Uso de roles para AWS Client VPN - AWS Client VPN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles para AWS Client VPN

AWS Client VPN usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado al servicio es un tipo único de IAM rol que está vinculado directamente al Cliente. VPN El cliente predefine los roles vinculados al servicio VPN e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio facilita la configuración del clienteVPN, ya que no es necesario añadir manualmente los permisos necesarios. El cliente VPN define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo el cliente VPN puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege VPN los recursos de sus clientes porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulta los AWS servicios que funcionan con ellas IAM y busca los servicios con la palabra en la columna Funciones vinculadas a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de rol vinculados al servicio para el cliente VPN

El cliente VPN usa el rol vinculado al servicio denominado AWSServiceRoleForClientVPN: Permita que el cliente VPN cree y administre los recursos relacionados con sus conexiones. VPN

El rol AWSServiceRoleForClientVPNvinculado al servicio confía en que el siguiente servicio asuma el rol:

  • clientvpn.amazonaws.com

La política de permisos de roles denominada C lientVPNService RolePolicy permite VPN al Cliente realizar las siguientes acciones en los recursos especificados:

  • Acción: ec2:CreateNetworkInterface en Resource: "*"

  • Acción: ec2:CreateNetworkInterfacePermission en Resource: "*"

  • Acción: ec2:DescribeSecurityGroups en Resource: "*"

  • Acción: ec2:DescribeVpcs en Resource: "*"

  • Acción: ec2:DescribeSubnets en Resource: "*"

  • Acción: ec2:DescribeInternetGateways en Resource: "*"

  • Acción: ec2:ModifyNetworkInterfaceAttribute en Resource: "*"

  • Acción: ec2:DeleteNetworkInterface en Resource: "*"

  • Acción: ec2:DescribeAccountAttributes en Resource: "*"

  • Acción: ds:AuthorizeApplication en Resource: "*"

  • Acción: ds:DescribeDirectories en Resource: "*"

  • Acción: ds:GetDirectoryLimits en Resource: "*"

  • Acción: ds:UnauthorizeApplication en Resource: "*"

  • Acción: logs:DescribeLogStreams en Resource: "*"

  • Acción: logs:CreateLogStream en Resource: "*"

  • Acción: logs:PutLogEvents en Resource: "*"

  • Acción: logs:DescribeLogGroups en Resource: "*"

  • Acción: acm:GetCertificate en Resource: "*"

  • Acción: acm:DescribeCertificate en Resource: "*"

  • Acción: iam:GetSAMLProvider en Resource: "*"

  • Acción: lambda:GetFunctionConfiguration en Resource: "*"

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM

Crear un rol vinculado a un servicio para el cliente VPN

No necesita crear manualmente un rol vinculado a servicios. Al crear el primer VPN punto de conexión de cliente en su cuenta con el AWS Management Console AWS CLI, el o el Cliente VPN crea el AWS API rol vinculado al servicio para usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear el primer VPN punto de conexión de cliente en su cuenta, el Cliente volverá a VPN crear el rol vinculado al servicio para usted.

Edición de un rol vinculado al servicio para el cliente VPN

VPNEl cliente no le permite editar el rol vinculado al AWSServiceRoleForClientVPN servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminar un rol vinculado a un servicio para el cliente VPN

Si ya no necesita usar ClientVPN, le recomendamos que elimine el rol vinculado al AWSServiceRoleForClientVPNservicio.

Primero debe eliminar los recursos del cliente VPN relacionados. Esto garantiza que no pueda eliminar accidentalmente el permiso para obtener acceso a los recursos.

Utilice la IAM consola IAMCLI, la o la IAM API para eliminar las funciones vinculadas al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones compatibles con los roles vinculados al servicio al cliente VPN

VPNEl cliente apoya el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de enlace y regiones de AWS.