翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Client VPN エンドポイント
<a name="cvpn-working-endpoints"></a>

すべての AWS Client VPN セッションで、クライアント VPN エンドポイントとの通信が確立されます。クライアント VPN エンドポイントを管理して、そのエンドポイントでクライアント VPN セッションを作成、変更、表示、削除できます。エンドポイントは、Amazon VPC コンソールまたは AWS CLI を使用して作成および変更できます。

## クライアント VPN エンドポイントを作成するための要件
<a name="cvpn-working-create-req"></a>

**重要**  
クライアント VPN エンドポイントは、目的のターゲットネットワークがプロビジョニングされているのと同じ AWS アカウントで作成する必要があります。また、サーバー証明書を生成し、必要に応じてクライアント証明書を生成する必要があります。詳細については、「[でのクライアント認証 AWS Client VPN](client-authentication.md)」を参照してください。

作業を開始する前に、次のことを必ず実行してください。
+ [を使用するためのルールとベストプラクティス AWS Client VPN](what-is-best-practices.md) のルールと制限を確認します。
+ サーバー証明書を生成し、必要に応じてクライアント証明書を取得します。詳細については、「[でのクライアント認証 AWS Client VPN](client-authentication.md)」を参照してください。

## IP アドレスのタイプ
<a name="cvpn-ip-address-types"></a>

AWS Client VPN はIPv4-only, IPv6-only、およびデュアルスタックの設定をサポートします。次のガイダンスは、クライアントデバイスの機能、ネットワークインフラストラクチャ、およびアプリケーション要件に基づいて、適切な IP アドレスタイプを選択するのに役立ちます。

### エンドポイントアドレスタイプ
<a name="cvpn-endpoint-types"></a>

エンドポイントアドレスタイプは、クライアント VPN エンドポイントがクライアント接続でサポートする IP プロトコルを決定します。エンドポイントの作成後に設定を変更することはできません。

**次の場合、IPv4 のみを選択します。**
+ クライアントデバイスが IPv4 VPN 接続のみをサポートしている
+ セキュリティツールが IPv4 トラフィック検査に最適化されている

**次の場合、IPv6 のみを選択します。**
+ すべてのクライアントデバイスが IPv6 接続を完全にサポートしている
+ ネットワークで IPv4 アドレスが枯渇している

**次の場合、デュアルスタックを選択します。**
+ IP 機能が異なるクライアントデバイスが混在している
+ IPv4 から IPv6 に段階的に移行している

### トラフィック IP アドレスタイプ
<a name="cvpn-traffic-ip-considerations"></a>

トラフィック IP アドレスタイプは、エンドポイントでサポートされているプロトコルに関係なく、クライアント VPN がクライアントと VPC リソースの間のトラフィックをルーティングする方法を制御します。

**次の場合、トラフィックを IPv4 としてルーティングします。**
+ VPC 内のターゲットアプリケーションが IPv4 のみをサポートしている
+ 複雑な IPv4 セキュリティグループやネットワーク ACL が存在する
+ レガシーシステムに接続している

**次の場合、トラフィックを IPv6 としてルーティングします。**
+ VPC インフラストラクチャが主に IPv6 である
+ ネットワークアーキテクチャを将来にわたって保護したい
+ IPv6 用に構築された最新のアプリケーションが存在する

## エンドポイントの変更
<a name="cvpn-endpoints-modify-req"></a>

**注記**  
クイックスタートセットアップを使用して作成されたクライアント VPN エンドポイントは、標準セットアップで作成されたエンドポイントと同じ手順を使用して変更できます。作成時に使用されたセットアップ方法に関係なく、すべての設定オプションを使用できます。

クライアント VPN を作成した後、次の設定を変更できます。
+ 説明
+ サーバー証明書
+ クライアント接続ログオプション
+ クライアント接続ハンドラーのオプション
+ DNS サーバー
+ スプリットトンネルオプション
+ ルート (分割トンネルオプションを使用する場合)
+ 証明書失効リスト (CRL)
+ 承認ルール
+ VPC とセキュリティグループの関連付け
+ VPN ポート番号
+ セルフサービスポータルオプション
+ VPN セッションの最大継続時間
+ セッションタイムアウト時の自動再接続を有効または無効にする
+ クライアントログインバナーテキストを有効または無効にする
+ クライアントログインバナーテキスト

