Мы используем Open VPN, чтобы предоставить нашей удаленной команде безопасный доступ к нашим экземплярам EC2, размещенным на AWS.
Обычно мы создаем одну открытую учетную запись VPN для каждой команды и передаем эту учетную запись команде. По умолчанию каждая учетная запись имеет доступ ко всей сети, т.е. они могут получить доступ ко всем экземплярам ec2. Есть ли способ ограничить конкретную открытую учетную запись vpn определенными экземплярами EC2 и портами?
Вы можете создать виртуальную локальную сеть (VLAN) для пользователей VPN. Затем вы должны настроить VPN-маршрутизатор на запрет доступа к определенным портам / IP-адресам / домену. Вы также можете настроить экземпляр EC2 для разрешения доступа на основе IP-адреса пользователя:
"IpAddress": {"aws: SourceIp": "xxx.xxx.xxx.xxx/24"}
Обнаружил, что здесь: http://blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/Resource-level-Permissions-for-EC2-Controlling-Management-Access-on-Specific-In
Надеюсь это поможет.