権限のないユーザーがAWS VPCのプライベートサブネット内の異なるインスタンスにアクセスするのを制限するベストプラクティスは何ですか?私がBastionホスト用に作成した秘密鍵は、Bastionホストを介してプライベートサブネット内のインスタンスにアクセスできる唯一の鍵です。つまり、Bastionホストの秘密鍵を持つ人はすべて、プライベートサブネット内のすべてのインスタンスにアクセスできますBastion Hostの秘密鍵を使用します。プライベートサブネット内のインスタンス用に作成した秘密鍵は、砦のホストに鍵を保存せずにインスタンスにログインできるようにしていません。助けてください。プライベートサブネット内のインスタンスに不正ユーザーがアクセスすることを制限するベストプラクティス
"プライベートサブネット内のインスタンス用に作成した秘密鍵では、砦のホストにキーを保存せずにインスタンスにログインできません。"
これは問題の根本です。これはではなく、が必要です。要塞に接続してから内部のマシンに接続することで、本質的には難しいことであり、sshがあなたのためにできること全てを利用しているわけではありません。要塞ホスト上のプライベートマシンのSSHキーなし
、外部から、1行でのすべての操作を行います。ssh -o 'ProxyCommand=ssh -i bastion-key.pem [email protected] nc %h %p'
-i private-instance-key.pem
[email protected]
あなたは、ローカル両方のキーを必要とし、これはあなたがプライベートインスタンスに直接記録します砦のホストへのSSHプロキシ接続を使用します。
ProxyCommandも~/.ssh/configに設定することができ、ローカルマシンからssh [email protected]を単に使用することができます。これは、private-instance-ipがローカルマシンから直接アクセスできない場合でも機能します。 SSHはすべての作業を行います。
ソリューションを使用していただきありがとうございます。私はあなたの助けに感謝します。 – AlwaysALearner
VPCとVPN接続を設定するのが最も安全な方法だと思います。 秘密鍵はあなたの手元にあり、VPN接続はネットワークからのみ確立されます。最後に、インスタンス(セキュリティグループとNacls)はあなたのIPアドレスからsshだけを許可します。
珍しい要求。 2つの要塞ホスト、1つはあなたのためのもの、もう1つは他人のためのものです。また、あなたの要塞が入っているSGのインバウンドポート22だけを許可するプライベートサブネットホストにセキュリティグループ(SG)を設定しますか? – jarmod