**注記**  
Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。  
クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。

クライアント VPN エンドポイントで次のいずれかのパラメータを変更すると、接続がリセットされます。
+ サーバー証明書
+ DNS サーバー
+ スプリットトンネルオプション (サポートをオンまたはオフ)
+ ルート (スプリットトンネルオプションを使用する場合)
+  証明書失効リスト (CRL)
+ 承認ルール
+ VPN ポート番号

**Topics**
+ [クライアント VPN エンドポイントを作成するための要件](#cvpn-working-create-req)
+ [IP アドレスのタイプ](#cvpn-ip-address-types)
+ [エンドポイントの変更](#cvpn-endpoints-modify-req)
+ [エンドポイントを作成する](cvpn-working-endpoint-create.md)
+ [エンドポイントを表示する](cvpn-working-endpoint-view.md)
+ [エンドポイントを変更する](cvpn-working-endpoint-modify.md)
+ [エンドポイントを削除します](cvpn-working-endpoint-delete.md)

# AWS Client VPNエンドポイントを作成する
<a name="cvpn-working-endpoint-create"></a>

クライアントが Amazon VPC コンソールまたは を使用して VPN セッションを確立できるようにするAWS Client VPNエンドポイントを作成しますAWS CLI。クライアント VPN は、初期作成時にトラフィックタイプ (IPv4、IPv6、デュアルスタック) を持つエンドポイントタイプ (スプリットトンネルとフルトンネル) のすべての組み合わせをサポートします。

エンドポイントを作成する前に、要件を理解してください。詳細については、「[クライアント VPN エンドポイントを作成するための要件](cvpn-working-endpoints.md#cvpn-working-create-req)」を参照してください。

**コンソールを使用してクライアント VPN エンドポイントを作成するには**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで **[クライアント VPN エンドポイント]** を選択し、**[クライアント VPN エンドポイントの作成]** を選択します。

1. 「セットアップ方法の選択」で、次のいずれかを選択します。
   + クイックスタート - AWS が推奨するデフォルトを使用してエンドポイントを作成する
   + 標準 - エンドポイントのすべての設定を手動で設定する

**クイックスタート設定:**

1. 「セットアップ方法の選択」で、クイックスタートを選択します。

1.  「クライアント IPv4 CIDR」には、クライアント IP アドレスを割り当てる IP アドレス範囲を入力します。AWS では、/22 CIDR ブロック (10.0.0.0/22 など) を使用することをお勧めします。

1.  「VPC」で、クライアント VPN エンドポイントに関連付ける VPC を選択します。

1.  「サブネット」で、VPC 内の 1 つ以上のサブネットを選択します。これらのサブネットは、ターゲットネットワークの関連付けに使用されます。

1.  [サーバー証明書 ARN] に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。

1.  「クライアント VPN エンドポイントの作成」を選択します。

AWS は、次のリソースを自動的に作成します。
+ すべてのユーザーに VPC CIDR へのアクセスを許可する承認ルール
+ 選択した VPC サブネットとのターゲットネットワークの関連付け
+ VPC CIDR のルートテーブルエントリ

 エンドポイントを作成したら、エンドポイントの詳細ページからクライアント設定ファイルをダウンロードし、クライアント証明書とキーとともにユーザーに配布できます。

**標準セットアップ:**

1. 「セットアップ方法の選択」で、「標準」を選択します。

1. (オプション) クライアント VPN エンドポイントの名前タグと説明を入力します。

1. **[エンドポイント IP アドレスタイプ]** で、エンドポイントの IP アドレスタイプを選択します。
   + **IPv4**: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスを使用します。
   + **IPv6**: エンドポイントは、外部 VPN トンネルトラフィックに IPv6 アドレスを使用します。
   + **デュアルスタック**: エンドポイントは、外部 VPN トンネルトラフィックに IPv4 アドレスと IPv6 アドレスの両方を使用します。

