- ネットワーキングとコンテンツ配信›
- AWS VPN›
- よくある質問
AWS VPN のよくある質問
AWS VPN を選ぶ理由
AWS VPN は、AWS サイト間 VPN と AWS Client VPN で構成されています。AWS サイト間 VPN では、オンプレミスネットワークあるいは支店サイトから Amazon Virtual Private Cloud (Amazon VPC) への安全な接続が可能になります。AWS Client VPN は AWS やオンプレミスネットワークへの安全な接続を可能にします。
一般的な質問
すべて開くClient VPN エンドポイントとは、サービスを使用するために設定する地域構成のことです。エンドユーザーの VPN セッションは Client VPN エンドポイントで終了します。Client VPN エンドポイントを設定する際に、認証情報、サーバー証明書情報、クライアント IP アドレスの割り当て、ログ記録、および VPN オプションを指定します。
ターゲットネットワークとは、Client VPN エンドポイントに関連付けるネットワークです。これによって AWS リソースとオンプレミスへの安全なアクセスが可能になります。現在、ターゲットネットワークはお客様の Amazon VPC のサブネットです。
AWS サイト間 VPN 接続
すべて開く仮想プライベートゲートウェイ経由でハードウェア VPN 接続を使用して、お客様の自社データセンターに VPC を接続できます。
パブリック IP アドレスがないインスタンスは、2 つの方法のうちのいずれかでインターネットにアクセスすることができます。
パブリック IP アドレスがないインスタンスは、ネットワークアドレス変換 (NAT) ゲートウェイや NAT インスタンスを通してトラフィックをルーティングし、インターネットにアクセスできます。こういったインスタンスは、NAT ゲートウェイや NAT インスタンスのパブリック IP アドレスを使って、インターネットに接続します。NAT ゲートウェイや NAT インスタンスはアウトバウンド通信を許可しますが、インターネット上のマシンがプライベートにアドレスを付与されたインスタンスへの接続を開始することは許可しません。
ハードウェア VPN 接続や Direct Connect 接続を使用する VPC の場合、インスタンスからのインターネットトラフィックは、仮想プライベートゲートウェイ経由でお客様の既存のデータセンターにルーティングできます。そこから、既存の Egress ポイントとネットワークセキュリティ/モニタリングデバイスを介してインターネットにアクセスできます。
AWS Site-to-Site VPN 接続では、VPC をお客様のデータセンターに接続します。Amazon は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。VPC とデータセンター間で転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。インターネットゲートウェイでサイト間 VPN 接続を確立する必要はありません。
IPsec は、データストリームの各インターネットプロトコル (IP) パケットを認証して暗号化することによって、安全に IP 通信を行うためのプロトコルです。
作成できる AWS Site-to-Site VPN 接続のタイプは 2 つあります。1 つは静的ルーティングを使用する VPN 接続、もう 1 つは動的ルーティングを使用する VPN 接続です。静的ルーティングを使用する VPN 接続をサポートするカスタマーゲートウェイ装置は、次の機能を備えている必要があります。
Pre-Shared キーを使用して IKE Security Association を確立する
Tunnel モードで IPsec Security Association を確立する
AES 128 ビット、256 ビット、128 ビット GCM-16、または 256-GCM-16 暗号化機能を利用する
SHA-1、SHA-2 (256)、SHA2 (384)、または SHA2 (512) のハッシュ関数を利用する
「グループ 2」モード、または AWS がサポートする追加の DH グループの 1 つで Diffie-Hellman (DH) Perfect Forward Secrecy を使用する
暗号化の前にパケットの断片化を実行する
動的ルーティングを使用する AWS サイト間 VPN 接続をサポートする装置は、上記の機能に加えて、次の機能も備えている必要があります。
Border Gateway Protocol (BGP) ピア接続を確立する
トンネルを論理インターフェイス (ルートベースの VPN) にバインドする
IPsec デッドピア検出の利用
以下のフェーズ 1 およびフェーズ 2 の Diffie-Hellman (DH) グループをサポートしています。
フェーズ 1 DH グループ 2、14~24。
フェーズ 2 DH グループ 2、5、14~24。
