Wie gewähre ich meinen Client-VPN-Benutzern Zugriff auf AWS-Ressourcen?
Ich möchte, dass meine Benutzer von AWS Client VPN eine sichere Verbindung von ihren Endgeräten zu AWS-Ressourcen herstellen.
Behebung
Bevor Sie den Client-VPN-Zugriff auf bestimmte Ressourcen konfigurieren, überprüfen Sie die folgenden Informationen:
- Wenn ein Client-VPN-Endpunkt einem Subnetz zugeordnet ist, werden elastische Netzwerkschnittstellen im zugehörigen Subnetz erstellt. Diese Netzwerkschnittstellen erhalten IP-Adressen vom CIDR des Subnetzes.
- Wenn eine Client-VPN-Verbindung hergestellt wird, wird ein virtueller Tunneladapter (VTAP) auf dem Endgerät erstellt. Der virtuelle Adapter erhält eine IP-Adresse vom Client-IPv4-CIDR des Client-VPN-Endpunkts.
- Wenn Sie Ihrem Client-VPN-Endpunkt ein Subnetz zuordnen, werden Client-VPN-Netzwerkschnittstellen in diesem Subnetz erstellt. Datenverkehr, der vom Client-VPN-Endpunkt an die Virtual Private Cloud (VPC) gesendet wird, wird über eine Client-VPN-Netzwerkschnittstelle gesendet. Dann wird Source Network Address Translation (SNAT) angewendet. Das bedeutet, dass die Quell-IP-Adresse aus dem Client-CIDR-Bereich in die IP-Adresse der Client-VPN-Netzwerkschnittstelle übersetzt wird.
Um Ihren Client-VPN-Endbenutzern Zugriff auf bestimmte AWS-Ressourcen zu gewähren:
- Konfigurieren Sie das Routing zwischen dem zugehörigen Subnetz des Client-VPN-Endpunkts und dem Netzwerk der Zielressource. Wenn sich die Zielressource in derselben VPC befindet, die dem Endpunkt zugeordnet ist, müssen Sie keine Route hinzufügen. In diesem Fall wird die lokale Route der VPC verwendet, um den Verkehr weiterzuleiten. Wenn sich die Zielressource nicht in derselben VPC befindet, die dem Endpunkt zugeordnet ist, fügen Sie die entsprechende Route zur zugeordneten Subnetz-Routentabelle des Client-VPN-Endpunkts hinzu.
- Konfigurieren Sie die Sicherheitsgruppe der Zielressource so, dass eingehender und ausgehender Datenverkehr über das dem Client-VPN-Endpunkt zugeordnete Subnetz zugelassen wird. Oder verweisen Sie zur Nutzung von Sicherheitsgruppen, die auf den Endpunkt angewendet wurden, in der Sicherheitsgruppenregel der Zielressource auf die Sicherheitsgruppe, die dem Endpunkt zugeordnet ist.
- Konfigurieren Sie die Network Access Control List (Netzwerk-ACL) der Zielressource, um eingehenden und ausgehenden Datenverkehr über die zugehörigen Subnetze des Client-VPN-Endpunkts zuzulassen.
- Erlauben Sie Endbenutzern in der Autorisierungsregel des Client-VPN-Endpunkts den Zugriff auf die Zielressourcen. Weitere Informationen finden Sie unter AWS-Client-VPN-Autorisierungsregel.
- Stellen Sie sicher, dass die Client-VPN-Routentabelle eine Route für den Netzwerkbereich der Zielressource enthält. Weitere Informationen finden Sie unter AWS-Client-VPN-Routen und AWS-Client-VPN-Zielnetzwerke.
- Erlauben Sie ausgehenden Zugriff auf die Zielressourcen in der zugeordneten Sicherheitsgruppe des Client-VPN-Endpunkts.
Hinweis: Wenn Ihrem Client-VPN-Endpunkt mehr als ein Subnetz zugeordnet ist, müssen Sie von jedem der Client-VPN-Subnetz-CIDRs aus Zugriff auf Folgendes gewähren:
- Die Sicherheitsgruppen der Zielressource
- Die Netzwerk-ACLs der Zielressource
Erstellen Sie die Routen, Sicherheitsgruppenregeln und Autorisierungsregeln, die zum Herstellen der Konnektivität erforderlich sind, basierend auf dem Ressourcentyp, auf den Ihre Benutzer zugreifen. Informationen zur Konfiguration des Zugriffs finden Sie unter Szenarien und Beispiele für Client-VPN.
Hinweis: Je nach Anwendungsfall können Sie eine Client-VPN-Verbindung zu VPCs herstellen und den Internetverkehr weiterhin über das lokale Gateway weiterleiten. Richten Sie dazu einen Split-Tunnel-Client-VPN-Endpunkt ein.
Ähnliche Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor einem Monat
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 2 Monaten
- AWS OFFICIALAktualisiert vor 2 Monaten