翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の使用AWS Site-to-Site VPN
Amazon VPC コンソールまたはAWS CLIを使用して、Site-to-Site VPN リソースを操作できます。
**Topics**
+ [VPN コンセントレータの作成と管理](create-manage-vpn-concentrators.md)
+ [VPN 接続を作成する](create-vpn-connection.md)
+ [VPN 接続をテストする](HowToTestEndToEnd_Linux.md)
+ [VPN 接続とゲートウェイを削除する](delete-vpn.md)
+ [VPN 接続のターゲットゲートウェイを変更する](modify-vpn-target.md)
+ [VPN 接続オプションを変更する](modify-vpn-connection-options.md)
+ [VPN トンネルオプションを変更する](modify-vpn-tunnel-options.md)
+ [VPN 接続の静的ルートを編集する](vpn-edit-static-routes.md)
+ [VPN 接続のカスタマーゲートウェイを変更する](change-vpn-cgw.md)
+ [漏洩した認証情報を置き換える](CompromisedCredentials.md)
+ [VPN トンネルエンドポイント証明書をローテーションする](rotate-vpn-certificate.md)
+ [Direct Connect を使用したプライベート IP VPN](private-ip-dx.md)
# AWS Site-to-Site VPNコンセントレータの作成と管理
Site-to-Site VPN コンセントレータを使用すると、リモートサイトからの複数の VPN 接続を集約および管理できるため、一元管理が可能です。
Site-to-Site VPN コンセントレータを作成したら、Amazon VPC コンソールの Site-to-Site VPN コンセントレータのメインページから表示および管理できます。このダッシュボードには、AWS とリモートサイト間の安全な接続を管理するすべてのアクティブな VPN コンセントレータが表示されます。
**Topics**
+ [VPN コンセントレータを作成する](create-vpn-concentrator.md)
+ [VPN コンセントレータタグの管理](manage-vpn-concentrator-tags.md)
+ [VPN コンセントレータを削除する](delete-vpn-concentrator.md)
# AWS Site-to-Site VPN コンセントレータを作成する
Amazon VPC コンソール、 APIs、または を使用してコンセントレータを作成します AWS CLI。コンセントレータを作成する前に、まずコンセントレータに関連付けるトランジットゲートウェイを作成しておく必要があります。トランジットゲートウェイの作成の詳細については、Amazon VPC Transit [Gateway ガイド](https://docs.aws.amazon.com/vpc/latest/tgw/create-tgw.html)の「トランジットゲートウェイの作成」を参照してください。 * AWS *
## コンソールを使用して Site-to-Site VPN コンセントレータを作成する
AWS マネジメントコンソールを使用して Site-to-Site VPN コンセントレータを作成するには、次の手順に従います。
**コンソールを使用して Site-to-Site VPN コンセントレータを作成するには**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**Site-to-Site VPN コンセントレータ**を選択します。
1. **Site-to-Site VPN コンセントレータの作成**を選択します。
1. (オプション) **Name タグ**に、Site-to-Site VPN Concentrator の名前を入力します。
1. **Transit Gateway** で、既存の Transit Gateway を選択します。
1. (オプション) Site-to-Site VPN コンセントレータを識別して整理するのに役立つタグを追加します。
1. [**新しいタグを追加**] をクリックします。
1. **Key** には、タグキー ( など**Name**) を入力します。
1. **Value** には、タグ値 ( など**Production-VPN-Concentrator**) を入力します。
1. 必要に応じてタグを追加するには、前のステップを繰り返します。
1. **Site-to-Site VPN コンセントレータの作成**を選択します。
作成後、Site-to-Site VPN コンセントレータはプロビジョニング中に `pending`状態になります。準備が完了すると、 状態は に変わり`available`、Site-to-Site VPN コンセントレータを使用する VPN 接続の作成を開始できます。
## CLI を使用して Site-to-Site VPN コンセントレータを作成する
CLI を使用して Site-to-Site VPN コンセントレータを作成する前に、以下があることを確認してください。
+ AWS アカウント内の既存の Transit Gateway
+ Site-to-Site VPN コンセントレータを作成するための適切な IAM アクセス許可
+ コンセントレータをアタッチする Transit Gateway の ID
次の の例では、指定されたトランジットゲートウェイの Site-to-Site VPN コンセントレータを作成します。
```
aws ec2 create-vpn-concentrator --transit-gateway-id tgw-123456789
```
以下は、成功したレスポンスを示しています。
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "pending",
"TransitGatewayId": "tgw-123456789",
"CreationTime": "2025-09-29T17:26:31.000Z",
"Tags": []
}
}
```
## API を使用して Site-to-Site VPN コンセントレータを作成する
CreateVpnConcentrators API を使用して Site-to-Site VPN Concentrator を作成できます。 CreateVpnConcentrators
API は、次のキーパラメータを受け入れます。
`TransitGatewayId`
Site-to-Site VPN コンセントレータをアタッチする Transit Gateway の ID。
`TagSpecification`
リソースの整理と請求のために Site-to-Site VPN コンセントレータに割り当てるタグ。
次の例は、Transit Gateway にアタッチされた Site-to-Site VPN コンセントレータを作成する方法を示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConcentrator
&Version=2016-11-15
&TransitGatewayId=tgw-0123456789abcdef0
&TagSpecification.1.ResourceType=vpn-concentrator
&TagSpecification.1.Tag.1.Key=Name
&TagSpecification.1.Tag.1.Value=MyVpnConcentrator
```
正常に作成されると、API は新しく作成された Site-to-Site VPN Concentrator の詳細を返します。
```
12345678-1234-1234-1234-123456789012
vcn-0123456789abcdef0
pending
tgw-0123456789abcdef0
2024-01-15T10:30:00.000Z
-
Name
MyVpnConcentrator
```
# AWS Site-to-Site VPNコンセントレータタグの管理
タグは、Site-to-Site VPN コンセントレータの整理と管理に役立つキーと値のペアです。タグを使用して、目的、環境、コストセンター、または組織にとって意味のあるその他の基準別に Site-to-Site VPN コンセントレータを分類できます。
## コンソールを使用してタグを管理する
Site-to-Site VPN コンセントレータのタグを追加または削除するには、AWSマネジメントコンソールを使用します。
**Site-to-Site VPN コンセントレータにタグを追加するには**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**Site-to-Site VPN コンセントレータ**を選択します。
1. タグを付ける Site-to-Site VPN コンセントレータを選択します。
1. **[タグ]** タブを選択します。
1. **[タグを管理]** を選択します。
1. **新しいタグを追加**を選択します。
1. **Key** には、タグキー ( など**Environment**) を入力します。
1. **Value** には、タグ値 ( など**Production**) を入力します。
1. **[Save changes]** (変更の保存) をクリックします。
**Site-to-Site VPN コンセントレータからタグを削除するには**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**Site-to-Site VPN コンセントレータを選択します。**
1. タグを削除する Site-to-Site VPN コンセントレータを選択します。
1. **[タグ]** タブを選択します。
1. **[タグを管理]** を選択します。
1. 削除するタグごとに、**削除**を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
## CLI を使用してタグを管理する
を使用してタグを追加、変更、または削除できますAWS CLI。
**タグの追加**
次の例では、Site-to-Site VPN コンセントレータにタグを追加します。
```
aws ec2 create-tags --resources vcn-0123456789abcdef0 --tags Key=Environment,Value=Production Key=Team,Value=NetworkOps
```
このコマンドは、成功時に出力を返しません。
**タグを表示する**
次の例では、Site-to-Site VPN コンセントレータのタグについて説明します。
```
aws ec2 describe-tags --filters "Name=resource-id,Values=vcn-0123456789abcdef0"
```
次のレスポンスが返されます。
```
{
"Tags": [
{
"Key": "Environment",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "Production"
},
{
"Key": "Team",
"ResourceId": "vcn-0123456789abcdef0",
