使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何为我的 Client VPN 用户提供访问 AWS 资源的权限?

1 分钟阅读
0

我想让 AWS Client VPN 用户建立从他们的终端设备到 AWS 资源的安全连接。

解决方法

在配置 Client VPN 对特定资源的访问权限之前,请先查看以下信息:

  • 当 Client VPN 端点关联到子网时,系统将在关联的子网中创建弹性网络接口。这些网络接口从子网的 CIDR 接收 IP 地址。
  • 建立 Client VPN 连接后,系统将在终端设备上创建虚拟隧道适配器(VTAP)。虚拟适配器从 Client VPN 端点的客户端 IPv4 CIDR 接收 IP 地址。
  • 当您将子网与 Client VPN 端点关联时,系统将在该子网中创建 Client VPN 网络接口。从 Client VPN 端点发送到虚拟私有云(VPC)的流量将通过 Client VPN 网络接口发送。然后,系统会应用源网络地址转换(SNAT)。这意味着来自客户端 CIDR 范围的源 IP 地址被转换为 Client VPN 网络接口 IP 地址。

要让您的 Client VPN 最终用户访问特定 AWS 资源,请执行以下操作:

  • 在 Client VPN 端点的关联子网和目标资源的网络之间配置路由。如果目标资源位于与端点关联的同一 VPC 中,则无需添加路由。在这种情况下,系统使用 VPC 的本地路由转发流量。如果目标资源不在与端点关联的同一 VPC 中,请在 Client VPN 端点的关联子网路由表中添加相应的路由。
  • 配置目标资源的安全组,以允许入站和出站流量通过 Client VPN 端点的关联子网。或者,要使用应用于端点的安全组,请在目标资源的安全组规则中引用附加到端点的安全组。
  • 配置目标资源的网络访问控制列表,以允许入站和出站流量通过 Client VPN 端点的关联子网。
  • 允许最终用户访问 Client VPN 端点的授权规则中的目标资源。有关更多信息,请参阅 AWS Client VPN authorization rules
  • 验证 Client VPN 路由表中是否有目标资源网络范围的路由。有关更多信息,请参阅 AWS Client VPN routesAWS Client VPN target networks
  • 允许出站流量访问 Client VPN 端点的关联安全组中的目标资源。

**注意:**当您有多个子网与 Client VPN 端点关联时,必须允许从每个 Client VPN 子网 CIDR 访问:

  • 目标资源的安全组
  • 目标资源的网络 ACL

根据用户访问的资源类型,创建建立连接所需的路由、安全组规则和授权规则。有关如何配置访问权限的信息,请参阅 Scenarios and examples for Client VPN

**注意:**根据您的使用案例,您可以建立与 VPC 的 Client VPN 连接,并继续通过本地网关路由互联网流量。为此,请设置分割隧道 Client VPN 端点

相关信息

How AWS Client VPN works

AWS 官方
AWS 官方已更新 2 个月前