とは AWS Client VPN

AWS Client VPN は、オンプレミスネットワーク内の AWS リソースとリソースに安全にアクセスできるマネージドクライアントベースのVPNサービスです。クライアント ではVPN、Open VPNベースのVPNクライアントを使用して、任意の場所からリソースにアクセスできます。

トピック

• クライアントの機能 VPN
• クライアントのコンポーネント VPN
• クライアントの使用 VPN
• クライアントの料金 VPN
• ルールとベストプラクティス

クライアントの機能 VPN

クライアントVPNには、次の機能があります。

• 安全な接続 — OpenVPN クライアントを使用して、任意の場所から安全なTLS接続を提供します。

• マネージドサービス — AWS マネージドサービスであるため、サードパーティーのリモートアクセスVPNソリューションをデプロイして管理する運用上の負担が軽減されます。

• 高可用性と伸縮性 — リソースとオンプレミス AWS リソースに接続するユーザーの数に自動的にスケールされます。

• 認証 — Active Directory を使用したクライアント認証、フェデレーション認証、および証明書ベースの認証がサポートされます。

• きめ細かい制御 — ネットワークベースのアクセスルールを定義することで、カスタムセキュリティ管理を実装できます。これらのルールは、Active Directory グループの詳細度で設定できます。セキュリティグループを使用してアクセス制御を実装することもできます。

• 使いやすさ — 単一のVPNトンネルを使用して AWS リソースとオンプレミスリソースにアクセスできます。

• 管理性 — クライアントの接続試行に関する詳細を提供する接続ログを表示できます。アクティブなクライアント接続を終了する機能で、アクティブなクライアント接続を管理することもできます。

• ディープインテグレーション — AWS Directory Service や Amazon などの既存の AWS サービスと統合されますVPC。

クライアントのコンポーネント VPN

クライアント の主な概念は次のとおりですVPN。

クライアントVPNエンドポイント

クライアントVPNエンドポイントは、クライアントVPNセッションを有効化および管理するために作成および設定するリソースです。これは、すべてのクライアントVPNセッションの終了ポイントです。

ターゲットネットワーク

ターゲットネットワークは、クライアントVPNエンドポイントに関連付けるネットワークです。からのサブネットVPCはターゲットネットワークです。サブネットをクライアントVPNエンドポイントに関連付けると、VPNセッションを確立できます。高可用性を実現するために、複数のサブネットをクライアントVPNエンドポイントに関連付けることができます。すべてのサブネットは、同じ のものである必要がありますVPC。各サブネットは異なるアベイラビリティーゾーンに属している必要があります。

ルート

各クライアントVPNエンドポイントには、使用可能な送信先ネットワークルートを記述するルートテーブルがあります。ルートテーブル内の各ルートは、特定のリソースまたはネットワークへのトラフィックのパスを指定します。

承認ルール

承認ルールは、ネットワークにアクセスできるユーザーを制限します。指定のネットワークに対して、アクセスを許可する Active Directory または ID プロバイダー (IdP) グループを構成します。このグループに属するユーザーだけが、指定のネットワークにアクセスできます。デフォルトでは承認ルールはありません。ユーザーがリソースやネットワークにアクセスできるように承認ルールを設定する必要があります。

クライアント

VPN セッションを確立するためにクライアントVPNエンドポイントに接続するエンドユーザー。エンドユーザーは Open VPNクライアントをダウンロードし、作成したクライアントVPN設定ファイルを使用してVPNセッションを確立する必要があります。

クライアントCIDR範囲

クライアント IP アドレスの割り当て元となる IP アドレスの範囲。クライアントVPNエンドポイントへの各接続には、クライアントCIDR範囲から一意の IP アドレスが割り当てられます。クライアントCIDR範囲、例えば を選択します10.2.0.0/16。

クライアントVPNポート

AWS Client VPN は、 と の両方でポート 443 TCPと 1194 をサポートしますUDP。デフォルトはポート 443 です。

クライアントVPNネットワークインターフェイス

サブネットをクライアントVPNエンドポイントに関連付けると、そのサブネットにクライアントVPNネットワークインターフェイスが作成されます。クライアントVPNエンドポイントVPCから に送信されるトラフィックは、クライアントVPNネットワークインターフェイスを介して送信されます。その後、ソースネットワークアドレス変換 (SNAT) が適用され、クライアントCIDR範囲からのソース IP アドレスがクライアントVPNネットワークインターフェイス IP アドレスに変換されます。

