使用AWS SSM参数存储和Lambda函数来限制端口。

AWS SSM参数存储是一个安全的存储解决方案，可用于存储和管理密码、API密钥和其他敏感数据。可以创建一个名为“my-allowed-ports”的参数，并将允许的端口号以逗号分隔的形式输入到该参数中。在Lambda函数中获取该参数后，可以在启动远程端口转发之前验证所请求的端口是否在允许的端口列表中。以下是一个示例Lambda函数的代码：

import boto3

def lambda_handler(event, context):
    ssm = boto3.client('ssm')
    response = ssm.get_parameter(Name='my-allowed-ports')
    allowed_ports = response['Parameter']['Value'].split(',')

    if event['port'] not in allowed_ports:
        return {
            'statusCode': 403,
            'body': 'Invalid port'
        }
    else:
        # start port forwarding
        ...

在该代码中，Lambda函数首先使用AWS SDK中的SSM客户端获取名为“my-allowed-ports”的参数。然后，获取该参数的值并将其拆分为一个列表。最后，检查所请求的端口是否在允许的端口列表中。如果请求的端口无效，则函数返回一个HTTP 403错误。否则，转发过程将继续。

可以将此Lambda函数的代码上传到AWS Lambda，并与AWS SSM配对使用。在使用AWS SSM进行远程端口转发时，将选择使用该Lambda函数以在转发之前验证请求的端口是否允许。这可以帮助确保在使用AWS SSM进行端口转发时可以实现更高的安全性。