限制未经授权的用户访问 AWS VPC 私有子网内的不同实例的最佳做法是什么?我为堡垒主机创建的私钥是唯一允许我通过堡垒主机访问私有子网内的实例的密钥,这意味着拥有堡垒主机私钥的每个人都可以访问私有子网内的所有实例使用堡垒主机的私钥。我为私有子网内的实例创建的私钥不允许我在未将密钥保存在堡垒主机中的情况下登录实例。请帮忙。
【问题讨论】:
标签: amazon-web-services amazon-ec2 amazon-vpc
“我为私有子网中的实例创建的私钥不允许我在未将密钥保存在堡垒主机中的情况下登录实例。”
这是您问题的根源。这不需要。通过连接到堡垒然后连接到内部机器,您实际上是在以艰难的方式做事,而不是利用 ssh 可以为您做的所有事情。
在堡垒主机上没有私有机器的 ssh 密钥,从外部,在一行上完成所有这些:
ssh -o 'ProxyCommand=ssh -i bastion-key.pem bastion-user@bastion-ip nc %h %p'
-i private-instance-key.pem
private-username@private-instance-ip
您在本地需要这两个密钥,这会将您直接登录到私有实例,使用与堡垒主机的 SSH 代理连接。
ProxyCommand 也可以在~/.ssh/config 中配置,让您可以在本地机器上简单地使用ssh private-username@private-instance-ip。即使无法从本地计算机直接访问 private-instance-ip,这也有效。 SSH 完成所有工作。
【讨论】:
我想最安全的方法是配置与您的 VPC 的 VPN 连接。 私钥将掌握在您手中,VPN 连接将仅从您的网络建立。最后,实例(安全组和 Nacls)将只允许来自您的 IP 地址的 ssh。
【讨论】: