BPAGrundlagen Beurteilen Sie die Auswirkungen von BPA und überwachen Sie BPA Beispiel für Fortgeschrittene

öffentlichen Zugriff auf VPCs Subnetze sperren

VPCDen öffentlichen Zugriff blockieren (BPA) ist eine zentrale Sicherheitsfunktion, mit der Sie den öffentlichen Internetzugriff auf VPC Ressourcen für ein gesamtes AWS Konto autoritär verhindern können. Dadurch wird die Einhaltung der Sicherheitsanforderungen gewährleistet und gleichzeitig Flexibilität für bestimmte Ausnahmen und Prüfungsmöglichkeiten geboten.

Die VPC BPA Funktion hat die folgenden Modi:

Bidirektional: Der gesamte Verkehr zu und von Internet-Gateways und Internet-Gateways für ausgehenden Datenverkehr in dieser Region (mit Ausnahme von ausgeschlossenen VPCs Netzwerken und Subnetzen) wird blockiert.
Nur eingehender Datenverkehr: Der gesamte Internetverkehr zu den VPCs in dieser Region (mit Ausnahme von Subnetzen, die ausgeschlossen sind) wird blockiert. VPCs Nur Datenverkehr zu und von NAT Gateways und Internet-Gateways für ausgehenden Datenverkehr ist zulässig, da mit diesen Gateways nur ausgehende Verbindungen hergestellt werden können.

Sie können für diese Funktion auch „Ausnahmen“ für den Datenverkehr erstellen, den Sie nicht blockieren möchten. Ein Ausschluss ist ein Modus, der auf ein einzelnes VPC oder ein Subnetz angewendet werden kann. Dadurch wird dieser vom BPA Kontomodus ausgenommen und ermöglicht bidirektionalen Zugriff oder nur ausgehenden Zugriff.

Ausschlüsse können einen der folgenden Modi haben:

Bidirektional: Der gesamte Internetverkehr zu und von den ausgeschlossenen Netzen VPCs und Subnetzen ist zulässig.
Nur ausgehender Internetverkehr: Ausgehender Internetverkehr aus den ausgeschlossenen Subnetzen und Subnetzen ist zulässig. VPCs Eingehender Internetverkehr zu den ausgeschlossenen und den ausgeschlossenen Subnetzen wird blockiert. VPCs Dies gilt nur, wenn BPA es auf Bidirektional eingestellt ist.

Inhalt

BPAGrundlagen
Beurteilen Sie die Auswirkungen von BPA und überwachen Sie BPA
Beispiel für Fortgeschrittene

BPAGrundlagen

In diesem Abschnitt finden Sie wichtige Informationen dazu VPCBPA, unter anderem, welche Dienste dies unterstützen und wie Sie damit arbeiten können.

Inhalt

Regionale Verfügbarkeit
AWS Auswirkungen auf den Service und Support
BPAEinschränkungen
Steuern VPA BPA Sie IAM den Zugriff auf mit einer Richtlinie
Aktivieren Sie den BPA bidirektionalen Modus für Ihr Konto
Ändern Sie VPC BPA den Modus auf „Nur Eingang“
Ausschlüsse erstellen und löschen

Regionale Verfügbarkeit

VPCBPAist in allen AWS Handelsregionen einschließlich GovCloud der Regionen China verfügbar.

In diesem Handbuch finden Sie auch Informationen zur Verwendung von Network Access Analyzer und Reachability Analyzer mit. VPC BPA Beachten Sie, dass Network Access Analyzer und Reachability Analyzer nicht in allen kommerziellen Regionen verfügbar sind. Informationen zur regionalen Verfügbarkeit von Network Access Analyzer und Reachability Analyzer finden Sie unter Einschränkungen im Network Access Analyzer Guide und Überlegungen im Reachability Analyzer Guide.

AWS Auswirkungen auf den Service und Support

Die folgenden Ressourcen und Dienste, die Unterstützung VPC BPA und der Traffic zu diesen Diensten und Ressourcen werden beeinflusst von VPCBPA:

Internet-Gateway: Der gesamte eingehende und ausgehende Verkehr ist blockiert.
Internet-Gateway nur für ausgehenden Datenverkehr: Der gesamte ausgehende Verkehr ist blockiert. Internet-Gateways nur für ausgehenden Datenverkehr lassen eingehenden Datenverkehr zu.
NATGateway: Der gesamte eingehende und ausgehende Verkehr ist blockiert. NATGateways benötigen ein Internet-Gateway für die Internetkonnektivität.
Network Load Balancer mit Internetzugriff: Der gesamte ein- und ausgehende Datenverkehr wird blockiert. Mit dem Internet verbundene Network Load Balancer benötigen ein Internet-Gateway für die Internetverbindung.
Application Load Balancer mit Internetzugriff: Der gesamte ein- und ausgehende Datenverkehr wird blockiert. Mit dem Internet verbundene Application Load Balancer benötigen ein Internet-Gateway für die Internetverbindung.
AWS Global Accelerator: Eingehender Datenverkehr zu ist blockiert. VPCs

Datenverkehr im Zusammenhang mit privater Konnektivität, wie z. B. der Verkehr für die folgenden Dienste und Ressourcen, wird nicht blockiert oder beeinträchtigt durch: VPC BPA

AWS Client VPN
Amazon CloudFront VPCUrsprünge
AWS Wolke WAN
AWS Outposts lokales Gateway
AWS Site-to-Site VPN
Transit Gateway
AWS Verified Access
AWS Wavelength Gateway des Netzbetreibers

Wichtig

Datenverkehr, der privat von Ressourcen in Ihnen VPC an andere Dienste gesendet wird, die in Ihrem ausgeführt werdenVPC, z. B. den EC2 DNS Resolver, ist auch dann zulässig, wenn er aktiviert BPA ist, da er kein Internet-Gateway in Ihrem VPC Gerät passiert. Es ist möglich, dass diese Dienste in Ihrem Namen Anfragen an externe Ressourcen stellen, um beispielsweise eine DNS Anfrage zu lösen, und Informationen über die Aktivität von Ressourcen innerhalb Ihres Unternehmens preisgeben, VPC sofern diese nicht durch andere Sicherheitskontrollen eingedämmt werden. VPC

BPAEinschränkungen

VPCBPADer reine Eingangsmodus wird in Local Zones (LZs) nicht unterstützt, in denen NAT Gateways und Internet-Gateways nur für ausgehenden Datenverkehr nicht zulässig sind.

Steuern VPA BPA Sie IAM den Zugriff auf mit einer Richtlinie

Beispiele für IAM Richtlinien, die den Zugriff auf diese VPC BPA Funktion erlauben/verweigern, finden Sie unter. öffentlichen Zugriff auf VPCs Subnetze sperren

Aktivieren Sie den BPA bidirektionalen Modus für Ihr Konto

VPCBPADer bidirektionale Modus blockiert den gesamten Verkehr zu und von Internet-Gateways und Internet-Gateways für ausgehenden Datenverkehr in dieser Region (mit Ausnahme von ausgeschlossenen Netzwerken und Subnetzen). VPCs Weitere Informationen über Ausnahmen finden Sie unterAusschlüsse erstellen und löschen.

Wichtig

Wir empfehlen Ihnen dringend, die Workloads, für die ein Internetzugang erforderlich ist, gründlich zu überprüfen, bevor Sie sie VPC BPA in Ihren Produktionskonten aktivieren.

Anmerkung

Um in den Subnetzen VPCs und in Ihrem Konto zu aktivieren VPCBPA, müssen Sie Eigentümer der Subnetze VPCs und sein.
Wenn Sie derzeit VPC Subnetze mit anderen Konten gemeinsam nutzen, gilt der vom Subnetzbesitzer erzwungene VPC BPA Modus auch für den Teilnehmerverkehr, aber die Teilnehmer können die VPC BPA Einstellungen, die sich auf das gemeinsam genutzte Subnetz auswirken, nicht kontrollieren.

