¿Cómo puedo proporcionar a mis usuarios de AWS Client VPN acceso a los recursos de AWS?

Resolución

Antes de configurar el acceso VPN a recursos específicos, tenga en cuenta lo siguiente:

• Cuando se asocia un extremo de AWS Client VPN a una subred, se crean interfaces de red elásticas en la subred asociada. Estas interfaces de red reciben direcciones IP del CIDR de la subred.
• Cuando se establece una conexión AWS Client VPN, se crea un adaptador de túnel virtual (VTAP) en el dispositivo final. El adaptador virtual recibe una dirección IP del CIDR IPv4 del cliente del punto de conexión de AWS Client VPN.
• Al asociar una subred a su punto de conexión de AWS Client VPN, las interfaces de red de AWS Client VPN se crean en esa subred. El tráfico que se envía a la VPC desde el punto de conexión de AWS Client VPN se envía a través de una interfaz de red de AWS Client VPN. A continuación, se aplica la traducción de direcciones de red de origen (SNAT), donde la dirección IP de origen del rango CIDR del cliente se traduce a la dirección IP de la interfaz de red de AWS Client VPN.

Para que sus usuarios finales de AWS Client VPN tengan acceso a recursos de AWS específicos:

• Configure el enrutamiento entre la subred asociada al punto de conexión de AWS Client VPN y la red del recurso de destino. Si el recurso de destino se encuentra en la misma nube virtual privada (VPC) que está asociada al punto de conexión, no es necesario que añada una ruta. En este caso, la ruta local de la VPC se utiliza para reenviar el tráfico. Si el recurso de destino no está en la misma VPC que está asociada al punto de conexión, añada la ruta correspondiente a la tabla de enrutamiento de subred asociada al punto de conexión de AWS Client VPN.
• Configure el grupo de seguridad del recurso de destino para permitir el tráfico entrante y saliente a través de la subred asociada al punto de conexión de AWS Client VPN. O bien, utilice los grupos de seguridad aplicados al punto de conexión haciendo referencia al grupo de seguridad adjunto al punto de conexión en la regla del grupo de seguridad del recurso de destino.
• Configure la lista de control de acceso de la red (ACL de la red) del recurso de destino para permitir el tráfico entrante y saliente a través de las subredes asociadas al punto de conexión de AWS Client VPN.
• Permita que el usuario final acceda a los recursos de destino en la regla de autorización del punto de conexión de AWS Client VPN. Para obtener más información, consulte Reglas de autorización.
• Compruebe que la tabla de enrutamiento de AWS Client VPN tenga una ruta para el rango de red del recurso de destino. Para obtener más información, consulte Rutas y Redes de destino.
• Permita el acceso saliente a los recursos de destino en el grupo de seguridad asociado al punto de conexión de AWS Client VPN.

Nota: Si tiene más de una subred asociada a su punto de conexión de AWS Client VPN, debe permitir el acceso desde cada uno de los CIDR de la subred de AWS Client VPN a:

• Los grupos de seguridad del recurso de destino
• Las ACL de red del recurso de destino

Cree las rutas, las reglas del grupo de seguridad y las reglas de autorización necesarias para establecer la conectividad, en función del tipo de recurso al que acceden los usuarios. Según su caso de uso, siga estos pasos para:

• Configurar el acceso a una VPC
• Configurar el acceso a Internet
  Nota: Según su caso de uso, puede optar por establecer una conexión de AWS Client VPN a las VPC mientras continúa enrutando el tráfico de Internet a través de la puerta de enlace local. Para ello, configure un punto de conexión de AWS Client VPN con túnel dividido.
• Configurar el acceso a una VPC interconectada
• Configurar el acceso a una red local

Información relacionada

Funcionamiento de AWS Client VPN