Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Che cos'è AWS Client VPN?
AWS Client VPN è un servizio VPN gestito basato su client che consente di accedere in modo sicuro alle AWS risorse e alle risorse della rete locale. Con Client VPN, puoi accedere alle risorse da qualsiasi luogo tramite un client VPN basato su OpenVPN.
Argomenti
Caratteristiche di Client VPN
Client VPN offre le seguenti caratteristiche e funzionalità:
-
Connessioni sicure: offre una connessione sicura TLS da qualsiasi luogo tramite il client OpenVPN.
-
Servizio gestito: è un servizio AWS gestito, quindi elimina l'onere operativo dell'implementazione e della gestione di una soluzione VPN di accesso remoto di terze parti.
-
Disponibilità ed elasticità elevate: si adatta automaticamente al numero di utenti che si connettono alle tue AWS risorse e alle risorse locali.
-
Autenticazione: supporta l'autenticazione client utilizzando Active Directory, l'autenticazione federata e l'autenticazione basata su certificati.
-
Controllo granulare: consente di implementare controlli di sicurezza personalizzati tramite la definizione di regole di accesso di rete. Tali regole possono essere configurate a livello di gruppi di Active Directory. Puoi implementare il controllo degli accessi anche utilizzando i gruppi di sicurezza.
-
Facilità d'uso: consente di accedere alle AWS risorse e alle risorse locali utilizzando un unico tunnel VPN.
-
Gestibilità: consente di visualizzare i log di connessione che forniscono informazioni sui tentativi di connessione dei client. Puoi inoltre gestire le connessioni client attive con la possibilità di terminarle.
-
Integrazione profonda: si integra con i AWS servizi esistenti, tra cui AWS Directory Service Amazon VPC.
Componenti di Client VPN
Di seguito sono elencati i concetti fondamentali relativi a Client VPN:
- Endpoint Client VPN
-
L'endpoint Client VPN è la risorsa che crei e configuri per abilitare e gestire le sessioni Client VPN. È il punto di chiusura per tutte le sessioni VPN client.
- Rete target
-
Una rete target è la rete che associ a un endpoint Client VPN. Una sottorete di un VPC è una rete target. L'associazione di una sottorete a un endpoint Client VPN ti consente di stabilire le sessioni VPN. Puoi associare più sottoreti a un endpoint Client VPN per elevata disponibilità. Tutte le sottoreti devono provenire dallo stesso VPC. Ogni sottorete deve appartenere a una zona di disponibilità diversa.
- Route
-
Ogni endpoint Client VPN ha una tabella di routing che descrive le route disponibili della rete di destinazione. Ogni route nella tabella di routing specifica il percorso del traffico a determinate risorse o reti.
- Regole di autorizzazione
-
Una regola di autorizzazione limita gli utenti che possono accedere a una rete. Per una rete specificata, configuri il gruppo di Active Directory o provider di identità (IdP) a cui è consentito accedere. Solo gli utenti appartenenti a questo gruppo possono accedere alla rete specificata. Per impostazione predefinita, non sono definite regole di autorizzazione ed è necessario configurarle per consentire agli utenti di accedere alle risorse e alle reti.
- Client
-
La connessione dell'utente finale all'endpoint Client VPN per stabilire una sessione VPN. Gli utenti finali devono scaricare un client OpenVPN e utilizzare il file di configurazione VPN Client creato per stabilire una sessione VPN.
- Intervallo CIDR client
-
Intervallo di indirizzi IP da cui assegnare gli indirizzi IP del client. A ogni connessione all'endpoint Client VPN viene assegnato un indirizzo IP univoco dall'intervallo CIDR del client. Si sceglie l'intervallo CIDR client, ad esempio,
10.2.0.0/16. - Porte Client VPN
-
AWS Client VPN supporta le porte 443 e 1194 sia per TCP che UDP. La porta 443 è predefinita.
- Interfacce di rete Client VPN
-
Quando associ una sottorete all'endpoint Client VPN, vengono create le interfacce di rete Client VPN nella sottorete. Il traffico inviato al VPC dall'endpoint Client VPN viene inviato tramite un'interfaccia di rete Client VPN. Viene quindi applicata la Source Network Address Translation (SNAT), dove l'indirizzo IP di origine dell'intervallo CIDR client viene convertito nell'indirizzo IP dell'interfaccia di rete Client VPN.
