「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
承認ルール
承認ルールは、ネットワークへのアクセス許可を与えるファイアウォールルールとして機能します。アクセス許可の対象となるネットワークそれぞれに、承認ルールが必要となります。
クライアント VPN エンドポイントへの承認ルールの追加
承認ルールを追加することで、特定のクライアントに対し、特定のネットワークへのアクセス許可を与えます。
コンソールと AWS CLI を使用して、クライアント VPN エンドポイントに承認ルールを追加できます。
クライアント VPN エンドポイントに承認ルールを追加するには (コンソール)
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[Client VPN Endpoints (クライアント VPN エンドポイント)] を選択します。
-
承認ルールを追加するクライアント VPN エンドポイントを選択し、[Authorization (承認)]、続いて [Authorize ingress (受信を承認する)] を選択します。
-
[Destination network (送信先ネットワーク)] に、ユーザーがアクセスするネットワークの IP アドレス (VPC の CIDR ブロックなど) を CIDR 表記で入力します。
-
指定したネットワークにアクセスしてもよいクライアントを指定します。[For grant access to (アクセス権の付与対象)] で、以下のいずれかを行います。
-
すべてのクライアントにアクセス許可を与えるには、[Allow access to all users (すべてのユーザーにアクセスを許可する)] を選択します。
-
特定のクライアントへのアクセスを制限するには、[特定のアクセスグループのユーザーへのアクセスを許可する] を選択し、[アクセスグループ ID] に、アクセス権限を付与するグループの ID を入力します。たとえば、Active Directory グループのセキュリティ識別子 (SID) か、SAML ベースの ID プロバイダー (IdP) で定義されたグループの ID/名前を指定します。
注記 (Active Directory) SID を取得するには、たとえば以下のように、Microsoft Powershell の Get-ADGroup
コマンドレットを使用できます。 Get-ADGroup -Filter 'Name -eq "<
Name of the AD Group
>"'または、[Active Directory Users and Computers (Active Directory ユーザーとコンピュータ)] ツールを開き、グループのプロパティを表示します。続いて、[Attribute Editor (属性エディタ)] タブに移動し、
objectSID
の値を取得します。必要に応じて、まず [View (表示)]、[Advanced Features (高度な機能)] の順に選択して、[Attribute Editor (属性エディタ)] タブを有効にします。注記 (SAML ベースのフェデレーション認証) グループの ID/名前は、SAML アサーションで返されるグループ属性情報と一致する必要があります。
-
-
[説明] に承認ルールの簡単な説明を入力します。
-
[Add authorization rule (承認ルールを追加する)] を選択します。
クライアント VPN エンドポイントに承認ルールを追加するには (AWS CLI)
authorize-client-vpn-ingress コマンドを使用します。
クライアント VPN エンドポイントから承認ルールを削除する
承認ルールを削除すると、指定のネットワークへのアクセス許可が削除されます。
クライアント VPN エンドポイントから承認ルールを削除するには、コンソールまたは AWS CLI を使用します。
クライアント VPN エンドポイントから承認ルールを削除するには (コンソール)
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[Client VPN Endpoints (クライアント VPN エンドポイント)] を選択します。
-
承認ルールが追加されているクライアント VPN エンドポイントを選択し、[Authorization (承認)] を選択します。
-
削除する承認ルールを選択し、[Revoke ingress (受信の取り消し)]、続いて [Revoke ingress (受信を取り消す)] を選択します。
クライアント VPN エンドポイントから承認ルールを削除するには (AWS CLI)
revoke-client-vpn-ingress コマンドを使用します。
承認ルールの表示
特定のクライアント VPN エンドポイントの承認ルールを表示するには、コンソールまたは AWS CLI を使用します。
承認ルールを表示するには (コンソール)
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[Client VPN Endpoints (クライアント VPN エンドポイント)] を選択します。
-
承認ルールを表示するクライアント VPN エンドポイントを選択し、[Authorization (承認)] を選択します。
承認ルールを表示するには (AWS CLI)
describe-client-vpn-authorization-rules コマンドを使用します。