翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Transit Gateway の Amazon VPC アタッチメント
トランジットゲートウェイへの Amazon Virtual Private Cloud (VPC) アタッチメントを使用すると、1 つ以上の VPC サブネットとの間でトラフィックをルーティングできます。Transit Gateway に VPC をアタッチするときは、トラフィックをルーティングするために Transit Gateway によって使用される各アベイラビリティーゾーンから 1 つのサブネットを指定する必要があります。指定されたサブネットが、Transit Gateway トラフィックの送受信に使用されます。トラフィックは、Transit Gateway アタッチメントサブネットに、ターゲットサブネットを指すルートテーブルに適切なルートが設定されている場合にのみ、同じアベイラビリティーゾーン内の他のサブネットのリソースに到達できます。
**制限**
+ VPC を Transit Gateway にアタッチしても、Transit Gateway のアタッチメントが存在しないアベイラビリティーゾーンのリソースは、Transit Gateway に到達できません。
**注記**
Transit Gateway アタッチメントがあるアベイラビリティーゾーン内では、トラフィックはアタッチメントに関連付けられている特定のサブネットからのみ Transit Gateway に転送されます。Transit Gateway へのルートがサブネットルートテーブルにある場合、トラフィックが Transit Gateway に転送されるのは、Transit Gateway のアタッチメントが同じアベイラビリティーゾーンのサブネットにある場合のみです。ゾーンおよびアタッチメントサブネットのルートテーブルには、VPC 内のトラフィックの送信先に適切に到達できるルートが含まれています。
+ Transit Gateway は、Amazon Route 53 でプライベートホストゾーンを使用してセットアップされた、アタッチされた VPC のカスタム DNS 名に対する DNS 解決をサポートしていません。トランジットゲートウェイにアタッチされたすべての VPCs[「Amazon Route 53 と AWS Transit Gateway を使用したハイブリッドクラウドの集中 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)」を参照してください。
+ Transit Gateway は、同一の CIDR を持つ VPC 間のルーティングをサポートしていません。また、範囲内の CIDR がアタッチされた VPC 内の CIDR と重複している場合もサポートされません。VPC を Transit Gateway にアタッチし、その CIDR が Transit Gateway にすでにアタッチされている別の VPC の CIDR と同一である、または重複する場合、新しくアタッチされた VPC のルートは Transit Gateway ルートテーブルに伝達されません。
+ ローカルゾーンに存在する VPC サブネットのアタッチメントを作成することはできません。ただし、ローカルゾーンのサブネットを、親アベイラビリティーゾーンを介して Transit Gateway に接続できるようにネットワークを設定することが可能です。詳細については、「[ローカルゾーンのサブネットを Transit Gateway に接続する](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)」を参照してください。
+ IPv6 のみのサブネットを使用して Transit Gateway アタッチメントを作成することはできません。Transit Gateway アタッチメントのサブネットは IPv4 アドレスもサポートする必要があります。
+ Transit Gateway をルートテーブルに追加するには、Transit Gateway に少なくとも 1 つの VPC アタッチメントが必要です。
## VPC アタッチメントのルートテーブル要件
Transit Gateway VPC アタッチメントを適切に機能させるには、特定のルートテーブル設定が必要です。
+ **アタッチメントサブネットルートテーブル**: Transit Gateway アタッチメントに関連付けられたサブネットには、Transit Gateway 経由で到達する必要がある VPC 内の送信先のルートテーブルエントリが必要です。これには、他のサブネット、インターネットゲートウェイ、NAT ゲートウェイ、VPC エンドポイントへのルートが含まれます。
+ **ターゲットサブネットルートテーブル**: Transit Gateway を介して通信する必要があるリソースを含むサブネットには、外部送信先へのトラフィックを返すために Transit Gateway を指すルートが必要です。
+ **ローカル VPC トラフィック**: Transit Gateway アタッチメントは、同じ VPC 内のサブネット間の通信を自動的に有効化しません。標準 VPC ルーティングルールが適用され、VPC 内通信のルートテーブルにローカルルート (VPC CIDR) が存在する必要があります。
