翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Transit Gateway の使用
Amazon VPC コンソールまたは AWS CLI CLI を使用して、Transit Gateway を操作できます。トランジットゲートウェイの暗号化サポートの有効化と管理については、「」を参照してください[AWS Transit Gateway の暗号化サポート](tgw-encryption-support.md)。
**Topics**
+ [共有された Transit Gateway](#transit-gateway-share)
+ [Transit Gateway](tgw-transit-gateways.md)
+ [VPC アタッチメント](tgw-vpc-attachments.md)
+ [ネットワーク関数アタッチメント](tgw-nf-fw.md)
+ [VPN アタッチメント](tgw-vpn-attachments.md)
+ [VPN コンセントレータアタッチメント](tgw-vpn-concentrator-attachments.md)
+ [Direct Connect ゲートウェイへのトランジットゲートウェイアタッチメント](tgw-dcg-attachments.md)
+ [添付のピアリング](tgw-peering.md)
+ [Connect アタッチメントおよび Connect ピア](tgw-connect.md)
+ [Transit Gateway ルートテーブル](tgw-route-tables.md)
+ [Transit Gateway ポリシーテーブル](tgw-policy-tables.md)
+ [Transit Gateway でのマルチキャスト](tgw-multicast-overview.md)
+ [柔軟なコスト配分](metering-policy.md)
## 共有された Transit Gateway
AWS Resource Access Manager (RAM) を使用して、VPC アタッチメントのトランジットゲートウェイをアカウント間または の組織全体で共有できます AWS Organizations。RAM を有効にし、リソースを組織と共有する必要があります。詳細については、「AWS RAM ユーザーガイド」の「[AWS Organizationsでリソース共有を有効にする](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)」を参照してください。
### 考慮事項
トランジットゲートウェイを共有する場合は、以下の点を考慮してください。
+ AWS Site-to-Site VPN アタッチメントは、トランジットゲートウェイを所有するのと同じ AWS アカウントで作成する必要があります。
+ Direct Connect ゲートウェイへのアタッチメントは、トランジットゲートウェイの関連付けを使用し、Direct Connect ゲートウェイと同じ AWS アカウントにあることも、Direct Connect ゲートウェイとは異なるアカウントにあることもできます。
デフォルトでは、ユーザーには AWS RAM リソースを作成または変更するアクセス許可はありません。ユーザーがリソースを作成または変更してタスクを実行できるようにするには、特定のリソースと API アクションを使用するアクセス許可を付与する IAM ポリシーを作成する必要があります。そのため、そのようなアクセス許可が必要な IAM ユーザーまたはグループにそのポリシーをアタッチします。
リソース所有者のみ次のオペレーションを実行できます。
+ リソース共有を作成します。
+ リソース共有を更新します。
+ リソース共有を表示します。
+ アカウントによって共有されているリソースをすべてのリソース共有間で表示できます。
+ すべてのリソース共有で、リソースを共有しているプリンシパルを表示します。お客様の共有相手のプリンシパルを表示することで、お客様の共有リソースにアクセスできるプリンシパルを判別できます。
+ リソース共有を削除します。
+ トランジットゲートウェイ、トランジットゲートウェイアタッチメント、およびトランジットゲートウェイルートテーブル API をすべて実行します。
共有されているリソース上で次のオペレーションを実行することができます。
+ リソースの共有の招待を承認または拒否します。
+ リソース共有を表示します。
+ お客様がアクセスできる共有リソースを表示します。
+ リソースを共有しているすべてのプリンシパルのリストを表示します。共有されているリソースおよびリソース共有を確認することができます。
+ `DescribeTransitGateways` API を実行できます。
+ アタッチメントを作成して示している API を実行します (例: `CreateTransitGatewayVpcAttachment` および `DescribeTransitGatewayVpcAttachments` (VPC 内))。
+ リソース共有を終了します。
Transit Gateway が共有されている場合、Transit Gateway ルートテーブルまたは Transit Gateway ルートテーブルの伝達および関連付けを作成、変更、削除することはできません。
トランジットゲートウェイを作成した場合、トランジットゲートウェイは自分のアカウントにマップされているアベイラビリティーゾーンに作成され、他のアカウントからは独立しています。トランジットゲートウェイおよびアタッチメントエンティティが異なるアカウントにある場合、アベイラビリティーゾーン ID を使用してアベイラビリティーゾーンを一意に一貫して識別します。たとえば、use1-az1 は us-east-1 リージョンの AZ ID であり、すべての AWS アカウントの同じ場所にマッピングされます。
### トランジットゲートウェイの共有解除
共有所有者がトランジットゲートウェイの共有を解除する場合、次のルールが適用されます。
+ トランジットゲートウェイアタッチメントは、機能し続けます。
+ 共有アカウントでトランジットゲートウェイを示すことはできません。
+ トランジットゲートウェイの所有者および共有所有者は、トランジットゲートウェイアタッチメントを削除できます。
トランジットゲートウェイが別の AWS アカウントと共有解除された場合、またはトランジットゲートウェイが共有されている AWS アカウントが組織から削除された場合、トランジットゲートウェイ自体は影響を受けません。
### 共有サブネット
VPC 所有者は、共有 VPC サブネットにトランジットゲートウェイを接続できます。参加者はできません。参加者のリソースからのトラフィックは、VPC 所有者が共有 VPC サブネットに設定したルートに応じて、アタッチメントを使用できます。
詳細については、「Amazon VPC ユーザーガイド」の「[VPC を他のアカウントと共有する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)」を参照してください。
# Transit Gateway の AWS Transit Gateway
Transit Gateway を使用すると、VPC と VPN 接続をアタッチして、それらの間でトラフィックをルーティングできます。トランジットゲートウェイは連携し AWS アカウント、 AWS RAM を使用してトランジットゲートウェイを他のアカウントと共有できます。トランジットゲートウェイを別の と共有すると AWS アカウント、アカウント所有者は VPCsをトランジットゲートウェイにアタッチできます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。
トランジットゲートウェイでマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにする トランジットゲートウェイマルチキャストドメインを作成できます。
各 VPC または VPN アタッチメントは、単一のルートテーブルに関連付けられています。そのルートテーブルは、そのリソースアタッチメントから来るトラフィックのネクストホップを決定します。Transit Gateway 内のルートテーブルは、IPv4 または IPv6 の両方の CIDR とターゲットを許可します。ターゲットは VPC と VPN 接続です。VPC をアタッチするか、Transit Gateway に VPN 接続を作成すると、その接続は Transit Gateway のデフォルトルートテーブルに関連付けられます。
Transit Gateway 内に追加のルートテーブルを作成し、VPC または VPN の関連付けをこれらのルートテーブルに変更できます。これにより、ネットワークをセグメント化することができます。たとえば、開発 VPC を 1 つのルートテーブルに関連付け、本番 VPC を別のルートテーブルに関連付けることができます。これにより、Transit Gateway 内に、従来のネットワークにおける仮想ルーティングおよび転送 (VRF) と同様の分離された複数のネットワークを作成できるようになります。
Transit Gateway では、アタッチされた VPC と VPN 接続間で動的および静的なルーティングをサポートしています。各アタッチメントのルートの伝播は有効または無効にできます。VPN コンセントレータアタッチメントは、BGP (動的) ルーティングのみをサポートします。Transit Gateway ピアリングアタッチメントは、静的ルーティングのみをサポートします。Transit Gateway ルートテーブル内のルートをピアリングアタッチメントにポイントして、ピアリングされた Transit Gateway 間でトラフィックをルーティングできます。
オプションで、1 つ以上の IPv4 または IPv6 CIDR ブロックを Transit Gateway に関連付けることができます。[Transit Gateway Connect アタッチメント](tgw-connect.md)用の Transit Gateway Connect ピアを確立するときに、CIDR ブロックから IP アドレスを指定します。任意のパブリックまたはプライベート IP アドレス範囲 (`169.254.0.0/16` 範囲内のアドレス、ならびに VPC アタッチメントおよびオンプレミスネットワークのアドレスと重複する範囲を除く) を関連付けることができます。IPv4 CIDR ブロックと IPv6 CIDR ブロックの詳細については、「Amazon VPC ユーザーガイド」の「[IP アドレス指定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html)」を参照してください。
**Topics**
+ [Transit Gateway を作成する](create-tgw.md)
+ [Transit Gateway を表示する](view-tgws.md)
+ [Transit Gateway タグを管理する](tgw-tagging.md)
+ [Transit Gateway の変更](tgw-modifying.md)
+ [リソース共有を受け入れる](share-accept-tgw.md)
+ [共有アタッチメントを受け入れる](acccept-tgw-attach.md)
+ [Transit Gateway の削除](delete-tgw.md)
+ [暗号化のサポート](tgw-encryption-support.md)
# Transit Gateway で AWS Transit Gateway を作成する
Transit Gateway を作成すると、デフォルトの Transit Gateway ルートテーブルが作成され、それをデフォルトの関連付けルートテーブルおよびデフォルトの伝達ルートテーブルとして使用します。デフォルトの Transit Gateway ルートテーブルを作成しない場合は、後で作成できます。ルートおよびルートテーブルについての詳細は、「[ルーティング](how-transit-gateways-work.md#tgw-routing-overview)」を参照してください。
**注記**
トランジットゲートウェイで暗号化サポートを有効にする場合は、ゲートウェイの作成中に有効にすることはできません。トランジットゲートウェイを作成し、使用可能な状態になったら、それを変更して Encryption サポートを有効にすることができます。詳細については、「[AWS Transit Gateway の暗号化サポート](tgw-encryption-support.md)」を参照してください。
**コンソールを使用して Transit Gateway を作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。
1. [**Transit Gateway の作成**] を選択します。
1. オプションで、[**名前タグ**] に Transit Gateway の名前を入力します。名前タグを使用すると、ゲートウェイのリストから特定のゲートウェイを識別しやすくなります。[**名前タグ**] を追加すると、[**名前**] というキーと、入力した値と同じ値のタグが作成されます。
1. オプションで、[**説明**] に、Transit Gateway の説明を入力します。
1. [**Amazon 側の自律システム番号 (ASN)**] は、デフォルト値のままにしてデフォルトの自律システム番号 (ASN) を使用するか、または Transit Gateway のプライベート ASN を入力します。これは、ボーダーゲートウェイプロトコル (BGP) セッションの AWS 側の ASN である必要があります。
16 ビット ASN の場合、その範囲は 64512 〜 65534 です。
32 ビット ASN の場合、その範囲は 4200000000 〜 4294967294 です。
マルチリージョンのデプロイがある場合は、Transit Gateway にそれぞれ、一意の ASN を使用することをお勧めします。
1. [**DNS サポート**] で、Transit Gateway にアタッチされている別のVPCのインスタンスから照会されたときに、パブリック IPv4 DNS ホスト名をプライベート IPv4 アドレスに解決するために VPC が必要な場合は、[有効] を選択します。
1. **[セキュリティグループの参照のサポート]** では、この機能を有効にして、Transit Gateway にアタッチされた VPC 間のセキュリティグループを参照します。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
1. [**VPN ECMP サポート**] で、VPN トンネル間で 等コストマルチパス(ECMP) ルーティングサポートが必要な場合は、このオプションを選択します。接続が同じ CIDR をアドバタイズする場合、トラフィックは複数の接続間で均等に分散されます。
このオプションを選択した場合、アドバタイズされた BGP ASN、AS パスなどの BGP 属性を同様に設定する必要があります。
**注記**
ECMP を使用するには、動的ルーティングを使用する VPN 接続を作成する必要があります。静的ルーティングを使用する VPN 接続は、ECMP をサポートしません。
1. [**デフォルトルートテーブルの関連付け**]で、Transit Gateway アタッチメントを Transit Gateway のデフォルトルートテーブルに自動的に関連付けるには、このオプションを選択します。
1. [**デフォルトルートテーブルの伝播**] で、Transit Gateway アタッチメントを Transit Gateway のデフォルトルートテーブルに自動的に伝達するには、このオプションを選択します。
1. (オプション) トランジットゲートウェイをマルチキャストトラフィックのルーターとして使用するには、[**マルチキャストのサポート**] を選択します。
1. (オプション) **[クロスアカウント共有オプションの設定]** セクションで、**[共有アタッチメントを自動承認]** にするかどうかを選択します。有効にすると、アタッチメントは自動的に受け入れられます。それ以外の場合は、アタッチメントリクエストを受け入れる、または拒否する必要があります。
[**共有アタッチメントを自動的に受け入れる**]で、このオプションを選択して、アカウント間のアタッチメントを自動的に受け入れます。
1. (オプション) [**Transit Gateway CIDR ブロック**] で、[追加 CIDR] を選択し、Transit Gateway の IPv4 または IPv6 CIDR ブロックを 1 つ以上指定します。
IPv4 の場合は /24 CIDR ブロック以上のサイズ (例: /23 または /22)、IPv6 の場合は /64 CIDR ブロック以上のサイズ (例: /63 または /62) を指定できます。任意のパブリックまたはプライベート IP アドレス範囲 (169.254.0.0/16 範囲内のアドレス、ならびに VPC アタッチメントおよびオンプレミスネットワークのアドレスと重複する範囲を除く) を関連付けることができます。
**注記**
Transit Gateway CIDR ブロックは、Connect (GRE) アタッチメントまたは PrivateIP VPN を設定する場合に使用されます。Transit Gateway は、この範囲のトンネルエンドポイント (GRE/PrivateIP VPN) に IP を割り当てます。
1. [**Transit Gateway の作成**] を選択します。
**を使用してトランジットゲートウェイを作成するには AWS CLI**
[[create-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway.html)] コマンドを使用します。
# AWS Transit Gateway で Transit Gateway 情報を表示する
任意の Transit Gateway を表示する
**コンソールを使用して Transit Gateway を表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。Transit Gateway の詳細は、ページのゲートウェイのリストの下に表示されます。
**AWS CLI を使用して Transit Gateway を表示するには**
[[describe-transit-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateways.html)] コマンドを使用します。
# AWS Transit Gateway で Transit Gateway タグを管理する
目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。各 Transit Gateway に対して複数のタグを追加できます。タグキーは、各 Transit Gateway で一意である必要があります。すでに Transit Gateway に関連付けられているキーを持つタグを追加すると、そのキーの値が更新されます。詳細については、「[Amazon EC2 リソースにタグを付ける](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。
**コンソールを使用して Transit Gateway にタグを追加する**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。
1. タグを追加または編集する Transit Gateway を選択します。
1. ページ下部の [**タグ**] タブをクリックします。
1. [**Manage tags (タグの管理)**] を選択します。
1. **新しいタグを追加**を選択します。
1. タグの [**キー**] と [**値**] を入力します。
1. **[保存]** を選択します。
# Transit Gateway で Transit Gateway AWS を変更する
Transit Gateway の設定オプションを変更できます。Transit Gateway を変更しても、既存の Transit Gateway アタッチメントでサービスが中断されることはありません。
共有されている Transit Gateway を変更することはできません。
現在 [Connect ピア](tgw-connect.md)について IP アドレスのいずれかが使用されている場合は、トランジットゲートウェイの CIDR ブロックを削除できません。
**注記**
暗号化サポートが有効になっているトランジットゲートウェイは、モニタリングモードまたは強制モードの暗号化コントロールを持つ VPCs、または暗号化コントロールが有効になっていない VPCs にアタッチできます。Enforce モードの暗号化コントロールを持つ VPCs は、暗号化サポートが有効になっている Transit Gateway にのみアタッチできます。
詳細については、「[AWS Transit Gateway の暗号化サポート](tgw-encryption-support.md)」を参照してください。
**Transit Gateway を変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway**] を選択します。
1. 変更するTransit Gatewayを選択します。
1. **アクション**、**Transit Gateway の変更**を選択します。
1. 必要に応じてオプションを変更し、[**トランジットゲートウェイの変更**] をクリックします。
**を使用してトランジットゲートウェイを変更するには AWS CLI**
[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) コマンドを使用します。
# AWS Resource Access Manager コンソールを使用して AWS Transit Gateway リソース共有を受け入れる
ユーザーがリソース共有に追加された場合は、リソース共有に参加するための招待状を受け取ります。共有リソースにアクセスする前に、 AWS Resource Access Manager (AWS RAM) コンソールを通じてリソース共有を承諾する必要があります。
**リソース共有を受け入れるには**
1. [https://console.aws.amazon.com/ram/](https://console.aws.amazon.com/ram/) で AWS RAM コンソールを開きます。
1. ナビゲーションペインで **[Shared with me]** (自分と共有)、**[Resource shares]** (リソース共有) の順に選択します。
1. リソース共有を選択します。
1. [**リソース共有を受け入れる**] を選択します。
1. 共有された Transit Gateway を表示するには、Amazon VPC コンソールで [**Transit Gateway**] ページを開きます。
# AWS Transit Gateway で共有アタッチメントを承諾する
Transit Gateway の作成時に **[共有アタッチメントを自動承諾]** 機能を有効にしなかった場合は、Amazon VPC コンソールまたは AWS CLI を使用して、クロスアカウント (共有) アタッチメントを手動で承認する必要があります。
**共有アタッチメントを手動で受け入れるには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. 承認保留中の Transit Gateway アタッチメントを選択します。
1. **アクション**、**Transit Gateway アタッチメントを受け入れる**を選択します。
**AWS CLI を使用して、共有アタッチメントを受け入れるには**
[[accept-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# Transit Gateway で Transit Gateway AWS を削除する
既存のアタッチメントを含む Transit Gateway を削除することはできません。Transit Gateway を削除する前に、すべてのアタッチメントを削除する必要があります。
**コンソールを使用して Transit Gateway を削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. 削除する Transit Gateway を選択します。
1. **アクション**,**Transit Gateway の削除**を選択します。「**delete**」と入力して、[**Delete (削除)**] を選択して削除を確認します。
**を使用してトランジットゲートウェイを削除するには AWS CLI**
[[delete-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway.html)] コマンドを使用します。
# AWS Transit Gateway の暗号化サポート
暗号化コントロールを使用すると、VPC 内のトラフィックフローの暗号化ステータスを監査し、VPC 内のすべてのトラフィックに対してencryption-in-transitを適用できます。VPC 暗号化コントロールが強制モードの場合、その VPC 内のすべての Elastic Network Interface (ENI) は AWS Nitro 暗号化対応インスタンスにのみアタッチするように制限され、転送中のデータを暗号化する AWS サービスのみが暗号化コントロール強制 VPC にアタッチできます。VPC 暗号化コントロールの詳細については、この[ドキュメント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-encryption-controls.html)を参照してください。
## Transit Gateway 暗号化のサポートと VPC 暗号化コントロール
Transit Gateway での暗号化サポートを使用すると、Transit Gateway にアタッチされた VPCs 間のトラフィックに対してencryption-in-transitを適用できます。VPCs 間のトラフィックを暗号化するには、[modify-transit-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway.html) コマンドを使用して Transit Gateway で暗号化サポートを手動でアクティブ化する必要があります。有効にすると、すべてのトラフィックは、Transit Gateway を介して強制モード (除外なし) の VPCs 間の 100% 暗号化されたリンクを通過します。暗号化コントロールが有効になっていない VPCs を接続することもできます。このシナリオでは、Transit Gateway は、強制モードで実行されていない VPC の Transit Gateway アタッチメントまでのトラフィックを暗号化することが保証されます。さらに、トラフィックが強制モードで実行されていない VPC で送信されるインスタンスによって異なります。
暗号化サポートは既存のトランジットゲートウェイにのみ追加でき、作成中は追加できません。Transit Gateway が Encryption Support Enabled 状態に移行すると、Transit Gateway またはアタッチメントにダウンタイムはありません。移行はシームレスで透過的であり、トラフィックはドロップされません。トランジットゲートウェイを変更して暗号化サポートを追加する手順については、「」を参照してください[Transit Gateway の変更](tgw-modifying.md#tgw-modifying.title)。
### 要件
トランジットゲートウェイで暗号化サポートを有効にする前に、以下を確認してください。
+ トランジットゲートウェイに Connect アタッチメントがない
+ トランジットゲートウェイにピアリングアタッチメントがない
+ トランジットゲートウェイに Network Firewall アタッチメントがない
+ トランジットゲートウェイに VPN コンセントレータアタッチメントがない
+ トランジットゲートウェイでセキュリティグループ参照が有効になっていない
+ トランジットゲートウェイでマルチキャスト機能が有効になっていない
### 暗号化サポートの状態
トランジットゲートウェイは、次のいずれかの暗号化状態を持つことができます。
+ **enabling** - トランジットゲートウェイは暗号化サポートを有効に中です。このプロセスが完了するまでに最大 14 日かかる場合があります。
+ **enabled** - トランジットゲートウェイで暗号化サポートが有効になっています。暗号化コントロールが適用された VPC アタッチメントを作成できます。
+ **disabling** - Transit Gateway は Encryption サポートを無効化中です。
+ **無効** - トランジットゲートウェイで暗号化のサポートは無効になっています。
### Transit Gateway アタッチメントルール
Transit Gateway で Encryption サポートが有効になっている場合、次のアタッチメントルールが適用されます。
+ トランジットゲートウェイの暗号化状態が**有効化**または**無効化**されている場合、暗号化コントロールの強制モードまたは強制モードではない Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。
+ トランジットゲートウェイの暗号化状態**を有効にする**と、任意の暗号化制御モードで VPC、Direct Connect アタッチメント、VPN アタッチメント、VPC アタッチメントを作成できます。
+ トランジットゲートウェイの暗号化状態**が無効**になっている場合、暗号化コントロールが適用された新しい VPC アタッチメントを作成することはできません。
+ 接続アタッチメント、ピアリングアタッチメント、セキュリティグループリファレンス、およびマルチキャスト機能は、暗号化サポートではサポートされていません。
互換性のない添付ファイルを作成しようとすると、API エラーで失敗します。
# AWS Transit Gateway の Amazon VPC アタッチメント
トランジットゲートウェイへの Amazon Virtual Private Cloud (VPC) アタッチメントを使用すると、1 つ以上の VPC サブネットとの間でトラフィックをルーティングできます。Transit Gateway に VPC をアタッチするときは、トラフィックをルーティングするために Transit Gateway によって使用される各アベイラビリティーゾーンから 1 つのサブネットを指定する必要があります。指定されたサブネットが、Transit Gateway トラフィックの送受信に使用されます。トラフィックは、Transit Gateway アタッチメントサブネットに、ターゲットサブネットを指すルートテーブルに適切なルートが設定されている場合にのみ、同じアベイラビリティーゾーン内の他のサブネットのリソースに到達できます。
**制限**
+ VPC を Transit Gateway にアタッチしても、Transit Gateway のアタッチメントが存在しないアベイラビリティーゾーンのリソースは、Transit Gateway に到達できません。
**注記**
Transit Gateway アタッチメントがあるアベイラビリティーゾーン内では、トラフィックはアタッチメントに関連付けられている特定のサブネットからのみ Transit Gateway に転送されます。Transit Gateway へのルートがサブネットルートテーブルにある場合、トラフィックが Transit Gateway に転送されるのは、Transit Gateway のアタッチメントが同じアベイラビリティーゾーンのサブネットにある場合のみです。ゾーンおよびアタッチメントサブネットのルートテーブルには、VPC 内のトラフィックの送信先に適切に到達できるルートが含まれています。
+ Transit Gateway は、Amazon Route 53 でプライベートホストゾーンを使用してセットアップされた、アタッチされた VPC のカスタム DNS 名に対する DNS 解決をサポートしていません。トランジットゲートウェイにアタッチされたすべての VPCs[「Amazon Route 53 と AWS Transit Gateway を使用したハイブリッドクラウドの集中 DNS 管理](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-dns-management-of-hybrid-cloud-with-amazon-route-53-and-aws-transit-gateway/)」を参照してください。
+ Transit Gateway は、同一の CIDR を持つ VPC 間のルーティングをサポートしていません。また、範囲内の CIDR がアタッチされた VPC 内の CIDR と重複している場合もサポートされません。VPC を Transit Gateway にアタッチし、その CIDR が Transit Gateway にすでにアタッチされている別の VPC の CIDR と同一である、または重複する場合、新しくアタッチされた VPC のルートは Transit Gateway ルートテーブルに伝達されません。
+ ローカルゾーンに存在する VPC サブネットのアタッチメントを作成することはできません。ただし、ローカルゾーンのサブネットを、親アベイラビリティーゾーンを介して Transit Gateway に接続できるようにネットワークを設定することが可能です。詳細については、「[ローカルゾーンのサブネットを Transit Gateway に接続する](https://docs.aws.amazon.com/vpc/latest/userguide/Extend_VPCs.html#connect-local-zone-tgw)」を参照してください。
+ IPv6 のみのサブネットを使用して Transit Gateway アタッチメントを作成することはできません。Transit Gateway アタッチメントのサブネットは IPv4 アドレスもサポートする必要があります。
+ Transit Gateway をルートテーブルに追加するには、Transit Gateway に少なくとも 1 つの VPC アタッチメントが必要です。
