本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Client VPN 限制存取您的網路
您可以設定您的 Client VPN 端點,限制對 VPC 中特定資源的存取。針對使用者類型身分驗證,您也可以根據存取 Client VPN 端點的使用者群組,將存取限制在一部分的網路。
使用安全群組限制存取
您可以透過新增或移除參考套用至目標網路關聯之安全群組 (Client VPN 安全群組) 的安全群組規則,來授與或拒絕 VPC 中特定資源的存取權。此組態闡明使用 AWS Client VPN 存取 VPC 中所述的案例。除了該案例中設定的授權規則,還會套用此組態。
若要授與特定資源的存取權,請識別與執行資源的執行個體相關聯的安全群組。然後,建立允許來自 Client VPN 安全群組的流量的規則。
在下圖中,安全群組 A 是Client VPN 安全群組,安全群組 B 與 EC2 執行個體相關聯,而安全群組 C 則與 EC2 執行個體相關聯。若您將規則新增至安全群組 B,允許來自安全群組 A 的存取權限,則用戶端可以存取與安全群組 B 關聯的執行個體。若安全群組 C 沒有規則允許來自安全群組 A 的存取權限,則用戶端無法存取與安全群組 C 關聯的執行個體。
開始之前,請先檢查 Client VPN 安全群組是否與 VPC 中的其他資源相關聯。如果您新增或移除參考 Client VPN 安全群組的規則,您可能也會授與或拒絕其他關聯資源的存取權。若要避免這種情況,請使用特別建立以搭配 Client VPN 端點使用的安全群組。
建立安全群組規則
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 在導覽窗格中,選擇 Security Groups (安全群組)。
-
選擇與執行資源之執行個體相關聯的安全群組。
-
選擇 Actions (動作)、Edit inbound rules (編輯傳入規則)。
-
選擇 Add rule (新增規則),然後執行下列動作:
-
在 Type (類型) 中,選擇 All traffic (所有流量) 或您要允許的特定流量類型。
-
在 Source (來源) 中,選擇 Custom (自訂),然後輸入或選擇 Client VPN 安全群組的 ID。
-
-
選擇 Save rules (儲存規則)
若要移除特定資源的存取權,請檢查與執行資源之執行個體相關聯的安全群組。如果規則允許來自 Client VPN 安全群組的流量,請將其刪除。
檢查安全群組規則
在 https://console.aws.amazon.com/vpc/
開啟 Amazon VPC 主控台。 在導覽窗格中,選擇 Security Groups (安全群組)。
-
選擇 Inbound Rules (傳入規則)。
-
檢閱規則清單。如果有規則的 Source (來源)是 Client VPN 安全群組,請選擇 Edit Rules (編輯規則),然後選擇規則的 Delete (刪除) (x 圖示)。選擇 Save rules (儲存規則)。
根據使用者群組限制存取
如果您的 Client VPN 端點設定為使用者型的身分驗證,您可以授與特定使用者群組對網路特定部分的存取權。若要執行此動作,請執行下列步驟。
-
在 AWS Directory Service 或您的 IdP 中設定使用者和群組。如需詳細資訊,請參閱下列主題:
-
為您的 Client VPN 端點建立授權規則,以允許指定的群組存取全部或部分網路。如需更多詳細資訊,請參閱 授權規則。
如果您的 Client VPN 端點設定為進行交互身分驗證,則無法設定使用者群組。當您建立授權規則時,您必須將存取權授與所有使用者。若要讓特定使用者群組存取您的網路的特定部分,您可以建立多個 Client VPN 端點。例如,對於存取您網路的每個使用者群組,請執行下列動作:
-
為該使用者群組建立一組伺服器和用戶端憑證和金鑰。如需更多詳細資訊,請參閱 交互身分驗證。
-
建立 Client VPN 端點。如需更多詳細資訊,請參閱 建立 Client VPN 端點。。
-
建立授權規則,授與全部或部分網路的存取權。例如,對於系統管理員所使用的 Client VPN 端點,您可以建立授權規則來授與整個網路的存取權。如需更多詳細資訊,請參閱 將授權規則新增至 Client VPN 端點。