1. **[トラフィックの IP アドレスタイプ]** で、エンドポイントを通過するトラフィックの IP アドレスタイプを選択します。
   + **IPv4**: エンドポイントは IPv4 トラフィックのみをサポートします。
   + **IPv6**: エンドポイントは IPv6 トラフィックのみをサポートします。
   + **デュアルスタック**: エンドポイントは、IPv4 と IPv6 トラフィックの両方をサポートします。

1. **[クライアント IPv4 CIDR]** に、クライアント IP アドレスを割り当てる IP アドレス範囲を CIDR 表記で指定します。例えば、`10.0.0.0/22` と指定します。これは、トラフィック IP アドレスタイプに IPv4 またはデュアルスタックを選択した場合に必要です。
**注記**  
IP アドレス範囲は、ターゲットネットワークのアドレス範囲、VPC のアドレス範囲、またはクライアント VPN エンドポイントに関連付けられるルートと重複できません。クライアントアドレス範囲は /22 以上で、/12 CIDR ブロックサイズを超えないようにする必要があります。クライアント VPN エンドポイントの作成後にクライアントのアドレス範囲を変更することはできません。
エンドポイント IP アドレスタイプとして IPv6 を選択すると、クライアント IPv4 CIDR フィールドは無効になります。クライアント VPN エンドポイントは、関連付けられたサブネットからクライアント IPv6 アドレスを割り当てます。エンドポイントの作成後にサブネットを関連付けることができます。
**注記**  
IPv6 トラフィックの場合、クライアント CIDR 範囲を指定する必要はありません。Amazon はクライアントに IPv6 CIDR 範囲を自動的に割り当てます。

1. **[サーバー証明書 ARN]** に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。
**注記**  
サーバー証明書は、クライアント VPN エンドポイントを作成するリージョンのAWS Certificate Manager(ACM) に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。  
証明書を ACM にプロビジョニングまたはインポートする手順については、「*AWS Certificate Managerユーザーガイド*」の「[AWS Certificate Manager証明書](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」を参照してください。

1. VPN 接続を確立するとき、クライアントを認証するために使用する認証方法を指定します。認証方法を選択する必要があります。
   + ユーザーベースの認証を使用するには、**[ユーザーベースの認証を使用]** を選択し、次のいずれかを選択します。
     + **Active Directory 認証**: Active Directory 認証の場合はこのオプションを選択します。**[ディレクトリ ID]** には、使用する Active Directory の ID を指定します。
     + **フェデレーション認証**: SAML ベースのフェデレーション認証の場合は、このオプションを選択します。

       **[SAML プロバイダー ARN]** には、IAM SAML ID プロバイダーの ARN を指定します。

       (オプション) **[セルフサービス SAML プロバイダー ARN]** で、[セルフサービスポータルをサポート](federated-authentication.md#saml-self-service-support)するために作成した IAM SAML ID プロバイダーの ARN を指定します (該当する場合)。
   + 相互証明書認証を使用するには、**相互認証を使用する**を選択し、**クライアント証明書 ARN** に、AWS Certificate Manager(ACM) でプロビジョニングされているクライアント証明書の ARN を指定します。
**注記**  
サーバー証明書とクライアントの証明書が同じ認証機関 (CA) によって発行されている場合、サーバーとクライアントの両方に対してサーバー証明書 ARN を使用できます。クライアント証明書が別の CA によって発行された場合は、クライアント証明書 ARN を指定する必要があります。

1. (オプション) **[Connection logging]** (接続ログ) で、Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。**[クライアント接続のログの詳細を有効化]** をオンにします。**[CloudWatch Logs ロググループ名]** に、使用するロググループの名前を入力します。**[CloudWatch Logs ログストリーム名]** に、使用するログストリームの名前を入力するか、このオプションを空白のままにしておくとログストリームが自動的に作成されます。

