本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將授權規則新增至 AWS Client VPN 端點
<a name="cvpn-working-rule-authorize-add"></a>

您可以使用 新增授權規則，以授予或限制對 Client VPN 端點的存取 AWS 管理主控台。您可以使用 Amazon VPC 主控台或使用命令列或 API 將授權規則新增至 Client VPN 端點。

**使用 將授權規則新增至 Client VPN 端點 AWS 管理主控台**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Client VPN Endpoints** (Client VPN 端點)。

1. 選取要新增授權規則的 Client VPN 端點，選擇 **Authorization rules** (授權規則)，然後選擇 **Add authorization rule** (新增授權規則)。

1. 對於 **Destination network to enable access** (要啟用存取權限的目的地網路)，請以 CIDR 標記法輸入您希望使用者存取的網路 IP 地址 (例如 VPC 的 CIDR 區塊)。

1. 指定允許哪些用戶端存取指定的網路。對於 **For grant access to** (將存取權授與)，請執行以下其中一項：
   + 若准許所有用戶端存取，請選擇 **Allow access to all users** (允許所有使用者存取)。
   + 若要限制特定用戶端的存取權，請選擇 **Allow access to users in a specific access group** (允許特定存取群組中使用者的存取權)，然後在 **Access group ID** (存取群組 ID)中，輸入要授與存取權的群組 ID。例如，Active Directory 群組的安全性識別符 (SID)，或在 SAML 型身分提供者 (IdP) 中定義的群組 ID/名稱。
     + (Active Directory) 若要取得 SID，您可以使用 Microsoft Powershell [Get-ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet，例如：

       ```
       Get-ADGroup -Filter 'Name -eq "<{{Name of the AD Group}}>"'
       ```

       或者，開啟 Active Directory 使用者和電腦工具，檢視群組的內容，移至「屬性編輯器」索引標籤，然後取得 `objectSID` 的值。如有必要，請先選擇**檢視**、**進階功能**以啟用「屬性編輯器」標籤。
     + (SAML 型聯合身分驗證) 群組 ID/名稱應與 SAML 聲明中傳回的群組屬性資訊相符。

1. 對於 **Description** (描述)，輸入授權規則的簡短描述。

1. 選擇 **Add authorization rule** (新增授權規則)。

**將授權規則新增至用戶端 VPN 端點 (AWS CLI)**  
使用 [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) 命令。