Menggunakan peran untuk AWS Client VPN - AWS Client VPN
Izin peran terkait layanan untuk Klien VPNMembuat peran terkait layanan untuk Klien VPNMengedit peran terkait layanan untuk Klien VPNMenghapus peran terkait layanan untuk Klien VPNWilayah yang Didukung untuk peran VPN terkait layanan Klien

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran untuk AWS Client VPN

AWS Client VPN menggunakan AWS Identity and Access Management (IAM) peran terkait layanan. Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke Klien. IAM VPN Peran terkait layanan telah ditentukan sebelumnya oleh Klien VPN dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan Klien VPN lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Klien VPN mendefinisikan izin dari peran terkait layanannya, dan kecuali ditentukan lain, hanya Klien yang VPN dapat mengambil perannya. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain mana pun. IAM

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi VPN sumber daya Klien Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran terkait layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk Klien VPN

Klien VPN menggunakan peran terkait layanan bernama AWSServiceRoleForClientVPN— Izinkan Klien VPN membuat dan mengelola sumber daya yang terkait dengan koneksi AndaVPN.

Peran AWSServiceRoleForClientVPNterkait layanan mempercayai layanan berikut untuk mengambil peran:

  • clientvpn.amazonaws.com

Kebijakan izin peran bernama C lientVPNService RolePolicy memungkinkan Klien VPN untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan: ec2:CreateNetworkInterface pada Resource: "*"

  • Tindakan: ec2:CreateNetworkInterfacePermission pada Resource: "*"

  • Tindakan: ec2:DescribeSecurityGroups pada Resource: "*"

  • Tindakan: ec2:DescribeVpcs pada Resource: "*"

  • Tindakan: ec2:DescribeSubnets pada Resource: "*"

  • Tindakan: ec2:DescribeInternetGateways pada Resource: "*"

  • Tindakan: ec2:ModifyNetworkInterfaceAttribute pada Resource: "*"

  • Tindakan: ec2:DeleteNetworkInterface pada Resource: "*"

  • Tindakan: ec2:DescribeAccountAttributes pada Resource: "*"

  • Tindakan: ds:AuthorizeApplication pada Resource: "*"

  • Tindakan: ds:DescribeDirectories pada Resource: "*"

  • Tindakan: ds:GetDirectoryLimits pada Resource: "*"

  • Tindakan: ds:UnauthorizeApplication pada Resource: "*"

  • Tindakan: logs:DescribeLogStreams pada Resource: "*"

  • Tindakan: logs:CreateLogStream pada Resource: "*"

  • Tindakan: logs:PutLogEvents pada Resource: "*"

  • Tindakan: logs:DescribeLogGroups pada Resource: "*"

  • Tindakan: acm:GetCertificate pada Resource: "*"

  • Tindakan: acm:DescribeCertificate pada Resource: "*"

  • Tindakan: iam:GetSAMLProvider pada Resource: "*"

  • Tindakan: lambda:GetFunctionConfiguration pada Resource: "*"

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran terkait layanan di Panduan Pengguna. IAM

Membuat peran terkait layanan untuk Klien VPN

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat VPN titik akhir Klien pertama di akun Anda dengan AWS Management Console, Klien AWS CLI, atau AWS API, Klien VPN membuat peran terkait layanan untuk Anda.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat VPN titik akhir Klien pertama di akun Anda, Klien VPN membuat peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk Klien VPN

Klien VPN tidak mengizinkan Anda mengedit peran AWSServiceRoleForClientVPN terkait layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.

Menghapus peran terkait layanan untuk Klien VPN

Jika Anda tidak perlu lagi menggunakan KlienVPN, kami sarankan Anda menghapus peran AWSServiceRoleForClientVPNterkait layanan.

Anda harus terlebih dahulu menghapus VPN sumber daya Klien terkait. Ini memastikan bahwa Anda tidak menghapus izin untuk mengakses sumber daya secara tidak sengaja.

Gunakan IAM konsol, the IAMCLI, atau IAM API untuk menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM

Wilayah yang Didukung untuk peran VPN terkait layanan Klien

Klien VPN mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, silakan lihat Wilayah AWS dan titik akhir.