Раніше використовували бастіон-хост, який виглядав у публічний інтернет. Але можна зробити за допомогою AWS SSM доступ прямо до інстанса в приватному сабнеті.

Для цього потрібно відкрити тунель за допомгою SSM. Є два варіанти: використати SSM-агент прямо на самому цільвому інстансі (добре для Лінукс-хостів), або підключитися через проксі-хост (який теж у приватному сабнеті і має доступ до цільового хоста).

Нам потрібно підключитися до Windows-instance по RDP

aws ssm start-session \
--target i-0030732e9047b2da7 \
--document-name AWS-StartPortForwardingSession \
--parameters '{\"portNumber\":[\"3389\"], \"localPortNumber\":[\"4000\"]}'

тепер можна запустити RDP-клієнт і підключатись на адресу 127.0.0.1:4000

Те саме, але SSM-агент на віндоус-сервері не працює. Використаємо проміжний сервер i-0000aaaa

aws ssm start-session     
--target i-0000aaaa
--document-name AWS-StartPortForwardingSessionToRemoteHost
---parameters '{"host":["10.254.36.137"],"portNumber":["3389"], "localPortNumber":["4000"]}'

тепер можна запустити RDP-клієнт і підключатись на адресу 127.0.0.1:4000