growing hard days.

AWS Client VPNのクライアント接続ハンドラを試してみました

2021/06/27 2021/07/07

AWS Client VPNを設定しましたで証明書とかせっかく作ったので、いろいろ試してみます。

まずはLambdaで接続ハンドラーを設定して独自ロジックで承認できるというのをやってみました。

Lambda関数はあらかじめ作成しておきますが、”AWSClientVPN-“から始まる関数名にする必要がありました。
そして、作成後に気づいたのですが、Lambdaにリソースベースのポリシーもできませんでした。
LambdaのIAMロールにも特別何かのポリシーも設定していません。
ということはプル型ではないですし、リソースベースのポリシーがないということはプッシュ型でもないというか、何かにプッシュはされてるのかもだけど、”AWSClientVPN-“という名前を設定しているということが実行の許可をしているということにしているのか、なんだか気持ち悪いですが、もうそういうことでいいとします。

AWSクライアントVPNの設定で、クライアント接続ハンドラARNにLambdaのARNを指定しました。

今回のコードはPython3.8でこちらにしました。

def lambda_handler(event, context):
    print(event)

    return {
        "allow": True,
        "error-msg-on-failed-posture-compliance": "",
        "posture-compliance-statuses": [],
        "schema-version": "v1"
    }

1

2

3

4

5

6

7

8

9

10

11

def lambda_handler(event, context):

print(event)

return {

"allow": True,

"error-msg-on-failed-posture-compliance": "",

"posture-compliance-statuses": [],

"schema-version": "v1"

}

ユーザーガイド接続承認に記載のレスポンススキーマにあわせました。

リクエストeventはこちらでした。

{
    'endpoint-id': 'cvpn-endpoint-0702364d39b4e5304', 
    'connection-id': 'cvpn-connection-0d03446a94bfa013d', 
    'common-name': 'client1.domain.tld', 
    'username': None, 
    'platform': 'mac', 
    'platform-version': None, 
    'public-ip': 'xxx.xxx.xxx.xxx', 
    'client-openvpn-version': '2.4.5', 
    'groups': [], 
    'schema-version': 'v2'
}

1

2

3

4

5

6

7

8

9

10

11

12

13

{

'endpoint-id': 'cvpn-endpoint-0702364d39b4e5304',

'connection-id': 'cvpn-connection-0d03446a94bfa013d',

'common-name': 'client1.domain.tld',

'username': None,

'platform': 'mac',

'platform-version': None,

'public-ip': 'xxx.xxx.xxx.xxx',

'client-openvpn-version': '2.4.5',

'groups': [],

'schema-version': 'v2'

}

実際に使用するときには、このevent情報を判定に使って、”allow”: Trueを返すか、”allow”: Falseを返すかのロジックを実装するということですね。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, clientvpn, lambda, vpn

Tweet

関連記事

: S3 Intelligent-Tieringで高頻度階層(FREQUENT)に戻る「アクセス」にS3 SelectとGlueクローラーが該当するのか確認してみました

ユーザーガイドのS3 Intelligent-Tiering のしくみには、「低 …

: GoogleフォームからAPI Gatewayで作成したREST APIにPOSTリクエストする

「API GatewayからLambdaを介さずにSNSトピックへ送信」の続きで …

: AWS Service Catalogポートフォリオを他のアカウントと共有する

AWS Service Catalogチュートリアルで作成したポートフォリオの他 …

: AWS DeepLensセットアップの儀

AWS DeepLensのセットアップを開始します。 AWS DeepLensを …

: kintoneで設定したスケジュールにあわせてlambda(python)からSQSへメッセージを送る

EC2の起動停止をそろそろ手動でやるのも疲れてきそうなのと、やはり停止するのを忘 …

: kintoneでEveryoneに権限が設定されているアプリをAWS Lambdaで一括チェックする

こないだ、kintone Cafeでユーザーが自由に作成している環境だと、どんな …

: AMIをOrganizations組織で共有しました

よく使うAMIをOrganizations組織内のリソースパブリッシュ用のアカウ …

: AWS CLIからIAM Identity CenterへサインインしてCodeCommitのリポジトリを使用する

Macで操作しました。 AWS CLIバージョンアップ [crayon-68ab …

: AWSアカウントルートユーザーのMFAでYubicoセキュリティキーを設定した

先日Yubico セキュリティキーを購入して、USBにささなければならないのがな …

: WordPress(EC2)の画像のS3へのオフロードをMedia Cloudで

タイトル通りですが、画像をwebサーバー(EC2)からではなく、S3バケットから …

PREV: AWS Client VPNを設定しました
NEXT: AWS Client VPNの接続ログを確認しました