"ResourceType": "vpn-concentrator",
"Value": "NetworkOps"
}
]
}
```
**タグを削除する**
次の の例では、Site-to-Site VPN コンセントレータからタグを削除します。
```
aws ec2 delete-tags --resources vcn-0123456789abcdef0 --tags Key=Environment Key=Team
```
このコマンドは、成功時に出力を返しません。
## API を使用してタグを管理する
Amazon EC2 API オペレーションを使用してSite-to-Site VPN コンセントレータタグをプログラムで管理できます。
**CreateTags**
`CreateTags` オペレーションを使用してタグを追加または更新します。
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.1.Value=Production
&Tag.2.Key=Team
&Tag.2.Value=NetworkOps
&Version=2016-11-15
```
次のレスポンスが返されます。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
**タグの説明**
`DescribeTags` オペレーションを使用してタグを取得します。
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DescribeTags
&Filter.1.Name=resource-id
&Filter.1.Value.1=vcn-0123456789abcdef0
&Version=2016-11-15
```
次のレスポンスが返されます。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
-
vcn-0123456789abcdef0
vpn-concentrator
Environment
Production
-
vcn-0123456789abcdef0
vpn-concentrator
Team
NetworkOps
```
**DeleteTags**
`DeleteTags` オペレーションを使用してタグを削除します。
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteTags
&ResourceId.1=vcn-0123456789abcdef0
&Tag.1.Key=Environment
&Tag.2.Key=Team
&Version=2016-11-15
```
次のレスポンスが返されます。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
true
```
# AWS Site-to-Site VPN コンセントレータを削除する
Site-to-Site VPN コンセントレータが不要になった場合は、それを削除して料金の発生を停止できます。Site-to-Site VPN コンセントレータを削除すると、それと関連するすべての設定が完全に削除されます。
## 前提条件
Site-to-Site VPN コンセントレータを削除する前に、以下を確認してください。
+ Site-to-Site VPN コンセントレータに関連付けられたすべての VPN 接続が削除されます。
+ Site-to-Site VPN コンセントレータ () を削除するために必要なアクセス許可があります`ec2:DeleteVpnConcentrator`。
## コンソールを使用して Site-to-Site VPN コンセントレータを削除する
**Site-to-Site VPN コンセントレータを削除するには**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) で Amazon VPC コンソールを開きます。
1. ナビゲーションペインで、**Site-to-Site Concentrators** を選択します。
1. 削除する Site-to-Site VPN コンセントレータを選択します。
1. **アクション**を選択し、**Site-to-Site VPN コンセントレータの削除**を選択します。
1. 確認ダイアログで、**delete** と入力して削除を確認します。
1. **[削除]** を選択します。
## CLI を使用して Site-to-Site VPN コンセントレータを削除する
`delete-vpn-concentrator` コマンドを使用して、Site-to-Site VPN コンセントレータを削除します。削除するには`vpn-concentrator-id`、 が必要です。
次の の例では、Site-to-Site VPN コンセントレータを削除します。
```
aws ec2 delete-vpn-concentrator --vpn-concentrator-id vcn-0123456789abcdef0
```
次のレスポンスが返されます。
```
{
"VpnConcentrator": {
"VpnConcentratorId": "vcn-0123456789abcdef0",
"State": "deleting",
"Message": "The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account."
}
}
```
## API を使用して Site-to-Site VPN コンセントレータを削除する
Site-to-Site VPN コンセントレータを削除するには、 `DeleteVpnConcentrator`オペレーションを使用します。削除するには`VpnConcentratorId`、 が必要です。
次の の例では、Site-to-Site VPN コンセントレータを削除します。
```
POST / HTTP/1.1
Host: ec2.region.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=DeleteVpnConcentrator
&VpnConcentratorId=vcn-0123456789abcdef0
&Version=2016-11-15
```
次のレスポンスが返されます。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vcn-0123456789abcdef0
deleting
The Site-to-Site VPN Concentrator vcn-0123456789abcdef0 is being deleted and will be removed from your account.
```
# AWS Site-to-Site VPN接続を作成する
トランジットゲートウェイまたは Cloud WAN グローバルネットワークにアタッチする Site-to-Site VPN 接続を作成できます。どちらのアタッチメントタイプも IPv4 プロトコルと IPv6 プロトコルをサポートし、オプションで Site-to-Site VPN Concentrators を使用して複数のリモートサイトをコスト効率良く接続できます。
## コンソールを使用して VPN 接続を作成する
**コンソールを使用して VPN 接続を作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. **[VPN 接続の作成]** を選択します。
1. (オプション) **[名前タグ]** には、接続の名前を入力します。これにより、`Name` というキーと指定した値を含むタグが作成されます。
1. **ターゲットゲートウェイタイプ**で、次のいずれかを選択します。
+ **仮想プライベートゲートウェイ** - 既存の仮想プライベートゲートウェイを選択して、新しい**仮想プライベートゲートウェイ** VPN 接続を作成します。
+ **トランジットゲートウェイ** - 既存のトランジットゲートウェイを選択して、新しい**トランジットゲートウェイ** VPN 接続を作成します。Transit Gateway の作成の詳細については、*Amazon VPC Transit Gateway* の「[Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。
+ **Site-to-Site VPN Concentrator** - 既存の Site-to-Site VPN Concentrator を使用するか、新しい接続を作成して、新しい Site-to-Site VPN Concentrator 接続を作成します。次のいずれかを選択します。
+ **既存** - 既存のコンセントレータを使用して、新しい Site-to-Site VPN コンセントレータ VPN 接続を作成します。
+ **新規** - Site-to-Site VPN コンセントレータのオプション名を入力し、関連付けるトランジットゲートウェイを選択します。
+ **関連付けられていない** - Network Manager コンソールまたは API を介して後で Cloud WAN に関連付けることができる、アタッチされていない VPN 接続を作成します。VPN アタッチメントと Cloud WAN の詳細については、[AWS「Cloud WAN ユーザーガイド」の「Cloud WAN のSite-to-site VPN アタッチメント](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)」を参照してください。 *AWS*
1. **[カスタマーゲートウェイ]** で、以下のいずれかを実行します。
+ 既存のカスタマーゲートウェイを使用するには、**[既存]** を選択してから、**[カスタマーゲートウェイ ID]** を選択します。
+ 新しいカスタマーゲートウェイを作成するには、**「新規**」を選択し、次の操作を行います。
+ **[IP アドレス]** に、**IPv4** または **IPv6** の固定アドレスを入力します。
+ (オプション) **[証明書 ARN]** で、プライベート証明書の ARN を選択します (証明書ベースの認証を使用している場合)。
+ **[BGP ASN]** に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。詳細については、「[カスタマーゲートウェイのオプション](cgw-options.md)」を参照してください。
1. **[ルーティングオプション]** で、**[動的 (BGP が必要)]** と **[静的]** のいずれかを選択します。
**注記**
コンセントレータを使用したクラウド WAN VPN 接続と VPN 接続は、BGP ルーティングのみをサポートします。これらの接続タイプでは、静的ルーティングはサポートされていません。
1. **[事前共有キーストレージ]** では、**[標準]** または **[Secrets Manager]** を選択します。デフォルトでは **[標準]** が選択されています。AWS Secrets Managerの使用の詳細については、「[セキュリティ](security.md)」を参照してください。
1. **[トンネル内部の IP バージョン]** で、**[IPv4]** または **[IPv6]** を選択します。
1. (オプション) **[アクセラレーションの有効化]** で、チェックボックスをオンにしてアクセラレーションを有効にします。詳細については、「[高速 VPN 接続](accelerated-vpn.md)」を参照してください。