Ändern Sie VPC BPA den Modus auf „Nur Eingang“

VPCBPADer Modus „Nur eingehende Daten“ blockiert den gesamten Internetverkehr VPCs in dieser Region (mit Ausnahme von Subnetzen, die VPCs ausgeschlossen sind). Nur Datenverkehr zu und von NAT Gateways und Internet-Gateways für ausgehenden Datenverkehr ist zulässig, da mit diesen Gateways nur ausgehende Verbindungen hergestellt werden können.

Ausschlüsse erstellen und löschen

Ein VPC BPA Ausschluss ist ein Modus, der auf ein einzelnes VPC oder ein Subnetz angewendet werden kann. Dadurch wird dieses vom BPA Kontomodus ausgenommen und ermöglicht bidirektionalen Zugriff oder nur ausgehenden Zugriff. Sie können BPA Ausnahmen für VPCs und Subnetze erstellen, auch wenn diese Option für das Konto nicht aktiviert BPA ist, um sicherzustellen, dass der Datenverkehr nicht unterbrochen wird, wenn die Ausschlüsse aktiviert sind. VPC BPA

Sie können maximal 50 Ausnahmen erstellen. Informationen zur Beantragung einer Limiterhöhung finden Sie unter VPCBPAAusnahmen pro Konto unter. VPCAmazon-Kontingente

AWS Management Console

Wählen Sie auf der Registerkarte Öffentlichen Zugriff blockieren unter Ausnahmen die Option Ausnahmen erstellen aus.
Wählen Sie ein Subnetz VPC oder eine Blockrichtung aus:
- Bidirektional: Erlaubt den gesamten Internetverkehr zu und von den ausgeschlossenen Netzen VPCs und Subnetzen.
- Nur ausgehender Internetverkehr: Erlaubt ausgehenden Internetverkehr aus den ausgeschlossenen Netzen und Subnetzen. VPCs Blockiert eingehenden Internetverkehr in die ausgeschlossenen Netze und Subnetze. VPCs Diese Einstellung gilt, wenn sie auf BPA Bidirektional gesetzt ist.
Wählen Sie Ausschlüsse erstellen aus.
Warten Sie, bis sich der Ausschlussstatus auf Aktiv ändert. Möglicherweise müssen Sie die Ausschlusstabelle aktualisieren, um den Unterschied zu sehen.

Der Ausschluss wurde erstellt.

AWS CLI

Ändern Sie die Richtung, in der der Ausschluss zugelassen werden soll:


aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional

Es kann einige Zeit dauern, bis der Ausschlussstatus aktualisiert wird. So zeigen Sie den Status des Ausschlusses an:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```

Beurteilen Sie die Auswirkungen von BPA und überwachen Sie BPA

In diesem Abschnitt finden Sie Informationen dazu, wie Sie die Auswirkungen VPC BPA vor dem Einschalten beurteilen können und wie Sie überwachen können, ob der Datenverkehr nach dem Einschalten blockiert wird.

Inhalt

Beurteilen Sie die Auswirkungen von BPA mit Network Access Analyzer
Überwachen Sie BPA die Auswirkungen mit Flussprotokollen
Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail
Überprüfen Sie mit Reachability Analyzer, ob die Konnektivität blockiert ist

Beurteilen Sie die Auswirkungen von BPA mit Network Access Analyzer

In diesem Abschnitt sehen Sie sich die Ressourcen in Ihrem Konto Network Access Analyzer an, die ein Internet-Gateway verwenden, bevor Sie den Zugriff aktivieren VPC BPA und blockieren. Anhand dieser Analyse können Sie sich ein Bild davon machen, welche Auswirkungen das Aktivieren VPC BPA auf Ihr Konto und das Blockieren von Datenverkehr hat.

Anmerkung

Network Access Analyzer unterstützt dies nicht. Sie können ihn also nicht verwendenIPv6, um die möglichen Auswirkungen von ausgehendem Internet-Gateway-Datenverkehr BPA auf ausgehenden Internet-Gateways zu untersuchen. IPv6
Die Analysen, die Sie mit Network Access Analyzer durchführen, werden Ihnen in Rechnung gestellt. Weitere Informationen finden Sie im Network Access Analyzer Leitfaden unter Preise.
Informationen zur regionalen Verfügbarkeit von Network Access Analyzer finden Sie unter Einschränkungen im Network Access Analyzer-Handbuch.

AWS Management Console

Öffnen Sie die AWS Network Insights-Konsole unterhttps://console.aws.amazon.com/networkinsights/.
Wählen Sie Network Access Analyzer.
Wählen Sie Netzwerkzugriffsbereich erstellen.
Wählen Sie Zugriff auf oder von Internet-Gateways identifizieren und klicken Sie auf Weiter.
Die Vorlage ist bereits für die Analyse des Datenverkehrs zu und von den Internet-Gateways in Ihrem Konto konfiguriert. Sie können dies unter Quelle und Ziel einsehen.
Wählen Sie Weiter.
Wählen Sie Netzwerkzugriffsbereich erstellen.
Wählen Sie den Bereich aus, den Sie gerade erstellt haben, und wählen Sie Analysieren.
Warten Sie, bis der Analyse abgeschlossen ist.
Sehen Sie sich die Ergebnisse der Analyse an. Jede Zeile unter Ergebnisse zeigt einen Netzwerkpfad, den ein Paket in einem Netzwerk zu oder von einem Internet-Gateway in Ihrem Konto nehmen kann. Wenn Sie in diesem Fall die Option aktivieren VPC BPA und keines der VPCs und/oder Subnetze, die in diesen Ergebnissen aufgeführt sind, als BPA Ausnahmen konfiguriert ist, wird der Datenverkehr zu diesen VPCs und Subnetzen eingeschränkt.
Analysieren Sie jedes Ergebnis, um die Auswirkungen BPA auf die Ressourcen in Ihrem System zu verstehen. VPCs

Die Auswirkungsanalyse ist abgeschlossen.

AWS CLI

Erstellen Sie einen Netzwerkzugriffsbereich:


aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"

Starten Sie die Umfangsanalyse:


aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id

Holen Sie sich die Ergebnisse der Analyse:
```
aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
```
Die Ergebnisse zeigen den Verkehr zu und von den Internet-Gateways in allen Bereichen VPCs Ihres Kontos. Die Ergebnisse sind als „Ergebnisse“ zusammengefasst. "FindingId„:" AnalysisFinding -1" gibt an, dass dies das erste Ergebnis der Analyse ist. Beachten Sie, dass es mehrere Ergebnisse gibt, die jeweils auf einen Verkehrsfluss hinweisen, der durch das Einschalten beeinträchtigt wird. VPC BPA Das erste Ergebnis zeigt, dass der Datenverkehr an einem Internet-Gateway (“ SequenceNumber „: 1) begann, an eine NACL (“ SequenceNumber „: 2) an eine Sicherheitsgruppe (“ SequenceNumber „: 3) weitergeleitet wurde und an einer Instanz (“ SequenceNumber „: 4) endete.
Analysieren Sie die Ergebnisse, um zu verstehen, wie sich dies BPA auf die Ressourcen in Ihrem Unternehmen auswirktVPCs.

Die Auswirkungsanalyse ist abgeschlossen.

Überwachen Sie BPA die Auswirkungen mit Flussprotokollen

VPCFlow Logs ist eine Funktion, mit der Sie Informationen über den IP-Datenverkehr zu und von Elastic Netzwerk-Schnittstellen in Ihrem erfassen könnenVPC. Sie können diese Funktion verwenden, um den Traffic zu überwachen, der dadurch VPC BPA blockiert wird, dass er die Netzwerkschnittstellen Ihrer Instance erreicht.

Erstellen Sie VPC anhand der Schritte unter ein Flow-Protokoll für SieArbeiten mit Flow-Protokollen.

Wenn Sie das Flow-Protokoll erstellen, stellen Sie sicher, dass Sie ein benutzerdefiniertes Format verwenden, das das Feld enthältreject-reason.

