Como posso fornecer acesso aos recursos da AWS para meus usuários do Client VPN?
Os usuários do meu AWS Client VPN querem estabelecer uma conexão segura entre seus dispositivos finais e os recursos da AWS.
Solução
Antes de configurar o acesso do Client VPN a recursos específicos, revise as seguintes informações:
- Quando um endpoint do Client VPN é associado a uma sub-rede, interfaces de rede elásticas são criadas na sub-rede associada. Essas interfaces de rede recebem endereços IP do CIDR da sub-rede.
- Quando uma conexão do Client VPN é estabelecida, um adaptador de túnel virtual (VTAP) é criado no dispositivo final. O adaptador virtual recebe um endereço IP do CIDR IPv4 do cliente do endpoint do Client VPN.
- Quando você associa uma sub-rede ao seu endpoint do Client VPN, interfaces de rede do Client VPN são criadas nessa sub-rede. O tráfego enviado para a VPC a partir do endpoint do Client VPN é enviado por meio de uma interface de rede do Client VPN. Em seguida, a tradução de endereços de rede de origem (SNAT) é aplicada. Isso significa que o endereço IP de origem do intervalo CIDR do cliente é convertido para o endereço IP da interface de rede do Client VPN.
Para dar aos usuários finais do Client VPN acesso a recursos específicos da AWS:
- Configure o roteamento entre a sub-rede associada ao endpoint do Client VPN e a rede do recurso de destino. Se o recurso de destino estiver na mesma nuvem privada virtual (VPC) associada ao endpoint, você não precisará adicionar uma rota. Nesse caso, a rota local da VPC é usada para encaminhar o tráfego. Se o recurso de destino não estiver na mesma VPC associada ao endpoint, adicione a respectiva rota na tabela de rotas de sub-rede associadas ao endpoint do Client VPN.
- Configure o grupo de segurança do recurso de destino para permitir tráfego de entrada e saída por meio da sub-rede associada ao endpoint do Client VPN. Ou, para usar os grupos de segurança aplicados no endpoint, faça referência ao grupo de segurança anexado ao endpoint na regra do grupo de segurança do recurso de destino.
- Configure a lista de controle de acesso à rede (ACL da rede) do recurso de destino para permitir tráfego de entrada e saída por meio das sub-redes associadas ao endpoint do Client VPN.
- Permita que o usuário final acesse os recursos de destino na regra de autorização do endpoint do Client VPN. Para obter mais informações, consulte Criar regras de autorização do Client VPN.
- Verifique se a tabela de rotas do Client VPN tem uma rota para o intervalo de rede do recurso de destino. Para obter mais informações, consulte Rotas do AWS Client VPN e redes de destino do AWS Client VPN.
- Permita acesso de saída aos recursos de destino no grupo de segurança associado ao endpoint do Client VPN.
**Observação:**Quando você tem mais de uma sub-rede associada ao seu endpoint de VPN cliente, você deve permitir o acesso de cada um dos CIDRs da sub-rede VPN do cliente para:
- Os grupos de segurança do recurso de destino
- As ACLs de rede do recurso de destino
Crie as rotas, as regras do grupo de segurança e as regras de autorização necessárias para estabelecer conectividade, com base no tipo de recurso que seus usuários estão acessando. Para obter informações sobre como configurar o acesso, consulte Cenários e exemplos do Client VPN.
**Observação:**Com base no seu caso de uso, você pode estabelecer uma conexão do Client VPN com VPCs e continuar a rotear o tráfego da Internet pelo gateway local. Para fazer isso, configure um endpoint do Client VPN de túnel dividido.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos