Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Client VPN regole di autorizzazione
Le regole di autorizzazione fungono da regole di firewall che concedono l'accesso alle reti. Aggiungendo le regole di autorizzazione, viene concesso l'accesso alla rete specificata a client specifici. Per ciascuna rete per cui vuoi concedere l'accesso, è necessario disporre di una regola di autorizzazione. Puoi aggiungere regole di autorizzazione a un endpoint Client VPN utilizzando la console e la AWS CLI.
**Nota**
Durante la valutazione delle regole di autorizzazione, la VPN client utilizza la corrispondenza prefisso più lunga. Per maggiori dettagli, consulta l'argomento per la risoluzione dei problemi [Risoluzione dei problemi AWS Client VPN: le regole di autorizzazione per i gruppi di Active Directory non funzionano come previsto](ad-group-auth-rules.md) e [Priorità della route](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) nella *Guida per l’utente di Amazon VPC*.
## Punti chiave per comprendere le regole di autorizzazione
I seguenti punti illustrano alcuni dei comportamenti delle regole di autorizzazione:
+ Per consentire l'accesso a una rete di destinazione, è necessario aggiungere esplicitamente una regola di autorizzazione. Il comportamento predefinito prevede la negazione dell'accesso.
+ Non è possibile aggiungere una regola di autorizzazione per *limitare* l'accesso a una rete di destinazione.
+ Il CIDR `0.0.0.0/0` viene trattato come un caso speciale. Viene elaborato per ultimo, a prescindere dall'ordine di creazione delle regole di autorizzazione.
+ Il CIDR `0.0.0.0/0` può essere considerato come "qualsiasi destinazione" o "qualsiasi destinazione non definita da altre regole di autorizzazione".
+ La corrispondenza del prefisso più lungo è la regola che ha la precedenza.
**Topics**
+ [Punti chiave](#key-points-summary)
+ [Scenari di esempio](#auth-rule-example-scenarios)
+ [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md)
+ [Rimuovere una regola di autorizzazione](cvpn-working-rule-remove.md)
+ [Visualizzazione delle regole di autorizzazione](cvpn-working-rule-view.md)
## Scenari di esempio per le regole di autorizzazione Client VPN
Questa sezione descrive come funzionano le regole di autorizzazione AWS Client VPN. Include punti chiave per comprendere le regole di autorizzazione, un'architettura di esempio e l'illustrazione di scenari di esempio corrispondenti all'architettura di esempio.
**Scenari**
+ [Architettura di esempio per scenari di regole di autorizzazione](#example-arch-auth-rules)
+ [Accesso a un'unica destinazione](#auth-rules1)
+ [Usa qualsiasi destinazione (0.0.0.0/0) CIDR](#auth-rules2)
+ [Corrispondenza del prefisso IP più lunga](#auth-rules3)
+ [CIDR sovrapposto (stesso gruppo)](#auth-rules4)
+ [Regola aggiuntiva 0.0.0.0/0](#auth-rules5)
+ [Aggiungi una regola per 192.168.0.0/24](#auth-rules6)
+ [Autenticazione federata SAML](#auth-rules7)
+ [Accesso per tutti i gruppi di utenti](#auth-rules8)
### Architettura di esempio per scenari di regole di autorizzazione
Il diagramma seguente mostra l'architettura di esempio utilizzata per gli scenari di esempio riportati in questa sezione.
### Accesso a un'unica destinazione
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso al VPC del client VPN | S-xxxxx16 | False | 192.168.0.0/24 |
**Comportamento risultante**
+ Il gruppo di progettazione può accedere solo a `172.16.0.0/24`.
+ Il gruppo di sviluppo può accedere solo a `10.0.0.0/16`.
+ Il gruppo di manager può accedere solo a `192.168.0.0/24`.
+ Tutto l'altro traffico viene eliminato dall'endpoint del Client VPN.
**Nota**
In questo scenario, nessun gruppo di utenti ha accesso alla rete Internet pubblica.
### Usa qualsiasi destinazione (0.0.0.0/0) CIDR
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso a qualsiasi destinazione | S-xxxxx16 | False | 0.0.0.0/0 |
**Comportamento risultante**
+ Il gruppo di progettazione può accedere solo a `172.16.0.0/24`.
+ Il gruppo di sviluppo può accedere solo a `10.0.0.0/16`.
+ Il gruppo di manager può accedere alla rete Internet pubblica *e* a `192.168.0.0/24`, ma non può accedere a `172.16.0.0/24` o `10.0.0/16`.