## VPC アタッチメントのルートテーブル要件
Transit Gateway VPC アタッチメントを適切に機能させるには、特定のルートテーブル設定が必要です。
+ **アタッチメントサブネットルートテーブル**: Transit Gateway アタッチメントに関連付けられたサブネットには、Transit Gateway 経由で到達する必要がある VPC 内の送信先のルートテーブルエントリが必要です。これには、他のサブネット、インターネットゲートウェイ、NAT ゲートウェイ、VPC エンドポイントへのルートが含まれます。
+ **ターゲットサブネットルートテーブル**: Transit Gateway を介して通信する必要があるリソースを含むサブネットには、外部送信先へのトラフィックを返すために Transit Gateway を指すルートが必要です。
+ **ローカル VPC トラフィック**: Transit Gateway アタッチメントは、同じ VPC 内のサブネット間の通信を自動的に有効化しません。標準 VPC ルーティングルールが適用され、VPC 内通信のルートテーブルにローカルルート (VPC CIDR) が存在する必要があります。
**注記**
同じアベイラビリティーゾーン内のアタッチされていないサブネットにルートを設定しても、トラフィックフローを有効化しません。Transit Gateway アタッチメントに関連付けられた特定のサブネットのみが、Transit Gateway トラフィックの送受信に使用されます。
## VPC アタッチメントのライフサイクル
VPC アタッチメントは、リクエストが開始された時点から、さまざまな段階を経ることになります。それぞれのステージで実行可能なアクションがあり、そのライフサイクルの最後で、VPC アタッチメントは Amazon Virtual Private Cloud Console と API またはコマンドライン出力に一定期間表示されます。
次の図は、単一のアカウント設定、または [**共有アタッチメントを自動承諾**] がオンになっているクロスアカウント設定で、アタッチメントが経る可能性のある状態を示しています。
![\[VPC アタッチメントのライフサイクル\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/vpc-attachment-lifecycle.png)
+ **Pending** (保留中): VPC アタッチメントのリクエストが開始され、プロビジョニングプロセス中です。この段階では、アタッチメントは失敗するか、または `available` になる場合があります。
+ **Failing** (失敗する可能性あり): VPC アタッチメントのリクエストが失敗する可能性があります。この段階では、VPC アタッチメントは `failed` になります。
+ **Failed** (失敗): VPC アタッチメントのリクエストが失敗しました。この状態では、削除できません。失敗した VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Available** (使用可能): VPC アタッチメントは使用可能で、トラフィックは VPC とトランジットゲートウェイ間でフローできます。この段階では、アタッチメントは `modifying` または `deleting` になる場合があります。
+ **Deleting** (削除中): 削除中の VPC アタッチメント。この段階では、アタッチメントは `deleted` になる場合があります。
+ **Deleted** (削除済み): `available` VPC アタッチメントが削除されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Modifying** (変更中): VPC アタッチメントのプロパティを変更するリクエストが作成されました。この段階では、アタッチメントは `available` または `rolling back` になる場合があります。
+ **Rolling back** (ロールバック中): VPC アタッチメントの変更リクエストを完了できず、システムによって行われた変更がすべて元に戻されようとしています。この段階では、アタッチメントは `available` になる場合があります。
次の図は、[**Auto accept shared attachments**] (共有アタッチメントを自動承諾) がオフになっているクロスアカウント設定で、アタッチメントが経る可能性のある状態を示しています。
![\[[Auto accept shared attachments] (共有アタッチメントを自動承諾) がオフになっているクロスアカウント VPC アタッチメントのライフサイクル\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/vpc-attachment-lifecycle-cross-account.png)
+ **Pending-acceptance** (承諾の保留中): VPC アタッチメントのリクエストは承諾を待っています。この段階では、アタッチメントは `pending`、`rejecting`、または `deleting` になる場合があります。
+ **Rejecting** (拒否中): 拒否処理中の VPC アタッチメント。この段階では、アタッチメントは `rejected` になる場合があります。
+ **Rejected** (拒否): `pending acceptance` VPC アタッチメントが拒否されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Pending** (保留中): VPC アタッチメントが承諾され、プロビジョニングプロセス中です。この段階では、アタッチメントは失敗するか、または `available` になる場合があります。
+ **Failing** (失敗する可能性あり): VPC アタッチメントのリクエストが失敗する可能性があります。この段階では、VPC アタッチメントは `failed` になります。
+ **Failed** (失敗): VPC アタッチメントのリクエストが失敗しました。この状態では、削除できません。失敗した VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Available** (使用可能): VPC アタッチメントは使用可能で、トラフィックは VPC とトランジットゲートウェイ間でフローできます。この段階では、アタッチメントは `modifying` または `deleting` になる場合があります。
+ **Deleting** (削除中): 削除中の VPC アタッチメント。この段階では、アタッチメントは `deleted` になる場合があります。
+ **削除した** : `available` または `pending acceptance` VPC アタッチメントが削除されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。
+ **Modifying** (変更中): VPC アタッチメントのプロパティを変更するリクエストが作成されました。この段階では、アタッチメントは `available` または `rolling back` になる場合があります。
+ **Rolling back** (ロールバック中): VPC アタッチメントの変更リクエストを完了できず、システムによって行われた変更がすべて元に戻されようとしています。この段階では、アタッチメントは `available` になる場合があります。
## アプライアンスモード
VPC でステートフルネットワークアプライアンスを設定する予定の場合は、アタッチメントを作成する際にアプライアンスが配置されているその VPC アタッチメントに対してアプライアンスモードサポートを有効にできます。これにより、送信元と送信先間のトラフィックフローの存続期間中、 AWS Transit Gateway は VPC アタッチメントに同じアベイラビリティーゾーンを使用します。また、そのアベイラビリティーゾーンにサブネットの関連付けがある限り、Transit Gateway は VPC 内の任意のアベイラビリティーゾーンにトラフィックを送信できるようにします。アプライアンスモードは VPC アタッチメントでのみサポートされていますが、ネットワークフローは VPC、VPN、Connect アタッチメントなど、他の Transit Gateway アタッチメントタイプから取得できます。アプライアンスモードは、さまざまな AWS リージョンに送信元と送信先があるネットワークフローでも機能します。最初にアプライアンスモードを有効にせず、後でアタッチメント設定を編集して有効にすると、ネットワークフローは異なるアベイラビリティーゾーン間で再調整される可能性があります。コンソール、コマンドラインあるいは API を使用して、アプライアンスモードを有効化または無効化できます。
AWS Transit Gateway のアプライアンスモードは、アプライアンスモード VPC を通過するパスを決定するときに、送信元と送信先のアベイラビリティーゾーンを考慮してトラフィックルーティングを最適化します。このアプローチにより、効率が向上し、レイテンシーが短縮されます。動作は、特定の設定とトラフィックパターンによって異なります。サンプルシナリオを以下に示します。
### シナリオ 1: アプライアンス VPC を介したアベイラビリティーゾーン内のトラフィックルーティング
us-east-1a と us-east-1b の両方でアプライアンスモード VPC アタッチメントを使用して、送信元アベイラビリティーゾーン us-east-1a から送信先アベイラビリティーゾーン us-east-1a にトラフィックが流れると、Transit Gateway はアプライアンス VPC 内の us-east-1a からネットワークインターフェイスを選択します。このアベイラビリティーゾーンは、送信元と送信先の間のトラフィックフローの全期間にわたって維持されます。
### シナリオ 2: アプライアンス VPC を介したアベイラビリティーゾーン間のトラフィックルーティング
送信元アベイラビリティーゾーン us-east-1a から送信先アベイラビリティーゾーン us-east-1b に流れるトラフィックで、us-east-1a と us-east-1b の両方にアプライアンスモード VPC アタッチメントがある場合、Transit Gateway はフローハッシュアルゴリズムを使用して、アプライアンス VPC で us-east-1a または us-east-1b を選択します。選択したアベイラビリティーゾーンは、フローの存続期間中一貫して使用されます。
### シナリオ 3: アベイラビリティーゾーンデータなしでアプライアンス VPC 経由でトラフィックをルーティングする
トラフィックが送信元アベイラビリティーゾーン us-east-1a からアベイラビリティーゾーン情報のない送信先 (インターネットバインドトラフィックなど) に発信された場合、アプライアンスモード VPC アタッチメントは us-east-1a と us-east-1b の両方で、Transit Gateway はアプライアンス VPC 内の us-east-1a からネットワークインターフェイスを選択します。
### シナリオ 4: 送信元または送信先とは異なるアベイラビリティーゾーンのアプライアンス VPC 経由でトラフィックをルーティングする
トラフィックが送信元アベイラビリティーゾーン us-east-1a から送信先アベイラビリティーゾーン us-east-1b に流れると、異なるアベイラビリティーゾーン us-east-1c と us-east-1d にアプライアンスモード VPC アタッチメントがある場合、Transit Gateway はフローハッシュアルゴリズムを使用して、アプライアンス VPC で us-east-1c または us-east-1d を選択します。選択したアベイラビリティーゾーンは、フローの存続期間中一貫して使用されます。
**注記**
アプライアンスモードは VPC アタッチメントでのみサポートされています。アプライアンス VPC アタッチメントに関連付けられたルートテーブルに対してルート伝達が有効になっていることを確認します。
## セキュリティグループの参照
この機能を使用すると、同じ Transit Gateway にアタッチされている VPC 間のインスタンス間トラフィックのセキュリティグループの管理と制御を簡素化できます。セキュリティグループは、インバウンドルールでのみ相互参照できます。アウトバウンドセキュリティルールは、セキュリティグループの参照をサポートしていません。セキュリティグループ参照の有効化、または使用に関連する追加コストはありません。
セキュリティグループ参照のサポートは、Transit Gateway と Transit Gateway VPC アタッチメントの両方で設定でき、Transit Gateway とその VPC アタッチメントの両方で有効になっている場合にのみ機能します。
### 制限事項
VPC アタッチメントでセキュリティグループ参照を使用する場合、次の制限が適用されます。
+ セキュリティグループの参照は、Transit Gateway ピアリング接続全体ではサポートされていません。両方の VPC を同じ Transit Gateway にアタッチする必要があります。
+ セキュリティグループの参照は、アベイラビリティーゾーン use1-az3 の VPC アタッチメントではサポートされていません。
+ セキュリティグループの参照は PrivateLink エンドポイントではサポートされていません。代わりに IP CIDR ベースのセキュリティルールを使用することをお勧めします。
+ セキュリティグループ参照は、すべての出力セキュリティグループルールが VPC の EFS インターフェイスに対して設定されている場合、Elastic File System (EFS) で機能します。
+ トランジットゲートウェイ経由のローカルゾーン接続では、us-east-1-atl-2a、us-east-1-dfw-2a、us-east-1-iah-2a、us-west-2-lax-1a、us-west-2-lax-1b、us-east-1-mia-2a、us-east-1-chi-2a、us-west-2-phx-2a のみサポートされています。
+ サポートされていないローカルゾーン、 AWS Outposts、および Wavelength Zones のサブネットを持つ VPC では、サービスの中断を引き起こす可能性があるため、この機能を VPCs AWS アタッチメントレベルで無効にすることをお勧めします。
+ 検査 VPC がある場合、トランジットゲートウェイを介して参照するセキュリティグループは、 AWS Gateway Load Balancer または AWS Network Firewall 全体で機能しません。
**Topics**
+ [VPC アタッチメントのルートテーブル要件](#vpc-attachment-routing-requirements)
+ [VPC アタッチメントのライフサイクル](#vpc-attachment-lifecycle)
+ [アプライアンスモード](#tgw-appliancemode)
+ [セキュリティグループの参照](#vpc-attachment-security)
+ [VPC アタッチメントを作成する](create-vpc-attachment.md)
+ [VPC アタッチメントを変更する](modify-vpc-attachment.md)
+ [VPC アタッチメントタグを変更する](modify-vpc-attachment-tag.md)
+ [VPC アタッチメントを表示する](view-vpc-attachment.md)
+ [VPC アタッチメントの削除](delete-vpc-attachment.md)
+ [セキュリティグループのインバウンドルールを更新する](tgw-sg-updates-update.md)
+ [の参照されるセキュリティグループを特定する](tgw-sg-updates-identify.md)
+ [古いセキュリティグループルールを削除する](tgw-sg-updates-stale.md)
+ [VPC アタッチメントのトラブルシューティング](transit-gateway-vpc-attach-troubleshooting.md)
# AWS Transit Gateway で VPC アタッチメントの作成
**コンソールを使用して VPC アタッチメントを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
1. オプションで、[**名前タグ**] に Transit Gateway アタッチメントの名前を入力します。
1. [**Transit Gateway ID**] で、アタッチメントの Transit Gateway を選択します。所有している Transit Gateway、または自分と共有された Transit Gateway を選択できます。
1. [**アタッチメントタイプ**] で、[**VPC**] を選択します。
1. **[DNS サポート]**、**[IPv6 サポート]** および **[アプライアンスモードサポート]** を有効にするかどうかを選択します。
アプライアンスモードを選択した場合、送信元と送信先間のトラフィックフローは、そのフローの有効期間中、VPC アタッチメントに同じアベイラビリティーゾーンを使用します。
1. **[セキュリティグループの参照のサポート]** を有効にするかどうかを選択します。この機能を有効にして、Transit Gateway にアタッチされた VPC 間のセキュリティグループを参照します。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
1. **[IPv6 サポート]** を有効にするかどうかを選択します。
1. [ **VPC ID**] で、Transit Gateway にアタッチする VPC を選択します。
この VPC には少なくとも 1 つのサブネットが関連付けられている必要があります。
1. [**サブネット ID**] で、トラフィックをルーティングするために Transit Gateway が使用するアベイラビリティーゾーンごとに 1 つのサブネットを選択します。少なくとも 1 つのサブネットを選択する必要があります。アベイラビリティーゾーンごとに 1 つだけサブネットを選択できます。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
**AWS CLI を使用して VPC アタッチメントを作成するには**
[[create-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# AWS Transit Gateway で VPC アタッチメントを変更する
**コンソールを使用して VPC アタッチメントを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPC アタッチメントを選択後、**アクション**,**Transit Gateway のアタッチメントの変更**。
1. 次のいずれかを有効または無効にします。
+ **[DNS サポート]**
+ **IPv6 サポート**
+ **[アプライアンスモードサポート]**
1. アタッチメントからサブネットを追加または削除するには、追加または削除したい **[サブネット ID]** でチェックボックスをオンまたはオフにします。
**注記**
VPC アタッチメントサブネットを追加または変更すると、アタッチメントが変更状態のときにデータトラフィックに影響を与える可能性があります。
1. Transit Gateway にアタッチされた VPC 間でセキュリティグループを参照できるようにするには、**[セキュリティグループの参照のサポート]** を選択します。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
**注記**
既存の Transit Gateway のセキュリティグループの参照を無効にすると、すべての VPC アタッチメントで無効になります。
1. **Transit Gateway のアタッチメントの変更**を選択します。
**を使用して VPC アタッチメントを変更するには AWS CLI**
[[modify-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# AWS Transit Gateway で VPC アタッチメントタグを変更する
**コンソールを使用して VPC アタッチメントタグを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPC アタッチメントを選択後、[**アクション**]、[**タグの管理**] の順に選択します。
1. [タグの追加] [**新しいタグの追加**] を選択して、以下を実行します。
+ [**キー**] にはキー名を入力します。
+ [**値**] にキー値を入力します。
1. [Remove a tag (タグの削除)] タグの横にある [**削除**] を選択します。
1. **[保存]** を選択します。
VPC アタッチメントタグは、コンソールを使用してのみ変更できます。
# AWS Transit Gateway で VPC アタッチメントを表示する
**コンソールを使用して VPC アタッチメントを表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. **[リソースタイプ]**列で、**VPC**を探します。これらは VPC アタッチメントです。
1. 詳細を表示するには、アタッチメントを選択します。
**AWS CLI を使用して VPC アタッチメントを表示するには**
[[describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html)] コマンドを使用します。
# AWS Transit Gateway で VPC アタッチメントを削除する
**コンソールを使用して VPC アタッチメントを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPC アタッチメントを選択します。
1. **アクション**、**Transit Gateway のアタッチメントの削除**を選択します。
1. 確認を求めるメッセージが表示されたら、「**delete**」と入力し、[**削除**] を選択します。
**AWS CLI を使用して VPC アタッチメントを削除するには**
[[delete-transit-gateway-vpc-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-vpc-attachment.html)] コマンドを使用します。
# AWS Transit Gateway セキュリティグループのインバウンドルールを更新する
トランジットゲートウェイに関連付けられているインバウンドセキュリティグループルールは、どれでも更新できます。セキュリティグループルールは、Amazon VPC コンソールのコンソールもしくはコマンドラインまたは API を使用して更新できます。セキュリティグループの参照の詳細については、「[セキュリティグループの参照](tgw-vpc-attachments.md#vpc-attachment-security)」を参照してください。
**コンソールを使用してセキュリティグループルールを更新するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) を選択します。
1. セキュリティグループを選択し、インバウンドルールを変更するには、**[アクション]**、**[インバウンドのルールの編集]** の順にクリックします。
1. ルールを追加するには、**[ルールの追加]** を選択し、タイプ、プロトコル、ポート範囲を指定します。**[ソース]** (インバウンドルール) には、Transit Gateway に接続された VPC のセキュリティグループの ID を入力します。
**注記**
Transit Gateway に接続された VPC のセキュリティグループは、自動的には表示されません。
1. 既存のルールを編集するには、値 (ソースや説明など) を変更します。
1. ルールを削除するには、ルールの隣にある **[削除]** を選択します。
1. **[Save Rules]** (ルールの保存) を選択してください。
**コマンドラインを使用してインバウンドルールを更新するには**
+ [authorize-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-security-group-ingress.html) (AWS CLI)
+ [Grant-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Grant-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [Revoke-EC2SecurityGroupIngress](https://docs.aws.amazon.com/powershell/latest/reference/items/Revoke-EC2SecurityGroupIngress.html) (AWS Tools for Windows PowerShell)
+ [revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) (AWS CLI)
# AWS Transit Gateway の参照されるセキュリティグループを特定する
同じ Transit Gateway にアタッチされた VPC 内のセキュリティグループのルールでセキュリティグループが参照されているかどうかを確認するには、次のいずれかのコマンドを使用します。
+ [describe-security-group-references](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-references.html) (AWS CLI)
+ [Get-EC2SecurityGroupReference](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2SecurityGroupReference.html) (AWS Tools for Windows PowerShell)
# 古い AWS Transit Gateway セキュリティグループルールを削除する
古いセキュリティグループルールは、同じ VPC または同じ Transit Gateway にアタッチされた VPC 内の削除されたセキュリティグループを参照するルールです。セキュリティグループルールは古くなっても、セキュリティグループから自動的に削除されません。手動で削除する必要があります。
Amazon VPC コンソールを使用して、VPC の古くなったセキュリティグループルールを表示および削除できます。
**古くなったセキュリティグループルールを表示および削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Security Groups]** (セキュリティグループ) を選択します。
1. [**Action**] (アクション)、[**Manage stale rules**] (古いルールの管理) の順に選択します。
1. **VPC** で古いルールを持つ VPC を選択します。
1. [**Edit**] を選択します。
1. 削除するルールの横にある [**Delete**] (削除) ボタンを選択します。[**変更のプレビュー**]、[**ルールの保存**] を選択します。
**コマンドラインを使用して古いセキュリティグループルールを記述するには**
+ [describe-stale-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-stale-security-groups.html) (AWS CLI)
+ [Get-EC2StaleSecurityGroup](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2StaleSecurityGroup.html) (AWS Tools for Windows PowerShell)
古くなったセキュリティグループルールを特定した後、[revoke-security-group-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-ingress.html) コマンドまたは [revoke-security-group-egress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-security-group-egress.html) コマンドを使用してそれらのルールを削除できます。
# AWS Transit Gateway VPC アタッチメントの作成のトラブルシューティング
次のトピックは、VPC アタッチメントの作成時に発生する可能性のある問題のトラブルシューティングに役立ちます。
**問題**
VPC アタッチメントが失敗しました。
**原因**
原因は、次のいずれかである可能性があります。
1. VPC アタッチメントを作成しているユーザーは、サービスにリンクされたロールを作成するための適切なアクセス権限を持っていません。
1. IAM リクエストが多すぎるため、スロットリングの問題が発生しています。例えば、CloudFormationを使用してアクセス許可とロールを作成している場合などです。
1. サービスにリンクされたロールがアカウントにあり、サービスにリンクされたロールが変更されました。
1. Transit Gateway は `available` 状態にありません。
**ソリューション**
原因に応じて、次をお試しください。
1. サービスにリンクされたロールを作成するための適切なアクセス権限がユーザーに付与されていることを確認します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)」を参照してください。ユーザーにアクセス権限が付与されたら、VPC アタッチメントを作成します。
1. VPC アタッチメントを手動で作成します。詳細については、「[AWS Transit Gateway で VPC アタッチメントの作成](create-vpc-attachment.md)」を参照してください。
1. サービスにリンクされたロールに正しいアクセス権限があることを確認します。詳細については、「[Transit Gateway サービスにリンクされたロール](service-linked-roles.md#tgw-service-linked-roles)」を参照してください。
1. Transit Gateway が `available` 状態であることを確認します。詳細については、「[AWS Transit Gateway で Transit Gateway 情報を表示する](view-tgws.md)」を参照してください。
# AWS Transit Gateway ネットワーク関数アタッチメント
ネットワーク関数アタッチメントを作成して、Transit Gateway を AWS Network Firewall に直接接続できます。これにより、検査 VPC を作成および管理する必要がなくなります。
ファイアウォールアタッチメントを使用すると、AWS は背後で必要なすべてのリソースを自動的にプロビジョニングおよび管理します。個々のファイアウォールエンドポイントではなく、新しい Transit Gateway アタッチメントを表示します。これにより、一元化されたネットワークトラフィック検査を実装するプロセスが簡素化されます。
ファイアウォールアタッチメントを使用する前に、まず AWS Network Firewall でアタッチメントを作成する必要があります。アタッチメントを作成する手順については、「AWS Network Firewall デベロッパーガイド」の「[AWS Network Firewall 管理の開始方法](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)」を参照してください。ファイアウォールの作成後、**[アタッチメント]** セクションの Transit Gateway コンソールでアタッチメントを表示できます。アタッチメントは、**[ネットワーク関数]** のタイプとともに表示されます。
**Topics**
+ [Transit Gateway ネットワーク関数アタッチメントを承諾または拒否する](accept-reject-firewall-attachment.md)
+ [ネットワーク関数アタッチメントを表示する](view-nf-attachment-nm.md)
+ [Transit Gateway ネットワーク関数アタッチメントを介してトラフィックをルーティングする](route-traffic-nf-attachment.md)
# AWS Transit Gateway ネットワーク関数アタッチメントを承諾または拒否する
Amazon VPC コンソール、CLI、または API AWS Network Firewall のいずれかを使用して、Network Firewall アタッチメントを含むトランジットゲートウェイネットワーク関数アタッチメントを承諾または拒否できます。Transit Gateway の所有者で、別のアカウントから Transit Gateway にファイアウォールアタッチメントを作成している場合は、アタッチメントリクエストを承諾または拒否する必要があります。
Network Firewall CLI を使用してネットワーク関数アタッチメントを承諾または拒否するには、「[AWS Network Firewall APIリファレンス](https://docs.aws.amazon.com/network-firewall/latest/APIReference/Welcome.html)」の `AcceptNetworkFirewallTransitGatewayAttachment` または `RejectNetworkFirewallTransitGatewayAttachment` API を参照してください。
