Valutazione dell'impatto di BPA e monitoraggio di BPA - Amazon Virtual Private Cloud
Valuta l'impatto del BPA con Strumento di analisi degli accessi alla reteMonitoraggio dell'impatto di BPA con log di flussoTieni traccia dell'eliminazione delle esclusioni con CloudTrailVerifica del blocco della connettività con Reachability Analyzer

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valutazione dell'impatto di BPA e monitoraggio di BPA

Questa sezione contiene informazioni su come valutare l'impatto di VPC BPA prima di attivarlo e su come monitorare se il traffico viene bloccato dopo l'attivazione.

Valuta l'impatto del BPA con Strumento di analisi degli accessi alla rete

In questa sezione, visualizzerai le risorse del tuo account che utilizzano un gateway Internet prima di abilitare VPC BPA e bloccare l'accesso. Strumento di analisi degli accessi alla rete Utilizza questa analisi per comprendere l'impatto dell'attivazione di VPC BPA nel tuo account e del blocco del traffico.

Nota

  • Network Access Analyzer non supporta IPv6, quindi non potrai utilizzarlo per visualizzare il potenziale impatto del BPA sul traffico in uscita del gateway Internet solo in uscita. IPv6

  • Ti vengono addebitati i costi delle analisi eseguite con Strumento di analisi degli accessi alla rete. Per ulteriori informazioni, consulta Prezzi nella Guida di Strumento di analisi degli accessi alla rete .

  • Per informazioni sulla disponibilità regionale dello Strumento di analisi degli accessi alla rete, consulta Limitazioni nella Guida dello Strumento di analisi degli accessi alla rete.

AWS Management Console

  1. Apri la console di Network Insights all'indirizzo. AWS https://console.aws.amazon.com/networkinsights/

  2. Scegli Strumento di analisi degli accessi alla rete.

  3. Scegli Crea ambito di accesso alla rete.

  4. Scegli Valuta l'impatto di Blocco dell'accesso pubblico VPC e scegli Avanti.

  5. Il modello è già configurato per analizzare il traffico da e verso i gateway Internet del tuo account. Puoi visualizzarlo in Origine e Destinazione.

  6. Scegli Next (Successivo).

  7. Scegli Crea ambito di accesso alla rete.

  8. Scegli l'ambito che hai appena creato e scegli Analizza.

  9. Attendi il completamento del processo.

  10. Visualizza gli esiti dell'analisi. Ogni riga in Esiti mostra un percorso di rete che un pacchetto può percorrere in una rete da o verso un gateway Internet del tuo account. In questo caso, se attivi VPC BPA e nessuna delle e/o o sottoreti che appaiono in questi risultati è configurata come esclusione BPA, il traffico verso quelle VPCs e le sottoreti sarà limitato. VPCs

  11. Analizza ogni risultato per comprendere l'impatto del BPA sulle risorse del tuo. VPCs

L'analisi dell'impatto è completa.

AWS CLI

  1. Crea un ambito di accesso alla rete:

    aws ec2 create-network-insights-access-scope --region us-east-2 --match-paths "Source={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}" "Destination={ResourceStatement={ResourceTypes=["AWS::EC2::InternetGateway"]}}"

  2. Inizia l'analisi dell'ambito:

    aws ec2 start-network-insights-access-scope-analysis  --region us-east-2 --network-insights-access-scope-id nis-id

  3. Ottieni i risultati dell'analisi:

    aws ec2 get-network-insights-access-scope-analysis-findings  --region us-east-2 --network-insights-access-scope-analysis-id nisa-0aa383a1938f94cd1 --max-items 1

    I risultati mostrano il traffico da e verso i gateway Internet in tutto il tuo VPCs account. I risultati sono organizzati come «risultati». "FindingId«:" AnalysisFinding -1" indica che questo è il primo risultato dell'analisi. Tieni presente che esistono diversi esiti e ognuno indica un flusso di traffico che verrà influenzato dall'attivazione di VPC BPA. Il primo risultato mostrerà che il traffico è iniziato da un gateway Internet (» SequenceNumber «: 1), è passato a un NACL (» SequenceNumber «: 2) a un gruppo di sicurezza (» SequenceNumber «: 3) e è terminato in un'istanza (» SequenceNumber «: 4).

