AWS Client VPN の仕組み

では AWS Client VPN、クライアントVPNエンドポイントとやり取りするユーザーペルソナには、管理者とクライアントの 2 種類があります。

管理者は、サービスの設定と設定を担当します。これには、クライアントVPNエンドポイントの作成、ターゲットネットワークの関連付け、承認ルールの設定、および追加のルートの設定 (必要な場合) が含まれます。クライアントVPNエンドポイントがセットアップおよび設定されると、管理者はクライアントVPNエンドポイント設定ファイルをダウンロードし、アクセスが必要なクライアントに配布します。クライアントVPNエンドポイント設定ファイルには、クライアントVPNエンドポイントDNSの名前と、VPNセッションを確立するために必要な認証情報が含まれます。サービス設定の詳細については、「の使用を開始する AWS Client VPN」を参照してください。

クライアントはエンドユーザーです。これは、クライアントVPNエンドポイントに接続してVPNセッションを確立するユーザーです。クライアントは、Open VPNベースのVPNクライアントアプリケーションを使用して、ローカルコンピュータまたはモバイルデバイスからVPNセッションを確立します。VPN セッションを確立したら、関連付けられたサブネットがある VPC のリソースに安全にアクセスできます。また、必要なルートと承認ルールが設定されている場合は AWS、 の他のリソース、オンプレミスネットワーク、またはその他のクライアントにアクセスすることもできます。クライアントVPNエンドポイントに接続してVPNセッションを確立する方法の詳細については、「 ユーザーガイド」の「開始方法」を参照してください。 AWS Client VPN

次の図は、基本的なクライアントVPNアーキテクチャを示しています。

クライアントのシナリオと例 VPN

AWS Client VPN は、クライアントが AWS とオンプレミスネットワークの両方内のリソースに安全にアクセスできるようにするフルマネージド型のリモートアクセスVPNソリューションです。アクセスの設定方法には複数のオプションがあります。このセクションでは、クライアントのクライアントVPNアクセスを作成および設定する例を示します。

シナリオ

• クライアントVPCを使用して にアクセスする VPN

• クライアントVPCを使用してピアリング接続された にアクセスする VPN

• クライアントを使用してオンプレミスネットワークにアクセスする VPN

• クライアントを使用してインターネットにアクセスする VPN

• クライアントを使用した C lient-to-client アクセス VPN

• クライアントを使用してネットワークへのアクセスを制限する VPN

クライアントVPCを使用して にアクセスする VPN

このシナリオ AWS Client VPN の設定には、単一のターゲット が含まれますVPC。クライアントに 1 つの 内のリソースVPCのみへのアクセスを許可する必要がある場合は、この設定をお勧めします。

開始する前に、以下を実行します。

• 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

• と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

• のクライアントVPNエンドポイントのルールと制限を確認しますを使用するためのルールとベストプラクティス AWS Client VPN。

この設定を実装するには

1. と同じ リージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

2. サブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行し、先ほど特定VPCしたサブネットと ターゲットネットワークを AWS Client VPN エンドポイントに関連付けるを選択します。

3. クライアントに へのアクセスを許可する承認ルールを追加しますVPC。これを行うには、「」で説明されているステップを実行し承認ルールを追加する、送信先ネットワーク に IPv4CIDRの範囲を入力しますVPC。

4. リソースのセキュリティグループにルールを追加して、ステップ 2 でサブネットの関連付けに適用されたセキュリティグループからのトラフィックを許可します。詳細については、「セキュリティグループ」を参照してください。

クライアントVPCを使用してピアリング接続された にアクセスする VPN

このシナリオ AWS Client VPN の設定には、追加の VPC (VPC B) とピアリング接続されたターゲット VPC (VPC A) が含まれます。ターゲット内のリソースVPCと、ターゲットとピアリング接続VPCsされている他のリソース (VPCB など) へのアクセス権をクライアントに付与する必要がある場合は、この設定をお勧めします。

注記

クライアントVPNエンドポイントが分割トンネルモードに設定されている場合にのみ、ピアリングされた VPC (ネットワーク図に従って概説された) へのアクセスを許可する手順が必要です。フルトンネルモードでは、ピアリングされた へのアクセスVPCがデフォルトで許可されます。

開始する前に、以下を実行します。

• 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

• と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

• のクライアントVPNエンドポイントのルールと制限を確認しますを使用するためのルールとベストプラクティス AWS Client VPN。

この設定を実装するには

1. 間のVPCピアリング接続を確立しますVPCs。「Amazon VPCピアリングガイド」の「ピアリング接続の作成と承認」のステップに従います。 VPC VPC A のインスタンスがピアリング接続を使用して VPC B のインスタンスと通信できることを確認します。

2. ターゲット と同じリージョンにクライアントVPNエンドポイントを作成しますVPC。この図では、これは VPC A です。「」で説明されているステップを実行しますAWS Client VPN エンドポイントを作成する。

3. 特定したサブネットを、作成したクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPCとサブネットを選択します。デフォルトでは、 のデフォルトのセキュリティグループをクライアントVPNエンドポイントVPCに関連付けます。「でターゲットネットワークにセキュリティグループを適用する AWS Client VPN」で説明している手順を使用して、別のセキュリティグループを関連付けることができます。

4. クライアントにターゲット へのアクセスを許可する承認ルールを追加しますVPC。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワークで を有効にするには、 IPv4CIDRの範囲を入力しますVPC。

5. ピアリングされた にトラフィックを誘導するルートを追加しますVPC。この図では、これは VPC B です。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントルートを作成する。ルート送信先 には、ピアリングされた IPv4CIDRの範囲を入力しますVPC。ターゲットVPCサブネット ID で、クライアントVPNエンドポイントに関連付けたサブネットを選択します。

6. 認可ルールを追加して、クライアントにピアリングされた へのアクセスを許可しますVPC。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワーク には、ピアリングされた IPv4CIDRの範囲を入力しますVPC。

7. A と VPC B のインスタンスのセキュリティグループにルールを追加して、ステップ VPC 3 でクライアントVPNエンドポイントに適用されたセキュリティグループからのトラフィックを許可します。詳細については、「セキュリティグループ」を参照してください。

クライアントを使用してオンプレミスネットワークにアクセスする VPN

このシナリオ AWS Client VPN の設定には、オンプレミスネットワークへのアクセスのみが含まれます。クライアントにオンプレミスネットワーク内のリソースへのアクセスのみを許可する必要がある場合は、この設定をお勧めします。

開始する前に、以下を実行します。

• 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

• と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

• のクライアントVPNエンドポイントのルールと制限を確認しますを使用するためのルールとベストプラクティス AWS Client VPN。

この設定を実装するには

1. AWS Site-to-Site VPN接続を介して、 VPCと独自のオンプレミスネットワーク間の通信を有効にします。これを行うには、AWS Site-to-Site VPN ユーザーガイドの「開始方法」で説明されているステップを実行します。

   注記

   または、 VPCとオンプレミスネットワーク間の AWS Direct Connect 接続を使用して、このシナリオを実装することもできます。詳細については、AWS Direct Connect ユーザーガイドをご参照ください。

2. 前のステップで作成した AWS Site-to-Site VPN接続をテストします。これを行うには、「 AWS Site-to-Site VPN ユーザーガイド」の「Site-to-Site VPN接続のテスト」で説明されているステップを実行します。VPN 接続が期待どおりに機能している場合は、次のステップに進みます。

3. と同じ リージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

4. 前に特定したサブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPC とサブネットを選択します。

5. AWS Site-to-Site VPN接続へのアクセスを許可するルートを追加します。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントルートを作成する。ルート送信先 には Site AWS -to-Site VPN接続IPv4CIDRの範囲を入力し、ターゲットVPCサブネット ID にはクライアントVPNエンドポイントに関連付けたサブネットを選択します。

6. Site-to-Site AWS VPN接続へのアクセス権をクライアントに付与する承認ルールを追加します。これを行うには、「」で説明されているステップを実行します認証ルールを に追加する AWS Client VPN エンドポイント。宛先ネットワーク には、 AWS Site-to-Site VPN接続IPv4CIDR範囲を入力します。

クライアントを使用してインターネットにアクセスする VPN

このシナリオ AWS Client VPN の設定には、単一のターゲットVPCとインターネットへのアクセスが含まれます。クライアントに単一のターゲット内のリソースへのアクセスを許可VPCし、インターネットへのアクセスを許可する必要がある場合は、この設定をお勧めします。

の使用を開始する AWS Client VPN チュートリアルが完了している場合、このシナリオはすでに実装されていることになります。

開始する前に、以下を実行します。

• 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

• と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

• のクライアントVPNエンドポイントのルールと制限を確認しますを使用するためのルールとベストプラクティス AWS Client VPN。

この設定を実装するには

1. クライアントVPNエンドポイントに使用するセキュリティグループで、インターネットへのアウトバウンドトラフィックが許可されていることを確認します。これを行うには、 HTTPおよび トラフィックの 0.0.0.0/0 へのHTTPSトラフィックを許可するアウトバウンドルールを追加します。

2. インターネットゲートウェイを作成し、 にアタッチしますVPC。詳細については、「Amazon VPCユーザーガイド」の「インターネットゲートウェイの作成とアタッチ」を参照してください。

3. インターネットゲートウェイへのルートをそのルートテーブルに追加して、サブネットを公開します。VPC コンソールで、サブネット を選択し、クライアントVPNエンドポイントに関連付けるサブネットを選択し、ルートテーブル を選択し、ルートテーブル ID を選択します。[アクション] を選択し、[Edit routes (ルートの編集)] を選択して、[Add route (ルートの追加)] を選択します。[送信先] に、0.0.0.0/0 を入力し、[ターゲット] で、前のステップからインターネットゲートウェイを選択します。

4. と同じ リージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

5. 前に特定したサブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPC とサブネットを選択します。

6. クライアントに へのアクセスを許可する承認ルールを追加しますVPC。これを行うには、承認ルールを追加する「」で説明されているステップを実行し、送信先ネットワークで を有効にするには、 IPv4CIDRの範囲を入力しますVPC。

7. インターネットへのトラフィックを可能にするルートを追加します。これを行うには、「」で説明されているステップを実行しますAWS Client VPN エンドポイントルートを作成する。ルート送信先 には「」と入力し0.0.0.0/0、ターゲットVPCサブネット ID にはクライアントVPNエンドポイントに関連付けられたサブネットを選択します。

8. 承認ルールを追加して、クライアントにインターネットへのアクセスを許可します。これを行うには、「承認ルールを追加する」で説明されているステップを実行し、送信先ネットワークとして「0.0.0.0/0」と入力します。

9. 内のリソースのセキュリティグループに、クライアントVPNエンドポイントに関連付けられたセキュリティグループからのアクセスを許可するルールVPCがあることを確認します。これにより、クライアントは のリソースにアクセスできますVPC。

クライアントを使用した C lient-to-client アクセス VPN

このシナリオ AWS Client VPN の設定により、クライアントは単一の にアクセスできVPC、クライアントはトラフィックを相互にルーティングできます。同じクライアントVPNエンドポイントに接続するクライアントも相互に通信する必要がある場合は、この設定をお勧めします。クライアントは、クライアントVPNエンドポイントに接続するときに、クライアントCIDR範囲から割り当てられた一意の IP アドレスを使用して相互に通信できます。

開始する前に、以下を実行します。

• 少なくとも 1 つのサブネットVPCを持つ を作成または識別します。クライアントVPNエンドポイントVPCに関連付ける のサブネットを特定し、そのIPv4CIDR範囲を書き留めます。

• と重複しないクライアント IP アドレスに適したCIDR範囲を特定しますVPCCIDR。

• のクライアントVPNエンドポイントのルールと制限を確認しますを使用するためのルールとベストプラクティス AWS Client VPN。

注記

Active Directory グループまたは ベースの IdP グループを使用するネットワークSAMLベースの承認ルールは、このシナリオではサポートされていません。

この設定を実装するには

1. と同じ リージョンにクライアントVPNエンドポイントを作成しますVPC。これを行うには、「AWS Client VPN エンドポイントを作成する」で説明されているステップを実行します。

2. 前に特定したサブネットをクライアントVPNエンドポイントに関連付けます。これを行うには、「」で説明されているステップを実行しターゲットネットワークを AWS Client VPN エンドポイントに関連付ける、 VPC とサブネットを選択します。

3. ルートテーブルのローカルネットワークにルートを追加します。これを行うには、「AWS Client VPN エンドポイントルートを作成する」で説明されているステップを実行します。ルート送信先 にクライアントCIDR範囲を入力し、ターゲットVPCサブネット ID に を指定しますlocal。

4. クライアントに へのアクセスを許可する承認ルールを追加しますVPC。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワークで を有効にするには、 IPv4CIDRの範囲を入力しますVPC。

5. クライアントにクライアントCIDR範囲へのアクセスを許可する承認ルールを追加します。これを行うには、「承認ルールを追加する」で説明されているステップを実行します。送信先ネットワークで を有効にするには、クライアントCIDR範囲を入力します。

クライアントを使用してネットワークへのアクセスを制限する VPN

AWS Client VPN エンドポイントを設定して、 内の特定のリソースへのアクセスを制限できますVPC。ユーザーベースの認証では、クライアントVPNエンドポイントにアクセスするユーザーグループに基づいて、ネットワークの一部へのアクセスを制限することもできます。

セキュリティグループを使用してアクセスを制限する

ターゲットネットワークの関連付けに適用されたセキュリティグループ (クライアントセキュリティグループ) を参照するセキュリティグループルールを追加または削除VPCすることで、 内の特定のリソースへのアクセスを許可または拒否できますVPN。この設定は「クライアントVPCを使用して にアクセスする VPN」で説明されているシナリオに拡張します。この設定は、そのシナリオで設定された認証ルールに加えて適用されます。

特定のリソースへのアクセスを許可するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを特定します。次に、クライアントVPNセキュリティグループからのトラフィックを許可するルールを作成します。

次の図では、セキュリティグループ A はクライアントVPNセキュリティグループ、セキュリティグループ B はEC2インスタンス、セキュリティグループ C はEC2インスタンスに関連付けられています。セキュリティグループ A からのアクセスを許可するルールをセキュリティグループ B に追加すると、クライアントはセキュリティグループ B に関連付けられているインスタンスにアクセスできます。セキュリティグループ C に、セキュリティグループ A からのアクセスを許可するルールがない場合、クライアントはセキュリティグループ C に関連付けられたインスタンスにアクセスできません。

開始する前に、クライアントVPNセキュリティグループが 内の他のリソースに関連付けられているかどうかを確認しますVPC。クライアントVPNセキュリティグループを参照するルールを追加または削除する場合、他の関連リソースへのアクセスを許可または削除することもできます。これを防ぐには、クライアントVPNエンドポイントで使用するように特別に作成されたセキュリティグループを使用します。

セキュリティグループルールを作成するには

1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. リソースが実行されているインスタンスに関連付けられているセキュリティグループを選択します。

4. [アクション]、[Edit inbound rules (インバウンドルールの編集)] の順に選択します。

5. [ルールの追加] を選択し、次の操作を行います。

   • [タイプ] で、[すべてのトラフィック]、または許可する特定のタイプのトラフィックを選択します。

   • ソース で、カスタム を選択し、クライアントVPNセキュリティグループの ID を入力または選択します。

6. [Save Rules (ルールの保存)] を選択します。

特定のリソースへのアクセスを削除するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを確認します。クライアントVPNセキュリティグループからのトラフィックを許可するルールがある場合は、それを削除します。

セキュリティグループルールを確認するには

1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/。

2. ナビゲーションペインで、[Security Groups] を選択します。

3. [Inbound Rules (インバウンドルール)] を選択します。

4. ルールのリストを確認します。Source がクライアントVPNセキュリティグループであるルールがある場合は、ルールの編集 を選択し、ルールの削除 (x アイコン) を選択します。[Save Rules] (ルールの保存) を選択します。

ユーザーグループに基づいてアクセスを制限する

クライアントVPNエンドポイントがユーザーベースの認証用に設定されている場合、特定のユーザーグループにネットワークの特定の部分へのアクセスを許可できます。そのためには、以下のステップを完了します。

1. AWS Directory Service または IdP でユーザーとグループを設定します。詳細については、次のトピックを参照してください。

   • クライアントでの Active Directory 認証 VPN

   • SAMLベースのフェデレーション認証の要件と考慮事項

2. ネットワークの全部または一部への指定されたグループアクセスを許可するクライアントVPNエンドポイントの認証ルールを作成します。詳細については、「AWS Client VPN 承認ルール」を参照してください。

クライアントVPNエンドポイントが相互認証用に設定されている場合、ユーザーグループを設定することはできません。承認ルールを作成するときは、すべてのユーザーにアクセスを許可する必要があります。特定のユーザーグループがネットワークの特定の部分にアクセスできるようにするには、複数のクライアントVPNエンドポイントを作成できます。たとえば、ネットワークにアクセスするユーザーグループごとに、次の操作を実行します。

1. そのユーザーグループに対して、サーバー証明書、クライアント証明書、およびキーのセットを作成します。詳細については、「での相互認証 AWS Client VPN」を参照してください。

2. クライアントVPNエンドポイントを作成します。詳細については、「AWS Client VPN エンドポイントを作成する」を参照してください。

3. ネットワークのすべてまたは一部へのアクセスを許可する承認ルールを作成します。例えば、管理者が使用するクライアントVPNエンドポイントの場合、ネットワーク全体へのアクセスを許可する承認ルールを作成できます。詳細については、「承認ルールを追加する」を参照してください。