アクセラレーションを有効にすると、VPN 接続で使用されるアクセラレーターが 2 つ作成されます。別途料金がかかります。
1. (オプション) 選択した IP バージョン内のトンネルに応じて、次のいずれかを実行します。
+ IPv4 — **[ローカル IPv4 ネットワーク CIDR]** で、VPN トンネルを介した通信を許可するカスタマーゲートウェイ (オンプレミス) 側の IPv4 CIDR 範囲を指定します。**リモート IPv4 ネットワーク CIDR** では、VPN トンネルを介した通信が許可されているAWS側の CIDR 範囲を選択します。いずれのフィールドもデフォルト値は `0.0.0.0/0` です。
+ IPv6 — **[ローカル IPv6 ネットワーク CIDR]** で、VPN トンネルを介した通信を許可するカスタマーゲートウェイ (オンプレミス) 側の IPv6 CIDR 範囲を指定します。**リモート IPv6 ネットワーク CIDR** では、VPN トンネルを介した通信が許可されているAWS側の CIDR 範囲を選択します。いずれのフィールドもデフォルト値は `::/0` です
1. **[IP アドレスのタイプ]** で、次のオプションのいずれかを選択します。
+ **パブリック IPv4** - (デフォルト) 外部トンネル IP に IPv4 アドレスを使用します。
+ **プライベート IPv4** - プライベートネットワーク内で使用するために、プライベート IPv4 アドレスを使用します。
+ **IPv6** - 外部トンネル IP に IPv6 アドレスを使用します。このオプションでは、カスタマーゲートウェイデバイスが IPv6 アドレスをサポートしている必要があります。
**注記**
外部 IP アドレスタイプに **[IPv6]** を選択した場合は、IPv6 アドレスを持つカスタマーゲートウェイを作成する必要があります。
1. (オプション) **[トンネル 1 オプション]** では、トンネルごとに次の情報を指定できます。
+ トンネル内部 IPv4 アドレスの `169.254.0.0/16` 範囲からサイズ /30 の IPv4 CIDR ブロック。
+ **[トンネル内部 IP バージョン]** で **[IPv6]** を指定した場合は、トンネル内部 IPv6 アドレスの `fd00::/8` 範囲から /126 の IPv6 CIDR ブロック。
+ IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。
+ トンネルの詳細オプションを編集するには、**[トンネルのオプションを編集する]** を選択します。詳細については、「[VPN トンネルオプション](VPNTunnels.md)」を参照してください。
+ (オプション) **[トンネルアクティビティログ]** の **[有効化]** を選択して、IPsec アクティビティと DPD プロトコルメッセージのログメッセージをキャプチャします。
+ (オプション) **[トンネルエンドポイントのライフサイクル]** で **[オンにする]** を選択して、エンドポイントの置き換えスケジュールを制御します。トンネルエンドポイントのライフサイクルの詳細については、「[トンネルエンドポイントのライフサイクル](tunnel-endpoint-lifecycle.md)」を参照してください。
1. (オプション) **[トンネル 2 オプション]** を選択し、前の手順に従って 2 番目のトンネルを設定します。
1. **[VPN 接続の作成]** を選択します。
# CLI または API を使用して AWS Site-to-Site VPN Transit Gateway 接続を作成する
## CLI を使用して Transit Gateway への VPN 接続を作成する
[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) コマンドを使用して、`--transit-gateway-id` オプションのトランジットゲートウェイ ID を指定します。
次の例は、IPv6 外部トンネル IPs と IPv6 内部トンネル IPsを使用して VPN 接続を作成する方法を示しています。
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--transit-gateway-id tgw-12312312312312312 \
--customer-gateway-id cgw-001122334455aabbc \
--options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
```
レスポンスの例:
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-001122334455aabbc",
"Type": "ipsec.1",
"TransitGatewayId": "tgw-12312312312312312",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false,
"OutsideIPAddressType": "Ipv6",
"TunnelInsideIpVersion": "ipv6"
}
}
}
```
## API を使用して Transit Gateway への VPN 接続を作成する
Amazon EC2 API を使用して VPN 接続を作成できます。このセクションでは、 API を使用して Transit Gateway VPN 接続を作成するためのリクエストおよびレスポンスメッセージの例を示します。
### 前提条件
API を使用して VPN 接続を作成する前に、以下を確認してください。
+ 作成され、利用可能なトランジットゲートウェイ
+ オンプレミスデバイスの詳細で設定されたカスタマーゲートウェイ
次の例は、 `CreateVpnConnection` API アクションを使用して VPN 接続を作成する方法を示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&TransitGatewayId=tgw-12345678901234567
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
この例では、指定されたトランジットゲートウェイとカスタマーゲートウェイ間の動的ルーティング (BGP) を使用して VPN 接続を作成します。
API レスポンスが成功すると、VPN 接続の詳細が返されます。
```
7a62c49f-347e-4fc4-9331-6e8eEXAMPLE
vpn-1a2b3c4d5e6f78901
pending
cgw-12345678901234567
ipsec.1
tgw-12345678901234567
VPN
false
```
レスポンスには、VPN 接続 ID、現在の状態、設定の詳細が含まれます。AWS が VPN トンネルをプロビジョニングしている間、接続は最初は「保留中」状態になります。
# CLI または API を使用して AWS Site-to-Site VPN Cloud WAN 接続を作成する
以下の手順に従って、オンプレミスと AWS クラウド WAN の間に Site-to-Site VPN 接続を作成できます。詳細については、[AWS 「 Cloud WAN ユーザーガイド」の「Cloud WAN のSite-to-site VPN アタッチメント](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-s2s-vpn-attachment.html)」を参照してください。 *AWS *
## CLI を使用して Cloud WAN への VPN 接続を作成する
[create-vpn-connection](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpn-connection.html) コマンドを使用して、後で Cloud WAN グローバルネットワークにアタッチされる VPN 接続を作成します。これにより、接続されていない VPN 接続が作成され、その後 Network Manager コンソールまたは API を介して Cloud WAN に関連付けることができます。
**前提条件**
Cloud WAN VPN 接続を作成する前に、以下があることを確認してください。
+ `customer-gateway-id` - オンプレミス VPN デバイスを表す既存のカスタマーゲートウェイリソース (`cgw-xxxxxxxxx`)。
+ **クラウド WAN グローバルネットワーク** - クラウド WAN グローバルネットワークは、適切なネットワークセグメントで作成および設定する必要があります。
+ **BGP 設定** - クラウド WAN VPN 接続には BGP ルーティングが必要です。静的ルーティングはサポートされていません。options パラメータ`StaticRoutesOnly=false`で を設定する必要があります
このコマンドは、ターゲットゲートウェイを指定せずに VPN 接続を作成します。接続はアタッチされていない状態になり、後で Network Manager コンソールまたは API を介して Cloud WAN グローバルネットワークに関連付けることができます。`StaticRoutesOnly=false` オプションは BGP ルーティングを有効にします。静的ルーティングはサポートされていないため、クラウド WAN VPN アタッチメントでは必須です。
次の例では、Cloud WAN のアタッチされていない VPN 接続を作成します。
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-0123456789abcdef0 \
--options StaticRoutesOnly=false
```
レスポンスは以下を返します。
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-0123456789abcdef0",
"Type": "ipsec.1",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
VPN 接続を作成したら、Network Manager コンソールまたは `create-site-to-site-vpn-attachment` API コールを使用して、それを Cloud WAN グローバルネットワークにアタッチできます。
## API を使用して VPN クラウド WAN 接続を作成する
EC2 API を使用して、クラウド WAN 統合用の VPN 接続を作成できます。これには、アタッチされていない VPN 接続を作成する `CreateVpnConnection` API コールの実行が含まれます。これは、Cloud WAN グローバルネットワークに関連付けることができます。
API リクエストは、ターゲットゲートウェイを指定せずに VPN 接続を作成し、Cloud WAN 統合の準備が整ったアタッチされていない状態のままにします。接続は、クラウド WAN VPN アタッチメントに必要な BGP ルーティングを使用します。
次の例は、Cloud WAN VPN 接続を作成する HTTP リクエストを示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=...
