公司内网资产想上云：不开22端口也能直连EC2：EIC 私网方案

公司内网资产想上云，却不想冒着“开 22/3389 到公网”的风险？这套 EC2 Instance Connect Endpoint（EIC）+ 私网直连 能让你没有公网 IP、不暴露端口也能登录 EC2，替代跳板机/堡垒机，合规、可审计、体验还更丝滑。

它解决什么痛点？
不再为“公网+端口”暴露承担扫段扫端口的风险。
无需自建/托管跳板机、VPN，减少维护复杂度与成本。
按身份授权：谁能连、连哪台、几点能连、从哪段网段连，都能写进 IAM 条件里。
可审计：连接尝试会落 CloudTrail，安全同事更省心。

怎么做（5步最小可用）
实例装好 ec2-instance-connect（多数官方 AMI 已带）。
在 私有子网创建 EIC Endpoint（建议专用 SG；可选 preserve-client-ip）。
安全组最小化：实例入站仅允许“EIC Endpoint 的 SG”的 22/3389；Endpoint 的 SG 仅出站到实例的 22/3389。
IAM 允许 OpenTunnel / SendSSHPublicKey（按标签/时间/来源网段收紧）。

连接：
控制台：EC2 → Connect → Connect using Private IP；
CLI：open-tunnel 映射到本地端口 → ssh（Windows 用 RDP 走隧道）。

实测亮点
真·零公网暴露：没有 IGW、公网 IP 也能连。
临时公钥下发（默认约 60s），零密钥常驻，降低泄露面。
基建轻：只建一个 Endpoint，批量实例通用；和现有 VPC 路由/NACL/Security Group 完美配合。

适合谁
代运维/多团队协作，需要“按标签/项目分权”的团队。
有合规要求、审计要求的企业；或临时应急排障场景。
想“十分钟上线、零侵入”替代跳板机的团队。

小坑提醒
不适合大文件长时间传输（需要请走专用链路/其他方式）。
会话有超时；跨 TGW/跨域保留来源 IP 有限制，按需评估。
记得看 CloudTrail 事件与实例日志，定位权限/用户名/端口问题。
       
#AWS  #EC2  #VPC  #EIC   #信息安全  #零信任  #企业上云   #合规  #架构设计  #DevOps