- Registrazione delle connessioni
-
Puoi abilitare la registrazione delle connessioni per l'endpoint Client VPN per registrare gli eventi di connessione. Puoi utilizzare queste informazioni per eseguire analisi forensi, analizzare come l'endpoint Client VPN viene utilizzato o eseguire il debug dei problemi di connessione.
- Portale self-service
-
VPN Cliente fornisce un portale self-service come pagina Web per consentire agli utenti finali di scaricare la versione più recente del Client Desktop AWS VPN e la versione più recente del file di configurazione dell'endpoint di VPN Cliente che contiene le impostazioni necessarie per connettersi al proprio endpoint. L'amministratore dell'endpoint VPN Cliente può abilitare o disabilitare un portale self-service per l'endpoint di VPN Cliente. Il portale self-service è un servizio globale supportato da stack di servizi nelle seguenti regioni: Stati Uniti orientali (Virginia settentrionale), Asia Pacifico (Tokyo), Europa (Irlanda) e AWS GovCloud (Stati Uniti occidentali).
Utilizzo di Client VPN
Puoi utilizzare Client VPN in uno dei modi seguenti:
- AWS Management Console
-
La console Amazon VPC fornisce un'interfaccia utente basata sul Web per Client VPN. Se ti sei registrato a Account AWS, puoi accedere alla console Amazon VPC
e selezionare Client VPN nel pannello di navigazione. - AWS Command Line Interface (AWS CLI)
-
AWS CLI Fornisce l'accesso diretto al pubblico Client VPN APIs. ed è supportata su Windows, macOS e Linux. Per ulteriori informazioni su come iniziare a usare AWS CLI, consulta la Guida AWS Command Line Interface per l'utente. Per ulteriori informazioni sui comandi per Client VPN, consulta Riferimento per i comandi della AWS CLI
. - AWS Tools for Windows PowerShell
-
AWS fornisce comandi per un'ampia gamma di AWS offerte per coloro che utilizzano script nell'PowerShell ambiente. Per ulteriori informazioni su come iniziare a utilizzare AWS Tools for Windows PowerShell, consulta la Guida per l'utente di AWS Tools for Windows PowerShell. Per ulteriori informazioni sui cmdlet per Client VPN, consulta la Documentazione di riferimento dei cmdlet di AWS Tools for Windows PowerShell.
- API della query
-
L'API Client VPN HTTPS Query ti offre l'accesso programmatico a Client VPN e AWS. L'API della query HTTPS ti consente di eseguire richieste HTTPS direttamente al servizio. Quando utilizzi le API HTTPS, devi includere il codice per firmare in modo digitale le richieste utilizzando le tue credenziali. Per ulteriori informazioni, consulta Operazioni di AWS Client VPN.
Prezzi per Client VPN
Ti viene addebitato un addebito per ogni associazione di endpoint e ogni connessione VPN su base oraria. Per ulteriori informazioni, consulta Prezzi di AWS Client VPN
Ti viene addebitato un costo per il trasferimento dei dati da Amazon EC2 a Internet. Per ulteriori informazioni, consulta Data Transfer
Se abiliti la registrazione delle connessioni per il tuo endpoint Client VPN, devi creare un gruppo di log CloudWatch Logs nel tuo account. Si applicano addebiti per l'utilizzo dei gruppi di log. Per ulteriori informazioni, consulta CloudWatch i prezzi di Amazon
Se attivi l'handler di connessioni client per l'endpoint Client VPN devi creare e richiamare una funzione Lambda. Per richiamare le funzioni Lambda sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta Prezzi di AWS Lambda
Gli endpoint Client VPN sono associati a una rete di destinazione, che è una sottorete in un VPC. Se questo VPC dispone di un Internet Gateway, associamo gli indirizzi IP elastici alle interfacce di rete elastiche Client VPN (). ENIs Questi indirizzi IP elastici vengono addebitati come indirizzi pubblici in uso. IPv4 Per ulteriori informazioni, consulta la scheda IPv4 Indirizzo pubblico nella pagina dei prezzi del VPC
