Linux Bastion Serverを使用してAWSプライベートサブネットのWindowsインスタンスに接続できますか？

Michael K.が上記のコメントで述べたように、エージェント転送ではなく、ポート転送を探しています。

要塞ホストとWindowsEC2インスタンスが同じAWSVPC上にあり、相互に到達でき、ローカルデスクトップからSSH経由で要塞ホストにアクセスできると仮定します。

ローカルデスクトップでRDPを介してWindowsインスタンスにアクセスする場合は、次の方法で要塞に接続します。

PuTTY.exe -ssh -R 3399:<ip-of-ec2-windows-instance>:3389 <username>@<ip-of-bastion-Host>

パスワードを入力し、Linux要塞ホストでシェルを取得すると、リモートWindows EC2インスタンスのポート3389のRDPサーバーがデスクトップPCのポート3399で利用できるようになります。リモートデスクトップなどのRDPクライアントを使用して、127.0.0.1に接続できます。 3399ポートで、接続は暗号化されたSSHセッション内でトンネリングされます。

-R <local-port>:<remote-ip>:<remote-port>の部分は必要な回数繰り返すことができるため、複数のEC2インスタンスがある場合は、異なるローカルポートを各サーバーのRDPポートにマッピングする単一のSSHセッションを作成できます。

もちろん、要塞ホストとして、少なくとも次のことをお勧めします。

• パスワードの代わりに公開鍵/秘密鍵を使用する
• SSHポートを22とは異なるものに変更します
• ローカルデスクトップが既知のIPアドレスの下にある場合は、AWS VPC上にNACLを作成して、そのIPのみが要塞に到達できるようにします。
• その要塞ホストで不要なサービスをすべて無効にし、常にパッチを適用してください。

お役に立てば幸いです。

Linux要塞ホストはRDPクライアントでサポートしていますか？その場合は、それを使用してWindiowsEC2インスタンスに接続できます。

要塞ホストに接続していて、AWSで正しいルーティング、NACL、セキュリティグループが設定されている限り、WindowsEC2インスタンスに接続できるはずです。