Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Client VPN aturan otorisasi
Aturan otorisasi bertindak sebagai aturan firewall yang memberikan akses ke jaringan. Dengan menambahkan aturan otorisasi, Anda memberikan klien tertentu akses ke jaringan yang ditentukan. Anda harus memiliki aturan otorisasi untuk setiap jaringan yang ingin Anda akses. Anda dapat menambahkan aturan otorisasi ke VPN titik akhir Klien menggunakan konsol dan. AWS CLI
catatan
Klien VPN menggunakan pencocokan awalan terpanjang saat mengevaluasi aturan otorisasi. Lihat topik pemecahan masalah Pemecahan masalah AWS Client VPN: Aturan otorisasi untuk grup Active Directory tidak berfungsi seperti yang diharapkan dan prioritas Rute di Panduan VPC Pengguna Amazon untuk detail selengkapnya.
Poin penting untuk memahami aturan otorisasi
Poin-poin berikut menjelaskan beberapa perilaku aturan otorisasi:
-
Untuk mengizinkan akses ke jaringan tujuan, aturan otorisasi harus ditambahkan secara eksplisit. Perilaku defaultnya adalah menolak akses.
-
Anda tidak dapat menambahkan aturan otorisasi untuk membatasi akses ke jaringan tujuan.
-
0.0.0.0/0CIDRIni ditangani sebagai kasus khusus. Ini diproses terakhir, terlepas dari urutan aturan otorisasi dibuat. -
Ini
0.0.0.0/0CIDR dapat dianggap sebagai “tujuan apa pun,” atau “tujuan apa pun yang tidak ditentukan oleh aturan otorisasi lainnya.” -
Pencocokan awalan terpanjang adalah aturan yang diutamakan.
Topik
Contoh skenario untuk aturan VPN otorisasi Klien
Bagian ini menjelaskan cara kerja aturan otorisasi. AWS Client VPN Ini mencakup poin-poin penting untuk memahami aturan otorisasi, arsitektur contoh, dan diskusi skenario contoh yang memetakan ke arsitektur contoh.
Skenario
Diagram berikut menunjukkan contoh arsitektur yang digunakan untuk skenario contoh yang ditemukan di bagian ini.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Memberikan akses grup manajer ke Klien VPN VPC |
S-XXXXX16 |
False |
192.168.0.0/24 |
Perilaku yang dihasilkan
-
Kelompok teknik hanya dapat mengakses
172.16.0.0/24. -
Grup pengembangan hanya dapat mengakses
10.0.0.0/16. -
Grup manajer hanya dapat mengakses
192.168.0.0/24. -
Semua lalu lintas lainnya dijatuhkan oleh VPN titik akhir Klien.
catatan
Dalam skenario ini, tidak ada grup pengguna yang memiliki akses ke internet publik.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Menyediakan akses grup manajer ke tujuan apa pun |
S-XXXXX16 |
False |
0.0.0.0/0 |
Perilaku yang dihasilkan
-
Kelompok teknik hanya dapat mengakses
172.16.0.0/24. -
Grup pengembangan hanya dapat mengakses
10.0.0.0/16. -
Grup manajer dapat mengakses internet publik dan
192.168.0.0/24, tetapi tidak dapat mengakses172.16.0.0/24atau10.0.0/16.
catatan
Dalam skenario ini, karena tidak ada aturan yang merujuk192.168.0.0/24, akses ke jaringan itu juga disediakan oleh 0.0.0.0/0 aturan.
Aturan yang mengandung selalu 0.0.0.0/0 dievaluasi terakhir terlepas dari urutan di mana aturan dibuat. Karena itu, perlu diingat bahwa aturan yang dievaluasi sebelumnya 0.0.0.0/0 berperan dalam menentukan jaringan mana yang 0.0.0.0/0 memberikan akses.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Menyediakan akses grup manajer ke tujuan apa pun |
S-XXXXX16 |
False |
0.0.0.0/0 |
|
Menyediakan akses grup manajer ke satu host dalam pengembangan VPC |
S-XXXXX16 |
False |
10.0.2.119/32 |
Perilaku yang dihasilkan
-
Kelompok teknik hanya dapat mengakses
172.16.0.0/24. -
Grup pengembangan dapat mengakses
10.0.0.0/16, kecuali untuk host tunggal10.0.2.119/32. -
Grup manajer dapat mengakses internet publik,
192.168.0.0/24, dan satu host (10.0.2.119/32) dalam pengembanganVPC, tetapi tidak memiliki akses ke172.16.0.0/24atau salah satu host yang tersisa dalam pengembanganVPC.
catatan
Di sini Anda melihat bagaimana aturan dengan awalan IP yang lebih panjang lebih diutamakan daripada aturan dengan awalan IP yang lebih pendek. Jika Anda ingin grup pengembangan memiliki akses10.0.2.119/32, aturan tambahan yang memberikan akses kepada tim pengembangan 10.0.2.119/32 perlu ditambahkan.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Menyediakan akses grup manajer ke tujuan apa pun |
S-XXXXX16 |
False |
0.0.0.0/0 |
|
Berikan akses grup manajer ke host tunggal dalam pengembangan VPC |
S-XXXXX16 |
False |
10.0.2.119/32 |
|
Menyediakan akses grup teknik ke subnet yang lebih kecil dalam jaringan lokal |
S-XXXXX14 |
False |
172.16.0.128/25 |
Perilaku yang dihasilkan
-
Grup pengembangan dapat mengakses
10.0.0.0/16, kecuali untuk host tunggal10.0.2.119/32. -
Grup manajer dapat mengakses internet publik,
192.168.0.0/24, dan satu host (10.0.2.119/32) dalam10.0.0.0/16jaringan, tetapi tidak memiliki akses ke172.16.0.0/24atau salah satu host yang tersisa di10.0.0.0/16jaringan. -
Kelompok teknik memiliki akses ke
172.16.0.0/24, termasuk subnet172.16.0.128/25yang lebih spesifik.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Menyediakan akses grup manajer ke tujuan apa pun |
S-XXXXX16 |
False |
0.0.0.0/0 |
|
Berikan akses grup manajer ke host tunggal dalam pengembangan VPC |
S-XXXXX16 |
False |
10.0.2.119/32 |
|
Menyediakan akses grup teknik ke subnet yang lebih kecil dalam jaringan lokal |
S-XXXXX14 |
False |
172.16.0.128/25 |
|
Menyediakan akses grup teknik ke tujuan apa pun |
S-XXXXX14 |
False |
0.0.0.0/0 |
Perilaku yang dihasilkan
-
Grup pengembangan dapat mengakses
10.0.0.0/16, kecuali untuk host tunggal10.0.2.119/32. -
Grup manajer dapat mengakses internet publik,
192.168.0.0/24, dan satu host (10.0.2.119/32) dalam10.0.0.0/16jaringan, tetapi tidak memiliki akses ke172.16.0.0/24atau salah satu host yang tersisa di10.0.0.0/16jaringan. -
Kelompok teknik dapat mengakses internet publik,, dan
192.168.0.0/24172.16.0.0/24, termasuk subnet172.16.0.128/25yang lebih spesifik.
catatan
Perhatikan bahwa kelompok teknik dan manajer sekarang dapat mengakses192.168.0.0/24. Ini karena kedua grup memiliki akses ke 0.0.0.0/0 (tujuan apa pun) dan tidak ada aturan lain yang merujuk192.168.0.0/24.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Menyediakan akses grup manajer ke tujuan apa pun |
S-XXXXX16 |
False |
0.0.0.0/0 |
|
Berikan akses grup manajer ke host tunggal dalam pengembangan VPC |
S-XXXXX16 |
False |
10.0.2.119/32 |
|
Menyediakan akses grup teknik ke subnet di jaringan lokal |
S-XXXXX14 |
False |
172.16.0.128/25 |
|
Menyediakan akses grup teknik ke tujuan apa pun |
S-XXXXX14 |
False |
0.0.0.0/0 |
|
Memberikan akses grup manajer ke Klien VPN VPC |
S-XXXXX16 |
False |
192.168.0.0/24 |
Perilaku yang dihasilkan
-
Grup pengembangan dapat mengakses
10.0.0.0/16, kecuali untuk host tunggal10.0.2.119/32. -
Grup manajer dapat mengakses internet publik,
192.168.0.0/24, dan satu host (10.0.2.119/32) dalam10.0.0.0/16jaringan, tetapi tidak memiliki akses ke172.16.0.0/24atau salah satu host yang tersisa di10.0.0.0/16jaringan. -
Kelompok teknik dapat mengakses internet publik,
172.16.0.0/24, dan172.16.0.128/25.
catatan
Perhatikan bagaimana menambahkan aturan untuk grup pengelola untuk mengakses 192.168.0.0/24 hasil dalam grup pengembangan tidak lagi memiliki akses ke jaringan tujuan tersebut.
| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Destinasi CIDR |
|---|---|---|---|
|
Menyediakan akses grup teknik ke jaringan lokal |
S-XXXXX14 |
False |
172.16.0.0/24 |
|
Memberikan akses kelompok pengembangan ke pengembangan VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
Menyediakan akses grup manajer ke tujuan apa pun |
S-XXXXX16 |
False |
0.0.0.0/0 |
|
Berikan akses grup manajer ke host tunggal dalam pengembangan VPC |
S-XXXXX16 |
False |
10.0.2.119/32 |
|
Menyediakan akses grup teknik ke subnet di jaringan lokal |
S-XXXXX14 |
False |
172.16.0.128/25 |
|
Menyediakan akses grup teknik ke semua jaringan |
S-XXXXX14 |
False |
0.0.0.0/0 |
|
Memberikan akses grup manajer ke Klien VPN VPC |
S-XXXXX16 |
False |
192.168.0.0/24 |
|
Menyediakan akses ke semua grup |
N/A |
True |
0.0.0.0/0 |
Perilaku yang dihasilkan
-
Grup pengembangan dapat mengakses
10.0.0.0/16, kecuali untuk host tunggal10.0.2.119/32. -
Grup manajer dapat mengakses internet publik,
192.168.0.0/24, dan satu host (10.0.2.119/32) dalam10.0.0.0/16jaringan, tetapi tidak memiliki akses ke172.16.0.0/24atau salah satu host yang tersisa di10.0.0.0/16jaringan. -
Kelompok teknik dapat mengakses internet publik,
172.16.0.0/24, dan172.16.0.128/25. -
Grup pengguna lain, misalnya “grup admin,” dapat mengakses internet publik, tetapi tidak ada jaringan tujuan lain yang ditentukan dalam aturan lain.
