AWS - 私有 VPC 多用户访问特定服务器

Question

我需要一些关于最佳实用性、安全性和可维护性的建议

场景是：

我们有一个带有一些服务器的私有 VPC，
我们有用户只能访问服务器 A 和 A
部分用户可以访问A、B
其他只有B等

他们需要从家中和办公室访问这些服务器。

目前的想法是让多用户 OpenVPN 服务器具有 IPTables 阻止访问用户无法访问的服务器

是否有使用 AWS 工具（VPC、安全组、ACL、负载均衡器或其他工具）的其他选项？

或者其他比这个更好的解决方案？

绘制当前拱门：

一台边界服务器，充当从开放世界到私有 VPC 的桥梁（使用 OpenVpn 和 IPTables）
私有 VPC 内的 5 台服务器
10 个具有不同访问级别的用户

谢谢

Answer 1

使用 AWS IAM 管理用户访问和权限。

对于您的场景，您可以创建 3 个组：服务器 A、服务器 B、服务器 AB。

然后将 IAM 策略附加到每个组。这些政策将限制对特定 EC2 的访问。

可能适合您的政策示例（通过 https://aws.amazon.com/premiumsupport/knowledge-center/restrict-ec2-iam/ ）

{    "Version":"2012-10-17",    "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:Describe*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:StartInstances",
            "ec2:StopInstances",
            "ec2:RebootInstances"
         ],
         "Resource":[
            "arn:aws:ec2:us-east-1:111122223333:instance/*"
         ],
         "Condition":{
            "StringEquals":{
               "ec2:ResourceTag/Owner":"Bob"
            }
         }
      }    ] }

不要忘记用您环境中的参数替换所有者、Bob 和 AWS 区域。

对于连接，您可以使用 AWS Systems Manager 进行设置。 https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-sessions-start.html

AWS - 私有 VPC 多用户访问特定服务器

AWS - Private VPC Multiuser access to specific servers

amazon-web-services

iptables

amazon-vpc

openvpn

aws-security-group