Comment puis-je permettre aux utilisateurs de mon réseau Client VPN d'accéder aux ressources AWS ?

Date de la dernière mise à jour : 21/04/2020

Les utilisateurs de mon réseau AWS Client VPN souhaitent établir une connexion sécurisée entre leurs appareils et les ressources AWS. Comment dois-je procéder ?

Solution

Avant de configurer l'accès à des ressources spécifiques via le VPN, tenez compte des éléments suivants :

  • Lorsqu'un point de terminaison de Client VPN est associé à un sous-réseau, des interfaces réseau Elastic sont créées dans ledit sous-réseau. Ces interfaces réseau reçoivent des adresses IP à partir du CIDR du sous-réseau.
  • Lorsqu'une connexion de Client VPN est établie, une carte tunnel virtuelle (VTAP) est créée sur l'appareil de l'utilisateur final. La carte virtuelle reçoit une adresse IP du CIDR d'IPv4 client du point de terminaison Client VPN.
  • Lorsque le trafic provenant de l'appareil de l'utilisateur final atteint le point de terminaison Client VPN, l'adresse IP source des paquets est modifiée (c'est ce que l'on appelle le SNAT) pour être remplacée par l'adresse IP de l'interface réseau du point de terminaison Client VPN. Par conséquent, les ressources cibles ont une visibilité sur l'ensemble du trafic provenant de l'adresse IP de l'interface réseau du point de terminaison Client VPN.

Pour accorder aux utilisateurs finaux de votre réseau Client VPN un accès à des ressources AWS spécifiques :

  • Configurez le routage entre le sous-réseau associé du point de terminaison Client VPN et le réseau de la ressource cible. Si la ressource cible se trouve dans le même virtual private cloud (VPC) associé au point de terminaison, vous n'avez pas besoin d'ajouter de route. Dans ce cas, le trafic est transféré par le biais du routage local du VPC. Si la ressource cible n'est pas dans le même VPC que celui associé au point de terminaison, ajoutez la route correspondante dans la table de routage du sous-réseau associée du point de terminaison Client VPN.
  • Configurez le groupe de sécurité de la ressource cible pour autoriser le trafic entrant et sortant via le sous-réseau associé du point de terminaison Client VPN. Vous pouvez également utiliser les groupes de sécurité appliqués au point de terminaison en référençant le groupe de sécurité attaché au point de terminaison dans la règle du groupe de sécurité de la ressource cible.
  • Configurez la liste de contrôle d'accès réseau (ACL de réseau) de la ressource cible pour autoriser le trafic entrant et sortant via les sous-réseaux associés du point de terminaison Client VPN.
  • Autorisez les utilisateurs finaux à accéder aux ressources cibles dans la règle d'autorisation du point de terminaison du client VPN. Pour en savoir plus, rendez-vous sur la page Règles d'autorisation.
  • Vérifiez que la table de routage Client VPN possède une route menant à la plage réseau de la ressource cible. Pour en savoir plus, rendez-vous sur les pages Routes et Réseaux cibles.
  • Autorisez l'accès sortant vers les ressources cibles dans le groupe de sécurité associé du point de terminaison Client VPN.

Remarque : si plusieurs sous-réseaux sont associés au point de terminaison de votre réseau Client VPN, veillez à autoriser le trafic entre tous les groupes de sécurité et les listes ACL du réseau à l'aide de la plage d'adresses IP complète des sous-réseaux.

Créez les routes, les règles de groupe de sécurité et les règles d'autorisation requises pour établir la connexion, en fonction du type de ressources auxquelles vos utilisateurs accèdent. Selon l'utilisation du service, procédez comme suit pour :


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?