限制未经授权的用户访问AWS VPC私有子网内的不同实例的最佳做法是什么?我为堡垒主机创建的私钥是唯一允许我通过堡垒主机访问私有子网内实例的密钥,这意味着拥有堡垒主机私钥的每个人都可以访问私有子网内的所有实例使用堡垒主机的私钥。我为私有子网内的实例创建的私钥不允许我登录到实例而不保存堡垒主机中的密钥。请帮忙。
答案 0 :(得分:1)
&#34;我为私有子网内的实例创建的私钥不允许我登录实例而不将密钥保存在堡垒主机中。&#34; < / p>
这是你问题的根源。这需要不。通过连接到堡垒然后连接到内部机器,您实际上是在艰难地处理事情,而不是利用ssh可以为您做的所有事情。
在堡垒主机上没有私人机器的ssh键,从外面,在一行上完成所有这些:
ssh -o 'ProxyCommand=ssh -i bastion-key.pem bastion-user@bastion-ip nc %h %p'
-i private-instance-key.pem
private-username@private-instance-ip
您需要在本地使用这两个密钥,并使用与堡垒主机的SSH代理连接将直接记录到私有实例中。
ProxyCommand
也可以在~/.ssh/config
中配置,您只需使用本地计算机上的ssh private-username@private-instance-ip
即可。即使无法从本地计算机直接访问private-instance-ip
,这也可以正常工作。 SSH完成所有工作。
答案 1 :(得分:0)
我想最安全的方法是与您配置VPC的VPN连接。 私钥将在您手中,VPN连接只能从您的网络建立。最后,实例(安全组和Nacls)只允许来自您IP地址的ssh。