Connessione alle istanze usando un indirizzo IP privato e l’endpoint EC2 Instance Connect - Amazon Elastic Compute Cloud
Come funzionaConsiderazioni

Connessione alle istanze usando un indirizzo IP privato e l’endpoint EC2 Instance Connect

EC2 Instance Connect Endpoint ti consente di connetterti in modo sicuro a un’istanza da Internet, senza utilizzare un host bastione o richiedere che il tuo cloud privato virtuale (VPC) disponga di una connettività Internet diretta.

Vantaggi

  • Ora puoi connetterti alle istanze senza richiedere che tali istanze abbiano un indirizzo IPv4 o IPv6 pubblico. AWS applica costi per tutti gli indirizzi IPv4 pubblici, inclusi gli indirizzi IPv4 pubblici associati a istanze in esecuzione e a indirizzi IP elastici. Per ulteriori informazioni, consulta la scheda Public IPv4 Address sulla pagina dei prezzi di Amazon VPC.

  • Puoi connetterti alle tue istanze da Internet senza che il tuo VPC disponga di una connettività Internet diretta attraverso un gateway Internet.

  • Puoi controllare l’accesso alla creazione e all’uso degli endpoint EC2 Instance Connect per connetterti a istanze usando policy IAM e autorizzazioni.

  • Tutti i tentativi di connessione alle istanze, sia riusciti che non, vengono registrati su CloudTrail.

Prezzi

Non sono previsti costi aggiuntivi per l’utilizzo di endpoint EC2 Instance Connect. Se utilizzi un endpoint EC2 Instance Connect per connetterti a un’istanza in una zona di disponibilità diversa, è previsto un costo aggiuntivo per il trasferimento dei dati tra zone di disponibilità.

Indice

Come funziona

L’endpoint EC2 Instance Connect è un proxy TCP con riconoscimento dell’identità. Il servizio dell’endpoint EC2 Instance Connect stabilisce un tunnel privato dal computer all’endpoint utilizzando le credenziali per l’entità IAM. Il traffico viene autenticato e autorizzato prima di raggiungere il tuo VPC.

Puoi configurare regole aggiuntive per il gruppo di sicurezza per limitare il traffico in entrata sulle tue istanze. Ad esempio, puoi utilizzare le regole in entrata per consentire solo il traffico sulle porte di gestione dall’endpoint EC2 Instance Connect.

Puoi configurare le regole della tabella di routing per consentire all’endpoint di connettersi a qualsiasi istanza in qualsiasi sottorete del VPC.

Il seguente diagramma mostra come un utente può connettersi alle proprie istanze da Internet utilizzando un endpoint EC2 Instance Connect. Innanzitutto, crea un endpoint EC2 Instance Connect nella sottorete A. Creiamo un’interfaccia di rete per l’endpoint nella sottorete, che funge da punto di ingresso per il traffico destinato alle tue istanze nel VPC. Se la tabella di routing per la sottorete B consente il traffico dalla sottorete A, puoi utilizzare l’endpoint per raggiungere le istanze nella sottorete B.

Panoramica del flusso dell’endpoint EC2 Instance Connect.

Considerazioni

Prima di iniziare, prendi in considerazioni le seguenti informazioni.

  • L’endpoint EC2 Instance Connect è stato progettato specificamente per i casi d’uso del traffico di gestione e non per i trasferimenti di dati ad alto volume. I trasferimenti di grandi volumi di dati sono limitati.

  • Puoi creare un endpoint EC2 Instance Connect per supportare il traffico verso un’istanza che dispone di un indirizzo IPv4 o IPv6 privato. Il tipo di indirizzo IP dell’endpoint deve corrispondere all’indirizzo IP dell’istanza. Puoi creare un endpoint che supporta tutti i tipi di indirizzi IP.

