Création d'un AWS Client VPN point de terminaison - AWS Client VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un AWS Client VPN point de terminaison

Créez un point de VPN terminaison client pour permettre à vos clients d'établir une VPN session à l'aide de la VPC console Amazon ou du AWS CLI.

Avant de créer un point de terminaison, familiarisez-vous avec les exigences. Pour plus d'informations sur les exigences relatives aux terminaux, consultezExigences relatives à la création de points de VPN terminaison clients.

Pour créer un point de VPN terminaison client (console)

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Client VPN Endpoints, puis Create Client VPN Endpoint.

  3. (Facultatif) Fournissez une étiquette de nom et une description pour le point de VPN terminaison client.

  4. Pour Client IPv4 CIDR, spécifiez une plage d'adresses IP, en CIDR notation, à partir de laquelle attribuer les adresses IP des clients. Par exemple, 10.0.0.0/22.

    Note

    La plage d'adresses ne peut pas chevaucher la plage d'adresses réseau cible, la plage d'VPCadresses ou aucun des itinéraires qui seront associés au point de VPN terminaison du client. La plage d'adresses du client doit être d'au moins /22 et d'une taille de CIDR bloc ne dépassant pas /12. Vous ne pouvez pas modifier la plage d'adresses du client après avoir créé le point de VPN terminaison client.

  5. Pour le certificat de serveur ARN, spécifiez le ARN TLS certificat à utiliser par le serveur. Les clients utilisent le certificat de serveur pour authentifier le point de VPN terminaison client auquel ils se connectent.

    Note

    Le certificat de serveur doit être présent dans AWS Certificate Manager (ACM) dans la région où vous créez le point de VPN terminaison client. Le certificat peut être provisionné ACM ou importé dans. ACM

  6. Spécifiez la méthode d'authentification à utiliser pour authentifier les clients lorsqu'ils établissent une VPN connexion. Vous devez sélectionner une méthode d'authentification.

    • Pour utiliser l'authentification basée sur l'utilisateur, sélectionnez Utiliser l'authentification basée sur l'utilisateur, puis choisissez l'une des options suivantes :

      • Authentification Active Directory : choisissez cette option pour l'authentification Active Directory. Pour le répertoire ID, spécifiez l'ID d'Active Directory à utiliser.

      • Authentification fédérée : choisissez cette option pour l'authentification fédérée SAML basée.

        Pour SAMLle fournisseur ARN, spécifiez le ARN fournisseur IAM SAML d'identité.

        (Facultatif) Pour le SAMLfournisseur de libre-service ARN, spécifiez le fournisseur ARN d'IAMSAMLidentité que vous avez créé pour prendre en charge le portail en libre-service, le cas échéant.

    • Pour utiliser l'authentification mutuelle par certificat, sélectionnez Utiliser l'authentification mutuelleARN, puis pour Certificat client, spécifiez le ARN certificat client fourni dans AWS Certificate Manager (ACM).

      Note

      Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser le certificat de serveur à la fois ARN pour le serveur et pour le client. Si le certificat client a été émis par une autre autorité de certification, le certificat client ARN doit être spécifié.

  7. (Facultatif) Pour la journalisation des connexions, spécifiez si vous souhaitez enregistrer les données relatives aux connexions des clients à l'aide d'Amazon CloudWatch Logs. Activez Enable log details on client connections (Activer les détails du journal sur les connexions clientes). Pour Nom du groupe de CloudWatch journaux, entrez le nom du groupe de journaux à utiliser. Pour le nom du flux de journal des CloudWatch journaux, entrez le nom du flux de journal à utiliser ou laissez cette option vide pour nous permettre de créer un flux de journal pour vous.

  8. (Facultatif) Pour Client Connect Handler, activez Activer le gestionnaire de connexion client pour exécuter un code personnalisé qui autorise ou refuse une nouvelle connexion au point de terminaison clientVPN. Pour Client Connect Handler ARN, spécifiez l'Amazon Resource Name (ARN) de la fonction Lambda qui contient la logique autorisant ou refusant les connexions.

  9. (Facultatif) Spécifiez les DNS serveurs à utiliser pour DNS la résolution. Pour utiliser des DNS serveurs personnalisés, pour l'adresse IP DNS du DNS serveur 1 et l'adresse IP du serveur 2, spécifiez les adresses IP des DNS serveurs à utiliser. Pour utiliser le VPC DNS serveur, pour l'adresse IP DNS du serveur 1 ou l'adresse IP DNS du serveur 2, spécifiez les adresses IP et ajoutez l'adresse IP VPC DNS du serveur.

    Note

    Vérifiez que les DNS serveurs sont accessibles aux clients.

  10. (Facultatif) Par défaut, le point de VPN terminaison du client utilise le protocole de UDP transport. Pour utiliser le protocole de TCP transport à la place, pour Protocole de transport, sélectionnez TCP.

    Note

    UDPoffre généralement de meilleures performances queTCP. Vous ne pouvez pas modifier le protocole de transport après avoir créé le point de VPN terminaison client.

  11. (Facultatif) Pour que le point de terminaison soit un point de VPN terminaison client à tunnel partagé, activez Activer le tunnel partagé. Par défaut, le split-tunnel sur un point de VPN terminaison client est désactivé.

  12. (Facultatif) Pour VPCID, choisissez le VPC à associer au point de VPN terminaison du client. Pour Groupe de sécurité IDs, choisissez un ou plusieurs groupes VPC de sécurité à appliquer au point de VPN terminaison du client.

  13. (Facultatif) Pour VPNle port, choisissez le numéro de VPN port. La valeur par défaut est 443.

  14. (Facultatif) Pour générer un portail en libre-service URL pour les clients, activez Activer le portail en libre-service.

  15. (Facultatif) Pour les heures d'expiration de session, choisissez la durée maximale de VPN session souhaitée en heures parmi les options disponibles, ou laissez le paramètre par défaut de 24 heures.

  16. (Facultatif) Spécifiez si le texte de la bannière de connexion client doit être activé. Activez Enable client login banner (Activer la bannière de connexion cliente). Pour le texte de la bannière de connexion du client, entrez le texte qui sera affiché dans une bannière sur les clients AWS fournis lorsqu'une VPN session est établie. UTF-8 caractères codés uniquement. 1 400 caractères maximum.

  17. Choisissez Create Client VPN endpoint.

Après avoir créé le point de VPN terminaison client, procédez comme suit pour terminer la configuration et permettre aux clients de se connecter :

  • L'état initial du point de VPN terminaison du client estpending-associate. Les clients ne peuvent se connecter au point de VPN terminaison client qu'après avoir associé le premier réseau cible.

  • Créez une règle d'autorisation de manière à spécifier les clients qui ont accès au réseau.

  • Téléchargez et préparez le fichier de configuration du VPN point de terminaison client à distribuer à vos clients.

  • Demandez à vos clients d'utiliser le client AWS fourni ou une autre application client VPN basée sur Open pour se connecter au point de VPN terminaison du client. Pour plus d’informations, consultez le AWS Client VPN Guide de l’utilisateur .

Pour créer un point de VPN terminaison client (AWS CLI)

Utilisez la create-client-vpn-endpointcommande.