**注記**
同じアベイラビリティーゾーン内のアタッチされていないサブネットにルートを設定しても、トラフィックフローを有効化しません。Transit Gateway アタッチメントに関連付けられた特定のサブネットのみが、Transit Gateway トラフィックの送受信に使用されます。
## VPC アタッチメントのライフサイクル
VPC アタッチメントは、リクエストが開始された時点から、さまざまな段階を経ることになります。それぞれのステージで実行可能なアクションがあり、そのライフサイクルの最後で、VPC アタッチメントは Amazon Virtual Private Cloud Console と API またはコマンドライン出力に一定期間表示されます。
次の図は、単一のアカウント設定、または [**共有アタッチメントを自動承諾**] がオンになっているクロスアカウント設定で、アタッチメントが経る可能性のある状態を示しています。
![\[VPC アタッチメントのライフサイクル\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pending** (保留中): VPC アタッチメントのリクエストが開始され、プロビジョニングプロセス中です。この段階では、アタッチメントは失敗するか、または `available` になる場合があります。
+ **Failing** (失敗する可能性あり): VPC アタッチメントのリクエストが失敗する可能性があります。この段階では、VPC アタッチメントは `failed` になります。
+ **Failed** (失敗): VPC アタッチメントのリクエストが失敗しました。この状態では、削除できません。失敗した VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Available** (使用可能): VPC アタッチメントは使用可能で、トラフィックは VPC とトランジットゲートウェイ間でフローできます。この段階では、アタッチメントは `modifying` または `deleting` になる場合があります。
+ **Deleting** (削除中): 削除中の VPC アタッチメント。この段階では、アタッチメントは `deleted` になる場合があります。
+ **Deleted** (削除済み): `available` VPC アタッチメントが削除されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Modifying** (変更中): VPC アタッチメントのプロパティを変更するリクエストが作成されました。この段階では、アタッチメントは `available` または `rolling back` になる場合があります。
+ **Rolling back** (ロールバック中): VPC アタッチメントの変更リクエストを完了できず、システムによって行われた変更がすべて元に戻されようとしています。この段階では、アタッチメントは `available` になる場合があります。
次の図は、[**Auto accept shared attachments**] (共有アタッチメントを自動承諾) がオフになっているクロスアカウント設定で、アタッチメントが経る可能性のある状態を示しています。
![\[[Auto accept shared attachments] (共有アタッチメントを自動承諾) がオフになっているクロスアカウント VPC アタッチメントのライフサイクル\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Pending-acceptance** (承諾の保留中): VPC アタッチメントのリクエストは承諾を待っています。この段階では、アタッチメントは `pending`、`rejecting`、または `deleting` になる場合があります。
+ **Rejecting** (拒否中): 拒否処理中の VPC アタッチメント。この段階では、アタッチメントは `rejected` になる場合があります。
+ **Rejected** (拒否): `pending acceptance` VPC アタッチメントが拒否されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Pending** (保留中): VPC アタッチメントが承諾され、プロビジョニングプロセス中です。この段階では、アタッチメントは失敗するか、または `available` になる場合があります。
+ **Failing** (失敗する可能性あり): VPC アタッチメントのリクエストが失敗する可能性があります。この段階では、VPC アタッチメントは `failed` になります。
+ **Failed** (失敗): VPC アタッチメントのリクエストが失敗しました。この状態では、削除できません。失敗した VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Available** (使用可能): VPC アタッチメントは使用可能で、トラフィックは VPC とトランジットゲートウェイ間でフローできます。この段階では、アタッチメントは `modifying` または `deleting` になる場合があります。
+ **Deleting** (削除中): 削除中の VPC アタッチメント。この段階では、アタッチメントは `deleted` になる場合があります。
