AWS VPN は、AWS サイト間 VPN と AWS Client VPN で構成されています。AWS サイト間 VPN では、オンプレミスネットワークあるいは支店サイトから Amazon Virtual Private Cloud (Amazon VPC) への安全な接続が可能になります。AWS Client VPN は AWS やオンプレミスネットワークへの安全な接続を可能にします。

一般的な質問

Q: Client VPN エンドポイントとは何ですか?

A: Client VPN エンドポイントとは、サービスを使用するために設定する地域構成のことです。エンドユーザーの VPN セッションは Client VPN エンドポイントで終了します。Client VPN エンドポイントを設定する際に、認証情報、サーバー証明書情報、クライアント IP アドレスの割り当て、ログ記録、および VPN オプションを指定します。

Q: ターゲットネットワークとは何ですか?

A: ターゲットネットワークとは、Client VPN エンドポイントに関連付けるネットワークです。これによって AWS リソースとオンプレミスへの安全なアクセスが可能になります。現在、ターゲットネットワークはお客様の Amazon VPC のサブネットです。

請求

Q: 課金対象となる VPN 接続時間はどのように定義されますか?

VPN 接続時間によるご請求は、VPN 接続が「利用可能」状態であった時間に対して発生します。VPN 接続の状態を調べるには、AWS マネジメントコンソール、CLI、または API を使用します。VPN 接続を使う必要がなくなった場合は、VPN 接続を終了すれば、それ以上 VPN 接続時間として請求されることはありません。

Q: 料金は税込み価格ですか?

A: 別途記載がない限り、表示される料金には VAT、売上税その他取引に対して適用される一切の税金等および関税は含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。詳細

AWS サイト間 VPN の設定と管理

Q: AWS マネジメントコンソールを使用して、AWS サイト間 VPN を管理、運用できますか?

A: はい。AWS マネジメントコンソールを使用して AWS サイト間 VPN などの IPSec VPN 接続を管理できます。

Q: カスタマーゲートウェイ、仮想プライベートゲートウェイ、AWS サイト間 VPN 接続はいくつまで作成できますか?

A: 作成可能な数は次のとおりです。

  • 1 つの VPC ごとに 1 つのインターネットゲートウェイ
  • 各 AWS リージョンの AWS アカウントごとに 5 つの仮想プライベートゲートウェイ
  • 各 AWS リージョンの AWS アカウントごとに 50 のカスタマーゲートウェイ
  • 1 つの仮想プライベートゲートウェイごとに 10 個の IPSec VPN 接続

VPC 制限数の詳細については、VPC ユーザーガイドをご参照ください。

AWS サイト間 VPN 接続

Q: VPN の接続にはどのようなオプションがありますか?

A: 仮想プライベートゲートウェイ経由でハードウェア VPN 接続を使用して、お客様の自社データセンターに VPC を接続できます。

Q: インスタンスにパブリック IP アドレスがない場合、どのようにインターネットにアクセスすればよいですか?

A: パブリック IP アドレスがないインスタンスは、次の 2 つの方法のいずれかでインターネットにアクセスすることができます。

パブリック IP アドレスがないインスタンスは、ネットワークアドレス変換 (NAT) ゲートウェイや NAT インスタンスを通してトラフィックをルーティングし、インターネットにアクセスできます。こういったインスタンスは、NAT ゲートウェイや NAT インスタンスのパブリック IP アドレスを使って、インターネットに接続します。NAT ゲートウェイや NAT インスタンスはアウトバウンド通信を許可しますが、インターネット上のマシンがプライベートにアドレスを付与されたインスタンスへの接続を開始することは許可しません。

ハードウェア VPN 接続や Direct Connect 接続を使用する VPC の場合、インスタンスからのインターネットトラフィックは、仮想プライベートゲートウェイ経由でお客様の既存のデータセンターにルーティングできます。そこから、既存のエグレスポイントとネットワークセキュリティ/モニタリングデバイスを介して、インターネットにアクセスできます。

Q: AWS サイト間 VPN 接続は、Amazon VPC とどのように連携するのですか?

