使用角色 AWS Client VPN - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用角色 AWS Client VPN

AWS Client VPN 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至用戶端VPN的唯一IAM角色類型。服務連結角色由 Client 預先定義,VPN並包含服務代表您呼叫其他服 AWS 務所需的所有權限。

服務連結角色可讓您VPN更輕鬆地設定用戶端,因為您不需要手動新增必要的權限。用戶端會VPN定義其服務連結角色的權限,除非另有定義,否則只有 Client VPN 可以擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。這樣可以保護您的 Client VPN 資源,因為您無法意外移除存取資源的權限。

如需支援服務連結角色之其他服務的相關資訊,請參閱使用的AWS 服務,IAM並在服務連結角色欄中尋找具有的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

用戶端的服務連結角色權限 VPN

VPN用戶端使用名為的服務連結角色 AWSServiceRoleForClientVPN— 允許用戶端VPN建立和管理與您的VPN連線相關的資源。

AWSServiceRoleForClientVPN務連結角色會信任下列服務擔任該角色:

  • clientvpn.amazonaws.com

名為 C 的角色權限原則lientVPNServiceRolePolicy可讓VPN用戶端對指定的資源完成下列動作:

  • 動作:Resource: "*" 上的 ec2:CreateNetworkInterface

  • 動作:Resource: "*" 上的 ec2:CreateNetworkInterfacePermission

  • 動作:Resource: "*" 上的 ec2:DescribeSecurityGroups

  • 動作:Resource: "*" 上的 ec2:DescribeVpcs

  • 動作:Resource: "*" 上的 ec2:DescribeSubnets

  • 動作:Resource: "*" 上的 ec2:DescribeInternetGateways

  • 動作:Resource: "*" 上的 ec2:ModifyNetworkInterfaceAttribute

  • 動作:Resource: "*" 上的 ec2:DeleteNetworkInterface

  • 動作:Resource: "*" 上的 ec2:DescribeAccountAttributes

  • 動作:Resource: "*" 上的 ds:AuthorizeApplication

  • 動作:Resource: "*" 上的 ds:DescribeDirectories

  • 動作:Resource: "*" 上的 ds:GetDirectoryLimits

  • 動作:Resource: "*" 上的 ds:UnauthorizeApplication

  • 動作:Resource: "*" 上的 logs:DescribeLogStreams

  • 動作:Resource: "*" 上的 logs:CreateLogStream

  • 動作:Resource: "*" 上的 logs:PutLogEvents

  • 動作:Resource: "*" 上的 logs:DescribeLogGroups

  • 動作:Resource: "*" 上的 acm:GetCertificate

  • 動作:Resource: "*" 上的 acm:DescribeCertificate

  • 動作:Resource: "*" 上的 iam:GetSAMLProvider

  • 動作:Resource: "*" 上的 lambda:GetFunctionConfiguration

您必須設定權限,才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限

為用戶端建立服務連結角色 VPN

您不需要手動建立一個服務連結角色。當您使用 AWS Management Console、或在帳戶中建立第一個用戶VPN端端點時 AWS CLI AWS API,Client VPN 會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在帳戶中建立第一個 Client VPN 端點時,Client VPN 會再次為您建立服務連結角色。

編輯用戶端的服務連結角色 VPN

用戶端VPN不允許您編輯 AWSServiceRoleForClientVPN 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色

刪除用戶端的服務連結角色 VPN

如果您不再需要使用用戶端VPN,建議您刪除AWSServiceRoleForClientVPN服務連結角色。

您必須先刪除相關的用戶端VPN資源。這可確保避免您不小心移除資源的存取許可。

使用IAM主控台IAMCLI、或刪除服務連結角色。IAM API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

用戶端VPN服務連結角色的支援區域

用戶端VPN支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 AWS 區域與端點