+ **削除した** : `available` または `pending acceptance` VPC アタッチメントが削除されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Modifying** (変更中): VPC アタッチメントのプロパティを変更するリクエストが作成されました。この段階では、アタッチメントは `available` または `rolling back` になる場合があります。
+ **Rolling back** (ロールバック中): VPC アタッチメントの変更リクエストを完了できず、システムによって行われた変更がすべて元に戻されようとしています。この段階では、アタッチメントは `available` になる場合があります。
## アプライアンスモード
VPC でステートフルネットワークアプライアンスを設定する予定の場合は、アタッチメントを作成する際にアプライアンスが配置されているその VPC アタッチメントに対してアプライアンスモードサポートを有効にできます。これにより、送信元と送信先間のトラフィックフローの存続期間中、 AWS Transit Gateway は VPC アタッチメントに同じアベイラビリティーゾーンを使用します。また、そのアベイラビリティーゾーンにサブネットの関連付けがある限り、Transit Gateway は VPC 内の任意のアベイラビリティーゾーンにトラフィックを送信できるようにします。アプライアンスモードは VPC アタッチメントでのみサポートされていますが、ネットワークフローは VPC、VPN、Connect アタッチメントなど、他の Transit Gateway アタッチメントタイプから取得できます。アプライアンスモードは、さまざまな AWS リージョンに送信元と送信先があるネットワークフローでも機能します。最初にアプライアンスモードを有効にせず、後でアタッチメント設定を編集して有効にすると、ネットワークフローは異なるアベイラビリティーゾーン間で再調整される可能性があります。コンソール、コマンドラインあるいは API を使用して、アプライアンスモードを有効化または無効化できます。
AWS Transit Gateway のアプライアンスモードは、アプライアンスモード VPC を通過するパスを決定するときに、送信元と送信先のアベイラビリティーゾーンを考慮してトラフィックルーティングを最適化します。このアプローチにより、効率が向上し、レイテンシーが短縮されます。動作は、特定の設定とトラフィックパターンによって異なります。サンプルシナリオを以下に示します。
### シナリオ 1: アプライアンス VPC を介したアベイラビリティーゾーン内のトラフィックルーティング
us-east-1a と us-east-1b の両方でアプライアンスモード VPC アタッチメントを使用して、送信元アベイラビリティーゾーン us-east-1a から送信先アベイラビリティーゾーン us-east-1a にトラフィックが流れると、Transit Gateway はアプライアンス VPC 内の us-east-1a からネットワークインターフェイスを選択します。このアベイラビリティーゾーンは、送信元と送信先の間のトラフィックフローの全期間にわたって維持されます。
### シナリオ 2: アプライアンス VPC を介したアベイラビリティーゾーン間のトラフィックルーティング
送信元アベイラビリティーゾーン us-east-1a から送信先アベイラビリティーゾーン us-east-1b に流れるトラフィックで、us-east-1a と us-east-1b の両方にアプライアンスモード VPC アタッチメントがある場合、Transit Gateway はフローハッシュアルゴリズムを使用して、アプライアンス VPC で us-east-1a または us-east-1b を選択します。選択したアベイラビリティーゾーンは、フローの存続期間中一貫して使用されます。
### シナリオ 3: アベイラビリティーゾーンデータなしでアプライアンス VPC 経由でトラフィックをルーティングする
トラフィックが送信元アベイラビリティーゾーン us-east-1a からアベイラビリティーゾーン情報のない送信先 (インターネットバインドトラフィックなど) に発信された場合、アプライアンスモード VPC アタッチメントは us-east-1a と us-east-1b の両方で、Transit Gateway はアプライアンス VPC 内の us-east-1a からネットワークインターフェイスを選択します。
### シナリオ 4: 送信元または送信先とは異なるアベイラビリティーゾーンのアプライアンス VPC 経由でトラフィックをルーティングする
トラフィックが送信元アベイラビリティーゾーン us-east-1a から送信先アベイラビリティーゾーン us-east-1b に流れると、異なるアベイラビリティーゾーン us-east-1c と us-east-1d にアプライアンスモード VPC アタッチメントがある場合、Transit Gateway はフローハッシュアルゴリズムを使用して、アプライアンス VPC で us-east-1c または us-east-1d を選択します。選択したアベイラビリティーゾーンは、フローの存続期間中一貫して使用されます。
**注記**
アプライアンスモードは VPC アタッチメントでのみサポートされています。アプライアンス VPC アタッチメントに関連付けられたルートテーブルに対してルート伝達が有効になっていることを確認します。
