O que é o AWS Client VPN?
O AWS Client VPN é um serviço de VPN gerenciado no cliente que protege o acesso aos recursos da AWS na sua rede on-premises. com a Client VPN, você pode acessar seus recursos de qualquer local usando um cliente de VPN com base no OpenVPN.
Tópicos
Recursos da Client VPN
O VPN do Cliente oferece os seguintes recursos e funcionalidades:
-
Conexões seguras: estabelece conexões TLS criptografadas de qualquer local por meio do cliente OpenVPN, garantindo a privacidade e a integridade dos dados.
-
Serviço gerenciado: elimina a carga operacional da implantação e da manutenção de soluções de VPN com acesso remoto de terceiros por meio do gerenciamento completo da AWS.
-
Alta disponibilidade e elasticidade: escala dinamicamente, sem intervenção manual, para atender a um número variável de usuários que se conectam aos seus recursos on-premises e da AWS.
-
Autenticação: permite vários métodos de autenticação, como integração com o Active Directory, autenticação federada e autenticação baseada em certificado, para tornar o gerenciamento de identidade flexível.
-
Controle granular: implementa controles de segurança precisos por meio de regras de acesso baseadas em rede configuráveis em nível de grupo do Active Directory e controle de acesso baseado em grupo de segurança.
-
Facilidade de uso: oferece acesso unificado a recursos on-premises e da AWS por meio de um único túnel VPN, simplificando a experiência do usuário final.
-
Capacidade de gerenciamento: oferece visibilidade abrangente por meio de logs de conexão detalhados e recursos de gerenciamento em tempo real, como capacidade de monitorar e encerrar conexões ativas de clientes quando necessário.
-
Integração profunda: integra-se perfeitamente aos serviços existentes da AWS, como o AWS Directory Service e a Amazon VPC, aprimorando os recursos de conectividade da sua infraestrutura de nuvem.
-
Suporte a IPv6: permite conectividade IPv6 total para endpoints do Client VPN, bem como conexões com recursos IPv6 em suas VPCs e de clientes em redes IPv6 para atender a requisitos de rede modernos.
Componentes do VPN do Cliente
Veja a seguir os principais conceitos de VPN do Cliente:
- Endpoint do cliente VPN
-
O endpoint do cliente VPN é o recurso que você cria e configura para habilitar e gerenciar sessões do cliente VPN. É o ponto de término de todas as sessões da VPN do cliente.
- Rede de destino
-
Uma rede de destino é a rede que você associa a um endpoint do cliente VPN. Uma sub-rede de uma VPC é uma rede de destino. Associar uma sub-rede a um endpoint do cliente VPN permite estabelecer sessões de VPN. É possível associar várias sub-redes a um endpoint do cliente VPN para alta disponibilidade. Todas as sub-redes devem ser provenientes da mesma VPC. Cada sub-rede deve pertencer a uma Zona de disponibilidade diferente.
- Rota
-
Cada endpoint do cliente VPN tem uma tabela de rotas que descreve as rotas de redes de destino disponíveis. Cada rota na tabela de rotas especifica o caminho do tráfego para recursos ou redes específicos.
- Regras de autorização
-
Uma regra de autorização restringe os usuários que podem acessar uma rede. Para uma rede especificada, configure o grupo do provedor de identidade (IdP) ou do Active Directory que tem permissão de acesso. Somente os usuários pertencentes a esse grupo podem acessar a rede especificada. Por padrão, não há regras de autorização, e você deve configurá-las para permitir que os usuários acessem recursos e redes.
- Cliente
-
O usuário final que se conecta ao endpoint do cliente VPN para estabelecer uma sessão de VPN. Para estabelecerem uma sessão de VPN, os usuários finais precisam baixar um cliente OpenVPN e usar o arquivo de configuração do VPN do Cliente que você criou.
- Intervalo CIDR do cliente
-
Um intervalo de endereços IP do qual devem ser atribuídos endereços IP do cliente. Cada conexão com o endpoint do cliente VPN recebe um endereço IP exclusivo do intervalo CIDR do cliente. Para tráfego IPv4, você escolhe o intervalo CIDR do cliente; por exemplo,
10.2.0.0/16. Para tráfego IPv6, o AWS Client VPN atribui automaticamente o intervalo CIDR do cliente. - Portas VPN do cliente
-
AWS Client VPNO é compatível com as portas 443 e 1194 para TCP e UDP. O padrão é a porta 443.
- Interfaces de rede da Client VPN
-
Quando você associa uma sub-rede ao endpoint do cliente VPN, criamos interfaces de rede do VPN do Cliente nessa sub-rede. O tráfego enviado para a VPC do endpoint do cliente VPN é enviado por meio de uma interface de rede do VPN do Cliente. Para tráfego IPv4, a conversão de endereços de rede de origem (SNAT) é aplicada, caso em que o endereço IP de origem do intervalo CIDR do cliente é convertido no endereço IP da interface de rede do Client VPN. Para tráfego IPv6, a SNAT não é aplicada, fornecendo maior visibilidade do endereço IP do usuário conectado.
- Registro em log de conexão
-
É possível habilitar o registro em log de conexão para o endpoint do cliente VPN a fim de registrar eventos de conexão. É possível usar essas informações para executar perícia, analisar como seu endpoint da cliente VPN está sendo usado ou depurar problemas de conexão.