Wenn Sie sich die Flow-Logs ansehen und der Datenverkehr zu einem ENI aufgrund reject-reason von abgelehnt wurdeBPA, wird BPA im Flow-Logeintrag ein „Von“ angezeigt.

Beachten Sie zusätzlich zu den Standardbeschränkungen für VPC Flow-Logs die folgenden spezifischen Einschränkungen für VPCBPA:

Flow-Logs für enthalten VPC BPA keine übersprungenen Datensätze.
Flow-Logs für schließen VPC BPA nicht ein, bytesauch wenn Sie das bytes Feld in Ihr Flow-Protokoll aufnehmen.

Verfolgen Sie das Löschen von Ausschlüssen mit CloudTrail

In diesem Abschnitt wird erklärt, wie Sie AWS CloudTrail das Löschen von VPC BPA Ausschlüssen überwachen und nachverfolgen können.

Überprüfen Sie mit Reachability Analyzer, ob die Konnektivität blockiert ist

VPCReachability Analyzer kann verwendet werden, um zu bewerten, ob bestimmte Netzwerkpfade aufgrund Ihrer Netzwerkkonfiguration, einschließlich VPC BPA der Einstellungen, erreicht werden können oder nicht.

Informationen zur regionalen Verfügbarkeit von Reachability Analyzer finden Sie unter Überlegungen im Reachability Analyzer Guide.

AWS Management Console

Öffnen Sie die Network Insights-Konsole unter. https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer
Klicken Sie auf Pfad erstellen und analysieren.
Wählen Sie als Quelltyp die Option Internet-Gateways aus und wählen Sie im Drop-down-Menü Quelle das Internet-Gateway aus, das Sie blockieren möchten.
Wählen Sie für den Zieltyp die Option Instances aus und wählen Sie im Drop-down-Menü Ziel die Instance aus, zu der Sie den Datenverkehr blockieren möchten.
Klicken Sie auf Pfad erstellen und analysieren.
Warten Sie, bis der Analyse abgeschlossen ist. Es kann einige Minuten dauern.
Sobald Sie den Vorgang abgeschlossen haben, sollten Sie sehen, dass der Erreichbarkeitsstatus Nicht erreichbar ist und dass die Pfaddetails angeben, dass dies die Ursache für dieses Erreichbarkeitsproblem VPC_BLOCK_PUBLIC_ACCESS_ENABLED ist.

AWS CLI

Erstellen Sie einen Netzwerkpfad mit der ID des Internet Gateway, von dem Sie den Verkehr blockieren möchten (Quelle), und der ID der Instanz, zu der Sie den Verkehr blockieren möchten (Ziel):
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```

Starten Sie eine Analyse des Netzwerkpfads:


aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

Rufen Sie die Ergebnisse der Analyse ab:


aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

Stellen Sie sicher, dass VPC_BLOCK_PUBLIC_ACCESS_ENABLED dies aufgrund der ExplanationCode mangelnden Erreichbarkeit der Fall ist.

Beispiel für Fortgeschrittene

Dieser Abschnitt enthält ein fortgeschrittenes Beispiel, das Ihnen hilft zu verstehen, wie die Funktion „Öffentlichen Zugriff VPC blockieren“ in verschiedenen Szenarien funktioniert. Jedes Szenario baut auf dem vorherigen Szenario auf, daher ist es wichtig, die Schritte der Reihe nach auszuführen.

Wichtig

Gehen Sie dieses Beispiel nicht in einem Produktionskonto durch. Wir empfehlen Ihnen dringend, die Workloads, für die ein Internetzugang erforderlich ist, gründlich zu überprüfen, bevor Sie sie VPC BPA in Ihren Produktionskonten aktivieren.

Anmerkung

Um die VPC BPA Funktion vollständig zu verstehen, benötigen Sie bestimmte Ressourcen in Ihrem Konto. In diesem Abschnitt stellen wir eine AWS CloudFormation Vorlage zur Verfügung, mit der Sie die Ressourcen bereitstellen können, die Sie benötigen, um die Funktionsweise dieser Funktion vollständig zu verstehen. Mit den Ressourcen, die Sie mit der CloudFormation Vorlage bereitstellen, und den Analysen, die Sie mit Network Access Analyzer und Reachability Analyzer durchführen, fallen Kosten an. Wenn Sie die Vorlage in diesem Abschnitt verwenden, stellen Sie sicher, dass Sie die Bereinigungsschritte abschließen, wenn Sie mit diesem Beispiel fertig sind.

Inhalt

Vorlage bereitstellen CloudFormation
Sehen Sie sich die Auswirkungen von VPC BPA mit Network Access Analyzer an
Szenario 1
Szenario 2
Szenario 3
Szenario 4
5. Szenario
6. Szenario
Bereinigen

Vorlage bereitstellen CloudFormation

Um zu demonstrieren, wie diese Funktion funktioniert, benötigen Sie Subnetze, Instanzen und andere Ressourcen. VPC Um die Durchführung dieser Demonstration zu vereinfachen, haben wir im Folgenden eine AWS CloudFormation Vorlage bereitgestellt, mit der Sie schnell die Ressourcen bereitstellen können, die für die Szenarien in dieser Demo erforderlich sind.

Anmerkung

Mit den Ressourcen, die Sie in diesem Abschnitt mit der CloudFormation Vorlage erstellen, sind Kosten verbunden, z. B. die Kosten für das NAT Gateway und öffentliche IPv4 Adressen. Um übermäßige Kosten zu vermeiden, stellen Sie sicher, dass Sie die Bereinigungsschritte abschließen, um alle Ressourcen zu entfernen, die für dieses Beispiel erstellt wurden.

Die Vorlage erstellt die folgenden Ressourcen in Ihrem -Konto:

Internet-Gateway nur für ausgehenden Verkehr
Internet-Gateway
NATGateway
Zwei öffentliche Subnetze
Ein privates Subnetz
Zwei EC2 Instanzen mit öffentlichen und privaten Adressen IPv4
Eine EC2 Instanz mit einer IPv6 Adresse und einer privaten IPv4 Adresse
Eine EC2 Instanz nur mit einer privaten IPv4 Adresse
Sicherheitsgruppe mit SSH ICMP erlaubtem eingehendem und ALL ausgehendem Datenverkehr
VPCFlow-Protokoll
Ein EC2 Instance Connect-Endpunkt in Subnetz B

Kopieren Sie die nachstehende Vorlage und speichern Sie sie in einer YAML-Datei.


AWSTemplateFormatVersion: '2010-09-09'
Description: Creates a VPC with public and private subnets, NAT gateway, and EC2 instances for VPC BPA.

Parameters:
  InstanceAMI:
    Description: ID of the Amazone Machine Image (AMI) to use with the instances launched by this template
    Type: AWS::EC2::Image::Id
  InstanceType:
    Description: EC2 Instance type to use with the instances launched by this template
    Type: String
    Default: t2.micro
 
Resources:

  # VPC
  VPCBPA:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsHostnames: true
      EnableDnsSupport: true
      InstanceTenancy: default
      Tags:
        - Key: Name
          Value: VPC BPA

  # VPC IPv6 CIDR
  VPCBPAIpv6CidrBlock:
    Type: AWS::EC2::VPCCidrBlock
    Properties:
      VpcId: !Ref VPCBPA
      AmazonProvidedIpv6CidrBlock: true

  # EC2 Key Pair
  VPCBPAKeyPair:
    Type: AWS::EC2::KeyPair
    Properties:
      KeyName: vpc-bpa-key

  # Internet Gateway  
  VPCBPAInternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: VPC BPA Internet Gateway
    
  VPCBPAInternetGatewayAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPCBPA
      InternetGatewayId: !Ref VPCBPAInternetGateway

  # Egress-Only Internet Gateway
  VPCBPAEgressOnlyInternetGateway:
    Type: AWS::EC2::EgressOnlyInternetGateway
    Properties:
      VpcId: !Ref VPCBPA

