本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Client VPN 中的客户端授权
<a name="client-authorization"></a>

Client VPN 支持两种类型的客户端授权：安全组和基于网络的授权（使用授权规则）。

## 安全组
<a name="security-groups"></a>

创建 Client VPN 端点时，您可以指定特定 VPC 中的安全组以应用到 Client VPN 端点。当您将子网与 Client VPN 端点关联时，我们会自动应用 VPC 的默认安全组。您可以在创建 Client VPN 端点之后更改安全组。有关更多信息，请参阅[将安全组应用于中的目标网络 AWS Client VPN](cvpn-working-target-apply.md)。安全组与 Client VPN 网络接口关联。

您可以通过向应用程序的安全组添加规则，允许来自应用于关联的安全组的流量，从而允许 Client VPN 用户在 VPC 中访问您的应用程序。

反过来，您也可以通过不指定应用到关联的安全组或删除引用 Client VPN 端点安全组的规则来限制 Client VPN 用户的访问。您需要的安全组规则还可能取决于要配置的 VPN 访问类型。有关更多信息，请参阅[Client VPN 场景和示例](how-it-works.md#scenario)。

有关安全组的更多信息，请参阅 *Amazon VPC 用户指南* 中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。

## 基于网络的授权
<a name="auth-rules"></a>

使用授权规则实施基于网络的授权。对于每个要启用访问权限的网络，您必须配置授权规则来限制具有访问权限的用户。对于指定的网络，您可以配置允许访问的 Active Directory 组或基于 SAML 的 IdP 组。只有属于指定组的用户才能访问指定的网络。如果您未使用 Active Directory 或基于 SAML 的联合身份验证，或者您要对所有用户开放访问权限，则可以指定向所有客户端授予访问权限的规则。有关更多信息，请参阅 [AWS Client VPN 授权规则](cvpn-working-rules.md)。

**Topics**
+ [安全组](#security-groups)
+ [基于网络的授权](#auth-rules)
+ [创建端点安全组规则](client-auth-rule-create.md)