AWS DocumentDB的设定是只允许VPC内进行访问的，同时官方文档给了步骤，通过ssh tunnel的方式，可以从公网，或者从VPC外的网络，对DocumentDB进行访问。

我阅读了AWS官方文档并测试了这个步骤，如下是详细的步骤说明：

1. 我们需要DocumentDB在同一个VPC内的，具有公网IP的EC2，来实现ssh tunnel的方式。我们要先确保在EC2上能够连结到DocumentDB ( DocumentDB的安全组也需要开放EC2的Private IP)

2. 下面是在本地创建ssh tunnel的测试步骤 :

2.1：

ssh -i "C:\Users\xxxxxx\xxxxxx.pem" -L 27017:docdb.cluster-xxxxx.docdb.cn-northwest-1.amazonaws.com.cn:27017 ec2-user@<ec2 host name> -N

2.2

创建ssh tunnel以后，这个terminal的tab页面本身是没有反应的，就像是这个query hang住了一样，但是您可以在本地的这个terminal上，另起一个tab （我用的是mobaxterm工具）

2.3 我的本地无法安装MongoDB客户端，在这里我用telnet测试了一下27017端口，来验证上一步中的ssh tunnel是否测试成功：

 /home/mobaxterm  telnet localhost 27017
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

2.4 这时候，我们断开了2.1时候创建的ssh tunnel

2.5 再次测试telnet，发现没有办法连接:

 /home/mobaxterm  telnet localhost 27017
Trying 127.0.0.1...
telnet: Unable to connect to remote host: Connection refused

如上测试便证明，本地和DocumentDB通过ssh tunnel是可以连接的，您如果在本地可以安装mongo client, 那么也是可以用Mongo client连接到documentdb的。

3. 如果我们不用localhost来连接，而是通过本地的公网IP，让其他的机器通过这个tunnel来连接，那么测试步骤如下：

在下面的测试例子中，我们将DocumentDB所在VPC内的公网访问的EC2 跳板机标记为EC2 A，然后从EC2 B上去访问DocumentDB：EC2 B --> EC2 A --> DocumentDB

3.1 确保EC2 A能够连结DocumentDB，确保EC2 B可以ssh 到EC2 A上。

3.2  在EC2 B上，建立如下ssh tunnel:

[ec2-user@ip-EC2 B ~]$ ssh -i <EC2 B.pem> -L 0.0.0.0:27017:shirandoc.cluster-xxxxxxx.docdb.cn-north-1.amazonaws.com.cn:27017 ec2-user@<EC2 A public IP> -N

3.3. 确保 EC2 B的安全组，开放了允许自己的公网IP访问的Ingress Rule

3.4. 在EC2 B上测试如下：

[ec2-user@ip-xx ~]$ telnet 127.0.0.1 27017
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
^]
telnet> quit[ec2-user@ip-xx ~]$ telnet <EC2 B public IP> 27017
Trying 69.230.254.208...
Connected to 69.230.254.208.
Escape character is '^]'.
quit
}
^][ec2-user@ip-10-0-0-60 ~]$ telnet localhost 27017
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
^]

我们也在EC2 B上安装了mongo client, 测试用EC2 B的公网IP连结也是成功的：

[ec2-user@ip-xxx ~]$ mongo --host <EC2 B 公网IP>:27017 --username root --password xxxxxMongoDB shell version v4.0.28
connecting to: mongodb://<EC2 B public IP>:27017/?gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("4041eeb8-9bd4-4781-b20e-58f391f45e75") }
MongoDB server version: 4.0.0Warning: Non-Genuine MongoDB DetectedThis server or service appears to be an emulation of MongoDB rather than an official MongoDB product.Some documented MongoDB features may work differently, be entirely missing or incomplete, or have unexpected performance characteristics.To learn more please visit: https://dochub.mongodb.org/core/non-genuine-mongodb-server-warning.rs0:PRIMARY> ^C
bye

参考文档：
https://docs.amazonaws.cn/documentdb/latest/developerguide/connect-from-outside-a-vpc.html