  # Subnets
  VPCBPAPublicSubnetA:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.1.0/24
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: VPC BPA Public Subnet A
      
  VPCBPAPublicSubnetB:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.2.0/24
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: VPC BPA Public Subnet B
      
  VPCBPAPrivateSubnetC:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPCBPA
      CidrBlock: 10.0.3.0/24
      MapPublicIpOnLaunch: false
      Ipv6CidrBlock: !Select [0, !GetAtt VPCBPA.Ipv6CidrBlocks]
      AssignIpv6AddressOnCreation: true
      Tags:
        - Key: Name
          Value: VPC BPA Private Subnet C

  # NAT Gateway
  VPCBPANATGateway:
    Type: AWS::EC2::NatGateway
    Properties:
      AllocationId: !GetAtt VPCBPANATGatewayEIP.AllocationId
      SubnetId: !Ref VPCBPAPublicSubnetB
      Tags:
        - Key: Name
          Value: VPC BPA NAT Gateway

  VPCBPANATGatewayEIP:
    Type: AWS::EC2::EIP
    Properties:
      Domain: vpc
      Tags:
        - Key: Name
          Value: VPC BPA NAT Gateway EIP

  # Route Tables
  VPCBPAPublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Public Route Table
      
  VPCBPAPublicRoute:
    Type: AWS::EC2::Route
    DependsOn: VPCBPAInternetGatewayAttachment
    Properties:
      RouteTableId: !Ref VPCBPAPublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref VPCBPAInternetGateway
      
  VPCBPAPublicSubnetARouteTableAssoc:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPublicSubnetA
      RouteTableId: !Ref VPCBPAPublicRouteTable
      
  VPCBPAPublicSubnetBRouteTableAssoc:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPublicSubnetB
      RouteTableId: !Ref VPCBPAPublicRouteTable
      
  VPCBPAPrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Private Route Table
      
  VPCBPAPrivateRoute:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref VPCBPAPrivateRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId: !Ref VPCBPANATGateway
      
  VPCBPAPrivateSubnetCRoute:
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref VPCBPAPrivateRouteTable
      DestinationIpv6CidrBlock: ::/0
      EgressOnlyInternetGatewayId: !Ref VPCBPAEgressOnlyInternetGateway
      
  VPCBPAPrivateSubnetCRouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref VPCBPAPrivateSubnetC
      RouteTableId: !Ref VPCBPAPrivateRouteTable

  # EC2 Instances Security Group
  VPCBPAInstancesSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: VPC BPA Instances Security Group
      GroupDescription: Allow SSH and ICMP access
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: 0.0.0.0/0
        - IpProtocol: icmp
          FromPort: -1
          ToPort: -1
          CidrIp: 0.0.0.0/0
      VpcId: !Ref VPCBPA
      Tags:
        - Key: Name
          Value: VPC BPA Instances Security Group

  # EC2 Instances
  VPCBPAInstanceA:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: t2.micro
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPublicSubnetA
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance A

  VPCBPAInstanceB:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPublicSubnetB
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance B

  VPCBPAInstanceC:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      SubnetId: !Ref VPCBPAPrivateSubnetC
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      Tags:
        - Key: Name
          Value: VPC BPA Instance C

  VPCBPAInstanceD:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: !Ref InstanceAMI
      InstanceType: !Ref InstanceType
      KeyName: !Ref VPCBPAKeyPair
      NetworkInterfaces:
        - DeviceIndex: '0'
          GroupSet:
            - !Ref VPCBPAInstancesSecurityGroup
          SubnetId: !Ref VPCBPAPrivateSubnetC
          Ipv6AddressCount: 1
      Tags:
        - Key: Name
          Value: VPC BPA Instance D

  # Flow Logs IAM Role
  VPCBPAFlowLogRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: vpc-flow-logs.amazonaws.com
            Action: 'sts:AssumeRole'
      Tags:
        - Key: Name
          Value: VPC BPA Flow Logs Role
      
  VPCBPAFlowLogPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: VPC-BPA-FlowLogsPolicy
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Action:
              - 'logs:CreateLogGroup'
              - 'logs:CreateLogStream'
              - 'logs:PutLogEvents'
              - 'logs:DescribeLogGroups'
              - 'logs:DescribeLogStreams'
            Resource: '*'
      Roles:
        - !Ref VPCBPAFlowLogRole

  # Flow Logs
  VPCBPAFlowLog:
    Type: AWS::EC2::FlowLog
    Properties:
      ResourceId: !Ref VPCBPA
      ResourceType: VPC
      TrafficType: ALL
      LogDestinationType: cloud-watch-logs
      LogGroupName: /aws/vpc-flow-logs/VPC-BPA
      DeliverLogsPermissionArn: !GetAtt VPCBPAFlowLogRole.Arn
      LogFormat: '${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status} ${vpc-id} ${subnet-id} ${instance-id} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr} ${region} ${az-id} ${sublocation-type} ${sublocation-id} ${pkt-src-aws-service} ${pkt-dst-aws-service} ${flow-direction} ${traffic-path} ${reject-reason}'
      Tags:
        - Key: Name
          Value: VPC BPA Flow Logs

  # EC2 Instance Connect Endpoint
  VPCBPAEC2InstanceConnectEndpoint:
    Type: AWS::EC2::InstanceConnectEndpoint
    Properties:
      SecurityGroupIds:
        - !Ref VPCBPAInstancesSecurityGroup
      SubnetId: !Ref VPCBPAPublicSubnetB

Outputs:
  VPCBPAVPCId:
    Description: A reference to the created VPC
    Value: !Ref VPCBPA
    Export:
      Name: vpc-id

  VPCBPAPublicSubnetAId:
    Description: The ID of the public subnet A
    Value: !Ref VPCBPAPublicSubnetA
    
  VPCBPAPublicSubnetAName:
    Description: The name of the public subnet A
    Value: VPC BPA Public Subnet A

  VPCBPAPublicSubnetBId:
    Description: The ID of the public subnet B
    Value: !Ref VPCBPAPublicSubnetB
    
  VPCBPAPublicSubnetBName:
    Description: The name of the public subnet B
    Value: VPC BPA Public Subnet B

  VPCBPAPrivateSubnetCId:
    Description: The ID of the private subnet C
    Value: !Ref VPCBPAPrivateSubnetC
    
  VPCBPAPrivateSubnetCName:
    Description: The name of the private subnet C
    Value: VPC BPA Private Subnet C

  VPCBPAInstanceAId:
    Description: The ID of instance A
    Value: !Ref VPCBPAInstanceA

  VPCBPAInstanceBId:
    Description: The ID of instance B
    Value: !Ref VPCBPAInstanceB

  VPCBPAInstanceCId:
    Description: The ID of instance C
    Value: !Ref VPCBPAInstanceC

  VPCBPAInstanceDId:
    Description: The ID of instance D
    Value: !Ref VPCBPAInstanceD

AWS Management Console

Öffnen Sie die AWS CloudFormation Konsole unter. https://console.aws.amazon.com/cloudformation/
Wählen Sie Stack erstellen und laden Sie die .yaml-Vorlagendatei hoch.
Gehen Sie die Schritte durch, um die Vorlage zu starten. Sie müssen eine Image-ID und einen Instance-Typ (wie t2.micro) eingeben. Sie müssen außerdem zulassen, dass CloudFormation Sie eine IAM Rolle für die Erstellung des Flow-Protokolls erstellen und dass Sie berechtigt sind, sich anzumelden. Amazon CloudWatch
Sobald Sie den Stack gestartet haben, sehen Sie sich auf der Registerkarte Ereignisse den Fortschritt an und stellen Sie sicher, dass der Stack abgeschlossen ist, bevor Sie fortfahren.

