01Der stille Preis eines Bastions
$43.80 pro Jahr. Nur für eine IP-Adresse, die niemand sieht.
Seit Februar 2024 kostet jede öffentliche IPv4-Adresse in AWS $3.65 pro Monat. Das macht $43.80 pro Jahr für eine Bastion-Instanz, die als Jump-Host in die private VPC dient. Oft für eine IP, die ausser deinem Team niemand je sieht.
Der Preis für die IP ist nur der sichtbare Teil. Dazu kommen:
- Patching-Zyklen (Amazon Linux, sshd, Kernel-Updates)
- SSH-Key-Rotation für jeden Entwickler im Team
- Security-Compliance-Overhead (FADP, ISO 27001, SOC 2)
- Monitoring und Logging einer Instanz, die 23 Stunden am Tag wartet
Eine EC2, die fast nichts tut, ist Infrastruktur-Ballast. Besser geht's.
02EC2 Instance Connect Endpoint
Die kostenlose Alternative, die AWS vor drei Jahren gelauncht hat.
AWS hat 2023 den EC2 Instance Connect Endpoint (EIC Endpoint) ausgeliefert. Ein managed Tunnel in die VPC, der direkt für Datenbankzugriff genutzt werden kann:
- Keine öffentliche IP nötig
- Keine SSH-Keys, Zugriff per IAM gesteuert
- Kein Patching, kein Kernel, kein sshd-Update
- CHF 0 pro Monat
Für kurze SQL-Sessions (psql, mysql, pgbench) ist das der direkte Ersatz für den Bastion. Kein Ballast, keine monatliche Rechnung.
03Das 1-Stunden-Problem
Du öffnest DataGrip am Morgen. Eine Stunde später bricht die Verbindung ab.
Ein paar Queries laufen. Meeting dazwischen. Du kommst zurück, wechselst in einen kniffligen Debugging-Task, tippst die Query, die du wirklich brauchst.
Und die Connection bricht ab.
EIC Endpoint hat einen harten TCP-Cap von einer Stunde. Nach 3600 Sekunden wird die Verbindung hart getrennt. Reconnect, Credentials neu, Schema navigieren, mentaler Kontext weg.
Weitere Limits, die in den Docs leicht zu übersehen sind:
- Maximal 20 parallele Verbindungen pro VPC
- Ziel ist nur per private IP erreichbar, kein DNS-Name
- Kein SCP, kein File-Transfer über den Endpoint
Für Ad-hoc-Queries: völlig in Ordnung. Für Feature-Arbeit mit längerem Debugging und mehreren Tools gleichzeitig: ein Workflow-Killer.
04Fargate ephemeral: Serverless für Dev-Workflows
Der Tunnel, den du on-demand startest und der sich selbst abschaltet.
Das Muster ist simpel:
- Ein Fargate-Task wird on-demand gestartet (CDK Construct oder CLI-Wrapper)
- Der Task enthält
sshdundssm-agent - Der Entwickler tunnelt per SSH über SSM Session Manager zur RDS
- Die Session läuft so lange wie gebraucht, ohne Stunden-Cap
- Bei Idle-Timeout terminiert der Task sich selbst
Keine öffentliche IP. Keine SSH-Keys auf der Task (IAM-Auth über SSM). Kein 1-Stunden-Cap. Kein idle-Compute, das um 3 Uhr morgens Geld kostet.
Die einzigen echten Kosten: 20-40 Sekunden Cold-Start beim ersten Connect, und die Pflege des Container-Images in ECR.
05Die Entscheidungsmatrix
Wähl nach Workflow, nicht nach Hype.
Bastion nehmen, wenn: bereits im Einsatz, SSH-Workflow passt zum Team, Jump-Host dient auch anderen Zwecken (Deploy-Gateway, Tooling-Host), lange Sessions und flexibles Tooling nötig.
EIC Endpoint nehmen, wenn: Solo-Dev oder kleines Team, kurze SQL-Sessions, kein Appetit auf EC2-Patching, minimale Attack Surface gewünscht, reine Datenbank-Zugriffe (psql, mysql).
Fargate ephemeral nehmen, wenn: 20+ Engineers, Multi-VPC, strikte Compliance (FADP, ISO 27001), Sessions länger als eine Stunde, null Idle-Resources akzeptiert werden können.
