从本地到 AWS 资源的安全远程访问
发布: (2026年2月17日 GMT+8 13:34)
4 分钟阅读
原文: Dev.to
Source: Dev.to
现代 AWS 架构避免暴露网络,而是专注于 基于意图的访问:
- 应用访问
- 管理访问
- 受控网络访问
此参考架构演示了从本地到 AWS 的 三种安全访问模式,使用以下服务:
- AWS Client VPN
- EC2 Instance Connect Endpoint
- AWS Verified Access
每种模式都有 独特的目的,应当一起使用,而不是互相替代。
架构上下文
VPC 包含:
- 私有 EC2 实例
- 私有 RDS 数据库
- 内部应用负载均衡器
- 没有用于计算的公共子网
- 没有入站 SSH 或数据库端口
远程用户仅通过 显式访问服务 进入 AWS。
Flow 1: Application Access via AWS Verified Access
Use Case
在无需 VPN 或公开暴露的情况下,安全访问 私有 Web 应用。
Flow
Key Characteristics
- 基于身份的访问
- 无网络层信任
- 无 VPC 范围可见性
- 不需要公共 ALB
Flow 2: 通过 EC2 实例连接端点进行管理型 EC2 访问
使用场景
在没有跳板机或公网 IP 的情况下,安全地 SSH 访问 私有 EC2 实例。
流程
关键特性
- 基于 IAM 的身份验证
- 短期访问凭证
- 无入站 SSH 规则
- 完全可审计
流程 3:通过 AWS Client VPN 的网络层访问
用例
对 私有 AWS 资源(如数据库、内部 API 或遗留工具)的广泛访问。
流程
关键特性
- 加密隧道
- 基于路由的访问
- 子网级可达性
- 适用于遗留工作流
VPN 与 Verified Access(何时使用哪种)
对比表
| 方面 | AWS Client VPN | AWS Verified Access |
|---|---|---|
| 访问模型 | 网络级别 | 应用级别 |
| 信任边界 | VPC/子网 | 身份与策略 |
| 用户可见网络 | 是 | 否 |
| 需要 VPN 客户端 | 是 | 否 |
| 适用场景 | 数据库、传统应用、工具 | Web 应用、仪表盘 |
| 横向移动风险 | 较高 | 极低 |
| 零信任对齐度 | 部分 | 强 |
简单经验法则
- 如果用户需要网络 → 使用 VPN
- 如果用户需要应用 → 使用 Verified Access
为什么这些服务最适合一起使用
| 需求 | 服务 |
|---|---|
| 内部 Web 应用程序 | AWS Verified Access |
| EC2 管理 | EC2 Instance Connect Endpoint |
| 数据库 / 传统访问 | AWS Client VPN |
这种分层方法确保:
- 无过度授权访问
- 明确的关注点分离
- 降低影响范围
- 更容易的审计和合规
安全最佳实践要点
- 没有公共 EC2 或 RDS 实例
- 没有来自本地的入站 SSH
- 基于 IAM 的访问
- 明确的访问入口点
- 多可用区设计
最后思考
- 将访问方式与意图匹配
- 避免不必要的网络暴露
- 在入口点强制身份验证
通过组合:
- AWS Verified Access
- EC2 Instance Connect Endpoint
- AWS Client VPN
您将获得一个安全、可扩展且最小特权的远程访问模型,从本地到 AWS。