## コンソールを使用してネットワーク関数アタッチメントを承諾または拒否する
Amazon VPC コンソールを使用して、Transit Gateway ネットワーク関数アタッチメントを承諾または拒否します。
**コンソールを使用してネットワーク関数アタッチメントを承諾または拒否するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Transit Gateway]** を選択します。
1. **[Transit Gateway アタッチメント]** を選択します。
1. **[承諾保留中]** の状態と **[ネットワーク関数]** のタイプを持つアタッチメントを選択します。
1. **[アクション]** を選択し、**[アタッチメントを承諾]** または **[アタッチメントを拒否]** を選択します。
1. 確認のダイアログボックスで、**[承諾]** または **[拒否]**を選択します。
アタッチメントを承諾すると、アタッチメントはアクティブになり、ファイアウォールはトラフィックを検査できます。アタッチメントを拒否すると、拒否状態になり、最終的に削除されます。
# AWS Transit Gateway ネットワーク関数のアタッチメントを表示する
Amazon VPC コンソールまたは Network Manager コンソールを使用して、アタッチメントを含むネットワーク関数の AWS Network Firewall アタッチメントを表示し、ネットワークトポロジを視覚的に表現できます。
## Network Manager コンソールを使用してネットワーク関数アタッチメントを表示する
Network Manager コンソールを使用して、ネットワーク関数のアタッチメントを表示できます。
**Network Manager でファイアウォールアタッチメントを表示するには**
1. [https://console.aws.amazon.com/networkmanager/home/](https://console.aws.amazon.com/networkmanager/home) で Network Manager コンソールを開きます。
1. まだ作成していない場合は、Network Manager でグローバルネットワークを作成します。
1. Transit Gateway を Network Manager に登録します。
1. **[グローバルネットワーク]** で、アタッチメントが配置されているグローバルネットワークを選択します。
1. ナビゲーションペインで、**[Transit Gateway]** を選択します。
1. アタッチメントを表示する Transit Gateway を選択します。
1. **[トポロジーツリー]** ビューを選択します。Network Firewall アタッチメントには、ネットワーク関数アイコンが表示されます。
1. 特定のファイアウォールアタッチメントの詳細を表示するには、トポロジービューで Transit Gateway を選択し、**[ネットワーク関数]** タブを選択します。
Network Manager コンソールには、ステータス、関連する Transit Gateway、アベイラビリティーゾーンなど、ファイアウォールアタッチメントに関する詳細情報が表示されます。
## Amazon VPC コンソールを使用してネットワーク関数アタッチメントを表示する
VPC コンソールを使用して、Transit Gateway アタッチメントタイプのリストを表示します。
**VPC コンソールを使用して Transit Gateway アタッチメントタイプを表示するには**
+ 「[VPC アタッチメントを表示する](view-vpc-attachment.md)」を参照してください。
# AWS Transit Gateway ネットワーク関数アタッチメントを介してトラフィックをルーティングする
ネットワーク関数アタッチメントを作成したら、Transit Gateway ルートテーブルを更新して、Amazon VPC コンソールまたは CLI を使用して検査のためにファイアウォール経由でトラフィックを送信する必要があります。Transit Gateway ルートテーブルの関連付けを更新する手順については、「[Transit Gateway ルートテーブルの関連付け](associate-tgw-route-table.md)」を参照してください。
## コンソールを使用してファイアウォールアタッチメントを介してトラフィックをルーティングする
Amazon VPC コンソールのコンソールを使用して、Transit Gateway ネットワーク関数アタッチメントを介してトラフィックをルーティングします。
**コンソールを使用してネットワーク関数アタッチメントを介してトラフィックをルーティングするには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Transit Gateway]** を選択します。
1. **[Transit Gateway ルートテーブル]** を選択します。
1. 変更するルートテーブルを選択します。
1. **[アクション]**、**[静的ルートの作成]** の順に選択します。
1. **[CIDR]** の場合は、ルートの送信先 CIDR ブロックを入力します。
1. **[アタッチメント]** で、ネットワーク関数のアタッチメントを選択します。たとえば、これは AWS Network Firewall 添付ファイルである場合があります。
1. [**静的ルートの作成**] を選択します。
**注記**
静的ルートのみがサポートされています。
ルートテーブルの CIDR ブロックに一致するトラフィックは、検査のためにファイアウォールアタッチメントに送信されてから、最終送信先に転送されます。
## CLI または API を使用してネットワーク関数アタッチメントを介してトラフィックをルーティングする
コマンドラインまたは API を使用して、Transit Gateway ネットワーク関数アタッチメントをルーティングします。
**コマンドラインまたは API を使用してネットワーク関数アタッチメントを介してトラフィックをルーティングするには**
+ [https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html](https://docs.aws.amazon.com/cli/latest/reference/create-transit-gateway-route/create-transit-gateway-route.html) を使用します。
例えば、リクエストはネットワークファイアウォールアタッチメントをルーティングすることです。
```
aws ec2 create-transit-gateway-route \
--transit-gateway-route-table-id tgw-rtb-0123456789abcdef0 \
--destination-cidr-block 0.0.0.0/0 \
--transit-gateway-attachment-id tgw-attach-0123456789abcdef0
```
その後、出力が次を返します。
```
{
"Route": {
"DestinationCidrBlock": "0.0.0.0/0",
"TransitGatewayAttachments": [
{
"ResourceId": "network-firewall",
"TransitGatewayAttachmentId": "tgw-attach-0123456789abcdef0",
"ResourceType": "network-function"
}
],
"Type": "static",
"State": "active"
}
}
```
ルートテーブルの CIDR ブロックに一致するトラフィックは、検査のためにファイアウォールアタッチメントに送信されてから、最終送信先に転送されます。
# AWS Site-to-Site VPN AWS Transit Gateway のアタッチメント
Site-to-Site VPN アタッチメントを AWS Transit Gateway のトランジットゲートウェイに接続して、VPCs とオンプレミスネットワークに接続できます。動的ルートと静的ルートの両方がサポートされ、IPv4 と IPv6 もサポートされています。
**要件**
+ VPN 接続を Transit Gateway に接続するには、特定のデバイス要件を持つ VPN カスタマーゲートウェイを指定する必要があります。Site-to-Site VPN アタッチメントを作成する前に、カスタマーゲートウェイの要件を確認して、ゲートウェイが正しく設定されていることを確認します。ゲートウェイ構成ファイルの例を含むこれらの要件の詳細については、[*AWS Site-to-Site VPN ユーザーガイド*」の「[Site-to-Site VPN カスタマーゲートウェイデバイスの要件](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)」を参照してください。
+ 静的 VPN の場合は、まずTransit Gateway のルート テーブルに静的ルートを追加する必要があります。VPN アタッチメントをターゲットとする Transit Gateway ルートテーブル内の静的ルートは、Site-to-Site VPN によってフィルタリングされません。これにより、BGP ベースの VPN を使用するときに意図しないアウトバウンドトラフィックフローが許可される可能性があるためです。Transit Gateway ルートテーブルに静的ルートを追加する手順については、「[静的ルートを作成する](tgw-create-static-route.md)」を参照してください。
Amazon VPC コンソールまたは CLI を使用して、トランジットゲートウェイの Site-to-Site VPN AWS アタッチメントを作成、表示、または削除できます。
**Topics**
+ [VPN への Transit Gateway アタッチメントの作成](create-vpn-attachment.md)
+ [VPN アタッチメントを表示する](view-vpn-attachment.md)
+ [VPN アタッチメントの削除](delete-vpn-attachment.md)
# AWS Transit Gateway で VPN への Transit Gateway アタッチメントを作成する
**コンソールを使用して VPN アタッチメントを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
1. [**Transit Gateway ID**] で、アタッチメントの Transit Gateway を選択します。所有している Transit Gateway を選択できます。
1. [**アタッチメントタイプ**] で、[**VPN**] を選択します。
1. [**カスタマーゲートウェイ**] で、以下のいずれかを実行します。
+ 既存のカスタマーゲートウェイを使用するには、[**既存**] を選択してから、使用するゲートウェイを選択します。
カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。
+ カスタマーゲートウェイを作成するには、[**New**] を選択し、[**IP アドレス**] に静的パブリック IP アドレスと [**BGP ASN**] を入力します。
[**ルーティング**] オプションで、[**動的**] と [**静的**] のどちらを使用するかを選択します。詳細については、「AWS Site-to-Site VPNユーザーガイド」の「[Site-to-Site VPN ルーティングオプション](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingTypes.html)」を参照してください。
1. [**Tunnel Options**] (トンネルオプション) で、トンネルの CIDR 範囲と事前共有キーを入力します。詳細については、[Site-to-Site VPN アーキテクチャ](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)をご参照ください。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
**AWS CLIを使用して VPN アタッチメントを作成するには**
[[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)] コマンドを使用します。
# AWS Transit Gateway で VPN アタッチメントを表示する
**コンソールを使用して VPN アタッチメントを表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. 左**[リソースタイプ]**列、探して**VPN**。これらは VPN アタッチメントです。
1. アタッチメントを選択して、詳細を表示したりタグを追加したりします。
**AWS CLI を使用して VPN アタッチメントを表示するには**
[[describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html)] コマンドを使用します。
# AWS Transit Gateway で VPN アタッチメントを削除する
**コンソールを使用して VPN アタッチメントを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. VPN アタッチメントを選択します。
1. VPN 接続のリソース ID を選択して、[**VPN 接続**] ページに移動します。
1. [** Actions**] で、[**Delete**] を選択します。
1. 確認を求めるメッセージが表示されたら、[**削除**] を選択します。
**AWS CLI を使用して VPN アタッチメントを削除するには**
[[delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html)] コマンドを使用します。
# AWS Transit Gateway の VPN コンセントレータアタッチメント
AWS Site-to-Site VPN Concentrator は、分散企業のマルチサイト接続を簡素化する新機能です。VPN コンセントレータは、25 以上のリモートサイトを に接続し AWS、各サイトに低帯域幅 (100 Mbps 未満) が必要なお客様に適しています。
## VPN コンセントレータの仕組み
VPN コンセントレータはトランジットゲートウェイに単一のアタッチメントとして表示されますが、複数の Site-to-Site VPN 接続をホストできます。
Concentrator 上のすべての VPN 接続からのトラフィックは、同じ Transit Gateway アタッチメントを介してルーティングされるため、接続されているすべてのサイトに一貫したルーティングポリシーとセキュリティルールを適用できます。Concentrator はトランジットゲートウェイルートテーブルとシームレスに統合されるため、リモートサイトと VPCs、他の VPN 接続、ピアリング接続などの他のアタッチメント間のトラフィックフローを制御できます。
## VPN コンセントレータの利点
+ **コストの最適化**: 複数の低帯域幅 VPN 接続を単一のトランジットゲートウェイアタッチメントに統合することでコストを削減します。特に、個々のサイトが完全な VPN アタッチメント容量を必要としない場合に便利です。
+ **管理の簡素化**: 個々の VPN 接続の制御とモニタリングを維持しながら、統合されたアタッチメントを通じて複数のリモートサイト接続を管理します。
+ **一貫したルーティング**: 単一の Transit Gateway ルートテーブルの関連付けを通じて、接続されているすべてのサイトに統一されたルーティングポリシーを適用します。
+ **スケーラブルなアーキテクチャ**: 1 つのコンセントレータを使用して最大 100 のリモートサイトに接続し、トランジットゲートウェイあたり最大 5 つのコンセントレータをサポートします。
+ **標準 VPN 機能**: 各 VPN 接続は、標準の Site-to-Site VPN 接続と同じセキュリティ、モニタリング、ルーティング機能をサポートしています。
**要件と制限事項**
+ **BGP ルーティングのみ**: VPN コンセントレータは BGP (動的) ルーティングのみをサポートします。静的ルーティングは起動時にサポートされていません。
+ **カスタマーゲートウェイの要件**: 各リモートサイトには、BGP ルーティングをサポートするカスタマーゲートウェイが必要です。Concentrator で VPN 接続を作成する前に、*AWS Site-to-Site VPN 「 ユーザーガイド*」の[Site-to-Site VPN カスタマーゲートウェイデバイスの要件」でカスタマーゲートウェイの要件](https://docs.aws.amazon.com/vpn/latest/s2svpn/CGRequirements.html)を確認してください。
+ **パフォーマンスに関する考慮事項**: コンセントレータの各 VPN 接続は、最大 100 Mbps の帯域幅用に設計されています。より高い帯域幅要件については、標準の Transit Gateway VPN アタッチメントの使用を検討してください。
AWS VPC コンソールまたは AWS CLI を使用して、VPN コンセントレータアタッチメントを作成、表示、または削除できます。Concentrator の個々の VPN 接続は、標準の VPN 接続 APIsとコンソールインターフェイスを介して管理されます。
**Topics**
+ [VPN コンセントレータの仕組み](#vpn-concentrator-how-it-works)
+ [VPN コンセントレータの利点](#vpn-concentrator-benefits)
+ [VPN コンセントレータアタッチメントを作成する](create-vpn-concentrator-attachment.md)
+ [VPN コンセントレータアタッチメントを表示する](view-vpn-concentrator-attachment.md)
+ [VPN コンセントレータアタッチメントを削除する](delete-vpn-concentrator-attachment.md)
# AWS Transit Gateway で VPN コンセントレータアタッチメントを作成する
**前提条件**
+ アカウントに既存の Transit Gateway が必要です。
**コンソールを使用して VPN コンセントレータアタッチメントを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**Site-to-Site VPN コンセントレータ**を選択します。
1. **Site-to-Site VPN コンセントレータの作成**を選択します。
1. (オプション) **Name タグ**に、Site-to-Site VPN Concentrator の名前を入力します。
1. **Transit Gateway** で、既存の Transit Gateway を選択します。
1. (オプション) 追加のタグを追加するには、**新しいタグを追加**を選択し、各タグのキーと値を指定します。
1. **Site-to-Site VPN コンセントレータの作成**を選択します。
VPN Concentrator アタッチメントを作成すると、リソースタイプが **VPN Concentrator**、初期状態が **Pending** のアタッチメントのリストに表示されます。アタッチメントの準備が完了すると、状態は **Available** に変わります。その後、このコンセントレータで Site-to-Site VPN 接続を作成できます。
**を使用して VPN コンセントレータアタッチメントを作成するには AWS CLI**
[create-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-concentrator.html) コマンドを使用します。
**コンソールを使用して VPN コンセントレータで VPN 接続を作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**Site-to-Site VPN 接続**を選択します。
1. [**Create VPN connection**] (VPN 接続の作成) を選択します。
1. **ターゲットゲートウェイタイプ**で、**Site-to-Site VPN コンセントレータ**を選択します。
1. **Site-to-Site VPN Concentrator** で、VPN 接続を作成する VPN Concentrator を選択します。
1. [**カスタマーゲートウェイ**] で、以下のいずれかを実行します。
+ 既存のカスタマーゲートウェイを使用するには、[**Existing (既存)**] を選択してから、使用するゲートウェイを選択します。カスタマーゲートウェイが BGP ルーティングをサポートしていることを確認します。
+ カスタマーゲートウェイを作成するには、[**New (新規)**] を選択します。**IP アドレス**には、カスタマーゲートウェイデバイスの静的パブリック IP アドレスを入力します。**BGP ASN** の場合は、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。
カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。
1. **ルーティングオプション**では、**動的 (BGP が必要)** が自動的に選択されます。VPN コンセントレータは、BGP を使用した動的ルーティングのみをサポートします。
1. **事前共有キーストレージ**の場合は、**スタンダード**または **Secrets Manager** を選択します。
1. **トンネル帯域幅**の場合、**標準** が自動的に選択されます。VPN コンセントレータは、標準トンネル帯域幅のみをサポートします。
1. **IP バージョン内のトンネル**の場合は、**IPv4** または **IPv6** を選択します。
1. (オプション) **アクセラレーションを有効にする**を選択して、VPN トンネルのパフォーマンスを向上させます。
1. (オプション) **ローカル IPv4 ネットワーク CIDR** の場合は、IPv4 CIDR 範囲を指定します。
1. (オプション) **リモート IPv4 ネットワーク CIDR** の場合は、IPv4 CIDR 範囲を指定します。
1. **外部 IP アドレスタイプ**では、**パブリック IPv4** アドレスまたは **IPv6** アドレスのいずれかを選択できます。
1. (オプション) **トンネルオプション**では、トンネル IP アドレス内や事前共有キーなどのトンネル設定を構成できます。詳細については、「 *AWS Site-to-Site VPN ユーザーガイド*」の[Site-to-Site VPN アーキテクチャ](https://docs.aws.amazon.com/vpn/latest/s2svpn/site-site-architectures.html)」を参照してください。
1. (オプション) 追加のタグを追加するには、**新しいタグを追加**を選択し、各タグのキーと値を指定します。
1. [**Create VPN connection**] (VPN 接続の作成) を選択します。
VPN 接続は、**Transit Gateway ID **列の VPN Concentrator ID と初期状態が **Pending** の VPN 接続のリストに表示されます。VPN 接続の準備が完了すると、状態は **Available** に変わります。
**を使用して VPN コンセントレータで VPN 接続を作成するには AWS CLI**
[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html) コマンドを使用して、 `--vpn-concentrator-id`パラメータを使用して VPN コンセントレータ ID を指定します。
# AWS Transit Gateway で VPN コンセントレータアタッチメントを表示する
**コンソールを使用して VPN コンセントレータアタッチメントを表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. **リソースタイプ**列で、**VPN コンセントレータ**を探します。これらは VPN Concentrator アタッチメントです。
1. 詳細を表示するには、アタッチメントを選択します。
**コンソールを使用して VPN コンセントレータの VPN 接続を表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**Site-to-Site VPN 接続**を選択します。
1. VPN 接続のリストで、**Transit Gateway ID **列に VPN コンセントレータ ID を示す接続を識別します。これらは、VPN コンセントレータでホストされている VPN 接続です。
1. VPN 接続を選択して詳細を表示します。
**を使用して VPN Concentrator アタッチメントを表示するには AWS CLI**
[describe-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-concentrator.html) コマンドを使用して VPN Concentrator の詳細を表示するか、[describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html) コマンドをリソースタイプ のフィルターとともに使用します`vpn-concentrator`。
**を使用して VPN コンセントレータの VPN 接続を表示するには AWS CLI**
のフィルターで [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) コマンドを使用して、特定の Concentrator に関連付けられた VPN 接続`vpn-concentrator-id`を表示します。
# AWS Transit Gateway で VPN コンセントレータアタッチメントを削除する
**前提条件**
+ VPN Concentrator アタッチメントを削除する前に、VPN Concentrator 上のすべての VPN 接続を削除する必要があります。
+ VPN コンセントレータとそれに関連する VPN 接続の削除を考慮して、ルーティング設定を更新していることを確認します。
**コンソールを使用して VPN コンセントレータの VPN 接続を削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**Site-to-Site VPN 接続**を選択します。
1. **トランジットゲートウェイ ID **列で VPN コンセントレータ ID を検索して、VPN コンセントレータに関連付けられた VPN 接続を特定します。
1. 削除する VPN 接続を選択します。
1. [** Actions**] で、[**Delete**] を選択します。
1. 確認を求めるメッセージが表示されたら、[**削除**] を選択します。
1. VPN コンセントレータに関連付けられた VPN 接続ごとに、ステップ 4~6 を繰り返します。
**コンソールを使用して VPN コンセントレータアタッチメントを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. 削除する VPN コンセントレータアタッチメントを選択します。このコンセントレータに関連付けられている VPN 接続がないことを確認します。
1. **アクション**、**添付ファイルの削除**を選択します。
1. 確認を求めるメッセージが表示されたら、[削除] を選択してください。****
VPN コンセントレータアタッチメントが**削除**状態になり、アカウントから削除されます。このプロセスが完了するまでに数分かかる場合があります。
**を使用して VPN コンセントレータの VPN 接続を削除するには AWS CLI**
VPN コンセントレータに関連付けられた VPN 接続ごとに [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) コマンドを使用します。
**を使用して VPN コンセントレータアタッチメントを削除するには AWS CLI**
すべての VPN 接続が削除されたら、[delete-vpn-concentrator](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-concentrator.html) コマンドを使用します。
# AWS Transit Gateway の Direct Connect ゲートウェイへの Transit Gateway アタッチメント
トランジットゲートウェイで Direct Connect ゲートウェイアタッチメントを操作します。この設定には次のような利点があります。以下を実行できます。
+ 同じリージョンにある複数の VPN または VPC に対して 1 つの接続を管理する。
+ オンプレミスからAWSに、またはAWSからオンプレミスにプレフィックスをアドバタイズする。
次の図は、Direct Connect ゲートウェイによって、すべての VPC が使用できる Direct Connect 接続に 1 つの接続を作成する方法を示しています。
![\[トランジットゲートウェイに接続された Direct Connect ゲートウェイ\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/direct-connect-tgw.png)
このソリューションには、次のコンポーネントが必要です。
+ トランジットゲートウェイ。
+ Direct Connect ゲートウェイ
+ Direct Connect ゲートウェイと Transit Gateway の間の関連付け。
+ トランジット仮想インターフェイスを使用して、Direct Connect ゲートウェイにトランジットゲートウェイをアタッチします。
トランジットゲートウェイを使用した Direct Connect ゲートウェイの設定の詳細については、「AWS Direct Connect ユーザーガイド」の「[トランジットゲートウェイの関連付け](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)」を参照してください。
# AWS Transit Gateway の Transit Gateway ピアリングアタッチメント
リージョン内 Transit Gateway とリージョン間 Transit Gateway の両方をピアリングし、IPv4 および IPv6 トラフィックを含むそれらの間でトラフィックをルーティングできます。これを行うには、Transit Gateway にピアリングアタッチメントを作成し、Transit Gateway を指定します。ピア Transit Gateway は、アカウント内にあることも、別のアカウントからの場合もあります。自分のアカウントから別のアカウントの Transit Gateway にピアリングアタッチメントをリクエストすることもできます。
ピアリングアタッチメントリクエストを作成した後、ピアTransit Gateway (*アクセプタTransit Gateway *とも呼ばれる)の所有者がリクエストを受け入れる必要があります。Transit Gateway 間でトラフィックをルーティングするには、Transit Gateway のピアリングアタッチメントをポイントする静的ルートをTransit Gateway のルートテーブルに追加します。
将来のルート伝達機能を利用するために、ピアリングされたTransit Gateway に一意の ASN を使用することをお勧めします。
トランジットゲートウェイ ピアリングは、別のリージョンの Amazon Route 53 Resolver を使用してトランジットゲートウェイピアリングアタッチメントのどちらかの側の VPC 全体で、パブリックまたはプライベート IPv4 DNS ホスト名をプライベート IPv4 アドレスに解決することをサポートしていません。Route 53 リゾルバーの詳細については、「Amazon Route 53 デベロッパーガイド」の「[Route 53 Resolver の使用開始](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)」を参照してください。
リージョン間のゲートウェイピアリングでは、VPC ピアリングと同じネットワークインフラストラクチャを使用します。したがって、トラフィックはリージョン間を移動する際、仮想ネットワークレイヤーで AES-256 暗号化を使用して暗号化されます。トラフィックが AWS の物理的な制御の外部にあるネットワークリンクを通過する場合は、物理レイヤーで AES-256 暗号化を使用して暗号化されます。その結果、トラフィックは、AWS の物理的な制御の外部にあるネットワークリンク上で二重に暗号化されます。同じリージョン内では、トラフィックは、AWS の物理的な制御の外部にあるネットワークリンクを通過する場合にのみ、物理レイヤーで暗号化されます。
Transit Gateway ピアリングアタッチメントがサポートされているリージョンについては、[AWS Transit Gateway に関するよくある質問](https://aws.amazon.com/transit-gateway/faqs/)のページを参照してください。
## オプトインAWSリージョンに関する考慮事項
オプトインリージョンの境界を越えて Transit Gateway をピアリングできます。これらのリージョンの詳細とオプトイン方法については、「[AWS リージョンの管理](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)」を参照してください。これらのリージョンで Transit Gateway ピアリングを使用する場合は、次の点を考慮に入れてください。
+ ピアリングアタッチメントを受け入れるアカウントがそのリージョンにオプトインされている限り、オプトインリージョンにピアリングできます。
