As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Client VPN regras de autorização
Regras de autorização atuam como regras de firewall que concedem acesso a redes. Adicionando regras de autorização, você concede acesso à rede especificada a clientes específicos. Você deve ter uma regra de autorização para cada rede à qual deseja conceder acesso. É possível adicionar regras de autorização a um endpoint da Client VPN usando o console e a AWS CLI.
**nota**
O cliente VPN usa a correspondência de prefixo mais longa ao avaliar as regras de autorização. Consulte o tópico sobre solução de problemas [Solução de problemas AWS Client VPN: as regras de autorização para grupos do Active Directory não funcionam conforme o esperado](ad-group-auth-rules.md) e [Prioridade de rota](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority) no *Guia do usuário do Amazon VPC* para obter mais detalhes.
## Pontos-chave para entender as regras de autorização
Os seguintes pontos explicam alguns dos comportamentos das regras de autorização:
+ Para permitir o acesso a uma rede de destino, é necessário adicionar explicitamente uma regra de autorização. O comportamento padrão é negar acesso.
+ Você não pode adicionar uma regra de autorização para *restringir* acesso a uma rede de destino.
+ O CIDR `0.0.0.0/0` é tratado como um caso especial. Ele é processado por último, independentemente da ordem na qual as regras de autorização foram criadas.
+ O CIDR `0.0.0.0/0` pode ser considerado como “qualquer destino” ou “qualquer destino não definido por outras regras de autorização”.
+ A correspondência de prefixo mais longo é a regra que tem precedência.
**Topics**
+ [Principais pontos](#key-points-summary)
+ [Cenários de exemplo](#auth-rule-example-scenarios)
+ [Adicionar uma regra de autorização](cvpn-working-rule-authorize-add.md)
+ [Remover uma regra de autorização](cvpn-working-rule-remove.md)
+ [Visualizar regras de autorização](cvpn-working-rule-view.md)
## Cenários de exemplo para regras de autorização da Client VPN
Esta seção descreve como as regras de autorização funcionam para AWS Client VPN. Ela inclui pontos-chave para entender as regras de autorização, um exemplo de arquitetura e uma discussão sobre cenários que correspondem à arquitetura de exemplo.
**Cenários**
+ [Exemplo de arquitetura para cenários de regras de autorização](#example-arch-auth-rules)
+ [Acesso a um único destino](#auth-rules1)
+ [Use qualquer CIDR de destino (0.0.0.0/0)](#auth-rules2)
+ [Correspondência de prefixo de IP mais longo](#auth-rules3)
+ [Sobrepor CIDR (mesmo grupo)](#auth-rules4)
+ [Regra 0.0.0.0/0 adicional](#auth-rules5)
+ [Adicionar regra para 192.168.0.0/24](#auth-rules6)
+ [Autenticação federada do SAML](#auth-rules7)
+ [Acesso para todos os grupos de usuários](#auth-rules8)
### Exemplo de arquitetura para cenários de regras de autorização
O diagrama a seguir mostra a arquitetura de exemplo usada para os cenários encontrados nesta seção.
![\[Exemplo de arquitetura da Client VPN\]](http://docs.aws.amazon.com/pt_br/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### Acesso a um único destino
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | S-xxxxx16 | Falso | 192.168.0.0/24 |
**Comportamento resultante**
+ O grupo de engenharia somente pode acessar `172.16.0.0/24`.
+ O grupo de desenvolvimento somente pode acessar `10.0.0.0/16`.
+ O grupo de gerentes somente pode acessar `192.168.0.0/24`.
+ Qualquer outro tráfego é descartado pelo endpoint da VPN cliente.
**nota**
Nesse cenário, nenhum grupo de usuários tem acesso à Internet pública.
### Use qualquer CIDR de destino (0.0.0.0/0)
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
**Comportamento resultante**
+ O grupo de engenharia somente pode acessar `172.16.0.0/24`.
+ O grupo de desenvolvimento só pode acessar `10.0.0.0/16`.
+ O grupo de gerentes pode acessar a Internet pública *e* `192.168.0.0/24`, mas não pode acessar `172.16.0.0/24` nem `10.0.0/16`.
**nota**
Nesse cenário, como nenhuma regra está se referindo a `192.168.0.0/24`, o acesso a essa rede também é fornecido pela regra `0.0.0.0/0`.
