.amazonaws.com/`
La tabella seguente elenca le porte richieste.
|
|
| Origine | Destinazione | Porta | Per ulteriori informazioni, consultare la pagina |
| --- |--- |--- |--- |
| Centro dati di origine | Servizio Amazon S3 URLs | 443 (TCP) | [Comunicazione tramite porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Centro dati di origine | Regione AWS-indirizzo di console specifico per Application Migration Service | 443 (TCP) | [Comunicazione tra i server di origine e Application Migration Service tramite la porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Centro dati di origine | Sottorete dell'area di staging | 1500 (TCP) | [Comunicazione tra i server di origine e la sottorete dell'area di staging tramite la porta TCP 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Sottorete dell'area di staging | Regione AWS-indirizzo di console specifico per Application Migration Service | 443 (TCP) | [Comunicazione tra la sottorete dell'area di staging e Application Migration Service tramite la porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Area di staging (sottorete) | Servizio Amazon S3 URLs | 443 (TCP) | [Comunicazione tramite porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Area di staging (sottorete) | Endpoint Amazon Elastic Compute Cloud (Amazon EC2) della sottorete Regione AWS | 443 (TCP) | [Comunicazione tramite la porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
**Limitazioni di **
Il servizio di migrazione delle applicazioni non è attualmente disponibile in tutti Regioni AWS i sistemi operativi.
+ [Supportato Regioni AWS](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Sistemi operativi supportati](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Architecture
Il diagramma seguente illustra l'architettura di rete per una migrazione tipica. Per ulteriori informazioni su questa architettura, vedere la [documentazione di Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) e il video sull'architettura del servizio [Application Migration Service e sull'architettura di rete](https://youtu.be/ao8geVzmmRo).
![\[Architettura di rete per Application Migration Service per una migrazione tipica\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
La seguente visualizzazione dettagliata mostra la configurazione degli endpoint VPC dell'interfaccia nell'area di staging VPC per connettere Amazon S3 e Application Migration Service.
![\[Architettura di rete per Application Migration Service per una migrazione tipica - visualizzazione dettagliata\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Tools (Strumenti)
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)semplifica, accelera e riduce i costi di rehosting delle applicazioni su. AWS
+ [Gli endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) consentono di connettersi a servizi alimentati da AWS PrivateLink senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel VPC non richiedono indirizzi IP pubblici per comunicare con le risorse nel servizio. Il traffico tra il VPC e gli altri servizi rimane all’interno della rete Amazon.
## Epiche
### Crea endpoint per Application Migration Service EC2, Amazon e Amazon S3
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Configurare l'endpoint di interfaccia per Application Migration Service. | Il data center di origine e l'area di staging (VPC) si connettono privatamente al piano di controllo dell'Application Migration Service tramite l'endpoint di interfaccia creato nell'area di staging di destinazione (VPC). Per creare l'endpoint:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Per ulteriori informazioni, consulta [Accedere e Servizio AWS utilizzare un endpoint VPC di interfaccia nella documentazione di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). | Responsabile della migrazione |
| Configura l'endpoint di interfaccia per Amazon EC2. | L'area di staging VPC si connette privatamente all'API EC2 Amazon tramite l'endpoint di interfaccia creato nell'area di staging di destinazione VPC. Per creare l'endpoint, segui le istruzioni fornite nella storia precedente.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Responsabile della migrazione |
| Configura l'endpoint di interfaccia per Amazon S3. | Il data center di origine e l'area di staging (VPC) si connettono privatamente all'API Amazon S3 tramite l'endpoint di interfaccia creato nel VPC dell'area di staging di destinazione. Per creare l'endpoint, segui le istruzioni fornite nella prima storia.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Si utilizza un endpoint di interfaccia perché le connessioni degli endpoint gateway non possono essere estese al di fuori di un VPC. [(Per i dettagli, consulta la AWS PrivateLink documentazione.)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) | Responsabile della migrazione |
| Configura l'endpoint Amazon S3 Gateway. | Durante la fase di configurazione, il server di replica deve connettersi a un bucket S3 per scaricare gli aggiornamenti software del AWS Replication Server. *Tuttavia, gli endpoint dell'interfaccia Amazon S3 non supportano nomi DNS privati e non è possibile fornire un nome DNS di endpoint Amazon S3 a un server di replica.* Per mitigare questo problema, crei un endpoint gateway Amazon S3 nel VPC a cui appartiene la sottorete dell'area di staging e aggiorna le tabelle di routing della sottorete di staging con le route pertinenti. [Per ulteriori informazioni, consulta Creare un endpoint gateway nella documentazione.](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) AWS PrivateLink | Amministratore cloud |
| Configura il DNS locale per risolvere i nomi DNS privati per gli endpoint. | Gli endpoint di interfaccia per Application Migration Service e Amazon EC2 dispongono di nomi DNS privati che possono essere risolti nel VPC. Tuttavia, devi anche configurare i server locali per risolvere i nomi DNS privati per questi endpoint di interfaccia.Esistono diversi modi per configurare questi server. In questo modello, abbiamo testato questa funzionalità inoltrando le query DNS locali all'endpoint in Amazon Route 53 Resolver entrata nell'area di staging VPC. Per ulteriori informazioni, consulta [Risoluzione delle query DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) tra e la rete nella documentazione di Route 53. VPCs | Ingegnere della migrazione |
### Connettersi al piano di controllo dell'Application Migration Service tramite un collegamento privato
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Installare AWS Replication Agent utilizzando AWS PrivateLink. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Ecco un esempio per Linux:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Dopo aver stabilito la connessione con Application Migration Service e installato AWS Replication Agent, segui le istruzioni nella [documentazione di Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html) per migrare i server di origine al VPC e alla sottorete di destinazione. | Tecnico di migrazione |
## Risorse correlate
**Documentazione del servizio di migrazione delle applicazioni**
+ [Concetti](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [Workflow di migrazione](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Guida rapida di avvio](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [DOMANDE FREQUENTI](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Risoluzione dei problemi](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Altre risorse**
+ [Rehosting delle applicazioni in un'architettura multi-account utilizzando gli endpoint dell'interfaccia VPC (guida Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/)) AWS AWS
+ [AWS Application Migration Service — Un'introduzione tecnica](https://www.aws.training/Details/eLearning?id=71732) (procedura dettagliata di formazione e certificazione)AWS
+ [AWS Application Migration Service architettura e architettura di rete (video](https://youtu.be/ao8geVzmmRo))
## Informazioni aggiuntive
**Risoluzione dei problemi relativi** alle **installazioni *AWS *di Replication Agent sui server Linux**
Se ricevi un errore **gcc** su un server Amazon Linux, configura l'archivio dei pacchetti e usa il seguente comando:
```
## sudo yum groupinstall "Development Tools"
```
# Crea oggetti Infoblox utilizzando risorse CloudFormation personalizzate AWS e Amazon SNS
*Tim Sutton, Amazon Web Services*
## Riepilogo
**Avviso**: non AWS Cloud9 è più disponibile per i nuovi clienti. I clienti esistenti di AWS Cloud9 possono continuare a utilizzare il servizio normalmente. [Ulteriori informazioni](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Infoblox Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP) e gestione degli indirizzi IP ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) consentono di centralizzare e controllare in modo efficiente un ambiente ibrido complesso. Con Infoblox DDI, è possibile scoprire e registrare tutte le risorse di rete in un database autorevole di gestione degli indirizzi IP (IPAM), oltre a gestire il DNS in locale e sul cloud Amazon Web Services (AWS) utilizzando le stesse appliance.
Questo modello descrive come utilizzare una risorsa CloudFormation personalizzata AWS per creare oggetti Infoblox (ad esempio record DNS o oggetti IPAM) chiamando l'API WAPI di Infoblox. [Per ulteriori informazioni sulla WAPI di Infoblox, consulta la documentazione WAPI nella documentazione di Infoblox.](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf)
Utilizzando l'approccio di questo modello, puoi ottenere una visione unificata dei record DNS e delle configurazioni IPAM per i tuoi ambienti AWS e locali, oltre a rimuovere i processi manuali che creano record e forniscono le tue reti. È possibile utilizzare l'approccio di questo pattern per i seguenti casi d'uso:
+ Aggiungere un record A dopo aver creato un'istanza Amazon Elastic Compute Cloud (Amazon EC2)
+ Aggiungere un record CNAME dopo aver creato un Application Load Balancer
+ Aggiungere un oggetto di rete dopo aver creato un cloud privato virtuale (VPC)
+ Fornire l'intervallo di rete successivo e utilizzare tale intervallo per creare sottoreti
È inoltre possibile estendere questo modello e utilizzare altre funzionalità del dispositivo Infoblox, come l'aggiunta di diversi tipi di record DNS o la configurazione di Infoblox vDiscovery.
Il modello utilizza un hub-and-spoke design in cui l'hub richiede la connettività all'appliance Infoblox sul cloud AWS o in locale e utilizza AWS Lambda per chiamare l'API Infoblox. Lo spoke si trova nello stesso account o in un altro account della stessa organizzazione in AWS Organizations e richiama la funzione Lambda utilizzando una risorsa CloudFormation personalizzata AWS.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un'appliance o una griglia Infoblox esistente, installata sul cloud AWS, in locale o entrambi, e configurata con un utente amministratore in grado di amministrare azioni IPAM e DNS. Per ulteriori informazioni a riguardo, consulta Informazioni sugli account di [amministrazione nella documentazione di](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) Infoblox.
+ Una zona autorevole DNS esistente a cui si desidera aggiungere record sull'appliance Infoblox. Per ulteriori informazioni su questo argomento, vedere [Configurazione](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) delle zone autoritative nella documentazione di Infoblox.
+ Due account AWS attivi in AWS Organizations. Un account è l'account hub e l'altro account è l'account spoke.
+ Gli account hub and spoke devono trovarsi nella stessa regione AWS.
+ Il VPC dell'account hub deve connettersi all'appliance Infoblox, ad esempio utilizzando AWS Transit Gateway o il peering VPC.
+ [AWS Serverless Application Model (AWS SAM), installato e configurato](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) localmente con AWS Cloud9 o AWS. CloudShell
+ I `ClientTest.yaml` file `Infoblox-Hub.zip` and (allegati), scaricati nell'ambiente locale che contiene AWS SAM.
**Limitazioni**
+ Il token di servizio della risorsa CloudFormation personalizzata AWS deve provenire dalla stessa regione in cui viene creato lo stack. Ti consigliamo di utilizzare un account hub in ogni regione, anziché creare un argomento Amazon Simple Notification Service (Amazon SNS) in una regione e richiamare la funzione Lambda in un'altra regione.
**Versioni del prodotto**
+ Infoblox WAPI versione 2.7
## Architecture
I seguenti diagrammi mostrano il flusso di lavoro di questo modello.
![\[Creazione di oggetti Infoblox utilizzando risorse CloudFormation personalizzate AWS e Amazon SNS.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
Il diagramma mostra i seguenti componenti per la soluzione di questo pattern:
1. Le risorse CloudFormation personalizzate AWS ti consentono di scrivere logiche di provisioning personalizzate nei modelli che AWS CloudFormation esegue quando crei, aggiorni o elimini stack. Quando crei uno stack, AWS CloudFormation invia una `create` richiesta a un argomento SNS monitorato da un'applicazione in esecuzione su un' EC2 istanza.
1. La notifica Amazon SNS proveniente dalla risorsa CloudFormation personalizzata AWS è crittografata tramite una chiave AWS Key Management Service (AWS KMS) specifica e l'accesso è limitato agli account dell'organizzazione in Organizations. L'argomento SNS avvia la risorsa Lambda che chiama l'API WAPI di Infoblox.
1. Amazon SNS richiama le seguenti funzioni Lambda che utilizzano l'URL WAPI Infoblox, il nome utente e la password AWS Secrets Manager Amazon Resource Names () come variabili di ambiente: ARNs
+ `dnsapi.lambda_handler`— Riceve `DNSName` i `DNSType` `DNSValue` valori e dalla risorsa CloudFormation personalizzata AWS e li utilizza per creare record DNS A e CNAMES.
+ `ipaddr.lambda_handler`— Riceve i `Network Name` valori `VPCCIDR``Type`,`SubnetPrefix`, e dalla risorsa CloudFormation personalizzata AWS e li utilizza per aggiungere i dati di rete al database IPAM di Infoblox o fornire alla risorsa personalizzata la prossima rete disponibile che può essere utilizzata per creare nuove sottoreti.
+ `describeprefixes.lambda_handler`— Richiama l'API `describe_managed_prefix_lists` AWS utilizzando il `"com.amazonaws."+Region+".s3"` filtro per recuperare i dati richiesti. `prefix ID`
**Importante**
Queste funzioni Lambda sono scritte in Python e sono simili tra loro ma chiamano in modo diverso. APIs
1. È possibile implementare la griglia Infoblox come appliance di rete fisiche, virtuali o basate sul cloud. Può essere distribuito in locale o come appliance virtuale utilizzando una serie di hypervisor, tra cui VMware ESXi Microsoft Hyper-V, Linux KVM e Xen. Puoi anche distribuire la griglia Infoblox sul cloud AWS con un'Amazon Machine Image (AMI).
1. Il diagramma mostra una soluzione ibrida per la griglia Infoblox che fornisce DNS e IPAM alle risorse sul cloud AWS e in locale.
**Stack tecnologico**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ AWS SAM
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Tools (Strumenti)
+ [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ti CloudFormation aiuta a configurare le risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle durante tutto il loro ciclo di vita su account e regioni AWS.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) ti aiuta a creare e controllare chiavi crittografiche per proteggere i tuoi dati.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) è un servizio di elaborazione che ti aiuta a eseguire codice senza dover fornire o gestire server. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di calcolo che utilizzi.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) è un servizio di gestione degli account che ti aiuta a consolidare più account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ti aiuta a sostituire le credenziali codificate nel codice, comprese le password, con una chiamata API a Secrets Manager per recuperare il segreto a livello di codice.
