本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在客戶端中使用角色進行連接授權VPN;
AWS Client VPN 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至用戶端VPN的唯一IAM角色類型。服務連結角色由 Client 預先定義,VPN並包含服務代表您呼叫其他服 AWS 務所需的所有權限。
服務連結角色可讓您VPN更輕鬆地設定用戶端,因為您不需要手動新增必要的權限。用戶端會VPN定義其服務連結角色的權限,除非另有定義,否則只有 Client VPN 可以擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這樣可以保護您的 Client VPN 資源,因為您無法意外移除存取資源的權限。
如需支援服務連結角色之其他服務的相關資訊,請參閱使用的AWS 服務,IAM並在服務連結角色欄中尋找具有是的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。
用戶端的服務連結角色權限 VPN
VPN用戶端會針對用戶端連線使用名為 AWSServiceRoleForClientVPNConnections— 服務連結角色的服務VPN連結角色。
服 AWSServiceRoleForClientVPNConnections 務連結角色會信任下列服務擔任該角色:
-
clientvpn-connections.amazonaws.com
名為 C 的角色權限原則lientVPNServiceConnectionsRolePolicy 可讓VPN用戶端對指定的資源完成下列動作:
-
動作:
arn:aws:lambda:*:*:function:AWSClientVPN-*
上的lambda:InvokeFunction
您必須設定權限,才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限。
為用戶端建立服務連結角色 VPN
您不需要手動建立一個服務連結角色。當您使用 AWS Management Console、或在帳戶中建立第一個用戶VPN端端點時 AWS CLI AWS API,Client VPN 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在帳戶中建立第一個 Client VPN 端點時,Client VPN 會再次為您建立服務連結角色。
編輯用戶端的服務連結角色 VPN
用戶端VPN不允許您編輯 AWSServiceRoleForClientVPNConnections 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色。
刪除用戶端的服務連結角色 VPN
如果您不再需要使用用戶端VPN,建議您刪除AWSServiceRoleForClientVPNConnections服務連結角色。
您必須先刪除相關的用戶端VPN資源。這可確保避免您不小心移除資源的存取許可。
使用IAM主控台IAMCLI、或刪除服務連結角色。IAM API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色。
用戶端VPN服務連結角色的支援區域
用戶端VPN支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 區域與端點。