Client VPN ユーザーに AWS リソースへのアクセス権を付与するにはどうすればよいですか?

最終更新日: 2020 年 11 月 11 日

AWS Client VPN ユーザーがエンドデバイスから AWS リソースへの安全な接続を確立したいと考えています。これを行うにはどうすればよいですか?

解決方法

特定のリソースへの VPN アクセスを設定する前に、次の事項を考慮してください。

  • Client VPN エンドポイントがサブネットに関連付けられている場合、関連付けられたサブネットに Elastic Network Interface が作成されます。これらのネットワークインターフェイスは、サブネットの CIDR から IP アドレスを受け取ります。
  • Client VPN 接続が確立されると、仮想トンネルアダプター (VTAP) がエンドデバイスに作成されます。仮想アダプターは、Client VPN エンドポイントのクライアント IPv4 CIDR から IP アドレスを受け取ります。
  • エンドユーザーデバイスからのトラフィックが Client VPN エンドポイントに到達すると、パケットの送信元 IP アドレスは、送信元 NAT を使用して Client VPN エンドポイントネットワークインターフェイスの IP アドレスに変換されます。その結果、ターゲットリソースは、Client VPN エンドポイントネットワークインターフェイスの IP アドレスを使用して送信されたすべてのトラフィックを可視化できます。

Client VPN エンドユーザーに特定の AWS リソースへのアクセス権を付与するには:

  • Client VPN エンドポイントの関連付けられたサブネットとターゲットリソースのネットワーク間のルーティングを設定します。ターゲットリソースがエンドポイントに関連付けられているのと同じ仮想プライベートクラウド (VPC) にある場合は、ルートを追加する必要はありません。この場合、VPC の Local Route を使用してトラフィックを転送します。ターゲットリソースがエンドポイントに関連付けられているのと同じ VPC にない場合は、Client VPN エンドポイントの関連付けられているサブネットルートテーブルにそれぞれのルートを追加します。
  • Client VPN エンドポイントの関連付けられたサブネットを介したインバウンドおよびアウトバウンドトラフィックを許可するように、ターゲットリソースのセキュリティグループを設定します。あるいは、ターゲットリソースのセキュリティグループルールでエンドポイントにアタッチされているセキュリティグループを参照して、エンドポイントに適用されているセキュリティグループを使用します。
  • ターゲットリソースのネットワークアクセスコントロールリスト (ネットワーク ACL) を設定して、Client VPN エンドポイントの関連付けられたサブネットを介したインバウンドおよびアウトバウンドトラフィックを許可します。
  • Client VPN エンドポイントの承認ルールでターゲットリソースへのエンドユーザーアクセスを許可します。詳細については、承認ルールを参照してください。
  • Client VPN ルートテーブルにターゲットリソースのネットワーク範囲へのルートがあることを確認します。詳細については、ルートターゲットネットワークを参照してください。
  • Client VPN エンドポイントに関連付けられたセキュリティグループ内のターゲットリソースへのアウトバウンドアクセスを許可します。

注: Client VPN エンドポイントに複数のサブネットが関連付けられている場合は、各 Client VPN サブネット CIDR から次へのアクセスを許可する必要があります。

  • ターゲットリソースのセキュリティグループ
  • ターゲットリソースのネットワーク ACL

ユーザーがアクセスしているリソースタイプに基づいて、接続を確立するために必要なルート、セキュリティグループルール、および承認ルールを作成します。ユースケースに基づいて、次の手順に従います。


この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?