本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
客户端授权
客户端 VPN 支持两种类型的客户端授权:安全组和基于网络的授权(使用授权规则)。
安全组
创建客户端 VPN 终端节点时,您可以指定特定 VPC 中的安全组以应用到客户端 VPN 终端节点。当您将子网与客户端 VPN 终端节点关联时,我们会自动应用 VPC 的默认安全组。您可以在创建客户端 VPN 终端节点之后更改安全组。有关更多信息,请参阅将安全组应用于目标网络。安全组与客户端 VPN 网络接口关联。
您可以通过向应用程序的安全组添加规则,允许来自应用于关联的安全组的流量,从而允许客户端 VPN 用户在 VPC 中访问您的应用程序。
添加允许来自客户端 VPN 终端节点安全组的流量的规则
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 在导航窗格中,选择 Security Groups。
-
选择与您的资源或应用程序关联的安全组,然后选择操作、编辑入站规则。
-
选择 Add rule。
-
对于 Type (类型),请选择 All traffic (所有流量)。或者,您也可以限制访问特定类型的流量,例如 SSH。
对于源,请指定与客户端 VPN 终端节点的目标网络(子网)关联的安全组的 ID。
-
选择 Save rules (保存规则)。
反过来,您也可以通过不指定应用到关联的安全组或删除引用客户端 VPN 终端节点安全组的规则来限制客户端 VPN 用户的访问。您需要的安全组规则还可能取决于要配置的 VPN 访问类型。有关更多信息,请参阅AWS Client VPN 的场景和示例。
有关安全组的更多信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组。
基于网络的授权
使用授权规则实施基于网络的授权。对于每个要启用访问权限的网络,您必须配置授权规则来限制具有访问权限的用户。对于指定的网络,您可以配置允许访问的 Active Directory 组或基于 SAML 的 IdP 组。只有属于指定组的用户才能访问指定的网络。如果您未使用 Active Directory 或基于 SAML 的联合身份验证,或者您要对所有用户开放访问权限,则可以指定向所有客户端授予访问权限的规则。有关更多信息,请参阅授权规则。
