我需要一些建议来获得最佳实用性、安全性和可维护性
场景是:
- 我们有一个私有的VPC,里面有一些服务器
- 我们的用户只能访问服务器A和A
- 一些用户可以访问A和B
- 其他只有B等等
他们需要从家里和办公室访问这些服务器。
目前的想法是使用一个多用户OpenVPN服务器,该服务器具有IPTables,可以阻止用户访问无法访问的服务器
是否有其他使用AWS工具的选项(VPCs、安全组、ACL、负载均衡器或其他(?
或者其他比这个更好的解决方案?
绘制当前拱门:
- 一个边界服务器,负责从开放世界到私有专有网络的桥接(使用OpenVpn和IPTables(
- 专有专有网络内的5台服务器
- 10个具有不同访问级别的用户
感谢
使用AWS IAM管理用户访问和权限。
对于您的场景,您可以创建3个组:服务器A、服务器B、服务器AB。
然后将IAM策略附加到每个组。这些策略将仅限制对特定EC2的访问。
适用于您的示例政策(通过https://aws.amazon.com/premiumsupport/knowledge-center/restrict-ec2-iam/(
{ "Version":"2012-10-17", "Statement":[
{
"Effect":"Allow",
"Action":"ec2:Describe*",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Resource":[
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition":{
"StringEquals":{
"ec2:ResourceTag/Owner":"Bob"
}
}
} ] }
不要忘记用您的环境中的参数替换Owner、Bob和AWS Region。
对于连接,您可以使用AWS Systems Manager进行设置。https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-sessions-start.html