Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Come AWS Client VPN funziona
Con AWS Client VPN, esistono due tipi di utenti che interagiscono con l'endpoint Client VPN: amministratori e client.
Client VPN supporta IPv4 e IPv6 connettività dual-stack (entrambi IPv4 e IPv6). Puoi creare endpoint che utilizzano IPv4, o entrambi IPv6, che ti consentono di connetterti alle IPv6 risorse del tuo computer VPCs o di connetterti da client in rete. IPv6 Questa flessibilità aiuta le organizzazioni che hanno già implementato o stanno passando all' IPv6 infrastruttura.
L'*amministratore* è responsabile dell'impostazione e della configurazione del servizio. Ciò comporta la creazione dell'endpoint Client VPN, l'associazione della rete di destinazione, la configurazione delle regole di autorizzazione e l'impostazione di percorsi aggiuntivi (se necessario). Una volta impostato e configurato l'endpoint Client VPN, l'amministratore scarica il file di configurazione dell'endpoint Client VPN e lo distribuisce ai client che devono accedere. Il file di configurazione dell'endpoint Client VPN include il nome DNS dell'endpoint Client VPN e le informazioni di autenticazione necessarie per stabilire una sessione VPN. Per ulteriori informazioni sulla configurazione del servizio, consulta [Inizia con AWS Client VPN](cvpn-getting-started.md).
Il *client* è l'utente finale. È la persona che si connette all'endpoint Client VPN per stabilire una sessione VPN. Il client stabilisce la sessione VPN dal proprio computer locale o dispositivo mobile utilizzando un'applicazione client VPN basata su OpenVPN. Dopo aver stabilito la sessione VPN, può accedere in modo sicuro alle risorse del VPC in cui si trova la sottorete associata. Possono anche accedere ad altre risorse in AWS una rete locale o ad altri client se sono state configurate le regole di routing e autorizzazione richieste. Per ulteriori informazioni sulla connessione a un endpoint Client VPN per stabilire una sessione VPN, consulta la Guida [introduttiva](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) nella *Guida per l'AWS Client VPN utente*.
L'immagine riportata di seguito illustra l'architettura Client VPN di base.
![\[Architettura Client VPN\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/architecture.png)
## Scenari ed esempi per Client VPN
AWS Client VPN è una soluzione VPN di accesso remoto completamente gestita che viene utilizzata per consentire ai client l'accesso sicuro alle risorse sia AWS all'interno della rete locale che a quella locale. Esistono diverse opzioni per la configurazione dell'accesso. In questa sezione vengono forniti gli esempi per la creazione e la configurazione dell'accesso Client VPN per i client.
**Scenari**
+ [Accesso a un VPC utilizzando Client VPN](#scenario-vpc)
+ [Accesso a un VPC con peering utilizzando Client VPN](#scenario-peered)
+ [Accesso a una rete on-premise utilizzando Client VPN](#scenario-onprem)
+ [Accesso a Internet utilizzando Client VPN](#scenario-internet)
+ [Client-to-client accesso tramite Client VPN](#scenario-client-to-client)
+ [Limitazione dell'accesso alla propria rete utilizzando Client VPN](#scenario-restrict)
### Accesso a un VPC utilizzando Client VPN
La AWS Client VPN configurazione per questo scenario include un singolo VPC di destinazione. Consigliamo questa configurazione se devi fornire ai client l'accesso alle risorse di un singolo VPC.
![\[Client VPN che accede a un VPC\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/client-vpn-scenario-vpc.png)
Prima di iniziare, esegui queste attività:
+ Creare o identificare un VPC con almeno una sottorete. Identifica la sottorete nel VPC da associare all'endpoint Client VPN e annota IPv4 i relativi intervalli CIDR.
+ Identificare un intervallo CIDR adatto per gli indirizzi IP client che non si sovrappongono al CIDR VPC.
+ Esamina le regole e le limitazioni per gli endpoint Client VPN in [Regole e best practice per l'utilizzo AWS Client VPN](what-is-best-practices.md).
