无法为Client VPN配置AWS SSO(IAM Identity Center)身份验证
【以下的问题经过翻译处理】 根据此文章,我设置了Client VPN endpoint。(https://aws.amazon.com/ko/blogs/security/authenticate-aws-client-vpn-users-with-aws-single-sign-on/)在我仅使用示例中的授权规则,Client VPN可以顺利工作。但我添加了一些其他规则,它就不能正常工作了。这是我的示例。
AWS SSO group:
- Group1:可以访问VPC中的所有IP范围(10.1.0.0/16)。
- Group2:只能访问私有子网2(10.1.255.192/27)。
VPC设置:
- VPC:10.1.0.0/16
- 私有子网1:10.1.0.0/18
- 私有子网2:10.1.255.192/27
- …
授权规则:
- 启用访问的目标网络:10.1.0.0/16,授权访问的用户组:特定组中的用户,访问组ID:Group1 ID。
- 启用访问的目标网络:10.1.255.192/27,授权访问的用户组:特定组中的用户,访问组ID:Group2 ID。
通过这些配置,Group2可以很好地访问10.1.255.192/27,但Group1无法访问10.1.255.192/27(包括在10.1.0.0/16范围内)。我不知道为什么Group1无法访问10.1.255.192/27。请告诉我谁知道它发生了什么。
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 你所看到的是预期的行为。
请参见下面的两个部分并从我分享的链接中查看样例。
注意事项
当评估授权规则时,客户端VPN使用“最长前缀匹配”。有关详细信息,请参见故障排除主题 Authorization rules for Active Directory groups not working as expected 和Amazon VPC用户指南中的路由优先级。
问题
我为我的Active Directory组配置了授权规则,但它们没有按照我的期望工作。我添加了一条针对0.0.0.0/0的授权规则,以授权所有网络的流量,但特定目标CIDR的流量仍然失败。
原因
授权规则在网络CIDR上进行索引。授权规则必须授予Active Directory组访问特定的网络CIDRs。对于0.0.0.0/0的授权规则被处理为一种特殊情况,因此无论创建授权规则的顺序如何,它们都将最后进行评估。
例如,假设您按以下顺序创建了五条授权规则:
- 规则1:允许组1访问10.1.0.0/16
- 规则2: 允许组1访问0.0.0.0/0
- 规则3: 允许组2访问0.0.0.0/0
- 规则4: 允许组3访问0.0.0.0/0
- 规则5: 允许组2访问172.131.0.0/16
在此示例中,规则2、规则3和规则4最后才被评估。组1 仅能访问10.1.0.0/16,组2仅能访问172.131.0.0/16。组3不能访问10.1.0.0/16或172.131.0.0/16,但能访问这两个CIDR以外的网路。如果您移除规则1和规则5,则3个组均能访问所有网络。
解决方法:确保您创建的授权规则中显式允许了AD组访问特定网络CIDR。例如,如果您添加了允许访问0.0.0.0/0的规则,请留意这个规则的评估顺序在最后,在它之前的授权规则可能会决定AD组实际能访问的网络CIDR。
参考:https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html
相关内容
AWS 官方已更新 1 年前- AWS 官方已更新 3 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 5 个月前
