Verified Access のクライアント設定ファイルが更新されるアクションが何かを確認してみた
こんにちは、岩城です。
以前、以下のエントリを書きました。
この時、クライアント設定ファイルを利用者に配布する都合上、クライアント設定ファイルが更新されるアクションを知りたいと思っていました。
今さらながら確認したので結果を共有します。
確認してみた
プロトコルが TCP の Verified Access のエンドポイントタイプは全部で 4 つあります。
- ロードバランサー
- ネットワークインターフェース
- ネットワーク CIDR
- RDS
本エントリでは、ネットワーク CIDR の利用を前提にしています。
エンドポイントタイプがネットワーク CIDR の Verified Access で設定変更できる項目を変更していき、クライアント設定ファイルが更新されるアクションは何なのか確認しました。
確認方法は以下のコマンドを実行し前後でクライアント設定ファイルに差分がないかを diff で確認する単純な方法です。
$ aws ec2 export-verified-access-instance-client-configuration --verified-access-instance-id <Verified Access インスタンス ID> > caseXX.conf
$ diff case00.conf case01.conf
結論から言うと、Verified Access インスタンスに関連付けられた Verified Access エンドポイントをすべて削除しない限り、クライアント設定ファイルは更新されません。
Verified Access エンドポイントをすべて削除すると、Verified Access にアクセスできなくなるため、通常利用においては発生しないアクションに思います。
Verified Access インスタンスにグループや WAF を追加するといった利用中に割と発生そうなアクションは、クライアント設定ファイルは更新されませんでした。
Case No. | 大項目 | 変更アクション | クライアント設定ファイルの更新有無 |
---|---|---|---|
1 | Verified Access インスタンス | 説明 | なし |
2 | Verified Access インスタンス | ネットワーク CIDR エンドポイントのカスタムサブドメインの追加 | ※ー |
3 | Verified Access インスタンス | Verified Access グループの作成 | なし |
4 | Verified Access インスタンス | Verified Access 信頼プロバイダーをアタッチ | ※あり |
5 | Verified Access インスタンス | Verified Access 信頼プロバイダーをデタッチ | ※あり |
6 | Verified Access インスタンス | Verified Access インスタンスのログ記録設定 | なし |
7 | Verified Access インスタンス | AWS WAF との統合 | なし |
8 | Verified Access インスタンス | タグの更新 | なし |
9 | Verified Access 信頼プロバイダー | 説明の更新 | なし |
10 | Verified Access 信頼プロバイダー | 追加の暗号化 | なし |
11 | Verified Access グループ | 説明の更新 | なし |
12 | Verified Access グループ | ポリシーの変更 | なし |
13 | Verified Access グループ | ポリシーの無効化 | なし |
14 | Verified Access グループ | Verified Access エンドポイントの追加 | なし |
15 | Verified Access グループ | タグの更新 | なし |
16 | Verified Access エンドポイント | 説明 | なし |
17 | Verified Access エンドポイント | Verified Access グループ | なし |
18 | Verified Access エンドポイント | ポート範囲の変更 | なし |
19 | Verified Access エンドポイント | Verified Access エンドポイントポリシー | なし |
20 | Verified Access エンドポイント | 追加の暗号化 | なし |
21 | Verified Access エンドポイント | タグ | なし |
22 | Verified Access エンドポイント | 追加作成 | なし |
23 | Verified Access エンドポイント | 削除 | ※なし |
ネットワーク CIDR エンドポイントのカスタムサブドメインの追加
アクティブな Verified Access エンドポイントが関連付けられた Verified Access インスタンスではカスタムサブドメインを追加できませんでした。
CidrEndpointCustomSubDomain cannot be specified with a VAI that has active endpoints of type 'cidr'
Verified Access 信頼プロバイダーをアタッチ / デタッチ
信頼プロバイダーをアタッチ / デタッチしようとすると以下のようなエラーになります。
信頼プロバイダーのアタッチ中にエラーが発生しました。 VerifiedAccessInstance vai-0ca963cf53d439a3c is not empty. Please remove all VerifiedAccessGroups before attaching or detaching a VerifiedAccessTrustProvider with TrustProviderType user
Verified Access インスタンスに関連付けられたすべての Verified Access グループを削除する必要がありました。
Verified Access グループを削除するには、Verified Access エンドポイントとの関連付けを削除する必要があります。
Verified Access エンドポイントを削除すると、Verified Access にアクセスできなくなります。
そのため、Verified Access 信頼プロバイダーをアタッチ / デタッチしようとすると、Verified Access エンドポイントを削除・作成する必要があります。
Verified Access エンドポイントを再作成するとクライアント設定ファイルが更新されてしまうので、結果的にクライアント設定ファイルが更新されるアクションとなりました。
Verified Access エンドポイントの削除
Verified Access インスタンスに複数の Verified Access エンドポイントが関連付けられている場合、すべてのエンドポイントを削除しない限り、クライアント設定ファイルは更新されませんでした。
ちなみに、Verified Access インスタンスに関連付けられたエンドポイントをすべて削除する場合、Verified Access にアクセスできなくなります。
Verified Access エンドポイントをすべて削除した後、再度 Verified Access エンドポイントを作成するとクライアント設定ファイルが更新されるので注意が必要です。
おわりに
Verified Access インスタンスに関連付けられた Verified Access エンドポイントをすべて削除しない限り、クライアント設定ファイルが更新されないことを確認できました。
余談ですが Verified Access エンドポイントの作成や変更をすると、その度に数分待つことになるので検証にすごい時間が掛かる点が大変でした。
本エントリがどなたかのお役に立てれば幸いです。