承認ルール - AWS クライアント VPN

承認ルール

承認ルールは、ネットワークへのアクセス許可を与えるファイアウォールルールとして機能します。承認ルールを追加することで、特定のクライアントに対し、特定のネットワークへのアクセス許可を与えます。アクセス許可の対象となるネットワークそれぞれに、承認ルールが必要となります。コンソールと AWS CLI を使用して、クライアント VPN エンドポイントに承認ルールを追加できます。

注記

クライアント VPN は、承認ルールを評価するときに、最長プレフィックスマッチングを使用します。詳細については、Amazon VPC ユーザーガイドの「トピックActive Directory グループの承認ルールが想定どおりに機能しない のトラブルシューティング」および「ルーティングの優先度」を参照してください。

クライアント VPN エンドポイントへの承認ルールの追加

AWS Management Console を使用して、クライアント VPN エンドポイントに承認ルールを追加するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 認可ルールを追加するクライアント VPN エンドポイントを選択し、[Authorization rules] (認可ルール) を選択し、[Add authorization rule] (認可ルールを追加する) を選択します。

  4. [Destination network to enable access] (アクセスを有効にする送信先ネットワーク) に、ユーザーがアクセスするネットワークの IP アドレスを CIDR 表記で入力します (VPC の CIDR ブロックなど)。

  5. 指定したネットワークにアクセスしてもよいクライアントを指定します。[For grant access to (アクセス権の付与対象)] で、以下のいずれかを行います。

    • すべてのクライアントにアクセス許可を与えるには、[Allow access to all users (すべてのユーザーにアクセスを許可する)] を選択します。

    • 特定のクライアントへのアクセスを制限するには、[特定のアクセスグループのユーザーへのアクセスを許可する] を選択し、[アクセスグループ ID] に、アクセス権限を付与するグループの ID を入力します。たとえば、Active Directory グループのセキュリティ識別子 (SID) か、SAML ベースの ID プロバイダー (IdP) で定義されたグループの ID/名前を指定します。

      • (Active Directory) SID を取得するには、たとえば次のように、Microsoft Powershell の Get-ADGroup コマンドレットを使用できます。

        Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

        または、[Active Directory Users and Computers (Active Directory ユーザーとコンピュータ)] ツールを開き、グループのプロパティを表示します。続いて、[Attribute Editor (属性エディタ)] タブに移動し、objectSID の値を取得します。必要に応じて、まず [View (表示)]、[Advanced Features (高度な機能)] の順に選択して、[Attribute Editor (属性エディタ)] タブを有効にします。

      • (SAML ベースのフェデレーション認証) グループの ID/名前は、SAML アサーションで返されるグループ属性情報と一致する必要があります。

  6. [説明] に承認ルールの簡単な説明を入力します。

  7. [Add authorization rule (承認ルールを追加する)] を選択します。

クライアント VPN エンドポイントに承認ルールを追加するには (AWS CLI)

authorize-client-vpn-ingress コマンドを使用します。

クライアント VPN エンドポイントから承認ルールを削除する

承認ルールを削除すると、指定のネットワークへのアクセス許可が削除されます。

クライアント VPN エンドポイントから承認ルールを削除するには、コンソールまたは AWS CLI を使用します。

クライアント VPN エンドポイントから承認ルールを削除するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 認可ルールが追加されているクライアント VPN エンドポイントを選択し、[Authorization rules] (認可ルール) を選択します。

  4. 削除する認可ルールを選択し、[Remove authorization rule] (認可ルールの削除) を選択し、[Remove authorization rule] (認可ルールを削除する) を選択します。

クライアント VPN エンドポイントから承認ルールを削除するには (AWS CLI)

revoke-client-vpn-ingress コマンドを使用します。

承認ルールの表示

特定のクライアント VPN エンドポイントの承認ルールを表示するには、コンソールまたは AWS CLI を使用します。

承認ルールを表示するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 認可ルールを表示するクライアント VPN エンドポイントを選択し、[Authorization rules] (認可ルール) を選択します。

承認ルールを表示するには (AWS CLI)

describe-client-vpn-authorization-rules コマンドを使用します。