문제 해결 AWS Client VPN: Active Directory 그룹에 대한 권한 부여 규칙이 예상대로 작동하지 않음

문제

Active Directory 그룹에 대한 권한 부여 규칙을 구성했지만 예상대로 작동하지 않습니다. 모든 네트워크의 트래픽을 0.0.0.0/0 승인하기 위한 권한 부여 규칙을 추가했지만 특정 목적지에서는 여전히 트래픽이 실패합니다. CIDRs

원인

권한 부여 규칙은 네트워크에서 인덱싱됩니다. CIDRs 권한 부여 규칙은 Active Directory 그룹에 특정 네트워크에 CIDRs 대한 액세스 권한을 부여해야 합니다. 0.0.0.0/0에 대한 권한 부여 규칙은 특별한 경우로 간주되므로, 권한 부여 규칙이 만들어진 순서에 관계없이 마지막으로 평가됩니다.

예를 들어 다음과 같은 순서로 다섯 가지 권한 부여 규칙을 만들 수 있다고 가정합니다.

규칙 1: 10.1.0.0/16에 액세스하는 그룹 1
규칙 2: 0.0.0.0/0에 액세스하는 그룹 1
규칙 3: 0.0.0.0/0에 액세스하는 그룹 2
규칙 4: 0.0.0.0/0에 액세스하는 그룹 3
규칙 5: 172.131.0.0/16에 액세스하는 그룹 2

이 예시에서는 규칙 2, 규칙 3과 규칙 4를 마지막으로 평가합니다. 그룹 1은 10.1.0.0/16에 대한 액세스 권한만 있고 그룹 2는 172.131.0.0/16에 대한 액세스 권한만 가집니다. 그룹 3은 10.1.0.0/16 또는 172.131.0.0/16에 액세스할 수 없지만 다른 모든 네트워크에 액세스할 수 있습니다. 규칙 1과 5를 제거하면 세 그룹 모두 모든 네트워크에 액세스할 수 있습니다.

클라이언트는 권한 부여 규칙을 평가할 때 가장 긴 접두사 일치를 VPN 사용합니다. 자세한 내용은 Amazon VPC 사용 설명서의 경로 우선 순위를 참조하십시오.

Solution

Active Directory 그룹에 특정 네트워크에 대한 액세스 권한을 명시적으로 부여하는 권한 부여 규칙을 생성했는지 확인하십시오. CIDRs 0.0.0.0/0에 대한 권한 부여 규칙을 추가하는 경우 마지막으로 평가되며 이전 권한 부여 규칙에 따라 액세스 권한을 부여하는 네트워크가 제한될 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

트래픽이 서브넷 간에 분할되지 않음

클라이언트는 피어링VPC, Amazon S3 또는 인터넷에 액세스할 수 없습니다.