Action=CreateVpnConnection
&Type=ipsec.1
&CustomerGatewayId=cgw-0123456789abcdef0
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
API は、VPN 接続の詳細を含む正常なレスポンスを返します。接続は最初は `pending`状態になりますが、 は VPN トンネルを AWS プロビジョニングし、その時点でステータスは に変わります`available`。
```
12345678-1234-1234-1234-123456789012
vpn-0abcdef1234567890
pending
cgw-0123456789abcdef0
ipsec.1
VPN
false
```
**レスポンスの詳細**
API レスポンスは、次のキー情報を提供します。
+ **vpnConnectionId** - クラウド WAN にアタッチするために使用する VPN 接続の一意の識別子 (例: `vpn-0abcdef1234567890`)
+ **状態** - AWS が VPN トンネルをプロビジョニングしている間、最初は「保留中」になり、アタッチメントの準備ができたら「利用可能」に移行します。
+ **カテゴリ** - クラウド WAN 統合に適したアタッチされていない VPN 接続であることを示す「VPN」を示します
+ **staticRoutesOnly** - を「false」に設定して、クラウド WAN VPN アタッチメントに必要な BGP ルーティングを有効にします。
VPN 接続が「使用可能」状態になったら、Network Manager `CreateSiteToSiteVpnAttachment` API または AWS コンソールを使用して Cloud WAN グローバルネットワークにアタッチできます。
# CLI または API を使用して AWS Site-to-Site VPN コンセントレータ接続を作成する
## CLI を使用して Site-to-Site VPN コンセントレータ接続を作成する
Site-to-Site VPN コンセントレータを作成したら、リモートサイトから Site-to-Site VPN コンセントレータへの個別の VPN 接続を確立する必要があります。各リモートサイトには、Site-to-Site VPN コンセントレータ ID を参照する独自の VPN 接続が必要です。これにより、複数のリモートサイトが同じ Site-to-Site VPN Concentrator インフラストラクチャを共有しながら、サイトごとに個別の安全なトンネルを維持できます。
Site-to-Site VPN Concentrator を使用して VPN 接続を確立するには、VPN 接続の作成時にトランジットゲートウェイの代わりに Site-to-Site VPN Concentrator を指定します。次の例では、Site-to-Site VPN コンセントレータを使用して VPN 接続を作成します。
```
aws ec2 create-vpn-connection \
--type ipsec.1 \
--customer-gateway-id cgw-123456789 \
--vpn-concentrator-id vcn-0123456789abcdef0
```
正常なレスポンスは、以下を返します。
```
{
"VpnConnection": {
"VpnConnectionId": "vpn-0abcdef1234567890",
"State": "pending",
"CustomerGatewayId": "cgw-123456789",
"Type": "ipsec.1",
"VpnConcentratorId": "vcn-0123456789abcdef0",
"Category": "VPN",
"Routes": [],
"Options": {
"StaticRoutesOnly": false
}
}
}
```
## API を使用して Site-to-Site VPN コンセントレータ接続を作成する
Amazon EC2 API を使用して、Site-to-Site VPN コンセントレータを使用する VPN 接続を作成できます。このセクションでは、Site-to-Site VPN Concentrator を使用して VPN 接続を作成するためのリクエストおよびレスポンスメッセージの例を示します。
API を使用して Site-to-Site VPN Concentrator との VPN 接続を作成する前に、以下を確認してください。
+ Site-to-Site VPN コンセントレータが作成および利用可能に
+ リモートサイト用に設定されたカスタマーゲートウェイ
+ サイトと AWS 間の IPsec トラフィックを許可するネットワーク設定
次の例は、 `CreateVpnConnection` API アクションで Site-to-Site VPN Concentrator を使用して VPN 接続を作成する方法を示しています。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Action=CreateVpnConnection
&Type=ipsec.1
&VpnConcentratorId=vcn-0123456789abcdef0
&CustomerGatewayId=cgw-12345678901234567
&Options.StaticRoutesOnly=false
&Version=2016-11-15
```
この例では、指定された Site-to-Site VPN Concentrator とカスタマーゲートウェイの間に VPN 接続を作成します。Site-to-Site VPN Concentrator は AWS サイドエンドポイントとして機能し、複数のリモートサイトが一元化されたハブを介して接続できるようにします。
API レスポンスが成功すると、Site-to-Site VPN コンセントレータ情報を含む VPN 接続の詳細が返されます。
```
8b73d60f-458f-5gc5-a442-7f9fEXAMPLE
vpn-9z8y7x6w5v4u32109
pending
cgw-12345678901234567
ipsec.1
vcn-0123456789abcdef0
VPN
false
```
レスポンスには VPN 接続 ID が含まれ、トランジットゲートウェイ ID の代わりに Site-to-Site VPN コンセントレータ ID を参照します。この接続により、リモートサイトは同じ Site-to-Site VPN コンセントレータに接続されている他のサイトと通信できるため、hub-and-spokeのネットワークトポロジが可能になります。
# AWS Site-to-Site VPN接続の表示
## コンソールを使用して VPN 接続を表示する
AWS マネジメントコンソールを使用して、VPN 接続とその詳細を表示できます。これにより、接続ステータス、トンネルの状態、および設定の詳細をモニタリングするためのビジュアルインターフェイスが提供されます。
**コンソールを使用して VPN 接続を表示するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択すると、次のような詳細情報が表示されます。
+ 接続状態とステータス
+ トンネルの詳細とヘルスステータス
+ ルート情報
+ 設定パラメータ
コンソールにはリアルタイムのステータス情報が表示され、トンネル接続のモニタリング、ルーティングテーブルの表示、トラブルシューティングの設定詳細へのアクセスを行うことができます。
## CLI を使用して VPN 接続を表示する
AWS CLI を使用して、VPN 接続に関する詳細情報をプログラムでクエリおよび取得します。この方法により、自動化、スクリプト作成、モニタリングツールとの統合が可能になります。
現在の AWS アカウントとリージョンのすべての VPN 接続をクエリするには、パラメータなしで `describe-vpn-connections` コマンドを実行します。ただし、特定の VPN 接続の詳細を表示する場合は、VPN 接続 ID を知る必要があります。
特定の VPN 接続の詳細情報を取得するには、パラメータとして接続 ID を指定します。次の例は、特定の VPN 接続に関する詳細を表示するリクエストを示しています。
```
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1234567890abcdef0
```
レスポンスには、トンネルオプション、ルーティングの詳細、現在のステータスなど、VPN 接続に関する包括的な情報が含まれます。
+ `State` - VPN 接続の現在の状態
+ `TunnelOptions` - 各トンネルの設定とステータス
+ `OutsideIpAddress` - VPN トンネルのパブリック IP アドレス
+ `Routes` - 接続のルーティング情報
キー接続の詳細を示すレスポンスの抜粋例:
```
{
"VpnConnections": [
{
"VpnConnectionId": "vpn-1234567890abcdef0",
"State": "available",
"CustomerGatewayId": "cgw-1234567890abcdef0",
"Type": "ipsec.1",
"Options": {
"StaticRoutesOnly": false,
"TunnelOptions": [
{
"OutsideIpAddress": "203.0.113.12",
"TunnelInsideCidr": "169.254.10.0/30",
"PreSharedKey": "example_key_1234567890abcdef0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
},
{
"OutsideIpAddress": "203.0.113.34",
"TunnelInsideCidr": "169.254.11.0/30",
"PreSharedKey": "example_key_0987654321fedcba0",
"Phase1LifetimeSeconds": 28800,
"Phase2LifetimeSeconds": 3600
}
]
}
}
]
}
```
## API を使用して VPN 接続を表示する
VPN 接続情報を取得するには、Amazon EC2 サービスに直接 API 呼び出しを行います。このアプローチは、カスタムアプリケーションとプログラムによる統合に最大限の柔軟性を提供します。
`DescribeVpnConnections` API アクションは、1 つ以上の VPN 接続に関する詳細情報をクエリして返します。接続 ID、状態、またはその他の属性でフィルターを適用して、結果を絞り込むことができます。
以下は、単一の VPN 接続に関する詳細を提供するリクエストの例です。
```
POST / HTTP/1.1
Host: ec2.us-east-1.amazonaws.com
Content-Type: application/x-www-form-urlencoded
Authorization: AWS4-HMAC-SHA256 Credential=AKIAIOSFODNN7EXAMPLE/20230101/us-east-1/ec2/aws4_request, SignedHeaders=host;x-amz-date, Signature=example_signature
Action=DescribeVpnConnections
&VpnConnectionId.1=vpn-1234567890abcdef0
&Version=2016-11-15
```
レスポンスは、その VPN 接続に関する詳細を返します。
```
12345678-1234-1234-1234-123456789012
-
vpn-1234567890abcdef0
available
cgw-1234567890abcdef0
ipsec.1
false
-
203.0.113.12
169.254.10.0/30
example_key_1234567890abcdef0
-
203.0.113.34
169.254.11.0/30
example_key_0987654321fedcba0
```
# AWS Site-to-Site VPN 接続をテストする
AWS Site-to-Site VPN 接続を作成してカスタマーゲートウェイを設定した後、インスタンスを起動し、インスタンスへの ping を実行して接続をテストできます。
開始する前に、以下を確認してください。
+ ping リクエストに応答する AMI を使用します。Amazon Linux AMI のいずれかを使用することをお勧めします。
+ インバウンドおよびアウトバウンドの ICMP トラフィックを許可するために、インスタンスへのトラフィックをフィルタリングするセキュリティグループまたはネットワーク ACL を VPC 内に設定します。これにより、インスタンスは `ping` リクエストを受信できるようになります。
+ ご使用のインスタンスで Windows Server を実行している場合、インスタンスへの ping を実行するには、インスタンスに接続し、Windows ファイアウォールでインバウンド ICMPv4 を有効にする必要があります。
+ (静的ルーティング) カスタマーゲートウェイデバイスに VPC への静的ルートがあり、VPN 接続に静的ルートがあり、トラフィックがカスタマーゲートウェイデバイスに戻れることを確認します。
+ (動的ルーティング) カスタマーゲートウェイデバイスの BGP ステータスが確立されていることを確認します。BGP ピアセッションが確立されるまでに約 30 秒かかります。トラフィックがカスタマーゲートウェイに戻ることができるように、ルートが BGP を使用して正しくアドバタイズされ、サブネットルートテーブルに表示されることを確認します。両方のトンネルが BGP ルーティングを使用して設定されていることを確認します。
+ VPN 接続のサブネットルートテーブルでルーティングが設定されていることを確認します。
**接続をテストするには**
1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。
1. ダッシュボードで、[**Launch Instance (インスタンスの起動)**] を選択してください。
1. (オプション) **[名前]** に、インスタンスのわかりやすい名前を入力します。
1. **[アプリケーションおよび OS イメージ (Amazon マシンイメージ)]** で、**[クイックスタート]** を選択し、インスタンスのオペレーティングシステムを選択します。
1. **[キーペア名]** で、既存のキーペアを使用するか、新しいキーペアを作成するかを選択します。
1. **[ネットワーク設定]** で **[既存のセキュリティグループの選択]** を選択してから、設定済みのセキュリティグループを選択します。
1. **[Summary]** (サマリー) パネルで、**[Launch instance]** (インスタンスの起動) を選択してください。
1. インスタンスが実行中になった後、そのプライベート IP アドレス (たとえば 10.0.0.4) を取得します。Amazon EC2 コンソールにインスタンスの詳細の一部としてアドレスが表示されます。
1. ネットワークでカスタマーゲートウェイデバイスの背後にあるコンピュータから、インスタンスのプライベート IP アドレスを指定して **ping** コマンドを実行します。
```
ping 10.0.0.4
```
正常な応答は次のようになります。
```
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:
Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
```
トンネルフェイルオーバーをテストするため、カスタマーゲートウェイデバイスのトンネルの 1 つを一時的に無効化し、このステップを繰り返すことができます。VPN 接続の AWS 側のトンネルを無効化することはできません。
1. AWS からオンプレミスネットワークへの接続をテストするには、SSH または RDP を使用してネットワークからインスタンスに接続できます。次に、ネットワーク内の別のコンピュータのプライベート IP アドレスを使用して `ping` コマンドを実行し、接続の両側でリクエストを開始および受信できることを検証します。
Linux インスタンスに接続する方法については、「*Amazon EC2 ユーザーガイド*」の「[Linux インスタンスに接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-to-linux-instance.html)」を参照してください。Windows インスタンスに接続する方法の詳細については、「*Amazon EC2 ユーザーガイド*」の「[Windows インスタンスに接続する](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connecting_to_windows_instance.html)」を参照してください。
# AWS Site-to-Site VPN 接続とゲートウェイを削除する
AWS Site-to-Site VPN 接続が不要になった場合には、それを削除することができます。Site-to-Site VPN 接続を削除した場合、Site-to-Site VPN 接続に関連付けられていたカスタマーゲートウェイや仮想プライベートゲートウェイは削除されません。カスタマーゲートウェイと仮想プライベートゲートウェイが不要になった場合は、それらを削除できます。
**警告**
Site-to-Site VPN 接続を削除してから新しい VPN 接続を作成する場合は、新しい設定ファイルをダウンロードして、カスタマーゲートウェイデバイスを再設定する必要があります。
**Topics**
+ [VPN 接続を削除する](delete-vpn-connection.md)
+ [カスタマーゲートウェイを削除する](delete-cgw.md)
+ [仮想プライベートゲートウェイをデタッチおよび削除する](delete-vgw.md)
# AWS Site-to-Site VPN 接続を削除する
Site-to-Site VPN 接続を削除すると、しばらくの間、`deleted` の状態が表示されたままになり、その後、エントリは自動的に削除されます。
**コンソールを使用して VPN 接続を削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択し、**[アクション]**、**[VPN 接続を削除]** の順に選択します。
1. 確認を求められたら、**delete**と入力し、[**削除**] を選択します。
**コマンドラインまたは API を使用して VPN 接続を削除するには**
+ [DeleteVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnection.html)(Amazon EC2 クエリ API)
+ [delete-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection.html) (AWS CLI)
+ [Remove-EC2VpnConnection](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnection.html) (AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN カスタマーゲートウェイを削除する
不要になったカスタマーゲートウェイは削除できます。Site-to-Site VPN 接続で使用されているカスタマーゲートウェイを削除することはできません。
**コンソールを使用してカスタマーゲートウェイを削除するには**
1. ナビゲーションペインで、**[カスタマーゲートウェイ]** を選択します。
1. 削除するカスタマーゲートウェイを選択し、**[アクション]**、**[カスタマーゲートウェイを削除]** を選択します。
1. 確認を求められたら、**delete**と入力し、[**削除**] を選択します。
**コマンドラインまたは API を使用してカスタマーゲートウェイを削除するには**
+ [DeleteCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteCustomerGateway.html) (Amazon EC2 クエリ API)
+ [delete-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-customer-gateway.html) (AWS CLI)
+ [Remove-EC2CustomerGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2CustomerGateway.html) (AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN の仮想プライベートゲートウェイをデタッチおよび削除する
VPC 用の仮想プライベートゲートウェイが不要になった場合には、VPC からそれをデタッチできます。
**コンソールを使用して仮想プライベートゲートウェイをデタッチするには**
1. ナビゲーションペインで **[仮想プライベートゲートウェイ]** を選択します。
1. 仮想プライベートゲートウェイを選択し、[**Actions**]、[**Detach from VPC**] を選択します。
1. **[仮想プライベートゲートウェイのデタッチ]** を選択します。
デタッチした仮想プライベートゲートウェイが不要になった場合は、削除することができます。VPC にアタッチされている仮想プライベートゲートウェイを削除することはできません。仮想プライベートゲートウェイを削除すると、しばらくの間、`deleted` の状態が表示されたままとなります。クリックすると、エントリは自動的に削除されます。
**コンソールを使用して仮想プライベートゲートウェイを削除するには**
1. ナビゲーションペインで **[仮想プライベートゲートウェイ]** を選択します。
1. 削除する仮想プライベートゲートウェイを選択し、**[アクション]**、**[仮想プライベートゲートウェイの削除]** を選択します。
1. 確認を求められたら、**delete**と入力し、[**削除**] を選択します。
**コマンドラインまたは API を使用して仮想プライベートゲートウェイをデタッチするには**
+ [DetachVpnGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DetachVpnGateway.html) (Amazon EC2 クエリ API)
+ [detach-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-vpn-gateway.html) (AWS CLI)
+ [Dismount-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Dismount-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
**コマンドラインまたは API を使用して仮想プライベートゲートウェイを削除するには**
+ [DeleteVPNGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnGateway.html) (Amazon EC2 クエリ API)
+ [delete-vpn-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-gateway.html) (AWS CLI)
+ [Remove-EC2VpnGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnGateway.html) (AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN 接続のターゲットゲートウェイを変更する
AWS Site-to-Site VPN 接続のターゲットゲートウェイを変更できます。以下の移行オプションを使用できます。
+ トランジットゲートウェイへの既存の仮想プライベートゲートウェイ
+ 別の仮想プライベートゲートウェイへの既存の仮想プライベートゲートウェイ
+ 別のトランジットゲートウェイへの既存のトランジットゲートウェイ
+ 仮想プライベートゲートウェイへの既存のトランジットゲートウェイ
ターゲットゲートウェイの変更後、新しいエンドポイントのプロビジョニング中に短時間、Site-to-Site VPN 接続が一時的に利用できなくなります。
以下のタスクは、新しいゲートウェイへの移行を完了するのに役立ちます。
