本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向 AWS Client VPN 终端节点添加授权规则
<a name="cvpn-working-rule-authorize-add"></a>

可以使用 AWS 管理控制台添加授权规则，以授予或限制对 Client VPN 端点的访问。可以使用 Amazon VPC 控制台或者使用命令行或 API 向 Client VPN 端点添加授权规则。

**要向 Client VPN 终端节点添加授权规则，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Client VPN Endpoints**（Client VPN 终端节点）。

1. 选择要向其中添加授权规则的 Client VPN 端点，然后依次选择**授权规则**和**添加授权规则**。

1. 对于 **Destination network to enable access**（要启用访问的目标网络），输入您希望用户访问的 IP 地址，以 CIDR 表示法表示（例如，VPC 的 CIDR 块）。

1. 指定允许哪些客户端访问指定的网络。对于 **For grant access to (将访问权限授予)**，执行以下操作之一：
   + 要向所有客户端授予访问权限，请选择 **Allow access to all users (允许所有用户访问)**。
   + 要将访问限制到特定客户端，请选择 **Allow access to users in a specific access group (允许特定访问组中的用户进行访问)**，然后对于 **Access group ID (访问组 ID)**，输入要授予访问权限的组的 ID。例如，活动目录组的安全标识符 (SID)，或基于 SAML ID/name 的身份提供者 (IdP) 中定义的组的安全标识符 (SID)。
     + （Active Directory）要获取 SID，你可以使用微软 Powershell [Get-ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet，例如：

       ```
       Get-ADGroup -Filter 'Name -eq "<{{Name of the AD Group}}>"'
       ```

       或者，打开“Active Directory 用户和计算机”工具，查看组的属性，转到“属性编辑器”选项卡，获取 `objectSID` 的值。如有必要，请先选择**查看**、**高级功能**以启用“属性编辑器”选项卡。
     + （基于 SAML 的联合身份验证）该组 ID/name 应与 SAML 断言中返回的组属性信息相匹配。

1. 对于 **Description (描述)**，输入授权规则的简要描述。

1. 选择**添加授权规则**。

**将授权规则添加到 Client VPN 端点（AWS CLI）**  
使用 [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) 命令。