Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Qu'est-ce que AWS Client VPN ?
AWS Client VPN est un service VPN géré basé sur le client qui vous permet d'accéder en toute sécurité à vos AWS ressources et aux ressources de votre réseau local. Avec le VPN Client, vous pouvez accéder à vos ressources à partir de n'importe quel emplacement à l'aide d'un client VPN basé sur OpenVPN.
Table des matières
Caractéristiques du VPN Client
Le VPN Client offre les caractéristiques et fonctionnalités suivantes:
-
Connexions sécurisées : il fournit une connexion TLS sécurisée à partir de n'importe quel emplacement à l'aide du client OpenVPN.
-
Service géré : il s'agit d'un service AWS géré, qui élimine le fardeau opérationnel lié au déploiement et à la gestion d'une solution VPN d'accès à distance tierce.
-
Haute disponibilité et élasticité : elle s'adapte automatiquement au nombre d'utilisateurs qui se connectent à vos AWS ressources et aux ressources sur site.
-
Authentification : il prend en charge l’authentification du client avec Active Directory, l’authentification fédérée et l’authentification basée sur les certificats.
-
Contrôle précis : il vous permet de mettre en œuvre des contrôles de sécurité personnalisés en définissant des règles d'accès basées sur le réseau. Ces règles peuvent être configurées avec une précision basée sur les groupes Active Directory. Vous pouvez également mettre en œuvre le contrôle d'accès à l'aide de groupes de sécurité.
-
Facilité d'utilisation : il vous permet d'accéder à vos AWS ressources et aux ressources sur site à l'aide d'un seul tunnel VPN.
-
Facilité de gestion : il vous permet d'afficher les journaux de connexion, qui fournissent des détails sur les tentatives de connexion client. Vous pouvez également gérer les connexions client actives, avec la possibilité d’y mettre fin.
-
Intégration approfondie : il s'intègre aux AWS services existants, notamment AWS Directory Service Amazon VPC.
Composants de Client VPN
Les concepts clés liés au VPN Client sont les suivants :
- Point de terminaison VPN Client
-
Le point de terminaison VPN Client est la ressource que vous créez et configurez pour activer et gérer des sessions VPN Client. C'est le point de terminaison pour toutes les sessions VPN client.
- Réseau cible
-
Un réseau cible est le réseau que vous associez à un point de terminaison VPN Client. Un sous-réseau d’un VPC est un réseau cible. L’association d'un sous-réseau à un point de terminaison VPN Client vous permet d'établir des sessions VPN. Vous pouvez associer plusieurs sous-réseaux à un point de terminaison VPN Client pour bénéficier d'une haute disponibilité. Tous les sous-réseaux doivent se trouver dans le même VPC. Chaque sous-réseau doit appartenir à une zone de disponibilité différente.
- Acheminement
-
Chaque point de terminaison du VPN client a une table de routage qui décrit la les acheminements réseau de destination disponibles. Chaque acheminement de la table de routage spécifie le chemin d'accès du trafic vers des ressources ou des réseaux spécifiques.
- Règles d'autorisation
-
Une règle d’autorisation limite les utilisateurs qui peuvent accéder à un réseau. Pour un réseau spécifié, vous configurez le groupe Active Directory ou fournisseur d'identité (IdP) auquel l'accès est autorisé. Seuls les utilisateurs appartenant à ce groupe peuvent accéder au réseau spécifié. Par défaut, il n'y a aucune règle d'autorisation et vous devez configurer des règles d'autorisation pour permettre aux utilisateurs d'accéder aux ressources et aux réseaux.
- Client
-
L'utilisateur final se connectant au point de terminaison VPN Client pour établir une séance VPN. Les utilisateurs finaux doivent télécharger un client OpenVPN et utiliser le fichier de configuration VPN client que vous avez créé pour établir une session VPN.
- Plage CIDR du client
-
Plage d'adresses IP à partir de laquelle attribuer des adresses IP de clients. Chaque connexion au point de terminaison VPN Client se voit attribuer une adresse IP unique à partir de la plage CIDR du client. Vous choisissez la plage CIDR du client, par exemple,
10.2.0.0/16. - Ports VPN client
-
AWS Client VPN prend en charge les ports 443 et 1194 pour TCP et UDP. La valeur par défaut est le port 443.