+ [AWS Serverless Application Model (AWS SAM) Serverless Application Model (AWS](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) SAM) è un framework open source che ti aiuta a creare applicazioni serverless nel cloud AWS.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ti aiuta a lanciare le risorse AWS in una rete virtuale che hai definito. Questa rete virtuale è simile a una rete tradizionale che gestiresti nel tuo data center, con i vantaggi dell'utilizzo dell'infrastruttura scalabile di AWS.
**Codice**
Puoi utilizzare il CloudFormation modello AWS di `ClientTest.yaml` esempio (allegato) per testare l'hub Infoblox. Puoi personalizzare il CloudFormation modello AWS per includere le risorse personalizzate dalla tabella seguente.
| |
| --- |
| Crea un record A utilizzando la risorsa personalizzata Infoblox Spoke | Valori restituiti: `infobloxref `— Riferimenti InfobloxRisorsa di esempio:
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| Crea un record CNAME utilizzando la risorsa personalizzata Infoblox spoke | **Valori restituiti:** `infobloxref `— Riferimenti InfobloxRisorsa di **esempio**:CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| Crea un oggetto di rete utilizzando la risorsa personalizzata Infoblox spoke | **Valori restituiti:**`infobloxref `— Riferimenti Infoblox`network`— Intervallo di rete (uguale a) `VPCCIDR`**Risorsa di esempio:**VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Recupera la prossima sottorete disponibile utilizzando la risorsa personalizzata Infoblox spoke | **Valori restituiti:**`infobloxref`— Riferimenti Infoblox`network `— L'intervallo di rete della sottorete**Risorsa di esempio:**Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Epiche
### Crea e configura il VPC dell'account hub
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Creare un VPC con una connessione all'appliance Infoblox. | Accedi alla Console di gestione AWS per il tuo account hub e crea un VPC seguendo i passaggi della distribuzione di riferimento Amazon [VPC sulla distribuzione di riferimento AWS Cloud Quick Start da AWS Quick Starts](https://aws-quickstart.github.io/quickstart-aws-vpc/).Il VPC deve disporre di connettività HTTPS all'appliance Infoblox e si consiglia di utilizzare una sottorete privata per questa connessione. | Amministratore di rete, amministratore di sistema |
| (Facoltativo) Crea gli endpoint VPC per le sottoreti private. | Gli endpoint VPC forniscono connettività ai servizi pubblici per le sottoreti private. Sono richiesti i seguenti endpoint:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Per ulteriori informazioni sulla creazione di endpoint per sottoreti private, consulta [Endpoint VPC nella documentazione di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html). | Amministratore di rete, amministratore di sistema |
### Implementa l'hub Infoblox
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea il modello AWS SAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Sviluppatore, amministratore di sistema |
| Implementa il modello AWS SAM. | Il `sam deploy` comando prende i parametri richiesti e li salva nel `samconfig.toml` file, archivia il CloudFormation modello AWS e le funzioni Lambda in un bucket S3, quindi distribuisce il CloudFormation modello AWS nell'account dell'hub. Il seguente codice di esempio mostra come distribuire il modello AWS SAM:$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
È necessario utilizzare l'`--guided`opzione ogni volta perché le credenziali di accesso di Infoblox non sono memorizzate nel file. `samconfig.toml` | Sviluppatore, amministratore di sistema |
## Risorse correlate
+ [Guida introduttiva all' WAPIs utilizzo di Postman](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/) (Infoblox Blog)
+ [Provisioning di VNIOS per AWS utilizzando il modello BYOL](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model) (documentazione Infoblox)
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(GitHub repo)
+ [describe\$1managed\$1prefix\$1lists (documentazione](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) dell'SDK AWS per Python)
## Allegati
[Per accedere a contenuti aggiuntivi associati a questo documento, decomprimi il seguente file: attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Crea un'architettura IPAM gerarchica e multiregionale utilizzando Terraform AWS
*Donny Schreiber, Amazon Web Services*
## Riepilogo
*La gestione degli indirizzi IP (IPAM)* è un componente fondamentale della gestione della rete e diventa sempre più complessa man mano che le organizzazioni scalano la propria infrastruttura cloud. Senza un IPAM adeguato, le organizzazioni rischiano conflitti di indirizzi IP, spreco di spazio di indirizzamento e risoluzione di problemi complessi che possono portare a interruzioni e tempi di inattività delle applicazioni. Questo modello dimostra come implementare una soluzione IPAM completa per ambienti aziendali utilizzando Terraform. AWS HashiCorp [Aiuta le organizzazioni a creare un'architettura IPAM gerarchica e multiregionale che facilita la gestione centralizzata degli indirizzi IP in tutta l'organizzazione. Account AWSAWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Questo modello ti aiuta a implementare [Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) con una sofisticata gerarchia di pool a quattro livelli: pool di primo livello, pool regionali, pool di unità aziendali e pool specifici per ambiente. Questa struttura supporta una corretta governance degli indirizzi IP, consentendo al contempo la delega della gestione degli IP ai team appropriati all'interno dell'organizzazione. La soluzione utilizza AWS Resource Access Manager (AWS RAM) per condividere senza problemi i pool di IP Address Manager in tutta l'organizzazione. AWS RAM centralizza e standardizza le specifiche IPAM, su cui i team possono basarsi per tutti gli account gestiti.
Questo modello può aiutarti a raggiungere i seguenti obiettivi:
+ Automatizza l'allocazione degli indirizzi IP tra Regioni AWS unità aziendali e ambienti.
+ Applica le politiche di rete organizzative attraverso la convalida programmatica.
+ Scala l'infrastruttura di rete in modo efficiente man mano che i requisiti aziendali si evolvono.
+ Riduci il sovraccarico operativo attraverso la gestione centralizzata degli spazi degli indirizzi IP.
+ Accelera le implementazioni dei carichi di lavoro nativi sul cloud con l'allocazione self-service della gamma CIDR.
+ Previeni i conflitti di indirizzo attraverso controlli e convalide basati su policy.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Uno o più Account AWS, gestiti come organizzazione in. AWS Organizations
+ Un hub di rete o un account di gestione della rete che fungerà da amministratore delegato di IP Address Manager.
+ AWS Command Line Interface (AWS CLI), [installato](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [configurato](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ [Terraform versione 1.5.0 o successiva, installata.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ AWS [Provider per Terraform, configurato.](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
+ Autorizzazioni per gestire [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) e [cloud privati virtuali (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), configurati in AWS Identity and Access Management (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)
**Limitazioni**
+ IP Address Manager è soggetto a [quote di servizio](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). La quota di servizio predefinita per i pool è 50 per ambito. L'esecuzione di questa distribuzione per 6 regioni, 2 unità aziendali e 4 ambienti creerebbe 67 pool. Pertanto, potrebbe essere necessario aumentare la quota.
+ La modifica o l'eliminazione dei pool di IP Address Manager dopo l'allocazione delle risorse può causare problemi di dipendenza. È necessario [rilasciare l'allocazione](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html) prima di poter eliminare il pool.
+ In IP Address Manager, il [monitoraggio delle risorse](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) può subire un leggero ritardo nel riflettere le modifiche alle risorse. Questo ritardo può essere di circa 20 minuti.
+ IP Address Manager non può applicare automaticamente l'unicità dell'indirizzo IP in diversi ambiti.
+ [I tag personalizzati devono rispettare le migliori pratiche di etichettatura.AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) Ad esempio, ogni chiave deve essere unica e non può iniziare con. `aws:`
+ Esistono [considerazioni e limitazioni](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html) quando si integra IP Address Manager con account esterni all'organizzazione.
## Architecture
**Architettura Target**
*Configurazione e gerarchia dei pool di IP Address Manager*
Il diagramma seguente mostra i costrutti logici dell'architettura di destinazione. Un *ambito* è il contenitore di livello più alto in IP Address Manager. Ogni ambito rappresenta lo spazio degli indirizzi IP per una singola rete. I *pool* sono raccolte di intervalli di indirizzi IP contigui (o intervalli CIDR) all'interno dell'ambito. I pool consentono di organizzare gli indirizzi IP in base alle esigenze di routing e sicurezza. Questo diagramma mostra quattro livelli gerarchici di pool: un pool di primo livello, pool regionali, pool di unità aziendali e pool di ambienti.
![\[Un ambito privato e quattro livelli di pool in una singola regione AWS in un account di rete.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Questa soluzione stabilisce una chiara gerarchia di pool di IP Address Manager:
1. Il pool di primo livello comprende l'intero spazio di indirizzi IP dell'organizzazione, ad esempio. `10.176.0.0/12`
1. I pool regionali sono destinati ad allocazioni specifiche della regione, ad esempio per. `10.176.0.0/15` `us-east-1`
1. I pool di unità aziendali sono allocazioni specifiche del dominio all'interno di ciascuno di essi. Regione AWS Ad esempio, l'unità operativa finanziaria della regione potrebbe avere. `us-east-1` `10.176.0.0/16`
1. I pool di ambienti sono allocazioni specifiche per diversi ambienti. Ad esempio, l'unità operativa finanziaria della `us-east-1` regione potrebbe disporre di un ambiente `10.176.0.0/18` di produzione.
Questa topologia di distribuzione distribuisce geograficamente le risorse di IP Address Manager mantenendo il controllo centralizzato. Le sue caratteristiche sono le seguenti:
+ IP Address Manager viene distribuito in un unico sistema primario Regione AWS.
+ Le regioni aggiuntive vengono registrate come [aree operative](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html), in cui IP Address Manager può gestire le risorse.
+ Ogni regione operativa riceve un pool di indirizzi dedicato dal pool di livello superiore.
+ Le risorse in tutte le regioni operative sono gestite centralmente tramite IP Address Manager nella regione principale.
+ Ogni pool regionale ha una proprietà locale legata alla relativa regione per aiutarti ad allocare correttamente le risorse.
*Convalida avanzata dell'intervallo CIDR*
Questa soluzione è progettata per impedire l'implementazione di configurazioni non valide. Quando si distribuiscono i pool tramite Terraform, durante la fase del piano Terraform viene convalidato quanto segue:
+ Verifica che tutti gli intervalli CIDR dell'ambiente siano contenuti negli intervalli CIDR dell'unità aziendale principale
+ Conferma che tutti gli intervalli CIDR delle unità aziendali sono contenuti negli intervalli CIDR regionali principali
+ Verifica che tutti gli intervalli CIDR regionali siano contenuti negli intervalli CIDR di primo livello
+ Verifica la presenza di intervalli CIDR sovrapposti all'interno dello stesso livello gerarchico
+ Convalida la corretta mappatura degli ambienti nelle rispettive unità aziendali
*Allocazione dell'intervallo CIDR*
Il diagramma seguente mostra un esempio di come gli sviluppatori o gli amministratori possono creare nuovi indirizzi IP VPCs e allocarli dai livelli del pool.
![\[Un ambito privato e quattro livelli di pool in una singola regione AWS in un account di rete.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
Il diagramma mostra il flusso di lavoro seguente:
1. Tramite il Console di gestione AWS AWS CLI, o tramite infrastructure as code (IaC), uno sviluppatore o un amministratore richiede il successivo intervallo CIDR disponibile nel pool di `AY3` ambienti.
1. IP Address Manager alloca il successivo intervallo CIDR disponibile in quel pool al `AY3-4` VPC. Questo intervallo CIDR non può più essere utilizzato.
**Automazione e scalabilità**
Questa soluzione è progettata per la scalabilità come segue:
+ **Espansione regionale**: aggiungi nuove regioni estendendo la configurazione Terraform con ulteriori voci del pool regionale.
+ **Crescita delle unità aziendali**: supporta nuove unità aziendali aggiungendole alla mappa di configurazione della BU.
+ **Flessibilità dell'ambiente**: configura diversi tipi di ambiente, come lo sviluppo o la produzione, in base alle esigenze organizzative.
+ **Supporto per più account**: condividi i pool tra tutti gli account dell'organizzazione tramite AWS RAM.
+ Provisioning **VPC automatizzato: integrazione con i flussi di lavoro di provisioning** VPC per automatizzare l'allocazione degli intervalli CIDR.
La struttura gerarchica consente inoltre diverse scale di delega e controllo, come le seguenti:
+ Gli amministratori di rete potrebbero gestire i pool di primo livello e quelli regionali.
+ I team IT delle unità aziendali potrebbero aver delegato il controllo dei rispettivi pool.
+ I team applicativi potrebbero utilizzare gli indirizzi IP dei pool di ambienti designati.
**Nota**
Puoi anche integrare questa soluzione con [AWS Control Tower Account Factory for Terraform (AFT).](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html) Per ulteriori informazioni, vedere *Integrazione con AFT* nella sezione [Informazioni aggiuntive](#multi-region-ipam-architecture-additional) di questo modello.
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ti CloudWatch aiuta a monitorare i parametri delle tue AWS risorse e delle applicazioni su cui esegui AWS in tempo reale.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) è uno strumento open source che ti aiuta a interagire Servizi AWS tramite comandi nella shell della riga di comando.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che consente di consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ti aiuta a condividere in modo sicuro le tue risorse Account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ti aiuta a lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS. [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) è una funzionalità di Amazon VPC. Ti aiuta a pianificare, tracciare e monitorare gli indirizzi IP per i tuoi AWS carichi di lavoro.
**Altri strumenti**
+ [HashiCorp Terraform](https://www.terraform.io/docs) è uno strumento Infrastructure as Code (IaC) che consente di utilizzare il codice per fornire e gestire l'infrastruttura e le risorse cloud.
**Archivio di codici**
Il codice per questo modello è disponibile nel [Sample Terraform Implementation for Hierarchical IPAM](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform) sul repository on. AWS** GitHub** La struttura del repository include:
+ **Modulo root**: orchestrazione della distribuzione e variabili di input.
+ **Modulo IPAM**: implementazione principale dell'architettura descritta in questo modello.
