Usando funções para o AWS Client VPN - AWS Client VPN
Permissões de função vinculada ao serviço para a Client VPNCriar um perfil vinculado ao serviço para o Client VPNEditar um perfil vinculado ao serviço para o Client VPNExcluir um perfil vinculado ao serviço para o Client VPN

Usando funções para o AWS Client VPN

O AWS Client VPN usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente à Client VPN. Os perfis vinculados ao serviço são predefinidos pela Client VPN e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração da Client VPN porque você não precisa adicionar as permissões necessárias manualmente. A Client VPN define as permissões de seus perfis vinculadas ao serviço e, exceto se definido de outra forma, somente a Client VPN pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos da Client VPN, pois você não pode remover por engano as permissões para acessar os recursos.

Permissões de função vinculada ao serviço para a Client VPN

A Client VPN usa o perfil vinculado ao serviço chamada AWSServiceRoleForClientVPN: permite que a Client VPN crie e gerencie recursos relacionados às suas conexões VPN.

O perfil vinculado ao serviço AWSServiceRoleForClientVPN confia no seguinte serviço para assumir o perfil:

  • clientvpn.amazonaws.com

Esse perfil vinculado ao serviço usa a política gerenciada ClientVPNServiceRolePolicy. Para visualizar as permissões para essa política, ClientVPNServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

Criar um perfil vinculado ao serviço para o Client VPN

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria o primeiro endpoint da Client VPN em sua conta com o Console de gerenciamento da AWS, a AWS CLI, a ou a AWS API, a Client VPN cria o perfil vinculado ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria o primeiro endpoint da Client VPN em sua conta, a Client VPN cria o perfil vinculado ao serviço para você novamente.

Editar um perfil vinculado ao serviço para o Client VPN

A Client VPN não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForClientVPN. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma descrição de perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço para o Client VPN

Se você não precisar mais usar a Client VPN, é recomendável excluir o perfil vinculado ao serviço AWSServiceRoleForClientVPN.

Você deve primeiro excluir os recursos da Client VPN relacionados. Isso garante que você não remova por engano a permissão para acessar os recursos.

Use o console, a CLI ou a API do IAM para excluir funções vinculadas ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.