デフォルトでは、AWS 側の VPN エンドポイントは AES-128、SHA-1、DH グループ 2 を提案します。キー更新に関する特定の提案が必要な場合は、VPN トンネルオプションの変更を使用して、トンネルオプションを特定の必須 VPN パラメータに制限することをお勧めします。
前述の要件を満たすデバイスのリストは、ネットワーク管理者ガイドに記載されています。これらは、ハードウェア VPN 接続で動作することが知られており、お客様のデバイスに適切な設定ファイルを自動生成するコマンドラインツールをサポートしています。
他のお客様が既にデバイスを使用している可能性があるため、 Amazon VPC フォーラムを確認することをお勧めします。
各 AWS Site-to-Site VPN 接続には 2 つのトンネルがあり、各トンネルは最大 1.25 Gbps のスループットをサポートします。VPN 接続が仮想プライベートゲートウェイに接続されている場合、集約されたスループット制限が適用されます。
仮想プライベートゲートウェイには、接続タイプごとの集約スループット制限があります。同じ仮想プライベートゲートウェイへの複数の VPN 接続は、AWS から最大 1.25 Gbps のオンプレミスへの集約スループット制限によってバインドされます。仮想プライベートゲートウェイ上の AWS Direct Connect 接続の場合、スループットは Direct Connect 物理ポート自体によって制限されます。複数の VPC に接続し、より高いスループット制限を達成するには、AWS Transit Gateway を使用します。
VPN 接続のスループットは、カスタマーゲートウェイの能力、接続のキャパシティー、平均パケットサイズ、使用されているプロトコル (TCP またはUDP)、カスタマーゲートウェイと仮想プライベートゲートウェイの間のネットワークレイテンシーなど、複数の要因によって変わります。
各 AWS Site-to-Site VPN 接続には 2 つのトンネルがあり、各トンネルは 1 秒あたり最大 140,000 のパケットをサポートします。
DescribeVPNConnection API には、どちらかのトンネルが「ダウン」の場合、各 VPN トンネルの状態 (「アップ」/「ダウン」) や対応するエラーメッセージなど、VPN 接続ステータスが表示されます。この情報は AWS マネジメントコンソールにも表示されます。
お客様の既存のネットワークと Amazon VPC の間にハードウェア VPN 接続を確立することによって、あたかもそれらがお客様の既存のネットワーク内にあるかのように、VPC 内にある Amazon EC2 インスタンスと通信を行うことができます。AWS は、ハードウェア VPN 接続を介してアクセスされる VPC 内の Amazon EC2 インスタンスではネットワークアドレス変換 (NAT) を実行しません。
NAT デバイスのパブリック IP アドレスを使用します。
NAT デバイスのパブリック IP アドレスを使用します。
デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなく、デバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合トンネルは確立されません。
AWS VPN サービスはルートベースのソリューションであるため、ルートベースの設定で SA の上限数が問題になることはありません。ただし、ポリシーベースのソリューションでは、サービスがルートベースのソリューションとなるため、単一の SA に制限する必要があります。
はい。ハードウェア VPN 接続経由でトラフィックのルーティングを行って、お客様のホームネットワークからアドレス範囲をアドバタイズすることができます。
VPN 接続は、カスタマーゲートウェイデバイスへのルートを最大 1,000 個アドバタイズします。仮想プライベートゲートウェイの VPN の場合、アドバタイズされたルートソースには、VPC ルート、他の VPN ルート、および DX 仮想インターフェイスからのルートが含まれます。AWS Transit Gateway の VPN の場合、アドバタイズされたルートは、VPN アタッチメントに関連付けられたルートテーブルから取得されます。1,000 個を超えるルートを送信しようとすると、1,000 個のサブセットのみがアドバタイズされます。
カスタマーゲートウェイデバイスから仮想プライベートゲートウェイ上の Site-to-Site VPN 接続へのルート最大 100 個、または AWS Transit Gateway 上の Site-to-Site VPN 接続へのルート最大 1,000 個をアドバタイズできます。静的ルートを使用する VPN 接続の場合、100 個を超える静的ルートを追加することはできません。BGP を使用する VPN 接続の場合、ゲートウェイタイプの最大値を超えるルートをアドバタイズしようとすると、BGP セッションがリセットされます。
