Évaluer l’impact de la fonctionnalité BPA et surveiller la fonctionnalité BPA
Cette section contient des informations sur l’évaluation de l’impact de la fonctionnalité VPC BPA avant de l’activer et sur la manière de contrôler si le trafic est bloqué après son activation.
Évaluer l’impact de la fonctionnalité BPA à l’aide de Analyseur d'accès réseau
Dans cette section, vous allez utiliser Analyseur d'accès réseau pour afficher les ressources de votre compte qui utilisent une passerelle Internet avant d’activer la fonctionnalité VPC BPA et de bloquer l’accès. Utilisez cette analyse pour comprendre l’impact de l’activation de la fonctionnalité VPC BPA sur votre compte et du blocage du trafic.
L’analyseur d’accès réseau ne prend pas en charge IPv6. Vous ne pourrez donc pas l’utiliser pour évaluer l’impact potentiel du BPA sur le trafic IPv6 sortant de la passerelle Internet de sortie uniquement.
Les analyses que vous effectuez avec l’analyseur d’accès réseau vous sont facturées. Pour plus d’informations, consultez Tarification dans le Guide Analyseur d'accès réseau.
Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accès réseau et de l’analyseur d’accessibilité, consultez les sections Restrictions dans le Guide de l’analyseur d’accès réseau.
- AWS Management Console
-
-
Ouvrez la console AWS Network Insights à l’adresse https://console.aws.amazon.com/networkinsights/.
-
Choisissez Analyseur d’accès réseau.
-
Choisissez Créer une étendue Network Access.
-
Choisissez Évaluer l’impact de la fonctionnalité VPC Block Public Access, puis cliquez sur Suivant.
-
Le modèle est déjà configuré pour analyser le trafic à destination et en provenance des passerelles Internet de votre compte. Vous pouvez le consulter sous Source et Destination.
-
Choisissez Suivant.
-
Choisissez Créer une étendue Network Access.
-
Choisissez l’étendue que vous venez de créer, puis sélectionnez Analyser.
-
Attendez que l’analyse se termine.
-
Affichez les résultats de l’analyse. Chaque ligne sous Résultats indique le chemin réseau qu’un paquet peut emprunter sur un réseau à destination ou en provenance d’une passerelle Internet de votre compte. Dans ce cas, si vous activez la fonctionnalité VPC BPA et qu’aucun des VPC et/ou des sous-réseaux figurant dans ces résultats n’est configuré comme une exclusion BPA, le trafic vers ces VPC et sous-réseaux est restreint.
-
Analysez chaque résultat pour comprendre l’impact de la fonctionnalité BPA sur les ressources de vos VPC.
L’analyse de l’impact est terminée.
- AWS CLI
-
-
Créez une étendue d’accès au réseau :
aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"
-
Lancez l’analyse de l’étendue :
aws ec2 start-network-insights-access-scope-analysis --region us-east-2 --network-insights-access-scope-id nis-id
-
Obtenez les résultats de l’analyse :
aws ec2 get-network-insights-access-scope-analysis-findings --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1
Les résultats indiquent le trafic à destination et en provenance des passerelles Internet dans tous les VPC de votre compte. Les résultats sont organisés sous forme de « findings ». « FindingId » : « AnalysisFinding-1 » indique qu’il s’agit du premier résultat de l’analyse. Notez qu’il existe plusieurs résultats et que chacun indique un flux de trafic affecté par l’activation de la fonctionnalité VPC BPA. Le premier résultat montre que le trafic a débuté sur une passerelle Internet (« SequenceNumber » : 1), a été transmis d’une une liste ACL réseau (« SequenceNumber » : 2) à un groupe de sécurité (« SequenceNumber » : 3) et s’est terminé sur une instance (« SequenceNumber » : 4).
-
Analysez les résultats pour comprendre l’impact de la fonctionnalité BPA sur les ressources de vos VPC.
L’analyse de l’impact est terminée.
Surveiller l’impact de la fonctionnalité BPA à l’aide de journaux de flux
La fonctionnalité de journaux de flux VPC vous permet de capturer des informations sur le trafic IP circulant vers et depuis les interfaces réseau Elastic dans votre VPC. Vous pouvez utiliser cette fonctionnalité pour surveiller le trafic que VPC BPA empêche d’atteindre les interfaces réseau de votre instance.
Créez un journal de flux pour votre VPC en suivant les étapes décrites dans Utiliser des journaux de flux.
Lorsque vous créez le journal de flux, assurez-vous d’utiliser un format personnalisé qui inclut le champ reject-reason.
Lorsque vous affichez les journaux de flux, si le trafic vers une ENI est rejeté en raison de la fonctionnalité BPA, vous verrez un reject-reason de BPA dans l’entrée du journal de flux.
Outre les restrictions standard relatives aux journaux de flux VPC, notez les restrictions suivantes spécifiques à VPC BPA :
-
Les journaux de flux de la fonctionnalité VPC BPA n’incluent pas les enregistrements ignorés.
-
Les journaux de flux de la fonctionnalité VPC BPA n’inclus pas les bytes même si vous incluez le champ bytes dans votre journal de flux.
Suivre la suppression des exclusions à l’aide de CloudTrail
Cette section explique comment vous pouvez utiliser AWS CloudTrail pour surveiller et suivre la suppression des exclusions de la fonctionnalité VPC BPA.
- AWS Management Console
-
Vous pouvez afficher toutes les exclusions supprimées dans Historique des événements CloudTrail en recherchant Type de ressource > AWS::EC2::VPCBlockPublicAccessExclusion dans la console AWS CloudTrail à l’adresse https://console.aws.amazon.com/cloudtrailv2/.
- AWS CLI
-
Vous pouvez utiliser la commande lookup-events pour afficher les événements liés à la suppression d’exclusions :
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion
Vérifier que la connectivité est bloquée à l’aide de l’analyseur d’accessibilité
L’analyseur d’accessibilité VPC peut être utilisé pour évaluer si certains chemins d’accès réseau sont accessibles en fonction de la configuration de votre réseau, y compris les paramètres VPC BPA.
Pour plus d’informations sur la disponibilité régionale de l’analyseur d’accessibilité, consultez Considérations dans le Guide de l’analyseur d’accessibilité.
- AWS Management Console
-
-
Ouvrez la console Network Insights à l’adresse https://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer.
-
Cliquez sur Créer et analyser le chemin.
-
Pour Type de source, choisissez Passerelles Internet et sélectionnez la passerelle Internet pour laquelle vous souhaitez bloquer le trafic dans le menu déroulant Source.
-
Pour Type de destination, choisissez Instances et sélectionnez l’instance pour laquelle vous souhaitez bloquer le trafic dans le menu déroulant Destination.
-
Cliquez sur Créer et analyser le chemin.
-
Attendez que l’analyse se termine. Cela peut prendre quelques minutes.
-
Une fois terminé, vous devez voir que l’état d’accessibilité est Impossible à atteindre et que les détails du chemin d’accès indiquent que VPC_BLOCK_PUBLIC_ACCESS_ENABLED est la cause de ce problème d’accessibilité.
- AWS CLI
-
-
Créez un chemin réseau en utilisant l’ID de la passerelle Internet pour laquelle vous souhaitez bloquer le trafic en provenance (source) et l’ID de l’instance pour laquelle vous souhaitez bloquer le trafic à destination (destination) :
aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP
-
Lancez une analyse sur le chemin réseau :
aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id
-
Récupérez les résultats de l’analyse :
aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id
-
Vérifiez que VPC_BLOCK_PUBLIC_ACCESS_ENABLED est le ExplanationCode du manque d’accessibilité.
