我想让 AWS Client VPN 用户建立从他们的终端设备到 AWS 资源的安全连接。
解决方法
在配置 Client VPN 对特定资源的访问权限之前,请先查看以下信息:
- 当 Client VPN 端点关联到子网时,系统将在关联的子网中创建弹性网络接口。这些网络接口从子网的 CIDR 接收 IP 地址。
- 建立 Client VPN 连接后,系统将在终端设备上创建虚拟隧道适配器(VTAP)。虚拟适配器从 Client VPN 端点的客户端 IPv4 CIDR 接收 IP 地址。
- 当您将子网与 Client VPN 端点关联时,系统将在该子网中创建 Client VPN 网络接口。从 Client VPN 端点发送到虚拟私有云(VPC)的流量将通过 Client VPN 网络接口发送。然后,系统会应用源网络地址转换(SNAT)。这意味着来自客户端 CIDR 范围的源 IP 地址被转换为 Client VPN 网络接口 IP 地址。
要让您的 Client VPN 最终用户访问特定 AWS 资源,请执行以下操作:
- 在 Client VPN 端点的关联子网和目标资源的网络之间配置路由。如果目标资源位于与端点关联的同一 VPC 中,则无需添加路由。在这种情况下,系统使用 VPC 的本地路由转发流量。如果目标资源不在与端点关联的同一 VPC 中,请在 Client VPN 端点的关联子网路由表中添加相应的路由。
- 配置目标资源的安全组,以允许入站和出站流量通过 Client VPN 端点的关联子网。或者,要使用应用于端点的安全组,请在目标资源的安全组规则中引用附加到端点的安全组。
- 配置目标资源的网络访问控制列表,以允许入站和出站流量通过 Client VPN 端点的关联子网。
- 允许最终用户访问 Client VPN 端点的授权规则中的目标资源。有关更多信息,请参阅 AWS Client VPN authorization rules。
- 验证 Client VPN 路由表中是否有目标资源网络范围的路由。有关更多信息,请参阅 AWS Client VPN routes 和 AWS Client VPN target networks。
- 允许出站流量访问 Client VPN 端点的关联安全组中的目标资源。
**注意:**当您有多个子网与 Client VPN 端点关联时,必须允许从每个 Client VPN 子网 CIDR 访问:
根据用户访问的资源类型,创建建立连接所需的路由、安全组规则和授权规则。有关如何配置访问权限的信息,请参阅 Scenarios and examples for Client VPN。
**注意:**根据您的使用案例,您可以建立与 VPC 的 Client VPN 连接,并继续通过本地网关路由互联网流量。为此,请设置分割隧道 Client VPN 端点。
相关信息
How AWS Client VPN works