今回はAWS Client VPNについて、設計・運用・コスト試算・証明書の作り方など、「実務レベルでよく知りたい情報」を徹底的にまとめます!
これからAWSでリモートVPNアクセス環境をつくる方、ぜひ参考にどうぞ。
1. AWS Client VPNとは?【マネージド型VPNの正体】
AWS Client VPNは、リモートユーザーが安全にAWS VPCやオンプレミスネットワークへアクセスできる、フルマネージド型のVPNサービスです。
- 自前でVPNサーバーやインフラの構築・運用が不要
- エンドポイント作成だけで冗長化・スケーリング・障害対応までお任せ
- クライアント数やトラフィック量も自動でスケールアウト・可用性維持
- 技術的には「OpenVPNプロトコル」に準拠しています。
2. 認証方式(クライアント認証)はどう選ぶ?
AWS Client VPNは複数の認証方式をサポートします。
現場での使い分け・メリット/デメリットを整理!
(1) 証明書認証(相互TLS:mTLS)
- 自己署名CA or ACM Private CAでサーバー証明書&クライアント証明書を発行・配布
- 端末単位や特定ユーザー単位で認証したい場合に便利
- 小規模〜特定用途向け
(2) Active Directory認証
- AWS Directory ServiceやオンプレADと連携
- 企業アカウントでユーザー/グループ認証やMFAが使える
- 大規模運用・運用一元化したい場合に
(3) SAML 2.0フェデレーション認証
- Okta/Azure AD/Google Workspace/OneLogin等のIdPとSSO連携
- 外部IdPによるSAML2.0認証+多要素認証もOK
- 既存クラウド認証基盤がある企業におすすめ
どの認証方式も「VPNクライアントソフト(OpenVPN互換やAWS公式クライアント)」が必要です!
3. 証明書運用まとめ(コスト重視 or 一元管理重視)
選択肢A. OpenSSL等で自己署名CA
- コストゼロ、簡単
- OpenSSLでCA作成 → サーバー/クライアント証明書発行
- 証明書ファイルはACMにインポート&クライアント配布
選択肢B. 無料オープンソースCA(Easy-RSA, Smallstep CA等)
- コマンド操作で一元管理、失効やローテーションも容易
選択肢C. ACM Private CA(有料・本格運用向け)
- 月額$400/CA+証明書ごとに0.75ドル/月
- 大規模・自動ローテーション・監査など重視の場合
Client VPN用のサーバー証明書は、ACM標準の無料パブリック証明書を直接発行して使うことはできません!
(VPNや内部用途にパブリック証明書は不可、自己署名orプライベートCAが基本です)
4. 導入手順かんたんまとめ
- 認証方式・証明書の準備(CA作成、証明書発行&ACM登録)
- Client VPNエンドポイント作成(AWSマネジメントコンソール or CLI)
- サブネット(VPC)への関連付け&ルート設定
- 認可ルール(アクセスコントロール)の設定
- クライアント設定ファイル(.ovpn)のダウンロード&配布
- 各ユーザーへクライアント証明書と設定ファイル配布&セットアップ指示!
5. コスト試算のポイント
| 項目 | 料金(例:東京リージョン/2025年6月時点) |
|---|---|
| エンドポイント | $0.10/時($72/月/エンドポイント) |
| クライアント接続 | $0.05/接続・時 |
| データ転送 | AWS外向けのみ従量課金 |
| 証明書運用 | 自己署名なら無料、ACM Private CAならCAごと$400/月+発行課金 |
例)10人×1エンドポイント×月160ドル前後(自己署名で証明書コスト0の場合)
6. よくある質問(FAQ)
Q. Client VPNエンドポイントは「フルマネージド」って本当?
→ はい。スケールアウト・冗長化・障害対策含めAWS側で自動管理です。
ユーザーは「設定の管理と証明書管理」に集中できます。
Q. SAML認証やAD認証でもVPNクライアントソフトは必須?
→ はい。どの認証方式もOpenVPN互換 or AWS公式クライアントが必要です。
Q. 証明書ローテーションどうする?
→ 自己署名CAや外部スクリプトで自動化可。
ACM Private CA利用時のみAWSコンソールから一部自動ローテーションも可能。
Q. ACM標準パブリック証明書は無料で使えるの?
→ パブリックサービス用のみ無料。Client VPNのようなプライベート用途には利用不可。
Q. VPN接続時のIdPはどんなものが使える?
→ Azure AD, Okta, Google Workspace, AD FS, Keycloakなど多様なIdPにSAML連携可能。
7. おすすめの参考情報
- AWS公式:Client VPNの概要と料金
- ACMの使い方&証明書インポートガイド
- DevelopersIO:Client VPN実践・証明書運用の現場ノウハウ
- Qiita:OpenSSLで自己署名CA構築(証明書の作り方)
まとめ
- AWS Client VPNは、スケーラブル&フルマネージドでテレワークやゼロトラストVPNにも最適!
- 証明書運用はOpenSSL/無料CAで十分。大規模運用のみACM Private CAを検討
- 導入も運用も“サーバーレス感覚”で誰でも安心してVPN環境が整います。
運用の現場ノウハウやコスト計算、認証方式の選び方で迷ったら、ぜひこの記事をブクマ&活用してください!