**Per implementare questa configurazione**
1. Crea un endpoint Client VPN nella stessa regione del VPC. Per eseguire questa operazione, attieniti alla procedura descritta in [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Associa la sottorete all'endpoint Client VPN. Per eseguire questa operazione, attieniti alla procedura descritta in [Associare una rete di destinazione a un AWS Client VPN endpoint](cvpn-working-target-associate.md) e seleziona la sottorete e il VPC identificati in precedenza.
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso al VPC. Per fare ciò, esegui i passaggi descritti in [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md) e per **Rete di destinazione**, inserisci l'intervallo IPv4 CIDR del VPC.
1. Aggiungere una regola ai gruppi di sicurezza delle risorse per consentire il traffico dal gruppo di sicurezza applicato all'associazione di sottorete nella fase 2. Per ulteriori informazioni, consulta [Gruppi di sicurezza](client-authorization.md#security-groups).
### Accesso a un VPC con peering utilizzando Client VPN
La AWS Client VPN configurazione per questo scenario include un VPC di destinazione (VPC A) peerizzato con un VPC aggiuntivo (VPC B). Consigliamo questa configurazione se è necessario consentire ai client l'accesso alle risorse all'interno di un VPC di destinazione e ad altre risorse VPCs che lo utilizzano in peering (come VPC B).
**Nota**
La procedura per consentire l'accesso a un VPC peered (delineata seguendo lo schema di rete) è richiesta solo se l'endpoint Client VPN è stato configurato per la modalità split-tunnel. In modalità full-tunnel, l'accesso al VPC con peering sarebbe consentito per impostazione predefinita.
![\[Client VPN che accede a un VPC peer\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/client-vpn-scenario-peer-vpc.png)
Prima di iniziare, esegui queste attività:
+ Creare o identificare un VPC con almeno una sottorete. Identifica la sottorete nel VPC da associare all'endpoint Client VPN e annota IPv4 i relativi intervalli CIDR.
+ Identificare un intervallo CIDR adatto per gli indirizzi IP client che non si sovrappongono al CIDR VPC.
+ Esamina le regole e le limitazioni per gli endpoint Client VPN in [Regole e best practice per l'utilizzo AWS Client VPN](what-is-best-practices.md).
**Per implementare questa configurazione**
1. Stabilire la connessione peering VPC tra. VPCs Segui i passaggi indicati in [Creazione e accettazione di una connessione peering VPC](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html) nella *Guida al peering di Amazon VPC*. Verifica che le istanze in VPC A possano comunicare con le istanze in VPC B utilizzando la connessione di peering.
1. Crea un endpoint Client VPN nella stessa regione del VPC di destinazione. Nell'esempio precedente è il VPC A. Esegui le fasi descritte in [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Associa la sottorete identificata in precedenza all'endpoint Client VPN creato. Per eseguire questa operazione, attieniti alla procedura descritta in [Associare una rete di destinazione a un AWS Client VPN endpoint](cvpn-working-target-associate.md) e seleziona il VPC e la sottorete. Per impostazione predefinita, associamo il gruppo di sicurezza predefinito del VPC all'endpoint client VPN. È possibile associare un gruppo di sicurezza diverso utilizzando i passaggi descritti in [Applicare un gruppo di sicurezza a una rete di destinazione in AWS Client VPN](cvpn-working-target-apply.md).
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso al VPC di destinazione. Per eseguire questa operazione, attieniti alla procedura descritta in [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md). Per **abilitare la rete di destinazione**, inserisci l'intervallo IPv4 CIDR del VPC.
1. Aggiungere una route per indirizzare il traffico al VPC in peering. Nel diagramma, questo è VPC B. Per eseguire questa operazione, attieniti alla procedura descritta in[Crea un percorso AWS Client VPN endpoint](cvpn-working-routes-create.md). Per **Route destination**, inserisci l'intervallo IPv4 CIDR del VPC peered. Per **ID sottorete del VPC di destinazione** seleziona la sottorete associata all'endpoint Client VPN.
