Amazon web services 限制未经授权用户访问专用子网内实例的最佳做法_Amazon Web Services_Amazon Ec2_Amazon Vpc

Amazon web services 限制未经授权用户访问专用子网内实例的最佳做法

amazon-web-services amazon-ec2

Amazon web services 限制未经授权用户访问专用子网内实例的最佳做法,amazon-web-services,amazon-ec2,amazon-vpc,Amazon Web Services,Amazon Ec2,Amazon Vpc,限制未经授权的用户访问AWS VPC私有子网内的不同实例的最佳做法是什么？我为堡垒主机创建的私钥是唯一允许我通过堡垒主机访问私有子网内实例的密钥，这意味着拥有堡垒主机私钥的每个人都可以使用堡垒主机的私钥访问私有子网内的所有实例。我为私有子网内的实例创建的私钥不允许我在不将密钥保存在bastion主机中的情况下登录实例。请提供帮助。我想最安全的方法是与您的VPC配置VPN连接。私钥将在您手中，VPN连接将仅从您的网络建立。最后，实例安全组和NACL只允许从您的IP地址进行ssh 我为私有子网内的

限制未经授权的用户访问AWS VPC私有子网内的不同实例的最佳做法是什么？我为堡垒主机创建的私钥是唯一允许我通过堡垒主机访问私有子网内实例的密钥，这意味着拥有堡垒主机私钥的每个人都可以使用堡垒主机的私钥访问私有子网内的所有实例。我为私有子网内的实例创建的私钥不允许我在不将密钥保存在bastion主机中的情况下登录实例。请提供帮助。

我想最安全的方法是与您的VPC配置VPN连接。私钥将在您手中，VPN连接将仅从您的网络建立。最后，实例安全组和NACL只允许从您的IP地址进行ssh

我为私有子网内的实例创建的私钥不允许我在不将密钥保存在bastion主机中的情况下登录实例

这是你问题的根源。这是不必要的。通过连接到bastion，然后再连接到内部机器，您实际上是在以艰难的方式做事，而不是利用ssh为您所能做的一切

在bastion主机上没有专用计算机的ssh密钥的情况下，从外部在一行上执行所有这些操作：

ssh -o 'ProxyCommand=ssh -i bastion-key.pem bastion-user@bastion-ip nc %h %p' 
    -i private-instance-key.pem 
    private-username@private-instance-ip

您在本地需要这两个密钥，这会使用到bastion主机的SSH代理连接将您直接登录到私有实例

ProxyCommand还可以在~/.ssh/config中配置，允许您简单地使用ssh private-username@private-来自本地计算机的实例ip。即使无法从本地计算机直接访问私有实例ip，这种方法也可以工作。SSH完成所有工作。

请求异常。可能有两台堡垒主机，一台为您，另一台为其他主机，还可以在专用子网主机上设置一个安全组SG，只允许您的堡垒所在的SG的入站端口22？非常感谢您对解决方案的快速响应。我感谢你的帮助。