翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Site-to-Site VPN接続を作成する
トランジットゲートウェイまたは Cloud WAN グローバルネットワークにアタッチする Site-to-Site VPN 接続を作成できます。どちらのアタッチメントタイプも IPv4 プロトコルと IPv6 プロトコルをサポートし、オプションで Site-to-Site VPN Concentrators を使用して複数のリモートサイトをコスト効率良く接続できます。
## コンソールを使用して VPN 接続を作成する
**コンソールを使用して VPN 接続を作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続の作成]** を選択します。
1. (オプション) **[名前タグ]** には、接続の名前を入力します。これにより、`Name` というキーと指定した値を含むタグが作成されます。
1. **ターゲットゲートウェイタイプ**で、次のいずれかを選択します。
+ **仮想プライベートゲートウェイ** - 既存の仮想プライベートゲートウェイを選択して、新しい**仮想プライベートゲートウェイ** VPN 接続を作成します。
+ **トランジットゲートウェイ** - 既存のトランジットゲートウェイを選択して、新しい**トランジットゲートウェイ** VPN 接続を作成します。Transit Gateway の作成の詳細については、*Amazon VPC Transit Gateway* の「[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。
+ **Site-to-Site VPN Concentrator** - 既存の Site-to-Site VPN Concentrator を使用するか、新しい接続を作成して、新しい Site-to-Site VPN Concentrator 接続を作成します。次のいずれかを選択します。
+ **既存** - 既存のコンセントレータを使用して、新しい Site-to-Site VPN コンセントレータ VPN 接続を作成します。
+ **新規** - Site-to-Site VPN コンセントレータのオプション名を入力し、関連付けるトランジットゲートウェイを選択します。
+ **関連付けられていない** - Network Manager コンソールまたは API を介して後で Cloud WAN に関連付けることができる、アタッチされていない VPN 接続を作成します。VPN アタッチメントと Cloud WAN の詳細については、[AWS「Cloud WAN ユーザーガイド」の「Cloud WAN のSite-to-site VPN アタッチメント](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)」を参照してください。 *AWS*
1. **[カスタマーゲートウェイ]** で、以下のいずれかを実行します。
+ 既存のカスタマーゲートウェイを使用するには、**[既存]** を選択してから、**[カスタマーゲートウェイ ID]** を選択します。
+ 新しいカスタマーゲートウェイを作成するには、**「新規**」を選択し、次の操作を行います。
+ **[IP アドレス]** に、**IPv4** または **IPv6** の固定アドレスを入力します。
+ (オプション) **[証明書 ARN]** で、プライベート証明書の ARN を選択します (証明書ベースの認証を使用している場合)。
+ **[BGP ASN]** に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。詳細については、「[カスタマーゲートウェイのオプション](cgw-options.md)」を参照してください。
1. **[ルーティングオプション]** で、**[動的 (BGP が必要)]** と **[静的]** のいずれかを選択します。
**注記**
コンセントレータを使用したクラウド WAN VPN 接続と VPN 接続は、BGP ルーティングのみをサポートします。これらの接続タイプでは、静的ルーティングはサポートされていません。
1. **[事前共有キーストレージ]** では、**[標準]** または **[Secrets Manager]** を選択します。デフォルトでは **[標準]** が選択されています。AWS Secrets Managerの使用の詳細については、「[セキュリティ](security.md)」を参照してください。
1. **[トンネル内部の IP バージョン]** で、**[IPv4]** または **[IPv6]** を選択します。
1. (オプション) **[アクセラレーションの有効化]** で、チェックボックスをオンにしてアクセラレーションを有効にします。詳細については、「[高速 VPN 接続](accelerated-vpn.md)」を参照してください。
アクセラレーションを有効にすると、VPN 接続で使用されるアクセラレーターが 2 つ作成されます。別途料金がかかります。
1. (オプション) 選択した IP バージョン内のトンネルに応じて、次のいずれかを実行します。
+ IPv4 — **[ローカル IPv4 ネットワーク CIDR]** で、VPN トンネルを介した通信を許可するカスタマーゲートウェイ (オンプレミス) 側の IPv4 CIDR 範囲を指定します。**リモート IPv4 ネットワーク CIDR** では、VPN トンネルを介した通信が許可されているAWS側の CIDR 範囲を選択します。いずれのフィールドもデフォルト値は `0.0.0.0/0` です。
