Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo dei ruoli per AWS Client VPN
AWS Client VPN utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo unico di IAM ruolo collegato direttamente a Client. VPN I ruoli collegati al servizio sono predefiniti dal Cliente VPN e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS
Un ruolo collegato al servizio semplifica la configurazione di Client VPN perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Client VPN definisce le autorizzazioni dei suoi ruoli collegati al servizio e, se non diversamente definito, solo Client può assumerne i ruoli. VPN Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Ciò protegge le VPN risorse del cliente perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS i servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruoli collegati ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni di ruolo collegate al servizio per Client VPN
Il client VPN utilizza il ruolo collegato al servizio denominato AWSServiceRoleForClientVPN: Consenti VPN al client di creare e gestire risorse relative alle tue connessioni. VPN
Il ruolo AWSServiceRoleForClientVPNcollegato al servizio si affida al seguente servizio per l'assunzione del ruolo:
-
clientvpn.amazonaws.com
La politica di autorizzazione dei ruoli denominata C lientVPNService RolePolicy consente VPN al Client di completare le seguenti azioni sulle risorse specificate:
-
Operazione:
ec2:CreateNetworkInterface
suResource: "*"
-
Operazione:
ec2:CreateNetworkInterfacePermission
suResource: "*"
-
Operazione:
ec2:DescribeSecurityGroups
suResource: "*"
-
Operazione:
ec2:DescribeVpcs
suResource: "*"
-
Operazione:
ec2:DescribeSubnets
suResource: "*"
-
Operazione:
ec2:DescribeInternetGateways
suResource: "*"
-
Operazione:
ec2:ModifyNetworkInterfaceAttribute
suResource: "*"
-
Operazione:
ec2:DeleteNetworkInterface
suResource: "*"
-
Operazione:
ec2:DescribeAccountAttributes
suResource: "*"
-
Operazione:
ds:AuthorizeApplication
suResource: "*"
-
Operazione:
ds:DescribeDirectories
suResource: "*"
-
Operazione:
ds:GetDirectoryLimits
suResource: "*"
-
Operazione:
ds:UnauthorizeApplication
suResource: "*"
-
Operazione:
logs:DescribeLogStreams
suResource: "*"
-
Operazione:
logs:CreateLogStream
suResource: "*"
-
Operazione:
logs:PutLogEvents
suResource: "*"
-
Operazione:
logs:DescribeLogGroups
suResource: "*"
-
Operazione:
acm:GetCertificate
suResource: "*"
-
Operazione:
acm:DescribeCertificate
suResource: "*"
-
Operazione:
iam:GetSAMLProvider
suResource: "*"
-
Operazione:
lambda:GetFunctionConfiguration
suResource: "*"
È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Autorizzazioni dei ruoli collegati ai servizi nella Guida per l'utente. IAM
Creazione di un ruolo collegato al servizio per Client VPN
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei il primo VPN endpoint Client nel tuo account con il AWS Management Console, il o il AWS CLI AWS API, Client VPN crea per te il ruolo collegato al servizio.
Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei il primo VPN endpoint Client nel tuo account, Client VPN crea nuovamente il ruolo collegato al servizio per te.
Modifica di un ruolo collegato al servizio per Client VPN
Il client VPN non consente di modificare il ruolo collegato al AWSServiceRoleForClientVPN servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.
Eliminazione di un ruolo collegato al servizio per Client VPN
Se non è più necessario utilizzare ClientVPN, si consiglia di eliminare il ruolo collegato al AWSServiceRoleForClientVPNservizio.
È necessario innanzitutto eliminare le relative risorse ClientVPN. Questo ti impedisce di rimuovere accidentalmente l'autorizzazione ad accedere alle risorse.
Utilizza la IAM console IAMCLI, il o il IAM API per eliminare i ruoli collegati al servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM
Regioni supportate per i ruoli collegati ai servizi client VPN
Il client VPN supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.