Puoi configurare un bastion host per connetterti a qualsiasi istanza all'interno del tuo VPC:
http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC
Puoi scegliere di avviare una nuova istanza che funzionerà come bastion host o utilizzare la tua istanza NAT esistente come bastion.
Se crei una nuova istanza, come panoramica:
1) crea un gruppo di sicurezza per il tuo bastion host che consentirà l'accesso SSH dal tuo laptop (nota questo gruppo di sicurezza per il passaggio 4)
2) avvia un'istanza separata (bastione) in una sottorete pubblica nel tuo VPC
3) assegnare a quel bastion host un IP pubblico all'avvio o assegnando un IP elastico
4) aggiorna i gruppi di sicurezza di ciascuna delle tue istanze che non dispongono di un IP pubblico per consentire l'accesso SSH dal bastion host. Questo può essere fatto utilizzando l'ID del gruppo di sicurezza del bastion host (sg-#####).
5) utilizzare l'inoltro dell'agente SSH (ssh -A [email protected]) per connettersi prima al bastion, e poi una volta nel bastion, SSH in qualsiasi istanza interna (ssh [email protected]). L'inoltro dell'agente si occupa di inoltrare la tua chiave privata in modo che non debba essere archiviata sull'istanza bastion (non archiviare mai chiavi private su nessuna istanza!! )
Il post sul blog AWS di cui sopra dovrebbe essere in grado di fornire alcune informazioni dettagliate sul processo. Ho anche incluso quanto segue nel caso volessi ulteriori dettagli sui bastion host:
Concetto di Bastion Host:http://en.m.wikipedia.org/wiki/Bastion_host
Se hai bisogno di chiarimenti, non esitare a commentare.