Caractéristiques du VPN Client Composants de Client VPN Utilisation du VPN Client Tarification du VPN Client

Qu'est-ce que c'est AWS Client VPN ?

AWS Client VPN est un service VPN géré basé sur le client qui vous permet d'accéder en toute sécurité à vos AWS ressources et aux ressources de votre réseau sur site. Avec le VPN Client, vous pouvez accéder à vos ressources à partir de n'importe quel emplacement à l'aide d'un client VPN basé sur OpenVPN.

Rubriques

Caractéristiques du VPN Client
Composants de Client VPN
Utilisation du VPN Client
Tarification du VPN Client
Règles et meilleures pratiques

Caractéristiques du VPN Client

Le VPN Client offre les caractéristiques et fonctionnalités suivantes:

Connexions sécurisées : établit des connexions TLS cryptées depuis n'importe quel endroit via le client OpenVPN, garantissant ainsi la confidentialité et l'intégrité des données.
Service géré : élimine le fardeau opérationnel lié au déploiement et à la maintenance de solutions VPN d'accès à distance tierces grâce à une gestion complète d'AWS.
Haute disponibilité et élasticité : évolue de manière dynamique pour s'adapter au nombre variable d'utilisateurs se connectant à vos ressources AWS et sur site, sans intervention manuelle.
Authentification : prend en charge plusieurs méthodes d'authentification, notamment l'intégration d'Active Directory, l'authentification fédérée et l'authentification basée sur des certificats pour une gestion flexible des identités.
Contrôle granulaire : implémente des contrôles de sécurité précis grâce à des règles d'accès réseau configurables au niveau du groupe Active Directory et à un contrôle d'accès basé sur le groupe de sécurité.
Facilité d'utilisation : fournit un accès unifié à AWS et aux ressources sur site via un tunnel VPN unique, ce qui simplifie l'expérience de l'utilisateur final.
Facilité de gestion : offre une visibilité complète grâce à des journaux de connexion détaillés et à des fonctionnalités de gestion en temps réel, notamment la possibilité de surveiller et de résilier les connexions clients actives lorsque cela est nécessaire.
Intégration approfondie : s'intègre parfaitement aux services AWS existants, notamment AWS Directory Service Amazon VPC, améliorant ainsi les capacités de connectivité de votre infrastructure cloud.
IPv6 support — Permet une IPv6 connectivité complète pour les points de terminaison VPN du Client, en prenant en charge les connexions aux IPv6 ressources de votre réseau VPCs et en provenance de clients sur IPv6 les réseaux pour répondre aux exigences réseau modernes.

Composants de Client VPN

Les concepts clés liés au VPN Client sont les suivants :

Point de terminaison VPN Client: Le point de terminaison VPN Client est la ressource que vous créez et conﬁgurez pour activer et gérer des sessions VPN Client. C'est le point de terminaison pour toutes les sessions VPN client.
Réseau cible: Un réseau cible est le réseau que vous associez à un point de terminaison VPN Client. Un sous-réseau d’un VPC est un réseau cible. L’association d'un sous-réseau à un point de terminaison VPN Client vous permet d'établir des sessions VPN. Vous pouvez associer plusieurs sous-réseaux à un point de terminaison VPN Client pour bénéficier d'une haute disponibilité. Tous les sous-réseaux doivent se trouver dans le même VPC. Chaque sous-réseau doit appartenir à une zone de disponibilité différente.
Acheminement: Chaque point de terminaison du VPN client a une table de routage qui décrit la les acheminements réseau de destination disponibles. Chaque acheminement de la table de routage spécifie le chemin d'accès du trafic vers des ressources ou des réseaux spécifiques.
Règles d'autorisation: Une règle d’autorisation limite les utilisateurs qui peuvent accéder à un réseau. Pour un réseau spécifié, vous configurez le groupe Active Directory ou fournisseur d'identité (IdP) auquel l'accès est autorisé. Seuls les utilisateurs appartenant à ce groupe peuvent accéder au réseau spécifié. Par défaut, il n'y a aucune règle d'autorisation et vous devez configurer des règles d'autorisation pour permettre aux utilisateurs d'accéder aux ressources et aux réseaux.
Client: L'utilisateur final se connectant au point de terminaison VPN Client pour établir une séance VPN. Les utilisateurs finaux doivent télécharger un client OpenVPN et utiliser le fichier de configuration VPN client que vous avez créé pour établir une session VPN.
Plage CIDR du client: Plage d'adresses IP à partir de laquelle attribuer des adresses IP de clients. Chaque connexion au point de terminaison VPN Client se voit attribuer une adresse IP unique à partir de la plage CIDR du client. Pour IPv4 le trafic, vous choisissez la plage d'adresses CIDR du client, par exemple,10.2.0.0/16. Pour IPv6 le trafic, attribue AWS Client VPN automatiquement la plage d'adresses CIDR du client.
Ports VPN client: AWS Client VPN prend en charge les ports 443 et 1194 pour TCP et UDP. La valeur par défaut est le port 443.
Interfaces réseau VPN Client: Lorsque vous associez un sous-réseau à votre point de terminaison VPN Client, nous créons des interfaces réseau VPN Client dans ce sous-réseau. Le trafic qui est envoyé au VPC à partir du point de terminaison VPN Client est envoyé via une interface réseau VPN Client. Pour IPv4 le trafic, la traduction d'adresse réseau source (SNAT) est appliquée, où l'adresse IP source de la plage d'adresses CIDR du client est traduite en adresse IP de l'interface réseau VPN du client. Pour IPv6 le trafic, le SNAT n'est pas appliqué, ce qui améliore la visibilité de l'adresse IP de l'utilisateur connecté.
Journalisation des connexions: Vous pouvez activer la journalisation des connexions pour votre point de terminaison VPN Client afin de consigner les événements de connexion. Vous pouvez utiliser ces informations pour exécuter des analyses approfondies, analyser l'utilisation de votre point de terminaison VPN Client ou déboguer des problèmes de connexion.
Portail libre-service: Le VPN Client fournit un portail libre-service sous forme de page Web permettant aux utilisateurs finaux de télécharger la dernière version du bureau AWS VPN Client et la dernière version du fichier de configuration du point de terminaison VPN Client, qui contient les paramètres requis pour se connecter à leur point de terminaison. Votre administrateur de point de terminaison VPN Client peut activer ou désactiver un portail en libre-service pour le point de terminaison VPN Client. Le portail en libre-service est un service mondial soutenu par des ensembles de services dans les régions suivantes : USA Est (Virginie du Nord), Asie-Pacifique (Tokyo), Europe (Irlande) et AWS GovCloud (USA Ouest).
Type d'adresse IP du point de terminaison: Le type d'adresse IP du point de terminaison VPN du Client, qui peut être IPv4 IPv6, ou à double pile ( IPv4 les deux IPv6).
Type d'adresse IP de trafic: Type d'adresse IP pour le trafic passant par le point de terminaison VPN du Client, qui peut être IPv4 IPv6, ou à double pile ( IPv4 les deux IPv6). Cela détermine le type de trafic interne (la charge utile réelle ou le trafic d'origine acheminé par tunnel via la connexion VPN), les plages d'adresses CIDR du client, l'association de sous-réseaux, les itinéraires et les règles par point de terminaison.

