Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Client VPN aturan otorisasi
<a name="cvpn-working-rules"></a>

Aturan otorisasi bertindak sebagai aturan firewall yang memberikan akses ke jaringan. Dengan menambahkan aturan otorisasi, Anda memberikan klien tertentu akses ke jaringan yang ditentukan. Anda harus memiliki aturan otorisasi untuk setiap jaringan yang ingin Anda akses. Anda dapat menambahkan aturan otorisasi ke titik akhir Client VPN menggunakan konsol dan AWS CLI.

**catatan**  
Client VPN menggunakan pencocokan awalan terpanjang saat mengevaluasi aturan otorisasi. Lihat topik pemecahan masalah [Pemecahan masalah AWS Client VPN: Aturan otorisasi untuk grup Active Directory tidak berfungsi seperti yang diharapkan](ad-group-auth-rules.md) dan [Prioritas rute](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) di *Panduan Pengguna Amazon VPC* untuk detail selengkapnya.

## Poin penting untuk memahami aturan otorisasi
<a name="key-points-summary"></a>

Poin-poin berikut menjelaskan beberapa perilaku aturan otorisasi:
+ Untuk mengizinkan akses ke jaringan tujuan, aturan otorisasi harus ditambahkan secara eksplisit. Perilaku default adalah menolak akses.
+ Anda tidak dapat menambahkan aturan otorisasi untuk *membatasi* akses ke jaringan tujuan.
+ `0.0.0.0/0`CIDR ditangani sebagai kasus khusus. Ini diproses terakhir, terlepas dari urutan aturan otorisasi dibuat.
+ `0.0.0.0/0`CIDR dapat dianggap sebagai “tujuan apa pun,” atau “tujuan apa pun yang tidak ditentukan oleh aturan otorisasi lainnya.”
+ Pencocokan awalan terpanjang adalah aturan yang diutamakan.

**Topics**
+ [Poin kunci](#key-points-summary)
+ [Contoh alur perencanaan](#auth-rule-example-scenarios)
+ [Tambahkan aturan otorisasi](cvpn-working-rule-authorize-add.md)
+ [Hapus aturan otorisasi](cvpn-working-rule-remove.md)
+ [Melihat aturan otorisasi](cvpn-working-rule-view.md)

## Contoh skenario untuk aturan otorisasi Client VPN
<a name="auth-rule-example-scenarios"></a>

Bagian ini menjelaskan cara kerja aturan otorisasi. AWS Client VPN Ini mencakup poin-poin penting untuk memahami aturan otorisasi, arsitektur contoh, dan diskusi skenario contoh yang memetakan ke arsitektur contoh.

**Skenario**
+ [Contoh arsitektur untuk skenario aturan otorisasi](#example-arch-auth-rules)
+ [Akses ke satu tujuan](#auth-rules1)
+ [Gunakan tujuan apa pun (0.0.0.0/0) CIDR](#auth-rules2)
+ [Pencocokan awalan IP yang lebih panjang](#auth-rules3)
+ [CIDR yang tumpang tindih (grup yang sama)](#auth-rules4)
+ [Aturan 0.0.0.0/0 tambahan](#auth-rules5)
+ [Tambahkan aturan untuk 192.168.0.0/24](#auth-rules6)
+ [Otentikasi federasi SALL](#auth-rules7)
+ [Akses untuk semua grup pengguna](#auth-rules8)

### Contoh arsitektur untuk skenario aturan otorisasi
<a name="example-arch-auth-rules"></a>

Diagram berikut menunjukkan contoh arsitektur yang digunakan untuk skenario contoh yang ditemukan di bagian ini.

![\[Contoh arsitektur Client VPN\]](http://docs.aws.amazon.com/id_id/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)


### Akses ke satu tujuan
<a name="auth-rules1"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Menyediakan akses grup manajer ke Client VPN VPC  |  S-XXXXX16  |  False  |  192.168.0.0/24  | 

**Perilaku yang dihasilkan**
+ Kelompok teknik hanya dapat mengakses`172.16.0.0/24`.
+ Grup pengembangan hanya dapat mengakses`10.0.0.0/16`.
+ Grup manajer hanya dapat mengakses`192.168.0.0/24`.
+ Semua lalu lintas lainnya dijatuhkan oleh titik akhir Client VPN.

