將授權規則新增至 AWS Client VPN 端點

您可以使用新增授權規則，以授與或限制對 Client VPN 端點的存取權 AWS Management Console。 您可以使用 Amazon VPC 主控台或使用命令列或將授權規則新增至用戶VPN端端點API。

若要使用將授權規則新增至用戶VPN端端點 AWS Management Console

1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/。

2. 在導覽窗格中，選擇「用戶端VPN端點」。

3. 選取要新增授權規則的用戶VPN端端點，選擇「授權規則」，然後選擇「新增授權規則」。

4. 若要啟用存取的目的地網路，請以CIDR符號輸入您要使用者存取的網路 IP 位址 (例如，您的CIDR區塊VPC)。

5. 指定允許哪些用戶端存取指定的網路。對於 For grant access to (將存取權授與)，請執行以下其中一項：

   • 若准許所有用戶端存取，請選擇 Allow access to all users (允許所有使用者存取)。

   • 若要限制特定用戶端的存取權，請選擇 Allow access to users in a specific access group (允許特定存取群組中使用者的存取權)，然後在 Access group ID (存取群組 ID)中，輸入要授與存取權的群組 ID。例如，Active Directory 群組的安全性識別碼 (SID)，或以基礎為SAML基礎的身分識別提供者 (IdP) 中定義之群組的 ID/ 名稱。

     • (使用中目錄) 若要取得SID，您可以使用 Microsoft PowerShell 取得ADGroup指令程式，例如：

       Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

       或者，開啟 Active Directory 使用者和電腦工具，檢視群組的內容，移至「屬性編輯器」索引標籤，然後取得 objectSID 的值。如有必要，請先選擇檢視、進階功能以啟用「屬性編輯器」標籤。

     • (SAML以聯合為基礎的驗證) 群組 ID/Name 應該符合宣告中傳回的群組屬性資訊。SAML

6. 對於 Description (描述)，輸入授權規則的簡短描述。

7. 選擇 Add authorization rule (新增授權規則)。

如果要將授權規則新增至用戶端VPN端點 (AWS CLI)

使用指authorize-client-vpn-ingress令。