Security 如何在AWS中设置堡垒主机或跳线盒？

我正在探索如何在AWS上设置类似bastion主机的安全和网络配置

假设我有多个EC2实例。但我不想在其他每个EC2实例上启用SSH。我想使用一个特别配置的EC2实例作为堡垒主机，在这个主机上我可以从我的私有IP（仅限于）执行SSH；一旦我在bastion主机实例或Jumpbox实例上，我想对VPC中的任何其他EC2实例执行SSH

是否有任何可用的AMI实例可以用作Jumpbox或bastion主机？因此，我只能使用一台bastion主机对VPC中的任何其他EC2实例执行SSH

---

我看到很少有jumpbox EC2 AMI，但我想它们的使用更像Bitnami类型的发行版，而不是作为堡垒主机

由于AWS安全组允许您为SSH入站允许特定的IP或特定范围的IP，因此在这个用例中使用Bastion主机是毫无意义的。老师教你怎么做

在AWS上需要堡垒主机的唯一时间是，如果需要SSH到私有子网中的实例中。要从Internet获取私有子网中的实例，您需要SSH到公共子网中的实例，并且需要从该堡垒实例使用其私有IP SSH到私有子网中的实例

设置起来很简单。你不需要任何漂亮的AMI或类似的东西，它只需要像t2.micro这样的小东西。只需在公共子网中启动任何实例，例如Amazon Linux。确保它的安全组允许您的IP在端口22上，并将SSH插入其中。然后，您需要允许bastion主机通过安全组访问所需的实例

一旦设置好了，您就可以SSH到您的堡垒中，从那里您可以简单地SSH到您想要的实例中

这些链接可能会帮助您：

但是，访问私有子网中实例的另一种方法是设置VPN

但锁定实例的最佳方法是使用安全组，只允许您所需的IP访问您的实例。

截至，AWS发布了一个参考部署（CloudFormation模板和相关资产），该部署设置了一个堡垒主机，用于安全访问私有VPC中的实例：

• -欢迎页面
• -部署指南
• -GitHub上的源代码

---

如果基于web的解决方案足够，您应该尝试Bastillion

您甚至可以使用标记来限制用户对实例的访问

---

在AWS上是否没有需要堡垒主机的场景？因为似乎SG将至少解决ssh连接的问题。