1. (オプション) クライアント VPN エンドポイントへの新しい接続を許可または拒否するカスタムコードを実行するには、**[クライアント接続ハンドラー]** で、**[クライアント接続ハンドラーを有効化]** をオンにします。**[クライアント接続ハンドラー ARN]** で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

1. (オプション) DNS 解決に使用する DNS サーバーを指定します。カスタム DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** と **[DNS サーバー 2 IP アドレス]** に、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、**[DNS サーバー IPv6 1]** と **[DNS サーバー IPv6 2]** のアドレスを指定することもできます。VPC DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** または **[DNS サーバー 2 IP アドレス]** のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。
**注記**  
クライアントが DNS サーバーに到達できることを確認します。

1. (オプション) デフォルトでは、クライアント VPN エンドポイントは `UDP` 転送プロトコルを使用します。代わりに `TCP` トランスポートプロトコルを使用するには、**[トランスポートプロトコル]** の **[TCP]** を選択します。
**注記**  
UDP は通常、TCP よりも優れたパフォーマンスが得られます。クライアント VPN エンドポイントを作成した後で、トランスポートプロトコルを変更することはできません。

1. (オプション) エンドポイントを分割トンネルクライアント VPN エンドポイントにするには、**[分割トンネルを有効にする]** をオンにします。デフォルトでは、Client VPN エンドポイントの分割トンネルは無効になっています。

1. (オプション) **[VPC ID]** で、クライアント VPN エンドポイントに関連付ける VPC を選択します。**[セキュリティグループ ID]** で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

1. (オプション) **[VPN ポート]** で、VPN ポート番号を選択します。デフォルトは 443 です。

1. (オプション) クライアントの[セルフサービスポータルの URL](cvpn-self-service-portal.md) を生成するには、**[セルフサービスポータルを有効にする]** を有効にします。

1. (オプション) **[セッションタイムアウト時間]** で、使用可能なオプションから希望する最大 VPN セッション継続時間を時間単位で選択するか、デフォルトの 24 時間のままにしておきます。

1. (オプション) **[セッションタイムアウト時に接続を解除]** で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときに、ユーザーはエンドポイントに手動で再接続しなければならなくなります。このオプションを選択しない場合、クライアント VPN は自動的に再接続を試みます。

1. (オプション) クライアントログインバナーテキストを有効にするか指定します。**[クライアントログインバナーを有効化]** をオンにします。**[クライアントログインバナーテキスト]** に、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

1. **[クライアント VPN エンドポイントの作成]** を選択します。

クライアント VPN エンドポイントを作成したら、次の手順を実行して設定を完了し、クライアントが接続できるようにします。
+ クライアント VPN エンドポイントの初期状態は `pending-associate` です。最初の[ターゲットネットワーク](cvpn-working-target-associate.md)を関連付けて初めて、クライアントがクライアント VPN エンドポイントに接続できるようになります。
+ [承認ルール](cvpn-working-rules.md)を作成して、ネットワークにアクセスできるクライアントを指定します。
+ クライアントに配布するクライアント VPN エンドポイント[設定ファイル](cvpn-working-endpoint-export.md)をダウンロードして準備します。
+ AWS提供されたクライアントまたは別の OpenVPN ベースのクライアントアプリケーションを使用してクライアント VPN エンドポイントに接続するようにクライアントに指示します。詳細については、「[AWS Client VPNユーザーガイド](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)」を参照してください。

**を使用してクライアント VPN エンドポイントを作成するにはAWS CLI**  
[create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) コマンドを使用します。

IPv4 エンドポイントの作成例:

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

IPv6 エンドポイントの作成例:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

デュアルスタックエンドポイントの作成例:

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

# AWS Client VPN エンドポイントを表示する
<a name="cvpn-working-endpoint-view"></a>

Amazon VPC コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントに関する情報を表示できます。