**catatan**  
Dalam skenario ini, tidak ada grup pengguna yang memiliki akses ke internet publik.

### Gunakan tujuan apa pun (0.0.0.0/0) CIDR
<a name="auth-rules2"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Berikan akses grup manajer ke tujuan apa pun  |  S-XXXXX16  |  False  |  0.0.0.0/0  | 

**Perilaku yang dihasilkan**
+ Kelompok teknik hanya dapat mengakses`172.16.0.0/24`.
+ Grup pengembangan hanya dapat mengakses`10.0.0.0/16`.
+ Grup manajer dapat mengakses internet publik *dan*`192.168.0.0/24`, tetapi tidak dapat mengakses `172.16.0.0/24` atau`10.0.0/16`.

**catatan**  
Dalam skenario ini, karena tidak ada aturan yang merujuk`192.168.0.0/24`, akses ke jaringan itu juga disediakan oleh `0.0.0.0/0` aturan.  
Aturan yang mengandung selalu `0.0.0.0/0` dievaluasi terakhir terlepas dari urutan di mana aturan dibuat. Karena itu, perlu diingat bahwa aturan yang dievaluasi sebelumnya `0.0.0.0/0` berperan dalam menentukan jaringan mana yang `0.0.0.0/0` memberikan akses.

### Pencocokan awalan IP yang lebih panjang
<a name="auth-rules3"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Berikan akses grup manajer ke tujuan apa pun  |  S-XXXXX16  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke satu host dalam pengembangan VPC  |  S-XXXXX16  |  False  |  10.0.2.119/32  | 

**Perilaku yang dihasilkan**
+ Kelompok teknik hanya dapat mengakses`172.16.0.0/24`.
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam VPC pengembangan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa dalam VPC pengembangan.

**catatan**  
Di sini Anda melihat bagaimana aturan dengan awalan IP yang lebih panjang lebih diutamakan daripada aturan dengan awalan IP yang lebih pendek. Jika Anda ingin grup pengembangan memiliki akses`10.0.2.119/32`, aturan tambahan yang memberikan akses kepada tim pengembangan `10.0.2.119/32` perlu ditambahkan.

### CIDR yang tumpang tindih (grup yang sama)
<a name="auth-rules4"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Berikan akses grup manajer ke tujuan apa pun  |  S-XXXXX16  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC  |  S-XXXXX16  |  False  |  10.0.2.119/32  | 
|  Menyediakan akses grup teknik ke subnet yang lebih kecil dalam jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.128/25  | 

**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik memiliki akses ke`172.16.0.0/24`, termasuk subnet `172.16.0.128/25` yang lebih spesifik.

### Aturan 0.0.0.0/0 tambahan
<a name="auth-rules5"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Berikan akses grup manajer ke tujuan apa pun  |  S-XXXXX16  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC  |  S-XXXXX16  |  False  |  10.0.2.119/32  | 
|  Menyediakan akses grup teknik ke subnet yang lebih kecil dalam jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.128/25  | 
|  Menyediakan akses grup teknik ke tujuan apa pun  |  S-XXXXX14  |  False  |  0.0.0.0/0  | 

**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik dapat mengakses internet publik,, dan `192.168.0.0/24``172.16.0.0/24`, termasuk subnet `172.16.0.128/25` yang lebih spesifik.

**catatan**  
Perhatikan bahwa kelompok teknik dan manajer sekarang dapat mengakses`192.168.0.0/24`. Ini karena kedua grup memiliki akses ke `0.0.0.0/0` (tujuan apa pun) *dan* tidak ada aturan lain yang merujuk`192.168.0.0/24`.