+ リージョンのオプトインステータスにかかわらず、AWSは、ピアリングアタッチメントを受け入れるアカウントと次のアカウントデータを共有します。
+ AWS アカウント ID
+ 転送ゲートウェイ ID
+ リージョンコード
+ Transit Gateway のアタッチメントを削除すると、上記のアカウントデータが削除されます。
+ リージョンをオプトアウトする前に、Transit Gateway ピアリングのアタッチメントを削除することを推奨します。ピアリングアタッチメントを削除しないと、トラフィックがアタッチメントを通過し続け、引き続き課金される可能性があります。アタッチメントを削除しない場合は、オプトインし直し、アタッチメントを削除できます。
+ 一般に、Transit Gateway には送信者支払いモデルがあります。オプトイン境界を越えて Transit Gateway ピアリングアタッチメントを使用すると、アタッチメントを受け入れるリージョン (オプトインしていないリージョンを含む) で料金が発生する可能性があります。詳細については、[AWSTransit Gateway の料金](https://aws.amazon.com/transit-gateway/pricing/)を参照してください。
**Topics**
+ [オプトインAWSリージョンに関する考慮事項](#opt-in-considerations)
+ [ピアリングアタッチメントの作成](tgw-peering-create.md)
+ [ピアリングリクエストを承諾または拒否する](tgw-peering-accept-reject.md)
+ [Transit Gateway のルートテーブルへのルートの追加](tgw-peering-add-route.md)
+ [ピアリングタッチメントを削除する](tgw-peering-delete.md)
# AWS Transit Gateway でピアリングアタッチメントを作成する
開始する前に、アタッチするTransit Gateway の ID があることを確認します。Transit Gateway が別の AWS アカウントにある場合は、Transit Gateway の所有者の AWS アカウント ID を持っていることを確認します。ピアリングアタッチメントを作成した後、アクセプタ Transit Gateway の所有者はアタッチメントリクエストを承諾または拒否する必要があります。
**コンソールを使用して、ピアリングアタッチメントを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
1. [**Transit Gateway ID**] で、アタッチメントの Transit Gateway を選択します。所有している Transit Gateway を選択できます。共有されている Transit Gateway はピアリングに使用できません。
1. [**アタッチメントの種類**] で、[**ピア接続**] を選択します。
1. 必要に応じて、アタッチメントの名前タグを入力します。
1. [**アカウント**] で、次のいずれかを実行します。
+ Transit Gateway がアカウントにある場合は、[**マイアカウント**] を選択します。
+ Transit Gateway が別の AWS アカウントにある場合は、**[他のアカウント]** を選択します。[**アカウント ID**] に AWS アカウント ID を入力します。
1. [**リージョン**] で、Transit Gateway があるリージョンを選択します。
1. [**Transit Gateway ID (アクセプタ)**] に、アタッチする Transit Gateway の ID を入力します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
**AWS CLI を使用して、ピアリングアタッチメントを作成するには**
[create-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-peering-attachment.html) コマンドを使用します。
# AWS Transit Gateway のピアリングアタッチメントのリクエストを承諾または拒否します。
作成されると、Transit Gateway のピアリングアタッチメントは `pendingAcceptance` 状態で自動的に作成され、承諾または拒否されるまで永続的にこの状態を維持します。ピアリングアタッチメントをアクティブにするには、両方の Transit Gateway が同じアカウントにある場合でも、アクセプタ Transit Gateway の所有者がピアリングアタッチメントリクエストを承諾する必要があります。アクセプタ Transit Gateway が配置されているリージョンからのピアリングアタッチメントリクエストを受け入れます。または、ピアリングアタッチメントを拒否する場合は、アクセプタ Transit Gateway があるリージョンからのリクエストを拒否する必要があります。
**コンソールを使用して、ピアリングアタッチメントリクエストを受け入れるには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. 承認保留中の Transit Gateway ピアリングアタッチメントを選択します。
1. **アクション**、**Transit Gateway アタッチメントを受け入れる**を選択します。
1. 静的ルートを Transit Gateway のルートテーブルに追加します。詳細については、「[AWS Transit Gateway で静的ルートを作成する](tgw-create-static-route.md)」を参照してください。
**コンソールを使用して、ピアリングアタッチメントリクエストを拒否するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. 承認保留中の Transit Gateway ピアリングアタッチメントを選択します。
1. **アクション**、**Transit Gateway アタッチメントを拒否する**を選択します。
**AWS CLI を使用して、ピアリングアタッチメントを承諾または拒否するには**
[accept-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/accept-transit-gateway-peering-attachment.html) コマンドおよび [reject-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/reject-transit-gateway-peering-attachment.html) コマンドを使用します。
# Transit Gateway を使用して Transit Gateway AWS ルートテーブルにルートを追加する
ピアリングされた Transit Gateway 間でトラフィックをルーティングするには、Transit Gateway のピアリングアタッチメントをポイントする静的ルートを Transit Gateway のルートテーブルに追加する必要があります。アクセプタTransit Gateway の所有者も、Transit Gateway ルートテーブルに静的ルートを追加する必要があります。
**コンソールを使用して静的ルートを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートを作成するルートテーブルを選択します。
1. [**アクション**]、[**静的ルートの作成**] の順に選択します。
1. [**静的ルートの作成**] ページに、ルートを作成する CIDR ブロックを入力します。たとえば、ピア Transit Gateway にアタッチされている VPC の CIDR ブロックを指定します。
1. ルートのピアリングアタッチメントを選択します。
1. [**静的ルートの作成**] を選択します。
**を使用して静的ルートを作成するには AWS CLI**
[create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) コマンドを使用します。
**重要**
ルートを作成したら、Transit Gateway ピアリングアタッチメントはTransit Gateway ルートテーブルにすでに関連付けられている必要があります。詳細については、「[AWS Transit Gateway で Transit Gateway ルートテーブルを関連付ける](associate-tgw-route-table.md)」を参照してください。
# AWS Transit Gateway のピアリングアタッチメントを削除する
Transit Gateway ピアリングアタッチメントを削除できます。いずれかの Transit Gateway の所有者は、アタッチメントを削除できます。
**コンソールを使用して、ピアリングアタッチメントを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway アタッチメント**] を選択します。
1. Transit Gateway ピアリングアタッチメントを選択します。
1. **アクション**,**Transit Gateway のアタッチメントの削除**を選択します。
1. 「**delete**」と入力し、[**Delete (削除)**] を選択します。
**AWS CLI を使用して、ピアリングアタッチメントを削除するには**
[delete-transit-gateway-peering-attachment](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-peering-attachment.html) コマンドを使用します。
# AWS Transit Gateway でアタッチメントとピアを接続する
Transit Gateway Connect アタッチメントを作成して、Transit Gateway と VPC で実行されているサードパーティー仮想アプライアンス (SD-WAN アプライアンスなど) 間の接続を確立できます。Connect アタッチメントは、総称ルーティングカプセル化 (GRE)トンネルプロトコルをサポートして高パフォーマンスを実現し、ボーダーゲートウェイプロトコル (BGP) をサポートして動的ルーティングをサポートします。Connect アタッチメントを作成したら、Connect アタッチメントに 1 つ以上の GRE トンネル (*Transit Gateway Connect ピアとも呼ばれます*) を作成して、Transit Gateway とサードパーティーアプライアンスを接続できます。ルーティング情報を交換するために、GRE トンネル上で 2 つの BGP セッションを確立します。
**重要**
Transit Gateway Connect ピアは、オンマネージドインフラストラクチャを終了する 2 つの BGP AWSピアリングセッションで構成されます。2 つの BGP ピアリングセッションによってルーティングプレーンに冗長性が備わり、1 つの BGP ピアリングセッションが失われてもルーティング操作に影響しないようになります。両方の BGP セッションから受信したルーティング情報は、指定された Connect ピアに対して蓄積されます。BGP ピアリングセッションが 2 つあることで、日常的なメンテナンス、パッチ適用、ハードウェアのアップグレード、交換などの AWS インフラストラクチャ運用に対しても保護されます。Connect ピアが冗長性のために推奨されるデュアル BGP ピアリングセッションを設定せずに動作している場合、 AWS インフラストラクチャオペレーション中に一時的に接続が失われる可能性があります。Connect ピアで、BGP ピアリングセッションを両方設定することを強くお勧めします。アプライアンス側で高可用性をサポートするように複数の Connect ピアを設定している場合は、各 Connect ピアに両方の BGP ピアリングセッションを設定することをお勧めします。
Connect アタッチメントは、基盤となるトランスポートメカニズムとして、既存の VPC または Direct Connect アタッチメントを使用します。これは、*トランスポートアタッチメント*と呼ばれます。トランジットゲートウェイは、サードパーティーアプライアンスからの一致した GRE パケットを 接続 アタッチメントからのトラフィックとして識別します。送信元または送信先情報が正しくない GRE パケットを含む、その他のパケットは、トランスポートアタッチメントからのトラフィックとして扱われます。
**注記**
Direct Connect アタッチメントをトランスポートメカニズムとして使用するには、まず Direct Connect を AWS Transit Gateway と統合する必要があります。この統合を作成する手順については、[「 SD-WAN デバイスを AWS Transit Gateway と と統合 Direct Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/integrate-sd-wan-devices-with-aws-transit-gateway-and-aws-direct-connect/)する」を参照してください。
## Connect ピア
Connect ピア (GRE トンネル) は以下のコンポーネントで構成されます。
**内部の CIDR ブロック (BGP アドレス)**
BGP ピアリングに使用される内部 IP アドレス。IPv4 の `169.254.0.0/16` 範囲から /29 CIDR ブロックを指定する必要があります。オプションで、IPv6 の `fd00::/8` 範囲から /125 CIDR ブロックを指定できます。以下の CIDR ブロックは予約済みで使用できません。
+ 169.254.0.0/29
+ 169.254.1.0/29
+ 169.254.2.0/29
+ 169.254.3.0/29
+ 169.254.4.0/29
+ 169.254.5.0/29
+ 169.254.169.248/29
アプライアンスの IPv4 範囲の最初のアドレスを BGP IP アドレスとして設定する必要があります。IPv6 を使用する場合、内部 CIDR ブロックが fd00::/125 の場合は、アプライアンスのトンネルインターフェイスでこの範囲 (fd00::1) の最初のアドレスを設定する必要があります。
BGP アドレスは、トランジットゲートウェイ上のすべてのトンネルで一意である必要があります。
**ピア IP アドレス**
Connect ピアのアプライアンス側のピア IP アドレス (GRE 外部 IP アドレス)。これは任意の IP アドレスにすることができます。IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、トランジットゲートウェイアドレスと同じ IP アドレスファミリーである必要があります。
**トランジットゲートウェイアドレス**
Connect ピアのトランジットゲートウェイ側のピア IP アドレス (GRE 外部 IP アドレス)。IP アドレスは、トランジットゲートウェイ CIDR ブロックから指定される必要があります。また、トランジットゲートウェイの 接続 アタッチメント全体で一意である必要があります。IP アドレスを指定しない場合、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。
トランジットゲートウェイを[作成](create-tgw.md)または[変更](tgw-modifying.md)するときに、トランジットゲートウェイ CIDR ブロックを追加できます。
IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、ピア IP アドレスと同じ IP アドレスファミリーである必要があります。
ピア IP アドレスとトランジットゲートウェイアドレスは、GRE トンネルを一意に識別するために使用されます。複数のトンネル全体でいずれかのアドレスを再利用することはできますが、同じトンネル内で両方を再利用することはできません。
BGP ピアリングの Transit Gateway Connect は、マルチプロトコル BGP (MP-BGP) のみをサポートします。ここで、IPv6 ユニキャストの BGP セッションを確立するために IPv4 ユニキャストアドレスも必要です。GRE 外部 IP アドレスには IPv4 と IPv6 の両方のアドレスを使用できます。
次の例は、VPC 内の Transit Gateway とアプライアンスの間の Connect アタッチメントを示しています。
![\[トランジットゲートウェイの Connect アタッチメントおよび Connect ピア\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/transit-gateway-connect-peer.png)
| 図のコンポーネント | 説明 |
| --- | --- |
| ![\[図例ではVPC アタッチメントがどのように表されているかを示しています。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/VPC-attachment.png) | VPC アタッチメント |
| ![\[図例ではConnect アタッチメントがどのように表されているかを示しています。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/connect-attachment.png) | Connect アタッチメント |
| ![\[図例ではGRE トンネルがどのように表されているかを示しています。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/GRE-tunnel.png) | GRE トンネル (Connect ピア) |
| ![\[図例ではBGP ピアリングセッションがどのように表されているかを示しています。\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/bgp-peering.png) | BGP ピアリングセッション |
前の例では、既存の VPC アタッチメント (トランスポートアタッチメント) に Connect アタッチメントが作成されます。Connect ピアが Connect アタッチメントに作成され、VPC 内のアプライアンスへの接続を確立します。トランジットゲートウェイアドレスは `192.0.2.1` で、BGP アドレスの範囲は `169.254.6.0/29` です。範囲 (`169.254.6.1`) 内の最初の IP アドレスは、ピア BGP IP アドレスとしてアプライアンス上で設定されます。
VPC C のサブネットルートテーブルには、トランジットゲートウェイ CIDR ブロックを送信先とするトラフィックをトランジットゲートウェイにポイントするルートがあります。
| 送信先 | ターゲット |
| --- | --- |
| 172.31.0.0/16 | ローカル |
| 192.0.2.0/24 | tgw-id |
## 要件と考慮事項
Connect アタッチメントの要件と考慮事項は次のとおりです。
+ Connect アタッチメントをサポートするリージョンについては、「[AWS Transit Gateway よくある質問](https://aws.amazon.com/transit-gateway/faqs/)」を参照してください。
+ サードパーティーアプライアンスは、接続 アタッチメントを使用して、GRE トンネルを介してトランジットゲートウェイとの間でトラフィックを送受信するように設定される必要があります。
+ 動的ルートアップデートおよび正常性チェックに BGP を使用するようにサードパーティーアプライアンスを設定する必要があります。
+ 次のタイプの BGP がサポートされています。
+ エクステリア BGP (eBGP): トランジットゲートウェイとは異なる自律システムにあるルーターへの接続に使用されます。eBGP を使用する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。
+ インテリア BGP (iBGP): トランジットゲートウェイと同じ自律システムにあるルーターへの接続に使用されます。トランジットゲートウェイは、ルートが eBGP ピアを起点とし、next-hop-self が設定されている必要がある場合を除き、iBGP ピア (サードパーティーアプライアンス) からのルートをインストールしません。iBGP ピアリングを介してサードパーティーアプライアンスによってアドバタイズされるルートには、ASN が必要です。
+ MP-BGP (BGP 用のマルチプロトコル拡張): IPv4 および IPv6 アドレスファミリーなど、複数のプロトコルタイプをサポートするために使用されます。
+ デフォルトの BGP キープアライブタイムアウトは 10 秒で、デフォルトのホールドタイマーは 30 秒です。
+ IPv6 BGP ピアリングはサポートされていません。IPv4 ベースの BGP ピアリングのみがサポートされます。IPv6 プレフィクスは、MP-BGP を使用して IPv4 BGP ピアリングを介して交換されます。
+ 双方向フォワーディング検出 (BFD) はサポートされていません。
+ BGP グレースフルリスタートはサポートされていません。
+ トランジットゲートウェイピアを作成するときに、ピア ASN 番号を指定しない場合、トランジットゲートウェイ ASN 番号が選択されます。つまり、アプライアンスとトランジットゲートウェイは、iBGP を実行する同じ自律システム内に存在することになります。
+ Connect ピアが 2 つある場合は、BGP AS-PATH 属性を使用する Connect ピアが優先ルートになります。
複数のアプライアンス間で 等コストマルチパス (ECMP) ルーティングを使用するには、同じ BGP AS-PATH 属性を使用してトランジットゲートウェイに同じプレフィクスをアドバタイズするように、アプライアンスを設定する必要があります。トランジットゲートウェイが使用可能なすべての ECMP パスを選択するには、AS-PATH と自律システム番号 (ASN) が一致している必要があります。トランジットゲートウェイは、同じ Connect アタッチメントの Connect ピア間、または同じトランジットゲートウェイ上の Connect アタッチメント間で ECMP を使用できます。Transit Gateway では、1 つのピアが確立する両方の冗長 BGP ピア接続間で ECMP を使用できません。
+ Connect アタッチメントでは、ルートはデフォルトで Transit Gateway ルートテーブルに伝達されます。
+ 静的ルートはサポートされていません。
+ GRE ヘッダー (24 バイト) と外部 IP ヘッダー (20 バイト) のオーバーヘッドを引いて、外部インターフェイス MTU よりも小さくするように GRE トンネル MTU を設定します。例えば、外部インターフェイス MTU が 1500 バイトの場合、パケットの断片化を防ぐために GRE トンネル MTU を 1456 バイト (1500 - 24 - 20 = 1456) に設定します。
**Topics**
+ [Connect ピア](#tgw-connect-peer)
+ [要件と考慮事項](#tgw-connect-requirements)
+ [Connect アタッチメントの作成](create-tgw-connect-attachment.md)
+ [Connect ピアを作成する](create-tgw-connect-peer.md)
+ [Connect アタッチメントと Connect ピアを表示する](view-tgw-connect-attachments.md)
+ [Connect アタッチメントおよび Connect ピアのタグを変更する](modify-connect-attachment-tag.md)
+ [Connect ピアを削除する](delete-tgw-connect-peer.md)
+ [Connect アタッチメントを削除する](delete-tgw-connect-attachment.md)
# AWS Transit Gateway の Connect アタッチメントを作成する
Connect アタッチメントを作成するには、トランスポートアタッチメントとして既存のアタッチメントを指定する必要があります。VPC アタッチメントまたは Direct Connect アタッチメントをトランスポートアタッチメントとして指定できます。
**コンソールを使用して Connect アタッチメントを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
1. (オプション) [**名前タグ**] でアタッチメントの名前タグを指定します。
1. [**Transit Gateway ID**] で、アタッチメントのトランジットゲートウェイを選択します。
1. [**アタッチメントタイプ**] で、[**接続**] を選択します。
1. [**トランスポートアタッチメント ID**] で、既存のアタッチメント の ID を選択します。
1. [**Transit Gateway アタッチメントの作成**] を選択します。
**AWS CLI CLI を使用して Connect アタッチメントを作成するには**
[create-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect.html) コマンドを使用します。
# AWS Transit Gateway で Connect ピアを作成する
既存の Connect アタッチメントについて、Connect ピア (GRE トンネル) を作成できます。開始する前に、トランジットゲートウェイ CIDR ブロックが設定されていることを確認してください。トランジットゲートウェイを[作成](create-tgw.md)または[変更](tgw-modifying.md)するときに、トランジットゲートウェイ CIDR ブロックを設定できます。
Connect ピアを作成するときは、Connect ピアのアプライアンス側で GRE 外部 IP アドレスを指定する必要があります。
**コンソールを使用して Connect ピアを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. Connect アタッチメントを選択し、[**アクション**] 、[**Connect ピアを作成**] の順に選択します。
1. (オプション) **[名前タグ]** に、Connect ピアの名前タグを指定します。
1. (オプション) [**Transit Gateway GRE アドレス**] に、Transit Gateway の GRE 外部 IP アドレスを指定します。デフォルトでは、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。
1. **[ピア GRE アドレス]** で、Connect ピアのアプライアンス側の GRE 外部 IP アドレスを指定します。
1. [**BGP 内部 CIDR ブロック IPv4**] で、BGP ピアリングに使用される内部 IPv4 アドレスの範囲を指定します。`169.254.0.0/16` の範囲から /29 CIDR ブロックを指定します。
1. (オプション) [**BGP 内部 CIDR ブロック IPv6**] で、BGP ピアリングに使用される内部 IPv6 アドレスの範囲を指定します。`fd00::/8` の範囲から /125 CIDR ブロックを指定します。
1. (オプション) [**ピア ASN**] で、アプライアンスのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を指定します。ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、64512〜65534 (16ビットASN) または 4200000000〜4294967294 (32ビットASN) の範囲でプライベート ASN を使用できます。
デフォルトは、トランジットゲートウェイと同じ ASN です。**ピア ASN** をトランジットゲートウェイ ASN (eBGP) とは異なるように設定する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。
1. 選択**接続ピアの作成**を選択します。
**AWS CLI を使用して Connect ピアを作成するには**
[create-transit-gateway-connect-保存](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-connect-peer.html) コマンドを使用します。
# AWS Transit Gateway で Connect アタッチメントと Connect ピアを表示する
Connect アタッチメントと Connect ピアを表示します。
**コンソールを使用して Connect アタッチメントと Connect ピアを表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. Connect アタッチメントを選択します。
1. アタッチメントの Connect ピアを表示するには、**[Connect ピア]** タブを選択します。
**を使用して Connect アタッチメントと Connect ピアを表示するには AWS CLI**
[describe-transit-gateway-connects](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connects.html) および [describe-transit-gateway-connect-ピア](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-connect-peers.html) コマンドを使用します。
# AWS Transit Gateway で Connect アタッチメントと Connect ピアタグを変更する
Connect アタッチメントのタグを変更できます。
**コンソールを使用して Connect アタッチメントタグを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. 接続 アタッチメントを選択後、**[アクション]**、**[タグの管理]** の順に選択します。
1. タグを追加するには、**新しいタグを追加**を選択し、キー名とキーバリューを指定します。
1. タグを削除するには、**[削除]** を選択します。
1. **[保存]** を選択します。
Connect ピアのタグは変更できます。
**コンソールを使用して Connect ピアのタグを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. 接続 アタッチメントを選択し、[**接続 ピア**] を選択します。
1. Connect ピアを選択後、**[アクション]**、**[タグの管理]** の順に選択します。
1. タグを追加するには、**新しいタグを追加**を選択し、キー名とキーバリューを指定します。
1. タグを削除するには、**[削除]** を選択します。
1. **[保存]** を選択します。
**を使用して Connect アタッチメントと Connect ピアタグを変更するには AWS CLI**
[create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) および [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) コマンドを使用します。
# AWS Transit Gateway で Connect ピアを削除する
Connect ピアが不要になった場合には、それを削除することができます。
**コンソールを使用して Connect ピアを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. Connect アタッチメントを選択します。
1. **[Connect ピア]** タブで、Connect ピアを選択し、**[アクション]**、**[Connect ピアを削除]** の順に選択します。
**AWS CLI を使用して Connect ピアを削除するには**
[delete-transit-gateway-connect-保存](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect-peer.html) コマンドを使用します。
# AWS Transit Gateway の Connect アタッチメントを削除する
Connect アタッチメントが不要になった場合は、削除できます。まず、アタッチメントの Connect ピアをすべて削除する必要があります。
**コンソールを使用して Connect アタッチメントを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで **[Transit Gateway アタッチメント]** を選択します。
1. Connect アタッチメントを選択後、**[アクション]**、**[Transit Gateway アタッチメントの削除]**を選択します。
1. 「**delete**」と入力し、**[削除]** を選択します。
**AWS CLI CLI を使用して Connect アタッチメントを削除するには**
[delete-transit-gateway-connect](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-connect.html) コマンドを使用します。
# Transit Gateway の Transit Gateway AWS ルートテーブル
Transit Gateway ルートテーブルを使用して、Transit Gateway アタッチメントのルーティングを設定します。ルートテーブルは、VPC と VPN 間でネットワークトラフィックがどのようにルーティングされるかを指示するルールを含むテーブルです。テーブル内の各ルートには、トラフィックを送信する送信先の IP アドレスの範囲が含まれます。