**クライアント VPN エンドポイントルートを表示するには (コンソール)**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。

1. 表示するクライアント VPN エンドポイントを選択します。

1. **[詳細]**、**[ターゲットネットワークの関連付け]**、**[セキュリティグループ]**、**[承認ルール]**、**[ルートテーブル]**、**[接続]**、および **[タグ]** タブを使用して、既存のクライアント VPN エンドポイントに関する情報を表示します。

   フィルターを使用して、検索を絞り込むこともできます。

**クライアント VPN エンドポイントを表示するには (AWS CLI)**  
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) コマンドを使用します。

# AWS Client VPN エンドポイントを変更する
<a name="cvpn-working-endpoint-modify"></a>

Amazon VPC コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。変更できるクライアント VPN フィールドの詳細については、「[エンドポイントの変更](cvpn-working-endpoints.md#cvpn-endpoints-modify-req)」を参照してください。

## 制限
<a name="endpoints-limits"></a>

エンドポイントを変更する場合、次の制限が適用されます。
+  Client VPN エンドポイントへの変更 (証明書失効リスト (CRL) の変更を含む) は、Client VPN サービスによってリクエストが受け入れられてから 4 時間以内に有効になります。
+ クライアント VPN エンドポイントの作成後に、クライアントの IPv4 CIDR 範囲、認証オプション、クライアント証明書またはトランスポートプロトコルを変更することはできません。
+ 既存の IPv4 エンドポイントは、エンドポイント IP タイプとトラフィック IP タイプの両方でデュアルスタックに変更できます。エンドポイント IP とトラフィック IP を IPv6 のみにする必要がある場合は、新しいエンドポイントを作成する必要があります。
+ クライアント VPN は、作成後のエンドポイントタイプ (IPv4、IPv6、デュアルスタック) またはトラフィックタイプ (IPv4、IPv6、デュアルスタック) の変更をサポートしていません。
+ 特定のエンドポイントタイプとトラフィックタイプが組み合わされたクライアント VPN の変更はサポートされていません。他の組み合わせに変更することはできません。エンドポイントを削除し、必要な設定で再作成する必要があります。
+ IPv6 トラフィックのクライアント間通信はサポートされていません。

## クライアント VPN エンドポイントを変更する
<a name="endpoint-modify"></a>

コンソールまたは AWS CLI を使用して、クライアント VPN エンドポイントを変更できます。

**コンソールを使用してクライアント VPN エンドポイントを変更するには**

1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。

1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。

1. 変更するクライアント VPN エンドポイントを選択し、**[Action]** (アクション)、**[Modify Client VPN endpoint]** (クライアント VPN エンドポイントの変更) の順に選択します。

1. (オプション) **[説明]** で、クライアント VPN エンドポイントの簡単な説明を入力します。

1. **[エンドポイント IP アドレスタイプ]** では、既存の IPv4 エンドポイントをデュアルスタックに変更できます。このオプションは IPv4 エンドポイントでのみ使用できます。

1. **[トラフィック IP アドレスタイプ]** では、既存の IPv4 エンドポイントをデュアルスタックに変更できます。このオプションは IPv4 エンドポイントでのみ使用できます。

1. **[サーバー証明書 ARN]** に、サーバーによって使用される TLS 証明書の ARN を指定します。クライアントは、接続先のクライアント VPN エンドポイントを認証するためにサーバー証明書を使用します。
**注記**  
サーバー証明書は、クライアント VPN エンドポイントを作成しているリージョンの AWS Certificate Manager（ACM）に存在する必要があります。証明書は ACM でプロビジョニングするか、ACM にインポートすることができます。

1. Amazon CloudWatch Logs を使用してクライアント接続に関するデータをログに記録するかどうかを指定します。**[Enable log details on client connections]** (クライアント接続の詳細のログを有効にする) で、次のいずれかの操作を行います。
   + クライアント接続のログを有効にするには、**[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオンにします。**[CloudWatch Logs log group name]** (CloudWatch Logs ロググループ名) で、使用するロググループの名前を選択します。**[CloudWatch Logs log stream name]** (CloudWatch Logs ログストリーム名) で、使用するログストリームの名前を選択します。または、このオプションを空白のままにしておくと、ログストリームが自動的に作成されます。
   + クライアント接続のログを無効にするには、**[Enable log details on client connections]** (クライアント接続の詳細なログを有効にする) をオフにします。