+ IPv6 — **[ローカル IPv6 ネットワーク CIDR]** で、VPN トンネルを介した通信を許可するカスタマーゲートウェイ (オンプレミス) 側の IPv6 CIDR 範囲を指定します。**リモート IPv6 ネットワーク CIDR** では、VPN トンネルを介した通信が許可されているAWS側の CIDR 範囲を選択します。いずれのフィールドもデフォルト値は `::/0` です
1. **[IP アドレスのタイプ]** で、次のオプションのいずれかを選択します。
+ **パブリック IPv4** - (デフォルト) 外部トンネル IP に IPv4 アドレスを使用します。
+ **プライベート IPv4** - プライベートネットワーク内で使用するために、プライベート IPv4 アドレスを使用します。
+ **IPv6** - 外部トンネル IP に IPv6 アドレスを使用します。このオプションでは、カスタマーゲートウェイデバイスが IPv6 アドレスをサポートしている必要があります。
**注記**
外部 IP アドレスタイプに **[IPv6]** を選択した場合は、IPv6 アドレスを持つカスタマーゲートウェイを作成する必要があります。
1. (オプション) **[トンネル 1 オプション]** では、トンネルごとに次の情報を指定できます。
+ トンネル内部 IPv4 アドレスの `169.254.0.0/16` 範囲からサイズ /30 の IPv4 CIDR ブロック。
+ **[トンネル内部 IP バージョン]** で **[IPv6]** を指定した場合は、トンネル内部 IPv6 アドレスの `fd00::/8` 範囲から /126 の IPv6 CIDR ブロック。
+ IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。
+ トンネルの詳細オプションを編集するには、**[トンネルのオプションを編集する]** を選択します。詳細については、「[VPN トンネルオプション](VPNTunnels.md)」を参照してください。
+ (オプション) **[トンネルアクティビティログ]** の **[有効化]** を選択して、IPsec アクティビティと DPD プロトコルメッセージのログメッセージをキャプチャします。
+ (オプション) **[トンネルエンドポイントのライフサイクル]** で **[オンにする]** を選択して、エンドポイントの置き換えスケジュールを制御します。トンネルエンドポイントのライフサイクルの詳細については、「[トンネルエンドポイントのライフサイクル](tunnel-endpoint-lifecycle.md)」を参照してください。
1. (オプション) **[トンネル 2 オプション]** を選択し、前の手順に従って 2 番目のトンネルを設定します。
1. **[VPN 接続の作成]** を選択します。
# CLI または API を使用して AWS Site-to-Site VPN Transit Gateway 接続を作成する
## CLI を使用して Transit Gateway への VPN 接続を作成する
[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) コマンドを使用して、`--transit-gateway-id` オプションのトランジットゲートウェイ ID を指定します。
次の例は、IPv6 外部トンネル IPs と IPv6 内部トンネル IPsを使用して VPN 接続を作成する方法を示しています。
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
レスポンスの例:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## API を使用して Transit Gateway への VPN 接続を作成する
Amazon EC2 API を使用して VPN 接続を作成できます。このセクションでは、 API を使用して Transit Gateway VPN 接続を作成するためのリクエストおよびレスポンスメッセージの例を示します。
### 前提条件
API を使用して VPN 接続を作成する前に、以下を確認してください。
+ 作成され、利用可能なトランジットゲートウェイ
+ オンプレミスデバイスの詳細で設定されたカスタマーゲートウェイ
次の例は、 `CreateVpnConnection` API アクションを使用して VPN 接続を作成する方法を示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
この例では、指定されたトランジットゲートウェイとカスタマーゲートウェイ間の動的ルーティング (BGP) を使用して VPN 接続を作成します。
API レスポンスが成功すると、VPN 接続の詳細が返されます。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
レスポンスには、VPN 接続 ID、現在の状態、設定の詳細が含まれます。AWS が VPN トンネルをプロビジョニングしている間、接続は最初は「保留中」状態になります。
# CLI または API を使用して AWS Site-to-Site VPN Cloud WAN 接続を作成する
以下の手順に従って、オンプレミスと AWS クラウド WAN の間に Site-to-Site VPN 接続を作成できます。詳細については、[AWS 「 Cloud WAN ユーザーガイド」の「Cloud WAN のSite-to-site VPN アタッチメント](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)」を参照してください。 *AWS *
