AWSで要塞ホストのようなセキュリティとネットワーク構成をセットアップする方法を検討しています。
複数のEC2インスタンスがあるとしましょう。しかし、他のすべてのEC2インスタンスでSSHを有効にしたくありません。プライベートIP(のみ)からSSHを実行できる要塞ホストとして、特別に構成されたEC2インスタンスを使用したい。要塞ホストインスタンスまたはJumpboxインスタンスに移動したら、VPCの他のEC2インスタンスへのSSHを実行します。
Jumpboxまたは要塞ホストとして使用できるAMIインスタンスはありますか?そのため、1つの要塞ホストのみを使用して、VPC内の他のEC2インスタンスへのSSHを実行できます。
ジャンプボックスEC2 AMIはほとんど見ませんでしたが、Bitnamiタイプのディストリビューションのように使用されており、要塞ホストとして機能していないと思います。
AWSセキュリティグループでは、特定のIP、またはSSHインバウンドの特定の範囲のIPを許可できるため、このユースケースのBastionホストは無意味です。 Docs は、これを行う方法を教えます。
AWSでBastionホストが必要になるのは、プライベートサブネットにあるインスタンスにSSHで接続する必要がある場合のみです。インターネットからプライベートサブネットのインスタンスを取得するには、パブリックサブネットのインスタンスにSSH接続する必要があり、その要塞インスタンスからプライベートIPを使用してプライベートサブネットのインスタンスにSSH接続する必要があります。
設定はとても簡単です。派手なAMIやそのようなものは必要ありません。t2.microのような小さなものである必要があります。パブリックサブネットでAmazon Linuxなどのインスタンスを起動するだけです。セキュリティグループがポート22でIPを許可し、SSHを許可していることを確認します。次に、要塞ホストがセキュリティグループを使用して目的のインスタンスにアクセスできるようにする必要があります。
この設定が完了したら、要塞にSSHで接続し、そこから目的のインスタンスにSSHで接続できます。
これらのリンクはあなたを助けるかもしれません:
VPCのプライベートサブネットのLinuxインスタンスに安全に接続
Bastion Serverを使用したEC2インスタンスへのネットワークアクセスの制御
ただし、プライベートサブネットのインスタンスにアクセスする別の方法は、VPNをセットアップすることです。
ただし、インスタンスをロックダウンする最良の方法は、セキュリティグループを使用して、インスタンスに必要なIPのみを許可することです。
2016年9月21日 の時点で、AWSは クイックスタート 参照デプロイ(CloudFormationテンプレートと関連アセット)を公開し、プライベートでインスタンスに安全にアクセスするための要塞ホストをセットアップしますVPC: