ネットワークへのアクセスを制限する - AWS クライアント VPN

ネットワークへのアクセスを制限する

クライアント VPN エンドポイントを設定して、VPC 内の特定のリソースへのアクセスを制限することができます。ユーザーベースの認証の場合、クライアント VPN エンドポイントにアクセスするユーザーグループに基づいて、ネットワークの一部へのアクセスを制限することもできます。

セキュリティグループを使用してアクセスを制限する

ターゲットネットワーク関連付けに適用されたセキュリティグループ (クライアント VPN セキュリティグループ) を参照するセキュリティ グループルールを追加または削除することで、VPC 内の特定のリソースへのアクセスを許可または拒否することができます。この設定は「VPC へのアクセス」で説明されているシナリオに拡張します。この設定は、そのシナリオで設定された認証ルールに加えて適用されます。

特定のリソースへのアクセスを許可するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを特定します。次に、クライアント VPN セキュリティグループからのトラフィックを許可するルールを作成します。

次の例では、sg-xyz はクライアント VPN セキュリティグループです。セキュリティグループ sg-aaa はインスタンス A に関連付けられ、セキュリティグループ sg-bbb はインスタンス B に関連付けられています。sg-aaa からのアクセスを許可するルールを sg-xyz に追加すると、クライアントはインスタンス A のリソースにアクセスできます。セキュリティグループ sg-bbb には、sg-xyz またはクライアント VPN ネットワークインターフェイスからのアクセスを許可するルールがありません。クライアントはインスタンス B のリソースにアクセスできません。


		            VPC 内のリソースへのアクセスを制限する

開始する前に、クライアント VPN セキュリティグループが VPC 内の他のリソースに関連付けられているかどうかを確認します。クライアント VPN セキュリティグループを参照するルールを追加または削除すると、他の関連するリソースへのアクセスを許可または拒否することができます。これを防ぐには、クライアント VPN エンドポイント専用として使用するために作成されたセキュリティグループを使用します。

セキュリティグループルールを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. リソースが実行されているインスタンスに関連付けられているセキュリティグループを選択します。

  4. [アクション]、[Edit inbound rules (インバウンドルールの編集)] の順に選択します。

  5. [ルールの追加] を選択し、次の操作を行います。

    • [タイプ] で、[すべてのトラフィック]、または許可する特定のタイプのトラフィックを選択します。

    • [ソース] で [カスタム] を選択し、クライアント VPN セキュリティグループの ID を入力または選択します。

  6. [Save Rules (ルールの保存)] を選択します。

特定のリソースへのアクセスを削除するには、リソースが実行されているインスタンスに関連付けられているセキュリティグループを確認します。クライアント VPN セキュリティグループからのトラフィックを許可するルールがある場合は、それを削除します。

セキュリティグループルールを確認するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. [Inbound Rules (インバウンドルール)] を選択します。

  4. ルールのリストを確認します。[ソース] がクライアント VPN セキュリティグループであるルールがある場合は、[Edit Rules (ルールの編集)] を選択し、そのルールの [削除] (x アイコン) を選択します。[Save rules] (ルール保存) を選択します。

ユーザーグループに基づいてアクセスを制限する

クライアント VPN エンドポイントがユーザーベースの認証用に設定されている場合は、特定のユーザーグループにネットワークの特定の部分へのアクセスを許可できます。そのためには、以下のステップを完了します。

  1. AWS Directory Service または IdP でユーザーとグループを設定します。詳細については、次のトピックを参照してください。

  2. クライアント VPN エンドポイントの許可ルールを作成して、指定したグループがネットワークの全部または一部に アクセスできるようにします。詳細については、「承認ルール」を参照してください。

クライアント VPN エンドポイントが相互認証用に設定されている場合は、ユーザーグループを設定できません。承認ルールを作成するときは、すべてのユーザーにアクセスを許可する必要があります。特定のユーザーグループがネットワークの特定の部分にアクセスできるようにするには、複数の クライアント VPN エンドポイントを作成します。たとえば、ネットワークにアクセスするユーザーグループごとに、次の操作を実行します。

  1. そのユーザーグループに対して、サーバー証明書、クライアント証明書、およびキーのセットを作成します。詳細については、「相互認証」を参照してください。

  2. クライアント VPN エンドポイントを作成します。詳細については、「クライアント VPN エンドポイントを作成する」を参照してください。

  3. ネットワークのすべてまたは一部へのアクセスを許可する承認ルールを作成します。たとえば、管理者が使用するクライアント VPN エンドポイントの場合、ネットワーク全体へのアクセスを許可する許可ルールを作成できます。詳細については、「クライアント VPN エンドポイントへの承認ルールの追加」を参照してください。