翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Transit Gateway の AWS Transit Gateway
Transit Gateway を使用すると、VPC と VPN 接続をアタッチして、それらの間でトラフィックをルーティングできます。トランジットゲートウェイは連携し AWS アカウント、 AWS RAM を使用してトランジットゲートウェイを他のアカウントと共有できます。トランジットゲートウェイを別の と共有すると AWS アカウント、アカウント所有者は VPCsをトランジットゲートウェイにアタッチできます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。
トランジットゲートウェイでマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにする トランジットゲートウェイマルチキャストドメインを作成できます。
各 VPC または VPN アタッチメントは、単一のルートテーブルに関連付けられています。そのルートテーブルは、そのリソースアタッチメントから来るトラフィックのネクストホップを決定します。Transit Gateway 内のルートテーブルは、IPv4 または IPv6 の両方の CIDR とターゲットを許可します。ターゲットは VPC と VPN 接続です。VPC をアタッチするか、Transit Gateway に VPN 接続を作成すると、その接続は Transit Gateway のデフォルトルートテーブルに関連付けられます。
Transit Gateway 内に追加のルートテーブルを作成し、VPC または VPN の関連付けをこれらのルートテーブルに変更できます。これにより、ネットワークをセグメント化することができます。たとえば、開発 VPC を 1 つのルートテーブルに関連付け、本番 VPC を別のルートテーブルに関連付けることができます。これにより、Transit Gateway 内に、従来のネットワークにおける仮想ルーティングおよび転送 (VRF) と同様の分離された複数のネットワークを作成できるようになります。
Transit Gateway では、アタッチされた VPC と VPN 接続間で動的および静的なルーティングをサポートしています。各アタッチメントのルートの伝播は有効または無効にできます。VPN コンセントレータアタッチメントは、BGP (動的) ルーティングのみをサポートします。Transit Gateway ピアリングアタッチメントは、静的ルーティングのみをサポートします。Transit Gateway ルートテーブル内のルートをピアリングアタッチメントにポイントして、ピアリングされた Transit Gateway 間でトラフィックをルーティングできます。
オプションで、1 つ以上の IPv4 または IPv6 CIDR ブロックを Transit Gateway に関連付けることができます。[Transit Gateway Connect アタッチメント](tgw-connect.md)用の Transit Gateway Connect ピアを確立するときに、CIDR ブロックから IP アドレスを指定します。任意のパブリックまたはプライベート IP アドレス範囲 (`169.254.0.0/16` 範囲内のアドレス、ならびに VPC アタッチメントおよびオンプレミスネットワークのアドレスと重複する範囲を除く) を関連付けることができます。IPv4 CIDR ブロックと IPv6 CIDR ブロックの詳細については、「Amazon VPC ユーザーガイド」の「[IP アドレス指定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)」を参照してください。
**Topics**
+ [Transit Gateway を作成する](create-tgw.md)
+ [Transit Gateway を表示する](view-tgws.md)
+ [Transit Gateway タグを管理する](tgw-tagging.md)
+ [Transit Gateway の変更](tgw-modifying.md)
+ [リソース共有を受け入れる](share-accept-tgw.md)
+ [共有アタッチメントを受け入れる](acccept-tgw-attach.md)
+ [Transit Gateway の削除](delete-tgw.md)
+ [暗号化のサポート](tgw-encryption-support.md)
# Transit Gateway で AWS Transit Gateway を作成する
Transit Gateway を作成すると、デフォルトの Transit Gateway ルートテーブルが作成され、それをデフォルトの関連付けルートテーブルおよびデフォルトの伝達ルートテーブルとして使用します。デフォルトの Transit Gateway ルートテーブルを作成しない場合は、後で作成できます。ルートおよびルートテーブルについての詳細は、「[ルーティング](how-transit-gateways-work.md#tgw-routing-overview)」を参照してください。
**注記**
トランジットゲートウェイで暗号化サポートを有効にする場合は、ゲートウェイの作成中に有効にすることはできません。トランジットゲートウェイを作成し、使用可能な状態になったら、それを変更して Encryption サポートを有効にすることができます。詳細については、「[AWS Transit Gateway の暗号化サポート](tgw-encryption-support.md)」を参照してください。
**コンソールを使用して Transit Gateway を作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。
1. [**Transit Gateway の作成**] を選択します。
