Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Client VPN règles d'autorisation
Les règles d'autorisation agissent comme des règles de pare-feu qui accordent l'accès aux réseaux. En ajoutant des règles d'autorisation, vous accordez à des clients spécifiques l'accès au réseau spécifié. Vous devez disposer d'une règle d’autorisation pour chaque réseau auquel vous souhaitez accorder l'accès. Vous pouvez ajouter des règles d'autorisation à un point de terminaison VPN Client à l'aide de la console et de la AWS CLI.
**Note**
En outre, Client VPN utilise la correspondance de préfixe la plus longue lors de l'évaluation des règles d'autorisation. Consultez la rubrique de dépannage[Résolution des problèmes AWS Client VPN : les règles d'autorisation pour les groupes Active Directory ne fonctionnent pas comme prévu](ad-group-auth-rules.md)et[Priorité d’acheminement](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)dans le *Vérification Guide de l'utilisateur Amazon VPC* pour plus de détails.
## Points clés relatifs à la compréhension des règles d'autorisation
Les points suivants expliquent certains comportements des règles d'autorisation :
+ Pour autoriser l'accès à un réseau de destination, une règle d'autorisation doit être explicitement ajoutée. Le comportement par défaut consiste à refuser l’accès.
+ Vous ne pouvez pas ajouter de règle d'autorisation pour *restreindre* l’accès à un réseau de destination.
+ Le CIDR `0.0.0.0/0` est traité comme un cas spécial. Il est traité en dernier, quel que soit l'ordre de création des règles d'autorisation.
+ Le CIDR `0.0.0.0/0` peut être considéré comme « n'importe quelle destination » ou « toute destination non définie par d'autres règles d'autorisation ».
+ La correspondance de préfixe le plus long est la règle qui prévaut.
**Topics**
+ [Points clés](#key-points-summary)
+ [Exemples de scénarios](#auth-rule-example-scenarios)
+ [Ajouter une règle d'autorisation](cvpn-working-rule-authorize-add.md)
+ [Supprimer une règle d'autorisation](cvpn-working-rule-remove.md)
+ [Affichage des règles d'autorisation](cvpn-working-rule-view.md)
## Exemples de scénarios pour les règles d'autorisation du Client VPN
Cette section décrit le fonctionnement des règles d'autorisation AWS Client VPN. Elle contient des points clés relatifs à la compréhension des règles d'autorisation, un exemple d'architecture et une discussion d'exemples de scénario correspondant à l'exemple d’architecture.
**Scénarios**
+ [Exemple d'architecture pour les scénarios de règle d'autorisation](#example-arch-auth-rules)
+ [Accès à une destination unique](#auth-rules1)
+ [Utiliser n'importe quelle destination (0.0.0.0/0) CIDR](#auth-rules2)
+ [Correspondance de préfixe IP plus longue](#auth-rules3)
+ [CIDR superposé (même groupe)](#auth-rules4)
+ [Règle 0.0.0.0/0 supplémentaire](#auth-rules5)
+ [Ajouter une règle pour 192.168.0.0/24](#auth-rules6)
+ [Authentification fédérée SAML](#auth-rules7)
+ [Accès pour tous les groupes d'utilisateurs](#auth-rules8)
### Exemple d'architecture pour les scénarios de règle d'autorisation
Le schéma suivant montre l'exemple d'architecture utilisé pour les exemples de scénario présentés dans cette section.
![\[Exemple d’architecture de VPN client\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### Accès à une destination unique
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès au VPC du VPN client | S-xxxxx16 | False | 192.168.0.0/24 |
**Comportement obtenu**
+ Le groupe d'ingénierie peut accéder uniquement à `172.16.0.0/24`.
+ Le groupe de développement peut accéder uniquement à `10.0.0.0/16`.
+ Le groupe de gestionnaires peut accéder uniquement à `192.168.0.0/24`.
+ Tout le reste du trafic est supprimé par le point de terminaison du VPN client.
**Note**
Dans ce scénario, aucun groupe d'utilisateurs n'a accès à l'Internet public.
### Utiliser n'importe quelle destination (0.0.0.0/0) CIDR
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès à n'importe quelle destination | S-xxxxx16 | False | 0.0.0.0/0 |
**Comportement obtenu**
+ Le groupe d'ingénierie peut accéder uniquement à `172.16.0.0/24`.
+ Le groupe de développement peut accéder uniquement à `10.0.0.0/16`.
+ Le groupe de gestionnaires peut accéder à l'Internet public *et* à `192.168.0.0/24`, mais ne peut pas accéder à `172.16.0.0/24` ou à `10.0.0/16`.
**Note**
Dans ce scénario, aucune règle ne faisant référence à `192.168.0.0/24`, l'accès à ce réseau est également fourni par la règle `0.0.0.0/0`.
Une règle contenant `0.0.0.0/0` est toujours évaluée en dernier, quel que soit l'ordre dans lequel les règles ont été créées. Pour cette raison, gardez à l'esprit que les règles évaluées avant `0.0.0.0/0` jouent un rôle pour déterminer les réseaux auxquels `0.0.0.0/0` donne accès.