A. AWS サイト間 VPN 接続では、VPC をお客様のデータセンターに接続します。Amazon は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。VPC とデータセンター間で転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。インターネットゲートウェイでサイト間 VPN 接続を確立する必要はありません。

Q: IPSec とは何ですか?

A. IPSec は、データストリームの各 IP パケットを認証して暗号化することで、インターネットプロトコル (IP) 通信を保護するプロトコルスイートです。

Q: Amazon VPC に接続するには、どのカスタマーゲートウェイデバイスを使用することができますか?

A: 作成できる AWS サイト間 VPN 接続のタイプは 2 つあります。1 つは静的ルーティングを使用する VPN 接続、もう 1 つは動的ルーティングを使用する VPN 接続です。静的ルーティングを使用する VPN 接続をサポートするカスタマーゲートウェイデバイスは、次の機能を備えている必要があります。

Pre-Shared キーを使用して IKE Security Association を確立する

Tunnel モードで IPsec Security Association を確立する

AES 128 ビットまたは 256 ビットの暗号化機能を使用する

SHA-1 または SHA-2 (256) のハッシュ機能を使用する

「グループ 2」モード、または AWS がサポートする追加の DH グループの 1 つで Diffie-Hellman (DH) Perfect Forward Secrecy を使用する

暗号化の前にパケットの断片化を実行する

動的ルーティングを使用する AWS サイト間 VPN 接続をサポートする装置は、上記の機能に加えて、次の機能も備えている必要があります。

Border Gateway Protocol (BGP) ピア接続を確立する

トンネルを論理インターフェイス (ルートベースの VPN) にバインドする

IPsec デッドピア検出の利用

Q: どの Diffie-Hellman グループをサポートしていますか?

A: 以下のフェーズ 1 およびフェーズ 2 の Diffie-Hellman (DH) グループをサポートしています。

フェーズ 1 DH グループ 2、14~18、22、23、24

フェーズ 2 DH グループ 2、5、14~18、22、23、24

Q: Amazon VPC で機能することが知られているカスタマーゲートウェイデバイスにはどのようなものがありますか?

A: 前述の要件を満たすデバイスのリストは、ネットワーク管理者ガイドに記載されています。これらは、ハードウェア VPN 接続で動作することが知られており、お客様のデバイスに適切な設定ファイルを自動生成するコマンドラインツールをサポートしています。

Q: 私のデバイスが対応リストにない場合、これを Amazon VPC で使用するための詳細な情報はどこで入手できますか?

A: 他のお客様がすでにお客様のデバイスと同じものを使用している可能性があるため、Amazon VPC フォーラムをご確認いただくことをお勧めします。

Q: サイト間 VPN 接続の最大スループットはどれくらいですか?

A: 仮想ゲートウェイは、最大 1.25 Gbps の IPSEC VPN スループットをサポートしています。同一の VPC に対して VPN 接続が複数ある場合は、仮想ゲートウェイスループットは累積で 1.25 Gbps に制限されます。

Q: VPN 接続のスループットに影響を与える要因は何ですか?

A: VPN 接続のスループットは、カスタマーゲートウェイの能力、接続のキャパシティー、平均パケットサイズ、使用されているプロトコル (TCP またはUDP)、カスタマーゲートウェイと仮想プライベートゲートウェイの間のネットワークレイテンシーなど、複数の要因によって変わります。

Q: サイト間 VPN 設定のトラブルシューティングには、どのツールが利用できますか?

A: DescribeVPNConnection API には、どちらかのトンネルが「ダウン」した場合に、各 VPN トンネルの状態 (「アップ」/「ダウン」) や対応するエラーメッセージなど、VPN 接続ステータスが表示されます。この情報は AWS マネジメントコンソールにも表示されます。

Q: VPC を企業のデータセンターとどのように接続するのですか?

