授權 - AWS Client VPN

授權

Client VPN 支援兩種授權類型:安全群組和網路類型授權 (使用授權規則)。

安全群組

建立 Client VPN 端點時,您可以從特定 VPC 指定要套用至 Client VPN 端點的安全群組。當您將子網路與 Client VPN 端點建立關聯時,我們會自動套用 VPC 的預設安全群組。您可以在建立 Client VPN 端點後變更安全群組。如需更多詳細資訊,請參閱 將安全群組套用到目標網路。安全群組與 Client VPN 網路界面相關聯。

您可以將規則新增到應用程式的安全群組以允許套用到關聯安全群組所傳來的流量,讓 Client VPN 使用者可以存取 VPC 中的應用程式。

新增規則,允許來自 Client VPN 端點安全群組的流量

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Security Groups (安全群組)

  3. 選擇與您的資源或應用程式相關聯的安全性群組,然後選擇動作編輯傳入規則

  4. 選擇 Add rule (新增規則)。

  5. 針對 Type (類型),選擇 All traffic (所有流量)。或者,您可以限制存取特定類型的流量,例如 SSH

    針對 Source (來源),指定與 Client VPN 端點目標網路 (子網路) 相關聯的安全群組 ID。

  6. 選擇 Save rules (儲存規則)

相反地,您可以藉由不指定套用至關聯的安全群組,或是移除參考 Client VPN 端點安全群組的規則,來限制 Client VPN 使用者的存取。您需要的安全群組規則也可能取決於您要設定的 VPN 存取種類。如需更多詳細資訊,請參閱 案例和範例

如需安全群組的詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 的安全群組

以網路為基礎的授權

以網路為基礎的授權是使用授權規則來實作。對於您想要啟用存取的每個網路,您必須設定授權規則來限制有存取權的使用者。對於指定的網路,請設定允許存取的 Active Directory 群組或 SAML 型 IdP 群組。只有屬於指定群組的使用者,才可以存取指定的網路。如果您不是使用 Active Directory 或 SAML 型同盟驗證,或是您希望開放所有使用者的存取權,您可以指定規則來將存取權授與給所有用戶端。如需更多詳細資訊,請參閱 授權規則