翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Site-to-Site VPN トンネル認証オプション
<a name="vpn-tunnel-authentication-options"></a>

事前共有キーまたは証明書を使用して、Site-to-Site VPN トンネルエンドポイントを認証できます。

## 事前共有キー
<a name="pre-shared-keys"></a>

Site-to-Site VPN トンネルのデフォルトの認証オプションは、事前共有キー (PSK) です。トンネルを作成する場合、独自の PSK を指定するか、AWS に自動生成を許可できます。PSK は以下のいずれかの方法を使用して保存します。
+ Site-to-Site VPN サービスに直接保存する。詳細については、「[AWS Site-to-Site VPN カスタマーゲートウェイデバイス](your-cgw.md)」を参照してください。
+ セキュリティを強化するため、AWS Secrets Manager に保存する。Secrets Manager の使用に関する詳細は「[Secrets Manager を使用したセキュリティ機能の強化](enhanced-security.md)」を参照してください。

PSK 文字列はその後、カスタマーゲートウェイデバイスを設定するときに使用されます。

## からのプライベート証明書AWS Private Certificate Authority
<a name="certificate"></a>

事前共有キーを使用しない場合は、AWS Private Certificate Authority からのプライベート証明書を使用して VPN を認証できます。

AWS Private Certificate Authority (AWS Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するために、ACM ルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、*AWS Private Certificate Authority ユーザーガイド*の「[プライベート CA の作成と管理](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)」を参照してください。

Site-to-Site VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、サービスリンクロールを作成する必要があります。詳細については、「[Site-to-Site VPN のサービスにリンクされたロール](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)」を参照してください。

**注記**  
シームレスな証明書ローテーションを容易に行えるように、`CreateCustomerGateway` API コールで最初に指定されたものと同じ認証局チェーンを持つ証明書があれば、VPN 接続を確立できるようになっています。

カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN 接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。

Site-to-Site VPN は、証明書 VPN を作成するときにカスタマーゲートウェイ証明書に対して証明書チェーン検証を実行します。Site-to-Site VPN は、基本的な CA と有効性チェックに加えて、権限キー識別子、サブジェクトキー識別子、基本制約など、X.509 拡張機能が存在するかどうかを確認します。