A: お客様の既存のネットワークと Amazon VPC の間にハードウェア VPN 接続を確立することによって、あたかもそれらがお客様の既存のネットワーク内にあるかのように、VPC 内にある Amazon EC2 インスタンスと通信を行うことができます。AWS は、ハードウェア VPN 接続を経由してアクセスされる VPC 内にある Amazon EC2 インスタンスとの通信では、ネットワークアドレス変換 (NAT) を実行しません。

Q: ルーターまたはファイアウォールの背後でカスタマーゲートウェイに対して NAT を有効にできますか?

A: NAT デバイスのパブリック IP アドレスを使用します。

Q: カスタマーゲートウェイアドレスにはどの IP アドレスを使用しますか?

A: NAT デバイスのパブリック IP アドレスを使用します。

Q: 接続で NAT-T を無効にするにはどうすればよいですか?

A: デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなくデバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合、トンネルは確立されません。

Q: NAT の背後で複数のカスタマーゲートウェイを持つように設定するには何をする必要がありますか?

A: デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなくデバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合、トンネルは確立されません。

Q: 1 つのトンネルにつき同時に確立できる IPsec Security Association は何個ですか?

AWS VPN サービスはルートベースのソリューションであるため、ルートベースの設定で SA の上限数が問題になることはありません。ただし、ポリシーベースのソリューションでは、サービスがルートベースのソリューションとなるため、単一の SA に制限する必要があります。

Q: VPC パブリック IP アドレス範囲をインターネットにアドバタイズできますか? またそのトラフィックを、自社のデータセンター、サイト間 VPN 経由で、自社の Amazon VPC に到達するようにルーティングできますか?

A: はい。ハードウェア VPN 接続経由でトラフィックのルーティングを行って、お客様のホームネットワークからアドレス範囲をアドバタイズすることができます。

AWS Accelerated サイト間 VPN

Q: Accelerated サイト間 VPNを使用する理由は何ですか?

A: トラフィックは AWS の VPN エンドポイントに到達する前にインターネット上の複数のパブリックネットワークを通過するため、VPN 接続の可用性とパフォーマンスは安定しません。これらのパブリックネットワークは、混雑していることがあります。各ホップは、可用性とパフォーマンスにリスクをもたらす可能性があります。Accelerated サイト間 VPN は、可用性が高く混雑のない AWS グローバルネットワークを使用することで、ユーザーエクスペリエンスはより安定します。

Q: Accelerated サイト間 VPN を作成する方法を教えてください。

A: VPN 接続の作成時に、オプション「Enable Acceleration」を「true」に設定します。

Q: 既存の VPN 接続が Accelerated サイト間 VPN であるかどうかを確認する方法を教えてください。

A: VPN 接続の説明で、「Enable Acceleration」の値を「true」に設定する必要があります。

Q: 既存のサイト間 VPN を Accelerated サイト間 VPN に変換する方法を教えてください。

A: 新しい Accelerated サイト間 VPN を作成しカスタマーゲートウェイデバイスを更新してから、この新しい VPN 接続に接続し、既存の VPN 接続を削除します。高速化した VPN は、高速化していない VPN 接続とは異なる IP アドレス範囲を使用するため、新しいトンネルエンドポイントインターネットプロトコル (IP) アドレスを取得します。

Q: Accelerated サイト間 VPN は、仮想ゲートウェイと AWS Transit Gateway のどちらでもサポートされていますか?

A: Transit Gateway のみ Accelerated サイト間 VPN をサポートしています。VPN 接続を作成するとき、Transit Gateway を指定する必要があります。AWS 側の VPN エンドポイントは、Transit Gateway 上に作成されます。

Q: 高可用性を得るために、Accelerated サイト間 VPN 接続は 2 つのトンネルを提供していますか?

A: はい。どちらの VPN 接続も、高可用性を得るために 2 つのトンネルを提供しています。

Q: Accelerated サイト間 VPN と non-Accelerated サイト間 VPN のトンネル間に、プロトコルの違いはありますか?

