Tạo EC2 Instance Connect Endpoint (Optional)

EC2 Instance Connect Endpoint

Trong bước 4.2 Kiểm tra kết nối, các bạn thấy rằng: để truy cập vào EC2 Private bạn cần phải:

  1. Dùng công cụ pscp để copy key pair từ máy của chúng ta vào EC2 Public
  2. Truy cập vào EC2 Public
  3. Cấp quyền cho key pair
  4. SSH tới máy chủ EC2 Private

-> Như bạn thấy, lúc này EC2 Public đóng vai trò như Bastion Host và chúng ta cần trả chi phí cho instance này. Vậy liệu có cách nào giúp tiết kiệm chi phí, giảm các bước cấu hình mà vẫn truy cập vào EC2 Private và đảm bảo tính bảo mật hay không?

Vào 13/06/2023, AWS ra mắt chức năng EC2 Instance Connect Endpoint (EIC Endpoint) đế giúp cho khách hàng truy cập vào EC2 instance mà không cần đến public IP addresses, thông qua giao thức SSHRDP.

EIC Endpoint thay thế Bastion Host, đồng nghĩa loại bỏ khối lượng công việc: patching, managing, auditting và chi phí Bastion Host instance trước đây. Không có chi phí bổ sung dối với EIC Endpoint, tuy nhiên chi phí data transfer sẽ được áp dụng

Kiến trúc mô tả EIC Endpoint

Create VPC

  1. Tạo Security Group cho EIC Endpoint

    • Tại khung search, nhập: security groups, trong mục features chọn Security groups Create VPC

    • Chọn Create security group Create VPC

  • Tại mục Security group name, nhập EIC Endpoint

  • Tại mục Description, nhập Allow SSH for MyIP

  • Tại mục VPC, chọn ASG VPC

  • Chọn Add rule Create VPC

  • Tại mục Type, chọn protocol SSH

  • Tại mục Source, chọn My IP với ý nghĩa: chỉ cho phép địa chỉ IP của bạn với giao thức SSH được đi qua Security group này

  • Các giá trị còn lại vẫn giữ nguyên.

  • Chọn Create security group Create VPC

  1. Tạo EC2 Instance Connect Endpoint

    • Tại khung search, nhập: endpoint services , trong mục features chọn endpoint services Create VPC

    • Chọn Create endpoint Create VPC

    • Tại mục Name tag, nhập: EC2 private endpoint

    • Tại mục Service category, chọn: EC2 Instance Connect Endpoint

    • Tại mục VPC, chọn ASG-VPC Create VPC

    • Tại mục Security groups, chọn: EIC Endpoint đã tạo ở bước 1

    • Tại mục Subnet, chọn: subnet-0da7e5096deb895e1 (Private subnet 2) là subnet của EC2 Private

    • Chọn Create endpoint Create VPC

    • Đợi Status chuyển thành Available và qua bước tiếp theo Create VPC

  2. Truy cập EC2 Private thông qua EC2 Instance Connect Endpoint

  • Tại giao diện EC2, tích vào ô vuông của EC2 Private

  • Tại mục Public IPv4 address, kiểm tra và nhận thấy: không có giá trị Public IP - có nghĩa chúng ta không thể truy cập vào EC2 này thông qua Public IP

  • Chọn Connect Create VPC

  • Tại mục Connection Type chọn Connect using EC2 Instance Connect Endpoint

  • Tại mục EC2 Instance Connect Endpoint chọn EIC vừa tạo ở bước 2

  • Chọn Connect Create VPC

  • Chúc mừng bạn đã truy cập thành công EC2 Private thông qua EC2 Instance Connect Endpoint chỉ duy nhất từ địa chỉ IP của bạn Create VPC

Lưu ý:

  • Thông thường, bạn sẽ làm lab bằng user có quyền Admin, trong trường hợp ngược lại, bạn cần tham khảo thêm tài liệu để cấp quyền cho User được phép thao tác các bước như trên. IAM permissions to use EC2 Instance Connect Endpoint