本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Client VPN 授權規則
授權規則做為授與存取網路的防火牆規則。透過新增授權規則,您可以授與特定的用戶端存取至指定的網路。您應該要有每個欲授與存取權之網路的授權規則。您可以使用主控台和將授權規則新增至用戶VPN端端點 AWS CLI。
注意
客戶端在評估授權規則時VPN使用最長的前綴匹配。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的疑難排解主題疑難排解 AWS Client VPN:使用中目錄群組的授權規則未如預期般運作和路由優先順序。
了解授權規則的要點
以下幾點解釋了授權規則的一些行為:
-
若要允許存取目的地網路,必須明確新增授權規則。預設行為是拒絕存取。
-
您無法將授權規則新增至限制存取目的地網路。
-
會
0.0.0.0/0CIDR以特殊情況的方式處理。不論建立授權規則的順序為何,這都是最後處理。 -
0.0.0.0/0CIDR可以將其視為「任何目的地」或「未由其他授權規則定義的任何目的地」。 -
最長字首相符是優先執行的規則。
用戶端VPN授權規則的範例案例
本節說明授權規則的運作方式 AWS Client VPN。其中包括了解授權規則的要點、範例架構,以及對應至範例架構的範例案例討論。
案例
下圖顯示用於本節中範例案例的範例架構。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取用戶端 VPN VPC |
S-xxxxx16 |
False |
192.168.0.0/24 |
產生行為
-
工程群組只能存取
172.16.0.0/24。 -
開發群組只能存取
10.0.0.0/16。 -
管理員群組只能存取
192.168.0.0/24。 -
用戶VPN端端點會捨棄所有其他流量。
注意
在這個案例中,沒有使用者群組可以存取公有網際網路。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取任何目的地 |
S-xxxxx16 |
False |
0.0.0.0/0 |
產生行為
-
工程群組只能存取
172.16.0.0/24。 -
開發群組只能存取
10.0.0.0/16。 -
管理員群組可以存取公有網際網路和
192.168.0.0/24,但無法存取172.16.0.0/24或10.0.0/16。
注意
在這個案例中,因為沒有任何規則參考 192.168.0.0/24,對該網路的存取也由 0.0.0.0/0 規則提供。
無論規則的建立順序為何,包含 0.0.0.0/0 的規則一律最後評估。因此,請記住,在 0.0.0.0/0 之前評估的規則,會在決定 0.0.0.0/0 存取授予哪些網路方面發揮作用。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取任何目的地 |
S-xxxxx16 |
False |
0.0.0.0/0 |
|
提供管理員群組存取開發中的單一主機 VPC |
S-xxxxx16 |
False |
10.0.2.119/32 |
產生行為
-
工程群組只能存取
172.16.0.0/24。 -
開發群組可以存取
10.0.0.0/16,除了單一主機10.0.2.119/32。 -
管理員群組可以存取公用網際網路
192.168.0.0/24,以及開發中的單一主機 (10.0.2.119/32)VPC,但無法存取172.16.0.0/24或開發中的任何剩餘主機VPC。
注意
在這裡,您會看到具有較長 IP 字首的規則如何優先於具有較短 IP 字首的規則。如果您希望開發群組可以存取 10.0.2.119/32,則需新增授予開發團隊存取 10.0.2.119/32 的額外規則。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取任何目的地 |
S-xxxxx16 |
False |
0.0.0.0/0 |
|
提供管理員群組存取開發中的單一主機 VPC |
S-xxxxx16 |
False |
10.0.2.119/32 |
|
提供工程群組存取內部部署網路中較小的子網路 |
S-xxxxx14 |
False |
172.16.0.128/25 |
產生行為
-
開發群組可以存取
10.0.0.0/16,除了單一主機10.0.2.119/32。 -
管理員群組可以存取公有網際網路
192.168.0.0/24以及10.0.0.0/16網路內的單一主機 (10.0.2.119/32),但無法存取172.16.0.0/24或10.0.0.0/16網路中的其餘主機。 -