はい。AWS Transit Gateway への VPN 接続は IPv4 または Ipv6 トラフィックのいずれかをサポートすることができ、これは新しい VPN 接続の作成時に選択できます。VPN トラフィックに IPv6 を選択するには、内部 IP バージョンの VPN トンネルオプションを IPv6 に設定します。トンネルエンドポイントとカスタマーゲートウェイの IP アドレスは IPv4 のみです。ご注意ください。
デフォルトでは、カスタマーゲートウェイ (CGW) が IKE を開始する必要があります。または、AWS VPN エンドポイントは、適切なオプションを有効にすることで開始できます。
はい。プライベート IP Site-to-Site VPN 機能により、プライベート IP アドレスを使用した AWS Transit Gateway への VPN 接続をデプロイすることができます。プライベー ト IP VPN は、AWS Direct Connect のトランジット仮想インターフェイス (VIF) 上で動作します。新しい VPN 接続を作成する際に、外部トンネル IP アドレスとしてプライベート IP アドレスを選択することができます。トンネルエンドポイントとカスタマーゲートウェイの IP アドレスは IPv4 のみです。ご注意ください。
いいえ、プライベート IP Site-to-Site VPN 接続の IPSec 暗号化および鍵交換は、パブリック IP VPN 接続と同じように動作します。
はい、プライベート IP VPN 接続をデプロイするためには、Transit ゲートウェイが必要です。また、Transit Gateway 上のプライベート IP VPN アタッチメントは、トランスポート用の Direct Connect アタッチメントを必要とします。Transit ゲートウェイへのプライベート IP VPN 接続を設定する際に、Direct Connect のアタッチメント ID を指定する必要があります。複数のプライベート IP VPN 接続で、同じ Direct Connect アタッチメントをトランスポートに使用することができます。
はい、プライベート IP VPN は、BGP を使用した動的ルーティングと同様に静的ルーティングをサポートしています。カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合、Site-to-Site VPN 接続を設定する際に動的ルーティングを指定してください。カスタマーゲートウェイデバイスが BGP をサポートしていない場合、静的ルーティングを指定してください。BGP プロトコルは、最初のトンネルがダウンした場合に 2 番目の VPN トンネルへのフェイルオーバーを支援する堅牢な活性検出チェックを提供するため、利用できる場合は、BGP 対応デバイスを使用することをお勧めします。
プライベート IP VPN アタッチメントのルートテーブルの関連付けとプロパゲーションの動作は、他の Transit Gateway アタッチメントと同じです。Transit ゲートウェイのルートテーブルをプライベート IP VPN アタッチメントに関連付け、プライベート IP VPN アタッチメントから Transit ゲートウェイのルートテーブルのいずれかに経路を伝搬させることが可能です。
通常のサイト間 VPN 接続と同様に、各プライベート IP VPN 接続は 1.25 Gbps と 5 Gbps の帯域幅をサポートします。両方のタイプの複数のプライベート IP VPN 接続で ECMP(等価コストマルチパス)を使用すると、有効な帯域幅を増やすことができます。
できません。プライベート IP VPN 接続とパブリック IP VPN 接続をまたいでトラフィックを ECMP 処理することはできません。プライベート IP VPN 用の ECMP は、プライベート IP アドレスを持つ VPN 接続間でのみ機能します。
プライベート IP VPN 接続は、1500 バイトの MTU をサポートしています。
できません。Transit ゲートウェイと Site-to-Site VPN の両方の接続は、同じ AWS アカウントによって所有される必要があります。
AWS Site-to-Site VPN サービスは、アジアパシフィック (北京) およびアジアパシフィック (寧夏) AWS リージョンを除くすべての商用リージョンで利用可能です。プライベート IP VPN 機能は、AWS Site-to-Site VPN サービスが利用可能なすべての AWS リージョンでサポートされています。
AWS Accelerated サイト間 VPN
すべて開くトラフィックは AWS の VPN エンドポイントに到達する前にインターネット上の複数のパブリックネットワークを通過するため、VPN 接続の可用性とパフォーマンスは安定しません。これらのパブリックネットワークは、混雑していることがあります。各ホップは、可用性とパフォーマンスにリスクをもたらす可能性があります。Accelerated サイト間 VPN は、可用性が高く混雑のない AWS グローバルネットワークを使用することで、ユーザーエクスペリエンスはより安定します。
VPN 接続の作成時に、オプション「Enable Acceleration」を「true」に設定します。
