内容
今日試してみるお題は、こちらです。
AWS Client VPN で接続した際に、送信先ネットワークによって、Active Directory の グループの SID でアクセス権を特定のアクセスグループのユーザーに許可する ようにすることです。
構成図
- group001 に属するユーザーは dev001 と dev002 にアクセスできるようにする。
- group002 に属するユーザーは dev001 にだけアクセスできるようにする。
- 青線のプライベートIPでアクセスできるようにする。
- 緑線のパブリックIPでもアクセスできるようにする。
なお、プライベートIP宛にアクセスすることが通常ですが、パブリックIP宛でもアクセスできるようにしたいため検証目的でわざとNATゲートウェイ経由でアクセス可能になるようにしています。
パブリックIP宛にもアクセスできるようにNATゲートウェイ経由でアクセス可能にする方法は本記事に織り交ぜてしまうと複雑になってしまうため、下記記事を参考にしてみていただくと良いと思います。
※ポイントは、NATゲートウェイの EIP が送信元となるため、送信先の ALB もしくは EC2 のセキュリティグループのインバウンドルールで許可してあげる必要があるという点だけです。
また、本来は Client VPN と アプリケーションの VPC は分けた方がいいのですが、検証目的のため 1 つの VPC にしております。
設定
Active Directory
Active Directory でユーザーを以下の通り作成し、dev001 と dev002 グループの SID を控えます。
| グループ | ユーザー |
|---|---|
| group001 | user001 user002 |
| group002 | user001 |
グループの SID の確認は次のページの手順 5 を参考にします。
Client VPN
AWS Client VPN の承認ルールで次の通り制御します。
dev001 グループは、グループID の語尾が、〜1600
dev002 グループは、グループID の語尾が、〜1603
のネットワークにアクセスできるイメージです。
動作確認
group01 と group002 に所属する user001 は全てのネットワークにアクセスできます。
group001 にしか所属しない user002 は特定のネットワークしかアクセスできないように制御することができました。
| user001 | user002 | |
|---|---|---|
| ec2_group001_private |  |
 |
| ec2_group002_private |  |
 |
| ec2_group001_pubric |  |
 |
| ec2_group002_pubric |  |
 |