如何为我的 Client VPN 用户提供对 AWS 资源的访问权限?

上次更新时间:2020 年 11 月 11 日

我的 AWS Client VPN 用户希望能从他们的终端设备建立到 AWS 资源的安全连接。我该如何操作?

解决方案

在配置对特定资源的 VPN 访问权限之前,请注意以下事项:

  • 当客户端 VPN 终端节点关联到某个子网时,系统将在关联的子网中创建弹性网络接口。这些网络接口将会接收来自子网 CIDR 的 IP 地址。
  • 当客户端 VPN 连接建立后,系统将在终端设备上创建一个虚拟隧道适配器 (VTAP)。此虚拟适配器将从 Client VPN 终端节点的客户端 IPv4 CIDR 接收 IP 地址。
  • 当来自最终用户设备的流量到达 Client VPN 终端节点时,数据包的源 IP 地址转换为使用源 NAT 的 Client VPN 终端节点网络接口的 IP 地址。因此,目标资源将会了解来自该 Client VPN 终端节点网络接口的 IP 地址的所有流量。

要让您的客户端 VPN 最终用户访问特定的 AWS 资源,请执行以下操作:

  • 配置客户端 VPN 终端节点的关联子网与目标资源的网络之间的路由。如果目标资源位于与终端节点关联的同一 Virtual Private Cloud (VPC) 中,则无需添加路由。在这种情况下,系统将使用 VPC 的本地路由来转发流量。如果目标资源并未位于与终端节点关联的同一 VPC 中,则需在客户端 VPN 终端节点的关联子网路由表中添加相应的路由。
  • 配置目标资源的安全组以允许通过客户端 VPN 终端节点的关联子网的入站和出站流量。您也可在目标资源的安全组规则中引用该终端节点附加的安全组,从而使用在该终端节点上应用的安全组。
  • 配置目标资源的网络访问控制列表(网络 ACL)以允许通过 Client VPN 终端节点的关联子网的入站和出站流量。
  • 在 Client VPN 终端节点的授权规则中允许最终用户访问目标资源。有关更多信息,请参阅授权规则
  • 验证 Client VPN 路由表内包含目标资源的网络范围的路由。有关更多信息,请参阅路由目标网络
  • 在 Client VPN 终端节点的关联安全组中允许对目标资源的出站访问。

注意:如果您有多个子网与 Client VPN 终端节点关联,则必须允许从每个 Client VPN 子网 CIDR 访问:

  • 目标资源的安全组
  • 目标资源的网络 ACL

根据用户需要访问的资源类型,创建建立连接所需的路由、安全组规则和授权规则。根据您的使用案例,请遵循以下步骤:


这篇文章对您有帮助吗?


您是否需要账单或技术支持?