**Nota**
In questo scenario, poiché nessuna regola fa riferimento a `192.168.0.0/24`, l'accesso a tale rete è fornito anche dalla regola `0.0.0.0/0`.
Una regola contenente `0.0.0.0/0` viene sempre valutata per ultima indipendentemente dall'ordine in cui sono state create le regole. Per questo motivo, tenere presente che le regole valutate prima di `0.0.0.0/0` svolgono un ruolo nel determinare a quali reti `0.0.0.0/0` concede l'accesso.
### Corrispondenza del prefisso IP più lunga
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso a qualsiasi destinazione | S-xxxxx16 | False | 0.0.0.0/0 |
| Fornisce l'accesso al gruppo di manager a un singolo host in un VPC di sviluppo | S-xxxxx16 | False | 10.0.2.119/32 |
**Comportamento risultante**
+ Il gruppo di progettazione può accedere solo a `172.16.0.0/24`.
+ Il gruppo di sviluppo può accedere a `10.0.0.0/16`, *eccetto* per l'host singolo `10.0.2.119/32`.
+ Il gruppo di manager può accedere alla rete Internet pubblica, `192.168.0.0/24`, e a un singolo host (`10.0.2.119/32`) all'interno del VPC di sviluppo, ma non ha accesso a `172.16.0.0/24` o a uno qualsiasi degli host rimanenti nel VPC di sviluppo.
**Nota**
Qui è possibile vedere come una regola con un prefisso IP più lungo ha la precedenza su una regola con un prefisso IP più breve. Se si desidera che il gruppo di sviluppo abbia accesso a `10.0.2.119/32`, è necessario aggiungere una regola aggiuntiva che consenta al team di sviluppo di accedere a `10.0.2.119/32`.
### CIDR sovrapposto (stesso gruppo)
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso a qualsiasi destinazione | S-xxxxx16 | False | 0.0.0.0/0 |
| Fornisce al gruppo di manager l'accesso a un singolo host nel VPC di sviluppo | S-xxxxx16 | False | 10.0.2.119/32 |
| Fornisce al gruppo di progettazione l'accesso a una sottorete più piccola all'interno della rete on-premise. | S-xxxxx14 | False | 172,16,0,128/25 |
**Comportamento risultante**
+ Il gruppo di sviluppo può accedere a `10.0.0.0/16`, *eccetto* per l'host singolo `10.0.2.119/32`.
+ Il gruppo di manager può accedere alla rete Internet pubblica, `192.168.0.0/24`, e a un singolo host (`10.0.2.119/32`) all'interno della rete `10.0.0.0/16`, ma non ha accesso a `172.16.0.0/24` o a uno qualsiasi degli host rimanenti nella rete `10.0.0.0/16`.
+ Il gruppo di progettazione ha accesso a `172.16.0.0/24`, inclusa la sottorete più specifica `172.16.0.128/25`.
### Regola aggiuntiva 0.0.0.0/0
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso a qualsiasi destinazione | S-xxxxx16 | False | 0.0.0.0/0 |
| Fornisce al gruppo di manager l'accesso a un singolo host nel VPC di sviluppo | S-xxxxx16 | False | 10.0.2.119/32 |
| Fornisce al gruppo di progettazione l'accesso a una sottorete più piccola all'interno della rete on-premise. | S-xxxxx14 | False | 172,16,0,128/25 |
| Fornisce al gruppo di progettazione l'accesso a qualsiasi destinazione | S-xxxxx14 | False | 0.0.0.0/0 |
**Comportamento risultante**
+ Il gruppo di sviluppo può accedere a `10.0.0.0/16`, *eccetto* per l'host singolo `10.0.2.119/32`.
+ Il gruppo di manager può accedere alla rete Internet pubblica, `192.168.0.0/24`, e a un singolo host (`10.0.2.119/32`) all'interno della rete `10.0.0.0/16`, ma non ha accesso a `172.16.0.0/24` o a uno qualsiasi degli host rimanenti nella rete `10.0.0.0/16`.
+ Il gruppo di progettazione può accedere alla rete Internet pubblica,`192.168.0.0/24`, e a `172.16.0.0/24`, inclusa la sottorete più specifica `172.16.0.128/25`.
**Nota**
Si noti che sia il gruppo di progettazione che quello di manager possono ora accedere a `192.168.0.0/24`. Questo perché entrambi i gruppi hanno accesso a `0.0.0.0/0` (qualsiasi destinazione) *e* nessun'altra regola fa riferimento a `192.168.0.0/24`.
