我正在使用AWS,需要一些支持。
我的团队配置了Direct Connect,现在我们可以享受从公司网络到AWS上VPC的私有连接。
管理层正在询问是否有可能通过直接连接而不是通过公共互联网执行aws cli命令。实际上,我们有很多脚本和很多命令,比如aws ec2 describe-instances等等。我猜这些调用了AWS公开的EC2服务的公共REST API。
他们在问这些电话是否有可能不通过公共互联网。
我见过VPC端点吗?它们是解决方案吗?
参见如何通过Direct Connect访问我的Amazon S3桶?
基本上:
当BGP up建立后,Direct Connect路由器会发布所有的全局公网IP地址前缀,包括Amazon S3的前缀。前往Amazon S3的流量通过Direct Connect公共虚拟接口路由。公共虚拟接口通过AWS与您的数据中心或企业网络之间的专用网络连接进行路由。
您可以根据AWS直连常见问题解答将此扩展到其他Amazon服务:
所有AWS服务,包括Amazon Elastic Compute Cloud (EC2)、Amazon Virtual Private Cloud (VPC)、Amazon Simple Storage Service (S3)、Amazon DynamoDB,都可以使用Direct Connect。
请参考下面@jarmod的答案,但请继续阅读,以了解为什么我认为这听起来像是XY问题。
根本没有理由让管理层担心。
第三方审核员评估AWS服务的安全性和合规性,作为多个AWS合规性计划的一部分。使用AWS CLI访问服务并不会改变服务的遵从性——AWS的遵从性程序几乎涵盖了全球的所有IT遵从性框架。
除了遵从性之外,AWS CLI不存储任何客户数据(不应该存在数据保护问题)&安全地传输数据(除非您手动重写此设置)。用户指南强调了这一点:
AWS CLI本身不存储除凭据以外的任何客户数据它需要代表用户与AWS服务交互。
默认所有传输的数据从运行AWS CLI和AWS服务端点的客户端计算机发送的加密的通过HTTPS/TLS连接发送所有内容
你不需要做任何事情来启用HTTPS/TLS。它总是被启用的,除非你通过使用——no-verify-ssl命令行选项显式地为单个命令禁用它。
如果这还不够,您还可以通过强制执行CLI使用的TLS 1.2的最低版本来增加与AWS服务通信时的安全性。
应该针对更大的攻击向量,如:
- 存储凭据的设备的物理可访问性
- 永久访问令牌与临时凭据
- 与凭据关联的IAM策略
AWS CLI是安全的