Transit Gateway ルートテーブルを使用すると、テーブルを Transit Gateway アタッチメントに関連付けることができます。VPC、VPN、VPN Concentrator、Direct Connect ゲートウェイ、ピアリング、Connect アタッチメントはすべてサポートされています。関連付けると、これらのアタッチメントのルートはアタッチメントからターゲットの Transit Gateway ルートテーブルに伝播されます。アタッチメントは複数のルートテーブルに伝播できます。
さらに、ルートテーブルを使用して静的ルートを作成および管理できます。例えば、動的なルートに影響を与えるネットワーク中断が発生した場合に、バックアップルートとして使用される静的ルートがあるとします。
**Topics**
+ [Transit Gateway ルートテーブルの作成](create-tgw-route-table.md)
+ [Transit Gateway ルートテーブルの表示](view-tgw-route-tables.md)
+ [Transit Gateway ルートテーブルの関連付け](associate-tgw-route-table.md)
+ [Transit Gateway ルートテーブルの関連付けを解除する](disassociate-tgw-route-table.md)
+ [ルート伝播を有効にする](enable-tgw-route-propagation.md)
+ [ルート伝達の無効化](disable-tgw-route-propagation.md)
+ [静的ルートを作成する](tgw-create-static-route.md)
+ [静的ルートを削除する](tgw-delete-static-route.md)
+ [スタティックルートの置換](tgw-replace-static-route.md)
+ [Amazon S3 にルートテーブルをエクスポートする](tgw-export-route-tables.md)
+ [Transit Gateway ルートテーブルの削除](delete-tgw-route-table.md)
+ [プレフィックスリストリファレンスの作成](create-prefix-list-reference.md)
+ [プレフィックスリストリファレンスの変更](modify-prefix-list-reference.md)
+ [プレフィックスリストリファレンスの削除](delete-prefix-list-reference.md)
# AWS Transit Gateway で Transit Gateway ルートテーブルを作成する
**コンソールを使用して Transit Gateway ルートテーブルを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. [**Transit Gateway ルートテーブルの作成**] を選択します。
1. (オプション) [**名前タグ**] に、Transit Gateway ルートテーブルの名前を入力します。これにより、タグキー「名前」を持つタグが作成されます。タグ値は指定した名前です。
1. [**Transit Gateway ID**] で、ルートテーブルの Transit Gateway を選択します。
1. [**Transit Gateway ルートテーブルの作成**] を選択します。
**AWS CLI CLI を使用して Transit Gateway ルートテーブルを作成するには**
[[create-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route-table.html)] コマンドを使用します。
# Transit Gateway を使用して Transit Gateway AWS ルートテーブルを表示する
**コンソールを使用して Transit Gateway ルートテーブルを表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. (オプション) 特定のルートテーブルまたはテーブルのセットを検索するには、フィルターフィールドに名前、キーワード、または属性の全部または一部を入力します。
1. ルートテーブルのチェックボックスをオンにするか、ID を選択して、関連付け、伝達、ルート、タグに関する情報を表示します。
**を使用して Transit Gateway ルートテーブルを表示するには AWS CLI**
[[describe-transit-gateway-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-route-tables.html)] コマンドを使用します。
**を使用してトランジットゲートウェイルートテーブルのルートを表示するには AWS CLI**
[search-transit-gateway-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-routes.html) コマンドを使用します。
**を使用してトランジットゲートウェイルートテーブルのルート伝達を表示するには AWS CLI**
[[get-transit-gateway-route-table-propagations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-propagations.html)] コマンドを使用します。
**を使用してトランジットゲートウェイルートテーブルの関連付けを表示するには AWS CLI**
[get-transit-gateway-route-table-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-transit-gateway-route-table-associations.html) コマンドを使用します。
# AWS Transit Gateway で Transit Gateway ルートテーブルを関連付ける
Transit Gateway ルートテーブルを、Transit Gateway アタッチメントに関連付けることができます。
**コンソールを使用して Transit Gateway ルートテーブルを関連付けるには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートテーブルを選択します。
1. ページ下部で、[**関連付け**] タブを選択します。
1. [**関連付けの作成**] を選択します。
1. 関連付けるアタッチメントを選択してから、[**関連付けの作成 (関連付けの作成)**] を選択します。
**AWS CLI を使用して Transit Gateway ルートテーブルを関連付けるには**
[[associate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-route-table.html)] コマンドを使用します。
# Transit Gateway で Transit Gateway AWS ルートテーブルの関連付けを削除する
Transit Gateway アタッチメントから Transit Gateway ルートテーブルの関連付けを解除できます。
**コンソールを使用して Transit Gateway ルートテーブルの関連付けを解除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートテーブルを選択します。
1. ページ下部で、[**Associations (関連付け)**] タブを選択します。
1. 関連付けを解除するアタッチメントを選択してから、[**Delete association (関連付けの解除)**] を選択します。
1. 確認を求めるメッセージが表示されたら、[**Delete association (関連付けの解除)**] を選択します。
**を使用してトランジットゲートウェイルートテーブルの関連付けを解除するには AWS CLI**
[[disassociate-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-route-table.html)] コマンドを使用します。
# AWS Transit Gateway で Transit Gateway ルートテーブルへのルート伝達を有効にする
ルート伝達を使用して、アタッチメントからルートテーブルへのルートを追加します。
**Transit Gateway アタッチメントルートテーブルにルートを伝達するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. 伝播を作成するルートテーブルを選択します。
1. [**Actions (アクション)**]、[**Create propagation (伝播の作成)**] の順に選択します。
1. **[Create propagation (伝播の作成)**]ページで、アタッチメントを選択します。
1. **伝播の作成**] を選択します。
**を使用してルート伝達を有効にするには AWS CLI**
[[enable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/enable-transit-gateway-route-table-propagation.html)] コマンドを使用します。
# AWS Transit Gateway でルート伝播を無効にする
ルートテーブルアタッチメントからルート伝達を削除します。
**コンソールを使用してルート伝達を無効にするには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. 伝播を削除するルートテーブルを選択します。
1. ページ下部で、[**伝播**] タブを選択します。
1. アタッチメントを選択し、次に[**伝播の削除**] を選択します。
1. 確認を求めるメッセージが表示されたら、[**伝播の削除**] を選択します。
**AWS CLI を使用してルート伝達を無効にするには**
[[disable-transit-gateway-route-table-propagation](https://docs.aws.amazon.com/cli/latest/reference/ec2/disable-transit-gateway-route-table-propagation.html)] コマンドを使用します。
# AWS Transit Gateway で静的ルートを作成する
VPC、VPN、または Transit Gateway ピアリングアタッチメントの静的ルートを作成するか、ルートに一致するトラフィックを切断するブラックホールルートを作成します。
VPN アタッチメントをターゲットとする Transit Gateway ルートテーブル内の静的ルートは Site-to-Site VPN によってフィルターされません。これにより、BGP ベースの VPN を使用すると意図しないアウトバウンドトラフィックフローが発生する可能性があります。
**コンソールを使用して静的ルートを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートを作成するルートテーブルを選択します。
1. [**アクション**]、[**静的ルートの作成**] の順に選択します。
1. [**ルートの作成**] ページに、ルートを作成する CIDR ブロックを入力し、[**アクティブ**] を選択します。
1. ルートのアタッチメントを選択します。
1. [**静的ルートの作成**] を選択します。
**コンソールを使用してブラックホールルートを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートを作成するルートテーブルを選択します。
1. [**アクション**]、[**静的ルートの作成**] の順に選択します。
1. [**静的ルートの作成**] ページに、ルートを作成する CIDR ブロックを入力し、[**ブラックホール**] を選択します。
1. [**静的ルートの作成**] を選択します。
**AWS CLI を使用して静的ルートまたはブラックホールルートを作成するには**
[create-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-route.html) コマンドを使用します。
# AWS Transit Gateway で静的ルートを削除する
Transit Gateway ルートテーブルから静的ルートを削除します。
**コンソールを使用して静的ルートを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートを削除するルートテーブルを選択し、[**ルート**] を選択します。
1. 削除するルートを選択します。
1. 選択**静的ルートを削除する**。
1. 確認ボックスで [**静的ルートの削除**] を選択します。
**AWS CLI を使用して静的ルートを削除するには**
[[delete-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route.html)] コマンドを使用します。
# AWS Transit Gateway で静的ルートを置き換える
Transit Gateway ルートテーブル内の静的ルートを別の静的ルートに置き換えます。
**コンソールを使用してスタティックルートを置き換えるには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. ルートテーブルで置換するルートを選択します。
1. 詳細セクションで、[**ルート**] タブを選択します。
1. [**アクション**]、[**スタティックルートの置換**] を選択します。
1. [**タイプ**] では、[**アクティブ**] または [**ブラックホール**] を選択します。
1. [**アタッチメントの選択**] ドロップダウンから、ルートテーブル内の現在のゲートウェイを置き換えるトランジットゲートウェイを選択します。
1. [**スタティックルートの置換**] を選択します。
**AWS CLI を使用してスタティックルートを置換します。**
[replace-transit-gateway-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-transit-gateway-route.html) コマンドを使用します。
# AWS Transit Gateway でルートテーブルを Amazon S3 にエクスポートする
Transit Gateway のルートテーブルのルートを Amazon S3 バケットにエクスポートできます。ルートは、JSON ファイルの指定された Amazon S3 バケットに保存されます。
**コンソールを使用して Transit Gateway ルートテーブルをエクスポートするには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. エクスポートするルートを含むルートテーブルを選択します。
1. [**アクション**]、[**ルートのエクスポート**] を選択します。
1. [**ルートのエクスポート**] ページの [**S3 bucket name (S3バケット名)**]に、S3 バケットの名前を入力します。
1. エクスポートされたルートをフィルタリングするには、ページの [**フィルター**] セクションでフィルターパラメータを指定します。
1. [**ルートのエクスポート**] を選択します。
エクスポートされたルートにアクセスするには、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) で Amazon S3 コンソールを開き、指定したバケットに移動します。ファイル名には、AWS アカウント ID、AWS リージョン、ルートテーブル ID、タイムスタンプが含まれます。ファイルを選択し、[**ダウンロード**] を選択します。VPC アタッチメントの 2 つの伝達ルートに関する情報を含む JSON ファイルの例を次に示します。
```
{
"filter": [
{
"name": "route-search.subnet-of-match",
"values": [
"0.0.0.0/0",
"::/0"
]
}
],
"routes": [
{
"destinationCidrBlock": "10.0.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-0123456abcd123456",
"transitGatewayAttachmentId": "tgw-attach-1122334455aabbcc1",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
},
{
"destinationCidrBlock": "10.2.0.0/16",
"transitGatewayAttachments": [
{
"resourceId": "vpc-abcabc123123abca",
"transitGatewayAttachmentId": "tgw-attach-6677889900aabbcc7",
"resourceType": "vpc"
}
],
"type": "propagated",
"state": "active"
}
]
}
```
# AWS Transit Gateway で Transit Gateway ルートテーブルを削除する
**コンソールを使用して Transit Gateway ルートテーブルを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**] を選択します。
1. 削除するルートテーブルを選択します。
1. **アクション**、**Transit Gateway ルートテーブルの削除**を選択します。
1. **delete** と入力して、[**Delete (削除)**] を選択して削除を確認します。
**AWS CLI を使用して Transit Gateway ルートテーブルを削除するには**
[[delete-transit-gateway-route-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-route-table.html)] コマンドを使用します。
# AWS Transit Gateway でルートテーブルのプレフィックスリストリファレンスを作成する
Transit Gateway ルートテーブルでプレフィックスリストを参照できます。プレフィックスリストは、定義および管理する 1 つ以上の CIDR ブロックエントリのセットです。プレフィックスリストを使用すると、ネットワークトラフィックをルーティングするためにリソースで参照する IP アドレスの管理を簡素化できます。例えば、複数の Transit Gateway ルートテーブルにわたって同じ送信先 CIDR を頻繁に指定する場合、各ルートテーブルで同じ CIDR を繰り返し参照するのではなく、これらの CIDR を 1 つのプレフィックスリストで管理できます。送信先 CIDR ブロックを削除する必要がある場合は、影響を受けるすべてのルートテーブルからルートを削除する代わりに、プレフィクスリストからエントリを削除できます。
Transit Gateway ルートテーブルにプレフィックスリストリファレンスを作成すると、プレフィックスリストの各エントリは、Transit Gateway ルートテーブルにルートとして表示されます。
プレフィックスリストの詳細については、「Amazon VPC ユーザーガイド」の「[プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html)」を参照してください。
**コンソールを使用してプレフィックスリストリファレンスを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**\$1] をクリックします。
1. Transit Gateway ルートテーブルを選択します。
1. [**アクション**]、[**プレフィックスリストリファレンスを作成**] の順にクリックします。
1. [**プレフィックスリスト ID**] で、プレフィックスリストの ID を選択します。
1. を使用する場合**タイプ**で、このプレフィクスリストへのトラフィックを許可するかどうかを選択します(**アクティブ**) またはドロップ (**ブラックホール**)。
1. [**Transit Gateway アタッチメント ID**] で、トラフィックをルーティングする先のアタッチメントの ID を選択します。
1. [**プレフィックスリストリファレンスを作成**] をクリックします。
**AWS CLI を使用してプレフィックスリストリファレンスを作成するには**
[[create-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-prefix-list-reference.html)] コマンドを使用します。
# AWS Transit Gateway でプレフィックスリストリファレンスを変更する
プレフィックスリストリファレンスを変更するには、トラフィックのルーティング先のアタッチメントを変更します。または、ルートに一致するトラフィックを削除するかどうかを指定します。
プレフィックスリストの各ルートを [**ルート**] タブで変更することはできません。プレフィックスリストのエントリを変更するには、[**マネージドプレフィックスリスト**] 画面を使用します。詳細については、「Amazon VPC ユーザーガイド」の「[プレフィックスリストの変更](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html#modify-managed-prefix-list)」を参照してください。
**コンソールを使用してプレフィックスリストリファレンスを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**\$1] をクリックします。
1. Transit Gateway ルートテーブルを選択します。
1. 下部のペインで、[**プレフィックスリストリファレンス**] をクリックします。
1. プレフィックスリストリファレンスを選択し、[**リファレンスの変更**] をクリックします。
1. を使用する場合**タイプ**で、このプレフィクスリストへのトラフィックを許可するかどうかを選択します(**アクティブ**) またはドロップ (**ブラックホール**)。
1. [**Transit Gateway アタッチメント ID**] で、トラフィックをルーティングする先のアタッチメントの ID を選択します。
1. [**プレフィックスリストリファレンスの変更**] をクリックします。
**AWS CLI を使用してプレフィックスリストリファレンスを変更するには**
[[modify-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-transit-gateway-prefix-list-reference.html)] コマンドを使用します。
# AWS Transit Gateway 内のプレフィックスリストリファレンスを削除する
プレフィックスリストリファレンスが不要になった場合は、Transit Gateway ルートテーブルから削除できます。参照を削除しても、プレフィックスリストは削除されません。
**コンソールを使用してプレフィックスリストリファレンスを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway ルートテーブル**\$1] をクリックします。
1. Transit Gateway ルートテーブルを選択します。
1. プレフィックスリストリファレンスを選択し、[**リファレンスの削除**] をクリックします。
1. [**リファレンスの削除**] を選択します。
**AWS CLI を使用してプレフィックスリストリファレンスを変更するには**
[[delete-transit-gateway-prefix-list-reference](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-prefix-list-reference.html)] コマンドを使用します。
# AWS Transit Gateway の Transit Gateway ポリシーテーブル
Transit Gateway の動的ルーティングでは、ポリシーテーブルを使用してネットワークトラフィックが AWS Cloud WAN にルーティングされます。このテーブルには、ポリシー属性によってネットワークトラフィックを照合するためのポリシールールが含まれ、ルールに一致するトラフィックがターゲットルートテーブルにマッピングされます。
Transit Gateway に動的ルーティングを使用して、ルーティングおよび到達可能性の情報をピアリングされた Transit Gateway と自動的に情報交換できます。静的ルートとは異なり、パスの障害や輻輳などのネットワーク状態に基づいて、別のパスを経由してトラフィックをルーティングできます。また、動的ルーティングは、ネットワークの侵害や侵入が発生した場合にトラフィックを簡単に再ルーティングできるという点で、セキュリティの強化につながります。
**注記**
トランジットゲートウェイポリシーテーブルは現在、トランジットゲートウェイピア接続を作成するときに、Cloud WAN でのみサポートされています ピアリング接続を作成するときに、そのテーブルを接続に関連付けることができます。その後、アソシエーションはポリシールールを自動的にテーブルに入力します。
Cloud WAN でのピアリング接続の詳細については、「AWS Cloud WAN ユーザーガイド」の「[ピアリング](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-peerings.html)」を参照してください。
**Topics**
+ [Transit Gateway ポリシーテーブルの作成](tgw-policy-tables-create.md)
+ [Transit Gateway ポリシーテーブルの削除](tgw-policy-tables-disable.md)
# Transit Gateway で Transit Gateway AWS ポリシーテーブルを作成する
**コンソールを使用して Transit Gateway ポリシーテーブルを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで **[Transit gateway policy table]** (Transit Gateway ポリシーテーブル) を選択します。
1. **[Create transit gateway policy table]** (Transit Gateway ポリシーテーブルの作成) を選択します。
1. (オプション) **[Name tag]** (名前タグ) に、Transit Gateway ポリシーテーブルの名前を入力します。これによりタグが作成され、タグの値は指定した名前になります。
1. [Transit gateway ID] (Transit Gateway の ID) で、ポリシーテーブルの Transit Gateway を選択します。
1. **[Create transit gateway policy table]** (Transit Gateway ポリシーテーブルの作成) を選択します。
**を使用してトランジットゲートウェイポリシーテーブルを作成するには AWS CLI**
[create-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-policy-table.html) コマンドを使用します。
# AWS Transit Gateway で Transit Gateway ポリシーテーブルを削除する
Transit Gateway ポリシーテーブルを削除します。テーブルが削除されると、そのテーブル内のすべてのポリシールールが削除されます。
**コンソールを使用して Transit Gateway ポリシーテーブルを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで **[Transit gateway policy tables]** (Transit Gateway ポリシーテーブル) を選択します。
1. 削除する Transit Gateway ポリシーテーブルを選択します。
1. **[Actions]** (アクション) を選択してから、**[Delete policy table]** (ポリシーテーブルの削除) を選択します。
1. テーブルを削除することを確認します。
**を使用してトランジットゲートウェイポリシーテーブルを削除するには AWS CLI**
[delete-transit-gateway-policy-table](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-policy-table.html) コマンドを使用します。
# AWS Transit Gateway のマルチキャスト
マルチキャストは、単一のデータストリームを複数の受信コンピュータに同時に配信するために使用される通信プロトコルです。Transit Gateway は、接続された VPC のサブネット間のマルチキャストトラフィックのルーティングをサポートし、複数の受信インスタンス宛てのトラフィックを送信するインスタンスのマルチキャストルーターとして機能します。
**Topics**
+ [マルチキャストの概念](#concepts)
+ [考慮事項](#limits)
+ [マルチキャストのルーティング](#how-multicast-works)
+ [マルチキャストドメイン](multicast-domains-about.md)
+ [共有マルチキャストドメイン](multicast-share-domain.md)
+ [マルチキャストグループにソースを登録する](add-source-multicast-group.md)
+ [マルチキャストグループにメンバーを登録する](add-members-multicast-group.md)
+ [マルチキャストグループからソースを登録解除する](remove-source-multicast-group.md)
+ [マルチキャストグループからメンバーを登録解除する](remove-members-multicast-group.md)
+ [マルチキャストグループを表示する](view-multicast-group.md)
+ [Windows Server のマルチキャストを設定する](multicastwin.md)
+ [例: IGMP 設定を管理する](multicast-configurations-igmp.md)
+ [例: 静的ソース設定を管理する](multicast-configurations-no-igmp.md)
+ [例: 静的グループメンバー設定の管理](multicast-configurations-no-igmp-source.md)
## マルチキャストの概念
マルチキャストの主な概念は次のとおりです。
+ **マルチキャストドメイン** — 異なるドメインへのマルチキャストネットワークのセグメント化が可能になり、Transit Gateway が複数のマルチキャストルーターとして機能するようになります。サブネットレベルでマルチキャストドメインのメンバーシップを定義します。
+ **マルチキャストグループ** — 同じマルチキャストトラフィックを送受信するホストセットを識別します。マルチキャストグループは、グループ IP アドレスによって識別されます。マルチキャストグループのメンバーシップは、EC2 インスタンスにアタッチされた個々の 弾性ネットワークインタフェース によって定義されます。
+ **インターネットグループ管理プロトコル (IGMP)** — ホストとルーターがマルチキャストグループメンバーシップを動的に管理できるようにするインターネットプロトコル。IGMP マルチキャストドメインには、IGMP プロトコルを使用してメッセージの参加、脱退、および送信を行うホストが含まれます。AWSは、IGMPv2 プロトコルと IGMP および静的 (API ベースの) グループメンバシップマルチキャストドメインの両方をサポートします。
+ **マルチキャスト送信元** — マルチキャストトラフィックを送信するよう静的に設定された、サポートされている EC2 インスタンスに関連付けられた elastic network interface。マルチキャスト送信元は、静的な送信元の設定のみに適用されます。
静的な送信元のマルチキャストドメインには、メッセージの参加、脱退、および送信を行うために IGMP プロトコルを使用しないホストが含まれます。AWS CLIを使用して、送信元およびグループメンバーを追加します。静的に追加された送信元は、マルチキャストトラフィックを送信し、メンバーはマルチキャストトラフィックを受信します。
+ **マルチキャストグループメンバー** — マルチキャストトラフィックを受信する、サポートされている EC2 インスタンスに関連付けられた elastic network interface。マルチキャストグループには複数のグループメンバーがあります。静的な送信元のグループメンバーシップの設定では、マルチキャストグループメンバーはトラフィックだけを受信できます。IGMP グループ設定では、メンバーはトラフィックを送受信できます。
## 考慮事項
+ Transit Gateway マルチキャストは、高頻度取引やパフォーマンス重視のアプリケーションには適していない場合があります。制限の[マルチキャストクォータ](transit-gateway-quotas.md#multicast-quotas)を確認することを強くお勧めします。パフォーマンス要件の詳細なレビューについては、アカウントまたはソリューションアーキテクトチームにお問い合わせください。
+ サポートされるリージョンについては、 [AWSTransit Gateway よくある質問](https://aws.amazon.com/transit-gateway/faqs/)を参照してください。
+ マルチキャストをサポートするには、新しいTransit Gateway を作成する必要があります。
+ マルチキャストグループのメンバーシップは、Amazon Virtual Private Cloud Console、AWS CLI、または IGMP を使用して管理します。