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso al VPC in peering. Per eseguire questa operazione, attieniti alla procedura descritta in [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md). Per **Rete di destinazione**, inserisci l'intervallo IPv4 CIDR del VPC peerizzato.
1. Aggiungere una regola ai gruppi di sicurezza per le istanze nel VPC A e nel VPC B per consentire il traffico dal gruppo di sicurezza applicato all'ndpoint del lient VPN nella fase 3. Per ulteriori informazioni, consulta [Gruppi di sicurezza](client-authorization.md#security-groups).
### Accesso a una rete on-premise utilizzando Client VPN
La AWS Client VPN configurazione per questo scenario include solo l'accesso a una rete locale. Consigliamo questa configurazione se devi fornire ai client l'accesso alle risorse all'interno di una rete locale.
![\[Client VPN che accede a una rete locale\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/client-vpn-scenario-on-premises.png)
Prima di iniziare, esegui queste attività:
+ Creare o identificare un VPC con almeno una sottorete. Identifica la sottorete nel VPC da associare all'endpoint Client VPN e annota IPv4 i relativi intervalli CIDR.
+ Identificare un intervallo CIDR adatto per gli indirizzi IP client che non si sovrappongono al CIDR VPC.
+ Esamina le regole e le limitazioni per gli endpoint Client VPN in [Regole e best practice per l'utilizzo AWS Client VPN](what-is-best-practices.md).
**Per implementare questa configurazione**
1. Abilita la comunicazione tra il VPC e la tua rete locale tramite una AWS Site-to-Site connessione VPN. Per eseguire questa operazione, attieniti alla procedura descritta in [Nozioni di base](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html) nella *Guida per l'utente di AWS Site-to-Site VPN *.
**Nota**
In alternativa, puoi implementare questo scenario utilizzando una Direct Connect connessione tra il tuo VPC e la tua rete locale. Per ulteriori informazioni, consulta la [Direct Connect Guida per l'utente di ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/).
1. Prova la connessione AWS Site-to-Site VPN che hai creato nel passaggio precedente. A tale scopo, esegui i passaggi descritti nella sezione [Test della connessione Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/HowToTestEndToEnd_Linux.html) nella *Guida per l'AWS Site-to-Site VPN utente*. Se la connessione VPN funziona come previsto, continuare con la fase successive.
1. Crea un endpoint Client VPN nella stessa regione del VPC. Per eseguire questa operazione, attieniti alla procedura descritta in [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Associa la sottorete identificata in precedenza all'endpoint Client VPN. Per eseguire questa operazione, attieniti alla procedura descritta in [Associare una rete di destinazione a un AWS Client VPN endpoint](cvpn-working-target-associate.md) e seleziona il VPC e la sottorete.
1. Aggiungi un percorso che consenta l'accesso alla connessione AWS Site-to-Site VPN. Per fare ciò, esegui i passaggi descritti in[Crea un percorso AWS Client VPN endpoint](cvpn-working-routes-create.md); per **Route destination**, inserisci l'intervallo IPv4 CIDR della connessione AWS Site-to-Site VPN e per **Target VPC Subnet ID, seleziona la sottorete** associata all'endpoint Client VPN.
1. Aggiungi una regola di autorizzazione per consentire ai client di accedere alla connessione VPN. AWS Site-to-Site Per fare ciò, esegui i passaggi descritti in[Aggiungere una regola di autorizzazione a un AWS Client VPN endpoint](cvpn-working-rule-authorize-add.md); per **Rete di destinazione**, inserisci l'intervallo IPv4 CIDR della connessione AWS Site-to-Site VPN.
### Accesso a Internet utilizzando Client VPN
La AWS Client VPN configurazione per questo scenario include un singolo VPC di destinazione e l'accesso a Internet. Consigliamo questa configurazione se devi consentire ai client l'accesso alle risorse all'interno di un singolo VPC di destinazione e consentire anche l'accesso a Internet.