### Correspondance de préfixe IP plus longue
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès à n'importe quelle destination | S-xxxxx16 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès à un seul hôte dans le VPC de développement | S-xxxxx16 | False | 10,0.2.119/32 |
**Comportement obtenu**
+ Le groupe d'ingénierie peut accéder uniquement à `172.16.0.0/24`.
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du VPC de développement, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du VPC de développement.
**Note**
Vous pouvez voir ici comment une règle avec un préfixe IP plus long est prioritaire par rapport à une règle avec un préfixe IP plus court. Si vous souhaitez que le groupe de développement ait accès à `10.0.2.119/32`, une règle supplémentaire autorisant l'équipe de développement à accéder à `10.0.2.119/32` doit être ajoutée.
### CIDR superposé (même groupe)
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès à n'importe quelle destination | S-xxxxx16 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement | S-xxxxx16 | False | 10,0.2.119/32 |
| Fournir au groupe d'ingénierie un accès à un sous-réseau plus petit au sein du réseau sur site | S-xxxxx14 | False | 172,16,0,128/25 |
**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais ne peut accéder ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie a accès à `172.16.0.0/24`, notamment au sous-réseau plus spécifique `172.16.0.128/25`.
### Règle 0.0.0.0/0 supplémentaire
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès à n'importe quelle destination | S-xxxxx16 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement | S-xxxxx16 | False | 10,0.2.119/32 |
| Fournir au groupe d'ingénierie un accès à un sous-réseau plus petit au sein du réseau sur site | S-xxxxx14 | False | 172,16,0,128/25 |
| Fournir au groupe d'ingénieurs un accès à n'importe quelle destination | S-xxxxx14 | False | 0.0.0.0/0 |
**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un seul hôte (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie peut accéder à l'Internet public, `192.168.0.0/24`, et à `172.16.0.0/24`, dont le sous-réseau plus spécifique `172.16.0.128/25`.
**Note**
Notez que les groupes d'ingénierie et de gestion peuvent désormais accéder à `192.168.0.0/24`. Cela est dû au fait que les deux groupes ont accès à `0.0.0.0/0` (n'importe quelle destination) *et* qu’aucune autre règle ne fait référence à `192.168.0.0/24`.
### Ajouter une règle pour 192.168.0.0/24
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès à n'importe quelle destination | S-xxxxx16 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement | S-xxxxx16 | False | 10,0.2.119/32 |
| Fournir au groupe d'ingénierie un accès à un sous-réseau du réseau sur site | S-xxxxx14 | False | 172,16,0,128/25 |
| Fournir au groupe d'ingénieurs un accès à n'importe quelle destination | S-xxxxx14 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès au VPC du VPN client | S-xxxxx16 | False | 192.168.0.0/24 |
**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie peut accéder à l'Internet public, `172.16.0.0/24`, et à `172.16.0.128/25`.
**Note**
Notez comment l’ajout de la règle permettant au groupe de gestionnaires d’accéder à `192.168.0.0/24` fait que le groupe de développement n'a plus accès à ce réseau de destination.
### Authentification fédérée SAML
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | Ingénierie | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | Développeurs | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès au VPC du VPN client | Directeurs | False | 192.168.0.0/24 |
**Comportement obtenu**
+ Les utilisateurs authentifiés via SAML avec l'attribut de groupe « Engineering » peuvent uniquement y accéder. `172.16.0.0/24`
+ Les utilisateurs authentifiés via SAML avec l'attribut de groupe « Développeurs » peuvent uniquement y accéder. `10.0.0.0/16`
+ Les utilisateurs authentifiés via SAML avec l'attribut de groupe « Managers » peuvent uniquement y accéder. `192.168.0.0/24`
+ Tout le reste du trafic est supprimé par le point de terminaison du VPN client.
**Note**
Lorsque vous utilisez l'authentification fédérée SAML, le champ ID de groupe correspond à la valeur d'attribut SAML qui identifie l'appartenance au groupe de l'utilisateur. Cet attribut est configuré dans votre fournisseur d'identité SAML et transmis au Client VPN lors de l'authentification.
### Accès pour tous les groupes d'utilisateurs
| Description de la règle | ID du groupe | Autoriser l'accès à tous les utilisateurs | CIDR de destination |
| --- | --- | --- | --- |
| Fournir au groupe d'ingénierie un accès au réseau sur site | S-xxxxx14 | False | 172.16.0.0/24 |
| Fournir au groupe de développement un accès au VPC de développement | S-xxxxx15 | False | 10.0.0.0/16 |
| Fournir au groupe de gestionnaires un accès à n'importe quelle destination | S-xxxxx16 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès à un hôte unique dans le VPC de développement | S-xxxxx16 | False | 10,0.2.119/32 |
| Fournir au groupe d'ingénierie un accès à un sous-réseau du réseau sur site | S-xxxxx14 | False | 172,16,0,128/25 |
| Fournir au groupe d'ingénierie un accès à tous les réseaux | S-xxxxx14 | False | 0.0.0.0/0 |
| Fournir au groupe de gestionnaires un accès au VPC du VPN client | S-xxxxx16 | False | 192.168.0.0/24 |
| Fournir un accès à tous les groupes | N/A | True | 0.0.0.0/0 |
**Comportement obtenu**
+ Le groupe de développement peut accéder à `10.0.0.0/16`, *sauf* pour l'hôte unique `10.0.2.119/32`.
