AWS Client VPN ユーザーがエンドデバイスから AWS リソースへの安全な接続を確立したいと考えています。これを行うにはどうすればよいですか?
解決方法
特定のリソースへの VPN アクセスを設定する前に、次の事項を考慮してください。
- Client VPN エンドポイントがサブネットに関連付けられている場合、関連付けられたサブネットに Elastic Network Interface が作成されます。これらのネットワークインターフェイスは、サブネットの CIDR から IP アドレスを受け取ります。
- Client VPN 接続が確立されると、仮想トンネルアダプター (VTAP) がエンドデバイスに作成されます。仮想アダプターは、Client VPN エンドポイントのクライアント IPv4 CIDR から IP アドレスを受け取ります。
- サブネットをクライアント VPN エンドポイントに関連付けると、そのサブネットにクライアント VPN ネットワークインターフェイスが作成されます。Client VPN エンドポイントから VPC に送信されるトラフィックは、Client VPN ネットワークインターフェイスを介して送信されます。次に、送信元ネットワークアドレス変換 (SNAT) が適用され、クライアントの CIDR 範囲の送信元 IP アドレスがクライアント VPN ネットワークインターフェイスの IP アドレスに変換されます。
Client VPN エンドユーザーに特定の AWS リソースへのアクセス権を付与するには:
- Client VPN エンドポイントの関連付けられたサブネットとターゲットリソースのネットワーク間のルーティングを設定します。ターゲットリソースがエンドポイントに関連付けられているのと同じ仮想プライベートクラウド (VPC) にある場合は、ルートを追加する必要はありません。この場合、VPC の Local Route を使用してトラフィックを転送します。ターゲットリソースがエンドポイントに関連付けられているのと同じ VPC にない場合は、Client VPN エンドポイントの関連付けられているサブネットルートテーブルにそれぞれのルートを追加します。
- Client VPN エンドポイントの関連付けられたサブネットを介したインバウンドおよびアウトバウンドトラフィックを許可するように、ターゲットリソースのセキュリティグループを設定します。あるいは、ターゲットリソースのセキュリティグループルールでエンドポイントにアタッチされているセキュリティグループを参照して、エンドポイントに適用されているセキュリティグループを使用します。
- ターゲットリソースのネットワークアクセスコントロールリスト (ネットワーク ACL) を設定して、Client VPN エンドポイントの関連付けられたサブネットを介したインバウンドおよびアウトバウンドトラフィックを許可します。
- Client VPN エンドポイントの承認ルールでターゲットリソースへのエンドユーザーアクセスを許可します。詳細については、承認ルールを参照してください。
- Client VPN ルートテーブルにターゲットリソースのネットワーク範囲へのルートがあることを確認します。詳細については、ルートとターゲットネットワークを参照してください。
- Client VPN エンドポイントに関連付けられたセキュリティグループ内のターゲットリソースへのアウトバウンドアクセスを許可します。
注: Client VPN エンドポイントに複数のサブネットが関連付けられている場合は、各 Client VPN サブネット CIDR から次へのアクセスを許可する必要があります。
- ターゲットリソースのセキュリティグループ
- ターゲットリソースのネットワーク ACL
ユーザーがアクセスしているリソースタイプに基づいて、接続を確立するために必要なルート、セキュリティグループルール、および承認ルールを作成します。ユースケースに基づいて、次の手順に従います。
関連情報
AWS Client VPN の仕組み