Se hai completato il tutorial [Inizia con AWS Client VPN](cvpn-getting-started.md) hai già implementato questo scenario.
![\[Client VPN che accede a Internet\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/client-vpn-scenario-igw.png)
Prima di iniziare, esegui queste attività:
+ Creare o identificare un VPC con almeno una sottorete. Identifica la sottorete nel VPC da associare all'endpoint Client VPN e annota IPv4 i relativi intervalli CIDR.
+ Identificare un intervallo CIDR adatto per gli indirizzi IP client che non si sovrappongono al CIDR VPC.
+ Esamina le regole e le limitazioni per gli endpoint Client VPN in [Regole e best practice per l'utilizzo AWS Client VPN](what-is-best-practices.md).
**Per implementare questa configurazione**
1. Verifica che il gruppo di sicurezza che verrà utilizzato per l'endpoint Client VPN consenta il traffico in uscita verso Internet. Per eseguire questa operazione, aggiungere le regole in uscita che consentono il traffico HTTP e HTTPS verso 0.0.0.0/0.
1. Creare un gateway Internet e collegarlo al VPC. Per ulteriori informazioni, consulta [Creazione e collegamento di un Internet Gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway) nella *Guida per l'utente di Amazon VPC*.
1. Rendere pubblica la sottorete aggiungendo una route al gateway Internet per instradare la tabella di routing. Nella console del VPC scegli **Subnets (Sottoreti)**, seleziona la sottorete da associare all'endpoint Client VPN, scegli **Route Table (Tabella di routing)** e quindi scegli l'ID della tabella di routing. Scegliere **Operazioni**, **Modifica route** e **Aggiungi route**. Per **Destinazione** immettere `0.0.0.0/0` e per **Target** scegliere il gateway Internet del passaggio precedente.
1. Crea un endpoint Client VPN nella stessa regione del VPC. Per eseguire questa operazione, attieniti alla procedura descritta in [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Associa la sottorete identificata in precedenza all'endpoint Client VPN. Per eseguire questa operazione, attieniti alla procedura descritta in [Associare una rete di destinazione a un AWS Client VPN endpoint](cvpn-working-target-associate.md) e seleziona il VPC e la sottorete.
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso al VPC. Per fare ciò, esegui i passaggi descritti in[Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md); e per **abilitare la rete di destinazione**, inserisci l'intervallo IPv4 CIDR del VPC.
1. Aggiungere una route che consenta il traffico verso Internet. Per eseguire questa operazione attieniti alla procedura descritta in [Crea un percorso AWS Client VPN endpoint](cvpn-working-routes-create.md). Per **Route destination (Destinazione ruote)** immetti `0.0.0.0/0` e per **Target VPC Subnet ID (ID sottorete VPC target)** seleziona la sottorete associata all'endpoint Client VPN.
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso a Internet. Per eseguire questa operazione attieniti alla procedura descritta in [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md). Per **Destination network (Rete di destinazione)** immetti `0.0.0.0/0`.
1. Assicurarsi che i gruppi di sicurezza per le risorse nel VPC dispongano di una regola che consenta l'accesso dal gruppo di sicurezza associato con l’endpoint del client VPN. Ciò consente ai client di accedere alle risorse nel VPC.
### Client-to-client accesso tramite Client VPN
La AWS Client VPN configurazione per questo scenario consente ai client di accedere a un singolo VPC e consente ai client di instradare il traffico tra loro. È consigliabile questa configurazione se anche i client che si connettono allo stesso endpoint Client VPN devono comunicare tra loro. I client possono comunicare tra loro utilizzando l'indirizzo IP univoco assegnato loro dall'intervallo CIDR client quando si connettono all'endpoint Client VPN.