+ Le groupe de gestionnaires peut accéder à l'Internet public, `192.168.0.0/24`, et à un hôte unique (`10.0.2.119/32`) au sein du réseau `10.0.0.0/16`, mais n'a accès ni à `172.16.0.0/24` ni à aucun des hôtes restants du réseau `10.0.0.0/16`.
+ Le groupe d'ingénierie peut accéder à l'Internet public, `172.16.0.0/24`, et à `172.16.0.128/25`.
+ Tout autre groupe d'utilisateurs, par exemple le « groupe d'administrateurs », peut accéder à l'Internet public, mais à aucun des autres réseaux de destination définis dans les autres règles.
# Ajouter une règle d'autorisation à un AWS Client VPN point de terminaison
Vous pouvez ajouter une règle d'autorisation pour accorder ou restreindre l'accès à un point de terminaison VPN Client en utilisant le AWS Management Console. Une règle d'autorisation peut être ajoutée à un point de terminaison VPN client à l'aide de la console Amazon VPC ou à l'aide de la ligne de commande ou de l'API.
**Pour ajouter une règle d'autorisation à un point de terminaison VPN client à l'aide de AWS Management Console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.
1. Sélectionnez le point de terminaison VPN client auquel ajouter la règle d'autorisation, choisissez **Authorization rules (Règles d'autorisation)**, puis **Add authorization rule (Ajouter une règle d'autorisation)**.
1. Pour **Destination network to enable access (Réseau de destination pour autoriser l'accès)**, entrez l'adresse IP, en notation CIDR, du réseau auquel les utilisateurs doivent accéder (par exemple, le bloc d'adresses CIDR de votre VPC).
1. Spécifiez les clients autorisés à accéder au réseau spécifié. Pour **Pour accorder l'accès à**, effectuez l'une des actions suivantes :
+ Pour accorder l'accès à tous les clients, choisissez **Autoriser l'accès à tous les utilisateurs**.
+ Pour restreindre l'accès à des clients spécifiques, choisissez **Autoriser l'accès aux utilisateurs d'un groupe d'accès spécifique**, puis, pour **ID de groupe d'accès**, saisissez l'ID du groupe auquel accorder l'accès. Par exemple, l'identifiant de sécurité (SID) d'un groupe Active Directory ou celui ID/name d'un groupe défini dans un fournisseur d'identité (IdP) basé sur le protocole SAML.
+ (Active Directory) Pour obtenir le SID, vous pouvez utiliser l'ADGroupapplet de commande Microsoft Powershell [Get-](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup), par exemple :
```
Get-ADGroup -Filter 'Name -eq ""'
```
Vous pouvez également ouvrir l'outil Utilisateurs et ordinateurs Active Directory, afficher les propriétés du groupe, accéder à l'onglet Éditeur d'attributs et obtenir la valeur pour `objectSID`. Si nécessaire, choisissez d'abord **Affichage**, **Fonctionnalités avancées** pour activer l'onglet Éditeur d'attributs.
+ (Authentification fédérée basée sur SAML) Le groupe ID/name doit correspondre aux informations d'attribut de groupe renvoyées dans l'assertion SAML.
1. Pour **Description**, saisissez une brève description de la règle d'autorisation.
1. Choisir **Ajouter une règle d’autorisation**.
**Ajouter une règle d'autorisation à un point de terminaison VPN Client (AWS CLI)**
Utilisez la commande [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
# Supprimer une règle d'autorisation d'un point de AWS Client VPN terminaison
Vous pouvez supprimer les règles d'autorisation pour un point de terminaison VPN Client spécifique à l'aide de la console et du AWS CLI.
**Pour supprimer les règles d'autorisation (console)**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.
1. Sélectionnez le point de terminaison Client VPN pour lequel la règle d'autorisation a été ajoutée, puis choisissez **Règles d'autorisation**.
1. Sélectionnez la règle d'autorisation à supprimer, choisissez **Supprimer la règle d'autorisation**, puis choisissez à nouveau **Supprimer la règle d'autorisation** pour confirmer la suppression.
**Pour supprimer les règles d'autorisation (AWS CLI)**
Utilisez la commande [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).
# Afficher les règles AWS Client VPN d'autorisation
Vous pouvez afficher les règles d'autorisation d'un point de terminaison VPN Client spécifique à l'aide de la console et de la AWS CLI.
**Pour afficher les règles d'autorisation (console)**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le panneau de navigation, choisir **Points de terminaison VPN Client**.
1. Sélectionnez le point de terminaison VPN Client pour lequel vous souhaitez afficher les règles d'autorisation et choisir **Autorization rules (Règles d'autorisation)**.
**Pour afficher les règles d'autorisation (AWS CLI)**
Utilisez la commande [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).