使用角色进行连接授权

AWS Client VPN 使用 AWS Identity and Access Management（IAM）服务相关角色。服务相关角色是一种与 Client VPN 直接关联的独特类型的 IAM 角色。服务相关角色由 Client VPN 预定义，并包含服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色可让您更轻松地设置 Client VPN，因为您不必手动添加必要的权限。Client VPN 定义其服务相关角色的权限，除非另外定义，否则只有 Client VPN 可以代入该角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其它 IAM 实体的权限策略。

只有在首先删除相关资源后，才能删除服务相关角色。这将保护您的 Client VPN 资源，因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息，请参阅与 IAM 配合使用的 AWS 服务，并查找 Service-linked roles（服务相关角色）列中显示为 Yes（是）的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

客户端 VPN 的服务相关角色权限

Client VPN 使用名为 AWSServiceRoleForClientVPNConnections 的服务相关角色 – Client VPN 连接的服务相关角色。

AWSServiceRoleForClientVPNConnections 服务相关角色信任以下服务以代入该角色：

• clientvpn-connections.amazonaws.com

名为 ClientVPNServiceConnectionsRolePolicy 的角色权限策略可以让 Client VPN 对指定资源完成以下操作：

• 操作：arn:aws:lambda:*:*:function:AWSClientVPN-* 上的 lambda:InvokeFunction

必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅 IAM 用户指南中的服务相关角色权限。

为 Client VPN 创建服务相关角色

无需手动创建服务相关角色。当您使用 AWS Management Console、AWS CLI 或 AWS API 在账户中创建第一个 Client VPN 端点时，Client VPN 将为您创建服务相关角色。

如果删除此服务相关角色，然后需要再次创建，可以使用相同流程在账户中重新创建此角色。当您在账户中创建第一个 Client VPN 端点时，Client VPN 将再次为您创建服务相关角色。

编辑客户端 VPN 的服务相关角色

Client VPN 不允许您编辑 AWSServiceRoleForClientVPNConnections 服务相关角色。创建服务相关角色后，将无法更改角色名称，因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息，请参阅 IAM 用户指南中的编辑服务相关角色。

删除客户端 VPN 的服务相关角色

如果您不再需要使用 Client VPN，我们建议您删除 AWSServiceRoleForClientVPNConnections 服务相关角色。

您必须首先删除相关的客户端 VPN 资源。这可确保您不会无意中删除访问这些资源的权限。

使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息，请参见 IAM 用户指南中的删除服务相关角色。

Client VPN 服务相关角色的受支持区域

Client VPN 支持在服务可用的所有区域中使用服务相关角色。有关更多信息，请参阅 AWS 区域和终端节点。