  • (Istanze Linux) Se usi la tua coppia di chiavi, puoi usare qualsiasi AMI Linux. In caso contrario, sull’istanza deve essere installato EC2 Instance Connect. Per informazioni su quali AMI includono EC2 Instance Connect e su come installarlo su altre AMI supportate, consulta Installazione di EC2 Instance Connect.

  • Puoi assegnare un gruppo di sicurezza a un endpoint EC2 Instance Connect. In caso contrario, utilizziamo il gruppo di sicurezza predefinito per il VPC. Il gruppo di sicurezza per un endpoint EC2 Instance Connect deve consentire il traffico in uscita verso le istanze di destinazione. Per ulteriori informazioni, consulta Gruppi di sicurezza per l’endpoint EC2 Instance Connect.

  • Puoi configurare un endpoint EC2 Instance Connect per preservare gli indirizzi IP di origine dei client durante il routing delle richieste verso le istanze. In caso contrario, l’indirizzo IP dell’interfaccia di rete diventa l’indirizzo IP client per tutto il traffico in entrata.

    • Se si attiva la conservazione degli IP dei client, i gruppi di sicurezza per le istanze devono consentire il traffico proveniente dai client. Inoltre, le istanze devono essere nello stesso VPC dell’endpoint EC2 Instance Connect.

    • Se si disattiva la conservazione degli IP dei client, i gruppi di sicurezza per le istanze devono consentire il traffico proveniente dal PVC. Questa è l’impostazione predefinita.

    • La conservazione dell’IP del client è supportata soltanto sugli endpoint EC2 Instance Connect di IPv4. Per utilizzare la conservazione dell’IP del client, il tipo di indirizzo IP dell’endpoint EC2 Instance Connect deve essere IPv4. La conservazione dell’IP del client non è supportata quando il tipo di indirizzo IP è dual-stack o IPv6.

    • I seguenti tipi di istanza non supportano la conservazione dell’IP client: C1, CG1, CG2, G1, HI1, M1, M2, M3 e T1. Se attivi la conservazione dell’IP del client e tenti di connetterti a un’istanza con uno di questi tipi di istanza utilizzando l’endpoint EC2 Instance Connect, la connessione avrà esito negativo.

    • La conservazione dell’IP client non è supportata quando il traffico viene indirizzato attraverso un gateway di transito.

  • Quando crei un endpoint EC2 Instance Connect, viene creato automaticamente un ruolo collegato ai servizi per Amazon EC2 in AWS Identity and Access Management (IAM). Amazon EC2 utilizza il ruolo collegato ai servizi per fornire interfacce di rete nell’account, necessarie per creare endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta Ruolo collegato ai servizi per l’endpoint EC2 Instance Connect.

  • Puoi creare solo 1 endpoint EC2 Instance Connect per VPC e per sottorete. Per ulteriori informazioni, consulta Quote per endpoint EC2 Instance Connect. Se devi creare un altro endpoint EC2 Instance Connect in una zona di disponibilità diversa all’interno dello stesso VPC, devi prima eliminare l’endpoint EC2 Instance Connect esistente. In caso contrario, riceverai un errore di quota.

  • Ogni endpoint EC2 Instance Connect può supportare fino a 20 connessioni simultanee.

  • La durata massima per una connessione TCP stabilita e 1 ora (3.600 secondi). Puoi specificare la durata massima consentita in una policy IAM, che può essere fino a 3.600 secondi. Per ulteriori informazioni, consulta Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze.

    La durata di una connessione RDP non è determinata dalla durata delle credenziali IAM. Se le credenziali IAM scadono, la connessione continua a persistere fino al raggiungimento della durata massima specificata. Quando ti connetti a un’istanza utilizzando l’esperienza della console dell’endpoint EC2 Instance Connect, imposta la Durata massima del tunnel (secondi) su un valore inferiore alla durata delle tue credenziali IAM. Se le tue credenziali IAM scadono presto, termina la connessione all’istanza chiudendo la pagina del browser.