Можно ли настроить хост-бастион в AWS, который будет проверять IAM, чтобы проверить, может ли данный пользователь подключиться к определенному экземпляру EC2?
Это может быть немного размыто, но идея следующая.
Предположим, что у компании есть 2 клиента, и каждый из них работает с одним экземпляром EC2. Итак, у нас есть MachineA и MachineB для клиентов A и B. Затем у нас также есть 3 сотрудника:
Обе машины работают в частной подсети, и подключение к ним будет возможно через хост-бастион только в публичной подсети. Теперь, можно ли настроить этот бастион так, чтобы он проверял группу пользователя в IAM, чтобы убедиться, что этот пользователь может подключиться к данной машине?
Итак, когда Мэри подключается через SSH к бастиону, она использует свою личность. Там она пытается перейти на MachineB
, поэтому Bastion проверяет учетные данные пользователя, подтверждает, что он находится в группе devsB
, и позволяет ей подключиться, но он откажется подключиться, если она попытается подключиться к MachineA
по любой причине ...
Я бы не стал полагаться на членство в группе IAM, поскольку это может быть немного сложно проверить в контексте SSH.
Вместо этого я бы дал всем пользователям SSH-доступ к хосту-бастиону под индивидуальными учетными записями пользователей и только соответствующим пользователям доступ к каждому из экземпляров клиентов.
Самый простой способ - добавить открытый SSH-ключ Стива к MachineA: / home / ec2-user / .ssh / authorized_keys
. Аналогично открытый ключ Мэри для MachineB.
Затем вы можете использовать SSH ProxyJump вместе с агентом SSH для облегчения доступа .
Надеюсь, что это поможет :)