Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Como configuro um Client VPN usando a AWS CLI?

5 minuto de leitura
0

Como configuro um AWS Client VPN usando a AWS Command Line Interface (AWS CLI)?

Breve descrição

Para configurar um Client VPN usando a AWS CLI:

1.    Configure um Client VPN para seu tipo específico de autenticação: mútua ou baseada no usuário.

2.    Associe uma sub-rede ao Client VPN que você criou na etapa 1.

3.    Adicione uma regra de autorização para conceder aos clientes acesso à nuvem privada virtual (VPC) de destino.

4.    (Opcional) Acrescente rotas adicionais à rede de destino no endpoint do Client VPN, conforme necessário.

5.    Baixe o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI. As ações de API para o serviço Client VPN estão disponíveis somente na versão mais recente da AWS CLI.

Configurar um Client VPN usando autenticação mútua

1.    Provisione o certificado do servidor e importe-o para o AWS Certificate Manager (ACM). Para obter etapas detalhadas para gerar os certificados e as chaves do servidor e do cliente, consulte Autenticação mútua.

2.    Anote o certificado do servidor nome do recurso da Amazon (ARN) e o certificado do cliente ARN.

3.    Use o comando create-client-vpn-endpoint. Por exemplo, o comando a seguir cria um endpoint que usa autenticação mútua com um bloco CIDR cliente de 172.16.0.0/16.

$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16
--server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:
1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678 }
--connection-log-options Enabled=false

Observações:

  • Para um bloco CIDR IPv4 cliente, especifique um intervalo de endereços IP na notação CIDR para atribuir endereços IP do cliente. Por exemplo, 172.16.0.0/16.
  • “ClientRootCertificateChainArn” é o ARN do certificado do cliente. O certificado deve ser assinado por uma autoridade de certificação (CA) e provisionado no ACM.

Configurar um Client VPN usando autenticação baseada em usuário

Autenticação Active Directory

1.    Para ID do diretório, especifique a ID do AWS Active Directory.

2.    Use o comando create-client-vpn-endpoint. Por exemplo, o comando a seguir cria um endpoint que usa a autenticação com base no Active Directory com um bloco CIDR cliente de 172.16.0.0/16.

$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16
--server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678
--authentication-options
Type=directory-service-authentication,ActiveDirectory={DirectoryId=d-1234567890}
--connection-log-options Enabled=false

Observações:

  • Use a opção “--dns-servers” para transmitir servidores DNS personalizados para resolução de DNS. Um endpoint VPN do cliente pode ter até dois servidores DNS. Se nenhum servidor DNS for especificado, será usado o endereço DNS configurado no dispositivo local.
  • Use a opção “--transport-protocol” para definir o protocolo de transporte para a sessão VPN.

Autenticação federada (para autenticação federada baseada em SAML)

1.    Para o ARN do provedor SAML, especifique o ARN do provedor de identidade Security Assertion Markup Language (SAML) do AWS Identity and Access Management (IAM).

2.    Use o comando create-client-vpn-endpoint. Por exemplo, o comando a seguir cria um endpoint que usa autenticação federada com um bloco CIDR cliente de 172.16.0.0/16.

$ aws ec2 create-client-vpn-endpoint --client-cidr-block 172.16.0.0/16
--server-certificate-arn arn:aws:acm:us-east-1:1234567890:certificate/abc1d23e-45fa-678b-9cd0-ef123a45b678
--authentication-options Type=federated-authentication,FederatedAuthentication={SAMLProviderArn=arn:aws:iam::123456789012:saml-provider/MySAMLProvider}
--connection-log-options Enabled=false

Observação: “SAMLProviderArn” é o ARN do novo recurso do provedor SAML no IAM.

Associar uma sub-rede ao Client VPN

1.    Use o comando a seguir para associar uma sub-rede ao endpoint do Client VPN que você criou nas etapas anteriores.

$  aws ec2 associate-client-vpn-target-network
--client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --subnet-id subnet-0123456789abc123

Essa ação altera o estado do Client VPN para “Disponível”. As rotas locais para a VPC são adicionadas automaticamente à tabela de rotas do endpoint do Client VPN. O grupo de segurança padrão da VPC é aplicado automaticamente à associação de sub-rede. Você pode modificar o grupo de segurança depois de associar a sub-rede.

Adicionar uma regra de autorização para conceder aos clientes acesso à VPC de destino

1.    Com base no seu caso de uso, use um dos comandos a seguir para adicionar uma regra de autorização.

Para autenticação mútua:

$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --authorize-all-groups

Para autenticação baseada no Active Directory:

$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

Para autenticação federada (usando SAML 2.0 em que o grupo de provedores de identidade é “Engenharia”):

$ aws ec2 authorize-client-vpn-ingress --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --target-network-cidr 10.0.0.0/16 --access-group-id Engineering

(Opcional) Acrescentar rotas adicionais à rede de destino no endpoint do Client VPN, conforme necessário

1.    Use o comando a seguir para acrescentar rotas adicionais à rede de destino no endpoint do Client VPN.

$ aws ec2 create-client-vpn-route --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --destination-cidr-block 0.0.0.0/0 --target-vpc-subnet-id subnet-0123456789abcabca

Baixar o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes

1.    Baixe o arquivo de configuração do endpoint do Client VPN para distribuir aos seus clientes.

Para autenticação mútua, anexe o certificado do cliente e a chave do cliente ao arquivo de configuração:

$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id cvpn-endpoint-0ab1cd234ef567ab890 --output text>client-config.ovpn
Tópicos
Rede e entrega de conteúdo
Tags
AWS Virtual Private Network (VPN)AWS Client VPN
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 3 anos

Conteúdo relevante