**Topics**
+ [ステップ 1: 新しいターゲットゲートウェイを作成する](#step-create-gateway)
+ [ステップ 2: 静的ルートを削除する (条件付き)](#step-update-staic-route)
+ [ステップ 3: 新しいゲートウェイに移行する](#step-migrate-gateway)
+ [ステップ 4: VPC ルートテーブルを更新する](#step-update-routing)
+ [ステップ 5: ターゲットゲートウェイのルーティングを更新する (条件付き)](#step-update-transit-gateway-routing)
+ [ステップ 6: カスタマーゲートウェイ ASN を更新する (条件付き)](#step-update-customer-gateway-asn)
## ステップ 1: 新しいターゲットゲートウェイを作成する
新しいターゲットゲートウェイへの移行を実行する前に、まず新しいゲートウェイを設定する必要があります。仮想プライベートゲートウェイを追加する方法については、「[仮想プライベートゲートウェイの作成](SetUpVPNConnections.md#vpn-create-vpg)」を参照してください。トランジットゲートウェイの追加の詳細については、「*Amazon VPC Transit Gateway*」の「[Transit Gatewayを作成する](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)」を参照してください。
新しいターゲットゲートウェイがトランジットゲートウェイの場合は、VPC をトランジットゲートウェイにアタッチします。VPC アタッチメントの詳細については、「*Amazon VPC Transit Gateway*」の「[VPC への Transit Gateway アタッチメント](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html)」を参照してください。
仮想プライベートゲートウェイからトランジットゲートウェイにターゲットを変更する場合、オプションでトランジットゲートウェイ ASN を仮想プライベートゲートウェイ ASN と同じ値に設定できます。別の ASN を使用する場合は、カスタマーゲートウェイデバイスの ASN をトランジットゲートウェイ ASN に設定する必要があります。詳細については、「[ステップ 6: カスタマーゲートウェイ ASN を更新する (条件付き)](#step-update-customer-gateway-asn)」を参照してください。
## ステップ 2: 静的ルートを削除する (条件付き)
このステップは、静的ルートを持つ仮想プライベートゲートウェイからトランジットゲートウェイに移行する際に必要になります。
新しいゲートウェイに移行する前に静的ルートを削除する必要があります。
**ヒント**
静的ルートを削除する前に、必ずコピーを取ってください。VPN 接続の移行が完了した後、これらのルートをトランジットゲートウェイに再度追加する必要が出てきます。
**ルートをルートテーブルから削除するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで [**ルートテーブル**] (Route tables) を選択して、ルートテーブルを選択します。
1. [**ルーター**] タブで、[**ルーター編集**] を選択してください。
1. 仮想プライベートゲートウェイへの静的ルートで **[削除]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
## ステップ 3: 新しいゲートウェイに移行する
**ターゲットゲートウェイを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択して、**[アクション]**、**[VPN 接続を変更]** の順に選択します。
1. **[ターゲットタイプ]** でゲートウェイタイプを選択します。
1. 新しいターゲットゲートウェイが仮想プライベートゲートウェイの場合は、**[VPN ゲートウェイ]** を選択します。
1. 新しいターゲットゲートウェイがトランジットゲートウェイの場合は、**[トランジットゲートウェイ]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
**コマンドラインまたは API を使用して Site-to-Site VPN 接続を変更するには**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) (Amazon EC2 Query API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## ステップ 4: VPC ルートテーブルを更新する
新しいゲートウェイに移行した後、VPC のルートテーブルを変更する必要がある場合があります。詳細については、*Amazon VPC ユーザーガイドの「[ルートテーブル](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)」を参照してください*。
次の表に、VPN ゲートウェイターゲットを変更した後に実行する VPC ルートテーブルの更新に関する情報を示します。
| 既存のゲートウェイ | 新しいゲートウェイ | VPC のルートテーブルの変更 |
| --- | --- | --- |
| 伝播されたルートを持つ仮想プライベートゲートウェイ | トランジットゲートウェイ | トランジットゲートウェイの ID が格納されているルートを削除します。 |
| 伝播されたルートを持つ仮想プライベートゲートウェイ | 伝播されたルートを持つ仮想プライベートゲートウェイ | 必要なアクションはありません。 |
| 伝播されたルートを持つ仮想プライベートゲートウェイ | 静的ルートを持つ仮想プライベートゲートウェイ | 新しい仮想プライベートゲートウェイの ID が格納されているルートを追加します。 |
| 静的ルートを持つ仮想プライベートゲートウェイ | トランジットゲートウェイ | トランジットゲートウェイの ID への仮想プライベートゲートウェイの ID を格納するルートを更新します。 |
| 静的ルートを持つ仮想プライベートゲートウェイ | 静的ルートを持つ仮想プライベートゲートウェイ | 新しい仮想プライベートゲートウェイの ID への仮想プライベートゲートウェイの ID を格納するルートを更新します。 |
| 静的ルートを持つ仮想プライベートゲートウェイ | 伝播されたルートを持つ仮想プライベートゲートウェイ | 仮想プライベートゲートウェイの ID を含むルートを削除します。 |
| トランジットゲートウェイ | 静的ルートを持つ仮想プライベートゲートウェイ | 仮想プライベートゲートウェイの ID へのトランジットゲートウェイの ID を格納するルートを更新します。 |
| トランジットゲートウェイ | 伝播されたルートを持つ仮想プライベートゲートウェイ | トランジットゲートウェイの ID を含むルートを削除します。 |
| トランジットゲートウェイ | トランジットゲートウェイ | 新しいトランジットゲートウェイの ID へのトランジットゲートウェイの ID を格納するルートを更新します。 |
## ステップ 5: ターゲットゲートウェイのルーティングを更新する (条件付き)
新しいゲートウェイがトランジットゲートウェイである場合、トランジットゲートウェイのルートテーブルを変更して VPC と Site-to-Site VPN 間のトラフィックを許可します。詳細については、「*Amazon VPC Transit Gateway*」の「[Transit Gateway ルートテーブル](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)」を参照してください。
VPN 静的ルートを削除した場合、トランジットゲートウェイルートテーブルに静的ルートを追加する必要があります。
仮想プライベートゲートウェイとは異なり、トランジットゲートウェイは VPN 添付のすべてのトンネルでマルチエグジット識別子(MED)に同じ値を設定します。仮想プライベートゲートウェイからトランジットゲートウェイに移行し、トンネル選択の MED 値に依存している場合は、接続の問題を回避するためにルーティングを変更することをお勧めします。例えば、トランジットゲートウェイで特定のルートをアドバタイズできます。詳細については、「[ルートテーブルと AWS Site-to-Site VPN ルート優先度](vpn-route-priority.md)」を参照してください。
## ステップ 6: カスタマーゲートウェイ ASN を更新する (条件付き)
新しいゲートウェイに古いゲートウェイとは異なる ASN がある場合は、新しい ASN を指すようにカスタマーゲートウェイデバイスの ASN を更新する必要があります。詳細については、「[AWS Site-to-Site VPN 接続のカスタマーゲートウェイのオプション](cgw-options.md)」を参照してください。
# AWS Site-to-Site VPN 接続オプションを変更する
Site-to-Site VPN 接続の接続オプションを変更できます。以下のオプションを変更できます。
+ VPN トンネルを介して通信できる VPN 接続のローカル (カスタマーゲートウェイ) 側とリモート (AWS) 側の IPv4 CIDR 範囲。両方の範囲のデフォルトは `0.0.0.0/0` です。
+ VPN トンネルを介して通信できる VPN 接続のローカル (カスタマーゲートウェイ) 側とリモート (AWS) 側の IPv6 CIDR 範囲。両方の範囲のデフォルトは `::/0` です。
VPN 接続オプションを変更しても、AWS 側の VPN エンドポイント IP アドレスは変更されず、トンネルオプションも変更されません。VPN 接続が更新されている間、VPN 接続は一時的に利用できなくなります。
**コンソールを使用して VPN 接続オプションを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択し、**[アクション]**、**[VPN 接続オプションを変更]** の順に選択します。
1. 必要に応じて、新しい CIDR 範囲を入力します。
1. **[変更の保存]** をクリックします。
**コマンドラインまたは API を使用して VPN 接続オプションを変更するには**
+ [modify-vpn-connection-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection-options.html) (AWS CLI)
+ [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) (Amazon EC2 Query API)
# AWS Site-to-Site VPN トンネルオプションの変更
Site-to-Site VPN 接続の VPN トンネルのトンネルオプションを変更できます。一度に 1 つの VPN トンネルを変更できます。
**重要**
VPN トンネルを変更すると、トンネル経由の接続が最大数分間中断されます。予期されるダウンタイムのために必ず計画を立ててください。
**コンソールを使用して VPN トンネルオプションを変更するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. Site-to-Site VPN 接続を選択して、**[アクション]**、**[VPN トンネルオプションを変更]** の順に選択します。
1. **[VPN トンネル外部 IP アドレス]** で、VPN トンネルのトンネルエンドポイント IP を選択します。
1. 必要に応じて、トンネルオプションの新しい値を選択または入力します。トンネルオプションの詳細については、「[VPN トンネルオプション](VPNTunnels.md)」を参照してください。
**注記**
一部のトンネルオプションには複数のデフォルト値があります。削除したいデフォルト値をクリックします。そのデフォルト値はトンネルオプションから削除されます。
1. **[変更の保存]** をクリックします。
**コマンドラインまたは API を使用して VPN トンネルオプションを変更するには**
+ (AWS CLI) 現在のトンネルオプションを表示するには [describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html) を使用し、トンネルオプションを変更するには [modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html) を使用します。
