O que é VPN do cliente da AWS? - AWS Client VPN
Recursos do VPN do ClienteComponentes do VPN do ClienteTrabalhar com o Cliente VPNDefinição de preço para VPN do Cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é VPN do cliente da AWS?

A VPN do cliente da AWS é um serviço de VPN gerenciado baseado no cliente que protege o acesso aos recursos da AWS e aos recursos na sua rede on-premises. Com o VPN do Cliente, você pode acessar seus recursos de qualquer local usando um cliente de VPN com base no OpenVPN.

Tópicos

Recursos do VPN do Cliente

O VPN do Cliente oferece os seguintes recursos e funcionalidades:

  • Conexões seguras: — fornece uma conexão TLS segura de qualquer local usando o cliente OpenVPN.

  • Serviço gerenciado: é um serviço gerenciado da AWS e, como tal, remove o peso operacional da implantação e do gerenciamento de uma solução de VPN com acesso remoto de terceiros.

  • Altamente disponível e elástico: escala automaticamente para o número de usuários que se conectam aos seus recursos da AWS e aos recursos on-premises.

  • Autenticação: oferece suporte para autenticação de cliente usando o Active Directory, a autenticação federada e a autenticação baseada em certificado.

  • Controle granular: permite implementar controles de segurança personalizados definindo regras de acesso baseadas na rede. Essas regras podem ser configuradas na granularidade dos grupos do Active Directory. Você também pode implementar o controle de acesso usando grupos de segurança.

  • Facilidade de uso: permite que você acesse seus recursos da AWS e recursos on-premises usando um único túnel de VPN.

  • Capacidade de gerenciamento: permite que você visualize logs de conexão, que fornecem detalhes sobre tentativas de conexão de clientes. Você também pode gerenciar conexões de clientes ativas, com a capacidade de encerrá-las.

  • Integração profunda: integra-se aos serviços da AWS existentes, incluindo o AWS Directory Service e a Amazon VPC.

Componentes do VPN do Cliente

Veja a seguir os principais conceitos de VPN do Cliente:

Endpoint do cliente VPN

O endpoint do cliente VPN é o recurso que você cria e configura para habilitar e gerenciar sessões do cliente VPN. É o ponto de término de todas as sessões da VPN do cliente.

Rede de destino

Uma rede de destino é a rede que você associa a um endpoint do cliente VPN. Uma sub-rede de uma VPC é uma rede de destino. Associar uma sub-rede a um endpoint do cliente VPN permite estabelecer sessões de VPN. Você pode associar várias sub-redes a um endpoint do cliente VPN para alta disponibilidade. Todas as sub-redes devem ser provenientes da mesma VPC. Cada sub-rede deve pertencer a uma Zona de disponibilidade diferente.

Rota

Cada endpoint do cliente VPN tem uma tabela de rotas que descreve as rotas de redes de destino disponíveis. Cada rota na tabela de rotas especifica o caminho do tráfego para recursos ou redes específicos.

Regras de autorização

Uma regra de autorização restringe os usuários que podem acessar uma rede. Para uma rede especificada, configure o grupo do provedor de identidade (IdP) ou do Active Directory que tem permissão de acesso. Somente os usuários pertencentes a esse grupo podem acessar a rede especificada. Por padrão, não há regras de autorização, e você deve configurá-las para permitir que os usuários acessem recursos e redes.

Cliente

O usuário final que se conecta ao endpoint do cliente VPN para estabelecer uma sessão de VPN. Para estabelecerem uma sessão de VPN, os usuários finais precisam fazer download de um cliente OpenVPN e usar o arquivo de configuração do VPN do Cliente que você criou.

Intervalo CIDR do cliente

Um intervalo de endereços IP do qual devem ser atribuídos endereços IP do cliente. Cada conexão com o endpoint do cliente VPN recebe um endereço IP exclusivo do intervalo CIDR do cliente. Você escolhe o intervalo CIDR do cliente, por exemplo, 10.2.0.0/16.

Portas VPN do cliente

A VPN do cliente da AWS é compatível com as portas 443 e 1194 para TCP e UDP. O padrão é a porta 443.

