我已经读到，使EC2实例可通过Internet访问的最佳安全做法是将它们放置在专用VPC子网中，在公共(public)VPC子网中创建堡垒主机，并使用安全组仅允许来自堡垒主机的连接，然后执行 key 转发以登录到私有(private)实例。

但是，AWS似乎提供了各种配置，这些配置似乎提供了与实际堡垒主机相似的功能。例如，在公共(public)子网上使用安全组似乎很好，并且如果有人可以访问您的堡垒，他们似乎离您的私钥就不远了。无论如何，在任何地方都可以找到有关此主题的更多信息？

您可以在此处找到使用Bastion Host的最佳做法:https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html



请注意，创建SSH隧道以通过堡垒主机连接到给定资源非常普遍:https://myopswork.com/transparent-ssh-tunnel-through-a-bastion-host-d1d864ddb9ae

希望能帮助到你!