Client-Autorisierung - AWS Client VPN
SicherheitsgruppenNetzwerkbasierte Autorisierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Client-Autorisierung

Client VPN unterstützt zwei Arten von Client-Autorisierung, Sicherheitsgruppen und (über Autorisierungsregeln) netzwerkbasierte Autorisierung.

Sicherheitsgruppen

Wenn Sie einen Client VPN-Endpunkt erstellen, können Sie die Sicherheitsgruppen von einer bestimmten VPC angeben, die auf den Client VPN-Endpunkt angewendet werden sollen. Wenn Sie ein Subnetz mit einem Client VPN-Endpunkt verknüpfen, wird automatisch die Standardsicherheitsgruppe der VPC angewendet. Sie können die Sicherheitsgruppen ändern, nachdem Sie den Client VPN-Endpunkt erstellt haben. Weitere Informationen finden Sie unter Anwenden einer Sicherheitsgruppe auf ein Zielnetzwerk. Die Sicherheitsgruppen sind den Client VPN-Netzwerkschnittstellen zugeordnet.

Sie können Client VPN-Benutzern den Zugriff auf Ihre Anwendungen in einer VPC ermöglichen, indem Sie den Sicherheitsgruppen Ihrer Anwendungen eine Regel hinzufügen, um den Datenverkehr von der Sicherheitsgruppe zuzulassen, die für die Zuordnung übernommen wurde.

So fügen Sie eine Regel hinzu, die Datenverkehr aus der Client VPN-Endpunkt-Sicherheitsgruppe zulässt

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Security Groups (Sicherheitsgruppen) aus.

  3. Wählen Sie die Sicherheitsgruppe aus, die Ihrer Ressource oder Anwendung zugeordnet ist. Wählen Sie anschließend Actions (Aktionen), Edit inbound rules (Eingehende Regeln bearbeiten) aus.

  4. Wählen Sie Add rule.

  5. Wählen Sie für Type (Typ) die Option All traffic (Gesamter Datenverkehr) aus. Alternativ können Sie den Zugriff auf eine bestimmte Art von Datenverkehr einschränken, beispielsweise SSH.

    Geben Sie in Quelle die ID der Sicherheitsgruppe an, die dem Zielnetzwerk (Subnetz) für den Client VPN-Endpunkt zugeordnet ist.

  6. Wählen Sie Save rules (Regeln speichern) aus.

Umgekehrt können Sie den Zugriff für Client VPN-Benutzer einschränken, indem Sie die Sicherheitsgruppe, die auf die Zuordnung angewendet wurde, nicht angeben oder indem Sie die Regel entfernen, die auf die Client VPN-Endpunkt-Sicherheitsgruppe verweist. Die von Ihnen benötigten Sicherheitsgruppenregeln sind möglicherweise auch von der Art des VPN-Zugriffs abhängig, den Sie konfigurieren möchten. Weitere Informationen finden Sie unter Szenarien und Beispiele für AWS Client-VPN.

Weitere Informationen zu VPC-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Netzwerkbasierte Autorisierung

Die netzwerkbasierte Autorisierung wird mithilfe von Autorisierungsregeln implementiert. Für jedes Netzwerk, für das Sie den Zugriff aktivieren möchten, müssen Sie Autorisierungsregeln konfigurieren, die die Benutzer mit Zugriff beschränken. Sie können für ein bestimmtes Netzwerk die Active Directory- oder SAML-basierte IdP-Gruppe konfigurieren, die Zugriff erhalten soll. Nur Benutzer, die Mitglied der angegebenen Gruppe sind, können auf das angegebene Netzwerk zugreifen. Wenn Sie keine Active Directory- oder SAML-basierte Verbundauthentifizierung verwenden oder allen Benutzern Zugriff gewähren möchten, können Sie eine Regel angeben, die allen Clients Zugriff gewährt. Weitere Informationen finden Sie unter Autorisierungsregeln.