1. オプションで、[**名前タグ**] に Transit Gateway の名前を入力します。名前タグを使用すると、ゲートウェイのリストから特定のゲートウェイを識別しやすくなります。[**名前タグ**] を追加すると、[**名前**] というキーと、入力した値と同じ値のタグが作成されます。
1. オプションで、[**説明**] に、Transit Gateway の説明を入力します。
1. [**Amazon 側の自律システム番号 (ASN)**] は、デフォルト値のままにしてデフォルトの自律システム番号 (ASN) を使用するか、または Transit Gateway のプライベート ASN を入力します。これは、ボーダーゲートウェイプロトコル (BGP) セッションの AWS 側の ASN である必要があります。
16 ビット ASN の場合、その範囲は 64512 〜 65534 です。
32 ビット ASN の場合、その範囲は 4200000000 〜 4294967294 です。
マルチリージョンのデプロイがある場合は、Transit Gateway にそれぞれ、一意の ASN を使用することをお勧めします。
1. [**DNS サポート**] で、Transit Gateway にアタッチされている別のVPCのインスタンスから照会されたときに、パブリック IPv4 DNS ホスト名をプライベート IPv4 アドレスに解決するために VPC が必要な場合は、[有効] を選択します。
1. **[セキュリティグループの参照のサポート]** では、この機能を有効にして、Transit Gateway にアタッチされた VPC 間のセキュリティグループを参照します。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
1. [**VPN ECMP サポート**] で、VPN トンネル間で 等コストマルチパス(ECMP) ルーティングサポートが必要な場合は、このオプションを選択します。接続が同じ CIDR をアドバタイズする場合、トラフィックは複数の接続間で均等に分散されます。
このオプションを選択した場合、アドバタイズされた BGP ASN、AS パスなどの BGP 属性を同様に設定する必要があります。
**注記**
ECMP を使用するには、動的ルーティングを使用する VPN 接続を作成する必要があります。静的ルーティングを使用する VPN 接続は、ECMP をサポートしません。
1. [**デフォルトルートテーブルの関連付け**]で、Transit Gateway アタッチメントを Transit Gateway のデフォルトルートテーブルに自動的に関連付けるには、このオプションを選択します。
1. [**デフォルトルートテーブルの伝播**] で、Transit Gateway アタッチメントを Transit Gateway のデフォルトルートテーブルに自動的に伝達するには、このオプションを選択します。
1. (オプション) トランジットゲートウェイをマルチキャストトラフィックのルーターとして使用するには、[**マルチキャストのサポート**] を選択します。
1. (オプション) **[クロスアカウント共有オプションの設定]** セクションで、**[共有アタッチメントを自動承認]** にするかどうかを選択します。有効にすると、アタッチメントは自動的に受け入れられます。それ以外の場合は、アタッチメントリクエストを受け入れる、または拒否する必要があります。
[**共有アタッチメントを自動的に受け入れる**]で、このオプションを選択して、アカウント間のアタッチメントを自動的に受け入れます。
1. (オプション) [**Transit Gateway CIDR ブロック**] で、[追加 CIDR] を選択し、Transit Gateway の IPv4 または IPv6 CIDR ブロックを 1 つ以上指定します。
IPv4 の場合は /24 CIDR ブロック以上のサイズ (例: /23 または /22)、IPv6 の場合は /64 CIDR ブロック以上のサイズ (例: /63 または /62) を指定できます。任意のパブリックまたはプライベート IP アドレス範囲 (169.254.0.0/16 範囲内のアドレス、ならびに VPC アタッチメントおよびオンプレミスネットワークのアドレスと重複する範囲を除く) を関連付けることができます。
**注記**
Transit Gateway CIDR ブロックは、Connect (GRE) アタッチメントまたは PrivateIP VPN を設定する場合に使用されます。Transit Gateway は、この範囲のトンネルエンドポイント (GRE/PrivateIP VPN) に IP を割り当てます。
1. [**Transit Gateway の作成**] を選択します。
**を使用してトランジットゲートウェイを作成するには AWS CLI**
[[create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html)] コマンドを使用します。
# AWS Transit Gateway で Transit Gateway 情報を表示する
任意の Transit Gateway を表示する
**コンソールを使用して Transit Gateway を表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。Transit Gateway の詳細は、ページのゲートウェイのリストの下に表示されます。
**AWS CLI を使用して Transit Gateway を表示するには**
[[describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html)] コマンドを使用します。
