AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

AWS Direct Connect 接続を介して暗号化された接続を確立する方法を教えてください。

所要時間1分
0

AWS ダイレクトコネクト接続を介して、ローカルネットワークから Amazon Virtual Private Cloud (Amazon VPC) への暗号化された接続を確立したいと考えています。

簡単な説明

AWS Direct Connect は、ローカルネットワークと AWS 間で一貫したスループットを実現する、専用のプライベート接続を提供します。AWS Direct Connect 接続は、デフォルトでは暗号化されません。AWS Direct Connect 接続上のトラフィックを暗号化するには、次のいずれかの方法を使用します。

  • MAC セキュリティ (MACsec) を使用してください。MACsec は、専用の直接接続を介してポイントツーポイント暗号化を提供します。MACsec をサポートする接続の詳細については、「AWS Direct Connect」を参照してください。
  • Direct Connect 経由で AWS Site-to-Site VPN を作成します。サイト間 VPN は、カスタマーゲートウェイと AWS ゲートウェイ間の暗号化を行います。AWS ゲートウェイは、AWS Transit Gateway でも仮想プライベートゲートウェイでもかまいません。

MACsec 暗号化の使用方法の詳細については、「専用接続での MACsec 入門」を参照してください。

MACsec を使用しない場合は、サイト間 VPN を使用してください。サイト間 VPN により、オンプレミスアプライアンスと仮想プライベートゲートウェイまたはトランジットゲートウェイの間の VPN トンネルが可能になります。Amazon VPC への直接接続を介してサイト間 VPN を構築するには、パブリック仮想インターフェイスを使用します。オンプレミス機器と AWS Transit Gateway の間にサイト間 VPN を構築するには、パブリック仮想インターフェイスまたはトランジット仮想インターフェイスを選択します。

解決策

パブリック仮想インターフェイスを介したサイト間VPNの作成

  1. Direct Connect 接続を作成します

  2. Direct Connect 接続用のパブリック仮想インターフェイスを作成します。

    アドバタイズするプレフィックスにはカスタマーゲートウェイデバイスのパブリックIPアドレスとアドバタイズしたいネットワークプレフィックスを入力します。

    **注:**パブリック仮想インターフェイスは、各 AWS リージョン (AWS 中国リージョンを除く) からすべての AWS パブリック IP アドレスプレフィックスを受け取ります。これらには、AWS マネージド VPN エンドポイントのパブリック IP アドレスが含まれます。ボーダーゲートウェイプロトコル (BGP) コミュニティを使用して、ローカル AWS リージョンまたは大陸の AWS リージョンでプレフィックスをフィルタリングします。

  3. 仮想プライベートゲートウェイまたは AWS トランジットゲートウェイへの新しい VPN 接続を作成します

    カスタマーゲートウェイの設定では、前のステップで指定したのと同じパブリック IP アドレスを使用します。

    **注:**VPN トンネルを作成するようにカスタマーゲートウェイデバイスを設定します。設定例は、AWS マネジメントコンソールまたは AWS コマンドラインインターフェイス (AWS CLI) からダウンロードできます。

トランジット仮想インターフェイスを介したサイト間VPNの作成

  1. Direct Connect 接続を作成します

  2. IP CIDR ブロックをトランジットゲートウェイに関連付けます。169.254.0.0/16 の範囲のアドレスや、VPC アタッチメントやオンプレミスネットワークのアドレスと重複する範囲を関連付けることはできません。既存のトランジットゲートウェイを変更して、この CIDR ブロックを追加できます。

  3. トランジット仮想インターフェースを作成します。トランジット仮想インターフェイス構成では、既存の Direct Connect ゲートウェイを選択するか、新しいゲートウェイを作成できます。

    : Direct Connect ゲートウェイを仮想プライベートゲートウェイとトランジットゲートウェイに同時に関連付けることはできません。

  4. トランジットゲートウェイを Direct Connect ゲートウェイに関連付けます。前のステップで設定した Transit Gateway CIDR ブロックが、許可されたプレフィックスを介してローカルネットワークにアナウンスされていることを確認します。

  5. プライベート IP アドレスを使用してトランジットゲートウェイへの新しい VPN 接続を作成します。

  6. VPN トンネルを作成するようにカスタマーゲートウェイデバイスを設定します。AWS マネジメントコンソールまたは AWS CLI から設定例をダウンロードできます。

関連情報

AWS Direct Connect のトラブルシューティング

AWS CloudTrail を使用して AWS Direct Connect API 呼び出しを記録する

サイト間 VPN 接続の監視

AWS Site-to-Site VPN ログ

Amazon 仮想プライベートクラウド接続オプション

トピック
ネットワークとコンテンツ配信
タグ
AWS Direct Connect
言語
日本語
AWS公式
AWS公式更新しました 9ヶ月前
コメントはありません

関連するコンテンツ