+ **Modulo Tags**: etichettatura standardizzata per tutte le risorse.
## Best practice
Considerate le seguenti best practice per la pianificazione della rete:
+ **Pianifica prima**: pianifica accuratamente lo spazio degli indirizzi IP prima dell'implementazione. Per ulteriori informazioni, consulta [Piano per il provisioning degli indirizzi IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Evita la sovrapposizione degli intervalli CIDR: assicurati che gli intervalli** CIDR di ogni livello non si sovrappongano.
+ **Riserva spazio nel buffer**: alloca sempre intervalli CIDR più ampi di quelli immediatamente necessari per far fronte alla crescita.
+ **Documenta l'allocazione degli indirizzi IP**: conserva la documentazione della tua strategia di allocazione degli indirizzi IP.
Considerate le seguenti best practice di implementazione:
+ **Inizia con la non produzione**: esegui prima l'implementazione in ambienti non di produzione.
+ **Usa la gestione dello stato di Terraform**: implementa l'archiviazione e il blocco dello stato remoti. Per ulteriori informazioni, consulta [Archiviazione e blocco dello stato](https://developer.hashicorp.com/terraform/language/state/backends) nella documentazione di Terraform.
+ **Implementa il controllo della versione**: controlla la versione di tutto il codice Terraform.
+ ** CI/CD Implementazione dell'integrazione**: utilizza pipeline di integrazione continua e distribuzione continua (CI/CD) per implementazioni ripetibili.
Considerate le seguenti best practice operative:
+ **Abilita l'importazione automatica**: configura un pool di IP Address Manager per scoprire e importare automaticamente le risorse esistenti. Segui le istruzioni in [Modifica un pool IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html) per attivare l'importazione automatica.
+ **Monitora l'utilizzo degli indirizzi IP**: imposta allarmi per le soglie di utilizzo degli indirizzi IP. Per ulteriori informazioni, consulta [Monitorare l'IPAM con Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Verifica periodica**: verifica periodicamente l'utilizzo e la conformità degli indirizzi IP. Per ulteriori informazioni, consulta [Monitoraggio dell'utilizzo degli indirizzi IP in IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Pulisci le allocazioni inutilizzate: rilascia le allocazioni degli** indirizzi IP quando le risorse vengono disattivate. [Per ulteriori informazioni, consulta Deprovisioning from a pool. CIDRs ](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html)
Considerate le seguenti best practice di sicurezza:
+ **Implementa il privilegio minimo**: utilizza i ruoli IAM con le autorizzazioni minime richieste. Per ulteriori informazioni, consulta le [best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) e la [gestione delle identità e degli accessi in](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) IPAM.
+ **Utilizza le politiche di controllo dei servizi**: implementa le politiche di controllo dei servizi (SCPs) per applicare l'utilizzo di IP Address Manager nella tua organizzazione. Per ulteriori informazioni, consulta Implementare [l'uso di IPAM per la creazione di VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) con. SCPs
+ **Controlla la condivisione delle risorse**: gestisci con attenzione l'ambito della condivisione delle risorse di IP Address Manager in. AWS RAM Per ulteriori informazioni, consulta [Condividere un pool IPAM utilizzando AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Applica i tag**: implementa i tag obbligatori per tutte le risorse relative a IP Address Manager. [Per ulteriori informazioni, consulta *Strategia di tagging* nella sezione Informazioni aggiuntive.](#multi-region-ipam-architecture-additional)
## Epiche
### Configura un account amministratore delegato per IP Address Manager
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Abilita AWS Organizations le funzionalità. | Assicurati che tutte AWS Organizations le funzionalità siano abilitate. Per istruzioni, vedi [Abilitazione di tutte le funzionalità per un'organizzazione AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella AWS Organizations documentazione. | Amministratore AWS |
| Abilita la condivisione delle risorse in AWS RAM. | Utilizzando AWS CLI, inserisci il seguente comando per abilitare la condivisione AWS RAM delle risorse per la tua organizzazione:aws ram enable-sharing-with-aws-organization
Per ulteriori informazioni, consulta [Abilitare la condivisione delle risorse AWS Organizations nella](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) AWS RAM documentazione. | Amministratore AWS |
| Designare un amministratore per IP Address Manager. | Dall'account di gestione dell'organizzazione, utilizzando AWS CLI, immettete il seguente comando, `123456789012` dov'è l'ID dell'account che amministrerà IP Address Manager:aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
In genere, un account di rete o di hub di rete viene utilizzato come amministratore delegato per IP Address Manager.Per ulteriori informazioni, vedere [Integrazione di IPAM con gli account di un' AWS organizzazione](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) nella documentazione di IP Address Manager. | Amministratore AWS |
### Implementa l'infrastruttura
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Definire l'architettura di rete. | Definite e documentate l'architettura di rete, compresi gli intervalli CIDR per regioni, unità aziendali e ambienti. Per ulteriori informazioni, consulta [Piano per il provisioning degli indirizzi IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) nella documentazione di IP Address Manager. | Ingegnere di rete |
| Clonare il repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps ingegnere |
| Configura le variabili. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Ingegnere di rete, Terraform |
| Implementa le risorse di IP Address Manager. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Convalida la distribuzione. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | General AWS, ingegnere di rete |
### Crea VPCs e configura il monitoraggio
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea un VPC. | Segui i passaggi in [Creare un VPC nella documentazione](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) di Amazon VPC. Quando raggiungi la fase di scelta di un intervallo CIDR per il VPC, alloca il successivo disponibile da uno dei tuoi pool regionali, aziendali e ambientali. | General AWS, amministratore di rete, ingegnere di rete |
| Convalida l'allocazione dell'intervallo CIDR. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | General AWS, amministratore di rete, ingegnere di rete |
| Monitora il gestore degli indirizzi IP. | Configura il monitoraggio e gli allarmi relativi all'allocazione delle risorse di IP Address Manager. Per ulteriori informazioni e istruzioni, consulta [Monitoraggio dell'IPAM con Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) e [Monitoraggio dell'utilizzo del CIDR per risorsa](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) nella documentazione di IP Address Manager. | Informazioni generali su AWS |
| Imponi l'uso di IP Address Manager. | Crea una policy di controllo dei servizi (SCP) AWS Organizations che richieda ai membri dell'organizzazione di utilizzare IP Address Manager quando creano un VPC. Per istruzioni, consulta [Implementare l'uso di IPAM per la creazione di VPC SCPs nella documentazione di](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) IP Address Manager. | AWS generale, amministratore AWS |
## risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| Terraform fallisce con la risorsa IP Address Manager non trovata | Assicurati che l'account amministratore di IP Address Manager sia delegato correttamente e che il tuo AWS provider sia autenticato su quell'account. |
| L'allocazione dell'intervallo CIDR non riesce | Verifica che l'intervallo CIDR richiesto rientri nell'intervallo disponibile del pool di IP Address Manager e non si sovrapponga alle allocazioni esistenti. |
| AWS RAM problemi di condivisione | Verifica che la condivisione delle risorse sia abilitata per la tua AWS organizzazione. Verifica che nella condivisione venga utilizzato il principale corretto, l'organizzazione Amazon Resource Name (ARN). AWS RAM |
| Errori di convalida della gerarchia del pool | Assicurati che gli intervalli CIDR del pool secondario siano contenuti correttamente negli intervalli CIDR del pool principale e non si sovrappongano ai pool di pari livello. |
| Il limite di quota di IP Address Manager è stato superato | Richiedere un aumento della quota per i pool di IP Address Manager. Per ulteriori informazioni, consulta [Richiesta di un aumento delle quote nella ](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html)Guida per l’utente di Service Quotas**. |
## Risorse correlate
**Servizio AWS documentazione**
+ [Documentazione di Amazon VPC IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager documentazione](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations documentazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS post sul blog**
+ [Gestione di pool di IP in tutte VPCs le regioni utilizzando Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Gestione e controllo degli indirizzi di rete su larga scala con Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Video e tutorial**
+ [AWS re:Invent 2022: best practice per la progettazione di Amazon VPC e IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:Invent 2022: progettazione VPC avanzata e nuove funzionalità (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Informazioni aggiuntive
**Integrazione con AFT**
Puoi integrare questa soluzione con AWS Control Tower Account Factory for Terraform (AFT) per assicurarti che gli account appena assegnati ricevano automaticamente le configurazioni di rete corrette. Implementando questa soluzione IPAM nell'account dell'hub di rete, i nuovi account creati tramite AFT possono fare riferimento ai pool di IP Address Manager condivisi durante la creazione. VPCs
Il seguente esempio di codice dimostra l'integrazione AFT nella personalizzazione di un account utilizzando Parameter Store: AWS Systems Manager
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Strategia di assegnazione tag**
La soluzione implementa una strategia di tagging completa per facilitare la gestione delle risorse. Il seguente esempio di codice ne illustra l'utilizzo:
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Questi tag vengono applicati automaticamente a tutte le risorse di IP Address Manager. Ciò facilita la governance, l'allocazione dei costi e la gestione delle risorse coerenti.
# Personalizza CloudWatch gli avvisi Amazon per AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Riepilogo
Il modello ti aiuta a personalizzare gli CloudWatch avvisi Amazon generati da AWS Network Firewall. Puoi utilizzare regole predefinite o creare regole personalizzate che determinano il messaggio, i metadati e la gravità degli avvisi. Puoi quindi agire in base a questi avvisi o automatizzare le risposte di altri servizi Amazon, come Amazon. EventBridge
In questo modello, si generano regole firewall compatibili con Suricata. [Suricata](https://suricata.io/) è un motore di rilevamento delle minacce open source. Per prima cosa devi creare regole semplici e poi testarle per confermare che CloudWatch gli avvisi vengano generati e registrati. Dopo aver testato con successo le regole, le modifichi per definire messaggi, metadati e livelli di severità personalizzati, quindi esegui nuovamente il test per confermare gli aggiornamenti.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un attivo. Account AWS
+ AWS Command Line Interface (AWS CLI) installato e configurato sulla tua workstation Linux, macOS o Windows. Per ulteriori informazioni, consulta [Installare o aggiornare la versione più recente della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall installato e configurato per utilizzare CloudWatch Logs. Per ulteriori informazioni, vedere [Registrazione del traffico di rete](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) da. AWS Network Firewall
+ Un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in una sottorete privata di un cloud privato virtuale (VPC) protetto da Network Firewall.
**Versioni del prodotto**
+ Per la versione 1 di AWS CLI, usa 1.18.180 o successiva. Per la versione 2 di AWS CLI, usa 2.1.2 o successiva.
+ Il file classification.config della versione 5.0.2 di Suricata. [Per una copia di questo file di configurazione, vedere la sezione Informazioni aggiuntive.](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional)
## Architecture
![\[Una richiesta di EC2 istanza genera un avviso in Network Firewall, che inoltra l'avviso a CloudWatch\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
Il diagramma dell'architettura mostra il seguente flusso di lavoro:
1. [Un' EC2 istanza Amazon in una sottorete privata effettua una richiesta utilizzando [curl](https://curl.se/) o Wget.](https://www.gnu.org/software/wget/)
1. Network Firewall elabora il traffico e genera un avviso.
1. Network Firewall invia gli avvisi registrati ai CloudWatch registri.
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ti CloudWatch aiuta a monitorare i parametri delle tue AWS risorse e delle applicazioni su cui esegui AWS in tempo reale.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ti aiuta a centralizzare i log di tutti i tuoi sistemi e applicazioni, Servizi AWS così puoi monitorarli e archiviarli in modo sicuro.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) è uno strumento open source che ti aiuta a interagire Servizi AWS tramite comandi nella shell della riga di comando.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)è un firewall di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni per cloud privati virtuali () in. VPCs Cloud AWS
**Altri strumenti**
+ [curl](https://curl.se/) è uno strumento e una libreria a riga di comando open source.
+ [GNU Wget è uno strumento da](https://www.gnu.org/software/wget/) riga di comando gratuito.