### Aggiungi una regola per 192.168.0.0/24
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso a qualsiasi destinazione | S-xxxxx16 | False | 0.0.0.0/0 |
| Fornisce al gruppo di manager l'accesso a un singolo host nel VPC di sviluppo | S-xxxxx16 | False | 10.0.2.119/32 |
| Fornisce al gruppo di progettazione l'accesso a una sottorete nella rete on-premise | S-xxxxx14 | False | 172,16,0,128/25 |
| Fornisce al gruppo di progettazione l'accesso a qualsiasi destinazione | S-xxxxx14 | False | 0.0.0.0/0 |
| Fornisce al gruppo di manager l'accesso al VPC del client VPN | S-xxxxx16 | False | 192.168.0.0/24 |
**Comportamento risultante**
+ Il gruppo di sviluppo può accedere a `10.0.0.0/16`, *eccetto* per l'host singolo `10.0.2.119/32`.
+ Il gruppo di manager può accedere alla rete Internet pubblica, `192.168.0.0/24`, e a un singolo host (`10.0.2.119/32`) all'interno della rete `10.0.0.0/16`, ma non ha accesso a `172.16.0.0/24` o a uno qualsiasi degli host rimanenti nella rete `10.0.0.0/16`.
+ Il gruppo di progettazione può accedere alla rete Internet pubblica, `172.16.0.0/24` e a `172.16.0.128/25`.
**Nota**
Si noti come l'aggiunta della regola per l'accesso del gruppo di manager a `192.168.0.0/24` fa sì che il gruppo di sviluppo non abbia più accesso a quella rete di destinazione.
### Autenticazione federata SAML
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | Engineering (Progettazione) | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | Sviluppatori | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso al VPC del client VPN | Responsabili | False | 192.168.0.0/24 |
**Comportamento risultante**
+ Solo gli utenti autenticati tramite SAML con l'attributo di gruppo «Engineering» possono accedere. `172.16.0.0/24`
+ L'accesso è consentito solo agli utenti autenticati tramite SAML con l'attributo di gruppo «Developers». `10.0.0.0/16`
+ L'accesso è consentito solo agli utenti autenticati tramite SAML con l'attributo di gruppo «Managers». `192.168.0.0/24`
+ Tutto l'altro traffico viene eliminato dall'endpoint del Client VPN.
**Nota**
Quando si utilizza l'autenticazione federata SAML, il campo ID del gruppo corrisponde al valore dell'attributo SAML che identifica l'appartenenza al gruppo dell'utente. Questo attributo è configurato nel tuo provider di identità SAML e passato a Client VPN durante l'autenticazione.
### Accesso per tutti i gruppi di utenti
| Descrizione della regola | ID gruppo | Consente l'accesso a tutti gli utenti | CIDR di destinazione |
| --- | --- | --- | --- |
| Fornisce al gruppo di progettazione l'accesso alla rete on-premise | S-xxxxx14 | False | 172.16.0.0/24 |
| Fornisce al gruppo di sviluppo l'accesso al VPC di sviluppo | S-xxxxx15 | False | 10.0.0.0/16 |
| Fornisce al gruppo di manager l'accesso a qualsiasi destinazione | S-xxxxx16 | False | 0.0.0.0/0 |
| Fornisce al gruppo di manager l'accesso a un singolo host nel VPC di sviluppo | S-xxxxx16 | False | 10.0.2.119/32 |
| Fornisce al gruppo di progettazione l'accesso a una sottorete nella rete on-premise | S-xxxxx14 | False | 172,16,0,128/25 |
| Fornisce al gruppo di progettazione l'accesso a tutte le reti | S-xxxxx14 | False | 0.0.0.0/0 |
| Fornisce al gruppo di manager l'accesso al VPC del client VPN | S-xxxxx16 | False | 192.168.0.0/24 |
| Fornisce l'accesso a tutti i gruppi | N/D | True | 0.0.0.0/0 |
**Comportamento risultante**
+ Il gruppo di sviluppo può accedere a `10.0.0.0/16`, *eccetto* per l'host singolo `10.0.2.119/32`.
+ Il gruppo di manager può accedere alla rete Internet pubblica, `192.168.0.0/24`, e a un singolo host (`10.0.2.119/32`) all'interno della rete `10.0.0.0/16`, ma non ha accesso a `172.16.0.0/24` o a uno qualsiasi degli host rimanenti nella rete `10.0.0.0/16`.
+ Il gruppo di progettazione può accedere alla rete Internet pubblica, `172.16.0.0/24` e a `172.16.0.128/25`.
+ Qualsiasi altro gruppo di utenti, ad esempio "gruppo di amministratori", può accedere alla rete Internet pubblica, ma non a qualsiasi altra rete di destinazione definita nelle altre regole.