本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 教學課程：Verified Access 入門
<a name="getting-started"></a>

使用此教學課程開始使用 AWS Verified Access。您將了解如何建立和設定 Verified Access 資源。

在本教學課程中，您將新增應用程式至 Verified Access。在教學課程結束時，特定使用者可以透過網際網路存取該應用程式，而無需使用 VPN。反之，您會使用 AWS IAM Identity Center 做為身分信任提供者。請注意，本教學課程不會也使用裝置信任提供者。

**Topics**
+ [Verified Access 教學課程先決條件](#getting-started-prerequisites)
+ [步驟 1：建立已驗證的存取信任提供者](#getting-started-configure-trust-provider)
+ [步驟 2：建立已驗證存取執行個體](#getting-started-create-instance)
+ [步驟 3：建立已驗證存取群組](#getting-started-create-group)
+ [步驟 4：建立已驗證存取端點](#getting-started-create-endpoint)
+ [步驟 5：設定已驗證存取端點的 DNS](#getting-started-configure-dns)
+ [步驟 6：測試與應用程式的連線](#getting-started-test)
+ [步驟 7：新增已驗證的存取群組層級存取政策](#getting-started-create-policy)
+ [清除 Verified Access 資源](#getting-started-cleanup)

## Verified Access 教學課程先決條件
<a name="getting-started-prerequisites"></a>

以下是完成本教學課程的先決條件：
+ AWS IAM Identity Center 在您正在使用 AWS 區域 的 中啟用 。然後，您可以使用 IAM Identity Center 做為具有 Verified Access 的信任提供者。如需詳細資訊，請參閱*AWS IAM Identity Center 《 使用者指南*》中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。
+ 用於控制應用程式存取的安全群組。允許來自 VPC CIDR 的所有傳入流量和所有傳出流量。
+ 在 Elastic Load Balancing 內部負載平衡器後方執行的應用程式。將您的安全群組與負載平衡器建立關聯。
+ 自我簽署或公有 TLS 憑證 AWS Certificate Manager。使用金鑰長度為 1，024 或 2，048 的 RSA 憑證。
+ 公有託管網域和更新網域 DNS 記錄所需的許可。
+ 具有建立 AWS Verified Access 執行個體所需許可的 IAM 政策。如需詳細資訊，請參閱[建立 Verified Access 執行個體的政策](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-instance)。

## 步驟 1：建立已驗證的存取信任提供者
<a name="getting-started-configure-trust-provider"></a>

使用下列程序將 設定為 AWS IAM Identity Center 您的信任提供者。

**建立 IAM Identity Center 信任提供者**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇**驗證存取信任提供者**。

1. 選擇**建立已驗證存取信任提供者**。

1. （選用） 對於**名稱標籤**和**描述**，輸入已驗證存取信任提供者的名稱和描述。

1. 輸入自訂識別符，以在稍後使用政策**參考名稱的政策**規則時使用。例如，您可以輸入 **idc**。

1. 針對**信任提供者類型**，選擇**使用者信任提供者**。

1. 針對**使用者信任提供者類型**，選擇 **IAM Identity Center**。

1. 選擇**建立已驗證存取信任提供者**。

## 步驟 2：建立已驗證存取執行個體
<a name="getting-started-create-instance"></a>

使用下列程序來建立 Verified Access 執行個體。

**建立 Verified Access 執行個體**

1. 在導覽窗格中，選擇**已驗證存取執行個體**。

1. 選擇**建立已驗證存取執行個體**。

1. （選用） 針對**名稱**和**描述**，輸入已驗證存取執行個體的名稱和描述。

1. 對於 **Verified Access 信任提供者**，選擇您的信任提供者。

1. 選擇**建立已驗證存取執行個體**。

## 步驟 3：建立已驗證存取群組
<a name="getting-started-create-group"></a>

使用下列程序來建立 Verified Access 群組。

**建立 Verified Access 群組**

1. 在導覽窗格中，選擇**已驗證存取群組**。

1. 選擇**建立已驗證存取群組**。

1. （選用） 針對**名稱標籤**和**描述**，輸入群組的名稱和描述。

1. 針對 **Verified Access 執行個體**，選擇您的 Verified Access 執行個體。

1. 將**政策定義**保留空白。您將在後續步驟中新增群組層級政策。

1. 選擇**建立已驗證存取群組**。

## 步驟 4：建立已驗證存取端點
<a name="getting-started-create-endpoint"></a>

使用下列程序來建立 Verified Access 端點。此步驟假設您的應用程式在 Elastic Load Balancing 的內部負載平衡器後方執行，並在其中執行公有網域憑證 AWS Certificate Manager。

