VPC 内の任意のインスタンスに接続するように要塞ホストを設定できます。
http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC
踏み台ホストとして機能する新しいインスタンスを起動するか、既存の NAT インスタンスを踏み台として使用するかを選択できます。
新しいインスタンスを作成すると、概要として次のことが行われます:
1) ラップトップからの SSH アクセスを許可する踏み台ホストのセキュリティ グループを作成します (手順 4 でこのセキュリティ グループに注意してください)。
2) VPC のパブリックサブネットで別のインスタンス (bastion) を起動します
3) その踏み台ホストに、起動時または Elastic IP の割り当てによってパブリック IP を付与します
4) パブリック IP を持たない各インスタンスのセキュリティ グループを更新して、踏み台ホストからの SSH アクセスを許可します。これは、要塞ホストのセキュリティ グループ ID (sg-#####) を使用して実行できます。
5) SSH エージェント転送 (ssh -A [email protected]) を使用して、最初に要塞に接続し、次に要塞で、内部インスタンス (ssh [email protected]) に SSH で接続します。エージェント転送が秘密鍵の転送を処理するため、踏み台インスタンスに保存する必要はありません (どのインスタンスにも秘密鍵を保存しないでください!! )
上記の AWS ブログ投稿は、プロセスに関するいくつかの核心を提供できるはずです。踏み台ホストに関する追加情報が必要な場合に備えて、以下も含めました:
要塞ホストの概念:http://en.m.wikipedia.org/wiki/Bastion_host
説明が必要な場合は、お気軽にコメントしてください。