使用 Client VPN 角色 - AWS Client VPN
Client VPN 的服務連結角色許可建立 Client VPN 服務連結角色編輯 Client VPN 的服務連結角色刪除 Client VPN 的服務連結角色Client VPN 服務連結角色的支援區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Client VPN 角色

AWS Client VPN 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Client VPN 的一種特殊 IAM 角色類型。服務連結角色由 Client VPN 預先定義,並包含該服務代您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓設定 Client VPN 更為簡單,因為您不必手動新增必要的許可。Client VPN 定義其服務連結角色的許可,除非另有定義,否則僅有 Client VPN 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您 Client VPN 的資源,避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的 AWS 服務》,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

Client VPN 的服務連結角色許可

Client VPN 會使用名為 AWSServiceRoleForClientVPN 的服務連結角色 ─ 允許 Client VPN 建立和管理與 VPN 連結相關的資源。

AWSServiceRoleForClientVPN 服務連結角色信任下列服務來擔任此角色:

  • clientvpn.amazonaws.com

名為 ClientVPNServiceRolePolicy 的角色許可政策允許 Client VPN 對指定資源完成下列動作:

  • 動作:Resource: "*" 上的 ec2:CreateNetworkInterface

  • 動作:Resource: "*" 上的 ec2:CreateNetworkInterfacePermission

  • 動作:Resource: "*" 上的 ec2:DescribeSecurityGroups

  • 動作:Resource: "*" 上的 ec2:DescribeVpcs

  • 動作:Resource: "*" 上的 ec2:DescribeSubnets

  • 動作:Resource: "*" 上的 ec2:DescribeInternetGateways

  • 動作:Resource: "*" 上的 ec2:ModifyNetworkInterfaceAttribute

  • 動作:Resource: "*" 上的 ec2:DeleteNetworkInterface

  • 動作:Resource: "*" 上的 ec2:DescribeAccountAttributes

  • 動作:Resource: "*" 上的 ds:AuthorizeApplication

  • 動作:Resource: "*" 上的 ds:DescribeDirectories

  • 動作:Resource: "*" 上的 ds:GetDirectoryLimits

  • 動作:Resource: "*" 上的 ds:UnauthorizeApplication

  • 動作:Resource: "*" 上的 logs:DescribeLogStreams

  • 動作:Resource: "*" 上的 logs:CreateLogStream

  • 動作:Resource: "*" 上的 logs:PutLogEvents

  • 動作:Resource: "*" 上的 logs:DescribeLogGroups

  • 動作:Resource: "*" 上的 acm:GetCertificate

  • 動作:Resource: "*" 上的 acm:DescribeCertificate

  • 動作:Resource: "*" 上的 iam:GetSAMLProvider

  • 動作:Resource: "*" 上的 lambda:GetFunctionConfiguration

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

建立 Client VPN 服務連結角色

您不需要手動建立一個服務連結角色。當您使用 AWS Management Console、AWS CLI 或 AWS API 在帳戶中建立第一個 Client VPN 端點時,Client VPN 即會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在帳戶中建立第一個 Client VPN 端點時,Client VPN 會再次為您建立角色。

編輯 Client VPN 的服務連結角色

Client VPN 不允許您編輯 AWSServiceRoleForClientVPN 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除 Client VPN 的服務連結角色

如果您不再需要使用 Client VPN,建議您刪除 AWSServiceRoleForClientVPN 服務連結角色。

您必須先刪除相關的 Client VPN 資源。這可確保避免您不小心移除資源的存取許可。

使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

Client VPN 服務連結角色的支援區域

Client VPN 在所有提供該服務的區域中支援使用服務連結角色。如需詳細資訊,請參閱 AWS 區域與端點