  4. Analizza i risultati per comprendere l'impatto del BPA sulle risorse del tuo. VPCs

L'analisi dell'impatto è completa.

Monitoraggio dell'impatto di BPA con log di flusso

Log di flusso VPC è una funzionalità che consente di acquisire informazioni sul traffico IP da e verso le interfacce di rete elastiche nel VPC. Puoi utilizzare questa funzionalità per monitorare il traffico bloccato da VPC BPA e impedirgli di raggiungere le interfacce di rete dell'istanza.

Crea un log di flusso per il tuo VPC utilizzando i passaggi in Utilizzo dei log di flusso.

Quando crei il log di flusso, assicurati di utilizzare un formato personalizzato che includa il campo reject-reason.

Quando visualizzi i log di flusso, se il traffico verso un ENI viene rifiutato a causa di BPA, viene visualizzato un reject-reason di BPA nella voce del log di flusso.

Oltre alle limitazioni standard per i log di flusso VPC, tieni presente le seguenti limitazioni specifiche di VPC BPA:

  • I log di flusso per BPA VPC non includono i record ignorati.

  • I log di flusso per BPA VPC non includono bytes anche se includi il campo bytes nel log di flusso.

Tieni traccia dell'eliminazione delle esclusioni con CloudTrail

Questa sezione spiega come monitorare e tenere traccia dell'eliminazione delle esclusioni VPC BPA. AWS CloudTrail

AWS Management Console

Puoi visualizzare tutte le esclusioni eliminate nella cronologia degli CloudTrail eventi cercando Tipo di risorsa > AWS::EC2::VPCBlockPublicAccessExclusion nella console all'indirizzo. AWS CloudTrail https://console.aws.amazon.com/cloudtrailv2/

AWS CLI

Puoi utilizzare il comando lookup-events per visualizzare gli eventi relativi all'eliminazione di esclusioni:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::EC2::VPCBlockPublicAccessExclusion

Verifica del blocco della connettività con Reachability Analyzer

VPC Reachability Analyzer può essere utilizzato per valutare se determinati percorsi di rete possono essere raggiunti o meno in base alla configurazione di rete, incluse le impostazioni VPC BPA.

Per informazioni sulla disponibilità regionale di Reachability Analyzer, consulta Considerazioni nella Guida di Reachability Analyzer.

AWS Management Console

  1. Apri la console AWS Network Insights all'indirizzohttps://console.aws.amazon.com/networkinsights/home#ReachabilityAnalyzer.

  2. Fai clic su Crea e analizza il percorso.

  3. Per Tipo di origine, scegli Gateway Internet e seleziona il gateway Internet per il quale desideri bloccare il traffico dal menu a discesa Origine.

  4. Per Tipo di destinazione, scegli Istanze e seleziona l'istanza verso cui desideri bloccare il traffico dal menu a discesa Destinazione.

  5. Fai clic su Crea e analizza il percorso.

  6. Attendi il completamento del processo. Il processo può richiedere alcuni minuti.

  7. Una volta completato, dovresti vedere che lo stato di raggiungibilità è non raggiungibile e che i dettagli del percorso indicano che VPC_BLOCK_PUBLIC_ACCESS_ENABLED è la causa di questo problema di raggiungibilità.

AWS CLI

  1. Crea un percorso di rete utilizzando l'ID del gateway Internet da cui desideri bloccare il traffico (origine) e l'ID dell'istanza verso cui desideri bloccare il traffico (destinazione):

    aws ec2 --region us-east-2 create-network-insights-path --source igw-id --destination instance-id --protocol TCP

  2. Avvia un'analisi sul percorso di rete:

    aws ec2 --region us-east-2 start-network-insights-analysis --network-insights-path-id nip-id

  3. Richiama i risultati dell'analisi:

    aws ec2 --region us-east-2 describe-network-insights-analyses --network-insights-analysis-ids nia-id

  4. Verifica che VPC_BLOCK_PUBLIC_ACCESS_ENABLED sia il ExplanationCode della mancanza di raggiungibilità.