Como configuro um Client VPN usando a AWS CLI?
Como configuro um AWS Client VPN usando a AWS Command Line Interface (AWS CLI)?
Breve descrição
Para configurar um Client VPN usando a AWS CLI:
1. Configure um Client VPN para seu tipo específico de autenticação: mútua ou baseada no usuário.
2. Associe uma sub-rede ao Client VPN que você criou na etapa 1.
3. Adicione uma regra de autorização para conceder aos clientes acesso à nuvem privada virtual (VPC) de destino.
4. (Opcional) Acrescente rotas adicionais à rede de destino no endpoint do Client VPN, conforme necessário.
5. Baixe o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes.
Resolução
Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI. As ações de API para o serviço Client VPN estão disponíveis somente na versão mais recente da AWS CLI.
Configurar um Client VPN usando autenticação mútua
1. Provisione o certificado do servidor e importe-o para o AWS Certificate Manager (ACM). Para obter etapas detalhadas para gerar os certificados e as chaves do servidor e do cliente, consulte Autenticação mútua.
2. Anote o certificado do servidor nome do recurso da Amazon (ARN) e o certificado do cliente ARN.
3. Use o comando create-client-vpn-endpoint. Por exemplo, o comando a seguir cria um endpoint que usa autenticação mútua com um bloco CIDR cliente de 172.16.0.0/16.
$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1: 1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 } --connection-log-options Enabled=false
Observações:
- Para um bloco CIDR IPv4 cliente, especifique um intervalo de endereços IP na notação CIDR para atribuir endereços IP do cliente. Por exemplo, 172.16.0.0/16.
- “ClientRootCertificateChainArn” é o ARN do certificado do cliente. O certificado deve ser assinado por uma autoridade de certificação (CA) e provisionado no ACM.
Configurar um Client VPN usando autenticação baseada em usuário
Autenticação Active Directory
1. Para ID do diretório, especifique a ID do AWS Active Directory.
2. Use o comando create-client-vpn-endpoint. Por exemplo, o comando a seguir cria um endpoint que usa a autenticação com base no Active Directory com um bloco CIDR cliente de 172.16.0.0/16.
$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=directory-service-authentication,ActiveDirectory={DirectoryId=d-1234567890} --connection-log-options Enabled=false
Observações:
- Use a opção “--dns-servers” para transmitir servidores DNS personalizados para resolução de DNS. Um endpoint VPN do cliente pode ter até dois servidores DNS. Se nenhum servidor DNS for especificado, será usado o endereço DNS configurado no dispositivo local.
- Use a opção “--transport-protocol” para definir o protocolo de transporte para a sessão VPN.
Autenticação federada (para autenticação federada baseada em SAML)
1. Para o ARN do provedor SAML, especifique o ARN do provedor de identidade Security Assertion Markup Language (SAML) do AWS Identity and Access Management (IAM).
2. Use o comando create-client-vpn-endpoint. Por exemplo, o comando a seguir cria um endpoint que usa autenticação federada com um bloco CIDR cliente de 172.16.0.0/16.
$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16 --server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 --authentication-options Type=federated-authentication,FederatedAuthentication={SAMLProviderArn=arn:aws:iam::123456789012:saml-provider/MySAMLProvider} --connection-log-options Enabled=false
Observação: “SAMLProviderArn” é o ARN do novo recurso do provedor SAML no IAM.
Associar uma sub-rede ao Client VPN
1. Use o comando a seguir para associar uma sub-rede ao endpoint do Client VPN que você criou nas etapas anteriores.
$ aws ec2 associate-client-vpn-target-network --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --subnet-id subnet-0123456789abc123
Essa ação altera o estado do Client VPN para “Disponível”. As rotas locais para a VPC são adicionadas automaticamente à tabela de rotas do endpoint do Client VPN. O grupo de segurança padrão da VPC é aplicado automaticamente à associação de sub-rede. Você pode modificar o grupo de segurança depois de associar a sub-rede.
Adicionar uma regra de autorização para conceder aos clientes acesso à VPC de destino
1. Com base no seu caso de uso, use um dos comandos a seguir para adicionar uma regra de autorização.
Para autenticação mútua:
$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --authorize-all-groups
Para autenticação baseada no Active Directory:
$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
Para autenticação federada (usando SAML 2.0 em que o grupo de provedores de identidade é “Engenharia”):
$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id Engineering
(Opcional) Acrescentar rotas adicionais à rede de destino no endpoint do Client VPN, conforme necessário
1. Use o comando a seguir para acrescentar rotas adicionais à rede de destino no endpoint do Client VPN.
$ aws ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abcabca
Baixar o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes
1. Baixe o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes.
Para autenticação mútua, anexe o certificado do cliente e a chave do cliente ao arquivo de configuração:
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --output text>client-config.ovpn
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 8 meses