如何為我的用戶端 VPN 使用者提供對 AWS 資源的存取權？

解決方法

在設定 VPN 存取特定資源之前，請考慮以下事項：

• 當用戶端 VPN 端點關聯到子網路時，會在關聯的子網路中建立彈性網路介面。這些網路介面會從子網路的 CIDR 接收 IP 地址。
• 建立用戶端 VPN 連線後，會在終端裝置上建立虛擬通道介面卡 (VTAP)。虛擬介面卡會從用戶端 VPN 端點的用戶端 IPv4 CIDR 接收 IP 地址。
• 當您將子網路與用戶端 VPN 端點關聯時，會在該子網路中建立用戶端 VPN 網路介面。從用戶端 VPN 端點傳送至 VPC 的流量是透過用戶端 VPN 網路介面傳送的。然後會套用來源網路地址轉譯 (SNAT)，將用戶端 CIDR 範圍中的來源 IP 地址會轉譯為用戶端 VPN 網路介面 IP 地址。

若要讓用戶端 VPN 終端使用者存取特定 AWS 資源，請執行以下動作：

• 設定用戶端 VPN 端點的關聯子網路與目標資源網路之間的路由。如果目標資源位於與端點關聯的相同虛擬私有雲端 (VPC) 中，則無需新增路由。在這種情況下，會使用 VPC 的本機路由來轉送流量。如果目標資源不在與端點關聯的相同 VPC 中，則在用戶端 VPN 端點的關聯子網路路由表中新增相應的路由。
• 設定目標資源的安全性群組，以允許入站和出站流量通過客戶端 VPN 端點的關聯子網路。或者，透過參考目標資源的安全性群組規則中附加到端點的安全性群組，來使用在端點上套用的安全群組。
• 設定目標資源的網路存取控制清單 (network ACL)，以允許入站和出站流量通過客戶端 VPN 端點的關聯子網路。
• 允許終端使用者存取用戶端 VPN 端點授權規則中的目標資源。如需詳細資訊，請參閱「授權規則」。
• 確認用戶端 VPN 路由表是否具有目標資源網路範圍的路由。如需詳細資訊，請參閱「 路由」和「 目標網路」。
• 允許對用戶端 VPN 端點關聯安全性群組中的目標資源進行出站存取。

**注意：**如果您有多個子網路與用戶端 VPN 端點相關聯，則必須允許從每個用戶端 VPN 子網路 CIDR 進行存取：

• 目標資源的安全性群組
• 目標資源的網路 ACL

根據使用者存取的資源類型，建立創建連線所需的路由、安全性群組規則和授權規則。根據您的使用案例，請依照以下步驟執行：

• 設定 「 VPC 的存取權」
• 設定「 網際網路的存取權」
  **注意：**根據您的使用案例，您可以選擇建立與 VPC 的用戶端 VPN 連線，同時繼續透過本機閘道路由網際網路流量。若要這麼做，請設定分割通道用戶端 VPN 端點。
• 設定對等 VPC 的存取權
• 設定內部部署網路的存取權

---

相關資訊

AWS Client VPN 的運作方式