AWS CLI

Führen Sie den folgenden Befehl aus, um den CloudFormation Stack zu erstellen:


aws cloudformation create-stack --stack-name VPC-BPA-stack --template-body file://sampletemplate.yaml --capabilities CAPABILITY_IAM --region us-east-2

Ausgabe:


{
    "StackId": "arn:aws:cloudformation:us-east-2:470889052923:stack/VPC-BPA-stack/8a7a2cc0-8001-11ef-b196-06386a84b72f"
}

Sehen Sie sich den Fortschritt an und stellen Sie sicher, dass der Stack abgeschlossen ist, bevor Sie fortfahren:
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```

Sehen Sie sich die Auswirkungen von VPC BPA mit Network Access Analyzer an

In diesem Abschnitt verwenden Sie Network Access Analyzer, um die Ressourcen in Ihrem Konto anzuzeigen, die das Internet-Gateway verwenden. Verwenden Sie diese Analyse, um zu verstehen, welche Auswirkungen das Aktivieren auf VPC BPA Ihr Konto und das Blockieren von Datenverkehr hat.

Informationen zur regionalen Verfügbarkeit von Network Access Analyzer finden Sie unter Einschränkungen im Network Access Analyzer-Handbuch.

AWS Management Console

Öffnen Sie die AWS Network Insights-Konsole unterhttps://console.aws.amazon.com/networkinsights/.
Wählen Sie Network Access Analyzer.
Wählen Sie Netzwerkzugriffsbereich erstellen.
Wählen Sie Zugriff auf oder von Internet-Gateways identifizieren und klicken Sie auf Weiter.
Die Vorlage ist bereits für die Analyse des Datenverkehrs zu und von den Internet-Gateways in Ihrem Konto konfiguriert. Sie können dies unter Quelle und Ziel einsehen.
Wählen Sie Weiter.
Wählen Sie Netzwerkzugriffsbereich erstellen.
Wählen Sie den Bereich aus, den Sie gerade erstellt haben, und wählen Sie Analysieren.
Warten Sie, bis der Analyse abgeschlossen ist.
Sehen Sie sich die Ergebnisse der Analyse an. Jede Zeile unter Ergebnisse zeigt einen Netzwerkpfad, den ein Paket in einem Netzwerk zu oder von einem Internet-Gateway in Ihrem Konto nehmen kann. Wenn Sie in diesem Fall die Option aktivieren VPC BPA und keines der VPCs und/oder Subnetze, die in diesen Ergebnissen aufgeführt sind, als BPA Ausnahmen konfiguriert ist, wird der Datenverkehr zu diesen VPCs und Subnetzen eingeschränkt.
Analysieren Sie jedes Ergebnis, um die Auswirkungen BPA auf die Ressourcen in Ihrem System zu verstehen. VPCs

Die Auswirkungsanalyse ist abgeschlossen.

AWS CLI

Erstellen Sie einen Netzwerkzugriffsbereich:


aws ec2 create-network-insights-access-scope --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" --region us-east-2

Ausgabe:


{
  "NetworkInsightsAccessScope": {
    "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
    "NetworkInsightsAccessScopeArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope/nis-04cad3c4b3a1d5e3e",
    "CreatedDate": "2024-09-30T15:55:53.171000+00:00",
    "UpdatedDate": "2024-09-30T15:55:53.171000+00:00"
  },
  "NetworkInsightsAccessScopeContent": {
    "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
    "MatchPaths": [
      {
        "Source": {
          "ResourceStatement": {
            "ResourceTypes": [
              "AWS::EC2::InternetGateway"
            ]
          }
        }
      },
      {
        "Destination": {
          "ResourceStatement": {
            "ResourceTypes": [
              "AWS::EC2::InternetGateway"
            ]
          }
        }
      }
    ]
  }
}

Starten Sie die Umfangsanalyse:


aws ec2 start-network-insights-access-scope-analysis --network-insights-access-scope-id nis-04cad3c4b3a1d5e3e --region us-east-2

Ausgabe:


{
  "NetworkInsightsAccessScopeAnalysis": {
    "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
    "NetworkInsightsAccessScopeAnalysisArn": "arn:aws:ec2:us-east-2:470889052923:network-insights-access-scope-analysis/nisa-0aa383a1938f94cd",
    "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
    "Status": "running",
    "StartDate": "2024-09-30T15:56:59.109000+00:00",
    "AnalyzedEniCount": 0
  }
}

Holen Sie sich die Ergebnisse der Analyse:


aws ec2 get-network-insights-access-scope-analysis-findings --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --region us-east-2 --max-items 1

Ausgabe:


{
  "AnalysisFindings": [
    {
      "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
      "NetworkInsightsAccessScopeId": "nis-04cad3c4b3a1d5e3e",
      "FindingId": "AnalysisFinding-1",
      "FindingComponents": [
        {
          "SequenceNumber": 1,
          "Component": {
            "Id": "igw-04a5344b4e30486f1",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:internet-gateway/igw-04a5344b4e30486f1",
            "Name": "VPC BPA Internet Gateway"
          },
          "OutboundHeader": {
            "DestinationAddresses": [
              "10.0.1.85/32"
            ]
          },
          "InboundHeader": {
            "DestinationAddresses": [
              "10.0.1.85/32"
            ],
            "DestinationPortRanges": [
              {
                "From": 22,
                "To": 22
              }
            ],
            "Protocol": "6",
            "SourceAddresses": [
              "0.0.0.0/5",
              "100.0.0.0/10",
              "96.0.0.0/6"
            ],
            "SourcePortRanges": [
              {
                "From": 0,
                "To": 65535
              }
            ]
          },
          "Vpc": {
            "Id": "vpc-0762547ec48b6888d",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
            "Name": "VPC BPA"
          }
        },
        {
          "SequenceNumber": 2,
          "AclRule": {
            "Cidr": "0.0.0.0/0",
            "Egress": false,
            "Protocol": "all",
            "RuleAction": "allow",
            "RuleNumber": 100
          },
          "Component": {
            "Id": "acl-06194fc3a4a03040b",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:network-acl/acl-06194fc3a4a03040b"
          }
        },
        {
          "SequenceNumber": 3,
          "Component": {
            "Id": "sg-093dde06415d03924",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:security-group/sg-093dde06415d03924",
            "Name": "VPC BPA Instances Security Group"
          },
          "SecurityGroupRule": {
            "Cidr": "0.0.0.0/0",
            "Direction": "ingress",
            "PortRange": {
              "From": 22,
              "To": 22
            },
            "Protocol": "tcp"
          }
        },
        {
          "SequenceNumber": 4,
          "AttachedTo": {
            "Id": "i-058db34f9a0997895",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:instance/i-058db34f9a0997895",
            "Name": "VPC BPA Instance A"
          },
          "Component": {
            "Id": "eni-0fa23f2766f03b286",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:network-interface/eni-0fa23f2766f03b286"
          },
          "InboundHeader": {
            "DestinationAddresses": [
              "10.0.1.85/32"
            ],
            "DestinationPortRanges": [
              {
                "From": 22,
                "To": 22
              }
            ],
            "Protocol": "6",
            "SourceAddresses": [
              "0.0.0.0/5",
              "100.0.0.0/10",
              "96.0.0.0/6"
            ],
            "SourcePortRanges": [
              {
                "From": 0,
                "To": 65535
              }
            ]
          },
          "Subnet": {
            "Id": "subnet-035d235a762eeed04",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:subnet/subnet-035d235a762eeed04",
            "Name": "VPC BPA Public Subnet A"
          },
          "Vpc": {
            "Id": "vpc-0762547ec48b6888d",
            "Arn": "arn:aws:ec2:us-east-2:470889052923:vpc/vpc-0762547ec48b6888d",
            "Name": "VPC BPA"
          }
        }
      ]
    }
  ],
  "AnalysisStatus": "succeeded",
  "NetworkInsightsAccessScopeAnalysisId": "nisa-0aa383a1938f94cd1",
  "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAxfQ=="
}

Die Ergebnisse zeigen den Verkehr zu und von den Internet-Gateways in allen Bereichen VPCs Ihres Kontos. Die Ergebnisse sind als „Ergebnisse“ zusammengefasst. "FindingId„:" AnalysisFinding -1" gibt an, dass dies das erste Ergebnis der Analyse ist. Beachten Sie, dass es mehrere Ergebnisse gibt, die jeweils auf einen Verkehrsfluss hinweisen, der durch das Einschalten beeinträchtigt wird. VPC BPA Das erste Ergebnis zeigt, dass der Datenverkehr an einem Internet-Gateway (“ SequenceNumber „: 1) begann, an eine NACL (“ SequenceNumber „: 2) an eine Sicherheitsgruppe (“ SequenceNumber „: 3) weitergeleitet wurde und an einer Instanz (“ SequenceNumber „: 4) endete.

