限制未授权用户访问私有子网内实例的最佳实践
Best practice to restrict unauthorized users from accessing instances inside private subnet
限制未经授权的用户访问 AWS VPC 私有子网内的不同实例的最佳做法是什么?我为堡垒机创建的私钥是唯一允许我通过堡垒机访问私有子网内实例的密钥,这意味着任何拥有堡垒机私钥的人都可以访问私有子网内的所有实例使用堡垒主机的私钥。我为私有子网内的实例创建的私钥不允许我在不将密钥保存在堡垒主机中的情况下登录实例。请帮忙。
我想最安全的方法是配置与您的 VPC 的 VPN 连接。
私钥将掌握在您手中,VPN 连接只能从您的网络建立。最后,实例(安全组和 Nacls)将只允许来自您的 IP 地址的 ssh。
"The private keys I had created for the instances inside the private subnet is not allowing me to login into the instances without saving the keys in the bastion host."
这是你问题的根源。 不需要。通过连接到堡垒然后连接到内部机器,您实际上是在以困难的方式做事,而没有利用 ssh 可以为您做的所有事情。
没有堡垒主机上私有机器的 ssh 密钥,从外部,在一行上完成所有这些:
ssh -o 'ProxyCommand=ssh -i bastion-key.pem bastion-user@bastion-ip nc %h %p'
-i private-instance-key.pem
private-username@private-instance-ip
您在本地需要这两个密钥,这会将您直接登录到私有实例,使用与堡垒主机的 SSH 代理连接。
ProxyCommand 也可以在 ~/.ssh/config 中配置,让您可以简单地从本地计算机使用 ssh private-username@private-instance-ip。即使无法从您的本地计算机直接访问 private-instance-ip,这仍然有效。 SSH 完成所有工作。
限制未经授权的用户访问 AWS VPC 私有子网内的不同实例的最佳做法是什么?我为堡垒机创建的私钥是唯一允许我通过堡垒机访问私有子网内实例的密钥,这意味着任何拥有堡垒机私钥的人都可以访问私有子网内的所有实例使用堡垒主机的私钥。我为私有子网内的实例创建的私钥不允许我在不将密钥保存在堡垒主机中的情况下登录实例。请帮忙。
我想最安全的方法是配置与您的 VPC 的 VPN 连接。 私钥将掌握在您手中,VPN 连接只能从您的网络建立。最后,实例(安全组和 Nacls)将只允许来自您的 IP 地址的 ssh。
"The private keys I had created for the instances inside the private subnet is not allowing me to login into the instances without saving the keys in the bastion host."
这是你问题的根源。 不需要。通过连接到堡垒然后连接到内部机器,您实际上是在以困难的方式做事,而没有利用 ssh 可以为您做的所有事情。
没有堡垒主机上私有机器的 ssh 密钥,从外部,在一行上完成所有这些:
ssh -o 'ProxyCommand=ssh -i bastion-key.pem bastion-user@bastion-ip nc %h %p'
-i private-instance-key.pem
private-username@private-instance-ip
您在本地需要这两个密钥,这会将您直接登录到私有实例,使用与堡垒主机的 SSH 代理连接。
ProxyCommand 也可以在 ~/.ssh/config 中配置,让您可以简单地从本地计算机使用 ssh private-username@private-instance-ip。即使无法从您的本地计算机直接访问 private-instance-ip,这仍然有效。 SSH 完成所有工作。