Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles para AWS Client VPN
AWS Client VPN usa AWS Identity and Access Management (IAM) roles vinculados al servicio. Un rol vinculado al servicio es un tipo único de IAM rol que está vinculado directamente al Cliente. VPN El cliente predefine los roles vinculados al servicio VPN e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración del clienteVPN, ya que no es necesario añadir manualmente los permisos necesarios. El cliente VPN define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo el cliente VPN puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege VPN los recursos de sus clientes porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulta los AWS servicios que funcionan con ellas IAM y busca los servicios con la palabra Sí en la columna Funciones vinculadas a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de rol vinculados al servicio para el cliente VPN
El cliente VPN usa el rol vinculado al servicio denominado AWSServiceRoleForClientVPN: Permita que el cliente VPN cree y administre los recursos relacionados con sus conexiones. VPN
El rol AWSServiceRoleForClientVPNvinculado al servicio confía en que el siguiente servicio asuma el rol:
-
clientvpn.amazonaws.com
La política de permisos de roles denominada C lientVPNService RolePolicy permite VPN al Cliente realizar las siguientes acciones en los recursos especificados:
-
Acción:
ec2:CreateNetworkInterface
enResource: "*"
-
Acción:
ec2:CreateNetworkInterfacePermission
enResource: "*"
-
Acción:
ec2:DescribeSecurityGroups
enResource: "*"
-
Acción:
ec2:DescribeVpcs
enResource: "*"
-
Acción:
ec2:DescribeSubnets
enResource: "*"
-
Acción:
ec2:DescribeInternetGateways
enResource: "*"
-
Acción:
ec2:ModifyNetworkInterfaceAttribute
enResource: "*"
-
Acción:
ec2:DeleteNetworkInterface
enResource: "*"
-
Acción:
ec2:DescribeAccountAttributes
enResource: "*"
-
Acción:
ds:AuthorizeApplication
enResource: "*"
-
Acción:
ds:DescribeDirectories
enResource: "*"
-
Acción:
ds:GetDirectoryLimits
enResource: "*"
-
Acción:
ds:UnauthorizeApplication
enResource: "*"
-
Acción:
logs:DescribeLogStreams
enResource: "*"
-
Acción:
logs:CreateLogStream
enResource: "*"
-
Acción:
logs:PutLogEvents
enResource: "*"
-
Acción:
logs:DescribeLogGroups
enResource: "*"
-
Acción:
acm:GetCertificate
enResource: "*"
-
Acción:
acm:DescribeCertificate
enResource: "*"
-
Acción:
iam:GetSAMLProvider
enResource: "*"
-
Acción:
lambda:GetFunctionConfiguration
enResource: "*"
Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM
Crear un rol vinculado a un servicio para el cliente VPN
No necesita crear manualmente un rol vinculado a servicios. Al crear el primer VPN punto de conexión de cliente en su cuenta con el AWS Management Console AWS CLI, el o el Cliente VPN crea el AWS API rol vinculado al servicio para usted.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear el primer VPN punto de conexión de cliente en su cuenta, el Cliente volverá a VPN crear el rol vinculado al servicio para usted.
Edición de un rol vinculado al servicio para el cliente VPN
VPNEl cliente no le permite editar el rol vinculado al AWSServiceRoleForClientVPN servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.
Eliminar un rol vinculado a un servicio para el cliente VPN
Si ya no necesita usar ClientVPN, le recomendamos que elimine el rol vinculado al AWSServiceRoleForClientVPNservicio.
Primero debe eliminar los recursos del cliente VPN relacionados. Esto garantiza que no pueda eliminar accidentalmente el permiso para obtener acceso a los recursos.
Utilice la IAM consola IAMCLI, la o la IAM API para eliminar las funciones vinculadas al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM
Regiones compatibles con los roles vinculados al servicio al cliente VPN
VPNEl cliente apoya el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de enlace y regiones de AWS.