Můžete nastavit hostitele bastionu pro připojení k jakékoli instanci v rámci vašeho VPC:
http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC
Můžete si vybrat, zda spustíte novou instanci, která bude fungovat jako hostitel bastionu, nebo jako baštu použijete svou stávající instanci NAT.
Pokud vytvoříte novou instanci, v přehledu:
1) vytvořte pro svého hostitele bastion skupinu zabezpečení, která umožní přístup SSH z vašeho notebooku (poznamenejte si tuto skupinu zabezpečení pro krok 4)
2) spusťte samostatnou instanci (baštu) ve veřejné podsíti ve vašem VPC
3) dejte hostiteli bastionu veřejnou IP buď při spuštění, nebo přiřazením elastické IP
4) aktualizujte skupiny zabezpečení každé z vašich instancí, které nemají veřejnou IP, aby umožnily přístup SSH z hostitele bastionu. To lze provést pomocí ID bezpečnostní skupiny hostitele bastionu (sg-#####).
5) použijte přesměrování agenta SSH (ssh -A [email protected]) pro připojení nejprve k baště a poté jednou v baště SSH k jakékoli interní instanci (ssh [email protected]). Agent forwarding se stará o předání vašeho soukromého klíče, takže nemusí být uložen v instanci bastionu (nikdy neukládejte soukromé klíče v žádné instanci!! )
Příspěvek na blogu AWS výše by měl být schopen poskytnout něco hrubšího ohledně procesu. Níže jsem také zahrnul následující informace pro případ, že byste chtěli další podrobnosti o hostitelích bastion:
Koncept Bastion Hosts:http://en.m.wikipedia.org/wiki/Bastion_host
Pokud potřebujete vysvětlení, neváhejte se vyjádřit.