または

前提条件：

• ユーザー名とパスワード（admin/admin）を使用してデバイスにログインします。

• コマンドプロンプトで、license boot level network-advantage addon dna-advantage コマンドを設定します。

• 設定を保存し、デバイスをリブートします。Cisco SD-WAN Manager の [Configuration Devices] で、デバイスが同期していることを確認します。

• [Device Status]：デバイスのステータスは [In Sync] である必要があります

• [Managed By]：ステップ 4a で作成したそれぞれの SD-Routing 設定グループ。

この例は、設定グループの最小 CLI を示しています。

Configurations:
==============
sd-routing
organization-name CSRQA20231024
site-id 1
system-ip 4.7.8.9
vbond ip 44.226.182.48
vbond port 12346
wan-interface GigabitEthernet1
!
interface GigabitEthernet1
no shutdown
negotiation auto
ip address dhcp
exit
interface GigabitEthernet2
no shutdown
negotiation auto
ip address dhcp
exit

ip domain lookup

license boot level network-advantage addon dna-advantage
no logging console

• [Device Status]：デバイスのステータスは [In Sync] である必要があります

• [Managed By]：ステップ 1 で作成したそれぞれの SD-Routing 設定グループ。

[Login in to AWS With] フィールドで、使用する認証モデルを選択します。

• Key

• IAM Role

[Key] モデルを選択した場合は、[API Key] および [Secret Key] フィールドで、それぞれのキーを指定します。

[IAM Role] モデルを選択した場合は、Cisco SD-WAN Manager が提供する [External ID] を使用して IAM ロールを作成します。ウィンドウに表示された外部 ID をメモして、IAM ロールの作成時に使用できる [Role ARN] 値を指定します。

Cisco IOS XE Catalyst SD-WAN リリース 17.4.1a 以降、IAM ロールを作成するには、AWS 管理コンソールを使用して、Cisco SD-WAN Manager が提供する外部 ID をポリシーに入力する必要があります。次の手順を実行します。

1. 既存の Cisco SD-WAN Manager EC2 インスタンスに IAM ロールをアタッチします。

   1. ポリシーを作成するには、AWS ドキュメントの IAM ロールの作成（コンソール）のトピックを参照してください。AWS の [Create policy] ウィザードで、[JSON] をクリックし、次の JSON ポリシードキュメントを入力します。

      {
        
"Version": "2012-10-17",

        "Statement": [{

          "Sid": "VisualEditor0",
          
"Effect": "Allow",

          "Action": "sts:AssumeRole",
          
"Resource": "*"

          }
]
      
}

      

   2. IAM ロールを作成し、手順 1 で作成したポリシーに基づいて Cisco SD-WAN Manager EC2 インスタンスにアタッチする方法については、AWS Security Blog の「Easily Replace or Attach an IAM Role to an Existing EC2 Instance by Using the EC2 Console」ブログを参照してください。

      Note	[Attach permissions policy] ウィンドウで、手順 1 で作成した AWS 管理ポリシーを選択します。

      Note	次の権限セットが許可されます。 AmazonEC2FullAccess IAMReadOnlyAccess AWSNetworkManagerFullAccess AWSResourceAccessManagerFullAccess AWS IAM ロールの作成の詳細については、「Creating an AWS IAM Role」を参照してください。

2. マルチクラウド環境に使用する AWS アカウントで IAM ロールを作成します。

   1. AWS ドキュメントの IAM ロールの作成（コンソール）のトピックを参照して、[Require external ID] をオンにし、手順 2 でメモした外部 ID を貼り付けて、IAM ロールを作成します。

   2. ロールを担当できるユーザーを変更するには、AWS ドキュメント のロール信頼ポリシーの変更（コンソール）のトピックを参照してください。

      [IAM Roles] ウィンドウで、下にスクロールして、前の手順で作成したロールをクリックします。

      [Summary] ウィンドウで、上部に表示される [Role ARN] をメモします。

      Note	手順 7 で IAM ロールとして認証モデルを選択した場合は、このロール ARN 値を入力できます。

   3. 信頼関係を変更したら、[JSON] をクリックし、次の JSON ドキュメントを入力します。変更内容を保存します。

      Note	次の JSON ドキュメントのアカウント ID は、Cisco SD-WAN Manager EC2 インスタンスに属しています。

      {
        "Version": "2012-10-17",
        "Statement": [
          {
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::[Account ID from Part 1]:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
              "StringEquals": {
                "sts:ExternalId": "[vManage provided External ID]"
             }
            }
          }
        ]
      }
      

• [Transit Gateway–Branch-connect]：AWS クラウドでインスタンス化されたトランジットゲートウェイを介して、さまざまな SD-Routing デバイスをクラウド内の VPC に接続できるようにします。このオプションでは、AWS VPN 接続（IPSec）アプローチを使用します。

定期監査を有効にすると、Cisco SD-WAN Manager は 2 時間ごとに自動監査をトリガーします。この自動監査はバックグラウンドで実行され、不一致レポートが生成されます。

[host VPC] テーブルには次の列があります。

• クラウド リージョン

• アカウント名

• ホスト VPC 名

• ホスト VPC タグ

• アカウント ID（Account ID）

• ホスト VPC ID

必要に応じて、列をクリックして VPC を並べ替えます。

• [Add Tag]：選択した VPC をグループ化し、これらの VPC に同時にタグ付けします。

• [Edit Tag]：選択した VPC をあるタグから別のタグに移行します。

• [Delete Tag]：選択した VPC のタグを削除します。

複数のホスト VPC をタグの下にグループ化できます。同じタグの下のすべての VPC は、単一のユニットと見なされます。

クラウドゲートウェイごとに、サイトを表示、削除、またはさらに接続できます。

[Are you sure you want to detach sites from cloud gateway?] というメッセージがウィンドウに表示されます。

クラウドゲートウェイに接続されているサイトは切り離されます。