## セキュリティグループの参照
この機能を使用すると、同じ Transit Gateway にアタッチされている VPC 間のインスタンス間トラフィックのセキュリティグループの管理と制御を簡素化できます。セキュリティグループは、インバウンドルールでのみ相互参照できます。アウトバウンドセキュリティルールは、セキュリティグループの参照をサポートしていません。セキュリティグループ参照の有効化、または使用に関連する追加コストはありません。
セキュリティグループ参照のサポートは、Transit Gateway と Transit Gateway VPC アタッチメントの両方で設定でき、Transit Gateway とその VPC アタッチメントの両方で有効になっている場合にのみ機能します。
### 制限事項
VPC アタッチメントでセキュリティグループ参照を使用する場合、次の制限が適用されます。
+ セキュリティグループの参照は、Transit Gateway ピアリング接続全体ではサポートされていません。両方の VPC を同じ Transit Gateway にアタッチする必要があります。
+ セキュリティグループの参照は、アベイラビリティーゾーン use1-az3 の VPC アタッチメントではサポートされていません。
+ セキュリティグループの参照は PrivateLink エンドポイントではサポートされていません。代わりに IP CIDR ベースのセキュリティルールを使用することをお勧めします。
+ セキュリティグループ参照は、すべての出力セキュリティグループルールが VPC の EFS インターフェイスに対して設定されている場合、Elastic File System (EFS) で機能します。
+ トランジットゲートウェイ経由のローカルゾーン接続では、us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a、us-west-2-phx-2a のみサポートされています。
+ サポートされていないローカルゾーン、 AWS Outposts、および Wavelength Zones のサブネットを持つ VPC では、サービスの中断を引き起こす可能性があるため、この機能を VPCs AWS アタッチメントレベルで無効にすることをお勧めします。
+ 検査 VPC がある場合、トランジットゲートウェイを介して参照するセキュリティグループは、 AWS Gateway Load Balancer または AWS Network Firewall 全体で機能しません。
**Topics**
+ [VPC アタッチメントのルートテーブル要件](#vpc-attachment-routing-requirements)
+ [VPC アタッチメントのライフサイクル](#vpc-attachment-lifecycle)
+ [アプライアンスモード](#tgw-appliancemode)
+ [セキュリティグループの参照](#vpc-attachment-security)
+ [VPC アタッチメントを作成する](create-vpc-attachment.md)
+ [VPC アタッチメントを変更する](modify-vpc-attachment.md)
+ [VPC アタッチメントタグを変更する](modify-vpc-attachment-tag.md)
+ [VPC アタッチメントを表示する](view-vpc-attachment.md)
+ [VPC アタッチメントの削除](delete-vpc-attachment.md)
+ [セキュリティグループのインバウンドルールを更新する](tgw-sg-updates-update.md)
+ [の参照されるセキュリティグループを特定する](tgw-sg-updates-identify.md)
+ [古いセキュリティグループルールを削除する](tgw-sg-updates-stale.md)
+ [VPC アタッチメントのトラブルシューティング](transit-gateway-vpc-attach-troubleshooting.md)
# AWS Transit Gateway で VPC アタッチメントの作成
**コンソールを使用して VPC アタッチメントを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
1. オプションで、[**名前タグ**] に Transit Gateway アタッチメントの名前を入力します。
1. [**Transit Gateway ID**] で、アタッチメントの Transit Gateway を選択します。所有している Transit Gateway、または自分と共有された Transit Gateway を選択できます。
1. [**アタッチメントタイプ**] で、[**VPC**] を選択します。
1. **[DNS サポート]**、**[IPv6 サポート]** および **[アプライアンスモードサポート]** を有効にするかどうかを選択します。
アプライアンスモードを選択した場合、送信元と送信先間のトラフィックフローは、そのフローの有効期間中、VPC アタッチメントに同じアベイラビリティーゾーンを使用します。
1. **[セキュリティグループの参照のサポート]** を有効にするかどうかを選択します。この機能を有効にして、Transit Gateway にアタッチされた VPC 間のセキュリティグループを参照します。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
1. **[IPv6 サポート]** を有効にするかどうかを選択します。
1. [ **VPC ID**] で、Transit Gateway にアタッチする VPC を選択します。