## CLI を使用して Cloud WAN への VPN 接続を作成する
[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) コマンドを使用して、後で Cloud WAN グローバルネットワークにアタッチされる VPN 接続を作成します。これにより、接続されていない VPN 接続が作成され、その後 Network Manager コンソールまたは API を介して Cloud WAN に関連付けることができます。
**前提条件**
Cloud WAN VPN 接続を作成する前に、以下があることを確認してください。
+ `customer-gateway-id` - オンプレミス VPN デバイスを表す既存のカスタマーゲートウェイリソース (`cgw-xxxxxxxxx`)。
+ **クラウド WAN グローバルネットワーク** - クラウド WAN グローバルネットワークは、適切なネットワークセグメントで作成および設定する必要があります。
+ **BGP 設定** - クラウド WAN VPN 接続には BGP ルーティングが必要です。静的ルーティングはサポートされていません。options パラメータ`StaticRoutesOnly=false`で を設定する必要があります
このコマンドは、ターゲットゲートウェイを指定せずに VPN 接続を作成します。接続はアタッチされていない状態になり、後で Network Manager コンソールまたは API を介して Cloud WAN グローバルネットワークに関連付けることができます。`StaticRoutesOnly=false` オプションは BGP ルーティングを有効にします。静的ルーティングはサポートされていないため、クラウド WAN VPN アタッチメントでは必須です。
次の例では、Cloud WAN のアタッチされていない VPN 接続を作成します。
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
レスポンスは以下を返します。
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
VPN 接続を作成したら、Network Manager コンソールまたは `create-site-to-site-vpn-attachment` API コールを使用して、それを Cloud WAN グローバルネットワークにアタッチできます。
## API を使用して VPN クラウド WAN 接続を作成する
EC2 API を使用して、クラウド WAN 統合用の VPN 接続を作成できます。これには、アタッチされていない VPN 接続を作成する `CreateVpnConnection` API コールの実行が含まれます。これは、Cloud WAN グローバルネットワークに関連付けることができます。
API リクエストは、ターゲットゲートウェイを指定せずに VPN 接続を作成し、Cloud WAN 統合の準備が整ったアタッチされていない状態のままにします。接続は、クラウド WAN VPN アタッチメントに必要な BGP ルーティングを使用します。
次の例は、Cloud WAN VPN 接続を作成する HTTP リクエストを示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
API は、VPN 接続の詳細を含む正常なレスポンスを返します。接続は最初は `pending`状態になりますが、 は VPN トンネルを AWS プロビジョニングし、その時点でステータスは に変わります`available`。
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**レスポンスの詳細**
API レスポンスは、次のキー情報を提供します。
+ **vpnConnectionId** - クラウド WAN にアタッチするために使用する VPN 接続の一意の識別子 (例: `vpn-0abcdef1234567890`)
+ **状態** - AWS が VPN トンネルをプロビジョニングしている間、最初は「保留中」になり、アタッチメントの準備ができたら「利用可能」に移行します。
+ **カテゴリ** - クラウド WAN 統合に適したアタッチされていない VPN 接続であることを示す「VPN」を示します
+ **staticRoutesOnly** - を「false」に設定して、クラウド WAN VPN アタッチメントに必要な BGP ルーティングを有効にします。
VPN 接続が「使用可能」状態になったら、Network Manager `CreateSiteToSiteVpnAttachment` API または AWS コンソールを使用して Cloud WAN グローバルネットワークにアタッチできます。
# CLI または API を使用して AWS Site-to-Site VPN コンセントレータ接続を作成する
## CLI を使用して Site-to-Site VPN コンセントレータ接続を作成する
Site-to-Site VPN コンセントレータを作成したら、リモートサイトから Site-to-Site VPN コンセントレータへの個別の VPN 接続を確立する必要があります。各リモートサイトには、Site-to-Site VPN コンセントレータ ID を参照する独自の VPN 接続が必要です。これにより、複数のリモートサイトが同じ Site-to-Site VPN Concentrator インフラストラクチャを共有しながら、サイトごとに個別の安全なトンネルを維持できます。
Site-to-Site VPN Concentrator を使用して VPN 接続を確立するには、VPN 接続の作成時にトランジットゲートウェイの代わりに Site-to-Site VPN Concentrator を指定します。次の例では、Site-to-Site VPN コンセントレータを使用して VPN 接続を作成します。
