Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von Rollen für die Verbindungsautorisierung
AWS Client VPN verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist eine spezielle Art von IAM-Rolle, die direkt mit Client VPN verknüpft ist. Serviceverknüpfte Rollen werden von Client VPN vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.
Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Cloud VPN, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Client VPN definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur Client VPN die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Client-VPN-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceorientierte Rollen unterstützen, finden Sie unter AWS services that work with IAM (-Services, die mit IAM funktionieren). Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-linked roles (Serviceorientierte Rollen) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.
Berechtigungen von serviceverknüpften Rollen für Client VPN
Client VPN verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForClientVPNConnections – Serviceverknüpfte Rolle für Client-VPN-Verbindungen.
Die serviceverknüpfte Rolle AWSServiceRoleForClientVPNConnections vertraut darauf, dass die folgenden Services die Rolle übernehmen:
-
clientvpn-connections.amazonaws.com
Die Rollenberechtigungsrichtlinie namens ClientVPNServiceConnectionsRolePolicy gestattet Client VPN die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
-
Aktion:
lambda:InvokeFunctionfürarn:aws:lambda:*:*:function:AWSClientVPN-*
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine servicegebundene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer serviceverknüpften Rolle für Client VPN
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie den ersten Client-VPN-Endpunkt in Ihrem Konto über die AWS Management Console, die AWS CLI oder die AWS-API erstellen, erstellt Client VPN die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie den ersten Client-VPN-Endpunkt in Ihrem Konto erstellen, erstellt Client VPN ebenfalls die serviceverknüpfte Rolle für Sie.
Bearbeiten einer serviceverknüpften Rolle für Client VPN
Client VPN berechtigt Sie nicht zum Bearbeiten der serviceverknüpften Rolle AWSServiceRoleForClientVPNConnections. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Client VPN
Wenn Sie Client VPN nicht mehr benötigen, empfehlen wir, die serviceverknüpfte Rolle AWSServiceRoleForClientVPNConnections zu löschen.
Sie müssen zuerst die zugehörigen Client VPN-Ressourcen löschen. Auf diese Weise wird sichergestellt, dass Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen.
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um serviceverknüpfte Rollen zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für serviceverknüpfte Client-VPN-Rollen
Client VPN unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS-Regionen und -Endpunkte.
