本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将角色用于 AWS Client VPN
AWS Client VPN 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到客户端VPN。服务相关角色由客户端预定义VPN,包括该服务代表您调用其他 AWS 服务所需的所有权限。
与服务相关的角色可以VPN更轻松地设置客户端,因为您不必手动添加必要的权限。客户端VPN定义其服务相关角色的权限,除非另有定义,否则只有客户VPN才能担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。
只有在首先删除相关资源后,您才能删除服务相关角色。这可以保护您的客户机VPN资源,因为您不能无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与服务关联角色配合使用的AWS 服务,IAM并在服务相关角色列中查找带有 “是” 的服务。选择是和链接,查看该服务的服务相关角色文档。
客户端的服务相关角色权限 VPN
客户端VPN使用名为 AWSServiceRoleForClientVPN“允许客户端” 的服务相关角色VPN来创建和管理与您的VPN连接相关的资源。
AWSServiceRoleForClientVPN服务相关角色信任以下服务来代入该角色:
-
clientvpn.amazonaws.com
名为 C 的角色权限策略lientVPNServiceRolePolicy允许 C lient VPN 对指定资源完成以下操作:
-
操作:
Resource: "*"
上的ec2:CreateNetworkInterface
-
操作:
ec2:CreateNetworkInterfacePermission
上的Resource: "*"
-
操作:
ec2:DescribeSecurityGroups
上的Resource: "*"
-
操作:
ec2:DescribeVpcs
上的Resource: "*"
-
操作:
ec2:DescribeSubnets
上的Resource: "*"
-
操作:
ec2:DescribeInternetGateways
上的Resource: "*"
-
操作:
ec2:ModifyNetworkInterfaceAttribute
上的Resource: "*"
-
操作:
ec2:DeleteNetworkInterface
上的Resource: "*"
-
操作:
ec2:DescribeAccountAttributes
上的Resource: "*"
-
操作:
ds:AuthorizeApplication
上的Resource: "*"
-
操作:
ds:DescribeDirectories
上的Resource: "*"
-
操作:
ds:GetDirectoryLimits
上的Resource: "*"
-
操作:
ds:UnauthorizeApplication
上的Resource: "*"
-
操作:
logs:DescribeLogStreams
上的Resource: "*"
-
操作:
logs:CreateLogStream
上的Resource: "*"
-
操作:
logs:PutLogEvents
上的Resource: "*"
-
操作:
logs:DescribeLogGroups
上的Resource: "*"
-
操作:
acm:GetCertificate
上的Resource: "*"
-
操作:
acm:DescribeCertificate
上的Resource: "*"
-
操作:
iam:GetSAMLProvider
上的Resource: "*"
-
操作:
lambda:GetFunctionConfiguration
上的Resource: "*"
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
为客户端创建服务相关角色 VPN
您无需手动创建服务相关角色。当您在账户中使用 AWS Management Console、或创建第一个客户端VPN终端节点时 AWS CLI,Client 会为您VPN创建服务相关角色。 AWS API
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在账户中创建第一个客户端VPN终端节点时,Client VPN 会再次为您创建服务相关角色。
编辑客户端的服务相关角色 VPN
客户端VPN不允许您编辑 AWSServiceRoleForClientVPN 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色。
删除客户端的服务相关角色 VPN
如果您不再需要使用客户端VPN,我们建议您删除AWSServiceRoleForClientVPN服务相关角色。
必须先删除相关的客户机VPN资源。这可确保您不会无意中删除访问这些资源的权限。
使用IAM控制台IAMCLI、或删除服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色。
客户VPN服务相关角色支持的区域
客户VPN支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。