選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

AWS Client VPN 授權規則

焦點模式

在本頁面

AWS Client VPN 授權規則 - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權規則做為授與存取網路的防火牆規則。透過新增授權規則,您可以授與特定的用戶端存取至指定的網路。您應該要有每個欲授與存取權之網路的授權規則。您可以使用 主控台和 將授權規則新增至用戶端VPN端點 AWS CLI。

注意

用戶端VPN在評估授權規則時使用最長的字首比對。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的疑難排解主題疑難排解 AWS Client VPN:使用中目錄群組的授權規則未如預期般運作路由優先順序

了解授權規則的要點

以下幾點解釋了授權規則的一些行為:

  • 若要允許存取目的地網路,必須明確新增授權規則。預設行為是拒絕存取。

  • 您無法將授權規則新增至限制存取目的地網路。

  • 0.0.0.0/0 CIDR 會以特殊案例處理。不論建立授權規則的順序為何,這都是最後處理。

  • 0.0.0.0/0 CIDR 可以視為「任何目的地」或「其他授權規則未定義的任何目的地」。

  • 最長字首相符是優先執行的規則。

用戶端VPN授權規則的範例案例

本節說明授權規則的運作方式 AWS Client VPN。其中包括了解授權規則的要點、範例架構,以及對應至範例架構的範例案例討論。

案例

下圖顯示用於本節中範例案例的範例架構。

範例用戶端VPN架構

下圖顯示用於本節中範例案例的範例架構。

範例用戶端VPN架構
規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供 用戶端的管理員群組存取權 VPN VPC

S-xxxxx16

False

192.168.0.0/24

產生行為
  • 工程群組只能存取 172.16.0.0/24

  • 開發群組只能存取 10.0.0.0/16

  • 管理員群組只能存取 192.168.0.0/24

  • 用戶端VPN端點會捨棄所有其他流量。

注意

在這個案例中,沒有使用者群組可以存取公有網際網路。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供 用戶端的管理員群組存取權 VPN VPC

S-xxxxx16

False

192.168.0.0/24

產生行為
  • 工程群組只能存取 172.16.0.0/24

  • 開發群組只能存取 10.0.0.0/16

  • 管理員群組只能存取 192.168.0.0/24

  • 用戶端VPN端點會捨棄所有其他流量。

注意

在這個案例中,沒有使用者群組可以存取公有網際網路。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

產生行為
  • 工程群組只能存取 172.16.0.0/24

  • 開發群組只能存取 10.0.0.0/16

  • 管理員群組可以存取公有網際網路 192.168.0.0/24,但無法存取 172.16.0.0/2410.0.0/16

注意

在這個案例中,因為沒有任何規則參考 192.168.0.0/24,對該網路的存取也由 0.0.0.0/0 規則提供。

無論規則的建立順序為何,包含 0.0.0.0/0 的規則一律最後評估。因此,請記住,在 0.0.0.0/0 之前評估的規則,會在決定 0.0.0.0/0 存取授予哪些網路方面發揮作用。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

產生行為
  • 工程群組只能存取 172.16.0.0/24

  • 開發群組只能存取 10.0.0.0/16

  • 管理員群組可以存取公有網際網路 192.168.0.0/24,但無法存取 172.16.0.0/2410.0.0/16

注意

在這個案例中,因為沒有任何規則參考 192.168.0.0/24,對該網路的存取也由 0.0.0.0/0 規則提供。

無論規則的建立順序為何,包含 0.0.0.0/0 的規則一律最後評估。因此,請記住,在 0.0.0.0/0 之前評估的規則,會在決定 0.0.0.0/0 存取授予哪些網路方面發揮作用。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

產生行為
  • 工程群組只能存取 172.16.0.0/24

  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取開發 中的公有網際網路192.168.0.0/24、 和單一主機 (10.0.2.119/32)VPC,但無法存取開發 中的 172.16.0.0/24或任何剩餘的主機VPC。

注意

在這裡,您會看到具有較長 IP 字首的規則如何優先於具有較短 IP 字首的規則。如果您希望開發群組可以存取 10.0.2.119/32,則需新增授予開發團隊存取 10.0.2.119/32 的額外規則。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

產生行為
  • 工程群組只能存取 172.16.0.0/24

  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取開發 中的公有網際網路192.168.0.0/24、 和單一主機 (10.0.2.119/32)VPC,但無法存取開發 中的 172.16.0.0/24或任何剩餘的主機VPC。

