Regras de autorização - AWSClient VPN

Regras de autorização

Regras de autorização atuam como regras de firewall que concedem acesso a redes. Adicionando regras de autorização, você concede acesso à rede especificada a clientes específicos. Você deve ter uma regra de autorização para cada rede à qual deseja conceder acesso. É possível adicionar regras de autorização a um endpoint do Client VPN usando o console e a AWS CLI.

nota

O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte o tópico sobre solução de problemas Regras de autorização para grupos do Active Directory não funcionando conforme esperado e Prioridade de rota no Guia do usuário do Amazon VPC para obter mais detalhes.

Adicionar uma regra de autorização a um endpoint do Client VPN

Para adicionar uma regra de autorização a um endpoint do cliente VPN usando AWS Management Console

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN que você deseja adicionar à regra de autorização, selecione Authorization (Autorização) e Authorize ingress (Autorizar entrada).

  4. Em Destination network (Rede de destino), insira o endereço IP, em notação CIDR, da rede que você deseja que os usuários acessem (por exemplo, o bloco CIDR da VPC).

  5. Especifique quais clientes têm permissão para acessar a rede especificada. Em For grant access to (Para conceder acesso a), siga um destes procedimentos:

    • Para conceder acesso a todos os clientes, escolha Allow access to all users (Permitir acesso a todos os usuários).

    • Para restringir o acesso a clientes específicos, escolha Permitir acesso a usuários em um grupo de acesso específico e, em ID do grupo de acesso, insira o ID do grupo ao qual conceder acesso. Por exemplo, o identificador de segurança (SID) de um grupo do Active Directory ou o ID/nome de um grupo definido em um provedor de identidade baseado em SAML (IdP).

      • (Active Directory) Para conseguir o SID, você pode usar o cmdlet Get-ADGroup do Microsoft PowerShell, por exemplo:

        Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

        Como alternativa, abra a ferramenta Usuários e Computadores do Active Directory, visualize as propriedades do grupo, acesse a guia Editor de atributos e obtenha o valor de objectSID. Se necessário, primeiro selecione View (Visualizar), Advanced Features (Recursos avançados) para habilitar a guia Editor de atributos.

      • (Autenticação federada baseada em SAML) O ID/nome do grupo deve corresponder às informações de atributo de grupo retornadas na declaração SAML.

  6. Em Descrição, insira uma breve descrição da regra de autorização.

  7. Escolha Adicionar regra de autorização.

Adicionar uma regra de autorização a um endpoint do Client VPN (AWS CLI)

Use o comando authorize-client-vpn-ingress.

Remover uma regra de autorização de um endpoint do Client VPN

Ao excluir uma regra de autorização, você remove o acesso à rede especificada.

É possível remover regras de autorização de um endpoint do Client VPN usando o console e a AWS CLI.

Para remover uma regra de autorização de um endpoint do Client VPN (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN ao qual a regra de autorização foi adicionado e escolha Authorization (Autorização).

  4. Selecione a regra de autorização a ser excluída, escolha Revoke ingress (Revogar entrada) e depois Revoke ingress (Revogar entrada).

Para remover uma regra de autorização de um endpoint do Client VPN (AWS CLI)

Use o comando revoke-client-vpn-ingress.

Visualizar regras de autorização

É possível visualizar regras de autorização de um endpoint específico do Client VPN usando o console e a AWS CLI.

Para visualizar regras de autorização (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o Client VPN endpoint para o qual visualizar regras de autorização e escolha Authorization (Autorização).

Para visualizar regras de autorização (AWS CLI)

Use o comando describe-client-vpn-authorization-rules.