### Tambahkan aturan untuk 192.168.0.0/24
<a name="auth-rules6"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Berikan akses grup manajer ke tujuan apa pun  |  S-XXXXX16  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC  |  S-XXXXX16  |  False  |  10.0.2.119/32  | 
|  Menyediakan akses grup teknik ke subnet di jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.128/25  | 
|  Menyediakan akses grup teknik ke tujuan apa pun  |  S-XXXXX14  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke Client VPN VPC  |  S-XXXXX16  |  False  |  192.168.0.0/24  | 

**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik dapat mengakses internet publik,`172.16.0.0/24`, dan`172.16.0.128/25`.

**catatan**  
Perhatikan bagaimana menambahkan aturan untuk grup pengelola untuk mengakses `192.168.0.0/24` hasil dalam grup pengembangan tidak lagi memiliki akses ke jaringan tujuan tersebut.

### Otentikasi federasi SALL
<a name="auth-rules7"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  Teknik  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  Developer  |  False  |  10.0.0.0/16  | 
|  Menyediakan akses grup manajer ke Client VPN VPC  |  Manajer  |  False  |  192.168.0.0/24  | 

**Perilaku yang dihasilkan**
+ Pengguna yang diautentikasi melalui SAFL dengan atribut grup “Rekayasa” hanya dapat mengakses. `172.16.0.0/24`
+ Pengguna yang diautentikasi melalui SAFL dengan atribut grup “Pengembang” hanya dapat mengakses. `10.0.0.0/16`
+ Pengguna yang diautentikasi melalui SAFL dengan atribut grup “Manajer” hanya dapat mengakses. `192.168.0.0/24`
+ Semua lalu lintas lainnya dijatuhkan oleh titik akhir Client VPN.

**catatan**  
Saat menggunakan otentikasi federasi SALL, bidang ID Grup sesuai dengan nilai atribut SALL yang mengidentifikasi keanggotaan grup pengguna. Atribut ini dikonfigurasi di penyedia identitas SALL Anda dan diteruskan ke Client VPN selama otentikasi.

### Akses untuk semua grup pengguna
<a name="auth-rules8"></a>


| Deskripsi aturan | ID Grup | Izinkan akses ke semua pengguna | Tujuan CIDR | 
| --- | --- | --- | --- | 
|  Menyediakan akses grup teknik ke jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.0/24  | 
|  Memberikan akses grup pengembangan ke VPC pengembangan  |  S-xxxxx15  |  False  |  10.0.0.0/16  | 
|  Berikan akses grup manajer ke tujuan apa pun  |  S-XXXXX16  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke host tunggal dalam pengembangan VPC  |  S-XXXXX16  |  False  |  10.0.2.119/32  | 
|  Menyediakan akses grup teknik ke subnet di jaringan lokal  |  S-XXXXX14  |  False  |  172.16.0.128/25  | 
|  Menyediakan akses grup teknik ke semua jaringan  |  S-XXXXX14  |  False  |  0.0.0.0/0  | 
|  Menyediakan akses grup manajer ke Client VPN VPC  |  S-XXXXX16  |  False  |  192.168.0.0/24  | 
|  Menyediakan akses ke semua grup  |  N/A  |  True  |  0.0.0.0/0  | 

**Perilaku yang dihasilkan**
+ Grup pengembangan dapat mengakses`10.0.0.0/16`, *kecuali* untuk host tunggal`10.0.2.119/32`.
+ Grup manajer dapat mengakses internet publik,`192.168.0.0/24`, dan satu host (`10.0.2.119/32`) dalam `10.0.0.0/16` jaringan, tetapi tidak memiliki akses ke `172.16.0.0/24` atau salah satu host yang tersisa di `10.0.0.0/16` jaringan.
+ Kelompok teknik dapat mengakses internet publik,`172.16.0.0/24`, dan`172.16.0.128/25`.
+ Grup pengguna lain, misalnya “grup admin,” dapat mengakses internet publik, tetapi tidak ada jaringan tujuan lain yang ditentukan dalam aturan lain.

