AWS 最近发布了Amazon EC2 Instance Connect (EIC) 端点,这是一项新功能,允许用户从 Internet安全地连接到其实例和其他Amazon Virtual Private Cloud (Amazon VPC) 资源。
此前,用户必须使用管理员通过 VPC 中的互联网网关(IGW)设置的公共 IP 地址连接到堡垒主机,然后使用端口转发到达目的地。借助 EIC Endpoint,用户不再需要 VPC 中的 IGW、资源上的公共 IP 地址、堡垒主机或任何代理来连接到其资源。
EIC 端点融合了基于身份和基于网络的访问控制,以满足组织的安全需求,确保隔离、控制和全面的日志记录。此外,它还消除了与维护和修补堡垒主机连接相关的操作任务,从而减轻了组织管理员的负担。它与AWS 管理控制台和AWS 命令行界面(AWS CLI) 配合使用,并提供继续使用PuTTY和OpenSSH等工具的灵活性。
EIC 端点充当身份识别 TCP 代理,提供两种操作模式。第一种模式使用AWS Identity and Access Management (IAM) 凭证实现从工作站到终端节点的安全 WebSocket 隧道,从而允许用户照常连接到资源。在第二种模式下,当不使用 AWS CLI 时,控制台通过在流量进入 VPC 之前评估身份验证和授权来提供对 VPC 资源的安全访问。
AWS 解决方案架构师 Ariana Rahgozar 和高级技术客户经理 Kenneth Kitts 在 AWS 计算博客文章中解释道:
EIC 端点提供高度的灵活性。首先,它们不要求您的 VPC 使用 IGW 或 NAT 网关具有直接互联网连接。其次,您希望连接的资源不需要代理,从而可以轻松远程管理可能不支持代理的资源,例如第三方设备。第三,它们保留了现有的工作流程,使您能够继续在本地工作站上使用您首选的客户端软件来连接和管理您的资源。最后,IAM 和安全组可用于控制访问。
其他公共云提供商提供 EIC 端点等功能。例如,微软提供了Azure Bastion,它可以为 Azure 中的虚拟机 (VM) 提供安全、无缝的 RDP 和 SSH 连接,无需公共 IP 地址或 VPN 连接。此外,另一个例子是谷歌云,它提供云身份感知代理(Cloud IAP),它可以安全地访问托管在谷歌云平台(GCP)上的虚拟机和应用程序,而无需将它们暴露在公共互联网上。
Reddit帖子中的一位受访者评论道:
这感觉就像是在与 GCP 中最好的东西之一竞争,即他们的私人 IAP 产品。
此外,Liberty 数据中心网络容量规划师Abdulsamad Kazeem在 LinkedIn帖子中评论道:
EIC是高可用的,运营维护是AWS的责任……这更像是“堡垒主机即服务”——BHaaS!
EIC Endpoint 可在所有 AWS 商业区域和 AWS GovCloud(美国)区域使用。在定价方面,客户无需支付使用 EIC 端点的费用,只需支付标准数据传输费用。