Hinzufügen einer Autorisierungsregel zu einem AWS Client VPN Endpunkt - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen einer Autorisierungsregel zu einem AWS Client VPN Endpunkt

Sie können eine Autorisierungsregel hinzufügen, um den Zugriff auf einen Client-VPN-Endpunkt zu gewähren oder einzuschränken, indem Sie die verwenden AWS Management Console. Eine Autorisierungsregel kann einem Client-VPN-Endpunkt entweder über die Amazon VPC-Konsole oder über die Befehlszeile oder API hinzugefügt werden.

Um einem Client-VPN-Endpunkt eine Autorisierungsregel hinzuzufügen, verwenden Sie AWS Management Console

  1. Öffnen Sie die Amazon-VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) aus.

  3. Wählen Sie den Client-VPN-Endpunkt, zu dem Sie die Autorisierungsregel hinzufügen möchten, sowie die Optionen Authorization rules (Autorisierungsregeln) und Add authorization rule (Autorisierungsregel hinzufügen) aus.

  4. Geben Sie für Destination network to enable access (Zielnetzwerk, für das Zugriff ermöglicht werden soll) die IP-Adresse des Netzwerks in CIDR-Notation ein, auf das Benutzer zugreifen sollen (z. B. den CIDR-Block Ihrer VPC).

  5. Geben Sie an, welche Clients auf das angegebene Netzwerk zugreifen dürfen. Führen Sie für die Option For grant access to (Zum Gewähren von Zugriff auf) einen der folgenden Schritte aus:

    • Wenn Sie allen Clients Zugriff gewähren möchten, wählen Sie Allow access to all users (Allen Benutzern Zugriff gewähren) aus.

    • Um den Zugriff auf bestimmte Clients zu beschränken, wählen Sie Zugriff für Benutzer in einer bestimmten Zugriffsgruppe zulassen aus und geben Sie dann unter Zugriffsgruppen-ID die ID für die Gruppe ein, für die der Zugriff gewährt werden soll. Das kann beispielsweise die Sicherheits-ID (SID) einer Active Directory-Gruppe oder die ID/der Name einer Gruppe sein, die in einem SAML-basierten Identitätsanbieter (Identity Provider, IdP) definiert ist.

      • (Active Directory) Um die SID abzurufen, können Sie das Microsoft ADGroup Powershell-Cmdlet Get- verwenden, zum Beispiel:

        Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'

        Alternativ können Sie das Tool „Active Directory-Benutzer und -Computer“ öffnen, die Eigenschaften für die Gruppe anzeigen, zur Registerkarte „Attribut-Editor“ wechseln und den Wert für objectSID abrufen. Wählen Sie ggf. zuerst View (Ansicht), Advanced Features (Erweiterte Funktionen), um die Registerkarte „Attribut-Editor“ zu aktivieren.

      • (SAML-basierte Verbundauthentifizierung) Die Gruppen-ID/der Gruppenname sollte mit den Gruppenattributinformationen übereinstimmen, die in der SAML-Assertion zurückgegeben werden.

  6. Geben Sie unter Description (Beschreibung) eine kurze Beschreibung der Autorisierungsregel ein.

  7. Wählen Sie Add authorization rule (Autorisierungsregel hinzufügen) aus.

Hinzufügen einer Autorisierungsregel zu einem Client VPN-Endpunkt (AWS CLI)

Verwenden Sie den authorize-client-vpn-ingress-Befehl.