# Tambahkan aturan otorisasi ke titik akhir AWS Client VPN
<a name="cvpn-working-rule-authorize-add"></a>

Anda dapat menambahkan aturan otorisasi untuk memberikan atau membatasi akses ke titik akhir Client VPN dengan menggunakan. Konsol Manajemen AWS Aturan otorisasi dapat ditambahkan ke titik akhir Client VPN menggunakan Konsol VPC Amazon atau dengan menggunakan baris perintah atau API. 

**Untuk menambahkan aturan otorisasi ke titik akhir Client VPN menggunakan Konsol Manajemen AWS**

1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.

1. Pilih titik akhir Client VPN untuk menambahkan aturan otorisasi, pilih Aturan **otorisasi, dan pilih **Tambahkan** aturan** otorisasi.

1. Untuk **jaringan Tujuan untuk mengaktifkan akses**, masukkan alamat IP, dalam notasi CIDR, dari jaringan yang Anda ingin pengguna akses (misalnya, blok CIDR VPC Anda).

1. Tentukan klien mana yang diizinkan untuk mengakses jaringan yang ditentukan. Untuk **Untuk memberikan akses**, lakukan salah satu langkah berikut:
   + Untuk memberikan akses ke semua klien, pilih **Izinkan akses ke semua pengguna**.
   + Untuk membatasi akses ke klien tertentu, pilih **Mengizinkan akses ke pengguna dalam grup tertentu**, dan kemudian untuk **akses ID grup**, masukkan ID untuk grup yang akan diberi akses. Misalnya, pengenal keamanan (SID) dari grup Active Directory, atau grup ID/name yang didefinisikan dalam penyedia identitas berbasis SAML (IDP).
     + (Active Directory) Untuk mendapatkan SID, Anda dapat menggunakan Microsoft Powershell [Get- ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet, misalnya:

       ```
       Get-ADGroup -Filter 'Name -eq "<Name of the AD Group>"'
       ```

       Sebagai alternatif, buka alat Pengguna dan Komputer Direktori Aktif, lihat properti untuk grup, buka tab Atribut Editor, dan dapatkan nilai untuk `objectSID`. Jika perlu, pilih dulu **Tampilan**, **Fitur lanjutan** untuk mengaktifkan tab Atribut Editor.
     + (Otentikasi federasi berbasis SAMP) Grup ID/name harus cocok dengan informasi atribut grup yang dikembalikan dalam pernyataan SAMP.

1. Untuk **Deskripsi**, masukkan deskripsi singkat tentang aturan otorisasi.

1. Pilih **Tambahkan aturan otorisasi**.

**Untuk menambahkan aturan otorisasi ke titik akhir Client VPN (AWS CLI)**  
Gunakan perintah [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).

# Hapus aturan otorisasi dari titik akhir AWS Client VPN
<a name="cvpn-working-rule-remove"></a>

Anda dapat menghapus aturan otorisasi untuk titik akhir Client VPN tertentu menggunakan konsol dan. AWS CLI

**Untuk menghapus aturan otorisasi (konsol)**

1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.

1. Pilih titik akhir Client VPN yang ditambahkan aturan otorisasi, lalu pilih Aturan **otorisasi**.

1. Pilih aturan otorisasi yang akan dihapus, pilih **Hapus aturan otorisasi**, lalu pilih **Hapus aturan otorisasi** lagi untuk mengonfirmasi penghapusan.

**Untuk menghapus aturan otorisasi ()AWS CLI**  
Gunakan perintah [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).

# Lihat AWS Client VPN aturan otorisasi
<a name="cvpn-working-rule-view"></a>

Anda dapat melihat aturan otorisasi untuk titik akhir Client VPN tertentu menggunakan konsol dan AWS CLI.

**Untuk melihat aturan otorisasi (konsol)**

1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.

1. Pilih titik akhir Client VPN untuk melihat aturan otorisasi dan pilih Aturan **otorisasi**.

**Untuk melihat aturan otorisasi (AWS CLI)**  
Gunakan perintah [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).