+ マルチキャストドメインに存在するサブネットは 1 つだけです。
+ Nitro 以外のインスタンスを使用する場合は、**[送信元 / 送信先]** チェックボックスを無効にする必要があります。詳細については、「Amazon EC2 ユーザーガイド」の「[送信元または送信先チェックの変更](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#change_source_dest_check)」を参照してください。
+ ニトロ以外のインスタンスをマルチキャスト送信元にすることはできません。
+ マルチキャストのルーティングは、Direct Connect、Site-to-Site VPN、ピアリングアタッチメント、または Transit Gateway Connect アタッチメントではサポートされていません。
+ Transit Gateway は、マルチキャストパケットのフラグメント化をサポートしていません。フラグメント化されたマルチキャストパケットはドロップされます。詳細については、「[最大送信単位 (MTU)](transit-gateway-quotas.md#mtu-quotas)」を参照してください。
+ 起動時に、IGMP ホストは複数の IGMP JOIN メッセージを送信してマルチキャストグループに参加します (通常は 2 ~ 3 回の再試行)。万一、すべての IGMP JOIN メッセージが失われた場合、ホストはTransit Gateway マルチキャストグループの一部になりません。このようなシナリオでは、アプリケーション固有の方法を使用して、ホストから IGMP JOIN メッセージを再トリガーする必要があります。
+ グループメンバーシップは Transit Gateway からの IGMPv2 JOIN メッセージの受信から始まり、IGMPv2 LEAVE メッセージ の受信で終わります。Transit Gateway は、グループに正常に参加したホストを追跡します。クラウドマルチキャストルーターとして、Transit Gateway は 2 分ごとにメンバー全員に IGMPv2 QUERY メッセージを発行します。各メンバーは 応答中に IGMPv2 JOIN メッセージを送信します。これはメンバーがメンバーシップを更新する方法です。メンバーが 3 つの連続するクエリに応答できない場合、Transit Gateway は、参加したすべてのグループからこのメンバーシップを削除します。ただし、クエリ対象リストからメンバーを完全に削除する前に、12 時間このメンバーにクエリを送信し続けます。明示的な igMPv2 LEAVE メッセージは、それ以降のマルチキャスト処理からホストを即座かつ永続的に削除します。
+ Transit Gateway は、グループに正常に参加したホストを追跡します。Transit Gateway が停止した場合、Transit Gateway は、IGMP JOIN メッセージが最後に正常に終了してから 7 分 (420 秒) 間、マルチキャストデータをホストに送信し続けます。Transit Gateway は、最長 12 時間、またはホストから IGMP LEAVE メッセージを受信するまで、メンバーシップクエリをホストに送信し続けます。
+ Transit Gateway は、マルチキャストグループメンバーシップを追跡できるように、メンバーシップクエリパケットをすべての IGMP メンバーに送信します。これらの IGMP クエリパケットの送信元 IP は 0.0.0.0/32、送信先 IP は 224.0.0.1/32、プロトコルは 2 です。IGMP ホスト (インスタンス) 上のセキュリティグループ設定、およびホストサブネット上の任意の ACL 設定で、これらの IGMP プロトコルメッセージを許可する必要があります。
+ マルチキャストの送信元と送信先が同じ VPC 内にある場合、セキュリティグループ参照を使用して、送信元のセキュリティグループからのトラフィックを受け入れるように送信先セキュリティグループを設定することはできません。
+ 静的なマルチキャストグループとソースの場合、AWS Transit Gateway は、もう存在しない ENI の静的グループとソースを自動的に削除します。これは、アカウント内の ENI を説明する [Transit Gateway サービスにリンクされた役割](service-linked-roles.md#tgw-service-linked-roles)を定期的に引き受けることによって行われます。
+ 静的マルチキャストのみが IPv6 をサポートします。動的マルチキャストはそうではありません。
## マルチキャストのルーティング
トランジットゲートウェイは、マルチキャストを有効にすると、マルチキャストルーターとして動作します。サブネットをマルチキャストドメインに追加すると、そのマルチキャストドメインに関連付けられたトランジットゲートウェイにすべてのマルチキャストトラフィックが送信されます。
### ネットワーク ACL
ネットワーク ACL ルールは、サブネットレベルで動作します。トランジットゲートウェイはサブネットの外部に存在するため、マルチキャストトラフィックに適用されます。詳細については、「Amazon VPC ユーザーガイド」の「[ネットワーク ACL](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)」を参照してください。
IGMP マルチキャストトラフィックの場合、最小インバウンドルールは次のとおりです。リモートホストは、マルチキャストトラフィックを送信するホストです。
| タイプ | プロトコル | 送信元 | 説明 |
| --- | --- | --- | --- |
| カスタムプロトコル | IGMP(2) | 0.0.0.0/32 | IGMP クエリ |
| カスタム UDP プロトコル | UDP | リモートホストの IP アドレス | 着信マルチキャストトラフィック |
IGMP の最小アウトバウンドルールは次のとおりです。
| タイプ | プロトコル | 送信先 | 説明 |
| --- | --- | --- | --- |
| カスタムプロトコル | IGMP(2) | 224.0.0.2/32 | IGMP 脱退 |
| カスタムプロトコル | IGMP(2) | マルチキャストグループの IP アドレス | IGMP 参加 |
| カスタム UDP プロトコル | UDP | マルチキャストグループの IP アドレス | アウトバウンドマルチキャストトラフィック |
### セキュリティグループ
セキュリティグループルールは、インスタンスレベルで動作します。これらのトラフィックは、インバウンドマルチキャストトラフィックとアウトバウンドマルチキャストトラフィックの両方に適用できます。動作は、ユニキャストトラフィックと同じです。すべてのグループメンバーインスタンスで、グループソースからのインバウンドトラフィックを許可する必要があります。詳細については、「Amazon VPC ユーザーガイド」の「[セキュリティグループのルール](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)」を参照してください。
IGMP マルチキャストトラフィックの場合は、少なくとも次のインバウンドルールが必要です。リモートホストは、マルチキャストトラフィックを送信するホストです。UDP インバウンドルールのソースとしてセキュリティグループを指定することはできません。
| タイプ | プロトコル | 送信元 | 説明 |
| --- | --- | --- | --- |
| カスタムプロトコル | 2 | 0.0.0.0/32 | IGMP クエリ |
| カスタム UDP プロトコル | UDP | リモートホストの IP アドレス | 着信マルチキャストトラフィック |
IGMP マルチキャストトラフィックの場合は、少なくとも次のアウトバウンドルールが必要です。
| タイプ | プロトコル | 送信先 | 説明 |
| --- | --- | --- | --- |
| カスタムプロトコル | 2 | 224.0.0.2/32 | IGMP 脱退 |
| カスタムプロトコル | 2 | マルチキャストグループの IP アドレス | IGMP 参加 |
| カスタム UDP プロトコル | UDP | マルチキャストグループの IP アドレス | アウトバウンドマルチキャストトラフィック |
# AWS Transit Gateway のマルチキャストドメイン
マルチキャストドメインを使用すると、マルチキャストネットワークを異なるドメインに分割できます。トランジットゲートウェイでマルチキャストの使用を開始するには、マルチキャストドメインを作成し、サブネットをドメインに関連付けます。
## マルチキャストドメイン属性
次の表は、マルチキャストドメイン属性の詳細を示しています。両方の属性を同時に有効にすることはできません。
| 属性 | 説明 |
| --- | --- |
| Igmpv2Support (AWS CLI) **IGMPv2 のサポート**(コンソール) | この属性は、グループメンバーがマルチキャストグループの参加または脱退を行う方法を決定します。 この属性が無効の場合は、ドメインにグループメンバーを手動で追加する必要があります。 少なくとも 1 つのメンバーが IGMP プロトコルを使用する場合、この属性を [有効] にします。メンバーは、次のいずれかの方法でマルチキャストグループに参加します。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/multicast-domains-about.html) マルチキャストグループメンバーを登録する場合は、登録を解除する必要があります。トランジットゲートウェイは、手動で追加されたグループメンバーによって送信された IGMP `LEAVE` メッセージを無視します。 |
| StaticSourcesSupport (AWS CLI) **静的ソースサポート**(コンソール) | この属性は、グループに静的なマルチキャスト送信元があるかどうかを決定します。 この属性が有効になっている場合は、[register-transit-gateway-multicast-group-sources ](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html)を使用して、マルチキャストドメインの送信元を静的に追加する必要があります。マルチキャストトラフィックを送信できるのは、マルチキャスト送信元のみです。 この属性を無効にした場合、指定されたマルチキャスト送信元はありません。マルチキャストドメインに関連付けられたサブネットにあるインスタンスはすべて、マルチキャストトラフィックを送信でき、グループメンバーはマルチキャストトラフィックを受信します。 |
# AWS Transit Gateway で IGMP マルチキャストドメインを作成する
まだ確認していない場合は、使用可能なマルチキャストドメイン属性を確認します。詳細については、「[AWS Transit Gateway のマルチキャストドメイン](multicast-domains-about.md)」を参照してください。
**コンソールを使用して IGMP マルチキャストドメインを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. [**Transit Gateway マルチキャストドメインの作成**] をクリックします。
1. [**名前タグ**] に、ドメインの名前を入力します。
1. [**トランジットゲートウェイ ID**] で、マルチキャストトラフィックを処理するトランジットゲートウェイを選択します。
1. **[IGMPv2 サポート]** では、チェックボックスをオンにします。
1. **[静的な送信元のサポート]** では、チェックボックスをオフにします。
1. このマルチキャストドメインについてクロスアカウントサブネットの関連付けを自動的に受け入れるには、[**Auto accept shared associations**] (共有されている関連付けを自動的に受け入れる) を選択します。
1. [**Transit Gateway マルチキャストドメインの作成**] をクリックします。
**を使用して IGMP マルチキャストドメインを作成するには AWS CLI**
[create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) コマンドを使用します。
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=disable,Igmpv2Support=enable
```
# AWS Transit Gateway で静的ソースマルチキャストドメインを作成する
まだ確認していない場合は、使用可能なマルチキャストドメイン属性を確認します。詳細については、「[AWS Transit Gateway のマルチキャストドメイン](multicast-domains-about.md)」を参照してください。
**コンソールを使用して静的なマルチキャストドメインを作成するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. [**Transit Gateway マルチキャストドメインの作成**] をクリックします。
1. [**名前タグ**] に、ドメインを識別する名前を入力します。
1. **[トランジットゲートウェイ ID]** で、マルチキャストトラフィックを処理するトランジットゲートウェイを選択します。
1. **[IGMPv2 サポート]** では、チェックボックスをオフにします。
1. **[静的な送信元のサポート]** では、チェックボックスをオンにします。
1. このマルチキャストドメインについてクロスアカウントサブネットの関連付けを自動的に受け入れるには、[**共有されている関連付けを自動的に受け入れる**] を選択します。
1. [**Transit Gateway マルチキャストドメインの作成**] をクリックします。
**AWS CLI を使用して静的なマルチキャストドメインを作成するには**
[create-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-transit-gateway-multicast-domain.html) コマンドを使用します。
```
aws ec2 create-transit-gateway-multicast-domain --transit-gateway-id tgw-0xexampleid12345 --options StaticSourcesSupport=enable,Igmpv2Support=disable
```
# AWS Transit Gateway での VPC アタッチメントとサブネットのマルチキャストドメインへの関連付け
VPC アタッチメントをマルチキャストドメインに関連付けるには、以下の手順に従います。関連付けを作成するときに、マルチキャストドメインに含めるサブネットを選択できます。
開始する前に、トランジットゲートウェイで VPC アタッチメントを作成する必要があります。詳細については、「[AWS Transit Gateway の Amazon VPC アタッチメント](tgw-vpc-attachments.md)」を参照してください。
**コンソールを使用して VPC アタッチメントをマルチキャストドメインに関連付けるには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト **] を選択します。
1. マルチキャストドメインを選択し、[**Actions**] (アクション)、[**Create association**] (関連付けの作成) の順に選択します。
1. **関連付ける添付ファイルを選択**で、トランジットゲートウェイアタッチメントを選択します。
1. [**Choose subnets to associate**] (関連付けるサブネットを選択する) で、マルチキャストドメインに含めるサブネットを選択します。
1. [**アソシエーションを作成する**] を選択してください。
**を使用して VPC アタッチメントをマルチキャストドメインに関連付けるには AWS CLI**
[associate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-transit-gateway-multicast-domain.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストドメインからサブネットの関連付けを解除する
サブネットとマルチキャストドメインの関連付けを解除するには、次の手順を実行します。
**コンソールを使用して、サブネットの関連付けを解除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択します。
1. [**関連付**] タブを選択します。
1. サブネットに続いて、**アクション**、**関連付けを削除**の順に選択します。
**AWS CLI を使用して、サブネットの関連付けを解除するには**
[disassociate-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-transit-gateway-multicast-domain.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストドメインの関連付けを表示する
マルチキャストドメインを表示して、使用可能なこと、および適切なサブネットとアタッチメントが含まれていることを確認します。
**コンソールを使用してマルチキャストドメインを表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択します。
1. [**Associations (関連付け)**] タブを選択します。
**を使用してマルチキャストドメインを表示するには AWS CLI**
[describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) コマンドを使用します。
# AWS Transit Gateway マルチキャストドメインにタグを追加する
目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。各マルチキャストドメインに複数のタグを追加できます。タグキーは、マルチキャストドメインごとに一意である必要があります。既にマルチキャストドメインに関連付けられているキーを持つタグを追加すると、そのキーの値が更新されます。詳細については、「[Amazon EC2 リソースにタグを付ける](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。
**コンソールを使用してマルチキャストドメインにタグを追加するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択します。
1. [**Actions**] (アクション)、[**Manage tags**] (タグの管理) を選択します。
1. タグごとに、[**Add new tag**] (新しいタグの追加)を選択し、**キー**の名前と**値**を入力します。
1. [**Save**] (保存) を選択します。
**AWS CLI を使用して、マルチキャストドメインにタグを追加するには**
[create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストドメインを削除する
マルチキャストドメインを削除するには、次の手順に従います。
**コンソールを使用してマルチキャストドメインを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択し、[**アクション**] 、[**マルチキャストドメインの削除**] の順に選択します。
1. 確認を求められたら、**delete**と入力し、[**削除**] を選択します。
**AWS CLI を使用してマルチキャストドメインを削除するには**
[delete-transit-gateway-multicast-domain](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-transit-gateway-multicast-domain.html) コマンドを使用します。
# AWS Transit Gateway の共有マルチキャストドメイン
マルチキャストドメイン共有を使用すると、マルチキャストドメイン所有者は、その組織内の AWS アカウント、または AWS Organizations内の組織全体とドメインを共有できます。マルチキャストドメイン所有者は、マルチキャストドメインを一元的に作成および管理できます。コンシューマーは、共有マルチキャストドメインで次の操作を実行できます。
+ マルチキャストドメイン内のグループメンバーまたはグループソースを登録および登録解除する
+ サブネットをマルチキャストドメインに関連付けたり、サブネットとマルチキャストドメインとの関連付けを解除したりする
マルチキャストドメイン所有者は、マルチキャストドメインを次のユーザーと共有できます。
+ AWS 組織内または の組織全体の アカウント AWS Organizations
+ の組織内の組織単位 AWS Organizations
+ の組織全体 AWS Organizations
+ AWS の外部にある アカウント AWS Organizations。
マルチキャストドメインを Organization 外の AWS アカウントと共有するには、 を使用してリソース共有を作成し AWS Resource Access Manager、マルチキャストドメインを共有するプリンシパルを選択するときに**任意のユーザーとの共有を許可する**を選択する必要があります。リソース共有の作成の詳細については、「AWS RAM ユーザーガイド」の「[AWS RAMでのリソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)」を参照してください。
**Topics**
+ [マルチキャストドメインを共有するための前提条件](#sharing-prereqs)
+ [関連サービス](#sharing-related)
+ [共有マルチキャストドメインのアクセス許可](#sharing-perms)
+ [請求と使用量測定](#sharing-billing)
+ [クォータ](#sharing-quotas)
+ [アベイラビリティーゾーン間でリソースを共有する](sharing-azs.md)
+ [マルチキャストドメインを共有する](sharing-share.md)
+ [共有マルチキャストドメインの共有を解除する](sharing-unshare.md)
+ [共有マルチキャストドメインを識別する](sharing-identify.md)
## マルチキャストドメインを共有するための前提条件
+ マルチキャストドメインを共有するには、 AWS アカウントでドメインを所有している必要があります。自身が共有を受けているマルチキャストドメインは共有できません。
+ マルチキャストドメインを の組織または組織単位と共有するには AWS Organizations、 との共有を有効にする必要があります AWS Organizations。詳細については、「AWS RAM ユーザーガイド」の「[Enable Sharing with AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)」を参照してください。
## 関連サービス
マルチキャストドメイン共有は AWS Resource Access Manager () と統合されますAWS RAM。 AWS RAM は、任意の AWS アカウントまたは を通じて AWS リソースを共有できるサービスです AWS Organizations。 AWS RAMを使用した リソース共有。これにより、自身が所有する*リソースを共有*できます。リソース共有は、共有するリソースと、それらを共有するユーザーを指定します。コンシューマーは、個々の AWS アカウント、組織単位、または組織全体にすることができます AWS Organizations。
詳細については AWS RAM、*[AWS RAM 「 ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)*」を参照してください。
## 共有マルチキャストドメインのアクセス許可
### 所有者のアクセス許可
所有者は、マルチキャストドメインと、ドメインに登録または関連付けたメンバーとアタッチメントの管理に責任を負います。所有者は、いつでも共有アクセスを変更または取り消すことができます。 AWS Organizations を使用して、コンシューマーが共有マルチキャストドメインで作成するリソースを表示、変更、削除できます。
### コンシューマーのアクセス許可
共有マルチキャスト ドメインのユーザーは、作成したマルチキャストドメインにおけるのと同じ方法で、共有マルチキャストドメインに対して次の操作を実行できます。
+ マルチキャストドメイン内のグループメンバーまたはグループソースを登録および登録解除する
+ サブネットをマルチキャストドメインに関連付けたり、サブネットとマルチキャストドメインとの関連付けを解除したりする
コンシューマーは、共有マルチキャストドメイン上に作成するリソースの管理に責任を負います。
お客様は、他のコンシューマーまたはマルチキャストドメイン所有者が所有するリソースを表示または変更することはできません。また、それらの者と共有されているマルチキャストドメインを変更することもできません。
## 請求と使用量測定
所有者またはコンシューマーのマルチキャストドメインを共有するための追加料金は発生しません。
## クォータ
共有マルチキャストドメインは、所有者および共有ユーザーのマルチキャストドメインクォータにカウントされます。
# AWS Transit Gateway のアベイラビリティーゾーン間でリソースを共有する
リソースがリージョンのアベイラビリティーゾーンに分散されるように、 AWS Transit Gateway は のアベイラビリティーゾーンを各アカウントの名前に個別にマッピングします。このため、アカウントが異なると、アベイラビリティーゾーンの命名方法が異なる場合があります。たとえば、`us-east-1a` AWS アカウントのアベイラビリティーゾーンが`us-east-1a`別の AWS アカウントと同じ場所ではない場合があります。
自己のアカウントを基準にしてマルチキャストドメインの場所を特定するには、*アベイラビリティーゾーン ID* (AZ ID) を使用する必要があります。AZ ID は、すべての AWS アカウントにわたるアベイラビリティーゾーンの一意で一貫した識別子です。たとえば、 `use1-az1`は`us-east-1`リージョンの AZ ID であり、すべての AWS アカウントで同じ場所です。
**アカウントのアベイラビリティーゾーンの AZ ID を表示するには**
1. [https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) で AWS RAM コンソールを開きます。
1. 現在のリージョンの AZ ID は、画面の右側にある [**お客様の AZ ID**] パネルに表示されます。
# AWS Transit Gateway でマルチキャストドメインを共有する
所有者がマルチキャストドメインを共有する場合、次の操作を実行できます。
+ グループメンバーまたはグループソースを登録および登録解除する
+ サブネットの関連付けおよび関連付けの解除を行う
**注記**
マルチキャストドメインを共有するには、そのマルチキャストドメインをリソース共有に追加する必要があります。リソース共有は、 AWS アカウント間で AWS RAM リソースを共有できる リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。を使用してマルチキャストドメインを共有する場合は Amazon Virtual Private Cloud Console、既存のリソース共有に追加します。マルチキャストドメインを新しいリソース共有に追加するには、最初に[AWS RAM コンソール](https://console.aws.amazon.com/ram)を使用してリソース共有を作成する必要があります。
の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内のコンシューマーには共有マルチキャストドメインへのアクセス権が自動的に付与されます。それ以外の場合、コンシューマーはリソース共有への参加の招待を受け取り、その招待を受け入れた後で、共有マルチキャストドメインへのアクセス許可が付与されます。
Amazon Virtual Private Cloud コンソール、 AWS RAM コンソール、または を使用して、所有しているマルチキャストドメインを共有できます AWS CLI。
**\$1Amazon Virtual Private Cloud Consoleを使用して所有しているマルチキャストドメインを共有するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、[**Multicast Domains**] (マルチキャストドメイン) を選択します。
1. マルチキャストドメインを選択し、[**Actions**] (アクション)、[**Share multicast domain**] (マルチキャストドメインの共有) の順に選択します。
1. リソース共有を選択してから、[**Share multicast domain**] (マルチキャストドメインの共有) を選択します。
**AWS RAM コンソールを使用して所有しているマルチキャストドメインを共有するには**
「AWS RAM ユーザーガイド」の「[リソース共有の作成](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)」を参照してください。
**を使用して所有しているマルチキャストドメインを共有するには AWS CLI**
[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) コマンドを使用します。
# AWS Transit Gateway で共有マルチキャストドメインの共有を解除する
共有マルチキャストドメインの共有が解除されると、コンシューマーマルチキャストドメインリソースについて次の事項が生じます。
+ コンシューマーサブネットは、マルチキャストドメインとの関連付けが解除されます。サブネットは、コンシューマーアカウントに残ります。
+ コンシューマーグループソースおよびグループメンバーは、マルチキャストドメインとの関連付けが解除され、コンシューマーアカウントから削除されます。
マルチキャストドメインの共有を解除するには、リソース共有からそのマルチキャストドメインを削除する必要があります。これを行うには、 AWS RAM コンソールまたは を使用します AWS CLI。
自己所有の共有マルチキャストドメインを共有解除するには、それをリソース共有から削除する必要があります。これを行うには Amazon Virtual Private Cloud、、 AWS RAM コンソール、または を使用します AWS CLI。
**\$1Amazon Virtual Private Cloud Consoleを使用して所有している共有マルチキャストドメインの共有を解除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、[**Multicast Domains**] (マルチキャストドメイン) を選択します。
1. マルチキャストドメインを選択し、[**Actions**] (アクション)、[**Stop sharing**] (共有を停止) の順に選択します。
**AWS RAM コンソールを使用して所有している共有マルチキャストドメインの共有を解除するには**
「AWS RAM ユーザーガイド」の「[リソース共有の更新](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)」を参照してください。
**を使用して所有している共有マルチキャストドメインの共有を解除するには AWS CLI**
[disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) コマンドを使用します。
# AWS Transit Gateway で共有マルチキャストドメインを特定する
所有者とコンシューマーは、 Amazon Virtual Private Cloud と を使用して共有マルチキャストドメインを識別できます。 AWS CLI
**\$1Amazon Virtual Private Cloud Consoleを使用して共有マルチキャストドメインを識別するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、[**Multicast Domains**] (マルチキャストドメイン) を選択します。
1. マルチキャストドメインを選択します。
1. **トランジットマルチキャストドメインの詳細**ページで、**所有者 ID** を表示して、マルチキャストドメインの AWS アカウント ID を識別します。
**を使用して共有マルチキャストドメインを識別するには AWS CLI**
[describe-transit-gateway-multicast-domains](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-multicast-domains.html) コマンドを使用します。コマンドは、所有しているマルチキャストドメインと共有されているマルチキャストドメインを返します。 は、マルチキャストドメイン所有者の AWS アカウント ID `OwnerId`を表示します。
# AWS Transit Gateway でマルチキャストグループにソースを登録する
**注記**
この手順は、[**Static sources support**] (静的な送信元のサポート) 属性を [**enable**] (有効) に設定している場合にのみ必要です。
次の手順に従って、ソースをマルチキャストグループに登録します。ソースは、マルチキャストトラフィックを送信するネットワークインターフェイスです。
ソースを追加する前に、次の情報が必要です。
