クライアント VPN のサービスにリンクされたロールの使用 - AWS クライアント VPN

クライアント VPN のサービスにリンクされたロールの使用

AWS Client VPN は、ユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可に、サービスにリンクされたロールを使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用」を参照してください。

クライアント VPN のサービスにリンクされたロールのアクセス許可

AWS Client VPN は、Client VPN エンドポイントを使用するときに、[AWSServiceRoleForClientVPN] という名前のサービスにリンクされたロールを使用して、ユーザーに代わって以下のアクションを呼び出します。

  • ec2:CreateNetworkInterface

  • ec2:CreateNetworkInterfacePermission

  • ec2:DescribeSecurityGroups

  • ec2:DescribeVpcs

  • ec2:DescribeSubnets

  • ec2:DescribeInternetGateways

  • ec2:ModifyNetworkInterfaceAttribute

  • ec2:DeleteNetworkInterface

  • ec2:DescribeAccountAttributes

  • ds:AuthorizeApplication

  • ds:DescribeDirectories

  • ds:GetDirectoryLimits

  • ds:ListAuthorizedApplications

  • ds:UnauthorizeApplication

  • lambda:GetFunctionConfiguration

  • logs:DescribeLogStreams

  • logs:CreateLogStream

  • logs:PutLogEvents

  • logs:DescribeLogGroups

  • acm:GetCertificate

  • acm:DescribeCertificate

AWSServiceRoleForClientVPN サービスにリンクされたロールは、ロールを継承するために clientvpn.amazonaws.com プリンシパルを信頼します。

Client VPN エンドポイントにクライアント接続ハンドラーを使用する場合、Client VPN は [AWSServiceRoleForClientVPNConnections] という名前のサービスにリンクされたロールを使用します。このロールは、[ClientVPNServiceConnectionsRolePolicy] ポリシーから、Client VPN がユーザーに代わって Lambda 関数のアクセス許可を取得します。ポリシーでは、AWSClientVPN- プレフィックスが付加された Lambda 関数でのみ lambda:InvokeFunction アクションが許可されます。詳細については、「接続承認」を参照してください。

クライアント VPN のサービスにリンクされたロールの作成

AWSServiceRoleForClientVPN ロールまたは AWSServiceRoleForClientVPNConnections ロールを手動で作成する必要はありません。アカウントに最初のクライアント VPN エンドポイントを作成すると、クライアント VPN によってロールが作成されます。

クライアント VPN がユーザーに代わってサービスにリンクされたロールを作成するには、必要なアクセス許可がユーザーに付与されている必要があります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

クライアント VPN のサービスにリンクされたロールの編集

AWSServiceRoleForClientVPN サービスにリンクされたロールまたは AWSServiceRoleForClientVPNConnections サービスにリンクされたロールを編集することはできません。

クライアント VPN のサービスにリンクされたロールの削除

クライアント VPN を使用する必要がなくなった場合は、 AWSServiceRoleForClientVPN サービスにリンクされたロールおよび AWSServiceRoleForClientVPNConnections サービスにリンクされたロールを削除することをお勧めします。

まず、関連するクライアント VPN リソースを削除する必要があります。これにより、リソースに対するアクセス許可を誤って削除することがなくなります。

サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。