+ (Amazon EC2 Query API) 現在のトンネルオプションを表示するには [DescribeVpnConnections](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnConnections.html) を使用し、トンネルオプションを変更するには [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) を使用します。
# AWS Site-to-Site VPN 接続の静的ルートを編集する
静的ルーティング用に設定された仮想プライベートゲートウェイ上の Site-to-Site VPN 接続の場合は、VPN 設定の静的ルートを追加、変更、または削除できます。
**コンソールを使用して静的ルートを追加または削除するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択します。
1. **[静的ルートの編集]** を選択します。
1. 必要に応じて、ルートを追加または削除します。
1. **[Save changes]** (変更の保存) をクリックします。
1. ルートテーブルでルート伝播を有効にしていない場合、ルートテーブルで手動でルートを更新し、更新された静的 IP プレフィックスを VPN 接続に反映する必要があります。詳細については、「[(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする](SetUpVPNConnections.md#vpn-configure-routing)」を参照してください。
1. トランジットゲートウェイ上の VPN 接続の場合は、トランジットゲートウェイルートテーブルで静的ルートを追加、変更、または削除します。詳細については、「*Amazon VPC Transit Gateway*」の「[Transit Gateway ルートテーブル](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)」を参照してください。
**コマンドラインまたは API を使用して静的ルートを追加するには**
+ [CreateVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpnConnectionRoute.html) (Amazon EC2 Query API)
+ [create-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection-route.html) (AWS CLI)
+ [New-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
**コマンドラインまたは API を使用して静的ルートを削除するには**
+ [DeleteVpnConnectionRoute](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DeleteVpnConnectionRoute.html) (Amazon EC2 Query API)
+ [delete-vpn-connection-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpn-connection-route.html) (AWS CLI)
+ [Remove-EC2VpnConnectionRoute](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpnConnectionRoute.html) (AWS Tools for Windows PowerShell)
# AWS Site-to-Site VPN 接続のカスタマーゲートウェイを変更する
Amazon VPC コンソールまたはコマンドラインツールを使用して、Site-to-Site VPN 接続のカスタマーゲートウェイを変更できます。
カスタマーゲートウェイの変更後、新しいエンドポイントのプロビジョニング中に短時間、VPN 接続が一時的に利用できなくなります。
**コンソールを使用してカスタマーゲートウェイを変更するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. VPN 接続を選択します。
1. **[アクション]**、**[VPN 接続を変更]** を選択します。
1. **[ターゲットタイプ]** で、**[カスタマーゲートウェイ]** を選択します。
1. **[ターゲットカスタマーゲートウェイ]** では、新しいカスタマーゲートウェイを選択します。
1. **[Save changes]** (変更の保存) をクリックします。
**コマンドラインまたは API を使用してカスタマーゲートウェイを変更するには**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) (Amazon EC2 Query API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
# AWS Site-to-Site VPN 接続の漏洩した認証情報を置き換える
Site-to-Site VPN 接続のトンネル認証情報が漏洩したと思われる場合は、IKE 事前共有キーを変更するか、ACM 証明書を変更できます。使用する方法は、VPN トンネルに使用した認証オプションによって異なります。詳細については、「[AWS Site-to-Site VPN トンネル認証オプション](vpn-tunnel-authentication-options.md)」を参照してください。
**IKE 事前共有キーを変更するには**
VPN 接続のトンネルオプションを変更し、トンネルごとに新しい IKE 事前共有キーを指定できます。詳細については、「[AWS Site-to-Site VPN トンネルオプションの変更](modify-vpn-tunnel-options.md)」を参照してください。
または、VPN 接続を削除することもできます。詳細については、「[VPN 接続とゲートウェイを削除する](delete-vpn.md)」を参照してください。VPC または仮想プライベートゲートウェイを削除する必要はありません。次に、同じ仮想プライベートゲートウェイを使用して新しい VPN 接続を作成し、カスタマーゲートウェイデバイスに新しいキーを設定します。トンネルのための独自の事前共有キーを指定するか、AWS で新しい事前共有キーを生成します。VPN 接続の作成の詳細については、「[VPN 接続を作成する](SetUpVPNConnections.md#vpn-create-vpn-connection)」を参照してください。VPN 接続を再作成すると、トンネルの内部アドレスと外部アドレスが変更されることがあります。
**トンネルエンドポイントの AWS 側の証明書を変更するには**
証明書を更新します。詳細については、「[VPN トンネルエンドポイント証明書をローテーションする](rotate-vpn-certificate.md)」を参照してください。
**カスタマーゲートウェイデバイスの証明書を変更するには**
1. 新しい証明書を作成します。詳細については、*AWS Certificate Manager ユーザーガイド*の「[証明書の発行と管理](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)」を参照してください。
1. カスタマーゲートウェイデバイスに証明書を追加します。
# AWS Site-to-Site VPN トンネルエンドポイント証明書の更新
Amazon VPC コンソールを使用して、AWS 側のトンネルエンドポイントの証明書を更新できます。トンネルエンドポイントの証明書の有効期限が近づくと、AWS はサービスにリンクされたロールを使用して証明書を自動的に更新します。詳細については、「[Site-to-Site VPN のサービスにリンクされたロール](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)」を参照してください。
**コンソールを使用して Site-to-Site VPN トンネルエンドポイント証明書を更新するには**
1. Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. Site-to-Site VPN 接続を選択し、**[アクション]**、**[VPN トンネル証明書を変更]** を選択します。
1. トンネルエンドポイントを選択します。
1. **[保存]** を選択します。
**を使用して Site-to-Site VPN トンネルエンドポイント証明書を更新するにはAWS CLI**
[modify-vpn-tunnel-certificate](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-certificate.html) コマンドを使用します。
# AWS Site-to-Site VPNを使用したプライベート IP Direct Connect
プライベート IP VPN を使用すると、IPsec VPN を にデプロイしてDirect Connect、パブリック IP アドレスや追加のサードパーティー VPN 機器を使用せずにAWS、オンプレミスネットワークと 間のトラフィックを暗号化できます。
を介したプライベート IP VPN の主なユースケースの 1 Direct Connectつは、金融、医療、連邦業界のお客様が規制とコンプライアンスの目標を達成できるように支援することです。経由のプライベート IP VPN は、AWSとオンプレミスネットワーク間のトラフィックが安全でプライベートDirect Connectであることを保証し、お客様が規制とセキュリティの義務に準拠できるようにします。
## プライベート IP VPN の利点
+ **ネットワーク管理と運用の簡素化:** プライベート IP VPN を使用しない場合、お客様はサードパーティーの VPN とルーターをデプロイしてDirect Connect、ネットワーク経由でプライベート VPNsを実装する必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。
+ **セキュリティ体制の改善:** 以前は、トラフィックの暗号化にパブリックDirect Connect仮想インターフェイス (VIF) を使用する必要がありましたがDirect Connect、VPN エンドポイントにはパブリック IP アドレスが必要です。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF は、すべてのAWSパブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開き、リスクの重大度を高めます。プライベート IP VPN 機能を使用すると、(パブリック VIFs ではなく)Direct Connectトランジット VIFs での暗号化と、プライベート IPs の設定が可能になります。これにより、暗号化に加えてエンドツーエンドのプライベート接続が提供され、全体的なセキュリティ体制が強化されます。
+ **ルートスケールの向上:** プライベート IP VPN 接続は、現在 200 のアウトバウンドルートと 100 のインバウンドルートの制限があるDirect Connect単独と比べて、より高いルート制限 (5000 のアウトバウンドルートと 1000 のインバウンドルート) を提供します。
## プライベート IP VPN の仕組み
プライベート IP Site-to-Site VPN は、Direct Connectトランジット仮想インターフェイス (VIF) で動作します。Direct Connectゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークとAWS VPC を相互接続します。プライベート IP VPN 接続には、AWS側のトランジットゲートウェイとオンプレミス側のカスタマーゲートウェイデバイスに終了ポイントがあります。プライベート IP アドレスは、IPsec トンネルの Transit Gateway とカスタマーゲートウェイデバイスの両端に割り当てることができます。プライベート IP アドレスは、RFC1918 または RFC6598 のプライベート IPv4 アドレス範囲から使用できます。
トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。
