我想要讓 AWS Client VPN 使用者建立從其終端裝置到 AWS 資源的安全連線。
解決方法
在您設定 Client VPN 對特定資源的存取權之前,請檢閱下列資訊:
- 當用戶端 VPN 端點關聯到子網路時,會在關聯的子網路中建立彈性網路介面。這些網路介面會從子網路的 CIDR 接收 IP 地址。
- 建立用戶端 VPN 連線後,會在終端裝置上建立虛擬通道介面卡 (VTAP)。虛擬介面卡會從用戶端 VPN 端點的用戶端 IPv4 CIDR 接收 IP 地址。
- 當您將子網路與用戶端 VPN 端點關聯時,會在該子網路中建立用戶端 VPN 網路介面。系統會透過 Client VPN 網路介面,將流量從 Client VPN 端點傳送至虛擬私有雲端 (VPC),接著便套用來源網路位址轉譯 (SNAT)。這表示用戶端 CIDR 範圍中的來源 IP 位址,會轉譯為 Client VPN 網路介面 IP 位址。
若要讓用戶端 VPN 終端使用者存取特定 AWS 資源,請執行以下動作:
- 設定用戶端 VPN 端點的關聯子網路與目標資源網路之間的路由。如果目標資源位於與端點關聯的相同 VPC 中,則無須新增路由。在這種情況下,會使用 VPC 的本機路由來轉送流量。如果目標資源不在與端點關聯的相同 VPC 中,則在用戶端 VPN 端點的關聯子網路路由表中新增相應的路由。
- 設定目標資源的安全性群組,以允許入站和出站流量通過客戶端 VPN 端點的關聯子網路。或者,為了使用在端點上套用的安全群組,參考目標資源的安全群組規則中附加到端點的安全群組。
- 設定目標資源的網路存取控制清單 (network ACL),以允許入站和出站流量通過客戶端 VPN 端點的關聯子網路。
- 允許終端使用者存取用戶端 VPN 端點授權規則中的目標資源。如需詳細資訊,請參閱 AWS Client VPN authorization rules。
- 確認用戶端 VPN 路由表是否具有目標資源網路範圍的路由。如需詳細資訊,請參閱 AWS Client VPN routes 和 AWS Client VPN target networks。
- 允許對用戶端 VPN 端點關聯安全性群組中的目標資源進行出站存取。
**注意:**若您有多個子網路與 Client VPN 端點相關聯,則必須允許從每個 Client VPN 子網路 CIDR 存取:
根據使用者存取的資源類型,建立連線所需的路由、安全群組規則及授權規則。如需有關如何設定存取權的資訊,請參閱 Scenarios and examples for Client VPN。
**注意:**根據您的使用案例,您可以建立與 VPC 的 Client VPN 連線,並繼續透過本機閘道路由網際網路流量。若要這麼做,請設定分割通道用戶端 VPN 端點。
相關資訊
AWS Client VPN 的運作方式