当前位置：首页 > article >正文

告别堡垒机：EC2 Instance Connect Endpoint 零公网IP连私有子网

article 2026/3/23 18:01:10

公司有一堆 EC2 跑在 Private Subnet 里没有公网 IP。每次运维要先连 VPN再跳到堡垒机再 SSH 到目标实例。三层跳转光认证就要两分钟。倡垒机还得维护——打补丁、轮换密钥、监控登录日志。说白了它本身就是个攻击面。后来发现亚马逊云科技出了 EC2 Instance Connect EndpointEICE可以直接从本地 SSH 到 Private Subnet 的实例不需要公网 IP、不需要堡垒机、不需要 VPN。用 IAM 做认证连密钥管理都省了。这篇记录下从零搭建的过程。 ## EICE 是什么一张图说清你的电脑 → AWS API → EICE EndpointVPC内部→ 私有子网 EC2 关键点 - EICE 是亚马逊云科技托管的资源创建在你的 VPC 里 - 流量走亚马逊云科技内部网络EC2 不需要公网 IP - 认证走 IAM不是 SSH 密钥虽然也可以用密钥 - 免费——没有额外费用传统方式 vs EICE | 对比项 | 堡垒机 | EICE | |--------|--------|------| | 公网 IP | 需要 | 不需要 | | 维护成本 | 需打补丁、监控 | 零维护 | | 认证方式 | SSH 密钥 | IAM 策略 | | 审计 | 自己搞日志 | CloudTrail 自动记录 | | 费用 | EC2 费用 | 免费 | | 攻击面 | 暴露公网 | 零暴露 | ## 第一步创建 EICE 用 CLI 创建指定 VPC 和子网 bash aws ec2 create-instance-connect-endpoint \ --subnet-id subnet-0123456789abcdef0 \ --security-group-ids sg-0123456789abcdef0 \ --region ap-northeast-1 或者用 Python python import boto3 ec2 boto3.client(ec2, region_nameap-northeast-1) response ec2.create_instance_connect_endpoint( SubnetIdsubnet-0123456789abcdef0, SecurityGroupIds[sg-0123456789abcdef0], PreserveClientIpFalse ) endpoint_id response[InstanceConnectEndpoint][InstanceConnectEndpointId] print(fEICE 创建中: {endpoint_id}) print(f状态: {response[InstanceConnectEndpoint][State]}) 创建大概需要 2-3 分钟。状态从 create-in-progress 变成 create-complete 就好了。查看状态 python response ec2.describe_instance_connect_endpoints( InstanceConnectEndpointIds[endpoint_id] ) state response[InstanceConnectEndpoints][0][State] print(f当前状态: {state}) 几个注意事项 - 每个 VPC 最多 5 个 EICE - EICE 要创建在**和目标实例同一个 VPC** 里但不一定同一个子网 - 安全组要允许 EICE 访问目标实例的 22 端口SSH ## 第二步配安全组 EICE 的安全组规则很简单——出站放通到目标实例 python ec2_resource boto3.resource(ec2, region_nameap-northeast-1) # EICE 的安全组出站放通 SSH eice_sg ec2_resource.SecurityGroup(sg-eice-xxx) eice_sg.authorize_egress( IpPermissions[{ IpProtocol: tcp, FromPort: 22, ToPort: 22, UserIdGroupPairs: [{GroupId: sg-target-xxx}] }] ) # 目标实例的安全组入站允许来自 EICE 安全组的 SSH target_sg ec2_resource.SecurityGroup(sg-target-xxx) target_sg.authorize_ingress( IpPermissions[{ IpProtocol: tcp, FromPort: 22, ToPort: 22, UserIdGroupPairs: [{GroupId: sg-eice-xxx}] }] ) 用安全组引用而不是 IP 范围——这样不뮡 EICE 的私有 IP 怎么变规则都生效。 ## 第三步配 IAM 权限这是 EICE 的精髓——用 IAM 控制谁能连哪台机器 json { Version: 2012-10-17, Statement: [ { Sid: AllowEICEConnect, Effect: Allow, Action: [ ec2-instance-connect:OpenTunnel ], Resource: arn:aws:ec2:ap-northeast-1:123456789012:instance-connect-endpoint/*, Condition: { NumericLessThanEquals: { ec2-instance-connect:maxTunnelDuration: 3600 } } }, { Sid: AllowSSHConnect, Effect: Allow, Action: [ ec2-instance-connect:SendSSHPublicKey ], Resource: arn:aws:ec2:ap-northeast-1:123456789012:instance/*, Condition: { StringEquals: { ec2:osuser: ec2-user } } }, { Sid: DescribeEndpoints, Effect: Allow, Action: [ ec2:DescribeInstanceConnectEndpoints, ec2:DescribeInstances ], Resource: * } ] } 亮点 - maxTunnelDuration限制单次连接时长最多 1 小时自动断开 - ec2:osuser限制只能用 ec2-user 登录不能 root - 可以用 ec2:ResourceTag 条件键限制只能连特定标签的实例比如只允许连 Environmentstaging 的实例 json { Condition: { StringEquals: { ec2:ResourceTag/Environment: staging } } } 这比堡垒机的权限控制精细太多了——堡垒机上你能 SSH 到任何实例EICE 可以按标签、按实例 ID 精确控制。 ## 第四步连接 ### 方法一控制台直连 EC2 控制台 → 选实例 → Connect → EC2 Instance Connect → Connect using Private IP → 选 EICE → 连接。浏览器里直接开终端最方便。 ### 方法二CLI SSH bash ssh -i my-key.pem ec2-useri-0123456789abcdef0 \ -o ProxyCommandaws ec2-instance-connect open-tunnel \ --instance-id i-0123456789abcdef0 这个命令做了什么 1. open-tunnel 通过亚马逊云科技 API 建立一条隧道到目标实例 2. SSH 流量走这条隧道不经过公网 3. IAM 认证在 open-tunnel 这一步完成 ### 方法三不用密钥 EC2 Instance Connect 可以推送临时公钥60 秒有效 bash aws ec2-instance-connect send-ssh-public-key \ --instance-id i-0123456789abcdef0 \ --instance-os-user ec2-user \ --ssh-public-key file://~/.ssh/id_rsa.pub 推完公钥后 60 秒内 SSH 连接过期自动失效。不用长期管理密钥对。 ### 方法四SSH Config 配置写到 ~/.ssh/config 里以后直连 Host staging-* User ec2-user IdentityFile ~/.ssh/my-key.pem ProxyCommand aws ec2-instance-connect open-tunnel --instance-id %n 然后 ssh staging-i-0123456789abcdef0 就行了。 ## 审计每次通过 EICE 连接都会在 CloudTrail 留记录 python import boto3 cloudtrail boto3.client(cloudtrail, region_nameap-northeast-1) response cloudtrail.lookup_events( LookupAttributes[ { AttributeKey: EventName, AttributeValue: OpenTunnel } ], MaxResults10 ) for event in response[Events]: print(f时间: {event[EventTime]}) print(f用户: {event[Username]}) print(fIP: {event[Resources][0][ResourceName] if event.get(Resources) else N/A}) print(---) 谁、什么时间、连了哪台机器全部自动记录。堡垒机上你得自己配 session recording还得担心日志被篡改。 ## 成本 **免费**。EICE 不收费数据传输按正常 VPC 内流量计。 ## 我的踩坑记录 1. **创建后等 3 分钟**状态变 create-complete 才能用急着连会报错。 2. **安全组方向搞反**EICE 安全组要配出站规则目标实例安全组配入站规则。很多人把 EICE 的入站配了没用。 3. **EC2 Instance Connect 要装**Amazon Linux 2/2023 自带Ubuntu 需要 sudo apt install ec2-instance-connect。不装的话推公钥不生效。 4. **子网不能是纯 IPv6**EICE 目前需要 IPv4 子网或双栈子网。 5. **每个 VPC 最多 5 个**一般够用但多环境共用 VPC 的话要规划好。 ## 什么时候用 EICE什么时候用 SSM Session Manager 两个都能解决不暴露公网 IP 连实例的问题 | 对比 | EICE | SSM Session Manager | |------|------|---------------------| | 协议 | SSH/RDP标准端口| 专有通道 | | 客户端 | 标准 SSH | 亚马逊云科技 CLI SSM 插件 | | 文件传输 | SCP/SFTP | 需要额外配置 | | 端口转发 | 原生支持 | 支持 | | Agent | 不需要 | 需要装 SSM Agent | | 记录 | CloudTrail | CloudTrail S3/CloudWatch | 简单说习惯 SSH 工作流的用 EICE想要更完整的运维管控用 SSM。以上代码基于亮马逊云科技 EC2 Instance Connect EndpointCLI 和 Python boto3 验证通过。 --- EICE 完全免费每个 VPC 最多 5 个支持 SSH 和 RDP。文档https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-using-eice.html

