Utilizzo dei ruoli per AWS Client VPN - AWS Client VPN
Autorizzazioni di ruolo collegate al servizio per Client VPNCreazione di un ruolo collegato al servizio per Client VPNModifica di un ruolo collegato al servizio per Client VPNEliminazione di un ruolo collegato al servizio per Client VPNRegioni supportate per i ruoli collegati ai servizi client VPN

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei ruoli per AWS Client VPN

AWS Client VPN utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo unico di IAM ruolo collegato direttamente a Client. VPN I ruoli collegati al servizio sono predefiniti dal Cliente VPN e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS

Un ruolo collegato al servizio semplifica la configurazione di Client VPN perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Client VPN definisce le autorizzazioni dei suoi ruoli collegati al servizio e, se non diversamente definito, solo Client può assumerne i ruoli. VPN Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Ciò protegge le VPN risorse del cliente perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS i servizi che funzionano con IAM e cerca i servizi con nella colonna Ruoli collegati ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate al servizio per Client VPN

Il client VPN utilizza il ruolo collegato al servizio denominato AWSServiceRoleForClientVPN: Consenti VPN al client di creare e gestire risorse relative alle tue connessioni. VPN

Il ruolo AWSServiceRoleForClientVPNcollegato al servizio si affida al seguente servizio per l'assunzione del ruolo:

  • clientvpn.amazonaws.com

La politica di autorizzazione dei ruoli denominata C lientVPNService RolePolicy consente VPN al Client di completare le seguenti azioni sulle risorse specificate:

  • Operazione: ec2:CreateNetworkInterface su Resource: "*"

  • Operazione: ec2:CreateNetworkInterfacePermission su Resource: "*"

  • Operazione: ec2:DescribeSecurityGroups su Resource: "*"

  • Operazione: ec2:DescribeVpcs su Resource: "*"

  • Operazione: ec2:DescribeSubnets su Resource: "*"

  • Operazione: ec2:DescribeInternetGateways su Resource: "*"

  • Operazione: ec2:ModifyNetworkInterfaceAttribute su Resource: "*"

  • Operazione: ec2:DeleteNetworkInterface su Resource: "*"

  • Operazione: ec2:DescribeAccountAttributes su Resource: "*"

  • Operazione: ds:AuthorizeApplication su Resource: "*"

  • Operazione: ds:DescribeDirectories su Resource: "*"

  • Operazione: ds:GetDirectoryLimits su Resource: "*"

  • Operazione: ds:UnauthorizeApplication su Resource: "*"

  • Operazione: logs:DescribeLogStreams su Resource: "*"

  • Operazione: logs:CreateLogStream su Resource: "*"

  • Operazione: logs:PutLogEvents su Resource: "*"

  • Operazione: logs:DescribeLogGroups su Resource: "*"

  • Operazione: acm:GetCertificate su Resource: "*"

  • Operazione: acm:DescribeCertificate su Resource: "*"

  • Operazione: iam:GetSAMLProvider su Resource: "*"

  • Operazione: lambda:GetFunctionConfiguration su Resource: "*"

È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato al servizio per Client VPN

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei il primo VPN endpoint Client nel tuo account con il AWS Management Console, il o il AWS CLI AWS API, Client VPN crea per te il ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei il primo VPN endpoint Client nel tuo account, Client VPN crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato al servizio per Client VPN

Il client VPN non consente di modificare il ruolo collegato al AWSServiceRoleForClientVPN servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.

Eliminazione di un ruolo collegato al servizio per Client VPN

Se non è più necessario utilizzare ClientVPN, si consiglia di eliminare il ruolo collegato al AWSServiceRoleForClientVPNservizio.

È necessario innanzitutto eliminare le relative risorse ClientVPN. Questo ti impedisce di rimuovere accidentalmente l'autorizzazione ad accedere alle risorse.

Utilizza la IAM console IAMCLI, il o il IAM API per eliminare i ruoli collegati al servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Regioni supportate per i ruoli collegati ai servizi client VPN

Il client VPN supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.