A: NAT-T は必須で、Accelerated サイト間 VPN 接続ではデフォルトで有効になっています。それ以外にも、Accelerated および non-Accelerated VPN トンネルは、同じ IP セキュリティ (IPSec) とインターネットキー交換 (IKE) プロトコルをサポートしており、同じ帯域幅、トンネルオプション、ルーティングオプション、認証タイプも提供しています。

Q: 高可用性を得るために、Accelerated サイト間 VPN は 2 つのネットワークゾーンを提供していますか?

A: はい、2 つのトンネルエンドポイントの独立したネットワークゾーンで、AWS Global Accelerator グローバルインターネットプロトコルアドレス (IP) を選択します。

Q: Accelerated サイト間 VPN は AWS Global Accelerator のオプションにありますか?

A: いいえ、現在 Accelerated サイト間 VPN は、AWS サイト間 VPN を介してのみ作成できます。Accelerated サイト間 VPN は、AWS Global Accelerator コンソールまたは API を介して作成することはできません。

Q: パブリック AWS Direct Connect 仮想インターフェイスで、Accelerated VPN を使用できますか?

A: いいえ、パブリック Direct Connect 仮想インターフェイスを介した Accelerated サイト間 VPN は使用できません。ほとんどの場合、パブリック Direct Connect 上で使用しても、Accelerated サイト間 VPN から得られる利点はありません。

Q: どの AWS リージョンで Accelerated サイト間 VPN を利用できますか?

A: Accelerated サイト間 VPN は、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (ロンドン)、欧州 (パリ)、アジアパシフィック (シンガポール)、アジアパシフィック (東京)、アジアパシフィック (シドニー)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、カナダ (中部) の AWS リージョンで、現在ご利用いただけます。

 

AWS Client VPN の設定と管理

Q: AWS Client VPN はどのようにセットアップしますか?

A: IT 管理者が Client VPN エンドポイントを作成し、そのエンドポイントにターゲットネットワークを関連付け、エンドユーザーの接続を許可するようにアクセスポリシーを設定します。Client VPN 設定ファイルを IT 管理者がエンドユーザーに配布します。エンドユーザーは、OpenVPN クライアントをダウンロードし、Client VPN 設定ファイルを使用して VPN セッションを作成する必要があります。

Q: 接続をセットアップするには、エンドユーザーは何をする必要がありますか?

A: エンドユーザーは、OpenVPN クライアントをデバイスにダウンロードする必要があります。次に、AWS Client VPN 設定ファイルを OpenVPN クライアントにインポートし、VPN 接続を開始します。


AWS Client VPN 接続

Q: 他のネットワークへの接続はどうすれば有効にできますか?

A: 重複している Amazon VPC、仮想ゲートウェイ経由あるいは S3 などの AWS のサービスやエンドポイントを経由するオンプレミスネットワーク、AWS PrivateLink 経由のネットワークおよびインターネットゲートウェイ経由のその他のリソースなどへの接続を有効にできます。接続を有効にするには、Client VPN ルートテーブル内の特定のネットワークにルートを追加し、特定のネットワークへのアクセスを有効にする認証ルールを追加してください。

Q: Client VPN エンドポイントは、関連付けられているサブネットの異なるアカウントに属することができますか?

A: いいえ。関連付けられているサブネットは、Client VPN エンドポイントと同じアカウントにある必要があります。

Q: プライベート IP アドレスを使用して、TLS セッションを設定した地域とは異なる地域内の VPC のリソースにアクセスできますか?

A: これを実現するには、次の 2 つのステップを実行します。まず、(異なるリージョンにある) 異動先の VPC と Client VPN が関連づけられた VPC の間に、クロスリージョンピアリング接続を設定します。次に、Client VPN エンドポイントの異動先の VPC に、ルートとアクセスルールを追加します。これで、Client VPN エンドポイントとは異なるリージョンにある送信先 VPC 内のリソースにアクセスできるようになります。

Q: Client VPN では、どのトランスポートプロトコルがサポートされていますか?

A: VPN セッションには、TCP あるいは UDP が選択できます。

Q: AWS Client VPN は分割トンネルをサポートしていますか?

