如何为我的 Client VPN 用户提供对 AWS 资源的访问权限?

1 分钟阅读
0

我的 AWS Client VPN 用户希望能从他们的终端设备建立到 AWS 资源的安全连接。我该如何操作?

解决方案

在配置对特定资源的 VPN 访问权限之前,请注意以下事项:

  • 当客户端 VPN 终端节点关联到某个子网时,系统将在关联的子网中创建弹性网络接口。这些网络接口将会接收来自子网 CIDR 的 IP 地址。
  • 当客户端 VPN 连接建立后,系统将在终端设备上创建一个虚拟隧道适配器 (VTAP)。此虚拟适配器将从 Client VPN 端点的客户端 IPv4 CIDR 接收 IP 地址。
  • 当您将子网与您的 Client VPN 端点关联时,将在该子网中创建 Client VPN 网络接口。从 Client VPN 端点发送到 VPC 的流量通过 Client VPN 网络接口发送。然后应用源网络地址转换(SNAT),其中来自客户端 CIDR 范围的源 IP 地址被转换为 Client VPN 网络接口 IP 地址。

要让您的 Client VPN 终端用户访问特定的 AWS 资源,请执行以下操作:

  • 配置 Client VPN 端点的关联子网与目标资源的网络之间的路由。如果目标资源位于与端点关联的同一虚拟私有云(VPC)中,则无需添加路由。在这种情况下,系统将使用 VPC 的本地路由来转发流量。如果目标资源并未位于与终端节点关联的同一 VPC 中,则需在客户端 VPN 终端节点的关联子网路由表中添加相应的路由。
  • 配置目标资源的安全组以允许通过客户端 VPN 终端节点的关联子网的入站和出站流量。您也可在目标资源的安全组规则中引用该终端节点附加的安全组,从而使用在该终端节点上应用的安全组。
  • 配置目标资源的网络访问控制列表(网络 ACL)以允许通过 Client VPN 终端节点的关联子网的入站和出站流量。
  • 在 Client VPN 终端节点的授权规则中允许最终用户访问目标资源。有关更多信息,请参阅授权规则
  • 验证 Client VPN 路由表内包含目标资源的网络范围的路由。有关更多信息,请参阅路由目标网络
  • 在 Client VPN 终端节点的关联安全组中允许对目标资源的出站访问。

**注意:**如果您有多个子网与 Client VPN 终端节点关联,则必须允许从每个 Client VPN 子网 CIDR 访问:

  • 目标资源的安全组
  • 目标资源的网络 ACL

根据用户需要访问的资源类型,创建建立连接所需的路由、安全组规则和授权规则。根据您的使用案例,请遵循以下步骤:


相关信息

AWS Client VPN 工作原理

AWS 官方
AWS 官方已更新 1 年前