教學課程:開始使用已驗證存取 - AWS 驗證存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:開始使用已驗證存取

使用此教學課程開始使用「AWS已驗證存取」。您將學習如何建立和設定已驗證存取資源。

在將此應用程序添加到驗證訪問之前,該應用程序只能通過您的私人網絡訪問。在本教程結束時,特定用戶可以通過 Internet 訪問相同的應用程序,而無需使用 VPN。

注意

此範例並未示範與裝置型信任提供者的整合。在此範例中,我們只使用以身分識別為基礎的信任提供者。

必要條件

以下是本教學課程的先決條件:

  • 為了演示這個例子使用驗證訪問,我們將使用兩個AWS 帳戶。一個帳戶將託管您的目標應用程序,並且將在另一個帳戶中創建「已驗證訪問」資源。

  • 在您正AWS IAM Identity Center在AWS 區域使用的內容中啟用。然後,您可以使用 IAM 身分中心做為具有已驗證存取權的信任提供者。如需詳細資訊,請參閱AWS IAM Identity Center使用者指南中的啟用 IAM 身分中心

  • 公用託管網域,以及更新網域 DNS 記錄所需的權限。

  • 在內部負載平衡器後方執行的應用程式AWS 帳戶。我們將使用的範例應用程式網域名稱為www.myapp.example.com

  • 確保您的 IAM 政策具有建立此處所述的AWS驗證存取執行個體所需的所有必要許可建立驗證存取執行個體的政策

步驟 1:建立已驗證存取執行個體

請使用下列程序來建立「已驗證存取權」執行個體。

若要建立已驗證存取權限實例
  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在 Amazon VPC 導覽窗格中,選擇「已驗證存取執行個體」,然後選擇「建立驗證存取執行個體」。

  3. (選擇性) 在名稱說明中,輸入已驗證存取權執行個體的名稱和說明。

  4. 若為「信任提供者」,請保留預設選項。

  5. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  6. 選擇建立已驗證存取執行個體

步驟 2:設定信任提供者

您可以設置AWS IAM Identity Center為您的信任提供商。

若要建立 IAM 身分中心信任提供者
  1. 在 Amazon VPC 導覽窗格中,選擇「已驗證存取信任提供者」,然後選擇「建立已驗證存取信任提供者」。

  2. (選擇性) 在名稱標籤說明中,輸入已驗證存取權信任提供者的名稱和說明。

  3. 輸入自訂識別碼,以便稍後在使用原則參照名稱的原則規則時使用。例如,您可以輸入idc

  4. 在 [信任提供者類型] 底下,選取 [使用者信任

  5. 在 [使用者信任提供者類型] 下,選取 [IAM 身分中心

  6. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  7. 選擇建立已驗證存取信任提供者

步驟 3:將您的信任提供者附加至執行個體

請使用下列程序將信任提供者附加至您的「已驗證存取權」執行個體。

將信任提供者附加至您的執行個體
  1. 在 Amazon VPC 導覽窗格中,選擇已驗證存取執行個體

  2. 選取執行個體。

  3. 選擇 [動作]、[附加已驗證存取權限信任

  4. 針對已驗證存取信任提供者,請選擇您的信任提供者

  5. 選擇附加已驗證存取信任提供者

步驟 4:建立已驗證的存取群組

讓我們建立一個群組,供您在下一個步驟中建立的端點使用。

建立已驗證存取群組
  1. 在 Amazon VPC 導覽窗格中,選擇 [已驗證存取群組],然後選擇 [建立已驗證存取群組]。

  2. (選擇性) 在名稱標籤說明中,輸入群組的名稱和說明。

  3. 針對已驗證存取執行個體,選擇您的已驗證存取執行

  4. 針對「原則」定義,請保留此空白。您將在本教學課程稍後建立策略。

  5. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  6. 選擇建立已驗證的存取群組

步驟 5:透過分享您的驗證存取群組 AWS Resource Access Manager

在此步驟中,您將與目標應用程式執行所AWS 帳戶在的群組共用剛建立的群組。若要共用已驗證存取群組,您必須將其新增至資源共用。如果您沒有資源共用,則必須先建立一個資源共用。

如果您是中組織的一員AWS Organizations,且已啟用組織內的共用功能,則組織中的取用者會自動授與共用「已驗證存取」群組的存取權。否則,取用者會收到加入資源共用的邀請,並在接受邀請後授與共用「已驗證存取」群組的存取權。

