Fügen Sie eine Autorisierungsregel zu einem hinzu AWS Client VPN Endpunkt - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fügen Sie eine Autorisierungsregel zu einem hinzu AWS Client VPN Endpunkt

Sie können eine Autorisierungsregel hinzufügen, um den Zugriff auf einen VPN Client-Endpunkt zu gewähren oder einzuschränken, indem Sie die AWS Management Console. Eine Autorisierungsregel kann einem VPN Client-Endpunkt entweder über die VPC Amazon-Konsole oder über die Befehlszeile oder hinzugefügt API werden.

Um einem VPN Client-Endpunkt eine Autorisierungsregel hinzuzufügen, verwenden Sie AWS Management Console

  1. Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints aus.

  3. Wählen Sie den VPN Client-Endpunkt aus, dem Sie die Autorisierungsregel hinzufügen möchten, wählen Sie Autorisierungsregeln und dann Autorisierungsregel hinzufügen aus.

  4. Geben Sie unter Zielnetzwerk zur Aktivierung des Zugriffs die IP-Adresse des Netzwerks ein, auf das Benutzer zugreifen sollen (z. B. Ihren CIDR BlockVPC). CIDR

  5. Geben Sie an, welche Clients auf das angegebene Netzwerk zugreifen dürfen. Führen Sie für die Option For grant access to (Zum Gewähren von Zugriff auf) einen der folgenden Schritte aus:

    • Wenn Sie allen Clients Zugriff gewähren möchten, wählen Sie Allow access to all users (Allen Benutzern Zugriff gewähren) aus.

    • Um den Zugriff auf bestimmte Clients zu beschränken, wählen Sie Zugriff für Benutzer in einer bestimmten Zugriffsgruppe zulassen aus und geben Sie dann unter Zugriffsgruppen-ID die ID für die Gruppe ein, für die der Zugriff gewährt werden soll. Zum Beispiel die Sicherheits-ID (SID) einer Active Directory-Gruppe oder die ID/der Name einer Gruppe, die in einem SAML basierten Identitätsanbieter (IdP) definiert ist.

      • (Active Directory) Um das abzurufenSID, können Sie das Microsoft Powershell Get- ADGroup Cmdlet verwenden, zum Beispiel:

        Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

        Alternativ können Sie das Tool „Active Directory-Benutzer und -Computer“ öffnen, die Eigenschaften für die Gruppe anzeigen, zur Registerkarte „Attribut-Editor“ wechseln und den Wert für objectSID abrufen. Wählen Sie ggf. zuerst View (Ansicht), Advanced Features (Erweiterte Funktionen), um die Registerkarte „Attribut-Editor“ zu aktivieren.

      • (SAMLbasierte Verbundauthentifizierung) Die Gruppen-ID/der Gruppenname sollte mit den Gruppenattributinformationen übereinstimmen, die in der Assertion zurückgegeben werden. SAML

  6. Geben Sie unter Description (Beschreibung) eine kurze Beschreibung der Autorisierungsregel ein.

  7. Wählen Sie Add authorization rule (Autorisierungsregel hinzufügen) aus.

Um einem Client-Endpunkt eine Autorisierungsregel hinzuzufügen (VPN AWS CLI)

Verwenden Sie den authorize-client-vpn-ingressBefehl.