![\[Client-to-client accesso\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/client-vpn-scenario-client-to-client.png)
Prima di iniziare, esegui queste attività:
+ Creare o identificare un VPC con almeno una sottorete. Identifica la sottorete nel VPC da associare all'endpoint Client VPN e annota IPv4 i relativi intervalli CIDR.
+ Identificare un intervallo CIDR adatto per gli indirizzi IP client che non si sovrappongono al CIDR VPC.
+ Esamina le regole e le limitazioni per gli endpoint Client VPN in [Regole e best practice per l'utilizzo AWS Client VPN](what-is-best-practices.md).
**Nota**
Regole di autorizzazione basate sulla rete che utilizzano gruppi Active Directory o gruppi IdP basati su SAML non sono supportate in questo scenario.
**Per implementare questa configurazione**
1. Crea un endpoint Client VPN nella stessa regione del VPC. Per eseguire questa operazione, attieniti alla procedura descritta in [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Associa la sottorete identificata in precedenza all'endpoint Client VPN. Per eseguire questa operazione, attieniti alla procedura descritta in [Associare una rete di destinazione a un AWS Client VPN endpoint](cvpn-working-target-associate.md) e seleziona il VPC e la sottorete.
1. Aggiungere un instradamento alla rete locale nella tabella di routing. Per eseguire questa operazione, attieniti alla procedura descritta in [Crea un percorso AWS Client VPN endpoint](cvpn-working-routes-create.md). Per **Destinazione routing**, immettere l'intervallo CIDR del client e per **ID sottorete VPC di destinazione**, specificare `local`.
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso al VPC. Per eseguire questa operazione, attieniti alla procedura descritta in [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md). Per **abilitare la rete di destinazione**, inserisci l'intervallo IPv4 CIDR del VPC.
1. Aggiungere una regola di autorizzazione per concedere ai client l'accesso all’intervallo CIDR. Per eseguire questa operazione, attieniti alla procedura descritta in [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md). Per **abilitare la rete di destinazione**, immettere l'intervallo CIDR del client.
### Limitazione dell'accesso alla propria rete utilizzando Client VPN
Puoi configurare l' AWS Client VPN endpoint per limitare l'accesso a risorse specifiche nel tuo VPC. Per l'autenticazione basata sull'utente puoi anche limitare l'accesso a parti della rete, in base al gruppo di utenti che accede all'endpoint Client VPN.
#### Limitare l'accesso utilizzando i gruppi di sicurezza
Puoi concedere o rifiutare l'accesso a risorse specifiche nel VPC aggiungendo o rimuovendo regole del gruppo di sicurezza che fanno riferimento al gruppo di sicurezza applicato all'associazione di rete di destinazione (il gruppo di sicurezza Client VPN). Questa configurazione espande lo scenario illustrato i [Accesso a un VPC utilizzando Client VPN](#scenario-vpc). e viene applicata in aggiunta alla regola di autorizzazione configurata in tale scenario.
Per concedere l'accesso a una risorsa specifica, identificare il gruppo di sicurezza associato all'istanza in cui è in esecuzione la risorsa. Quindi, crea una regola che abiliti il traffico dal gruppo di sicurezza Client VPN.
Nel diagramma seguente, il gruppo di sicurezza A è il gruppo di sicurezza Client VPN, il gruppo di sicurezza B è associato a un' EC2 istanza e il gruppo di sicurezza C è associato a un' EC2 istanza. Se aggiungi una regola al gruppo di sicurezza B che consente l'accesso dal gruppo di sicurezza A, i client possono accedere all'istanza associata al gruppo di sicurezza B. Se il gruppo di sicurezza C non dispone di una regola che consenta l'accesso dal gruppo di sicurezza A, i client non possono accedere all'istanza associata al gruppo di sicurezza C.