VPN 接続の説明で、「Enable Acceleration」の値を「true」に設定する必要があります。
新しい Accelerated Site-to-Site VPN を作成しカスタマーゲートウェイデバイスを更新してから、この新しい VPN 接続に接続し、既存の VPN 接続を削除します。高速化した VPN は、高速化していない VPN 接続とは異なる IP アドレス範囲を使用するため、新しいトンネルエンドポイントインターネットプロトコル (IP) アドレスを取得します。
Transit Gateway のみ Accelerated Site-to-Site VPN をサポートしています。VPN 接続を作成するとき、Transit Gateway を指定する必要があります。AWS 側の VPN エンドポイントは、Transit Gateway 上に作成されます。
はい。どちらの VPN 接続も、高可用性を得るために 2 つのトンネルを提供しています。
NAT-T は必須で、Accelerated Site-to-Site VPN 接続ではデフォルトで有効になっています。それ以外にも、Accelerated および non-Accelerated VPN トンネルは、同じ IP セキュリティ (IPSec) とインターネットキー交換 (IKE) プロトコルをサポートしており、同じ帯域幅、トンネルオプション、ルーティングオプション、認証タイプも提供しています。
はい、2 つのトンネルエンドポイントの独立したネットワークゾーンで、AWS Global Accelerator グローバルインターネットプロトコルアドレス (IP) を選択します。
いいえ、現在 Accelerated Site-to-Site VPN は、AWS Site-to-Site VPN を介してのみ作成できます。Accelerated サイト間 VPN は、AWS Global Accelerator コンソールまたは API を介して作成することはできません。
いいえ、パブリック Direct Connect 仮想インターフェイスを介した Accelerated Site-to-Site VPN は使用できません。ほとんどの場合、パブリック Direct Connect 上で使用しても、Accelerated サイト間 VPN から得られる利点はありません。
Accelerated Site-to-Site VPN は、以下の AWS リージョンでご利用になれます: 米国西部 (オレゴン)、米国西部 (北カリフォルニア)、米国東部 (オハイオ)、米国東部 (バージニア北部)、南米 (サンパウロ)、中東 (バーレーン)、欧州 (ストックホルム)、欧州 (パリ)、欧州 (ミラノ)、欧州 (ロンドン)、欧州 (アイルランド)、欧州 (フランクフルト)、カナダ (中部)、アジアパシフィック (東京)、アジアパシフィック (シドニー)、アジアパシフィック (シンガポール)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、アジアパシフィック (香港)、アフリカ (ケープタウン)。
AWS Site-to-Site VPN の可視化とモニタリング
すべて開くSite-to-Site VPN 接続ログには、インターネットキー交換 (IKE) ネゴシエーションやデッドピア検出 (DPD) プロトコルメッセージなどの IP セキュリティ (IPsec) トンネル確立アクティビティの詳細が含まれます。これらのログは、5 分間隔で定期的にエクスポートされ、ベストエフォートベースで CloudWatch ログに配信されます。
はい、Transit Gateway と Virtual Gateway ベースの VPN 接続の両方で Site-to-Site VPN ログを有効にすることができます。
はい、接続を作成または変更する際に、トンネルオプションを通じて Site-to-Site VPN ログを有効にすることができます。
トンネルオプションの変更を使用して既存の VPN 接続に Site-to-Site VPN ログを有効にすると、トンネル上の接続は最大で数分間中断されます。どちらの VPN 接続も、高可用性を得るために 2 つのトンネルを提供しています。一度に 1 つのトンネルでログを有効にすることができ、変更されたトンネルだけが影響を受けます。詳細については、AWS Site-to-Site VPN ユーザーガイドの「Site-to-Site VPNトンネルのエンドポイント交換」を参照してください。
AWS Client VPN の設定と管理
すべて開くIT 管理者が Client VPN エンドポイントを作成し、そのエンドポイントにターゲットネットワークを関連付け、エンドユーザーの接続を許可するようにアクセスポリシーを設定します。Client VPN 設定ファイルを IT 管理者がエンドユーザーに配布します。エンドユーザーは、OpenVPN クライアントをダウンロードし、Client VPN 設定ファイルを使用して VPN セッションを作成する必要があります。
エンドユーザーは、OpenVPN クライアントをデバイスにダウンロードする必要があります。次に、AWS Client VPN 設定ファイルを OpenVPN クライアントにインポートし、VPN 接続を開始します。