依照《AWS RAM 使用者指南》中建立資源共享的步驟進行。針對 [選取資源類型],選擇 [已驗證存取權群組],然後選取 [已驗證存取權] 群組的核取方塊。

如需詳細資訊,請參閱《AWS RAM 使用者指南》中的「入門」

步驟 6:建立端點以新增應用程式

使用下列程序建立端點。此步驟假設您有一個應用程式在 Elastic Load Balancing 的內部負載平衡器後方執行。

建立已驗證存取端點
  1. 在 Amazon VPC 導覽窗格中,選擇「已驗證存取端點」,然後選擇「建立已驗證存取端點」。

  2. (選擇性) 在名稱標籤說明中,輸入端點的名稱和說明。

  3. 針對「已驗證存取」群組,選擇「已驗證存取」群組

  4. 關申請詳細信息,請執行以下操作:

    1. 應用程式網域中,輸入應用程式的 DNS 名稱。

    2. 網域憑證 ARN 下,選取公用 TLS 憑證的 Amazon 資源名稱 (ARN)。

  5. 如需端點詳細資訊,請執行下列動作:

    1. Attachment type (連接類型)中,選擇 VPC

    2. 對於安全群組,請選取要與端點關聯的安全群組。

    3. 針對端點網域前置詞,輸入自訂識別碼。這會附加在「已驗證存取」產生的 DNS 名稱之前。在這個例子中,我們可以使用my-ava-app.

    4. 針對端點類型,選擇負載平衡器

    5. 對於通訊協定,請選取 HTTPSHTTP。這取決於負載平衡器的組態。

    6. 針對 Port (連接埠),輸入連接埠號碼。這取決於負載平衡器的組態。

    7. 對於負載平衡器 ARN,請選擇您的負載平衡器。

    8. 針對子網路,選取與負載平衡器相關聯的子網路。

  6. 對於策略定義,此時請勿輸入策略。我們將在後面的教程中介紹這一點。

  7. (選用) 若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的鍵和值。

  8. 選擇建立已驗證存取端點

步驟 7:設定 DNS 設定

在此步驟中,您會將應用程式的網域名稱 (例如 www.myapp.example.com) 對應至已驗證存取端點的網域名稱。若要完成 DNS 對應,請與您的 DNS 提供者建立正式名稱記錄 (CNAME)。建立 CNAME 記錄之後,使用者對應用程式的所有要求都會傳送至「已驗證存取」。

取得端點的網域名稱
  1. 在 Amazon VPC 導覽窗格中,選擇「已驗證存取端點」。

  2. 選取您先前建立的端點。

  3. 選擇端點的「詳細資訊」索引標籤。

  4. 從端點網域下複製端點網域

在本教學課程中,端點的網域名稱將為my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com

使用您的 DNS 提供者建立 CNAME 記錄:

記錄名稱 Type

我的例子

CNAME

my-ava-app. 邊緣 -1a2b3c4c4d5d5c6f7g. 驗證的訪問. 我們西部-亞馬遜

步驟 8:測試應用程式的連線

您現在可以測試應用程式的連線能力。在網頁瀏覽器中輸入應用程式的網域名稱。「已驗證存取」原則的預設行為是拒絕所有要求。由於我們尚未制定允許任何人訪問的策略,因此應拒絕所有請求。

步驟 9:設定群組層級存取原則

使用下列程序修改「已驗證存取」群組,並設定允許連線至應用程式的存取原則。政策的詳細資料將取決於 IAM 身分中心中設定的使用者和群組。如需有關建立策略的資訊,請參閱驗證存取政策

修改已驗證存取群組
  1. 在 Amazon VPC 導覽窗格中,選擇已驗證存取群組

  2. 選擇 群組。

  3. 選擇 [動作]、[修改已驗證存取群組原則

  4. 輸入策略。

  5. 選擇修改已驗證的存取群組原則

步驟 10:重新測試連線

現在您的群組原則已就緒,您可以存取您的應用程式。在網頁瀏覽器中輸入應用程式的網域名稱。該請求應該被允許,並且您應該被重定向到應用程序。

清除

完成測試後,請按照以下步驟刪除已建立的資源。

若要刪除使用此教學課程建立的已驗證存取資源
  1. 在 Amazon VPC 導覽窗格中,選擇「已驗證存取端點」。選取要移除的端點。選擇 [動作]、[刪除已驗證存取端點

  2. 在功能窗格中,選擇 [已驗證存取群組]。選取您要移除的群組。選擇 [動作]、[刪除已驗證存取群組 注意-您可能需要等待幾分鐘,直到端點刪除程序完成。

  3. 在 Amazon VPC 導覽窗格中,選擇已驗證存取執行個體。選取您為此自學課程建立的例證。選擇 [動作]、[卸離已驗證存取信任提供 從下拉式清單中選取信任提供者,然後選擇卸離已驗證的存取信任提供者

  4. 在 Amazon VPC 導覽窗格中,選擇「已驗證存取信任提供者」。選取您為此教學課程建立的信任提供者。選擇 [動作]、[刪除已驗證存取信任提供

  5. 在 Amazon VPC 導覽窗格中,選擇已驗證存取執行個體。選取您為此自學課程建立的例證。選擇「動作」,「刪除已驗證的存取權