Rollen verwenden für AWS Client VPN - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollen verwenden für AWS Client VPN

AWS Client VPN verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, der IAM direkt mit dem Client verknüpft ist. VPN Dienstbezogene Rollen sind vom Client vordefiniert VPN und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle VPN erleichtert die Einrichtung des Clients, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Der Client VPN definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, VPN kann nur der Client seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre VPN Client-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte mit dienstbezogenen Rollen nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für dienstbezogene Rollen für den Client VPN

Der Client VPN verwendet die dienstbezogene Rolle mit dem Namen AWSServiceRoleForClientVPN— Erlaubt dem ClientVPN, Ressourcen für Ihre VPN Verbindungen zu erstellen und zu verwalten.

Die AWSServiceRoleForClientVPNdienstverknüpfte Rolle vertraut darauf, dass der folgende Dienst die Rolle übernimmt:

  • clientvpn.amazonaws.com

Die Rollenberechtigungsrichtlinie mit dem Namen C lientVPNService RolePolicy ermöglicht es VPN dem Client, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: ec2:CreateNetworkInterface für Resource: "*"

  • Aktion: ec2:CreateNetworkInterfacePermission für Resource: "*"

  • Aktion: ec2:DescribeSecurityGroups für Resource: "*"

  • Aktion: ec2:DescribeVpcs für Resource: "*"

  • Aktion: ec2:DescribeSubnets für Resource: "*"

  • Aktion: ec2:DescribeInternetGateways für Resource: "*"

  • Aktion: ec2:ModifyNetworkInterfaceAttribute für Resource: "*"

  • Aktion: ec2:DeleteNetworkInterface für Resource: "*"

  • Aktion: ec2:DescribeAccountAttributes für Resource: "*"

  • Aktion: ds:AuthorizeApplication für Resource: "*"

  • Aktion: ds:DescribeDirectories für Resource: "*"

  • Aktion: ds:GetDirectoryLimits für Resource: "*"

  • Aktion: ds:UnauthorizeApplication für Resource: "*"

  • Aktion: logs:DescribeLogStreams für Resource: "*"

  • Aktion: logs:CreateLogStream für Resource: "*"

  • Aktion: logs:PutLogEvents für Resource: "*"

  • Aktion: logs:DescribeLogGroups für Resource: "*"

  • Aktion: acm:GetCertificate für Resource: "*"

  • Aktion: acm:DescribeCertificate für Resource: "*"

  • Aktion: iam:GetSAMLProvider für Resource: "*"

  • Aktion: lambda:GetFunctionConfiguration für Resource: "*"

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Eine dienstbezogene Rolle für den Client erstellen VPN

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie den ersten VPN Client-Endpunkt in Ihrem Konto mit dem AWS Management Console, dem oder dem Client erstellen AWS CLI, VPN erstellt der AWS API Client die serviceverknüpfte Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie den ersten VPN Client-Endpunkt in Ihrem Konto erstellen, VPN erstellt der Client erneut die serviceverknüpfte Rolle für Sie.

Bearbeitung einer serviceverknüpften Rolle für den Client VPN

Der Client VPN erlaubt Ihnen nicht, die AWSServiceRoleForClientVPN dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer dienstbezogenen Rolle für den Client VPN

Wenn Sie den Client nicht mehr verwenden müssen, empfehlen wir IhnenVPN, die AWSServiceRoleForClientVPNserviceverknüpfte Rolle zu löschen.

Sie müssen zuerst die zugehörigen VPN Client-Ressourcen löschen. Auf diese Weise wird sichergestellt, dass Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen.

Verwenden Sie die IAM Konsole, die oder IAMCLI, IAM API um die dienstverknüpften Rollen zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für mit dem Kundendienst VPN verknüpfte Rollen

Der Client VPN unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und -Endpunkte.