Analysieren Sie die Ergebnisse, um zu verstehen, wie sich dies BPA auf die Ressourcen in Ihrem Unternehmen auswirktVPCs.

Die Auswirkungsanalyse ist abgeschlossen.

Szenario 1

In diesem Abschnitt stellen Sie eine Verbindung zu allen Instances her und pingen eine öffentliche IP-AdresseBPA, um einen Basiswert festzulegen und sicherzustellen, dass vor der Aktivierung alle Instances erreicht werden können.

Diagramm einer VPC ohne VPC BPA Aktivierung:

Diagramm, das eine VPC ohne BPA Aktivierung zeigt.

1.1 Connect zu Instanzen her

Füllen Sie diesen Abschnitt aus, um eine Verbindung zu Ihren Instances herzustellen, die VPC BPA ausgeschaltet sind, um sicherzustellen, dass Sie problemlos eine Verbindung herstellen können. Alle mit dem CloudFormation für dieses Beispiel erstellten Instanzen haben Namen wie "VPCBPAInstanz A“.

AWS Management Console

Öffnen Sie die EC2 Amazon-Konsole unterhttps://console.aws.amazon.com/ec2/.
Öffnen Sie die Details zu Instance A.
Stellen Sie mithilfe der Option Instance Connect > Connect EC2 using Instance Connect eine Verbindung zu EC2 Instance A Connect.
Wählen Sie Connect aus. Sobald Sie erfolgreich eine Verbindung mit der Instance hergestellt haben, senden Sie ein Ping-Signal an www.amazon.com, um zu überprüfen, ob Sie ausgehende Anfragen an das Internet senden können.
Verwenden Sie dieselbe Methode, die Sie für die Verbindung zu Instance A verwendet haben, um eine Verbindung zu Instance B herzustellen, und testen Sie, ob Sie ausgehende Anfragen per Ping an das Internet senden können.
Stellen Sie mithilfe der Option Instance Connect > Connect EC2 using Instance Connect Endpoint eine Verbindung zu EC2 Instance C her. Sie müssen die Endpunktoption verwenden, da sich die Instanzen C und D in privaten Subnetzen befinden und keine öffentlichen IP-Adressen haben:
Verwenden Sie dieselbe Methode, die Sie für Instanz C verwendet haben, um eine Verbindung zu Instanz D herzustellen, und testen Sie, ob Sie ausgehende Anfragen per Ping an das Internet senden können.

AWS CLI

Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:

Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available. Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #_   ~_  ####_        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~._.   _/
/ /
/m/'
Last login: Fri Sep 27 18:27:57 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING www-amazon-com.customer.fastly.net (18.65.233.187) 56(84) bytes of data.
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=15 ttl=58 time=2.06 ms
64 bytes from 18.65.233.187 (18.65.233.187): icmp_seq=16 ttl=58 time=2.26 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Reply from 3.18.106.198: bytes=32 time=83ms TTL=110
Reply from 3.18.106.198: bytes=32 time=54ms TTL=110
```
Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id  i-08552a0774b5c8f72 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
/ /
/m/'
Last login: Fri Sep 27 18:12:27 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.55 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.67 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Stellen Sie eine Verbindung zu Instance C her, da es keine öffentliche IP-Adresse zum Pingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance aus, um den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2

Ausgabe:


A newer release of "Amazon Linux" is available.
Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
/ /
/m/'
Last login: Thu Sep 19 20:31:26 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.75 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.97 ms
64 bytes from server-3-160-24-26.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=3 ttl=248 time=1.08 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Stellen Sie eine Verbindung zu Instance D her, da es keine öffentliche IP-Adresse zum Pingen gibt, verwenden Sie EC2 Instance Connect, um eine Verbindung herzustellen, und pingen Sie dann eine öffentliche IP von der Instance aus, um den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2

Ausgabe:


The authenticity of host '10.0.3.59 can't be established.
ECDSA key fingerprint is SHA256:c4naBCqbC61/cExDyccEproNU+1HHSpMSzl2J6cOtIZA8g.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.3.59' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
_/ _/
_/m/'
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.19 ms
64 bytes from 2600:9000:25f3:ee00:7:49a5:5fd4:b121 (2600:9000:25f3:ee00:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.38 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Szenario 2

In diesem Abschnitt aktivieren VPC BPA und blockieren Sie den Verkehr zu und von den Internet-Gateways in Ihrem Konto.

Diagramm des eingeschalteten VPC BPA bidirektionalen Modus:

Das Diagramm zeigt, dass der VPC BPA bidirektionale Modus aktiviert ist.

2.1 Aktivieren Sie den VPC BPA bidirektionalen Blockmodus

Füllen Sie diesen Abschnitt aus, um ihn zu aktivieren. VPC BPA

2.2 Connect zu Instanzen her

Füllen Sie diesen Abschnitt aus, um eine Verbindung mit Ihren Instances herzustellen.

AWS Management Console

Pingen Sie die öffentliche IPv4 Adresse von Instance A und Instance B an, wie Sie es in Szenario 1 getan haben. Beachten Sie, dass der Verkehr blockiert ist.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu jeder Instance her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass der gesamte ausgehende Datenverkehr blockiert ist.

AWS CLI

Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:

Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #_   ~_  ####_        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~._.   _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id  i-08552a0774b5c8f72 --region us-east-2 --connection-type eice

Ausgabe:


The authenticity of host '10.0.2.98' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
/ /
/m/'
Last login: Tue Sep 24 15:17:56 2024 from 10.0.2.86
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
_/ _/
_/m/'
Last login: Fri Sep 27 16:42:01 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:8200:7:49a5:5fd4:b121 (2600:9000:25f3:8200:7:49a5:5fd4:b121)) 56 data bytes

Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert ist.

2.3 Optional: Stellen Sie mit Reachability Analyzer sicher, dass die Konnektivität blockiert ist

VPCReachability Analyzer kann verwendet werden, um zu verstehen, ob bestimmte Netzwerkpfade aufgrund Ihrer Netzwerkkonfiguration, einschließlich VPC BPA Einstellungen, erreicht werden können oder nicht. In diesem Beispiel analysieren Sie denselben Netzwerkpfad, mit dem Sie zuvor versucht haben, um zu bestätigen, dass dies der Grund dafür VPC BPA ist, dass die Konnektivität fehlschlägt.

AWS Management Console

Rufen Sie die Network Insights-Konsole unter aufhttps://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer.
Klicken Sie auf Pfad erstellen und analysieren.
Wählen Sie als Quelltyp die Option Internet-Gateways und wählen Sie das Internet Gateway mit VPC BPA der Bezeichnung Internet-Gateway aus der Dropdownliste Quelle aus.
Wählen Sie für den Zieltyp die Option Instances und wählen Sie die mit Instance A markierte VPC BPA Instanz aus der Dropdownliste Ziel aus.
Klicken Sie auf Pfad erstellen und analysieren.
Warten Sie, bis der Analyse abgeschlossen ist. Es kann einige Minuten dauern.
Sobald der Vorgang abgeschlossen ist, sollten Sie sehen, dass der Erreichbarkeitsstatus Nicht erreichbar ist und dass in den Pfaddetails angegeben VPC_BLOCK_PUBLIC_ACCESS_ENABLED ist, dass dies die Ursache ist.

AWS CLI

Erstellen Sie einen Netzwerkpfad mit der ID des Internet-Gateways mit dem Tag VPC BPA Internet Gateway und der ID der Instanz mit dem Tag VPC BPA Instance A:
```
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
```

Starten Sie eine Analyse des Netzwerkpfads:


aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

Rufen Sie die Ergebnisse der Analyse ab:


aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

Stellen Sie sicher, dass VPC_BLOCK_PUBLIC_ACCESS_ENABLED dies aufgrund der ExplanationCode mangelnden Erreichbarkeit der Fall ist.

Szenario 3

In diesem Abschnitt ändern Sie die VPC BPA Verkehrsrichtung und lassen nur Datenverkehr zu, der ein NAT Gateway oder ein Internet-Gateway nur für ausgehenden Datenverkehr verwendet.

Diagramm des aktivierten Modus „Nur VPC BPA eingehender Zugang“:

Das Diagramm zeigt, dass nur VPC BPA eingehender Zugriff aktiviert ist.

3.1 Ändern Sie den Modus auf „Nur Eingang“

Füllen Sie diesen Abschnitt aus, um den Modus zu ändern.

3.2 Connect zu Instanzen her

Füllen Sie diesen Abschnitt aus, um eine Verbindung zu den Instanzen herzustellen.

AWS Management Console

Pingen Sie die öffentliche IPv4 Adresse von Instance A und Instance B an, wie Sie es in Szenario 1 getan haben. Beachten Sie, dass der Verkehr blockiert ist.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance A und B her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie eine öffentliche Website im Internet nicht von Instance A oder B aus anpingen können und der Datenverkehr blockiert wird.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus eine öffentliche Website im Internet pingen können und dass Datenverkehr zulässig ist.

AWS CLI

Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:

Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


The authenticity of host '10.0.1.85' can't be established.
ECDSA key fingerprint is SHA256:3zo/gSss+HAZ+7eTyWlOB/Ke04IM+hadjsoLJeRTWBk.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.1.85' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #_   ~_  ####_        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~._.   _/
/ /
/m/'
Last login: Fri Sep 27 14:16:53 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice

Ausgabe:


The authenticity of host '10.0.2.98 ' can't be established.
ECDSA key fingerprint is SHA256:0IjXKKyVlDthcCfI0IPIJMUiItAOLYKRNLGTYURnFXo.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.0.2.98' (ECDSA) to the list of known hosts.
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
_/ /
/m/'
Last login: Fri Sep 27 14:18:16 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'                                                                                        
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86                                                     
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com                                                         
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.                                 
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.


aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 16:48:38 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=14 ttl=58 time=1.47 ms
64 bytes from 2600:9000:25f3:5800:7:49a5:5fd4:b121 (2600:9000:25f3:5800:7:49a5:5fd4:b121): icmp_seq=16 ttl=58 time=1.59 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Szenario 4

In diesem Abschnitt erstellen Sie einen Ausschluss und blockieren nur den Verkehr zu und aus dem Subnetz, von VPC BPA dem nicht ausgeschlossen ist. Ein VPC BPA Ausschluss ist ein Modus, der auf ein einzelnes VPC oder ein Subnetz angewendet werden kann. Dadurch wird dieses vom BPA Kontomodus ausgenommen und ermöglicht bidirektionalen Zugriff oder nur ausgehenden Zugriff. Sie können BPA Ausnahmen für VPCs und Subnetze erstellen, auch wenn diese Option für das Konto nicht aktiviert BPA ist, um sicherzustellen, dass der Datenverkehr nicht unterbrochen wird, wenn die Ausschlüsse aktiviert sind. VPC BPA

In diesem Beispiel erstellen wir eine Ausnahme für Subnetz A, um zu zeigen, wie sich das auf den Datenverkehr zu den Ausnahmen auswirkt. VPC BPA

Diagramm des aktivierten Modus „VPCBPANur eingehender Zugang“ und des Ausschlusses „Subnetz A“ bei aktiviertem bidirektionalen Modus:

Diagramm, das den Modus „Nur Eingang“ VPC mit BPA Ausnahme zeigt.

4.1 Erstellen Sie einen Ausschluss für Subnetz A

Füllen Sie diesen Abschnitt aus, um eine Ausnahme zu erstellen. Ein VPC BPA Ausschluss ist ein Modus, der auf ein einzelnes VPC oder ein Subnetz angewendet werden kann, wodurch dieses vom BPA Kontomodus ausgenommen wird und bidirektionalen Zugriff oder nur ausgehenden Zugriff ermöglicht. Sie können BPA Ausnahmen für VPCs und Subnetze erstellen, auch wenn diese Option für das Konto nicht aktiviert BPA ist, um sicherzustellen, dass der Datenverkehr nicht unterbrochen wird, wenn die Ausschlüsse aktiviert sind. VPC BPA

4.2 Connect zu Instanzen her

Füllen Sie diesen Abschnitt aus, um eine Verbindung zu den Instanzen herzustellen.

AWS Management Console

Pingen Sie die öffentliche IPv4 Adresse von Instanz A. Beachten Sie, dass Datenverkehr zulässig ist.
Pingen Sie die öffentliche IPv4 Adresse von Instanz B. Beachten Sie, dass der Verkehr blockiert ist.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance A her und pingen Sie www.amazon.com an. Beachten Sie, dass Sie von Instance A aus eine öffentliche Site im Internet pingen können. Traffic ist erlaubt.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance B her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie eine öffentliche Website im Internet nicht von Instance B aus anpingen können. Der Datenverkehr ist blockiert.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus eine öffentliche Site im Internet pingen können. Traffic ist zulässig.

AWS CLI

Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:

Reply from 18.225.8.244: bytes=32 time=51ms TTL=110
Reply from 18.225.8.244: bytes=32 time=61ms TTL=110
```
Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #_   ~_  ####_        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~._.   _/
/ /
/m/'
Last login: Fri Sep 27 17:58:12 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=249 time=1.03 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=249 time=1.72 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-08552a0774b5c8f72 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
_/ /
/m/'
Last login: Fri Sep 27 18:12:03 2024 from 3.16.146.5
[ec2-user@ip-10-0-2-98 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2

