如何为我的客户端 VPN 用户提供对 AWS 资源的访问权限?

上次更新时间:2020 年 4 月 21 日

我的 AWS客户端 VPN 用户希望能从他们的终端设备建立到 AWS 资源的安全连接。该如何操作?

解决方法

在配置对特定资源的 VPN 访问权限之前,请注意以下事项:

  • 当客户端 VPN 终端节点关联到某个子网时,系统将在关联的子网中创建弹性网络接口。这些网络接口将会接收来自子网 CIDR 的 IP 地址。
  • 当客户端 VPN 连接建立后,系统将在终端设备上创建一个虚拟隧道适配器 (VTAP)。此虚拟适配器将从客户端 VPN 终端节点的客户端 IPv4 CIDR 接收 IP 地址。
  • 当来自最终用户设备的流量到达客户端 VPN 终端节点时,数据包的源 IP 地址为客户端 VPN 终端节点网络接口的 IP 地址的源 NATed (SNAT)。因此,目标资源将会了解来自该客户端 VPN 终端节点网络接口的 IP 地址的所有流量。

要让您的客户端 VPN 最终用户访问特定的 AWS 资源,请执行以下操作:

  • 配置客户端 VPN 终端节点的关联子网与目标资源的网络之间的路由。如果目标资源位于与终端节点关联的同一 Virtual Private Cloud (VPC) 中,则无需添加路由。在这种情况下,系统将使用 VPC 的本地路由来转发流量。如果目标资源并未位于与终端节点关联的同一 VPC 中,则需在客户端 VPN 终端节点的关联子网路由表中添加相应的路由。
  • 配置目标资源的安全组以允许通过客户端 VPN 终端节点的关联子网的入站和出站流量。您也可在目标资源的安全组规则中引用该终端节点附加的安全组,从而使用在该终端节点上应用的安全组。
  • 配置目标资源的网络访问控制列表(网络 ACL)以允许通过客户端 VPN 终端节点的关联子网的入站和出站流量。
  • 在客户端 VPN 终端节点的授权规则中允许最终用户访问目标资源。有关更多信息,请参阅授权规则
  • 验证客户端 VPN 路由表内包含目标资源的网络范围的路由。有关更多信息,请参阅路由目标网络
  • 在客户端 VPN 终端节点的关联安全组中允许对目标资源的出站访问。

注意:如果您的客户端 VPN 终端节点关联了多个子网,请确保使用完整的子网 IP 地址范围来允许所有安全组与网络 ACL 之间的流量。

根据用户需要访问的资源类型,创建建立连接所需的路由、安全组规则和授权规则。根据您的使用案例,请遵循以下步骤:


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?