クライアント VPN のロールの使用 - AWS クライアント VPN
クライアント VPN のサービスにリンクされたロールのアクセス許可クライアント VPN のサービスにリンクされたロールの作成クライアント VPN のサービスにリンクされたロールの編集クライアント VPN のサービスにリンクされたロールの削除クライアント VPN のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クライアント VPN のロールの使用

AWS クライアント VPN は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスにリンクされたロールは、クライアント VPN に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールはクライアント VPN によって事前に定義されており、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、クライアント VPN の設定が簡単になります。クライアント VPN は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、クライアント VPN のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、クライアント VPN リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS のサービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) の列内で [Yes] (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

クライアント VPN のサービスにリンクされたロールのアクセス許可

クライアント VPN は、AWSServiceRoleForClientVPN という名前のサービスにリンクされたロールを使用します。これにより、クライアント VPN は、ユーザーの VPN 接続に関連するリソースを作成および管理できます。

AWSServiceRoleForClientVPN のサービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • clientvpn.amazonaws.com

ClientVPNServiceRolePolicy という名前のロール許可ポリシーは、クライアント VPN が次のアクションを指定されたリソースで完了することを許可します。

  • アクション: Resource: "*" 上で ec2:CreateNetworkInterface

  • アクション: Resource: "*" 上で ec2:CreateNetworkInterfacePermission

  • アクション: Resource: "*" 上で ec2:DescribeSecurityGroups

  • アクション: Resource: "*" 上で ec2:DescribeVpcs

  • アクション: Resource: "*" 上で ec2:DescribeSubnets

  • アクション: Resource: "*" 上で ec2:DescribeInternetGateways

  • アクション: Resource: "*" 上で ec2:ModifyNetworkInterfaceAttribute

  • アクション: Resource: "*" 上で ec2:DeleteNetworkInterface

  • アクション: Resource: "*" 上で ec2:DescribeAccountAttributes

  • アクション: Resource: "*" 上で ds:AuthorizeApplication

  • アクション: Resource: "*" 上で ds:DescribeDirectories

  • アクション: Resource: "*" 上で ds:GetDirectoryLimits

  • アクション: Resource: "*" 上で ds:UnauthorizeApplication

  • アクション: Resource: "*" 上で logs:DescribeLogStreams

  • アクション: Resource: "*" 上で logs:CreateLogStream

  • アクション: Resource: "*" 上で logs:PutLogEvents

  • アクション: Resource: "*" 上で logs:DescribeLogGroups

  • アクション: Resource: "*" 上で acm:GetCertificate

  • アクション: Resource: "*" 上で acm:DescribeCertificate

  • アクション: Resource: "*" 上で iam:GetSAMLProvider

  • アクション: lambda:GetFunctionConfiguration 上で Resource: "*"

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

クライアント VPN のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API を使用してアカウントで最初のクライアント VPN を作成にリンクされたロールを作成すると、クライアント VPN によってサービスにリンクされたロールが作成されます。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。アカウントに最初のクライアント VPN エンドポイントを作成すると、クライアント VPN によってサービスにリンクされたロールが再度作成されます。

クライアント VPN のサービスにリンクされたロールの編集

クライアント VPN では、AWSServiceRoleForClientVPN のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

クライアント VPN のサービスにリンクされたロールの削除

クライアント VPN を使用する必要がなくなった場合は、AWSServiceRoleForClientVPN のサービスにリンクされたリンクロールを削除することをお勧めします。

まず、関連するクライアント VPN リソースを削除する必要があります。これにより、リソースに対するアクセス許可を誤って削除することがなくなります。

サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

クライアント VPN のサービスにリンクされたロールをサポートするリージョン

クライアント VPN では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。