授权规则 - AWS Client VPN
将授权规则添加到 Client VPN 终端节点从 Client VPN 终端节点中删除授权规则查看授权规则

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授权规则

授权规则充当授予网络访问权限的防火墙规则。通过添加授权规则,您可以向特定客户端授予对指定网络的访问权限。对于要授予访问权限的每个网络,您都应该设置一个授权规则。您可以使用控制台和 AWS CLI 向 Client VPN 终端节点添加授权规则。

注意

在评估授权规则时,Client VPN 会使用最长前缀匹配。有关更多详细信息,请参阅 Amazon VPC 用户指南中的故障排查主题 Active Directory 组的授权规则未按预期工作路由优先级

目录

将授权规则添加到 Client VPN 终端节点

使用 AWS Management Console为 Client VPN 终端节点添加授权规则

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Client VPN Endpoints(Client VPN 终端节点)。

  3. 选择要向其中添加授权规则的 Client VPN 终端节点,然后依次选择 Authorization rules(授权规则)和 Add authorization rule(添加授权规则)。

  4. 对于 Destination network to enable access(要启用访问的目标网络),输入您希望用户访问的 IP 地址,以 CIDR 表示法表示(例如,VPC 的 CIDR 块)。

  5. 指定允许哪些客户端访问指定的网络。对于 For grant access to (将访问权限授予),执行以下操作之一:

    • 要向所有客户端授予访问权限,请选择 Allow access to all users (允许所有用户访问)

    • 要将访问限制到特定客户端,请选择 Allow access to users in a specific access group (允许特定访问组中的用户进行访问),然后对于 Access group ID (访问组 ID),输入要授予访问权限的组的 ID。例如,Active Directory 组的安全标识符 (SID),或在基于 SAML 的身份提供商 (IdP) 中定义的组的 ID/名称。

      • (Active Directory) 要获取 SID,您可以使用 Microsoft Powershell Get-ADGroup cmdlet,例如:

        Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

        或者,打开“Active Directory 用户和计算机”工具,查看组的属性,转到“属性编辑器”选项卡,获取 objectSID 的值。如有必要,请先选择查看高级功能以启用“属性编辑器”选项卡。

      • (基于 SAML 的联合身份验证)组 ID/名称应与 SAML 断言中返回的组属性信息匹配。

  6. 对于 Description (描述),输入授权规则的简要描述。

  7. 选择 Add authorization rule (添加授权规则)

将授权规则添加到 Client VPN 终端节点 (AWS CLI)

使用 authorize-client-vpn-ingress 命令。

从 Client VPN 终端节点中删除授权规则

通过删除授权规则,您可以删除对指定的网络的访问权限。

您可以使用控制台和 AWS CLI 从 Client VPN 终端节点中删除授权规则。

从 Client VPN 终端节点中删除授权规则(控制台)

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Client VPN Endpoints(Client VPN 终端节点)。

  3. 选择授权规则添加到的 Client VPN 终端节点,然后选择 Authorization rules(授权规则)。

  4. 选择要删除的授权规则,然后依次选择 Remove authorization rule(删除授权规则)和 Remove authorization rule(删除授权规则)。

从 Client VPN 终端节点中删除授权规则 (AWS CLI)

使用 revoke-client-vpn-ingress 命令。

查看授权规则

您可以使用控制台和 AWS CLI 查看特定 Client VPN 终端节点的授权规则。

查看授权规则(控制台)

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Client VPN Endpoints(Client VPN 终端节点)。

  3. 选择要查看其授权规则的 Client VPN 终端节点,然后选择 Authorization rules(授权规则)。

查看授权规则 (AWS CLI)

使用 describe-client-vpn-authorization-rules 命令。