授權規則 - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權規則

授權規則做為授與存取網路的防火牆規則。透過新增授權規則,您可以授與特定的用戶端存取至指定的網路。您應該要有每個欲授與存取權之網路的授權規則。您可以使用主控台和 AWS CLI,將授權規則新增至 Client VPN 端點。

注意

評估授權規則時,Client VPN 會使用最長字首比對。請參閱《Amazon VPC 使用者指南》中的故障診斷主題 Active Directory 群組的授權規則未如預期般運作路由優先順序以取得更多詳細資訊。

將授權規則新增至 Client VPN 端點

使用 AWS Management Console 將授權規則新增至 Client VPN 端點
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。

  3. 選取要新增授權規則的 Client VPN 端點,選擇 Authorization rules (授權規則),然後選擇 Add authorization rule (新增授權規則)。

  4. 對於 Destination network to enable access (要啟用存取權限的目的地網路),請以 CIDR 標記法輸入您希望使用者存取的網路 IP 地址 (例如 VPC 的 CIDR 區塊)。

  5. 指定允許哪些用戶端存取指定的網路。對於 For grant access to (將存取權授與),請執行以下其中一項:

    • 若准許所有用戶端存取,請選擇 Allow access to all users (允許所有使用者存取)。

    • 若要限制特定用戶端的存取權,請選擇 Allow access to users in a specific access group (允許特定存取群組中使用者的存取權),然後在 Access group ID (存取群組 ID)中,輸入要授與存取權的群組 ID。例如,Active Directory 群組的安全性識別符 (SID),或在 SAML 型身分提供者 (IdP) 中定義的群組 ID/名稱。

      • (Active Directory) 若要取得 SID,您可以使用 Microsoft Powershell Get-ADGroup cmdlet,例如:

        Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

        或者,開啟 Active Directory 使用者和電腦工具,檢視群組的內容,移至「屬性編輯器」索引標籤,然後取得 objectSID 的值。如有必要,請先選擇檢視進階功能以啟用「屬性編輯器」標籤。

      • (SAML 型聯合身分驗證) 群組 ID/名稱應與 SAML 聲明中傳回的群組屬性資訊相符。

  6. 對於 Description (描述),輸入授權規則的簡短描述。

  7. 選擇 Add authorization rule (新增授權規則)。

將授權規則新增至用戶端 VPN 端點 (AWS CLI)

使用 authorize-client-vpn-ingress 命令。

從 Client VPN 端點移除授權規則

透過刪除授權規則,您可以移除對指定網路的存取權。

您可以使用主控台和 AWS CLI,從 Client VPN 端點移除授權規則。

從 Client VPN 端點移除授權規則 (主控台)
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。

  3. 選取已新增授權規則的 Client VPN 端點,然後選擇 Authorization rule (授權規則)。

  4. 選取要刪除的授權規則,選擇 Remove authorization rule (移除授權規則),然後選擇 Remove authorization rule (移除授權規則)。

從 Client VPN 端點移除授權規則 (AWS CLI)

使用 revoke-client-vpn-ingress 命令。

檢視授權規則

您可以使用主控台和 AWS CLI 檢視特定 Client VPN 端點的授權規則。

檢視授權規則 (主控台)
  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。

  3. 選取要檢視授權規則的 Client VPN 端點,然後選擇 Authorization rules (授權規則)。

檢視授權規則 (AWS CLI)

使用 describe-client-vpn-authorization-rules 命令。