Site-to-Site VPN 接続の漏洩した認証情報を置き換える

Site-to-Site VPN 接続のトンネル認証情報が漏洩したと思われる場合は、IKE 事前共有キーを変更するか、ACM 証明書を変更できます。使用する方法は、VPN トンネルに使用した認証オプションによって異なります。詳細については、「Site-to-Site VPN トンネル認証オプション」を参照してください。

IKE 事前共有キーを変更するには

VPN 接続のトンネルオプションを変更し、トンネルごとに新しい IKE 事前共有キーを指定できます。詳細については、「 Site-to-Site VPN トンネルオプションを変更する」を参照してください。

または、VPN 接続を削除することもできます。詳細については、「VPN 接続を削除する」を参照してください。VPC または仮想プライベートゲートウェイを削除する必要はありません。次に、同じ仮想プライベートゲートウェイを使用して新しい VPN 接続を作成し、カスタマーゲートウェイデバイスに新しいキーを設定します。トンネルのための独自の事前共有キーを指定するか、AWS で新しい事前共有キーを生成します。VPN 接続の作成の詳細については、「VPN 接続を作成する」を参照してください。VPN 接続を再作成すると、トンネルの内部アドレスと外部アドレスが変更されることがあります。

トンネルエンドポイントの AWS 側の証明書を変更するには

証明書を更新します。詳細については、「VPN トンネルエンドポイント証明書をローテーションする」を参照してください。

カスタマーゲートウェイデバイスの証明書を変更するには

1. 新しい証明書を作成します。詳細については、AWS Certificate Manager ユーザーガイドの「証明書の発行と管理」を参照してください。

2. カスタマーゲートウェイデバイスに証明書を追加します。