**建立 Verified Access 端點**

1. 在導覽窗格中，選擇**驗證存取端點**。

1. 選擇**建立已驗證存取端點**。

1. （選用） 針對**名稱標籤**和**描述**，輸入端點的名稱和描述。

1. 針對 **Verified Access 群組**，選擇您的 Verified Access 群組。

1. 如需**端點詳細資訊**，請執行下列動作：

   1. 針對**通訊協定**，根據負載平衡器的組態，選取 **HTTPS** 或 **HTTP**。

   1. 在 **Attachment type** (連接類型)中，選擇 **VPC**。

   1. 針對**端點類型**，選擇**負載平衡器**。

   1. 在**連接埠**中，輸入負載平衡器接聽程式使用的連接埠號碼。例如，HTTPS 為 443，HTTP 為 80。

   1. 針對**負載平衡器 ARN**，選擇您的負載平衡器。

   1. 針對**子網路**，選取與您的負載平衡器相關聯的子網路。

   1. 針對**安全群組**，選取您的安全群組。為您的負載平衡器和端點使用相同的安全群組，可允許它們之間的流量。如果您不想使用相同的安全群組，請務必參考負載平衡器的端點安全群組，以便接受來自端點的流量。

   1. 針對**端點網域字首**，輸入自訂識別符。例如 **my-ava-app**。此字首會附加至 Verified Access 產生的 DNS 名稱。

1. 如需**應用程式詳細資訊**，請執行下列動作：

   1. 針對**應用程式網域**，輸入應用程式的 DNS 名稱。此網域必須符合網域憑證中的網域。

   1. 針對**網域憑證 ARN**，選取網域憑證的 Amazon Resource Name (ARN) AWS Certificate Manager。

1. 將**政策詳細資訊**保留空白。您將在後續步驟中新增群組層級存取政策。

1. 選擇**建立已驗證存取端點**。

## 步驟 5：設定已驗證存取端點的 DNS
<a name="getting-started-configure-dns"></a>

在此步驟中，您可以將應用程式的網域名稱 （例如 www.myapp.example.com) 映射至 Verified Access 端點的網域名稱。若要完成 DNS 映射，請使用 DNS 供應商建立正式名稱記錄 (CNAME)。建立 CNAME 記錄後，使用者對應用程式的所有請求都會傳送至 Verified Access。

**取得端點的網域名稱**

1. 在導覽窗格中，選擇**驗證存取端點**。

1. 選取您的端點。

1. 選擇**詳細資訊**索引標籤。

1. 從**端點網域複製網域**。以下是端點網域名稱範例：`my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com`。

請遵循 DNS 供應商提供的指示來建立 CNAME 記錄。使用應用程式的網域名稱做為記錄名稱，並將 Verified Access 端點的網域名稱做為記錄值。

## 步驟 6：測試與應用程式的連線
<a name="getting-started-test"></a>

您現在可以測試應用程式連線能力。在 Web 瀏覽器中輸入應用程式的網域名稱。Verified Access 的預設行為是拒絕所有請求。由於我們並未將 Verified Access 政策新增至群組或端點，因此所有請求都會遭到拒絕。

## 步驟 7：新增已驗證的存取群組層級存取政策
<a name="getting-started-create-policy"></a>

使用下列程序來修改 Verified Access 群組，並設定允許連線至應用程式的存取政策。政策的詳細資訊取決於在 IAM Identity Center 中設定的使用者和群組。如需相關資訊，請參閱[已驗證的存取政策](auth-policies.md)。

**修改 Verified Access 群組**

1. 在導覽窗格中，選擇**已驗證存取群組**。

1. 選擇 群組。

1. 選擇**動作**、**修改已驗證存取群組政策**。

1. 開啟**啟用政策**。

1. 輸入政策，允許 IAM Identity Center 的使用者存取您的應用程式。如需範例，請參閱 [驗證存取範例政策](trust-data-iam-add-pol.md)。

1. 選擇**修改已驗證存取群組政策**。

1. 現在您的群組政策已就緒，請重複上一個步驟的測試，以確認允許請求。如果允許請求，系統會提示您透過 IAM Identity Center 登入頁面登入。在您提供使用者名稱和密碼之後，即可存取您的應用程式。

## 清除 Verified Access 資源
<a name="getting-started-cleanup"></a>

完成本教學課程後，請使用下列程序刪除您的 Verified Access 資源。

**刪除您的 Verified Access 資源**

1. 在導覽窗格中，選擇**驗證存取端點**。選取端點，然後選擇**動作**、**刪除已驗證存取端點**。

1. 在導覽窗格中，選擇**已驗證存取群組**。選取群組，然後選擇**動作**、**刪除已驗證存取群組**。您可能需要等到端點刪除程序完成。

1. 在導覽窗格中，選擇**已驗證存取執行個體**。選取您的執行個體，然後選擇**動作**、**分離已驗證存取信任提供者**。選取信任提供者，然後選擇**分離已驗證存取信任提供者**。

1. 在導覽窗格中，選擇**驗證存取信任提供者**。選取您的信任提供者，然後選擇**動作**、**刪除已驗證的存取信任提供者**。

1. 在導覽窗格中，選擇**已驗證存取執行個體**。選取您的執行個體，然後選擇**動作**、**刪除已驗證的存取執行個體**。