![\[Limitazione dell'accesso alle risorse in un VPC\]](http://docs.aws.amazon.com/it_it/vpn/latest/clientvpn-admin/images/client-vpn-scenario-security-groups.png)
Prima di iniziare, controlla se il gruppo di sicurezza Client VPN è associato ad altre risorse nel VPC. Se aggiungi o rimuovi regole che fanno riferimento al gruppo di sicurezza Client VPN, puoi consentire o rifiutare l'accesso anche per altre risorse associate. Per evitare ciò, utilizza un gruppo di sicurezza creato appositamente per l'utilizzo con l'endpoint Client VPN.
**Per creare una regola per il gruppo di sicurezza**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Fai clic su **Security Groups** (Gruppi di sicurezza) nel pannello di navigazione.
1. Scegliere il gruppo di sicurezza associato all'istanza in cui la risorsa è in esecuzione.
1. Scegliere **Actions (Operazioni)**, **Edit inbound rules (Modifica regole in entrata)**.
1. Scegliere **Add rule (Aggiungi regola)**, quindi effettuare le seguenti operazioni:
+ In **Type (Tipo)**, scegliere **All traffic (Tutto il traffico)** o un tipo di traffico specifico che si desidera consentire.
+ In **Source (Origine)**, scegli **Custom (Personalizzato)**, quindi immetti o scegli l'ID del gruppo di sicurezza Client VPN.
1. Scegliere **Save rules (Salva regole)**.
Per rimuovere l'accesso a una risorsa specifica, controllare il gruppo di sicurezza associato all'istanza in cui è in esecuzione la risorsa. Se esiste una regola che consente il traffico dal gruppo di sicurezza Client VPN, eliminala.
**Per verificare le regole del gruppo di sicurezza**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Fai clic su **Security Groups** (Gruppi di sicurezza) nel pannello di navigazione.
1. Scegliere **Inbound Rules (Regole in entrata)**.
1. Rivedere l'elenco delle regole. Se esiste una regola in cui **Source (Origine)** è il gruppo di sicurezza Client VPN, scegli **Edit Rules (Modifica regole)** e seleziona **Delete (Elimina)** (icona x) per la regola. Scegliere **Salva regole**.
#### Limitare l'accesso in base ai gruppi di utenti
Se l'endpoint Client VPN è configurato per l'autenticazione basata sull'utente, puoi concedere a gruppi specifici di utenti l'accesso a parti specifiche della rete. Per farlo, completa le seguenti fasi.
1. Configura utenti e gruppi nel Directory Service tuo IdP. Per ulteriori informazioni, consulta i seguenti argomenti:
+ [Autenticazione Active Directory in Client VPN](ad.md)
+ [Requisiti e considerazioni per l'autenticazione federata basata su SAML](federated-authentication.md#saml-requirements)
1. Crea una regola di autorizzazione per l'endpoint Client VPN che consenta a un gruppo specificato di accedere a tutta la rete o a parte di essa. Per ulteriori informazioni, consulta [AWS Client VPN regole di autorizzazione](cvpn-working-rules.md).
Se l'endpoint Client VPN è configurato per l'autenticazione reciproca, non è possibile configurare i gruppi di utenti. Quando si crea una regola di autorizzazione, è necessario concedere l'accesso a tutti gli utenti. Per consentire a gruppi specifici di utenti di accedere a parti specifiche della rete, puoi creare più endpoint Client VPN. Ad esempio, per ogni gruppo di utenti che accede alla rete, effettuare le seguenti operazioni:
1. Creare un set di certificati e chiavi server e client per quel gruppo di utenti. Per ulteriori informazioni, consulta [Autenticazione reciproca in AWS Client VPN](mutual.md).
1. Crea un endpoint Client VPN. Per ulteriori informazioni, consulta [Creare un AWS Client VPN endpoint](cvpn-working-endpoint-create.md).
1. Creare una regola di autorizzazione che conceda l'accesso a tutta la rete o a parte di essa. Ad esempio, per un endpoint Client VPN utilizzato dagli amministratori, puoi creare una regola di autorizzazione che conceda l'accesso all'intera rete. Per ulteriori informazioni, consulta [Aggiungi una regola di autorizzazione](cvpn-working-rule-authorize-add.md).