+ マルチキャストドメインの ID
+ 送信元のネットワークインターフェイスの ID
+ マルチキャストグループの IP アドレス
**コンソールを使用して、ソースを登録するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択し、[**Actions**] (アクション)、[**Add group sources**] (グループソースの追加) の順に選択します。
1. [**Group IP address (グループ IP アドレス)**] に、マルチキャストドメインに割り当てる IPv4 CIDR ブロックまたは IPv6 CIDR ブロックのいずれかを入力します。
1. [**Choose network interfaces (ネットワークインターフェイスの選択)**] で、マルチキャスト送信者のネットワークインターフェイスを選択します。
1. 「**ソースを追加**」 を選択します。
**を使用してソースを登録するには AWS CLI**
[register-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-sources.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストグループにメンバーを登録する
グループメンバーをマルチキャストグループに登録するには、次の手順を実行します。
メンバーを追加する前に、次の情報が必要です。
+ マルチキャストドメインの ID
+ グループメンバーのネットワークインターフェイスの ID
+ マルチキャストグループの IP アドレス
**コンソールを使用して、メンバーを登録するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択し、[**Actions**] (アクション)、[**Add group members**] (グループメンバーの追加) の順に選択します。
1. [**Group IP address (グループ IP アドレス)**] に、マルチキャストドメインに割り当てる IPv4 CIDR ブロックまたは IPv6 CIDR ブロックのいずれかを入力します。
1. [**Choose network interfaces (ネットワークインターフェイスの選択)**] で、マルチキャスト受信者のネットワークインターフェイスを選択します。
1. [**Add members (メンバーの追加)**] を選択します。
**を使用してメンバーを登録するには AWS CLI**
[register-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-transit-gateway-multicast-group-members.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストグループからソースを登録解除する
マルチキャストグループに手動で送信元を追加していない限り、この手順を実行する必要はありません。
**コンソールを使用して、ソースを削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択します。
1. [**グループ**] タブを選択します。
1. ソースを選択し、[**ソースを削除**] を選択します。
**AWS CLI を使用して、ソースを削除するには**
[deregister-transit-gateway-multicast-group-sources](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-sources.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストグループからメンバーを登録解除する
マルチキャストグループに手動でメンバーを追加していない限り、この手順を実行する必要はありません。
**コンソールを使用して、メンバーの登録を解除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択します。
1. [**グループ**] タブを選択します。
1. メンバーを選択し、[**Remove member (メンバーの削除)]** を選択します。
**を使用してメンバーの登録を解除するには AWS CLI**
[deregister-transit-gateway-multicast-group-members](https://docs.aws.amazon.com/cli/latest/reference/ec2/deregister-transit-gateway-multicast-group-members.html) コマンドを使用します。
# AWS Transit Gateway でマルチキャストグループを表示する
マルチキャストグループに関する情報を表示して、IGMPv2 プロトコルを使用してメンバーが検出されたことを確認できます。**メンバータイプ** (コンソール内)、または `MemberType` ( 内 AWS CLI) は、プロトコルでメンバー AWS を検出したときに IGMP を表示します。
**コンソールを使用して、マルチキャストグループを表示するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**Transit Gateway マルチキャスト**] を選択します。
1. マルチキャストドメインを選択します。
1. [**グループ**] タブを選択します。
**を使用してマルチキャストグループを表示するには AWS CLI**
[search-transit-gateway-multicast-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/search-transit-gateway-multicast-groups.html) コマンドを使用します。
次の例は、IGMP プロトコルがマルチキャストグループメンバーを検出したことを示しています。
```
aws ec2 search-transit-gateway-multicast-groups --transit-gateway-multicast-domain tgw-mcast-domain-000fb24d04EXAMPLE
{
"MulticastGroups": [
{
"GroupIpAddress": "224.0.1.0",
"TransitGatewayAttachmentId": "tgw-attach-0372e72386EXAMPLE",
"SubnetId": "subnet-0187aff814EXAMPLE",
"ResourceId": "vpc-0065acced4EXAMPLE",
"ResourceType": "vpc",
"NetworkInterfaceId": "eni-03847706f6EXAMPLE",
"MemberType": "igmp"
}
]
}
```
# AWS Transit Gateway で Windows Server のマルチキャストを設定する
Windows Server 2019 または 2022 上の Transit Gateway と連携するようにマルチキャストを設定する場合は、追加の手順を実行する必要があります。これをセットアップするには、PowerShell を使用し、次のコマンドを実行する必要があります。
**PowerShell を使用して Windows Server のマルチキャストを設定するには**
1. TCP/IP スタックに IGMPv3 ではなく IGMPv2 を使用するように Windows サーバーを変更します。
`PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3 `
**注記**
`New-ItemProperty` は、IGMP バージョンを指定するプロパティインデックスです。IGMP v2 はマルチキャストでサポートされているバージョンであるため、プロパティ `Value` は `3` である必要があります。Windows レジストリを編集する代わりに、次のコマンドを実行して IGMP バージョンを 2 に設定することができます。
`Set-NetIPv4Protocol -IGMPVersion Version2`
1. Windows ファイアウォールでは、ほとんどの UDP トラフィックがデフォルトでドロップされます。まず、どの接続プロファイルがマルチキャストに使用されているかを確認する必要があります。
```
PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
NetworkCategory
---------------
Public
```
1. 前のステップで確認した接続プロファイルを更新して、必要な UDP ポートへのアクセスを許可します。
`PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False`
1. EC2 インスタンスを再起動します。
1. マルチキャストアプリケーションをテストして、トラフィックのフローが予期したとおりのものであることを確認します。
# 例: AWS Transit Gateway を使用して IGMP 設定を管理する
この例では、マルチキャストトラフィックに IGMP プロトコルを使用するホストが少なくとも 1 つ表示されます。 AWS はインスタンスから IGMP `JOIN` メッセージを受信したときにマルチキャストグループを自動的に作成し、そのインスタンスをこのグループのメンバーとして追加します。を使用して、IGMP 以外のホストをメンバーとしてグループに静的に追加することもできます AWS CLI。マルチキャストドメインに関連付けられたサブネットにあるインスタンスはすべて、トラフィックを送信でき、グループメンバーはマルチキャストトラフィックを受信します。
設定を完了するには、次の手順を実行します。
1. VPC を作成します。詳細については、「Amazon VPC ユーザーガイド」の「[VPC を作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)」を参照してください。
1. VPC 内にサブネットを作成します。詳細については、「Amazon VPC ユーザーガイド」の「[サブネットを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)」を参照してください。
1. マルチキャストトラフィック用に設定されたトランジットゲートウェイを作成します。詳細については、「[Transit Gateway で AWS Transit Gateway を作成する](create-tgw.md)」を参照してください。
1. VPC アタッチメントを作成します。詳細については、「[AWS Transit Gateway で VPC アタッチメントの作成](create-vpc-attachment.md)」を参照してください。
1. IGMP サポート用に設定されたマルチキャストドメインを作成します。詳細については、「[AWS Transit Gateway で IGMP マルチキャストドメインを作成する](create-tgw-igmp-domain.md)」を参照してください。
以下の設定を使用します。
+ **IGMPv2 のサポート**を有効にします。
+ **静的ソースサポート**を無効にします。
1. トランジットゲートウェイ VPC アタッチメント内のサブネットとマルチキャストドメイン間の関連付けを作成します。詳細については、「[AWS Transit Gateway での VPC アタッチメントとサブネットのマルチキャストドメインへの関連付け](associate-attachment-to-domain.md)」を参照してください。
1. EC2 のデフォルトの IGMP バージョンは IGMPv3 です。すべての IGMP グループメンバーのバージョンを変更する必要があります。以下のコマンドを実行できます。
```
sudo sysctl net.ipv4.conf.eth0.force_igmp_version=2
```
1. IGMP プロトコルを使用しないメンバーをマルチキャストグループに追加します。詳細については、「[AWS Transit Gateway でマルチキャストグループにメンバーを登録する](add-members-multicast-group.md)」を参照してください。
# 例: AWS Transit Gateway で静的ソース設定を管理する
この例では、マルチキャストソースをグループに静的に追加します。ホストは、マルチキャストグループの参加または脱退を行うために IGMP プロトコルを使用しません。マルチキャストトラフィックを受信するグループメンバーを静的に追加する必要があります。
設定を完了するには、次の手順を実行します。
1. VPC を作成します。詳細については、「Amazon VPC ユーザーガイド」の「[VPC を作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)」を参照してください。
1. VPC 内にサブネットを作成します。詳細については、「Amazon VPC ユーザーガイド」の「[サブネットを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)」を参照してください。
1. マルチキャストトラフィック用に設定されたトランジットゲートウェイを作成します。詳細については、「[Transit Gateway で AWS Transit Gateway を作成する](create-tgw.md)」を参照してください。
1. VPC アタッチメントを作成します。詳細については、「[AWS Transit Gateway で VPC アタッチメントの作成](create-vpc-attachment.md)」を参照してください。
1. IGMP サポートなしでマルチキャストドメインを作成し、送信元の静的な追加をサポートします。詳細については、「[AWS Transit Gateway で静的ソースマルチキャストドメインを作成する](create-tgw-domain.md)」を参照してください。
以下の設定を使用します。
+ **IGMPv2 のサポート**を無効にします。
+ 手動で送信元を追加するには、[**Static sources support**] (静的な送信元のサポート) を有効にします。
属性が有効になっている場合、マルチキャストトラフィックを送信できる唯一のリソースは送信元です。その他の場合は、マルチキャストドメインに関連付けられたサブネットにあるインスタンスはすべて、マルチキャストトラフィックを送信でき、グループメンバーはマルチキャストトラフィックを受信します。
1. トランジットゲートウェイ VPC アタッチメント内のサブネットとマルチキャストドメイン間の関連付けを作成します。詳細については、「[AWS Transit Gateway での VPC アタッチメントとサブネットのマルチキャストドメインへの関連付け](associate-attachment-to-domain.md) 」を参照してください。
1. [**Static sources support**] (静的な送信元のサポート) を有効にした場合は、送信元をマルチキャストグループに追加します。詳細については、「[AWS Transit Gateway でマルチキャストグループにソースを登録する](add-source-multicast-group.md)」を参照してください。
1. メンバーをマルチキャストグループに追加します。詳細については、「[AWS Transit Gateway でマルチキャストグループにメンバーを登録する](add-members-multicast-group.md)」を参照してください。
# 例: AWS Transit Gateway で静的グループメンバー設定を管理する
この例では、グループにマルチキャストメンバーを静的に追加しています。ホストは、マルチキャストグループの参加または脱退を行うために IGMP プロトコルを使用できません。マルチキャストドメインに関連付けられたサブネットにあるインスタンスはすべて、マルチキャストトラフィックを送信でき、グループメンバーはマルチキャストトラフィックを受信します。
設定を完了するには、次の手順を実行します。
1. VPC を作成します。詳細については、「Amazon VPC ユーザーガイド」の「[VPC を作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html)」を参照してください。
1. VPC 内にサブネットを作成します。詳細については、「Amazon VPC ユーザーガイド」の「[サブネットを作成する](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html)」を参照してください。
1. マルチキャストトラフィック用に設定されたトランジットゲートウェイを作成します。詳細については、「[Transit Gateway で AWS Transit Gateway を作成する](create-tgw.md)」を参照してください。
1. VPC アタッチメントを作成します。詳細については、「[AWS Transit Gateway で VPC アタッチメントの作成](create-vpc-attachment.md)」を参照してください。
1. IGMP サポートなしでマルチキャストドメインを作成し、送信元の静的な追加をサポートします。詳細については、「[AWS Transit Gateway で静的ソースマルチキャストドメインを作成する](create-tgw-domain.md)」を参照してください。
以下の設定を使用します。
+ **IGMPv2 のサポート**を無効にします。
+ **静的ソースサポート**を無効にします。
1. トランジットゲートウェイ VPC アタッチメント内のサブネットとマルチキャストドメイン間の関連付けを作成します。詳細については、「[AWS Transit Gateway での VPC アタッチメントとサブネットのマルチキャストドメインへの関連付け](associate-attachment-to-domain.md)」を参照してください。
1. メンバーをマルチキャストグループに追加します。詳細については、「[AWS Transit Gateway でマルチキャストグループにメンバーを登録する](add-members-multicast-group.md)」を参照してください。
# 柔軟なコスト配分
デフォルトでは、Transit Gateway は送信者ベースのコスト配分モデルを使用して、ソースアタッチメントを所有するアカウントにデータ処理料金が割り当てられます。アタッチメントタイプ、特定のアタッチメント IDs、ネットワークアドレスなどのトラフィックフロープロパティに基づいて課金するアカウントを定義するカスタム計測ポリシーを作成できます。
計測ポリシーは、ルール番号の最小値から最大値まで評価される順序付けられたルールで構成されます。トラフィックがルールに一致すると、指定されたアカウントはルールの設定に従って課金されます。以下のオプションから、コストを割り当てるアカウント所有者を指定できます。
+ **ソースアタッチメント所有者** - 料金はソースアタッチメントを所有するアカウントに割り当てられます (デフォルトの動作)
+ **送信先アタッチメント所有者** - 料金は送信先アタッチメントを所有するアカウントに割り当てられます
+ **トランジットゲートウェイ所有者** - 料金はトランジットゲートウェイを所有するアカウントに割り当てられます
Flexible Cost Allocation を使用すると、一元化されたネットワークアーキテクチャを使用する組織のコスト管理が改善され、ネットワークトポロジーに関係なく、適切なビジネスユニットまたはアプリケーション所有者にコストを割り当てることができます。
**注記**
Flexible Cost Allocation を使用すると、計測使用量とコストを任意のアカウント所有者に柔軟に配分できます。ただし、 AWS アカウントの税への影響は、地理的な場所、使用パターン、その他の要因によって大きく異なる場合があります。この機能を有効にする前に、 AWS 組織内のアカウントの請求、税金、コスト管理への影響を確認してください。リファレンス: [Billing AWS and Cost Management とは](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html)
## 計測ポリシー
計測ポリシーを使用すると、トランジットゲートウェイのコスト配分ルールを設定して、トラフィックフロープロパティに基づいてデータ処理と転送コストに課金されるアカウントを制御できます。この機能により、一元化されたネットワークアーキテクチャを使用する組織のコスト管理とチャージバック機能が向上します。
計測ポリシーは、以下で構成されます。
+ **計測ポリシー** - 計測ポリシールールを含む全体的な設定コンテナ。作成時に、ソースアタッチメント所有者へのすべてのトラフィックを課金するように設定されたデフォルトの計測ポリシーエントリが 1 つ含まれます。各トランジットゲートウェイには、1 つの計測ポリシーのみを含めることができます。
+ **計測ポリシーエントリ** - 特定の一致基準を定義する計測ポリシー内の個々のルールと、使用量を計測するアカウント。各エントリには、評価順序のルール番号、トラフィック一致条件 (送信元と送信先のアタッチメントタイプ、アタッチメント IDs、CIDR ブロック、ポート、プロトコルなど)、および一致するトラフィックに対して課金するアカウント所有者が含まれます。ポリシーには最大 50 個のエントリを含めることができ、ルール番号の順に評価されます。
計測使用量は、次のいずれかに割り当てることができます。
+ **ソースアタッチメント所有者**: トラフィックが発生するアタッチメントを所有するアカウントに計測使用量を割り当てます (デフォルトの動作)
+ **送信先アタッチメント所有者**: トラフィックが終了するアタッチメントを所有するアカウントに計測使用量を割り当てます。
+ **トランジットゲートウェイ所有者**: トランジットゲートウェイを所有するアカウントに計測使用量を割り当てます。
+ **ミドルボックスアタッチメント** - (オプション) セキュリティ検査、負荷分散、またはその他のネットワーク機能のためにネットワークアプライアンスを介してトラフィックをルーティングする指定のトランジットゲートウェイアタッチメント。ミドルボックスアタッチメントを通過するトラフィックのデータ使用量は、計測ポリシーで指定されたアカウント所有者に計測されます。最大 10 個のミドルボックスアタッチメントを指定できます。サポートされているミドルボックスアタッチメントタイプは、Network Function (AWS Network Firewall)、VPC、VPN アタッチメントです。
### 計測ポリシーの仕組み
デフォルトでは、Transit Gateway は送信者ベースのコスト配分モデルを使用し、データ処理料金はソースアタッチメントを所有するアカウントに対して計測されます。計測ポリシーを使用すると、次のトラフィックフロープロパティに基づいて使用量を柔軟に計測するカスタムルールを作成できます。
+ 送信元と送信先のアタッチメントタイプ (VPC、VPN、Direct Connect Gateway、ピアリング、ネットワーク関数、VPN コンセントレータ)
+ 送信元と送信先のアタッチメント IDs
+ 送信元と送信先の IP アドレス、ポート範囲とプロトコル
計測ポリシーは、ルール番号の最小値から最大値まで評価される順序付けられたルールで構成されます。トラフィックがルールに一致すると、指定されたアカウントはルールの従量制アカウント設定に従って課金されます。計測ポリシーは、いくつかの一般的な組織シナリオに対処します。
+ **ハイブリッド環境のコスト配分**: Direct Connect Gateway を介してオンプレミス AWS から移行するデータのコストを、中央の IT 管理者アカウントの所有者ではなく、宛先 VPC アカウントの所有者に配分します。
+ **一元化された検査アーキテクチャ**: 検査 VPC を介したトラフィックトラバースについて、中央セキュリティチームではなく、個々のアプリケーションまたは VPCs。
+ **アプリケーションベースのチャージバック**: トラフィックの方向に関係なく、ワークロードのすべてのデータ使用コストを VPC 所有者に割り当てます。
+ **クライアントコスト配分**: クライアントアカウントがトランジットゲートウェイへのアタッチメントを作成するときに、データコストをクライアントアカウントに割り当てます。
### ミドルボックスアタッチメント
トランジットゲートウェイ計測ポリシーは、ミドルボックスアタッチメントをサポートしているため、ネットワークファイアウォールやロードバランサーなどのミドルボックスアプライアンスを介してルーティングされるネットワークトラフィックのデータ処理料金を柔軟に割り当てることができます。ミドルボックスアタッチメントの例としては、Network Firewall への AWS Network Function アタッチメントや、VPC 内のサードパーティーのセキュリティアプライアンスにトラフィックをルーティングする VPC アタッチメントなどがあります。送信元と送信先のトランジットゲートウェイアタッチメント間のトラフィックは、一般的なセキュリティ検査のユースケースのために、これらのミドルボックスアタッチメントを経由します。計測ポリシーを定義して、元のソースアタッチメント、最終送信先アタッチメント、またはトランジットゲートウェイアカウントの所有者にミドルボックスアタッチメントでデータ処理使用量を柔軟に割り当てることができます。Network Function アタッチメントの場合、 AWS Network Firewall データ処理料金も計測対象アカウントに割り当てられます。
### Flexible Cost Allocation - Metering の使用タイプ
計測ポリシーによる柔軟なコスト配分は、次のデータ使用タイプに適用されます。
+ VPC、VPN、VPN Concentrator、Direct Connect アタッチメントでのトランジットゲートウェイデータ処理の使用
+ VPN アタッチメントでのSite-to-site VPN データ転送の使用
+ Direct Connect アタッチメントでの Direct Connect Data Transfer Out の使用。
+ TGW ピアリングアタッチメントでのデータ転送の使用
+ トランジットゲートウェイ Network Function アタッチメントでのデータ処理の使用
+ AWS Network Function アタッチメントでの Network Firewall (NFW) データ処理の使用。
柔軟なコスト配分は、アタッチメントの時間単位の使用とマルチキャストデータ処理の使用には適用されません。Transit Gateway Connect アタッチメントの場合、基盤となるトランスポート VPC または Direct Connect アタッチメントに計測ポリシーを定義できます。プライベート IP VPN アタッチメントの場合、基盤となるトランスポート Direct Connect アタッチメントに計測ポリシーを定義できます。
### 考慮事項と制限事項
トランジットゲートウェイに計測ポリシーを実装する場合は、次の点を考慮してください。
#### アクセス許可
+ トランジットゲートウェイ所有者のみが、計測ポリシーを作成、変更、または削除できます。
+ コスト配分設定は、トランジットゲートウェイレベルに適用されます。
+ アタッチメント所有者は、トランジットゲートウェイ所有者によって設定されたコスト配分設定を上書きすることはできません。
#### Transit Gateway ピアリング
トラフィックがトランジットゲートウェイピアリング接続を通過する場合:
+ 各トランジットゲートウェイは、独自の計測ポリシーを個別に適用します。
+ データ料金は、ローカルポリシーに基づいて各トランジットゲートウェイによって個別に割り当てられます。
+ トラフィックは、ソースアタッチメントからピアリング、および宛先アタッチメントへのピアリングの 2 つの異なるフローと考えることができます。
#### クラウド WAN 統合
トランジットゲートウェイが Cloud WAN コアネットワークにアタッチされている場合:
+ ピアリング接続のトランジットゲートウェイデータ転送料金は、トランジットゲートウェイの計測ポリシーに従って割り当てられます。
+ 計測ポリシーは、クラウド WAN コアネットワークではサポートされていません。
#### パフォーマンスへの影響
+ 計測ポリシーでは、追加のデータパスレイテンシーは発生しません。
+ 計測ポリシーは、アタッチメントあたりの最大帯域幅には影響しません。
+ Transit Gateway リソース共有機能に変更はありません。
#### 請求の統合
+ コスト配分タグは、ビジネスユニット別にコストを整理するための計測ポリシーと引き続き連携します。
+ 計測ポリシーはコストが発生するアカウントを定義しますが、コスト配分タグはそれらのコストの分類に役立ちます。
+ 計測ポリシーの変更は、次の請求時間の終了時に有効になります。
#### IPv6 サポート
計測ポリシーは、IPv4 トラフィックと IPv6 トラフィックの両方でサポートされています。ポリシーエントリの CIDR ブロックマッチングは、両方のアドレスファミリーで機能します。
#### ミドルボックスアタッチメントのサポート
+ ミドルボックス計測ポリシーは、元の送信元アタッチメントと送信先アタッチメント間のトラフィックが、指定されたミドルボックスアタッチメント (VPC-to-VPCトラフィックの東西検査など) を介してヘアピン留めされていることを前提としています。したがって、ミドルボックスアタッチメントに出入りするフローのネットワーク 5 タプル (送信元/送信先 IPs、送信元/送信先ポート、プロトコル) は一致する必要があります。ミドルボックスアタッチメントに 5 タプルのミスマッチがあるフロー (検査 VPC の NAT 変換など) は、通常の送信元と送信先のアタッチメントフロー (ミドルボックスアタッチメントフローではなく) として扱われます。
+ ミドルボックスアタッチメントのすべての出力専用フロー (検査 VPC の IGW 経由でインターネットへの南北トラフィックなど) は、通常の送信元/送信先フロー (ミドルボックスアタッチメントフローではなく) として扱われます。
+ Network AWS ファイアウォールがパケットをドロップすると、Network Function アタッチメントの場合、計測ポリシーの設定に関係なく、すべてのデータ処理使用量が送信者アカウントに請求されます。
# AWS Transit Gateway 計測ポリシーを作成する
計測ポリシーを有効にするには、トランジットゲートウェイの計測ポリシーを作成し、計測使用量の割り当て方法を定義するポリシーエントリを設定する必要があります。計測ポリシーはフレームワークとデフォルト設定を確立しますが、ポリシーエントリには、トラフィック特性に基づいて計測されるアカウントを決定する特定のルールが含まれています。
計測ポリシーエントリは、トランジットゲートウェイを通過するトラフィックのルール番号の最小値から最大値まで順番に適用される順序付けられたルールとして機能します。各エントリは、送信元と送信先のアタッチメントタイプ、CIDR ブロック、プロトコル、ポート範囲などの一致する条件と、一致するトラフィックを計測する必要があるアカウントを定義します。トラフィックフローが複数のエントリと一致する場合、ルール番号が最も低いエントリが優先されます。特定のフローに一致するエントリがない場合、ポリシーで指定されたデフォルトの計測アカウントが課金されます。
ポリシーを作成したら、ポリシーエントリを追加してコスト配分ロジックを実装する必要があります。計測ポリシーエントリを作成する手順については、「」を参照してください[計測ポリシーエントリを作成する](create-metering-policy-entry.md)。
## コンソールを使用して計測ポリシーを作成する
Transit Gateway データ使用量の柔軟なコスト配分ルールを定義するポリシーを作成します。デフォルトでは、すべてのフローはソースアタッチメント所有者に計測されます。エントリを作成して、特定のネットワークフローを異なるアカウントに請求します。
**計測ポリシーを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**計測ポリシー**を選択します。
1. **計測ポリシーの作成 **を選択します。
1. **トランジットゲートウェイ ID** で、計測ポリシーを作成するトランジットゲートウェイを選択します。
1. (オプション) **Middlebox アタッチメント IDs**、1 つ以上のミドルボックスアタッチメントを選択します。デフォルトでは、データ使用量はミドルボックス所有者に計測されます。ミドルボックスアタッチメントのサポートにより、ミドルボックスアタッチメントを通過するトラフィックに計測ポリシーを適用できます。添付ファイルは後で追加できます。
1. (オプション) **タグ**セクションで、計測ポリシーの識別と整理に役立つタグを追加します。
1. **[新しいタグを追加]** をクリックします。
1. タグ**キー**と、オプションでタグ**値**を入力します。
1. **[新しいタグを追加]** を選択してタグを追加するか、次のステップに進みます。最大 50 個のタグを追加できます。
1. **Transit Gateway 計測ポリシーの作成**を選択します。
**注記**
デフォルトの計測アカウントはソースアタッチメント所有者であり、計測ポリシーを作成した後、トラフィックフローのプロパティに基づいて課金されるアカウントを定義するエントリを追加できます。デフォルトのポリシーエントリ (最後のエントリ) は、他のポリシーエントリと同様に変更または削除できないことに注意してください。
## を使用して計測ポリシーを作成する AWS CLI
計測ポリシーは、トランジットゲートウェイのデフォルトのコスト配分動作とグローバル設定を定義します。[create-transit-gateway-metering-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-transit-gateway-metering-policy.html) を使用します。
必須パラメータ:
+ `--transit-gateway-id` - ポリシーを作成するトランジットゲートウェイの ID