## Epiche
### Crea le regole del firewall e il gruppo di regole
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Creare regole. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Amministratore di sistema AWS, amministratore di rete |
| Crea il gruppo di regole. | Nel AWS CLI, immettere il seguente comando. Questo crea il gruppo di regole.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
Di seguito è riportato un esempio di output. Prendi nota di`RuleGroupArn`, che ti servirà in un passaggio successivo.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | Amministratore di sistema AWS |
### Aggiorna la politica del firewall
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Ottieni l'ARN della politica del firewall. | Nel AWS CLI, immettere il seguente comando. Ciò restituisce l'Amazon Resource Name (ARN) della policy del firewall. Registra l'ARN per utilizzarlo più avanti in questo schema.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
Di seguito è riportato un esempio di ARN restituito da questo comando."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| Amministratore di sistema AWS |
| Aggiorna la politica del firewall. | In un editor di testo, copia o incolla il seguente codice. Sostituiscilo `` con il valore che hai registrato nell'epopea precedente. Salva il file con nome `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Inserisci il seguente comando in. AWS CLI Questo comando richiede un [token di aggiornamento](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) per aggiungere le nuove regole. Il token viene utilizzato per confermare che la politica non è cambiata dall'ultima volta che l'hai recuperata.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| Amministratore di sistema AWS |
| Conferma gli aggiornamenti delle policy. | (Facoltativo) Se desideri confermare che le regole sono state aggiunte e visualizzare il formato della politica, inserisci il seguente comando in AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
Di seguito è riportato un esempio di output.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | Amministratore di sistema AWS |
### Verifica la funzionalità degli avvisi
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Genera avvisi per i test. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Amministratore di sistema AWS |
| Verifica che gli avvisi siano registrati. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Amministratore di sistema AWS |
### Aggiorna le regole e il gruppo di regole del firewall
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Aggiorna le regole del firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Amministratore di sistema AWS |
| Aggiorna il gruppo di regole. | In AWS CLI, esegui i seguenti comandi. Usa l'ARN della tua politica firewall. Questi comandi ottengono un token di aggiornamento e aggiornano il gruppo di regole con le modifiche alle regole.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
Di seguito è riportato un esempio di output.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | Amministratore di sistema AWS |
### Prova la funzionalità di avviso aggiornata
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Genera un avviso per il test. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Amministratore di sistema AWS |
| Convalida l'avviso modificato. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Amministratore di sistema AWS |
## Risorse correlate
**Riferimenti**
+ [Invia avvisi da AWS Network Firewall un canale Slack](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (AWS Prescriptive Guidance)
+ [Proseguire la prevenzione delle minacce AWS con Suricata (post sul blog](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/))AWS
+ [Modelli di implementazione per AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (AWS post sul blog)
+ [Suricata meta keyworks (documentazione](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) Suricata)
**Tutorial e video**
+ [AWS Network Firewall officina](https://networkfirewall.workshop.aws/)
## Informazioni aggiuntive
Di seguito è riportato il file di configurazione della classificazione di Suricata 5.0.2. Queste classificazioni vengono utilizzate durante la creazione delle regole del firewall.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Distribuisci risorse in una AWS Wavelength zona utilizzando Terraform
*Zahoor Chaudhrey e Luca Iannario, Amazon Web Services*
## Riepilogo
[AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)ti aiuta a creare un'infrastruttura ottimizzata per le applicazioni Multi-Access Edge Computing (MEC). Le *Wavelength* Zones AWS sono implementazioni di infrastrutture che AWS incorporano servizi di elaborazione e archiviazione nelle reti 5G dei provider di servizi di comunicazione (CSP). Il traffico delle applicazioni proveniente dai dispositivi 5G raggiunge i server delle applicazioni in esecuzione nelle Wavelength Zones senza uscire dalla rete di telecomunicazioni. Quanto segue facilita la connettività di rete tramite Wavelength:
+ **Cloud privati virtuali (VPCs)**: VPCs Account AWS possono estendersi fino a coprire più zone di disponibilità, incluse le Wavelength Zone. Le istanze di Amazon Elastic Compute Cloud (Amazon EC2) e i servizi correlati vengono visualizzati come parte del tuo VPC regionale. VPCs vengono creati e gestiti in [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
+ **Carrier gateway**: un carrier gateway consente la connettività dalla sottorete nella Wavelength Zone alla rete CSP, a Internet o tramite la rete Regione AWS del CSP. Il carrier gateway serve a due scopi. Consente il traffico in entrata da una rete CSP in una posizione specifica e consente il traffico in uscita verso la rete di telecomunicazioni e Internet.
Questo pattern e il codice Terraform associato ti aiutano ad avviare risorse, come EC2 istanze Amazon, volumi Amazon Elastic Block Store (Amazon EBS), sottoreti e un carrier gateway VPCs, in una Wavelength Zone.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un attivo Account AWS
+ Un ambiente di sviluppo integrato (IDE)
+ [Attiva la](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) Wavelength Zone di destinazione
+ AWS Command Line Interface [(AWS CLI), [installato e configurato](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Terraform versione 1.8.4 o successiva, [installata](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (documentazione Terraform)
+ [Terraform AWS Provider versione 5.32.1 o successiva, configurata (documentazione Terraform)](https://hashicorp.github.io/terraform-provider-aws/)
+ Git, [installato](https://github.com/git-guides/install-git) (GitHub)
+ [Autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) per creare risorse Amazon VPC, Wavelength e Amazon EC2
**Limitazioni**
Non tutti Regioni AWS supportano le Wavelength Zones. Per ulteriori informazioni, consulta [Available Wavelength Zones nella documentazione di Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html).
## Architecture
Il diagramma seguente mostra come creare una sottorete e AWS risorse in una Wavelength Zone. VPCs che contengono una sottorete in una Wavelength Zone possono connettersi a un gateway carrier. Un carrier gateway consente di connettersi alle seguenti risorse:
+ Dispositivi 4G/LTE e 5G sulla rete del gestore di telecomunicazioni.
+ Accesso wireless fisso per partner Wavelength Zone selezionati. [Per ulteriori informazioni, vedere Accesso multiplo. AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html)
+ Traffico in uscita verso risorse Internet pubbliche.
![\[Un carrier gateway collega le risorse AWS nella Wavelength Zone alla rete CSP.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ti aiuta a lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)estende Cloud AWS l'infrastruttura alle reti 5G dei provider di telecomunicazioni. Questo ti aiuta a creare applicazioni che offrono latenze estremamente basse ai dispositivi mobili e agli utenti finali.
**Altri strumenti**
+ [Terraform](https://www.terraform.io/) è uno strumento di infrastruttura come codice (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali.
**Archivio di codici**
Il codice per questo modello è disponibile nel repository GitHub [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure). Il codice Terraform implementa la seguente infrastruttura e risorse:
+ Un VPC
+ Una zona di Wavelength
+ Una sottorete pubica nella Wavelength Zone
+ Un carrier gateway nella Wavelength Zone
+ Un' EC2 istanza Amazon nella Wavelength Zone
## Best practice
+ Prima della distribuzione, conferma di utilizzare le versioni più recenti di Terraform e di. AWS CLI
+ Utilizza una pipeline di integrazione e distribuzione continua (CI/CD) per implementare IaC. Per ulteriori informazioni, consulta [Best practice per la gestione dei file Terraform State](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) in CI/CD Pipeline on Blogs. AWS AWS
## Epiche
### Fornisci l'infrastruttura
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Clonare il repository. | Inserisci il seguente comando per clonare l'[AWS Wavelength infrastruttura di creazione utilizzando il repository Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) nel tuo ambiente.`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps ingegnere |
| Aggiorna le variabili. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingegnere, Terraform |
| Inizializza la configurazione. | Immettete il seguente comando per inizializzare la directory di lavoro.terraform init
| DevOps ingegnere, Terraform |
| Visualizza l'anteprima del piano Terraform. | Immettete il seguente comando per confrontare lo stato di destinazione con lo stato attuale del vostro AWS ambiente. Questo comando genera un'anteprima delle risorse che verranno configurate.terraform plan
| DevOps ingegnere, Terraform |
| Verifica e distribuisci. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingegnere, Terraform |
### Convalida e ripulisci
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Verifica l'implementazione dell'infrastruttura. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps ingegnere |
| (Facoltativo) Pulisci l'infrastruttura. | Se devi eliminare tutte le risorse fornite da Terraform, procedi come segue:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingegnere, Terraform |
## risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| Connettività alle EC2 istanze Amazon in. Regione AWS | Vedi [Risoluzione dei problemi di connessione alla tua istanza Linux o [Risoluzione dei problemi di connessione](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html) alla tua istanza Windows](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html). |
| Connettività alle EC2 istanze Amazon nella Wavelength Zone. | Vedi [Risoluzione dei problemi di connettività SSH o RDP per le mie EC2 istanze avviate in](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors) una Wavelength Zone. |
| Capacità nella Wavelength Zone. | Vedi [Quote e considerazioni per Wavelength Zones](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Connettività mobile o gestionale dalla rete del gestore a. Regione AWS | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Risorse correlate
+ [Che cos'è AWS Wavelength?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [Come AWS Wavelength funziona](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Resilienza in AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Esegui la migrazione di record DNS in blocco verso una zona ospitata privata di Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Riepilogo
Gli ingegneri di rete e gli amministratori del cloud hanno bisogno di un modo semplice ed efficiente per aggiungere record DNS (Domain Name System) alle zone private ospitate in Amazon Route 53. L'utilizzo di un approccio manuale per copiare le voci da un foglio di lavoro di Microsoft Excel nelle posizioni appropriate nella console Route 53 è noioso e soggetto a errori. Questo modello descrive un approccio automatizzato che riduce il tempo e lo sforzo necessari per aggiungere più record. Fornisce inoltre una serie di passaggi ripetibili per la creazione di più zone ospitate.
Questo modello utilizza Amazon Simple Storage Service (Amazon S3) per archiviare i record. Per lavorare con i dati in modo efficiente, il pattern utilizza il formato JSON per la sua semplicità e la sua capacità di supportare un dizionario Python `dict` (tipo di dati).
**Nota**
Se riesci a generare un file di zona dal tuo sistema, prendi in considerazione l'utilizzo della [funzione di importazione Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html).
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un foglio di lavoro Excel che contiene i record delle zone ospitate private
+ [Familiarità con diversi tipi di record DNS come A record, Name Authority Pointer (NAPTR) e record SRV (vedi Tipi di record DNS supportati)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html)
+ Familiarità con il linguaggio Python e le sue librerie
**Limitazioni**
+ Il modello non fornisce una copertura estesa per tutti gli scenari di utilizzo. Ad esempio, la chiamata [change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) non utilizza tutte le proprietà disponibili dell'API.
+ Nel foglio di lavoro di Excel, si presume che il valore di ogni riga sia univoco. È previsto che nella stessa riga compaiano più valori per ogni nome di dominio completo (FQDN). Se ciò non è vero, è necessario modificare il codice fornito in questo modello per eseguire la concatenazione necessaria.
+ Il modello utilizza l'SDK AWS per Python (Boto3) per chiamare direttamente il servizio Route 53. Puoi migliorare il codice per utilizzare un CloudFormation wrapper AWS per i `update_stack` comandi `create_stack` and e utilizzare i valori JSON per popolare le risorse del modello.
## Architecture
**Stack tecnologico**
+ Zone ospitate private Route 53 per il routing del traffico
+ Amazon S3 per l'archiviazione del file JSON di output
![\[Flusso di lavoro per la migrazione di record DNS in blocco verso una zona ospitata privata Route 53.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
*Il flusso di lavoro consiste nei seguenti passaggi, come illustrato nel diagramma precedente e discusso nella sezione Epics:*
1. Carica un foglio di lavoro Excel contenente le informazioni sul set di record in un bucket S3.
1. Crea ed esegui uno script Python che converta i dati di Excel in formato JSON.
1. Leggi i record dal bucket S3 e pulisci i dati.
1. Crea set di record nella tua zona ospitata privata.
## Tools (Strumenti)
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) — Amazon Route 53 è un servizio Web DNS altamente disponibile e scalabile che gestisce la registrazione del dominio, il routing DNS e il controllo dello stato.
+ [Amazon S3 — Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) Storage Service (Amazon S3) è un servizio di storage di oggetti. È possibile utilizzare Amazon S3 per memorizzare e recuperare qualsiasi volume di dati, in qualunque momento e da qualunque luogo tramite il Web.
## Epiche
### Prepara i dati per l'automazione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea un file Excel per i tuoi archivi. | Usa i record che hai esportato dal sistema corrente per creare un foglio di lavoro Excel contenente le colonne richieste per un record, ad esempio nome di dominio completo (FQDN), tipo di record, Time to Live (TTL) e valore. Per i record NAPTR e SRV, il valore è una combinazione di più proprietà, quindi usa il metodo di Excel per combinare queste proprietà. `concat`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Ingegnere dei dati, competenze in Excel |
| Verifica l'ambiente di lavoro. | Nel tuo IDE, crea un file Python per convertire il foglio di lavoro di input di Excel in formato JSON. (Invece di un IDE, puoi anche usare un SageMaker notebook Amazon per lavorare con il codice Python.)Verifica che la versione di Python che stai utilizzando sia la versione 3.7 o successiva. python3 --version
Installa il pacchetto **pandas**. pip3 install pandas --user
| Informazioni generali su AWS |
| Converti i dati del foglio di lavoro Excel in JSON. | Crea un file Python che contenga il seguente codice da convertire da Excel a JSON.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
dove `Book1` è il nome del foglio di lavoro di Excel ed `my.json` è il nome del file JSON di output. | Ingegnere dei dati, competenze in Python |
| Carica il file JSON in un bucket S3. | Caricare il file `my.json` in un bucket S3. Per ulteriori informazioni, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) nella documentazione di Amazon S3. | Sviluppatore di app |
| FqdnName | RecordType | Valore | TTL |
| qualcosa.example.org | A | 1.1.1.1 | 900 |
### Inserisci record
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea una zona ospitata privata. | Usa l'[API create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) e il seguente codice di esempio Python per creare una zona ospitata privata. Sostituisci i parametri e con i tuoi valori`hostedZoneName`. `vpcRegion` `vpcId`import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
Puoi anche utilizzare uno strumento di infrastruttura come codice (IaC) come AWS CloudFormation per sostituire questi passaggi con un modello che crea uno stack con le risorse e le proprietà appropriate. | Architetto cloud, amministratore di rete, competenze in Python |
| Recupera i dettagli come dizionario da Amazon S3. | Usa il codice seguente per leggere dal bucket S3 e ottenere i valori JSON come dizionario Python. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
dove `json_content` contiene il dizionario Python. | Sviluppatore di app, competenze in Python |
| Pulisci i valori dei dati per spazi e caratteri Unicode. | Come misura di sicurezza per garantire la correttezza dei dati, utilizzate il codice seguente per eseguire un'operazione di cancellazione dei valori inseriti. `json_content` Questo codice rimuove i caratteri di spazio all'inizio e alla fine di ogni stringa. Utilizza anche il `replace` metodo per rimuovere gli spazi rigidi (non interrotti) (i `\xa0` caratteri).for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| Sviluppatore di app, competenze in Python |
| Inserisci record. | Utilizzate il codice seguente come parte del `for` ciclo precedente.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
`xxxxxxx`Dov'è l'ID della zona ospitata del primo passaggio di questa epopea. | Sviluppatore di app, competenze in Python |
## Risorse correlate
**Riferimenti**
+ [Creazione di record importando un file di zona](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (documentazione di Amazon Route 53)
+ [metodo create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (documentazione Boto3)
+ [metodo change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) (documentazione Boto3)
**Tutorial e video**
+ [Il tutorial su Python (documentazione](https://docs.python.org/3/tutorial/) Python)
+ [Progettazione DNS con Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube video, *AWS Online Tech Talks*)
# Modifica le intestazioni HTTP durante la migrazione da F5 a un Application Load Balancer su AWS
*Sachin Trivedi, Amazon Web Services*
## Riepilogo
Quando esegui la migrazione di un'applicazione che utilizza un Load balancer F5 su Amazon Web Services (AWS) e desideri utilizzare un Application Load Balancer su AWS, la migrazione delle regole F5 per le modifiche agli header è un problema comune. Un Application Load Balancer non supporta le modifiche agli header, ma puoi usare Amazon CloudFront come rete per la distribuzione di contenuti (CDN) e Lambda @Edge per modificare le intestazioni.
