本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授權規則
授權規則做為授與存取網路的防火牆規則。透過新增授權規則,您可以授與特定的用戶端存取至指定的網路。您應該要有每個欲授與存取權之網路的授權規則。您可以使用主控台和 AWS CLI,將授權規則新增至 Client VPN 端點。
注意
評估授權規則時,Client VPN 會使用最長字首比對。請參閱《Amazon VPC 使用者指南》中的故障診斷主題 Active Directory 群組的授權規則未如預期般運作 和路由優先順序以取得更多詳細資訊。
將授權規則新增至 Client VPN 端點
使用 AWS Management Console 將授權規則新增至 Client VPN 端點
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。
-
選取要新增授權規則的 Client VPN 端點,選擇 Authorization rules (授權規則),然後選擇 Add authorization rule (新增授權規則)。
-
對於 Destination network to enable access (要啟用存取權限的目的地網路),請以 CIDR 標記法輸入您希望使用者存取的網路 IP 地址 (例如 VPC 的 CIDR 區塊)。
-
指定允許哪些用戶端存取指定的網路。對於 For grant access to (將存取權授與),請執行以下其中一項:
-
若准許所有用戶端存取,請選擇 Allow access to all users (允許所有使用者存取)。
-
若要限制特定用戶端的存取權,請選擇 Allow access to users in a specific access group (允許特定存取群組中使用者的存取權),然後在 Access group ID (存取群組 ID)中,輸入要授與存取權的群組 ID。例如,Active Directory 群組的安全性識別符 (SID),或在 SAML 型身分提供者 (IdP) 中定義的群組 ID/名稱。
-
(Active Directory) 若要取得 SID,您可以使用 Microsoft Powershell Get-ADGroup
cmdlet,例如: Get-ADGroup -Filter 'Name -eq "<
Name of the AD Group
>"'或者,開啟 Active Directory 使用者和電腦工具,檢視群組的內容,移至「屬性編輯器」索引標籤,然後取得
objectSID
的值。如有必要,請先選擇檢視、進階功能以啟用「屬性編輯器」標籤。 -
(SAML 型聯合身分驗證) 群組 ID/名稱應與 SAML 聲明中傳回的群組屬性資訊相符。
-
-
-
對於 Description (描述),輸入授權規則的簡短描述。
-
選擇 Add authorization rule (新增授權規則)。
將授權規則新增至用戶端 VPN 端點 (AWS CLI)
使用 authorize-client-vpn-ingress
從 Client VPN 端點移除授權規則
透過刪除授權規則,您可以移除對指定網路的存取權。
您可以使用主控台和 AWS CLI,從 Client VPN 端點移除授權規則。
從 Client VPN 端點移除授權規則 (主控台)
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。
-
選取已新增授權規則的 Client VPN 端點,然後選擇 Authorization rule (授權規則)。
-
選取要刪除的授權規則,選擇 Remove authorization rule (移除授權規則),然後選擇 Remove authorization rule (移除授權規則)。
從 Client VPN 端點移除授權規則 (AWS CLI)
使用 revoke-client-vpn-ingress
檢視授權規則
您可以使用主控台和 AWS CLI 檢視特定 Client VPN 端點的授權規則。
檢視授權規則 (主控台)
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 -
在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。
-
選取要檢視授權規則的 Client VPN 端點,然後選擇 Authorization rules (授權規則)。
檢視授權規則 (AWS CLI)
使用 describe-client-vpn-authorization-rules