Site-to-Site VPN トンネル認証オプション - AWS Site-to-Site VPN

Site-to-Site VPN トンネル認証オプション

事前共有キーまたは証明書を使用して、Site-to-Site VPN トンネルエンドポイントを認証できます。

事前共有キー

事前共有キーは、デフォルトの認証オプションです。

事前共有キーは、Site-to-Site VPN トンネルの作成時に指定できる Site-to-Site VPN トンネルオプションです。

事前共有キーは、カスタマーゲートウェイデバイスを設定するときに入力する文字列です。文字列を指定しない場合は、文字列が自動的に生成されます。

AWS Certificate Manager Private Certificate Authority からのプライベート証明書

事前共有キーを使用しない場合は、AWS Certificate Manager Private Certificate Authority からのプライベート証明書を使用して VPN を認証できます。

AWS Certificate Manager Private Certificate Authority (ACM Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するために、ACM ルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、AWS Certificate Manager Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

Site-to-Site VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、service-link ロールを作成する必要があります。詳細については、「サービスにリンクされたロールによって付与されるアクセス許可」を参照してください。

プライベート証明書を生成したら、カスタマーゲートウェイの作成時に証明書を指定し、カスタマーゲートウェイデバイスに適用します。

カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN 接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。