Questo modello descrive le integrazioni richieste e fornisce codice di esempio per la modifica dell'intestazione utilizzando AWS e CloudFront Lambda @Edge.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un'applicazione locale che utilizza un sistema di bilanciamento del carico F5 con una configurazione che sostituisce il valore dell'intestazione HTTP utilizzando. `if, else` Per ulteriori informazioni su questa configurazione, vedete [HTTP: :header](https://clouddocs.f5.com/api/irules/HTTP__header.html) nella documentazione del prodotto F5.
**Limitazioni**
+ Questo modello si applica alla personalizzazione dell'intestazione del bilanciamento del carico F5. Per altri sistemi di bilanciamento del carico di terze parti, consulta la documentazione del sistema di bilanciamento del carico per informazioni di supporto.
+ Le funzioni Lambda utilizzate per Lambda @Edge devono trovarsi nella regione Stati Uniti orientali (Virginia settentrionale).
## Architecture
Il diagramma seguente mostra l'architettura su AWS, incluso il flusso di integrazione tra la CDN e altri componenti AWS.
![\[Architettura per la modifica dell'intestazione utilizzando Amazon CloudFront e Lambda @Edge\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Tools (Strumenti)
**Servizi AWS**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Un Application Load Balancer è un servizio di bilanciamento del carico AWS completamente gestito che funziona al settimo livello del modello Open Systems Interconnection (OSI). Bilancia il traffico su più destinazioni e supporta richieste di routing avanzate basate su intestazioni e metodi HTTP, stringhe di query e routing basato su host o percorsi.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html): Amazon CloudFront è un servizio web che velocizza la distribuzione di contenuti web statici e dinamici, come .html, .css, .js e file di immagine, ai tuoi utenti. CloudFront distribuisce i tuoi contenuti attraverso una rete mondiale di data center denominati edge location per una latenza inferiore e prestazioni migliorate.
+ [Lambda @Edge ─](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) Lambda @Edge è un'estensione di AWS Lambda che consente di eseguire funzioni per personalizzare i contenuti distribuiti. CloudFront Puoi creare funzioni nella regione Stati Uniti orientali (Virginia settentrionale) e quindi associare la funzione a una CloudFront distribuzione per replicare automaticamente il codice in tutto il mondo, senza dover fornire o gestire server. Ciò riduce la latenza e migliora l'esperienza utente.
**Codice**
Il codice di esempio seguente fornisce un modello per modificare le intestazioni di risposta. CloudFront Segui le istruzioni nella sezione *Epics* per distribuire il codice.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Epiche
### Crea una distribuzione CDN
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea una distribuzione CloudFront web. | In questo passaggio, crei una CloudFront distribuzione per indicare da CloudFront dove desideri che vengano distribuiti i contenuti e i dettagli su come monitorare e gestire la distribuzione dei contenuti.Per creare una distribuzione utilizzando la console, accedi alla Console di gestione AWS, apri la [CloudFront console](https://console.aws.amazon.com/cloudfront/v3/home) e segui i passaggi indicati nella [CloudFront documentazione](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Amministratore del cloud |
### Crea e distribuisci la funzione Lambda @Edge
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea e distribuisci una funzione Lambda @Edge. | È possibile creare una funzione Lambda @Edge utilizzando un blueprint per modificare CloudFront le intestazioni di risposta. (Sono disponibili altri BluePrint per diversi casi d'uso; per ulteriori informazioni, consulta le funzioni di [esempio di Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html) CloudFront nella documentazione.) Per creare una funzione Lambda @Edge:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | Amministratore AWS |
| Implementa la funzione Lambda @Edge. | Segui le istruzioni nel [passaggio 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) del *Tutorial: Creazione di una semplice funzione Lambda @Edge* nella CloudFront documentazione di Amazon per configurare il CloudFront trigger e distribuire la funzione. | Amministratore AWS |
## Risorse correlate
**CloudFront documentazione**
+ [Comportamento di richiesta e risposta per origini personalizzate](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Lavorare con le distribuzioni](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Funzioni di esempio Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Personalizzazione all'edge con Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutorial: creazione di una semplice funzione Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Crea un rapporto sui risultati di Network Access Analyzer per l'accesso a Internet in entrata in più Account AWS
*Mike Virgilio, Amazon Web Services*
## Riepilogo
L'accesso involontario alle AWS risorse via Internet in entrata può comportare rischi per il perimetro dei dati di un'organizzazione. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) è una funzionalità di Amazon Virtual Private Cloud (Amazon VPC) che ti aiuta a identificare accessi di rete non intenzionali alle tue risorse su Amazon Web Services ().AWS Puoi utilizzare Network Access Analyzer per specificare i requisiti di accesso alla rete e identificare potenziali percorsi di rete che non soddisfano i requisiti specificati. È possibile utilizzare Network Access Analyzer per effettuare le seguenti operazioni:
1. Identifica AWS le risorse accessibili a Internet tramite gateway Internet.
1. Verifica che i tuoi cloud privati virtuali (VPCs) siano segmentati in modo appropriato, ad esempio isolando gli ambienti di produzione e sviluppo e separando i carichi di lavoro transazionali.
Network Access Analyzer analizza le condizioni di raggiungibilità della rete e non solo un singolo componente end-to-end. Per determinare se una risorsa è accessibile a Internet, Network Access Analyzer valuta il gateway Internet, le tabelle di routing VPC, gli elenchi di controllo degli accessi alla rete (ACLs), gli indirizzi IP pubblici su interfacce di rete elastiche e i gruppi di sicurezza. Se qualcuno di questi componenti impedisce l'accesso a Internet, Network Access Analyzer non genera alcun risultato. Ad esempio, se un'istanza Amazon Elastic Compute Cloud (Amazon EC2) ha un gruppo di sicurezza aperto che consente il traffico proveniente da `0/0` una sottorete privata che non è instradabile da alcun gateway Internet, Network Access Analyzer non genererebbe alcun risultato. Ciò fornisce risultati ad alta fedeltà che consentono di identificare le risorse realmente accessibili da Internet.
Quando si esegue Network Access Analyzer, si utilizzano [Network Access Scopes per specificare i requisiti di accesso](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) alla rete. Questa soluzione identifica i percorsi di rete tra un gateway Internet e un'interfaccia di rete elastica. In questo modello, la soluzione viene distribuita in modo centralizzato Account AWS all'interno dell'organizzazione, gestita da AWS Organizations e analizza tutti gli account, in qualsiasi momento Regione AWS, dell'organizzazione.
Questa soluzione è stata progettata tenendo presente quanto segue:
+ I AWS CloudFormation modelli riducono lo sforzo richiesto per distribuire le AWS risorse secondo questo schema.
+ È possibile modificare i parametri nei CloudFormation modelli e nello script **naa-script.sh** al momento della distribuzione per personalizzarli in base all'ambiente.
+ Lo scripting di Bash fornisce e analizza automaticamente gli ambiti di accesso alla rete per più account, in parallelo.
+ Uno script Python elabora i risultati, estrae i dati e quindi consolida i risultati. È possibile scegliere di esaminare il rapporto consolidato dei risultati di Network Access Analyzer in formato CSV o in formato. AWS Security Hub CSPM Un esempio del rapporto CSV è disponibile nella sezione [Informazioni aggiuntive](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) di questo modello.
+ È possibile correggere i risultati oppure escluderli dalle analisi future aggiungendoli al **file naa-exclusions.csv**.
## Prerequisiti e limitazioni
**Prerequisiti**
+ E Account AWS per ospitare servizi e strumenti di sicurezza, gestiti come account membro di un'organizzazione in. AWS Organizations In questo schema, questo account viene definito account di sicurezza.
+ Nell'account di sicurezza, è necessario disporre di una sottorete privata con accesso a Internet in uscita. Per istruzioni, consulta [Creare una sottorete](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) nella documentazione di Amazon VPC. È possibile stabilire l'accesso a Internet utilizzando un [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) o un endpoint [VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Accesso all'account di AWS Organizations gestione o a un account con autorizzazioni di amministratore delegate per. CloudFormation Per istruzioni, consulta [Registrare un amministratore delegato nella documentazione](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html). CloudFormation
+ Abilita l'accesso affidabile tra AWS Organizations e CloudFormation. Per istruzioni, consulta [Abilita l'accesso affidabile con AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) nella CloudFormation documentazione.
+ Se stai caricando i risultati su Security Hub CSPM, Security Hub CSPM deve essere abilitato nell'account e nel luogo in cui viene fornita l' Regione AWS istanza Amazon. EC2 Per ulteriori informazioni, consulta [Configurazione AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Limitazioni**
+ I percorsi di rete tra account non vengono attualmente analizzati a causa delle limitazioni della funzionalità Network Access Analyzer.
+ L'obiettivo Account AWS deve essere gestito come organizzazione in. AWS Organizations**Se non lo utilizzi AWS Organizations, puoi aggiornare il CloudFormation modello **naa-execrole.yaml** e lo script naa-script.sh per il tuo ambiente.** Fornisci invece un elenco delle regioni Account AWS IDs e delle regioni in cui desideri eseguire lo script.
+ Il CloudFormation modello è progettato per distribuire l' EC2 istanza Amazon in una sottorete privata con accesso a Internet in uscita. L' AWS Systems Manager agente (agente SSM) richiede l'accesso in uscita per raggiungere l'endpoint del servizio Systems Manager ed è necessario l'accesso in uscita per clonare l'archivio del codice e installare le dipendenze. [Se desideri utilizzare una sottorete pubblica, devi modificare il modello **naa-resources.yaml** per associare un indirizzo IP elastico all'istanza Amazon.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) EC2
## Architecture
**Architettura di Target**
*Opzione 1: accedere ai risultati in un bucket Amazon S3*
![\[Diagramma dell'architettura di accesso al report dei risultati di Network Access Analyzer in un bucket Amazon S3\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
Il diagramma mostra il seguente processo:
1. Se esegui manualmente la soluzione, l'utente si autentica sull' EC2 istanza Amazon utilizzando Session Manager e quindi esegue lo script **naa-script.sh**. Questo script di shell esegue i passaggi da 2 a 7.
Se esegui automaticamente la soluzione, lo script **naa-script.sh** si avvia automaticamente in base alla pianificazione definita nell'espressione cron. Questo script di shell esegue i passaggi da 2 a 7. Per ulteriori informazioni, vedere *Automazione e scalabilità* alla fine di questa sezione.
1. L' EC2 istanza Amazon scarica il file **naa-exception.csv** più recente dal bucket Amazon S3. Questo file viene utilizzato più avanti nel processo quando lo script Python elabora le esclusioni.
1. L' EC2 istanza Amazon assume il ruolo `NAAEC2Role` AWS Identity and Access Management (IAM), che concede le autorizzazioni per accedere al bucket Amazon S3 e per assumere i ruoli `NAAExecRole` IAM negli altri account dell'organizzazione.
1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM nell'account di gestione dell'organizzazione e genera un elenco degli account dell'organizzazione.
1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM negli account dei membri dell'organizzazione (chiamati account di *carico di lavoro nel diagramma dell'architettura) ed esegue una valutazione della sicurezza in ogni account*. I risultati vengono archiviati come file JSON sull' EC2 istanza Amazon.
1. L' EC2 istanza Amazon utilizza uno script Python per elaborare i file JSON, estrarre i campi di dati e creare un report CSV.
1. L' EC2 istanza Amazon carica il file CSV nel bucket Amazon S3.
1. Una EventBridge regola Amazon rileva il caricamento del file e utilizza un argomento Amazon SNS per inviare un'e-mail che notifica all'utente che il rapporto è completo.
1. L'utente scarica il file CSV dal bucket Amazon S3. L'utente importa i risultati nel modello Excel e li esamina.
*Opzione 2: Accedi ai risultati in AWS Security Hub CSPM*
![\[Diagramma dell'architettura di accesso ai risultati di Network Access Analyzer tramite AWS Security Hub\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
Il diagramma mostra il seguente processo:
1. Se esegui manualmente la soluzione, l'utente si autentica sull' EC2 istanza Amazon utilizzando Session Manager e quindi esegue lo script **naa-script.sh**. Questo script di shell esegue i passaggi da 2 a 7.
Se esegui automaticamente la soluzione, lo script **naa-script.sh** si avvia automaticamente in base alla pianificazione definita nell'espressione cron. Questo script di shell esegue i passaggi da 2 a 7. Per ulteriori informazioni, vedere *Automazione e scalabilità* alla fine di questa sezione.
1. L' EC2 istanza Amazon scarica il file **naa-exception.csv** più recente dal bucket Amazon S3. Questo file viene utilizzato più avanti nel processo quando lo script Python elabora le esclusioni.
1. L' EC2 istanza Amazon assume il ruolo `NAAEC2Role` IAM, che concede le autorizzazioni per accedere al bucket Amazon S3 e per assumere i ruoli `NAAExecRole` IAM negli altri account dell'organizzazione.
1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM nell'account di gestione dell'organizzazione e genera un elenco degli account dell'organizzazione.
1. L' EC2 istanza Amazon assume il ruolo `NAAExecRole` IAM negli account dei membri dell'organizzazione (chiamati account di *carico di lavoro nel diagramma dell'architettura) ed esegue una valutazione della sicurezza in ogni account*. I risultati vengono archiviati come file JSON sull' EC2 istanza Amazon.