A: はい。スプリットトンネルを有効または無効にしてエンドポイントを作成することを選択できます。以前スプリットトンネルを無効にしてエンドポイントを作成したことがある場合は、エンドポイントを変更してスプリットトンネルを有効にすることもできます。スプリットトンネルが有効な場合、エンドポイントで設定されたルートを送信先とするトラフィックは、VPN トンネルを介してルーティングされます。他のすべてのトラフィックは、ローカルネットワークインターフェイス経由でルーティングされます。スプリットトンネルが無効になっている場合、デバイスからのすべてのトラフィックは VPN トンネルを走査します。

AWS Client VPN の認証と認可

Q: AWS Client VPN では、どの認証メカニズムがサポートされますか?

A: Client VPN では、AWS Directory Service および証明書ベースの認証を使用した Active Directory による認証をサポートしています。

Q: ユーザーの認証にオンプレミス Active Directory サービスを使用できますか?

A: はい。AWS Client VPN は、オンプレミス Active Directory に接続できるようにする AWS Directory Service と統合されています。

Q: AWS Client VPN では相互認証はサポートされていますか?

A: はい。相互認証は AWS Client VPN でサポートされています。相互認証が有効になっている場合、ユーザーはサーバーにクライアント証明書を発行する際に使用されるルート証明書をアップロードする必要があります。

Q: クライアント証明書をブラックリストに加えることはできますか?

A: はい。AWS Client VPN では静的に設定された証明書取り消しリスト (CRL) がサポートされています。

Q: AWS Client VPN では、ユーザーが自身の証明書を持ち込むことはできますか?

A: はい。サーバーの証明書、ルート証明機関 (CA) による証明書、およびサーバーのプライベートキーをアップロードする必要があります。これらは AWS Certificate Manager にアップロードされます。

Q: AWS Client VPN は AWS Certificate Manager (ACM) と同号してサーバー証明書を生成しますか?

A: はい。外部ルート CA に連鎖された下位 CA として ACM を使用することができます。その後、ACM はサーバー証明書を生成します。このシナリオでは、ACM はサーバー証明書のローテーションも行います。

Q: AWS Client VPN は体制の評価をサポートしていますか?

A: いいえ。AWS Client VPN では体制の評価はサポートされません。Amazon Inspectors などのその他の AWS のサービスでは体制の評価がサポートされています。

Q: AWS Client VPN では Multi-Factor Authentication (MFA) がサポートされていますか?

A: はい。AWS Client VPN では、AWS Directory Service を使用した Active Directory による MFA がサポートされています。

Q: AWS Client VPN ではどのように認証をサポートしていますか?

A: ネットワークにアクセスできるユーザーを制限する認可ルールを設定します。特定のネットワークでは、アクセスを許可する Active Directory グループを設定します。Active Directory グループに属したユーザーのみが、特定のネットワークへアクセスできます。

Q: AWS Client VPN ではセキュリティグループをサポートしていますか?

A: セキュリティグループは Client VPN でサポートされています。関連グループにセキュリティグループを指定できます。サブネットが関連付けられると、そのサブネットの VPC のデフォルトセキュリティグループが自動的に適用されます。

Q: セキュリティグループを使用して Client VPN 接続のみにアプリケーションへのアクセスを制限するにはどうすればよいですか?

A: アプリケーションでは、関連するサブネットに適用されているセキュリティグループからのアクセスのみを許可するように指定できます。これで、Client VPN 経由で接続されているユーザーだけにアクセスを制限できます。

 

AWS Client VPN の可視性とモニタリング

Q: AWS Client VPN はどのログをサポートしていますか?

A: Client VPN では、最適な方法として CloudWatch Logs へ接続ログをエクスポートします。これらのログは 15 分間隔で定期的にエクスポートされます。接続ログには、接続リクエストの作成と終了に関する詳細が含まれています。

Q: Client VPN は、エンドポイントで Amazon VPC Flow Logs をサポートしていますか?

