クライアント VPN の Identity and Access Management - AWS クライアント VPN

クライアント VPN の Identity and Access Management

AWS ではセキュリティ認証情報を使用して、ユーザーを識別し、AWS リソースへのアクセスを付与します。AWS Identity and Access Management (IAM)の機能を使用して、他のユーザー、サービス、およびアプリケーションが完全にまたは制限付きでお客様の AWS リソースを使用できるようにします。その際、お客様のセキュリティ認証情報は共有されません。

デフォルトでは、IAM ユーザーには、AWSリソースを作成、表示、変更するためのアクセス許可はありません。IAM ユーザーがクライアント VPN エンドポイントなどのリソースにアクセスし、タスクを実行できるようにするには、IAM ポリシーを作成する必要があります。このポリシーでは、IAM ユーザーに、必要な特定のリソースおよび API アクションを使用するアクセス許可を 付与する必要があります。次に、IAM ユーザーが属する IAM ユーザーまたはグループにそのポリシーをアタッチします。ポリシーをユーザーまたはユーザーのグループに添付する場合、ポリシーによって特定リソースの特定タスクを実行するユーザーの権限が許可または拒否されます。

たとえば、次のポリシーでは、読み取り専用アクセスを有効にします。ユーザーはクライアント VPN エンドポイントとそのコンポーネントを表示できますが、作成、変更、削除はできません。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeClientVpnRoutes", "ec2:DescribeClientVpnAuthorizationRules", "ec2:DescribeClientVpnConnections", "ec2:DescribeClientVpnTargetNetworks", "ec2:DescribeClientVpnEndpoints" ], "Resource": "*" } ] }

リソースレベルのアクセス許可を使用して、ユーザーがクライアント VPN アクションを呼び出すときに使用できるリソースを制限することもできます。たとえば、次のポリシーでは、クライアント VPN エンドポイントに purpose=test タグがある場合に限り、ユーザーにクライアント VPN エンドポイントの操作を許可します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteClientVpnEndpoint", "ec2:ModifyClientVpnEndpoint", "ec2:AssociateClientVpnTargetNetwork", "ec2:DisassociateClientVpnTargetNetwork", "ec2:ApplySecurityGroupsToClientVpnTargetNetwork", "ec2:AuthorizeClientVpnIngress", "ec2:CreateClientVpnRoute", "ec2:DeleteClientVpnRoute", "ec2:RevokeClientVpnIngress" ], "Resource": "arn:aws:ec2:*:*:client-vpn-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/purpose": "test" } } } ] }

IAM の詳細については、IAM ユーザーガイドを参照してください。クライアント VPN アクションを含む Amazon EC2 アクションのリストについては、 IAM ユーザーガイドの「Amazon EC2 のアクション、リソース、条件キー」を参照してください。