1. L' EC2 istanza Amazon utilizza uno script Python per elaborare i file JSON ed estrarre i campi di dati per l'importazione in Security Hub CSPM.
1. L' EC2 istanza Amazon importa i risultati di Network Access Analyzer in Security Hub CSPM.
1. Una EventBridge regola Amazon rileva l'importazione e utilizza un argomento Amazon SNS per inviare un'e-mail che notifica all'utente che il processo è completo.
1. L'utente visualizza i risultati in Security Hub CSPM.
**Automazione e scalabilità**
È possibile pianificare questa soluzione per eseguire automaticamente lo script **naa-script.sh** secondo una pianificazione personalizzata. Per impostare una pianificazione personalizzata, nel modello ** CloudFormation naa-resources.yaml**, modifica il parametro. `CronScheduleExpression` Ad esempio, il valore predefinito di `0 0 * * 0` esegue la soluzione a mezzanotte di ogni domenica. Il valore di `0 0 * 1-12 0` eseguirebbe la soluzione a mezzanotte della prima domenica di ogni mese. Per ulteriori informazioni sull'uso delle espressioni cron, vedere [Cron e rate expression nella documentazione di](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) Systems Manager.
Se desideri modificare la pianificazione dopo che lo `NAA-Resources` stack è stato distribuito, puoi modificare manualmente la pianificazione cron in. `/etc/cron.d/naa-schedule`
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fornisce capacità di elaborazione scalabile in. Cloud AWS Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, AWS Lambda funzioni, endpoint di invocazione HTTP che utilizzano destinazioni API o bus di eventi in altro modo. Account AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)è un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornisce una visione completa dello stato di sicurezza in AWS. Inoltre, consente di verificare la conformità AWS dell'ambiente agli standard e alle best practice del settore della sicurezza.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) ti aiuta a coordinare e gestire lo scambio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) è un servizio di archiviazione degli oggetti basato sul cloud che consente di archiviare, proteggere e recuperare qualsiasi quantità di dati.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)ti aiuta a gestire le applicazioni e l'infrastruttura in esecuzione in. Cloud AWS Semplifica la gestione delle applicazioni e delle risorse, riduce i tempi di rilevamento e risoluzione dei problemi operativi e aiuta a gestire le AWS risorse in modo sicuro su larga scala. Questo modello utilizza Session Manager, una funzionalità di Systems Manager.
**Archivio di codice**
Il codice di questo pattern è disponibile nel repository GitHub [Network Access Analyzer Multi-Account Analysis](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). L'archivio del codice contiene i seguenti file:
+ **naa-script.sh** — Questo script bash viene utilizzato per avviare un'analisi di più Network Access Analyzer Account AWS, in parallelo. Come definito nel CloudFormation modello **naa-resources.yaml**, questo script viene distribuito automaticamente nella cartella sull'istanza Amazon. `/usr/local/naa` EC2
+ **naa-resources.yaml**: utilizzi questo modello per creare uno stack nell'account di sicurezza dell'organizzazione. CloudFormation Questo modello distribuisce tutte le risorse necessarie per questo account per supportare la soluzione. **Questo stack deve essere distribuito prima del modello naa-execrole.yaml.**
**Nota**
Se questo stack viene eliminato e ridistribuito, è necessario ricostruire il set di stack per ricostruire le dipendenze tra account tra i `NAAExecRole` ruoli IAM.
+ **naa-execrole.yaml**: utilizzi questo CloudFormation modello per creare un set di stack che distribuisce il ruolo IAM in tutti gli account dell'organizzazione, incluso l'account di gestione. `NAAExecRole`
+ **naa-processfindings.py** — Lo script **naa-script.sh** chiama automaticamente questo script Python per elaborare gli output JSON di Network Access Analyzer, escludere eventuali risorse note valide nel file **naa-exclusions.csv** e quindi generare un file CSV dei risultati consolidati o importare i risultati in Security Hub CSPM.
## Epiche
### Preparati per l'implementazione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Clona il repository del codice. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Esamina i modelli. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Crea gli CloudFormation stack
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Fornisci risorse nell'account di sicurezza. | Utilizzando il modello **naa-resources.yaml**, crei uno CloudFormation stack che distribuisce tutte le risorse richieste nell'account di sicurezza. [Per istruzioni, consulta Creazione di uno stack nella documentazione.](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) CloudFormation Tieni presente quanto segue durante la distribuzione di questo modello:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Fornisci il ruolo IAM negli account dei membri. | Nell'account di AWS Organizations gestione o in un account con autorizzazioni di amministratore delegato per CloudFormation, utilizza il modello **naa-execrole.yaml** per creare un set di stack. CloudFormation Il set di stack implementa il ruolo IAM in tutti gli account membri dell'organizzazione. `NAAExecRole` Per istruzioni, consulta [Creare un set di stack con autorizzazioni gestite dal servizio](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org) nella documentazione. CloudFormation Tieni presente quanto segue durante la distribuzione di questo modello:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Fornisci il ruolo IAM nell'account di gestione. | Utilizzando il modello **naa-execrole.yaml**, crei uno CloudFormation stack che distribuisce il ruolo IAM nell'account di gestione dell'`NAAExecRole`organizzazione. Lo stack set creato in precedenza non distribuisce il ruolo IAM nell'account di gestione. Per istruzioni, consulta [Creazione di uno stack nella documentazione](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). CloudFormation Tieni presente quanto segue durante la distribuzione di questo modello:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Esegui l'analisi
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Personalizza lo script della shell. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analizza gli account target. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opzione 1: recupera i risultati dal bucket Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opzione 2: rivedi i risultati in Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Correggi ed escludi i risultati
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Correggere i risultati. | Correggi i risultati che desideri correggere. Per ulteriori informazioni e best practice su come creare un perimetro attorno a AWS identità, risorse e reti, consulta [Building a data perimeter on (Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)). AWSAWS | AWS DevOps |
| Escludi risorse con percorsi di rete noti e validi. | Se Network Access Analyzer genera risultati relativi a risorse che dovrebbero essere accessibili da Internet, puoi aggiungere tali risorse a un elenco di esclusione. La prossima volta che Network Access Analyzer verrà eseguito, non genererà alcun risultato per quella risorsa.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Facoltativo) Aggiorna lo script naa-script.sh
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Aggiornare lo script naa-script.sh. | Se desideri aggiornare lo script **naa-script.sh** all'ultima versione del repository, procedi come segue:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Facoltativo) Pulizia
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Eliminare tutte le risorse distribuite. | È possibile lasciare le risorse distribuite negli account.Se desideri eseguire il deprovisioning di tutte le risorse, procedi come segue:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## risoluzione dei problemi
| Problema | Soluzione |
| --- | --- |
| Impossibile connettersi all' EC2 istanza Amazon utilizzando Session Manager. | L'agente SSM deve essere in grado di comunicare con l'endpoint Systems Manager. Esegui questa operazione:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Quando distribuisci lo stack set, la CloudFormation console ti chiede di farlo. `Enable trusted access with AWS Organizations to use service-managed permissions` | Ciò indica che l'accesso affidabile non è stato abilitato tra e. AWS Organizations CloudFormation È necessario un accesso affidabile per distribuire il set di stack gestito dai servizi. Scegli il pulsante per abilitare l'accesso affidabile. Per ulteriori informazioni, consulta [Abilitare l'accesso affidabile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) nella CloudFormation documentazione. |
## Risorse correlate
+ [Novità: Amazon VPC Network Access Analyzer](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS post di blog)
+ [AWS re:Inforce 2022 - Convalida controlli efficaci di accesso alla rete su AWS](https://youtu.be/aN2P2zeQek0) (02) (video) NIS2
+ [Demo - Analisi del percorso dei dati di accesso a Internet a livello di organizzazione mediante Network Access Analyzer](https://youtu.be/1IFNZWy4iy0) (video)
## Informazioni aggiuntive
**Esempio di output da console**
L'esempio seguente mostra il risultato della generazione dell'elenco degli account di destinazione e dell'analisi degli account di destinazione.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Esempi di report CSV**
Le immagini seguenti sono esempi dell'output CSV.
![\[Esempio 1 del rapporto CSV generato da questa soluzione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Esempio 2 del report CSV generato da questa soluzione.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Configura la risoluzione DNS per reti ibride in un ambiente multi-account AWS
*Anvesh Koganti, Amazon Web Services*
## Riepilogo
Questo modello fornisce una soluzione completa per configurare la risoluzione DNS in ambienti di rete ibridi che includono più account Amazon Web Services (AWS). Consente la risoluzione DNS bidirezionale tra le reti locali e l'ambiente tramite gli endpoint. AWS Amazon Route 53 Resolver [Il modello presenta due soluzioni per abilitare la risoluzione DNS in un'architettura centralizzata e multi-account:](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized)
+ La *configurazione di base* non utilizza i profili Route 53. Aiuta a ottimizzare i costi per implementazioni di piccole e medie dimensioni con complessità inferiore.
+ *La configurazione avanzata* utilizza i profili Route 53 per semplificare le operazioni. È ideale per implementazioni DNS più grandi o più complesse.
**Nota**
Consulta la sezione *Limitazioni per le limitazioni* e le quote del servizio prima dell'implementazione. Prendi in considerazione fattori come le spese generali di gestione, i costi, la complessità operativa e l'esperienza del team quando prendi una decisione.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un ambiente AWS multi-account con Amazon Virtual Private Cloud (Amazon VPC) distribuito su Shared Services e account di carico di lavoro (preferibilmente configurato tramite [AWS Control Tower AWS seguendo le best](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) practice per la struttura degli account).
+ Connettività ibrida esistente (AWS Direct Connect o AWS Site-to-Site VPN) tra la rete locale e l'ambiente. AWS
+ Peering Amazon VPC o Cloud AWS WAN per la AWS Transit Gateway connettività di rete Layer 3 tra. VPCs (Questa connettività è necessaria per il traffico delle applicazioni. Non è necessario per il funzionamento della risoluzione DNS. La risoluzione DNS funziona indipendentemente dalla connettività di rete tra.) VPCs
+ Server DNS in esecuzione nell'ambiente locale.
**Limitazioni**
+ Gli endpoint, le regole e i profili di Route 53 Resolver sono costrutti regionali e potrebbero richiedere la replica in più parti per le organizzazioni globali. Regioni AWS
+ [Per un elenco completo delle quote di servizio per Route 53 Resolver, zone ospitate private e profili, consulta Quotas nella documentazione di Route 53.](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html)
## Architecture
**Stack tecnologico Target**
+ Endpoint Route 53 in uscita e in entrata
+ Regole di Route 53 Resolver per l'inoltro condizionale
+ AWS Resource Access Manager (AWS RAM)
+ Zona ospitata privata Route 53
**Architettura Target**
**Endpoint in uscita e in entrata**
Il diagramma seguente mostra il flusso di risoluzione DNS da a on-premise. AWS Questa è la configurazione della connettività per le risoluzioni in uscita in cui il dominio è ospitato in locale. Di seguito è riportata una panoramica di alto livello del processo necessario per configurarlo. Per i dettagli, consulta la sezione [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Distribuisci gli endpoint Route 53 Resolver in uscita nel VPC di Shared Services.
1. Crea regole Route 53 Resolver (regole di inoltro) nell'account Shared Services per i domini ospitati in locale.
1. Condividi e associa le regole ad altri account che ospitano le risorse necessarie per risolvere i domini ospitati in locale. VPCs Questa operazione può essere eseguita in diversi modi a seconda del caso d'uso, come descritto più avanti in questa sezione.
![\[Flusso di risoluzione DNS dagli endpoint in entrata e in uscita da un AWS a un flusso di risoluzione DNS locale.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Dopo aver configurato la connettività, i passaggi necessari per la risoluzione in uscita sono i seguenti:
1. L'istanza Amazon Elastic Compute Cloud (Amazon EC2) invia una richiesta di risoluzione DNS `db.onprem.example.com` al Route 53 Resolver del VPC all'indirizzo VPC\$12.
1. Route 53 Resolver controlla le regole del Resolver e inoltra la richiesta al server DNS locale utilizzando l'endpoint in uscita. IPs
1. L'endpoint in uscita inoltra la richiesta al DNS locale. IPs Il traffico passa attraverso la connettività di rete ibrida stabilita tra il VPC di Shared Services e il data center locale.
1. Il server DNS locale risponde all'endpoint in uscita, che quindi inoltra la risposta al Route 53 Resolver del VPC. Il Resolver restituisce la risposta all'istanza. EC2
Il diagramma seguente mostra il flusso di risoluzione DNS dall'ambiente locale a. AWS Questa è la configurazione della connettività per le risoluzioni in entrata su cui è ospitato il dominio. AWS Di seguito è riportata una panoramica di alto livello del processo necessario per configurarlo. Per i dettagli, consulta la sezione [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Distribuisci gli endpoint Resolver in ingresso nel VPC di Shared Services.
1. Crea zone private ospitate nell'account Shared Services (approccio centralizzato).
1. Associa le zone ospitate private al VPC di Shared Services. Condividi e associa queste zone a più account VPCs per la risoluzione VPC-to-VPC DNS. Questa operazione può essere eseguita in diversi modi a seconda del caso d'uso, come descritto più avanti in questa sezione.
![\[Endpoint in entrata e in uscita in un flusso di risoluzione DNS locale verso AWS.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Dopo aver configurato la connettività, i passaggi necessari per la risoluzione in entrata sono i seguenti:
1. La risorsa locale invia una richiesta di risoluzione DNS `ec2.prod.aws.example.com` al server DNS locale.
1. Il server DNS locale inoltra la richiesta all'endpoint Resolver in ingresso nel VPC di Shared Services tramite la connessione di rete ibrida.
1. L'endpoint Resolver in entrata cerca la richiesta nella zona ospitata privata associata con l'aiuto del Resolver VPC Route 53 e ottiene l'indirizzo IP appropriato.