A: いいえ。Amazon VPC Flow Logs は関連する Amazon VPC でご利用いただけます。

Q: アクティブ接続はモニタリングできますか?

A: はい。CLI あるいはコンソールを使用して、その時点でのエンドポイントのアクティブ接続を表示したり、アクティブ接続を終了したりすることができます。

Q: CloudWatch を使用してエンドポイントでモニタリングできますか?

A: はい。CloudWatch モニターでは、それぞれの Client VPN エンドポイントの送受信バイトおよびアクティブ接続を表示できます。

VPN クライアント

Q: AWS Client VPN 用のフリーソフトウェアクライアントをデプロイするにはどうすればよいですか?

A: AWS クライアント VPN のソフトウェアクライアントは、既存の AWS クライアント VPN 設定と互換性があります。クライアントは、AWS Client VPN サービスによって生成された OpenVPN 設定ファイルを使用したプロファイルの追加をサポートしています。プロファイルが作成されると、クライアントは設定に基づいてエンドポイントに接続します。

Q: AWS Client VPN のソフトウェアクライアントを使用するための追加料金はいくらですか?

A: ソフトウェアクライアントは無料で提供されます。AWS Client VPN サービスの使用に対してのみ請求されます。

Q: どのタイプのデバイスとオペレーティングシステムのバージョンがサポートされていますか?

A: 現在、Windows 7 (以降) および macOS (macOS Sierra 以上の 64 ビットバージョン) デスクトップデバイスをサポートしています。これらには、Windows 10 および macOS デバイスが含まれます。新しいオペレーティングシステムがリリースされると、サポートを迅速に追加します。

Q: 接続プロファイルはすべてのデバイス間で同期されますか?

A: いいえ。ただし、IT 管理者はソフトウェアクライアントのデプロイ用構成ファイルを提供して、設定を事前構成できます。

Q: AWS Client VPN のソフトウェアクライアントを実行するには、デバイスの管理者権限が必要ですか?

A: はい。Windows と Mac の両方にアプリをインストールするには管理者権限が必要です。それ以降は、管理者アクセスは必要ありません。

Q: AWS Client VPN のクライアントはどの VPN プロトコルを使用していますか?

A: ソフトウェアクライアントを含む AWS クライアント VPN は、OpenVPN プロトコルをサポートしています。

Q: AWS クライアント VPN サービスでサポートされるすべての機能は、ソフトウェアクライアントを使用してサポートされますか?

A: はい。クライアントは、AWS Client VPN サービスが提供するすべての機能をサポートしています。

Q: AWS Client VPN のソフトウェアクライアントは、接続時に LAN アクセスを許可しますか?

A: はい。AWS VPN クライアントに接続すると、ローカルエリアネットワークにアクセスできます。

Q: ソフトウェアクライアントを使用して、どの認証機能をサポートできますか?

A: AWS Client VPN のソフトウェアクライアントは、AWS Directory Services (MFA の有無にかかわらず) および相互認証を使用した Active Directory をサポートしています。

Q: AWS Client VPN ではどのような種類のクライアントログがサポートされますか?

A: ユーザーが接続を試みると、接続設定の詳細が記録されます。接続試行は最大 30 日間保存され、最大ファイルサイズは 90 MB です。

Q: AWS Client VPN のソフトウェアクライアントと、AWS Client VPN エンドポイントに接続する標準ベースの OpenVPN クライアントを混在させることはできますか?

A: はい、AWS Client VPN エンドポイントで定義された認証タイプが標準ベースの OpenVPN クライアントでサポートされていると仮定します。

Q: AWS Client VPN のソフトウェアクライアントはどこからダウンロードできますか?

A: AWS Client VPN 製品ページからカスタマイズせずに汎用クライアントをダウンロードできます。IT 管理者は、自分のシステム内でダウンロードをホストするように選択できます。

Q: 1 つのデバイスで複数のタイプの VPN クライアントを実行できますか?

