在客户端中使用角色进行连接授权VPN; - AWS Client VPN
客户端的服务相关角色权限 VPN为客户端创建服务相关角色 VPN编辑客户端的服务相关角色 VPN删除客户端的服务相关角色 VPN客户VPN服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在客户端中使用角色进行连接授权VPN;

AWS Client VPN 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到客户端VPN。服务相关角色由客户端预定义VPN,包括该服务代表您调用其他 AWS 服务所需的所有权限。

与服务相关的角色可以VPN更轻松地设置客户端,因为您不必手动添加必要的权限。客户端VPN定义其服务相关角色的权限,除非另有定义,否则只有客户VPN才能担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。

只有在首先删除相关资源后,您才能删除服务相关角色。这可以保护您的客户机VPN资源,因为您不能无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅与服务关联角色配合使用的AWS 服务,IAM并在服务相关角色列中查找带有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

客户端的服务相关角色权限 VPN

客户端VPN使用名为 “服务关联角色” AWSServiceRoleForClientVPNConnections的服务相关角色进行客户端VPN连接。

AWSServiceRoleForClientVPNConnections 服务相关角色信任以下服务来代入该角色:

  • clientvpn-connections.amazonaws.com

名为 C 的角色权限策略lientVPNServiceConnectionsRolePolicy 允许 Client VPN 对指定资源完成以下操作:

  • 操作:arn:aws:lambda:*:*:function:AWSClientVPN-* 上的 lambda:InvokeFunction

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为客户端创建服务相关角色 VPN

您无需手动创建服务相关角色。当您在账户中使用 AWS Management Console、或创建第一个客户端VPN终端节点时 AWS CLI,Client 会为您VPN创建服务相关角色。 AWS API

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在账户中创建第一个客户端VPN终端节点时,Client VPN 会再次为您创建服务相关角色。

编辑客户端的服务相关角色 VPN

客户端VPN不允许您编辑 AWSServiceRoleForClientVPNConnections 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色

删除客户端的服务相关角色 VPN

如果您不再需要使用客户端VPN,我们建议您删除AWSServiceRoleForClientVPNConnections服务相关角色。

必须先删除相关的客户机VPN资源。这可确保您不会无意中删除访问这些资源的权限。

使用IAM控制台IAMCLI、或删除服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色

客户VPN服务相关角色支持的区域

客户VPN支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS 区域和终端节点