# AWS Transit Gateway で Transit Gateway タグを管理する
目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。各 Transit Gateway に対して複数のタグを追加できます。タグキーは、各 Transit Gateway で一意である必要があります。すでに Transit Gateway に関連付けられているキーを持つタグを追加すると、そのキーの値が更新されます。詳細については、「[Amazon EC2 リソースにタグを付ける](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。
**コンソールを使用して Transit Gateway にタグを追加する**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。
1. タグを追加または編集する Transit Gateway を選択します。
1. ページ下部の [**タグ**] タブをクリックします。
1. [**Manage tags (タグの管理)**] を選択します。
1. **新しいタグを追加**を選択します。
1. タグの [**キー**] と [**値**] を入力します。
1. **[保存]** を選択します。
# Transit Gateway で Transit Gateway AWS を変更する
Transit Gateway の設定オプションを変更できます。Transit Gateway を変更しても、既存の Transit Gateway アタッチメントでサービスが中断されることはありません。
共有されている Transit Gateway を変更することはできません。
現在 [Connect ピア](tgw-connect.md)について IP アドレスのいずれかが使用されている場合は、トランジットゲートウェイの CIDR ブロックを削除できません。
**注記**
暗号化サポートが有効になっているトランジットゲートウェイは、モニタリングモードまたは強制モードの暗号化コントロールを持つ VPCs、または暗号化コントロールが有効になっていない VPCs にアタッチできます。Enforce モードの暗号化コントロールを持つ VPCs は、暗号化サポートが有効になっている Transit Gateway にのみアタッチできます。
詳細については、「[AWS Transit Gateway の暗号化サポート](tgw-encryption-support.md)」を参照してください。
**Transit Gateway を変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。
1. 変更するTransit Gatewayを選択します。
1. **アクション**、**Transit Gateway の変更**を選択します。
1. 必要に応じてオプションを変更し、[**トランジットゲートウェイの変更**] をクリックします。
**を使用してトランジットゲートウェイを変更するには AWS CLI**
[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) コマンドを使用します。
# AWS Resource Access Manager コンソールを使用して AWS Transit Gateway リソース共有を受け入れる
ユーザーがリソース共有に追加された場合は、リソース共有に参加するための招待状を受け取ります。共有リソースにアクセスする前に、 AWS Resource Access Manager (AWS RAM) コンソールを通じてリソース共有を承諾する必要があります。
**リソース共有を受け入れるには**
1. [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) で AWS RAM コンソールを開きます。
1. ナビゲーションペインで **[Shared with me]** (自分と共有)、**[Resource shares]** (リソース共有) の順に選択します。
1. リソース共有を選択します。
1. [**リソース共有を受け入れる**] を選択します。
1. 共有された Transit Gateway を表示するには、Amazon VPC コンソールで [**Transit Gateway**] ページを開きます。
# AWS Transit Gateway で共有アタッチメントを承諾する
Transit Gateway の作成時に **[共有アタッチメントを自動承諾]** 機能を有効にしなかった場合は、Amazon VPC コンソールまたは AWS CLI を使用して、クロスアカウント (共有) アタッチメントを手動で承認する必要があります。
**共有アタッチメントを手動で受け入れるには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. 承認保留中の Transit Gateway アタッチメントを選択します。
1. **アクション**、**Transit Gateway アタッチメントを受け入れる**を選択します。
**AWS CLI を使用して、共有アタッチメントを受け入れるには**
[[accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# Transit Gateway で Transit Gateway AWS を削除する
既存のアタッチメントを含む Transit Gateway を削除することはできません。Transit Gateway を削除する前に、すべてのアタッチメントを削除する必要があります。
