会社のリモートアクセス VPN を使用して AWS EC2 および AWS RDS に接続するにはどうすればよいですか?

会社のリモートアクセス VPN を使用して AWS EC2 および AWS RDS に接続するにはどうすればよいですか?

私の会社の AWS セキュリティ インバウンド ルールは、会社のネットワーク内の IP が AWS リソースに SSH 接続できるように設定されています。ただし、自宅で作業し、AWS EC2 インスタンスに SSH 接続できるようにしたいと考えています (RDS インスタンスにもログインできます)。

1 つの方法は、もちろん、SSH で接続したいインスタンスの AWS セキュリティ グループの受信ルールに自宅の WiFi の IP を追加することです。しかし、私のマネージャーは何らかの理由でそれを好みません。(なぜなのか不思議です)。

したがって、もう 1 つの方法は、VPN を使用して会社のネットワークに接続することです。その後、AWS EC2 または AWS RDS に接続する方法がわかりません。助けてください。

答え1

ここには動く部分がいくつかありますので、お付き合いください。

ホーム -> 仕事用 VPN -> 仕事 -> AWS への VPN -> AWS

それぞれに次の値があるとします。

Home PC on VPN: 192.168.10.2
Work VPN Network: 192.168.10.0
Work Network : 172.16.0.0
VPN to AWS Network: 10.0.2.0
AWS VPC (All EC2 Instances are assigned): 10.0.3.0

管理者は、仕事用ネットワークのファイアウォールで からの SSH トラフィックを許可するルールを設定し、次にサブネットを AWS の VPC の受信ルールとして許可するWORK VPN NETWORK必要があります。設定は人によって異なりますが、これが目的を達成するための最も簡単な方法であり、これに似た設定です。この一連のアクションにより、VPN に接続するすべてのユーザーが VPC 上の任意の ec2 ホストにアクセスできるようになります。VPN to AWS NETWORKWORK VPN

答え2

私の理解が正しければ、職場のネットワークにVPNが設定されているはずです。VPNは職場のネットワークの外部IPアドレスを提供し、オフィスにいるかのようにAWSインスタンスやRDSにSSHで自動的にアクセスできるようになります。外部IPを確認するには、https://www.whatismyip.com/私のパブリックIPアドレス/または類似のサイト。

上司があなたの自宅の IP アドレスを AWS セキュリティ グループに追加したがらない理由については、上司に尋ねるのが一番です。自宅/消費者の IP が動的 (予告なしに変更される可能性がある) であることと、これによって発生するオーバーヘッドが関係していると思います。上司があなたの IP を追加すると、在宅勤務中の多くの人が同じことを望むようになります。状況が変わった場合 (たとえば、あなたが会社を辞めた場合)、これらすべてを管理し、変更/削除する必要があります。これとは別に、自宅のネットワークは会社の管理下にありません。誰がアクセスできるかわからないため、セキュリティ リスクが発生する可能性があります。

答え3

会社の VPN 設定に応じて次のようになります。

  • VPN でスプリット トンネリングが無効になっている場合は、何もする必要はありません。会社の VPN に接続すると、インスタンスに SSH 接続できるようになります。
  • スプリット トンネリングが有効になっている場合、管理者は会社の VPN を介して特定のインスタンスにトラフィックをルーティングする必要があります (そのパブリック IP アドレスまたはプライベート IP アドレス)。そのため、VPN に接続するたびに、ルーティング テーブル (ラップトップ上) には、VPN トンネルを介してトラフィックを送信するインスタンスへのルートが含まれます。

これら2つの方法では、インスタンスに割り当てられたセキュリティグループは、会社のネットワーク/IPから送信されたトラフィックとして受信します。

関連情報