Раніше використовували бастіон-хост, який виглядав у публічний інтернет. Але можна зробити за допомогою AWS SSM доступ прямо до інстанса в приватному сабнеті.

Для цього потрібно відкрити тунель за допомгою SSM. Є два варіанти: використати SSM-агент прямо на самому цільвому інстансі (добре для Лінукс-хостів), або підключитися через проксі-хост (який теж у приватному сабнеті і має доступ до цільового хоста).

Нам потрібно підключитися до Windows-instance по RDP. На цьому віндоусі встановлений, налаштований і працює SSM-агент.

aws ssm start-session \
--target i-333333bbbbbb \
--document-name AWS-StartPortForwardingSession \
--parameters '{\"portNumber\":[\"3389\"], \"localPortNumber\":[\"4000\"]}'

тепер можна запустити RDP-клієнт і підключатись на адресу 127.0.0.1:4000

Те саме, але SSM-агент на віндоус-сервері не працює. Використаємо проміжний сервер i-0000aaaa (на якому встановлено робочий SSM-агент, краще Лінукс-хост)

aws ssm start-session     
--target i-0000aaaa
--document-name AWS-StartPortForwardingSessionToRemoteHost
---parameters '{"host":["10.251.23.139"],"portNumber":["3389"], "localPortNumber":["4000"]}'

тепер можна запустити RDP-клієнт і підключатись на адресу 127.0.0.1:4000

Port Forwarding Using AWS System Manager Session Manager