任意指定のパラメータ:
+ `--middle-box-attachment-ids` - ミドルボックスとしてポリシーに追加する、サポートされている Transit Gateway アタッチメント ID
+ `--tag-specifications` - 計測ポリシーのタグ
**を使用して計測ポリシーを作成するには AWS CLI**
1. **create-transit-gateway-metering-policy** コマンドを実行して、オプションのミドルボックスアタッチメントを使用して新しい計測ポリシーを作成します。
```
aws ec2 create-transit-gateway-metering-policy \
--transit-gateway-id tgw-07a5946195a67dc47 \
--middle-box-attachment-ids \
tgw-attach-0123456789abcdef0 \
tgw-attach-0abc123def456789a \
--tag-specifications \
'[{ "ResourceType": "transit-gateway-metering-policy", \
"Tags": [ { "Key": "Env", "Value": "Prod" } ] }]'
```
このコマンドは、指定されたトランジットゲートウェイの計測ポリシーを作成し、ミドルボックスのアタッチメントとタグを指定します。
1. コマンドは、ポリシーが正常に作成されると、次の出力を返します。
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0abc123def456789a"],
"State": "pending",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z",
"Tags": [{"Key": "Env","Value": "Prod"}]
}
}
```
後続のコマンドで使用するためにレスポンスで返される計測ポリシー ID に注意してください。 **describe-transit-gateway-metering-policies** コマンドを使用して、トランジットゲートウェイに関連付けられた計測ポリシーを取得できます。
# AWS Transit Gateway 計測ポリシーの管理
計測ポリシーを作成したら、現在の設定の表示、設定オプションの変更、不要になったポリシーの削除によって管理できます。管理オペレーションでは、ネットワーク要件の変化に応じてミドルボックスアタッチメントを追加または削除できます。作成または削除できるのは、ポリシーエントリのみです。既存のルールを変更する必要がある場合は、エントリを削除し、変更された設定で新しいルールを作成できます。すべての管理オペレーションにはトランジットゲートウェイ所有者のアクセス許可が必要であり、2 請求時間後に有効になります。
ネットワークアーキテクチャの進化に合わせて正確なコスト配分を維持するには、効果的な計測ポリシー管理が不可欠です。多くの場合、組織は、ビジネスユニットの変更、新しいアプリケーションのデプロイ、またはネットワークトポロジの変更時にポリシーを調整する必要があります。たとえば、ミドルボックス計測のサポート設定では、ファイアウォールのセキュリティアーキテクチャが変更されたときや、新しい検査サービスがトラフィックパスに導入されたときに更新が必要になる場合があります。
ポリシーの変更は、季節的なトラフィックパターンの変更、合併と買収のアクティビティ、コンプライアンス要件の更新など、さまざまな運用シナリオをサポートします。ポリシーを管理するときは、既存の請求手配への影響を考慮し、実装前に影響を受ける利害関係者に変更を伝達します。
定期的なポリシーレビューは、コスト配分がビジネス目標と組織構造と一致していることを確認するのに役立ちます。ベストプラクティスには、ポリシーの変更の文書化、可能であれば非本番環境での変更のテスト、請求への影響を理解するための財務チームとの調整が含まれます。さらに、毎月の請求サイクルと財務報告プロセスの中断を最小限に抑えるために、ポリシー変更のタイミングを検討してください。
**Topics**
+ [計測ポリシーを編集する](metering-policy-edit.md)
+ [計測ポリシーを削除する](metering-policy-delete.md)
# AWS Transit Gateway 計測ポリシーを編集する
既存の計測ポリシーを編集して、ミドルボックスアタッチメント設定を変更します。ポリシーの変更は次の請求時間に有効になり、トランジットゲートウェイを通過する今後のすべてのトラフィックフローに適用されます。
## コンソールを使用して計測ポリシーを編集する
コンソールを使用して、トランジットゲートウェイの既存の計測ポリシー設定を変更します。
**コンソールを使用して既存の計測ポリシーを編集するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**計測ポリシー**を選択します。
1. ポリシー ID を選択して、変更する計測ポリシーを選択します。
1. **アクション**で使用可能なポリシー設定を変更します。コンソールでは、ミドルボックスアタッチメントの追加と削除のみが許可されます。
1. **ミドルボックスアタッチメント** - 特殊な請求用のミドルボックスとして扱う必要がある Transit Gateway アタッチメントを追加または削除します。
## を使用して計測ポリシーを編集する AWS CLI
**modify-transit-gateway-metering-policy** コマンドを使用して、計測ポリシーを表示および変更します。
変更オペレーションに必要なパラメータ:
+ `--transit-gateway-metering-policy-id` - 変更する計測ポリシーの ID
+ `--add-middle-box-attachment-ids` または `--remove-middle-box-attachment-ids` - ミドルボックスとしてポリシーを追加または削除するためにサポートされている Transit Gateway アタッチメント ID
**AWS CLI を使用して計測ポリシーを表示および編集するには**
1. (オプション) **describe-transit-gateway-metering-policies** コマンドを使用して既存の計測ポリシーを表示し、現在の設定を確認します。
```
aws ec2 describe-transit-gateway-metering-policies
```
このコマンドは、アカウント内のすべての計測ポリシーを返し、現在の状態と、各計測ポリシーでミドルボックスとして有効になっている添付ファイルを表示します。
1. **modify-transit-gateway-metering-policy** コマンドを使用して計測ポリシーを変更し、設定オプションを更新します。
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--add-middle-box-attachment-ids tgw-attach-0123456789abcdef1 \
--remove-middle-box-attachment-ids tgw-attach-0abc123def456789a
```
このコマンドは、ミドルボックスアタッチメントを追加または削除することで、計測ポリシーを変更します。
1. このコマンドは、ポリシーが正常に変更されると、次の出力を返します。
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "modifying",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
変更が有効になるまでに最大 2 請求時間かかる場合があります。
# AWS Transit Gateway 計測ポリシーを削除する
トランジットゲートウェイのコスト配分戦略に不要になった計測ポリシーを削除します。ポリシーを削除すると、コスト配分がデフォルトの送信者ベースのモデルに戻されます。このモデルでは、データ処理料金とデータ転送料金がソースアタッチメントを所有するアカウントに割り当てられます。削除された計測ポリシーに関連付けられているすべてのポリシーエントリも削除されます。
## コンソールを使用して計測ポリシーを削除する
コンソールを使用して、不要になった計測ポリシーを削除します。
**コンソールを使用して計測ポリシーを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**計測ポリシー**を選択します。
1. ポリシー ID を選択して、削除するポリシーを選択します。
1. **[Actions]** (アクション)、**[Delete]** (削除) の順に選択します。
1. 削除を確認するには、確認ダイアログ**delete**に と入力します。
1. **[削除]** を選択します。
**重要**
計測ポリシーの削除は元に戻せません。すべてのポリシーエントリと設定は完全に削除され、コスト配分はデフォルトの送信者ベースのモデルに戻ります。
## を使用して計測ポリシーを削除する AWS CLI
**delete-transit-gateway-metering-policy** コマンドを使用して、計測ポリシーをプログラムで削除します。
要件:
+ トランジットゲートウェイ所有者のアクセス許可
必須パラメータ:
+ `--transit-gateway-metering-policy-id` - 削除する計測ポリシーの ID
**AWS CLI を使用して計測ポリシーを表示および削除するには**
1. (オプション) **describe-transit-gateway-metering-policies** コマンドを使用して既存の計測ポリシーを表示し、現在の設定を確認します。
```
aws ec2 describe-transit-gateway-metering-policies
```
このコマンドは、アカウントのすべての計測ポリシーを返し、現在の状態と設定を表示します。
1. **delete-transit-gateway-metering-policy** コマンドを使用して計測ポリシーを削除し、ポリシーを完全に削除します。
```
aws ec2 delete-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7
```
このコマンドは、指定された計測ポリシーと関連するすべてのエントリを完全に削除します。コスト配分は、将来のすべてのトラフィックフローのデフォルトの送信者ベースのモデルに戻ります。また、この変更が有効になるまでに 2 請求時間かかります。
1. このコマンドは、ポリシーが正常に削除されると、次の出力を返します。
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-042d444564d4b2da7",
"TransitGatewayId": "tgw-07a5946195a67dc47",
"MiddleboxAttachmentIds": ["tgw-attach-0123456789abcdef0",
"tgw-attach-0123456789abcdef1"],
"State": "deleting",
"UpdateEffectiveAt": "2025-11-05T21:00:00.000Z"
}
}
```
レスポンスは、トランジットゲートウェイインフラストラクチャ全体で削除が処理されている間、ポリシーが `deleting`状態で削除されていることを確認します。
# AWS Transit Gateway 計測ポリシーエントリを作成する
デフォルトでは、すべてのフローはソースアタッチメント所有者に計測されます。異なるアカウントへの特定のフローを計測するには、トラフィックフローのプロパティに基づいて課金されるアカウントを定義する個別のポリシーエントリを作成します。
計測ポリシーエントリは、トラフィックがトランジットゲートウェイを通過するときにルール番号に基づいて順番に評価される条件付きルールとして機能します。各エントリは「if-then」ステートメントとして機能します。トラフィックが指定された条件 (ソースアタッチメントタイプ、送信先 CIDR ブロック、プロトコルなど) に一致する場合は、指定されたアカウントに課金されます。システムは、最も低いルール番号から最も高いルール番号までのエントリを評価し、最初に一致するエントリによって、そのトラフィックフローの請求アカウントが決まります。
エントリは、アタッチメントタイプ (VPC、VPN、Direct Connect Gateway)、特定のアタッチメント IDs、送信元と送信先の CIDR ブロック、プロトコルタイプ、ポート範囲など、幅広い一致基準をサポートします。1 つのエントリ内に複数の条件を組み合わせて、正確なターゲティングルールを作成できます。たとえば、VPC アタッチメントからのすべての HTTPS トラフィック (ポート 443) を特定の送信先 CIDR 範囲に一致させ、それらのフローをセキュリティチームのアカウントに請求するエントリを作成できます。特定のトラフィックフローに一致するエントリがない場合、親計測ポリシーで指定されたデフォルトの計測アカウントが課金され、すべてのトラフィックが適切に請求されます。エントリの作成が有効になるまでに 2 請求時間かかります。
**重要**
ルール番号を慎重に計画する - 将来の挿入を可能にするためにギャップ (10、20、30 など) を残す
より制限の厳しいルールを追加する前に、まずより具体的な条件でエントリをテストする
特定の一致条件を使用して、意図しない請求を回避する
## コンソールを使用して計測ポリシーエントリを作成する
計測ポリシーは、トランジットゲートウェイのデフォルトのコスト配分動作とグローバル設定を定義します。
**コンソールを使用して計測ポリシーエントリを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**計測ポリシー**を選択します。
1. 計測ポリシー ID リンクを選択して詳細を表示します。
1. **計測ポリシーエントリ**タブを選択します。
1. **計測ポリシーの作成エントリ**を選択します。
1. **ポリシールール番号** - 評価順序を決定する一意の数値 (1~32,766) である必要があります。数値が低いほど優先度が高くなります。
1. **従量制アカウント** - 一致するトラフィックフローに対して課金される次のいずれかのアカウントタイプを選択します。
1. **ソース添付ファイル所有者**
1. **送信先添付ファイル所有者**
1. **トランジットゲートウェイアタッチメント所有者**
1. (オプション) **ルール条件**を選択する - これらのオプション条件は、特定のトラフィックに一致する条件を定義します。
+ **ソースアタッチメントタイプまたは ID** - アタッチメントタイプ (VPC、VPN、Direct Connect Gateway、ピアリング) または ID でフィルタリングします。
+ **送信先アタッチメントタイプまたは ID** - 送信先アタッチメントタイプまたは ID でフィルタリングする
+ **ソース CIDR ブロック** - 特定の IP 範囲からのトラフィックを一致させる
+ **送信先 CIDR ブロック** - トラフィックを特定の IP 範囲に一致させる
+ **ソースポート範囲** - 特定のソースポートを一致
+ **送信先ポート範囲** - 特定の送信先ポートに一致
+ **プロトコル** - ルールのプロトコルでフィルタリングする (1、6、17 など)
1. **計測ポリシーエントリの作成**を選択して設定を保存します。
## を使用して計測ポリシーエントリを作成する AWS CLI
ポリシーエントリは、トラフィックの特性に基づいてコスト配分の特定のルールを定義します。ルールは、ルール番号の順に評価されます。
必須パラメータ:
+ `--transit-gateway-metering-policy-id` - エントリを追加する計測ポリシーの ID
+ `--policy-rule-number` - 評価順序を決定する一意の数値 (1~32,766)
+ `--metered-account` - 支払者タイプ (source-attachment-owner/ destination-attachment-owner/transit-gateway-owner)
任意指定のパラメータ:
特定のトラフィックに一致する基準を定義する以下のオプションパラメータ。
+ `--source-transit-gateway-attachment-id` - ソーストランジットゲートウェイアタッチメントの ID。
+ `--source-transit-gateway-attachment-type` - ソーストランジットゲートウェイアタッチメントのタイプ。
+ `--source-cidr-block` - ルールのソース CIDR ブロック。
+ `--source-port-range` - ルールのソースポート範囲。
+ `--destination-transit-gateway-attachment-id` - 送信先トランジットゲートウェイアタッチメントの ID。
+ `--destination-transit-gateway-attachment-type` - 送信先トランジットゲートウェイアタッチメントのタイプ。
+ `--destination-cidr-block` - ルールの送信先 CIDR ブロック。
+ `--destination-port-range` - ルールの送信先ポート範囲。
+ `--protocol` - ルールのプロトコル番号
**を使用して計測ポリシーエントリを作成するには AWS CLI**
1. **create-transit-gateway-metering-policy-entry** コマンドを使用して、VPC トラフィックを特定の計測アカウントにルーティングする新しいポリシーエントリを作成します。
```
aws ec2 create-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-042d444564d4b2da7 \
--policy-rule-number 100 \
--destination-transit-gateway-attachment-type vpc \
--metered-account destination-attachment-owner
```
このコマンドは、VPC アタッチメント宛てのトラフィックと一致するルール番号 100 のポリシーエントリを作成し、それらのフローの送信先アタッチメント所有者に課金します。
1. このコマンドは、エントリが正常に作成されると、次の出力を返します。
```
{
"TransitGatewayMeteringPolicyEntry": {
"MeteredAccount": "destination-attachment-owner",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
},
"PolicyRuleNumber": 100,
"State": "available",
"UpdateEffectiveAt": "2025-11-06T02:00:00.000Z"
}
}
```
レスポンスは、トランジットゲートウェイインフラストラクチャ全体でアクティブ化されている間に、エントリが「使用可能」状態で作成されたことを確認します。
# AWS Transit Gateway 計測ポリシーエントリを削除する
ネットワークトラフィックフローに特定のコスト配分ルールが不要になった場合は、計測ポリシーエントリを削除します。エントリの削除は、ポリシー構造全体を維持しながら、古いルールや不要なルールを削除することで、ポリシー管理を簡素化するのに役立ちます。エントリを削除すると、以前に削除されたルールに一致したトラフィックは、ルール番号の順序で残りのエントリと評価されるか、他のエントリが一致しない場合はデフォルトのポリシー動作に戻ります。
エントリを削除する前に、現在の請求手配とトラフィックフローへの影響を考慮してください。削除されると、変更が有効になるまでに最大 2 請求時間かかり、元に戻すことができないため、影響を受けるアカウント所有者や財務チームと変更を調整します。残りのエントリを確認して、削除後の適切なトラフィックカバレッジと請求配分を確認します。残りのエントリのルール評価順序は変更されず、継続的なトラフィックフローに対する予測可能なコスト配分動作が維持されます。
**重要**
削除は元に戻せません
以前にこのエントリに一致するトラフィックは、残りのエントリに対して再評価されます。
残りのエントリを確認して、適切なトラフィックカバレッジを確保する
## コンソールを使用して計測ポリシーエントリを削除する
コンソールを使用して、誤って削除されないように確認ダイアログを提供する直感的なインターフェイスを介してポリシーエントリを削除します。
**コンソールを使用してポリシーエントリを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**計測ポリシー**を選択します。
1. 削除するエントリを含む計測ポリシーを選択します。
1. 削除するエントリを選択し、**削除**を選択します。
1. 確認ダイアログで、エントリの詳細を確認して と入力**delete**し、削除を確認します。
1. **削除**を選択して、エントリを完全に削除します。
## を使用して計測ポリシーエントリを削除する AWS CLI
**delete-transit-gateway-metering-policy-entry** コマンドを使用して、プログラムでポリシーエントリを削除します。
要件:
+ トランジットゲートウェイ所有者のアクセス許可
+ 有効な計測ポリシー ID とエントリルール番号
必須パラメータ:
+ `--transit-gateway-metering-policy-id` - 計測ポリシーの ID
+ `--policy-rule-number` - 削除するエントリのルール番号
**AWS CLI を使用してポリシーエントリを表示および削除するには**
1. (オプション) **get-transit-gateway-metering-policy-entries** コマンドを使用して既存のポリシーエントリを表示し、現在の設定を確認します。
```
aws ec2 get-transit-gateway-metering-policy-entries \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg
```
このコマンドは、指定されたポリシーのすべてのエントリを返し、ルール番号、一致基準、計測されたアカウントを表示します。
1. **delete-transit-gateway-metering-policy-entry** コマンドを使用してポリシーエントリを削除し、エントリを完全に削除します。
```
aws ec2 delete-transit-gateway-metering-policy-entry \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--policy-rule-number 100
```
このコマンドは、指定されたエントリをポリシーから完全に削除します。以前にこのエントリに一致したトラフィックは、残りのエントリとすぐに再評価されるか、デフォルトのポリシー動作に戻ります。
1. エントリが正常に削除されると、 コマンドは次の出力を返します。
```
{
"TransitGatewayMeteringPolicyEntry": [
{
"PolicyRuleNumber": 100,
"MeteredAccount": "destination-attachment-owner",
"UpdateEffectiveAt": "2024-01-01T01:00:00+00:00",
"state": "deleted",
"MeteringPolicyRule": {
"DestinationTransitGatewayAttachmentType": "vpc"
}
}
}
```
レスポンスは、トランジットゲートウェイインフラストラクチャ全体で削除が処理されている間、エントリが「削除」状態で削除されていることを確認します。
# AWS Transit Gateway 計測ポリシーのミドルボックスアタッチメントを管理する
トランジットゲートウェイ計測ポリシーは、ミドルボックスアタッチメントをサポートしているため、ネットワークファイアウォールやロードバランサーなどのミドルボックスアプライアンスを介してルーティングされるネットワークトラフィックのデータ処理料金を柔軟に割り当てることができます。ミドルボックスアタッチメントの例としては、Network Firewall への AWS Network Function アタッチメントや、VPC 内のサードパーティーのセキュリティアプライアンスにトラフィックをルーティングする VPC アタッチメントなどがあります。送信元と送信先のトランジットゲートウェイアタッチメント間のトラフィックは、一般的なセキュリティ検査のユースケースのために、これらのミドルボックスアタッチメントを経由します。計測ポリシーを定義して、元のソースアタッチメント、最終送信先アタッチメント、またはトランジットゲートウェイアカウントの所有者にミドルボックスアタッチメントのデータ処理使用量を柔軟に割り当てることができます。Network Function アタッチメントの場合、 AWS Network Firewall データ処理料金も計測対象アカウントに割り当てられます。
セキュリティ検査、負荷分散、またはその他のネットワーク機能のためにネットワークアプライアンスを介してトラフィックをルーティングする指定のトランジットゲートウェイアタッチメント。ミドルボックスアタッチメントを通過するトラフィックのデータ使用量は、計測ポリシーで指定されたアカウント所有者に計測されます。最大 10 個のミドルボックスアタッチメントを指定できます。サポートされているミドルボックスアタッチメントタイプは、Network Function (AWS Network Firewall)、VPC、VPN アタッチメントです。
**Topics**
+ [ミドルボックスアタッチメントを追加する](create-middlebox-attachment.md)
+ [ミドルボックスアタッチメントを削除する](edit-middlebox-attachment.md)
# AWS Transit Gateway 計測ポリシーのミドルボックスアタッチメントを追加する
ミドルボックスアタッチメントを追加して、ネットワークアプライアンスを Transit Gateway 計測ポリシーに統合できます。これにより、きめ細かなコスト配分制御を維持しながら、セキュリティアプライアンス、ロードバランサー、またはその他のネットワーク機能を介して特定のトラフィックをルーティングできます。
**重要**
ミドルボックスアプライアンスが正しく設定され、アクセス可能であることを確認する
本稼働ワークロードに適用する前にトラフィックルーティングをテストする
レイテンシーが発生しないようにミドルボックスのパフォーマンスをモニタリングする
高可用性のために適切なフェイルオーバー動作を設定する
## コンソールを使用してミドルボックスアタッチメントを追加する
**ミドルボックスアタッチメントエントリを追加するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**計測ポリシー**を選択します。
1. 計測ポリシー ID リンクを選択して詳細を表示します。
1. **ミドルボックスアタッチメント**タブを選択します。
1. **[Add]** (追加) を選択します。
1. プロンプトが表示されたら、特殊請求用のミドルボックスとして扱うミドルボックスアタッチメント IDs を選択します。最大 10 個のミドルボックスアタッチメントを選択できます。
1. **ミドルボックスアタッチメントの追加**を選択して設定を保存します。
## を使用してミドルボックスアタッチメントを追加する AWS CLI
**modify-transit-gateway-metering-policy** コマンドを使用して添付ファイルを追加します。
開始する前に、次の必須パラメータがあることを確認してください。
+ `--transit-gateway-metering-policy-id` - 既存の計測ポリシーの ID
+ `--add-middle-box-attachment-ids` - ポリシーに追加する 1 つ以上の添付ファイル IDs (添付ファイルを追加する場合)
**AWS CLI を使用して既存のポリシーにミドルボックスアタッチメントを追加するには**
1. 次の例では、 **modify-transit-gateway-metering-policy**を使用して、既存の計測ポリシーに 4 つのミドルボックスアタッチメントを追加します。コマンドは、現在の添付ファイルを削除せずに、指定された添付ファイル IDsを既存のリストに追加します。
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--add-middle-box-attachment-ids tgw-attach-0bdc681c211bf71f3 tgw-attach-0987654321fedcba0 tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. 次のレスポンス例では、JSON 出力に更新されたポリシー設定が表示され、4 つのミドルボックスアタッチメントがすべて含まれています。
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0",
"tgw-attach-0456789012345abcd",
"tgw-attach-0fedcba0987654321"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
# AWS Transit Gateway 計測ポリシーのミドルボックスアタッチメントを削除する
デフォルトでは、計測コストはミドルボックスアタッチメント所有者に帰属します。ただし、これらの割り当てを変更して、トラフィックの実際の送信元または送信先にコストが適切に配分されるようにすることができます。計測ポリシーには、最大 10 個のミドルボックスアタッチメントを追加または削除できます。
## コンソールを使用してミドルボックスアタッチメントを削除する
Amazon VPC コンソールを使用して、計測ポリシー設定からミドルボックスアタッチメントを削除します。
**ミドルボックスアタッチメントを削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**トランジットゲートウェイ、****計測ポリシー**を選択します。
1. 変更する計測ポリシーを選択します。
1. **ミドルボックスアタッチメント**タブを選択します。
1. 計測ポリシーから削除するミドルボックスアタッチメントを最大 10 個選択します。
1. **[**を削除] を選択します。
1. プロンプトが表示されたら、選択したミドルボックスアタッチメントを更新して削除できます。削除されたアタッチメントを通過するトラフィックは、ミドルボックスアタッチメント所有者に計測されます。
1. **ミドルボックスアタッチメントの削除**を選択します。
## を使用してミドルボックスアタッチメントを削除する AWS CLI
**modify-transit-gateway-metering-policy** コマンドを使用して添付ファイルを削除します。
開始する前に、次の必須パラメータがあることを確認してください。
+ `--transit-gateway-metering-policy-id` - 既存の計測ポリシーの ID
+ `--remove-middle-box-attachment-ids` - ポリシーから削除する 1 つ以上の添付ファイル IDs (添付ファイルの削除用)
**AWS CLI を使用して既存のポリシーからミドルボックスアタッチメントを削除するには**
1. 次の例では、 **modify-transit-gateway-metering-policy**を使用して、既存の計測ポリシーから 2 つの特定のミドルボックスアタッチメントを削除します。コマンドは、残りの添付ファイルを保持しながら、指定された添付ファイル IDs のみを削除します。
```
aws ec2 modify-transit-gateway-metering-policy \
--transit-gateway-metering-policy-id tgw-mp-0123456789abcdefg \
--remove-middle-box-attachment-ids tgw-attach-0456789012345abcd tgw-attach-0fedcba0987654321
```
1. 次のレスポンス例では、JSON 出力に、指定された添付ファイルが削除され、残りの添付ファイルがまだアクティブな状態で更新されたポリシー設定が表示されます。
```
{
"TransitGatewayMeteringPolicy": {
"TransitGatewayMeteringPolicyId": "tgw-mp-0123456789abcdefg",
"TransitGatewayId": "tgw-0ecec6433f4bfe55a",
"MiddleBoxAttachmentIds": [
"tgw-attach-0bdc681c211bf71f3",
"tgw-attach-0987654321fedcba0"
],
"State": "available",
"UpdateEffectiveAt": "2024-09-05T16:00:00.000Z"
}
}
```
**Topics**
+ [計測ポリシー](#metering-policies-main)
+ [計測ポリシーを作成する](metering-policy-create-policy.md)
+ [計測ポリシーの管理](metering-policy-manage-policy.md)
+ [計測ポリシーエントリを作成する](create-metering-policy-entry.md)
+ [計測ポリシーエントリを削除する](metering-policy-entry-delete.md)
+ [計測ポリシーのミドルボックスアタッチメントを管理する](metering-policy-middlebox.md)