があります。指定のネットワークに対して、アクセスを許可する Active Directory グループまたは SAML ベースの IdP グループを構成します。指定されたグループに属するユーザーのみが、指定されたネットワークにアクセスできます。Active Directory または SAML ベースのフェデレーション認証を使用していない場合、またはすべてのユーザーにアクセスを許可したい場合は、すべてのクライアントにアクセスを許可するルールを指定できます。詳細については、「承認ルール」を参照してください。