Vous pouvez configurer un hôte bastion pour vous connecter à n'importe quelle instance de votre VPC :
http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC
Vous pouvez choisir de lancer une nouvelle instance qui fonctionnera comme hôte bastion ou d'utiliser votre instance NAT existante comme bastion.
Si vous créez une nouvelle instance, en guise d'aperçu, vous :
1) créez un groupe de sécurité pour votre hôte bastion qui autorisera l'accès SSH depuis votre ordinateur portable (notez ce groupe de sécurité pour l'étape 4)
2) lancer une instance distincte (bastion) dans un sous-réseau public de votre VPC
3) donner à cet hôte bastion une adresse IP publique soit au lancement, soit en attribuant une adresse IP élastique
4) mettez à jour les groupes de sécurité de chacune de vos instances qui n'ont pas d'adresse IP publique pour autoriser l'accès SSH depuis l'hôte bastion. Cela peut être fait en utilisant l'ID de groupe de sécurité de l'hôte bastion (sg-#####).
5) utilisez le transfert d'agent SSH (ssh -A [email protected]) pour vous connecter d'abord au bastion, puis une fois dans le bastion, SSH dans n'importe quelle instance interne (ssh [email protected]). Le transfert d'agent s'occupe de transférer votre clé privée afin qu'elle n'ait pas à être stockée sur l'instance bastion (ne stockez jamais de clés privées sur une instance !! )
Le billet de blog AWS ci-dessus devrait être en mesure de fournir des informations détaillées sur le processus. J'ai également inclus ce qui suit au cas où vous voudriez des détails supplémentaires sur les hôtes bastion :
Concept d'hôtes bastion :http://en.m.wikipedia.org/wiki/Bastion_host
Si vous avez besoin d'éclaircissements, n'hésitez pas à commenter.