**コンソールを使用して Transit Gateway を削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. 削除する Transit Gateway を選択します。
1. **アクション**,**Transit Gateway の削除**を選択します。「**delete**」と入力して、[**Delete (削除)**] を選択して削除を確認します。
**を使用してトランジットゲートウェイを削除するには AWS CLI**
[[delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html)] コマンドを使用します。
# AWS Transit Gateway の暗号化サポート
暗号化コントロールを使用すると、VPC 内のトラフィックフローの暗号化ステータスを監査し、VPC 内のすべてのトラフィックに対してencryption-in-transitを適用できます。VPC 暗号化コントロールが強制モードの場合、その VPC 内のすべての Elastic Network Interface (ENI) は AWS Nitro 暗号化対応インスタンスにのみアタッチするように制限され、転送中のデータを暗号化する AWS サービスのみが暗号化コントロール強制 VPC にアタッチできます。VPC 暗号化コントロールの詳細については、この[ドキュメント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)を参照してください。
## Transit Gateway 暗号化のサポートと VPC 暗号化コントロール
Transit Gateway での暗号化サポートを使用すると、Transit Gateway にアタッチされた VPCs 間のトラフィックに対してencryption-in-transitを適用できます。VPCs 間のトラフィックを暗号化するには、[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) コマンドを使用して Transit Gateway で暗号化サポートを手動でアクティブ化する必要があります。有効にすると、すべてのトラフィックは、Transit Gateway を介して強制モード (除外なし) の VPCs 間の 100% 暗号化されたリンクを通過します。暗号化コントロールが有効になっていない VPCs を接続することもできます。このシナリオでは、Transit Gateway は、強制モードで実行されていない VPC の Transit Gateway アタッチメントまでのトラフィックを暗号化することが保証されます。さらに、トラフィックが強制モードで実行されていない VPC で送信されるインスタンスによって異なります。
暗号化サポートは既存のトランジットゲートウェイにのみ追加でき、作成中は追加できません。Transit Gateway が Encryption Support Enabled 状態に移行すると、Transit Gateway またはアタッチメントにダウンタイムはありません。移行はシームレスで透過的であり、トラフィックはドロップされません。トランジットゲートウェイを変更して暗号化サポートを追加する手順については、「」を参照してください[Transit Gateway の変更](tgw-modifying.md#tgw-modifying.title)。
### 要件
トランジットゲートウェイで暗号化サポートを有効にする前に、以下を確認してください。
+ トランジットゲートウェイに Connect アタッチメントがない
+ トランジットゲートウェイにピアリングアタッチメントがない
+ トランジットゲートウェイに Network Firewall アタッチメントがない
+ トランジットゲートウェイに VPN コンセントレータアタッチメントがない
+ トランジットゲートウェイでセキュリティグループ参照が有効になっていない
+ トランジットゲートウェイでマルチキャスト機能が有効になっていない
### 暗号化サポートの状態
トランジットゲートウェイは、次のいずれかの暗号化状態を持つことができます。
+ **enabling** - トランジットゲートウェイは暗号化サポートを有効に中です。このプロセスが完了するまでに最大 14 日かかる場合があります。
+ **enabled** - トランジットゲートウェイで暗号化サポートが有効になっています。暗号化コントロールが適用された VPC アタッチメントを作成できます。
+ **disabling** - Transit Gateway は Encryption サポートを無効化中です。
+ **無効** - トランジットゲートウェイで暗号化のサポートは無効になっています。
### Transit Gateway アタッチメントルール
Transit Gateway で Encryption サポートが有効になっている場合、次のアタッチメントルールが適用されます。
+ トランジットゲートウェイの暗号化状態が**有効化**または**無効化**されている場合、暗号化コントロールの強制モードまたは強制モードではない Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。
+ トランジットゲートウェイの暗号化状態**を有効にする**と、任意の暗号化制御モードで VPC、Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。
+ トランジットゲートウェイの暗号化状態**が無効**になっている場合、暗号化コントロールが適用された新しい VPC アタッチメントを作成することはできません。
+ 接続アタッチメント、ピアリングアタッチメント、セキュリティグループリファレンス、およびマルチキャスト機能は、暗号化サポートではサポートされていません。
互換性のない添付ファイルを作成しようとすると、API エラーで失敗します。