AWS Client VPNエンドポイント - AWS Client VPN
クライアント VPN エンドポイントを作成するための要件IP アドレスのタイプエンドポイントの変更

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Client VPNエンドポイント

すべてのAWS Client VPNセッションで、クライアント VPN エンドポイントとの通信が確立されます。クライアント VPN エンドポイントを管理して、そのエンドポイントでクライアント VPN セッションを作成、変更、表示、削除できます。エンドポイントは、Amazon VPC コンソールまたはAWS CLI を使用して作成および変更できます。

クライアント VPN エンドポイントを作成するための要件

重要

クライアント VPN エンドポイントは、目的のターゲットネットワークがプロビジョニングされているのと同じAWSアカウントで作成する必要があります。また、サーバー証明書を生成し、必要に応じてクライアント証明書を生成する必要があります。詳細については、「でのクライアント認証AWS Client VPN」を参照してください。

作業を開始する前に、次のことを必ず実行してください。

IP アドレスのタイプ

AWS Client VPNはIPv4-only, IPv6-only、およびデュアルスタックの設定をサポートします。次のガイダンスは、クライアントデバイスの機能、ネットワークインフラストラクチャ、およびアプリケーション要件に基づいて、適切な IP アドレスタイプを選択するのに役立ちます。

エンドポイントアドレスタイプ

エンドポイントアドレスタイプは、クライアント VPN エンドポイントがクライアント接続でサポートする IP プロトコルを決定します。エンドポイントの作成後に設定を変更することはできません。

次の場合、IPv4 のみを選択します。

  • クライアントデバイスが IPv4 VPN 接続のみをサポートしている

  • セキュリティツールが IPv4 トラフィック検査に最適化されている

次の場合、IPv6 のみを選択します。

  • すべてのクライアントデバイスが IPv6 接続を完全にサポートしている

  • ネットワークで IPv4 アドレスが枯渇している

次の場合、デュアルスタックを選択します。

  • IP 機能が異なるクライアントデバイスが混在している

  • IPv4 から IPv6 に段階的に移行している

トラフィック IP アドレスタイプ

トラフィック IP アドレスタイプは、エンドポイントでサポートされているプロトコルに関係なく、クライアント VPN がクライアントと VPC リソースの間のトラフィックをルーティングする方法を制御します。

次の場合、トラフィックを IPv4 としてルーティングします。

  • VPC 内のターゲットアプリケーションが IPv4 のみをサポートしている

  • 複雑な IPv4 セキュリティグループやネットワーク ACL が存在する

  • レガシーシステムに接続している

次の場合、トラフィックを IPv6 としてルーティングします。

  • VPC インフラストラクチャが主に IPv6 である

  • ネットワークアーキテクチャを将来にわたって保護したい

  • IPv6 用に構築された最新のアプリケーションが存在する

エンドポイントの変更

注記

クイックスタートセットアップを使用して作成されたクライアント VPN エンドポイントは、標準セットアップで作成されたエンドポイントと同じ手順を使用して変更できます。作成時に使用されたセットアップ方法に関係なく、すべての設定オプションを使用できます。

クライアント VPN を作成した後、次の設定を変更できます。

  • 説明

  • サーバー証明書

  • クライアント接続ログオプション

  • クライアント接続ハンドラーのオプション

  • DNS サーバー

  • スプリットトンネルオプション

  • ルート (分割トンネルオプションを使用する場合)

  • 証明書失効リスト (CRL)

  • 承認ルール

  • VPC とセキュリティグループの関連付け

  • VPN ポート番号

  • セルフサービスポータルオプション

  • VPN セッションの最大継続時間

  • セッションタイムアウト時の自動再接続を有効または無効にする

  • クライアントログインバナーテキストを有効または無効にする

  • クライアントログインバナーテキスト

注記

Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。

クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。

クライアント VPN エンドポイントで次のいずれかのパラメータを変更すると、接続がリセットされます。

  • サーバー証明書

  • DNS サーバー

  • スプリットトンネルオプション (サポートをオンまたはオフ)

  • ルート (スプリットトンネルオプションを使用する場合)

  • 証明書失効リスト (CRL)

  • 承認ルール

  • VPN ポート番号

タスク