VPN アタッチメントに関連付けられているルートテーブルは、基盤となるDirect Connectアタッチメントに関連付けられているルートテーブルと同じでも異なってもかまいません。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。
VPN を離れるトラフィックパスの詳細については、「*Direct Connectユーザーガイド*」の「[プライベート仮想インターフェイスとトランジット仮想インターフェイスのルーティングポリシー](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)」を参照してください。
## 前提条件
次の表は、Direct Connect でプライベート IP VPN を作成する前の前提条件を示しています。
| Item | Steps | 情報 |
| --- | --- | --- |
| Site-to-Site VPN の Transit Gateway を準備します。 | Amazon Virtual Private Cloud(VPC) コンソールを使用するか、コマンドラインまたは API を使用してトランジットゲートウェイを作成します。 「*Amazon VPC Transit Gateways ガイド*」の「[Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。 | トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。 プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。 |
| Site-to-Site VPN のDirect Connectゲートウェイを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成します。 *Direct Connect*「 ユーザーガイド」の[AWS「Direct Connect ゲートウェイの作成](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)」を参照してください。 | Direct Connect ゲートウェイを使用すると、複数のAWSリージョンに仮想インターフェイス (VIFs) を接続できます。このゲートウェイは VIF への接続に使用されます。 |
| Site-to-Site VPN の Transit Gateway の関連付けを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して、Direct Connect ゲートウェイと Transit Gateway 間の関連付けを作成します。 *Direct Connect*[「 ユーザーガイド」の「トランジットゲートウェイDirect Connectとの関連付けまたは関連付け解除](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)」を参照してください。 | Direct Connectゲートウェイを作成したら、ゲートウェイのトランジットDirect Connectゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。 |
**Topics**
+ [プライベート IP VPN の利点](#private-ip-dx-features)
+ [プライベート IP VPN の仕組み](#private-ip-dx-how)
+ [前提条件](#private-ip-dx-prereqs)
+ [Direct Connect でプライベート IP VPN を作成する](private-ip-dx-steps.md)
# AWS Site-to-Site VPN 経由でプライベート IP を作成する Direct Connect
を使用してプライベート IP VPN を作成するには、 Direct Connect 次の手順に従います。Direct Connect でプライベート IP VPN を作成する前に、Transit Gateway と Direct Connect ゲートウェイを最初に作成しておく必要があります。2 つのゲートウェイを作成したら、2 つのゲートウェイの関連付けを作成する必要があります。次の表にこれらの前提条件の説明を示します。2 つのゲートウェイを作成して関連付けたら、その関連付けを使用して VPN カスタマーゲートウェイと接続を作成します。
## 前提条件
次の表は、Direct Connect でプライベート IP VPN を作成する前の前提条件を示しています。
| Item | Steps | 情報 |
| --- | --- | --- |
| Site-to-Site VPN の Transit Gateway を準備します。 | Amazon Virtual Private Cloud (VPC) コンソールを使用するか、コマンドラインまたは API を使用してトランジットゲートウェイを作成します。 「*Amazon VPC Transit Gateways ガイド*」の「[Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。 | トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。 プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。 |
| Site-to-Site VPN の Direct Connect ゲートウェイを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成します。 *Direct Connect *「 ユーザーガイド」の[AWS 「Direct Connect ゲートウェイの作成](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)」を参照してください。 | Direct Connect ゲートウェイを使用すると、複数の AWS リージョンに仮想インターフェイス (VIFs) を接続できます。このゲートウェイは VIF への接続に使用されます。 |
| Site-to-Site VPN の Transit Gateway の関連付けを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して、Direct Connect ゲートウェイと Transit Gateway 間の関連付けを作成します。 *Direct Connect *[「 ユーザーガイド」の「トランジットゲートウェイ Direct Connect との関連付けまたは関連付け解除](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)」を参照してください。 | Direct Connect ゲートウェイを作成したら、ゲートウェイのトランジット Direct Connect ゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。 |
## Site-to-Site VPN のカスタマーゲートウェイと接続を作成する
カスタマーゲートウェイは、作成するリソースです AWS。オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を に提供します AWS。詳細については、[カスタマーゲートウェイ](how_it_works.md#CustomerGateway)を参照してください。
**コンソールを使用してカスタマーゲートウェイを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[カスタマーゲートウェイ]** を選択します。
1. **[カスタマーゲートウェイの作成]**] を選択します。
1. (オプション) [**名前**] には、カスタマーゲートウェイの名前を入力します。これにより、`Name` というキーと指定した値を含むタグが作成されます。
1. [**BGP ASN**] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。
1. **IP アドレス**で、カスタマーゲートウェイデバイスのプライベート IP アドレスを入力します。
**重要**
AWS プライベート IP を設定するときは AWS Site-to-Site VPN、RFC 1918 アドレスを使用して独自のトンネルエンドポイント IP アドレスを指定する必要があります。カスタマーゲートウェイルーターと Direct Connect エンドポイント間の eBGP ピアリングにpoint-to-point IP アドレスを使用しないでください。 AWS では、point-to-point接続の代わりに、カスタマーゲートウェイルーターのループバックまたは LAN インターフェイスをソースまたは宛先アドレスとして使用することをお勧めします。
RFC 1918 の詳細については、「[プライベートインターネットのアドレス割り当て](https://datatracker.ietf.org/doc/html/rfc1918)」を参照してください。
1. (オプション) [**デバイス**] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。
1. **[カスタマーゲートウェイの作成]**] を選択します。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. [**Create VPN connection**] (VPN 接続の作成) を選択します。
1. (オプション) [**名前タグ**] には、Site-to-Site VPN 接続の名前を入力します。これにより、`Name` というキーと指定した値を含むタグが作成されます。
1. **[Target gateway type]** (ターゲットゲートウェイタイプ) で、**[Transit gateway]** (転送ゲートウェイ) を選択します。次に、以前に特定したトランジットゲートウェイを選択します。
1. **[Customer gateway]** (カスタマーゲートウェイ) で、**[Existing]** (既存) を選択します。次に、前の手順で作成したカスタマーゲートウェイを選択します。
1. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。
+ カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[**動的 (BGP が必要)**] を選択します。
+ カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[**静的**] を選択します。
1. **[トンネル内部 IP バージョン]** で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。
1. (オプション) IP **バージョン内でトンネルに IPv****IPv4** を指定した場合、オプションで、VPN トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドの IPv4 CIDR 範囲を指定できます。デフォルトは `0.0.0.0/0` です。
IP バージョン内でトンネルに **IPv6** を指定した場合、オプションで、VPN トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドの IPv6 CIDR 範囲を指定できます。 ****両方の範囲のデフォルトは `::/0` です。
1. **[外部 IP アドレスのタイプ]** で、**[PrivateIpv4]** を選択します。
1. **トランスポートアタッチメント ID** で、適切なゲートウェイのトランジット Direct Connect ゲートウェイアタッチメントを選択します。
1. **[VPN 接続の作成]** を選択します。
**注記**
**[Enable acceleration]** (アクセラレーションを有効にする) オプションは、 Direct Connect経由の VPN 接続には適用されません。
**コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html) (Amazon EC2 Query API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)