AWS ダイレクトコネクト接続を介して、ローカルネットワークから Amazon Virtual Private Cloud (Amazon VPC) への暗号化された接続を確立したいと考えています。
AWS Direct Connect は、ローカルネットワークと AWS 間で一貫したスループットを実現する、専用のプライベート接続を提供します。AWS Direct Connect 接続は、デフォルトでは暗号化されません。AWS Direct Connect 接続上のトラフィックを暗号化するには、次のいずれかの方法を使用します。
MACsec 暗号化の使用方法の詳細については、「専用接続での MACsec 入門」を参照してください。
MACsec を使用しない場合は、サイト間 VPN を使用してください。サイト間 VPN により、オンプレミスアプライアンスと仮想プライベートゲートウェイまたはトランジットゲートウェイの間の VPN トンネルが可能になります。Amazon VPC への直接接続を介してサイト間 VPN を構築するには、パブリック仮想インターフェイスを使用します。オンプレミス機器と AWS Transit Gateway の間にサイト間 VPN を構築するには、パブリック仮想インターフェイスまたはトランジット仮想インターフェイスを選択します。
Direct Connect 接続を作成します。
Direct Connect 接続用のパブリック仮想インターフェイスを作成します。
アドバタイズするプレフィックスには、カスタマーゲートウェイデバイスのパブリックIPアドレスとアドバタイズしたいネットワークプレフィックスを入力します。
**注:**パブリック仮想インターフェイスは、各 AWS リージョン (AWS 中国リージョンを除く) からすべての AWS パブリック IP アドレスプレフィックスを受け取ります。これらには、AWS マネージド VPN エンドポイントのパブリック IP アドレスが含まれます。ボーダーゲートウェイプロトコル (BGP) コミュニティを使用して、ローカル AWS リージョンまたは大陸の AWS リージョンでプレフィックスをフィルタリングします。
仮想プライベートゲートウェイまたは AWS トランジットゲートウェイへの新しい VPN 接続を作成します。
カスタマーゲートウェイの設定では、前のステップで指定したのと同じパブリック IP アドレスを使用します。
**注:**VPN トンネルを作成するようにカスタマーゲートウェイデバイスを設定します。設定例は、AWS マネジメントコンソールまたは AWS コマンドラインインターフェイス (AWS CLI) からダウンロードできます。
IP CIDR ブロックをトランジットゲートウェイに関連付けます。169.254.0.0/16 の範囲のアドレスや、VPC アタッチメントやオンプレミスネットワークのアドレスと重複する範囲を関連付けることはできません。既存のトランジットゲートウェイを変更して、この CIDR ブロックを追加できます。
トランジット仮想インターフェースを作成します。トランジット仮想インターフェイス構成では、既存の Direct Connect ゲートウェイを選択するか、新しいゲートウェイを作成できます。
注: Direct Connect ゲートウェイを仮想プライベートゲートウェイとトランジットゲートウェイに同時に関連付けることはできません。
トランジットゲートウェイを Direct Connect ゲートウェイに関連付けます。前のステップで設定した Transit Gateway CIDR ブロックが、許可されたプレフィックスを介してローカルネットワークにアナウンスされていることを確認します。
プライベート IP アドレスを使用してトランジットゲートウェイへの新しい VPN 接続を作成します。
VPN トンネルを作成するようにカスタマーゲートウェイデバイスを設定します。AWS マネジメントコンソールまたは AWS CLI から設定例をダウンロードできます。
AWS Direct Connect のトラブルシューティング
AWS CloudTrail を使用して AWS Direct Connect API 呼び出しを記録する
サイト間 VPN 接続の監視
AWS Site-to-Site VPN ログ
Amazon 仮想プライベートクラウド接続オプション