AWS Client VPN 接続
すべて開く重複している Amazon VPC、仮想ゲートウェイ経由あるいは S3 などの AWS のサービスやエンドポイントを経由するオンプレミスネットワーク、AWS PrivateLink 経由のネットワークおよびインターネットゲートウェイ経由のその他のリソースなどへの接続を有効にできます。接続を有効にするには、Client VPN ルートテーブル内の特定のネットワークにルートを追加し、特定のネットワークへのアクセスを有効にする認証ルールを追加してください。
いいえ。関連付けられているサブネットは、Client VPN エンドポイントと同じアカウントにある必要があります。
これを実現するには、次の 2 つのステップを実行します。まず、(異なるリージョンにある) 異動先の VPC と Client VPN が関連づけられた VPC の間に、クロスリージョンピアリング接続を設定します。次に、Client VPN エンドポイントの異動先の VPC に、ルートとアクセスルールを追加します。これで、Client VPN エンドポイントとは異なるリージョンにある送信先 VPC 内のリソースにアクセスできるようになります。
VPN セッションには、TCP あるいは UDP が選択できます。
はい。スプリットトンネルを有効または無効にしてエンドポイントを作成することを選択できます。以前スプリットトンネルを無効にしてエンドポイントを作成したことがある場合は、エンドポイントを変更してスプリットトンネルを有効にすることもできます。スプリットトンネルが有効な場合、エンドポイントで設定されたルートを送信先とするトラフィックは、VPN トンネルを介してルーティングされます。他のすべてのトラフィックは、ローカルネットワークインターフェイス経由でルーティングされます。スプリットトンネルが無効になっている場合、デバイスからのすべてのトラフィックは VPN トンネルを走査します。
いいえ。リソースが Client VPN を使用してユーザーのデバイスへのトラフィックや接続を開始することはできません。
AWS Client VPN の認証と認可
すべて開くAWS Client VPN では、AWS Directory Service、証明書ベース、および SAML-2.0 を使うフェデレーションの認証を使用した Active Directory による認証がサポートされています。
はい。AWS Client VPN は、オンプレミス Active Directory に接続できるようにする AWS Directory Service と統合されています。
はい。相互認証は AWS Client VPN でサポートされています。相互認証が有効になっている場合、ユーザーはサーバーにクライアント証明書を発行する際に使用されるルート証明書をアップロードする必要があります。
はい。AWS Client VPN では静的に設定された証明書取り消しリスト (CRL) がサポートされています。
はい。サーバーの証明書、ルート証明機関 (CA) による証明書、およびサーバーのプライベートキーをアップロードする必要があります。これらは AWS Certificate Manager にアップロードされます。
はい。外部ルート CA に連鎖された下位 CA として ACM を使用することができます。その後、ACM はサーバー証明書を生成します。このシナリオでは、ACM はサーバー証明書のローテーションも行います。
いいえ。AWS Client VPN では体制の評価はサポートされません。Amazon Inspectors などのその他の AWS のサービスでは体制の評価がサポートされています。
はい。AWS Client VPN では、AWS Directory Service を使用した Active Directory を介して、または外部 ID プロバイダー (Okta など) を介して MFA がサポートされています。
ネットワークにアクセスできるユーザーを制限する認可ルールを設定します。特定の宛先ネットワークでは、アクセスを許可する Active Directory グループ/ID プロバイダーグループを設定できます。Active Directory グループ/ID プロバイダーグループに属したユーザーのみが、特定のネットワークへアクセスできます。
セキュリティグループは Client VPN でサポートされています。関連グループにセキュリティグループを指定できます。サブネットが関連付けられると、そのサブネットの VPC のデフォルトセキュリティグループが自動的に適用されます。
アプリケーションでは、関連するサブネットに適用されているセキュリティグループからのアクセスのみを許可するように指定できます。これで、Client VPN 経由で接続されているユーザーだけにアクセスを制限できます。
はい。Client VPN エンドポイントに関連付けられた IAM ID プロバイダーに新しいメタデータドキュメントをアップロードできます。更新されたメタデータは 2〜4 時間で反映されます。
