AWS Client VPN
管理者ガイド

AWS Client VPN とは

AWS Client VPN は、AWS リソースや、オンプレミスネットワーク内のリソースに安全にアクセスできるようにする、クライアントベースのマネージド VPN サービスです。クライアント VPN を使用すると、OpenVPN ベースの VPN クライアントを使用して、どこからでもリソースにアクセスできます。

クライアント VPN の機能

クライアント VPN には以下の機能があります。

  • 安全性 — OpenVPN クライアントを使用して、あらゆる場所から安全な TLS 接続を提供します。

  • マネージド型サービス — これは AWS マネージドサービスであるため、サードパーティ製のリモートアクセス VPN ソリューションをデプロイして管理するという運用上の負担を取り除きます。

  • 高可用性と伸縮性 — AWS リソースとオンプレミスリソースに接続しているユーザー数に自動的に対応します。

  • 認証 — Active Directory を使用したクライアント認証と証明書ベースの認証をサポートしています。

  • きめ細かい制御 — ネットワークベースのアクセスルールを定義することで、カスタムセキュリティ管理を実装できます。これらのルールは、Active Directory グループの詳細度で設定できます。セキュリティグループを使用してアクセス制御を実装することもできます。

  • 使いやすさ — 単一の VPN トンネルを使用して、AWS リソースとオンプレミスリソースにアクセスできます。

  • 管理性 — クライアントの接続試行に関する詳細を提供する接続ログを表示できます。アクティブなクライアント接続を終了する機能で、アクティブなクライアント接続を管理することもできます。

  • 高度な統合 — AWS Directory Service や Amazon VPC などの既存の AWS サービスと統合します。

クライアント VPN のコンポーネント

クライアント VPN の主な概念は次のとおりです。

クライアント VPN エンドポイント

クライアント VPN エンドポイントは、クライアント VPN セッションを有効にして管理するために作成して設定するリソースです。これは、すべてのクライアント VPN セッションが終了するリソースです。

ターゲットネットワーク

ターゲットネットワークは、クライアント VPN エンドポイントに関連付けるネットワークです。VPC からのサブネットはターゲットネットワークです。サブネットを クライアント VPN エンドポイントに関連付けると、VPN セッションを確立できます。クライアント VPN エンドポイントには複数のサブネットを関連付けることができます。すべてのサブネットは同一の VPC に存在する必要があります。各サブネットは異なるアベイラビリティーゾーンに属している必要があります。

ルート

各 クライアント VPN エンドポイントには、利用可能な送信先ネットワークルートを説明したルートテーブルがあります。ルートテーブル内の各ルートは、特定のリソースまたはネットワークへのトラフィックのパスを指定します。

承認ルール

承認ルールは、ネットワークにアクセスできるユーザーを制限します。特定のネットワークでは、アクセスを許可する Active Directory グループを設定します。Active Directory グループに属したユーザーのみが、特定のネットワークへアクセスできます。デフォルトでは承認ルールはありません。ユーザーがリソースやネットワークにアクセスできるように承認ルールを設定する必要があります。

クライアント

VPN セッションを確立するためにクライアント VPN エンドポイントに接続するエンドユーザー。エンドユーザーは、OpenVPN クライアントをダウンロードし、作成した Client VPN 設定ファイルを使用して VPN セッションを確立する必要があります。

クライアント VPN へのアクセス

次のいずれかの方法で クライアント VPN を使用できます。

Amazon VPC コンソール

Amazon VPC コンソールは、クライアント VPN 用のウェブベースのユーザインターフェイスを提供します。AWS アカウントにサインアップした場合は、Amazon VPC コンソールにサインインして、ナビゲーションペインで [クライアント VPN]を選択できます。

AWS Command Line Interface (CLI)

AWS CLI では、クライアント VPN のパブリック API への直接アクセスが可能です。Windows、macOS、Linux でサポートされています。AWS CLI の使用開始に関する詳細については、「AWS Command Line Interface ユーザーガイド」を参照してください。クライアント VPN 用のコマンドの詳細については、「AWS CLI Command Reference」を参照してください。

AWS Tools for Windows PowerShell

AWS は、PowerShell 環境でスクリプトを作成するユーザー向けに、さまざまな AWS 製品用のコマンドを提供しています。AWS Tools for Windows PowerShell の使用開始に関する詳細については、「AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。クライアント VPN のコマンドレットの詳細については、「AWS Tools for Windows PowerShell コマンドレットリファレンス」を参照してください。

クエリ API

クライアント VPN HTTPS クエリ API を使用すると、クライアント VPN および AWS にプログラムでアクセスできます。HTTPS クエリ API を使用すると、HTTPS リクエストを直接サービスに発行できます。HTTPS API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「クライアント VPN API リファレンス」を参照してください。

クライアント VPN の制約事項

クライアント VPN には次の制約事項があります。

  • クライアント CIDR 範囲は、関連付けられたサブネットが配置されている VPC のローカル CIDR、または クライアント VPN エンドポイントのルートテーブルに手動で追加されたルートと重複することはできません。

  • 関連付けられているサブネットが配置されている クライアント VPN エンドポイントと VPC は、同じアカウントに属している必要があります。

  • クライアント VPN エンドポイントに関連付けられているサブネットは、同じ VPC 内にある必要があります。

  • 1 つのアベイラビリティーゾーンの複数のサブネットを クライアント VPN エンドポイントに関連付けることはできません。

  • クライアント VPN は IPv4 トラフィックのみをサポートしています。

  • クライアント VPN は、医療保険の携行と責任に関する法律 (HIPAA) または連邦情報処理規格 (FIPS) に準拠していません。

  • クライアント VPN は、多要素認証 (MFA) をネイティブにはサポートしません。

クライアント VPN の価格

クライアント VPN エンドポイントごとにアクティブアソシエーションごとに時間単位で請求されます。請求額は、時間単位で案分されます。

各クライアントの1 時間あたりの VPN 接続に対して請求されます。請求額は、時間単位で案分されます。

詳細については、「AWS Client VPN 料金表」を参照してください。