注意

在這裡,您會看到具有較長 IP 字首的規則如何優先於具有較短 IP 字首的規則。如果您希望開發群組可以存取 10.0.2.119/32,則需新增授予開發團隊存取 10.0.2.119/32 的額外規則。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中較小的子網路

S-xxxxx14

False

172.16.0.128/25

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程群組可存取 172.16.0.0/24,包括更明確的子網路 172.16.0.128/25

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中較小的子網路

S-xxxxx14

False

172.16.0.128/25

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程群組可存取 172.16.0.0/24,包括更明確的子網路 172.16.0.128/25

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中較小的子網路

S-xxxxx14

False

172.16.0.128/25

提供工程群組存取任何目的地

S-xxxxx14

False

0.0.0.0/0

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程群組可以存取公有網際網路 192.168.0.0/24 以及 172.16.0.0/24,包括更明確的子網路 172.16.0.128/25

注意

請注意,工程和管理員群組現在都可以存取 192.168.0.0/24。這是因為兩個群組都可以存取 0.0.0.0/0 (任何目的地) 沒有其他規則正在參考 192.168.0.0/24

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中較小的子網路

S-xxxxx14

False

172.16.0.128/25

提供工程群組存取任何目的地

S-xxxxx14

False

0.0.0.0/0

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程群組可以存取公有網際網路 192.168.0.0/24 以及 172.16.0.0/24,包括更明確的子網路 172.16.0.128/25

注意

請注意,工程和管理員群組現在都可以存取 192.168.0.0/24。這是因為兩個群組都可以存取 0.0.0.0/0 (任何目的地) 沒有其他規則正在參考 192.168.0.0/24

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中的子網路

S-xxxxx14

False

172.16.0.128/25

提供工程群組存取任何目的地

S-xxxxx14

False

0.0.0.0/0

提供 用戶端的管理員群組存取權 VPN VPC

S-xxxxx16

False

192.168.0.0/24

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程組可以存取公有網際網路 172.16.0.0/24 以及 172.16.0.128/25

注意

請注意,為管理員群組新增存取 192.168.0.0/24 的規則如何導致開發群組不再具有該目的地網路的存取權限。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中的子網路

S-xxxxx14

False

172.16.0.128/25

提供工程群組存取任何目的地

S-xxxxx14

False

0.0.0.0/0

提供 用戶端的管理員群組存取權 VPN VPC

S-xxxxx16

False

192.168.0.0/24

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程組可以存取公有網際網路 172.16.0.0/24 以及 172.16.0.128/25

注意

請注意,為管理員群組新增存取 192.168.0.0/24 的規則如何導致開發群組不再具有該目的地網路的存取權限。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中的子網路

S-xxxxx14

False

172.16.0.128/25

提供工程群組存取所有網路

S-xxxxx14

False

0.0.0.0/0

提供 用戶端的管理員群組存取權 VPN VPC

S-xxxxx16

False

192.168.0.0/24

提供所有群組的存取權

N/A

True

0.0.0.0/0

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程組可以存取公有網際網路 172.16.0.0/24 以及 172.16.0.128/25

  • 任何其他使用者群組 (例如「admin group」) 都可以存取公有網際網路,但不能存取其他規則中定義的任何其他目的地網路。

規則說明 群組 ID 允許所有使用者存取 目的地 CIDR

提供工程群組存取內部部署網路

S-xxxxx14

False

172.16.0.0/24

提供開發群組對開發的存取權 VPC

S-xxxxx15

False

10.0.0.0/16

提供管理員群組存取任何目的地

S-xxxxx16

False

0.0.0.0/0

提供管理員群組對開發中單一主機的存取權 VPC

S-xxxxx16

False

10.0.2.119/32

提供工程群組存取內部部署網路中的子網路

S-xxxxx14

False

172.16.0.128/25

提供工程群組存取所有網路

S-xxxxx14

False

0.0.0.0/0

提供 用戶端的管理員群組存取權 VPN VPC

S-xxxxx16

False

192.168.0.0/24

提供所有群組的存取權

N/A

True

0.0.0.0/0

產生行為
  • 開發群組可以存取 10.0.0.0/16除了單一主機 10.0.2.119/32

  • 管理員群組可以存取公有網際網路 192.168.0.0/24 以及 10.0.0.0/16 網路內的單一主機 (10.0.2.119/32),但無法存取 172.16.0.0/2410.0.0.0/16 網路中的其餘主機。

  • 工程組可以存取公有網際網路 172.16.0.0/24 以及 172.16.0.128/25

  • 任何其他使用者群組 (例如「admin group」) 都可以存取公有網際網路,但不能存取其他規則中定義的任何其他目的地網路。

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。