いいえ。エンドポイントに接続するには、AWS Client VPN ソフトウェアクライアントを使用する必要があります。
AWS Client VPN の可視性とモニタリング
すべて開くClient VPN では、ベストエフォートとして CloudWatch Logs へ接続ログをエクスポートします。これらのログは 15 分間隔で定期的にエクスポートされます。接続ログには、接続リクエストの作成と終了に関する詳細が含まれています。
いいえ。Amazon VPC Flow Logs は関連する Amazon VPC でご利用いただけます。
はい。CLI あるいはコンソールを使用して、その時点でのエンドポイントのアクティブ接続を表示したり、アクティブ接続を終了したりすることができます。
はい。CloudWatch モニターでは、それぞれの Client VPN エンドポイントの送受信バイトおよびアクティブ接続を表示できます。
VPN クライアント
すべて開くAWS Client VPN のソフトウェアクライアントは、既存の AWS Client VPN 設定と互換性があります。クライアントは、AWS Client VPN サービスによって生成された OpenVPN 設定ファイルを使用したプロファイルの追加をサポートしています。プロファイルが作成されると、クライアントは設定に基づいてエンドポイントに接続します。
ソフトウェアクライアントは無料で提供されます。AWS Client VPN サービスの使用に対してのみ請求されます。
デスクトップクライアントは現在、64ビットのWindows 11、macOS(セコイア、ソノマ、タホ)、およびUbuntu Linux(22.04および24.04)デバイスをサポートしています。
いいえ。ただし、IT 管理者はソフトウェアクライアントのデプロイ用構成ファイルを提供して、設定を事前構成できます。
はい。Windows と Mac の両方にアプリをインストールするには管理者権限が必要です。それ以降は、管理者アクセスは必要ありません。
ソフトウェアクライアントを含む AWS Client VPN は、OpenVPN プロトコルをサポートしています。
はい。クライアントは、AWS Client VPN サービスが提供するすべての機能をサポートしています。
はい。AWS VPN クライアントに接続すると、ローカルエリアネットワークにアクセスできます。
AWS Client VPN ソフトウェアクライアントでは、AWS Client VPN サービスが提供するすべての認証メカニズム (AWS Directory Service、証明書ベース、および SAML-2.0 を使うフェデレーションの認証を使用した Active Directory による認証) がサポートされています。
ユーザーが接続を試みると、接続設定の詳細が記録されます。接続試行は最大 30 日間保存され、最大ファイルサイズは 90 MB です。
はい、AWS Client VPN エンドポイントで定義された認証タイプが標準ベースの OpenVPN クライアントでサポートされていると仮定します。
AWS Client VPN 製品ページからカスタマイズせずに汎用クライアントをダウンロードできます。IT 管理者は、自分のシステム内でダウンロードをホストするように選択できます。
デバイスで複数の VPN クライアントを実行することはお勧めしません。これにより競合が発生したり、VPN クライアントが相互に干渉して接続が失敗したりする可能性があります。ただし、AWS Client VPN は別の VPN クライアントと一緒にインストールできます。
仮想プライベートゲートウェイ
すべて開く新しい仮想ゲートウェイでは、設定可能なプライベート AS 番号 (ASN) によって、VPN および AWS Direct Connect プライベート VIF 向け BGP セッションの Amazon 側の ASN をお客様が設定できます。
この機能に追加料金は発生しません。
仮想プライベートゲートウェイ (仮想ゲートウェイ) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行います。仮想プライベートゲートウェイは、VPC コンソールまたは EC2/CreateVpnGateway API 呼び出しを使って作成できます。
Amazon は、欧州西部 (ダブリン) に 9059、アジアパシフィック (シンガポール) に 17493、アジアパシフィック (東京) に 10124 を割り当てていました。その他すべてのリージョンでは ASN 7224 が割り当てられていました。これらの ASN は、そのリージョンの "レガシーパブリック ASN" と呼ばれます。
Amazon 側には、任意のプライベート ASN を割り当てることができます。2018 年 6 月 30 日まで、そのリージョンの "レガシーパブリック ASN" を割り当てることができ、それ以外のパブリック ASN を割り当てることはできません。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。