A: デバイスで複数の VPN クライアントを実行することはお勧めしません。これにより競合が発生したり、VPN クライアントが相互に干渉して接続が失敗したりする可能性があります。ただし、AWS Client VPN は別の VPN クライアントと一緒にインストールできます。

仮想プライベートゲートウェイ

Q: これはどのような機能ですか?

A: 新しい仮想ゲートウェイでは、設定可能なプライベート自律システム番号 (ASN) によって、VPN および AWS Direct Connect プライベート VIF 向け BGP セッションの Amazon 側の ASN をお客様が設定できます。

Q: この機能の利用料金はいくらですか?

A: この機能に追加料金は発生しません。

Q: Amazon 側 ASN としてアドバタイズされるように自分の ASN を設定および割り当てを行う方法を教えてください。

A: 仮想プライベートゲートウェイ (仮想ゲートウェイ) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行います。仮想プライベートゲートウェイは、VPC コンソールまたは EC2/CreateVpnGateway API 呼び出しを使って作成できます。

Q: この機能以前、Amazon ではどのような ASN を割り当てていましたか?

A: Amazon では、欧州西部 (ダブリン) に 9059、アジアパシフィック (シンガポール) に 17493、アジアパシフィック (東京) に 10124 を割り当てていました。その他すべてのリージョンでは ASN 7224 が割り当てられていました。これらの ASN は、そのリージョンの「レガシーパブリック ASN」と呼ばれます。

Q: パブリックでもプライベートでも、すべての ASN を使用できますか?

A: Amazon 側には、任意のプライベート ASN を割り当てることができます。2018 年 6 月 30 日までは、そのリージョンの「レガシーパブリック ASN」を割り当てることができ、それ以外のパブリック ASN を割り当てることはできません。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: BGP セッションの Amazon 側にパブリック ASN を割り当てられないのはなぜですか?

A: Amazon は ASN の所有権を検証しません。このため、Amazon 側 ASN をプライベート ASN のみに制限しています。お客様を BGP スプーフィングから保護したいと考えています。

Q: どのような ASN を選択できますか?

A: 任意のプライベート ASN を選択できます。16 ビットのプライベート ASN の範囲は、64512~65534 です。32 ビット ASN では、4200000000~4294967294 を利用できます。

お客様が選択しない場合は、Amazon が仮想プライベートゲートウェイのデフォルト ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: パブリック ASN を BGP セッションの Amazon 側に割り当てるとどうなりますか?

そのリージョンの「レガシーパブリック ASN」でない限り、仮想プライベートゲートウェイの作成を試みた際にプライベート ASN の再入力を要求します。

Q: BGP セッションの Amazon 側の ASN を自分で指定しない場合、Amazon によってどのような ASN が割り当てられますか?

A: お客様が選択しない場合は、Amazon が仮想プライベートゲートウェイ用の ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: Amazon 側 ASN はどこに表示されますか?

A: Amazon 側 ASN は、VPC コンソールの仮想プライベートゲートウェイページや、EC2/DescribeVpnGateways API の応答内に表示されます。

Q: パブリック ASN を持っている場合、AWS 側のプライベート ASN と合わせて使用できますか?

A: はい。BGP セッションの Amazon 側にプライベート ASN を、お客様側にパブリック ASN を設定できます。

Q: プライベート VIF がすでに構成されています。既存の VIF の BGP セッションに別の Amazon 側 ASN を設定したいと考えています。この変更を実行するにはどうすればよいですか?

A: 希望する ASN で仮想ゲートウェイを新規作成し、作成された新しい仮想ゲートウェイで VIF を新規作成する必要があります。デバイス設定も必要に応じて変更する必要があります。

Q: VPN 接続がすでに設定されています。この VPN の BGP セッションの Amazon 側 ASN を変更したいと考えています。この変更を実行するにはどうすればよいですか?

A: ご希望の ASN で新しい仮想ゲートウェイを作成し、カスタマーゲートウェイと新規作成された仮想ゲートウェイとの間に VPN 接続を再作成することが必要です。

Q: 既存の仮想ゲートウェイに、Amazon から割り当てられたパブリック ASN 7224 を使用したプライベート VIF/VPN 接続が設定されています。Amazon が新しいプライベート仮想ゲートウェイに ASN を自動生成する場合、どのような Amazon 側 ASN が割り当てられますか?

