====== Як підключитися до EC2 інстанса у приватному сабнеті за допомогою SSM ======
Раніше використовували бастіон-хост, який виглядав у публічний інтернет. Але можна зробити за допомогою AWS SSM доступ прямо до інстанса в приватному сабнеті і нічого не світити у публічний інтернет.

Для цього потрібно відкрити тунель за допомгою SSM. Є два варіанти: використати SSM-агент прямо на самому цільовому інстансі (добре для Лінукс-хостів), або підключитися через проксі-хост (який теж у приватному сабнеті і має доступ до цільового хоста).

===== Напряму =====
Нам потрібно підключитися до Windows-instance (//i-333333bbbbbb//) по RDP. На цьому віндоусі встановлений, налаштований і працює SSM-агент.
  aws ssm start-session \
  --target i-333333bbbbbb \
  --document-name AWS-StartPortForwardingSession \
  --parameters '{\"portNumber\":[\"3389\"], \"localPortNumber\":[\"4000\"]}'
тепер можна запустити RDP-клієнт і підключатись на адресу //127.0.0.1:4000//

===== Через проксі =====
Те саме, але SSM-агент на віндоус-сервері (його айпі тут 10.251.23.139) не працює. Використаємо проміжний сервер //i-0000aaaa// (на якому встановлено робочий SSM-агент, краще Лінукс-хост)
  aws ssm start-session     
  --target i-0000aaaa
  --document-name AWS-StartPortForwardingSessionToRemoteHost
  ---parameters '{"host":["10.251.23.139"],"portNumber":["3389"], "localPortNumber":["4000"]}'
тепер можна запустити RDP-клієнт і підключатись на адресу //127.0.0.1:4000//
<WRAP center round important 60%>
Обов'язково потрібно відкрити доступ у security group із проміжного сервера на порт 3389 на цільовому інстансі
</WRAP>

===== Посилання =====
[[https://aws.amazon.com/blogs/aws/new-port-forwarding-using-aws-system-manager-sessions-manager/|Port Forwarding Using AWS System Manager Session Manager]]