我正在尝试确定是否可以授予用户对我的 VPC 的 VPN 访问权限。我一直在寻找将 VPN 连接到我的 VPC 的解决方案,但我希望 VPC 成为 VPN 所驱动的主要网络,而不是要求外部 VPN 提供商接入 AWS。这样的事情可能吗,还是我离题太远了?
我的最终目标是允许开发人员通过 VPN 进入私有 RDS 实例。
答案1
是的,您可以在 VPC 中设置基于 PC 的 VPN。(Windows、Mac、Linux)
奇怪的是,这比在防火墙中添加 VPN 稍微复杂一些,但通过谷歌搜索就可以找到它。
您正在寻找的产品是“客户端 VPN 端点”,并将设置为连接到特定的 VPC。
这里有一个好的概述和说明:
https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/how-it-works.html
由于我们使用 g-suite SSO,因此我必须对我们的客户端 VPN 进行一些修改才能使其正常工作,而这需要通过 GUI 无法进行的一些修改。请参阅:https://stackoverflow.com/questions/63151685/aws-vpn-using-federated-login-with-google-idp-app-not-configured-for-user/63590967#63590967
一旦我们这样做了,它就运行良好。
其他一些评论提到将 RDS 实例公开 - 从安全角度来看,虽然模糊并不安全,但仅仅将所有内容公开并锁定密码也不安全。
仅通过 VPN 访问 RDS 是更好的方法;或者您可以转到“堡垒”服务器,这是一台您连接的机器(通常是 SSH CLI,但原则上可以是 GUI),然后 IT 连接到 RDS 实例。这是一个 PITA,因为您必须在其上安装所有开发人员工具 - 但理论上更安全。