工程群組可存取
172.16.0.0/24,包括更明確的子網路172.16.0.128/25。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取任何目的地 |
S-xxxxx16 |
False |
0.0.0.0/0 |
|
提供管理員群組存取開發中的單一主機 VPC |
S-xxxxx16 |
False |
10.0.2.119/32 |
|
提供工程群組存取內部部署網路中較小的子網路 |
S-xxxxx14 |
False |
172.16.0.128/25 |
|
提供工程群組存取任何目的地 |
S-xxxxx14 |
False |
0.0.0.0/0 |
產生行為
-
開發群組可以存取
10.0.0.0/16,除了單一主機10.0.2.119/32。 -
管理員群組可以存取公有網際網路
192.168.0.0/24以及10.0.0.0/16網路內的單一主機 (10.0.2.119/32),但無法存取172.16.0.0/24或10.0.0.0/16網路中的其餘主機。 -
工程群組可以存取公有網際網路
192.168.0.0/24以及172.16.0.0/24,包括更明確的子網路172.16.0.128/25。
注意
請注意,工程和管理員群組現在都可以存取 192.168.0.0/24。這是因為兩個群組都可以存取 0.0.0.0/0 (任何目的地) 且沒有其他規則正在參考 192.168.0.0/24。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取任何目的地 |
S-xxxxx16 |
False |
0.0.0.0/0 |
|
提供管理員群組存取開發中的單一主機 VPC |
S-xxxxx16 |
False |
10.0.2.119/32 |
|
提供工程群組存取內部部署網路中的子網路 |
S-xxxxx14 |
False |
172.16.0.128/25 |
|
提供工程群組存取任何目的地 |
S-xxxxx14 |
False |
0.0.0.0/0 |
|
提供管理員群組存取用戶端 VPN VPC |
S-xxxxx16 |
False |
192.168.0.0/24 |
產生行為
-
開發群組可以存取
10.0.0.0/16,除了單一主機10.0.2.119/32。 -
管理員群組可以存取公有網際網路
192.168.0.0/24以及10.0.0.0/16網路內的單一主機 (10.0.2.119/32),但無法存取172.16.0.0/24或10.0.0.0/16網路中的其餘主機。 -
工程組可以存取公有網際網路
172.16.0.0/24以及172.16.0.128/25。
注意
請注意,為管理員群組新增存取 192.168.0.0/24 的規則如何導致開發群組不再具有該目的地網路的存取權限。
| 規則說明 | 群組 ID | 允許所有使用者存取 | 目的地 CIDR |
|---|---|---|---|
|
提供工程群組存取內部部署網路 |
S-xxxxx14 |
False |
172.16.0.0/24 |
|
提供開發群組存取開發 VPC |
S-xxxxx15 |
False |
10.0.0.0/16 |
|
提供管理員群組存取任何目的地 |
S-xxxxx16 |
False |
0.0.0.0/0 |
|
提供管理員群組存取開發中的單一主機 VPC |
S-xxxxx16 |
False |
10.0.2.119/32 |
|
提供工程群組存取內部部署網路中的子網路 |
S-xxxxx14 |
False |
172.16.0.128/25 |
|
提供工程群組存取所有網路 |
S-xxxxx14 |
False |
0.0.0.0/0 |
|
提供管理員群組存取用戶端 VPN VPC |
S-xxxxx16 |
False |
192.168.0.0/24 |
|
提供所有群組的存取權 |
N/A |
True |
0.0.0.0/0 |
產生行為
-
開發群組可以存取
10.0.0.0/16,除了單一主機10.0.2.119/32。 -
管理員群組可以存取公有網際網路
192.168.0.0/24以及10.0.0.0/16網路內的單一主機 (10.0.2.119/32),但無法存取172.16.0.0/24或10.0.0.0/16網路中的其餘主機。 -
工程組可以存取公有網際網路
172.16.0.0/24以及172.16.0.128/25。 -
任何其他使用者群組 (例如「admin group」) 都可以存取公有網際網路,但不能存取其他規則中定義的任何其他目的地網路。
