AWS - Bastion проверяет разрешения IAM?
Можно ли настроить хост-бастион в AWS, который будет проверять IAM, чтобы проверить, может ли данный пользователь подключиться к определенному экземпляру EC2?
Это может быть немного размыто, но идея следующая.
Предположим, что у компании есть 2 клиента, и каждый из них работает с одним экземпляром EC2. Итак, у нас есть MachineA и MachineB для клиентов A и B. Затем у нас также есть 3 сотрудника:
- Джон - системный администратор, которому необходимо иметь возможность подключаться повсюду.
- Стив - разработчик, работающий над продуктом для клиента A. Ясно он должен иметь возможность подключаться только к MachineA
- Мэри - разработчик, работающий над продуктом для клиента B. Ясно, что она должна иметь возможность подключаться только к MachineB
Обе машины работают в частной подсети, и подключение к ним будет возможно через хост-бастион только в публичной подсети. Теперь, можно ли настроить этот бастион так, чтобы он проверял группу пользователя в IAM, чтобы убедиться, что этот пользователь может подключиться к данной машине?
Итак, когда Мэри подключается через SSH к бастиону, она использует свою личность. Там она пытается перейти на MachineB , поэтому Bastion проверяет учетные данные пользователя, подтверждает, что он находится в группе devsB , и позволяет ей подключиться, но он откажется подключиться, если она попытается подключиться к MachineA по любой причине ...
Я бы не стал полагаться на членство в группе IAM, поскольку это может быть немного сложно проверить в контексте SSH.
Вместо этого я бы дал всем пользователям SSH-доступ к хосту-бастиону под индивидуальными учетными записями пользователей и только соответствующим пользователям доступ к каждому из экземпляров клиентов.
Самый простой способ - добавить открытый SSH-ключ Стива к MachineA: / home / ec2-user / .ssh / authorized_keys . Аналогично открытый ключ Мэри для MachineB.
Затем вы можете использовать SSH ProxyJump вместе с агентом SSH для облегчения доступа .
Надеюсь, что это поможет :)