この VPC には少なくとも 1 つのサブネットが関連付けられている必要があります。
1. [**サブネット ID**] で、トラフィックをルーティングするために Transit Gateway が使用するアベイラビリティーゾーンごとに 1 つのサブネットを選択します。少なくとも 1 つのサブネットを選択する必要があります。アベイラビリティーゾーンごとに 1 つだけサブネットを選択できます。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
**AWS CLI を使用して VPC アタッチメントを作成するには**
[[create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# AWS Transit Gateway で VPC アタッチメントを変更する
**コンソールを使用して VPC アタッチメントを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPC アタッチメントを選択後、**アクション**,**Transit Gateway のアタッチメントの変更**。
1. 次のいずれかを有効または無効にします。
+ **[DNS サポート]**
+ **IPv6 サポート**
+ **[アプライアンスモードサポート]**
1. アタッチメントからサブネットを追加または削除するには、追加または削除したい **[サブネット ID]** でチェックボックスをオンまたはオフにします。
**注記**
VPC アタッチメントサブネットを追加または変更すると、アタッチメントが変更状態のときにデータトラフィックに影響を与える可能性があります。
1. Transit Gateway にアタッチされた VPC 間でセキュリティグループを参照できるようにするには、**[セキュリティグループの参照のサポート]** を選択します。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
**注記**
既存の Transit Gateway のセキュリティグループの参照を無効にすると、すべての VPC アタッチメントで無効になります。
1. **Transit Gateway のアタッチメントの変更**を選択します。
**を使用して VPC アタッチメントを変更するには AWS CLI**
[[modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# AWS Transit Gateway で VPC アタッチメントタグを変更する
**コンソールを使用して VPC アタッチメントタグを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPC アタッチメントを選択後、[**アクション**]、[**タグの管理**] の順に選択します。
1. [タグの追加] [**新しいタグの追加**] を選択して、以下を実行します。
+ [**キー**] にはキー名を入力します。
+ [**値**] にキー値を入力します。
1. [Remove a tag (タグの削除)] タグの横にある [**削除**] を選択します。
1. **[保存]** を選択します。
VPC アタッチメントタグは、コンソールを使用してのみ変更できます。
# AWS Transit Gateway で VPC アタッチメントを表示する
**コンソールを使用して VPC アタッチメントを表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. **[リソースタイプ]**列で、**VPC**を探します。これらは VPC アタッチメントです。
1. 詳細を表示するには、アタッチメントを選択します。
**AWS CLI を使用して VPC アタッチメントを表示するには**
[[describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html)] コマンドを使用します。
# AWS Transit Gateway で VPC アタッチメントを削除する
**コンソールを使用して VPC アタッチメントを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPC アタッチメントを選択します。
1. **アクション**、**Transit Gateway のアタッチメントの削除**を選択します。
1. 確認を求めるメッセージが表示されたら、「**delete**」と入力し、[**削除**] を選択します。
**AWS CLI を使用して VPC アタッチメントを削除するには**
[[delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# AWS Transit Gateway セキュリティグループのインバウンドルールを更新する
トランジットゲートウェイに関連付けられているインバウンドセキュリティグループルールは、どれでも更新できます。セキュリティグループルールは、Amazon VPC コンソールのコンソールもしくはコマンドラインまたは API を使用して更新できます。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