1. **[Client connect handler]** (クライアント接続ハンドラー) で、[クライアント接続ハンドラー](connection-authorization.md)を有効にするには、**[Enable client connect handler]** (クライアント接続ハンドラーを有効にする) をオンにします。**[クライアント接続ハンドラー ARN]** で、接続を許可または拒否するロジックを含む Lambda 関数の Amazon リソースネーム (ARN) を指定します。

1. **[DNS サーバーを有効にする]** をオンまたはオフにします。カスタム DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** と **[DNS サーバー 2 IP アドレス]** に、使用する DNS サーバーの IPv4 アドレスを指定します。IPv6 またはデュアルスタックエンドポイントの場合、**[DNS サーバー IPv6 1]** と **[DNS サーバー IPv6 2]** のアドレスを指定することもできます。VPC DNS サーバーを使用するには、**[DNS サーバー 1 IP アドレス]** または **[DNS サーバー 2 IP アドレス]** のいずれかに IP アドレスを指定し、VPC DNS サーバー IP アドレスを追加します。
**注記**  
クライアントが DNS サーバーに到達できることを確認します。

1. **[スプリットトンネルを有効にする]** をオンまたはオフにします。デフォルトでは、VPN エンドポイントの分割トンネルは無効です。

1. **[VPC ID]** で、クライアント VPN エンドポイントに関連付ける VPC を選択します。**[セキュリティグループ ID]** で、クライアント VPN エンドポイントに適用する VPC のセキュリティグループを 1 つ以上選択します。

1. **[VPN ポート]** で、VPN ポート番号を選択します。デフォルトは 443 です。

1. クライアントの[セルフサービスポータルの URL](cvpn-self-service-portal.md) を生成するには、**[セルフサービスポータルを有効にする]** をオンにします。

1. **[セッションタイムアウト時間]** で、使用可能なオプションから目的の最大 VPN セッション継続時間 (時間単位) を選択するか、デフォルトの 24 時間のままに設定しておきます。

1. **[セッションタイムアウト時に接続を解除]** で、最大セッション時間に達したときにセッションを終了するかどうかを選択します。このオプションを選択すると、セッションがタイムアウトしたときに、ユーザーはエンドポイントに手動で再接続しなければならなくなります。このオプションを選択しない場合、クライアント VPN は自動的に再接続を試みます。

1. **[クライアントログインバナーを有効化]** をオンまたはオフにします。クライアントログインバナーを使用する場合は、VPN セッションが確立されたときに AWS が提供するクライアントのバナーに表示されるテキストを入力します。UTF-8 でエンコードされた文字のみ。最大 1400 文字。

1. **[クライアント VPN エンドポイントの変更]** を選択します。

**AWS CLI を使用してクライアント VPN エンドポイントを変更するには**  
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) コマンドを使用します。

IPv4 エンドポイントをデュアルスタックに変更する例:

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```

# AWS Client VPN エンドポイントを削除します
<a name="cvpn-working-endpoint-delete"></a>

クライアント VPN エンドポイントを削除する前に、すべてのターゲットネットワークの関連付けを解除する必要があります。クライアント VPN エンドポイントを削除すると、そのステータスは `deleting` に変わり、クライアントが接続できなくなります。

コンソールまたは を使用して、クライアント VPN エンドポイントを削除できますAWS CLI

**クライアント VPN エンドポイントを削除するには (コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。

1. 削除するクライアント VPN エンドポイントを選択します。**[Actions]** (アクション)、**[Delete Client VPN endpoint]** (クライアント VPN エンドポイントの削除) の順に選択します。

1. 確認ウィンドウに *delete* と入力して、**[Delete]** (削除) を選択します。

**クライアント VPN エンドポイントを削除するには (AWS CLI)**  
[delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html) コマンドを使用します。