Utilisation du VPN Client

Vous pouvez utiliser le VPN Client selon l'une des méthodes suivantes :

AWS Management Console: La console fournit une interface utilisateur Web pour Client VPN. Si vous vous êtes inscrit à un Compte AWS, vous pouvez vous connecter à la console Amazon VPC et sélectionner Client VPN dans le volet de navigation.
AWS Command Line Interface (AWS CLI): AWS CLI Fournit un accès direct au client VPN public APIs. Elle est prise en charge sur Windows, macOS et Linux. Pour plus d'informations sur la prise en main du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur les commandes du Client VPN, consultez la EC2 section Amazon EC2 Command Line Reference.
AWS Tools for Windows PowerShell: AWS fournit des commandes pour un large éventail d' AWS offres destinées à ceux qui écrivent des scripts dans l'PowerShell environnement. Pour plus d'informations sur le démarrage avec les AWS Tools for Windows PowerShell, consultez le Guide de l’utilisateur AWS Tools for Windows PowerShell. Pour plus d'informations sur les cmdlets pour le VPN Client, consultez la AWS Tools for Windows PowerShell Référence des cmdlet .
API de requête: L'API de requête HTTPS du Client VPN vous donne un accès programmatique au VPN client et AWS. L'API de requête HTTPS vous permet d'envoyer des demandes HTTPS directement au service. Lorsque vous utilisez l'API HTTPS, vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations, consultez les actions AWS Client VPN.

Tarification du VPN Client

Chaque association de points de terminaison et chaque connexion VPN vous sont facturés toutes les heures. Il n'y a aucun coût supplémentaire pour l'utilisation IPv6 des terminaux à double pile ; ils sont facturés au même tarif que IPv4 les terminaux. Pour en savoir plus, consultez Pricing AWS Client VPN (Tarification).

Le transfert de données depuis Amazon EC2 vers Internet vous est facturé. Pour plus d'informations, consultez Data Transfer on the Amazon EC2 On-Demand Pricing age age.

Si vous activez la journalisation des connexions pour le point de terminaison de votre Client VPN, vous devez créer un groupe de CloudWatch journaux journaux dans votre compte. Des frais s'appliquent pour l'utilisation de groupes de journaux. Pour plus d'informations, consultez CloudWatch les tarifs Amazon (sous Niveau payant, choisissez Logs).

Si vous activez e gestionnaire de connexion client pour votre point de terminaison VPN Client, vous devez créer et appeler une fonction de type Lambda. Des frais s'appliquent pour l'appel des fonctions de type Lambda. Pour en savoir plus, consultez Pricing AWS Lambda (Tarification).

Les points de terminaison VPN du Client sont associés à un réseau cible, qui est un sous-réseau d'un VPC. Si ce VPC possède une passerelle Internet, nous associons les adresses IP Elastic aux interfaces réseau élastiques du Client VPN ()ENIs. Ces adresses IP Elastic sont facturées en tant qu' IPv4adresses publiques en cours d'utilisation. Pour plus d'informations, consultez l'onglet IPv4 Adresse publique sur la page de tarification des VPC.

Note

Les points de terminaison VPN clients nécessitent des adresses IP élastiques lorsqu'ils sont associés à un sous-réseau VPC doté d'une passerelle Internet, car EIPs celles-ci permettent une connectivité Internet directe pour les clients VPN. Lorsqu'ils se connectent via un point de terminaison VPN du Client, ils ont besoin d'une adresse IP publique pour communiquer avec les ressources Internet. Elastic IPs répond à cet objectif en fournissant un point de terminaison cohérent destiné au public. Elles EIPs sont connectées aux interfaces réseau élastiques du VPN client (ENIs) et sont essentielles pour maintenir un accès Internet stable et sécurisé pour les clients VPN tout en garantissant un routage correct du trafic. Étant donné que ces adresses IP Elastic sont attribuées et utilisées activement pour le service VPN du Client, elles sont AWS facturées comme des IPv4 adresses publiques en cours d'utilisation, conformément à leur modèle de tarification standard pour les adresses allouées et associées EIPs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Règles et meilleures pratiques