As regras de entrada de segurança da AWS da minha empresa são definidas de forma que os IPs das redes da empresa possam usar SSH nos recursos da AWS. No entanto, quero trabalhar em casa e poder fazer SSH em instâncias AWS EC2 (e também fazer login em instâncias RDS).
Uma maneira é, claro, adicionar o IP do meu wifi doméstico às regras de entrada do grupo de segurança AWS da instância na qual desejo fazer o SSH. No entanto, meu gerente, por algum motivo, não gosta disso. (Eu me pergunto por que isso acontece).
Então, a outra forma é conectar-se à rede da minha empresa usando VPN. Depois disso, não entendo como me conectar ao AWS EC2 ou AWS RDS. Por favor ajude.
Responder1
Há algumas partes móveis aqui, então fique comigo.
Home -> VPN de trabalho -> Trabalho -> VPN para Aws -> AWS
Digamos que cada um tenha os seguintes valores:
Home PC on VPN: 192.168.10.2
Work VPN Network: 192.168.10.0
Work Network : 172.16.0.0
VPN to AWS Network: 10.0.2.0
AWS VPC (All EC2 Instances are assigned): 10.0.3.0
O administrador precisa definir uma regra que permita o tráfego SSH WORK VPN NETWORKno VPN to AWS NETWORKfirewall da rede de trabalho e, em seguida, permitir a WORK VPNsub-rede como uma regra de entrada na VPC no aws. A configuração de cada pessoa pode variar, mas esta é a maneira mais simples de fazer o que você deseja e é semelhante a esta. Este conjunto de ações permitirá que qualquer pessoa que se conecte à VPN acesse qualquer host ec2 na VPC.
Responder2
Se bem entendi, você tem uma VPN configurada para sua rede de trabalho. A VPN deve fornecer um endereço IP externo da sua rede de trabalho, que deve permitir automaticamente o SSH em instâncias AWS e RDS como se você estivesse no escritório. Você pode verificar seu IP externo navegando parahttps://www.whatismyip.com/what-is-my-public-ip-address/ou sites semelhantes.
Quanto ao motivo pelo qual seu gerente não gosta de adicionar seu endereço IP residencial ao grupo de segurança da AWS, é melhor perguntar a ele. Aposto que está relacionado ao IP doméstico/consumidor ser dinâmico (eles podem mudar sem aviso prévio) e à sobrecarga introduzida por isso. Se ele adicionar o seu IP, mais pessoas trabalhando em casa vão querer a mesma coisa. Tudo isso precisa ser gerenciado e modificado/removido quando a situação muda (por exemplo, você sai da empresa). Além disso, sua rede doméstica não está sob o controle da empresa. Isto pode introduzir riscos de segurança, pois eles não sabem quem tem acesso a ele.
Responder3
Dependendo da configuração VPN da sua empresa:
- Se o túnel dividido estiver desativado na sua VPN, você não precisará fazer nada. Depois de conectar-se à VPN da sua empresa, você poderá fazer ssh na sua instância.
- Se o túnel dividido estiver ativado, seu administrador precisará rotear o tráfego para a instância específica (é um endereço IP público ou privado) através da VPN da sua empresa, portanto, sempre que você se conectar à VPN, sua tabela de roteamento (no seu laptop) terá uma rota à sua instância que envia tráfego através do túnel VPN.
Dessas duas maneiras, o grupo de segurança atribuído à instância receberá seu tráfego como proveniente da rede/IPs da sua empresa