Puede configurar un host bastión para conectarse a cualquier instancia dentro de su VPC:
http://blogs.aws.amazon.com/security/post/Tx3N8GFK85UN1G6/Securely-connect-to-Linux-instances-running-in-a-private-Amazon-VPC
Puede optar por lanzar una nueva instancia que funcionará como host bastión o usar su instancia NAT existente como bastión.
Si crea una nueva instancia, como resumen, podrá:
1) cree un grupo de seguridad para su host bastión que permitirá el acceso SSH desde su computadora portátil (tenga en cuenta este grupo de seguridad para el paso 4)
2) inicie una instancia separada (bastión) en una subred pública en su VPC
3) asigne a ese host bastión una IP pública ya sea en el lanzamiento o mediante la asignación de una IP elástica
4) actualice los grupos de seguridad de cada una de sus instancias que no tienen una IP pública para permitir el acceso SSH desde el host bastión. Esto se puede hacer usando el ID de grupo de seguridad del host bastión (sg-#####).
5) use el reenvío de agente SSH (ssh -A [email protected]) para conectarse primero al bastión y luego, una vez en el bastión, SSH a cualquier instancia interna (ssh [email protected]). El reenvío de agentes se encarga de reenviar su clave privada para que no tenga que almacenarse en la instancia de bastión (¡¡nunca almacene claves privadas en ninguna instancia!! )
La publicación del blog de AWS anterior debería poder proporcionar algunos detalles sobre el proceso. También he incluido lo siguiente en caso de que desee detalles adicionales sobre hosts bastión:
Concepto de Hosts Bastion:http://en.m.wikipedia.org/wiki/Bastion_host
Si necesita una aclaración, no dude en comentar.