AWS Client VPN ユーザーに、エンドデバイスから AWS リソースへの安全な接続を確立してもらいたいと考えています。
解決策
特定のリソースへのクライアント VPN アクセスを設定する前に、次の情報を確認します。
- クライアント VPN エンドポイントをサブネットに関連付けると、エラスティックネットワークインターフェイスが関連付けられたサブネットに作成されます。これらのネットワークインターフェイスは、サブネットの CIDR から IP アドレスを受け取ります。
- クライアント VPN 接続が確立されると、エンドデバイス上に仮想トンネルアダプタ (VTAP) が作成されます。仮想アダプタは、クライアント VPN エンドポイントのクライアント IPv4 CIDR から IP アドレスを受け取ります。
- サブネットをクライアント VPN エンドポイントに関連付けると、クライアント VPN ネットワークインターフェイスがそのサブネットに作成されます。クライアント VPN エンドポイントから仮想プライベートクラウド (VPC) に送信されるトラフィックは、クライアント VPN ネットワークインターフェイスを介して送信されます。次に、送信元ネットワークアドレス変換 (SNAT) が適用されます。つまり、クライアントの CIDR 範囲の送信元 IP アドレスが、クライアント VPN ネットワークインターフェイスの IP アドレスに変換されます。
クライアント VPN のエンドユーザーに特定の AWS リソースへのアクセスを許可するには:
- クライアント VPN エンドポイントの関連サブネットとターゲットリソースのネットワーク間のルーティングを設定します。ターゲットリソースがエンドポイントに関連付けられているのと同じ VPC にある場合は、ルートを追加する必要はありません。この場合、VPC のローカルルートがトラフィックの転送に使用されます。ターゲットリソースがエンドポイントに関連付けられているのと同じ VPC にない場合は、クライアント VPN エンドポイントの関連するサブネットルートテーブルにそれぞれのルートを追加します。
- ターゲットリソースのセキュリティグループを設定して、クライアント VPN エンドポイントの関連するサブネットを経由するインバウンドトラフィックとアウトバウンドトラフィックを許可します。または、エンドポイントに適用されているセキュリティグループを使用するには、ターゲットリソースのセキュリティグループルールでエンドポイントにアタッチされているセキュリティグループを参照します。
- ターゲットリソースのネットワークアクセスコントロールリスト (ネットワーク ACL) を構成して、クライアント VPN エンドポイントの関連サブネットを経由するインバウンドトラフィックとアウトバウンドトラフィックを許可します。
- クライアント VPN エンドポイントの認証ルール内のターゲットリソースへのエンドユーザーアクセスを許可します。詳細については、「AWS クライアント VPN 認証ルール」を参照してください。
- クライアント VPN ルートテーブルにターゲットリソースのネットワーク範囲のルートがあることを確認します。詳細については、「AWS クライアント VPN ルート」と「AWS Client VPN ターゲットネットワーク」を参照してください。
- Client VPN エンドポイントの関連するセキュリティグループのターゲットリソースへのアウトバウンドアクセスを許可します。
**注:**クライアント VPN エンドポイントに複数のサブネットが関連付けられている場合は、各クライアント VPN サブネット CIDR からの次のアクセスを許可する必要があります。
- ターゲットリソースのセキュリティグループ
- ターゲットリソースのネットワーク ACL
ユーザーがアクセスするリソースタイプに基づいて、接続を確立するために必要なルート、セキュリティグループルール、および認証ルールを作成します。アクセスを構成する方法については、「クライアント VPN のシナリオと例」を参照してください。
**注:**ユースケースに応じて、VPC へのクライアント VPN 接続を確立し、引き続きローカルゲートウェイ経由でインターネットトラフィックをルーティングできます。これを行うには、スプリットトンネルのクライアント VPN エンドポイントを設定します。
関連情報
AWS クライアント VPN の仕組み