**コンソールを使用してセキュリティグループルールを更新するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) を選択します。
1. セキュリティグループを選択し、インバウンドルールを変更するには、**[アクション]**、**[インバウンドのルールの編集]** の順にクリックします。
1. ルールを追加するには、**[ルールの追加]** を選択し、タイプ、プロトコル、ポート範囲を指定します。**[ソース]** (インバウンドルール) には、Transit Gateway に接続された VPC のセキュリティグループの ID を入力します。
**注記**
Transit Gateway に接続された VPC のセキュリティグループは、自動的には表示されません。
1. 既存のルールを編集するには、値 (ソースや説明など) を変更します。
1. ルールを削除するには、ルールの隣にある **[削除]** を選択します。
1. **[Save Rules]** (ルールの保存) を選択してください。
**コマンドラインを使用してインバウンドルールを更新するには**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# AWS Transit Gateway の参照されるセキュリティグループを特定する
同じ Transit Gateway にアタッチされた VPC 内のセキュリティグループのルールでセキュリティグループが参照されているかどうかを確認するには、次のいずれかのコマンドを使用します。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# 古い AWS Transit Gateway セキュリティグループルールを削除する
古いセキュリティグループルールは、同じ VPC または同じ Transit Gateway にアタッチされた VPC 内の削除されたセキュリティグループを参照するルールです。セキュリティグループルールは古くなっても、セキュリティグループから自動的に削除されません。手動で削除する必要があります。
Amazon VPC コンソールを使用して、VPC の古くなったセキュリティグループルールを表示および削除できます。
**古くなったセキュリティグループルールを表示および削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) を選択します。
1. [**Action**] (アクション)、[**Manage stale rules**] (古いルールの管理) の順に選択します。
1. **VPC** で古いルールを持つ VPC を選択します。
1. [**Edit**] を選択します。
1. 削除するルールの横にある [**Delete**] (削除) ボタンを選択します。[**変更のプレビュー**]、[**ルールの保存**] を選択します。
**コマンドラインを使用して古いセキュリティグループルールを記述するには**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
古くなったセキュリティグループルールを特定した後、[revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) コマンドまたは [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) コマンドを使用してそれらのルールを削除できます。
# AWS Transit Gateway VPC アタッチメントの作成のトラブルシューティング
次のトピックは、VPC アタッチメントの作成時に発生する可能性のある問題のトラブルシューティングに役立ちます。
**問題**
VPC アタッチメントが失敗しました。
**原因**
原因は、次のいずれかである可能性があります。
1. VPC アタッチメントを作成しているユーザーは、サービスにリンクされたロールを作成するための適切なアクセス権限を持っていません。
1. IAM リクエストが多すぎるため、スロットリングの問題が発生しています。例えば、CloudFormationを使用してアクセス許可とロールを作成している場合などです。
1. サービスにリンクされたロールがアカウントにあり、サービスにリンクされたロールが変更されました。
1. Transit Gateway は `available` 状態にありません。
**ソリューション**
原因に応じて、次をお試しください。
1. サービスにリンクされたロールを作成するための適切なアクセス権限がユーザーに付与されていることを確認します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。ユーザーにアクセス権限が付与されたら、VPC アタッチメントを作成します。
1. VPC アタッチメントを手動で作成します。詳細については、「[AWS Transit Gateway で VPC アタッチメントの作成](create-vpc-attachment.md)」を参照してください。
1. サービスにリンクされたロールに正しいアクセス権限があることを確認します。詳細については、「[Transit Gateway サービスにリンクされたロール](service-linked-roles.md#tgw-service-linked-roles)」を参照してください。
1. Transit Gateway が `available` 状態であることを確認します。詳細については、「[AWS Transit Gateway で Transit Gateway 情報を表示する](view-tgws.md)」を参照してください。