AWS Direct Connect 接続を介して暗号化された接続を確立する方法を教えてください。

所要時間2分

AWS ダイレクトコネクト接続を介して、ローカルネットワークから Amazon Virtual Private Cloud (Amazon VPC) への暗号化された接続を確立したいと考えています。

簡単な説明

次のいずれかの方法で AWS Direct Connect 接続経由のトラフィックを暗号化します。

AWS Direct Connect で MAC セキュリティ (MACsec) を使用します。MACsec をサポートする接続については、「サポートされている接続」を参照してください。
Direct Connect 経由で AWS Site-to-Site VPN を作成します。Site-to-Site VPN は、カスタマーゲートウェイと AWS ゲートウェイ間の暗号化を行います。AWS ゲートウェイには、AWS Transit Gateway または仮想プライベートゲートウェイを使用できます。

Amazon VPC への直接接続を経由する Site-to-Site VPN を構築するには、Direct Connect パブリック仮想インターフェイスを使用します。オンプレミス機器と AWS Transit Gateway の間に Site-to-Site VPN を構築するには、Direct Connect トランジット仮想インターフェイスを選択します。

Amazon VPC へのネットワークでは、複数種類の接続オプションがサポートされます。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

MACsec を使用する

MACsec の使用方法については、「専有 AWS Direct Connect 接続での MACsec の開始方法」を参照してください。

パブリック仮想インターフェイス経由で Site-to-Site VPN を作成する

次の手順を実行します。

接続ウィザードを使用して Direct Connect 専有接続を作成します。
Direct Connect パブリック仮想インターフェイスを作成します。[アドバタイズするプレフィックス] には、Site-to-Site VPN カスタマーゲートウェイデバイスのパブリック IP アドレスおよび、アドバタイズするネットワークのプレフィックスを入力します。
注: パブリック仮想インターフェイスは、AWS China リージョン以外の各 AWS リージョンから、全ての AWS パブリック IP アドレスのプレフィックスを受け付けます。これらには、AWS マネージド VPN エンドポイントのパブリック IP アドレスが含まれます。ボーダーゲートウェイプロトコル (BGP) コミュニティを使用すると、プレフィックスをローカルリージョンごとに、あるいは大陸の全リージョンごとに絞り込めます。
仮想プライベートゲートウェイまたは AWS Transit Gateway への新しい VPN 接続を作成します。
[カスタマーゲートウェイ] で [既存] を選択し、作成したカスタマーゲートウェイを選択します。
カスタマーゲートウェイデバイスを設定し、VPN トンネルを作成します。Amazon VPC コンソールまたは AWS CLI を使用すると、設定ファイル例をダウンロードできます。

トランジット仮想インターフェイス経由で Site-to-Site VPN を作成する