1. Questi indirizzi IP vengono rispediti al server DNS locale, che restituisce la risposta alla risorsa locale.
Questa configurazione consente alle risorse locali di risolvere i nomi di dominio AWS privati instradando le query attraverso gli endpoint in entrata verso la zona ospitata privata appropriata. In questa architettura, le zone private ospitate sono centralizzate in un VPC di Shared Services, che consente la gestione centralizzata del DNS da parte di un singolo team. Queste zone possono essere associate a molte VPCs per risolvere il caso d'uso della risoluzione VPC-to-VPC DNS. In alternativa, potresti voler delegare la proprietà e la gestione del dominio DNS a ciascuna di esse. Account AWS In tal caso, ogni account gestisce le proprie zone ospitate private e associa ogni zona al VPC centrale di Shared Services per una risoluzione unificata con l'ambiente locale. Questo approccio decentralizzato non rientra nell'ambito di questo modello. Per ulteriori informazioni, consulta [Scalare la gestione DNS su più account e VPCs](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) nel white paper *Hybrid Cloud DNS Options for Amazon VPC*.
Quando stabilisci i flussi di risoluzione DNS fondamentali utilizzando gli endpoint Resolver, devi determinare come gestire la condivisione e l'associazione delle regole Resolver e delle zone ospitate private tra le tue. Account AWSÈ possibile affrontare questo problema in due modi: tramite la condivisione autogestita utilizzando le regole del Resolver AWS RAM per condividere e le associazioni dirette di zone ospitate private, come dettagliato nella sezione *Configurazione di base*, o tramite i profili Route 53, come discusso nella sezione Configurazione *avanzata*. La scelta dipende dalle preferenze di gestione DNS e dai requisiti operativi dell'organizzazione. I seguenti diagrammi di architettura illustrano un ambiente scalabile che include più account VPCs su diversi account, che rappresenta una tipica implementazione aziendale.
**Configurazione di base**
Nella configurazione di base, l'implementazione per la risoluzione DNS ibrida in un AWS ambiente multi-account utilizza AWS RAM la condivisione delle regole di inoltro di Resolver e delle associazioni di zone ospitate private per gestire le query DNS tra locale e risorse. AWS Questo metodo utilizza endpoint Route 53 Resolver centralizzati in un VPC di Shared Services connesso alla rete locale per gestire in modo efficiente la risoluzione DNS in entrata e in uscita.
+ Per la risoluzione in uscita, le regole di inoltro Resolver vengono create nell'account Shared Services e quindi condivise con altri utenti tramite. Account AWS AWS RAM Questa condivisione è limitata agli account all'interno della stessa regione. Gli account di destinazione possono quindi associare queste regole alle proprie VPCs e abilitare le risorse di tali account VPCs per risolvere i nomi di dominio locali.
+ Per la risoluzione in entrata, le zone ospitate private vengono create nell'account Shared Services e associate al VPC di Shared Services. Queste zone possono quindi essere associate VPCs ad altri account utilizzando l'API Route 53 o AWS Command Line Interface ()AWS CLI. AWS SDKs Le risorse associate VPCs possono quindi risolvere i record DNS definiti nelle zone ospitate private, creando una vista DNS unificata in tutto l'ambiente. AWS
Il diagramma seguente mostra i flussi di risoluzione DNS in questa configurazione di base.
![\[Utilizzo della configurazione di base per la risoluzione DNS ibrida in un ambiente AWS multi-account.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Questa configurazione funziona bene quando lavori con un'infrastruttura DNS su scala limitata. Tuttavia, può diventare difficile da gestire man mano che l'ambiente cresce. Il sovraccarico operativo legato alla gestione VPCs individuale della zona ospitata privata e delle regole del Resolver aumenta notevolmente con la scalabilità. Inoltre, le quote di servizio come il limite di associazione di 300 VPC per zona ospitata privata possono diventare fattori vincolanti nelle implementazioni su larga scala. La configurazione avanzata risolve queste sfide.
**Configurazione avanzata**
I profili Route 53 offrono una soluzione semplificata per la gestione della risoluzione DNS in reti ibride su più reti. Account AWS Invece di gestire le zone private ospitate e le regole Resolver singolarmente, è possibile raggruppare le configurazioni DNS in un unico contenitore che può essere facilmente condiviso e applicato su più VPCs account in una regione. Questa configurazione mantiene l'architettura degli endpoint Resolver centralizzata in un VPC di Shared Services semplificando al contempo in modo significativo la gestione delle configurazioni DNS.
Il diagramma seguente mostra i flussi di risoluzione DNS in una configurazione avanzata.
![\[Utilizzo della configurazione avanzata con Route 53 Profiles per la risoluzione DNS ibrida in un ambiente AWS con più account.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
I profili Route 53 consentono di raggruppare associazioni di zone ospitate private, regole di inoltro Resolver e regole firewall DNS in un'unica unità condivisibile. È possibile creare profili nell'account Shared Services e condividerli con gli account dei membri utilizzando. AWS RAM Quando un profilo viene condiviso e applicato a Target VPCs, tutte le associazioni e le configurazioni necessarie vengono gestite automaticamente dal servizio. Ciò riduce in modo significativo il sovraccarico operativo della gestione DNS e offre un'eccellente scalabilità per ambienti in crescita.
**Automazione e scalabilità**
Utilizza strumenti Infrastructure as Code (IaC) come CloudFormation o Terraform per effettuare il provisioning e gestire automaticamente gli endpoint, le regole, le zone ospitate private e i profili di Route 53 Resolver. Integra la configurazione DNS con pipeline di integrazione continua e distribuzione continua (CI/CD) per coerenza, ripetibilità e aggiornamenti rapidi.
## Tools (Strumenti)
**Servizi AWS**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) consente di condividere in modo sicuro le risorse Account AWS per ridurre il sovraccarico operativo e fornire visibilità e verificabilità.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)risponde in modo ricorsivo alle richieste DNS provenienti dalle AWS risorse ed è disponibile per impostazione predefinita in tutte. VPCs Puoi creare endpoint Resolver e regole di inoltro condizionale per risolvere i namespace DNS tra il tuo data center locale e il tuo. VPCs
+ La [zona ospitata privata di Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) è un contenitore che contiene informazioni su come desideri che Route 53 risponda alle query DNS per un dominio e i relativi sottodomini.
+ [I profili Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) consentono di applicare e gestire configurazioni Route 53 relative al DNS su molte VPCs e diverse configurazioni Account AWS in modo semplificato.
## Best practice
Questa sezione fornisce alcune delle migliori pratiche per ottimizzare Route 53 Resolver. Queste rappresentano un sottoinsieme delle best practice di Route 53. Per un elenco completo, consulta [Best practice per Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html).
**Evita le configurazioni in loop con gli endpoint Resolver**
+ Progetta la tua architettura DNS per prevenire il routing ricorsivo pianificando attentamente le associazioni VPC. Quando un VPC ospita un endpoint in entrata, evita di associarlo a regole Resolver che potrebbero creare riferimenti circolari.
+ Utilizzalo AWS RAM in modo strategico quando condividi le risorse DNS tra account per mantenere percorsi di routing puliti.
Per ulteriori informazioni, consulta [Evita le configurazioni dei loop con gli endpoint Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html) nella documentazione di Route 53.
**Scale gli endpoint di Resolver**
+ Per gli ambienti che richiedono un numero elevato di query al secondo (QPS), tieni presente che esiste un limite di 10.000 QPS per ENI in un endpoint. ENIs È possibile aggiungerne altri a un endpoint per scalare DNS QPS.
+ CloudWatch Forniture `InboundQueryVolume` e `OutboundQueryVolume` parametri di Amazon (consulta la [CloudWatch documentazione](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Ti consigliamo di impostare regole di monitoraggio che ti avvisino se la soglia supera un determinato valore (ad esempio, l'80% di 10.000 QPS).
+ Configura regole stateful security group per gli endpoint Resolver per evitare che i limiti di tracciamento delle connessioni causino la limitazione delle query DNS durante il traffico ad alto volume. Per ulteriori informazioni su come funziona il tracciamento delle connessioni nei gruppi di sicurezza di [Amazon, consulta il monitoraggio delle connessioni dei gruppi di EC2 sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) Amazon nella EC2 documentazione di Amazon.
Per ulteriori informazioni, consulta [Resolver Endpoint Scaling](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) nella documentazione di Route 53.
**Fornisci un'elevata disponibilità per gli endpoint Resolver**
+ Crea endpoint in entrata con indirizzi IP in almeno due zone di disponibilità per la ridondanza.
+ Fornisci interfacce di rete aggiuntive per garantire la disponibilità durante la manutenzione o i picchi di traffico.
Per ulteriori informazioni, consulta [Alta disponibilità per gli endpoint Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) nella documentazione di Route 53.
## Epiche
### Implementa gli endpoint Route 53 Resolver
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Implementa un endpoint in entrata. | Route 53 Resolver utilizza l'endpoint in entrata per ricevere query DNS dai resolver DNS locali. Per istruzioni, consulta [Inoltro](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html) delle query DNS in entrata al tuo nella documentazione di Route 53. VPCs Prendi nota dell'indirizzo IP dell'endpoint in entrata. | Amministratore AWS, amministratore cloud |
| Implementa un endpoint in uscita. | Route 53 Resolver utilizza l'endpoint in uscita per inviare query DNS ai resolver DNS locali. Per istruzioni, consulta [Inoltro delle query DNS in uscita alla rete nella documentazione](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html) di Route 53. Prendi nota dell'ID dell'endpoint di output. | Amministratore AWS, amministratore cloud |
### Configura e condividi le zone private ospitate su Route 53
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea una zona ospitata privata per un dominio ospitato su AWS. | Questa zona contiene i record DNS per le risorse in un dominio AWS ospitato (ad esempio,`prod.aws.example.com`) che devono essere risolti dall'ambiente locale. Per istruzioni, consulta [Creazione di una zona ospitata privata nella documentazione](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) di Route 53.Quando crei una zona ospitata privata, devi associare un VPC alla zona ospitata di proprietà dello stesso account. A tale scopo, selezionare il VPC di Shared Services. | Amministratore AWS, amministratore cloud |
| Configurazione di base: associa la zona ospitata privata VPCs ad altri account. | Se utilizzi la configurazione di base (vedi la sezione [Architettura](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):Per consentire alle risorse dell'account membro di VPCs risolvere i record DNS in questa zona ospitata privata, devi VPCs associare la tua alla zona ospitata. È necessario autorizzare l'associazione e quindi crearla a livello di codice. Per istruzioni, consulta [Associare un Amazon VPC e una zona ospitata privata che hai creato con Account AWS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html) diversi nella documentazione di Route 53. | Amministratore AWS, amministratore cloud |
| Configurazione avanzata: configura e condividi i profili Route 53. | Se utilizzi una configurazione avanzata (consulta la sezione [Architettura](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)A seconda della struttura dell'organizzazione e dei requisiti DNS, potrebbe essere necessario creare e gestire più profili per account o carichi di lavoro diversi. | Amministratore AWS, amministratore cloud |
### Configura e condividi le regole di inoltro di Route 53 Resolver
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Crea una regola di inoltro per un dominio ospitato in locale. | Questa regola indicherà a Route 53 Resolver di inoltrare qualsiasi query DNS per i domini locali (ad esempio) ai resolver DNS locali. `onprem.example.com` Per creare questa regola, sono necessari gli indirizzi IP dei resolver DNS locali e l'ID dell'endpoint in uscita. Per istruzioni, consulta [Creazione di regole di inoltro nella documentazione di Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html). | Amministratore AWS, amministratore cloud |
| Configurazione di base: condividi e associa la regola di inoltro VPCs a quella di altri account. | Se utilizzi la configurazione di base:Affinché la regola di inoltro abbia effetto, devi condividerla e associarla VPCs a quella di altri account. Route 53 Resolver prende quindi in considerazione la regola quando risolve un dominio. Per istruzioni, consulta [Condivisione delle regole del Resolver con altri utenti Account AWS e utilizzo di regole condivise e Associazione delle regole](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) [di inoltro a un VPC](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) nella documentazione di Route 53. | Amministratore AWS, amministratore cloud |
| Configurazione avanzata: configura e condividi i profili Route 53. | Se utilizzi una configurazione avanzata:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)A seconda della struttura dell'organizzazione e dei requisiti DNS, potrebbe essere necessario creare e gestire più profili per account o carichi di lavoro diversi. | Amministratore AWS, amministratore cloud |
### Configura i resolver DNS locali per l'integrazione AWS
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Configura l'inoltro condizionale nei resolver DNS locali. | Affinché le query DNS vengano inviate AWS dall'ambiente locale per la risoluzione, è necessario configurare l'inoltro condizionale nei resolver DNS locali in modo che puntino all'indirizzo IP dell'endpoint in entrata. Ciò indica ai resolver DNS di inoltrare tutte le query DNS per il dominio ospitato (ad esempio, for) all'indirizzo IP dell'endpoint in entrata per la AWS risoluzione da parte di Route 53 Resolver. `prod.aws.example.com` | Amministratore di rete |
### Verifica la risoluzione DNS in un ambiente ibrido end-to-end
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Verifica la risoluzione DNS dall' AWS ambiente locale. | Da un'istanza in un VPC a cui è associata la regola di inoltro, esegui una query DNS per un dominio ospitato in locale (ad esempio, per). `db.onprem.example.com` | Amministratore di rete |
| Verifica la risoluzione DNS dall'ambiente locale a. AWS | Da un server locale, esegui la risoluzione DNS per un dominio AWS ospitato (ad esempio, per). `ec2.prod.aws.example.com` | Amministratore di rete |
## Risorse correlate
+ [Opzioni DNS cloud ibrido per Amazon VPC (](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html)white paper)AWS
+ [Utilizzo di zone ospitate private](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (documentazione Route 53)
+ [Guida introduttiva a Route 53 Resolver (documentazione](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) Route 53)
+ [Semplifica la gestione DNS in un ambiente con più account con Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (post sul blog)AWS
+ [Unifica la gestione DNS utilizzando profili Amazon Route 53 con più VPCs e Account AWS](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (AWS post di blog)
+ [Migrazione del tuo ambiente DNS multi-account ai profili Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS post del blog)
+ [Utilizzo dei profili Amazon Route 53 per AWS ambienti scalabili con più account](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS post sul blog)
# Verificare che i sistemi di bilanciamento del carico ELB richiedano la terminazione TLS
*Priyanka Chaudhary, Amazon Web Services*
## Riepilogo
Sul cloud Amazon Web Services (AWS), Elastic Load Balancing (ELB) distribuisce automaticamente il traffico delle applicazioni in entrata su più destinazioni, come istanze Amazon Elastic Compute Cloud (Amazon EC2), contenitori, indirizzi IP e funzioni AWS Lambda. I sistemi di bilanciamento del carico utilizzano i listener per definire le porte e i protocolli utilizzati dal sistema di bilanciamento del carico per accettare il traffico dagli utenti. Gli Application Load Balancer prendono decisioni di routing a livello di applicazione e utilizzano i protocolli. HTTP/HTTPS I Classic Load Balancer prendono decisioni di routing a livello di trasporto, utilizzando i protocolli TCP o Secure Sockets Layer (SSL), o a livello di applicazione, utilizzando HTTP/HTTPS.