Amazon は ASN の所有権を検証しません。このため、Amazon 側 ASN をプライベート ASN のみに制限しています。お客様を BGP スプーフィングから保護したいと考えています。
任意のプライベート ASN を選択できます。16 ビットのプライベート ASN の範囲は、64512~65534 です。32 ビット ASN では、4200000000~4294967294 を利用できます。
お客様が選択しない場合は、Amazon が仮想プライベートゲートウェイのデフォルト ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。
そのリージョンの「レガシーパブリック ASN」でない限り、仮想プライベートゲートウェイの作成を試みた際にプライベート ASN の再入力を要求します。
お客様が選択しない場合は、Amazon が仮想プライベートゲートウェイ用の ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。
Amazon 側 ASN は、VPC コンソールの仮想プライベートゲートウェイページや、EC2/DescribeVpnGateways API の応答内に表示されます。
はい。BGP セッションの Amazon 側にプライベート ASN を、お客様側にパブリック ASN を設定できます。
希望する ASN で仮想ゲートウェイを新規作成し、作成された新しい仮想ゲートウェイで VIF を新規作成する必要があります。デバイス設定も必要に応じて変更する必要があります。
ご希望の ASN で新しい仮想ゲートウェイを作成し、カスタマーゲートウェイと新規作成された仮想ゲートウェイとの間に VPN 接続を再作成することが必要です。
Amazon では、新しい仮想ゲートウェイ用の Amazon 側 ASN に 64512 を割り当てます。
仮想プライベートゲートウェイ (仮想ゲートウェイ) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行います。仮想ゲートウェイはコンソールまたは EC2/CreateVpnGateway API コールを使用して作成できます。先述のように、2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。
Amazon では、新しい VIF/VPN 接続の Amazon 側 ASN に 7224 を割り当てます。新しいプライベート VIF/VPN 接続の Amazon 側 ASN は、既存の仮想ゲートウェイおよびその ASN に対するデフォルトから継承されます。
いいえ。仮想ゲートウェイごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VIF ごとに割り当ておよび設定することはできません。VIF の Amazon 側 ASN は、アタッチされた仮想ゲートウェイの Amazon 側 ASN から継承されます。
いいえ。仮想ゲートウェイごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VPN 接続ごとに割り当ておよび設定することはできません。VPN 接続の Amazon 側 ASN は、仮想ゲートウェイの Amazon 側 ASN から継承されます。
VPC コンソールで仮想ゲートウェイを作成する場合、Amazon BGP ASN を自動生成するかどうかのチェックをオフにし、BGP セッションの Amazon 側 ASN に独自のプライベート ASN を指定します。仮想ゲートウェイに Amazon 側 ASN を設定すると、その仮想ゲートウェイを使用して作成されるプライベート VIF や VPN 接続で Amazon 側 ASN が使用されるようになります。
変更は不要です。
AWS では 4200000000~4294967294 の 32 ビット ASN が利用できます。
いいえ。作成後は Amazon 側 ASN を変更できません。仮想ゲートウェイを削除して、ご希望の ASN を使用して新しい仮想ゲートウェイを再作成することは可能です。
いいえ。従来と同じ API (EC2/CreateVpnGateway) で実行できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。
いいえ。従来と同じ EC2/DescribeVpnGateways API で Amazon 側 ASN を表示できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。
例外を除き、1~2147483647 範囲で ASN を使用できます。AWS VPN ユーザーガイドの「AWS サイト間 VPN 接続のカスタマーゲートウェイオプション」セクションを参照してください。
はい。現在、カスタマーゲートウェイの設定において、(4200000000~4294967294) の範囲のプライベート ASN はサポートされていませんのでご注意ください。 AWS VPN ユーザーガイドの「AWS サイト間 VPN 接続のカスタマーゲートウェイオプション」セクションを参照してください。