# クライアント IP アドレスが保存されているエンドポイントの要件 クライアント IP アドレスの保存で使用できるエンドポイントタイプには、特定の要件があります。> この機能は、このセクションで説明する追加要件に従って、Application Load Balancer、セキュリティグループを持つ Network Load Balancer、Amazon EC2 インスタンスであるエンドポイントで使用できます。カスタムルーティングアクセラレーターのエンドポイントでは、常にクライアント IP アドレスが保存されます。 このセクションでは、クライアント IP アドレスの保存を有効にして追加するエンドポイントに固有の情報を提供します。全体的なエンドポイント要件の詳細については、[アクセラレーターエンドポイントとして追加するリソースの要件](about-endpoints-caveats.md) を参照してください。 さらに、クライアント IP アドレスの保存に関するベストプラクティスの詳細については、[クライアント IP アドレスを保存する ENI とセキュリティグループのベストプラクティス](best-practices-aga.md) を参照してください。 クライアント IP アドレスの保存機能を使用する場合は、Global Accelerator のエンドポイントの全体的な要件に加えて、Global Accelerator にエンドポイントを追加するときに以下の点に注意してください。 **Elastic IP アドレス** Global Accelerator の Elastic IP アドレスエンドポイントでは、クライアント IP アドレスの保存はサポートされていません。 **Network Load Balancer エンドポイント** Network Load Balancer リソースを Global Accelerator にエンドポイントとして追加するときにクライアント IP アドレスの保存を有効にする場合は、クライアント IP アドレスの保存は以下ではサポートされていないことに注意してください。 + セキュリティグループなしの Network Load Balancer + TLS リスナーがアタッチされたセキュリティグループを使用する + EC2 ターゲットへの IPv4 から IPv6 への NAT 変換を実行するセキュリティグループを使用する Network Load Balancer さらに、Network Load Balancer では、ターゲットが Network Load Balancer と同じ VPC にある場合にのみ、クライアント IP アドレスの保存がサポートされます。トラフィックは、Network Load Balancer からターゲットに直接流れる必要があります。 **Elastic Network Interface** クライアント IP アドレスの保存をサポートするために、Global Accelerator は、エンドポイントが存在するサブネットごとに 1 つずつ、AWS アカウントに Elastic Network Interface を作成します。Global Accelerator がElastic Network Interface と連携する方法の詳細については、[クライアント IP アドレスを保存する ENI とセキュリティグループのベストプラクティス](best-practices-aga.md) を参照してください。 **プライベートサブネット内のエンドポイント** Global Accelerator を使用して、プライベートサブネット内の Application Load Balancer 、Network Load Balancer 、または EC2 インスタンスをターゲットにできますが、エンドポイントを含む VPC に「[インターネットゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)」がアタッチされている必要があります。詳細については、「[AWS Global Accelerator での安全な VPC 接続](secure-vpc-connections.md)」を参照してください。 ベストプラクティスとして、トラフィックを Global Accelerator のみで配信したい場合は、プライベートサブネットを使用することをお勧めします。また、インバウンドセキュリティグループルールが、アプリケーションのトラフィックを正しく許可または拒否するように適切に設定されていることを確認してください。 **クライアント IP アドレスを許可リストに追加する** クライアント IP アドレスを保存するエンドポイントを追加し、トラフィックのルーティングを開始する前に確認してください。必要なすべてのセキュリティ設定(例: セキュリティグループ)が、ユーザークライアントの IP アドレスを許可リストに含めるよう更新されていることを確認する必要があります。ネットワークアクセスコントロールリスト (ACL) は、送信 (アウトバウンド) トラフィックにのみ適用されます。受信 (インバウンド) トラフィックをフィルタリングする必要がある場合は、セキュリティグループを使用する必要があります。 **ネットワークアクセスコントロールリスト (ACL) を設定する** VPC サブネットに関連付けられたネットワーク ACL は、アクセラレーターでクライアント IP アドレスの保存が有効になっている場合、送信 (アウトバウンド) トラフィックに適用されます。ただし、トラフィックを Global Accelerator 経由で終了できるようにするには、ACL をインバウンドルールとアウトバウンドルールの両方として設定する必要があります。 例えば、エフェメラルソースポートを使用して TCP および UDP クライアントが Global Accelerator を介してエンドポイントに接続できるようにするには、エンドポイントのサブネットを、エフェメラル TCP または UDP ポート (ポート範囲 1024-65535、宛先 0.0.0.0/0) 宛てのアウトバウンドトラフィックを許可するネットワーク ACL に関連付けます。さらに、一致するインバウンドルール (ポート範囲 1024-65535、ソース 0.0.0.0/0) を作成します。 セキュリティグループと WAF については、次の点に注意してください: + セキュリティグループと AWS WAF ルールは、リソースを保護するために適用できる追加の機能セットです。例えば、Amazon EC2 インスタンスと Application Load Balancer に関連付けられたインバウンドセキュリティグループルールを使用すると、クライアントが Global Accelerator を介して接続できる送信先ポートを制御できます。例えば、HTTP の場合はポート 80、HTTPS の場合はポート 443 などです。 + Amazon EC2 インスタンスセキュリティグループは、Global Accelerator からのトラフィックや、インスタンスに割り当てられたパブリック IP アドレスまたは Elastic IP アドレスなど、インスタンスに到着するすべてのトラフィックに適用されます。