AWSはユーザーがインターネットからインスタンスやその他のAmazon Virtual Private Cloud(Amazon VPC)リソースに安全に接続できる新機能「Amazon EC2 Instance Connect(EIC)Endpoint」を発表した。
これまでユーザーは管理者がVPC内のインターネット・ゲートウェイ(IGW)経由で設定したパブリックIPアドレスを持つ要塞ホストに接続し、ポート転送を使ってアクセスする必要があった。しかしEIC Endpointを使えば、ユーザーはリソースに接続するために、VPC内のIGWやリソース上のパブリックIPアドレス、要塞ホスト、エージェントが不要になる。
EIC Endpointは、アイデンティティ・ベースとネットワーク・ベースのアクセス制御を統合し、組織のセキュリティ・ニーズを満たすことで、隔離、制御、包括的なログインを保証する。さらに、要塞ホストの保守や接続のためのパッチ適用に関連する運用作業が不要となり、管理者の負担が軽減される。AWS Management ConsoleとAWS Command Line Interface (AWS CLI)で利用可能で、PuTTYやOpenSSHのような各種ツールとの連携も柔軟に対応が可能だ。
EIC EndpointはIDを認識するTCPプロキシとして機能し、2つの動作モードを備えている。まずひとつめは、AWS Identity and Access Management (IAM) 資格情報を使用して、ワークステーションからエンドポイントへの安全なWebSocket トンネリングを可能にし、ユーザーがこれまで通りリソースへの接続を可能にするモード。ふたつめは、AWS CLIを使用しない場合、コンソールでVPCに入る前のトラフィックの認証と認可することで、VPCリソースへの安全なアクセスを提供するモードだ。
出典: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect-Endpoint.html
ソリューションアーキテクトのAriana Rahgozar氏と、AWSのシニアテクニカルアカウントマネージャのKenneth Kitts氏は、AWS Computeのブログ投稿で以下のように説明している。
EIC Endpointは高い柔軟性を備えています。第一に、IGWやNATゲートウェイを使ってVPCをインターネットに直接接続する必要がありません。第二に、接続するリソースにエージェントを必要としないため、サードパーティ製アプライアンスのようにエージェントをサポートしていないリソースのリモート管理が簡単にできます。第三に、既存のワークフローを維持したまま、ローカル・ワークステーション上で好みのクライアント・ソフトウェアを使用したリソースの接続と管理が可能です。そして、IAMとセキュリティ・グループを使ってアクセスの制御ができます。
他のパブリック・クラウド・プロバイダーもEIC Endpointsのような機能を提供している。例えばマイクロソフトは、パブリックIPアドレスやVPN接続なしに、Azure上の仮想マシン(VM)への安全でシームレスなRDPおよびSSH接続が可能なAzure Bastionを提供している。Google CloudはCloud Identity-Aware Proxy(Cloud IAP)によりGoogle Cloud Platform (GCP)上でホストされているVMやアプリケーションへの安全なアクセスを実現している。
ある人はRedditのスレッドでこのようなコメントをしている。
これはGCPの中でもっとも優れている点の一つであるプライベートIAPと競合しているように感じます。
さらに、Liberty社のデータセンター・ネットワーク・キャパシティ・プランナーであるAbdulsamad Kazeem氏は、LinkedInの投稿で次のようにコメントしている。
EIC Endpointは可用性が高く、運用保守はAWSが担当...。これは、"サービスとしての要塞ホスト(Bastion Host as a Service)" - BHaaSのようです!
EIC Endpointは、すべてのAWS商用リージョンとAWS GovCloud(米国)リージョンで利用できる。価格面では、顧客はEICエンドポイントを使用するための料金は発生せず、標準的なデータ転送のみ料金を支払う。
最後に、EIC Endpointの詳細については、ドキュメンテーションのページを確認してほしい。