- Interfaces réseau VPN Client
-
Lorsque vous associez un sous-réseau à votre point de terminaison VPN Client, nous créons des interfaces réseau VPN Client dans ce sous-réseau. Le trafic qui est envoyé au VPC à partir du point de terminaison VPN Client est envoyé via une interface réseau VPN Client. La fonction de transmission d'adresse réseau source (SNAT) est ensuite appliquée et l'adresse IP source provenant de la plage CIDR du client est convertie en adresse IP de l'interface réseau du VPN Client.
- Journalisation des connexions
-
Vous pouvez activer la journalisation des connexions pour votre point de terminaison VPN Client afin de consigner les événements de connexion. Vous pouvez utiliser ces informations pour exécuter des analyses approfondies, analyser l'utilisation de votre point de terminaison VPN Client ou déboguer des problèmes de connexion.
- Portail libre-service
-
Le VPN Client fournit un portail libre-service sous forme de page Web permettant aux utilisateurs finaux de télécharger la dernière version du bureau AWS VPN Client et la dernière version du fichier de configuration du point de terminaison VPN Client, qui contient les paramètres requis pour se connecter à leur point de terminaison. Votre administrateur de point de terminaison VPN Client peut activer ou désactiver un portail en libre-service pour le point de terminaison VPN Client. Le portail en libre-service est un service mondial soutenu par des ensembles de services dans les régions suivantes : USA Est (Virginie du Nord), Asie-Pacifique (Tokyo), Europe (Irlande) et AWS GovCloud (USA Ouest).
Utilisation du VPN Client
Vous pouvez utiliser le VPN Client selon l'une des méthodes suivantes :
- AWS Management Console
-
La console fournit une interface utilisateur Web pour Client VPN. Si vous vous êtes inscrit à un Compte AWS, vous pouvez vous connecter à la console Amazon VPC
et sélectionner Client VPN dans le volet de navigation. - AWS Command Line Interface (AWS CLI)
-
AWS CLI Fournit un accès direct aux API publiques du Client VPN. Elle est prise en charge sur Windows, macOS et Linux. Pour plus d'informations sur la prise en main du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur les commandes pour le VPN Client, consultez la Référence de l'AWS CLI.
- AWS Tools for Windows PowerShell
-
AWS fournit des commandes pour un large éventail d' AWS offres destinées à ceux qui écrivent des scripts dans l'PowerShell environnement. Pour plus d'informations sur le démarrage avec les AWS Tools for Windows PowerShell, consultez le Guide de l’utilisateur AWS Tools for Windows PowerShell. Pour plus d'informations sur les cmdlets pour le VPN Client, consultez la AWS Tools for Windows PowerShell Référence des cmdlet .
- API de requête
-
L'API de requête HTTPS du Client VPN vous donne un accès programmatique au VPN client et AWS. L'API de requête HTTPS vous permet d'envoyer des demandes HTTPS directement au service. Lorsque vous utilisez l'API HTTPS, vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations, consultez les actions AWS Client VPN.
Tarification du VPN Client
Chaque association de points de terminaison et chaque connexion VPN vous sont facturés toutes les heures. Pour en savoir plus, consultez AWS Client VPN Tarification
Le transfert de données depuis Amazon EC2 vers l'Internet vous est facturé. Pour plus d'informations, consultez Transfert de données
Si vous activez la journalisation des connexions pour le point de terminaison de votre Client VPN, vous devez créer un groupe de CloudWatch journaux journaux dans votre compte. Des frais s'appliquent pour l'utilisation de groupes de journaux. Pour plus d'informations, consultez CloudWatch les tarifs Amazon
Si vous activez e gestionnaire de connexion client pour votre point de terminaison VPN Client, vous devez créer et appeler une fonction de type Lambda. Des frais s'appliquent pour l'appel des fonctions de type Lambda. Pour en savoir plus, consultez AWS Lambda
Tarification
Les points de terminaison VPN du Client sont associés à un réseau cible, qui est un sous-réseau d'un VPC. Si ce VPC possède une passerelle Internet, nous associons les adresses IP élastiques aux interfaces réseau élastiques (ENI) du VPN client. Ces adresses IP Elastic sont facturées en tant qu'adresses IPv4 publiques en cours d'utilisation. Pour plus d'informations, consultez l'onglet Adresse IPv4 publique sur la page de tarification des VPC.