告别堡垒机：EC2 Instance Connect Endpoint 零公网IP连私有子网

相关文章：

告别堡垒机：EC2 Instance Connect Endpoint 零公网IP连私有子网

IJIS投稿避坑指南：从LaTeX排版到Response Letter的17条实战经验

Blender新手必看：如何用Rokoko插件快速将BVH动捕数据映射到FBX模型（附T-Pose避坑指南）

MCU OTA升级中Flash空间划分的三种核心策略

突破屏幕边界：3大革新让三星电视变身专业游戏平台

Metpy实战：从数据到洞察——湿位涡剖面分析与暴雨预报

Houdini VEX实战：5个新手必学的几何体操作技巧（附代码示例）

手把手教你用Python处理JSON和TXT销售数据（黑马程序员案例解析）

LeetCode 热题 100 之 160. 相交链表 206. 反转链表 234. 回文链表 141. 环形链表 142. 环形链表 II

FMCW雷达数据处理实战：从原始数据到距离FFT+CFAR检测的完整流程

3D Slicer自动分割肾脏实战：GrowCut算法从入门到避坑（附B站视频教程）

SGLang-v0.5.6环境安全手册：利用快照功能，构建稳定AI开发工作流

ENVI实战：从图像噪声识别到智能滤波方案选择

Fastjson vs Jackson：@JSONField和@JsonProperty的全面性能与应用场景解析

Fuel无人机自主探索实战解析：ROS接口与ESDF地图的协同更新机制

Qwen3-4B新手避坑指南：环境配置与模型加载全流程解析

Sanger测序 vs NGS vs 三代测序：如何选择最适合你的实验需求（含详细对比表）

智能招聘时代的效率革命与实践指南：AI HR简历筛选从核心功能、使用场景与落地价值深度解析

Excel数据透视表实战：5分钟搞定销售数据分析（附常见错误排查）

手把手教你用Docker搭建DNS区域传送漏洞靶场（附修复指南）

PHP工作流优化秘籍，开发效率瞬间飙升！

ERP系统升级，让企业运营更高效

Linux内核devfreq实战：手把手教你为GPU实现动态调频（附Mali案例）

PX4飞控自定义启动指南：如何通过SD卡脚本和SYS_AUTOSTART参数快速配置你的无人机机型

Python量化交易入门：从VNPY到聚宽，5款主流平台实战对比

BERT在智能客服中的实战指南：从模型选型到生产部署

Windows CMD高效操作指南（从入门到精通）

ESP32+MicroPython实战：5分钟搞定MQTT本地服务器搭建与设备控制

计算机毕业设计springboot剧本杀预约系统基于SpringBoot的沉浸式推理游戏场馆预约管理平台 JavaWeb驱动的剧本推理体验服务预约与社区交流系统

JEECGBoot实战：AutoPoi模板导出Excel的5个常见坑及解决方案