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
正常なレスポンスは、以下を返します。
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## API を使用して Site-to-Site VPN コンセントレータ接続を作成する
Amazon EC2 API を使用して、Site-to-Site VPN コンセントレータを使用する VPN 接続を作成できます。このセクションでは、Site-to-Site VPN Concentrator を使用して VPN 接続を作成するためのリクエストおよびレスポンスメッセージの例を示します。
API を使用して Site-to-Site VPN Concentrator との VPN 接続を作成する前に、以下を確認してください。
+ Site-to-Site VPN コンセントレータが作成および利用可能に
+ リモートサイト用に設定されたカスタマーゲートウェイ
+ サイトと AWS 間の IPsec トラフィックを許可するネットワーク設定
次の例は、 `CreateVpnConnection` API アクションで Site-to-Site VPN Concentrator を使用して VPN 接続を作成する方法を示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
この例では、指定された Site-to-Site VPN Concentrator とカスタマーゲートウェイの間に VPN 接続を作成します。Site-to-Site VPN Concentrator は AWS サイドエンドポイントとして機能し、複数のリモートサイトが一元化されたハブを介して接続できるようにします。
API レスポンスが成功すると、Site-to-Site VPN コンセントレータ情報を含む VPN 接続の詳細が返されます。
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
レスポンスには VPN 接続 ID が含まれ、トランジットゲートウェイ ID の代わりに Site-to-Site VPN コンセントレータ ID を参照します。この接続により、リモートサイトは同じ Site-to-Site VPN コンセントレータに接続されている他のサイトと通信できるため、hub-and-spokeのネットワークトポロジが可能になります。
# AWS Site-to-Site VPN接続の表示
## コンソールを使用して VPN 接続を表示する
AWS マネジメントコンソールを使用して、VPN 接続とその詳細を表示できます。これにより、接続ステータス、トンネルの状態、および設定の詳細をモニタリングするためのビジュアルインターフェイスが提供されます。
**コンソールを使用して VPN 接続を表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択すると、次のような詳細情報が表示されます。
+ 接続状態とステータス
+ トンネルの詳細とヘルスステータス
+ ルート情報
+ 設定パラメータ
コンソールにはリアルタイムのステータス情報が表示され、トンネル接続のモニタリング、ルーティングテーブルの表示、トラブルシューティングの設定詳細へのアクセスを行うことができます。
## CLI を使用して VPN 接続を表示する
AWS CLI を使用して、VPN 接続に関する詳細情報をプログラムでクエリおよび取得します。この方法により、自動化、スクリプト作成、モニタリングツールとの統合が可能になります。
現在の AWS アカウントとリージョンのすべての VPN 接続をクエリするには、パラメータなしで `describe-vpn-connections` コマンドを実行します。ただし、特定の VPN 接続の詳細を表示する場合は、VPN 接続 ID を知る必要があります。
特定の VPN 接続の詳細情報を取得するには、パラメータとして接続 ID を指定します。次の例は、特定の VPN 接続に関する詳細を表示するリクエストを示しています。
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
レスポンスには、トンネルオプション、ルーティングの詳細、現在のステータスなど、VPN 接続に関する包括的な情報が含まれます。
+ `State` - VPN 接続の現在の状態
+ `TunnelOptions` - 各トンネルの設定とステータス
+ `OutsideIpAddress` - VPN トンネルのパブリック IP アドレス
+ `Routes` - 接続のルーティング情報
キー接続の詳細を示すレスポンスの抜粋例:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## API を使用して VPN 接続を表示する
VPN 接続情報を取得するには、Amazon EC2 サービスに直接 API 呼び出しを行います。このアプローチは、カスタムアプリケーションとプログラムによる統合に最大限の柔軟性を提供します。
`DescribeVpnConnections` API アクションは、1 つ以上の VPN 接続に関する詳細情報をクエリして返します。接続 ID、状態、またはその他の属性でフィルターを適用して、結果を絞り込むことができます。
以下は、単一の VPN 接続に関する詳細を提供するリクエストの例です。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
レスポンスは、その VPN 接続に関する詳細を返します。
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```