Sicherheitsgruppen Netzwerkbasierte Autorisierung

Kundenautorisierung in AWS Client VPN

Der Client VPN unterstützt zwei Arten der Client-Autorisierung: Sicherheitsgruppen und netzwerkbasierte Autorisierung (mithilfe von Autorisierungsregeln).

Sicherheitsgruppen

Wenn Sie einen VPN Client-Endpunkt erstellen, können Sie die Sicherheitsgruppen aus einer bestimmten Gruppe angeben, die VPC auf den VPN Client-Endpunkt angewendet werden sollen. Wenn Sie einem VPN Client-Endpunkt ein Subnetz zuordnen, wenden wir automatisch dessen Standardsicherheitsgruppe an. VPC Sie können die Sicherheitsgruppen ändern, nachdem Sie den VPN Client-Endpunkt erstellt haben. Weitere Informationen finden Sie unter Wenden Sie eine Sicherheitsgruppe auf ein Zielnetzwerk an in AWS Client VPN. Die Sicherheitsgruppen sind den VPN Client-Netzwerkschnittstellen zugeordnet.

Sie können VPN Client-Benutzern den Zugriff auf Ihre Anwendungen in einem ermöglichen, VPC indem Sie den Sicherheitsgruppen Ihrer Anwendungen eine Regel hinzufügen, die den Datenverkehr von der Sicherheitsgruppe zulässt, die auf die Zuordnung angewendet wurde.

Umgekehrt können Sie den Zugriff für VPN Client-Benutzer einschränken, indem Sie nicht die Sicherheitsgruppe angeben, die auf die Zuordnung angewendet wurde, oder indem Sie die Regel entfernen, die auf die VPN Client-Endpunkt-Sicherheitsgruppe verweist. Welche Sicherheitsgruppenregeln Sie benötigen, hängt möglicherweise auch von der Art des VPN Zugriffs ab, den Sie konfigurieren möchten. Weitere Informationen finden Sie unter Szenarien und Beispiele für Client VPN.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Sie VPC im VPCAmazon-Benutzerhandbuch.

Netzwerkbasierte Autorisierung

Die netzwerkbasierte Autorisierung wird mithilfe von Autorisierungsregeln implementiert. Für jedes Netzwerk, für das Sie den Zugriff aktivieren möchten, müssen Sie Autorisierungsregeln konfigurieren, die die Benutzer mit Zugriff beschränken. Für ein bestimmtes Netzwerk konfigurieren Sie die Active Directory-Gruppe oder die SAML basierte IdP-Gruppe, der der Zugriff gewährt wird. Nur Benutzer, die Mitglied der angegebenen Gruppe sind, können auf das angegebene Netzwerk zugreifen. Wenn Sie Active Directory oder die SAML basierte Verbundauthentifizierung nicht verwenden oder den Zugriff für alle Benutzer öffnen möchten, können Sie eine Regel angeben, die allen Clients Zugriff gewährt. Weitere Informationen finden Sie unter AWS Client VPN Autorisierungsregeln.

Aufgaben

Erstellen Sie eine Gruppenregel für Endpunktsicherheit

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktivieren SAML

Erstellen Sie eine Gruppenregel für Endpunktsicherheit