06Die pragmatische Antwort 2026
Start mit EIC Endpoint. Greif zu Fargate, wenn Sessions die Stunde überleben müssen.
Beide kosten praktisch nichts. Beide vermeiden Patching, Key-Rotation und die idle Instanz um 3 Uhr morgens.
Das ist Serverless angewandt auf Developer-Workflows, das gleiche Prinzip, das du schon in Produktion anwendest. Der Unterschied: jetzt auch für das Tooling, das du vielleicht noch nie als Infrastruktur gesehen hast.
AWS & Cloud Expertise
Senior AWS-Tiefe für dein Team.
Architektur-Reviews, Well-Architected-Assessments, Migrations- und Kostenoptimierung. Ohne Agentur-Overhead.
Gespräch buchen →01The quiet price of a bastion
$43.80 a year. Just for an IP address nobody sees.
Since February 2024, AWS charges $3.65 per month for every public IPv4 address in use. That's $43.80 a year per bastion host, an EC2 instance sitting there as a jump host into the private VPC. Usually for an IP nobody outside your team ever sees.
The IP cost is the visible part. On top of that:
- Patching cycles (Amazon Linux, sshd, kernel updates)
- SSH key rotation for every developer on the team
- Security compliance overhead (FADP, ISO 27001, SOC 2)
- Monitoring and logging for an instance that waits 23 hours a day
An EC2 doing almost nothing is infrastructure dead weight. You can do better.
02EC2 Instance Connect Endpoint
The free alternative AWS shipped three years ago.
In 2023 AWS shipped the EC2 Instance Connect Endpoint (EIC Endpoint). A managed tunnel into the VPC that can be used directly for database access:
- No public IP needed
- No SSH keys, access gated by IAM
- No patching, no kernel, no sshd update
- CHF 0 per month
For short SQL sessions (psql, mysql, pgbench) it's the direct replacement for the bastion. No dead weight, no monthly bill.
03The one-hour problem
You open DataGrip in the morning. An hour later, the connection drops.
A few queries run. A meeting in between. You come back, context-switch into a tricky debugging task, type the query you actually need.
And the connection drops.
EIC Endpoint enforces a hard TCP cap at one hour. Every session is disconnected after 3600 seconds. Reconnect, re-enter credentials, navigate the schema again, rebuild the mental context you just lost.
More limits that are easy to miss in the docs:
- Maximum 20 concurrent connections per VPC
- Target reachable only by private IP, not DNS
- No SCP, no file transfer through the endpoint
For ad-hoc queries: fine. For feature work with longer debugging and multiple tools at once: a workflow killer.
04Fargate ephemeral: serverless for dev workflows
The tunnel you launch on demand and that shuts itself down.
The pattern is simple:
- A Fargate task launches on demand (CDK construct or CLI wrapper)
- The task ships with
sshdandssm-agent - The developer tunnels via SSH over SSM Session Manager to the RDS
- The session stays open as long as needed, no hourly cap
- On idle timeout, the task terminates itself
No public IP. No SSH keys on the task (IAM auth via SSM). No one-hour cap. No idle compute burning money at 3 a.m.
The only real costs: 20-40 seconds cold start on first connect, and maintaining the container image in ECR.
05The decision matrix
Pick by workflow, not by hype.
Pick the bastion when: already in use, SSH workflow fits the team, the jump host serves other purposes (deploy gateway, tooling host), long sessions and flexible tooling are needed.
Pick EIC Endpoint when: solo dev or small team, short SQL sessions, no appetite for EC2 patching, minimal attack surface wanted, pure database access (psql, mysql).
Pick Fargate ephemeral when: 20+ engineers, multi-VPC, strict compliance (FADP, ISO 27001), sessions longer than an hour, zero idle resources accepted.
06The pragmatic 2026 answer
Start with EIC Endpoint. Reach for Fargate when sessions outlive the hour.
Both cost basically nothing. Both avoid the patching, the key rotation, and the idle instance sitting there at 3 a.m.
That's serverless applied to developer workflows, the same principle you already apply to production. The difference: now it also applies to the tooling you may never have thought of as infrastructure.
AWS & Cloud Expertise
Senior AWS depth for your team.
Architecture reviews, Well-Architected assessments, migration and cost optimization. Without the agency overhead.
Book a call →