Uma regra com `0.0.0.0/0` é sempre avaliada por último, independentemente da ordem em que as regras foram criadas. Por esse motivo, lembre-se de que as regras avaliadas antes de `0.0.0.0/0` desempenham um papel na determinação das redes às quais `0.0.0.0/0` concede acesso.
### Correspondência de prefixo de IP mais longo
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
**Comportamento resultante**
+ O grupo de engenharia só pode acessar `172.16.0.0/24`.
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na VPC de desenvolvimento, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na VPC de desenvolvimento.
**nota**
Aqui, você vê como uma regra com um prefixo de IP mais longo tem precedência sobre uma regra com um prefixo de IP mais curto. Se você quiser que o grupo de desenvolvimento tenha acesso a `10.0.2.119/32`, é necessário adicionar mais uma regra que conceda à equipe de desenvolvimento acesso a `10.0.2.119/32`.
### Sobrepor CIDR (mesmo grupo)
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede menor na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia tem acesso a `172.16.0.0/24`, inclusive à sub-rede mais específica `172.16.0.128/25`.
### Regra 0.0.0.0/0 adicional
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede menor na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
| Fornecer ao grupo de engenharia acesso a qualquer destino | S-xxxxx14 | Falso | 0.0.0.0/0 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia pode acessar a Internet pública, `192.168.0.0/24` e `172.16.0.0/24`, inclusive a sub-rede mais específica `172.16.0.128/25`.
**nota**
Observe que os grupos de engenharia e de gerentes agora podem acessar `192.168.0.0/24`. Isso ocorre porque os dois grupos têm acesso a `0.0.0.0/0` (qualquer destino) *e* nenhuma outra regra está fazendo referência a `192.168.0.0/24`.
### Adicionar regra para 192.168.0.0/24
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
| Fornecer ao grupo de engenharia acesso a qualquer destino | S-xxxxx14 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | S-xxxxx16 | Falso | 192.168.0.0/24 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia pode acessar a Internet pública, `172.16.0.0/24` e `172.16.0.128/25`.
**nota**
Observe que a adição da regra para o grupo de gerentes acessar`192.168.0.0/24` faz com que o grupo de desenvolvimento não tenha mais acesso a essa rede de destino.
### Autenticação federada do SAML
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | Engenharia | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | Desenvolvedores | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | Gerentes | Falso | 192.168.0.0/24 |
**Comportamento resultante**
+ Os usuários autenticados via SAML com o atributo de grupo “Engenharia” podem acessar somente `172.16.0.0/24`.
+ Os usuários autenticados via SAML com o atributo de grupo “Desenvolvedores” podem acessar somente `10.0.0.0/16`.
+ Os usuários autenticados via SAML com o atributo de grupo “Gerentes” podem acessar somente `192.168.0.0/24`.
+ Qualquer outro tráfego é descartado pelo endpoint da VPN cliente.
**nota**
Ao usar a autenticação federada SAML, o campo “ID do grupo” corresponde ao valor do atributo SAML que identifica a associação do usuário ao grupo. Esse atributo é configurado no seu provedor de identidades SAML e transmitido ao Client VPN durante a autenticação.
### Acesso para todos os grupos de usuários
| Descrição da regra | ID do grupo | Permitir acesso a todos os usuários | CIDR de destino |
| --- | --- | --- | --- |
| Fornecer ao grupo de engenharia acesso à rede on-premises | S-xxxxx14 | Falso | 172.16.0.0/24 |
| Fornecer ao grupo de desenvolvimento acesso à VPC de desenvolvimento | S-xxxxx15 | Falso | 10.0.0.0/16 |
| Fornecer ao grupo de gerentes acesso a qualquer destino | S-xxxxx16 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso a um único host na VPC de desenvolvimento | S-xxxxx16 | Falso | 10.0.2.119/32 |
| Fornecer ao grupo de engenharia acesso a uma sub-rede na rede on-premises | S-xxxxx14 | Falso | 172.16.0.128/25 |
| Fornecer ao grupo de engenharia acesso a todas as redes | S-xxxxx14 | Falso | 0.0.0.0/0 |
| Fornecer ao grupo de gerentes acesso à VPC de VPN cliente | S-xxxxx16 | Falso | 192.168.0.0/24 |
| Fornecer acesso a todos os grupos | N/D | Verdadeiro | 0.0.0.0/0 |
**Comportamento resultante**
+ O grupo de desenvolvimento pode acessar `10.0.0.0/16`, *exceto* o único host `10.0.2.119/32`.
