Comment puis-je permettre aux utilisateurs de mon réseau Client VPN d'accéder aux ressources AWS ?

Résolution

Avant de configurer l'accès à des ressources spécifiques via le VPN, tenez compte des éléments suivants :

• Lorsqu'un point de terminaison de Client VPN est associé à un sous-réseau, des interfaces réseau Elastic sont créées dans ledit sous-réseau. Ces interfaces réseau reçoivent des adresses IP à partir du CIDR du sous-réseau.
• Lorsqu'une connexion de Client VPN est établie, une carte tunnel virtuelle (VTAP) est créée sur l'appareil de l'utilisateur final. La carte virtuelle reçoit une adresse IP du CIDR d'IPv4 client du point de terminaison Client VPN.
• Lorsque vous associez un sous-réseau à votre point de terminaison VPN client, des interfaces réseau VPN client sont créées dans ce sous-réseau. Le trafic envoyé au VPC depuis le point de terminaison du VPN client est envoyé via une interface réseau VPN client. La traduction de l'adresse réseau source (SNAT) est ensuite appliquée, l'adresse IP source de la plage CIDR du client étant traduite en adresse IP de l'interface réseau VPN du client.

Pour accorder aux utilisateurs finaux de votre réseau Client VPN un accès à des ressources AWS spécifiques :

• Configurez le routage entre le sous-réseau associé du point de terminaison Client VPN et le réseau de la ressource cible. Si la ressource cible se trouve dans le même virtual private cloud (VPC) associé au point de terminaison, vous n'avez pas besoin d'ajouter de route. Dans ce cas, le trafic est transféré par le biais du routage local du VPC. Si la ressource cible n'est pas dans le même VPC que celui associé au point de terminaison, ajoutez la route correspondante dans la table de routage du sous-réseau associée du point de terminaison Client VPN.
• Configurez le groupe de sécurité de la ressource cible pour autoriser le trafic entrant et sortant via le sous-réseau associé du point de terminaison Client VPN. Vous pouvez également utiliser les groupes de sécurité appliqués au point de terminaison en référençant le groupe de sécurité attaché au point de terminaison dans la règle du groupe de sécurité de la ressource cible.
• Configurez la liste de contrôle d'accès réseau (ACL de réseau) de la ressource cible pour autoriser le trafic entrant et sortant via les sous-réseaux associés du point de terminaison Client VPN.
• Autorisez les utilisateurs finaux à accéder aux ressources cibles dans la règle d'autorisation du point de terminaison du client VPN. Pour en savoir plus, consultez la section Règles d'autorisation.
• Vérifiez que la table de routage Client VPN possède une route menant à la plage réseau de la ressource cible. Pour en savoir plus, consultez les sections Routes et Réseaux cibles.
• Autorisez l'accès sortant vers les ressources cibles dans le groupe de sécurité associé du point de terminaison Client VPN.

Remarque : si plusieurs sous-réseaux sont associés à votre point de terminaison Client VPN, vous devez autoriser l'accès à partir de chacun des CIDR de sous-réseau Client VPN aux éléments suivants :

• Groupes de sécurité de la ressource cible
• ACL réseau de la ressource cible

Créez les routes, les règles de groupe de sécurité et les règles d'autorisation requises pour établir la connexion, en fonction du type de ressources auxquelles vos utilisateurs accèdent. Selon votre cas d’utilisation, procédez comme suit pour :

• Configurer l'accès à un VPC
• Configurer l'accès à Internet
  **Remarque :**selon votre cas d'utilisation, vous pouvez choisir d'établir une connexion Client VPN aux VPC tout en continuant à acheminer le trafic Internet par le biais de la passerelle locale. Pour ce faire, configurez un point de terminaison Client VPN fractionné (split tunneling).
• Configurer l'accès à un VPC appairé
• Configurer l'accès à un réseau sur site

Informations connexes

Fonctionnement d'AWS Client VPN