接続ログ

クライアントVPNエンドポイントの接続ログを有効にして、接続イベントをログに記録できます。この情報を使用して、フォレンジックの実行、クライアントVPNエンドポイントの使用方法の分析、接続の問題のデバッグを行うことができます。

セルフサービスポータル

クライアントVPNは、エンドユーザーがAWSVPNデスクトップクライアントの最新バージョンとクライアントVPNエンドポイント設定ファイルをダウンロードするためのウェブページとしてセルフサービスポータルを提供します。これには、エンドポイントへの接続に必要な設定が含まれています。クライアントVPNエンドポイント管理者は、クライアントVPNエンドポイントのセルフサービスポータルを有効または無効にできます。セルフサービスポータルは、米国東部 (バージニア北部）、アジアパシフィック (東京）、欧州 (アイルランド）、 AWS GovCloud （米国西部) の各リージョンのサービススタックに支えられたグローバルサービスです。

クライアントの使用 VPN

クライアントは、次のいずれかのVPN方法で操作できます。

AWS Management Console

コンソールには、クライアント 用のウェブベースのユーザーインターフェイスが用意されていますVPN。にサインアップしている場合は AWS アカウント、Amazon VPC コンソールにサインインし、ナビゲーションペインVPNでクライアントを選択します。

AWS Command Line Interface (AWS CLI)

AWS CLI は、クライアントVPNパブリック への直接アクセスを提供しますAPIs。Windows、macOS、Linux でサポートされています。の使用開始の詳細については AWS CLI、「 AWS Command Line Interface ユーザーガイド」を参照してください。クライアント のコマンドの詳細についてはVPN、AWS CLI 「 コマンドリファレンス」を参照してください。

AWS Tools for Windows PowerShell

AWS は、 PowerShell 環境でスクリプトを作成するユーザー向けに、幅広い AWS 製品セットのコマンドを提供します。 AWS Tools for Windows PowerShellの使用開始に関する詳細については、「AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。クライアント のコマンドレットの詳細についてはVPN、AWS Tools for Windows PowerShell 「 コマンドレットリファレンス」を参照してください。

クエリ API

クライアントVPNHTTPSクエリAPIは、クライアントVPNと へのプログラムによるアクセスを提供します AWS。HTTPS クエリAPIを使用すると、サービスに直接HTTPSリクエストを発行できます。を使用する場合はHTTPSAPI、認証情報を使用してリクエストにデジタル署名するためのコードを含める必要があります。詳細については、「AWS Client VPN アクション」を参照してください。

クライアントの料金 VPN

エンドポイントの関連付けとVPN接続ごとに 1 時間ごとに課金されます。詳細については、AWS Client VPN の料金を参照してください。

Amazon からインターネットEC2へのデータ転送には料金が発生します。詳細については、「Amazon EC2 オンデマンド料金設定期間におけるデータ転送」を参照してください。

クライアントVPNエンドポイントの接続ログ記録を有効にする場合は、アカウントに CloudWatch ログロググループを作成する必要があります。ロググループの使用には料金がかかります。詳細については、「Amazon の CloudWatch 料金」（「有料利用枠」で「ログ」を選択します) を参照してください。

クライアントVPNエンドポイントのクライアント接続ハンドラーを有効にする場合は、Lambda 関数を作成して呼び出す必要があります。Lambda 関数の呼び出しには料金がかかります。詳細については、AWS Lambda の料金を参照してください。

クライアントVPNエンドポイントは、 のサブネットであるターゲットネットワークに関連付けられますVPC。インターネットゲートウェイVPCがある場合、Elastic IP アドレスをクライアントの Elastic VPN Network Interface () に関連付けますENIs。これらの Elastic IP アドレスは、使用中のパブリックIPv4アドレスとして課金されます。詳細については、料金VPCページの「パブリックIPv4アドレス」タブを参照してください。