+ O grupo de gerentes pode acessar a Internet pública, `192.168.0.0/24` e um único host (`10.0.2.119/32`) na rede `10.0.0.0/16`, mas não tem acesso a `172.16.0.0/24` nem aos hosts restantes na rede `10.0.0.0/16`.
+ O grupo de engenharia pode acessar a Internet pública, `172.16.0.0/24` e `172.16.0.128/25`.
+ Qualquer outro grupo de usuários, por exemplo, “grupo de administradores”, pode acessar a Internet pública, mas nenhuma outra rede de destino definida nas outras regras.
# Adicionar uma regra de autorização a um AWS Client VPN endpoint
É possível adicionar uma regra de autorização para conceder ou restringir o acesso a um endpoint da Client VPN usando o Console de gerenciamento da AWS. Uma regra de autorização pode ser adicionada a um endpoint da Client VPN usando o console da Amazon VPC ou a linha de comando ou a API.
**Para adicionar uma regra de autorização a um endpoint do Client VPN usando Console de gerenciamento da AWS**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente ao qual a regra de autorização deve ser adicionada, escolha **Authorization rules** (Regras de autorização) e **Add authorization rule** (Adicionar regra de autorização).
1. Em **Destination network to enable access** (Rede de destino para habilitar o acesso), insira o endereço IP, em notação CIDR, da rede que você deseja que os usuários acessem (por exemplo, o bloco CIDR da VPC).
1. Especifique quais clientes têm permissão para acessar a rede especificada. Em **For grant access to (Para conceder acesso a)**, siga um destes procedimentos:
+ Para conceder acesso a todos os clientes, escolha **Allow access to all users (Permitir acesso a todos os usuários)**.
+ Para restringir o acesso a clientes específicos, escolha **Permitir acesso a usuários em um grupo de acesso específico** e, em **ID do grupo de acesso**, insira o ID do grupo ao qual conceder acesso. Por exemplo, o identificador de segurança (SID) de um grupo do Active Directory ou o ID/name de um grupo definido em um provedor de identidade (IdP) baseado em SAML.
+ (Active Directory) Para obter o SID, você pode usar o ADGroup cmdlet [Get-](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) do Microsoft Powershell, por exemplo:
```
Get-ADGroup -Filter 'Name -eq ""'
```
Como alternativa, abra a ferramenta Usuários e Computadores do Active Directory, visualize as propriedades do grupo, acesse a guia Editor de atributos e obtenha o valor de `objectSID`. Se necessário, primeiro selecione **View (Visualizar)**, **Advanced Features (Recursos avançados)** para habilitar a guia Editor de atributos.
+ (Autenticação federada baseada em SAML) O grupo ID/name deve corresponder às informações de atributos do grupo retornadas na declaração SAML.
1. Em **Descrição**, insira uma breve descrição da regra de autorização.
1. Escolha **Adicionar regra de autorização**.
**Adicionar uma regra de autorização a um endpoint da Client VPN (AWS CLI)**
Use o comando [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
# Remover uma regra de autorização de um AWS Client VPN endpoint
É possível remover regras de autorização de um endpoint específico da Client VPN usando o console e o AWS CLI.
**Para remover regras de autorização (console)**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da Client VPN ao qual a regra de autorização foi adicionada e escolha **Regras de autorização**.
1. Selecione a regra de autorização a ser excluída, escolha **Remover regra de autorização** e escolha **Remover regra de autorização **novamente para confirmar a exclusão.
**Para remover regras de autorização (AWS CLI)**
Use o comando [revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html).
# Visualizar regras de autorização do AWS Client VPN
É possível visualizar regras de autorização de um endpoint específico da Client VPN usando o console e a AWS CLI.
**Para visualizar regras de autorização (console)**
1. Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Endpoints da cliente VPN**.
1. Selecione o endpoint da VPN do cliente para o qual deseja visualizar regras de autorização e escolha **Authorization rules** (Regras de autorização).
**Para visualizar regras de autorização (AWS CLI)**
Use o comando [describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html).