Output


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
,     #   ~_  ####        Amazon Linux 2023
~~  _#####\  ~~     ###|
~~       #/ ___   https://aws.amazon.com/linux/amazon-linux-2023
~~       V~' '->
~~~         /
~~..   _/
_/ /
/m/'                                                                                           
Last login: Tue Sep 24 15:28:09 2024 from 10.0.2.86                                                     
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com                                                         
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.                                 
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=1 ttl=248 time=1.84 ms
64 bytes from server-3-160-24-126.cmh68.r.cloudfront.net (18.65.233.187): icmp_seq=2 ttl=248 time=1.40 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.


aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2

Output


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:00:52 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4)) 56 data bytes
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=1 ttl=48 time=15.9 ms
64 bytes from g2600-141f-4000-059a-0000-0000-0000-3bd4.deploy.static.akamaitechnologies.com (2600:141f:4000:59a::3bd4): icmp_seq=2 ttl=48 time=15.8 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

4.3 Optional: Überprüfen Sie die Konnektivität mit Reachability Analyzer

Mit demselben Netzwerkpfad, der in Reachability Analyzer in Szenario 2 erstellt wurde, können Sie jetzt eine neue Analyse ausführen und bestätigen, dass der Pfad erreichbar ist, nachdem ein Ausschluss für das öffentliche Subnetz A erstellt wurde.

Informationen zur regionalen Verfügbarkeit von Reachability Analyzer finden Sie unter Überlegungen im Reachability Analyzer Guide.

5. Szenario

In diesem Abschnitt ändern Sie die Richtung, in der der Verkehr aufgrund des Ausschlusses zugelassen wird, um zu sehen, wie sich das auswirkt VPCBPA. Beachten Sie, dass der Modus „Nur ausgehender Ausgang“ für einen Ausschluss nicht wirklich sinnvoll ist, wenn er im Modus „Nur eingehenden Datenverkehr blockieren VPCBPA“ aktiviert ist. Dies ist das gleiche Verhalten wie bei Szenario 3.

Diagramm des aktivierten Modus „VPCBPANur eingehender Eingang“ und des Ausschlusses „Subnetz A“ bei aktiviertem Modus „Nur ausgehender Ausgang“:

Diagramm, das zeigt, dass der Modus „Nur VPC eingehender BPA Verkehr“ aktiviert ist und ausgehender Datenverkehr über das Gateway zulässig ist. NAT

5.1 Ausschluss ändern: Direktion nur für ausgehenden Verkehr zulassen

Füllen Sie diesen Abschnitt aus, um die Richtung zu ändern, in der der Ausschluss zulässig ist.

5.2 Connect zu Instanzen her

Füllen Sie diesen Abschnitt aus, um eine Verbindung zu den Instanzen herzustellen.

AWS Management Console

Pingen Sie die öffentliche IPv4 Adresse von Instance A und B. Beachten Sie, dass der Datenverkehr blockiert ist.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance A und B her und pingen Sie www.amazon.com an. Beachten Sie, dass Sie von Instance A oder B aus keine öffentlichen Websites im Internet anpingen können. Der Datenverkehr ist blockiert.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus eine öffentliche Site im Internet pingen können. Traffic ist zulässig.

AWS CLI

Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Pingen Sie Instanz B mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2                     
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:00:31 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121)) 56 data bytes
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=1 ttl=58 time=1.51 ms
64 bytes from 2600:9000:25f3:a600:7:49a5:5fd4:b121 (2600:9000:25f3:a600:7:49a5:5fd4:b121): icmp_seq=2 ttl=58 time=1.49 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.


aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:13:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2606:2cc0::374 (2606:2cc0::374)) 56 data bytes
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=1 ttl=58 time=1.21 ms
64 bytes from 2606:2cc0::374 (2606:2cc0::374): icmp_seq=2 ttl=58 time=1.51 ms

Beachten Sie, dass der Ping erfolgreich ist und der Verkehr nicht blockiert wird.

6. Szenario

In diesem Abschnitt ändern Sie die VPC BPA Blockrichtung, um zu sehen, wie sich das auf den Verkehr auswirkt. In diesem Szenario blockiert die VPC BPA Option im bidirektionalen Modus den gesamten Verkehr genau wie in Szenario 1. Wenn ein Ausschluss keinen Zugriff auf ein NAT Gateway oder ein Internet-Gateway für nur ausgehenden Verkehr gewährt wird, wird Datenverkehr blockiert.

Diagramm des aktivierten VPC BPA bidirektionalen Modus und des Subnetz-A-Ausschlusses mit aktiviertem Modus „Nur ausgehender Verkehr“:

Diagramm, das zeigt, dass der Modus „Nur VPC eingehender BPA Datenverkehr“ aktiviert ist und ausgehender Datenverkehr über das Gateway zulässig ist NAT

6.1 Wechseln VPC BPA Sie in den bidirektionalen Modus

Füllen Sie diesen Abschnitt aus, um den BPA Modus zu ändern.

6.2 Connect zu Instanzen her

Füllen Sie diesen Abschnitt aus, um eine Verbindung zu den Instanzen herzustellen.

AWS Management Console

Pingen Sie die öffentliche IPv4 Adresse von Instance A und B. Beachten Sie, dass der Datenverkehr blockiert ist.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance A und B her und pingen Sie www.amazon.com an. Beachten Sie, dass Sie von Instance A oder B aus keine öffentlichen Websites im Internet anpingen können. Der Datenverkehr ist blockiert.
Stellen Sie wie in Szenario 1 mithilfe von EC2 Instance Connect eine Verbindung zu Instance C und D her und pingen Sie von dort aus www.amazon.com an. Beachten Sie, dass Sie von Instance C oder D aus keine öffentlichen Websites im Internet anpingen können. Der Datenverkehr ist blockiert.

AWS CLI

Pingen Sie Instance A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 18.225.8.244
```
Ausgabe:
```
Pinging 18.225.8.244 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:17:44 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Pingen Sie Instanz A mithilfe der öffentlichen IPv4 Adresse an, um den eingehenden Verkehr zu überprüfen:
```
ping 3.18.106.198
```
Ausgabe:
```
Pinging 3.18.106.198 with 32 bytes of data:
Request timed out.
```
Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.

Verwenden Sie die private IPv4 Adresse, um eine Verbindung herzustellen und den ausgehenden Verkehr zu überprüfen:


aws ec2-instance-connect ssh --instance-id i-058db34f9a0997895 --region us-east-2 --connection-type eice

Ausgabe:


A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:09:55 2024 from 3.16.146.5
[ec2-user@ip-10-0-1-85 ~]$ ping www.amazon.com
PING d3ag4hukkh62yn.cloudfront.net (18.65.233.187) 56(84) bytes of data.

Beachten Sie, dass der Ping fehlschlägt und der Verkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-04eca55f2a482b2c4 --region us-east-2  
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:19:45 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-180 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:6200:7:49a5:5fd4:b121 (2600:9000:25f3:6200:7:49a5:5fd4:b121)) 56 data bytes

Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert ist.


aws ec2-instance-connect ssh --instance-id i-05f9e6a9cfac1dba0 --region us-east-2
A newer release of "Amazon Linux" is available.  Version 2023.5.20240916:
Run "/usr/bin/dnf check-release-update" for full release and version update info
   ,     #_   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Fri Sep 27 18:20:58 2024 from 3.16.146.5
[ec2-user@ip-10-0-3-59 ~]$ ping www.amazon.com
PING www.amazon.com(2600:9000:25f3:b400:7:49a5:5fd4:b121 (2600:9000:25f3:b400:7:49a5:5fd4:b121)) 56 data bytes

Beachten Sie, dass der Ping fehlschlägt und der Datenverkehr blockiert ist.

Bereinigen

In diesem Abschnitt löschen Sie alle Ressourcen, die Sie für dieses erweiterte Beispiel erstellt haben. Es ist wichtig, die Ressourcen zu bereinigen, um zusätzliche Gebühren für Ressourcen zu vermeiden, die in Ihrem Konto erstellt wurden.

Löschen Sie die Ressourcen CloudFormation

Füllen Sie diesen Abschnitt aus, um die Ressourcen zu löschen, die Sie mit der AWS CloudFormation Vorlage erstellt haben.

AWS Management Console

Öffnen Sie die AWS CloudFormation Konsole unterhttps://console.aws.amazon.com/cloudformation/.
Wählen Sie den VPC BPA Stapel aus.
Wählen Sie Löschen.
Sobald Sie mit dem Löschen des Stacks begonnen haben, sehen Sie sich auf der Registerkarte Ereignisse den Fortschritt an und stellen Sie sicher, dass der Stapel gelöscht wurde. Möglicherweise müssen Sie das Löschen des Stacks erzwingen, damit er vollständig gelöscht wird.

AWS CLI

Löschen Sie den CloudFormation Stack. Möglicherweise müssen Sie das Löschen des Stacks erzwingen, damit er vollständig gelöscht wird.
```
aws cloudformation delete-stack --stack-name VPC-BPA-stack --region us-east-2
```
Sehen Sie sich den Fortschritt an und stellen Sie sicher, dass der Stapel gelöscht wurde.
```
aws cloudformation describe-stack-events --stack-name VPC-BPA-stack --region us-east-2
```

Verfolgen Sie das Löschen von Ausschlüssen mit AWS CloudTrail

Füllen Sie diesen Abschnitt aus, um das Löschen von Ausschlüssen mit zu verfolgen AWS CloudTrail. CloudTrail Einträge werden angezeigt, wenn Sie eine Ausnahme löschen.

Das erweiterte Beispiel ist abgeschlossen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Compliance-Validierung

Bewährte Methoden