Verified Access のクライアント設定ファイルが更新されるアクションが何かを確認してみた

Verified Access のクライアント設定ファイルが更新されるアクションが何かを確認してみた

Clock Icon2025.03.28

こんにちは、岩城です。

以前、以下のエントリを書きました。

https://dev.classmethod.jp/articles/aws-verified-access-ec2-rdp/

この時、クライアント設定ファイルを利用者に配布する都合上、クライアント設定ファイルが更新されるアクションを知りたいと思っていました。

今さらながら確認したので結果を共有します。

確認してみた

プロトコルが TCP の Verified Access のエンドポイントタイプは全部で 4 つあります。

  • ロードバランサー
  • ネットワークインターフェース
  • ネットワーク CIDR
  • RDS

本エントリでは、ネットワーク CIDR の利用を前提にしています。

エンドポイントタイプがネットワーク CIDR の Verified Access で設定変更できる項目を変更していき、クライアント設定ファイルが更新されるアクションは何なのか確認しました。

確認方法は以下のコマンドを実行し前後でクライアント設定ファイルに差分がないかを diff で確認する単純な方法です。

$ aws ec2 export-verified-access-instance-client-configuration --verified-access-instance-id <Verified Access インスタンス ID> > caseXX.conf
$ diff case00.conf case01.conf

結論から言うと、Verified Access インスタンスに関連付けられた Verified Access エンドポイントをすべて削除しない限り、クライアント設定ファイルは更新されません。

Verified Access エンドポイントをすべて削除すると、Verified Access にアクセスできなくなるため、通常利用においては発生しないアクションに思います。

Verified Access インスタンスにグループや WAF を追加するといった利用中に割と発生そうなアクションは、クライアント設定ファイルは更新されませんでした。

Case No. 大項目 変更アクション クライアント設定ファイルの更新有無
1 Verified Access インスタンス 説明 なし
2 Verified Access インスタンス ネットワーク CIDR エンドポイントのカスタムサブドメインの追加 ※ー
3 Verified Access インスタンス Verified Access グループの作成 なし
4 Verified Access インスタンス Verified Access 信頼プロバイダーをアタッチ ※あり
5 Verified Access インスタンス Verified Access 信頼プロバイダーをデタッチ ※あり
6 Verified Access インスタンス Verified Access インスタンスのログ記録設定 なし
7 Verified Access インスタンス AWS WAF との統合 なし
8 Verified Access インスタンス タグの更新 なし
9 Verified Access 信頼プロバイダー 説明の更新 なし
10 Verified Access 信頼プロバイダー 追加の暗号化 なし
11 Verified Access グループ 説明の更新 なし
12 Verified Access グループ ポリシーの変更 なし
13 Verified Access グループ ポリシーの無効化 なし
14 Verified Access グループ Verified Access エンドポイントの追加 なし
15 Verified Access グループ タグの更新 なし
16 Verified Access エンドポイント 説明 なし
17 Verified Access エンドポイント Verified Access グループ なし
18 Verified Access エンドポイント ポート範囲の変更 なし
19 Verified Access エンドポイント Verified Access エンドポイントポリシー なし
20 Verified Access エンドポイント 追加の暗号化 なし
21 Verified Access エンドポイント タグ なし
22 Verified Access エンドポイント 追加作成 なし
23 Verified Access エンドポイント 削除 ※なし

ネットワーク CIDR エンドポイントのカスタムサブドメインの追加

アクティブな Verified Access エンドポイントが関連付けられた Verified Access インスタンスではカスタムサブドメインを追加できませんでした。

CidrEndpointCustomSubDomain cannot be specified with a VAI that has active endpoints of type 'cidr'

vscode-drop-1743134904706-f7474dex62n.png

Verified Access 信頼プロバイダーをアタッチ / デタッチ

信頼プロバイダーをアタッチ / デタッチしようとすると以下のようなエラーになります。

信頼プロバイダーのアタッチ中にエラーが発生しました。 VerifiedAccessInstance vai-0ca963cf53d439a3c is not empty. Please remove all VerifiedAccessGroups before attaching or detaching a VerifiedAccessTrustProvider with TrustProviderType user

vscode-drop-1743135911432-tqq6sptude8.png

Verified Access インスタンスに関連付けられたすべての Verified Access グループを削除する必要がありました。

Verified Access グループを削除するには、Verified Access エンドポイントとの関連付けを削除する必要があります。

Verified Access エンドポイントを削除すると、Verified Access にアクセスできなくなります。

そのため、Verified Access 信頼プロバイダーをアタッチ / デタッチしようとすると、Verified Access エンドポイントを削除・作成する必要があります。

Verified Access エンドポイントを再作成するとクライアント設定ファイルが更新されてしまうので、結果的にクライアント設定ファイルが更新されるアクションとなりました。

Verified Access エンドポイントの削除

Verified Access インスタンスに複数の Verified Access エンドポイントが関連付けられている場合、すべてのエンドポイントを削除しない限り、クライアント設定ファイルは更新されませんでした。

ちなみに、Verified Access インスタンスに関連付けられたエンドポイントをすべて削除する場合、Verified Access にアクセスできなくなります。

Verified Access エンドポイントをすべて削除した後、再度 Verified Access エンドポイントを作成するとクライアント設定ファイルが更新されるので注意が必要です。

おわりに

Verified Access インスタンスに関連付けられた Verified Access エンドポイントをすべて削除しない限り、クライアント設定ファイルが更新されないことを確認できました。

余談ですが Verified Access エンドポイントの作成や変更をすると、その度に数分待つことになるので検証にすごい時間が掛かる点が大変でした。

本エントリがどなたかのお役に立てれば幸いです。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.