Interfaces de rede do VPN do Cliente

Quando você associa uma sub-rede ao endpoint do cliente VPN, criamos interfaces de rede do VPN do Cliente nessa sub-rede. O tráfego enviado para a VPC do endpoint do cliente VPN é enviado por meio de uma interface de rede do VPN do Cliente. A conversão de endereço de rede de origem (SNAT) é aplicada e o endereço IP de origem do intervalo CIDR do cliente é convertido no endereço IP da interface de rede do VPN do Cliente.

Registro em log de conexão

Você pode habilitar o registro em log de conexão para o endpoint do cliente VPN a fim de registrar eventos de conexão. Você pode usar essas informações para executar perícia, analisar como seu endpoint da cliente VPN está sendo usado ou depurar problemas de conexão.

Portal de autoatendimento

Um Cliente VPN fornece um portal de autoatendimento como uma página da Web para que os usuários finais baixem a versão mais recente do AWS VPN Desktop Client e a versão mais recente do arquivo de configuração do endpoint do Cliente VPN, que contém as configurações necessárias para se conectar ao endpoint. O administrador do endpoint do Cliente VPN pode habilitar ou desabilitar o portal de autoatendimento para o endpoint do Cliente VPN. O portal de autoatendimento é um serviço global apoiado por pilhas de serviços nas seguintes regiões: Leste dos EUA (Norte da Virgínia), Ásia-Pacífico (Tóquio), Europa (Irlanda) e AWS GovCloud (Oeste dos EUA).

Trabalhar com o Cliente VPN

Você pode trabalhar com o VPN do Cliente de qualquer uma das seguintes formas:

AWS Management Console

O console fornece uma interface de usuário baseada na Web para a Client VPN. Se tiver se registrado para uma Conta da AWS, você poderá fazer login no console da Amazon VPC e selecionar a Client VPN no painel de navegação.

AWS Command Line Interface (AWS CLI)

A AWS CLI fornece acesso direto às APIs públicas da cliente VPN. É compatível com Windows, macOS e Linux. Para obter mais informações sobre os conceitos básicos da AWS CLI, consulte o Guia do usuário do AWS Command Line Interface. Para obter mais informações sobre os comandos para a cliente VPN, consulte Referência de comando da AWS CLI.

AWS Tools for Windows PowerShell

AWSfornece comandos para um amplo conjunto de AWS ofertas para quem cria scripts no PowerShell ambiente. Para obter mais informações sobre os conceitos básicos do AWS Tools for Windows PowerShell, consulte o Guia do usuário do AWS Tools for Windows PowerShell. Para obter mais informações sobre cmdlets para a cliente VPN, consulte Referência de cmdlets do AWS Tools for Windows PowerShell.

API de consulta

A API de consulta HTTPS da cliente VPN proporciona acesso programático à cliente VPN e à AWS. A API de consulta HTTPS permite que você execute solicitações HTTPS diretamente para o serviço. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte Ações do AWS Client VPN.

Definição de preço para VPN do Cliente

Você é cobrado por cada associação de endpoint e cada conexão VPN por hora. Para obter mais informações, consulte Definição de preços do AWS Client VPN.

Você é cobrado pela transferência de dados do Amazon EC2 para a Internet. Para obter mais informações, consulte a seção Data Transfer (Transferência de dados) na página de definição de preços sob demanda do Amazon EC2.

Se você ativar o registro de conexão para seu endpoint do Client VPN, deverá criar um grupo de CloudWatch registros de registros em sua conta. Aplicam-se cobranças ao uso de grupos de log. Para obter mais informações, consulte os CloudWatch preços da Amazon (em Nível pago, escolha Logs).

Se você habilitar o manipulador de conexão do cliente para o endpoint do cliente VPN, será necessário criar e invocar uma função do Lambda. Cobranças são aplicadas ao invocar funções do Lambda. Para obter mais informações, consulte Definição de preços do AWS Lambda.

Os endpoints do Client VPN estão associados a uma rede de destino, que é uma sub-rede em uma VPC. Se essa VPC tiver um Internet Gateway, associaremos endereços IP elásticos às interfaces de rede elástica (ENIs) da VPN do cliente. Esses endereços IP elásticos são cobrados como endereços IPv4 públicos em uso. Para obter mais informações, consulte a guia Endereço IPv4 público na página de preços da VPC.