Questo modello fornisce un controllo di sicurezza che esamina diversi tipi di eventi per Application Load Balancers e Classic Load Balancers. Quando la funzione viene richiamata, AWS Lambda ispeziona l'evento e garantisce che il sistema di bilanciamento del carico sia conforme.
La funzione avvia un evento Amazon CloudWatch Events sulle seguenti chiamate API: [CreateLoadBalancer](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener[DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html)](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), e [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html). Quando l'evento rileva uno di questi APIs, chiama AWS Lambda, che esegue uno script Python. Lo script Python valuta se il listener contiene un certificato SSL e se la politica applicata utilizza Transport Layer Security (TLS). Se si determina che la politica SSL è diversa da TLS, la funzione invia una notifica Amazon Simple Notification Service (Amazon SNS) all'utente con le informazioni pertinenti.
## Prerequisiti e limitazioni
**Prerequisiti**
+ Un account AWS attivo
**Limitazioni**
+ Questo controllo di sicurezza non verifica la presenza di sistemi di bilanciamento del carico esistenti, a meno che non venga effettuato un aggiornamento dei listener del sistema di bilanciamento del carico.
+ Questo controllo di sicurezza è regionale. Devi distribuirlo in ogni regione AWS che desideri monitorare.
## Architecture
**Architettura Target**
![\[Garantire che i sistemi di bilanciamento del carico richiedano la terminazione TLS.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Automazione e scalabilità**
+ Se utilizzi [AWS Organizations](https://aws.amazon.com/organizations/), puoi utilizzare [AWS Cloudformation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) per distribuire questo modello in più account che desideri monitorare.
## Tools (Strumenti)
**Servizi AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html): AWS ti CloudFormation aiuta a modellare e configurare le tue risorse AWS, effettuarne il provisioning in modo rapido e coerente e gestirle per tutto il loro ciclo di vita. Puoi utilizzare un modello per descrivere le tue risorse e le loro dipendenze e lanciarle e configurarle insieme come uno stack, invece di gestire le risorse singolarmente.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html): Amazon CloudWatch Events offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle risorse AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html): AWS Lambda è un servizio di elaborazione che supporta l'esecuzione di codice senza effettuare il provisioning o la gestione di server.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html) — Amazon Simple Storage Service (Amazon S3) è un servizio di storage di oggetti altamente scalabile che può essere utilizzato per un'ampia gamma di soluzioni di storage, tra cui siti Web, applicazioni mobili, backup e data lake.
+ [Amazon SNS — Amazon Simple](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) Notification Service (Amazon SNS) coordina e gestisce la consegna o l'invio di messaggi tra editori e clienti, inclusi server Web e indirizzi e-mail. I sottoscrittori ricevono tutti gli stessi messaggi pubblicati sugli argomenti ai quali sono hanno effettuato la sottoscrizione.
**Codice**
Questo modello include i seguenti allegati:
+ `ELBRequirestlstermination.zip`— Il codice Lambda per il controllo di sicurezza.
+ `ELBRequirestlstermination.yml`— Il CloudFormation modello che configura l'evento e la funzione Lambda.
## Epiche
### Configura il bucket S3
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Definisci il bucket S3. | Sulla [console Amazon S3](https://console.aws.amazon.com/s3/), scegli o crea un bucket S3 per ospitare il file.zip con codice Lambda. Questo bucket S3 deve trovarsi nella stessa regione AWS del sistema di bilanciamento del carico che desideri valutare. Il nome di un bucket S3 è unico a livello globale e lo spazio dei nomi è condiviso da tutti gli account AWS. Il nome del bucket S3 non può includere barre iniziali. | Architetto del cloud |
| Carica il codice Lambda. | Carica il codice Lambda (`ELBRequirestlstermination.zip`file) fornito nella sezione *Allegati nel bucket* S3. | Architetto del cloud |
### Implementa il modello CloudFormation
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Avvia il CloudFormation modello AWS. | Apri la [ CloudFormation console AWS](https://console.aws.amazon.com/cloudformation/) nella stessa regione AWS del bucket S3 e distribuisci il modello allegato. `ELBRequirestlstermination.yml` Per ulteriori informazioni sulla distribuzione di CloudFormation modelli AWS, consulta [Creazione di uno stack sulla CloudFormation console AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) nella CloudFormation documentazione. | Architetto del cloud |
| Completa i parametri nel modello. | Quando avvii il modello, ti verranno richieste le seguenti informazioni:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Architetto del cloud |
### Confermare la sottoscrizione
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Confermare la sottoscrizione. | Quando il CloudFormation modello viene distribuito correttamente, invia un'e-mail di iscrizione all'indirizzo e-mail fornito. È necessario confermare questa sottoscrizione e-mail per iniziare a ricevere notifiche di violazione. | Architetto del cloud |
## Risorse correlate
+ [Creazione di uno stack sulla CloudFormation console AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentazione AWS)
+ [Cos'è AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (documentazione AWS Lambda)
+ [Cos'è un Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (documentazione ELB)
+ [Cos’è un Application Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (documentazione ELB)
## Allegati
[Per accedere al contenuto aggiuntivo associato a questo documento, decomprimi il seguente file: attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# Visualizza i log e i parametri di AWS Network Firewall utilizzando Splunk
*Ivo Pinto, Amazon Web Services*
## Riepilogo
Molte organizzazioni utilizzano [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) come strumento centralizzato di aggregazione e visualizzazione per log e metriche provenienti da diverse fonti. Questo modello ti aiuta a configurare Splunk per recuperare i log e i parametri di [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) da [ CloudWatch Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) Logs utilizzando il componente aggiuntivo Splunk per AWS.
A tal fine, crei un ruolo AWS Identity and Access Management (IAM) di sola lettura. Splunk Add-On for AWS utilizza questo ruolo per accedere. CloudWatch Puoi configurare il componente aggiuntivo Splunk per AWS da cui recuperare metriche e log. CloudWatch Infine, crei visualizzazioni in Splunk a partire dai dati e dalle metriche dei log recuperati.
## Prerequisiti e limitazioni
**Prerequisiti**
+ [Un account Splunk](https://www.splunk.com/)
+ Un'istanza Splunk Enterprise, versione 8.2.2 o successiva
+ Un account AWS attivo
+ Network Firewall, [configurato](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) [e configurato](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) per inviare log a CloudWatch Logs
**Limitazioni**
+ Splunk Enterprise deve essere distribuito come cluster di istanze Amazon Elastic Compute Cloud (Amazon EC2) nel cloud AWS.
+ La raccolta di dati utilizzando un ruolo IAM scoperto automaticamente per Amazon EC2 non è supportata nelle regioni AWS Cina.
## Architecture
![\[Architettura di registrazione AWS Network Firewall e Splunk\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
Il diagramma illustra quanto segue:
1. Network Firewall pubblica i log in Logs. CloudWatch
1. Splunk Enterprise recupera metriche e log da. CloudWatch
Per compilare metriche e log di esempio in questa architettura, un carico di lavoro genera traffico che attraversa l'endpoint Network Firewall per andare a Internet. [Questo risultato è ottenuto mediante l'uso di tabelle di routing.](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables) Sebbene questo modello utilizzi una singola istanza Amazon EC2 come carico di lavoro, può essere applicato a qualsiasi architettura purché Network Firewall sia configurato per inviare log a Logs. CloudWatch
Questa architettura utilizza anche un'istanza Splunk Enterprise in un altro cloud privato virtuale (VPC). Tuttavia, l'istanza Splunk può trovarsi in un'altra posizione, ad esempio nello stesso VPC del carico di lavoro, purché possa raggiungere il. CloudWatch APIs
## Tools (Strumenti)
**Servizi AWS**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e servizi AWS in modo da poterli monitorare e archiviare in modo sicuro.
+ [Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2](https://docs.aws.amazon.com/ec2/)) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.
+ [AWS Network Firewall è un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni VPCs nel cloud AWS.
**Altri strumenti**
+ [Splunk](https://www.splunk.com/) ti aiuta a monitorare, visualizzare e analizzare i dati di registro.
## Epiche
### Creazione di un ruolo IAM
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Creare la policy IAM. | Segui le istruzioni in [Creazione di policy using the JSON editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) per creare la policy IAM che garantisce l'accesso in sola lettura ai dati e alle metriche dei CloudWatch Logs. CloudWatch Incollare la seguente policy nell'editor JSON.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | Amministratore AWS |
| Crea un nuovo ruolo IAM. | Segui le istruzioni in [Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) creare il ruolo IAM a cui il componente aggiuntivo Splunk per AWS utilizza per accedere. CloudWatch Per le **politiche di autorizzazione**, scegli la politica che hai creato in precedenza. | Amministratore AWS |
| Assegna il ruolo IAM alle istanze EC2 nel cluster Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore AWS |
### Installa il componente aggiuntivo Splunk per AWS
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Installa il componente aggiuntivo . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk |
| Configura le credenziali AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Per ulteriori informazioni, consulta [Trova un ruolo IAM all'interno dell'istanza della piattaforma Splunk nella documentazione](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) Splunk. | Amministratore Splunk |
### Configura l'accesso Splunk a CloudWatch
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Configurare il recupero dei log del Network Firewall dai registri. CloudWatch | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Per impostazione predefinita, Splunk recupera i dati di registro ogni 10 minuti. **Questo è un parametro configurabile in Impostazioni avanzate.** Per ulteriori informazioni, consulta [Configurare un input di CloudWatch log utilizzando Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) nella documentazione di Splunk. | Amministratore Splunk |
| Configura il recupero delle metriche del Network Firewall da. CloudWatch | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Per impostazione predefinita, Splunk recupera i dati metrici ogni 5 minuti. **Questo è un parametro configurabile in Impostazioni avanzate.** Per ulteriori informazioni, consulta [Configurare un CloudWatch input utilizzando Splunk Web nella documentazione](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) di Splunk. | Amministratore Splunk |
### Crea visualizzazioni Splunk utilizzando le query
| Operazione | Description | Competenze richieste |
| --- | --- | --- |
| Visualizza i principali indirizzi IP di origine. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk |
| Visualizza le statistiche sui pacchetti. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk |
| Visualizza le porte di origine più utilizzate. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk |
## Risorse correlate
**Documentazione AWS**
+ [Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS (documentazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) IAM)
+ [Creazione di politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (documentazione IAM)
+ [Registrazione e monitoraggio in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (documentazione Network Firewall)
+ [Configurazioni della tabella di routing per AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentazione Network Firewall)
**Post sul blog di AWS**
+ [Modelli di implementazione di AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Altri modelli
**Topics**
+ [Accedi a un host bastion utilizzando Session Manager e Amazon EC2 Instance Connect](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Accedi alle applicazioni container in modo privato su Amazon ECS utilizzando AWS Fargate, PrivateLink AWS e un Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Accedi alle applicazioni container in modo privato su Amazon ECS utilizzando AWS PrivateLink e un Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Centralizza la risoluzione DNS utilizzando AWS Managed Microsoft AD e localmente Microsoft Active Directory](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Crea un portale per micro-frontend utilizzando Angular e AWS Amplify Module Federation](create-amplify-micro-frontend-portal.md)
+ [Implementa un'API Amazon API Gateway su un sito Web interno utilizzando endpoint privati e un Application Load Balancer](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Implementa controlli di accesso basati su attributi investigativi per sottoreti pubbliche utilizzando AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Implementa controlli di accesso preventivi basati sugli attributi per le sottoreti pubbliche](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Abilita connessioni crittografate per le istanze DB PostgreSQL in Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Estendi VRFs ad AWS utilizzando AWS Transit Gateway Connect](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Esegui la migrazione di un carico di lavoro F5 BIG-IP su F5 BIG-IP VE su Cloud AWS](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Esegui la migrazione dei controller di ingresso NGINX quando abiliti la modalità automatica di Amazon EKS](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Conserva lo spazio IP instradabile nei progetti VPC multi-account per sottoreti non destinate ai carichi di lavoro](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Impedisci l'accesso a Internet a livello di account utilizzando una politica di controllo del servizio](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Invia avvisi da AWS Network Firewall a un canale Slack](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Distribuisci contenuti statici in un bucket Amazon S3 tramite un VPC utilizzando Amazon CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Configura il disaster recovery per Oracle JD Edwards con EnterpriseOne AWS Elastic Disaster Recovery](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Usa le query BMC Discovery per estrarre i dati di migrazione per la pianificazione della migrazione](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Usa Network Firewall per acquisire i nomi di dominio DNS dall'Indicazione del nome del server per il traffico in uscita](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)