Utilizzo dei ruoli per l'autorizzazione della connessione - AWS Client VPN
Autorizzazioni del ruolo collegato ai servizi per Client VPNCreazione di ruoli collegati ai servizi per Client VPNModifica di un ruolo collegato ai servizi per Client VPNEliminazione di un ruolo collegato ai servizi per Client VPNRegioni supportate per i ruoli collegati ai servizi Client VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei ruoli per l'autorizzazione della connessione

AWS Client VPN utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a un Client VPN. I ruoli collegati ai servizi sono definiti automaticamente da Client VPN e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per conto dell'utente.

Un ruolo collegato ai servizi semplifica la configurazione di Client VPN perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Client VPN definisce le autorizzazioni del ruolo associato ai servizi e, salvo diversamente definito, solo Client VPN può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Client VPN perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Yes (Sì) nella colonna Service-linked roles (Ruoli collegati ai servizi). Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Client VPN

Client VPN utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForClientVPNConnections: Role collegato ai servizi per le connessioni Client VPN

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForCodeClient VPNConnections considera attendibili i seguenti servizi:

  • clientvpn-connections.amazonaws.com

La policy delle autorizzazioni del ruolo denominata ClientVPNServiceConnectionsRolePolicy consente a Client VPN di eseguire le seguenti operazioni sulle risorse specificate:

  • Operazione: lambda:InvokeFunction su arn:aws:lambda:*:*:function:AWSClientVPN-*

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di ruoli collegati ai servizi per Client VPN

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei il primo endpoint Client VPN nel tuo account con AWS Management Console, AWS CLI o l’API AWS, Client VPN crea il ruolo collegato ai servizi per tuo conto.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Client VPN crea i ruoli collegati al servizio automaticamente quando crei il primo endpoint Client VPN nel tuo account.

Modifica di un ruolo collegato ai servizi per Client VPN

Client VPN non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForClientVPNConnections. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Client VPN

Se non occorre più utilizzare Client VPN, è consigliabile eliminare il ruolo collegato al servizio AWSServiceRoleForClientVPNConnections.

Devi innanzitutto eliminare le risorse Client VPN correlate. Questo ti impedisce di rimuovere accidentalmente l'autorizzazione ad accedere alle risorse.

Usa la console di IAM, l'interfaccia a riga di comando IAM oppure l'API IAM per eliminare il ruolo collegato ai servizi. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.

Regioni supportate per i ruoli collegati ai servizi Client VPN

Client VPN supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.