A: Amazon では、新しい仮想ゲートウェイ用の Amazon 側 ASN に 64512 を割り当てます。

Q: 既存の仮想ゲートウェイに、Amazon から割り当てられたパブリック ASN を使用したプライベート VIF/VPN 接続が設定されています。これから作成する新しいプライベート VIF/VPN 接続にも、Amazon から割り当てられた同一のパブリック ASN を使用したいと考えています。どのようにすれば実現できますか?

A: 仮想プライベートゲートウェイ (仮想ゲートウェイ) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行います。仮想ゲートウェイはコンソールまたは EC2/CreateVpnGateway API コールを使用して作成できます。先述のように、2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: 既存の仮想ゲートウェイに、Amazon から割り当てられたパブリック ASN 7224 を使用したプライベート VIF/VPN 接続が設定されています。Amazon が同じ仮想ゲートウェイを使用する新しいプライベート VIF/VPN 接続に ASN を自動生成する場合、どのような Amazon 側 ASN が割り当てられますか?

A: Amazon では、新しい VIF/VPN 接続の Amazon 側 ASN に 7224 を割り当てます。新しいプライベート VIF/VPN 接続の Amazon 側 ASN は、既存の仮想ゲートウェイおよびその ASN に対するデフォルトから継承されます。

Q: 単一の仮想ゲートウェイに複数のプライベート VIF をアタッチしようとしています。各 VIF に個別の Amazon 側 ASN を設定できますか?

A: いいえ。仮想ゲートウェイごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VIF ごとに割り当ておよび設定することはできません。VIF の Amazon 側 ASN は、アタッチされた仮想ゲートウェイの Amazon 側 ASN から継承されます。

Q: 単一の仮想ゲートウェイに複数の VPN 接続を作成しようとしています。各 VPN 接続に個別の Amazon 側 ASN を設定できますか?

A: いいえ。仮想ゲートウェイごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VPN 接続ごとに割り当ておよび設定することはできません。VPN 接続の Amazon 側 ASN は、仮想ゲートウェイの Amazon 側 ASN から継承されます。

Q: 独自の ASN はどこで選択できますか?

A: VPC コンソールで仮想ゲートウェイを作成する場合、Amazon BGP ASN を自動生成するかどうかのチェックをオフにし、BGP セッションの Amazon 側 ASN に独自のプライベート ASN を指定します。仮想ゲートウェイに Amazon 側 ASN を設定すると、その仮想ゲートウェイを使用して作成されるプライベート VIF や VPN 接続で Amazon 側 ASN が使用されるようになります。

Q.現在 CloudHub を使用しています。今後、設定の調整が必要になりますか?

A: 変更は不要です。

Q: 32 ビット ASN を選択したいと考えています。32 ビットプライベート ASN の範囲を教えてください。

A: AWS では 4200000000~4294967294 の 32 ビット ASN が利用できます。

Q: 仮想ゲートウェイが作成されたあとに Amazon 側 ASN を変更することは可能ですか?

A: いいえ。作成後は Amazon 側 ASN を変更できません。仮想ゲートウェイを削除して、ご希望の ASN を使用して新しい仮想ゲートウェイを再作成することは可能です。

Q: Amazon 側 ASN の設定および割り当てを行うための新しい API はありますか?

A: いいえ。従来と同じ API (EC2/CreateVpnGateway) で実行できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。

Q: Amazon 側 ASN を表示するための新しい API はありますか?

A: いいえ。Amazon 側 ASN は従来と同じ EC2/DescribeVpnGateways API で表示できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。

Product-Page_Standard-Icons_01_Product-Features_SqInk
料金の詳細について

どの料金が最適か簡単に判断できるよう、シンプルな料金体系になっています。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで AWS VPN を使用して構築を開始します。

開始方法