将角色用于 AWS Client VPN - AWS Client VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将角色用于 AWS Client VPN

AWS Client VPN 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到客户端VPN。服务相关角色由客户端预定义VPN,包括该服务代表您调用其他 AWS 服务所需的所有权限。

与服务相关的角色可以VPN更轻松地设置客户端,因为您不必手动添加必要的权限。客户端VPN定义其服务相关角色的权限,除非另有定义,否则只有客户VPN才能担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。

只有在首先删除相关资源后,您才能删除服务相关角色。这可以保护您的客户机VPN资源,因为您不能无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅与服务关联角色配合使用的AWS 服务,IAM并在服务相关角色列中查找带有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

客户端的服务相关角色权限 VPN

客户端VPN使用名为 AWSServiceRoleForClientVPN“允许客户端” 的服务相关角色VPN来创建和管理与您的VPN连接相关的资源。

AWSServiceRoleForClientVPN服务相关角色信任以下服务来代入该角色:

  • clientvpn.amazonaws.com

名为 C 的角色权限策略lientVPNServiceRolePolicy允许 C lient VPN 对指定资源完成以下操作:

  • 操作:Resource: "*" 上的 ec2:CreateNetworkInterface

  • 操作:ec2:CreateNetworkInterfacePermission 上的 Resource: "*"

  • 操作:ec2:DescribeSecurityGroups 上的 Resource: "*"

  • 操作:ec2:DescribeVpcs 上的 Resource: "*"

  • 操作:ec2:DescribeSubnets 上的 Resource: "*"

  • 操作:ec2:DescribeInternetGateways 上的 Resource: "*"

  • 操作:ec2:ModifyNetworkInterfaceAttribute 上的 Resource: "*"

  • 操作:ec2:DeleteNetworkInterface 上的 Resource: "*"

  • 操作:ec2:DescribeAccountAttributes 上的 Resource: "*"

  • 操作:ds:AuthorizeApplication 上的 Resource: "*"

  • 操作:ds:DescribeDirectories 上的 Resource: "*"

  • 操作:ds:GetDirectoryLimits 上的 Resource: "*"

  • 操作:ds:UnauthorizeApplication 上的 Resource: "*"

  • 操作:logs:DescribeLogStreams 上的 Resource: "*"

  • 操作:logs:CreateLogStream 上的 Resource: "*"

  • 操作:logs:PutLogEvents 上的 Resource: "*"

  • 操作:logs:DescribeLogGroups 上的 Resource: "*"

  • 操作:acm:GetCertificate 上的 Resource: "*"

  • 操作:acm:DescribeCertificate 上的 Resource: "*"

  • 操作:iam:GetSAMLProvider 上的 Resource: "*"

  • 操作:lambda:GetFunctionConfiguration 上的 Resource: "*"

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为客户端创建服务相关角色 VPN

您无需手动创建服务相关角色。当您在账户中使用 AWS Management Console、或创建第一个客户端VPN终端节点时 AWS CLI,Client 会为您VPN创建服务相关角色。 AWS API

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在账户中创建第一个客户端VPN终端节点时,Client VPN 会再次为您创建服务相关角色。

编辑客户端的服务相关角色 VPN

客户端VPN不允许您编辑 AWSServiceRoleForClientVPN 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色

删除客户端的服务相关角色 VPN

如果您不再需要使用客户端VPN,我们建议您删除AWSServiceRoleForClientVPN服务相关角色。

必须先删除相关的客户机VPN资源。这可确保您不会无意中删除访问这些资源的权限。

使用IAM控制台IAMCLI、或删除服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色

客户VPN服务相关角色支持的区域

客户VPN支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点