As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar perfis para autorização de conexão
A AWS Client VPN usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente à Client VPN. Os perfis vinculados ao serviço são predefinidos pela Client VPN e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço facilita a configuração da Client VPN porque você não precisa adicionar as permissões necessárias manualmente. A Client VPN define as permissões de seus perfis vinculadas ao serviço e, exceto se definido de outra forma, somente a Client VPN pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.
Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos da Client VPN, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com funções vinculadas aos serviços, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Funções vinculadas aos serviços. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de função vinculada ao serviço para o Client VPN
A Client VPN usa o perfil vinculado ao serviço chamada AWSServiceRoleForClientVPNConnections: perfil vinculado ao serviço para conexões da Client VPN.
O perfil vinculado ao serviço AWSServiceRoleForClientVPNConnections confia nos seguintes serviços para assumir o perfil:
-
clientvpn-connections.amazonaws.com
A política de permissões do perfil chamada ClientVPNServiceConnectionsRolePolicy permite que a Client VPN conclua as seguintes ações nos recursos especificados:
-
Ação:
lambda:InvokeFunctionemarn:aws:lambda:*:*:function:AWSClientVPN-*
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de função vinculada a serviços) no Guia do usuário do IAM.
Criação de perfis vinculados ao serviço para a Client VPN
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria o primeiro endpoint da Client VPN em sua conta com o AWS Management Console, a AWS CLI, a ou a AWS API, a Client VPN cria o perfil vinculado ao serviço para você.
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria o primeiro endpoint da Client VPN em sua conta, a Client VPN cria o perfil vinculado ao serviço para você novamente.
Editar uma função vinculada ao serviço para o Client VPN
A Client VPN não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForClientVPNConnections. Depois que criar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Exclusão de uma função vinculada ao serviço para o Client VPN
Se você não precisar mais usar a Client VPN, é recomendável excluir o perfil vinculado ao serviço AWSServiceRoleForClientVPNConnections.
Você deve primeiro excluir os recursos do Client VPN relacionados. Isso garante que você não remova por engano a permissão para acessar os recursos.
Use o console, a CLI ou a API do IAM para excluir funções vinculadas ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Regiões compatíveis com perfis vinculados ao serviço da Client VPN
A Client VPN é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.