- Portal de autoatendimento
-
Um Cliente VPN fornece um portal de autoatendimento como uma página da Web para que os usuários finais baixem a versão mais recente do AWS VPN Desktop Client e a versão mais recente do arquivo de configuração do endpoint do Cliente VPN, que contém as configurações necessárias para se conectar ao endpoint. O administrador do endpoint da Client VPN pode habilitar ou desabilitar o portal de autoatendimento para o endpoint da Client VPN. O portal de autoatendimento é um serviço global com suporte de pilhas de serviços nas regiões: Leste dos EUA (Norte da Virgínia), Ásia-Pacífico (Tóquio), Europa (Irlanda) e AWS GovCloud (EUA-Oeste).
- Tipo de endereço IP do endpoint
-
O tipo de endereço IP para o endpoint do Client VPN, que pode ser IPv4, IPv6 ou de pilha dupla (IPv4 e IPv6).
- Tipo de endereço IP de tráfego
-
O tipo de endereço IP do tráfego que flui pelo endpoint do Client VPN, que pode ser IPv4, IPv6 ou de pilha dupla (IPv4 e IPv6). Isso determina o tipo de tráfego interno (a carga útil real ou o tráfego original que é encapsulado pela conexão VPN), intervalos CIDR do cliente, associação de sub-rede, rotas e regras por endpoint.
Trabalhar com o Cliente VPN
É possível trabalhar com a Client VPN de qualquer uma das seguintes formas:
- Console de gerenciamento da AWS
-
O console fornece uma interface de usuário baseada na Web para a Client VPN. Se tiver se registrado para uma Conta da AWS, você poderá fazer login no console da Amazon VPC
e selecionar a Client VPN no painel de navegação. - AWS Command Line Interface (AWS CLI)
-
A AWS CLI fornece acesso direto às APIs públicas da cliente VPN. É compatível com Windows, macOS e Linux. Para obter mais informações sobre os conceitos básicos do AWS CLI, consulte o Guia do usuário do AWS Command Line Interface. Para ter mais informações sobre os comandos para o Client VPN, consulte a seção EC2 da Referência de linha de comandos do Amazon EC2.
- AWS Tools for Windows PowerShell
-
A AWS fornece comandos para um amplo conjunto de ofertas da AWS voltadas a usuários que desenvolvem scripts no ambiente do PowerShell. Para obter mais informações sobre os conceitos básicos do AWS Tools for Windows PowerShell, consulte o Guia do usuário do AWS Tools for Windows PowerShell. Para obter mais informações sobre cmdlets para a cliente VPN, consulte Referência de cmdlets do AWS Tools for Windows PowerShell.
- API de consulta
-
A API de consulta HTTPS da cliente VPN proporciona acesso programático à cliente VPN e à AWS. A API de consulta HTTPS permite que você execute solicitações HTTPS diretamente para o serviço. Quando você usa a API HTTPS, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte Ações do AWS Client VPN.
Definição de preço para Client VPN
Você é cobrado por cada associação de endpoint e cada conexão VPN por hora. Não há custo adicional pelo uso de endpoints IPv6 ou de pilha dupla. Eles estão sujeitos à mesma taxa aplicada aos endpoints IPv4. Para obter mais informações, consulte Preços do AWS Client VPN
Você é cobrado pela transferência de dados do Amazon EC2 para a Internet. Para obter mais informações, consulte a seção Data Transfer
Se você habilitar o registro em log de conexão para seu endpoint da Client VPN, será necessário criar um grupo de CloudWatch Logs em sua conta. Aplicam-se cobranças ao uso de grupos de log. Para obter mais informações, consulte Definição de preço do Amazon CloudWatch
Se você habilitar o manipulador de conexão do cliente para o endpoint do cliente VPN, será necessário criar e invocar uma função do Lambda. Cobranças são aplicadas ao invocar funções do Lambda. Para obter mais informações, consulte Preços do AWS Lambda
Os Endpoints da Client VPN estão associados a uma rede de destino, que é uma sub-rede em uma VPC. Se essa VPC tiver um gateway da internet, associaremos endereços IP elásticos às interfaces de rede elástica (ENIs) da Client VPN. Esses endereços IP elásticos são cobrados como endereços IPv4 públicos em uso. Para obter mais informações, consulte a guia Endereço IPv4 público na página de preços da VPC
nota
Os endpoints de Client VPN exigem endereços IP elásticos quando associados a uma sub-rede da VPC que tenha um gateway da internet porque esses EIPs permitem conectividade direta com a internet para clientes de VPN. Ao se conectarem por meio de um endpoint do Client VPN, eles precisam de um endereço IP público para se comunicar com os recursos da internet. Os IPs elásticos atendem a esse propósito fornecendo um endpoint consistente voltado para o público. Esses EIPs são conectados às interfaces de rede elástica (ENIs) do Client VPN e são essenciais para manter o acesso estável e seguro à internet para clientes de VPN e, ao mesmo tempo, garantir o roteamento adequado do tráfego. Como esses endereços IP elásticos são alocados e usados ativamente para o serviço Client VPN, a AWS aplica as mesmas cobranças aplicadas aos endereços IPv4 públicos em uso, seguindo seu modelo de preço padrão para EIPs alocados e associados.
